Votre PC continue d’exiger la “vérification” d’un ancien compte xxx.onmicrosoft.com supprimé dans Azure AD ? Suivez cette procédure complète (interface, commandes et scripts) pour supprimer le compte fantôme dans Windows 10/11 et mettre fin aux notifications.
Vue d’ensemble
Lorsque l’on supprime un compte professionnel/scolaire dans Azure AD, il peut subsister sur le poste des traces locales : rattachement Workplace (inscription), jointure AzureAD, identités WAM (Web Account Manager), jetons obsolètes ou informations d’identification mémorisées. Résultat : Windows affiche en boucle des alertes « Votre compte nécessite une attention » ou « Vérifier votre identité », parfois même lorsque l’utilisateur n’a plus accès à ce tenant.
La solution consiste à retirer proprement le compte du poste, puis à purger les caches et jetons susceptibles de le réintroduire au prochain démarrage.
Procédure standard de suppression
Commencez par appliquer le chemin « classique ». Il suffit souvent à lui seul.
| Étapes principales | Détail de l’action |
|---|---|
| Paramètres Windows | Paramètres › Comptes › Accès au travail ou à l’école → sélectionner le compte → Déconnecter → redémarrer la machine. |
| Vérifier “E‑mail et comptes” | Paramètres › Comptes › E‑mail et comptes → s’assurer que le compte n’apparaît plus. Le supprimer si c’est le cas. |
| Nettoyer les informations d’identification | Ouvrir Gestionnaire d’informations d’identification (Panneau de configuration) → supprimer toutes les entrées « AzureAD » ou « SSO_POP_Device » liées au domaine onmicrosoft.com. |
| Forcer la sortie d’Azure AD (facultatif) | Lancer Invite de commandes en administrateur → dsregcmd /leave → redémarrer. Utile si le PC était joint à Azure AD. |
| Vérifications complémentaires | Netplwiz (ou control userpasswords2) pour s’assurer qu’aucun profil local ne porte encore le domaine. Enfin, supprimer le périphérique du portail Azure AD / Intune si nécessaire. |
Pourquoi ce compte persiste
- WAM (Web Account Manager) / AAD Broker : Windows stocke des identités cloud pour l’authentification unique (SSO). Si un tenant a été supprimé, d’anciens jetons restent valides pour Windows, qui tente de s’y reconnecter.
- Inscription MDM/Workplace : un poste « enregistré » (Workplace joined) peut réactiver la connexion via des tâches planifiées.
- Jointure Azure AD : si la machine est AzureADJoined, l’identité du tenant est enracinée dans la configuration de l’appareil. Un simple retrait de compte utilisateur ne suffit pas.
- Informations d’identification Windows : des entrées « Générique » ou « Web Credentials » continuent d’alimenter les invites de connexion.
Diagnostic rapide
Avant d’aller plus loin, vérifiez l’état d’attachement du poste :
dsregcmd /status
- AzureAdJoined : YES → la machine est jointe à Azure AD.
- WorkplaceJoined ou Device State > WorkplaceJoined : YES → inscription « Accès au travail ou à l’école » active.
- DomainJoined : YES → jointure AD on‑prem (non bloquante pour ce sujet).
Guide détaillé pas à pas
Accès au travail ou à l’école
- Ouvrez Paramètres > Comptes > Accès au travail ou à l’école.
- Sélectionnez l’entrée onmicrosoft.com problématique (ex. : user@contoso.onmicrosoft.com).
- Cliquez sur Déconnecter puis confirmez. Si un bouton Info apparaît, vérifiez qu’aucune gestion MDM n’est active avant de déconnecter.
- Redémarrez Windows.
Si le bouton « Déconnecter » est grisé : passez à la section « Situations particulières » ci‑dessous.
E‑mail et comptes
Dans Paramètres > Comptes > E‑mail et comptes :
- Rubrique Comptes utilisés par d’autres applications : supprimez toute entrée liée au domaine onmicrosoft.com.
- Rubrique Comptes de messagerie : supprimez les comptes pro/scolaires orphelins.
Gestionnaire d’informations d’identification
- Ouvrez le Panneau de configuration > Comptes d’utilisateurs > Gestionnaire d’informations d’identification.
- Dans Informations d’identification Windows ET Informations d’identification Web, supprimez :
- Entrées contenant AzureAD, TokenBroker, SSO_POP_Device, login.microsoftonline.com, aadg.windows.net, ou le domaine onmicrosoft.com.
- Fermez la session et reconnectez‑vous, ou redémarrez.
Sortie forcée d’Azure AD
Si dsregcmd /status montre AzureAdJoined : YES, forcez la sortie :
cmd (admin) > dsregcmd /leave
Attendez « Successfully left the device », puis redémarrez. Après le redémarrage, vérifiez à nouveau :
dsregcmd /status
Nettoyage des caches persistants WAM/AAD Broker
Si les alertes continuent, videz le cache de l’AAD Broker (WAM) côté utilisateur :
Fermez toutes les applis Microsoft (Office, Edge, Store).
Explorateur > Collez le chemin :
%LOCALAPPDATA%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker
Supprimez le contenu du dossier TokenBroker.
Ensuite, ouvrez Paramètres > Comptes et confirmez que plus aucun compte professionnel/scolaire n’est listé.
Contrôle des comptes locaux
Exécutez netplwiz (ou control userpasswords2) et vérifiez que ni un compte local ni un groupe ne contiennent un identifiant AzureAD\. Retirez les membres orphelins si nécessaire.
Situations particulières et résolution
L’ordinateur est géré (MDM/Intune) ou l’option « Déconnecter » est grisée
- MDM actif : ouvrez Accès au travail ou à l’école > Info ; si une Gestion des appareils est visible, se désinscrire depuis cette page. Si l’option est verrouillée, la politique MDM l’empêche : demandez à l’administrateur de retirer le périphérique et/ou la condition d’inscription.
- Sortie via commande : même si le bouton est grisé, exécutez en administrateur :
dsregcmd /leave schtasks /Change /TN "\Microsoft\Windows\Workplace Join\Automatic-Device-Join" /Disable - Portail Azure AD / Intune : supprimez le périphérique correspondant. Cela évite une réinscription automatique si des tâches ou profils résiduels tentent un device join.
Le compte revient après redémarrage
- Tâches planifiées Workplace Join : désactivez Automatic-Device-Join comme ci‑dessus.
- Profil d’entreprise Edge/Office : si un profil connecte automatiquement l’utilisateur, fermez la session dans Office/Edge (Fichier > Compte > Se déconnecter) puis re‑purgez le cache WAM.
- Autre session Windows : vérifiez que tous les profils locaux ont été nettoyés (chaque utilisateur possède son propre magasin WAM).
Différencier comptes Microsoft personnels et comptes d’organisation
Un compte MSA (outlook.com, live.com) coexiste avec un compte Azure AD. Vérifiez dans E‑mail et comptes et Comptes utilisés par d’autres applications qu’un MSA n’est pas confondu avec l’ancien compte onmicrosoft.com. Si nécessaire, supprimez puis reconnectez le MSA.
Scripts utiles pour l’administrateur
Inventaire et purge ciblée des informations d’identification
Liste rapide des cibles (Invite de commandes) :
cmdkey /list
Suppression manuelle d’une cible révélée par la commande ci‑dessus :
cmdkey /delete:TargetNameIci
PowerShell : suppression des cibles connues liées à Azure AD/WAM (exécuter en tant qu’utilisateur impacté) :
powershell
$patterns = 'AzureAD','SSO_POP_Device','aadg.windows.net','login.microsoftonline.com','tokenbroker'
$targets = & cmdkey /list | Select-String -Pattern ($patterns -join '|')
$targets | ForEach-Object {
if ($_ -match 'Target:\s*(.+)$') {
$t = $Matches[1].Trim()
& cmdkey /delete:$t | Out-Null
Write-Output "Supprimé: $t"
}
}
Purge du cache AAD Broker (WAM)
powershell
$wam = Join-Path $env:LOCALAPPDATA 'Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker'
if (Test-Path $wam) { Remove-Item -Recurse -Force "$wam\*" }
Write-Output "Cache WAM nettoyé pour $env:UserName"
Sortie Azure AD et désactivation du ré-join automatique
powershell
Start-Process cmd -Verb RunAs -ArgumentList '/c dsregcmd /leave'
schtasks /Change /TN "\Microsoft\Windows\Workplace Join\Automatic-Device-Join" /Disable
Note : la désactivation de la tâche Automatic‑Device‑Join évite qu’une inscription silencieuse recrée l’entrée après nettoyage. Vous pouvez la réactiver plus tard si besoin.
Check‑list de validation
- Paramètres > Accès au travail ou à l’école : aucune entrée onmicrosoft.com affichée.
- Paramètres > E‑mail et comptes : aucune entrée liée au tenant supprimé (dans « Comptes utilisés par d’autres applications » notamment).
- Gestionnaire d’informations d’identification : aucun enregistrement AzureAD/TokenBroker/SSO_POP_Device.
- dsregcmd /status : AzureAdJoined : NO (si l’appareil ne doit plus être joint), WorkplaceJoined : NO.
- Après redémarrage : plus d’alerte « Vérifier votre identité » ni d’invite de mot de passe pour l’ancien tenant.
Erreurs fréquentes à éviter
- Nettoyer un profil mais pas les autres : chaque utilisateur a son propre magasin WAM. Nettoyez le profil concerné par les alertes.
- Confondre MSA et Azure AD : ne supprimez pas un compte Microsoft personnel si vous souhaitez le conserver pour le Store/OneDrive perso.
- Oublier la désinscription MDM : une gestion active réinscrira l’appareil.
- Ignorer les tâches Workplace Join : elles peuvent relancer l’inscription silencieuse.
- Supprimer à la volée des entrées système critiques sans sauvegarde/point de restauration. En entreprise, travaillez via un compte admin et hors production si possible.
Comprendre les états d’appareil
| État | Signification | Action recommandée |
|---|---|---|
| AzureAdJoined : YES | L’appareil est joint au tenant Azure AD (comptes AzureAD\user autorisés localement). | Si le tenant n’existe plus : dsregcmd /leave, suppression du périphérique côté tenant (si encore visible), puis nettoyage WAM. |
| WorkplaceJoined : YES | Inscription Accès au travail ou à l’école (SSO et gestion légère). | Déconnecter via Paramètres, désactiver Automatic‑Device‑Join, purger WAM/Credentials. |
| DomainJoined : YES | Joint à un AD local (on‑prem). Sans impact direct sur l’ancien onmicrosoft.com. | Conserver l’état, ne pas agir sauf consigne spécifique. |
Méthode « ceinture et bretelles » (sécurisée)
- Créer un point de restauration système.
- Sortir du tenant si nécessaire :
dsregcmd /leave. - Supprimer le compte dans Accès au travail ou à l’école puis dans E‑mail et comptes.
- Purger Gestionnaire d’informations d’identification.
- Purger AAD Broker / WAM (dossier TokenBroker).
- Désactiver Automatic‑Device‑Join si l’inscription revient.
- Redémarrer et vérifier
dsregcmd /status.
FAQ
Que faire si je n’ai plus les identifiants du compte supprimé ?
Vous n’en avez pas besoin : la procédure agit localement (déconnexion, purge des jetons). Ne tentez pas de vous authentifier sur un tenant supprimé.
Dois‑je supprimer le périphérique dans Azure AD alors que le compte utilisateur n’existe plus ?
Oui si l’objet appareil est encore présent : cela évite que des politiques résiduelles tentent une synchronisation. Si le tenant est détruit, la suppression locale suffit.
Les applications Office affichent encore des alertes de session expirée.
Déconnectez‑vous dans Fichier > Compte (Word/Excel/Outlook), fermez Office, purge WAM, puis rouvrez Office et connectez‑vous au bon compte.
Je vois « Ce paramètre est géré par votre organisation ».
Cela indique des politiques MDM/GPO. Demandez à l’administrateur de retirer la gestion, ou désinscrivez l’appareil depuis Info sous Accès au travail ou à l’école, puis répétez la purge.
Référence rapide des composants à nettoyer
| Composant | Où le trouver | Indicateurs | Action |
|---|---|---|---|
| Entrée « Accès au travail ou à l’école » | Paramètres > Comptes | Libellé onmicrosoft.com, bouton Déconnecter ou Info | Déconnecter |
| Comptes utilisés par d’autres applications | Paramètres > E‑mail et comptes | Identité pro/scolaire listée | Supprimer |
| Informations d’identification | Gestionnaire d’informations d’identification | AzureAD / TokenBroker / SSO_POP_Device | Supprimer |
| Cache WAM (AAD Broker) | %LOCALAPPDATA%\Packages\…AAD.BrokerPlugin…\TokenBroker | Jetons persistants | Supprimer le contenu |
| Tâche Workplace Join | Planificateur de tâches | \Microsoft\Windows\Workplace Join\Automatic‑Device‑Join | Désactiver temporairement |
Cas d’usage : appareils partagés ou ex‑collaborateurs
Pour un poste partagé (salle de réunion, borne, labo), privilégiez :
- Des comptes locaux non liés à un tenant supprimé.
- Une stratégie de nettoyage automatique des identités WAM à la fermeture de session (script de logoff).
- La désactivation de Automatic‑Device‑Join si l’appareil ne doit pas être inscrit/joindre un tenant.
Modèle de script de logoff (nettoyage minimal)
À exécuter à la fermeture de session utilisateur pour éviter la persistance des jetons.
powershell
# Nettoyage WAM minimal
$wam = Join-Path $env:LOCALAPPDATA 'Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker'
if (Test-Path $wam) { Remove-Item -Recurse -Force "$wam\*" }
# Purge basique de credentials AzureAD/TokenBroker
$patterns = 'AzureAD','SSO_POP_Device','tokenbroker','login.microsoftonline.com'
& cmdkey /list | Select-String -Pattern ($patterns -join '|') | ForEach-Object {
if ($_ -match 'Target:\s*(.+)$') { & cmdkey /delete:$($Matches[1].Trim()) | Out-Null }
} Résolution complète en cas d’échec
Si, malgré tout, l’alerte persiste :
- Reconnectez l’ancien compte (si encore valide) dans Accès au travail ou à l’école, puis déconnectez‑le immédiatement pour écraser proprement les états locaux.
- Videz à nouveau le cache WAM et les informations d’identification.
- Lancez
dsregcmd /statuspour vérifier la sortie complète (AzureAdJoined et WorkplaceJoined devraient passer à NO si l’appareil ne doit plus être rattaché). - Redémarrez, reconnectez‑vous avec un compte sain (MSA personnel ou compte local) et vérifiez l’absence d’invites.
Conclusion
Les invites « Vérifier votre identité » liées à un ancien compte onmicrosoft.com proviennent presque toujours d’un triptyque : rattachement Azure AD/Workplace, identités WAM, et informations d’identification Windows. En procédant dans l’ordre (déconnexion, purge des credentials, sortie Azure AD, vidage WAM, désactivation des relances Workplace), on élimine durablement le compte fantôme et on rétablit un environnement Windows propre.
Annexe : commandes de référence
# État d’attachement
dsregcmd /status
# Sortie du tenant
dsregcmd /leave
# Désactiver la réinscription automatique
schtasks /Change /TN "\Microsoft\Windows\Workplace Join\Automatic-Device-Join" /Disable
# Lancer directement la page « Accès au travail ou à l’école »
start ms-settings:workplace En appliquant ces étapes, le compte fantôme est éliminé et les invites de connexion cessent.
Rappel utile : dsregcmd /status permet de savoir si l’appareil est encore AzureAdJoined ou WorkplaceJoined. Après un échec de suppression, vider aussi %LOCALAPPDATA%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker. Vérifiez enfin qu’aucun compte Microsoft personnel (outlook.com, live.com) n’est confondu avec le compte d’organisation supprimé.