Configurer Microsoft 365 pour une TPE/PME en 10 étapes : guide administrateur

AyiNEDJIMI · Mars 19, 2026, 7:23

Configurer Microsoft 365 pour une TPE/PME en 10 étapes : guide administrateur

Microsoft 365 offre une suite complète d’outils de productivité, collaboration et sécurité parfaitement adaptée aux TPE et PME. Ce guide vous accompagne étape par étape dans la configuration initiale de votre tenant Microsoft 365, de l’achat de licences jusqu’au déploiement des politiques de sécurité, pour un environnement professionnel sécurisé et productif.

Prérequis

Un nom de domaine propre à votre entreprise (ex : contoso.fr)
Accès à votre registrar DNS (OVH, Gandi, Ionos…)
Un compte d’abonnement Microsoft 365 (essai gratuit ou abonnement payant)
Droits Administrateur global sur le tenant

Recommandation pour les PME : L’abonnement Microsoft 365 Business Premium (22€/utilisateur/mois) inclut toutes les applications Office, Exchange Online, Teams, SharePoint, Intune et Defender for Business — le meilleur rapport qualité/prix pour les entreprises de moins de 300 utilisateurs.

Étape 1 — Créer et accéder au Centre d’administration Microsoft 365

Rendez-vous sur admin.microsoft.com
Connectez-vous avec votre compte d’administrateur global
Familiarisez-vous avec l’interface :
- Tableau de bord : vue d’ensemble de votre tenant
- Utilisateurs : gestion des comptes
- Facturation : abonnements et licences
- Paramètres : configuration du domaine et des services
- Rapports : statistiques d’utilisation

Sécuriser le compte administrateur global en priorité :

Attention : Le compte Administrateur global est la cible prioritaire des attaques. Ne l’utilisez jamais pour les tâches quotidiennes et activez l’authentification multifacteur (MFA) immédiatement.

Étape 2 — Activer l’authentification multifacteur (MFA)

La MFA est la mesure de sécurité la plus efficace contre 99% des attaques de compte :

Dans le Centre d’administration, allez dans Azure Active Directory (ou Microsoft Entra ID)
Cliquez sur “Propriétés” → “Gérer les paramètres de sécurité par défaut”
Activez les “Paramètres de sécurité par défaut” → Enregistrer

Ou via les stratégies d’accès conditionnel (recommandé pour PME) :

# Installation du module Microsoft Graph
Install-Module Microsoft.Graph -Scope CurrentUser
Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess","Application.Read.All"

# Créer une politique MFA pour tous les utilisateurs
$Params = @{
    DisplayName = "MFA-Obligatoire-Tous-Utilisateurs"
    State = "enabled"
    Conditions = @{
        Users = @{
            IncludeUsers = @("All")
            ExcludeUsers = @("break-glass-account-id")  # Compte d'urgence exclu
        }
        Applications = @{
            IncludeApplications = @("All")
        }
    }
    GrantControls = @{
        Operator = "OR"
        BuiltInControls = @("mfa")
    }
}

New-MgIdentityConditionalAccessPolicy -BodyParameter $Params

Étape 3 — Ajouter et vérifier votre domaine personnalisé

Remplacez l’adresse @contoso.onmicrosoft.com par votre domaine professionnel :

Dans le Centre d’administration : Paramètres → Domaines → Ajouter un domaine
Saisissez votre domaine : contoso.fr
Cliquez sur “Utiliser ce domaine”
Microsoft vous présente des enregistrements DNS à ajouter chez votre registrar

Ajouter les enregistrements DNS chez OVH (exemple) :

Connectez-vous à votre espace OVH → Zone DNS → Ajouter les enregistrements suivants :

Type	Nom	Valeur	TTL
TXT	@	`MS=msXXXXXXXX` (fourni par Microsoft)	3600
MX	@	`contoso-fr.mail.protection.outlook.com`	3600
CNAME	autodiscover	`autodiscover.outlook.com`	3600
CNAME	lyncdiscover	`webdir.online.lync.com`	3600
TXT	@	`v=spf1 include:spf.protection.outlook.com -all`	3600

Retournez dans le Centre d’admin et cliquez sur “Vérifier”
La vérification peut prendre jusqu’à 72h mais est généralement instantanée

Étape 4 — Créer les comptes utilisateurs

Création individuelle :

Utilisateurs → Utilisateurs actifs → Ajouter un utilisateur
Renseignez : Prénom, Nom, Nom d’affichage, Nom d’utilisateur
Choisissez si l’utilisateur doit créer son propre mot de passe ou en attribuer un
Attribuer les licences : sélectionnez le plan acheté
Rôles : Utilisateur (standard), ou Administrateur si nécessaire
Cliquez sur “Terminer l’ajout”

Création en masse via CSV :

# Se connecter à Microsoft 365
Connect-MgGraph -Scopes "User.ReadWrite.All","Directory.ReadWrite.All"

# Importer depuis un CSV
# Format CSV : DisplayName,UserPrincipalName,Password,Department,JobTitle
$Users = Import-Csv "C:\Users-M365.csv"

foreach ($User in $Users) {
    $PasswordProfile = @{
        ForceChangePasswordNextSignIn = $true
        Password = $User.Password
    }

    New-MgUser `
        -DisplayName $User.DisplayName `
        -UserPrincipalName $User.UserPrincipalName `
        -PasswordProfile $PasswordProfile `
        -Department $User.Department `
        -JobTitle $User.JobTitle `
        -AccountEnabled $true `
        -MailNickname ($User.UserPrincipalName.Split("@")[0])

    Write-Host "Utilisateur créé : $($User.DisplayName)" -ForegroundColor Green
}

Étape 5 — Configurer Exchange Online (messagerie)

5.1 Paramètres de base

Accédez au Centre d’administration Exchange : admin.exchange.microsoft.com
Flux de messagerie → Connecteurs : configurez si vous avez un système anti-spam tiers
Boîtes aux lettres : vérifiez que toutes les boîtes sont créées

5.2 Configurer DMARC, DKIM et SPF

Ces enregistrements protègent votre domaine contre l’usurpation d’identité :

# Activer DKIM pour votre domaine
Connect-ExchangeOnline
New-DkimSigningConfig -DomainName "contoso.fr" -Enabled $true

# Obtenir les enregistrements CNAME DKIM à ajouter dans votre DNS
Get-DkimSigningConfig -Identity "contoso.fr" |
    Select-Object Selector1CNAME, Selector2CNAME

Ajoutez ensuite l’enregistrement DMARC dans votre zone DNS :

Type : TXT
Nom : _dmarc
Valeur : v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

5.3 Créer des listes de distribution

# Créer une liste de distribution
New-DistributionGroup `
    -Name "Direction" `
    -DisplayName "Équipe Direction" `
    -Alias "direction" `
    -PrimarySmtpAddress "[email protected]" `
    -MemberJoinRestriction "Closed"

# Ajouter des membres
Add-DistributionGroupMember -Identity "[email protected]" -Member "[email protected]"
Add-DistributionGroupMember -Identity "[email protected]" -Member "[email protected]"

Étape 6 — Configurer Microsoft Teams

Accédez au Centre d’administration Teams : admin.teams.microsoft.com
Stratégies de messagerie : créez une stratégie standard pour les employés
Réunions → Stratégies de réunion : configurez les paramètres d’enregistrement, de transcription
Gestion des équipes : créez les équipes de base

Créer les équipes via PowerShell :

# Connexion Teams
Connect-MicrosoftTeams

# Créer une équipe d'entreprise
$Team = New-Team `
    -DisplayName "Contoso - Général" `
    -Description "Canal général de communication de l'entreprise" `
    -Visibility "Private"

# Ajouter des canaux
Add-TeamChannel -GroupId $Team.GroupId -DisplayName "Annonces"
Add-TeamChannel -GroupId $Team.GroupId -DisplayName "Informatique"
Add-TeamChannel -GroupId $Team.GroupId -DisplayName "RH"
Add-TeamChannel -GroupId $Team.GroupId -DisplayName "Commercial"

# Ajouter des membres
Add-TeamUser -GroupId $Team.GroupId -User "[email protected]" -Role Member
Add-TeamUser -GroupId $Team.GroupId -User "[email protected]" -Role Owner

Étape 7 — Configurer SharePoint Online et OneDrive

SharePoint (intranet et partage de fichiers) :

Centre d’administration SharePoint : contoso-admin.sharepoint.com
Sites → Sites actifs → Créer
Choisissez le type : “Site de communication” (intranet) ou “Site d’équipe” (collaboration)
Configurez le partage externe : Paramètres → Partage → définissez la politique appropriée

Recommandation PME : Limitez le partage externe à “Invités existants uniquement” ou “Personnes nouvelles et existantes” avec obligation d’authentification. Interdisez le partage anonyme (liens “Tout le monde”).

OneDrive (stockage personnel) :

# Se connecter à SharePoint Online
Connect-SPOService -Url "https://contoso-admin.sharepoint.com"

# Configurer le quota OneDrive par utilisateur
Set-SPOSite -Identity "https://contoso-my.sharepoint.com/personal/j_dupont_contoso_fr" `
    -StorageQuota 102400  # 100 Go en Mo

# Configurer la politique de rétention OneDrive
Set-SPOTenant -OneDriveStorageQuota 102400 -OrphanedPersonalSitesRetentionPeriod 30

Étape 8 — Déployer Microsoft Defender for Business

Microsoft 365 Business Premium inclut Defender for Business, une solution antivirus/EDR managée :

Dans le Centre d’administration Microsoft 365 : Sécurité → Microsoft 365 Defender
Activez les “Fonctionnalités de sécurité avancées”
Allez dans Paramètres → Points de terminaison → Intégration de l’appareil
Téléchargez le script d’intégration pour Windows 10/11

Intégration via Intune (si inclus dans votre abonnement) :

# Vérifier l'état de Defender for Business
Connect-MgGraph -Scopes "SecurityEvents.Read.All"

# Lister les appareils protégés
Get-MgSecurityAlert | Select-Object Title, Severity, Status, CreatedDateTime |
    Sort-Object CreatedDateTime -Descending |
    Select-Object -First 10

Étape 9 — Configurer la stratégie de sauvegarde M365

Activer la rétention des boîtes aux lettres :

# Activer l'archivage Exchange pour tous les utilisateurs
Get-Mailbox -Filter {ArchiveStatus -eq "None" -and RecipientTypeDetails -eq "UserMailbox"} |
    Enable-Mailbox -Archive

# Configurer une stratégie de rétention
New-RetentionPolicy -Name "Politique-Retention-PME" -RetentionPolicyTagLinks `
    @("Default 2 year move to archive", "Deleted Items 30 days delete")

# Appliquer la politique à tous les utilisateurs
Get-Mailbox -RecipientTypeDetails UserMailbox |
    Set-Mailbox -RetentionPolicy "Politique-Retention-PME"

Configurer la conservation pour raison juridique :

# Activer la conservation pour un utilisateur spécifique
Set-Mailbox -Identity "[email protected]" `
    -LitigationHoldEnabled $true `
    -LitigationHoldDuration 2555 `  # 7 ans
    -LitigationHoldOwner "[email protected]"

Étape 10 — Tableau de bord et suivi de l’adoption

Rapports d’utilisation :

Centre d’administration M365 : Rapports → Utilisation
Consultez les rapports par service :
- Activité Teams : appels, réunions, messages
- Utilisation Exchange : emails envoyés/reçus
- Activité OneDrive : fichiers partagés, synchronisés

Score de sécurité Microsoft :

Portail Microsoft 365 Defender : Niveau de sécurité
Suivez votre score et les actions recommandées
Visez un score supérieur à 70% pour une PME correctement sécurisée

# Générer un rapport d'adoption mensuel
Connect-MgGraph -Scopes "Reports.Read.All"

# Rapport d'activité Teams (30 derniers jours)
$Report = Invoke-MgGraphRequest -Uri "https://graph.microsoft.com/v1.0/reports/getTeamsUserActivityUserDetail(period='D30')" `
    -OutputFilePath "C:\Rapports\Teams-Activite-$(Get-Date -Format 'yyyy-MM').csv"

Write-Host "Rapport généré : $Report" -ForegroundColor Green

Checklist de validation finale

Avant de considérer votre tenant M365 comme opérationnel, vérifiez les points suivants :

MFA activée pour tous les utilisateurs (surtout les administrateurs)
Domaine personnalisé vérifié et DNS configuré (MX, SPF, DKIM, DMARC)
Tous les utilisateurs créés et licenciés
Teams et SharePoint configurés avec les équipes et sites appropriés
Defender for Business actif sur tous les appareils
Politique de rétention Exchange configurée
Partage externe SharePoint/OneDrive restreint selon la politique d’entreprise
Score de sécurité Microsoft supérieur à 60%
Compte administrateur d’urgence (break-glass) créé et sécurisé

Conclusion

Votre tenant Microsoft 365 est maintenant configuré selon les meilleures pratiques pour une TPE/PME. La sécurité (MFA, Defender) et la collaboration (Teams, SharePoint) sont en place pour permettre à vos équipes de travailler efficacement et en sécurité. Planifiez une révision trimestrielle de votre Score de sécurité Microsoft et restez informé des nouvelles fonctionnalités M365 via le Centre de messages dans le portail d’administration.