Microsoft 365 Archive 💾

Oubliez Syntex, appelez-le maintenant SharePoint Premium ! Plein de nouvelles fonctionnalités ont été annoncées durant cette année folle, et se finalement sont concrétisées durant le Microsoft Ignite de 2023. Office 365 n’est d’ailleurs pas en reste avec Copilot, Archivage ou encore Sauvegarde.

Dans cette article, je vous propose de parler de l’archivage de site SharePoint Online. Fonctionnalité sans aucun doute très attendue depuis un certain temps !

Mais avant de tester l’archivage sur un tenant de test, je vous propose de parcourir quelques notions importantes.

Quelles sont les limites d’espace de SharePoint Online ?

L’espace disponible dédié aux sites SharePoint Online est facilement consultable depuis la console d’administration du même nom :

Le volume total va dépendre du nombre de licences 365 présentes sur le tenant. Une page d’information Microsoft est disponible juste ici.

Que doit-on faire si l’espace de SharePoint Online est entièrement consommé ?

Une fois l’espace SharePoint Online entièrement consommé jusqu’à l’os, trois options s’offraient alors à vous :

Une licence d’espace comme celle ci-dessus apporte seulement 1 Go de donnée SharePoint Online supplémentaire, pour un mois ou une année, selon la période d’engagement souscrite.

Le prix public de celle-ci est environ 0.20 €, ce qui n’est pas donné quand on parle très souvent de To de données.

Qu’est-ce que SharePoint Premium ?

Le terme de SharePoint Premium a été officialisé durant le Microsoft Ignite 2023 :

Aujourd’hui, nous sommes ravis de présenter le nouveau SharePoint Premium, notre plateforme avancée de gestion de contenu et d’expériences et notre prochaine évolution pour Syntex. SharePoint Premium apporte l’IA, l’automatisation et une sécurité accrue à vos expériences de contenu, au traitement et à la gouvernance.

Avec SharePoint Premium, nous ferons la transition entre les services déjà publiés dans le cadre de Syntex, y compris SharePoint Advanced Management, pour rejoindre la famille croissante des services SharePoint, ainsi que de toutes nouvelles expériences de contenu.

Microsoft Tech Community

Qu’est-ce que Microsoft 365 Archive ?

SharePoint Online est devenu un outil indispensable dans la collaboration entre employés. Comme toute donnée, l’archivage de données anciennes est souvent nécessaire pour plusieurs raisons (légale, fiscale, IT, …)

C’est ici qu’intervient Microsoft 365 Archive :

Microsoft 365 Archive offre un stockage économique pour les sites SharePoint inactifs.

Votre organization peut avoir besoin de conserver des données inactives ou vieillissantes pendant de longues périodes au cas où vous devrez les récupérer ultérieurement.

Microsoft 365 Archive vous permet de conserver ces données inactives en les déplaçant dans un niveau de stockage froid (archive) dans SharePoint. Toutes les données archivées avec Microsoft 365 Archive auront les mêmes normes de recherche, de sécurité et de conformité appliquées automatiquement à un coût beaucoup plus réduit.

Microsoft Learn

Un site SharePoint Online archivé reste-t-il accessible aux utilisateurs ?

Non, les sites archivés ne sont pas accessibles aux utilisateurs et aux administrateurs durant cet état. Il est nécessaire de retirer l’état d’archivage sur le site concerné pour le rendre à nouveau consultable.

Combien coûte l’archivage SharePoint Online ?

Selon la documentation Microsoft, Syntex (SharePoint Premium) est facturé à la consommation (PAYG). Cette consommation sera liée à la souscription Azure renseignée lors de la configuration.

La grille tarifaire de Microsoft 365 Archive est actuellement disponible sous la forme suivante :

  • Microsoft 365 Archive ne sera facturé qu’à partir du moment où l’espace total des sites archivés et non archivés dépasse la limite de quota de stockage SharePoint online incluse ou allouée sous licence.
  • Si Microsoft 365 Archive est facturé, le prix sera de 0,05 $/Go/mois.
  • Si un site SharePoint Online est réhydraté après sept jours d’archivage, le prix sera de 0,60 $/Go réhydraté.

Pourrons-nous suivre les coûts de Microsoft 365 Archive ?

Mon hypothèse est que le coût seront visibles de la même manière que les autres ressources Azure, via le Cost Management :

Comme toujours je vous propose de réaliser un petit exercice sur le sujet :

Commençons par un bref rappel des prérequis.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Microsoft 365 Archive, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une souscription Azure valide

Dans mon cas, j’ai utilisé un tenant Microsoft 365 disposant de licences Microsoft 365 E5 issues de la plate-forme CDX. J’y ai ensuite rajouté une souscription Azure MSDN.

Etape I – Préparation de l’environnement Azure :

Avant de pouvoir tester cette fonctionnalité, toujours en préversion, il est nécessaire de créer un groupe de ressources sur votre souscription Azure pour y stocker les sites SharePoint archivés.

Pour cela, rendez-vous dans le portail Azure, créez un nouveau groupe de ressources dans la région Azure de votre choix, puis lancez la validation :

Une fois la validation Azure réussie, lancez la création, puis attendez environ 1 minute :

Et c’est tout, rien de plus n’est nécessaire du côté d’Azure ! La suite va se passer du côté de Microsoft 365.

Etape II – Activation de la fonction d’archivage :

Avant de configurer la fonction d’archivage des sites SharePoint, rendez-vous dans la console d’administration pour constater l’absence de menu relatif à l’archivage :

Retournez sur la console d’administration de 365 par ce lien, puis cliquez sur le menu suivant :

Recherchez la rubrique suivante, puis cliquez dessus :

Commencez par cliquez ici pour configurer Syntex, alias SharePoint Premium :

Sélectionnez la souscription Azure de votre choix :

Reprenez le groupe de ressources Azure créé précédemment, puis choisissez la localisation des archives SharePoint Online :

Cochez la case des conditions d’utilisation et de facturation, puis cliquez sur Sauvegardez :

Attendez environ 1 minute que Microsoft finalise la configuration de votre tenant :

La notification suivante apparaît alors sur ce même onglet :

Cliquez ensuite sur ce lien pour visualiser la liste des services disponibles :

Vérifiez que la fonction d’Archivage est bien présente. Celle-ci est encore en préversion chez Microsoft à l’heure où ces lignes sont écrites :

Activez la fonction d’archivage comme ceci :

Confirmez votre choix après avoir lu au besoin les termes et conditions du service :

Le service d’archivage est bien actif, il est toujours possible de désactiver cette fonctionnalité par le bouton présent en bas de l’onglet :

La configuration côté Microsoft 365 est maintenant terminée, il ne nous reste plus qu’à tester la fonction d’archivage sur un site SharePoint Online.

Etape III – Test de la fonction d’archivage :

Retournez dans la console d’administration SharePoint Online afin de constater l’apparition d’un nouveau sous-menu consacré aux sites archivés :

Microsoft vous affiche l’espace disponible restant sur votre environnement SharePoint Online. Celui-ci dépend des licences 365 présentes sur votre tenant :

Dans la liste des sites actifs, choisissez l’un d’entre eux, puis cliquez sur la fonction Archiver :

Microsoft vous informe de l’espace actuellement alloué au site, cliquez à nouveau sur Archiver :

Microsoft vous informe des éléments qui seront archivés et d’autres qui le ne seront pas. Cliquez ici pour confirmer votre choix :

Peu de temps après, la console SharePoint Online vous informe du succès de l’archivage du site.

Toujours sur la console SharePoint Online, rendez-vous dans la liste des sites archivés :

Cliquez sur le site SharePoint Online archivé, puis cliquez sur son URL pour l’ouvrir dans un nouvel onglet :

Constatez l’apparition du message suivant au lieu de l’affichage habituel de votre site SharePoint Online :

Malgré la petite taille de mon site en exemple, notez l’absence d’actualisation du compteur d’espace SharePoint Online :

Attendez plusieurs heures avant de voir le changement s’y refléter.

Sur le portail Azure, une nouvelle ressource appelée Syntex est présente en tant qu’élément caché :

De retour sur la console SharePoint Online, il est possible de réactiver le site précédemment archivé par la fonction suivante :

Microsoft nous informe de l’absence de coût lié à notre situation récente d’archivage, cliquez sur Réactivez :

Attendez environ 1 minute que Microsoft réhydrate le site précédemment archivé :

Actualisez la page principale de votre site SharePoint Online afin d’y constater la bonne réapparition du site :

Conclusion :

On peut dire que cette fonctionnalité d’archivage SharePoint Online était attendue depuis très très longtemps ! Sa simplicité de mise en place est un véritable atout, ainsi que le prix du stockage Azure en comparaison du prix stockage live de SharePoint.

Il ne restera plus qu’à définir la politique interne pour les sites dont l’accès direct n’est plus nécessaire. A titre préventif, je recommanderai les points de sécurité suivants :

  • Création d’une souscription Azure uniquement dédiée à l’archivage des sites SharePoint.
  • Mise en place de droits RBAC restreints sur la souscription Azure.
  • Ajout de verrous de suppression sur le groupe de ressources ou la souscription Azure :

Bon archivage 😎

Migrez votre Windows 365 dans une autre région Azure

Microsoft continue d’apporter toujours plus de fonctionnalités à son service Windows 365. Cette fois, vous allez pouvoir très facilement déplacer vos Cloud PCs d’une région Azure à une autre en quelques clics. Que Microsoft ouvre de nouveaux centres de données ou que vos utilisateurs se déplacent à travers le globe, Azure déménage pour vous !

Plusieurs articles ont déjà été écrits sur ce blog à propos de Windows 365 depuis sa sortie durant l’été 2021 :

Mais la question du déplacement d’un ou plusieurs Cloud PCs Windows 365 n’avait pas encore été abordée par Microsoft. Ils corrigent donc le tir pour automatiser ce processus de déplacement de ressources Cloud.

D’ailleurs, où est hébergé son Cloud PC ?

Comme tous les services Cloud de Microsoft, les Cloud PCs sont hébergés dans un de leurs nombreux centres de données répartis à travers le Cloud.

Windows 365 est donc disponible à ce jour dans la liste de centres données suivante, et celle-ci continue de s’agrandir :

  • Amériques
    • Brésil Sud (restreint)
    • USA Centre
    • USA Centre Sud
    • USA Est
    • USA Est 2
    • USA Ouest 2 (restreint)
    • USA Ouest 3
  • Asie
    • Asie Est
    • Asie Sud-Est
    • Inde Centre
    • Japon Est
    • Corée Centre
  • Océanie
    • Australie Est
  • Canada
    • Canada Centre
  • Europe
    • Europe Nord
    • Europe Ouest
    • France Centre
    • Centre Ouest de l’Allemagne
    • Norvège Est
    • Suède Centre
    • Suisse Nord
    • Sud du Royaume-Uni
  • Afrique / Moyen Orient
    • Afrique du Sud Nord
    • Émirats arabes unis Nord

Pourquoi migrer son Cloud PC ?

Tout service Cloud étant par nature accessible depuis internet, il n’est pas évident de comprendre l’intérêt de migrer son Cloud PC vers une autre région Azure. Plusieurs raisons pourraient alors l’expliquer :

  • Déplacer le Cloud PC au plus près de son utilisateur pour améliorer les performances et diminuer la latence réseau.
  • Intégrer son Cloud PC dans une infrastructure réseau existante, mais présente dans une autre région Azure.
  • Maitriser le lieu de résidence des données de son Cloud PC.

Y a-t-il un risque à déplacer son Cloud PC ?

Non, Microsoft est très clair sur le processus de migration du Cloud PC :

Tous les PC cloud du déplacement sont sauvegardés avant d’être déplacés vers la nouvelle région. Cette sauvegarde, qui peut prendre un certain temps, peut commencer lorsque l’utilisateur est connecté et actif.

Microsoft Learn

Par contre, le processus de migration peut prendre un certain temps, et donc occasionner une interruption de service pour l’utilisateur :

Le meilleur moment pour effectuer des déplacements est pendant le week-end pour s’assurer que l’impact sur les utilisateurs est réduit. Les PC cloud étant arrêtés pendant le processus de déplacement, vous devez avertir vos utilisateurs avant le déplacement afin qu’ils puissent enregistrer leur travail et se déconnecter.

Microsoft Learn

Afin de comprendre le processus de déplacement, je vous propose de tester ensemble cette fonctionnalité de Windows 365 sur deux cas de figure :

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Windows 365, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une souscription Azure valide
  • Deux licences Windows 365

Commençons par le scénario le plus simple à tester, à savoir le déplacement d’un Cloud PC uniquement joint à Entra ID.

Scénario A – Cloud PC Windows 365 joint uniquement à Entra ID :

Afin de mettre en place le premier Windows 365, il est nécessaire d’assigner une licence à un utilisateur de test :

Rendez-vous sur le portail d’Intune afin de créer une police de provisionnement :

Ici, notre jointure est simple et directe :

Environ 30 minutes plus tard, la page suivante vous affiche la bonne mise à disposition du Cloud PC pour son utilisateur :

Avant de lancer le processus de déplacement du Cloud PC, cliquez sur le lien suivant, authentifiez-vous avec votre utilisateur de test, puis lancez une session Cloud PC :

Attendez quelques secondes que la sessions Windows s’ouvre :

Ouvrez la commande suivante et l’adresse web suivante afin de constater votre configuration de jointure et votre adresse IP actuelle :

dsregcmd /status

Notre PC actuellement hébergé aux USA est maintenant prêt à être migré dans un centre de données Suisse.

Pour cela, retournez dans la liste des polices de provisionnement, puis cliquez sur celle-ci :

Cliquez sur le lien suivant pour en modifier le contenu :

Changez la Géographie Microsoft et la Région Azure selon vos souhaits, puis cliquez sur Suivant :

Qu’est-ce qu’une Géographie Microsoft ?
La réponse est juste ici.

Cliquez-ici pour mettre à jour votre première police de provisionnement :

La notification suivante apparaît alors :

Enfin, cliquez-ici pour déclencher la bascule de région Azure selon les nouvelles règles de la police de provisionnement modifiée :

Confirmez votre choix en cliquant ici :

L’ordre de bascule est maintenant pris en compte par Azure. Les Cloud PCs rattachés à cette police de provisionnement voient leur statut changer :

Quelques minutes plus tard, la connexion Windows 365 de notre utilisateur de test se termine :

Et environ 1 heure et 30 minutes plus tard, le Cloud PC retrouve son précédent statut :

Rouvrez une session de bureau à distance de votre utilisateur de test.

La réouverture d’Edge indique la possibilité de restaurer les onglets précédent ouverts :

Cette fois-ci, la page de IP2location indique bien une nouvelle adresse IP et un nouveau positionnement estimé sur la Suisse :

Pour les Clouds PC de Windows 365 joints uniquement à Entra ID, la migration vers une nouvelle région Azure a été des plus simples.

Intéressons-nous maintenant aux Clouds PC Windows 365 de joints à Entra ID et à Active Directory (jointe hybride).

Scénario B – Cloud PC Windows 365 joints à Entra ID et à Active Directory (hybride) :

Cette seconde liaison est surtout utile dans le cadre d’infrastructure existante dans Azure ou on-premise car elle permet de :

  • Joindre les Cloud PCs à un domaine Active Directory existant
  • Permettre un accès réseau à des ressources locales via une passerelle Azure VPN ou autre

Une liaison réseau doit être établie dans Azure avant le premier déploiement des Cloud PCs. Il nous est également nécessaire de disposer d’un domaine Active Directory.

Dans mon cas, j’ai déployé une machine virtuelle Azure en Windows Server, et Azure Bastion pour m’y connecter plus facilement :

N’oubliez pas de configurer également l’adresse IP locale de votre VM en tant que DNS sur votre réseau virtuelle Azure.

Azure Bastion est donc un service de jump pour accéder aux machines virtuelles sur Azure, que celles-ci soient Windows ou Linux. Un article en parle juste ici.

Renseignez les identifiants de l’administrateur local renseignés lors de la création de votre VM, puis cliquez sur Connecter :

Installer les rôles suivants pour créer votre domaine Active Directory :

  • Active Directory Domain Services
  • Serveur DNS

Créez une OU et un utilisateur dédié à vos tests Windows 365 :

Installer Azure AD Connect sur votre serveur Active Directory de test via ce lien. Un article dédié à Azure AD Connect est disponible juste ici.

Le gestionnaire des synchronisations d’Azure AD Connect affiche la bonne remontée de notre utilisateur de test dans Entra ID :

Dans Azure AD Connect, n’oubliez pas d’également configurer la jointure hybride par le menu suivant :

Cochez la case ci-dessous, puis cliquez sur Suivant :

Cochez la case ci-dessous, puis cliquez sur Suivant :

Renseignez les informations d’identifications d’Active Directory, puis cliquez sur Suivant :

Une fois la configuration terminée, retournez sur le portail des utilisateurs d’Entra ID afin de constater l’apparition de notre utilisateur AD correctement synchronisé :

Veillez à lui assigner également une licence Windows 365 :

Retournez sur le portail d’Intune pour créer une connexion réseau Azure :

Configurez celle-ci en tenant compte à la fois des informations d’Azure et d’Active Directory :

Attendez quelques minutes que le processus de vérification de Windows 365 n’affiche pas d’erreur bloquante :

Créez une seconde police de provisionnement dédiée à ce scénario B :

Configurez celle-ci pour qu’elle utilise la connexion réseau créée précédemment dans le cadre de notre jointure hybride :

Retournez sur l’onglet suivant afin de constater l’apparition d’un second Cloud PC en cours de provisionnement :

Attendez environ une heure que le provisionnement se termine :

Vérifiez sur la page des périphériques d’Entra ID que le nouveau Cloud PC y figure bien :

Vérifiez dans l’OU d’Active Directory que le nouveau Cloud PC y figure également :

Notre environnement de départ pour notre Scénario B est enfin prêt. Nous allons pouvoir commencer la migration du Cloud PC dans une autre région Azure.

Pour cela, commencez par créer un second réseau virtuel Azure :

Veillez à choisir une région et un adressage IP différents du premier réseau virtuel :

Une fois le réseau virtuel créé, cliquez-ici pour lui ajouter un appairage vers le premier réseau virtuel :

Configurez l’appairage comme ceci, puis cliquez sur Créer :

Attendez quelques secondes que le statut de l’appairage indique Connecté :

Comme pour le premier réseau virtuel, renseignez l’adresse IP locale de votre machine virtuelle ayant le rôle d’Active Directory, puis cliquez sur Sauvegarder :

Retournez sur le portail d’Intune afin d’ajouter une seconde connection réseau Azure hybride :

Choisissez le second réseau virtuel Azure :

Reproduisez les mêmes éléments d’identification de votre Active Directory, puis cliquez sur Suivant :

Lancez la création de votre connection réseau Azure hybride en cliquant ici :

Attendez quelques minutes que le processus de vérification de Windows 365 n’affiche pas d’erreur bloquante sur la nouvelle connection réseau Azure hybride :

Retourner dans la liste des polices de provisionnement, puis cliquez sur celle-ci :

Cliquez sur le lien suivant pour en modifier le contenu :

Changez la connection réseau Azure hybride, puis cliquez sur Suivant :

Cliquez-ici pour mettre à jour votre seconde police de provisionnement :

La notification suivante apparaît alors :

Enfin, cliquez-ici pour déclencher la bascule de région Azure selon les nouvelles règles de la police de provisionnement :

Confirmez votre choix en cliquant ici :

L’ordre de bascule est maintenant pris en compte par Azure. Les Cloud PCs rattachés à cette police de provisionnement voient leur statut changer :

Environ 1 heure et 30 minutes plus tard, le Cloud PC retrouve son précédent statut :

Ouvrez la session de bureau à distance de votre utilisateur de test :

Là encore, la page de IP2location indique bien une adresse IP et un positionnement estimé sur la Suisse :

Conclusion

En seulement quelques clics, Microsoft propose encore une fois d’automatiser des opérations qui pouvaient prendre plusieurs heures en opérations IT. L’ajout réguliers de fonctionnalités apporte toujours plus de souplesse au service managé Cloud PC.

Voici d’ailleurs une vidéo de Dean sur le sujet est disponible juste ici 😎:

Windows 365 Switch

Fraichement arrivé, Windows 365 Switch vous permet de pousser encore un peu plus l’intégration transparente entre votre poste local et votre Cloud PC. Pour le moment, Windows 365 Switch est uniquement accessible en préversion, Microsoft vient de l’annoncer à la communauté : Windows 365 Switch disponible en avant-première publique.

Qu’est-ce que Microsoft 365 Switch ?

Grâce à Windows 365 Switch, vous allez pouvoir basculer entre votre poste local et votre Cloud PC très facilement. Je suis presque sûr que cela préfigure l’arrivée d’un menu Démarrer unique entre vos deux ressources 😎.

Windows 365 Switch fait sens dans le cadre de scénarios BYOD (Bring-Your-Own-Device), où vous devez vous connecter depuis votre propre appareil Windows à un PC Cloud sécurisé, appartenant par exemple à l’entreprise.

Ayant besoin d’un accès constant aux ressources présentes sur les deux environnements, vous pouvez facilement passer de votre environnement personnel à votre environnement professionnel.

Windows 365 Switch permet de passer facilement d’un Cloud PC Windows 365 au bureau local en utilisant les mêmes commandes clavier familières, ainsi qu’un clic de souris ou un geste de balayage. Windows 365 Switch permet une expérience transparente à partir de Windows 11 grâce à la fonction d’affichage des tâches.

Microsoft Techcommunity

Avant de rentrer en détail sur la mise en place de cette fonctionnalité, voici une vidéo de présentation par les équipes de Microsoft :

Quels sont les prérequis pour Windows 365 Switch ?

Comme la documentation Microsoft le rappelle, utilisez Windows 365 Switch nécessite de respecter exigences suivantes :

  • Appareil physique Windows 11 Professionnel ou Entreprise.
  • Windows 365 PC Cloud licence.
  • Inscrire à la fois l’appareil physique et le PC cloud dans le canal bêta du programme Windows Insider (par défaut) ou le canal de développement.

Concernant l’obligation de l’appareil physique, je ne suis pas entièrement d’accord, et je vais vous le démontrer en utilisant une machine virtuelle AVD lors de mon test.

Dans celui-ci, vous trouverez toutes les étapes nécessaires, de la création à la connexion à la machine virtuelle, au test de la fonctionnalité Switch :

Etape 0 – Quels sont les prérequis pour tester Windows 365 Switch ?

Pour réaliser cet exercice sur Windows 365 Switch, il vous faudra disposer des ressources suivantes :

  • Une souscription Azure valide
  • Une licence Windows 365

Dans notre exercice, nous allons donc commencer par créer une machine virtuelle via Azure Virtual Desktop afin de servir de poste local de test.

Etape I – Préparation d’Azure Virtual Desktop :

Commençons par créer notre machine virtuelle AVD de test pour simuler notre poste local.

Pour cela, rendez-vous dans le portail d’Azure afin créer un réseau virtuel en utilisant la barre de recherche en haut de l’écran :

Cliquez ici pour créer votre réseau virtuel pour la VM AVD :

Renseignez les différents champs, puis lancez validation du template par Azure :

Une fois la validation réussie, lancez la création de la ressource :

Attendez environ une minute que le réseau virtuel Azure soit créé, puis continuez la création des ressources AVD en utilisant la barre de recherche Azure :

Cliquez-ici pour créer un nouvel environnement Azure Virtual Desktop :

Renseignez les champs du premier onglet, puis cliquez sur Suivant :

Inutile de modifier l’accès réseau AVD sur le second onglet, cliquez sur Suivant :

Renseignez les informations liées aux machines virtuelles AVD en prenant soin de choisir une image présente dans la liste de celles compatibles avec Windows 365 Switch :

Définissez les performances voulues pour votre VM, puis renseignez le réseau virtuel créé précédemment :

Joignez vos VMs AVD à Azure AD, renseignez un mot de passe administrateur local, puis cliquez sur Suivant :

Créez un espace de travail AVD, puis lancez la validation Azure :

Une fois la validation Azure passée, lancez la création des ressource AVD :

Le traitement Azure devrait durer une dizaine de minutes environ.

Une fois terminé, cliquez sur le nom du groupe de ressources afin d’y mettre les droits pour votre utilisateur de test :

Dans la section des rôles RBAC Azure sur le groupe de ressources AVD, ajoutez les rôles suivants pour votre utilisateur AVD :

Activez la fonction suivante pour profiter du SSO dans les propriétés RDP, puis sauvegardez :

Rafraichissez plusieurs fois afin que la machine AVD soit prête et marquée comme connectable :

Notez l’apparition récente de ces 2 nouveaux indicateurs.

Quelques rafraichissements plus tard, la machine virtuelle AVD est bien indiquée comme disponible :

Votre environnement Azure Virtual Desktop est maintenant prêt. Nous allons pouvoir maintenant nous connecter à ce poste local simulé pour le mettre à jour.

Ouvrez le client Remote Desktop, ou installez-le depuis ce lien si cela n’est pas encore le cas :

Utilisez la fonction suivante pour faire apparaître la machine AVD :

Authentifiez-vous avec votre utilisateur de test AVD :

Cliquez sur l’icône de bureau à distance :

Autorisez-les connections de bureau à distance à partir de l’identité Azure AD de votre utilisateur de test AVD :

Attendez que le bureau à distance Windows 11 AVD s’ouvre :

Allez dans les paramétrages Windows :

Cliquez-ici pour rejoindre le programme Windows Insider :

Avant de pouvoir rejoindre le programme Windows Insider, cliquez sur cette alerte afin d’activer la remontée de données de diagnostic :

Activez l’option, puis retournez sur la page principale des paramètres Windows :

Cliquez sur Commencer afin d’activer le programme Windows Insider :

Utilisez le compte de votre utilisateur de test AVD pour rejoindre le programme :

Cliquez sur Continuer pour accepter les conditions du programme liées aux données privées :

Choisissez le canal Dev ou Beta, puis cliquez sur Continuer :

Considérez si besoin les particularités du canal Dev, puis cliquez sur Continuer :

Cliquez sur Continuer pour accepter les conditions du programme liées à votre poste :

Redémarrez la VM de test local :

Comme attendu, la session Windows de l’utilisateur de test se ferme en y indiquant le motif :

Environ 30 secondes plus tard, réouvrez la session Windows de votre utilisateur de test :

Retournez sur les paramètres Windows, puis constatez l’apparition de nouvelles mises à jour, dont celles-ci :

Lancez si besoin manuellement certaines mises à jour :

Attendez l’installation complète de toutes les mises à jour :

Une fois les installations terminées, lancez à nouveau un redémarrage de la VM de test local :

Attendez que le redémarrage se termine :

Afin de tester Windows 365 Switch, il est nécessaire de rejoindre également le programme Windows Insider sur la machine Windows 365.

Etape II – Préparation de Windows 365 :

Il est nécessaire de disposer des droits administrateurs pour notre utilisateur de test Windows 365.

Pour cela, rendez vous sur le portail Intune sur l’adresse suivante, puis créez une nouvelle configuration utilisateur comme ceci :

Renseignez les informations suivantes en cochant bien la case Local admin, puis cliquez sur Suivant :

Ajoutez le groupe d’utilisateurs Windows 365, puis cliquez sur Suivant :

Lancez la création de votre configuration utilisateur :

Attendez quelques minutes que la configuration utilisateur s’applique bien à votre poste Windows 365 :

Ouvrir une nouvelle session de bureau à distance, cette fois sur votre poste Windows 365 :

Comme précédemment sur la VM AVD, cliquez-ici pour rejoindre le programme Windows Insider sur votre poste Windows 365 :

Suivez les différentes étapes Insider, puis lancez le redémarrage de votre Cloud PC :

Retournez sur les paramètres Windows, puis constatez l’apparition de nouvelles mises à jour pour votre poste Windows 365 :

Attendez l’installation complète de toutes les mises à jour :

Une fois les installations terminées, lancez à nouveau un redémarrage de votre poste Windows 365 :

Attendez que le redémarrage se termine :

Vérifiez la présence de la mention suivante liée à Insider sur votre poste Windows 365, la version doit être supérieure ou égale à 22631.2129 :

Retournez sur votre machine de test AVD.

Etape III – Installation de Windows 365 :

Ouvrez le Windows Store, recherchez l’application Windows 365, puis installez-la :

Une fois l’installation terminée, ouvrez l’application Windows 365 :

Utilisez le compte approprié pour ouvrir la session Windows 365 :

Renseignez les identifiants de votre utilisateur de test disposant de la licence Windows 365 :

Passez les différentes pages d’aide :

Vérifiez la version de votre application Windows 365, celle-ci doit être supérieure ou égale à 1.3.177.0 :

Connectez-vous une première pour vérifier que tout fonctionne bien :

Utilisez le compte disposant de la licence Windows 365 :

Vérifiez l’absence de la nouvelle fonctionnalité Windows 365 Switch :

Et attendez 🤣🤣🤣.

Etape IV – Test de Windows 365 Switch :

Anecdote :

La fonctionnalité Switch n’est pas apparue immédiatement, c’est le moins que l’on puisse dire…

J’ai dû passer par plusieurs mis à jour Insider sur le poste et le Cloud PC et attendre environ 48 heures avant de pouvoir apercevoir la fonctionnalité apparaître dans le menu de l’application Windows 365.

A ce jour, je vois bien le menu Switch. Voici donc les différentes versions de mon environnement de test :

Windows 11 Azure Virtual Desktop :

Application Windows 365 :

Windows 365 Cloud PC :

Comme vous pouvez le constater, la fonctionnalité Switch apparaît donc bien dans mon environnement AVD de test :

Et l’aide y est également reportée dans les Actions rapides :

Un simple clic dans le menu suffit à activer la fonction :

Cliquez alors ici pour ouvrir la session Windows de votre Cloud PC :

La première ouverture de session affiche le premier écran de chargement suivant :

Comme indiqué, il est possible d’attendre ou de retourner sur le poste local, le temps que le chargement de la session Windows de votre Cloud PC se termine.

Attendez un peu, puis constatez le changement d’écran de chargement précédent par celui-ci :

Quelques secondes plus tard, le bureau Windows du Cloud PC s’ouvre :

Depuis le Cloud PC, retournez sur votre PC local comme ceci :

Et l’autre sens est également tout aussi simple :

Vous pouvez évidement réutiliser les raccourcis claviers habituels et les gestes pour basculer entre votre Cloud PC et votre PC local :

  • Ctrl+Win+flèche gauche : Déplacer un bureau vers la gauche.
  • Ctrl+Win+flèche droite : Déplace un bureau vers la droite.
  • Balayage à quatre doigts vers la gauche ou la droite : Passer d’un bureau à l’autre.

Conclusion

Microsoft continue encore et toujours de rendre la solution Windows 365 encore plus simple et l’enrichie très régulièrement de nouvelles fonctionnalités. Comme pour le boot direct sur le Cloud PC, Switch s’intègre dans cette approche unifiée entre le poste local et Windows 365 permet une fois de plus d’adoucir la barrière avec le Cloud.

Comme annoncée en introduction de cet article, l’intégration commune et complète des 2 barres Démarrer sera à coup sûr une amélioration majeure !

LAPS : Laissez Azure en Prendre Soin

La gestion des mots de passe est une tâche critique, mais ô combien barbante, que cela concerne les comptes personnels ou professionnels. L’apparition des gestionnaires de mots de passes et des méthodes d’authentifications renforcées (2FA / MFA) ont permis d’accroîte la sécurité sur les identités.

Windows fonctionne de la même manière et dispose-lui aussi de comptes aux droits variés. Microsoft propose justement d’en gérer une partie pour vous via Entra ID (Azure AD).

Microsoft a annoncé en mai 2023, la prise en charge des mots de passe Windows LAPS (Windows Local Administrator Password Solution) par Entra ID (Azure AD).

En quelques mots, Entra ID est capable de stocker de façon sécurisé le mot de passe de l’administrateur local de chacun des postes Windows. Mais il y a mieux, Entra ID se chargera aussi de la rotation de ces derniers selon vos propres règles !

Qu’est-ce Windows LAPS ?

Chaque machine Windows dispose d’un compte d’administrateur local intégré qui ne peut pas être supprimé et qui dispose d’autorisations complètes sur l’appareil. La sécurisation de ce compte est une étape importante dans la sécurisation de votre organization. Les appareils Windows incluent la solution de mot de passe de l’administrateur local Windows (LAPS), une solution intégrée permettant de gérer les comptes d’administrateur local.

Microsoft Learn

Quels sont les OS compatibles avec Windows LAPS ?

Comme le rappelle Microsoft, Windows LAPS fonctionne sur les versions OS suivantes ou ultérieures :

Où allons-nous configurer Windows LAPS ?

La configuration de Windows LAPS via Azure AD se fait via Microsoft Intune. Il faudra donc joindre en MDM les machines à ce dernier de afin de pouvoir leur appliquer la police de configuration.

Pour cela les jointures suivantes sont possibles :

  • Jointure à Azure AD
  • Jointure Hybride (Azure AD + Active Directory)

Intune prend en charge les fonctionnalités suivantes de Windows LAPS :

  • Définition des exigences de mot de passe
  • Rotation automatique et périodique du mot de passe
  • Choix du lieu de sauvegarde du mot de passe
  • Actions après utilisation du mot de passe

Avons-nous besoin de licence particulière ?

Pour profiter de la fonctionnalité Windows LAPS au travers d’Entra ID / Intune, il est nécessaire de disposer ces licences suivantes :

  • Microsoft Intune Plan 1
  • Microsoft Entra ID Free, anciennement Azure Active Directory Free

Existe-t-il des rôles RBAC dédiés à Windows LAPS ?

Windows LAPS est encore en préversion à l’heure où ces lignes sont écrites. Les rôles et permissions dédiés seront introduit par la suite. Pour l’instant, il est nécessaire d’utiliser l’un des deux rôles Azure AD suivants :

  • Global Administrator
  • Cloud Device Administrator

Enfin, Microsoft a commencé à mettre une FAQ sur Windows LAPS juste ici.

Afin de bien comprendre Windows LAPS, nous nous allons prendre de tester cette nouvelle fonctionnalité dans cet article :

Quels sont les prérequis pour Windows LAPS ?

Pour réaliser cet exercice sur Windows LAPS, il vous faudra disposer des ressources suivantes :

  • Une souscription Azure valide
  • Une Licence Intune Plan 1

Dans notre exercice, nous allons créer plusieurs machines virtuelles via Azure Virtual Desktop afin de servir de machines utilisateurs de test. Ces machines seront automatiquement jointes à Entra ID et Intune pour la suite de notre configuration.

Etape I – Préparation d’Azure Virtual Desktop :

Commençons par créer nos machines virtuelles AVD de test.

Pour cela, rendez-vous dans le portail d’Azure afin créer un réseau virtuel en utilisant la barre de recherche en haut de l’écran :

Cliquez ici pour créer votre réseau virtuel pour les VMs d’AVD :

Renseignez les différents champs, puis lancez validation du template par Azure :

Une fois la validation réussie, lancez la création de la ressource :

Attendez environ une minute que le réseau virtuel Azure soit créé, puis cliquez-ici :

Rendez-vous dans la section suivante afin de créer un futur accès aux VMs via le service Azure Bastion :

Le service Azure Bastion se créé en tâche de fond comme le montre les deux notifications suivantes :

N’attendez par la fin d’Azure Bastion et continuez la création des ressources AVD en utilisant la barre de recherche Azure :

Cliquez-ici pour créer un nouvel environnement Azure Virtual Desktop :

Renseignez les champs du premier onglet, puis cliquez sur Suivant :

Inutile de modifier l’accès réseau AVD sur le second onglet, cliquez sur Suivant :

Renseignez les informations liées aux machines virtuelles AVD en prenant soin de choisir une image présente dans la liste de celles compatibles avec Windows LAPS :

Définissez le nombre de VMs voulues, puis renseignez le réseau virtuel créé précédemment :

Joignez vos VMs AVD à Azure AD et en gestion MDM avec Intune, puis renseignez un mot de passe administrateur local qui sera géré par Windows LAPS par la suite :

Créez un espace de travail AVD, puis lancez la validation Azure :

Une fois la validation Azure passée, lancez la création des ressource AVD :

Le traitement Azure devrait durer une dizaine de minutes environ :

Pendant ce temps, recherchez Azure AD afin de créer les groupes et utilisateurs :

Créez si besoin les utilisateurs nécessaires à AVD :

Créez si besoin le groupe d’utilisateurs nécessaire à AVD :

Retournez sur le portail Azure afin d’ajouter des rôles RBAC Azure sur le groupe de ressources AVD :

Ajoutez les rôles suivants sur le groupe d’utilisateurs AVD :

Quelques minutes plus tard, les ressources Azure créées pour AVD sont bien disponibles, cliquez-ici pour consulter le pool d’hôtes :

Rafraichissez plusieurs fois afin que toutes les machines AVD soient prêtent et disponibles :

Quelques rafraichissements plus tard, toutes les machines virtuelles sont bien disponibles :

Activez la fonction suivante pour profiter du SSO dans les propriétés RDP, puis sauvegardez :

Votre environnement Azure Virtual Desktop est maintenant prêt. Nous allons pouvoir maintenant configurer Windows LAPS.

Etape II – Préparation de Windows LAPS sur Entra ID :

Afin de pouvoir utiliser Windows LAPS sur nos machines virtuelles d’Azure Virtual Desktop, il est nécessaire de l’activer sur notre tenant.

Pour cela, rendez-vous sur le portail Entra afin d’activer l’option suivante, puis sauvegardez :

Profitez-en pour vérifier les présences des VMs AVD et la bonne gestion MDM par Intune :

Créez un nouveau groupe Azure AD dédié aux machines virtuelles AVD :

Ajoutez les VMs AVD à ce groupe, puis lancez la création :

Le travail sur Entra ID est maintenant terminé, il ne nous reste qu’à créer notre police de configuration dédiée à Windows LAPS sur Intune.

Etape III – Configuration de Windows LAPS sur Intune :

Pour cela, rendez vous sur le portail Intune sur l’adresse suivante.

Créer une nouvelle police de configuration comme ceci :

Choisissez le type de profile ci-dessous, puis cliquez sur Créer :

Nommez votre nouvelle police de profil, puis cliquez sur Suivant :

Définissez les règles de configuration, puis cliquez sur Suivant :

Dans mon exemple, après chaque authentification réussie de mon administrateur local JLO, un nouveau mot de passe sera redéfini 1 heure après.

Sinon, ce dernier est systématiquement changé tous les 7 jours.

Cliquez sur Suivant :

Ajoutez le groupe de VMs créé précédemment, puis cliquez sur Suivant :

Lancez la création de votre police Windows LAPS :

Toujours sur Intune, allez voir sur une des VMs AVD afin de voir la liste des configurations appliquées :

Attendez quelques minutes puis rafraichissez afin de constater la présence de votre nouvelle police Windows LAPS :

Notre configuration est enfin terminée, nous allons pouvoir tester Windows LAPS et son impact en nous connectant sur une des machines virtuelles AVD de test.

Etape IV – Test de Windows LAPS

Avant de vous connecter, retournez sur la liste des VMs AVD depuis le portail Azure AD :

Sur une des machines AVD, cliquez sur le menu suivant pour constater l’absence de mot de passe de l’administrateur local :

Sur le portail Azure, retournez sur la liste des machines virtuelles afin de vous y connecter à l’une d’entre-elles via Azure Bastion en utilisant le compte administrateur AVD renseigné :

Vérifiez la présence des droits administrateurs sur votre session :

Déconnectez-vous de la session Azure Bastion :

Attendez un peu, puis recommencez une connexion Azure Bastion avec les mêmes identifiants :

Constatez l’apparition du message d’erreur suivant :

Retournez sur la VM AVD utilisée depuis le portail d’Azure AD :

Retentez une nouvelle connexion Azure Bastion avec le mot de passe récupéré sur Windows LAPS :

Déconnectez-vous encore une fois de la session Azure Bastion :

Attendez environ une heure, puis recommencez une connexion Azure Bastion avec les mêmes nouveaux identifiants :

Constatez encore une fois l’apparition du message d’erreur suivant :

Retournez encore une fois sur la VM AVD utilisée depuis le portail d’Azure AD :

Retentez une 3ème connexion Azure Bastion avec le mot de passe récupéré sur Windows LAPS :

Déconnectez-vous une fois 3ème de la session Azure Bastion :

Une heure plus tard, le mot de passe aura encore tourné ✌️:

Petite anecdote :

Sur mon portail Intune, je ne vois pas le menu Local admin password 🥲🥲

Cela ne m’a pas empêché de retrouver l’info sur le portail d’Azure AD.

Conclusion

Très facile à mettre en oeuvre et fonctionnant aussi bien dans une architecture 100% Cloud ou Hybride, cette solution apporte une sécurité supplémentaire sur les postes physiques ou virtuels. Nul doute que la gestion de mots de passe administrateur Windows dans Azure va également faciliter le travail de fournis de certains administrateurs IT 😎

Bootez sur Windows 365 Cloud PC

En ce moment, Azure Virtual Desktop a de quoi être jaloux de son petit frère Windows 365 🤣! De nouvelles fonctionnalités lui sont rajoutées afin de rendre l’expérience utilisateur toujours plus complète, comme par exemple, l’upgrade du Cloud PC. Maintenant, il est aussi possible de démarrer son PC et d’arriver directement sur son Cloud PC, sans passer par le bureau local.

Dans cet article, nous répondre à quelques questions et tester la mise en place de la fonctionnalité Windows 365 Boot, au travers d’une machine virtuelle sur Azure simulant un poste local.

Pourquoi utiliser le Windows 365 Boot ?

Nous savons que les façons de travailler ont changé ces dernières années. De plus en plus de données se retrouvent dans le Cloud, et les ressources rattachées ont également suivi ce chemin. C’est pour cela que Microsoft propose différents services d’accès distants au travers d’Azure.

Windows 365 est l’une d’entre elles, et permet à n’importe quel utilisateur, depuis n’importe quel terminal local de s’y connecter pour y retrouver un environnement sécurisé.

L’approche actuelle nécessitait alors de s’authentifier deux fois :

  • Première authentification sur le poste local avec un identifiant local, AD ou Azure AD.
  • Seconde authentification pour accéder au Cloud PC avec un identifiant Azure AD.

Microsoft a donc décidé d’aller plus loin en permettant au poste Windows 11 local de s’intégrer totalement dans le processus d’identification de Windows 365.

Y a-t-il d’autres avantages avec Windows 365 Boot ?

Un scénario se prête très bien dans ce type de configuration liée : Les postes partagés.

Les postes partagés par plusieurs utilisateurs pourront alors pleinement profiter de leur Cloud PC depuis un poste local qui n’est pas forcément le leur, sans crainte de laisser leurs données sur ce dernier.

Plusieurs utilisateurs peuvent utiliser le même appareil physique pour se connecter à leurs propres PC cloud personnels. Lorsque chaque utilisateur se connecte à l’appareil physique, son identité unique l’amène à son PC cloud attribué et sécurisé. Cette flexibilité fait de Windows 365 Boot une bonne solution pour les travailleurs tels que les infirmières, les vendeurs et les centres d’appels, qui partagent des appareils physiques de l’entreprise.

Microsoft Learn

Le schéma ci-dessous montre que plusieurs utilisateurs peuvent utiliser le même poste local, car l’authentification combinée se base sur leur identifiant Azure AD pour ouvrir leur PC local mais également leur Cloud PC Windows 365 :

Quels sont les prérequis pour Windows 365 Boot ?

Cette fonctionnalité est encore en préversion à l’heure où ces lignes sont écrites. Et il est nécessaire de disposer de plusieurs licences Microsoft :

  • Licence Windows 365
  • Licence Intune

D’autres prérequis sont aussi nécessaires au niveau du poste local :

  • OS sous Windows 11 (Windows 11 Pro ou Enterprise) en version 22H2
  • Participation au programme Windows Insider (Dev)
  • Gestion MDM via Intune

Afin de vous faire une meilleure idée sur cette fonctionnalité, je vous propose de réaliser par vous-même le test depuis un poste Windows 11 hébergé sur Azure :

Rappel des prérequis :

Pour réaliser cet exercice, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une souscription Azure valide
  • Une licence contenant Intune
  • Une licence contenant Windows 365 Cloud PC

Comme la copie d’écran ci-dessous le montre, le Cloud PC est déjà provisionné sur mon utilisateur de test :

Commençons maintenant par créer le poste local hébergé sur Azure.

Etape I – Création du poste local sur Azure :

Rendez-vous sur le portail Azure afin de créer une machine virtuelle comme ceci :

Choisissez parmi les images disponible Windows 11 Pro en version 22H2 :

Préférez une taille de machine virtuelle conséquente, renseignez les identifiants pour l’administrateur local, puis cliquez sur Suivant :

Aucune modification n’est nécessaire sur l’onglet des disques, cliquez sur Suivant :

Retirez l’IP publique de la configuration, puis lancez la validation du template Azure :

Une fois la validation Azure réussie, lancez la création de votre machine virtuelle :

Attendez quelques minutes que la création se termine, puis cliquez-ici :

Sur votre machine virtuelle, lancez la création d’Azure Bastion afin d’accéder au bureau à distance sur votre machine virtuelle :

Plusieurs notifications Azure font leur apparition :

Attendez quelques minutes que le déploiement d’Azure Bastion se termine :

Renseignez les identifiants saisis lors de la création de la VM :

Acceptez les paramétrages Windows 11 concernant vos informations privées :

Etape II – Jointure à Azure AD :

Ouvrez l’Editeur de registre Windows :

Rendez-vous dans l’arborescence suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Modifiez les deux clefs de registre suivantes afin de mettre leur valeur à 0 :

  • SecurityLayer
  • UserAuthentication

Depuis le menu Démarrer, ouvrez la fenêtre de paramétrages Windows :

Dans la section Comptes, cliquez-ici pour associer votre poste local à votre compte Azure AD :

Cliquez sur Connecter :

Cliquez ici pour joindre le poste local à Azure Active Directory :

Renseignez les identifiants de votre utilisateur de test disposant de la licence Windows 365 :

Confirmez la jointure du poste à Azure AD :

Attendez environ deux minutes jusqu’à la fin du traitement de jointure :

Vérifiez qu’aucun message d’erreur n’apparaisse à ce moment-là (indiquant un souci éventuel de jointure à Azure AD) :

Déconnectez-vous de votre utilisateur local :

Une fois la session Windows fermée, Azure Bastion vous indique le message suivant. Fermez l’onglet d’Azure Bastion en cliquant ici :

Renseignez les identifiants de votre utilisateur de test en commençant par le domaine AzureAD :

AzureAD\

Vérifiez que l’ouverture de session Windows se fait bien sur votre utilisateur de test :

Notre machine virtuelle simulant notre poste local est enfin prête. Il ne nous reste qu’à mettre en place les premières pièces de configuration pour Windows 365 Boot.

Etape III – Activation du Programme Windows Insider :

Sur votre VM, retournez dans les paramétrages Windows :

Cliquez-ici pour rejoindre le programme Windows Insider :

Avant de pouvoir rejoindre le programme Windows Insider, cliquez sur cette alerte afin d’activer la remontée de données de diagnostic :

Activez l’option, puis retournez sur la page principale des paramètres Windows :

Retournez dans la configuration du programme Windows Insider :

Cliquez sur Commencer afin d’activer le programme sur votre VM de test local :

Utilisez le compte de votre utilisateur de test pour joindre le programme :

Réutilisez le compte de votre utilisateur de test proposé dans la liste :

Cliquez sur Continuer pour accepter les conditions du programme liées aux données privées :

Choisissez le canal Dev, puis cliquez sur Continuer :

Considérez si besoin les particularités du canal Dev, puis cliquez sur Continuer :

Cliquez sur Continuer pour accepter les conditions du programme liées à votre poste :

Redémarrez la VM de test local :

Environ 30 secondes plus tard, réouvrez la session Windows de votre utilisateur de test :

Retournez sur les paramètres Windows, puis constatez l’apparition de nouvelles mises à jour, dont celle-ci :

En attendant l’installation complète des mises à jour liées à Windows Insider, utilisez ce lien pour télécharger et installer Remote Desktop :

Cliquez sur Suivant :

Acceptez les conditions, puis cliquez sur Suivant :

Lancez l’installation de Remote Desktop :

Terminez l’installation :

Dans l’application Remote Desktop, cliquez sur Souscrire :

Réutilisez le compte de votre utilisateur de test lié à la session Windows 11 :

Constatez la présence du Cloud PC dans l’application Remote Desktop :

Retournez sur Windows Update et attendez l’installation complète de toutes les mises à jour :

Une fois les installations terminées, lancez à nouveau un redémarrage de la VM de test local :

Attendez que le redémarrage se termine :

Le redémarrage de la VM de test local peut prendre plusieurs minutes, cliquez-ici et plusieurs fois si nécessaire :

Vérifiez la présence des mentions suivantes en bas à droite de l’écran Windows :

Etape IV – Configuration Azure AD :

Sur le portail Azure AD, vérifiez la présence de la machine virtuelle de test local et sa gestion MDM via Intune :

Toujours sur le portail Azure AD, créez un nouveau groupe :

Donnez un nom à celui-ci, puis ajoutez un membre :

Recherchez le poste rajouté précédemment (VM de test local) :

Lancez la création de votre groupe Azure AD :

Etape V – Configuration Windows 365 Boot :

Maintenant, ouvrez le portail Intune afin de configurer Windows 365 Boot :

Prenez le temps de lire les informations indiquées, puis cliquez sur Suivant :

Renseignez si besoin les champs suivants, puis cliquez sur Suivant :

Renseignez toutes les périodes, exprimées en jours, puis cliquez sur Suivant :

Choisissez les informations de langue, puis cliquez sur Suivant :

Cliquez-ici pour reprendre le groupe Azure AD créé précédemment :

Choisissez le groupe contenant la VM de test local :

Cliquez sur Suivant :

Cliquez enfin sur Sauvegarder :

Intune déploie alors une configuration comprenant toutes les services suivants :

Profiles de configurations créés :

Politique de mise à jour Windows 10/11 créée :

Set de police créé :

Applications déployées au travers du Windows Store :

Profil de déploiement Autopilot créé :

Page du suivi de l’enrôlement Autopilot créée :

Toujours sur la console Intune, consultez le déploiement des 2 applications sur la VM de test local :

Attendez que le déploiement des deux applications soit confirmé sur la console Intune :

Etape VI – Test de Windows 365 Boot :

Fermez la session ouverte via Azure Bastion sur la VM de test local :

Rouvrez à nouveau une session Bastion sur votre utilisateur de test :

Constatez l’apparition du message de chargement suivant :

Vérifiez bien le chargement du bureau du Cloud PC de votre utilisateur de test :

La barre de session de bureau à distance devrait figurer en haut de votre fenêtre Azure Bastion :

Et voilà, la configuration de Windows 365 Boot est maintenant terminée ! Bravo 🤷‍♂️

Conclusion

Microsoft continue de rendre la solution Windows 365 encore plus simple et l’enrichie très régulièrement de nouvelles fonctionnalités. Cette approche unifiée entre le poste local et Windows 365 permet une fois de plus d’adoucir la barrière avec le Cloud.

Nul doute que le prochain Inspire de Microsoft sera source d’annonces encore plus intéressantes 😎🤞

Upgradez facilement votre Cloud PC Windows 365

Les Cloud PC de Microsoft sont disponibles depuis quelques temps déjà, et de nouvelles fonctionnalités sont leurs rajoutées très régulièrement. Acheté sous forme de licence mensuelle, le Cloud PC initialement commandé peut ne plus suffire à l’utilisateur. Microsoft propose, encore en préversion à cette date, le redimensionnement automatique de celui-ci.

Si vous n’avez pas encore eu l’occasion d’aller plus en profondeur sur les Cloud PC de Microsoft, voici quelques liens vers des articles précédemment écrits, et une excellente vidéo :

Qu’est-ce que le redimensionnement d’un Cloud PC Windows 365 ?

La documentation de Microsoft l’explique très bien :

L’action à distance Redimensionner vous permet de mettre à niveau la RAM, le processeur virtuel et la taille de stockage d’un PC cloud Windows 365 Entreprise pour répondre aux besoins de l’utilisateur.

Microsoft Learn

Pourquoi ne pas simplement recréer un nouveau Cloud PC ?

La démarche de repartir sur un nouveau Cloud PC est tout à fait envisageable. Mais le redimensionnement du Cloud PC a pour principal avantage de conserver les données de l’utilisateurs, mais aussi ses applications et bien d’autres encore.

Peut-on redimensionner son Cloud PC à la baisse ?

La réponse est oui, dans une certaine mesure. Tant que le SKU choisi ne contient pas un disque plus petit que celui présent sur SKU de départ : aucun souci.

La taille d’un disque, et donc des partitions présentes sur celui-ci, est souvent problématique pour certains traitements automatisés.

Doit-on changer sa licence Windows 365 ?

La réponse est encore oui. Le redimensionnement d’un poste Windows 365 nécessite de disposer d’une licence vers la nouvelle taille.

Mais, à l’inverse de nombreuses licences Cloud achetées sous forme de souscription à travers le New Commerce Experience (NCE), je n’ai pas trouvé de moyen direct de migrer de licence Windows 365.

Cela est bien dommage car la licence Windows 365 peut-être prise pour une année, et il sera bien pratique de migrer sur un Cloud PC plus puissant si le besoin s’en fait sentir avant la date d’échéance.

Néanmoins, j’ai pu m’en sortir avec l’aide du Support de Microsoft. Pour cela, j’ai dû acheter une nouvelle licence Windows 365 avant que la précédente, moins puissante, soit annulée et que je sois remboursé.

Est-ce que les utilisateurs peuvent redimensionner leur propre Cloud PC ?

La réponse est non. Comme le rappelle Microsoft, il est nécessaire de disposer d’un des rôles ou combinaisons de rôles suivants pour y parvenir :

  • Administrateur global
  • Administrateur de service Intune
  • Rôles Administration Lecteur Intune + PC cloud

Le redimensionnement est-il disponible pour tous les SKUs Windows 365 ?

Sauf erreur, seuls les SKUs Enterprise sont concernés par cette nouveauté. En effet, un Cloud PC dont le SKU est de type Business ne pourra pas encore avoir cette fonctionnalité.

Que va-t-il se passer pour l’utilisateur durant le redimensionnement ?

Le redimensionnement d’un Cloud PC nécessite de déconnecter l’utilisateur. Il est donc nécessaire de le prévenir en amont afin que ce dernier soit au courant et qu’il ne perde aucune donnée.

Le traitement dure une trentaine de minutes environ.

Comment procède-t-on pour redimensionner ?

Le processus n’est pas bien compliqué. Voici en détail un pas à pas pour mieux vous guider. J’ai simulé la présence de fichiers à divers endroits pour vérifier l’impact du redimensionnement.

Commencez par vérifier la présence d’une nouvelle licence Windows 365 non assignée sur la console d’administration de Microsoft 365 :

Comme vous le montre la copie d’écran ci-dessous, mon utilisateur est actuellement équipé d’un Cloud PC de 2 coeurs / 4Go de mémoire vive. Mon but est de redimensionner son Cloud PC vers une configuration avec deux fois plus de mémoire vive.

Un rapide tour dans son gestionnaire des tâches montre bien les 4Go de mémoire vive :

J’ai déposé un dossier contenant des photos sur le bureau du Cloud PC de départ. L’icône vert sur celui-ci nous montre une synchronisation vers son compte OneDrive :

Le dossier est bien présent sur le bureau du Cloud PC de départ :

J’en profite pour déposer un second dossier de photos à la racine de son disque C, non synchronisé avec OneDrive :

Ce dossier est plus petit que le précédent, mais il nous permettra de vérifier la bonne récupération des données sur le Cloud PC d’arrivée :

Retournez sur la console Intune afin de lancer le redimensionnement du Cloud PC via le menu suivant :

Choisissez la taille de nouvelle configuration du Cloud PC, puis cliquez sur Redimensionner :

Confirmez votre choix :

L’ordre de redimensionnement a bien été pris en compte. Du point de vue utilisateur, il ne nous reste qu’à patienter :

Une première notification apparaît sur le Cloud PC :

On retrouve également l’action dans l’historique des actions lancées depuis la console Intune :

Quelques minutes plus tard, l’utilisateur est bien déconnecté de son Cloud PC :

Un tour dans la console Intune nous montre bien que le redimensionnement est en cours sur le Cloud PC de notre utilisateur :

Si l’utilisateur tente de s’y reconnecter avant la fin du redimensionnement, le message d’erreur suivant apparaît :

Environ 20 minutes plus tard, le statut du Cloud PC change à nouveau :

Toujours sur cette même console Intune, le journal des opérations sur le poste affiche bien le statut suivant :

Afin que l’utilisateur puisse se connecter à son nouveau Cloud PC , un rafraîchement des accès est obligatoire dans l’application :

Juste après le rafraîchement, le nouveau Cloud PC apparaît bien en dessous du précédent, qui devient alors vide de poste :

Cliquez-dessus afin d’ouvrir une nouvelle session de bureau à distance :

Retournez sur le Gestionnaire des tâches afin de vérifier la nouvelle mémoire disponible :

Comme votre utilisateur de test ne doit pas être administrateur du poste, ouvrez la fenêtre suivante en mode Administrateur, puis lancez le programme suivant :

diskmgmt.msc

Vérifiez dans le Gestionnaire des disques la nouvelle taille de la partition du disque C :

Toujours sur le Cloud PC, vérifiez bien la présence :

  • du dossier présent sur le bureau de l’ancien Cloud PC
  • du dossier présent à la racine du disque C de l’ancien Cloud PC

Sur le portail Intune, retournez sur la fonction de redimensionnement du Cloud PC afin de constater l’impossibilité de retourner sur un SKU ayant un disque plus petit :

Conclusion

Rien à dire de spécial sur cette fonctionnalité si ce n’est qu’elle marche très bien, et qu’elle pourra faciliter la vie à de nombreux techniciens IT 😎💪

Autopilot pour … Intune !

La mise en place d’un processus de provisionnement des postes utilisateurs peut, par moment, virer au casse-tête ! Entre le spécifique nécessaire à certains utilisateurs, les besoins complexes, ou encore les contraintes géographiques pour la réception des matériels, les équipes IT doivent pouvoir se reposer sur des outils modernes, efficaces et facilement adaptables.

Le but n’étant pas de leur retirer tout travail, mais bien de leur faciliter la vie ! Après un premier article sur les GPOs poussées via Intune, je trouvais intéressant d’écrire un second article, dédié à la fonction d’Autopilot de celui-ci.

Intune, ou Microsoft Endpoint Manager, simplifie le processus de préparation des postes utilisateurs. Comme les services du Cloud Microsoft, Intune a la faculté de pousser des configurations de poste et des applications au travers d’une connexion internet.

Cette approche de connexion simplifie grandement le management des postes, que ces derniers soient sur le réseau d’entreprise ou en situation de mobilité.

Qu’est-ce qu’Autopilot ?

Windows Autopilot est un ensemble de technologies utilisées pour configurer et préconfigurer de nouveaux appareils de manière à les préparer à une utilisation productive. Windows Autopilot peut être utilisé pour déployer des PC Windows

Microsoft Learn

Le bénéfice premier d’Autopilot est donc de combler la phase initiale, afin que le poste de l’utilisateur, à peine déballé par ce dernier, soit directement rattaché au tenant, et donc de fait « guidé » dans un processus de mise en route.

Cette méthode permet de retirer, dans certains cas, des étapes préparatoires réalisées par les équipes IT, ou des actions réalisées par l’utilisateur final pour la finalisation du processus de configuration du poste.

De quoi avons-nous besoin pour qu’un poste intègre le processus Autopilot ?

Dans la plupart des cas, l’importation des postes à un tenant 365 via Autopilot repose sur l’utilisation du Hash de l’appareil.

Un hachage d’appareil ou de matériel est une chaîne de chiffres et de lettres … qui contient des informations sur l’appareil et son utilisateur. Ces informations s’apparentent à l’identité de l’appareil.

Seon

Il est aussi possible de travailler avec le numéro de série du fabricant. Une fois la liste de hashs à disposition, il suffit de :

  • Importer celle-ci sur le tenant 365, via le portail Intune
  • Configurer un profil Autopilot associé aux machines importées

Ai-je besoin de licences spécifiques pour Autopilot ?

Comme il est rappelé dans la documentation Microsoft, Autopilot a besoin de plus que la licence Intune. Il est en effet nécessaire de disposer d’une licence Azure Active Directory Premium P1 ou P2.

Afin de se faire une meilleure idée sur le processus Autopilot, je vous propose un petit exercice à réaliser sur une souscription Azure. Dans cet exercice, nous allons effectuer les étapes suivantes :

Rappel des prérequis :

Pour réaliser cet exercice sur Autopilot, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une souscription Azure valide
  • Une licence contenant Intune
  • Une licence contenant Azure AD Premium P1

Afin de tester la fonctionnalité Autopilot, nous allons avoir besoin d’intégrer une machine dans notre tenant 365. Plus exactement, il va être nécessaire de précharger son hash dans la console Intune sur le tenant 365 de test.

Pour cela, je vous propose de simuler un poste sous Windows 11 grâce à un environnement virtualisé de type Hyper-V.

Dans Azure, il est en effet possible d’imbriquer de la virtualisation. Cela demande malgré tout quelques exigences, comme le SKU de la machine virtuelle Hyper-V, mais aussi sa génération.

Etape I – Préparation de la machine virtuelle hôte (Hyper-V) :

Depuis le portail Azure, commencez par rechercher le service des machines virtuelles :

Cliquez-ici pour créer votre machine virtuelle hôte (Hyper-V) :

Renseignez tous les champs, en prenant soin de bien sélectionner les valeurs jaunes suivantes :

Choisissez une taille de machine virtuelle présent dans la famille Dsv3, puis cliquez sur Suivant :

Rajoutez un second disque pour stocker la machine virtuelle invitée (Windows 11), créée plus tard dans notre machine virtuelle hôte (Hyper-V) :

Conservez les options par défaut, puis cliquez sur OK :

Cliquez ensuite sur Suivant :

Retirez l’adresse IP publique (pour des questions de sécurité), puis lancez la validation Azure :

Une fois la validation réussie, lancez la création des ressources Azure :

Quelques minutes plus tard, cliquez-ici pour voir votre machine virtuelle hôte (Hyper-V) :

Ensuite, cliquez-ici pour déployer le service Azure Bastion :

Nous allons utiliser Bastion pour nous connecter de façon sécurisée à notre VM hôte (Hyper-V).

Attendez quelques minutes la fin du déploiement d’Azure Bastion, indispensable pour continuer les prochaines opérations :

Peu après, constatez le déploiement réussi d’Azure Bastion via la notification Azure suivante :

Renseignez les identifiants renseignés lors de la création de votre VM hôte (Hyper-V) :

Autorisez le fonctionnement du presse-papier pour Azure Bastion :

Une fois connecté sur votre machine virtuelle hôte (Hyper-V), ouvrez Windows PowerShell :

Exécutez la commande suivante pour installer les deux rôles suivants :

  • Rôle DHCP
  • Rôle Hyper-V
Install-WindowsFeature -Name DHCP,Hyper-V  –IncludeManagementTools

Attendez environ une minute que l’installation des rôles se termine :

Lancez la commande suivante pour lancer un redémarrage de votre VM hôte (Hyper-V) :

Shutdown -R

Attendez environ 30 secondes que le redémarrage se termine pour se reconnecter à celle-ci, toujours via Azure Bastion :

Une fois la session Bastion rouverte, ouvrez PowerShell en mode ISE :

Lancez le script suivant afin de créer un switch virtuel dans Hyper-V, et de type interne :

$switchName = "InternalNAT"
New-VMSwitch -Name $switchName -SwitchType Internal
New-NetNat –Name $switchName –InternalIPInterfaceAddressPrefix “192.168.0.0/24”
$ifIndex = (Get-NetAdapter | ? {$_.name -like "*$switchName)"}).ifIndex
New-NetIPAddress -IPAddress 192.168.0.1 -InterfaceIndex $ifIndex -PrefixLength 24

Lancez le script suivant afin de configurer un périmètre DHCP avec une règle de routage, et le serveur DNS d’Azure :

Add-DhcpServerV4Scope -Name "DHCP-$switchName" -StartRange 192.168.0.50 -EndRange 192.168.0.100 -SubnetMask 255.255.255.0
Set-DhcpServerV4OptionValue -Router 192.168.0.1 -DnsServer 168.63.129.16
Restart-service dhcpserver

Depuis la console Server Manager, ouvrez Hyper-V Manager :

Ouvrez le menu suivant :

Contrôlez la présence de votre switch virtuel créé précédemment :

Ouvrez le Gestionnaire de disques depuis le menu démarrer afin de configurer le disque de données ajouté sur votre VM hôte (Hyper-V) :

Dès l’ouverture du Gestionnaire de disques, cliquez sur OK pour démarrer l’initialisation du disque de données :

Sur celui-ci, créez un nouveau volume :

Cliquez sur Suivant :

Cliquez sur Suivant :

Cliquez sur Suivant :

Cliquez sur Suivant :

Cliquez sur Suivant :

L’environnement Hyper-V est maintenant en place. Nous allons pouvoir créer ensemble la machine virtuelle invitée (Windows 11).

Etape II – Création de la machine virtuelle invitée (Windows 11) :

Pour cela, il est nécessaire de récupérer une image au format ISO de Windows 11 afin de créer la machine virtuelle invitée (Windows 11), puis d’y installer l’OS.

Toujours sur la machine virtuelle hôte (Hyper-V), ouvrez le navigateur internet Microsoft Edge.

Rendez-vous sur la page suivante pour télécharger l’ISO de Windows 11, puis effectuez les actions suivantes :

Choisissez la langue désirée, puis cliquez sur Confirmer :

Cliquez sur la version 64 bits pour lancer le téléchargement :

Attendez quelques minutes pour que le téléchargement de l’ISO se termine :

Depuis votre VM hôte (Hyper-V), rouvrez votre console Hyper-V Manager, puis cliquez-ici pour créer votre première machine virtuelle invitée (Windows 11) :

Cliquez sur Suivant :

Modifier les informations suivantes pour pointer vers le nouveau lecteur créé sur la VM hôte (Hyper-V), puis cliquez sur Suivant :

Pensez à bien choisir Génération 2 :

Comme indiqué, cette option ne sera plus modifiable par la suite.

Modifier la taille de la mémoire vive allouée à la VM invitée (Windows 11), puis cliquez sur Suivant :

Utilisez le switch créé précédemment, puis cliquez sur Suivant :

Cliquez sur Suivant :

Utilisez le fichier ISO de Windows 11 téléchargée précédemment, puis cliquez sur Suivant :

Cliquez sur Terminer pour finaliser la création de votre machine virtuelle invitée (Windows 11) :

Une fois la machine virtuelle créée, modifiez sa configuration comme ceci :

Dans la section Sécurité, cochez la case suivante pour activer TPM :

Modifiez le nombre de processeurs virtuels afin d’accélérer l’installation de Windows 11, puis cliquez sur OK :

Double-cliquez sur votre machine virtuelle invitée (Windows 11) :

Cliquez-ici pour lancer le démarrage de la VM invitée (Windows 11) :

Appuyez sur n’importe quelle touche du clavier pour démarrer sur l’image ISO de Windows 11 :

Attendez que le chargement se termine :

La machine virtuelle est maintenant prête à recevoir l’OS Windows 11. Suivez toutes les étapes de l’installation pour le configurer et l’installer.

Etape III – Installation de Windows 11 sur la VM invitée (Windows 11) :

Choisissez les informations de langue qui vous correspondent, puis cliquez sur Suivant :

Lancez l’installation de Windows 11 :

Attendez que le démarrage de l’installation se lance, puis cliquez-ici pour ne pas renseigner de clef de licence Windows 11 :

Choisissez une version de Windows 11, puis cliquez sur Suivant :

Acceptez les termes et conditions de Microsoft, puis cliquez sur Suivant :

Sélectionnez l’installation personnalisée de Windows 11 :

Validez l’installation sur le seul disque disponible, puis cliquez sur Suivant :

Attendez maintenant que l’installation de Windows 11 commence :

Lancez le redémarrage de la machine virtuelle invitée (Windows 11) :

Attendez quelques minutes que le redémarrage se poursuivre :

Sélectionnez le pays adapté, puis cliquez sur Oui :

Choisissez le clavier correspondant au vôtre, puis cliquez sur Oui :

Ajoutez, si besoin, un second clavier :

Attendez que l’installation de Windows 11 vérifie si de nouvelles mises à jour sont disponibles :

Nommez votre machine virtuelle invitée (Windows 11) selon vos souhaits, puis cliquez sur Suivant :

Attendez que la configuration finale se termine :

Afin de récupérer le hash de notre machine virtuelle invitée (Windows 11), nous avons besoin d’un compte local.

Pour cela, configurer votre VM invitée (Windows 11) comme ceci, puis cliquez sur Suivant :

Donnez à nom à votre compte local Windows, puis cliquez sur Suivant :

Définissez un mot de passe à votre compte local Windows 11, puis cliquez sur Suivant :

Confirmez votre nouveau mot de passe une seconde fois, puis cliquez sur Suivant :

Adaptez la configuration des paramètres de confidentialité, puis cliquez sur Accepter :

Attendez quelques minutes durant la seconde vérification de mise à jour :

Attendez enfin la dernière finalisation de la configuration de Windows 11 :

Vous voilà enfin sur le bureau Windows de votre machine virtuelle invitée (Windows 11) :

Retournez sur la console Hyper-V de votre VM hôte (Hyper-V) afin de créer un snapshot de votre VM invitée (Windows 11) :

Attendez quelques secondes, puis cliquez sur OK sur le message de notification suivant :

La machine virtuelle invitée est maintenant en place avec un OS Windows 11. Nous allons maintenant récupérer son hash, l’intégrer dans notre tenant de test, puis réinitialiser celle-ci pour tester Autopilot.

Etape IV – Récupération et intégration du hash de la VM invitée (Windows 11)

Retournez sur le bureau de la machine virtuelle invitée (Windows 11), puis ouvrez PowerShell en mode administrateur :

Cliquez sur Oui pour confirmer votre choix :

Saisissez le script suivant dans la fenêtre PowerShell. Celui-ci a pour but de générer un fichier CSV contenant le Hash de notre machine virtuelle invitée (Windows 11) :

New-Item -Type Directory -Path "C:\HWID"
Set-Location C:\HWID
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo -Force
$env:Path += ";C:\Program Files\WindowsPowerShell\Scripts"
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

Pour cela, utilisez la fonction suivante dans la connexion Hyper-V afin de faciliter le copier // coller entre la VM hôte (Hyper-V) et la VM invitée (Windows 11) :

Au besoin, utilisez Notepad pour vérifier le bon fonctionnement du copier // coller :

La commande du script créée le fichier AutopilotHWID.csv, contenant le hash de notre machine virtuelle invitée (Windows 11) :

Retrouvez ce fichier dans l’explorateur de votre machine virtuelle invitée (Windows 11) :

Vérifiez que le contenu du fichier présente bien des informations similaires à l’exemple ci-dessous :

Pour plus de facilité, utilisez la fonction de partage Windows afin de reprendre le contenu du fichier hash vers la machine virtuelle hôte (Hyper-V).

Pour cela, depuis la VM invitée (Windows 11), activez le partage du dossier racine comme ceci :

Cliquez sur le menu suivant :

Activez le partage du dossier :

Copiez le chemin réseau du partage nouvellement activé :

Depuis la machine virtuelle hôte (Hyper-V), coller le chemin réseau dans l’explorateur, puis utilisez les identifiants renseignés lors de la configuration du compte local de la VM invitée (Windows 11) :

Ouvrez le fichier CSV avec Notepad :

Copiez le contenu du fichier puis collez-le sur votre poste local, afin de pouvoir charger le fichier sur le portail Intune :

Enregistrer ce fichier nouvellement créé au format CSV :

De retour sur la machine virtuelle invitée (Windows 11), recherchez dans le menu Démarrer le programme de réinitialisation Windows :

Lancez le programme de réinitialisation de Windows 11 :

Confirmez la suppression de toutes les données personnelles :

Attendez que le traitement prépare l’opération de réinitialisation :

Choisissez la réinstallation depuis une source locale :

Cliquez sur Suivant pour préparer le traitement :

Attendez une seconde fois que le traitement prépare l’opération de réinitialisation :

Cliquez sur Réinitialiser pour lancer le traitement :

Vérifiez que le traitement de réinitialisation s’enclenche bien :

Depuis le portail Intune, accessible à cette adresse, rendez-vous dans la section dédiée à l’import Autopilot de machines Windows :

Cliquez-ici pour importer le fichier CSV contenant le hash de notre machine virtuelle invitée (Windows 11) :

Sélectionnez le fichier CSV, puis cliquer sur Importer :

Une notification de travail en cours doit apparaître :

Environ 30 secondes plus tard, l’importation est terminée avec succès :

Attendez quelques secondes, puis rafraichissez la page afin de retrouver votre machine virtuelle invitée (Windows 11) dans la liste :

Assignez si besoin un utilisateur Azure AD à votre machine de test afin d’améliorer le test de l’expérience Autopilot :

Sur la page d’Azure AD, créez ou utilisez un groupe Azure AD existant, puis ajoutez-y la machine virtuelle importée via Autopilot :

De retour sur le portail Intune, rendez-vous dans le menu suivant pour configurer un profil de déploiement Autopilot :

Configurez à votre guise votre profil de configuration Autopilot, puis assignez ce dernier au groupe Azure AD contenant votre machine virtuelle invitée (Windows 11) :

Quelques minutes plus tard, vérifiez bien la présence de ladite machine dans la section ci-dessous de votre profil Autopilot :

Etape V – Test de la fonction Autopilot

Retournez sur la machine virtuelle invitée (Windows 11) afin de constater l’avancement de la préparation à la réinitialisation de Windows 11 :

Environ 20 minutes plus tard, le processus de préparation à la réinitialisation est maintenant terminé :

La machine va ensuite redémarrer :

Des mises à jour automatiques sont prises en compte :

Le processus de réinitialisation commence enfin :

Celui-ci se poursuit avec la réinstallation de Windows 11 :

Une fois la réinstallation terminée, Windows 11 s’ouvre et affiche une fenêtre vous invitant à vous authentifier avec un compte 365 du tenant concerné.

Veuillez saisir le mot de passe de l’utilisateur :

Attendez quelques instants que Windows 11 récupère les éléments de configuration liés au poste :

Attendez encore afin que les éléments récupérés soit installés sur le poste :

Ce processus peut durer une vingtaine de minutes environ :

Différentes étapes sont alors réalisées, dont le détail est visualisable si besoin :

Après cela, Windows 11 s’ouvre et l’utilisateur peut déjà percevoir les éléments installés par la configuration :

Conclusion

J’espère que cet article vous aura permis de percevoir les avantages et l’intérêt possible grâce à Autopilot. Bien entendu, ce type de déploiement ne pourra pas prendre en compte tous les scénarios et toutes les configurations.

C’est pour cela que, bien souvent, plusieurs méthodes de déploiement sont à envisager afin de couvrir un spectre toujours plus grand sur les besoins des utilisateurs et les exigences de configuration IT.

Intéressez-vous aux GPOs d’Intune

Intune, ou aussi appelé Microsoft Endpoint Manager, continue son bonhomme de chemin. Microsoft vient d’annoncer il y a peu la possibilité de créer des profils de configuration basés via l’intégration simple et rapide de fichiers ADMX/ADML directement depuis la console Intune.

Est-ce vraiment nouveau ?

Alors non, cela ne l’est pas vraiment, car il était déjà possible sur Intune depuis 2020. Mais de gros progrès ont été fait sur l’interface des GPOs, qui a grandement évolué depuis.

Voici anciennement ce qu’il était possible de faire avant cette évolution :

Comme vous le voyez, l’interface n’était pas encore très adaptée et le travail restait très manuel, voir laborieux.

Dans cet article, nous allons justement tester la nouvelle méthode pour les GPOs et les différentes options possibles grâce à celle-ci.

Pourquoi refaire ce qu’un domaine Active Directory sait déjà très bien faire ?

Microsoft continue sa voie dans la création d’une architecture IT 100% Cloud « allégée » de certains composants historiques, comme les Contrôleurs de domaine.

Prenons l’exemple d’Azure Virtual Desktop et ses machines virtuelles jointes à Azure AD et gérées sous Intune. Microsoft proposera bientôt une solution sans contrôleur de domaine, une fois qu’Azure AD sera en mesure de gérer certains protocoles d’authentification.

Comment fonctionne Intune pour créer des GPOs ?

Intune a la même base qu’un domaine Active Directory pour créer des configurations GPOs. La configuration de GPOs repose toujours sur le couple de fichiers (ADMX / ADML).

Ces fichiers doivent donc être importés dans la console Intune, pour créer par la suite un profil de configuration de type Modèle administratif.

Afin d’en savoir un peu plus, je vous propose ce petit exercice, basé sur une GPO dédiée à Mozilla Firefox.

Rappel des prérequis :

Pour réaliser cet exercice Intune, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une ou des licences Intune
  • Un ou des postes Windows 10/11 de test :

Comme je ne dispose pas de postes de test, j’ai décidé de créer plusieurs machines virtuelles sur Azure, via le service Azure Virtual Desktop. Ces machines AVD sont de type individuel et sont attribuées à plusieurs utilisateurs Cloud provenant d’un tenant CDX.

Lors de la création de cet environnement AVD, j’ai spécifié que les machines virtuelles soit gérées via Intune. Je retrouve d’ailleurs cette information dans Azure AD :

Mais également dans la console Intune de mon tenant :

Etape I – Déployer Mozilla Firefox sur les machines de test :

Avant de pouvoir configurer une GPO depuis la console Intune, il est nécessaire d’installer une application en relations avec celle-ci. J’ai donc choisi Mozilla Firefox pour servir d’application de test.

Comme mes machines virtuelles AVD proviennent d’une image Windows 11 provisionnée par Microsoft, Mozilla Firefox n’y est pas installé par défaut.

Pour l’installer, rendez vous dans la console Intune, puis cliquez sur le menu Applications :

Cliquez ici pour ajouter votre nouvelle application Firefox :

Sélectionnez le type Nouvel Microsoft Store, puis continuez :

Recherchez l’application Firefox, puis continuez :

Cochez l’option ci-dessous, puis passez sur l’onglet Suivant :

Choisissez l’assignation qui vous convient, puis continuez :

Lancez la création de l’application :

Attendez une bonne dizaine de minutes, puis constatez, toujours dans le menu Applications, la bonne installation de Mozilla Firefox sur une ou plusieurs machines de test :

Connectez-vous sur une machine de test avec un utilisateur du tenant pour constater la bonne apparition de l’application Mozilla Firefox dans le menu Démarrer :

Ouvrez l’application Firefox, terminez sa configuration, puis constatez l’absence de configuration particulière :

Etape II – Importez la configuration ADMX :

Avant de pouvoir configurer des polices Firefox depuis la console Intune, il est nécessaire d’importer dans celle-ci le modèle ADMX. Ce dernier est accompagné du fichier ADML, utilisé pour la traduction dans une langue locale.

Mozilla met à disposition les fichiers ADMX/ADML sur leur page GitHub, disponible juste ici.

Téléchargez le fichier ZIP disponible sur cette page, ou via ce lien direct juste :

Lancez l’extraction des fichiers sur votre poste :

Dans le dossier issu de l’extraction de l’archive ZIP, constatez la présence pour Firefox du fichier ADMX :

Mais également du fichier ADML dans le sous-dossier de langue :

Vous noterez la présence deux autres fichiers, appelés aussi dépendances :

  • mozilla.admx
  • mozilla.adml

Ces deux dépendances sont nécessaires pour la configuration de Firefox. L’importation de fichiers Firefox avant ceux de Mozilla provoqueront une erreur Intune :

Retournez sur votre console Intune pour importer les deux fichiers Mozilla :

Cliquez sur Importer :

Sélectionnez les deux fichiers Mozilla, puis cliquez sur Suivant :

Cliquez ici pour démarrer l’importation :

Environ deux minutes et un rafraichissement plus tard, l’importation est réussie :

Recommencez la même opération avec les fichiers de configuration Firefox :

Environ deux minutes et un rafraichissement plus tard, la seconde importation est elle aussi réussie :

Etape II – Création du profil de configuration pour Firefox :

Intune est maintenant prêt pour la configuration de Firefox sur les postes de test. Il ne nous reste qu’à créer le profil de configuration, de type profil administratif, pour Firefox.

Pour cela, créez un nouveau profil comme ceci :

Donnez-lui un nom, puis cliquez sur Suivant :

Dans la section Configuration de l’ordinateur, recherchez le mot home, puis cliquez sur le résultat suivant :

Configurez la police avec une URL de votre choix, puis cliquez sur OK :

Cliquez sur Suivant :

Cliquez encore sur Suivant :

Choisissez l’assignation qui vous convient, puis continuez :

Lancez la création de la police :

Rafraichissez la page pour voir apparaître la nouvelle police dédiée à Mozilla Firefox :

Cliquez dessus et attendez son déploiement sur les machines de test :

Quelques minutes plus tard, les machines virtuelles reçoivent la police de configuration :

Etape III – Test de la GPO Firefox créée via Intune :

Retournez sur une machine de test, puis lancez Mozilla Firefox :

Constatez l’ouverture immédiate de la page de démarrage configurée dans votre GPO Intune :

Conclusion

Cette avancée ne semble pas extraordinaire, et pourtant, elle l’est ! Cet exercice montre avant tout la simplification du processus de création de GPOs via la console Intune, plébiscitée dans un grand nombre d’environnements Cloud. Nul doute que d’autres avancées sont encore dans les cartons de Microsoft pour Intune.

Testez facilement Windows 365 en 2023

Windows 365 est une solution de Cloud PC proposée par Microsoft et hébergée sur Azure. Très rapide à déployer, cette solution s’appuie sur la même technologie qu’Azure Virtual Desktop. Elle ne demande pas à savoir maitriser Azure et le grand nombre de ses services. Windows 365 a officiellement été lancé en août 2021. J’avais déjà écrit un article sur le sujet à ses débuts, car des licences d’essai étaient disponibles durant ses premiers jours.

Depuis cette date, j’avais laissé ce sujet de côté car l’achat de licences payantes n’était pas une priorité pour des tests très occasionnels, malgré les nombreuses évolutions. Microsoft propose bien une démo interactive de son produit Windows 365, mais elle est avant tout destinée aux utilisateurs finaux.

Dans cet article, nous allons tester ensemble une méthode de provisionnement gratuite de licences Windows 365 de démonstration. Le but n’est pas de refaire ce précédent article, mais de revoir les étapes obligatoires et de constater les éventuels changements depuis 2021.

Connaissiez-vous Microsoft Customer Digital Experiences ?

Un PowerPoint Microsoft est à disposition en libre accès juste ici.

CDX est une plate-forme de tests des produits Cloud de Microsoft. Elle est mise à disposition des employées Microsoft et aux partenaires, mais aussi aux MVPs. La définition de la plate-forme CDX parle d’elle-même :

Un portefeuille d’expériences numériques immersives pour présenter la technologie et les produits Microsoft avec une interaction pratique, orchestrées par les vendeurs, partenaires ou spécialistes du marketing de Microsoft. Découvrez comment utiliser cet outil et mieux comprendre les expériences proposées.

Microsoft

Qui peut accéder à cette plateforme ?

Comme annoncé plus haut, l’accès à CDX est accordé aux employés Microsoft et aux partenaires. Les scénarios (tenants de test) sont potentiellement limités à certains contenus spécifiques, en fonction de votre rôle ou de votre appartenance à une organisation.

Dans quel cadre peut-on s’en servir ?

Microsoft rappelle bien dans les usages que les droits d’utilisations de CDX sont limités :

  • Lorsque vous accédez pour la première fois au CDX, les conditions d’utilisation du site vous sont présentées. Il est important de lire et de comprendre ces conditions.
  • Les ressources CDX sont destinées aux démonstrations de produits Microsoft aux clients ou aux activités d’auto-apprentissage.
  • Les ressources CDX ne doivent PAS être utilisées pour des tests, des preuves de concept, des cours de formation, le développement d’applications tierces, des ventes ou des essais de produits.
  • L’utilisation par les locataires est contrôlée et toute violation peut entraîner la perte immédiate de l’accès à vos locataires et au CDX.

Aucun souci pour vous en servir lors de vos rendez-vous démos chez vos clients, ou si vous souhaitez perfectionner vos connaissances sur des produits Microsoft, comme je le fais ici.

En revanche, ne prenez pas le risque de vous en servir pour faire faire un POC ou pour donner un cours, officiel Microsoft ou non, avec des accès pour vos étudiants.

Et Windows 365 dans tout ça ?

Cet article porte bien Windows 365, un collègue récemment m’a fait remarquer l’apparition d’un nouveau scénario disponible depuis la plateforme CDX : Windows 365 Enterprise. Nous allons donc voir toutes les étapes ensemble.

Etape I – Création du tenant avec licences Windows 365 :

Autrement dit, un simple clic sur ce scenario CDX provisionne un nouveau tenant, accompagné de licences Windows 365. Ce fonctionnement est idéal pour tester les Cloud PC de Microsoft ou pour simplement apprendre à les configurer.

Cliquez sur le bouton bleu ci-dessous pour initier la création du nouveau tenant :

Comme pour chaque nouveauté Microsoft, vous pourriez être bloqué par une forte demande :

Je ne peux vous conseiller que de réessayer plus tard ????.
L’autre option reste encore de prendre une licence Windows 365 avec un engagement mensuel.

Validez les conditions d’utilisation de CDX :

Attendez quelques minutes que le nouvel environnement 365 se provisionne :

Constatez la présence des identifiants de l’administrateur de votre nouveau tenant de test :

Pour ne pas vous mélanger avec votre tenant 365 habituel, ouvrez un nouveau navigateur en mode privé, puis rendez sur la console d’administration de 365.

Constatez la présence de deux licences non assignées de Windows 365 :

L’étape suivante va consister à créer votre premier Cloud PC sur un utilisateur de tenant de test.

Etape II – Assignez votre licence Windows 365 :

Retournez sur la liste des utilisateurs du tenant de test et assignez une des 2 licences Windows 365 :

De plus, ajoutez votre utilisateur de test dans le groupe Windows365 Enterprise :

La première étape concernant la partie licence est terminé. Le processus d’assignation de Windows 365 aux utilisateurs est très simple. L’achat de licence Windows 365 est lui aussi très simplifié et peut s’effectuer par ce même portail.

Etape III – Terminez le provisionnement de votre Cloud PC :

La suite se passe sur le portail Intune, ouvrez un nouvel onglet de votre navigateur privé avec ce lien, puis rendez-vous sur la section dédiée à Windows 365 :

Jusqu’à présent, les Clouds PC ne sont pas encore provisionnés. Pour cela, cliquez ici pour créer une police de provisionnement :

Renseignez les champs suivants :

Comme vous le voyez, il est maintenant possible de provisionner des Cloud PCs Enterprise joint directement à Azure AD. En 2021, cette option n’était disponible que pour les Cloud PCs de type Business.

Choisissez l’image correspondante à votre besoin de test (galerie Microsoft ou custom image) :

Choisissez les options de langage et si besoin activez Windows Autopatch :

Assignez votre police à Windows 365 à votre groupe de sécurité Windows365 Enterprise :

Validez la création de votre police :

Retournez sur la liste de Cloud PCs, puis constatez le changement de status :

Le traitement de provisionnement est variable.
Comptez environ 30 minutes.

En attendant, ouvrez un autre navigateur internet, également en mode privé, puis rendez-vous sur la page internet suivante : https://windows365.microsoft.com/

Renseignez-y les identifiants de votre utilisateur de test :

Comme sur Intune, attendez ici la fin du provisionnement pour continuer :

26 minutes plus tard, votre premier Cloud PC est enfin provisionné :

La configuration de base est terminée ! Il ne reste qu’à nous connecter au Cloud PC et parcourir quelques fonctions intéressantes.

Etape IV – Connexion à votre Cloud PC :

Retournez sur le navigateur web de votre utilisateur de test :

Ouvrez le Cloud PC :

Un nouvel onglet s’ouvre et vous propose les choix suivants :

Autorisez la fonction SSO apparue dans une autre nouvelle fenêtre :

Attendez encore quelques minutes :

Et voilà, tout y est ! Reconnaissons que ce premier SKU Windows 365 d’assigné n’est pas le plus véloce. Les 4 Go de mémoire risquent de faire rapidement défaut par la suite :

Un petit tour de certaines fonctionnalités très pratiques ne nous fera pas de mal ????.

Etape V – Transfert de fichiers dans les deux sens :

Le transfert de fichiers entre le poste local et le Cloud PC est un besoin fréquent et souvent utilisés dans les deux sens. Vous pourriez utiliser l’espace de stockage OneDrive ou la messagerie électronique, mais Windows 365 propose aussi une fonction pré-intégrée.

Le transfert de fichier vers le Cloud PC s’effectue depuis l’icône dans la barre du haut :

Le fichier téléversé se retrouve dans le dossier suivant de votre Cloud PC :

\\tsclient\Windows365 virtual drive\Uploads

Le transfert de fichier depuis le Cloud PC s’effectue via la dépose de fichiers dans le dossier suivant de votre Cloud PC :

\\tsclient\Windows365 virtual drive\Downloads

La notification suivante apparaît dans le navigateur internet de votre utilisateur test :

Le fichier est alors téléchargé localement :

Pour information, le Cloud PC est déjà préconfiguré nativement avec OneDrive :

Etape VI – Fonctions de dépannages :

Certaines fonctions de dépannage sont directement accessibles pour l’utilisateur Cloud PC depuis son portail Windows 365 :

Quand le problème ou l’action voulue est plus complexe, il est nécessaire de passer par portail d’Intune, comme par exemple pour :

  • Créer et utiliser un point de restauration
  • Reprovisionner le Cloud PC
  • Redimensionner le Cloud PC

Par exemple, la création d’un point de restauration Windows 365 est possible par le menu suivant :

Confirmez la création du point de restauration manuel :

Attendez quelques minutes :

Une fois le traitement snapshot terminé, cliquez ici pour déclencher la restauration sur le Cloud PC actuel :

La restauration commence et l’utilisation se retrouve déconnecté de son Cloud PC :

La mention de restauration figure également sur son Cloud PC, et l’invite à patienter :

L’information est aussi indiquée sur la console Intune :

Une fois la restauration terminée, l’utilisateur peut s’y reconnecter :

La connexion depuis le navigateur internet en HTML5 est assez facile est déjà testée. L’utilisation d’un client dédié améliore la performance, la compatibilité et l’exploitation de ressources locales USB ou autres.

Etape VII – Connexions depuis d’autres clients :

Sur la page web Windows 365 de l’utilisateur, Microsoft met à disposition une liste de clients compatible avec Windows 365 selon votre OS :

Etant sur Windows 11 et utilisant régulièrement le service Azure Virtual Desktop, je vais tester ce dernier :

Ajoutez l’accès à votre Cloud PC par le bouton de souscription :

Renseignez les identifiants de votre utilisateur de test :

Cliquez droit sur l’icône du Cloud PC pour configurer le nombre d’écrans utilisés lors de la session de bureau à distance :

Conclusion

Ce nouveau scénario CDX dédié à Windows 365 apportera une meilleure compréhension du potentiel du Cloud PC de Microsoft, aussi bien pour les équipes IT et que pour les clients finaux. Cette approche facilitera l’achat de licences et le déploiement de Cloud PCs dans beaucoup de scénarios.

D’autres articles devraient suivront pour continuer à tester ensemble Windows 365 ????.

Un esprit zen sur les licences Microsoft 365

Beaucoup d’entre-nous sommes régulièrement confrontés à l’univers des licences du Cloud Microsoft dans le cadre de projets IT. Bien souvent, l’adjectif de jungle revient quand on aborde ce point.

Microsoft ne nous facilite pas la tâche non plus par les évolutions constantes de leurs programmes (ex. CSP / NCE), de leurs familles de produits, de leur nom, de leurs services mais aussi de leur prix !

Cela paraît surestimé mais il s’agit ici d’un vrai travail de recherche et de maintien à jour des connaissances, en permanence. Cet effort n’est pas uniquement valable pour Microsoft, mais il touche bien l’ensemble des éditeurs de solutions professionnelles.

Pour m’en sortir, j’utilise toutes les semaines un site, et pourtant je n’y avais pas encore fait le moindre article dessus …

Un grand merci à Aaron Dinnage pour son précieux travail sur le monde des licences du Cloud Microsoft. L’adresse de son site est donc https://m365maps.com/

De prime abord assez austère, on remarque très vite que son site est organisé par familles de licence et cela rend la recherche rapide et ciblée. La grande idée de son site repose sur sa facilité de comparaison entre les plans de licence d’un même produit.

Fonction I : Affichage des services disponibles sur une licence Microsoft

Prenons en premier exemple la licence Microsoft 365 Business Basic. Voici la page officielle de Microsoft concernant cette licence :

Et maintenant voici la page d’informations que propose Aaron sur son site pour ce même produit :

A ce stade, je ne pense pas qu’un commentaire soit nécessaire quant à la différence d’informations apprises. Pour aller plus loin, chaque icône représentant un service dispose d’un lien web vers la documentation Microsoft.

Voici la page web ouverte quand je clique sur SharePoint Online Plan 1 :

Notre second exemple est la licence Microsoft 365 Business Premium. Cette dernière est très intéressante pour beaucoup de projets. Microsoft y combine un grand nombre de services pour Office 365, la sécurité ou encore des fonctionnalités additionnelles pour le poste Windows.

Voici la page officielle de Microsoft :

Et voici la page web disponible sur le site d’Aaron pour cette même licence :

Même certaines fonctionnalités en préversion y sont affichées.

Evidement, cela ne ferme pas non plus systématiquement la porte à des lectures additionnelles sur la documentation Microsoft, comme par exemple :

Fonction II : Comparaison des plans de licences

Un second besoin lui aussi régulier porte sur la comparaison des plans de licence entre eux. Prenons l’exemple des plans de licence disponibles pour Azure Active Directory.

Là encore, voici la page web la plus lisible que j’ai trouvée sur le site de Microsoft :

Cette page est déjà pratique, mais ce n’est pas toujours aussi clair pour toutes les autres produits.

Et voici la page dédiée à Azure AD qu’Aaron a mise sur son site :

On est d’accord, seules les licences payantes y figurent.
Mais aucun doute que cette représentation graphique est plus efficace !

Notre second exemple porte sur les différents plans de licence disponibles pour Microsoft 365 Business : Basic / Standard / Premium.

Dans ce second exemple, Microsoft propose aussi des tableaux intéressants, mais pouvant manquer de synthèse entre les plans et pouvant influer sur la décision d’achat :

Pour ma part, je trouve que la fonction Full, disponible sur le site d’Aaron, apporte une meilleure clarté :

La couleur plus claire, visible sur plusieurs cases, montre les différences avec les plans inférieurs.

Il devient alors beaucoup plus évident de comprendre rapidement les différences entre les plans.

Fonction III : Mise à disposition d’une matrice

Dans d’autres cas, l’utilisation d’une matrice est pratique pour comparer plusieurs familles de produits. Voici en exemple de ce qui est disponible pour la famille Microsoft 365 :

Côté Microsoft :

Côté Aaron :

Le but ici n’est pas de comparer celui qui en affichera le plus, mais bien de disposer d’une information fiable, mise régulièrement à jour et disponible facilement.

Conclusion

En quelques mots, un très bel outil qui me simplifie la vie ???? Quoi de mieux dans la vie que cela pour rester zen au travail ?