Vous administrez deux marques ou entités juridiques ? Bonne nouvelle : un seul tenant Microsoft 365 suffit pour héberger toutes leurs adresses et boîtes aux lettres, sans multiplier les abonnements ni compliquer la gestion quotidienne.
Peut‑on gérer plusieurs domaines avec un seul abonnement Microsoft 365 ?
Problématique
Les équipes informatiques rencontrent souvent ce scénario : deux sociétés distinctes, chacune dotée de son identité visuelle, de son site web et de son propre nom de domaine, souhaitent néanmoins partager une administration centralisée de la messagerie, de la sécurité et de la conformité. L’objectif est de réduire les coûts, d’unifier les outils de collaboration et d’éviter la fragmentation des données tout en préservant l’image de chaque marque.
Synthèse de la solution
| Point clé | Détails pratiques |
|---|---|
| Abonnement et tenant uniques | Microsoft 365 permet d’ajouter plusieurs domaines au sein d’un même tenant ; il n’est pas nécessaire de souscrire un second abonnement. |
| Procédure d’ajout d’un domaine | 1. Se connecter au Centre d’administration Microsoft 365. 2. Accéder à Paramètres › Domaines et cliquer sur Ajouter un domaine. 3. Valider la propriété via le DNS TXT fourni par Microsoft. 4. Créer les enregistrements MX, SPF, DKIM et Autodiscover pour finaliser la configuration du courrier. |
| Création ou modification des utilisateurs | Pour chaque utilisateur, choisir le domaine approprié dans la liste déroulante de l’adresse principale ou créer des alias (ex. : alice@entrepriseA.com et alice@entrepriseB.com). |
| Licences | Le nombre total d’utilisateurs actifs reste limité par les licences de l’abonnement. L’ajout de domaines est gratuit, mais chaque boîte aux lettres requiert une licence Microsoft 365 (Business Basic/Standard/Premium, F‑ ou E‑plans). |
| Accès dans Outlook | Les adresses principales ou alias apparaissent automatiquement ; les utilisateurs peuvent envoyer et recevoir au nom de chaque domaine via le champ « De » ou « Envoyer en tant que ». |
| Considérations organisationnelles | • Isolement juridique : si la séparation doit être totale, optez pour un tenant par entité. • Partage d’annuaire : un tenant unique simplifie l’administration mais expose l’annuaire commun. • Sécurité & conformité : appliquez Groupes de sécurité, étiquettes de confidentialité et stratégies DLP pour compartimenter les données. |
Étapes détaillées pour ajouter un domaine
- Préparation DNS : identifiez le bureau d’enregistrement (OVH, GoDaddy, Gandi…) et anticipez la propagation DNS (jusqu’à 72 h dans certains pays).
- Validation TXT : collez la chaîne TXT fournie (
MS=msXXXXXXXX) et attendez la réplication avant de lancer « Vérifier ». - Création MX : remplacez l’éventuel MX historique par
<domaine>.mail.protection.outlook.comen priorité 0. - Ajout SPF : assurez‑vous qu’un
v=spf1 include:spf.protection.outlook.com -allunique existe pour éviter les « forever fail 550‑5.7.26 ». - Activation DKIM : deux enregistrements CNAME sont requis ; activez ensuite la signature dans Exchange Online.
- Publication DMARC (facultative mais recommandée) : commencez par
p=nonepuis durcissez versp=quarantineoureject.
Bonnes pratiques DNS et délivrabilité
- 900 domaines maximum par tenant : rarement atteint, mais limitez‑vous à ceux réellement exploités.
- N’ajoutez qu’un seul enregistrement MX par domaine pour éviter les routages indésirables.
- Créez une boîte aux lettres partagée ou un alias (ex.
support@domaineB.com) pour les adresses génériques ; aucune licence n’est consommée. - Documentez une nomenclature cohérente (prénom.nom@, intialenom@…) afin de prévenir les doublons.
Gestion des utilisateurs et des licences
Chaque utilisateur hérite automatiquement du domaine par défaut lors de la création. Pour attribuer un autre domaine :
- Dans Utilisateurs actifs, sélectionnez le collaborateur.
- Dans Nom d’utilisateur/Adresse principale, choisissez le domaine souhaité.
- Ajoutez si besoin des adresses proxy pour qu’il reçoive les e‑mails de plusieurs marques.
| Type de licence | Scénarios adaptés | Limitation notable |
|---|---|---|
| Business Basic | Front‑office, petites équipes hybrides | Pas d’apps PC |
| Business Standard | Employés de bureau | Pas d’EMS/Purview avancé |
| Business Premium | PME réglementées (RGPD, ISO 27001) | 300 licences max |
| E3 / E5 | Grandes entreprises, P‑surtout E5 pour la sécurité | Coût plus élevé |
Expérience utilisateur dans Outlook et sur appareils mobiles
- Affichage automatique : lorsqu’un alias est créé, Outlook (Windows, Mac, Mobile) l’affiche sans nouvel ajout de profil.
- Choix de l’adresse d’envoi : dans un nouveau message, cliquez sur À partir de › Autres adresses e‑mail, sélectionnez le domaine puis épinglez‑le dans un groupe d’envoi rapide.
- Signature de marque : utilisez les règles de signature côté serveur (Exchange Online) pour appliquer automatiquement le bon logo et la bonne clause de confidentialité.
- MFA homogène : un seul compte Azure AD signifie une authentification multifacteur centralisée, simplifiant l’adoption.
Sécurité, conformité et gouvernance
Dans un tenant unique, la protection doit s’appuyer sur des contrôles granulaires :
- Groupes de sécurité et accès conditionnel pour compartimenter chaque marque (politiques « EntreprisesA_Only », « EntreprisesB_Only »).
- Étiquettes de confidentialité Purview pour chiffrer ou restreindre l’accès aux documents sensibles d’une entité.
- Stratégies DLP différenciées ciblant les domaines (règles « Si l’expéditeur appartient au domaine A et contient IBAN »).
- Rôles administratifs restreints : déléguez « Gestion des utilisateurs » à un administrateur de chaque société sans lui donner les droits globaux.
- Audit unifié : conservez les journaux dans le centre de conformité pour prouver la traçabilité.
Quand envisager un tenant séparé ?
Un tenant par entité est judicieux si :
- Les marques sont légalement indépendantes et hébergent des données classées sous des réglementations contradictoires (ITAR, données de santé).
- Les modèles de facturation ou les SLA avec Microsoft diffèrent (Premium Support, Conformité avancée).
- Chaque société exige une personnalisation complète de Teams, SharePoint ou Viva (URL, thème, feed d’actualités).
FAQ
Quel est le délai moyen de migration MX ?
En pratique 4 h à 24 h ; planifiez la bascule un soir ou week‑end pour limiter l’impact.
Puis‑je utiliser un seul enregistrement SPF pour plusieurs domaines ?
Non, chaque domaine doit disposer de son propre enregistrement SPF et il ne peut y avoir qu’une entrée v=spf1 par domaine.
La fonctionnalité « Envoyer en tant que » d’Outlook est‑elle limitée à 10 adresses ?
Non, la limite est de 400 proxy addresses par boîte, mais au‑delà de 10 alias l’ergonomie devient moins fluide dans Outlook ; préférez des boîtes partagées.
Résumé pratique
À retenir : un seul tenant Microsoft 365 suffit pour gérer plusieurs domaines, à condition d’anticiper les configurations DNS, l’attribution des licences et la séparation de la sécurité. Vous conservez une administration centralisée, des coûts maîtrisés et la possibilité d’évoluer vers un tenant distinct si la croissance l’exige.