Introduction

Cet article est conçu pour les administrateurs de locataires disposant d’une organisation multilocataire (MTO) établie qui préparent la migration des identités et des données d’un membre MTO à un autre. Il décrit les étapes à suivre pour passer d’une collaboration basée sur MTO à une préparation complète à la migration, ce qui garantit un accès sécurisé, une interruption minimale et la conformité.

Exemple de scénario : Contoso et Fabrikam disposent d’un MTO existant pour la collaboration jour 1. Les utilisateurs Fabrikam sont synchronisés dans le locataire de Contoso en tant que membres externes B2B (business to business), ce qui permet une collaboration transparente. À présent, Contoso prévoit de migrer les données utilisateur de Fabrikam vers son propre locataire. Cet article décrit les étapes à suivre pour convertir les identités Fabrikam en utilisateurs de messagerie interne prêts pour la migration pour une transition en douceur.

Jour 1 Collaboration dans une organisation multilocataire (MTO)

Le MTO permet une collaboration interlocataire immédiate sans modifier les informations d’identification de l’utilisateur.

Étapes d’établissement du MTO

  1. Créez votre MTO dans le portail du Centre d’administration Microsoft (MAC).
  2. Configurer des relations d’approbation et des stratégies.
  3. Synchroniser les utilisateurs en tant que membres externes B2B (Business-to-Business).
  4. Activez les fonctionnalités de collaboration (Teams, partage de fichiers, cartes de profil).

Remarque

Ce guide suppose que vous avez déjà effectué ces étapes.

Liste de vérification de la préparation de la prémigration

  • Définissez les utilisateurs et les groupes à migrer en spécifiant les groupes de sécurité à extension messagerie dans le champ MailboxMovePublishedScope (il y a un maximum de 5 000 objets par étendue).

Conseil

Évitez les groupes imbriqués et assurez-vous qu’aucun utilisateur ne se trouve dans plusieurs étendues.

  • Relation d’organisation configurée (MailboxMoveEnabled = $True).
  • Modules PowerShell requis installés :
    • ExchangeOnlineManagement
    • Microsoft.Graph
    • Microsoft.Graph.Beta
    • CrossTenantIdentityMapping (avec -AllowPrerelease)
  • Des objets MailUser existent dans le locataire cible pour chaque migration (domaines acceptés uniquement).

Définition de l’étendue de la migration

La définition de l’étendue de la migration est une étape cruciale qui détermine les utilisateurs et les groupes à migrer du locataire source vers le locataire cible. Cette étape garantit que seuls les comptes prévus sont inclus dans le processus de migration.

  1. Dans Exchange Online PowerShell, créez un groupe de sécurité Mail-Enabled dans le locataire source :

New-DistributionGroup -Type Security -Name "[MigrationScopeGroupName]" -DisplayName "Migration Scope for [Project or Batch Name]"

Exemple : New-DistributionGroup -Type Security -Name "MTO-Migration-Scope-2025" -DisplayName "Migration Scope for Bellevue Project"

  1. Groupe d’étendue de migration : ajoutez chaque utilisateur (ou groupe) que vous souhaitez migrer vers le groupe de sécurité à extension messagerie :

DistributionGroupMember -Identity "<MigrationScopeGroupName>" -Member <UserOrGroup>

Répétez cette opération pour tous les utilisateurs/groupes à migrer.

  1. Affectez un administrateur en tant que propriétaire du groupe pour la gestion et l’audit :

Set-DistributionGroup -Identity "<MigrationScopeGroupName>" -ManagedBy <AdminAccount>

  1. Vérifiez l’appartenance au groupe :

Get-DistributionGroupMember -Identity "<MigrationScopeGroupName>" | select Name, PrimarySmtpAddress

  1. Référencez le groupe dans la configuration de migration. Lors de la configuration de la migration, spécifiez le nom du groupe en tant que MailboxMovePublishedScope dans la relation organization ou l’outil de migration.

Remarque

Vous pouvez également terminer le processus d’étendue de migration dans le Centre d’administration Microsoft 365.

Mises à jour des relations d’organisation

Des relations organisationnelles existantes sont établies dans le cadre de votre configuration du MTO. Ces relations doivent être mises à jour pour permettre la migration des données et spécifier les utilisateurs qui sont dans l’étendue de la migration.

Par exemple : Set-OrganizationRelationship -Identity "MTO-OrgRel-ae2b6c6c-818a-4420-9830-c6083e37495e" -DomainNames "kingdomshu.onmicrosoft.com","ae2b6c6c-818a-4420-9830-c6083e37495e

Locataire source

Mettez à jour votre relation organization avec une étendue :

Set-OrganizationRelationship "MTO-OrgRel-{target-tenant-id}" -Enabled:$true -MailboxMoveEnabled:$true -MailboxMoveCapability RemoteOutbound -OAuthApplicationId {migration-app-id} -MailboxMovePublishedScopes {migration-scope-name}

Locataire cible

Set-OrganizationRelationship "MTO-OrgRel-{source-tenant-id}" -Enabled:$true -MailboxMoveEnabled:$true -MailboxMoveCapability Inbound

Mappage d’identité

Avant toute migration interlocataire, le mappage d’identité est essentiel pour s’assurer que chaque utilisateur et groupe du locataire source est correctement mis en correspondance avec un objet dans le locataire cible. Dans cette section, le processus implique le mappage de l’utilisateur source à l’objet utilisateur correspondant (membre B2B) où l’utilisateur existe actuellement en tant qu’utilisateur MTO.

Administrateur du locataire source

  1. Lancez une demande de copie : New-CtimCopyRequest -SecurityGroupGuid <GUID> -TargetTenantGuid <GUID>
  2. Partagez le RequestID obtenu avec l’administrateur du locataire cible.

Conseil

L’exécution d’une demande de copie pour la même étendue à deux reprises avec -Overwrite réinitialise les mappages précédents.

Administrateur du locataire cible

  1. Acceptez la demande de copie.
  2. Vérifiez les status de requête :Get-CtimRequest <RequestID>
  3. Acceptez la demande : Accept-CtimCopyRequest -RequestID <RequestID> -SourceTenantGUID <GUID>
  4. Si nécessaire, rejetez la demande : Reject-CtimCopyRequest

Attendez que la demande atteigne l’état Terminé avant de poursuivre le mappage.

Mappage (locataire cible)

  • Mappage automatisé (recommandé) :
    • Exécutez la commande suivante : New-CtimMapRequest -SourceTenantGuid <GUID>
  • Mappage manuel (facultatif) :
    • Téléchargez un fichier de mappage CSV : Download-CtimCopiedIdentities -SourceTenantGuid <GUID> -FilePath <path>
    • Remplissez la colonne TargetExternalDirectoryObjectId avec les GUID des objets MailUser cibles.
    • Chargez le fichier modifié. Upload-CtimMappingData -SourceTenantGuid <GUID> -MappingCsvFilePath <path>
    • Lancez le mappage à l’aide de CSV. New-CtimMapRequest -SourceTenantGuid <GUID> -UseCsv

Conseil

Utilisez des virgules comme délimiteurs dans le fichier CSV.

Écriture d’attributs (étape d’écriture)

Après avoir mappé les identités, vous devez écrire les attributs de boîte aux lettres du locataire source dans les objets MailUser correspondants dans le locataire cible. Cette étape garantit la préparation à la migration et le routage correct du courrier.

Pour les objets mailuser dans le cloud uniquement

  • Lancez la demande d’écriture :
    • New-CtimWriteRequest -SourceTenantGuid <GUID>

Cette commande écrit les attributs (ExchangeGuid, ArchiveGuid, adresses proxy X.500, etc.) de l’utilisateur de boîte aux lettres source mappé à l’objet MailUser cible.

Validation

  • Vérifiez que tous les objets ont un status Complet dans CTIM (mappage d’identité interlocataire) avant de commencer la migration des boîtes aux lettres :
    • Get-CtimRequest -RequestId <ID>
    • Get-CtimReport -SourceTenantGuid <GUID> -RequestId <ID>

Avant le processus d’écriture

Les objets MailUser n’ont pas d’adresses SMTP ExchangeGuid ou X.500 uniquement.

Après le processus d’écriture

Les adresses proxy ExchangeGuid, ArchiveGuid (le cas échéant) et X.500 sont remplies. Tous les attributs nécessaires à la migration et au routage des messages sont présents.

Configuration de l’application de migration

  • Créez l’application de migration dans le locataire cible.
  • Exécutez l’applet de commande pour appeler Graph ou opérer dans le centre d’administration Microsoft Entra.
  • Copiez l’ID et le secret de l’application de migration.
  • Accordez des autorisations à l’application de migration dans le locataire source.
  • Accédez à l’URL de consentement de l’administrateur et accordez l’accès.

Inscrire l’application dans Microsoft Entra : (locataire cible)

  1. Accédez au centre d’administration Microsoft Entra.
  2. Dans le menu de gauche, accédez à Entra ID.
  3. Sélectionner les inscriptions d’applications.
  4. Sélectionnez Nouvelle inscription.
  5. Indiquez un nom (par exemple, Application de migration MTO).
  6. Définissez les types de comptes pris en charge sur Comptes dans cet annuaire organisationnel uniquement.
  7. Rediriger l’URI est facultatif.
  8. Terminer l’inscription.
  9. Notez l’ID d’application (client) et l’ID d’annuaire (locataire).
  10. Accédez à Certificats & secrets et créez une clé secrète client.
  11. Sélectionnez Clés secrètes client.
  12. Sélectionnez l’option Nouveau secret client .
    1. Rédigez une description.
    2. Sélectionnez une date d’expiration (la valeur par défaut est 180 jours).
    3. Sélectionnez Ajouter pour ajouter la nouvelle clé secrète client.
  13. Enregistrez la valeur du secret en toute sécurité. Vous utilisez cette valeur pour les scripts PowerShell et la configuration du point de terminaison de migration.

Configurer les autorisations d’API

  1. Accédez au centre d’administration Microsoft Entra.
  2. Dans le menu de gauche, accédez à Autorisations d’API.
  3. Supprimez toutes les autorisations de la liste en sélectionnant Supprimer les autorisations.
  4. Sélectionnez Ajouter une autorisation.
  5. Ajouter des autorisations > Exchange Online Rechercher et sélectionner Office 365 Exchange Online.
  6. Sélectionnez Office 365 Exchange Online.
  7. Choisissez Autorisations d’application.
  8. Ajoutez les autorisations déléguées et d’application suivantes :
  • Exchange.ManageAsApp
  • Directory.Read.All
  • MailboxMigration.ReadWrite
  1. Vérifiez que toutes les autorisations d’application sont ajoutées.

Dans le locataire cible, accordez le consentement administrateur pour toutes les autorisations :

  1. Après avoir ajouté toutes les autorisations, sélectionnez Accorder le consentement administrateur pour TenantName.
  2. Confirmez l’octroi du consentement.
  3. Dans le locataire source, utilisez l’URL de consentement administrateur pour accorder l’accès : https://login.microsoftonline.com/common/adminconsent?client_id={migration-application-id}.

Cette étape permet à l’application de migration de fonctionner sur les deux locataires.

Création d’un point de terminaison de migration (locataire cible)

Le point de terminaison de migration permet la migration de boîtes aux lettres entre les locataires. Il utilise l’identité de l’application de migration (ID client et secret) pour connecter de manière sécurisée le locataire cible au locataire source.

Conditions préalables :

  • ID client et clé secrète client de l’application de migration (générés dans Microsoft Entra dans le locataire cible).
  • ID de locataire source (le locataire à partir duquel vous migrez des boîtes aux lettres).
  • Autorisations appropriées dans Exchange Online (locataire cible).

Se connecter à ExchangeOnline PowerShell

  1. Connect-ExchangeOnline -UserPrincipalName <your-admin-account>
  2. Créez l’objet PSCredential :
$appId = "<migration-application-id>"
$appSecret = "<migration-application-secret>"
$credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $appId, (ConvertTo-SecureString -String $appSecret -AsPlainText -Force)
  1. Créez le point de terminaison de la migration. Exécutez la commande suivante pour créer le point de terminaison de migration :
New-MigrationEndpoint -RemoteServer outlook.office.com ` 

  -RemoteTenant <source-tenant-id> `
  -Credentials $credential `
  -ExchangeRemoteMove:$true `
  -Name MTO-MigrationEndpoint-<source-tenant-id>
  • RemoteServer : utilisez toujours outlook.office.com pour les migrations Exchange Online.
  • RemoteTenant : ID de locataire du locataire source.
  • Informations d’identification : objet PSCredential créé précédemment.
  • ApplicationId : ID client de l’application de migration.
  1. Validez le point de terminaison de migration :

Get-MigrationEndpoint | Format-List Name, Status, RemoteServer, RemoteTenant

Vérifiez que le point de terminaison status est Actif et que la configuration correspond à votre scénario de migration.

Meilleures pratiques

  • Aucun groupe imbriqué : évitez d’ajouter des groupes imbriqués ; seuls les membres directs sont inclus dans l’étendue de la migration.
  • Appartenance unique : vérifiez qu’aucun utilisateur ne se trouve dans plusieurs groupes d’étendue de migration pour éviter les conflits.
  • Gestion par lots : pour les migrations volumineuses, créez des groupes d’étendue distincts pour chaque phase de lot ou de projet.
  • Documentation : conservez un enregistrement de l’appartenance au groupe et des modifications apportées pour l’audit et la résolution des problèmes.

Conversion d’utilisateur en membre interne

Après avoir préparé la migration, vous devez convertir les invités B2B (utilisateurs externes) du locataire cible en utilisateurs membres internes. Cette étape est nécessaire pour permettre aux invités migrés de disposer des autorisations et de l’accès appropriés en tant que membres internes dans le locataire de destination.

Avertissement

Cette conversion interrompt l’expérience de collaboration MTO. Si vous avez besoin de conserver l’expérience de collaboration MTO, vous devez provisionner de nouveaux objets utilisateur pour la migration.

Importante

Cette conversion doit être effectuée lorsque vous êtes prêt à démarrer la migration.

  1. Visitez le https://entra.microsoft.com/ site web et connectez-vous avec un compte administrateur dans le locataire cible.
  2. Recherchez chaque invité B2B soumis à la migration.
  3. Pour chaque utilisateur, sélectionnez l’option à convertir en membre interne (cette option est disponible dans le profil de l’utilisateur s’il s’agit d’un invité B2B).
  4. Répétez cette opération pour tous les utilisateurs que vous prévoyez de migrer.
  • Vous pouvez automatiser la conversion à l’aide de Microsoft API Graph (préversion).
  • Reportez-vous à la documentation officielle pour plus d’informations et d’exemples : Convertir un utilisateur externe en utilisateur interne.
  • Cette méthode est idéale pour les migrations volumineuses ou l’automatisation via des scripts.

Validation de la préparation de la migration

Avant de commencer la migration de boîtes aux lettres, il est essentiel de vérifier que votre point de terminaison de migration, votre connectivité de serveur et vos identités d’utilisateur sont correctement configurés pour la migration.

  1. Connectez-vous à Exchange Online PowerShell dans le locataire cible :Connect-ExchangeOnline -UserPrincipalName [your-admin-account]
  2. Exécutez le case activée de préparation :Test-MigrationServerAvailability -Endpoint MigrationEndpointName]
  • Remplacez MigrationEndpointName par le nom de votre point de terminaison de migration (par exemple, MTO-MigrationEndpoint-<source-tenant-id>).
  1. Vérifiez la sortie pour Réussite ou Échec et préparation de l’identité.

Effectuer la migration

Suivez les instructions détaillées pour la migration entre locataires.

Les migrations de boîtes aux lettres Exchange interlocataires sont lancées à partir du locataire cible en tant que lots de migration. Ce processus est similaire à la façon dont les lots de migration d’intégration fonctionnent lors de la migration d’Exchange local vers Microsoft 365.

  • Last updated on