Administration Microsoft 365 12 min de lecture

Microsoft 365 en panne ? Administrer votre tenant avec PowerShell et Graph API

Le portail admin Microsoft 365 est en panne ? Pas de panique. Ce guide vous donne toutes les commandes PowerShell et Graph API pour gérer utilisateurs, licences et services sans l'interface web.

Editorial Team

Pourquoi votre centre d'administration Microsoft 365 peut devenir inaccessible

En février 2026, des milliers d'administrateurs IT à travers le monde se sont retrouvés dans la même galère : le centre d'administration Microsoft 365 était tout simplement inaccessible. L'incident MO1012599 a duré plusieurs heures, et pendant ce temps, impossible de gérer les utilisateurs, les licences ou les politiques de sécurité via le portail web.

Honnêtement, ça fait froid dans le dos. Le portail admin.microsoft.com est un point de défaillance unique pour beaucoup d'organisations, et on n'y pense pas assez.

Que la panne soit mondiale ou localisée à votre tenant, la question reste la même : comment on continue à bosser sans l'interface graphique ? La réponse tient en deux mots — PowerShell et Microsoft Graph API.

Ce guide vous donne les commandes essentielles, testées et prêtes à copier-coller, pour maintenir vos opérations IT critiques même quand le portail fait des siennes.

Prérequis : installer et configurer le SDK Microsoft Graph PowerShell

Le module Microsoft Graph PowerShell SDK remplace les anciens modules AzureAD et MSOnline (qui sont dépréciés depuis un bon moment maintenant). C'est votre outil principal pour administrer Microsoft 365 en ligne de commande.

Installation du module

Ouvrez une console PowerShell en tant qu'administrateur et exécutez :

Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Devices.ServiceAnnouncement -Scope CurrentUser

Si vous êtes dans un environnement restreint (et croyez-moi, c'est plus courant qu'on ne le pense), ajoutez le paramètre -AllowClobber pour éviter les conflits avec d'éventuels anciens modules.

Authentification avec les permissions requises

Connectez-vous avec les scopes nécessaires pour les opérations d'urgence :

Connect-MgGraph -Scopes "User.ReadWrite.All", "Directory.ReadWrite.All", "Organization.Read.All", "ServiceHealth.Read.All"

Une fenêtre d'authentification va s'ouvrir dans votre navigateur. Connectez-vous avec un compte qui dispose du rôle Administrateur global ou Administrateur des utilisateurs.

Astuce : si le MFA est activé, pas de panique — cette méthode interactive fonctionne parfaitement avec. Pour des scripts automatisés, pensez plutôt à une authentification par certificat ou par identité managée Azure.

Vérifier l'état de santé des services Microsoft 365

Bon, première chose à faire quand vous suspectez une panne : vérifier l'état des services. Et on va le faire directement depuis PowerShell, sans dépendre du tableau de bord web (qui est justement peut-être en panne).

Afficher l'état global de tous les services

Import-Module Microsoft.Graph.Devices.ServiceAnnouncement
Get-MgServiceAnnouncementHealthOverview | Format-Table Service, Status -AutoSize

Cette commande retourne l'état de santé de l'ensemble des services de votre tenant — on parle d'environ 32 services — avec un statut clair pour chacun : ServiceOperational, ServiceDegradation, ServiceInterruption, etc.

Filtrer les services critiques

Vous n'avez probablement pas besoin de voir les 32 services d'un coup. Voici comment cibler ceux qui comptent vraiment :

[array]$ServicesCritiques = "Exchange", "microsoftteams", "SharePoint", "OrgLiveID", "Planner"
[array]$EtatServices = Get-MgServiceAnnouncementHealthOverview |
    Where-Object { $_.Id -in $ServicesCritiques }
$EtatServices | Sort-Object Service | Format-Table Service, Status -AutoSize

Voir les incidents en cours avec détails

Pour avoir une vue complète de ce qui se passe (et pouvoir briefer votre direction) :

Get-MgServiceAnnouncementHealthOverview -ExpandProperty "issues" |
    Where-Object { $_.Status -ne "ServiceOperational" } |
    ForEach-Object {
        Write-Host "--- Service : $($_.Service) - Statut : $($_.Status) ---" -ForegroundColor Yellow
        $_.Issues | ForEach-Object {
            Write-Host "  Incident : $($_.Title)"
            Write-Host "  Impact : $($_.ImpactDescription)"
            Write-Host ""
        }
    }

Gérer les utilisateurs sans le portail web

La gestion des comptes utilisateurs, c'est souvent ce qui est le plus urgent lors d'une panne. Un nouveau collaborateur qui commence le lundi matin, un compte compromis à désactiver en urgence, un mot de passe à réinitialiser... Ça n'attend pas.

Créer un nouvel utilisateur

$ProfilMotDePasse = @{
    Password = "MotDePasseTemporaire!2026"
    ForceChangePasswordNextSignIn = $true
}

New-MgUser `
    -DisplayName "Marie Dupont" `
    -UserPrincipalName "[email protected]" `
    -MailNickName "marie.dupont" `
    -PasswordProfile $ProfilMotDePasse `
    -AccountEnabled `
    -UsageLocation "FR"

Petit détail qui a son importance : le paramètre -UsageLocation est indispensable. Sans lui, impossible d'attribuer des licences par la suite. J'ai vu des admins se casser la tête là-dessus plus d'une fois.

Générer automatiquement un mot de passe sécurisé

Plutôt que d'inventer un mot de passe (on sait tous comment ça finit), laissez .NET faire le travail :

Add-Type -AssemblyName "System.Web"
$MotDePasse = [System.Web.Security.Membership]::GeneratePassword(14, 4)

$ProfilMotDePasse = @{
    Password = $MotDePasse
    ForceChangePasswordNextSignIn = $true
}

Write-Host "Mot de passe généré : $MotDePasse"

Désactiver un compte utilisateur (urgence sécurité)

C'est probablement la commande la plus critique de cet article. Si un compte est compromis, chaque seconde compte :

Update-MgUser -UserId "[email protected]" -AccountEnabled:$false

# Révoquer toutes les sessions actives immédiatement
Revoke-MgUserSignInSession -UserId "[email protected]"

Cette combinaison désactive le compte et force la déconnexion de toutes les sessions actives. Les deux commandes ensemble, c'est indispensable en cas de compromission — l'une sans l'autre ne suffit pas.

Réinitialiser un mot de passe

$NouveauProfil = @{
    Password = "NouveauMotDePasse!Securise2026"
    ForceChangePasswordNextSignIn = $true
}

Update-MgUser -UserId "[email protected]" -PasswordProfile $NouveauProfil

Lister tous les utilisateurs avec leur statut de licence

Pour avoir une vue d'ensemble rapide de qui a quoi :

Get-MgUser -All -Property DisplayName, UserPrincipalName, AccountEnabled, AssignedLicenses |
    Select-Object DisplayName, UserPrincipalName, AccountEnabled,
        @{N="NbLicences"; E={$_.AssignedLicenses.Count}} |
    Format-Table -AutoSize

Gérer les licences Microsoft 365 en PowerShell

L'attribution des licences, c'est le genre de tâche qui paraît simple avec quelques clics dans le portail. Mais en PowerShell ? C'est tout aussi efficace, il faut juste connaître les bonnes commandes.

Consulter les licences disponibles dans votre tenant

Get-MgSubscribedSku | Select-Object SkuPartNumber, ConsumedUnits,
    @{N="TotalUnits"; E={$_.PrepaidUnits.Enabled}} |
    Format-Table -AutoSize

Vous verrez des noms comme ENTERPRISEPACK (Office 365 E3), SPE_E5 (Microsoft 365 E5), etc. Les noms ne sont pas toujours très parlants, je vous l'accorde.

Attribuer une licence à un utilisateur

# Récupérer le SkuId de la licence souhaitée
$Sku = Get-MgSubscribedSku | Where-Object { $_.SkuPartNumber -eq "ENTERPRISEPACK" }

$Params = @{
    AddLicenses = @(
        @{ SkuId = $Sku.SkuId }
    )
    RemoveLicenses = @()
}

Set-MgUserLicense -UserId "[email protected]" -BodyParameter $Params

Retirer une licence

$Sku = Get-MgSubscribedSku | Where-Object { $_.SkuPartNumber -eq "ENTERPRISEPACK" }

$Params = @{
    AddLicenses = @()
    RemoveLicenses = @($Sku.SkuId)
}

Set-MgUserLicense -UserId "[email protected]" -BodyParameter $Params

Vérifier les licences d'un utilisateur spécifique

Get-MgUserLicenseDetail -UserId "[email protected]" |
    Select-Object SkuPartNumber, SkuId |
    Format-Table -AutoSize

Alternatives complémentaires pendant une panne

PowerShell, c'est la solution la plus fiable, mais ce n'est pas la seule option. Voici d'autres pistes pour maintenir vos opérations quand le portail principal fait défaut.

Portails d'administration spécialisés

Bonne nouvelle : même quand le centre d'administration principal est en panne, les portails dédiés restent souvent accessibles. Ça vaut le coup de les tester :

  • Centre d'administration Exchange (admin.exchange.microsoft.com) — boîtes aux lettres, règles de transport, groupes de distribution
  • Centre d'administration Teams (admin.teams.microsoft.com) — politiques Teams, appareils, numéros de téléphone
  • Centre d'administration SharePoint (admin.microsoft.com/sharepoint) — sites, permissions, stockage
  • Portail Microsoft Entra (entra.microsoft.com) — identités, accès conditionnel, MFA

Application mobile Microsoft 365 Admin

L'appli mobile Microsoft 365 Admin (iOS et Android) offre un accès basique aux fonctions d'administration et surtout des notifications push en cas d'incident. Mon conseil : installez-la et configurez-la maintenant, pas le jour où tout plante.

Page d'état des services Microsoft

En dernier recours, si vraiment aucun portail ne répond, consultez la page publique status.cloud.microsoft pour vérifier les incidents en cours. C'est basique, mais au moins vous saurez si le problème vient de chez Microsoft ou de votre côté.

Préparer votre organisation avant la prochaine panne

Allez, parlons un peu de prévention. Parce que la meilleure façon de gérer une panne, c'est de s'y être préparé avant.

Créer un compte d'accès d'urgence (Break Glass Account)

Microsoft recommande de disposer d'au moins deux comptes d'accès d'urgence. Ces comptes ne doivent pas être liés à une personne spécifique, doivent utiliser une authentification forte différente des comptes classiques, et être exclus des politiques d'accès conditionnel.

# Créer un compte d'urgence avec mot de passe fort
$BreakGlassPassword = @{
    Password = "VotreMotDePasseTresComplexe!#2026$"
    ForceChangePasswordNextSignIn = $false
}

New-MgUser `
    -DisplayName "Compte Urgence Admin 01" `
    -UserPrincipalName "[email protected]" `
    -MailNickName "urgence.admin01" `
    -PasswordProfile $BreakGlassPassword `
    -AccountEnabled `
    -UsageLocation "FR"

Important : stockez les identifiants de ces comptes dans un coffre-fort (physique ou numérique), accessible hors ligne. Si vos mots de passe d'urgence sont dans un gestionnaire cloud qui dépend de... Microsoft 365, vous voyez le problème.

Documenter vos scripts d'urgence

Préparez un runbook PowerShell avec les commandes essentielles de cet article. Et stockez-le localement — pas uniquement dans le cloud ! Un fichier sur un partage réseau local ou une clé USB fait très bien l'affaire. Testez-le régulièrement pour vous assurer que tout fonctionne encore.

Former votre équipe IT

L'incident de février 2026 a mis en lumière un constat assez frappant : beaucoup de PME dépendent exclusivement de l'interface graphique pour administrer leur tenant. Organisez des sessions de formation PowerShell pour votre équipe. Pas besoin d'en faire des experts, mais chacun devrait pouvoir exécuter les opérations critiques en ligne de commande.

Récapitulatif des commandes essentielles

Pour finir, voici un tableau de référence rapide à garder sous la main. Imprimez-le, mettez-le en favori, collez-le sur votre mur — faites-en ce que vous voulez, mais gardez-le accessible :

Opération Commande
Se connecter Connect-MgGraph -Scopes "..."
État des services Get-MgServiceAnnouncementHealthOverview
Créer un utilisateur New-MgUser
Désactiver un compte Update-MgUser -AccountEnabled:$false
Révoquer les sessions Revoke-MgUserSignInSession
Réinitialiser un mot de passe Update-MgUser -PasswordProfile @{...}
Voir les licences disponibles Get-MgSubscribedSku
Attribuer une licence Set-MgUserLicense
Lister les utilisateurs Get-MgUser -All

FAQ

Le PowerShell fonctionne-t-il vraiment quand le centre d'administration est en panne ?

Oui, et c'est justement tout l'intérêt. Lors de la panne de février 2026 (incident MO1012599), des administrateurs ont confirmé que les cmdlets PowerShell et les appels Graph API continuaient de fonctionner normalement alors que le portail web était inaccessible. L'explication est simple : PowerShell communique directement avec les API backend, qui sont distinctes de l'interface web du portail.

Quelle est la différence entre les modules AzureAD, MSOnline et Microsoft Graph PowerShell ?

Pour faire simple : les modules AzureAD et MSOnline sont dépréciés. N'investissez plus de temps dessus. Le SDK Microsoft Graph PowerShell est leur remplacement officiel — il donne accès à toutes les API Microsoft Graph et reste activement maintenu. Si vous utilisez encore les anciens modules, c'est le moment de migrer.

Comment surveiller l'état des services Microsoft 365 de manière automatisée ?

La solution la plus élégante : un runbook Azure Automation qui exécute Get-MgServiceAnnouncementHealthOverview à intervalles réguliers et vous envoie des alertes par e-mail ou webhook Teams dès qu'un service passe en état dégradé. Sinon, plus simple, activez les notifications push dans l'appli mobile Microsoft 365 Admin.

Quels rôles d'administrateur sont nécessaires pour utiliser ces commandes PowerShell ?

Ça dépend de ce que vous voulez faire. Pour la gestion des utilisateurs et licences, le rôle Administrateur des utilisateurs suffit. Pour réinitialiser les mots de passe d'autres admins, il faut le rôle Administrateur d'authentification privilégié. Et pour simplement consulter l'état des services, le rôle Lecteur global fait l'affaire.

Peut-on utiliser ces commandes PowerShell depuis un Mac ou Linux ?

Absolument. Le SDK Microsoft Graph PowerShell fonctionne avec PowerShell 7+ (anciennement PowerShell Core), disponible sur Windows, macOS et Linux. Installez PowerShell 7 depuis le site officiel de Microsoft, puis le module Microsoft.Graph comme indiqué plus haut dans ce guide. Aucune excuse pour ne pas être prêt, quel que soit votre OS.

À propos de l'auteur Editorial Team

Our team of expert writers and editors.