📍 Article principal : Google Workspace pour PME : architecture et gouvernance
Cette page de référence pose le cadre complet (plans, OU, drives, Apps Script, AppSheet, 2SV, migration). Le présent tutoriel détaille pas-à-pas la mise en service du tenant.
Introduction
Vous êtes la personne qui « va s’occuper de l’IT » dans une PME de 5 à 80 personnes. Vous avez décidé de partir sur Google Workspace. Vous arrivez sur la page de souscription, vous voyez quatre plans, un formulaire de domaine, un encadré qui vous demande votre nombre d’utilisateurs et la couleur de votre robe préférée — et vous vous dites qu’un mauvais clic à cette étape peut coûter trois mois de remédiations. Vous avez raison. Le setup initial conditionne toute la gouvernance qui viendra après. Ce tutoriel parcourt les huit étapes que nous appliquons sur chaque mise en service en clientèle, dans l’ordre exact, avec les pièges à anticiper.
Prérequis
- Un nom de domaine déjà acheté, accessible chez votre registrar (Namecheap, OVH, Gandi, GoDaddy, registrar local).
- Accès administrateur à la zone DNS du domaine (vous devez pouvoir ajouter des enregistrements TXT, MX et CNAME).
- Une carte bancaire internationale Visa ou Mastercard, ou une carte virtuelle prépayée alimentée en mobile money (Mixx by Yas au Sénégal, Orange Money dans plusieurs pays de la zone).
- Une adresse email de récupération qui n’est pas hébergée sur le domaine que vous allez configurer (c’est une condition technique : le compte super-admin ne peut pas être verrouillé sur le domaine qu’il administre).
- Niveau attendu : intermédiaire. Vous savez ce qu’est un enregistrement DNS et vous êtes à l’aise avec une console d’administration web.
- Temps estimé : 60 à 90 minutes, dont 10 à 30 minutes d’attente pour la propagation DNS.
Étape 1 — Préparer les informations administratives
Avant de cliquer sur « S’inscrire », rassemblez tout ce que Google va vous demander dans le formulaire. La raison est simple : si vous interrompez le formulaire pour aller chercher un numéro RCCM ou un IFU, vous perdez le bénéfice du parcours guidé qui pré-remplit la résidence fiscale et le calcul de TVA. La séquence est plus propre quand on a tout sous la main avant de commencer.
Préparez sur un fichier texte les éléments suivants : raison sociale exacte telle qu’elle figure au registre du commerce, adresse complète du siège, numéro de téléphone joignable pendant les heures ouvrables (Google peut envoyer un code de vérification par SMS ou par appel), nombre approximatif d’utilisateurs Workspace au démarrage, prénom et nom de la personne qui sera super-administrateur, adresse email de récupération hors du domaine.
Ce travail de préparation prend cinq minutes et évite la situation classique où on commence l’inscription, on s’aperçoit qu’on n’a pas le bon numéro de téléphone, on ferme la fenêtre, on revient une demi-heure plus tard et on tombe sur une session expirée.
Étape 2 — Créer le compte sur la page de souscription
Cette étape déclenche la création du tenant Workspace côté Google. Une fois créé, le tenant est lié à votre domaine — on peut changer le plan tarifaire mais on ne peut pas changer le domaine principal sans procédure complexe. C’est le moment où il faut être attentif au champ « domaine ».
Rendez-vous sur https://workspace.google.com/business/signup/welcome. Sélectionnez le plan que vous avez choisi (recommandation par défaut : Business Standard pour une PME de 5 à 80 personnes). Renseignez la raison sociale, le nombre d’utilisateurs et le pays. Indiquez ensuite votre domaine (par exemple monentreprise.com sans www ni https://). Saisissez vos coordonnées personnelles. Définissez le compte super-administrateur initial — par convention, utilisez admin@monentreprise.com plutôt que votre prénom, pour pouvoir transmettre ce compte à un successeur le jour venu.
Choisissez un mot de passe long (passphrase d’au moins 16 caractères) et notez-le immédiatement dans un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass). À ce stade vous obtenez un accès à la console d’administration admin.google.com — mais le domaine n’est pas encore vérifié, donc le tenant est en mode dégradé. C’est normal et c’est l’objet de l’étape suivante.
Étape 3 — Vérifier la propriété du domaine
Google ne va pas livrer un environnement Workspace sur un domaine sans avoir prouvé que vous en êtes propriétaire. La méthode standard consiste à publier un enregistrement TXT spécifique dans la zone DNS du domaine. Tant que ce TXT n’est pas validé, vous ne pouvez pas créer de comptes utilisateurs ni recevoir d’emails sur ce domaine.
Dans la console d’administration, allez dans Compte → Domaines → Gérer les domaines, puis cliquez sur Ajouter le code de vérification. Google affiche un code TXT qui ressemble à google-site-verification=AbCdEf1234567890. Copiez-le.
Ouvrez maintenant la zone DNS de votre domaine chez votre registrar. Ajoutez un enregistrement TXT avec les paramètres suivants :
Type : TXT
Hôte : @ (ou laissez vide selon le registrar)
Valeur : google-site-verification=AbCdEf1234567890
TTL : 3600Le code que vous copiez doit être collé tel quel, guillemets non compris. Sauvegardez l’enregistrement. Revenez dans la console Google et cliquez sur Vérifier. Si la propagation DNS est rapide, la validation s’effectue en quelques secondes. Si vous obtenez une erreur, attendez 10 minutes et réessayez. Au bout de 30 minutes sans succès, vérifiez avec une commande DNS publique que le TXT est bien visible :
dig +short TXT monentreprise.com
# ou sous Windows :
nslookup -type=TXT monentreprise.com 8.8.8.8Le résultat attendu inclut la chaîne google-site-verification=.... Si elle n’apparaît pas, le problème est côté registrar : soit l’enregistrement n’a pas été sauvegardé, soit il a été créé sur un sous-domaine au lieu de la racine. Corrigez et patientez encore. Une fois la vérification réussie, le bandeau d’avertissement disparaît de la console d’administration.
Étape 4 — Configurer les enregistrements MX
La vérification de propriété autorise Google à provisionner les services Workspace, mais le mail entrant n’arrive toujours pas. Pour que les serveurs SMTP du monde entier sachent où livrer les emails de votre domaine, il faut publier les enregistrements MX (Mail eXchanger) qui pointent vers les serveurs Gmail. C’est le geste qui bascule réellement votre flux mail vers Google.
Dans la console d’administration, allez dans Applications → Google Workspace → Gmail → Configuration MX. Google affiche les enregistrements à publier. Depuis 2023, Google a simplifié et utilise un seul enregistrement MX :
Type : MX
Hôte : @ (ou racine du domaine)
Priorité : 1
Valeur : smtp.google.com
TTL : 3600Si votre interface registrar ne supporte qu’un seul champ par enregistrement, vérifiez qu’elle accepte la syntaxe 1 smtp.google.com. Avant de sauvegarder, supprimez tous les anciens enregistrements MX qui pointaient vers votre ancien hébergeur ou votre registrar (très souvent mx.registrar.com). Si vous laissez l’ancien MX en parallèle, le mail va se répartir aléatoirement entre Google et l’ancien serveur — c’est la source numéro un d’« emails perdus » lors d’une migration.
Sauvegardez la nouvelle configuration. La propagation MX prend généralement de 5 minutes à 1 heure, exceptionnellement jusqu’à 24 heures sur certains registrars exotiques. Pour vérifier que Google est bien en réception :
dig +short MX monentreprise.com
# Résultat attendu : 1 smtp.google.com.Quand la commande renvoie smtp.google.com, vous pouvez envoyer un email de test depuis un compte externe (Gmail personnel, Yahoo) vers admin@monentreprise.com. Le mail doit arriver dans la boîte de réception de votre console Workspace en moins de deux minutes.
Étape 5 — Créer la première Organizational Unit
L’Organizational Unit (OU) est le contenant qui pilote les politiques de sécurité, les paramètres Gmail, la disponibilité des applications. Au démarrage, Google crée automatiquement une OU racine portant le nom de votre organisation. Tous les utilisateurs y sont placés par défaut. Ajouter au moins une seconde OU est la première pierre d’une gouvernance saine, parce que cela vous permet d’appliquer des règles différentes à différents groupes de personnes.
Dans la console d’administration, allez dans Annuaire → Unités organisationnelles. Cliquez sur Créer une unité organisationnelle. Donnez-lui un nom court qui décrit une fonction métier — par exemple Direction, Commercial, Production, Externes. Validez. Vous pouvez créer 3 à 5 OU dès maintenant pour préparer la structure, mais ne descendez pas dans une hiérarchie à plus de deux niveaux : la maintenance devient pénible au-delà.
Une fois les OU créées, vous voyez l’arborescence dans la colonne de gauche. Aucun utilisateur n’est encore dedans, c’est normal. Le placement se fait à l’étape suivante. Avant cela, prenez 5 minutes pour configurer la première politique différenciée : sélectionnez l’OU Externes, allez dans Applications → Google Workspace, désactivez Drive et Docs sur cette OU. C’est le test de la mécanique : vous venez de prouver qu’une OU isole une politique. Réactivez ensuite si vous comptez utiliser cette OU pour des freelances qui doivent collaborer.
Étape 6 — Créer les premiers utilisateurs
Le moment de créer les comptes salariés. Évitez la tentation d’importer en masse via CSV dès la première session — vous voulez vous assurer que la séquence de bienvenue marche correctement avant de l’envoyer à 30 personnes. Créez d’abord deux ou trois utilisateurs de test, validez le flux, puis automatisez.
Dans Annuaire → Utilisateurs, cliquez sur Ajouter un nouvel utilisateur. Renseignez prénom, nom, adresse principale (par exemple jean.dupont@monentreprise.com). Si vous voulez forcer un changement de mot de passe à la première connexion, cochez l’option correspondante. Sélectionnez l’unité organisationnelle de destination dans le sélecteur dédié — c’est ici que la structure de l’étape précédente prend du sens.
À la création, Google génère un mot de passe initial qui s’affiche une seule fois. Vous pouvez l’envoyer à l’utilisateur par un canal sécurisé (téléphone, message direct, surtout pas par email sur un domaine externe non chiffré). Demandez à l’utilisateur de se connecter à https://accounts.google.com, de changer son mot de passe immédiatement, et d’activer la 2SV dès que possible.
Une fois deux ou trois comptes créés et validés, vous pouvez passer à l’import en masse. Téléchargez le modèle CSV depuis la même page Utilisateurs via le bouton Importer, complétez-le avec votre liste, importez. Le modèle CSV impose des colonnes précises (First Name, Last Name, Email Address, Password, Org Unit Path) — toute colonne mal nommée fait échouer l’import. Le chemin OU est de la forme /Commercial, avec un slash en tête.
Étape 7 — Créer le premier groupe Google
Les groupes Google servent deux fonctions complémentaires : ce sont des listes de diffusion email (envoyer à commerciaux@monentreprise.com distribue à tous les membres) et des listes d’accès pour les drives partagés et les ressources Calendar. La règle d’or vue dans le guide d’architecture est de toujours partager des ressources à des groupes plutôt qu’à des individus, pour que la maintenance se fasse au niveau du groupe.
Dans Annuaire → Groupes, cliquez sur Créer un groupe. Nom du groupe : Commerciaux. Description : Liste de diffusion et accès partagés de l’équipe commerciale. Adresse email du groupe : commerciaux@monentreprise.com. Définissez le propriétaire (vous-même au démarrage). Validez.
Une fois le groupe créé, allez dans ses paramètres et configurez le niveau d’accès : Qui peut envoyer au groupe (à minima les membres du domaine, parfois public si c’est une adresse de contact externe), Qui peut voir les conversations, Qui peut rejoindre le groupe. Les paramètres par défaut conviennent pour un groupe interne, mais vérifiez systématiquement avant de communiquer l’adresse en externe.
Ajoutez ensuite vos commerciaux comme membres. Vous pouvez les ajouter un par un ou via un import CSV. Quand un nouveau commercial sera embauché, vous l’ajouterez à ce groupe et il héritera automatiquement de tous les accès commerciaux que vous aurez configurés au niveau du groupe — accès aux drives partagés, abonnement aux calendriers d’équipe, inclusion dans les conversations.
Étape 8 — Vérification finale et hygiène email
Le tenant est techniquement opérationnel. Avant de l’annoncer à l’équipe, on vérifie que les emails sortants sont correctement signés DKIM et SPF, sinon vos messages partiront en spam dès les premiers envois. Cette vérification est non négociable — un domaine fraîchement configuré sans DKIM/SPF est marqué comme suspect par les filtres anti-spam.
Pour SPF, allez dans la zone DNS et publiez (ou complétez) un enregistrement TXT à la racine du domaine :
Type : TXT
Hôte : @
Valeur : v=spf1 include:_spf.google.com ~all
TTL : 3600Cet enregistrement déclare que les serveurs Google sont autorisés à envoyer en votre nom. Le ~all signifie « softfail » — les autres serveurs sont marqués suspects sans être rejetés. Une fois aguerri, vous pourrez basculer sur -all (rejet strict).
Pour DKIM, allez dans Applications → Google Workspace → Gmail → Authentifier les emails. Cliquez sur Générer un nouvel enregistrement. Google produit une chaîne TXT longue (clé publique RSA 2048 bits, parfois sur plusieurs lignes). Copiez-la et publiez-la dans la zone DNS sur le sous-domaine google._domainkey.monentreprise.com. Une fois publié, revenez dans la console et cliquez sur Démarrer l’authentification. Google teste la présence du TXT et active la signature DKIM sur les emails sortants.
Validez ensuite l’ensemble en envoyant un email de test depuis votre compte Workspace vers une adresse Gmail personnelle externe. Ouvrez le mail reçu, affichez l’original (menu trois points → Afficher l’original). Vous devez voir trois lignes en haut :
SPF: PASS
DKIM: PASS
DMARC: <non configuré ou PASS>Si les trois sont en PASS (ou si DMARC est non configuré, ce qui est acceptable au démarrage), votre tenant est correctement configuré côté authentification email. À ce stade, le setup initial est terminé. Les étapes suivantes — déploiement de la 2SV, configuration des drives partagés, premières automatisations Apps Script — font l’objet de tutoriels dédiés liés en fin d’article.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Vérification TXT bloquée 24h | TXT publié sur sous-domaine au lieu de racine | Vérifier avec dig que le TXT remonte sur la racine, corriger l’hôte (@) |
| MX cohabite avec ancien hébergeur | Anciens enregistrements MX non supprimés | Supprimer tous les anciens MX, ne garder que smtp.google.com |
| Email de récupération inutilisable | Email de récupération hébergé sur le domaine du tenant | Définir un email de récupération externe (Gmail perso, autre domaine) |
| Premiers emails partent en spam | SPF/DKIM non configurés | Suivre l’étape 8 dans l’ordre, vérifier dans Afficher l’original |
| Import CSV utilisateurs échoue | Colonnes mal nommées ou OU absente | Repartir du modèle officiel téléchargé depuis la console |
| Compte super-admin verrouillé | Mot de passe oublié + 2SV sur appareil perdu | Récupération via téléphone de récupération + email de récupération externe — d’où l’importance de l’étape 1 |
Adaptation aux conditions locales
Deux points spécifiques se posent en Afrique de l’Ouest. Premièrement, le moyen de paiement : les cartes Mastercard virtuelles émises par Mixx by Yas (ex-Free Money) au Sénégal acceptent les abonnements récurrents internationaux. Orange Money propose un service équivalent dans plusieurs pays de la zone. Approvisionnez la carte avec deux mois d’abonnement à l’avance pour éviter une coupure de service en cas de prélèvement décalé.
Deuxièmement, la propagation DNS chez les registrars locaux peut être plus lente que les standards mondiaux. Si vous travaillez avec un .sn, .ci ou .bj, prévoyez 30 à 60 minutes de propagation au lieu des 5 minutes habituelles. Si la zone tarde plus de 6 heures, contactez le support du registrar — c’est généralement un cache à invalider manuellement.
Tutoriels associés
- Mettre en place les Drive partagés Google Workspace — la suite logique une fois les comptes créés.
- Déployer la 2SV obligatoire dans Google Workspace — à enchaîner dans les 30 jours qui suivent le setup initial.
Pour aller plus loin
- 🔝 Retour au guide de référence : Google Workspace pour PME : architecture et gouvernance
- Vérifier la propriété du domaine — documentation officielle
- Configurer les enregistrements MX Gmail
- Authentifier le courrier sortant avec DKIM
- Définir SPF pour Gmail
- Créer une unité organisationnelle
FAQ
Combien de temps prend une vérification de domaine en pratique ?
Entre 30 secondes (registrars rapides comme Cloudflare ou Namecheap) et 24 heures (registrars locaux à propagation lente). Le délai officiel maximal est de 72 heures, mais en réalité 99 % des vérifications passent en moins d’une heure.
Peut-on changer le domaine principal après création du tenant ?
Oui mais c’est lourd. La procédure officielle s’appelle Domain swap et implique de déclarer un domaine secondaire, de le promouvoir en principal, puis de retirer l’ancien. Toutes les adresses email changent et les utilisateurs doivent migrer vers les nouveaux alias. À éviter sauf nécessité absolue — d’où l’importance de bien choisir le domaine au départ.
Faut-il configurer DMARC dès le setup initial ?
DMARC peut attendre 7 à 14 jours après la mise en service, le temps que SPF et DKIM aient prouvé leur stabilité. Démarrez avec une politique p=none qui n’agit pas mais collecte des rapports. Passez à p=quarantine puis p=reject au fil des semaines.
Que faire si Google demande une vérification téléphonique impossible ?
Le formulaire de souscription accepte les numéros internationaux. Si votre numéro local n’est pas reconnu, basculez sur la vérification par appel vocal au lieu du SMS. En dernier recours, contactez le support Google Workspace via le formulaire de pré-souscription.
Combien d’unités organisationnelles créer dès le début ?
Trois à cinq suffisent pour démarrer : Direction, Commercial, Production (ou Opérations), Support, Externes. Évitez de créer une OU par service ou par site géographique au démarrage — vous ajusterez au fil des besoins de politique différenciée. Une OU non utile pour appliquer une politique différente est de l’inflation organisationnelle.
L’option « forcer le changement de mot de passe à la première connexion » est-elle nécessaire ?
Oui pour tous les comptes utilisateurs créés par l’admin avec un mot de passe initial. Cela force l’utilisateur à choisir lui-même son mot de passe et empêche que l’admin connaisse durablement les mots de passe. Pour les comptes super-admin, vous définissez vous-même le mot de passe et n’avez pas besoin de l’option.