Dans les environnements de bureaux à distance modernes (Azure Virtual Desktop, Windows 365, Citrix …) l’expérience utilisateur dépend énormément du protocole d’affichage distant, du réseau, des ressources , … Quand tout fonctionne bien, personne ne s’en préoccupe. Mais dès qu’un utilisateur dit : « mon Cloud PC lag », « la vidéo est saccadée », « j’ai un délai quand je tape au clavier » … on entre immédiatement dans une zone grise. Bon courage pour comprendre la cause !
Un problème d’affichage distant peut venir de nombreux endroits : réseau, client, serveur, GPU, codec vidéo, politiques de compression et j’en passe.
C’est exactement pour cela que j’aime beaucoup un outil que j’utilise régulièrement lors de phases de troubleshooting : Remote Display Analyzer (RDA).
Cet outil permet de voir et tester en direct ce que fait réellement le protocole d’affichage distant :
Avant d’aller plus loin, je voulais remercier l’équipe RDA de m’avoir donné une licence pour réaliser mes tests.
Et pour vous guider plus facilement dans cet article très long, voici des liens rapides :
Remote Display Analyzer (RDA) est un petit et très léger outil conçu pour analyser les protocoles d’affichage utilisés dans les environnements de virtualisation de poste de travail.
Il ne supporte pas que des environnements Microsoft, mais bon nombre de solutions présentes sur le marché, notamment :
Microsoft RDP
Azure Virtual Desktop
Windows 365
Citrix HDX
Omnissa / VMware Horizon Blast
Nutanix Frame
Combien coûte RDA ?
Remote Display Analyzer est décliné en plusieurs éditions afin de répondre à des besoins différents. En plus de l’édition Community, il existe une édition Personal ainsi qu’une édition Company, qui offrent des fonctionnalités avancées adaptées à des usages plus professionnels ou à grande échelle :
Il existe une version gratuite de RDA : l’édition Community permet d’accéder aux statistiques temps réel du protocole d’affichage, ce qui est largement suffisant pour de nombreux scénarios de diagnostic et de troubleshooting :
Voici un lien de téléchargement de la version gratuite de RDA. Enfin les deux autres versions payantes sont plus complètes, et remontent plus données :
Comment fonctionne RDA ?
Comme annoncé plus haut, Remote Display Analyzer ne nécessite aucune installation préalable. L’outil se présente sous la forme d’un simple exécutable qui peut être lancé directement à l’intérieur d’une session distante, sans configuration particulière.
Voici un lien vers ses fonctionnalités. Dès que RDA est lancé, il détecte automatiquement :
le protocole utilisé
le mode d’affichage actif
l’encodeur vidéo
Dans le cas d’Azure Virtual Desktop, Remote Display Analyzer permet également de vérifier si la session utilise RDP Shortpath.
RDP Shortpath est un mode de transport UDP qui permet d’améliorer les performances et de réduire la latence dans les sessions AVD.
Lorsque Shortpath est actif, le trafic RDP ne passe plus uniquement par le service de gateway Azure, mais peut établir un chemin direct entre le client et la machine virtuelle.
Remote Display Analyzer permet de vérifier immédiatement si la session utilise le transport TCP classique ou le mode UDP (RDP Shortpath) :
C’est extrêmement utile lors de phases de troubleshooting pour vérifier si la configuration réseau permet bien l’utilisation de Shortpath.
Il affiche également différentes métriques en temps réel, comme par exemple :
bande passante utilisée
latence réseau
nombre de frames
frames perdues
GPU
Il vous informe sur les statistiques portant sur les paquets envoyés et les contraintes potentielles sur ces derniers, mais également sur les FPS envoyés :
Enfin, il vous donne des informations utiles sur le GPU :
Dans les environnements Azure Virtual Desktop ou Windows 365 utilisant des machines virtuelles avec GPU (par exemple NV-series ou NVads), l’encodage vidéo peut être offloadé vers le GPU. Lorsque cette accélération est active :
la charge CPU diminue
l’encodage vidéo devient plus rapide
l’expérience utilisateur est plus fluide
Remote Display Analyzer permet de vérifier si l’encodeur vidéo GPU est réellement utilisé et d’observer en temps réel la latence de l’encodeur ainsi que le nombre de frames générées.
Cela permet notamment de vérifier que les politiques GPU sont correctement appliquées sur les session hosts AVD.
Comment interpréter les métriques de RDA ?
Certaines métriques sont particulièrement utiles pour comprendre l’expérience utilisateur.
FPS :
Un environnement fluide tourne généralement entre 25 FPS et 60 FPS
En dessous de 20 FPS, les utilisateurs commencent souvent à percevoir des saccades.
Latence round-trip :
< 40 ms → excellent
40-80 ms → correct
100 ms → visible
Video Encoder Latency
Une latence encodeur trop élevée peut indiquer : CPU saturé, GPU absent, codec mal configuré
Qu’est-ce que les « Skipped Frames » ?
Dans les protocoles d’affichage distants, toutes les images générées par l’application ne sont pas forcément envoyées au client.
Lorsque certaines ressources deviennent limitées, le protocole peut décider d’ignorer certaines images afin de maintenir une expérience utilisateur acceptable.
Remote Display Analyzer permet d’identifier trois types de frames ignorées :
Skipped frames – client
Cela signifie que le client ne peut pas décoder ou afficher les images assez rapidement. Les causes les plus fréquentes sont :
client peu puissant
GPU absent
décodage vidéo logiciel
écran haute résolution
Skipped frames – network
Dans ce cas, c’est le réseau qui devient le facteur limitant. Le protocole décide alors de réduire le flux graphique. Cela peut être causé par :
bande passante insuffisante
latence élevée
pertes de paquets
congestion réseau
Skipped frames – server
Ici le problème vient du serveur lui-même. Cela peut être dû à :
CPU saturé
GPU saturé
trop de sessions par host
encodage vidéo trop lourd
Quelques exemples de problèmes que RDA permet d’analyser :
Un premier cas fréquent concerne la latence élevée dans les sessions distantes. Les utilisateurs peuvent ressentir un délai entre l’action réalisée sur le clavier ou la souris et la réaction affichée à l’écran. Dans ce type de situation, Remote Display Analyzer permet de visualiser la latence réseau, le nombre de frames envoyées et les éventuelles frames perdues afin d’identifier si le problème vient du réseau, du serveur ou du client.
Dans l’exemple ci-dessous, RDA analyse une session Windows 11 dans Azure Virtual Desktop :
Comme la vidéo le montre, il peut être très instructif de simuler différents niveaux de latence réseau afin d’observer comment la session se comporte dans des conditions WAN plus difficiles. Remote Display Analyzer permet alors de suivre en temps réel l’impact de la latence sur la fluidité et la réactivité.
Un autre problème courant concerne les vidéos ou les animations qui deviennent saccadées. Les utilisateurs peuvent par exemple remarquer que Microsoft Teams, YouTube ou certaines applications graphiques ne sont pas fluides. Dans ce cas, l’outil permet d’analyser le nombre d’images par seconde, le codec vidéo utilisé ainsi que la bande passante réellement consommée par la session :
On rencontre également souvent des problèmes d’image floue ou de compression trop forte. Dans ces situations, le texte peut sembler légèrement dégradé ou certaines images peuvent apparaître très compressées. Remote Display Analyzer permet alors de tester différents niveaux de compression et différentes qualités d’image afin de trouver le bon compromis entre qualité visuelle et consommation réseau.
Enfin, certains environnements rencontrent des problèmes de charge CPU trop élevée sur les serveurs. Cela peut se produire lorsque l’encodage vidéo est effectué par le CPU plutôt que par le GPU. Dans ce type de scénario, RDA permet de vérifier si l’encodage GPU est réellement utilisé ou si le CPU est responsable du traitement graphique :
Peut-on modifier certains réglages graphiques avec RDA ?
Ce qui rend l’outil vraiment intéressant est une autre capacité. Remote Display Analyzer permet de modifier certains paramètres d’affichage en live pour les environnements Citrix. Cela permet de faire des tests très rapides pour comprendre l’impact réel d’une configuration. Par exemple :
codec vidéo
profondeur de couleur
compression
qualité d’image
frames par seconde
Comme le rappelle l’éditeur dans leur FAQ, RDA nécessite les droits administrateur pour pouvoir effectuer ces modifications.
Conclusion
Remote Display Analyzer est un outil extrêmement simple, mais particulièrement utile dans les environnements EUC.
Lorsqu’un utilisateur signale que son bureau distant est lent ou que la vidéo est saccadée, il est souvent difficile de savoir immédiatement si le problème vient du réseau, du client, du serveur ou du protocole lui-même.
Grâce à ses métriques en temps réel et à sa capacité à modifier certains paramètres graphiques à la volée, Remote Display Analyzer permet de mieux comprendre le comportement du protocole d’affichage distant.
Pour les administrateurs travaillant avec Azure Virtual Desktop, Windows 365, Citrix ou Horizon, c’est clairement un outil que je recommande d’avoir dans sa boîte à outils de troubleshooting.
Le rachat de VMware par Broadcom a agi comme un électrochoc. Aujourd’hui, la question n’est plus faut-il migrer? , mais comment migrer sans tout casser ou y perdre tous ses cheveux?. Entre les solutions tierces payantes et les méthodes manuelles risquées, Microsoft a discrètement sorti une arme redoutable : l’extension VM Conversion pour Windows Admin Center (WAC).
Après avoir testé l’outil encore en préversion, je voulais partager avec vous mon expérience. Et pour vous guider plus facilement dans cet article très long, voici des liens rapides :
Le rachat de VMware par Broadcom a agi comme un électrochoc. Beaucoup de clients ont vu les coûts augmenter fortement après le rachat, car Broadcom a changé le modèle de licences (par exemple passage d’une licence perpétuelle à un modèle d’abonnement) et restructuré les offres. Certains ont reçu des renouvellements jusqu’à plusieurs fois plus chers qu’avant pour les mêmes besoins.
Ces changements rapides dans la structuration des produits, des bundles et du support ont créé de l’incertitude sur la roadmap et l’avenir des produits VMware, ce qui amène les DSI à repenser leurs choix technologiques à long terme
On retrouve d’ailleurs pas mal de blogueurs parlant de cet exode :
Présent depuis des années, Windows Admin Center (souvent abrégé WAC) est un outil d’administration web développé par Microsoft pour gérer des serveurs Windows, des clusters et des environnements hyperconvergés, depuis une interface moderne accessible via navigateur.
Concrètement, Windows Admin Center vous permet d’administrer, sans passer par du RDP, un grand nombre de services Microsoft :
Windows Server
Hyper-V
Clusters (Failover Clustering)
Machines virtuelles
Serveurs distants (on-prem ou Azure)
Stockage (Storage Spaces Direct)
Qu’est-ce que l’extension VM Conversion ?
C’est un nouvel outil Microsoft intégré à Windows Admin Center qui permet de migrer des machines virtuelles depuis VMware vCenter/ESXi vers Hyper-V, en mode agentless :
Actuellement, Il s’agit d’une extension prévue pour minimiser le temps d’arrêt grâce à la réplication en ligne des disques.
Attention, cette extension n’est pas pour but de migrer vers Azure Local. Un autre article déjà écrit il y a plusieurs mois traite de ce type de migration : de VMware à Azure Local.
Combien coûte VM Conversion ?
L’extension est actuellement en préversion. Son usage n’implique aucun coût de licence supplémentaire, mais pas non plus de support garanti par Microsoft.
Tous les vCenter VMware 6.x, 7.x et 8.x sont pris en charge
Côté OS invités :
Windows Server 2025, 2022, 2019, 2016, 2012 R2
Windows 10/11
Ubuntu 20.04, 24.04
Debian 11, 12
Alma Linux
CentOS
Red Hat Linux 9.0
L’extension fonctionne également dans un environnement Hyper-V en cluster (WSFC) : elle est cluster-aware et détecte correctement les nœuds et ressources.
Il supporte la migration de VM depuis ESXi vers des clusters Windows Server Failover (WSFC) sous Hyper-V. Vous pouvez donc distribuer les VM migrées sur plusieurs nœuds Hyper-V pour HA ou performances.
Quels sont les prérequis pour VM Conversion?
Côté Windows Admin Center :
WAC en version au moins v2410 build 2.4.12.10 ou supérieure
PowerShell et PowerCLI installés
VMware VDDK version 8.0.3 installé
Visual Studio 2013 et 2015 installés
Côté Hyper-V :
le rôle Hyper-V doit être installé sur le (s) hôte (s) cible
Le compte utilisé durant le processus doit être administrateur local ou membre du groupe Hyper-V Administrators).
Si des VMs migrées sont sous Linux, les modules Hyper-V (hv_vmbus, hv_netvsc, hv_storvsc) et Linux Integration Services (hyperv-daemons ou linux-cloud-tools) doivent être pré-installés dans l’initramfs avant migration.
Combien de VM puis-je migrer simultanément ?
Jusqu’à 10 machines virtuelles par lot. On peut grouper ces machines selon leur dépendance applicative, leur placement dans un cluster ou même selon des critères métier (ex : séparer environnement de test/prod). Cela facilite les migrations massives par workload.
Comment l’outil VM Conversionmarche ?
Microsoft explique bien les deux phases présentes dans l’outil VM Conversion :
Synchronisation : l’extension effectue une copie complète initiale des disques de la machine virtuelle pendant que la VM source continue de fonctionner. Cette phase minimise les temps d’arrêt en vous permettant de planifier la migration finale à un moment qui vous convient.
Migration : l’extension utilise la fonctionnalité Change Block Tracking (CBT) pour rechercher et répliquer uniquement les blocs modifiés depuis la dernière synchronisation. Pendant la transition, la machine virtuelle source est mise hors tension et une synchronisation delta finale capture toutes les modifications restantes avant d’importer la machine virtuelle dans Hyper-V.
Pendant la phase de synchronisation, la VM source continue de tourner, pendant qu’une copie initiale des disques est envoyée sur l’hôte Hyper-V, via la création d’un snapshot pour suivre les changements.
Au moment de la bascule, la VM source est arrêtée pour un dernier delta-sync avant import; ce processus réduit donc au minimum la fenêtre d’arrêt.
Que devient VMware Tools sur le VM migré ?
La présence de VMware Tools dans une VM sous Hyper-V peut provoquer des conflits de pilotes, donc il vaut mieux les retirer.
Initialement, il fallait supprimer les outils VMware Tools manuellement après la bascule vers Hyper-V.
Depuis la version 1.8.0, l’extension supprime automatiquement VMware Tools sur les VM Windows migrées en fin de processus.
Pour les VM Linux, il est recommandé de ne pas réinstaller open-vm-tools sur la cible Hyper-V (on s’appuie uniquement sur les pilotes Hyper-V ajoutés).
Et enfin, comme toujours, je vous propose dans la suite de cet article d’effectuer ensemble un pas à pas pour couvrir la migration de machines virtuelles hébergées sur VMware vers Hyper-V :
Des prérequis sont nécessaires pour réaliser cet exercice dédié à la migration d’une machine virtuelle hébergée sur VMware vers Hyper-V via Windows Admin Center. Pour tout cela, j’ai utilisé :
Un environnement VMware
Un environnement Hyper-V
Une connexion réseau entre le réseau les deux hyperviseurs
Commençons par l’installation de Windows Admin Center sur une nouvelle machine hébergée sur VMware.
Etape I – Installation de Windows Admin Center :
Sur une machine virtuelle dédiée dans votre environnement VMware, téléchargez la dernière version de Windows Admin Center depuis la page officielle de Microsoft :
Choisissez l’installation avec l’option Express :
Dans cette démonstration, utilisez un certificat temporaire :
Lancez l’installation :
Une fois l’installation terminée, ouvrez la page de Windows Admin Center, puis authentifiez-vous avec votre compte :
Une fois connecté dans la console Windows Admin Center, attendez quelques minutes la fin de l’installation des extensions préinstallées :
Rendez vous dans les paramétrages dans WAC afin d’ajouter l’extension dédiée à la migration :
Etape II – Installation de prérequis WAC :
Comme indiqué dans la documentation Microsoft, certains prérequis doivent être installés sur la machine de Windows Admin Center.
Récupérez et décompressez VMware Virtual Disk Development Kit (VDDK), en version 8.0.3, dans le dossier WAC suivant :
Redémarrez ensuite votre machine virtuelle contenant Windows Admin Center.
Etape III – Connexion à Hyper-V depuis WAC :
Une fois la machine virtuelle WAC redémarrée, rouvrez la console, puis cliquez ici pour ajouter une connexion vers votre serveur Hyper-V :
Cliquez sur Ajouter :
Renseignez l’adresse IP de votre Hyper-V, les éléments d’identification, puis cliquez sur Ajouter :
La connexion est établie, cliquez dessus pour l’ouvrir :
Dans le menu de gauche, cherchez l’extension consacrée à la migration, cochez la case suivante pour installer PowerCLI, puis cliquez ici :
Attendez la fin de l’installation de PowerCLI :
Une fois l’installation terminée, cliquez ici ajouter une connexion à votre vCenter, renseignez vos informations de connexion, puis cliquez ici :
Une fois la connexion établie avec vCenter, les machines virtuelles s’afficheront :
Le protocole de test est maintenant en place. Commençons les tests par la migration d’une machine virtuelle fonctionnant sous Windows Server.
Etape IV – Test Windows : Synchronisation de la VM :
Toujours dans la liste des machines virtuelles, cochez sur une des VMs Windows disponibles, puis cliquez ici pour démarrer la synchronisation :
Renseignez le dossier de destination sur votre serveur Hyper-V, puis cliquez sur Synchroniser :
La phase de vérification préalable à la migration vient de démarrer (accessibilité, compatibilité matérielle, compatibilité OS, configuration réseau, …) :
La première copie des disques VMDK vers Hyper-V est en cours pour la création des fichiers VHDX par la suite :
Constatez d’ailleurs la création du dossier sur le serveur Hyper-V :
La migration passe en mode synchronisation différentielle afin de ne copier que les blocs modifiés depuis la synchronisation initiale, réduisant ainsi le volume de données à transférer avant le cutover :
Provisioning du disque cible Hyper-V (VHDX) : l’infrastructure prépare le stockage avant l’application des blocs synchronisés issus de la VM VMware :
Phase de delta sync : les blocs modifiés identifiés via CBT sont appliqués au disque Hyper-V afin d’aligner la VM cible avec l’état courant de la VM source :
Le monitoring de la carte réseau montre bien le transfert des données :
Synchronisation complète (100 %) : l’intégralité des données de la VM source est maintenant répliquée côté Hyper-V :
La VM cible est maintenant entièrement alignée avec la VM VMware et peut être basculée vers Hyper-V avec un dernier delta minimal.
Nous allons pouvoir procéder à la migration.
Etape V – Test Windows : Migration de la VM :
A ce stade, la machine virtuelle sous VMware est toujours allumée :
Testez le delta de migration en rajoutant sur votre machine virtuelle source de nouveaux fichiers :
Retournez ensuite sur Windows Admin Center afin de lancer la migration de celle-ci :
Choisissez ou non de désinstaller les outils VMware, puis cliquez ici :
Lancement de la migration : exécution des vérifications préalables avant bascule définitive vers la VM Hyper-V cible :
Vérifications pré-migration terminées : la synchronisation finale des blocs modifiés (delta sync) est en cours avant l’arrêt et la bascule de la VM :
Un snapshot est bien créé côté VMware :
Delta Sync en cours : application des derniers blocs modifiés afin d’aligner définitivement la VM cible avant le cutover final vers Hyper-V.
Arrêt de la VM source : la machine VMware est éteinte et la phase finale de synchronisation est lancée avant le démarrage côté Hyper-V :
La machine virtuelle est bien arrêtée côté VMware :
Migration terminée (100 %) : la VM cible Hyper-V est créée, synchronisée et prête à être démarrée en production :
La VM migrée s’exécute désormais sur Hyper-V, confirmant le succès du cutover depuis l’environnement VMware :
Windows détecte un arrêt inattendu lié au cutover, confirmant que la VM a bien été basculée depuis l’environnement VMware vers Hyper-V :
Erreur VMware Tools au premier démarrage : les anciens composants VMware, désormais incompatibles sous Hyper-V, doivent être désinstallés après la migration :
Désinstallez les VMware Tools devenus inutiles après le passage de la VM sous Hyper-V :
Les fichiers créés avant la commande Migrate sont bien présents après la bascule, confirmant l’intégrité de la synchronisation finale :
Notre serveur Windows a bien été migré depuis VMware vers Hyper-V avec succès. Testons maintenant la même opération avec un serveur Linux.
Etape VI – Test Linux : Synchronisation de la VM :
Exemple réalisé ici sur AlmaLinux / RHEL-like. Le but étant de :
Désinstaller VMware Tools
Installer composants Hyper-V
Recréer initramfs si nécessaire
Reboot
Pour cela créez une machine virtuelle Linux dont l’OS est compatible avec l’outil de Migration :
Avant la migration, ajoutez les pilotes Hyper-V à l’initramfs, reconstruction avec dracut, puis redémarrage pour assurer un démarrage correct sous Hyper-V.
Toujours avant la migration, installez des services d’intégration Hyper-V (hyperv-daemons) afin d’optimiser les performances et l’interaction entre la VM Linux et l’hôte Hyper-V.
Exemple réalisé sur une distribution RHEL-like (AlmaLinux / Rocky / RHEL). (Adaptez la commande si vous êtes sur Ubuntu ou Debian) :
sudo dnf install hyperv-daemons -y
Vérifiez le chargement des modules Hyper-V (hv_*) dans le noyau Linux afin de confirmer la bonne prise en charge de l’environnement Hyper-V :
Toujours dans la liste des machines virtuelles, cochez sur une des VMs Linux disponibles, puis cliquez ici pour démarrer la synchronisation :
Renseignez le dossier de destination sur votre serveur Hyper-V, puis cliquez sur Synchroniser :
La phase de vérification préalable à la migration vient de démarrer (accessibilité, compatibilité matérielle, compatibilité OS, configuration réseau, …) :
La première copie des disques VMDK vers Hyper-V est en cours pour la création des fichiers VHDX par la suite :
Constatez d’ailleurs la création du dossier sur le serveur Hyper-V :
La migration passe en mode synchronisation différentielle afin de ne copier que les blocs modifiés depuis la synchronisation initiale, réduisant ainsi le volume de données à transférer avant le cutover :
Phase de delta sync : les blocs modifiés identifiés via CBT sont appliqués au disque Hyper-V afin d’aligner la VM cible avec l’état courant de la VM source :
Le monitoring de la carte réseau montre bien le transfert des données :
Synchronisation complète (100 %) : l’intégralité des données de la VM source est maintenant répliquée côté Hyper-V :
La VM cible est maintenant entièrement alignée avec la VM VMware et peut être basculée vers Hyper-V avec un dernier delta minimal.
Nous allons pouvoir procéder à la migration.
Etape VII – Test Linux : Migration de la VM :
Retournez ensuite sur Windows Admin Center afin de lancer la migration de celle-ci :
Lancement de la migration : exécution des vérifications préalables avant bascule définitive vers la VM Hyper-V cible :
Arrêt de la VM source : la machine VMware est éteinte et la phase finale de synchronisation est lancée avant le démarrage côté Hyper-V :
La machine virtuelle est bien arrêtée côté VMware :
Migration terminée (100 %) : la VM cible Hyper-V est créée, synchronisée et prête à être démarrée en production :
La VM migrée s’exécute désormais sur Hyper-V, confirmant le succès du cutover depuis l’environnement VMware :
Conclusion
La migration d’un environnement VMware vers Hyper-V n’est jamais une décision anodine. Elle est souvent motivée par des enjeux économiques, stratégiques ou organisationnels. Mais quelle qu’en soit la raison, elle doit rester avant tout une opération maîtrisée, structurée et techniquement fiable.
L’extension VM Conversion de Windows Admin Center n’est pas un simple assistant graphique. Elle propose une approche orchestrée et cohérente : synchronisation initiale, delta via CBT, puis phase de bascule contrôlée. Ce n’est pas “magique” et cela ne dispense pas d’une préparation sérieuse. En revanche, l’outil apporte un cadre clair qui simplifie fortement un processus historiquement complexe.
Dans mes tests, l’expérience s’est révélée stable et lisible. La gestion des clusters Hyper-V (WSFC), la logique de synchronisation progressive et l’interface unifiée dans WAC rendent la migration bien plus accessible qu’avec des méthodes artisanales. Cela reste une extension en preview, donc à évaluer sérieusement en environnement de test avant toute utilisation en production, mais la base technique est solide.
Ce qui est certain, c’est qu’une alternative crédible existe désormais pour les organisations qui souhaitent diversifier ou repositionner leur stratégie d’hyperviseur. La migration ne doit plus être perçue comme un saut dans l’inconnu, mais comme un projet structuré, pilotable et documenté.
Combien de clics faut-il réellement pour capturer proprement une image AVD, la versionner dans une galerie, puis redéployer 10 hôtes sans erreur ? Si vous administrez Azure Virtual Desktop au quotidien, vous connaissez la réalité : le portail Azure fonctionne très bien… mais l’opérationnel est répétitif, chronophage, et parfois fragile. Image → Sysprep → Snapshot → Galerie → Version → Déploiement → Intégration au pool → Vérifications. Et on recommence !
Azure Virtual Desktop a énormément évolué ces dernières années. Builder, améliorations ARM/Bicep, automatisations natives… mais malgré tout, dans la vraie vie d’un admin ou d’un architecte, on cherche surtout à raccourcir la boucle opérationnelle.
C’est exactement là que WVDAdmin entre en jeu. Un outil communautaire, simple, direct, qui ne cherche pas à réinventer AVD, mais à compresser le quotidien.
Et pour vous guider plus facilement dans cet article très long, voici des liens rapides :
WVDAdmin est un outil graphique communautaire pour administrer Azure Virtual Desktop (anciennement Windows Virtual Desktop) via une application installée localement. WVDAdmin a été développé par Marcel Meurer et est disponible via son blog ITProCloud.
Qui est Marcel Meurer ?
Marcel Meurer est un expert allemand spécialisé dans Azure Virtual Desktop (AVD) et l’automatisation Azure. Il a reçu une double nomination en tant que Microsoft MVP, et il fait partie de ce prestigieux programme depuis plus de onze années.
Marcel Meurer est également le créateur de Hydra for Azure Virtual Desktop. Nous reviendrons sur Hydra for Azure Virtual Desktop dans un prochain article.
Que peut-on faire avec WVDAdmin ?
Une bonne manière de comprendre WVDAdmin est la suivante : il ne cherche pas à « remplacer Azure Virtual Desktop », mais à compresser la boucle opérationnelle (image → déploiement → exploitation → mise à jour) en moins de clics et dans une interface unique.
Workflow d’image golden : création d’images à partir d’un « golden master » sans détruire la VM maître/modèle, avec gestion de Sysprep, des applications modernes et des opérations de nettoyage.
Déploiement (rollout) : déploiement de plusieurs hôtes de session, choix des tailles de VM par déploiement, prise en charge des disques éphémères, et options telles que « AAD only / joint à MEM/Intune » (selon l’auteur).
Opérations sur les ressources AVD : création, ajout et suppression de pools d’hôtes, groupes d’applications, espaces de travail et hôtes de session.
Opérations sur les sessions : déconnexion, délogage, envoi de messages et shadowing.
Opérations générales sur les VM Azure : inventaire des VM sur plusieurs abonnements (via Azure Resource Graph, avec un délai signalé), exécution de scripts à distance, snapshots/restaurations, et même réduction de la taille des disques OS.
Opérations en simultané : WVDAdmin supporte plusieurs tâches en simultané afin de gagner en efficacité.
WVDAdmin vs Hydra for AVD ?
WVDAdmin est à l’origine un outil communautaire gratuit pour Azure Virtual Desktop. WVDAdmin est intéressant lorsqu’on cherche une méthode rapide pour faire de l’imaging et du déploiement AVD. C’est une application Windows utilisée de manière interactive, donc sans automatisation planifiée.
Hydra en est une évolution plus avancée et orientée production (autoscaling, multi-tenant, orchestration plus poussée, etc.). Hydra apporte l’automatisation complète, l’optimisation des coûts, le monitoring via l’Hydra Agent, et supporte aussi des scénarios Azure Local.
WVDAdmin est donc un choix pertinent si l’on veut éviter de déployer des ressources supplémentaires Azure comme celles nécessaires pour Hydra.
Critère
WVDAdmin
Hydra
Type
Outil GUI local
Plateforme SaaS
Autoscaling
❌
✅
Multi-tenant
Limité
Oui
Coût
Gratuit
Payant
Infrastructure supplémentaire
Non
Oui
Est-ce que WVDAdmin est toujours maintenu ?
L’outil WVDAdmin existe maintenant depuis au moins 5 ans. WVDAdmin est toujours maintenu, mais n’est peut-être plus aussi activement développé comme avant (les efforts d’amélioration sont principalement concentrés sur Hydra).
Il reçoit encore des mises à jour, principalement pour prendre en compte les nouveaux SKUs Azure, corriger des bugs ou assurer la compatibilité avec certains changements d’API :
Quoi qu’on en dise, plusieurs dernières releases de WVDAdmin sont sorties en 2026, avec une dernière version publiée le 06/02/2026 :
Combien coûte WVDAdmin ?
Là encore nous pouvons lui dire merci, car WVDAdmin un outil licence-free pour Azure Virtual Desktop, utilisable sans frais supplémentaires pour l’administration des ressources AVD via une application Windows.
WVDAdmin accès aux ressources Azure par le biais d’un principal de service, protégé par un secret. Celui-ci dispose de permissions sur AVD et sur les ressources Azure. L
’objectif est notamment d’éviter toute confusion lorsque l’administrateur IT est un compte invité dans un tenant client et doit changer régulièrement de tenant.
Voici d’ailleurs un exemple de fonctionnement dans le cadre de plusieurs tenants :
Comment WVDInfra marche ?
Au travers de sa chaîne YouTube, Marcel a mis à disposition une playlist spécifiquement consacré à WVDInfra, de son installation à différentes qu’il peut faire sur votre environnement Azure Virtual Desktop :
Et enfin, comme toujours, je vous propose dans la suite de cet article d’effectuer ensemble un pas à pas pour couvrir l’installation de WVDInfra, sa mise en service, la capture d’une image Windows 11 custom et enfin la création d’une hôte dans un environnement AVD :
Lancez l’installation en spécifiant le contexte d’utilisation de celle-ci, puis cliquez sur Suivant :
Acceptez les termes et conditions, puis cliquez sur Suivant :
Cliquez sur Suivant pour démarrer l’installation :
Une fois l’installation réussie, cliquez ici pour fermer :
Cliquez sur WVDAdmin présent dans dans le menu Démarrer :
WVDAdmin se charge et n’affiche pour le moment aucune ressource ou information de l’environnement Azure :
Pour cela WVDInfra vous demande les informations suivantes sur l’onglet « Welcome » :
l’ID de tenant
le secret client
l’ID client du principal de service
Mais avant d’aller plus loin, il est nécessaire de configurer ce nouveau principal de service sur votre tenant afin de donner à WVDInfra un moyen de s’y authentifier :
Etape II – Configuration Entra :
La création du principal de service via le centre d’administration Entra :
Nommez votre application, puis cliquez ici :
Pour permettre la résolution des utilisateurs et groupes, des permissions doivent être rajoutées :
Cherchez la permission suivante, puis cliquez sur Ajouter :
WVDInfra a besoin d’un consentement administration afin d’accorder les permissions demandées au nom de toute l’organisation :
Vérifiez le changement de statut des permissions :
Le client secret est l’équivalent d’un mot de passe pour l’application. Il sert à authentifier l’application lorsqu’elle demande un token OAuth à Microsoft Entra ID. Ajoutez un secret à votre application WVDInfra :
Copiez la valeur de votre secret immédiatement lors de sa création, car il ne sera plus affiché par la suite :
L’ID d’application (client) et l’ID du tenant doivent être conservés pour la suite :
Collez ces trois valeurs dans l’interface de WVDInfra, sauvegardez, puis lancez un rechargement de l’inventaire :
A ce stade, WVDInfra a bien accès au tenant mais pas encore au ressource Azure :
En l’état, l’application WVDInfra a le service principal, avec qui il peut s’authentifier avec son client ID et son secret, mais n’a par défaut aucun droit sur les ressources Azure. Il peut demander un token, mais ce token ne lui permet rien tant qu’on ne lui attribue pas un rôle RBAC.
Etape III – Configuration Azure :
WVD infra doit modifier des ressources Azure. Et attribuer un rôle RBAC au service principal WVDInfra revient à dire : “Cette application a le droit de faire telle action, sur tel périmètre.”
Pour cela, configurez avec le rôle RBAC de Contributeur sur l’application WVDInfra :
Sur WVDInfra, relancez un rechargement afin de voir apparaître l’inventaire des groupes de ressources et des VMs :
Etape IV – Test de capture d’une VM :
Microsoft recommande que tous les hôtes de session d’un pool soient issus de la même image afin de garantir une expérience utilisateur cohérente. WVDAdmin positionne l’imagerie comme une fonctionnalité centrale : création d’images à partir d’un golden master sans détruire la VM source.
Créez une machine virtuelle Azure :
Créez également une galerie d’images :
Sur WVDInfra, lancez la création d’image depuis votre machine virtuelle :
Les journaux de WVDInfra commence par montrer la création de ressources Azure temporaires (snapshot, VM temporaire, disque temporaire) :
Par la suite, les journaux de WVDInfra montre la généralisation de l’image, la création de la version dans la galerie :
Enfin, les journaux de WVDInfra montre le nettoyage complet des ressources Azure temporaires :
En quelques clics, nous avons une image prête à être déployée sur votre environnement Azure Virtual Desktop. La suite des étapes se fait toujours dans WVDInfra.
Etape V – Test de création d’un hôte :
Avant cela, créez les objets AVD de base (pools d’hôtes, groupes d’applications, espaces de travail) :
Retournez sur WVDInfra, sélectionnez la version d’image, puis lancez le processus de création d’hôtes AVD :
Renseignez le formulaire de déploiement :
le nommage des VM,
le nombre d’hôtes,
la version d’image,
le pool d’hôtes,
le sous-réseau,
les paramètres de disque,
la taille des VM,
les options de jointure Entra / Intune.
Puis lancez la création des machines virtuelle AVD :
Les journaux confirment la création de la VM et de son intégration au pool d’hôtes :
Constatez sur le portail Azure la création de ressources :
Votre pool d’hôtes affiche la nouvelle capacité disponible :
Dams mon cas, l’hôte de session apparait comme appareil joint à Entra ID :
Cette hôte de session est également enrôlés dans Intune :
Un test en session (nom de machine, version de l’OS, application installée) valide le bon fonctionnement :
Etape VI – Fonctionnalités annexes :
WVDAdmin couvre également beaucoup d’opérations IT sur les machines virtuelles Azure :
démarrage, arrêt, redémarrage, hibernation
changement de taille de la VM
Certains actions particulières, comme l’exécution de scripts, sont possibles :
Ou encore la création de snapshot ou le redimensionnement de disque OS :
D’autres sont propres aux machines virtuelles AVD :
gestion du mode drain
actions sur les sessions
suppression complète de l’hôte
Il permet aussi de modifier les affectations se font au niveau des groupes d’applications :
La gestion des applications publiées aussi possible :
Mon avis personnel
Je vais être clair. WVDAdmin n’est pas un remplacement du portail d’Azure Virtual Desktop. Ce n’est pas non plus une solution d’architecture d’entreprise complète. C’est un accélérateur opérationnel.
Et dans certains un contextes, WVDAdmin est redoutablement efficace :
Lab
PoC
Environnement SMB
Client où l’on veut éviter de déployer une surcouche d’automatisation complète
Équipe IT réduite
La capture d’image est propre, le déploiement est rapide, L’interface centralise ce que le portail disperse. Besoin de plus ? Hydra for AVD sera peut être votre réponse.
Conclusion
Azure Virtual Desktop continue de se moderniser, les outils natifs progressent et l’automatisation devient centrale.
Mais entre la théorie et le terrain, il y a toujours l’opérationnel quotidien. WVDAdmin n’a jamais prétendu pas transformer votre architecture, mais il simplifie votre quotidien. Il évite les allers-retours dans le portail, réduit la friction et accélère les tâches répétitives.
Dans un monde où l’on parle beaucoup d’IA, d’automatisation avancée et de plateforme complexe, parfois un bon outil bien conçu fait simplement gagner du temps.
Et en tant qu’architecte AVD, je préfère toujours une solution claire, maîtrisée et comprise, plutôt qu’une sur-ingénierie inutile.
WVDAdmin ne remplace pas une stratégie, il optimise l’exécution. Et ça, pour un admin AVD, ça a énormément de valeur.
Je voulais vérifier un point : un disque OS éphémère (Ephemeral OS Disk) peut être placé sur Temp, NVMe ou Cache selon la série de votre VM. La documentation Microsoft indique que l’option de placement ne change pas la performance ni le coût de l’Ephemeral OS Disk, car la perf dépend du stockage local disponible sur le SKU.
Dans la vraie vie (et dans mes chiffres) : même si les trois restent “OS + éphémère”, le placement change le chemin I/O réel, et donc le comportement sous pression : la différence la plus visible n’est pas toujours l’IOPS moyen, mais la distribution de latence (p95/p99/p99.9) et la stabilité en charge soutenue.
Plusieurs articles ont déjà été écrits sur les performances de stockages Azure :
Mais avant d’aller directement dans les tests, prenons le temps de parcourir ensemble quelques notions concernant le stockage temporaire local attaché une machine virtuelle.
Qu’est-ce qu’un stockage temporaire local ?
Certaines tailles de machine virtuelle Azure incluent un stockage local temporaire éphémère, certaines des tailles les plus récentes utilisant des disques NVMe locaux temporaires.
Le stockage temporaire local utilise des disques supplémentaires approvisionnés directement en tant que stockage local sur un hôte de machine virtuelle Azure, plutôt que sur le stockage Azure distant. Ce type de stockage convient le mieux aux données qui n’ont pas besoin d’être conservées définitivement, telles que les caches, les mémoires tampons et les fichiers temporaires.
Le disque temporaire (souvent D: sous Windows) est un disque local éphémère classique : les données sont potentiellement perdues en si maintenance/redeploy/deallocate. Un disque OS éphémère peut être placé dessus (Temp placement, NVMe, ou sur le cache disk) selon le SKU de la machine virtuelle :
Étant donné que les données stockées sur ces disques ne sont pas sauvegardées, elles sont perdues lorsque la machine virtuelle est libérée ou supprimée. Le stockage éphémère est recréé au démarrage. Les disques éphémères locaux sont différents des disques de système d’exploitation éphémères.
Un disque OS éphémère est un disque système stocké localement sur l’hôte Azure, et non sur un stockage distant Azure Storage. Le point le plus important est que celui-ci est non persistant : en cas de redéploiement, de recréation, le disque OS éphémère revient toujours à l’image de départ.
Les disques de système d’exploitation éphémères sont créés sur le stockage local de la machine virtuelle (VM) et ne sont pas enregistrés dans le Stockage Azure à distance.
Le premier avantage concerne le prix : On ne paye pas le volume de stockage du disque éphémère. Celui-ci est intégré au prix de la machine virtuelle. De plus, les performances sont bien meilleures que la plupart des disques :
Les disques OS éphémères conviennent parfaitement aux charges de travail sans état, dans lesquelles les applications tolèrent les pannes de machines virtuelles individuelles tout en restant sensibles aux délais de mise en service ou à la réimagerie d’instances spécifiques.
Comparé à un disque de système d’exploitation standard, un disque éphémère offre une latence plus faible pour les opérations de lecture/écriture et permet une réinitialisation plus rapide des machines virtuelles.
Comme annoncé plus haut, le disque OS éphémère ne doit pas contenir de la donnée critique. De plus, des fonctionnalités basiques ne sont pas disponibles :
Arrêt / Démarrage de la VM
Capture d’image VM
Captures instantanées de disque
Azure Disk Encryption
Échanges de disques système d’exploitation
Sur le portail Azure, certains menus sont tout simplement grisés pour ce type de VM :
Les fonctionnalités de sauvegarde et de reprise d’activité après sinistres sont elles aussi désactivés :
Comment savoir si le SKU de ma VM dispose d’un stockage temporaire local ?
La doc détaille trois placements possibles selon les VM :
NVMe Disk Placement (GA sur des séries récentes v6+)
Temp Disk / Resource Disk Placement
Cache Disk Placement
La nature et le volume du stockage temporaire local dépend en effet de la famille et du SKU de votre machine virtuelle :
Quid de la SLA d’une VM avec un disque OS éphémère ?
Le base disk influence l’engagement contractuel et certaines phases de provisioning, mais il ne modifie pas le chemin I/O steady-state de l’OS.
Depuis peu, Azure permet de choisir le type de “base disk” associé à un disque OS éphémère : Standard HDD, Standard SSD ou Premium SSD.
Attention cependant, ce “base disk” ne correspond pas au support physique sur lequel l’OS s’exécute.
Dans le cas d’un disque OS éphémère, le système fonctionne toujours sur le stockage local de l’hôte (NVMe / Temp / Cache selon le placement). Le type de base disk désigne le type de disque managé logique utilisé par Azure lors du provisioning et pour l’engagement contractuel.
La prise en charge SSD est une nouvelle option qui permet aux clients de choisir le type de disque principal utilisé pour le disque d’OS éphémère. Auparavant, le disque de base ne pouvait être qu’un HDD standard. À présent, les clients peuvent choisir entre les trois types de disques : HDD Standard (Standard_LRS), SSD Standard (StandardSSD_LRS) ou SSD Premium (Premium_LRS). En utilisant SSD avec disque de système d’exploitation éphémère, les clients peuvent bénéficier des améliorations suivantes :
Contrat SLA amélioré : les machines virtuelles créées avec SSD Premium fournissent un contrat SLA supérieur à celui des machines virtuelles créées avec hDD Standard. Les clients peuvent améliorer le contrat SLA pour leurs machines virtuelles éphémères en choisissant SSD Premium comme disque de base.
Le choix du base disk peut améliorer la SLA contractuelle de la VM.
Il peut également influer sur certaines phases spécifiques (provisioning, re-imaging, lectures liées au backing managed disk).
En revanche, il ne modifie pas les performances steady-state du stockage local sur lequel tourne réellement l’OS.
Autrement dit :
Choisir Premium SSD comme base disk améliore la SLA et certains scénarios liés au provisioning, mais ne transforme pas un placement NVMe ou Temp en Premium SSD local.
Pourcentage de disponibilité (SSD Premium, SSD Premium v2 et Ultra Disk)
Pourcentage de disponibilité (disque géré SSD standard)
Pourcentage de disponibilité (disque géré HDD standard)
Avoir Service
< 99,9 %
< 99,5 %
< 95 %
10 %
< 99 %
< 95 %
< 92 %
25 %
< 95 %
< 90 %
< 90 %
100 %
Quid des performances d’une VM avec un disque OS éphémère ?
Le disque OS éphémère exploite le stockage local intégré à la machine virtuelle. Étant donné que différentes machines virtuelles ont différents types de stockage local (disque de cache, disque temporaire et disque NVMe), l’option de placement définit l’emplacement où le disque de système d’exploitation éphémère est stocké. Le choix du placement n’influence ni les performances ni le coût du disque OS éphémère. Ses performances reposent sur le stockage local de la machine virtuelle. Selon le type de machine virtuelle, trois modes de placement sont proposés.
Placement de disque NVMe (généralement disponible) : le type de placement de disque NVMe est désormais en disponibilité générale (GA) sur la dernière série de machines virtuelles v6 de la dernière génération, comme Dadsv6, Ddsv6, Dpdsv6, etc.
Placement de disque temporaire (également appelé Placement de disque de ressources) : le type de placement de disque temporaire est disponible sur les machines virtuelles avec un disque temp comme Dadsv5, Ddsv5, etc.
Emplacement du disque de cache : le type de placement du disque de cache est disponible sur les anciennes machines virtuelles qui avaient un disque de cache tel que Dsv2, Dsv3, etc.
La performance théorique dépend du SKU, pas du placement. En revanche, comme chaque placement repose sur un support physique différent (NVMe, temp disk, cache disk), le comportement réel sous charge peut varier sensiblement.
Mais cette seconde partie de la documentation Microsoft m’intrigue quand même :
Amélioration des performances : en choisissant SSD Premium comme disque de base, les clients peuvent améliorer les performances de lecture du disque de leurs machines virtuelles. Bien que la plupart des écritures se produisent sur le disque temporaire local, certaines lectures sont effectuées à partir de disques managés. Les disques SSD Premium fournissent 8 à 10 fois plus d’IOPS que hDD Standard.
J’ai créé plusieurs machines virtuelles avec le SKU Standard_D32ads_v7, dont voici les performances pour le stockage local :
Pourtant, les deux différents type de disque OS éphémère créés indiquent exactement les mêmes performances sur le portail Azure :
En extrapolant naïvement à partir de la capacité totale locale (440 Go x4), j’aurais pu m’attendre qu’en faisant un produit en croix basé sur la taille totale des 4 disques locaux attachés à ma VM, je m’attendais à trouver les performances suivantes sur mon disque OS éphémère :
IOPS max : 43296 IOPS
Bande passante max : 323 Mo/sec
Passons maintenant à l’approche utilisée pour mes tests.
Protocole de test que j’ai déployé :
Machines virtuelles Azure :
Pour éviter toute ambiguïté, les 4 VMs utilisent toutes un disque OS avec Windows Server 2022, mais sur des placements différents :
Nom de VM
SKU
Type de disque OS
perftemp
Standard_D32ads_v5
Ephemeral OS Disk – Temp placement
perfnvme-vm
Standard_D32ads_v7
Ephemeral OS Disk – NVMe placement
perfcache
Standard_D32ds_v4
Ephemeral OS Disk – Cache placement
perfssd
Standard_D32ads_v7
OS Disk Premium SSD (référence)
Outils de mesure :
Plusieurs outils de mesures ont été utilisés afin de mieux comprendre les performances :
L’outil a été laissé dans sa configuration de base. Cela permet de provoquer :
Meilleur profit des caches (OS, contrôleur, stockage local, cache host)
Meilleur visu du burst (très bon pendant un court moment)
Ne force pas steady-state
Comme attendu, cela donne des chiffres parfois “spectaculaires”, notamment en lecture. Et c’est exactement le biais évoqué plus haut qui en ressort :
Tests courts
Pas de warm-up réel
Influence potentielle du cache
CrystalDiskMark confirme les tendances générales, mais ne permet pas de juger la stabilité sous charge soutenue.
AS SSD Benchmark – Latence & Incompressible :
AS SSD Benchmark va un peu plus loin que CrystalDiskMark et donne d’autres infos : Seq / 4K / 4K-64Thrd + “Acc.time”. Cela donne dans les résultats une meilleure visibilité des différences d’écriture, parfois très forts selon le disque.
AS SSD est connu pour être très sensible à :
la façon dont le chemin I/O gère les écritures (flush, cache, barrières)
la latence (et il la met en avant via “Acc.time”)
et la façon dont le driver/stack de stockage réagit
AS SSD peut donc apparaître comme plus sévère que CrystalDiskMark sur les écritures quand il tombe sur un scénario où le stockage/driver applique davantage de contraintes (flush/ordering).
Les tests faits via AS SSD nous apporte donc ici deux éléments intéressants :
Mesure directe de latence d’accès
Test incompressible (moins biaisé par cache/compression)
Dans notre cas, on peut donc en déduire que disque éphémère NVMe domine clairement en latence pure, que le disque éphémère temporaire reste très proche, que le disque éphémère cache montre une latence un peu plus élevée, et que le disque Premium SSD affiche la latence la plus importante.
Le score global reflète davantage l’expérience “ressentie” qu’un simple IOPS max.
fio – tests soutenus proches d’un workload :
Contrairement à CrystalDiskMark (smoke test court) et AS SSD (latence & incompressible), fio permet de :
contrôler précisément le pattern I/O
imposer une durée suffisante
forcer le bypass du cache OS (–direct=1)
introduire une phase de warm-up
mesurer les percentiles élevés (p95, p99, p99.9)
Autrement dit, fio mesure le comportement soutenu proche d’un workload réel.
Je suis passé par Chocolatey pour installer fio sur mes 4 machines virtuelles Azure grâce au script PowerShell suivant :
J’ai ensuite lancé le script fio suivant sur chacun des machines virtuelles pour générer et centraliser mes résultats sur un Azure file share. Dans ce script, fio teste :
Random 4K en montée de charge (sweep de queue depth QD1→64) en lecture/écriture
Un “peak” comparable : random 4K QD32, 8 jobs (lecture + écriture).
Un run plus long “steady-state” : random write 4K QD32, 8 jobs (soutenu).
Le coût de la durabilité/synchronisation : random write 4K QD1, 1 job, fsync=1.
Le débit séquentiel : read/write 1M, QD32, 4 jobs.
Sur Temp, Cache et NVMe, on peut lire que Peak ≈ Steady. Cela signifie que :
Pas de burst artificiel
Pas d’effet cache court terme
Pas de chute après 30 secondes
Pas d’effondrement après warm-up
Le comportement observé est soutenu, et c’est extrêmement important, car beaucoup de benchmarks “rapides” montrent un pic initial qui s’effondre après 1 à 2 minutes. Ici, ce n’est pas le cas.
NVMe vs Temp : contre-intuitif
Intuitivement, on pourrait penser que NVMe est supérieur à Temp. Or, en écriture 4K soutenue :
Temp : 153k IOPS
NVMe : 60k IOPS
Ce n’est pas un artefact. De plus : Peak = Steady sur NVMe Cela indique un plafond structurel, pas un effet transitoire. La performance dépend donc du chemin I/O exposé par le SKU, pas uniquement de la nature “NVMe” du support. C’est un point fondamental.
Premium SSD : changement de catégorie
Enfin, nous sommes dans un monde différent avec le premium ssd, En 4K write steady, le Premium SSD monte à 2 926 IOPS, avec un pique à 3500 IOPS. On n’est plus dans la même catégorie. Le disque managé respecte son cap IOPS contractuel :
Ce test montre très clairement la différence entre un stockage managé distant avec limite provisionnée et stockage local intégré au SKU.
Si un stockage persistant est nécessaire, à vous maintenant de voir quel disque correspondra mieux à vos besoins :
Pourquoi regarder p99/p99.9 et pas juste les IOPS ?
Microsoft documente les notions de limites cached/uncached et le fait qu’un workload peut être IO capped. Quand cela arrive :
Les IOPS plafonnent
La file d’attente sature
La latence augmente
Ton plateau write NVMe en 4K random (QD sweep) a exactement la signature d’une limite plateforme. Deux disques peuvent faire 100k IOPS :
L’un avec P99.9 à 10 ms
L’autre avec P99.9 à 50+ ms
Ils n’auront pas du tout la même sensation côté OS. Le P99.9 capture les moments où :
la queue est saturée
un flush bloque
un throttling intervient
C’est ce qui compte en production.
Comment le cache d’Azure nous trompe ?
Microsoft indique qu’un disque avec host caching peut temporairement dépasser la limite disque. Cela explique pourquoi :
CrystalDiskMark peut afficher des chiffres “incroyables”
Un bench court peut mesurer le cache plutôt que le support réel
Si un benchmark va “trop vite”, c’est souvent un cache. De plus :
Microsoft recommande un warm-up
Les cached reads atteignent leurs meilleurs chiffres après stabilisation
Le cache modifie donc la mesure. En write, ce n’est pas magique :
Quand le caching est en Read/Write, l’écriture doit être validée dans le cache et sur le disque. Elle compte dans les limites cached et uncached. Le cache ne supprime pas la limite soutenue.
Pourquoi certains outils de mesure peuvent être trompeur lors de tests sur Azure ?
De ce fait, certains outils comme CrystalDiskMark, sont très bien pour un smoke test, mais :
Les durées courtes,
Les patterns,
et l’absence de phase de warm-up
font qu’ils mesurent souvent le cache, pas le support réel. Un chiffre « trop beau » est souvent… un cache.
La limite n’est pas le disque. C’est la VM :
VM
vCPU
Peak 4K Read
Peak 4K Write
Steady 4K Write
P99 Write (µs)
P99.9 Write (µs)
D32ads_v7
32
~146k
~60k
~60k
~601
~1048
D64ads_v7
64
~291k
~120k
~120k
~580
~1010
VM
Seq Read
Seq Write
D32ads_v7
~1071 MiB/s
~536 MiB/s
D64ads_v7
~2144 MiB/s
~1067 MiB/s
Ces nouveaux tests montrent un comportement très clair :
NVMe en D32 plafonne à ~60k IOPS write
Le même NVMe en D64 monte à ~120k IOPS
La latence reste comparable
Le support physique n’a pas changé. Le workload n’a pas changé. Le placement n’a pas changé.Ce qui a changé : le SKU, cela démontre que Le plafond de performance est imposé par la capacité I/O exposée par la VM, pas par le média NVMe lui-même.
Autrement dit, le NVMe ne “donne” pas 60k IOPS, la VM D32 expose 60k IOPS.
Mais attention, les chiffres donnés dans la documentation Microsoft décrivent le potentiel maximal du stockage local temporaire de la VM (souvent agrégé sur plusieurs disques). Un disque OS éphémère ‘NVMe placement’ n’est pas automatiquement équivalent à ce chemin I/O, et un test ‘fichier’ ajoute un overhead. On compare donc des plafonds de nature différente.
Pourquoi les tests “fsync=1” ne prouvent pas la durabilité ?
fsync=1 mesure le coût d’un flush côté OS, mais ne prouve pas la persistance réelle sur le média ou la résistance à un crash hôte. fio indique qu’en non-buffered I/O, il peut ne pas sync comme attendu :
fsync=1 force un flush côté OS
mais ça ne valide pas une persistance réelle côté hyperviseur / host
ce n’est pas un test de crash-consistency
Donc si tu veux un “durability test”, il faut une variante (ex : buffered ou job dédié) et mesurer la phase sync séparément.
Conclusion
Si je résume :
Les trois disques OS éphémères surpassent le Premium SSD managé
NVMe offre une latence très stable et évolue fortement avec le SKU
Temp placement reste le plus performant en écriture 4K soutenue dans ce test précis
Cache dépend davantage du comportement de file d’attente
Mais surtout, Microsoft a raison : la performance dépend du stockage local. Mais ce que la documentation ne met pas en avant, c’est que le stockage local n’est pas homogène selon le placement. Et c’est là que tout se joue :
Les différences ne sont pas toujours visibles sur l’IOPS moyen. Elles apparaissent dans les percentiles élevés (p99/p99.9)
C’est exactement ce que Microsoft ne détaille pas explicitement : la performance dépend du stockage local… mais le stockage local n’a pas la même nature physique selon le placement
D’un point de vue technique :
Le placement ne change pas le coût
Le placement ne change pas la “promesse marketing”
Mais le placement change le chemin I/O réel
Et donc, en fonction de la charge de travail :
Pour une charge de travail sensible à la latence (SQL temporaire, build intensif, traitement parallèle), le NVMe placement est clairement le plus intéressant.
Pour des workloads stateless classiques, Temp reste un excellent compromis.
Le Cache placement, sur des générations plus anciennes, reste viable mais moins moderne.
Enfin, un Premium SSD managé reste plus simple opérationnellement, mais il est largement dépassé en performance pure par le stockage local éphémère.
Depuis l’annonce d’Opal, Microsoft a franchi une nouvelle étape vers des assistants capables de réfléchir et d’agir. Windows 365 pour Agent prolonge cette vision en offrant un PC cloud entièrement géré pour les agents IA : il exécute des tâches réelles au sein de Windows en toute sécurité. Ce nouvel article vous montre comment, pas à pas, créer un Computer‑Using Agent dans Microsoft Copilot Studio, connecter ce nouvel agent à un Cloud PC, puis le déclencher depuis un flux Power Automate.
Pour vous donner une première idée sur Opal, voici le lien sur mon premier article parlant justement d’Opal et de ses fonctionnalités.
Ensuite, beaucoup d’informations présentes dans cet article sont issues de la documentation Microsoft.
Qu’est-ce que Windows 365 pour Agent ?
Windows 365 pour les agents fait partie des nouveautés récemment annoncées par Microsoft :
Windows 365 pour les agents fournit une nouvelle classe de PC cloud pour l’utilisation de l’agent, basée sur la même plateforme Windows 365 qui alimente Windows 365 pour les entreprises. Au cœur de la plateforme se trouve le PC cloud, un bureau virtuel Windows ou Linux dans le cloud Microsoft.
En d’autres termes, il s’agit de machines virtuelles Windows, ou Linux, dans le cloud, gérées via Microsoft, auxquelles des agents d’IA peuvent accéder pour effectuer des tâches complexes de façon autonome ou semi-autonome :
Pourquoi faire ?
Imaginez votre entreprise disposant de nombreux Cloud PCs prêts à effectuer des tâches administratives, comme la création de notes de frais ou autres ?
Imaginez ensuite que ces agents puissent être sollicités par des humains, d’autres agents ou encore des déclencheurs automatiques ?
Une fois en marche, l’agent sait exactement ce qu’il doit faire, il dispose d’un environnement sécurisé, potentiellement connecté à des ressources Cloud ou on-premise.
Il est même capable de solliciter l’intervention humaine si nécessaire :
Tout cela ….
Qu’est-ce qu’un pool de Cloud PCs ?
Le pool de cloud PC offre des machines virtuelles à vos agents Copilot Studio pour effectuer des tâches informatiques sans avoir à configurer et gérer des machines physiques. Si vous développez des agents qui doivent interagir avec des applications Windows (comme ouvrir des fichiers, utiliser des logiciels ou naviguer sur des sites web), un pool Cloud PC gère l’infrastructure pour vous.
Actuellement, Microsoft permet d’évaluer le pool de PC cloud en autorisant la création de maximum de deux pools de PC cloud par tenant, sans avoir besoin d’un plan de facturation Windows 365 pour les agents dans votre environnement Power Platform.
L’utilisation du pool de PC cloud n’est pas facturable lorsqu’elle est déclenchée à partir d’une conversation de test intégrée, et chaque tenant dispose de 50 heures d’utilisation gratuite du pool de PC cloud pour l’agent publié s’exécutant de manière autonome.
Pourquoi utiliser un Computer‑Using Agent ?
Un Computer‑Using Agent (CUA) associe l’intelligence d’un agent Copilot avec la capacité d’exécuter des actions réelles sur un PC cloud. Il peut effectuer des tâches répétitives ou multi-étapes : extraire des informations d’un PDF, remplir un formulaire web, mettre à jour un fichier Excel, etc.
L’intérêt est de décharger l’utilisateur final des tâches manuelles tout en respectant les contrôles de sécurité (liste d’URL autorisées, authentification via Entra ID, suivi des actions).
Windows 365 pour Agent vs Power Automate Unattended RPA ?
Windows 365 pour Agent introduit un changement de paradigme : ce n’est plus le flow qui pilote l’exécution, mais un agent IA disposant d’un PC cloud complet.
Automatisation agent-centric
Capacité de raisonnement contextuel
L’agent décide comment accomplir l’objectif, dans un cadre contrôlé
En opposition, Power Automate Unattended RPA était conçu pour exécuter des scénarios pré-définis, sans interaction humaine, sur une machine dédiée. Le flux décide quand et quoi exécuter, et le robot applique uniquement et exactement les étapes décrites.
Quels sont les prérequis pour Windows 365 pour Agent ?
Certains prérequis sont nécessaires pour profiter de ce service :
Licences : une licence Microsoft 365 Copilot avec accès au programme Frontier et un abonnement Windows 365 Enterprise ou Business.
Gestion de l’identité et des appareils : votre Cloud PC doit être joint à Entra ID et inscrit dans Intune (ou Configuration Manager) pour appliquer les stratégies de sécurité.
Environnement Power Platform : un environnement Power Platform avec Dataverse pour héberger votre agent Copilot Studio.
Power Automate Desktop : le machine runtime doit être installé sur le Cloud PC pour permettre l’automatisation de l’interface utilisateur.
Une fois ces prérequis atteints, la mise en place de ce nouveau type d’agent est très facile car elle passe par la plate-forme désormais très connue, Copilot Studio :
Quelles versions d’OS sont prises en charge ?
Les Cloud PC Windows 365 pour Agent sont disponibles sous Windows 11 et Linux. Pour ce tutoriel, Windows 11 a été utilisé car les extensions du navigateur et Power Automate Desktop y sont pleinement supportées.
Comment la sécurité est-elle gérée ?
Le Cloud PC est isolé et rattaché à Entra ID, ce qui permet d’appliquer des politiques conditionnelles et de gestion des appareils via Intune.
Dans Power Automate, vous pouvez définir une liste d’URL autorisées pour limiter les sites que l’agent peut ouvrir. Les identifiants nécessaires aux actions (login Microsoft 365, mots de passe) sont stockés dans un coffre sécurisé :
Enfin, chaque exécution laisse une trace dans l’historique du Cloud PC et dans Copilot Studio › Activity, facilitant l’audit :
Combien coûte Windows 365 pour Agent ?
Durant la phase de préversion, l’utilisation d’un poste pour un agent Copilot est facturée cinq crédits Copilot.
Chaque exécution de l’utilisation de l’ordinateur s’appuie sur un modèle d’IA qui exécute une séquence d’étapes. Une étape peut impliquer une ou plusieurs actions de bas niveau (par exemple, cliquer, taper ou naviguer). Chaque étape consomme 5 crédits Copilot.
Si vous configurez l’utilisation de l’ordinateur pour remplir un formulaire de feuille de temps en ligne, l’exécution peut effectuer les étapes suivantes :
Lancer le navigateur et accéder au portail de la feuille de temps.
Sélectionner Créer une nouvelle feuille de temps.
Remplir les champs Heure de début, Heure de fin et Code de projet.
Sélectionner le bouton Soumettre.
Dans cet exemple, l’utilisation de l’ordinateur exécute 4 étapes, consommant au total 20 crédits Copilot.
Puis‑je utiliser mon propre poste plutôt qu’un Cloud PC ?
Oui, lors de la configuration de l’outil Computer Use, vous pouvez choisir l’option Bring‑your‑own machine et installer le machine runtime sur un poste local.
C’est d’ailleurs ce que nous ferons dans l’Etape IIa :
Toutefois, l’utilisation d’un Cloud PC évite d’exposer votre machine de production et simplifie la gestion des permissions.
Comme pour les tests sur Opal, l’architecture repose sur trois entités :
Copilot Studio : le cerveau qui orchestre l’agent, gère les prompts et déclenche les outils.
Windows 365 pour Agent : le corps qui exécute les actions UI au travers du machine runtime.
Power Automate : le déclencheur qui surveille un événement (arrivée d’e‑mail, webhook, etc.) et invoque l’agent avec les paramètres nécessaires.
Choisissez un type d’environnement adapté : Sandbox ou Production, activez Dataverse (Sans Dataverse, Copilot Studio ne pourra pas créer d’agent), puis assurez‑vous que la région est compatible avec Windows 365 pour Agent :
Cliquez sur Sauvegarder, puis attendez que ce dernier soit créé :
Une fois le nouvel environnement prêt, vous pouvez y accéder depuis une URL dans la forme suivante :
Les étapes IIa et IIb de cet article vous proposent de tester différentes alternatives.
Etape IIa – Utilisation d’un PC personnel :
Pour mes tests, j’ai décidé d’utiliser un Cloud PC Entreprise via Power Automate afin que ce dernier le considère comme une machine personnelle.
Si vous êtes dans le même cas que le mien, ouvrez une session Windows de votre Cloud PC :
Sur votre Cloud PC, ouvrez le portail de Power Automate, choisissez le bon environnement créé via Power Platform, puis allez dans vos machines :
Téléchargez le Power Automate machine runtime :
Installez‑le sur le Cloud PC :
Acceptez les conditions, puis démarrez l’installation :
Attendez quelques minutes la fin de l’installation :
Sélectionnez l’extension de navigateur (Edge, Chrome ou Firefox) selon votre usage :
Confirmez l’action d’installation :
Après cela, ouvrez l’application Power Automate machine runtime sur votre Cloud PC :
Connectez-vous avec vos identifiants Microsoft 365 :
Enregistrez la machine dans l’environnement Power Platform créé :
Attendez quelques minutes le message de succès de l’inscription de votre poste :
Dans la liste des machines doit figurer votre Cloud PC avec le statut Connecté :
L’option Computer use est pour le moment encore désactivée. Lisez attentivement l’avertissement : l’agent ne pourra accéder qu’aux sites autorisés et la machine sera contrôlée via l’interface utilisateur.
Si vous êtes d’accord, cliquez sur Activer pour confirmer :
Votre machine est maintenant prête à exécuter des instructions IA. Vous pouvez également configurer une liste d’URL autorisées (allowlist) pour restreindre les destinations.
À la place d’utiliser une machine personnelle, il est aussi possible d’utiliser un Pool de Cloud PC.
Etape IIb – Utilisation d’un Pool de Cloud PC :
Il est possible, durant cette phase de préversion, de tester la création d’un Cloud PC Pool, composé de machines virtuelles hébergées sur Azure.
Pour cela, rendez-vous dans la console d’administration de Power Platform afin d’autoriser Microsoft à créer des machines virtuelles aux US, potentiellement en dehors de votre région :
Ouvrez Copilot Studio, sélectionnez l’environnement créé, puis créez un nouvel agent comme ceci :
Ne renseignez rien, cliquez directement ici :
Cliquez ici pour créer un Pool de Cloud PCs :
Renseignez son nom, puis cliquez sur Créer :
La création du pool commence et déclenche également la création de deux Cloud PCs :
Environ 30 minutes plus tard, les Cloud PC dédiés à Copilot Studio sont correctement provisionnés :
Le Pool de Cloud PCs est visible dans la console de Power Automate :
Ces machines virtuelles provisionnées sont également visibles dans Intune :
Etape III – Configuration Entra :
Comme tous mes tests reposent sur des postes Windows 365, certains prérequis IT sont nécessaires pour assurer un bon fonctionnement :
Un tenant Intune et Microsoft Entra valides
Restrictions d’inscription des types d’appareils Intune configurées
Dialogue d’invite de consentement caché pour les groupes d’appareils cibles
Principaux de service requis créés (Windows 365 et Azure Virtual Desktop)
Afin de masquer la boîte de dialogue en configurant la liste des hôtes Windows 365 approuvés, je crée un groupe dans Entra ID contenant les hôtes de session :
Autorisez Microsoft Entra dans l’authentification pour Windows sur le tenant via Azure Cloud Shell depuis le portail Azure :
Importez les deux modules Microsoft Graph suivants, puis connectez-vous avec le compte aux permissions appropriées :
Enfin, toujours dans la même session d’Azure Cloud Shell, j’ajoute l’ID de groupe à une propriété sur le principal du service SSO Microsoft Remote Desktop :
Enfin, profitez-en pour exclur cette même application dans vos règles d’accès conditionnel Entra afin de ne pas bloquer votre Cloud PC avec un prompt de MFA :
Passons maintenant à la création de notre agent dans Copilot Studio.
Etape IV – Création de l’agent :
Si cela n’est pas déjà fait, ouvrez Copilot Studio, sélectionnez l’environnement créé, puis créez un nouvel agent :
Renseignez les informations suivantes :
Nom de l’agent : Invoicing Agent
Icône pour personnaliser l’avatar
Description :
Automates a deterministic invoice-processing workflow using Computer Use. The agent always executes the Invoice Entry tool once per trigger and never retries or reasons.
Choisissez le modèle d’IA suivant :
Renseignez ensuite la description suivante, puis sauvegardez :
When the trigger fires :
- Do not ask questions.
- Do not reply to the user.
- Do not request clarification.
- Ignore the email content completely.
- Do not interpret the email.
- Do not extract data from the email.
- Immediately execute the tool "Invoice Entry" exactly once
Importez des documents (PDF, Word, sites SharePoint) qui aideront l’agent à répondre aux questions. Si votre scénario est purement déterministe, cette section peut rester vide :
Pour lancer l’agent à la réception d’un e‑mail de facture, ajoutez-lui un déclencheur :
Recherchez et sélectionnez le déclencheur When a new email arrives in a shared mailbox (V2) :
Saisissez l’adresse de la boîte partagée (ex. Invoices‑inbox@contoso.com), puis cliquez sur Créer :
Dans Settings › Generative AI, activez l’orchestration générative si vous souhaitez que l’agent puisse raisonner :
Dans Topics, désactivez tous les sujets système pour éviter les réponses conversationnelles :
L’outil Computer Use est le cœur de notre agent car il décrit exactement ce que l’agent doit faire sur le PC. Cliquez alors ici pour le créer :
Dans les outils disponibles, choisissez Computer use :
Nommez votre outil, puis indiquez-lui une description :
Processes exactly one invoice only. Runs once per trigger. Must not repeat under any condition.
Choisissez Computer‑Using Agent (Preview) :
Selon votre cas (IIa ou IIb), sélectionnez Bring‑your‑own machine ou Cloud PC Pool :
Fournissez les identifiants nécessaires de votre utilisateur de test :
Cliquez sur Ajouter :
Créez une nouvelle connexion à votre PC :
Renseignez les identifiants de votre utilisateur de test :
Attendez la validation de la connexion :
Enregistrez l’outil afin de pouvoir effectuer un premier test.
Etape V – Test de l’outil Computer‑Using Agent :
Toujours sur Copilot Studio, cliquez sur Test pour lancer un test interactif :
Copilot Studio ouvre alors un écran du Cloud PC et exécute chaque étape en votre présence :
Récupération de la dernière facture :
Saisie de la facture dans le formulaire web :
Saisie de la facture dans le formulaire Microsoft Office :
Saisie de la facture dans la feuille Excel :
Quand le test est terminé, la mention suivante apparaît :
Tous les lancements de l’agent sont visibles et traçables dans l’onglet suivant :
Afin de vous faire une meilleure idée du processus complet, voici un enregistrement accéléré de toutes les étapes :
Passons maintenant au dernier test incluant le test du déclencheur de notre agent via l’envoi d’un e-mail vide à l’adresse de messagerie partagée.
Etape VI – Test du déclenchement de l’agent :
Commencez par cliquer sur Publier dans l’en‑tête de l’agent pour le rendre disponible. Les utilisateurs autorisés pourront ainsi déclencher l’agent en lui envoyant un e‑mail ou via une commande spécifique :
Envoyez un e‑mail de test à la boîte partagée :
Dans les activités de Copilot Studio, observez une ligne indiquant que le déclencheur a été détecté :
Cliquez dessus pour ouvrir la vue détaillée de chaque action générant une copie d’écran :
La dernière copie d’écran nous indique la feuille Excel, preuve que le traitement a pu aller jusqu’au bout :
Conclusion
Windows 365 pour Agent marque une évolution importante dans la façon dont nous concevons l’automatisation : on ne parle plus simplement d’exécuter un scénario figé, mais de fournir à un agent IA un environnement Windows complet, sécurisé et gouverné, capable d’agir dans des interfaces qui n’exposent aucune API.
Dans cet article, nous avons volontairement construit un scénario déterministe afin de démontrer que cette approche n’est pas réservée aux cas d’usage “expérimentaux”. Lorsqu’il est correctement cadré, un Computer-Using Agent peut s’intégrer dans un SI existant tout en respectant les exigences de sécurité, de traçabilité et de gouvernance attendues en entreprise.
Cette solution reste toutefois en préversion. Elle implique une réflexion approfondie sur les coûts, la disponibilité régionale et la gestion des identités, et ne remplace pas les automatisations API-first ou les scénarios RPA classiques lorsqu’ils sont plus adaptés.
Windows 365 pour Agent ouvre cependant une voie nouvelle : celle d’agents capables d’opérer dans des environnements hérités ou fermés, là où aucune intégration moderne n’est possible. C’est probablement dans ces zones “grises” du système d’information que cette technologie prendra tout son sens.
Lors des premiers déploiements de Windows 365 Link, un problème revient systématiquement, y compris dans des tenants Intune pourtant bien maîtrisé : l’échec de l’enrôlement Intune pendant l’OOBE. Ce blocage n’est généralement pas lié à Windows 365, ni à une erreur utilisateur, ni à un problème réseau. Dans la majorité des cas, il est provoqué par une politique de restriction d’enrôlement Intune parfaitement légitime, mais inadaptée au comportement spécifique de Windows 365 Link.
Un premier article a déjà été écrit sur Windows 365 Link afin de répondre aux questions suivantes :
Dans ce second article, je vous propose de passer en revue les trois méthodes possible pour intégrer votre Windows 365 Link à votre tenant tout en évitant les restrictions mise en place sur Intune. Nous prendrons le temps de comparer leurs avantages, leurs limites et les scénarios dans lesquels elles font réellement sens.
Pourquoi Windows 365 Link pose problème avec les restrictions d’enrôlement ?
Lors du tout premier démarrage, Windows 365 Link démarre en Out of Box Experience, l’utilisateur s’authentifie avec son compte Microsoft Entra ID, le poste est alors joint à Microsoft Entra, puis l’enrôlement MDM automatique Intune est déclenché.
Jusque-là, rien d’inhabituel… du moins en apparence :
Mais c’est précisément au moment où Intune évalue les restrictions d’enrôlement que les choses se compliquent. Windows 365 Link :
est vu comme Unknown
n’est pas encore identifié comme corporate
n’est donc pas encore classifié
Ce n’est qu’après la jonction Entra ID complète que le Windows 365 Link bascule en poste d’entreprise :
La conséquence directe de ce comportement est simple : l’enrôlement peut se retrouver bloqué si une restriction d’enrôlement Intune bloquant les postes personnelles est mise en place :
Cette restriction d’enrôlement bloque de façon logique, les postes personnels, inconnus, et donc bloque aussi Windows 365 Link, même s’il s’agit d’un poste Microsoft, managé et destiné à Windows 365 :
Pour y remédier, Microsoft documente trois approches officielles. Elles sont toutes valides, mais ne répondent pas aux mêmes contraintes opérationnelles. Et je souhaitais en rajouter une de plus :
C’est l’approche la plus stricte et aussi la plus propre d’un point de vue sécurité :
Sécurité maximale
Aucun contournement des restrictions existantes
Comportement parfaitement déterministe
Les Corporate Device Identifiers permettent de dire à Intune que si un poste correspond à ces caractéristiques, il doit le considérer comme corporate dès le début de l’enrôlement.
Ainsi le device n’est jamais vu comme Unknown et les politiques bloquantes ne s’appliquent pas. Mais le seul souci reste la gestion et la manipulation de numéros de série des Windows 365 Link.
Pour cela, commencez par créer un fichier au format CSV contenant les champs suivants :
Manufacturer,Model,SerialNumber
Cela peut donner le fichier suivant :
Rendez-vous dans le menu d’Intune suivant :
Choisissez le type suivant, puis charger le fichier CSV précédemment créé :
Cliquez sur Ajouter :
Constatez l’apparition de votre poste dans les Corporate Device Identifiers :
Retournez sur votre Windows 365 Link afin de terminer la phase d’enrôlement :
Sur la console Intune, constatez le changement de statut de votre Windows 365 Link :
Cette fois, la phase d’enrôlement a pu aller jusqu’au bout, l’utilisateur peut maintenant se connecter à son Cloud PC :
Passons maintenant à une approche plus souple, mais tout aussi maîtrisable.
Méthode II – Autoriser Windows 365 Link via un filtre Intune :
Au lieu d’identifier chaque Windows 365 Link individuellement via des numéros de série, il est possible de définir une restriction d’enrôlement particulière à Windows 365 Link, avec une priorité plus haute, et ciblée uniquement sur Windows 365 Link via un filtre Intune.
Cette restriction d’enrôlement autorise l’enrôlement des Windows 365 Link, sans remettre en cause les restrictions pour les autres Windows.
Depuis le portail Intune, créez un filtre d’assignation pour les Windows 365 Link via le menu suivant :
Spécifie la règle de filtrage selon la propriété suivante afin de ne prendre en compte que les appareils Windows 365 Link :
Retournez ensuite dans la liste des restrictions d’enrôlement Windows afin d’en ajouter une nouvelle :
Nommez cette restriction, puis cliquez sur Suivant :
Cliquez sur Suivant :
Cliquez sur Suivant :
Assignez cette restriction à tous les utilisateurs, puis cliquez ici pour ajouter un filtre :
Reprenez le filtre créé spécialement pour les Windows 365 Link :
Cliquez sur Suivant :
Cliquez sur Créer :
Attendez quelques secondes la fin de la nouvelle restriction d’enrôlement :
La règle doit être au-dessus de toute restriction d’enrôlement bloquante, pour cela, effectuez un glisser-déposer afin de changer la priorité de la restriction d’enrôlement dédiée au Windows 365 Link :
Avec cette deuxième méthode, la phase d’enrôlement a pu aller jusqu’au bout, l’utilisateur peut maintenant se connecter à son Cloud PC :
Passons maintenant à la troisième méthode.
Méthode III – Device Enrollment Manager (DEM) :
En utilisant un compte disposant du rôle DEM, il est également possible de contourner ces restrictions dans certains scénarios :
Un gestionnaire d’inscription d’appareil (DEM) est un utilisateur non administrateur qui peut inscrire des appareils dans Intune.
Les gestionnaires d’inscriptions des appareils sont utiles lorsque vous devez inscrire et préparer de nombreux appareils pour la distribution. Un compte DEM peut inscrire et gérer jusqu’à 1 000 appareils, tandis qu’un compte non administrateur standard ne peut en inscrire que 15.
Un DEM peut donc enrôler des devices même s’ils sont bloqués par des restrictions et aussi dépasser les limites de devices par utilisateur.
Configurez un ou plusieurs DEM sur le compte suivant :
Avec cette troisième méthode, la phase d’enrôlement a pu aller jusqu’au bout, le DEM a pu enrôler le Windows 365 Link et maintenant tous les utilisateurs peuvent se connecter à leur Cloud PC :
À noter que le DEM se retrouve en tant qu’utilisateur principal, et qu’il peut être remplacé :
Méthode IV – Windows Autopilot devices :
Lorsqu’on parle d’enrôlement Intune et de Windows 365 Link, une question revient très rapidement : Peut-on utiliser Windows Autopilot avec Windows 365 Link ?
Contrairement à un PC Windows classique, Windows 365 Link ne prend tout simplement pas en charge Windows Autopilot, quelle que soit la variante utilisée :
Autopilot : Windows 365 Link ne prend pas en charge autopilot ou la préparation des appareils Autopilot, notamment :
Inscription Autopilot
Configurations d’intégration
Actions d’appareil spécifiques à Autopilot, telles que la réinitialisation Autopilot.
Étant curieux, j’ai quand même voulu tester Autopilot pour le Windows 365 Link :
Mais le résultat a été l’effet attendu, puisque je n’ai pas été contraint lors de l’enrôlement du Windows 365 Link sur un autre tenant différent de celui configuré pour Autopilot :
Autrement dit, aucun scénario Autopilot n’est supporté, même partiellement, pour Windows 365 Link. Cette limitation n’est pas un oubli ou une restriction arbitraire : elle est directement liée à la nature même du Windows 365 Link :
Pas un Windows client classique
Aucune application locale
OS dédié extrêmement verrouillé
Politique stricte de contrôle d’exécution (intégrité du code)
Conclusion
Les restrictions d’enrôlement Intune sont l’un des premiers pièges rencontrés lors des déploiements de Windows 365 Link. Ce n’est ni un bug, ni un comportement anormal, mais la conséquence directe :
du cycle d’enrôlement Intune,
et du positionnement très spécifique de Windows 365 Link.
Une fois ce cadre bien compris, la solution devient finalement assez simple :
choisir la méthode d’enrôlement adaptée (Corporate Identifiers, filtre dédié ou DEM),
ne pas chercher à appliquer des logiques PC classiques (Autopilot, apps, scripts),
et traiter Windows 365 Link comme ce qu’il est réellement : un point d’accès sécurisé, minimaliste et contrôlé vers Windows 365.
C’est à cette condition que l’enrôlement devient fiable, reproductible, et cohérent avec une stratégie Cloud-first autour de Windows 365.
Ces derniers mois, on parle beaucoup d’agents IA, d’automatisation et de “copilots capables d’agir”. Mais dans la réalité du terrain, dès qu’un processus sort des APIs bien propres et documentées, tout s’arrête très vite. Formulaires web sans connecteurs, portails fournisseurs legacy, applications internes sans automatisation possible… C’est exactement là que, jusqu’à présent, l’IA savait quoi faire… mais ne pouvait rien exécuter. C’est précisément ce fossé entre “savoir quoi faire” et “pouvoir le faire” qu’Opal vient combler.
Avec Opal, Microsoft franchit un cap important : pour la première fois, un agent IA ne se contente plus de raisonner ou de proposer des actions : il dispose d’un véritable poste de travail Windows pour les exécuter.
Dans cet article, je vous propose un retour sur Opal, son lien étroit avec Windows 365, son mode de fonctionnement, ses limites actuelles, et surtout dans quels cas d’usage réels cette approche prend tout son sens.
Qu’est-ce que le projet Opal dans Microsoft 365 Copilot ?
Annoncé durant l’Ignite 2025, Opal est une nouvelle capacité de Copilot orientée vers l’automatisation de tâches concrètes et complexes, au-delà de la simple génération de texte ou de réponses. Cette fonctionnalité expérimentale est disponible via le programme Frontier de Microsoft 365 Copilot.
Opal n’est pas un nouveau Copilot de plus :
Opal n’est ni un chatbot, ni un simple outil de RPA, ni une extension de Power Automate.
C’est un agent IA qui opère dans un environnement Windows réel, avec les mêmes contraintes qu’un utilisateur humain.
Pour faire simple, il s’agit d’un agent IA qui exécute pour vous des tâches réelles et multi-steps dans un environnement sécurisé, en utilisant un PC cloud Windows 365 pour interagir avec des applications web ou systèmes comme le ferait un humain (cliquer, remplir des formulaires, naviguer, etc.).
Toutes les organisations sont confrontées au défi des tâches manuelles répétitives, qui prennent un temps précieux et les détournent de leurs priorités stratégiques, de leur créativité et de leurs activités à fort impact.
Pensez au temps nécessaire pour rassembler des informations provenant de plusieurs sites et outils dans le cadre d’un audit de conformité, pour intégrer de nouveaux employés avec des commandes d’équipement et des accès au système, ou pour valider des bons de commande.
Toutes ces tâches importantes doivent être accomplies, et c’est précisément le type de travail pour lequel Opal a été conçu.
Microsoft met également une FAQ disponible juste ici.
Dans quels cas Opal peut être utile ?
Les entreprises disposent encore de dizaines d’applications sans API, sans connecteur et sans automatisation possible. Opal cible précisément ce vide. Quand aucune API n’existe, Power Automate s’arrête. Opal, lui, continue via l’interface utilisateur.
Opal n’est ni Power Automate, ni un RPA classique : c’est un agent IA capable d’interagir avec un PC cloud Windows 365 :
Dès qu’un processus nécessite de cliquer dans une application web ou legacy
Télécharger une facture depuis un portail fournisseur, la renommer, puis la déposer dans SharePoint est un scénario typique Opal.
Par contre, Opal n’est pas conçu pour les processus temps réel ni transactionnels critiques.
Quel est le lien entre Windows 365 et Opal ?
Microsoft 365 Copilot sait raisonner, analyser et décider, mais il ne peut pas exécuter d’actions réelles sans poste de travail. Le lien entre Windows 365 et Opal est alors fondamental : Opal a besoin d’un véritable environnement Windows pour pouvoir agir.
Les actions Opal sont exécutées dans un Cloud PC dédié, sans accès direct au poste de l’utilisateur. Le PC cloud Windows 365 sert donc d’environnement sécurisé et isolé pour les actions de l’agent.
On peut résumer l’architecture ainsi :
Windows 365 = le corps
Opal = les mains
Copilot = le cerveau
Ici, Windows 365 fournit à votre IA :
une isolation complète du poste de l’utilisateur
un PC cloud dédié à l’agent IA
un navigateur Edge réel
un système de fichiers Windows
une session utilisateur contrôlée
une identité Microsoft Entra associée
Pourquoi Microsoft n’utilise pas un simple navigateur sandbox ?
Un simple navigateur sandboxé ne permet pas de couvrir les scénarios ciblés par Opal. Opal n’est pas conçu pour exécuter une action isolée, mais pour enchaîner des tâches complexes, multi-applications et persistantes dans le temps.
Les agents Opal doivent parfois :
télécharger et stocker des fichiers localement,
ouvrir et manipuler des fichiers Excel, PDF ou CSV,
interagir avec plusieurs onglets et fenêtres,
conserver un état entre plusieurs étapes,
utiliser une identité utilisateur complète (cookies, sessions, certificats),
fonctionner avec des extensions navigateur ou des paramètres Edge spécifiques.
Un navigateur isolé et éphémère ne permet pas cela de manière fiable. Un système d’exploitation Windows complet est donc nécessaire pour garantir la continuité, la stabilité et la sécurité de l’exécution.
À quoi à accès Opal sur ces postes Windows 365 ?
Par défaut, Opal n’a accès à aucun site web.
Toute navigation sortante est bloquée tant qu’aucune URL n’a été explicitement autorisée dans le portail d’administration Opal. Sans cette configuration :
l’agent ne peut pas ouvrir de site web,
il ne peut pas effectuer de recherche internet,
il ne peut pas se connecter à une application SaaS.
Ce modèle repose sur une approche deny by default, essentielle pour limiter le périmètre d’action de l’agent IA et éviter toute dérive ou accès non maîtrisé.
Chaque URL autorisée devient ainsi un périmètre fonctionnel clairement défini pour l’agent Opal.
Quels sont les prérequis pour activer Opal sur son tenant ?
Les prérequis exacts ne sont pas encore officiellement figés par Microsoft. À ce jour, Opal est uniquement disponible :
dans le cadre du programme Microsoft 365 Copilot Frontier,
avec une licence Microsoft 365 Copilot active pour les utilisateurs concernés.
Les dépendances techniques observées incluent également :
Microsoft Intune (gestion des Cloud PC),
Windows 365 (provisionnement des postes agents),
Microsoft Entra ID (identité et accès),
Microsoft Graph (onboarding automatisé).
Combien coûte Opal ?
Microsoft n’a communiqué aucun tarif dédié pour Opal à ce stade. Opal n’est pas facturé comme une licence distincte.
Il est inclus, pour le moment, comme fonctionnalité expérimentale du programme Frontier, accessible uniquement avec une licence Microsoft 365 Copilot valide.
Le coût indirect à prendre en compte reste principalement :
les licences Windows 365 associées aux Cloud PC agents,
les licences Intune,
et la licence Microsoft 365 Copilot par utilisateur.
Où les utilisateurs trouvent-ils Opal ?
Les utilisateurs ne trouvent pas Opal comme une application classique dans leur menu Microsoft 365. Opal apparaît dans l’interface Copilot, une fois que l’administrateur a activé la fonctionnalité sur le tenant.
d’avoir Intune et Windows 365 fonctionnels sur le tenant,
d’avoir des licences Microsoft 365 Copilot assignées.
Etape I – Configuration du tenant :
Connectez-vous au portail d’administration de Microsoft 365, et depuis le menu de gauche, ouvrez les paramétrages de Copilot, puis sélectionnez Opal (Frontier) dans la liste des fonctionnalités Copilot :
Dans le panneau de configuration Opal, l’option Specific user groups permet de restreindre l’accès à Opal à des groupes Microsoft Entra ID précis, puis sauvegardez :
Etape II – Configuration d’Opal :
Puis cliquez ici pour vous rendre sur le portail d’administration d’Opal afin de continuer la suite de la configuration.
Si le message suivant apparaît, vérifiez que vous êtes bien authentifié avec un compte administrateur général, attendez quelques minutes, puis revenez sur le même portail :
Une fois sur le portail d’administration d’Opal, avant d’aller plus loin, prenez le temps de lire le message d’avertissement affiché en évidence :
Afin de mettre en route Opal sur votre tenant Microsoft, téléchargez le script PowerShell suivant via un clic droit :
Le script OpalOnboard.ps1 automatise l’onboarding d’Opal dans un tenant Microsoft 365 via Microsoft Graph, il :
installe/charge les modules Microsoft Graph nécessaires, puis se connecte à Graph avec des droits d’admin,
crée (si absents) 8 service principals (Opal, Windows 365, AVD, Windows Cloud Login, etc.) pour que le tenant ait les identités applicatives requises,
crée un groupe dynamique de devices (“Opal App Device Group”) basé sur une règle de type enrollmentProfileName == « Windows 365 Opal Device Pool »,
configure le service principal “Windows Cloud Login” pour activer le RDP et cibler ce groupe de devices,
télécharge une policy Edge au format JSON depuis une URL Microsoft, la crée côté Intune (Settings Catalog), puis assigne la policy au groupe de devices.
Sur votre poste local, installez et ouvrez PowerShell 7 :
winget search --id Microsoft.PowerShell
Ouvrez PowerShell 7 avec les droits d’administrateur, exécutez le script, confirmez l’action d’exécution, puis laissez-vous guider :
.\OpalOnboard.ps1
Après l’installation de module, le script se connecte à votre tenant grâce à un compte d’administrateur :
Acceptez les permissions nécessaires :
Si l’erreur suivante apparaît, fermez puis rouvrez simplement PowerShell :
Cette première section permet de définir où seront hébergés les Cloud PC et combien de machines Windows 365 seront créées. Il est recommandé d’utiliser la même région que vos utilisateurs Microsoft 365 :
Dans le cadre du programme Frontier, le nombre de Cloud PC est actuellement limité à 100 machines par tenant.
La création du pool de machines peut prendre plusieurs minutes. Vous pourrez suivre l’état d’avancement directement dans cette section. Ce pictogramme vous indique l’état en cours du provisionnement, ou du re-provisionnement quand un traitement Opal est terminé :
Environ 30 minutes plus tard, les machines Windows 365 sont provisionnées sur votre tenant :
Vous pouvez même retrouver ces nouvelles machines Windows 365 sur votre portail Intune :
Le modèle de machines Windows 365 est d’ailleurs spécifique à ce service d’IA :
Comme attendu, le groupe dynamique de machines Windows 365 regroupe bien celles-ci :
Et la police créée via le script d’onboarding s’affecte bien sur les machines Windows 365 :
De retour sur la console d’administration, ajoutez le ou les sites auxquels les machines auront accès pour effectuer leurs tâches. Dans mon test, je vais ajouter le site suivant :
https://computerusedemos.blob.core.windows.net
L’écran Starters permet de créer des actions prédéfinies proposées aux utilisateurs d’Opal. Un starter correspond à une instruction prête à l’emploi, associée à un site web précis, que l’utilisateur pourra lancer en un seul clic :
Une fois un premier Starter créé, cliquez sur Suivant :
Microsoft recommande de créer un profil Enrollment Status Page (ESP) personnalisé, spécifiquement pour les machines Opal. Ce profil permet notamment de :
réduire le temps d’initialisation du Cloud PC,
éviter les écrans ESP bloquants,
empêcher l’attente d’applications non nécessaires.
Le profil ESP doit être assigné aux appareils correspondant au pool Opal, à l’aide du critère :
Une fois la configuration entièrement complétée, cliquez ici pour terminer le processus :
La suite consiste désormais à créer vos premiers scénarios métier afin de transformer Opal en véritable agent opérationnel capable d’exécuter des tâches concrètes sur des applications web réelles.
Sur Opal, saisissez le prompt suivant afin d’effectuer plusieurs actions, puis cliquez sur Démarrer :
Navigate to https://computerusedemos.blob.core.windows.net/web/Contoso/invoice-manager.html. Filter the invoices by selecting "Last 24 Hours" to find the most recent invoice. Open the PDF of the most recent invoice. In a new browser tab, go to:
https://computerusedemos.blob.core.windows.net/web/Contoso/index.html Fill out the invoice submission form using the data extracted from the PDF. Submit the form without asking for confirmation.
Opal commence par se connecter à une des machines Windows 365 préalablement provisionnées :
Opal attend ensuite que Windows 11 finalise sa configuration OS :
Si besoin, cliquez sur l’image de la VM pour avoir plus de détail. Comme ici, Edge s’ouvre et affiche le site web contenant les factures :
La dernière facture est ouverte pour y récupérer toutes les informations :
Un nouvel onglet s’ouvre dans Edge afin de saisir la nouvelle facture dans le système de comptabilité :
Une fois la saisie complète, une notification apparaît à la fin du traitement de saisie :
Opal compare l’état obtenu aux actions demandées :
Une dernière phase de revue est déclenchée afin que l’utilisateur puisse contrôler le travail effectué :
L’utilisateur n’a qu’à confirmer pour que le travail soit considéré comme terminé :
Afin de vous faire une meilleure idée du traitement effectué par Opal, le voici en fonctionnement :
Etape V – Quelques remarques sur Opal :
Au travers de différents tests, plusieurs points méritent d’être soulignés :
Sans finalisation de la configuration d’Opal, le message suivant apparaît pour les utilisateurs :
Sans licence Microsoft 365 Copilot, l’accès à Opal retourne une erreur 403 :
Après chaque traitement, la machine Windows 365 utilisée est réinitialisée et repart sur un état propre :
Il faut attendre environ 15 minutes avant que la machine soit de nouveau disponible pour un autre traitement :
Le bouton Pause permet de suspendre temporairement l’exécution sans annuler le scénario, tout en conservant le contexte courant. Cela est très utile si l’utilisateur souhaite reprendre la main quand l’agent part dans une mauvaise direction :
le contexte et l’état courant sont conservés (où il en est dans la tâche)
Opal peut décider de s’arrêter de lui-même s’il rencontre une situation ambiguë ou non résoluble, et attend alors une instruction humaine.
Durant la phase de traitement d’Opal, 3 autres actions sont possibles :
Répéter la requête initiale: Cette action relance exactement le même job depuis le début, en réutilisant la requête initiale, les mêmes instructions et le même contexte de départ. C’est comme cliquer sur “Rejouer le scénario”, sans modifier quoi que ce soit.
Terminer le travail : Cette action met fin au job en cours et empêche toute poursuite de ce run, mais le job reste disponible dans l’interface.
Supprimer le travail : Le job n’est plus visible ni relançable, mais cela ne désactive pas automatiquement un trigger externe (mail, événement, etc.) s’il existe.
Conclusion
Opal marque une rupture importante dans l’approche de l’automatisation chez Microsoft. Là où Power Automate s’arrête faute d’API, Opal continue grâce à un véritable poste de travail Windows 365 piloté par une IA.
Nous ne sommes plus dans la simple génération de contenu, mais dans l’exécution réelle de tâches métier, au plus proche du travail humain.
Les premiers usages montrent un potentiel considérable, à condition de bien cadrer les périmètres, les accès et les scénarios. On ne parle pas encore d’autonomie totale, mais d’un changement profond dans la manière dont une IA peut interagir avec des systèmes existants.
Opal n’est pas encore prêt pour des processus critiques temps réel, mais il ouvre clairement la voie à une nouvelle génération d’agents opérationnels.
Les services de calcul représentent souvent l’essentiel des coûts sur Azure. Pour les charges de travail qui fonctionnent en continu, les instances réservées apportent une réduction notable des tarifs à la carte. En s’engageant sur une durée d’un ou trois ans, il est possible de réaliser jusqu’à grosses économies par rapport au modèle pay‑as‑you‑go. Mais est-on alerté quand ces réductions sont disponibles pour notre environnement Azure, ou qu’elles expirent ?
Dans cet article, nous revenons sur le fonctionnement des instances réservées, leur gestion (notamment le renouvellement automatique) et sur la création d’alertes Azure Advisor pour être notifié lorsqu’une réservation devient pertinente ou expire.
Qu’est-ce qu’une instance réservée Azure ?
Une instance réservée est un engagement de capacité : vous acceptez d’utiliser un type d’instance ou une famille d’instances dans une région spécifique pendant une durée déterminée, en échange d’un prix réduit. Les réservations s’achètent pour un an ou trois ans :
Quand acheter une réservation ?
Les instances réservées sont particulièrement adaptées aux charges stables et prévisibles. La documentation Microsoft recommande d’opter pour une réservation lorsque vous prévoyez d’utiliser le même type d’instance ou la même famille dans une région donnée pendant toute la durée de l’engagement.
À l’inverse, si vos applications changent fréquemment de configuration ou de région, les savings plans peuvent être plus appropriés car ils s’appliquent à un montant horaire sur plusieurs services et régions. Néanmoins, une instance réservée reste l’option la plus économique lorsque son utilisation est maximale.
Que doit-on faire pour appliquer la remise ?
Une fois la réservation achetée, la remise est appliquée automatiquement aux machines virtuelles, SQL Database, Cosmos DB ou d’autres services éligibles qui correspondent aux attributs choisis (SKU, région, étendue).
Les réservations n’affectent pas l’état d’exécution des ressources : si une machine est mise à l’arrêt ou redimensionnée, le rabais se reporte sur une autre ressource compatible, sinon la portion inutilisée est perdue :
Quid d’une machine virtuelle dont la taille varie ?
Une instance réservée s’applique sur une famille de machines virtuelles : même si le SKU d’une RI correspond à un SKU spécifique d’une VM, il peut s’appliquer à d’autres tailles d’une même famille via un ratio :
Le tableau ci-dessus affiche des instances réservées pour des machines virtuelles. Comment fonctionne une instance réservée ? Il faut simplement voir celle-ci comme une place de parking, louée pour un ou trois ans chez Microsoft :
Comme le montre ce schéma, la taille de l’instance réservée doit être en relation avec la taille de la ressources Azure.
Il est donc possible d’optimiser votre réservation pour la flexibilité de taille. Dans ce mode, la remise s’applique à toutes les tailles d’instances d’un même groupe. Par exemple, une réservation achetée pour une instance de la série DSv2 (par exemple Standard_DS3_v2) peut s’appliquer aux autres tailles de ce groupe : Standard_DS1_v2, Standard_DS2_v2, Standard_DS3_v2 et Standard_DS4_v2
Quid de la durée et la fréquence de paiement ?
Le choix de la durée dépend de la stabilité de votre charge. Les engagements d’un an offrent plus de flexibilité tandis que les engagements de trois ans maximisent les économies. Vous pouvez régler la réservation en une seule fois ou mensuellement ; le coût total reste identique et aucune pénalité n’est appliquée en cas de paiement échelonné, sauf le taux de change qui varie dans le temps :
Qu’est-ce qui n’est pas couvert par la RI ?
La remise porte uniquement sur les coûts de calcul. Pour les machines virtuelles, elle concerne les cœurs et la mémoire mais ne couvre pas les licences Windows ni les frais de stockage, réseau ou logiciels.
Les licences peuvent être prises en charge via l’Azure Hybrid Benefit, et les autres coûts sont facturés séparément. En revanche, de nombreux services Azure disposent de capacités réservées pour réduire leurs propres coûts de calcul.
Qu’est-ce qu’Azure Hybrid Benefit ?
Azure Hybrid Benefit est un avantage en matière de licences qui vous permet de réduire considérablement les coûts d’exécution de vos charges de travail dans le cloud. Son fonctionnement consiste à vous autoriser à utiliser vos licences Windows Server et SQL Server compatibles sur Azure.
Il est donc possible d’acheter des licences en souscriptions annuelles ou pluriannuelles. Les économies représentent des sommes non négligeables.
Cet avantage permet donc d’utiliser les licences Windows Server ou SQL Server existantes éligibles, et ainsi de ne payer que le tarif de base des machines virtuelles.
Que se passe-t-il à la fin du contrat de la RI ?
Lorsque vous achetez une réservation, le renouvellement automatique est souvent activé par défaut. Cette fonction permet de racheter automatiquement une réservation équivalente à l’expiration de la précédente, afin de continuer à bénéficier de la remise sans surveillance quotidienne.
Vous pouvez activer ou désactiver cette option à tout moment dans le portail Azure. Le prix du renouvellement est disponible 30 jours avant la date d’expiration. Si la réservation n’est pas renouvelée, vos ressources continuent de fonctionner, mais elles repassent en facturation à l’usage.
Peut-on annuler une instance réservée en cours d’engagement ?
Oui, Microsoft permet l’annulation d’une RI pendant sa durée d’engagement, sous conditions :
Les remboursements sont calculés en fonction du prix le plus bas de votre prix d’achat ou du prix actuel de la réservation.
Nous ne facturons actuellement aucun frais de résiliation anticipée, mais des frais de résiliation anticipée de 12 % pourraient s’appliquer à l’avenir en cas d’annulation.
L’engagement total annulé ne peut pas dépasser 50 000 USD dans une période de 12 mois pour un profil de facturation ou une inscription unique.
Lorsqu’une réservation est échangée ou annulée, le remboursement est calculé en fonction du nombre de jours restants dans la période de réservation. Le calcul est effectué au format UTC et utilise une formule cohérente pour garantir l’équité et la transparence.
Par exemple, si vous avez acheté une réservation le 10 juillet 2024 et que vous l’avez échangée le 9 juillet 2025, seulement 1 jour reste dans la réservation. Vous recevrez un petit remboursement pour ce seul jour.
Instances réservées vs. Savings Plan ?
Bien que les savings plans partagent l’objectif de réduire les coûts, ils fonctionnent différemment. Une instance réservée vous engage sur un type ou une famille d’instances dans une région donnée et vous apporte la remise la plus élevée lorsque vos machines fonctionnent en continu.
À l’inverse, un savings plan fixe un montant horaire applicable sur plusieurs services de calcul et dans toutes les régions. Cette flexibilité est utile pour les charges de travail qui évoluent et qui se déplacent entre régions, mais les économies sont généralement moindres que celles d’une instance réservée utilisée à 100 %.
Dans la majorité des cas, un utilisateur qui connaît ses besoins à moyen terme gagnera à privilégier la réservation et à activer le savings plan seulement pour les charges variables.
Qu’est-ce qu’Azure Advisor ?
Azure Advisor est un assistant cloud personnalisé qui analyse en continu ta configuration Azure et ton usage pour te fournir des recommandations proactives afin d’optimiser :
la fiabilité
la sécurité
la performance
les coûts
l’excellence opérationnelle
Peut-on y créer des alertes concernant le besoin de RI ?
Comme montré dans une copie d’écran plus haut, Azure Advisor affiche des conseils sur les économies financières possibles sur votre infrastructure Azure. Ces conseils portent également sur l’achat d’instances réservées pour vos services de calcul.
Azure Advisor analyse l’utilisation de vos ressources et émet donc des recommandations lorsqu’il détecte des économies potentielles.
Lorsque Advisor identifie une nouvelle recommandation (par exemple l’achat d’une instance réservée), un événement est enregistré dans le journal d’activité. Il est possible de déclencher une alerte à chaque nouvelle recommandation afin d’être averti par courriel ou via un webhook :
Comme vous pouvez le voir, j’ai créé cette nouvelle alerte sur le type de recommandation suivant :
Consider virtual machine reserved instance to save over the on-demand costs
Comme les alertes configurées dans Azure Monitor, un groupe d’action peut y être affecté :
Une fois l’alerte en place, chaque nouvelle recommandation Advisor se traduira par une notification. Cela vous permet d’acheter les réservations appropriées dès qu’elles sont pertinentes et de réagir lorsque l’une d’elles arrive à expiration.
Ayant configuré une adresse email sur ce groupe d’action, et une fois l’alerte déclenchée, l’email suivant me parvient :
Un clic sur le lien présent dans l’email nous affiche la recommandation concernée dans le portail Azure :
Il ne me reste plus alors qu’à acheter, ou racheter, l’instance réservée appropriée 😎
Conclusion
La maîtrise des coûts est un volet essentiel de l’architecture cloud. En engageant vos ressources sur une durée ferme, les instances réservées vous permettent de réduire significativement vos dépenses tout en conservant la flexibilité de changer de taille ou d’échanger votre réservation en cas d’évolution de vos besoins.
Les fonctionnalités de renouvellement automatique garantissent la continuité des remises, et les alertes Azure Advisor vous aident à prendre les bonnes décisions au bon moment. En combinant analyse de l’utilisation (Advisor), estimation des coûts (calculateur de tarification) et stratégie d’engagement, vous disposez de tous les outils pour optimiser votre facture Azure.
Depuis plusieurs mois, je souhaitais pouvoir Windows 365 Link dans des conditions réelles d’utilisation. Cette opportunité m’a enfin permis de prendre le temps d’analyser la solution de manière concrète, au-delà des annonces marketing et des fiches techniques. L’objectif de cet article est de décortiquer Windows 365 Link sous différents angles : technique, licences, intégration à l’écosystème Microsoft, mais aussi usage quotidien.
Au fil des tests, j’ai cherché à comprendre dans quels scénarios ce type d’appareil apporte une réelle valeur, et dans quels cas d’usage il montre ses limites.
Cet article se veut à la fois factuel et basé sur un retour d’expérience, afin d’apporter une vision pragmatique de Windows 365 Link et de son positionnement dans une stratégie de poste de travail cloud.
Pour vous guider plus facilement dans cet article très long, voici des liens rapides :
Commençons par le tout début. Il était une fois… Windows 365 Link.
Qu’est-ce que Windows 365 Link ?
En quelques mots, Windows 365 Link est un thin client qui permet de se connecter directement à un Cloud PC Windows 365, vous offrant ainsi un moyen sécurisé et simple d’accéder à votre environnement cloud.
Windows 365 Link est le premier appareil matériel pc cloud qui permet aux utilisateurs de se connecter directement à leur machine virtuelle Cloud PC. Il s’agit d’une solution de pile complète et spécialement conçue par Microsoft.
Lorsque les utilisateurs se connectent à leur Windows 365 Link, ils sont connectés à leur machine virtuelle PC Windows 365 Cloud via le service Windows 365.
Nerdio illustre, à l’aide d’un schéma simple, la manière dont Windows 365 Link s’intègre à l’écosystème cloud de Microsoft
Quelles sont ses caractéristiques techniques ?
Windows 365 Link mesure 120 × 120 × 30 mm pour un poids de 418 grammes, et est compatible VESA 100 et verrous Kensington. De plus, il dispose des connectivités suivantes :
Sans fil :
Wi-Fi 6E
Bluetooth 5.3
Face avant :
USB-A (USB 3.2)
Prise audio jack
Face arrière :
USB-C (USB 3.2)
DisplayPort (1.4a, jusqu’à 4k 60 Hz)
HDMI (2.0b, jusqu’à 4k60)
Ethernet (1.0 Gbit/s)
Alimentation électrique (65 watts)
Unified Extensible Firmware Interface (UEFI) pour la réinitialisation
Côté matériel et logiciel, on retrouve les éléments suivants :
Windows 365 Link est conçu pour offrir un accès direct, sécurisé et dédié à un PC Cloud Windows 365, sans exécuter de système Windows local complet. L’objectif n’est pas de remplacer un PC traditionnel, mais de proposer un point d’accès matériel minimaliste, fortement intégré aux services Microsoft Entra ID, Intune et Windows 365.
En quoi est-il différent d’un PC pour accéder à Windows 365 ?
Contrairement à un PC Windows traditionnel, Windows 365 Link ne stocke pas de données utilisateur localement et ne permet pas d’exécuter d’applications hors du PC Cloud. Toute l’expérience utilisateur est déportée dans le Cloud PC, ce qui contribue à réduire la surface d’attaque locale et simplifie considérablement l’administration du poste.
Windows 365 Link peut-il remplacer un thin client tiers ?
Windows 365 Link se rapproche fonctionnellement d’un thin client, mais avec une intégration native et exclusive à Windows 365.
Il ne vise pas la polyvalence fonctionnelle (VDI multiples, accès Linux ou AVD générique), mais une expérience optimisée et contrôlée pour Windows 365 uniquement. Cela en fait un choix pertinent dans des environnements standardisés, mais plus restrictif que certaines solutions tierces.
Attention, ce point a déjà été mentionné à plusieurs reprises, mais mérite d’être rappelé : Windows 365 Link ne prend pas en charge Azure Virtual Desktop ni Microsoft Dev Box.
Dans quels scénarios est-il le plus pertinent ?
Windows 365 Link est particulièrement adapté aux environnements à postes partagés, aux scénarios Frontline, aux centres de contact, aux environnements industriels ou aux sites distants où la simplicité de déploiement, la sécurité et la rapidité de remplacement du matériel sont prioritaires.
Voici quelques exemples de cas d’usage :
Postes partagés
Permettre aux collaborateurs en mode hybride de retrouver instantanément leur environnement de travail
Accès rapide et sécurisé à leur Cloud PC Windows 365, sans dépendance au poste physique
Idéal pour les environnements à forte rotation d’utilisateurs ou à postes non attribués
Centres d’appels
Démarrage en quelques secondes vers un Cloud PC Windows 365
Expérience utilisateur fluide et réactive, adaptée aux usages intensifs (voix, CRM, applications métiers)
Aucune donnée stockée localement sur le terminal, réduisant les risques de fuite d’informations
Authentification sans mot de passe via Microsoft Entra ID
Espaces spécialisés
Accès sécurisé aux outils et aux données dans des environnements contrôlés
Utilisation dans des lieux spécifiques tels que :
laboratoires
zones logistiques ou arrière-boutiques
centres de formation
accueils et réceptions
Frontline et métiers spécifiques
Mise à disposition d’un poste de travail Cloud sécurisé pour :
travailleurs de première ligne en milieu industriel
agents d’accueil
personnels en environnement scientifique ou de recherche
Réduction des contraintes matérielles locales et simplification du support
Métiers à forte sensibilité des données
Accès distant sécurisé pour des profils tels que :
analystes financiers
consultants
chargés de clientèle bancaire
agents de support client
téléconseillers / télévendeurs
Centralisation des données dans le Cloud PC, limitant les risques de fuite ou de perte
Dans quels cas n’est-il pas recommandé ?
Windows 365 Link est peu adapté aux utilisateurs nomades, aux scénarios nécessitant un fonctionnement hors ligne, ou aux usages impliquant des applications locales spécifiques ou des périphériques avancés non pris en charge. Il n’est pas non plus destiné à remplacer un poste de travail puissant pour des usages lourds locaux.
De ce fait, la comparaison entre Windows 365 Link + Cloud PC et un ordinateur portable moyen de gamme peut soulever des questions économiques :
Critère
Laptop moyen de gamme
Windows 365 Link + Windows 365
Coût matériel initial
~800 € (laptop)
365 € (Windows 365 Link)
Durée de vie
3–4 ans
4–5 ans (device statique)
Coût licence Windows 365
0 €
60 €/mois → 2 160 € sur 3 ans
Déploiement initial
Imaging, drivers, apps
Provisioning automatique
Support & maintenance (3 ans)
30 h × 60 €/h = 1 800 €
30 h × 30 €/h = 900 €
Données locales
Oui
Non
Exposition en cas de perte/vol
Élevée
Très faible (données Cloud)
Continuité de service
Dépend du matériel
Reconnexion immédiate
Coût total estimé sur 3 ans
~2 600 €
~3 425 €
Lecture du ROI
Référence
Surcoût ~825 € / poste sur 3 ans
Windows 365 n’est donc pas nécessairement moins coûteux par défaut, le ROI devient positif si :
Postes partagés / Frontline / hot desk
Réduction forte du support de proximité
Exigences sécurité élevées
Besoin de remplacement immédiat du poste
Sinon, sur poste dédié standard, l’ordinateur portable reste économiquement plus avantageux.
Permet-il de réduire les coûts IT et le provisioning ?
Dans les usages recommandés listés plus haut, Windows 365 Link peut contribuer à une réduction des coûts liés au support, au renouvellement matériel et à la gestion des images système. En revanche, il renforce la dépendance au modèle de licences Windows 365, qui doit être évalué globalement dans la stratégie poste de travail.
Windows 365 Link simplifie le provisioning, le remplacement des appareils et l’exploitation quotidienne grâce à l’enrôlement automatique Entra ID et Intune. L’administration est centralisée, avec moins d’interventions locales, ce qui facilite la standardisation et la gouvernance du poste de travail.
Quels sont ses bénéfices de sécurité ?
L’absence de données persistantes locales, l’authentification systématique via Microsoft Entra ID et l’intégration native avec les stratégies d’accès conditionnel renforcent la posture de sécurité globale. En cas de perte ou de vol du matériel, aucune donnée utilisateur n’est exposée localement.
En centralisant l’exécution et les données dans le Cloud PC, Windows 365 Link limite les impacts d’incidents matériels, de compromission locale ou de mauvaise configuration utilisateur. La gestion centralisée via Intune permet également d’appliquer des politiques de sécurité homogènes et cohérentes.
Quels sont les licences nécessaires pour l’utiliser ?
Voici les exigences connues pour pouvoir utiliser Windows 365 Link :
Exigences de licence Windows 365
Exigences Microsoft Entra ID
Exigences Microsoft Intune
Prenons le temps de comprendre en détail toutes ces exigences.
Exigences de licence Windows 365 :
Windows 365 Link n’introduit aucune nouveauté du côté des licences. On reste strictement dans le périmètre Windows 365.
Sans licence Windows 365 valide assignée à l’utilisateur, votre Windows 365 Link n’est pas utilisable : la connexion à un autre PC est tout simplement impossible, même à un environnement Azure Virtual Desktop.
À noter que Windows 365 Link accepte tous les types de licences Windows 365 :
Windows 365 Entreprise
Windows 365 Business
Windows 365 Frontline
Exigences Microsoft Entra ID :
Avec Windows 365 Link, un point apparaît rapidement comme non négociable : Windows 365 Link doit être Microsoft Entra joined ou Entra hybrid joined.
L’utilisateur qui effectue cette jonction doit bien évidemment avoir les droits pour joindre des appareils au tenant :
Lors de la jonction à Entra ID, le device s’enrôle automatiquement dans Intune. Et là, point important : l’utilisateur qui joint le device doit disposer d’une licence Microsoft Entra ID Premium, sinon l’enrôlement automatique échoue.
L’enrôlement automatique dans Intune dépend du paramétrage suivant :
Exigences Microsoft Intune :
L’enrôlement Intune des Windows 365 Link se fait pendant l’OOBE, sans action manuelle supplémentaire grâce aux mécanismes d’Entra.
Là encore, l’utilisateur qui joint le Windows 365 Link doit :
Disposer d’une licence Microsoft Intune
Avoir le droit d’enrôlement
Ne pas être bloqué par des restrictions d’enrôlement Intune :
Concrètement, voici ce que la donne lors du premier démarrage du Windows 365 Link :
L’utilisateur démarre et s’authentifie pour la toute première fois :
Le Windows 365 Link s’enrôle automatiquement dans Entra :
Puis l’enrôlement automatique MDM prend le relais pour l’ajouter dans Intune :
Avant d’arriver à cela avec votre Windows 365 Link, prenons le temps de passer en revue toutes les étapes.
Où peut-on l’acheter ?
Sa disponibilité dépend des pays et des vagues de lancement définies par Microsoft. L’appareil est proposé via des partenaires et revendeurs agréés Microsoft, comme TD SYNNEX selon les régions concernées.
À ce jour, la disponibilité semble s’élargir progressivement avec les vagues successives de déploiement, parfois désignées comme Wave 1 ou Wave 2. Windows 365 Link est actuellement disponible pour les pays suivants :
États-Unis
Australie
Canada
Danemark
France
Allemagne
Inde
Japon
Pays-Bas
Nouvelle-Zélande
Suède
Suisse
Royaume-Uni
Dans les prochains mois, Il devrait l’être par la suite aussi disponible dans :
Belgique
Finlande
Irlande
Italie
Pologne
Singapour
Espagne
Pour connaître les options d’achat exactes, il est recommandé de se rapprocher d’un partenaire Microsoft local ou de consulter les annonces officielles de Microsoft pour votre zone géographique.
Maintenant que les principaux aspects fonctionnels, techniques et de licences autour de Windows 365 Link ont été abordés, il est temps de passer à la partie plus concrète.
La section suivante détaille pas à pas les différentes étapes de configuration et de prise en main de Windows 365 Link, depuis la préparation de l’environnement jusqu’aux premiers tests en conditions réelles :
Dans mon environnement de test, j’ai déjà configuré plusieurs polices de provisionnement afin de créer mes Cloud PCs qui vont me servir durant mes tests :
Les Cloud PCs étant correctement déployés, une exigence particulière concerne toutefois le SSO avec Entra. Pour être plus clair, je vais maintenant repasser en détail sur toutes les étapes pour correctement configurer le SSO.
Etape I – Configuration du Single Sign-On :
Windows 365 Link repose entièrement sur le mécanisme Single Sign-On via Microsoft Entra ID. Autrement dit : si le SSO n’est pas activé sur le Cloud PC, la connexion de votre utilisateur risque d’échouer :
Pour activer le SSO, il sera nécessaire de vérifier, et de modifier si nécessaire, la police de provisionnement de vos Cloud PC, puis de recréer au besoin de nouveaux Cloud PCs si ces derniers ont été créés avant cette modification :
Voici l’option SSO dans la police de provisionnement des Cloud PCs qui doit être cochée :
L’étape suivante consiste à supprimer la demande de consentement SSO côté Microsoft Entra ID, dont la configuration repose sur des principaux de service :
Commençons par autoriser Microsoft Entra dans l’authentification pour Windows sur le tenant. Pour cela, j’utilise la console PowerShell d’Azure Cloud Shell, accessible depuis le portail Azure :
J’importe les deux modules Microsoft Graph suivants, puis je me connecte avec le compte aux permissions appropriées :
Je modifie la propriété isRemoteDesktopProtocolEnabledtruesur True, puis je vérifie que la propriété isRemoteDesktopProtocolEnabledest correctement définie :
Depuis le portail Intune, je crée ensuite un groupe contenant les Cloud PCs :
J’utilise une requête dynamique pour ajouter automatiquement mes prochains Cloud PCs au groupe :
Enfin, toujours dans la même session d’Azure Cloud Shell, j’ajoute l’ID de groupe à une propriété sur le principal du service SSO Windows Cloud Login :
Tout est maintenant en place pour tester la première authentification sur votre Windows 365 Link.
Etape II – Test de la première connexion Windows 365 Link :
La vidéo suivante correspond à la première connexion avec succès de mon utilisateur de test à son Windows 365 Link :
J’ai réalisé ensuite une seconde vidéo montrant plusieurs scénarios de connexion et de bascule d’utilisateurs avec Windows 365 Link :
Le premier test illustre la connexion d’un utilisateur unique à différents Cloud PC Windows 365 qui lui sont attribués. L’objectif est d’observer le temps de connexion, la fluidité du changement de Cloud PC, ainsi que l’efficacité globale du processus d’authentification.
Le second test se concentre sur un scénario de type pool partagé, comparable à un usage Windows 365 Frontline, où plusieurs utilisateurs se connectent successivement au sein d’un même pool de Cloud PC. Ce scénario permet d’analyser le comportement de l’authentification, la gestion des sessions et la rapidité de bascule entre utilisateurs.
Ces démonstrations offrent un retour concret sur les performances et l’expérience utilisateur, avant d’aborder les aspects de configuration et d’administration via Intune.
Travis nous a d’ailleurs fait une excellente vidéo sur ce sujet disponible juste ici :
Une fois ces premiers tests de connexion réalisés, on peut imaginer d’autres tâches ou configurations que l’on peut faire autour de son Windows 365 Link.
Mais avant cela, je vous conseille de commencer par créer un filtre d’assignation Intune pour cibler uniquement les Windows 365 Link dans vos futures polices de configuration.
Etape III – Création d’un filtre d’assignation Intune :
Depuis le portail Intune, je commence par créer un filtre d’assignation, qui me sera très utile pour configurer les Windows 365 Link par la suite :
Je nomme ce filtre avec comme plateforme Windows 10 et +, puis je clique sur Suivant :
Je spécifie la règle de filtrage selon la propriété suivante afin de ne prendre en compte que les appareils Windows 365 Link, puis je clique sur Prévisualiser :
Si des Windows 365 Link sont déjà présents, je devrais voir ces derniers apparaître :
Enfin je confirme la création du filtre :
Mon filtre est maintenant en place, je vais pouvoir commencer à effectuer quelques réglages, comme la détection automatique du fuseau horaire.
Etape IV – Configuration automatique du fuseau horaire :
Au démarrage de votre Windows 365 Link, l’heure qui s’affiche n’est peut-être pas la bonne :
Les appareils Windows 365 Link peuvent rencontrer des problèmes de fuseau horaire si la détection automatique n’est pas autorisée. Il est possible de forcer l’utilisation du fuseau horaire local en autorisant l’accès à la localisation via Microsoft Intune.
Pour cela, connectez-vous au portail Intune, puis dirigez-vous vers le menu suivant :
Sélectionnez le type de profil suivant :
Renseignez les informations suivantes, puis cliquez sur Suivant :
Nom : Windows 365 Link – Time Zone Detection
Description : Autorise l’accès à la localisation afin de permettre la détection automatique du fuseau horaire sur les appareils Windows 365 Link.
Recherchez Access location, puis sélectionnez la catégorie Privacy, configurez comme ceci, puis cliquez sur Suivant :
Ajoutez les Scope tags nécessaires selon votre organisation, puis cliquez sur Suivant :
Dans Assignments, ciblez les appareils Windows 365 Link selon la méthode suivante, puis cliquez sur Suivant :
Par exemple, en utilisant All devices
En appliquant un Include filter basé sur un filtre de type Windows 365 Link
Vérifiez la configuration, puis cliquez ici pour déployer la stratégie :
Quelques minutes plus tard, l’accès à la localisation est autorisé, Windows 365 Link peut détecter automatiquement le fuseau horaire local, et affiche l’heure correcte selon la localisation de l’utilisateur :
Etape V – Modification du délai d’extinction de l’écran :
Par défaut, les appareils Windows 365 Link éteignent l’écran après environ cinq minutes d’inactivité. Ce comportement est assimilé à un verrouillage local : lorsque l’utilisateur réactive l’appareil, l’écran de connexion s’affiche.
Comme pour l’heure, la configuration se fait via une police de configuration Intune. Dans mon cas je configure l’extinction de l’écran après 9 minutes d’inactivité :
Travis nous a encore fait une excellente seconde vidéo sur ce sujet :
Etape VI – Modification des délais de déconnexion des sessions :
Comme Microsoft le recommande, est-il possible de raccourcir (mais pas de rallonger ?) les temps définis par défaut dans le cas de sessions Windows 365 inactives ou déconnectées :
Par défaut, Windows 365 PC Frontline conservent la session utilisateur active jusqu’à ce que :
En mode dédié : Le PC cloud est inactif pendant 30 minutes.
En mode partagé : Le PC cloud est inactif pendant 15 minutes.
Deux minutes avant la limite de temps d’inactivité, l’utilisateur reçoit une notification avec une boîte de dialogue.
Cette stratégie force la fermeture (log off) des sessions Windows 365 afin d’éviter :
Les sessions laissées ouvertes sans activité
Les sessions bloquées après une coupure réseau
La consommation inutile de capacité (critique en Frontline partagé)
Elle remplace alors entièrement le comportement par défaut des services Windows 365 expliqués plus haut, à la condition que les temps indiqués ne soient pas supérieurs :
Par contre, à la différence des configurations précédemment appliquées sur les Windows 365 Link, j’ai appliqué cette nouvelle police sur filtre comprenant uniquement les Cloud PCs Frontline comme ceci :
Le tableau ci-dessous résume les différents événements observés et les mécanismes impliqués dans ma configuration :
Étape
Heure
Événement
Mécanisme responsable
Login utilisateur
08h47
Connexion au Cloud PC Frontline
Session RDS active
Idle atteint
08h52
Message “You will be signed out in 2 minutes”
Idle session RDS (5 min)
Log off
08h54
Déconnexion automatique (sign out)
End session when time limits are reached
Écran noir
09h03
Extinction automatique de l’écran
Policy Display Windows 365 Link (9 min)
Etape VII – Connexion automatique sur un Cloud PC :
Windows 365 Link permet également d’activer des mécanismes de connexion automatique et d’authentification sans mot de passe (passwordless), afin de simplifier encore davantage l’accès au Cloud PC pour l’utilisateur final.
Dans ce scénario, l’utilisateur n’a pas besoin de saisir manuellement son identifiant, ce qui rend l’expérience de connexion particulièrement fluide :
Pour cela, je suis passé par la création d’une police de configuration personnalisé avec les paramètres OMA-URI suivants :
Nom : Activer les clés de sécurité FIDO pour la connexion à Windows
OMA-URI : ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
Type de données : Integer
Valeur : 1
Il est également possible de configurer Windows 365 Link pour qu’il se connecte automatiquement à un Cloud PC Windows 365 spécifique :
Cette option est particulièrement adaptée aux environnements à poste dédié ou aux usages standardisés. On y retrouve les fonctionnalités habituelles, comme la restauration ou la réinitialisation de la connexion.
Enfin, un bouton Annuler permet d’annuler la connexion automatique à ce Cloud PC. Cette action redirige l’utilisateur vers l’écran de sélection afin de lui permettre de choisir un autre Cloud PC Windows 365 auquel se connecter :
Ces options permettent d’adapter finement l’expérience de connexion selon que l’on se trouve dans un scénario à poste dédié ou à usage partagé.
Etape VIII – Restauration de mode usine :
Si nécessaire, Microsoft propose une restauration en mode usine des Windows 365 Link depuis le portail Intune. Comme beaucoup de postes gérés en MDM sous Intune, cette fonction très utile permet de réinitialiser complètement l’appareil à distance, en supprimant toute configuration et toute association utilisateur, afin de le reprovisionner proprement.
Voici d’ailleurs une vidéo qui montre le processus en entier, d’environ 30 minutes (accéléré), sur un Windows 365 Link :
Etape IX – Test de Microsoft Teams :
J’ai réalisé un test Microsoft Teams avec Windows 365 Link et j’ai été très satisfait de l’expérience globale, tant sur la qualité du rendu que sur la fluidité du partage d’écran et des flux audio/vidéo.
Un tour dans les paramètres de Teams confirme que le mode Media Optimized (SlimCore) est bien actif avec Windows 365 Link :
Pour plus de détails sur SlimCore et son fonctionnement côté AVD / Windows 365, voir cet article dédié sur mon blog.
Ce test rapide illustre le rendu réel de Microsoft Teams en conditions d’usage, du partage d’écran et des flux caméra, en mettant en évidence que le traitement (CPU) est effectué localement sur le Windows 365 Link et non sur le Cloud PC :
Et voici encore une autre vidéo faite cette fois avec une vidéo YouTube :
Après ces différents tests et configurations, il est possible de tirer plusieurs enseignements concrets sur l’usage de Windows 365 Link.
Conclusion
En conclusion, et après plusieurs jours d’utilisation et de tests dans des scénarios réels, Windows 365 Link s’est montré convaincant à l’usage quotidien.
Les performances observées, la simplicité d’accès au Cloud PC et la stabilité globale de l’expérience m’ont laissé une impression très positive au quotidien. Dans certains cas, j’ai pu avoir des doutes quant à la pertinence de l’appareil, notamment pour des scénarios où ses limites fonctionnelles peuvent apparaître.
Néanmoins, pour les cas d’usage évoqués plus haut (postes partagés, environnements Frontline, centres de contact ou contextes à forte exigence de sécurité), Windows 365 Link apporte une réelle valeur.
C’est un produit cohérent, bien positionné dans la stratégie Cloud-first de Microsoft, et je suis personnellement très satisfait d’avoir pu le tester dans des conditions concrètes et représentatives.
Alors, Windows 365 Link est-il un produit de niche ou le début d’une nouvelle norme ?
Windows 365 Link s’inscrit dans la stratégie Cloud-first de Microsoft et cible des usages bien définis. Il ne remplace pas tous les postes de travail, mais propose une alternative cohérente dans les environnements où la simplicité, la sécurité et la centralisation priment sur la flexibilité locale.
Enfin, retrouvez-moi et Arnaud et Arnaud dans un futur AzuReX prévu le 29 janvier prochain à 13 heures, dont l’inscription se passe juste ici 😎
La perte totale d’accès à un compte Microsoft Entra ID reste l’un des scénarios les plus critiques en matière d’identité : plus de mot de passe, plus de MFA, plus de clés physiques. Historiquement, ce type de situation reposait sur des procédures manuelles, souvent longues, impliquant les équipes IT internes, voire le support Microsoft pour les comptes à privilèges élevés. Lors de Microsoft Ignite 2025, Microsoft a officiellement mis en avant Entra ID Account Recovery comme une réponse structurante à ce problème historique, en l’inscrivant clairement dans sa vision Zero Trust et Identity-first.
Avec Entra ID Account Recovery, Microsoft introduit une nouvelle approche : une récupération de compte en libre-service, basée non plus sur des facteurs préenregistrés, mais sur une vérification d’identité à haute assurance, intégrée nativement à l’écosystème Entra via Verified ID et Face Check.
Comment faisait-on auparavant en cas de blocage total d’un compte ?
Avant l’arrivée d’Entra ID Account Recovery, la gestion d’un blocage total de compte dépendait fortement du type d’utilisateur concerné :
Pour un utilisateur standard, la récupération passait généralement par les équipes de support IT internes. Ces équipes procédaient à des actions manuelles (réinitialisation, suppression/recréation de méthodes d’authentification, Temporary Access Pass, etc.), après avoir vérifié l’identité de l’utilisateur selon les processus internes de l’organisation.
Pour un utilisateur à privilèges élevés, et en particulier un administrateur général, la situation était plus complexe. En cas de perte totale des moyens d’authentification, il était souvent nécessaire de contacter le Microsoft Data Protection Team via un ticket de support Microsoft.
Cette distinction rendait la récupération :
relativement gérable pour les utilisateurs standards,
mais particulièrement contraignante et chronophage pour les comptes administrateurs, avec un fort impact opérationnel.
Qu’est-ce qu’Entra ID Account Recovery ?
Entra ID Account Recovery est une solution de récupération d’accès, conçue pour les scénarios où toutes les méthodes de connexion sont perdues.
Plutôt que de simplement réinitialiser un mot de passe, elle repose sur une vérification d’identité à haute assurance pour prouver qui est l’utilisateur avant de lui permettre de rétablir ses méthodes d’authentification.
Microsoft Entra ID Account Recovery traite ces scénarios critiques en permettant aux utilisateurs de récupérer l’accès à leurs comptes via un processus de vérification d’identité robuste.
Contrairement à la réinitialisation de mot de passe, qui suppose que les utilisateurs conservent une certaine forme de méthode d’authentification, la récupération de compte se concentre sur la recréation de l’approbation dans l’identité de l’utilisateur lorsqu’il a perdu l’accès à tous les mécanismes d’authentification.
Entra ID Account Recoveryvs réinitialisation de mot de passe en libre-service (SSPR)
Voici une comparaison proposée par Microsoft entre la récupération de compte et la réinitialisation de mot de passe en libre-service (SSPR) :
Aspect
Réinitialisation du mot de passe libre-service (SSPR)
Récupération de compte (Entra ID Account recovery)
Cas d’usage principal
Mot de passe oublié par l’utilisateur, mais conserve l’accès aux méthodes d’authentification
L’utilisateur a perdu l’accès à toutes les méthodes d’authentification
Exigence d’authentification
Au moins une méthode d’authentification inscrite (les contrôles de stratégie peuvent nécessiter jusqu’à 2 méthodes)
Vérification d’identité par le biais d’un partenaire certifié
Hypothèse de confiance
L’identité de l’utilisateur est vérifiée par le biais de méthodes existantes
L’identité de l’utilisateur doit être rétablie
Étendue de récupération
Mot de passe uniquement
Réinitialisation complète de la méthode d’authentification
Dépendance technologique
Méthodes MFA existantes, questions de sécurité
Services de vérification d’identité, ID vérifié
Niveau de sécurité
Moyen – s’appuie sur des méthodes préinscrites
Élevé : nécessite une vérification complète des identités
Quels sont les prérequis ?
Voici les prérequis connus pour utiliser Entra ID Account Recovery dans Microsoft Entra ID, toujours en préversion à l’heure où ces lignes sont écrites :
Licence Microsoft Entra ID P1 pour la récupération du compte
Avoir activé Verified ID et Face Check
Concernant le second point, plusieurs articles présents sur mon blog avaient déjà été écrits sur le sujet :
Voici une liste de fournisseurs d’Identity Verification Providers (IDV) actuellement disponible avec Microsoft Entra ID Account Recovery, dont les souscriptions sont accessibles via le Microsoft Security Store :
Combien coûte le processus de récupération Entra ID Account Recovery ?
Plusieurs éléments de coût sont à prendre en compte pour comprendre le prix d’Entra ID Account Recovery :
Le coût de la licence Microsoft Entra ID P1,
Le coût du fournisseur de vérification d’identité externe (voir plus bas),
Les demandes de récupération de compte concernent généralement environ 1 à 3 % des utilisateurs chaque mois. Le calculateur compare vos dépenses actuelles aux coûts de récupération en libre-service prévus, ce qui vous permet de modéliser facilement les économies pour votre scénario.
Voici la comparaison des modes Évaluation et Production pour Account Recovery dans Microsoft Entra :
Critère
Évaluation
Production
Objectif
Tester la vérification d’identité
Permettre la récupération réelle du compte
Abonnement IDV requis
Oui
Oui
Vérification d’identité
Face check
Face check
Récupération du compte
❌ Non
✅ Oui
Accès utilisateur restauré
❌ Non
✅ Oui
Temporary Access Pass
❌ Non
✅ Oui
Ré-enrôlement MFA
❌ Non
✅ Oui
Impact sur le compte
Aucun
Compte récupéré
Usage recommandé
Tests, POC, validation sécurité
Production, utilisateurs autorisés
Population cible
Équipe IT / sécurité
Groupes restreints d’utilisateurs
Cas d’usage
Validation du fournisseur IDV
Perte totale des facteurs
Comme Entra ID Account Recovery se trouve toujours en préversion, je vous propose au travers de cet article de tester la solution en l’activant sur un tenant de test dans le mode Évaluation.
En mode Évaluation, les utilisateurs peuvent uniquement tester le processus de vérification d’identité sans récupérer réellement leurs comptes :
Avant de mettre en place la solution, certains composants sont nécessaires en tant que prérequis.
Etape 0 – Configuration de base :
Dans mon environnement de test, j’ai déjà configuré certains composants prérequis à la mise en place de Entra ID Account Recovery.
Configuration d’Entra Verified ID :
Configuration d’Entra Face Check :
Achat de licences Microsoft Entra ID P1/P2 :
Commençons par activer Entra ID Account Recovery depuis le portail du même nom.
Etape I – Activation d’Entra ID Account Recovery :
Microsoft documente la procédure de façon très claire juste ici.
Pour cela, connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification, puis cliquez ici pour démarrer le processus :
Sous Choisir un mode de récupération, sélectionnez Évaluation :
Sous Sélection du groupe d’utilisateurs, cliquez sur Sélectionner des groupes, choisissez les groupes que vous souhaitez inclure pour la récupération de compte, puis cliquez sur Suivant :
Sous Fournisseurs de vérification d’identité, choisissez un fournisseur, puis sélectionnez Obtenir la solution :
Dans la page de votre fournisseur de vérification d’identité, sélectionnez Obtenir la solution :
Sélectionnez un abonnement Azure, un groupe de ressources, puis saisissez un nom de ressource :
Cliquez ici pour choisir le plan tarifaire :
Sélectionnez un plan tarifaire :
Définissez le nombre d’utilisateurs ainsi que la fonction d’auto-renouvellement, puis cliquez sur Suivant :
Confirmez les détails, puis sélectionnez Passer la commande :
Attendez quelques minutes que le processus d’achat se termine :
Entre-temps, constatez la génération d’une ressource sur le portail Azure :
Lorsque votre abonnement SaaS est prêt, sélectionnez Configurer le compte maintenant :
Acceptez la demande de permissions de votre fournisseur de vérification d’identité :
Dans la page Général de l’abonnement SaaS, fournissez les détails requis demandés par le fournisseur SaaS (par exemple, le nom du contact, l’e-mail et le numéro de téléphone), puis sélectionnez Souscrire :
Attendez quelques minutes la fin du traitement :
Quelques minutes plus tard, recevez le mail suivant vous confirmant que la souscription SaaS est bien activée :
Une fois le processus d’achat terminé, revenez au processus de configuration de la récupération de compte dans le Centre d’administration Microsoft Entra pour effectuer les étapes restantes.
Revenez au menu fournisseur de vérification d’identité dans le processus de configuration de la récupération de compte, puis sélectionnez Sélectionner :
Le message en vert ci-dessous vous indique que le provisionnement de l’étape précédente s’est correctement terminé, puis cliquez sur Suivant :
Dans la page Révision et finalisation , passez en revue les détails de la configuration de récupération de compte, puis sélectionnez Terminé :
Une fois l’installation terminée, la page d’accueil de récupération de compte s’ouvre dans le Centre d’administration Microsoft Entra :
Une fois l’installation terminée, tous les utilisateurs limités à la récupération de compte peuvent essayer la récupération et terminer la vérification de l’identité. Mais ils ne peuvent pas récupérer leurs comptes, car la récupération est définie en mode d’évaluation.
Etape II – Préparation du compte utilisateur de test :
Dans sa version actuelle, la vérification repose uniquement sur les deux champs suivants :
Afin de tester facilement la solution, créez un utilisateur ayant ces deux attributs :
Vérifiez que la propriété First Name et la propriété Last Name sont renseignées. S’ils sont vides, il n’existe aucun moyen pour Microsoft Entra ID Account Recovery de correspondre aux valeurs de revendications d’ID retournées par le fournisseur de vérification d’identité.
Souvent, le vrai nom d’un utilisateur sur son ID de gouvernement ne correspond pas à ce qui est répertorié pour son compte d’utilisateur dans l’ID Microsoft Entra.
Le nom complet n’est pas utilisé dans le processus de récupération du compte ; seules les propriétés Prénom et Nom sont utilisées.
Configurez-lui une ou des méthodes MFA ou passkey :
Déconnectez-vous de votre utilisateur.
Notre utilisateur de test est maintenant correctement configuré. Imaginons que ce dernier a perdu son mot de passe, son smartphone, mais également sa clef FIDO.
Nous allons maintenant tester le processus de récupération de compte afin de comprendre comment les utilisateurs peuvent récupérer leurs comptes en quelques étapes simples.
Etape III – Test de récupération de compte :
Microsoft documente la procédure de façon très claire juste ici.
Ouvrez un navigateur privé, puis rendez-vous sur la page suivante, saisissez votre nom de compte, puis cliquez sur Suivant :
Il vous est proposé une méthode d’authentification initiale, comme le mot de passe, pour vous connecter. Comme vous ne parvenez pas à utiliser cette méthode, sélectionnez d’autres façons de vous connecter. Vous disposez d’options de connexion supplémentaires.
Comme vous ne parvenez pas à vous connecter avec des méthodes, cliquez sur Récupérer votre compte :
Cliquez sur Suivant afin d’être redirigé vers le service de vérification des identités configuré par votre organisation :
Démarrez le processus en cliquant ici :
Basculez sur votre smartphone ou continuez sur votre poste :
Autorisez votre navigateur internet à utiliser votre caméra, puis cliquez sur Continuer :
Acceptez les conditions d’utilisation de l’application :
Passez en revue comment prendre une photo de document claire, puis sélectionnez Continuer :
Prenez la photo recto et/ou verso de votre document d’identité (carte d’identité, passeport, permis de conduire, permis de travail), puis sélectionnez Envoyer les photos :
Attendez la confirmation de la part de l’application sur la qualité de votre photo :
Passez en revue comment prendre une photo claire de votre visage, puis sélectionnez Continuer :
Réalisez une photo de vous :
L’application vérifie votre identité, deux résultats sont alors possibles :
Vérification échouée : l’application vous informe de l’échec de l’opération sans plus de détail :
Dans la vidéo de John Savill, nous avons pu voir une copie d’écran de la partie backend de l’application AU10TIX :
Vérification réussie : l’application émet des justificatifs vérifiables (Verified ID) à sauvegarder dans votre application Microsoft Authenticator. Ouvrez Microsoft Authenticator, puis scannez le QR Code ci-dessous :
Effectuez une vérification du visage avant que la propriété de votre compte puisse être validée :
Une fois l’identité vérifiée présente dans votre Microsoft Authenticator, cliquez sur Partager afin de l’utiliser dans le processus de récupération de compte :
Une fois terminé, vous obtenez un pass d’accès temporaire, copiez ce code :
Comme le montre la capture d’écran ci-dessus, aucun TAP n’est visible dans le mode Évaluation, le message d’erreur suivant apparaît d’ailleurs systématiquement :
Mais la suite de la procédure devrait ressembler à cela :
Microsoft a déjà écrit une aide au Troubleshooting pour les utilisateurs juste ici :
L’utilisateur ne peut pas récupérer son compte en mode Évaluation
L’utilisateur n’a pas reçu de TAP
L’utilisateur peut ne pas voir l’option Récupérer votre compte
L’utilisateur peut obtenir une erreur indiquant que les demandes ne peuvent pas être traitées au début de la récupération.
Erreurs du fournisseur de vérification d’identité.
Erreurs lors de la vérification faciale.
Problèmes liés au code d’accès temporaire après la vérification d’identité.
Clé d’accès non émise.
Enfin, des événements sont inscrits dans les journaux d’audit d’Entra ID pour retracer toutes ces opérations de récupération de compte :
Conclusion
Avec Entra ID Account Recovery, Microsoft adresse enfin un angle mort historique de la gestion des identités : la récupération d’un compte après une perte totale des moyens d’authentification, y compris pour les comptes sensibles et à privilèges élevés.
Cela confirme qu’Entra ID Account Recovery n’est pas un simple ajout fonctionnel, mais un pilier de la stratégie identité de Microsoft, aux côtés de Verified ID, du Face Check et des mécanismes d’accès conditionnel.
Là où les approches traditionnelles reposaient sur des processus manuels, difficiles à industrialiser et fortement dépendants du support, Entra ID Account Recovery propose une alternative structurée, traçable et alignée avec les principes Zero Trust, en s’appuyant sur une vérification d’identité forte plutôt que sur des secrets ou des facteurs existants.
Même si la fonctionnalité est encore en préversion, elle ouvre des perspectives intéressantes pour :
réduire la dépendance au support, y compris pour les comptes administrateurs,
améliorer l’expérience utilisateur dans des scénarios critiques,
et renforcer la sécurité globale des processus de récupération.
Comme toujours, une activation progressive, en mode Évaluation, sur un tenant de test et avec une population restreinte, reste la meilleure approche avant toute mise en production.