Votre premier backup Entra ID sécurisé en moins de 10 minutes.
De l'inscription à un snapshot chiffré et restaurable de votre tenant Entra — ce guide détaille chaque étape, avec captures d'écran et bonnes pratiques.
Renseignez votre email professionnel, votre société et un mot de passe. Cliquez sur Démarrer l'essai gratuit.
Confirmez via l'email de vérification.
Sur l'écran de sélection de l'essai, choisissez Microsoft Entra ID. Votre espace de travail d'essai est provisionné instantanément.
Onboarding sans friction
Les comptes d'essai accèdent à toutes les fonctionnalités Entra ID — chiffrement, BYOB, planification, restauration cross-tenant. Passez à un plan payant à tout moment sans perdre vos données.
Option B — Licence payante (Stripe Checkout)
Allez sur cybback.com/tarifs et choisissez le plan Entra ID correspondant à la taille de votre tenant.
Cliquez sur S'abonner. Stripe Checkout accepte les cartes, SEPA et la facturation sur les plans annuels.
Votre licence est active immédiatement — visible sous Compte → Abonnement.
2
Connecter Entra ID
Inscrire l'application CYBBACK
CYBBACK s'authentifie auprès de Microsoft Graph via une inscription d'application dédiée disposant du minimum de permissions requis. Cela prend 5 minutes dans le portail Azure.
1. Créer l'inscription d'application
Ouvrez entra.microsoft.com en tant qu'administrateur général (Global Admin).
Allez dans Identité → Applications → Inscriptions d'applications → + Nouvelle inscription.
Nommez-la CYBBACK Backup. Types de comptes : Tenant unique (Single tenant). Laissez l'URI de redirection vide. Cliquez sur Inscrire.
Copiez l'ID d'application (client) et l'ID d'annuaire (tenant) depuis la page de vue d'ensemble.
2. Accorder les permissions d'API
Dans la nouvelle application, allez dans Autorisations d'API → + Ajouter une autorisation → Microsoft Graph → Autorisations d'application.
Sélectionnez les permissions en lecture seule pour : Directory.Read.All, User.Read.All, Group.Read.All, Application.Read.All, Policy.Read.All, Device.Read.All, RoleManagement.Read.Directory.
Pour la capacité de restauration, ajoutez également les permissions ReadWrite correspondantes.
Cliquez sur Accorder un consentement administrateur en haut.
3. Créer un secret client
Allez dans Certificats & secrets → + Nouveau secret client.
Définissez l'expiration (24 mois recommandé) et copiez la Valeur immédiatement — Azure ne l'affichera plus ensuite.
Collez le Tenant ID, le Client ID et le Client Secret. Cliquez sur Enregistrer les credentials.
CYBBACK exécute un test d'authentification. Badge vert = prêt.
app.cybback.com/dashboard/entra-backup
Dashboard
Configuration
Credentials Entra IDChiffré au repos
Collez votre tenant ID, votre ID d'application (client) et votre secret client.
Surveillez l'expiration du secret
Programmez un rappel dans votre agenda un mois avant l'expiration de votre secret client. Les backups commenceront à échouer silencieusement si le secret est renouvelé sans mettre à jour CYBBACK.
3
Chiffrement au repos
Activer le chiffrement AES-256-GCM
Par défaut, les fichiers de backup sont stockés sur l'infrastructure sécurisée européenne de CYBBACK. Ajoutez une seconde couche avec le chiffrement côté client : chaque fichier est chiffré avant de quitter le worker.
Dans l'onglet Configuration de la page Entra ID, descendez jusqu'aux Options de sécurité.
Activez l'interrupteur Chiffrement AES-256.
Cliquez sur Enregistrer. S'applique aux nouveaux backups ; les backups précédents restent lisibles.
Configuration → Options de sécurité
Chiffrement AES-256Recommandé
Chiffre vos données de backup avec AES-256-GCM avant l'envoi vers le stockage.
ActivéVos prochains backups seront chiffrés de bout en bout
4
Bring Your Own Bucket
Utiliser votre propre stockage S3-compatible
Vous voulez une souveraineté totale sur vos données ? Pointez CYBBACK vers votre bucket S3-compatible — AWS S3, Scaleway, OVH, Wasabi, MinIO, Backblaze B2, IBM COS. Vos données, votre hébergeur, votre région.
Provisionner le bucket
Dans votre provider S3, créez un bucket privé (pas d'accès public, versioning recommandé).
Créez une clé d'accès / clé secrète avec des permissions limitées à ce bucket.
Remplissez le formulaire, cliquez sur Tester la connexion, puis Enregistrer.
Dashboard → Stockage
Configuration S3Chiffré au repos
Actions IAM requises :PutObject, GetObject, DeleteObject, ListBucket.
Résilience : CYBBACK stocke un snapshot chiffré des credentials S3 avec chaque backup. Les anciens backups restent restaurables même après un changement de provider.
Testez avant d'enregistrer
Cliquez toujours d'abord sur Tester la connexion. CYBBACK écrit puis supprime un fichier de test pour valider les credentials, la région et les permissions.
5
Premier backup
Lancer votre premier backup
Tout est configuré. Il est temps de lancer votre premier backup Entra ID — manuellement pour une tranquillité immédiate, puis planifiez des runs récurrents.
Backup manuel
Revenez sur l'onglet Dashboard de la page Entra ID.
Cliquez sur Lancer un backup maintenant. Le job apparaît avec le statut en attente, puis en cours.
La progression est diffusée en direct : types d'objets récupérés, éléments capturés, manifest enregistré.
Service : Microsoft Entra ID. Fréquence : Quotidien / Hebdomadaire / Personnalisé (cron).
Choisissez une plage horaire (ex. 02:00 UTC) et cliquez sur Enregistrer.
Incremental forever
Le premier backup est un snapshot complet. Chaque backup suivant utilise les delta queries de Microsoft Graph — il se termine généralement en moins de 60 secondes, même pour les grands tenants.
Suivre vos backups
Temps réel : la page Événements diffuse chaque opération de tous les services via SSE.
Notifications : alertes succès / échec / drift par email, Slack et webhooks.
Drift detection : alerte lorsqu'un nombre inhabituel d'utilisateurs, de groupes ou d'applications disparaît entre deux runs — parfait pour détecter les suppressions massives accidentelles.
6
Restaurer
Restaurer — la corbeille d'abord, la recréation au-delà
CYBBACK utilise une stratégie de restauration hybride propre à Entra ID : les objets supprimés depuis moins de 30 jours sont restaurés depuis la corbeille native de Microsoft (en préservant les SID et les références) ; les objets plus anciens sont recréés à partir du backup avec une fidélité d'attributs complète.
Le flow de restauration en 3 étapes
Sélection. Ouvrez le backup, parcourez les 23 types d'objets (Utilisateurs, Groupes, Applications, Stratégies…), cochez ce que vous voulez récupérer. Recherchez par displayName ou UPN.
Options. Choisissez votre filet de sécurité :
Dry-run — simulation, aucune écriture Graph.
Écraser — réappliquer les attributs sauvegardés sur les objets existants.
Tenant cible — restaurer dans un tenant Entra différent (fournissez son tenantId / clientId / clientSecret).
Exécution. Un worker prend en charge le job, restaure en arrière-plan et reporte la progression en temps réel. Vous pouvez fermer l'onglet — la fin de l'opération est notifiée par email.
Dashboard → Entra ID → Restauration
1. Sélection
2. Options
3. Exécution
Options de restauration147 utilisateurs · 23 groupes sélectionnés
Dry-runSimuler sans écrire dans Entra
Écraser les objets existantsRéappliquer les attributs sauvegardés
Cibler un autre tenantRestauration cross-tenant (scénarios M&A)
Bonnes pratiques
Commencez toujours par un dry-run — surtout sur les tenants de production.
Restaurez les utilisateurs en premier. Les appartenances aux groupes, les attributions de rôles et les affectations de licences dépendent de l'existence préalable des objets utilisateur. CYBBACK ordonne automatiquement la file de restauration.
La restauration cross-tenant nécessite une inscription d'application avec des permissions ayant reçu un consentement administrateur dans le tenant cible.
Ce qui ne peut pas être restauré
Les mots de passe, les secrets MFA et les credentials basés sur certificat ne sont pas récupérables — Microsoft ne les expose jamais via Graph. Les utilisateurs recréés devront réinitialiser leur mot de passe et ré-enrôler leur MFA.
Vous êtes prêt.
Besoin d'aide ? Notre équipe répond sous un jour ouvré quel que soit votre plan.