Surface : remplacer Windows 11 Enterprise par Home/Pro (désenrôlement Azure AD, Intune/Autopilot, OOBE hors‑ligne)

Votre Surface démarre systématiquement en Windows 11 Enterprise avec un compte « professionnel ou scolaire » imposé ? Voici une méthode claire pour basculer vers une édition personnelle (Home/Pro) en traitant la vraie cause : l’enrôlement Azure AD + Intune/Autopilot.

Vue d’ensemble du problème

Quand une Surface a été inscrite dans l’inventaire d’une organisation (Azure AD, Intune et souvent Windows Autopilot), l’Out‑of‑Box Experience (OOBE) contacte les services Microsoft à la première connexion Internet, détecte l’appareil comme « géré » et force un flux Entreprise. Résultat : l’assistant OOBE affiche la page « Compte professionnel ou scolaire », applique des profils et bloque l’activation avec une clé personnelle (Home/Pro). Tant que l’enrôlement n’est pas levé côté organisation, toute réinstallation aboutit au même scénario.

Important : ne tentez jamais de contourner la gestion d’un appareil sans autorisation. Si la Surface appartient encore à une entreprise (prêt, location, revente non conforme), demandez la levée officielle de l’enrôlement.

Symptômes typiques

Symptôme	Ce que cela indique
Écran OOBE qui exige un « Compte professionnel ou scolaire ».	Appareil associé à un profil Autopilot ou Azure AD Joined.
Message « Cet appareil est géré par votre organisation » dans Paramètres.	Politiques MDM Intune actives.
dsregcmd /status retourne AzureADJoined: YES.	L’OS est joint à Azure AD (ou ré-enrôlé après réinstall).
Activation impossible avec clé Home/Pro sur Enterprise.	Édition imposée ou clé refusée par politiques de l’organisation.

Solutions pas‑à‑pas (synthèse)

Si vous avez besoin d’un guide express, commencez par ces étapes. Le déroulé détaillé se trouve plus bas.

Étape	Action	Pourquoi / Détails
Vérifier l’enrôlement	Au démarrage OOBE, Shift + F10 → dsregcmd /status. Si AzureADJoined: YES ou des marqueurs Autopilot sont visibles, l’appareil est lié.	Confirme la cause du forçage vers Enterprise.
Retrait par l’organisation	Demander à l’administrateur (ou revendeur) de supprimer l’appareil d’Azure AD Devices et de retirer l’entrée dans Intune/Autopilot (profil de déploiement).	Sans cette levée, toute réinstallation se ré‑enrôle automatiquement.
Préparer une installation propre hors‑ligne	Télécharger l’ISO Windows 11 Home/Pro, créer une clé USB (Rufus ou Media Creation Tool), démarrer dessus, supprimer toutes les partitions, et ne pas se connecter à Internet pendant l’OOBE.	Empêche Autopilot de contacter le service tant que l’appareil n’est pas désinscrit.
Bypass de la connexion en ligne (facultatif)	Dans l’OOBE hors‑ligne : Shift + F10 → oobe\BypassNRO → redémarrage → création de compte local.	Évite d’imposer un compte Microsoft pendant l’installation.
Choisir l’usage personnel	Quand l’assistant le demande, sélectionner Configurer pour une utilisation personnelle.	Empêche le flux Entreprise.
Activer la licence personnelle	Une fois sur le Bureau, se connecter à Internet et saisir la clé dans Paramètres > Système > Activation.	Valide l’édition Home ou Pro.
Vérifications finales	winver / slmgr /dli et Paramètres > Comptes > Accès professionnel ou scolaire pour confirmer l’absence de gestion.	S’assure que la machine n’est plus gérée.

Avant de commencer : prérequis, sauvegarde et sécurité

• Sauvegardez vos données. La procédure efface toutes les partitions.
• Autorisation : confirmez par écrit que l’appareil vous appartient ou que l’organisation autorise la sortie d’inventaire.
• Alimentation : branchez la Surface pendant l’opération.
• Périphériques : clavier USB et réseau débranché pendant l’installation.
• Clé produit : tenez votre clé Home/Pro prête (ou une licence numérique liée à votre compte Microsoft).

Procédure détaillée et astuces d’expert

Vérifier l’état d’enrôlement depuis l’OOBE

Pendant l’OOBE, pressez Shift + F10 pour ouvrir l’Invite de commandes. Tapez :

dsregcmd /status

Interprétez les résultats :

Champ	Valeur	Interprétation
AzureAdJoined	YES	L’appareil est (ré)joint à Azure AD.
DeviceId / TenantName	Présents	Référence organisationnelle encore active.
MDMUrl / MDMEnrollmentUrl	Renseignés	Signal d’un enrôlement MDM (Intune).

Obtenir la désinscription officielle (côté organisation)

Demandez les opérations suivantes à l’administrateur :

1. Azure AD : suppression de l’objet Devices correspondant à la Surface.
2. Intune : retrait de l’appareil du parc (et nettoyage des profils de configuration/compliance).
3. Autopilot : suppression de l’enregistrement matériel (hash) et de l’association au Deployment Profile.

Sans ces actions, l’OOBE identifiera à nouveau la machine dès qu’elle verra Internet.

Créer une clé USB d’installation propre

Deux options :

• Media Creation Tool : prépare une clé Windows 11 Home/Pro standard.
• Rufus : à partir de l’ISO officielle, permet d’activer des options utiles (par ex. contourner la connexion en ligne à l’OOBE). Utilisez les paramètres par défaut si vous n’êtes pas sûr.

Démarrage sur USB (Surface) : éteignez la tablette, maintenez Volume Bas puis appuyez sur Marche/Arrêt. Relâchez Volume Bas lorsque le logo Surface s’affiche.

Nettoyer toutes les partitions

À l’écran de sélection des disques, supprimez toutes les partitions (y compris récupération). Si le bouton n’apparaît pas, utilisez Shift + F10 puis :

diskpart
list disk
select disk 0
clean
convert gpt
exit

Puis cliquez sur Actualiser et laissez l’installateur créer les partitions automatiquement.

Rester hors‑ligne pendant l’OOBE

Débranchez tout câble réseau et ne sélectionnez aucun Wi‑Fi. Si l’OOBE insiste pour se connecter :

1. Shift + F10 → entrez oobe\BypassNRO → appuyez sur Entrée.
2. La machine redémarre et propose un flux hors‑ligne avec création d’un compte local.

Astuces supplémentaires : si un réseau connu s’auto‑connecte, oubliez‑le dans la liste ou coupez rapidement l’interrupteur Wi‑Fi (icône en bas à droite quand disponible).

Choisir un usage personnel et une édition personnelle

Quand l’assistant demande le mode de configuration, choisissez Configurer pour une utilisation personnelle. La présence d’un choix Pro dépendra de votre image et du type de clé que vous fournirez ensuite.

Activation Home/Pro après installation

Une fois sur le Bureau :

1. Connectez‑vous à Internet.
2. Ouvrez Paramètres > Système > Activation → Changer la clé de produit.
3. Saisissez votre clé Home ou Pro. Windows s’active en quelques minutes.

Si vous détenez une licence numérique Pro liée à votre compte Microsoft, connectez ce compte dans Paramètres > Comptes : l’activation peut se faire automatiquement.

Vérifications post‑installation

• winver : confirmation de l’édition (Home ou Pro) et de la version.
• slmgr /dli ou slmgr /xpr : état d’activation.
• Paramètres > Comptes > Accès professionnel ou scolaire : aucune connexion ne doit apparaître.
• Paramètres > Confidentialité & sécurité > Découvrir les politiques d’organisation : il ne doit plus y avoir de politiques imposées.

Alternatives et voies de contournement contrôlées

Changement d’édition depuis Enterprise à l’aide d’une clé Pro

Dans certains cas, exécuter directement dans l’OS :

changepk.exe /ProductKey XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

peut déclencher le downgrade de l’édition vers Pro sans réinstallation, puis l’activation. Limites : si des politiques MDM forcent l’édition Enterprise ou ré‑enrôlent l’appareil, l’opération sera bloquée ou annulée au redémarrage.

Image de récupération Surface

Les images de récupération officielles Surface réinitialisent aussi les partitions de récupération et les composants UEFI/Surface. Utile si des paramètres bas niveau (TPM, Secure Boot) ont été modifiés par l’entreprise. Après restauration, appliquez la même stratégie : OOBE hors‑ligne tant que l’appareil n’est pas retiré d’Autopilot.

Surface Data Eraser (SDE)

Outil Microsoft bootable (WinPE) permettant d’effacer de manière fiable le disque et les certificats d’enrôlement. C’est une étape de nettoyage avancée quand un simple formatage ne suffit pas.

Erreurs courantes et leur résolution

Problème	Cause probable	Solution
OOBE reste bloqué sur « Compte professionnel ou scolaire ».	Appareil encore enregistré dans Autopilot ou connexion Internet active.	Demander le retrait Autopilot/Azure AD. Refaire l’installation en mode hors‑ligne et utiliser oobe\BypassNRO.
Activation de la clé Pro refusée sur Enterprise.	Politiques MDM interdisant le changement d’édition.	Se désenrôler côté organisation ou réinstaller proprement en Home/Pro hors‑ligne.
Ré‑enrôlement dès la première connexion Wi‑Fi.	Profil Autopilot toujours actif.	Ne pas connecter Internet tant que la suppression n’est pas confirmée. Sinon, réinitialiser (Reset this PC) et refaire l’OOBE hors‑ligne.
Impossible de démarrer sur USB.	Ordre de démarrage/UEFI, Secure Boot ou clé non bootable.	Recréer la clé avec Media Creation Tool ou Rufus. Démarrage Surface : maintenir Volume Bas + Marche/Arrêt.
Message « Cette édition ne correspond pas à la clé ».	Clé Home sur une image Pro (ou inversement).	Installer l’édition correspondant à la clé, ou saisir une clé générique pour basculer d’édition puis activer avec votre clé personnelle.

Bonnes pratiques pour éviter un retour à Enterprise

• Confirmez la suppression Autopilot avant toute connexion Internet.
• Créez d’abord un compte local, puis ajoutez votre compte Microsoft (après activation).
• Activez BitLocker seulement après l’activation de Windows et la création de votre compte (afin que la clé soit bien sauvegardée sur votre espace personnel si souhaité).
• Notez l’édition d’origine (Home ou Pro) de la Surface : certaines Surfaces embarquent une clé OEM en BIOS/UEFI qui peut diriger l’installateur.

Comprendre le rôle d’Autopilot, Intune et Azure AD

Pour diagnostiquer rapidement, voici la logique de décision côté service :

1. Au premier accès Internet, l’OOBE envoie des identifiants matériels.
2. Si un profil Autopilot est trouvé, Windows bascule automatiquement en flux travail/école.
3. Une jonction Azure AD et un enrôlement Intune sont appliqués : politiques, applications et parfois une licence Enterprise via abonnement.
4. Une clé produit personnelle n’est alors plus suffisante pour forcer Home/Pro tant que l’enrôlement subsiste.

C’est pourquoi la désinscription côté organisation est l’élément déterminant, plus que la clé produit elle‑même.

Checklist express

• Appareil retiré d’Azure AD/Intune/Autopilot ? Oui
• Clé USB Windows 11 Home/Pro prête ? Oui
• Installation hors‑ligne réalisée et compte local créé ? Oui
• Activation effectuée avec la clé personnelle ou licence numérique ? Oui
• Plus aucun compte « travail ou école » connecté ? Oui

FAQ

Puis‑je rester connecté à Internet pendant l’installation si l’appareil est déjà désinscrit ?

Oui, si l’administrateur a bien supprimé l’enregistrement Autopilot/Azure AD/Intune. Toutefois, par prudence, effectuez l’OOBE hors‑ligne : c’est la meilleure manière d’éviter tout ré‑enrôlement résiduel.

Une clé « générique » Pro peut‑elle m’aider ?

Les clés génériques servent à changer d’édition mais n’activent pas Windows. Elles sont utiles quand l’image installée ne correspond pas à l’édition finale souhaitée. Vous devrez ensuite activer avec votre vraie licence.

Et si l’organisation refuse de me désinscrire ?

Si la Surface lui appartient encore, vous ne devez pas poursuivre. Si la vente est légitime mais que l’enrôlement a été oublié, demandez la régularisation au vendeur. Tout contournement non autorisé est à proscrire.

Dois‑je désactiver Secure Boot ?

Non. Les supports Windows officiels sont signés. Secure Boot peut rester activé.

Comment vérifier que l’édition est bien personnelle après coup ?

Outre winver, ouvrez Paramètres > Comptes > Accès professionnel ou scolaire : la page doit être vide. Dans Windows Update > Stratégies, aucune mention « géré par votre organisation » ne doit persister.

Commandes utiles (référence)

Tâche	Commande	Remarques
État Azure AD/MDM pendant l’OOBE	dsregcmd /status	Vérifie AzureAdJoined, DeviceId, URLs MDM.
Bypass connexion réseau OOBE	oobe\BypassNRO	Propose l’option de compte local.
Changer la clé de produit	changepk.exe /ProductKey XXXXX-...-XXXXX	Peut déclencher un changement d’édition.
Nettoyage disque (DiskPart)	diskpart → clean	Efface toutes les partitions. À manier avec précaution.
État d’activation	slmgr /dli & slmgr /xpr	Affiche l’édition et la licence.

À retenir

1. La cause n’est pas la clé produit mais l’enrôlement Azure AD/Intune.
2. La désinscription côté organisation est indispensable pour bloquer le ré‑enrôlement.
3. Une installation hors‑ligne suivie de l’activation avec votre clé personnelle permet de stabiliser l’édition Home/Pro.

Exemple de déroulé complet

Voici un scénario complet, étape par étape, que vous pouvez suivre mot à mot :

1. Demandez au support/administrateur de retirer la Surface d’Azure AD, d’Intune et d’Autopilot. Attendez la confirmation écrite.
2. Créez une clé USB Windows 11 Home/Pro avec l’outil officiel ou Rufus.
3. Éteignez la Surface. Maintenez Volume Bas, appuyez sur Marche/Arrêt, relâchez quand le logo apparaît pour démarrer sur USB.
4. À « Installer maintenant », supprimez toutes les partitions du SSD. Laissez Windows recréer automatiquement.
5. Lorsque l’OOBE demande Internet, pressez Shift + F10, tapez oobe\BypassNRO, validez.
6. Créez un compte local simple (ex. « Utilisateur »). Terminez l’OOBE sans Wi‑Fi.
7. Au Bureau, ouvrez Paramètres > Système > Activation, cliquez sur Changer la clé de produit, saisissez votre clé Home ou Pro.
8. Connectez Internet, laissez l’activation se faire. Redémarrez si nécessaire.
9. Vérifiez winver, slmgr /dli, et Accès professionnel ou scolaire (doit être vide).

Après ces étapes, votre Surface fonctionne en Windows 11 Home ou Pro non géré, prête pour un usage personnel.

Notes sur les licences et les éditions

• Home → Pro : nécessite une clé Pro valide (ou achat via Microsoft Store).
• Enterprise est généralement délivré par abonnement/MDM : hors enrôlement, l’édition ne se maintient pas d’elle‑même.
• Une licence numérique liée à votre compte Microsoft se réactivera automatiquement si l’édition installée correspond à votre droit.

Conseils d’optimisation post‑migration

• Installez les pilotes Surface (Windows Update s’en charge en grande partie après quelques redémarrages).
• Activez Restaurer ce PC (points de restauration) et Historique des fichiers ou un autre système de sauvegarde.
• Ajoutez votre compte Microsoft personnel seulement après activation, pour synchroniser Store, OneDrive, etc.
• Si vous aviez des applications professionnelles, préférez des versions personnelles (ex. Microsoft 365 Famille au lieu d’Entreprise).

Résumé exécutable

Vérifiez l’enrôlement avec dsregcmd /status, faites retirer l’appareil d’Azure AD/Intune/Autopilot, réinstallez hors‑ligne en supprimant toutes les partitions, utilisez oobe\BypassNRO pour créer un compte local, puis activez avec votre clé Home/Pro.