Autoriser Bellova CORP à migrer votre tenant Microsoft 365
Pour la migration, deux autorisations distinctes sont nécessaires : une pour
lire votre tenant source, une autre pour écrire sur le tenant destination.
Chaque autorisation est gérée par une App Registration séparée — l'app source ne peut
jamais écrire sur votre tenant.
Teams — Team.ReadBasic.All, Channel.ReadBasic.All, ChannelMember.Read.All
Aucune permission d'écriture (.ReadWrite) ni de suppression. La direction informatique peut auditer la liste exhaustive dans Entra ID → Applications d'entreprise → autorisations.
Boîtes mail — Mail.ReadWrite, MailboxSettings.ReadWrite
Agendas — Calendars.ReadWrite
Contacts — Contacts.ReadWrite
OneDrive — Files.ReadWrite.All
SharePoint — Sites.ReadWrite.All
Teams — Team.Create, ChannelMember.ReadWrite.All
Permissions étendues sur le tenant cible — c'est votre nouveau tenant, qui sera peuplé pendant la migration.
Aucun mot de passe transmis
L'authentification se fait directement chez Microsoft, votre mot de passe ne quitte jamais Azure AD.
Permissions auditables
Visibles à tout moment dans Entra ID → Applications d'entreprise. Logs Microsoft Graph dans Sign-ins.
Révocable instantanément
Suppression de l'app dans Applications d'entreprise = accès coupé immédiatement.
Comment ça marche ?
Vous cliquez sur l'un des boutons ci-dessus (source ou destination).
Microsoft vous demande de vous authentifier en GA du tenant concerné et d'accepter les permissions.
Vous êtes redirigé sur cette page avec votre Tenant ID à communiquer à Bellova CORP.
Vous répétez l'opération pour l'autre tenant.
Bellova CORP démarre la migration depuis son outil interne, sans intervention de votre part.
🛡️ Restreindre l'app à un domaine spécifique (optionnel)
Si la direction informatique veut limiter l'accès de l'app Lecture à certaines mailboxes uniquement
(par ex. seulement @votre-domaine.com, pas les autres domaines du tenant), un GA peut créer une
Application Access Policy côté Exchange Online. L'app reste sans aucun pouvoir d'écriture,
et en plus son périmètre de lecture est limité au domaine choisi.
Voir le script PowerShell à exécuter (une seule fois)
Pré-requis : Exchange Online Management module + compte Global Admin du tenant.
# 1. Connexion Exchange Online (PowerShell 7 recommandé)
Install-Module ExchangeOnlineManagement -Force -Scope CurrentUser
Connect-ExchangeOnline
# 2. Crée un groupe dynamique avec uniquement les utilisateurs du domaine voulu
# (remplace votre-domaine.com par votre domaine)
New-DynamicDistributionGroup `
-Name "BellovaMigrationScope" `
-RecipientFilter "PrimarySmtpAddress -like '*@votre-domaine.com'"
# 3. Restreint l'app Bellova "Lecture" à ce groupe uniquement
# L'AppId à utiliser est celui affiché en haut à gauche de l'écran de consentement Microsoft
New-ApplicationAccessPolicy `
-AppId "<APP_ID_LECTURE>" `
-PolicyScopeGroupId "BellovaMigrationScope" `
-AccessRight RestrictAccess `
-Description "Limite l'acces Bellova aux mailboxes @votre-domaine.com"
# 4. Vérification (la commande doit retourner AccessGranted/RestrictedAccess)
Test-ApplicationAccessPolicy -Identity "user@votre-domaine.com" -AppId "<APP_ID_LECTURE>"
Test-ApplicationAccessPolicy -Identity "user@autre.com" -AppId "<APP_ID_LECTURE>"
Couvre : mail, calendrier, contacts (toutes les ressources Exchange Online). Ne couvre pas : OneDrive et SharePoint — pour ces deux-là, utilisez plutôt
Sites.Selected côté App Registration et donnez l'accès uniquement aux sites concernés.
