Comment désactiver la synchronisation Active Directory dans Microsoft Entra ID

Apprenez à désactiver correctement la synchronisation Active Directory sur site avec Microsoft Entra ID en utilisant Microsoft Graph PowerShell, y compris les scénarios standard et hors ligne.

Emanuel DE ALMEIDA

17 mars 2026 15 min 4

mediumentra-id 8 étapes 15 min

Pourquoi désactiver la synchronisation Active Directory dans Microsoft Entra ID ?

Les organisations doivent souvent désactiver la synchronisation Active Directory lors de la migration vers une stratégie d'identité axée sur le cloud, de la mise hors service de l'infrastructure sur site ou de la résolution de conflits de synchronisation. Ce processus transforme votre environnement d'identité hybride en une configuration entièrement gérée par le cloud, où Microsoft Entra ID devient la source unique de vérité pour la gestion des utilisateurs et des groupes.

Que se passe-t-il lorsque vous désactivez la synchronisation de l'annuaire ?

Lorsque vous désactivez la synchronisation, plusieurs changements importants se produisent immédiatement. Tous les utilisateurs et groupes précédemment synchronisés deviennent des objets gérés par le cloud, ce qui signifie que vous pouvez modifier leurs propriétés directement dans Microsoft Entra ID. Cependant, leurs attributs et relations d'origine sur site sont préservés, de sorte que les utilisateurs conservent leurs licences, appartenances à des groupes et accès aux applications. Le processus est conçu pour ne pas perturber les utilisateurs finaux, bien que les administrateurs doivent adapter leurs flux de travail de gestion.

Quelle méthode choisir pour votre environnement ?

L'approche dépend de l'état actuel de votre infrastructure. Si votre environnement sur site est toujours en ligne et accessible, suivez le processus standard qui inclut l'arrêt correct du planificateur de synchronisation avant de désactiver la synchronisation au niveau du locataire. Cependant, si votre infrastructure sur site a déjà été mise hors service ou est hors ligne, vous pouvez procéder directement à l'opération de désactivation côté cloud en utilisant Microsoft Graph PowerShell. Les deux méthodes aboutissent au même résultat, mais l'approche standard offre une journalisation et un rapport de statut plus propres.

Guide de mise en oeuvre

Procédure complète

Installer le SDK Microsoft Graph PowerShell

Tout d'abord, installez le SDK Microsoft Graph PowerShell, qui a remplacé les modules Azure AD hérités. C'est votre principal outil pour gérer les paramètres de synchronisation Microsoft Entra ID.

Install-Module Microsoft.Graph -Scope CurrentUser -Force

Si vous rencontrez des problèmes de politique d'exécution, autorisez temporairement l'exécution de scripts :

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

Vérification : Vérifiez la version installée pour confirmer l'installation réussie :

Get-Module Microsoft.Graph -ListAvailable | Select-Object Name, Version

Astuce pro : Le SDK Microsoft Graph PowerShell v2.19.0+ est la version stable actuelle à partir de 2026. Il se met à jour automatiquement via Update-MgModule, vous aurez donc toujours les dernières fonctionnalités.

Connectez-vous à Microsoft Graph avec les autorisations requises

Connectez-vous à Microsoft Graph avec les autorisations nécessaires pour modifier les paramètres de l'organisation. Le scope Organization.ReadWrite.All est requis pour désactiver la synchronisation.

Connect-MgGraph -Scopes "Organization.ReadWrite.All"

Cela ouvrira une fenêtre de navigateur pour l'authentification. Connectez-vous avec votre compte Administrateur Global ou Administrateur d'Identité Hybride. Après une authentification réussie, vous verrez un message de confirmation dans PowerShell.

Vérification : Confirmez votre connexion et vos autorisations :

Get-MgContext | Select-Object Account, Scopes

Avertissement : Assurez-vous d'utiliser un compte avec des privilèges suffisants. Des autorisations insuffisantes entraîneront l'échec silencieux de l'opération de désactivation dans certains cas.

Vérifier l'état actuel de synchronisation

Avant de faire des modifications, documentez l'état actuel de la synchronisation. Cela vous aide à comprendre ce qui est actuellement activé et fournit une base pour la vérification.

Get-MgOrganization | Select-Object DisplayName, OnPremisesSyncEnabled, OnPremisesLastSyncDateTime, OnPremisesDomainName

La sortie montre :

OnPremisesSyncEnabled : Devrait être True si la synchronisation est active
OnPremisesLastSyncDateTime : Horodatage de la dernière synchronisation réussie
OnPremisesDomainName : Votre domaine local en cours de synchronisation

Vérifiez également quelles fonctionnalités de synchronisation sont actuellement activées :

Get-MgOrganization | Select-Object OnPremisesPasswordSyncEnabled, OnPremisesPassthroughAuthenticationEnabled

Vérification : Documentez ces valeurs pour comparaison après la désactivation de la synchronisation. Prenez une capture d'écran ou enregistrez la sortie dans un fichier pour vos dossiers.

Désactiver le planificateur de synchronisation sur site (si le serveur est en ligne)

Si votre serveur Microsoft Entra Connect est toujours en ligne et accessible, arrêtez d'abord le planificateur de synchronisation. Cela empêche de nouveaux cycles de synchronisation de démarrer pendant que vous désactivez la fonctionnalité.

Sur le serveur Microsoft Entra Connect, ouvrez PowerShell en tant qu'administrateur et exécutez :

Import-Module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $false

Vérifiez qu'aucune synchronisation n'est en cours d'exécution :

Get-ADSyncScheduler

La sortie devrait montrer SyncCycleEnabled: False et SyncCycleInProgress: False.

Si votre environnement local est hors ligne ou désaffecté : Passez complètement cette étape. Vous pouvez désactiver la synchronisation depuis le côté cloud sans accès local.

Vérification : Attendez 5 minutes, puis vérifiez à nouveau l'état du planificateur pour vous assurer qu'aucun cycle de synchronisation ne démarre.

Astuce pro : Si vous ne pouvez pas accéder au serveur local, ne vous inquiétez pas. Microsoft Entra ID détectera automatiquement que la synchronisation s'est arrêtée après l'opération de désactivation.

Désactiver la synchronisation de répertoire dans Microsoft Entra ID

Désactivez maintenant la synchronisation au niveau du locataire en utilisant Microsoft Graph. C'est l'étape critique qui indique à Microsoft Entra ID d'arrêter d'attendre la synchronisation depuis les locaux.

Update-MgOrganization -OnPremisesSyncEnabled $false

Alternativement, vous pouvez utiliser la méthode plus explicite :

$org = Get-MgOrganization
$org.OnPremisesSyncEnabled = $false
Update-MgOrganization -OrganizationId $org.Id -OnPremisesSyncEnabled $false

La commande devrait se terminer sans erreurs. Si elle réussit, vous ne verrez aucune sortie, ce qui est normal pour les commandes Graph PowerShell.

Vérification : Vérifiez immédiatement le statut (cela peut prendre quelques minutes pour se refléter) :

Get-MgOrganization | Select-Object DisplayName, OnPremisesSyncEnabled, OnPremisesLastSyncDateTime

Vous devriez voir OnPremisesSyncEnabled: False.

Avertissement : Une fois désactivée, vous ne pouvez pas réactiver la synchronisation pendant 72 heures. Planifiez ce changement pendant une fenêtre de maintenance et assurez-vous que toutes les parties prenantes sont informées.

Vérifier le statut de désactivation de la synchronisation

Le processus de désactivation peut prendre jusqu'à 72 heures pour se propager complètement à travers les systèmes de Microsoft. Surveillez régulièrement le statut pendant cette période.

Vérifiez le statut actuel :

Get-MgOrganization | Select-Object OnPremisesSyncEnabled, OnPremisesLastSyncDateTime

Vérifiez également dans le centre d'administration Microsoft Entra :

Accédez à https://entra.microsoft.com
Allez à Identité > Gestion hybride > Microsoft Entra Connect
Vérifiez que le statut de synchronisation est indiqué comme désactivé

Surveillez pendant les 72 prochaines heures. Le portail peut initialement afficher des informations contradictoires, mais PowerShell fournit le statut autoritaire.

Vérification : Exécutez cette commande quotidiennement pendant 3 jours pour confirmer que le statut reste désactivé :

Get-Date; Get-MgOrganization | Select-Object OnPremisesSyncEnabled

Astuce pro : Créez une tâche planifiée ou un rappel pour vérifier le statut après 72 heures. Certaines fonctionnalités comme la synchronisation de hachage de mot de passe peuvent apparaître "activées" dans le portail même lorsqu'elles ne fonctionnent pas.

Désinstaller Microsoft Entra Connect (si applicable)

Si vous avez accès au serveur Microsoft Entra Connect et que vous n'en avez plus besoin, désinstallez le logiciel pour terminer le processus de nettoyage.

Sur le serveur Microsoft Entra Connect :

Ouvrez Programmes et fonctionnalités depuis le Panneau de configuration
Trouvez Microsoft Entra Connect ou Azure AD Connect
Cliquez avec le bouton droit et sélectionnez Désinstaller
Suivez l'assistant de désinstallation

Alternativement, utilisez PowerShell (si disponible) :

Uninstall-MicrosoftEntraConnect

Après la désinstallation, redémarrez le serveur pour vous assurer que tous les services sont correctement arrêtés.

Si vous utilisez Microsoft Entra Cloud Sync : Désinstallez l'agent de provisionnement de chaque serveur où il est installé.

Vérification : Confirmez que le logiciel est supprimé :

Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Entra*" -or $_.Name -like "*Azure AD*"}

Cela ne devrait renvoyer aucun résultat si la désinstallation a réussi.

Avertissement : Microsoft recommande de désinstaller Entra Connect avant de désactiver la synchronisation du locataire pour éviter les incohérences de statut dans le portail. Si vous avez désactivé la synchronisation en premier, certaines fonctionnalités peuvent encore apparaître "activées" dans le portail bien qu'elles ne soient pas fonctionnelles.

Mettre à jour les processus de gestion des utilisateurs et des groupes

Avec la synchronisation désactivée, toute la gestion des utilisateurs et des groupes doit désormais être effectuée directement dans Microsoft Entra ID. Mettez à jour vos processus administratifs en conséquence.

Vérifiez les utilisateurs qui étaient précédemment synchronisés et qui sont maintenant gérés dans le cloud :

Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -Filter "userType eq 'Member'" -Property DisplayName,UserPrincipalName,OnPremisesImmutableId | Where-Object {$_.OnPremisesImmutableId -ne $null} | Select-Object DisplayName,UserPrincipalName

Examinez et mettez à jour les groupes dynamiques qui pouvaient dépendre des attributs locaux :

Get-MgGroup -Filter "groupTypes/any(c:c eq 'DynamicMembership')" -Property DisplayName,MembershipRule

Mettez à jour toutes les règles de groupe dynamique qui font référence à des attributs locaux (comme extensionAttribute1) pour utiliser des attributs basés sur le cloud à la place.

Changements clés à mettre en œuvre :

Créer de nouveaux utilisateurs directement dans Microsoft Entra ID
Gérer les adhésions aux groupes via le cloud
Mettre à jour tous les scripts d'automatisation pour utiliser Microsoft Graph au lieu de l'AD local
Reconfigurer toutes les applications qui dépendaient des adhésions aux groupes locaux

Vérification : Testez la création d'un nouvel utilisateur dans Microsoft Entra ID pour vous assurer que vos nouveaux processus fonctionnent :

$newUser = @{
    DisplayName = "Test User"
    UserPrincipalName = "testuser@yourdomain.com"
    MailNickname = "testuser"
    PasswordProfile = @{
        Password = "TempPassword123!"
        ForceChangePasswordNextSignIn = $true
    }
    AccountEnabled = $true
}
New-MgUser @newUser

Questions Fréquentes

Combien de temps faut-il pour désactiver complètement la synchronisation Active Directory dans Microsoft Entra ID ?+

L'opération de désactivation se termine immédiatement lorsque vous exécutez la commande PowerShell, mais la propagation complète à travers les systèmes de Microsoft peut prendre jusqu'à 72 heures. Pendant ce temps, vous pouvez voir des informations de statut incohérentes dans le portail Azure, mais les commandes PowerShell fournissent le statut officiel. Surveillez quotidiennement la propriété OnPremisesSyncEnabled pendant trois jours pour confirmer que le changement a été entièrement propagé.

Puis-je réactiver la synchronisation Active Directory immédiatement après l'avoir désactivée ?+

Non, Microsoft impose un délai d'attente de 72 heures avant de pouvoir réactiver la synchronisation de répertoire. Il s'agit d'une mesure de sécurité pour éviter les basculements accidentels et garantir la stabilité du système. Planifiez soigneusement votre opération de désactivation et assurez-vous que toutes les parties prenantes comprennent cette limitation. Si vous devez réactiver la synchronisation, vous devrez attendre les 72 heures complètes puis reconfigurer Microsoft Entra Connect.

Que se passe-t-il avec les mots de passe des utilisateurs lorsque je désactive la synchronisation Active Directory ?+

Les mots de passe des utilisateurs restent fonctionnels, mais la méthode d'authentification dépend de votre configuration précédente. Si vous utilisiez la synchronisation de hachage de mot de passe, les utilisateurs peuvent continuer à se connecter avec leurs mots de passe existants puisque les hachages sont stockés dans Microsoft Entra ID. Cependant, les changements de mot de passe doivent maintenant être effectués directement dans le cloud. Si vous utilisiez l'authentification par passage ou la fédération, vous devrez réinitialiser les mots de passe pour tous les utilisateurs et configurer l'authentification basée sur le cloud.

La désactivation de la synchronisation affectera-t-elle l'accès de mes utilisateurs aux applications et services ?+

Non, désactiver la synchronisation ne devrait pas perturber l'accès des utilisateurs aux applications et services. Toutes les licences existantes, les appartenances aux groupes et les affectations d'applications sont préservées lorsque les utilisateurs passent d'un statut synchronisé à un statut géré par le cloud. Cependant, tous les groupes dynamiques qui dépendent des attributs sur site devront être reconfigurés pour utiliser des attributs basés sur le cloud. Testez les applications critiques après l'opération de désactivation pour garantir la continuité de leur fonctionnalité.

Que dois-je faire si mon serveur Active Directory sur site est déjà hors ligne ou mis hors service ?+

Vous pouvez toujours désactiver la synchronisation même si votre environnement sur site est hors ligne. Il suffit de passer les étapes sur site et de procéder directement avec les commandes Microsoft Graph PowerShell pour désactiver la synchronisation au niveau du locataire. Microsoft Entra ID détectera que l'environnement sur site n'est plus disponible et complétera le processus de désactivation. C'est un scénario courant lorsque les organisations ont déjà mis hors service leur infrastructure sur site mais ont oublié de désactiver la configuration de synchronisation.

Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Intelligence Complémentaire

Approfondissez vos connaissances

tutorial

Cloud Computing