Comme beaucoup de services Azure en GA, Windows 365 possède lui aussi une SLA. Celle-ci est annoncée à 99.9 %. Pour un utilisateur travaillant dans son Cloud PC, il est essentiel que ce dernier soit hautement disponible pour accomplir ses tâches. Mais si un panne intervient dans un centre de données Microsoft, existe-t-il une option de reprise d’activité après sinistre pour son Cloud PC Windows 365 ? La réponse est … oui !
Avant de s’intéresser à ce nouveau service disponible via une licence add-on, faisons rapidement le tour de ce que propose Microsoft en termes de services pour Windows 365.
Quels sont les engagements Microsoft en termes de SLA ?
Voici un lien officiel Microsoft contenant les SLAs par services. Vous pouvez y télécharger le document Word dans la langue de votre choix :
Dans ce document figure une section dédiée à la SLA du service Windows 365. On y retrouve les engagements Microsoft et les indemnités financières en cas d’indisponibilité :
Quelles sont les mesures de maintien de service dans une licence Windows 365 ?
Sur la page consacrée au Cloud PC de Microsoft, on y retrouve les informations de disponibilités suivantes :
Microsoft Learn
- 99,9 % des sessions utilisateur Windows 365 Cloud PC hautement disponibles, telles que définies dans le contrat SLA Windows 365.
- Stockage sur disque avec résilience des objets de données de onze 9.
- Récupération d’urgence automatisée « dans la zone » pour le calcul.
- Un objectif de point de récupération de ~0.
Cela nous indique que Microsoft a différents mécanismes possibles dans la même zone pour prévenir des défaillances matérielles :
- Défaillance CPU/Mémoire
- Défaillance du réseau
- Défaillance des disques
- Défaillance électrique
Il ne semble pas y avoir de surcoût pour profiter de ce premier niveau de protection, et le niveau de RPO est proche de zéro :
La récupération d’urgence Windows 365 automatisée est basée sur une copie à jour du disque du système d’exploitation, avec un RPO de ~0. Par conséquent, le processus de récupération démarre automatiquement, car il n’est pas nécessaire d’accepter la perte de données associée à une récupération dans le passé.
Microsoft Learn
Quid de la SLA dans la gestion des Cloud PC (Intune + Portail) ?
Toujours dans ce même article, Microsoft nous annonce d’autres chiffres sur la gestion Intune des Cloud PC, mais également dans l’accès aux utilisateurs :
Le service de gestion des PC cloud possède une architecture régionalement redondante, conçue pour être hautement disponible, avec une durée de bon fonctionnement cible de 99,99 %. En cas de panne du service de gestion, le service a les objectifs suivants :
Microsoft Learn
- RTO de < 6 heures.
- RPO de <30 minutes pour les modifications apportées au service de gestion.
Qu’est que le Cross-region Restore ?
Le service appelé Cross-region Restore est connu de longue date pour la restauration des machines virtuelles Azure au travers du service Recovery Service Vault, quand celui-ci a la fonctionnalité CRR d’activée :
La restauration inter-région peut être utilisée pour restaurer des machines virtuelles Azure dans la région secondaire, qui est une région jumelée à Azure.
Vous pouvez restaurer toutes les machines virtuelles Azure pour le point de récupération sélectionné si la sauvegarde est effectuée dans la région secondaire.
Pendant la sauvegarde, les captures instantanées ne sont pas répliquées dans la région secondaire. Seules les données stockées dans le coffre sont répliquées. Ainsi, les restaurations de la région secondaire sont des restaurations de niveau coffre uniquement. L’heure de restauration de la région secondaire sera presque identique à celle du niveau coffre pour la région principale.
Microsoft Learn
Qu’est que le Cross-region Disaster Recovery (CRDR) pour Windows 365 ?
En ce 1er juillet 2024, Microsoft a annoncé la disponibilité générale de son service Cross-region Disaster Recovery pour Windows 365. Déjà disponible pour un grand nombre de services Azure, cette offre payante permet de disposer d’une sauvegarde de secours sur une seconde région Azure distante :
La récupération d’urgence inter-région de Windows 365 est un service facultatif pour Windows 365 Entreprise qui protège les PC et les données cloud contre les pannes régionales.
Lorsqu’il est activé, il crée des copies temporaires distantes géographiquement des PC cloud accessibles dans la région de sauvegarde sélectionnée. Ces copies permettent d’augmenter la disponibilité et de préserver la productivité.
Microsoft Learn
CRR vs DR vs CRDR ?
Le Cross Region Restore (CRR) et le Disaster Recovery (DR) sont toutes deux des stratégies utilisées pour assurer la continuité des activités et la protection des données, mais elles servent à des fins différentes et sont utilisées dans des scénarios différents :
- Cross Region Restore (CRR) permet de restaurer des données sauvegardées dans une région secondaire.
- Disaster Recovery (DR) implique un ensemble de politiques et de procédures pour permettre la récupération synchrone ou la continuation des infrastructures technologiques vitales et des systèmes suite à un désastre.
Le Cross-region Disaster Recovery (CRDR) s’inscrit finalement dans un mélange de ces 2 concepts :
- Restauration des données sauvegardées dans une région secondaire.
- Procédure pour permettre la continuation des infrastructures dans une région secondaire.
Quid des RPOs et RTOs ?
Comme le Cross-region Disaster Recovery de Windows 365 fonctionne avec des sauvegardes périodiques et non une synchronisation constante des données, le RPO s’en retrouve impacté :
En cas de panne, le service a les objectifs cibles suivants pour la récupération d’urgence inter-région :
Microsoft Learn
- RTO de < 4 heures pour les tenants avec moins de 50 000 PC cloud dans une région.
- RPO de <4 heures.
Note : le délai RPO du CRR dépendra également de la fréquence de sauvegarde configurée dans les paramètres de l’utilisateur des Cloud PCs :
Maintenant que ces concepts ont été annoncés, et afin d’y avoir plus clair, je vous propose un petit exercice sur le Cross-region Disaster Recovery (CRDR) pour Windows 365 :
- Etape 0 – Rappel des prérequis
- Etape I – Configuration du Cross-region Disaster Recovery
- Etape II – Activation du Cross-region Disaster Recovery
- Etape III – Désactivation du Cross-region Disaster Recovery
Etape 0 – Rappel des prérequis :
Pour réaliser cet exercice sur Windows 365, il vous faudra disposer de :
- Un tenant Microsoft
- Une licence Microsoft 365
- Une licence Windows 365 Entreprise
- Une licence add-on Windows 365 Cross Region Disaster Recovery
Commencez par configurer le service Cross Region Disaster Recovery via le portail Intune.
Etape I – Configuration du CRDR
Rendez-vous sur la page du portail Intune, puis naviguez dans le menu suivant afin d’y retrouver la liste de vos postes Windows 365 :
Rendez-vous dans le menu suivant pour configurer le CRDR :
Cliquez sur la règle de paramètres utilisateurs de votre choix :
Cliquez sur Éditer :
Activez par cette option la fonctionnalité CRDR :
Choisissez le lien réseau correspondant à votre infrastructure, mais également la Géographie et la région Azure où seront créés les Cloud PCs quand le CRDR sera déclenché, puis cliquez sur Suivant :
Cliquez ici pour mettre à jour votre règle utilisateur :
La notification Intune suivante apparaît alors :
Vérifiez que le paramétrage CRDR est bien changé sur votre règle utilisateur :
Toujours sur le portail Intune, rendez-vous dans le rapport suivant afin de voir l’impact sur vos Cloud PCs déjà en place :
Cliquez sur la section suivante afin de comprendre pourquoi une alerte est présente :
Cliquez sur un des Cloud PCs pour comprendre le motif de l’alerte :
Un problème de licence est bien à l’origine de notre alerte :
Comme la majorité des licences, cet add-on a lui-aussi besoin d’être acheté en nombre et assigné aux utilisateurs concernés.
Ouvrez un nouvel onglet vers le portail Entra, puis cliquez sur la licence add-on Windows 365 Cross Region Disaster Recovery :
Assignez cet add-on a un de vos utilisateurs disposant déjà d’une licence Windows 365 :
Attendez quelques minutes, puis retournez sur le rapport afin de constater la disparition de l’alerte sur l’utilisateur en question :
La configuration du CRDR semble terminée, il ne nous reste qu’à tester le service sur notre utilisateur de test pour comprendre en détail la procédure de ce service.
Etape II – Activation du Cross-region Disaster Recovery :
Ouvrez une session sur votre Windows 365, puis rendez-vous sur la page Internet suivante afin de localiser approximativement votre Cloud PC.
Dans mon cas, le résultat nous montre une IP rattachée à la région de Zurich en Suisse. Cette information est cohérente puis que ce Cloud PC est créé dans la région Azure Suisse Nord :
Retournez sur la console Intune, puis activez le service CRDR pour ce Cloud PC via la fonction Bulk :
Renseignez tous les champs, puis cliquez sur Suivant :
Choisissez le Cloud PC dont l’utilisateur possède la licence Windows 365 Cross Region Disaster Recovery, puis cliquez sur Suivant :
Lancez l’activation du CRDR en cliquant sur Créer :
La notification Intune suivante apparaît :
Attendez quelques minutes, puis retourner sur la page du Cloud PC afin d’y constater l’erreur du lancement du CRDR :
Je pense que cela s’explique par l’absence de points de restauration dans la seconde région Azure, et/ou du fait de la configuration très récente.
J’ai donc décidé d’attendre 24-48 heures avant de recommencer la même opération d’activation du CRDR :
La notification Intune suivante apparaît :
Attendez quelques minutes, puis retourner sur la page du Cloud PC afin d’y constater le lancement du CRDR :
Quelques minutes plus tard, la session Windows ouverte sur le Cloud PC concerné se ferme d’elle-même, pour cause d’arrêt de la machine virtuelle :
Retentez d’ouvrir une session Windows 365 via le client Microsoft Remote Desktop :
Le message d’erreur suivant indique que la machine virtuelle du Cloud PC n’est plus accessible :
Actualiser la page du Cloud PC afin d’y constater un changement du statut CRDR :
Quelques minutes plus tard, le statut CRDR est passé en complété :
Retournez sur le rapport Intune appelé Statut de reprise après sinistre des PC Cloud dans toute la région afin d’y constater 2 nouvelles informations :
- Le démarrage du service CRDR
- L’expiration de l’instance CRDR dans 7 jours
Sur le client Microsoft Remote Desktop, lancez un rafraîchissement sur le Cloud PC :
Constatez l’apparition d’un second espace de travail contenant un poste appelé Temporary Cloud PC :
Ouvrez une session de bureau à distance sur ce Temporary Cloud PC :
Rendez-vous sur la page Internet suivante afin de localiser approximativement votre Cloud PC temporaire.
Dans mon cas, ce nouveau résultat nous montre une IP rattachée à la France. Cette information est cohérente, puisque le CRDR est configuré sur la région Azure France Central :
La notification Windows suivante nous informe également le caractère temporaire de ce second Cloud PC :
Il ne nous reste plus qu’à désactiver le Cross-region Disaster Recovery afin de voir le retour dans la région Azure d’origine.
Etape III – Désactivation du Cross-region Disaster Recovery :
Comme pour l’activation du CRDR, la désactivation de ce dernier se déclenche via la fonction Bulk :
Cliquez-ici pour ajouter le Cloud PC temporaire concerné par le CRDR :
Choisissez le Cloud PC temporaire créé sur France Central :
Cliquez sur Suivant :
Lancez la désactivation du CRDR en cliquant sur Créer :
La notification Intune suivante apparaît :
Attendez quelques minutes, puis retourner sur la page du Cloud PC afin d’y constater le lancement du failback du CRDR :
Suite à cette opération, une notification Windows nous informe que le Cloud PC temporaire devrait être décommissionné sous peu :
Une seconde notification Windows se fait plus pressante sur le besoin de déconnexion du Cloud PC temporaire :
Quelques minutes plus tard, le statut du failback du CRDR est passé en complété :
Retournez sur le rapport Intune appelé Statut de reprise après sinistre des PC Cloud dans toute la région afin d’y constater 2 nouvelles informations :
- L’arrêt du service CRDR
- La suppression de l’expiration du Cloud PC temporaire
Quelques minutes plus tard, la session Windows ouverte sur le Cloud PC temporaire est automatiquement fermée à cause de l’arrêt de la machine virtuelle :
Sur le client Microsoft Remote Desktop, lancez un rafraîchissement sur le Cloud PC temporaire :
Constatez dans le second espace de travail la disparition du poste appelé Temporary Cloud PC :
Ouvrez une session de bureau à distance sur le Cloud PC de base :
Ouvrez à nouveau page Internet suivante.
Dans mon cas, le résultat nous remontre une IP rattachée à la région de Zurich en Suisse. Cette information est cohérente puis que ce Cloud PC de base avait été créé dans la région Azure Suisse Nord :
Conclusion
Contrairement à de nombreuses solutions traditionnelles de récupération après sinistre, Windows 365 Cross-region Disaster Recovery a été conçu pour être configuré et utilisé avec une expérience minimale, voire aucune, en matière de récupération après sinistre. La configuration peut être terminée en quelques minutes.
Windows 365 Cross-region Disaster Recovery est fourni en tant que licence complémentaire aux SKU Windows 365 Entreprise. Aux États-Unis, le prix de l’add-on Windows 365 Cross-region Disaster Recovery est de 5 $ par utilisateur et par mois.
