Académique Documents
Professionnel Documents
Culture Documents
Les services Bureau à distance représentent une plateforme de choix pour la création de
solutions de virtualisation répondant aux besoins des utilisateurs finaux, notamment la
fourniture d’applications virtualisées individuelles, l’accès sécurisé aux services Bureau à
distance et aux terminaux mobiles ainsi que l’exécution d’applications et l’utilisation de
postes de travail à partir du cloud.
Bureaux : offrez une expérience utilisateur complète pour toute une variété
d’applications que vous installez et gérez. Cela est idéal pour les utilisateurs qui se
servent de ces ordinateurs en tant que stations de travail principales ou qui
utilisent des clients légers, à l’image des scénarios d’utilisation de MultiPoint
Services.
Programmes RemoteApp : spécifiez des applications individuelles
hébergées/exécutées sur la machine virtualisée, mais qui donnent l’impression de
s’exécuter sur le poste de travail de l’utilisateur comme des applications locales.
Les applications ont leur propre entrée dans la barre des tâches et peuvent être
redimensionnées et déplacées d’un moniteur à l’autre. Cela est idéal pour déployer
et gérer des applications clés dans un environnement distant et sécurisé tout en
permettant aux utilisateurs d’utiliser et de personnaliser leurs propres postes de
travail.
Quand la rentabilité est cruciale et que vous souhaitez étendre les avantages du
déploiement de postes de travail complets dans un environnement de virtualisation
basée sur une session, vous pouvez utiliser MultiPoint Services pour offrir les meilleures
prestations possibles.
Avec ces options et ces configurations, vous pouvez déployer en toute simplicité les
postes de travail et les applications dont vos utilisateurs ont besoin de manière
sécurisée, rentable et à distance.
Étapes suivantes
Voici quelques étapes à suivre pour mieux comprendre les services Bureau à distance
ainsi que pour commencer éventuellement à déployer votre propre environnement :
Utilisez les informations suivantes pour vous familiariser avec les services Bureau à
distance sous Windows Server 2016.
Les services Bureau à distance (RDS) s’appuyant sur Windows Server 2016 constituent
une plateforme de virtualisation offrant un large éventail de scénarios clients. Les
améliorations apportées à la l’ensemble de la solution Services Bureau à distance
incorporent le travail réalisé par l’équipe de Bureau à distance et celui d’autres
partenaires chez Microsoft. Les technologies et scénarios suivants sont nouveaux ou
améliorés dans Windows Server 2016.
Ainsi, pensez également à consulter notre session depuis Ignite 2016 : Tirez profit des
améliorations des services Bureau à distance dans Windows Server 2016. Dans cette
vidéo, l’équipe de produit passe en revue toutes les fonctionnalités inédites et
perfectionnées dans les services Bureau à distance, y compris la prise en charge du
vGPU.
En ce qui concerne les configurations prises en charge pour les environnements des
services Bureau à distance, l’interopérabilité des versions est le principal sujet de
préoccupation. La plupart des environnements incluent plusieurs versions de Windows
Server. Par exemple, vous disposez d’un déploiement des services Bureau à distance de
Windows Server 2012 R2, mais vous souhaitez effectuer une mise à niveau vers
Windows Server 2016 pour bénéficier des nouvelles fonctionnalités (par exemple la prise
en charge d’OpenGL\OpenCL, l’affectation d’appareils en mode discret ou les espaces
de stockage direct). La question devient celle-ci : quels sont les composants des services
Bureau à distance qui peuvent fonctionner avec différentes versions et lesquels doivent
être identiques ?
Dans cette optique, voici les instructions de base relatives aux configurations prises en
charge par les services Bureau à distance dans Windows Server.
7 Notes
Bonnes pratiques
Utilisez Windows Server 2019 pour votre infrastructure de Bureau à distance
(serveur d’accès web, serveur de passerelle, serveur du service Broker pour les
connexions et serveur de licences). Windows Server 2019 offre une compatibilité
descendante avec ces composants, ce qui signifie qu’un hôte de session Bureau à
distance Windows Server 2016 ou Windows Server 2012 R2 peut se connecter à un
service Broker pour les connexions Bureau à distance 2019, mais pas l’inverse.
Pour les hôtes de session Bureau à distance, tous les hôtes de session d’une
collection doivent être au même niveau. Toutefois, vous pouvez avoir plusieurs
collections. Vous pouvez avoir une collection avec des hôtes de session Windows
Server 2016 et une collection avec des hôtes de session Windows Server 2019.
Si vous mettez à niveau votre hôte de session Bureau à distance vers Windows
Server 2019, mettez également à niveau le serveur de licences. N’oubliez pas qu’un
serveur de licences 2019 peut traiter les licences d’accès client de toutes les
versions précédentes de Windows Server, jusqu’à Windows Server 2003.
Les hôtes de session des services Bureau à distance et les systèmes d’exploitation clients
monosessions peuvent tirer parti de plusieurs façons du processeur graphique physique
ou virtuel présenté au système d’exploitation, notamment au travers des tailles de
machine virtuelle Azure à processeur graphique optimisé, des processeurs graphiques
disponibles pour le serveur RDSH physique et des processeurs graphiques présentés aux
machines virtuelles par les hyperviseurs pris en charge.
Les fournisseurs de GPU peuvant avoir un schéma de licence distinct pour les scénarios
d’hôte de session Bureau à distance ou limiter l’utilisation des GPU sur le système
d’exploitation serveur, vérifiez les exigences auprès de votre fournisseur favori.
Les GPU présentés par une plateforme hyperviseur non-Microsoft ou cloud doivent
avoir des pilotes signés numériquement par WHQL et fournis par le fournisseur de GPU.
7 Notes
Pour des raisons de sécurité, le vGPU RemoteFX est désactivé par défaut sur toutes
les versions de Windows à partir de la mise à jour de sécurité du 14 juillet 2020 et
supprimé à partir de la Mise à jour de sécurité du 13 avril 2021. Pour plus
d’informations, consultez l’article KB 4570006 .
Les services Bureau à distance prennent en charge les vGPU RemoteFX quand la
machine virtuelle s’exécute en tant qu’invité Hyper-V sur Windows Server 2012 R2 ou
Windows Server 2016. Les systèmes d’exploitation invités suivants prennent en charge
les vGPU RemoteFX :
Windows 7 SP1
Windows 8.1
Windows 10 1703 ou version ultérieure
Windows Server 2016 dans un déploiement mono-session uniquement
Prise en charge de l’attribution d’appareils en mode
discret
Les services Bureau à distance prennent en charge les GPU physiques présentés avec
l’attribution d’appareils en mode discret à partir d’hôtes Hyper-V exécutant Windows
Server 2016 ou ultérieur. Pour plus d’informations, consultez Planifier le déploiement de
l’attribution d’appareils en mode discret.
Windows 10 Entreprise
Windows 8.1 Enterprise
Windows 7 SP1 Entreprise
7 Notes
Authentification unique
Les services Bureau à distance dans Windows Server 2016 ou ultérieur prennent en
charge deux principales expériences SSO :
Pour vous connecter à des bureaux et des programmes RemoteApp à l’aide de SSO via
le client Connexion Bureau à distance intégré à Windows, vous devez vous connecter à
la page web du Bureau à distance via Internet Explorer. Les options de configuration
suivantes sont nécessaires côté serveur. Aucune autre configuration n’est prise en
charge pour le SSO web :
Connexion Bureau à distance par le web avec l’option d’authentification basée sur
les formulaires (par défaut)
Passerelle des services Bureau à distance avec l’option d’authentification par mot
de passe (par défaut)
Déploiement des services Bureau à distance avec l’option « Utiliser les informations
d’identification de la passerelle des services Bureau à distance pour les ordinateurs
distants » (par défaut) dans les propriétés de la passerelle des services Bureau à
distance
7 Notes
En raison des options de configuration nécessaires, le SSO web n’est pas pris en
charge avec les cartes à puce. Les utilisateurs qui se connectent via des cartes à
puce risquent d’être confrontés à plusieurs invites de connexion.
Pour plus d’informations sur la création d’un déploiement VDI des services Bureau à
distance, consultez Configurations de sécurité Windows 10 prises en charge pour
l’infrastructure VDI des services Bureau à distance.
7 Notes
Le tableau suivant met en évidence les nouvelles fonctionnalités qui sont prises en
charge dans un déploiement VDI avec les services Bureau à distance.
7 Notes
Si vous disposez d’un service Broker pour les connexions dans un environnement
mono-instance, et que le nom DNS correspond au nom de l’ordinateur, vous
pouvez peut-être utiliser la fonctionnalité Credential Guard à distance, même si elle
n’est pas prise en charge.
L’équipe des services Bureau à distance a créé une affiche pour vous aider à planifier,
créer et exécuter votre environnement Azure Virtual Desktop.
Vous pouvez obtenir une copie de l’affiche en cliquant avec le bouton droit de la souris
sur l’image, et en l’enregistrant sur votre système local.
Vous pouvez obtenir une copie de l’affiche en cliquant avec le bouton droit de la souris
sur l’image, et en l’enregistrant sur votre système local.
Si vous êtes un partenaire Microsoft et souhaitez être inclus dans la liste des partenaires
ayant réussi l’évaluation, voici les étapes que vous pouvez entreprendre pour suivre le
parcours d’apprentissage :
Déjà partenaire Microsoft et vous avez des questions ? Contactez l’équipe Bureau à
distance à rdhostingpartners@microsoft.com.
Vous trouverez plus d’informations sur chaque partenaire avec ces étapes :
Création n’importe où
Guide réseau
Accès en tout lieu
Haute disponibilité
Authentification multifacteur
Stockage sécurisé des données
Accélération GPU
Se connecter sur n’importe quel appareil
Choisir le mode de paiement
Déployez en local, dans le cloud, ou un mélange des deux. Modifiez votre déploiement,
ainsi que l’évolution de vos besoins.
Vous devez toujours disposer d'un serveur connecté à Internet pour utiliser l’accès
Web des services Bureau à distance et la Passerelle des services Bureau à distance
pour les utilisateurs externes
Vous devez toujours avoir une instance Active Directory et, pour les
environnements hautement disponibles, une base de données SQL pour héberger
les propriétés de l'utilisateur et du Bureau distant
Vous devez toujours disposer d'un accès de communication entre les rôles
d'infrastructure de Bureau distant (Service Broker pour les connexions Bureau à
distance, Passerelle des services Bureau à distance, Gestionnaire de licences des
services Bureau à distance et Accès Web des services Bureau à distance), et les
hôtes RDSH ou RDVH finaux pour connecter les utilisateurs finaux à leurs bureaux
ou leurs applications.
Pour en savoir plus, veuillez consulter l’article Développer et déployer votre déploiement
des Services Bureau à distance.
Instructions relatives au réseau
Article • 03/03/2023
Quand vous utilisez une session Windows à distance, la bande passante disponible de
votre réseau a un impact significatif sur la qualité de votre expérience. Différentes
applications et résolutions d’affichage appellent différentes configurations réseau. Il est
donc important de vérifier que votre réseau est configuré pour répondre à vos besoins.
7 Notes
Applications
Le tableau suivant répertorie les bandes passantes minimales recommandées pour une
expérience utilisateur fluide. Ces recommandations sont basées sur les lignes directrices
des charges de travail Bureau à distance.
Léger 1,5 Mbits/s
Moyen 3 Mbits/s
Intensif 5 Mbits/s
Avancé 15 Mbits/s
Les besoins en bande passante dans d’autres scénarios peuvent varier en fonction de
votre utilisation, par exemple :
Audioconférence et vidéoconférence
Communication en temps réel
Streaming de vidéos 4K
Veillez à tester le chargement de ces scénarios dans votre déploiement à l’aide d’outils
de simulation comme Login VSI. Faites varier la taille de la charge, exécutez des tests de
contrainte et testez les scénarios utilisateur courants dans des sessions à distance pour
mieux comprendre les besoins de votre réseau.
Résolutions d’affichage
Les besoins en bande passante varient en fonction de la résolution d’affichage. Le
tableau suivant liste les bandes passantes recommandées pour une expérience
utilisateur fluide à des résolutions d’affichage standard avec une fréquence de
30 images par seconde. Ces recommandations s’appliquent à des scénarios comptant
un ou plusieurs utilisateurs. Gardez à l’esprit que les scénarios impliquant une fréquence
inférieure à 30 images par seconde, comme la lecture de texte statique, nécessitent
moins de bande passante disponible.
Technologies d’assistance
Les charges de travail des technologies d’assistance, telles que l’utilisation du Narrateur
dans la session à distance, requièrent des connexions ayant une durée aller-retour (RTT)
de 20 millisecondes (ms) ou inférieure pour une expérience utilisateur optimale.
Instructions relatives aux tailles des
machines virtuelles hôtes de session
Article • 21/04/2023
Selon que vous exécutez vos machines virtuelles hôtes de session sur les services Bureau
à distance ou sur Azure Virtual Desktop, les différents types de charges de travail
exigeront des configurations de machines virtuelles différentes. Les exemples de cet
article sont des recommandations génériques : vous ne devez les utiliser que pour les
estimations de performances initiales. Pour bénéficier de la meilleure expérience
possible, vous devez mettre à l’échelle votre déploiement en fonction des besoins de
vos utilisateurs.
Charges de travail
Les utilisateurs peuvent exécuter différents types de charges de travail sur les machines
virtuelles hôtes de session. Le tableau suivant fournit des exemples d’une gamme de
types de charges de travail pour vous aider à estimer la taille que vos machines virtuelles
doivent avoir. Après avoir configuré vos machines virtuelles, vous devez superviser en
permanence leur utilisation véritable et ajuster leur taille en conséquence. Si vous en
venez à avoir besoin d’une machine virtuelle plus grande ou plus petite, vous pouvez
facilement mettre à l’échelle votre déploiement existant dans Azure.
Le tableau suivant décrit chaque charge de travail. Les exemples d’utilisateurs sont les
types d’utilisateurs pour lesquels chaque charge de travail peut s’avérer la plus utile. Les
exemples d’applications sont les types d’applications qui fonctionnent le mieux pour
chaque charge de travail.
Toutes les machines virtuelles doivent avoir plus de deux cœurs : les composants
de l’interface utilisateur dans Windows s’appuient sur l’utilisation d’au moins deux
threads parallèles pour certaines des opérations de rendu plus lourdes. Pour le
multisession, le fait d’avoir plusieurs utilisateurs sur une machine virtuelle à deux
cœurs va rendre l’interface utilisateur et les applications instables, ce qui réduit la
qualité de l’expérience utilisateur. Pour une machine virtuelle multisession stable, le
nombre de cœurs doit être au moins égal à 4.
Les GPU sont un bon choix pour les utilisateurs qui utilisent régulièrement des
programmes gourmands en graphisme pour le rendu vidéo, la conception 3D et les
simulations. Azure propose plusieurs options de déploiement de l’accélération
graphique et plusieurs tailles de machine virtuelle avec GPU. Pour en savoir plus,
consultez Tailles de machine virtuelle à GPU optimisé. Pour plus d’informations sur
l’accélération graphique dans les services Bureau à distance, consultez Choisir votre
technologie de rendu graphique
Dans Azure, les machines virtuelles burstable Série B sont un bon choix pour les
utilisateurs qui n’ont pas toujours besoin de performances de processeur maximales.
Pour plus d’informations sur les types et les tailles de machines virtuelles, consultez
Tailles des machines virtuelles Windows dans Azure et les informations de tarification
dans notre page Série de machines virtuelles .
Les utilisateurs finals peuvent se connecter aux ressources réseau internes en toute
sécurité à partir de l’extérieur du pare-feu d’entreprise via la passerelle Bureau à
distance.
Quelle que soit la configuration des bureaux pour vos utilisateurs finals, vous pouvez
facilement incorporer la passerelle Bureau à distance dans le flux de connexion pour une
connexion rapide et sécurisée. Pour les utilisateurs finals qui se connectent via des flux
publiés, vous pouvez configurer la propriété de passerelle Bureau à distance lorsque
vous configurez les propriétés de déploiement global. Pour les utilisateurs finals qui se
connectent via leurs bureaux sans flux, ils peuvent facilement ajouter le nom de
passerelle Bureau à distance de l’organisation comme propriété de connexion, quelle
que soit l’application de client Bureau à distance qu’ils utilisent.
Vous trouverez plus d’informations sur l’architecture générale d’un déploiement Services
Bureau à distance dans l’architecture de référence d’hébergement de bureaux.
Services Bureau à distance - Haute
disponibilité
Article • 03/03/2023
Échecs et limitations sont inévitables dans les systèmes à grande échelle. Il est simple de
configurer des rôles d’infrastructure de Bureau à distance pour prendre en charge la
haute disponibilité et permettre aux utilisateurs finals de se connecter de manière fluide,
à chaque fois.
Dans les services Bureau à distance, les éléments suivants représentent les rôles
d’infrastructure de Bureau à distance, avec leurs instructions propres pour établir une
haute disponibilité :
La haute disponibilité est établie en dupliquant chacun des services de rôles sur une
seconde machine. Dans Azure, vous pouvez obtenir un temps d’activité garanti en
plaçant le groupe des deux machines virtuelles (qui héberge le même rôle) dans des
groupes à haute disponibilité.
Avec les groupes à haute disponibilité, vous pouvez tirer parti de la puissance d’Azure
SQL Database et de son contrat SLA Azure, pour être sûr d’avoir toujours à votre
disposition les informations de connexion et de pouvoir rediriger les utilisateurs vers
leurs bureaux et leurs applications.
Pour des bonnes pratiques sur la création de votre environnement des services Bureau à
distance, consultez Architecture d’hébergement de bureaux.
Services Bureau à distance - Multi-
Factor Authentication
Article • 03/03/2023
Pour les utilisateurs finaux qui se connectent à leurs bureaux et applications, l’expérience
utilisateur est similaire à celle qu’ils connaissent déjà quand ils effectuent une deuxième
authentification pour se connecter à la ressource souhaitée :
La garantie que les utilisateurs bénéficient d’une expérience harmonisée, quel que soit le
point de terminaison à partir duquel ils accèdent à leurs ressources distantes, représente
un aspect important de la gestion d’un déploiement des services Bureau à distance. Les
disques de profil utilisateur (UPD) permettent aux personnalisations, paramètres
d’application et données utilisateur de suivre l’utilisateur au sein d’une collection
unique. Un UDP est un fichier de disque dur virtuel (VHD) par collection, par utilisateur,
qui est enregistré dans un partage centralisé, monté sur la session d’un utilisateur quand
celui-ci se connecte ; l’UDP est traité comme un lecteur local pendant la durée de cette
session.
Côté utilisateur, l’UDP offre une expérience familière : l’utilisateur enregistre ses
documents dans son dossier Documents (sur ce qui semble être un lecteur local), il
modifie ses paramètres d’application comme d’habitude et personnalise son
environnement Windows. Toutes ces données, y compris la ruche du Registre, sont
stockées sur l’UDP et conservées en permanence dans un partage réseau centralisé. Les
UDP ne sont disponibles pour l’utilisateur que lorsque celui-ci est connecté activement à
un bureau ou à RemoteApp. Les disques de profil utilisateur peuvent être déplacés
seulement au sein d’une collection, car l’intégralité du répertoire C:\Users\<username\>
de l’utilisateur (y compris AppData\Local) est stocké sur l’UPD.
Vous pouvez utiliser des applets de commande PowerShell pour désigner le chemin du
partage centralisé, la taille de chaque UPD et les dossiers qui doivent être inclus ou
exclus du profil utilisateur enregistré sur l’UPD. Vous pouvez également activer les
disques de profil utilisateur via le Gestionnaire de serveur, en accédant à Services
Bureau à distance>Collections>Collection de bureaux>Propriétés de la collection de
bureaux>Disques de profil utilisateur. Notez que vous activez ou désactivez les UPD
pour tous les utilisateurs d’une collection entière, pas seulement pour des utilisateurs
spécifiques dans cette collection. Les UPD doivent être stockés sur un partage de fichiers
centralisé, pour lequel les serveurs de la collection disposent d’autorisations de contrôle
total.
Vous pouvez obtenir une haute disponibilité pour vos UDP en les stockant dans Azure
par le biais des espaces de stockage direct.
Services Bureau à distance -
Accélération GPU
Article • 01/06/2023
Les services Bureau à distance fonctionnent avec l’accélération graphique native et les
technologies de virtualisation graphique prises en charge par Windows Server. Pour plus
d’informations sur ces technologies, leurs différences et leur déploiement, consultez
Planifier l’accélération GPU dans Windows Server.
Quand vous planifiez l’accélération graphique dans votre environnement des services
Bureau à distance, le choix de la mise à l’échelle des utilisateurs et des charges de travail
utilisateur détermine la technologie de rendu graphique que vous utilisez :
Services Bureau à distance - Se
connecter à partir d’un appareil
Article • 03/03/2023
Accédez aux ressources de l’entreprise à partir d’un ordinateur, d’une tablette ou d’un
téléphone Windows, Apple ou Android. Permettez aux utilisateurs de voir facilement
leurs bureaux et applications disponibles à partir de n’importe quel appareil via le flux
web Bureau à distance.
Choisissez votre licence en fonction des besoins logiques de votre entreprise. Cette
licence par utilisateur pour permettre aux utilisateurs de se connecter à distance sur
n'importe lequel de leurs appareils dans un scénario BYOD. Licence par périphérique si
les utilisateurs partagent les mêmes périphériques. Si vous êtes un fournisseur de
services (HSP ou MSP) ou l’éditeur de logiciels indépendant, choisissez les licences par
utilisateur SAL pour un modèle flexible, paiement à l’utilisation.
Si vous avez besoin de plus d’informations, veuillez consulter l’article Gérer les licences
de votre déploiement Services Bureau à distance avec des licences d’accès client (CAL).
Office 2016 dans les déploiements RDSH
et VDI
Article • 07/04/2023
Utilisez les informations suivantes pour planifier la meilleure façon d’intégrer Office 2016
à vos déploiements Bureau à distance (RDSH) et VDI.
Outlook 2016
Dans les déploiements VDI et RDSH mis en pool, l’utilisation de la recherche dans
Outlook présente des limitations. L’indexation de recherche dépend de l’ID de machine,
qui est différent pour les différentes machines virtuelles. Il est possible qu’à chaque fois
qu’un utilisateur se connecte à une infrastructure VDI mise en pool, il soit dirigé vers une
nouvelle machine virtuelle. Cela signifie que, si nous activons la recherche locale,
l’indexeur s’exécute chaque fois que l’ID de l’ordinateur change (lorsque l’utilisateur se
trouve sur une autre machine virtuelle). En fonction de la taille de . Fichier OST,
l’indexeur peut prendre beaucoup de temps et utiliser les ressources nécessaires pour
d’autres applications. La recherche n’est pas seulement lente, mais peut ne pas produire
de résultats. L’utilisation d’un profil de compte en mode en ligne permettrait de
contourner ce problème, mais les performances globales souffriraient en raison de
l’absence d’un cache local.
En savoir plus sur la différence entre le mode mis en cache et le mode en ligne
Outlook 2016 dispose d’une solution pour y remédier en mode mis en cache en
fournissant une nouvelle expérience de recherche de service pour les boîtes aux lettres
hébergées sur Exchange 2016 (ou hébergées dans Office 365). Cela utilise les résultats
de la recherche de service par rapport au cache local (OST). Outlook peut revenir à
l’utilisation de l’indexeur de recherche local dans certains scénarios, mais la plupart des
recherches utilisent cette nouvelle fonctionnalité de recherche de service. La
recommandation pour les déploiements VDI et RDSH mis en pool serait d’utiliser
Outlook 2016 en mode cache avec connectivité réseau pour autoriser la recherche de
service.
Découvrez comment configurer le mode d’échange mis en cache dans Outlook 2016
OneDrive
L’application de bureau à distance OneDrive n’est pas prise en charge pour les sessions
clientes hébergées sur les services Terminal Services Windows 2008 ou les services
Bureau à distance (RDS) Windows 2012 dans des environnements non persistants. Les
environnements VDI (Persistent Virtual Desktop Infrastructure) sont pris en charge. Pour
plus d’informations, consultez Utiliser l’application de synchronisation sur des bureaux
virtuels.
Skype Entreprise
Skype Entreprise n’est pas pris en charge pour les déploiements RDSH. Pour les
déploiements VDI, consultez la documentation sur la planification des Skype Entreprise
dans les environnements VDI.
Gestion de la recherche Outlook dans
des environnements bureau à distance
non persistants
Article • 07/04/2023
Un problème courant auquel les clients sont confrontés avec leurs environnements de
services Bureau à distance non persistants (mis en pool) est la gestion des données
Outlook des utilisateurs. Quand Outlook s’exécute en mode Exchange mis en cache, le .
Ost stockant les données Outlook d’un utilisateur doit suivre l’utilisateur lors de son
itinérance de l’hôte à l’hôte. Le service Recherche Windows indexe le . OST et crée un
catalogue d’index pour activer la fonctionnalité de recherche dans Outlook. Dans les
environnements RDS non persistants, le catalogue d’index n’est pas itinérant avec les
données utilisateur et doit être reconstruit chaque fois que l’utilisateur se connecte à un
nouveau PC, ce qui peut être à chaque connexion. Jusqu’à ce que le service Recherche
Windows ait fini d’indexer le . OST, les utilisateurs bénéficient d’une fonctionnalité de
recherche limitée ou incomplète.
Selon un rapport publié de RDS Gurus , FSLogix (un fournisseur de solutions tiers)
propose une solution qui vise à résoudre ce problème : le conteneur Office 365 de
FSLogix itinérant les données Outlook d’un utilisateur ainsi que son catalogue d’index
de recherche, ce qui donne aux utilisateurs l’accès à leurs e-mails et permet aux
utilisateurs de rechercher dans Outlook, même lorsqu’ils errent entre les sessions sur
différents hôtes au sein d’une collection.
Les gourous RDS ont effectué des tests sur le conteneur Office 365 de FSLogix, en le
comparant à la solution d’itinérance de disque de profil utilisateur native de RDS. Les
scénarios de test couvrent à la fois les environnements RDS locaux et Azure pour les
sessions non persistantes sur un hôte de session Bureau à distance (RDSH). Les tests
incluaient également des machines virtuelles mises en pool sur l’hôte de virtualisation
des services Bureau à distance (RDVH), uniquement pour les machines locales (RDVH
n’est pas disponible dans Azure). Les gourous rds se sont principalement concentrés sur
l’expérience utilisateur lorsqu’il y a des « voisins bruyants » ou d’autres utilisateurs
connectés au même hôte de session exécutant des charges de travail similaires sur le
système.
Les compteurs de performances collectés dans ces tests ont révélé une utilisation
similaire des ressources (processeur, RAM, activité réseau) avec UPD et FSLogix. Cela est
dû au fait que le service Recherche Windows limite son utilisation du processeur lors de
l’indexation. En ce qui concerne l’expérience utilisateur, les gourous rds ont constaté que
le conteneur Office 365 de FSLogix dépasse UPD dans la fonctionnalité de recherche
Outlook. Dans le cas de l’UPD, la recherche ne retourne pas de résultats ou renvoie des
résultats incomplets, car le service Recherche Windows indexe le . OST. Étant donné que
FSLogix itinérant le catalogue d’index, les utilisateurs voient immédiatement les résultats
de la recherche. Les gourous rds ont observé une amélioration significative de
l’expérience utilisateur lors de la recherche dans Outlook dans des environnements RDS
non persistants à l’aide de FSLogix.
Pour en savoir plus sur les résultats et les conclusions, consultez le blog RDS Gurus .
Utiliser l’application de synchronisation
sur des bureaux virtuels
Article • 24/05/2023
7 Notes
Voir aussi
En savoir plus sur VHDX et VHD.
Pour plus d’informations sur la création de disques durs virtuels, consultez Gérer les
disques durs virtuels.
Architecture de référence pour
l’hébergement de postes de travail
Article • 29/09/2022
Cet article définit un ensemble de blocs architecturaux qui permettent d’utiliser Services
Bureau à distance et des machines virtuelles Microsoft Azure pour créer des services
d’applications et de bureaux Windows hébergés multilocataires, appelés « hébergement
de bureaux ». Vous pouvez utiliser cette référence d’architecture pour créer des
solutions d’hébergement de bureaux extrêmement sûres, évolutives et fiables pour les
petites et moyennes organisations comptant entre 5 et 5 000 utilisateurs.
Pour fournir une solution d’hébergement de bureaux, les clients Software Assurance et
partenaires d’hébergement tirent parti de Windows Server pour proposer aux
utilisateurs Windows une expérience utilisateur d’application familière aux utilisateurs
professionnels et consommateurs. Basé sur les fondations de Windows 10, Windows
Server 2016 offre une expérience utilisateur et une prise en charge d’application
familière.
Il existe plusieurs façons de créer une solution d’hébergement de bureaux basée sur
cette architecture. Cette architecture présente l’intégration et les améliorations dans
Azure avec Windows Server 2016. D’autres options de déploiement sont disponibles
avec le Desktop Hosting Reference Architecture Guide (Guide d’architecture de
référence pour l’hébergement de bureaux) pour Windows Server 2012 R2.
7 Notes
Déploiement de base
Déploiement à haute disponibilité
Architectures de Services Bureau à distance
avec des rôles Azure PaaS uniques
Bien que les architectures de déploiement Services Bureau à distance standard
s’adaptent à la plupart des scénarios, Azure continue à investir dans des solutions PaaS
internes qui génèrent de la valeur pour le client. Vous trouverez ci-dessous certaines
architectures présentant leur intégration aux Services Bureau à distance.
Cet article vous en dit plus sur les composants du service d’hébergement de bureaux.
Environnement de locataire
Comme décrit dans l’article dédié aux rôles Services Bureau à distance, chaque rôle
occupe une place distincte dans l’environnement de locataire.
1. Créer une base de données SQL Azure dans l’environnement du locataire. Cela
vous offre la fonctionnalité d’une base de données SQL redondante sans avoir à
gérer les serveurs. Cela vous permet également de payer pour ce que vous
consommez plutôt que d’investir dans l’infrastructure.
2. Créer un cluster SQL Server AlwaysOn. Cela vous permet d’exploiter l’infrastructure
SQL Server existante et de contrôler en intégralité les instances de SQL Server.
La machine virtuelle utilisée pour déployer le serveur de fichiers doit avoir un disque de
données Azure attaché et configuré avec des dossiers partagés. Les disques de données
Azure utilisent la mise en cache via l’écriture, qui garantit que les écritures sur le disque
ne seront pas effacées au redémarrage de la machine virtuelle.
Les petits locataires peuvent réduire les coûts en combinant le serveur de fichiers et le
rôle Gestionnaire de licences des services Bureau à distance sur une seule machine
virtuelle dans l’environnement du locataire.
Storage (Stockage)
Attacher un disque de données managé à une machine virtuelle Windows à l’aide
du portail Azure
Cet article décrit les rôles au sein d’un environnement Services Bureau à distance.
Vous pouvez organiser les bureaux et applications dans un ou plusieurs hôtes de session
Bureau à distance, appelés « collections ». Vous pouvez personnaliser ces collections
pour des groupes spécifiques d’utilisateurs au sein de chaque locataire. Par exemple,
vous pouvez créer une collection dans laquelle un groupe d’utilisateurs spécifique peut
accéder à certaines applications, tandis que toutes les personnes en dehors du groupe
que vous aurez désignées n’y auront pas accès.
Pour les petits déploiements, vous pouvez installer des applications directement sur les
serveurs d’hôte de session Bureau à distance. Pour les déploiements plus importants,
nous vous recommandons de créer une image de base et d’approvisionner les machines
virtuelles à partir de cette image.
Vous pouvez développer des collections en ajoutant des machines virtuelles de serveur
d’hôte de session Bureau à distance à une batterie de serveurs de collection avec
chaque machine virtuelle d’hôte de session Bureau à distance dans une collection
affectée au même groupe de disponibilité. Cela permet de bénéficier d’une plus grande
disponibilité pour la collection et d’augmenter l’échelle pour prendre en charge plus
d’utilisateurs ou d’applications gourmandes en ressources.
Dans la plupart des cas, plusieurs utilisateurs partagent le même serveur d’hôte de
session Bureau à distance, qui utilise plus efficacement les ressources Azure pour une
solution d’hébergement de bureaux. Dans cette configuration, les utilisateurs doivent se
connecter à des collections avec des comptes non administratifs. Vous pouvez
également donner à certains utilisateurs un accès administratif complet à leur bureau à
distance en créant des collections de bureaux de session personnels.
Vous pouvez pousser plus loin la personnalisation des bureaux en créant et chargeant
un disque dur virtuel avec le système d’exploitation Windows Server que vous pouvez
utiliser comme modèle pour la création de machines virtuelles d’hôte de session Bureau
à distance.
Remote Desktop Services - Secure data storage with UPDs (Services Bureau à
distance - Sécuriser les données de stockage avec UPD)
Charger un disque dur virtuel généralisé et l’utiliser pour créer des machines
virtuelles dans Azure
Update RDSH collection (modèle ARM)
Vous devez installer la mise en correspondance des certificats numériques sur le service
Broker de connexion Bureau à distance et le client pour prendre en charge
l’authentification unique et la publication d’applications. Lors du développement ou du
test d’un réseau, vous pouvez utiliser un certificat auto-signé et auto-généré. Toutefois,
les services publiés nécessitent un certificat numérique d’une autorité de certification
approuvée. Le nom que vous donnez au certificat doit être le même que le nom de
domaine complet interne et la machine virtuelle du service Broker de connexion Bureau
à distance.
Vous pouvez installer le service Broker de connexion Bureau à distance Windows Server
2016 sur la même machine virtuelle qu’AD DS pour réduire les coûts. Si vous avez
besoin de monter en charge pour plus d’utilisateurs, vous pouvez également ajouter des
machines virtuelles du service Broker de connexion Bureau à distance au même groupe
de disponibilité, afin de créer un cluster de service Broker Connexion Bureau à distance.
Add the RD Connection Broker server to the deployment and configure high
availability (Ajouter le serveur du service Broker de connexion Bureau à distance au
déploiement et configurer la haute disponibilité)
Base de données SQL dans le service d’hébergement de bureaux.
Le composant de passerelle Bureau à distance utilise Secure Sockets Layer (SSL) pour
chiffrer le canal de communication entre les clients et le serveur. La machine virtuelle de
passerelle Bureau à distance doit être accessible via une adresse IP publique qui autorise
les connexions TCP entrantes vers le port 443 et les connexions UDP entrantes vers le
port 3 391. Cela permet aux utilisateurs de se connecter via Internet en utilisant le
protocole de transport de communication HTTPS et le protocole UDP, respectivement.
Les certificats numériques installés sur le serveur et client doivent correspondre pour
que cela fonctionne. Lors du développement ou du test d’un réseau, vous pouvez
utiliser un certificat auto-signé et auto-généré. Toutefois, un service publié nécessite un
certificat d’une autorité de certification approuvée. Le nom du certificat doit
correspondre au nom de domaine complet utilisé pour accéder à la passerelle Bureau à
distance, que le nom de domaine complet soit le nom DNS externe de l’adresse IP
publique ou l’enregistrement DNS CNAME qui pointe vers l’adresse IP publique.
Pour les locataires avec moins d’utilisateurs, les rôles de passerelle Bureau à distance et
d’accès web Bureau à distance peuvent être associés sur une seule machine virtuelle
pour réduire les coûts. Vous pouvez également ajouter plus de machines virtuelles de
passerelle Bureau à distance à une batterie de serveurs de passerelle Bureau à distance
pour accroître la disponibilité du service et effectuer la montée en charge pour plus
d’utilisateurs. Les machines virtuelles dans des batteries de serveurs de passerelle
Bureau à distance doivent être configurées dans un ensemble dont la charge est
équilibrée. L’affinité d’adresses IP n’est pas nécessaire lorsque vous utilisez la passerelle
Bureau à distance sur une machine virtuelle Windows Server 2016, mais elle l’est lorsque
vous l’exécutez sur une machine virtuelle Windows Server 2012 R2.
Add high availability to the RD Web and Gateway web front (Ajouter la haute
disponibilité au serveur frontal d’accès web et de passerelle Bureau à distance)
Services Bureau à distance - Accès en tout lieu
Remote Desktop Services - Multi-Factor Authentication (Services Bureau à distance
- Authentification multifacteur)
Configurer le rôle Passerelle des services Bureau à distance
L’accès web Bureau à distance a besoin d’Internet Information Services (IIS) pour
fonctionner correctement. Une connexion Hypertext Transfer Protocol Secure (HTTPS)
fournit un canal de communication chiffré entre les clients et le serveur web Bureau à
distance. La machine virtuelle d’accès web Bureau à distance doit être accessible via une
adresse IP publique qui autorise les connexions TCP entrantes vers le port 443 pour
permettre aux utilisateurs du locataire de se connecter à partir d’Internet à l’aide du
protocole de transport de communication HTTPS.
Les certificats numériques correspondants doivent être installés sur le serveur et les
clients. Pour le développement et le test, un certificat auto-signé et auto-généré peut
être utilisé. Pour un service publié, le certificat numérique doit être obtenu auprès d’une
autorité de certification approuvée. Le nom du certificat doit correspondre au nom de
domaine complet utilisé pour l’accès web Bureau à distance. Les noms de domaine
complets incluent le nom DNS externe pour l’adresse IP publique et l’enregistrement
DNS CNAME pointant vers l’adresse IP publique.
Pour les locataires avec moins d’utilisateurs, vous pouvez réduire les coûts en combinant
les charges de travail de passerelle Bureau à distance et d’accès web Bureau à distance
dans une seule machine virtuelle. Vous pouvez également ajouter des machines
virtuelles d’accès web Bureau à distance à une batterie de serveurs d’accès web Bureau à
distance pour accroître la disponibilité du service et effectuer la montée en charge pour
plus d’utilisateurs. Dans une batterie de serveurs d’accès web Bureau à distance avec
plusieurs machines virtuelles, vous devrez configurer les machines virtuelles dans un
ensemble dont la charge est équilibrée.
Pour plus d’informations sur la façon de configurer l’accès web Bureau à distance,
consultez les articles suivants :
Les petits locataires peuvent réduire les coûts en combinant le serveur de fichiers et les
composants du Gestionnaire de licences des services Bureau à distance sur une seule
machine virtuelle. Pour assurer une meilleure disponibilité de service, les locataires
peuvent déployer deux machines virtuelles de serveur de licences Bureau à distance
dans le même groupe de disponibilité. Tous les serveurs Bureau à distance dans
l’environnement du locataire sont associés à des serveurs de licence Bureau à distance
pour que les utilisateurs puissent continuer à se connecter à de nouvelles sessions
même si l’un des serveurs tombe en panne.
Portail Azure
Une fois que le fournisseur crée un abonnement Azure, le portail Azure peut servir à
créer manuellement l’environnement de chaque client. Ce processus peut également
être automatisé avec des scripts PowerShell.
Tous les mots de passe d’administration doivent être forts, idéalement générés de
façon aléatoire, fréquemment modifiés et enregistrés dans un emplacement
central sécurisé et accessible uniquement à quelques administrateurs du
fournisseur.
Lors de la réplication de l’environnement du locataire pour de nouveaux locataires,
évitez d’utiliser des mots de passe d’administration identiques ou faibles.
L’URL du site RD Web Access, le nom et les certificats doivent être uniques et
reconnaissables pour chaque client afin d’empêcher les attaques d’usurpation
d’identité.
Pendant le fonctionnement normal du service d’hébergement de postes de travail,
toutes les adresses IP publiques doivent être supprimées pour toutes les machines
virtuelles à l’exception de la machine virtuelle RD Web et RD Gateway qui permet
aux utilisateurs de se connecter en toute sécurité à un service cloud
d’hébergement de postes de travail du locataire. Des adresses IP publiques
peuvent être temporairement ajoutées si nécessaire pour les tâches de gestion,
mais elles doivent toujours être supprimées ensuite.
Sécurité et protection
Meilleures pratiques de sécurité pour IIS 8
Sécuriser Windows Server 2012 R2
Considérations de conception
Il est important de prendre en compte les contraintes des services d’infrastructure
Microsoft Azure lors de la conception d’un service d’hébergement de postes de travail
mutualisé. La liste suivante décrit les considérations que le fournisseur doit avoir à
l’esprit pour obtenir une solution d’hébergement de postes de travail fonctionnelle et
économique, basée sur cette architecture de référence.
Les clients Bureau à distance permettent un accès à partir de n'importe quel ordinateur,
tablette ou téléphone Windows, Apple ou Android.
Consultez Architecture des services Bureau à distance pour en savoir plus sur les
différents éléments qui composent votre déploiement de services Bureau à distance.
Vous disposez déjà d'un déploiement Bureau à distance basé sur une version antérieure
de Windows Server ? Découvrez les options disponibles pour migrer vers Windows
Server 2016 afin de tirer parti de nouvelles fonctionnalités et d'améliorations en matière
de performances et de mise à l'échelle :
Si vous êtes un partenaire d'hébergement et que vous souhaitez utiliser les services
Bureau à distance pour fournir des applications et ressources à des clients, ou si vous
êtes un client à la recherche d'un hébergeur pour vos applications, consultez Partenaires
d'hébergement des services Bureau à distance pour plus d'informations sur l'évaluation
à laquelle vous pouvez vous soumettre afin d'utiliser les services Bureau à distance
d'Azure en tant qu'environnement d'hébergement, et pour obtenir la liste des
partenaires qui ont réussi cette évaluation.
Déployer en toute transparence des
services Bureau à distance avec Azure
Resource Manager (ARM) et la Place de
marché Azure
Article • 03/03/2023
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016,
Windows Server 2012 R2
La plateforme des Services Bureau à distance (RDS) est idéale pour héberger à moindre
coût des applications et des ordinateurs de bureau Windows. Vous pouvez utiliser une
offre de la Place de marché Azure ou un modèle de démarrage rapide pour créer
rapidement un service Bureau à distance sur un déploiement Azure IaaS. La Place de
marché Azure crée un domaine de test, simplifiant ainsi le mécanisme de test et
d’établissement de la preuve de concept. Les modèles de démarrage rapide, quant à
eux, peuvent utiliser un domaine existant, ce qui en fait un excellent outil pour créer un
environnement de production. Une fois la configuration terminée, vous pouvez vous
connecter aux postes de travail et applications publiés depuis différentes plates-formes
et périphériques, en utilisant les applications Bureau à distance Microsoft pour
Windows, Mac, iOS et Android.
Lorsque vous déployez l’offre de la Place de marché, vous devez fournir les informations
suivantes :
Nom et mot de passe d’administrateur par défaut. Il s’agit d’un nouvel utilisateur
qui gèrera le déploiement.
Nom DNS et nom de domaine AD. Il s’agit de nouvelles ressources. Assurez-vous
que leurs noms sont significatifs.
Taille de la machine virtuelle. Vous pouvez choisir la taille des machines virtuelles à
utiliser pour les points de terminaison RDSH. Vous pouvez également modifier
manuellement les tailles après le déploiement initial pour vous aider à optimiser le
nombre de machines virtuelles pour vos charges de travail et de coût.
Suivez ces étapes pour créer votre déploiement de Services Bureau à distance à faible
empreinte, à partir de la place de marché Azure :
Cette étape est uniquement nécessaire pendant la phase de test. Lorsque vous
déployez des services Bureau à distance dans Azure en production, veillez à
suivre les meilleures pratiques, comme l’achat et l’utilisation d’un certificat SSL
publiquement approuvé sur vos serveurs web.
c. Lorsque le script est terminé, la page web du Bureau à distance a démarré dans
votre navigateur par défaut. Vous pouvez vérifier à deux reprises La page web
Bureau à distance... en comparant son URL à l’adresse DNS que vous avez fourni
durant le déploiement.
Conseil
Maintenant que vous avez un déploiement du services Bureau à distance, vous pouvez
Ajouter et gérer les utilisateurs.
Procédez comme suit pour créer votre déploiement des Services Bureau à distance à
faible empreinte :
Cette étape est uniquement nécessaire pendant la phase de test. Lorsque vous
déployez des services Bureau à distance dans Azure en production, veillez à
suivre les meilleures pratiques, comme l’achat et l’utilisation d’un certificat SSL
publiquement approuvé sur vos serveurs web.
c. Lorsque le script est terminé, la page web du Bureau à distance a démarré dans
votre navigateur par défaut. Vous pouvez vérifier à deux reprises La page web
Bureau à distance... en comparant son URL à l’adresse DNS que vous avez fourni
durant le déploiement.
Conseil
Maintenant que vous avez un déploiement du services Bureau à distance, vous pouvez
Ajouter et gérer les utilisateurs.
Migrer les déploiements des services
Bureau à distance vers Windows Server
2016
Article • 03/03/2023
Si vous utilisez actuellement des services Bureau à distance dans Windows Server 2012
R2, vous pouvez passer à Windows Server 2016 pour tirer parti des nouvelles
fonctionnalités comme la prise en charge de SQL Azure et des espaces de stockage
Direct.
La migration pour un déploiement des services Bureau à distance est prise en charge à
partir de serveurs source exécutant Windows Server 2016 vers des serveurs de
destination exécutant Windows Server 2016. En d’autres termes, il n’existe aucune
migration directe à partir des services Bureau à distance exécutés sur Windows Server
2012 R2 vers Windows Server 2016. Pour la plupart des composants des services Bureau
à distance, vous devez d’abord effectuer une mise à niveau vers Windows Server 2016 et
migrer les données et les licences. Les seuls composants pour lesquels une migration
directe est possible sont l'accès par le web aux services Bureau à distance, la passerelle
des services Bureau à distance et le serveur de licences.
Pour plus d’informations sur la mise à niveau et la configuration requise, consultez Mise
à niveau de vos déploiements de services Bureau à distance vers Windows Server 2016.
Utilisez les étapes suivantes pour migrer votre déploiement des services Bureau à
distance :
Migrer des serveurs du service Broker pour les connexions Bureau à distance
) Important
Les serveurs sources Service Broker pour les connexions Bureau à distance doivent
être configurés pour la haute disponibilité afin de prendre en charge la migration.
Pour plus d’informations, consultez Déployer un cluster du service Broker pour les
connexions Bureau à distance.
1. Si plusieurs serveurs Service Broker pour les connexions Bureau à distance sont
présents dans la configuration de haute disponibilité, supprimez tous ces serveurs
à l’exception du serveur actif.
2. Mettez à niveau le serveur Service Broker pour les connexions Bureau à distance
restant vers Windows Server 2016.
3. Ajoutez des serveurs Broker de connexion Bureau à distance sous Windows Server
2016 dans le déploiement de haute disponibilité.
7 Notes
3. Déconnectez-vous de toutes les sessions sur les serveurs Hôte de session Bureau à
distance et supprimez les serveurs qui vont être migrés de la collection de
sessions.
7 Notes
) Important
Migrez les collections de bureaux virtuels uniquement après avoir effectué l’étape
précédente, Migrer des serveurs Service Broker pour les connexions Bureau à
distance.
1. Mettez à jour la collection de bureaux virtuels à partir du serveur exécutant
Windows Server 2012 R2 vers Windows Server 2016.
2. Ajoutez les nouveaux serveurs Hôte de virtualisation des services Bureau à distance
Windows Server 2016 à la collection de bureaux virtuels.
3. Migrez tous les ordinateurs virtuels dans la collection de bureaux virtuels actuelle
qui s’exécutent sur les serveurs Hôte de virtualisation des services Bureau à
distance sur les nouveaux serveurs.
4. Supprimez tous les serveurs Hôte de virtualisation des services Bureau à distance
qui doivent être migrés de la collection de bureaux virtuels sur le serveur source.
7 Notes
Utilisez l’outil IIS Web Deploy pour migrer les paramètres de site web RD à partir
des serveurs d’accès RD Web actuels vers les serveurs de destination exécutant
Windows Server 2016.
Migrez des certificats vers les serveurs de destination exécutant Windows Server
2016.
Utilisez l’outil IIS Web Deploy pour migrer les paramètres de point de
terminaison RD Gateway à partir des serveurs d’accès RD Gateway actuels vers les
serveurs de destination exécutant Windows Server 2016.
Migrez des certificats vers les serveurs de destination exécutant Windows Server
2016.
Après avoir migré les certificats appropriés, mettez à jour les certificats requis suivants
pour le déploiement des services Bureau à distance dans le gestionnaire de serveur ou
PowerShell :
Service Broker pour les connexions Bureau à distance - publication du fichier RDP
Vous avez trois options pour migrer vos licences d’accès client aux services Bureau à
distance :
Dans cet article, la méthode intitulée Établir la méthode de migration des licences
d’accès client aux services Bureau à distance met en évidence les étapes générales
communes de toutes les méthodes de migration des licences d’accès client aux services
Bureau à distance, tandis que Migrer les licences d’accès client aux services Bureau à
distance met en évidence les étapes spécifiques à chaque méthode de migration.
Quelle que soit la méthode de migration, vous devez au minimum être membre du
groupe Administrateurs local pour effectuer les étapes de migration.
6. La page suivante de l’Assistant dépend du motif de migration que vous avez choisi.
Si vous avez choisi Le serveur de licences source est remplacé par ce serveur
de licences en tant que motif pour migrer les licences, la page Informations
sur le serveur de licences source s’affiche.
L’étape suivante consiste à migrer les licences d’accès client. Utilisez les informations ci-
dessous pour terminer l’Assistant. Notez que ce que vous voyez dans l’Assistant dépend
de la méthode de connexion que vous avez identifiée à l’étape 2 ci-dessus.
2. Sur la page web du gestionnaire de licences des Services Bureau à distance, sous
Sélectionner l’option, sélectionnez Gérer les licences d’accès client, puis cliquez
sur Suivant.
Nom de famille
Prénom
Nom de la société
Pays/région
5. Les informations que vous devez fournir dans cette page dépendent du
programme de licence que vous avez sélectionné dans la page précédente. Vous
devez généralement indiquer un code de licence ou un numéro de contrat de
licence. Consultez la documentation qui vous a été fournie lors de l’achat de vos
licences d’accès client aux services Bureau à distance. En outre, vous devez
spécifier le type de licences d’accès client aux services Bureau à distance et la
quantité que vous souhaitez migrer vers le serveur de licences.
7. Vérifiez que toutes les informations que vous avez entrées sont correctes, puis
cliquez sur Suivant pour envoyer votre demande à Microsoft Clearinghouse. La
page web affiche ensuite un ID de jeu de clés de licence généré par Microsoft
Clearinghouse.
) Important
8. Dans la même page Obtenir des clés de licences client, entrez l’ID de jeu de clés
de licence, puis cliquez sur Suivant pour migrer les licences d’accès client Bureau à
distance vers votre serveur de licences.
9. Cliquez sur Terminer pour terminer le processus de migration des licences d’accès
client Bureau à distance.
Avec un téléphone
1. Sur la page Obtenir des clés de licences client, utilisez le numéro de téléphone
affiché pour appeler Microsoft Clearinghouse. Communiquez au représentant l’ID
de votre serveur de licences Bureau à distance et les informations requises pour le
programme de licence par le biais duquel vous avez acheté vos licences d’accès
client aux services Bureau à distance. Le représentant traite ensuite votre demande
de migration de licences d’accès client aux services Bureau à distance et vous
fournit un identificateur (ID) unique correspondant à ces licences. Cet identificateur
unique constitue l’ID du jeu de clés de licence.
) Important
Conservez une copie de l’ID du jeu de clés de licence. Conservez cet ID, car
vous devrez le communiquer au Microsoft Clearinghouse dans le cas où vous
auriez besoin d’une assistance pour récupérer les licences d’accès client aux
services Bureau à distance.
2. Dans la même page Obtenir des clés de licences client, entrez l’ID de jeu de clés
de licence, puis cliquez sur Suivant pour migrer les licences d’accès client Bureau à
distance vers votre serveur de licences.
3. Cliquez sur Terminer pour terminer le processus de migration des licences d’accès
client Bureau à distance.
Mise à niveau des déploiements de
services Bureau à distance
Article • 27/03/2023
Dans cet article, découvrez les versions des services Bureau à distance (RDS) qui peuvent
être mises à niveau et l’ordre suggéré pour mettre à niveau vos services de rôle Bureau
à distance.
1. Les serveurs du service Broker pour les connexions Bureau à distance doivent
être les premiers à être mis à niveau. Si vous avez une configuration active/active,
supprimez tous les serveurs du déploiement sauf un, et effectuez une mise à
niveau sur place. Effectuez les mises à niveau sur les autres serveurs du service
Broker pour les connexions Bureau à distance en mode hors connexion, puis
rajoutez-les au déploiement. Le déploiement n’est pas disponible pendant la mise
à niveau des serveurs du service Broker pour les connexions Bureau à distance.
7 Notes
2. Les serveurs de licences des services Bureau à distance doivent être mis à niveau
avant que vous ne procédiez à la mise à niveau de vos serveurs Hôte de session
Bureau à distance.
7 Notes
3. Les serveurs Hôte de session Bureau à distance peuvent ensuite être mis à niveau.
Évitez les temps d’arrêt pendant la mise à niveau en répartissant les serveurs à
mettre à niveau sur deux étapes, comme décrit. L’ensemble sera opérationnel une
fois la mise à niveau effectuée. Pour la mise à niveau, utilisez les étapes décrites
dans Mise à niveau des serveurs Hôtes de session Bureau à distance.
5. Les serveurs d’accès Bureau à distance par le web peuvent être mis à niveau à
tout moment.
7 Notes
7 Notes
Problèmes connus
Problème : si le déploiement Bureau à distance a le rôle Accès web Bureau à distance
(RDWA) déjà installé et qu’il a été mis à niveau à partir d’une installation précédente de
Windows, une nouvelle mise à niveau peut échouer. Par exemple, si le déploiement
contenant RDWA a été mis à niveau de Windows Server 2012 R2 vers Windows
Server 2019, une autre mise à niveau vers Windows Server 2022 peut avoir une
défaillance.
Si elle n’est pas présente, ouvrez une invite PowerShell avec élévation de privilèges, puis
exécutez les commandes suivantes :
PowerShell
) Important
Toutes les applications doivent être désinstallées avant la mise à niveau, puis
réinstallées après celle-ci pour éviter les problèmes de compatibilité d’application
pouvant survenir en raison de la mise à niveau.
1. Identifiez les serveurs à mettre à niveau, c’est-à-dire la moitié des serveurs dans la
collection.
2. Empêchez les nouvelles connexions à ces serveurs en définissant Autoriser les
nouvelles connexions sur « false ».
3. Fermez toutes les sessions sur ces serveurs.
4. Supprimez ces serveurs de la collection.
5. Mettez à niveau les serveurs vers Windows Server 2016.
6. Sur les serveurs restants dans la collection, définissez Autoriser les nouvelles
connexions sur « false ».
7. Ajoutez de nouveau les serveurs mis à niveau dans leurs collections
correspondantes.
8. Supprimez le jeu restant de serveurs à mettre à niveau à partir de la collection.
9. Sur les serveurs mis à niveau dans la collection, définissez Autoriser les nouvelles
connexions sur « true ».
10. À présent, mettez à niveau les serveurs restants dans le déploiement, en suivant les
étapes de 3 à 9 ci-dessus.
a. Ouvrez le Gestionnaire Hyper-V.
) Important
7 Notes
Les serveurs Hyper-V hétérogènes dans un cluster ne sont pas pris en charge.
Déployer un environnement des
services Bureau à distance
Article • 03/03/2023
Effectuez les étapes suivantes pour déployer les serveurs Bureau à distance dans votre
environnement. Vous pouvez installer les rôles serveur sur des ordinateurs physiques ou
des machines virtuelles, selon que vous créez un environnement local, hybride ou basé
sur le cloud.
Si vous utilisez des machines virtuelles pour certains des serveurs des Services Bureau à
distance, assurez-vous d’avoir préparé ces machines virtuelles.
1. Ajoutez tous les serveurs que vous utiliserez pour les Services Bureau à distance au
Gestionnaire de serveur :
a. Dans le Gestionnaire de serveur, cliquez sur Gérer>Ajouter des serveurs.
b. Cliquez sur Rechercher.
c. Cliquez sur chaque serveur du déploiement (par exemple, Contoso-Cb1,
Contoso-WebGw1 et Contoso-Sh1) et cliquez sur OK.
2. Créez un déploiement basé sur une session pour déployer les composants des
Services Bureau à distance :
a. Dans le Gestionnaire de serveur, cliquez sur Gérer>Ajouter des rôles et
fonctionnalités.
b. Cliquez sur Installation des services Bureau à distance, Déploiement standard,
puis Déploiement de bureaux basés sur une session.
c. Sélectionnez les serveurs appropriés pour le serveur du service Broker pour les
connexions Bureau à distance, le serveur d’accès Bureau à distance par le Web
et le serveur Hôte de session Bureau à distance (par exemple, Contoso-Cb1,
Contoso-WebGw1 et Contoso-SH1, respectivement).
d. Sélectionnez Redémarrer automatiquement le serveur de destination si
nécessaire, puis cliquez sur Déployer.
e. Attendez que le déploiement se termine avec succès.
7 Notes
a. Dans le Gestionnaire de serveur, cliquez sur Services Bureau à distance > Vue
d’ensemble > Tâches > Modifier les propriétés de déploiement.
b. Développez Certificats, puis faites défiler jusqu’à la table. Cliquez sur Passerelle
des services Bureau à distance > Créer un certificat.
c. Entrez le nom du certificat, en utilisant le nom FQDN externe du serveur de
passerelle Bureau à distance (par exemple contoso.westus.cloudapp.azure.com),
puis entrez le mot de passe.
d. Sélectionnez Stocker ce certificat puis accédez au dossier partagé que vous
avez créé pour les certificats à l’étape précédente. (Par exemple \Contoso-
Cb1\Certificates.)
e. Entrez un nom de fichier pour le certificat (par exemple ContosoRdGwCert), puis
cliquez sur Enregistrer.
f. Sélectionnez Autoriser l’ajout du certificat au magasin de certificats Autorités
de certification racines de confiance sur les ordinateurs de destination, puis
cliquez sur OK.
g. Cliquez sur Appliquer, puis attendez que le certificat soit appliqué avec succès
sur le serveur de passerelle Bureau à distance.
h. Cliquez sur Accès Bureau à distance par le Web > Sélectionner un certificat
existant.
i. Accédez au certificat créé pour le serveur de passerelle Bureau à distance (par
exemple ContosoRdGwCert), puis cliquez sur Ouvrir.
j. Entrez le mot de passe du certificat, sélectionnez Autoriser l’ajout du certificat
au magasin de certificats Autorités de certification racines de confiance sur
les ordinateurs de destination, puis cliquez sur OK.
k. Cliquez sur Appliquer, puis attendez que le certificat soit appliqué au serveur
d’accès Bureau à distance par le Web.
l. Répétez les sous-étapes 1 à 11 pour Service Broker pour les connexions
Bureau à distance - Activer l’authentification unique et Service Broker pour les
connexions Bureau à distance - Services de publication, en utilisant le nom
FQDN interne du serveur du service Broker pour les connexions Bureau à
distance pour le nom du nouveau certificat (par exemple Contoso-
Cb1.Contoso.com).
9. Créez une collection de sessions. Les étapes suivantes créent une collection de
base. Pour plus d’informations sur les collections, consultez Créer une collection de
Services Bureau à distance pour les ordinateurs de bureau et des applications à
exécuter.
a. Dans le Gestionnaire de serveur, cliquez sur Services Bureau à distance >
Collections > Tâches > Créer une collection de sessions.
b. Entrez un nom de collection (par exemple ContosoDesktop).
c. Sélectionnez un serveur Hôte de session Bureau à distance (Contoso-Sh1),
acceptez les groupes d’utilisateurs par défaut (Contoso\Utilisateurs du domaine)
et entrez le chemin UNC (Universal Naming Convention) des disques de profil
utilisateur créés ci-dessus (\Contoso-Cb1\UserDisks).
d. Définissez une taille maximale, puis cliquez sur Créer.
Vous venez de créer une infrastructure des Services Bureau à distance de base. Si vous
avez besoin de créer un déploiement hautement disponible, vous pouvez ajouter un
cluster du service Broker pour les connexions ou un second serveur Hôte de session
Bureau à distance.
Créer une collection de services Bureau
à distance pour les bureaux et les
applications à exécuter
Article • 03/03/2023
Suivez les étapes suivantes pour créer une collection de sessions des services Bureau à
distance. Une collection de sessions conserve les applications et les postes de travail que
vous souhaitez rendre disponibles aux utilisateurs. Une fois la collection créée, publiez-la
afin que les utilisateurs puissent y accéder.
Avant de créer une collection, vous devez choisir le type de collection dont vous avez
besoin : sessions de bureaux regroupées ou sessions de bureaux personnelles.
Utiliser des sessions de bureaux regroupées pour une virtualisation basée sur les
sessions : tirez parti de la puissance de calcul de Windows Server pour fournir un
environnement multisession rentable permettant de gérer les charges de travail
quotidiennes de vos utilisateurs.
Utiliser des sessions de bureaux personnelles pour créer une infrastructure
Bureau virtuel (VDI) : Tirez parti du client Windows pour fournir les hautes
performances, la compatibilité des applications et le caractère familier que vos
utilisateurs attendent de leur expérience utilisateur Windows.
Quel que soit le type de collection que vous choisissez, vous devez remplir ces
collections avec RemoteApps (les programmes et les ressources auxquels les utilisateurs
peuvent accéder depuis n’importe quel appareil pris en charge et avec lesquels ils
peuvent travailler, comme si le programme était exécuté localement).
Créer une collection de sessions de bureaux
regroupées
1. Dans le Gestionnaire de serveur, cliquez sur Services Bureau à distance >
Collections > Tâches > Créer des collections de sessions.
2. Entrez un nom pour la collection, par exemple ContosoAps.
3. Sélectionnez le serveur hôte de la session Bureau à distance que vous avez créé
(par exemple, Contoso-Shr1).
4. Acceptez la valeur par défaut pour Groupes d’utilisateurs.
5. Entrez l’emplacement du partage de fichiers que vous avez créé pour les disques
de profil utilisateur pour cette collection (par exemple, \Contoso-Cb1\UserDisksr).
6. Cliquez sur Créer. Une fois la collection créée, cliquez sur Fermer.
Vous pouvez utiliser des applets de commande PowerShell pour gérer vos collections de
sessions de bureaux personnelles. Consultez Gérer vos collections de sessions de
bureaux personnelles pour plus d’informations.
Publier des programmes RemoteApp
Utilisez les étapes suivantes pour publier les applications et les ressources dans votre
collection :
) Important
) Important
Si vous avez utilisé le client web pendant la phase de préversion et installé une
version antérieure à la version 1.0.0, vous devez d'abord désinstaller l'ancien client
avant de passer à la nouvelle version. Si vous recevez le message d'erreur « Le
client web a été installé à l'aide d'une version antérieure de
RDWebClientManagement et doit d'abord être supprimé avant de déployer la
nouvelle version », procédez comme suit :
1. Sur le serveur du service Broker pour les connexions Bureau à distance, procurez-
vous le certificat utilisé pour les connexions Bureau à distance et exportez-le au
format .cer. À partir du service Broker pour les connexions Bureau à distance,
copiez le fichier .cer sur le serveur exécutant le rôle Accès aux services Bureau à
distance par le web.
2. Sur le serveur d'accès aux services Bureau à distance par le web, ouvrez une invite
PowerShell avec élévation de privilèges.
3. Sous Windows Server 2016, mettez à jour le module PowerShellGet, car la version
de la boîte de réception ne prend pas en charge l'installation du module de
gestion du client web. Pour mettre à jour le module PowerShellGet, exécutez
l'applet de commande suivante :
PowerShell
) Important
Vous devrez redémarrer PowerShell pour que la mise à jour prenne effet,
sinon le module risque de ne pas fonctionner.
PowerShell
PowerShell
Install-RDWebClientPackage
PowerShell
7. Enfin, exécutez l'applet de commande suivante pour publier le client web Bureau à
distance :
PowerShell
Vérifiez que vous avez accès au client web via l'URL avec le nom de votre serveur,
au format https://server_FQDN/RDWeb/webclient/index.html . Il est important
d'utiliser le nom du serveur qui correspond au certificat public d'accès aux services
Bureau à distance par le web dans l'URL (il s'agit généralement du nom de
domaine complet du serveur).
7 Notes
8. Lorsque vous êtes prêt à autoriser les utilisateurs à accéder au client web, il vous
suffit de leur envoyer l'URL que vous avez créée pour le client web.
7 Notes
Pour afficher la liste de toutes les applets de commande prises en charge pour le
module RDWebClientManagement, exécutez l'applet de commande suivante dans
PowerShell :
PowerShell
1. Ouvrez une invite PowerShell avec élévation de privilèges sur le serveur d'accès aux
services Bureau à distance par le web et exécutez l'applet de commande suivante
pour télécharger la dernière version disponible du client web :
PowerShell
Install-RDWebClientPackage
PowerShell
Le client doit apparaître sur l'URL de test correspondant à l'URL de votre client web
(par exemple, https://server_FQDN/RDWeb/webclient-test/index.html ).
PowerShell
Cela remplacera le client pour tous les utilisateurs lorsqu'ils relanceront la page
web.
1. Sur le serveur d'accès aux services Bureau à distance par le web, ouvrez une invite
PowerShell avec élévation de privilèges.
PowerShell
Uninstall-RDWebClient
PowerShell
7 Notes
7 Notes
Vous devez malgré tout disposer d'un PC administrateur avec accès Internet pour
télécharger les fichiers nécessaires avant de les transférer vers le serveur hors ligne.
7 Notes
PowerShell
3. Téléchargez la dernière version du client web Bureau à distance pour l'installer sur
un autre appareil :
PowerShell
Save-RDWebClientPackage "C:\WebClient\"
PowerShell
4. Vous avez deux options pour récupérer le module PowerShell de gestion des
clients web le plus récent :
PowerShell
PowerShell
5. Dans la liste des Niveaux de certification, sélectionnez Service Broker pour les
connexions Bureau à distance - Activer l'authentification unique. Deux options
s'offrent à vous : (1) créer un nouveau certificat ou (2) utiliser un certificat existant.
2. Pour lier ce certificat au port sécurisé 3392, ouvrez une fenêtre PowerShell avec
élévation de privilèges et exécutez la commande suivante, en remplaçant "
<thumbprint>" par la valeur copiée à l’étape précédente :
PowerShell
7 Notes
Dans la liste des liaisons de certificat SSL, assurez-vous que le certificat qui
convient est lié au port 3392.
2. Pour lier ce certificat au port sécurisé 3392, ouvrez une fenêtre PowerShell avec
élévation de privilèges et exécutez la commande suivante, en remplaçant "
<thumbprint>" par la valeur copiée à l’étape précédente :
PowerShell
7 Notes
PowerShell
Dans la liste des liaisons de certificat SSL, assurez-vous que le certificat qui
convient est lié au port 3392.
3. Ouvrez le Registre Windows (regedit), accédez à
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp et
localisez la clé WebSocketURI. La valeur doit être définie sur https://+:3392/rdp/ .
Observations générales
Assurez-vous que l'Hôte de session Bureau à distance et le serveur du service
Broker Bureau à distance exécutent Windows Server 2019.
Assurez-vous que des certificats publics approuvés sont configurés pour l'Hôte de
session Bureau à distance et le serveur du service Broker Bureau à distance.
7 Notes
L'autre nom de l'objet (SAN) de chaque certificat doit être défini sur le nom de
domaine complet (FQDN) de l'ordinateur. Le nom commun (CN) doit
correspondre au SAN pour chaque certificat.
PowerShell
Par défaut, l'utilisateur peut activer ou désactiver les données de télémétrie. Une valeur
booléenne $false correspondra au comportement par défaut du client. Une valeur
booléenne $true désactivera les données de télémétrie et empêchera l'utilisateur de les
activer.
7 Notes
Par défaut, les utilisateurs peuvent choisir de lancer des ressources distantes (1) dans le
navigateur ou (2) en téléchargeant un fichier .rdp à gérer avec un autre client installé sur
leur ordinateur. En tant qu’administrateur, vous pouvez choisir de limiter la méthode de
lancement de ressources distantes de votre déploiement à l’aide de la commande
PowerShell suivante :
PowerShell
Par défaut, l'utilisateur peut sélectionner l'une ou l'autre des méthodes de lancement.
Une valeur booléenne $true obligera l'utilisateur à lancer les ressources dans le
navigateur. Une valeur booléenne $false obligera l'utilisateur à lancer les ressources en
téléchargeant un fichier .rdp à gérer avec un client RDP installé localement.
PowerShell
Si le problème persiste, il se peut que le nom de votre serveur dans l'URL du client web
ne corresponde pas au nom fourni par le certificat d'accès aux services Bureau à
distance par le web. Assurez-vous que votre URL utilise le nom de domaine complet du
serveur qui héberge le rôle Accès aux services Bureau à distance par le web.
Le rôle Passerelle des services Bureau à distance est-il correctement configuré pour
utiliser un certificat public approuvé ?
Les mises à jour requises sont-elles installées sur le serveur de passerelle Bureau à
distance ? Assurez-vous que la mise à jour KB4025334 est installée sur votre
serveur.
Si l'utilisateur reçoit le message d'erreur « Un certificat d'authentification serveur
inattendu a été reçu » lorsqu'il tente de se connecter, le message contient l'empreinte
du certificat. Recherchez le gestionnaire de certificat du serveur du service Broker
Bureau à distance à l'aide de cette empreinte pour trouver le bon certificat. Vérifiez que
le certificat est configuré pour le rôle Service Broker Bureau à distance sur la page des
propriétés du déploiement Bureau à distance. Après vous être assuré que le certificat n'a
pas expiré, copiez-le au format .cer sur le serveur d'accès aux services Bureau à distance
par le web et exécutez la commande suivante sur le serveur d'accès aux services Bureau
à distance par le web, en remplaçant la valeur entre crochets par le chemin du certificat :
PowerShell
Vous avez déjà rencontré des problèmes pour que vos utilisateurs se connectent à leur
flux de services Bureau à distance publié, soit parce qu’il manquait un seul caractère
l’URL du flux, soit ou parce que les utilisateurs avaient perdu le message contenant
l’URL ? Presque toutes les applications du client Bureau à distance prennent en charge la
recherche de votre abonnement en entrant votre adresse de messagerie, ce qui simplifie
la connexion des utilisateurs à leurs applications distantes et leurs postes de travail.
7 Notes
Si vous utilisez Azure Virtual Desktop au lieu de Bureau à distance, vous souhaiterez
utiliser ces URL à la place :
1. Dans votre navigateur, connectez-vous au site web via lequel votre domaine est
enregistré.
2. Accédez à la page appropriée de votre domaine, où vous pouvez afficher, ajouter
et modifier des enregistrements DNS.
Host: _msradc
Texte :<RD Web Feed URL>
TTL: 300 secondes
C’est tout ! À présent, lancez l’application Bureau à distance sur votre appareil et
abonnez-vous !
Gérer les licences de votre déploiement
Services Bureau à distance avec des
licences d’accès client (CAL)
Article • 03/03/2023
Chacun des utilisateurs et des appareils qui se connectent à un hôte de session Bureau à
distance a besoin d’une licence d’accès client (CAL). Vous utilisez le Gestionnaire de
licences Bureau à distance pour installer, émettre et effectuer le suivi des licences
d’accès client Services Bureau à distance.
Pour les licences, il existe une période de grâce de 120 jours, au cours de laquelle aucun
serveur de licences n’est nécessaire. Une fois la période de grâce terminée, les clients
doivent disposer d’une licence d’accès client aux services Bureau à distance valide, émise
par un serveur de licences, afin de pouvoir se connecter à un serveur hôte de session
Bureau à distance.
Gérer les licences de votre déploiement Services Bureau à distance avec des
licences d’accès client (CAL)
Présentation du modèle de licence d’accès client aux services Bureau à distance
Compatibilité des versions de la licence d’accès client aux services Bureau à
distance
Le tableau suivant décrit les différences entre les deux types de licences d’accès client :
Les licences d’accès client aux services Les licences d’accès client aux services Bureau à
Bureau à distance sont physiquement distance sont affectées à un utilisateur dans Active
affectées à chaque appareil. Directory.
Les licences d’accès client aux services Les licences d’accès client aux services Bureau à
Bureau à distance sont suivies par le distance sont suivies par le serveur de licences.
serveur de licences.
Les licences d’accès client aux services Les licences d’accès client aux services Bureau à
Bureau à distance peuvent être suivies distance ne peuvent pas être suivies au sein d’un
quelle que soit l’appartenance à Active groupe de travail.
Directory.
Vous pouvez révoquer jusqu’à 20 % des Vous pouvez révoquer aucune licence d’accès client
licences d’accès client aux services aux services Bureau à distance.
Bureau à distance.
Les licences d’accès client aux services Les licences d’accès client aux services Bureau à
Bureau à distance temporaires sont distance temporaires ne sont pas disponibles.
valides pendant 52 à 89 jours.
Les licences d’accès client aux services Les licences d’accès client aux services Bureau à
Bureau à distance ne peuvent pas être distance peuvent être surallouées (en violation de
surallouées. l’accord du Gestionnaire de licences des services
Bureau à distance).
Lorsque vous utilisez le modèle par appareil, une licence temporaire est émise la
première fois qu’un appareil se connecte à l’hôte de session Bureau à distance. La
deuxième fois que l’appareil se connecte, tant que le serveur de licences est activé et
qu’il existe des licences d’accès client aux services Bureau à distance disponibles, le
serveur de licences émet une licence permanente d’accès client par appareil Services
Bureau à distance.
Lorsque vous utilisez le modèle par utilisateur, le Gestionnaire de licences n’est pas
activé, et chaque utilisateur se voit accorder une licence pour se connecter à un hôte de
session Bureau à distance à partir d’un nombre illimité d’appareils. Le serveur de
licences émet des licences à partir du pool de licences d’accès client aux services Bureau
à distance disponibles ou du pool de licences d’accès client surutilisées. Il est de votre
responsabilité de vous assurer que tous les utilisateurs ont une licence valide et aucune
licence d’accès client surutilisée, faute de quoi, vous êtes en violation des termes du
contrat de licence Services Bureau à distance.
Pour garantir la conformité aux termes du contrat de licence Services Bureau à distance,
effectuez le suivi du nombre de licences par utilisateur Services Bureau à distance qui
sont utilisées dans votre organisation et veillez à en installer suffisamment sur le serveur
de licences pour tous vos utilisateurs.
Vous pouvez utiliser le Gestionnaire de licences Bureau à distance pour effectuer le suivi
et générer des rapports sur les licences d’accès client par utilisateur Services Bureau à
distance.
Le tableau suivant montre les versions des licences accès client aux services Bureau à
distance et les versions des hôtes de session Bureau à distance qui sont compatibles
entre elles.
Licence d’accès Licence Licence Licence Licence
client aux d’accès d’accès d’accès d’accès
services Bureau client aux client aux client aux client aux
à distance 2008 services services services services
R2 et Bureau à Bureau à Bureau à Bureau à
antérieures distance distance distance distance
2012 2016 2019 2022
Vous devez installer votre licence d’accès client aux services Bureau à distance sur un
serveur de licences Bureau à distance compatible. Tous les serveurs de licences Services
Bureau à distance peuvent héberger des licences à partir de toutes les versions
précédentes de Services Bureau à distance et de la version actuelle de Services Bureau à
distance. Par exemple, un serveur de licences Services Bureau à distance Windows Server
2016 peut héberger des licences à partir de toutes les versions précédentes de Services
Bureau à distance, tandis qu’un serveur de licences Services Bureau à distance Windows
Server 2012 R2 peut héberger uniquement des licences jusqu’à la version Windows
Server 2012 R2.
Le tableau suivant montre les versions des licences accès client aux services Bureau à
distance et les versions des serveurs de licences qui sont compatibles entre elles.
Licence d’accès Licence Licence Licence Licence
client aux d’accès client d’accès client d’accès client d’accès client
services Bureau à aux services aux services aux services aux services
distance 2008 R2 Bureau à Bureau à Bureau à Bureau à
et antérieures distance distance distance distance
2012 2016 2019 2022
Le serveur de licences des services Bureau à distance délivre des licences d'accès client
(CAL) aux utilisateurs et aux périphériques lorsqu'ils accèdent à l'hôte de session de
Bureau à distance. Vous pouvez activer le serveur de licences à l’aide du Gestionnaire de
licences des services Bureau à distance.
Utilisez les informations suivantes pour installer les licences d’accès client (CAL) aux
services Bureau à distance sur le serveur de licences. Une fois les licences d’accès client
installées, le serveur de licences les émettra aux utilisateurs comme il convient.
Notez que vous avez besoin d’une connectivité internet sur l’ordinateur exécutant le
gestionnaire de licences Bureau à distance, mais pas sur l’ordinateur exécutant le
serveur de licences.
1. Sur le serveur de licences (généralement le premier serveur Service Broker pour les
connexions Bureau à distance), ouvrez le gestionnaire de licences Bureau à
distance.
2. Cliquez avec le bouton droit sur le serveur de licences, puis cliquez sur Installer les
licences.
3. Dans la page de bienvenue, cliquez sur Suivant.
4. Sélectionnez le programme à partir duquel vous avez acheté vos licences d’accès
client RDS, puis cliquez sur Suivant. Si vous êtes un fournisseur de services,
sélectionnez Contrat de licence de fournisseur de services.
5. Saisissez les informations de votre programme de licence. Dans la plupart des cas,
il s’agit du code de licence ou d’un numéro de contrat, mais cela varie en fonction
du programme de licences que vous utilisez.
6. Cliquez sur Suivant.
7. Sélectionnez la version du produit, le type de licence et le nombre de licences pour
votre environnement, puis cliquez sur Suivant. Le gestionnaire de licences contacte
le serveur Microsoft Clearinghouse pour valider et récupérer vos licences.
8. Cliquez sur Terminer pour terminer le processus.
Affecter des licences à des hôtes de
session Bureau à distance
Article • 07/03/2023
Vous pouvez utiliser les informations de cet article pour configurer les licences pour les
hôtes de session sur vos déploiements des services Bureau à distance (RDS). Le
processus sera légèrement différent selon les rôles que vous avez attribués à l’hôte de
session auquel vous affectez une licence.
Prérequis
Pour installer des licences pour vos hôtes de session, vous avez besoin d’un serveur de
licences Bureau à distance avec des licences d’accès client par utilisateur ou par appareil
activées.
1. Sur l’ordinateur du service Broker pour les connexions Bureau à distance, ouvrez le
Gestionnaire de serveur.
7 Notes
Si vous utilisez des serveurs joints à un domaine pour votre déploiement des
services Bureau à distance, vous pouvez utiliser des licences d’accès client à la
fois Par utilisateur et Par appareil. Si vous utilisez des serveurs de groupe de
travail pour votre déploiement des services Bureau à distance, vous devez
utiliser des licences d’accès client Par appareil. Dans ce cas, les licences
d’accès client Par utilisateur ne sont pas autorisées.
3. Dans la liste des stratégies, cliquez avec le bouton droit sur Utiliser les serveurs de
licences Bureau à distance spécifiés, puis sélectionnez Propriétés.
6. Dans la liste des stratégies, cliquez avec le bouton droit sur Définir le mode de
licence Bureau à distance, puis sélectionnez Propriétés.
7. Sélectionnez Enabled.
Vous pouvez utiliser l'outil Gestionnaire de licences des services Bureau à distance pour
créer des rapports de suivi des licences d'accès client aux services Bureau à distance par
utilisateur émises par un serveur de licences Bureau à distance.
7 Notes
Procédez comme suit pour générer un rapport de licences d'accès client par utilisateur :
2. Le rapport est créé et un message apparaît pour confirmer la création. Cliquez sur
OK pour fermer le message.
Le rapport que vous avez créé apparaît dans la section Rapports sous le nœud du
serveur de licences. Le rapport fournit les informations suivantes :
Les rapports que vous créez sont répertoriés dans le nœud Rapports, sous le nœud du
serveur de licences du Gestionnaire de licences des services Bureau à distance. Si vous
n'avez plus besoin d'un rapport, vous pouvez le supprimer.
Services Bureau à distance - Intégration
aux services Azure
Article • 03/03/2023
Utilisez les informations suivantes pour intégrer Azure à votre déploiement Bureau à
distance :
Pour en savoir plus sur la façon dont ces services simplifient l'architecture de votre
déploiement Bureau à distance, consultez Architecture des services Bureau à distance
avec des rôles Azure PaaS uniques.
Intégrez votre infrastructure de
passerelle des services Bureau à
distance à l’aide de l’extension du
serveur NPS (Network Policy Server) et
Azure AD
Article • 20/03/2023
Cet article explique comment intégrer la passerelle des services Bureau à distance à
Azure AD Multi-Factor Authentication (MFA) à l'aide de l'extension NPS (Network Policy
Server) pour Microsoft Azure.
L’extension de serveur NPS (Network Policy Server) pour Azure permet aux clients de
protéger le protocole d’authentification client RADIUS (Remote Authentication Dial-In
User Service) à l’aide de l’authentification Azure Multi-Factor Authentication (MFA)
basée sur le cloud. Cette solution fournit une vérification en deux étapes pour ajouter
une deuxième couche de sécurité aux connexions et transactions utilisateur.
Cet article fournit des instructions pas à pas pour intégrer l'infrastructure NPS à Azure
AD MFA à l'aide de l'extension NPS pour Azure. Cela permet une vérification pour les
utilisateurs tentant de se connecter à une passerelle des services Bureau à distance.
7 Notes
Cet article ne doit pas être utilisé pour les déploiements Serveur MFA ; il s'applique
uniquement aux déploiements Azure AD MFA (basés sur le cloud).
Les services de stratégie et d’accès réseau (NPS) permettent aux entreprises d’effectuer
les opérations suivantes :
En règle générale, les organisations utilisent le serveur NPS (RADIUS) pour simplifier et
centraliser la gestion des stratégies de serveur VPN. Toutefois, de nombreuses
organisations utilisent également NPS pour simplifier et centraliser la gestion des
stratégies d’autorisation des connexions aux services Bureau à distance (RD CAP).
Les organisations peuvent également intégrer NPS à Azure AD MFA pour améliorer la
sécurité et fournir un niveau élevé de compatibilité. Cela permet de s’assurer que les
utilisateurs établissent la vérification en deux étapes pour se connecter à la passerelle
des services Bureau à distance. Pour que les utilisateurs puissent obtenir l’accès, ils
doivent fournir leur combinaison de nom d’utilisateur et de mot de passe ainsi que des
informations sur lesquelles ils ont le contrôle. Ces informations doivent être approuvées
et pas facilement dupliquées, comme un numéro de téléphone portable, numéro de
téléphone fixe, une application sur un appareil mobile et autres. La passerelle des
services Bureau à distance prend actuellement en charge les appels téléphoniques et les
notifications Push Approve/Deny à partir des méthodes d’application Microsoft
Authenticator pour l’authentification à 2 facteurs. Pour plus d’informations sur les
méthodes d’authentification prises en charge, consultez la section Déterminer les
méthodes d’authentification que vos utilisateurs peuvent employer.
Avant le lancement de l'extension NPS pour Azure, les clients qui souhaitaient
implémenter la vérification en deux étapes pour les environnements intégrant NPS et
Azure AD MFA devaient configurer et gérer un serveur MFA distinct dans
l'environnement local, comme décrit dans Passerelle des services Bureau à distance et
serveur Microsoft Azure Multi-Factor Authentication utilisant RADIUS.
Flux d'authentification
Pour que les utilisateurs puissent obtenir l’accès aux ressources réseau via une passerelle
des services Bureau à distance, il leur faut remplir les conditions spécifiées dans une
stratégie d'autorisation des connexions aux services Bureau à distance (RD CAP) et une
stratégie d'autorisation d'accès aux ressources via les services Bureau à distance (RD
RAP). Les stratégies RD CAP spécifient qui est autorisé à se connecter à des passerelles
des services Bureau à distance. Les stratégies RD CAP indiquent les ressources réseau,
notamment les bureaux à distance ou les applications à distance, auxquelles l’utilisateur
est autorisé à se connecter via la passerelle des services Bureau à distance.
Une passerelle des services Bureau à distance peut être configurée pour utiliser un Store
de stratégies central pour les stratégies RD CAP. Les stratégies de bureau à distance ne
peuvent pas utiliser une stratégie centrale, car elles sont traitées sur la passerelle des
services Bureau à distance. Un exemple de passerelle des services Bureau à distance
configuré pour utiliser un Store de stratégies central pour les stratégies RD CAP Bureau
à distance est les suivant : un client RADIUS vers un autre serveur NPS qui sert de Store
de stratégies centrales.
Lorsque l’extension de serveur NPS pour Azure est intégrée au serveur NPS et à la
passerelle des services Bureau à distance, le flux d’authentification réussie est le suivant :
Prérequis
Cette section détaille les conditions préalables qui doivent être réunies avant d'intégrer
Azure AD MFA à la passerelle des services Bureau à distance. Avant de commencer, vous
devez disposer des conditions requises en place suivantes.
Si vous souhaitez créer manuellement et rapidement une infrastructure RDS locale pour
des tests, suivez les étapes pour déployer une.
En savoir plus : Déployer des services
RDS avec le démarrage rapide Azure et Déploiement de l’infrastructure RDS de base.
Pour plus d’informations sur l’installation du service de rôle de serveur NPS Windows
Server 2012 ou versions plus ancienne, consultez Installer un serveur de stratégie de
contrôle d’intégrité NAP. Pour obtenir une description des meilleures pratiques pour le
serveur NPS, y compris la recommandation pour installer le serveur NPS sur un
contrôleur de domaine, consultez Meilleures pratiques pour le serveur NPS.
Suivez les étapes décrites dans Bien démarrer avec Azure AD Multi-Factor
Authentication dans le cloud afin d'activer MFA pour vos utilisateurs Azure AD.
) Important
La méthode SMS ne fonctionne pas avec la passerelle Bureau à distance, car elle
n’offre pas la possibilité de saisir un code de vérification.
3. Dans la page Vue d’ensemble, les Informations du locataire sont affichées. À côté
de l’ID locataire, sélectionnez l’icône Copier, comme indiqué dans la capture
d’écran de l’exemple suivant :
) Important
N’installez pas l’extension de serveur NPS sur votre serveur de passerelle bureau
distant (RDG). Le serveur RDG n’utilise pas le protocole RADIUS avec son client, de
sorte que l’extension ne peut pas interpréter et effectuer l’authentification MFA.
Lorsque le serveur RDG et le serveur NPS avec l’extension NPS sont des serveurs
différents, RDG utilise NPS en interne pour communiquer avec d’autres serveurs
NPS et utilise RADIUS comme protocole pour communiquer correctement.
Si vous souhaitez utiliser vos propres certificats, vous devez associer la clé publique de
votre certificat au principal de service sur Azure AD, et ainsi de suite.
5. Lorsque vous y êtes invité, collez l’ID locataire que vous avez copié précédemment
dans le presse-papiers, puis appuyez sur ENTRÉE.
Le flux d’authentification nécessite que les messages RADIUS soient échangés entre la
passerelle des services Bureau à distance et le serveur NPS où est installée l’extension
NPS. Cela signifie que vous devez configurer les paramètres des clients RADIUS sur la
passerelle des services Bureau à distance et le serveur NPS où est installée l’extension du
serveur NPS.
2. Dans le menu, cliquez sur Outils, pointez vers Services bureau à distance puis
cliquez sur Gestionnaire de passerelle de Bureau à distance.
6. Dans le champ Entrer une adresse IP ou un nom du serveur exécutant NPS, tapez
le nom de serveur ou l’adresse IP du serveur où vous avez installé l’extension du
serveur NPS.
7. Cliquez sur Add.
8. Dans la boîte de dialogue Secret partagé, entrez un secret partagé, puis cliquez
sur OK. Veillez à enregistrer ce secret partagé et à stocker l’enregistrement en
toute sécurité.
7 Notes
Le secret partagé est utilisé pour établir l’approbation entre les serveurs
RADIUS et les clients. Créez une clé secrète longue et complexe.
9. Cliquez sur OK pour fermer la boîte de dialogue.
7 Notes
Ce groupe de serveurs RADIUS a été créé lorsque vous avez configuré le
serveur central pour les stratégies du serveur NPS. La passerelle des services
Bureau à distance transfère les messages RADIUS vers ce serveur ou un
groupe de serveurs, s’il en existe plusieurs dans le groupe.
7. Dans le champ Nombre de secondes entre les demandes lorsque le serveur est
identifié comme non disponible, modifiez la valeur par défaut de 30 secondes à
une valeur qui est égale ou supérieure à la valeur que vous avez spécifié à l’étape
précédente.
8. Cliquez deux fois sur OK pour fermer les boîtes de dialogue.
1. Sur la passerelle des services Bureau à distance, dans la console NPS (Local),
développez Stratégies, puis sélectionnez Stratégies de demande de connexion.
7 Notes
2. Dans Gestionnaire de serveurs, cliquez sur Outils puis cliquez sur Serveur de
stratégie réseau.
3. Dans la console NPS, cliquez avec le bouton droit sur NPS (Local) , puis cliquez sur
Enregistrer un serveur dans Active Directory.
1. Sur le serveur NPS où l’extension de serveur NPS est installée, dans la console NPS
(Local) de la console, cliquez avec le bouton droit sur Clients RADIUS et cliquez
sur Nouveau.
2. Dans la boîte de dialogue Nouveau client RADIUS, fournissez un nom convivial, tel
que Passerelle, et l’adresse IP ou le nom DNS du serveur de passerelle Bureau à
distance.
3. Dans les champs Secret partagé et Confirmer le secret partagé, entrez le nom
secret utilisé précédemment.
4. Cliquez sur OK pour fermer la boîte de dialogue du nouveau client RADIUS.
1. Sur le serveur NPS, dans la console NPS (Local), développez Stratégies, puis cliquez
sur Stratégies réseau.
2. Cliquez avec le bouton droit sur Connexions aux autres serveurs d’accès et cliquez
sur Dupliquer la stratégie.
3. Cliquez avec le bouton droit sur Copie des connexions aux autres serveurs
d’accès et cliquez sur Propriétés.
4. Dans la boîte de dialogue Copie des connexions à d’autres serveurs d’accès, dans
Nom de la stratégie, entrez un nom approprié, tel que RDG_CAP. Cochez la case
Stratégie activée et sélectionnez Accorder l’accès. Le cas échéant, dans Type de
serveur d’accès réseau, sélectionnez Passerelle des services Bureau à distance,
sinon laissez ce champ Non spécifié.
5. Cliquez sur l’onglet Contraintes et cochez la case Autoriser les clients à se
connecter sans négocier une méthode d’authentification.
6. Si vous le souhaitez, cliquez sur l’onglet Conditions et ajoutez des conditions qui
doivent être remplies pour la connexion autorisée, par exemple, l’appartenance à
un groupe Windows spécifique.
7. Cliquez sur OK. Lorsque vous êtes invité à consulter la rubrique d’aide
correspondante, cliquez sur Non.
Vérifier la configuration
Pour vérifier la configuration, vous devez vous connecter à la passerelle des services
Bureau à distance avec un client RDP approprié. Veillez à utiliser un compte autorisé par
les stratégies d'autorisation des connexions et sur lequel Azure AD MFA est activé.
Comme indiqué dans l’image ci-dessous, vous pouvez utiliser la page Accès Web au
Bureau à distance.
Une fois que vous vous êtes correctement authentifié à l’aide de la méthode
d’authentification secondaire, vous êtes connecté à la passerelle des services Bureau à
distance comme d’habitude. Toutefois, étant donné que vous devez utiliser une
méthode d’authentification secondaire à l’aide d’une application mobile sur un appareil
approuvé, le processus de connexion est plus sûr.
Afficher les journaux d’activité de l’Observateur
d’événements pour les événements de connexion réussie
Pour afficher les événements de connexion réussie dans les journaux d’activité de
l’Observateur d’événements Windows, vous pouvez émettre la commande Windows
PowerShell suivante pour interroger les journaux d’activité des Services Windows
Terminal et de sécurité Windows.
Pour interroger les événements de connexion réussie dans les journaux d’activité des
opérations de la passerelle (Observateur d’événements\Journaux des applications et des
services\Microsoft\Windows\TerminalServices-Gateway\Opérationnel) , utilisez les
commandes PowerShell suivantes :
Cette commande affiche les événements Windows qui indiquent que l’utilisateur a
respecté les exigences de stratégies d’autorisation de ressource (RD RAP) et que
l’accès lui est accordé.
Vous pouvez également afficher ce journal et filtrer les ID d’événement, 300 et 200. Pour
interroger les événements de connexion réussie dans les journaux d’activité de
l’observateur d’événements de sécurité, utilisez la commande suivante :
Si Azure AD MFA fonctionne pour le ou les utilisateurs, vous devez examiner les
journaux d'événements pertinents. Citons notamment les journaux d'événements de
sécurité, les journaux des opérations de la passerelle et les journaux Azure AD MFA
décrits dans la section précédente.
Pour obtenir une description de ces fichiers journaux, consultez Interpréter des fichiers
journaux au format base de données de serveur NPS. Les entrées de ces fichiers
journaux peuvent être difficiles à interpréter sans les importer dans une feuille de calcul
ou une base de données. Vous pouvez rechercher plusieurs analyseurs IAS en ligne pour
vous aider à interpréter les fichiers journaux.
L’image ci-dessous depuis Microsoft Message Analyser indique le trafic réseau filtré sur
le protocole RADIUS qui contient le nom d’utilisateur CONTOSO\AliceC.
Étapes suivantes
Guide pratique pour obtenir Azure AD Multi-Factor Authentication
Vous pouvez utiliser Azure AD Domain Services (Azure AD DS) dans votre déploiement
des services Bureau à distance à la place de Windows Server Active Directory. Azure
AD DS vous permet d’utiliser vos identités Azure AD existantes avec des charges de
travail Windows classiques.
Créer un environnement Azure avec un domaine local pour les organisations nées
dans le cloud
Créer un environnement Azure isolé avec les mêmes identités que celles utilisées
pour votre environnement local et votre environnement en ligne, sans qu’il soit
nécessaire de créer un VPN site à site ou de recourir à ExpressRoute
Une fois que vous avez fini d’intégrer Azure AD DS à votre déploiement du Bureau à
distance, votre architecture ressemble à ceci :
Pour comparer cette architecture à d’autres scénarios de déploiement des services
Bureau à distance, consultez Architectures des services Bureau à distance.
Pour mieux comprendre Azure AD DS, consultez Vue d’ensemble d’Azure AD DS et
Guide pratique pour déterminer si Azure AD DS est adapté à votre cas d’usage.
Utilisez les informations suivantes pour déployer Azure AD DS avec les services Bureau à
distance.
Prérequis
Avant de pouvoir utiliser vos identités Azure AD dans un déploiement des services
Bureau à distance, configurez Azure AD pour enregistrer les mots de passe hachés des
identités de vos utilisateurs. Les organisations nées dans le cloud n’ont pas besoin
d’apporter des changements supplémentaires à leur annuaire. Toutefois, les
organisations locales doivent autoriser la synchronisation et le stockage des hachages
de mots de passe dans Azure AD, ce qui n’est peut-être pas autorisé par certaines
d’entre elles. Les utilisateurs doivent réinitialiser leurs mots de passe après ce
changement de configuration.
1. Activez Azure AD DS. Notez que l’article lié fournit les informations suivantes :
Il explique selon une procédure pas à pas comment créer les groupes
Azure AD appropriés pour l’administration d’un domaine.
Il met l’accent sur le moment où vous devez forcer les utilisateurs à changer
leurs mots de passe pour que leurs comptes puissent fonctionner avec Azure
AD DS.
2. Configurez les services Bureau à distance. Vous pouvez utiliser un modèle Azure ou
déployer manuellement les services Bureau à distance.
Paramètres
7 Notes
Modèle
Conseil
Si vous n’avez pas déployé RDS au préalable, ou si vous souhaitez en savoir plus
avant de commencer, découvrez comment déployer RDS de manière transparente
avec Azure Resource Manager et Azure Marketplace.
Spécifications
Les points de terminaison du rôle Site Web Bureau à distance et du rôle Passerelle
Bureau à distance doivent se trouver sur le même ordinateur et avoir une racine
commune. Le rôle Site web Bureau à distance et le rôle Passerelle Bureau à
distance sont publiés sous la forme d’une seule application avec le proxy
d’application afin de vous proposer une expérience d’authentification unique pour
les deux applications.
Vous devez déjà avoir déployé RDS et activé le proxy d’application. Vérifiez que
vous avez respecté les prérequis pour activer Proxy d’application, telles que
l’installation du connecteur, l’ouverture des ports et des URL requis, et l’activation
de TLS 1.2 sur le serveur. Pour savoir quels ports doivent être ouverts et d’autres
détails, consultez Tutoriel : Ajouter une application locale pour un accès à distance
via un proxy d’application d’Azure Active Directory.
Vos utilisateurs finaux doivent utiliser un navigateur compatible pour se connecter
à Site Web Bureau à distance ou au client Site Web Bureau à distance. Pour plus
d’informations, consultez Prise en charge des configurations client.
Lors de la publication sur Site Web Bureau à distance, il est recommandé d’utiliser
les mêmes noms de domaine complets interne et externe. Si les noms de domaine
complets interne et externe sont différents, vous devez alors désactiver la
traduction d’en-tête de requête pour éviter que le client reçoive des liens non
valides.
Si vous utilisez Site Web Bureau à distance sur Internet Explorer, vous devez activer
le module complémentaire ActiveX RDS.
Si vous utilisez le client Site Web Bureau à distance, vous devez utiliser le
connecteur version 1.5.1975 ou une version ultérieure de Proxy d’application.
Pour le flux de préauthentification d’Azure AD, les utilisateurs peuvent se
connecter uniquement aux ressources dont la publication est à leur disposition
dans le volet RemoteApp et Bureaux. Les utilisateurs ne peuvent pas se connecter
à un Bureau à l’aide du volet Se connecter à un ordinateur distant.
Si vous utilisez Windows Server 2019, vous devrez peut-être désactiver le
protocole HTTP2. Pour plus d’informations, consultez Didacticiel : Ajouter une
application locale pour un accès à distance via le service Proxy d’application
d’Azure Active Directory.
Déploiement du scénario associant RDS et
proxy d’application
Après avoir configuré RDS et le proxy d’application Azure AD pour votre environnement,
suivez les étapes permettant de combiner les deux solutions. Ces étapes expliquent
comment publier les deux points de terminaison RDS orientés Web (Site Web Bureau à
distance et Passerelle Bureau à distance) en tant qu’applications, puis diriger le trafic de
votre RDS pour qu’il traverse le proxy d’application.
7 Notes
Les utilisateurs sont invités à s’authentifier une fois sur Azure AD et une fois
sur Site Web Bureau à distance, mais profitent de l’authentification unique
pour Passerelle Bureau à distance.
Par exemple :
Set-RDSessionCollectionConfiguration -CollectionName
"QuickSessionCollection" -CustomRdpProperty "pre-authentication server
address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire
pre-authentication:i:1"
7 Notes
Le client Site Web Bureau à distance permet aux utilisateurs d’accéder à l’infrastructure
de Bureau à distance de votre organisation par le biais d’un navigateur web compatible
avec HTML5 comme Microsoft Edge, Internet Explorer 11, Google Chrome, Safari ou
Mozilla Firefox (v55.0 et versions ultérieures).
Test du scénario
Testez le scénario avec Internet Explorer sur un ordinateur Windows 7 ou 10.
1. Accédez à l’URL externe que vous configurez ou recherchez votre application dans
le panneau MyApps .
2. Vous êtes invité à vous authentifier sur Azure Active Directory. Utilisez un compte
de test que vous avez attribué à l’application.
3. Vous êtes invité à vous authentifier sur Site Web Bureau à distance.
4. Une fois authentifié sur RDS, vous pouvez sélectionner l’application ou le bureau
de votre choix et commencer à travailler.
Pré- Site Web Bureau à distance : Windows 7/10/11 avec Internet Explorer* ou le
authentification mode IE d’Edge Chromium + module complémentaire ActiveX RDS
Pré- Client Site Web Bureau à distance : navigateur web compatible avec HTML5,
authentification tel que Microsoft Edge, Internet Explorer 11, Google Chrome, Safari ou
Mozilla Firefox (v55.0 et versions ultérieures)
\* Le mode IE de Edge Chromium est requis lorsque le portail Mes applications est
utilisé pour accéder à l’application Bureau à distance.
Étapes suivantes
Activer l’accès distant pour SharePoint avec le proxy d’application Azure AD
Considérations de sécurité pour l’accès aux applications à distance à l’aide du
proxy d’application Azure AD
Meilleures pratiques pour l’équilibrage de charge de plusieurs serveurs
d’applications
Effectuer un scale-out de votre
déploiement de services Bureau à
distance en ajoutant une batterie de
serveurs Hôte de session Bureau à
distance
Article • 03/03/2023
Utilisez les étapes suivantes pour ajouter un nouvel hôte de session Bureau à distance à
votre déploiement :
7 Notes
a. Créez une adresse IP publique pour la machine virtuelle exécutant les services
de gestion Bureau à distance. La machine virtuelle RDMS est généralement la
machine virtuelle qui exécute la première instance du rôle Service Broker pour
les connexions Bureau à distance.
i. Dans le portail Azure, cliquez sur Parcourir > Groupes de ressources, puis
cliquez sur le groupe de ressources pour le déploiement, et sur la machine
virtuelle RDMS (par exemple Contoso-Cb1).
ii. Cliquez sur Paramètres > Interfaces réseau, puis cliquez sur l’interface
réseau correspondante.
iii. Cliquez sur Paramètres > Adresse IP.
iv. Pour Adresse IP publique, sélectionnez Activé, puis cliquez sur Adresse IP.
v. Si vous souhaitez utiliser une adresse IP publique existante, sélectionnez-la
dans la liste. Sinon, cliquez sur Créer, entrez un nom, puis cliquez sur OK et
ensuite sur Enregistrer.
b. Connectez-vous aux services de gestion Bureau à distance (RDMS).
c. Ajoutez le nouveau serveur Hôte de session Bureau à distance au Gestionnaire
de serveur :
i. Lancez le Gestionnaire de serveur, cliquez sur Gérer > Ajouter des serveurs.
ii. Dans la boîte de dialogue Ajouter des serveurs, cliquez sur Rechercher
maintenant.
iii. Sélectionnez le serveur que vous souhaitez utiliser pour l’hôte de session
Bureau à distance, ou la machine virtuelle nouvellement créée (par exemple,
Contoso-Sh2), puis cliquez sur OK.
d. Ajouter le serveur Hôte de session Bureau à distance au déploiement
i. Lancez le Gestionnaire de serveur.
ii. Cliquez sur Services Bureau à distance > Vue d’ensemble > Serveurs de
déploiement > Tâches > Ajouter des serveurs Hôte de session Bureau à
distance.
iii. Sélectionnez le nouveau serveur (par exemple, Contoso-Sh2), puis cliquez sur
Suivant.
iv. Dans la page de confirmation, sélectionnez Redémarrer les ordinateurs
distants si nécessaire, puis cliquez sur Ajouter.
e. Ajoutez le serveur Hôte de session Bureau à distance à la batterie de serveurs
de collection :
i. Lancez le Gestionnaire de serveur.
ii. Cliquez sur Services Bureau à distance, puis sur la collection à laquelle vous
souhaitez ajouter le serveur Hôte de session Bureau à distance nouvellement
créé (par exemple, ContosoDesktop).
iii. Sous Serveurs hôtes, cliquez sur Tâches > Ajouter des serveurs Hôte de
session Bureau à distance.
iv. Sélectionnez le serveur nouvellement créé (par exemple, Contoso-Sh2), puis
cliquez sur Suivant.
v. Dans la page de confirmation, cliquez sur Ajouter.
Ajouter le serveur du service Broker
pour les connexions Bureau à distance
au déploiement et configurer la haute
disponibilité
Article • 03/03/2023
Vous pouvez déployer un cluster du service Broker pour les connexions Bureau à
distance afin d’améliorer la disponibilité et d’adapter votre infrastructure des services
Bureau à distance.
Prérequis
Configurez un serveur pour qu’il agisse en tant que second serveur du service Broker
pour les connexions Bureau à distance. Il peut s’agir d’un serveur physique ou d’une
machine virtuelle.
Configurez une base de données du service Broker pour les connexions. Vous pouvez
utiliser une instance Azure SQL Database ou SQL Server dans votre environnement local.
Nous évoquons l’utilisation d’Azure SQL ci-dessous, mais les étapes s’appliquent tout de
même à SQL Server. Vous devez trouver la chaîne de connexion de la base de données
et vérifier que vous disposez du pilote ODBC approprié.
a. Dans le portail Azure, cliquez sur Parcourir > Groupes de ressources, puis
cliquez sur le groupe de ressources du déploiement.
b. Sélectionnez la base de données SQL que vous venez de créer (par exemple CB-
DB1).
Par exemple, si les adresses IP des deux machines virtuelles du service Broker pour les
connexions Bureau à distance sont 10.0.0.8 et 10.0.0.9, vous devez créer deux
enregistrements d’hôte DNS :
Vous pouvez déployer une batterie de serveurs d’accès web et de passerelle des services
Bureau à distance (Accès Bureau à distance par le web et Passerelle des services Bureau
à distance) pour améliorer la disponibilité et la mise à l’échelle d’un déploiement des
services Bureau à distance de Windows Server.
Utilisez les étapes suivantes pour ajouter un serveur de passerelle et d’accès web de
Bureau à distance à un déploiement de base des services Bureau à distance existant.
Prérequis
Configurez un serveur pour jouer le rôle d’accès web et de passerelle supplémentaires
des services Bureau à distance ; il peut s’agir d’un serveur physique ou d’une machine
virtuelle. Y sont incluses la jonction du serveur au domaine et l’activation de la gestion à
distance.
7 Notes
g. Répétez les étapes a à f pour le service de rôle Accès Bureau à distance par le
web.
7 Notes
Nous vous recommandons de déployer votre SOFS avec des machines virtuelles de la
série DS et des disques de données de stockage Premium, car le nombre et la taille des
disques de données sont identiques sur chaque machine virtuelle. Vous avez besoin au
minimum de deux comptes de stockage.
Pour les petits déploiements, nous recommandons un cluster à 2 nœuds avec témoin
cloud, où le volume est en miroir avec 2 copies. Augmentez la taille des petits
déploiements en ajoutant des disques de données. Augmentez la taille des grands
déploiements en ajoutant des nœuds (machines virtuelles).
Suivez les étapes ci-après pour créer un contrôleur de domaine (nous l’avons appelé
« my-dc » ci-dessous) et deux machines virtuelles servant de nœuds (« my-fsn1 » et
« my-fsn2 »). Configurez ensuite les machines virtuelles pour créer un SOFS avec
espaces de stockage direct à 2 nœuds.
5. Configurez les nœuds de cluster de serveurs de fichiers. Pour ce faire, vous pouvez
déployer le modèle Azure de cluster SOFS avec espaces de stockage direct
Windows Server 2016 ou suivre les étapes 6 à 11 afin d’effectuer le déploiement
manuellement.
6. Pour configurer manuellement les nœuds de cluster de serveurs de fichiers :
a. Créez le premier nœud :
i. Créez une machine virtuelle à l’aide de l’image Windows Server 2016.
(Cliquez sur Nouveau > Machines virtuelles > Windows Server 2016.
Sélectionnez Resource Manager, puis cliquez sur Créer.)
ii. Définissez la configuration de base comme suit :
Nom : my-fsn1
Type de disque de machine virtuelle : SSD
Utilisez le groupe de ressources que vous avez créé à l’étape 3.
iii. Taille : DS1, DS2, DS3, DS4 ou DS5 en fonction des besoins de l’utilisateur
(consultez le tableau au début de ces instructions). Vérifiez que la prise en
charge de disques Premium est sélectionnée.
iv. Paramètres :
PowerShell
PowerShell
Test-Cluster -node $nodes
PowerShell
PowerShell
Enable-ClusterS2D
PowerShell
Pour voir les informations relatives au volume partagé de cluster sur le cluster
SOFS, exécutez l’applet de commande suivante :
PowerShell
Get-ClusterSharedVolume
PowerShell
PowerShell
Vous disposez maintenant d’un partage sur \\my-sofs1\UpdStorage , que vous pouvez
utiliser pour le stockage UPD quand vous activez UPD pour vos utilisateurs.
Utiliser des bureaux de session
personnels avec les services Bureau à
distance
Article • 03/03/2023
Vous pouvez déployer des appareils de bureau personnels basés sur serveur dans un
environnement de cloud computing à l'aide de bureaux de session personnels. (Un
environnement de cloud computing sépare les serveurs d'infrastructure Hyper-V des
machines virtuelles invitées, comme Microsoft Azure Cloud ou la plateforme Microsoft
Cloud.) La fonctionnalité de bureau de session personnel étend le scénario de
déploiement de bureau basé sur une session aux services Bureau à distance pour créer
un nouveau type de collection de sessions dans lequel chaque utilisateur est affecté à
son propre hôte de session personnel avec des droits d'administration.
Utilisez les informations suivantes pour créer et gérer une collection de bureaux de
session personnels.
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-User <chaîne>
-Name <chaîne>
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-Path <chaîne>
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-Force
-Name <chaîne>
-User <chaîne>
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-User <chaîne>
-Name <chaîne>
Vous pouvez exécuter l'applet de commande pour lancer une interrogation par nom de
collection, par nom d'utilisateur ou par nom de bureau de session. Si vous spécifiez
uniquement le paramètre –CollectionName, l'applet de commande renvoie la liste des
hôtes de session et des utilisateurs associés. Si vous spécifiez également le paramètre –
User, l'hôte de session associé à cet utilisateur est renvoyé. Si vous fournissez le
paramètre –Name, l'utilisateur associé à cet hôte de session est renvoyé.
-ConnectionBroker <chaîne>
-Path <chaîne>
Vous pouvez installer les composants Services Bureau à distance sur des serveurs
physiques ou des machines virtuelles.
La première étape consiste à créer des machines virtuelles Windows Server dans Azure.
Vous allez créer trois machines virtuelles : une pour l’hôte de session Bureau à distance,
une pour le service Broker de connexion Bureau à distance et une pour la passerelle
Bureau à distance et l’accès web Bureau à distance. Pour garantir la disponibilité de
votre déploiement Services Bureau à distance, créez un groupe de disponibilité (sous
High availablility (Haute disponibilité) dans le processus de création de machine
virtuelle) et regroupez plusieurs machines virtuelles dans ce groupe de disponibilité.
Après avoir créé vos machines virtuelles, procédez comme suit pour les préparer pour
Services Bureau à distance.
Lorsque vous déployez les Services Bureau à distance dans votre environnement, ils
deviennent un élément essentiel de votre infrastructure, en particulier les applications et
les ressources que vous partagez avec les utilisateurs. Si le déploiement des services
Bureau à distance s’arrête en raison d’une défaillance du réseau ou d’une catastrophe
naturelle, les utilisateurs ne peuvent pas accéder aux applications et aux ressources et
votre entreprise s’en ressent. Pour éviter ce problème, vous pouvez configurer une
solution de récupération d’urgence qui vous permet de basculer votre déploiement : si
votre déploiement des services Bureau à distance n’est pas disponible pour une raison
ou pour une autre, une sauvegarde est disponible afin de reprendre automatiquement.
Pour que votre déploiement des services Bureau à distance reste en activité en cas de
panne d’un ordinateur ou d’un composant, nous vous recommandons de configurer
votre déploiement des services Bureau à distance pour la haute disponibilité. Pour ce
faire, vous pouvez configurer une batterie de serveurs RDSH et vous assurer que vos
services Broker de connexion sont mis en cluster pour la haute disponibilité.
Les solutions de récupération d’urgence que nous recommandons ici sont destinées à
protéger votre déploiement des catastrophes, qui arrêtent tout votre déploiement des
services Bureau à distance (y compris les rôles redondants configurés pour la haute
disponibilité). Si un tel incident se produit, disposer d’une solution de récupération
d’urgence intégrée à votre déploiement vous permet de basculer la totalité du
déploiement et de remettre rapidement en fonctionnement les applications et les
ressources pour vos utilisateurs.
Utilisez les informations suivantes pour déployer les solutions de récupération d’urgence
dans les services Bureau à distance :
Exploitez plusieurs centres de données Azure pour garantir que les utilisateurs
puissent accéder à votre déploiement des services Bureau à distance, même si un
centre de données Azure tombe en panne (géo-redondance)
Déployez Azure Site Recovery pour assurer le basculement pour les composants
des services Bureau à distance dans les basculements de site à site ou de site vers
Azure
Créer un déploiement RDS avec
plusieurs centres de données géo-
redondants pour la récupération
d’urgence
Article • 03/03/2023
Vous pouvez activer la récupération d’urgence pour votre déploiement des services
Bureau à distance en exploitant plusieurs centres de données dans Azure. Contrairement
à un déploiement RDS standard à haute disponibilité (comme indiqué dans
l’architecture des services Bureau à distance), qui utilise des centres de données dans
une seule région Azure (par exemple, l’Europe de l’ouest), un déploiement de plusieurs
centres de données utilise des centres de données sur plusieurs emplacements
géographiques, accroissant ainsi la disponibilité de votre déploiement : un centre de
données Azure peut ne pas être disponible, mais il est peu probable que plusieurs
régions soient affectées en même temps. En déployant une architecture RDS géo-
redondante, vous pouvez activer le basculement en cas de défaillance catastrophique
d’une région entière.
Vous pouvez utiliser les instructions ci-dessous pour exploiter les services
d’infrastructure Azure et RDS pour proposer des services d’hébergement de postes de
travail géo-redondants et des licences d’accès SAL à plusieurs locataires via le
programme Microsoft SPLA (Service Provider License Agreement) . Vous pouvez
également utiliser les étapes ci-dessous pour créer un service d’hébergement géo-
redondant pour vos employés à l’aide des droits étendus des CAL utilisateur RDS via
Software Assurance .
Services Azure - les interfaces de gestion Azure, y compris le portail Azure, les API
et les services de mise en réseau public, tels que le DNS et l’adressage IP public.
Service d’hébergement de poste de travail - les machines virtuelles, les réseaux, le
stockage, les services Azure et les services de rôle Windows Server
Azure Fabric - les systèmes d’exploitation Windows qui exécutent le rôle Hyper-V,
utilisé pour virtualiser des serveurs physiques, des unités de stockage, des
commutateurs réseau et des routeurs. L’utilisation d’Azure Fabric vous permet de
créer des machines virtuelles, des réseaux, du stockage et des applications
indépendants du matériel sous-jacent.
Vous pouvez créer un déploiement RDS qui n’est pas hautement disponible dans chaque
région, mais même si une seule machine virtuelle est redémarrée dans une région, un
basculement se produit, ce qui augmente les probabilités de basculement, avec l’impact
que cela a sur les performances.
Étapes de déploiement
Créez les ressources suivantes dans Azure pour créer un déploiement RDS avec plusieurs
centres de données géo-redondants :
1. Deux groupes de ressources dans deux régions Azure séparées. Par exemple, RG A
(le déploiement actif, RG signifie « resource group », groupe de ressources) et RG B
(le déploiement passif).
4. Un réseau virtuel dans RG B - Vérifiez que vous utilisez un espace d’adressage qui
ne chevauche pas le déploiement dans RG A.
5. Une connexion de réseau virtuel à réseau virtuel entre les deux groupes de
ressources.
ii. Modifier les noms d’ordinateurs afin qu’ils ne soient pas en conflit avec ceux
du déploiement dans RG A.
7 Notes
Pour activer les UPD sur les deux déploiements, procédez comme suit :
PowerShell
PowerShell
Notez que Traffic Manager exige que les points de terminaison retournent 200 « OK »
en réponse à une requête GET pour être marqués comme « sain ». L’objet publicIP créé
à partir des modèles RDS fonctionnera, mais n’ajoutez pas d’addenda de chemin. Au lieu
de cela, vous pouvez donner aux utilisateurs finaux l’URL de Traffic Manager avec
« /RDWeb » à sa suite, par exemple : http://deployment.trafficmanager.net/RDWeb
En déployant Azure Traffic Manager avec la méthode de routage par priorité, vous
empêchez les utilisateurs finaux d’accéder au déploiement passif alors que le
déploiement actif fonctionne. Si les utilisateurs finaux accèdent au déploiement passif et
que le sens du réplica de stockage n’a pas été modifié pour le basculement, la
connexion de l’utilisateur se bloque car le déploiement tente et ne parvient pas à
accéder au partage de fichiers sur le cluster d’espaces de stockage direct passif. Le
déploiement échoue finalement et donne à l’utilisateur un profil temporaire.
En cas de basculement, vous devez démarrer les machines virtuelles libérées. Cette
configuration de déploiement présente l’avantage d’être peu coûteuse, au détriment du
temps de basculement. Si une défaillance irrémédiable se produit dans le déploiement
actif, vous devrez démarrer manuellement le déploiement passif, ou vous aurez besoin
d’un script d’automatisation pour détecter la défaillance et démarrer automatiquement
le déploiement passif. Dans les deux cas, plusieurs minutes peuvent être nécessaires
pour que le déploiement passif s’exécute et soit disponible pour que les utilisateurs se
connectent, ce qui entraîne un temps d’arrêt pour le service. Ce temps d’arrêt dépend
du temps nécessaire pour démarrer l’infrastructure RDS et les machines virtuelles RDSH
(généralement entre 2 et 4 minutes, si les machines virtuelles sont démarrées en
parallèle plutôt qu’en série) et le temps de mettre le cluster passif en ligne (qui dépend
de la taille du cluster, généralement 2 à 4 minutes pour un cluster à 2 nœuds avec 2
disques par nœud).
Active Directory
Les serveurs Active Directory dans chaque déploiement sont des réplicas dans le même
domaine/la même forêt. Active Directory possède un protocole de synchronisation
incorporée pour synchroniser les quatre contrôleurs de domaine. Toutefois, il peut y
avoir un décalage si un nouvel utilisateur est ajouté à un seul serveur AD, du temps peut
être nécessaire pour le répliquer sur tous les serveurs AD dans les deux déploiements.
Par conséquent, avertissez les utilisateurs de ne pas essayer de se connecter
immédiatement après leur ajout au domaine.
Serveur de licence RD
Fournissez un CAL RD par utilisateur pour chaque utilisateur nommé et autorisé à
accéder au déploiement géo-redondant. Distribuez uniformément les CAL par utilisateur
entre les deux serveurs de licences Bureau à distance dans le déploiement actif. Ensuite,
dupliquez ces CAL pour les deux serveurs de licences Bureau à distance dans le
déploiement de passif. Étant donné que les CAL sont dupliquées entre les déploiements
actif et passif, à n’importe quel moment, un seul déploiement peut être actif avec les
utilisateurs qui se connectent, ou vous violez le contrat de licence.
Gestion d’image
Quand vous mettez à jour vos images RDSH pour fournir des mises à jour logicielles ou
de nouvelles applications, vous devez mettre à jour séparément les collections RDSH
dans chaque déploiement afin de maintenir une expérience utilisateur commune entre
les deux déploiements. Vous pouvez utiliser le modèle Mise à jour de collection RDSH,
mais notez que l’infrastructure RDS et les machines virtuelles RDSH du déploiement
passif doivent être en cours d’exécution pour exécuter le modèle.
Basculement
Dans le cas du déploiement actif / passif, un basculement vous demande de démarrer
les machines virtuelles du déploiement secondaire. Procéder manuellement ou avec un
script d’automatisation. En cas de basculement catastrophique du SOFS d’espaces de
stockage direct, modifiez le sens du partenariat du réplica de stockage, afin que le
volume de destination devienne le volume source. Par exemple :
PowerShell
Vous pouvez en savoir plus avec l’article Réplication du stockage de cluster à cluster.
Test de basculement
Dans un partenariat de réplica de stockage, un seul volume (source) peut être actif à la
fois. Cela signifie que lorsque vous changez le sens du partenariat du réplica de
stockage, le volume dans le déploiement principal (RG A) devient la destination de
réplication et est donc masqué. Par conséquent, les utilisateurs qui se connectent à RG A
n’auront plus accès à leurs disques de profil utilisateur stockés sur le serveur SOFS dans
RG A.
PowerShell
PowerShell
Vous pouvez utiliser Azure Traffic Manager avec des points de terminaison locaux, mais
cela nécessite un abonnement Azure. Vous pouvez également, pour le DNS fourni aux
utilisateurs finaux, leur donner un enregistrement CNAME qui dirige simplement les
utilisateurs vers le déploiement principal. En cas de basculement, modifiez
l’enregistrement CNAME du DNS pour rediriger vers le déploiement secondaire. De
cette façon, l’utilisateur final utilise une URL unique, comme avec Azure Traffic Manager,
qui dirige l’utilisateur vers le déploiement approprié.
Si vous êtes intéressé par la création d’un modèle local-vers-Azure, envisagez d’utiliser
Azure Site Recovery.
Configurer la reprise d’activité après
sinistre pour les services Bureau à
distance avec Azure Site Recovery
Article • 03/03/2023
Vous pouvez utiliser Azure Site Recovery pour créer une solution de reprise d’activité
après sinistre de votre déploiement des services Bureau à distance.
Azure Site Recovery est un service Azure qui assure des fonctionnalités de reprise
d’activité après sinistre, en coordonnant la réplication, le basculement et la récupération
des machines virtuelles. Azure Site Recovery prend en charge de nombreuses
technologies de réplication, afin de systématiquement répliquer, protéger et basculer
sans interruption machines virtuelles et applications vers des clouds publics, privés ou
proposés par l’hébergeur.
Utilisez les informations suivantes pour créer et valider la solution de reprise d’activité
après sinistre.
Type de déploiement Site Hyper- Site Hyper-V Site VMWare Site physique
V à site à Azure à Azure à Azure
Check-list d’implémentation
Nous allons aborder plus en détail les différentes étapes de l’activation des services
Azure Site Recovery pour votre déploiement des services Bureau à distance, mais dans
l’immédiat attachons-nous aux étapes générales de l’implémentation.
Étape 1 - Configuration des machines virtuelles pour la reprise d’activité après sinistre
Hyper-V : téléchargez le fournisseur Microsoft Azure Site Recovery. Installez-le sur votre serveur
VMM ou votre hôte Hyper-V. Consultez Prérequis de la réplication vers Azure avec Azure Site
Recovery pour plus d’informations.
Hyper-V : téléchargez l’agent Microsoft Azure Recovery Services et installez-le sur les serveurs
hôtes Hyper-V.
VMWare : vérifiez que le service Mobilité est installé sur toutes les machines virtuelles.
Activez la protection des machines virtuelles dans le cloud VMM, les sites Hyper-V ou les sites
VMWare.
Mappage de vos ressources : mappez les réseaux locaux aux réseaux virtuels Azure.
Testez le plan de reprise en créant un test de basculement. Vérifiez que toutes les machines
virtuelles peuvent accéder aux ressources nécessaires, comme Active Directory. Assurez-vous que
les redirections de réseau sont configurées et qu’elles fonctionnent pour les services Bureau à
distance. Pour obtenir des instructions détaillées sur le test de votre plan de reprise, consultez
Effectuer un test de basculement
Effectuez une extraction de reprise d’activité à l’aide des basculements planifiés et non planifiés.
Assurez-vous que toutes les machines virtuelles ont accès aux ressources nécessaires, telles
qu’Active Directory. Assurez-vous que toutes les machines virtuelles ont accès aux ressources
nécessaires, telles qu’Active Directory. Pour obtenir des instructions détaillées sur les
basculements et la façon de procéder aux extractions, consultez Basculement dans Site Recovery.
Activer la reprise d’activité après sinistre
des services Bureau à distance à l’aide
d’Azure Site Recovery
Article • 03/03/2023
Pour vérifier que le déploiement des services Bureau à distance est correctement
configuré en cas de reprise d’activité après sinistre, vous devez protéger tous les
composants qui constituent votre déploiement des services Bureau à distance :
Active Directory
Niveau SQL Server
Composants des services Bureau à distance
Composants réseau
Consultez Protéger Active Directory et DNS avec Azure Site Recovery pour plus
d’informations sur la mise à disposition d’un contrôleur de domaine sur le site de reprise
d’activité après sinistre. Pour le reste de ces informations d’aide, nous supposons que
vous avez suivi ces étapes et que le contrôleur de domaine est disponible.
Configurer la réplication SQL Server
Consultez Protéger SQL Server à l’aide de la reprise d’activité après sinistre et d’Azure
Site Recovery pour connaître les étapes de configuration de la réplication SQL Server.
Bureau virtuel personnel (non 1. Vérifiez que tous les hôtes de virtualisation disposent du rôle
managé) de serveur hôte de virtualisation des services Bureau à distance.
2. Service Broker pour les connexions.
3. Bureaux personnels.
Bureau virtuel mis en pool 1. Tous les hôtes de virtualisation disposent du rôle de serveur
(managé sans UPD) hôte de virtualisation des services Bureau à distance.
2. Service Broker pour les connexions.
3. Modèle de machine virtuelle maître.
4. Accès web, serveur de licences et serveur de passerelle.
Vous pouvez créer un plan de récupération d’urgence dans Azure Site Recovery pour
automatiser le processus de basculement. Ajoutez toutes les machines virtuelles du
composant des services Bureau à distance au plan de récupération.
Procédez comme suit dans Azure pour créer votre plan de récupération :
1. Ouvrez le coffre Azure Site Recovery dans le portail Azure, puis cliquez sur Plans de
récupération.
2. Cliquez sur Créer et entrez le nom du plan.
3. Sélectionnez votre Source et votre Cible. La cible est soit un site secondaire des
services Bureau à distance, soit Azure.
4. Sélectionnez les machines virtuelles qui hébergent vos composants des services
Bureau à distance, puis cliquez sur OK.
ipconfig /registerdns
Broker - broker.contoso.com
ipmo RemoteDesktop;
La machine virtuelle modèle démarre une fois récupérée sur le site secondaire,
mais il s’agit d’une machine virtuelle préparée avec Sysprep et elle ne peut pas
démarrer complètement. Les services Bureau à distance exigent également que la
machine virtuelle soit arrêtée pour pouvoir créer une configuration de pool de
machines virtuelles. Par conséquent, nous devons l’arrêter. Si vous avez un seul
serveur VMM, le nom de la machine virtuelle modèle est le même sur le serveur
principal et sur le serveur secondaire. Pour cette raison, nous utilisons l’ID de
machine virtuelle comme spécifié par la variable Context dans le script ci-dessous.
Si vous avez plusieurs modèles, désactivez-les tous.
PowerShell
ipmo virtualmachinemanager;
Foreach($vm in $VMsAsTemplate)
Vous devez supprimer les machines virtuelles regroupées en pool sur le site
principal dans le service Broker de connexion afin que de nouvelles machines
virtuelles puissent être créées sur le site secondaire. Dans ce cas, vous devez
spécifier l’hôte exact sur lequel créer la machine virtuelle regroupée dans le pool.
Notez que ceci supprimera les machines virtuelles uniquement dans la collection.
PowerShell
ipmo RemoteDesktop
Foreach($vm in $desktops){
Recréez les machines virtuelles regroupées en pools sur le site de récupération via
le service Broker de connexion. Dans ce cas, vous devez spécifier l’hôte exact sur
lequel créer la machine virtuelle regroupée dans le pool.
Le nom de machine virtuelle dans le pool doit être unique, avec préfixe et suffixe.
Si le nom de la machine virtuelle existe déjà, le script échoue. En outre, si les
machines virtuelles côté principal sont numérotées de 1 à 5, la numérotation du
site de récupération reprendra à partir de 6.
PowerShell
ipmo RemoteDesktop;
PowerShell
Broker - broker.contoso.com
ipmo RemoteDesktop;
La machine virtuelle modèle démarre une fois récupérée sur le site secondaire,
mais il s’agit d’une machine virtuelle préparée avec Sysprep et elle ne peut pas
démarrer complètement. Les services Bureau à distance exigent également que la
machine virtuelle soit arrêtée pour pouvoir créer une configuration de pool de
machines virtuelles. Par conséquent, nous devons l’arrêter. Si vous avez un seul
serveur VMM, le nom de la machine virtuelle modèle est le même sur le serveur
principal et sur le serveur secondaire. Pour cette raison, nous utilisons l’ID de
machine virtuelle comme spécifié par la variable Context dans le script ci-dessous.
Si vous avez plusieurs modèles, désactivez-les tous.
PowerShell
ipmo virtualmachinemanager;
Foreach($vm in $VMsAsTemplate)
PowerShell
ipmo RemoteDesktop
Foreach($vm in $desktops){
Gestion et surveillance
Consultez Gérer les utilisateurs de votre collection de services Bureau à distance pour en
savoir plus sur la gestion des accès à vos appareils de bureau et à vos ressources
distantes.
Utilisez les informations suivantes pour gérer une collection de sessions de bureaux
personnels dans les services Bureau à distance.
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-User <chaîne>
-Name <chaîne>
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-Path <chaîne>
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-Force
-Name <chaîne>
-User <chaîne>
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-User <chaîne>
-Name <chaîne>
Vous pouvez exécuter l'applet de commande pour lancer une interrogation par nom de
collection, par nom d'utilisateur ou par nom de bureau de session. Si vous spécifiez
uniquement le paramètre –CollectionName, l'applet de commande renvoie la liste des
hôtes de session et des utilisateurs associés. Si vous spécifiez également le paramètre –
User, l'hôte de session associé à cet utilisateur est renvoyé. Si vous fournissez le
paramètre –Name, l'utilisateur associé à cet hôte de session est renvoyé.
L'applet de commande Export-RDPersonalPersonalDesktopAssignment exporte les
associations actuelles entre les utilisateurs et les bureaux virtuels personnels dans un
fichier texte. L’applet de commande prend en charge les paramètres suivants :
-CollectionName <chaîne>
-ConnectionBroker <chaîne>
-Path <chaîne>
Bien que le réglage de base du système d’exploitation Windows 10 soit très efficace,
vous pouvez l’affiner pour l’environnement Microsoft Virtual Desktop Infrastructure
(VDI) de votre entreprise. Dans l’environnement VDI, plusieurs services et tâches
d’arrière-plan et désactivés par défaut.
Cette rubrique n’est pas un modèle à suivre à la lettre, mais plutôt un repère ou un point
de départ. Certaines recommandations peuvent entraîner la désactivation des
fonctionnalités que vous souhaitez utiliser. Nous vous recommandons donc d’envisager
les avantages et les désavantages de l’ajustement de vos paramètres selon votre
situation.
7 Notes
Tous les paramètres qui ne sont pas spécifiquement mentionnés dans cette
rubrique peuvent être laissés à leurs valeurs par défaut (ou définis selon vos
besoins et stratégies). Cela n’aura aucun impact notable sur les fonctionnalités de
l’infrastructure VDI.
Lorsque vous créez une image pour le déploiement du VDI, veillez à utiliser l’option
Current Branch. Si vous souhaitez en savoir plus sur l’option Current Branch, veuillez
consulter l’article Informations sur les publications pour Windows 10.
Si vous avez choisi Personnaliser, vous pouvez ajuster ces paramètres lors de
l’installation :
Personnalisation
Envoyer des données de saisie clavier et manuscrite à Microsoft pour Activé Désactivé
améliorer la plateforme de reconnaissance et de suggestion.
Autorisez Skype (s’il est installé) à vous aider à vous connecter aux Activé Désactivé
amis de votre carnet d’adresses et à vérifier votre numéro de
téléphone mobile. Des frais d’envoi de SMS et de données peuvent
s’appliquer.
Emplacement
Utiliser les services en ligne SmartScreen pour favoriser la protection Activé Activé
contre le contenu et les téléchargements malveillants présents sur des (Désactivé s’il
sites chargés par les navigateurs Windows et les applications issues du n’existe aucun
Windows Store accès à
Internet)
Obtenez des mises à jour et envoyez-en sur les PC connectés à Activé Désactivé
Internet afin d’accélérer les téléchargements des applications et des
mises à jour Windows Update
Une fois l’installation terminée, vous pouvez continuer à ajuster les paramètres en
commençant par Paramètres Windows.
1. Cliquez sur Gérer les fonctionnalités facultatives (cette option est située juste en
dessous du titre Applications et fonctionnalités sur la même page).
2. Cliquez sur la fonctionnalité facultative de votre choix, puis sur Désinstaller.
Applications par défaut
Cette zone définit l’application à utiliser par défaut pour certaines fonctionnalités
génériques telles que le courrier électronique, la navigation sur le web et les cartes. Si
vous souhaitez utiliser une autre application pour une fonctionnalité particulière, cliquez
sur l’entrée en cours, puis sur l’application que vous préférez utiliser dans l’image VDI. Si
vous souhaitez utiliser une application tierce (non fournie par Microsoft), vous devez
l’installer avant de régler ce paramètre.
Notifications et actions
Mode Tablette
Exécution automatique
Contexte
Parfois, un arrière-plan noir par défaut inciter les utilisateurs à croire que l’ordinateur ne
répond plus. En modifiant la couleur d’arrière-plan, vous pouvez éviter ce genre de
méprise. Pour cela, procédez comme suit :
Démarrer
Afficher les éléments récemment ouverts dans les Listes Activé Désactivé
de raccourcis de l’écran d’accueil ou la barre des tâches
Barre des tâches
Le paramètre par défaut consiste à utiliser les boutons de barre des tâches de grande
taille (autrement dit, la valeur « Désactivé » pour Utiliser des petits boutons de barre
des tâches). Ce paramètre entraîne l’élément Cortana à utiliser une grande partie de la
barre des tâches. Pour éviter ce problème, définissez Utiliser des petits boutons de
barre des tâches sur « Activé ». Si vous préférez que les éléments de la barre des tâches
restent plus grands, mais souhaitez que Cortana n’occupe pas beaucoup d’espace, faites
un clic droit sur la barre des tâches, pointez sur Cortana puis, dans le menu qui s’affiche,
sélectionnez Masquée.
Général
Certains de ces paramètres sont également définis dans la fenêtre « Personnaliser les
paramètres », décrite au début de cette rubrique.
Laisser les applications utiliser mon identifiant de publicité (la Activé Désactivé
désactivation de cette option réinitialise votre identifiant)
Laissez les sites Web accéder à ma liste de langues pour fournir Activé Désactivé
du contenu local
Autoriser les applications installées sur vos autres appareils à Activé Désactivé
exécuter des applications et à poursuivre les expériences
entamées sur cet appareil
Appareil photo
La valeur par défaut pour « Autoriser les applications à utiliser ma caméra » est Activé.
Nous vous recommandons de le définir sur Désactivé si vous utilisez un VDI.
Microphone
La valeur par défaut pour « Autoriser les applications à utiliser mon microphone » est
Activé. Nous vous recommandons de le définir sur Désactivé si vous utilisez un VDI.
Notifications
La valeur par défaut pour « Autoriser les applications à accéder à mes notifications » est
Activé. Nous vous recommandons de le définir sur Désactivé si vous utilisez un VDI.
Contacts
La valeur par défaut pour « Autoriser les applications à accéder à mes contacts » est
Activé. Nous vous recommandons de le définir sur Désactivé si vous utilisez un VDI.
Calendrier
La valeur par défaut pour « Autoriser les applications à accéder à mon calendrier » est
Activé. Nous vous recommandons de le définir sur Désactivé si vous utilisez un VDI.
Courrier électronique
La valeur par défaut pour « Autoriser les applications à accéder à et à envoyer un
courrier électronique » est Activé. Nous vous recommandons de le définir sur Désactivé
si vous utilisez un VDI.
Messagerie
La valeur par défaut pour « Autoriser les applications à lire ou envoyer des messages
(SMS ou MMS) » est Activé. Nous vous recommandons de le définir sur Désactivé si
vous utilisez un VDI.
Radios
La valeur par défaut pour « Laisser les applications contrôler les radios » est Activé.
Nous vous recommandons de le définir sur Désactivé si vous utilisez un VDI.
Autres appareils
Commentaires et diagnostics
La valeur par défaut pour « Windows demande à recevoir mes commentaires » est
Automatiquement. Nous vous recommandons de le définir sur Jamais si vous utilisez
un VDI.
Applications en arrière-plan
Les applications répertoriées ici sont définies par défaut sur Activé, ce qui leur permet
de recevoir des informations, d’envoyer des notifications et de se mettre à jour
automatiquement, qu’elles soient utilisées ou non. Nous vous recommandons de
désactiver (en définissant le paramètre sur Désactivé) toutes les applications qui ne
doivent pas être exécutées en arrière-plan dans votre image VDI.
Windows Update
Dans la zone Mettre à jour les paramètres, cliquez sur Options avancées pour ajuster
ces paramètres :
Dans la page Options avancées, cliquez sur Choisir le mode de distribution des mises à
jour pour accéder au paramètre « Mises à jour provenant de plusieurs emplacements ».
La valeur par défaut est Activé ; pour VDI, la valeur recommandée est Désactivé.
7 Notes
Tous les paramètres qui ne sont pas spécifiquement mentionnés dans cette
rubrique peuvent être laissés à leurs valeurs par défaut (ou définis selon vos
besoins et stratégies). Cela n’aura aucun impact notable sur les fonctionnalités de
l’infrastructure VDI.
Planificateur de tâches
Le moyen le plus rapide pour ouvrir le Planificateur de tâches consiste à appuyer sur la
touche Windows, puis à taper Planificateur de tâches ou taskschd.msc. Dans les résultats
affichés, cliquez sur Planificateur de tâches pour ouvrir l’utilitaire. Dans le Planificateur
de tâches, développez successivement Bibliothèque du Planificateur de tâches,
Microsoft, puis Windows. Vous avez désormais accès à la liste des collections de tâches.
Pour modifier le statut d’une tâche planifiée, faites un clic droit dessus, puis cliquez sur
le statut de votre choix (en règle générale, Désactivé si vous utilisez un VDI).
Programme d’amélioration
du produit
Collection de tâches Nom de la tâche État par Statut recommandé si vous
défaut utilisez un VDI
Defrag
Emplacement
Maintenance
Cartes
Diagnostics de l’efficacité
énergétique
Environnement de
récupération
Démonstration
commerciale
Shell
Partage de fichiers
multimédias Windows
Cliquez sur Windows à nouveau pour réduire ce niveau, puis cliquez sur XblGameSave.
Cela vous permet d’accéder aux tâches XBLGameSaveTask et XBLGameSaveTaskLogon.
Vous pouvez définir leurs statuts sur Désactivé.
Analyseur de performances
Le moyen le plus rapide pour ouvrir l’Analyseur de performances consiste à appuyer sur
la touche Windows, puis de taper Analyseur de performances ou perfmon.msc. Dans les
résultats affichés, cliquez sur Analyseur de performances. Dans l’Analyseur de
performances, cliquez sur Ensembles de collecteurs de données, puis double-cliquez
sur Sessions de suivi d’événements. Faites un clic droit sur WiFiSession. Si son statut est
défini sur En cours d’exécution, cliquez sur Arrêter.
Cliquez sur StartupEventTraceSessions, puis faites un clic droit sur ReadyBoot. Si son
statut est défini sur En cours d’exécution, cliquez sur Arrêter. Cliquez sur Sessions de
suivi d’événements, faites un clic droit sur ReadyBoot, puis cliquez sur Propriétés. Dans
la boîte de dialogue qui s’ouvre, cliquez sur l’onglet Session de suivi. Décochez la case
en regard d’Activé.
Services
Le moyen le plus rapide pour gérer les Services consiste à appuyer sur la touche
Windows, puis à taper services. Dans les résultats affichés, cliquez sur Services. Nous
vous recommandons de désactiver les services suivants si vous utilisez un VDI. Toutefois,
vous devrez peut-être effectuer des tests pour vous assurer qu’ils ne vous sont pas
nécessaires. Pour désactiver un service, dans le composant logiciel enfichable Services,
cliquez sur le nom du service à désactiver, puis sur Propriétés. Sous l’onglet Général,
cliquez sur le menu déroulant en regard de Type de démarrage, puis sur Désactivé.
Cliquez sur OK.
BranchCache
Optimisation de la distribution
Service hôte WDIServiceHost
Service Point d'accès sans fil mobile Windows
Gestionnaire d'authentification Xbox Live
Jeu sauvegardé sur Xbox Live
Service de mise en réseau Xbox Live
Paramètres Flash
Appuyez sur la touche Windows, puis tapez Panneau de configuration. Dans les résultats
affichés, cliquez sur le Panneau de configuration. Dans le panneau de configuration,
cliquez sur Flash Player pour ouvrir le Gestionnaire des paramètres de Flash Player. Sous
l’onglet Enregistrement, sélectionnez l’option Empêcher tous les sites d’enregistrer des
informations sur cet ordinateur. Dans la boîte de dialogue qui s’ouvre, cliquez sur OK.
Sous l’onglet Lecture, dans la zone Mise en réseau coopérative, sélectionnez l’option
Empêcher tous les sites de recourir à la mise en réseau coopérative. Fermez le
Gestionnaire des paramètres de Flash Player.
Options Internet
Appuyez sur la touche Windows, puis tapez Panneau de configuration. Dans les résultats
affichés, cliquez sur le Panneau de configuration. Dans le Panneau de configuration,
cliquez sur Options Internet pour ouvrir les propriétés d’Internet. Dans la zone Page de
démarrage, entrez l’URL du site web que vous voulez que les utilisateurs voient en tant
que page d’accueil dans leurs navigateurs. Cela peut être un site web de votre
entreprise, ou une page d’accueil vide, en entrant about:blank.
Dans la zone Historique de navigation, cochez la case en regard de Supprimer
l’historique de navigation en quittant le navigateur.
Options d’alimentation
Appuyez sur la touche Windows, puis tapez Panneau de configuration. Dans les résultats
affichés, cliquez sur le Panneau de configuration. Dans le panneau de configuration,
cliquez sur Options d’alimentation pour ouvrir la fenêtre Options d’alimentation. Dans
la zone Choisir ou personnaliser un mode de gestion de l’alimentation, cliquez sur la
flèche vers le bas pour Afficher les modes supplémentaires, puis sélectionnez l’option
Performances élevées. Ce paramètre a très peu d’impact sur l’hôte VDI.
System
Appuyez sur la touche Windows, puis tapez Panneau de configuration. Dans les résultats
affichés, cliquez sur le Panneau de configuration. Dans le panneau de configuration,
cliquez sur Système pour ouvrir la fenêtre Système. Dans le volet de droite, cliquez sur
Paramètres système avancés. Dans la boîte de dialogue qui s’ouvre, cliquez sur l’onglet
Avancé. Dans la zone Performances, cliquez sur Paramètres. Puis sous l’onglet Effets
visuels, sélectionnez l’option Ajuster afin d’obtenir les meilleures performances.
Cliquez sur OK pour enregistrer et quitter.
7 Notes
Tous les paramètres qui ne sont pas spécifiquement mentionnés dans cette
rubrique peuvent être laissés à leurs valeurs par défaut (ou définis selon vos
besoins et stratégies). Cela n’aura aucun impact notable sur les fonctionnalités de
l’infrastructure VDI.
Service de transfert
intelligent en
arrière-plan (BITS)
BranchCache
Authentification de
la zone d’accès sans
fil
Fichiers hors
connexion
Installation
de
périphériques
Cliquez sur Récupération, puis double-cliquez sur Autoriser la restauration de l’état par
défaut du système. Sélectionnez l’option Activé, puis cliquez sur OK pour enregistrer.
Cliquez sur chacune des zones de paramètres suivantes, puis double-cliquez sur
Configurer le niveau d'exécution des scénarios, sélectionnez l’option Désactivé, puis
cliquez sur OK pour enregistrer :
Processus
d’ajout de
fonctionnalités
à Windows 10
Zone Paramètre Valeur recommandée pour une
Paramètre utilisation de VDI
Stratégies
d’exécution
automatique
Contenu cloud
Collecte des
données et
versions
d’évaluation
Preview
Gestionnaire
de fenêtres du
Bureau
Interface
utilisateur
latérale
Explorateur de
fichiers
Explorateur de
jeux
Groupement
résidentiel
Internet
Explorer
Au même niveau que paramètre Internet Explorer que vous avez ajusté dans la table
précédente, notez un autre niveau de dossiers allant d’Accélérateurs à Barres d’outils.
En d’autres termes, vous êtes maintenant à Stratégie de l’ordinateur local >
Configuration ordinateur > Modèles d’administration > Composants Windows >
Internet Explorer.
Navigation
Multimédia
Revenez au niveau Internet Explorer, puis double-cliquez sur Paramètres Internet. Dans
ce dossier, définissez ces deux paramètres sous Saisie semi-automatique sur Activé :
Désactiver l’emplacement
Désactiver le script d’emplacement
Désactiver les capteurs
Dans le volet gauche, cliquez sur Cartes, définissez ces paramètres sur valeur Activé. À
chaque fois, cliquez sur OK pour enregistrer et quitter :
OneDrive
Empêcher Activé
l’utilisation de
OneDrive pour le
stockage de
fichiers
Flux RSS
Empêcher la Activé
découverte
automatique des
flux et des
composants Web
Slice
Recherche
Autoriser la Désactivé
recherche et
autoriser Cortana
à utiliser la
localisation
Ne pas Activé
rechercher sur
le web ou afficher
des résultats web
dans la recherche
Empêcher Activé
l’indexation des
fichiers dans le
cache des fichiers
hors connexion
Store
Désactiver la Activé
proposition
d’effectuer une
mise à jour vers la
dernière version
de Windows
Rapport
d’erreurs
Windows
Envoyer Désactivé
automatiquement
des images
mémoire pour les
rapports d’erreurs
générés par le
système
d’exploitation
Désactiver le Activé
rapport d’erreurs
Windows
Réglages du Paramètre Valeur recommandée pour une utilisation de VDI
dossier sous
Composants
Windows
Windows
Installer
Désactiver la Activé
création de
points de
vérification pour
la Restauration
du système
Windows
Mail 7.0
Désactiver la Activé
fonctionnalité
Communautés
Lecteur
Windows Media
Empêcher le Activé
partage de
médias
Centre de
mobilité
Windows
Désactiver le Activé
Centre de
mobilité
Windows
Réglages du Paramètre Valeur recommandée pour une utilisation de VDI
dossier sous
Composants
Windows
Analyse de
fiabilité
Windows
Windows
Update
Autoriser Activé
l’installation
immédiate des
mises à jour
automatiques
Dans le dossier
Windows
Update, ouvrez
Différer les
mises à jour de
Windows
Bureau
Dans le dossier
Bureau, ouvrez
Active Directory
Menu Démarrage
et barre des tâches
Dans le dossier
Menu Démarrer et
barre des tâches,
ouvrez
Notifications
Réglages du Paramètre Valeur recommandée pour une
dossier sous utilisation de VDI
Modèles
d’administration
Dans le dossier
Composants
Windows, ouvrez :
Contenu cloud
Explorateur de
fichiers
Obtenir Office
Skype (Preview)
Prise en main (en particulier s’il n’y a aucune connexion à Internet)
Hub de commentaires
Microsoft Solitaire Collection
Wi-Fi payants et Cellulaire
Pour personnaliser le profil utilisateur par défaut utilisé pour créer des images VDI,
utilisez le compte Administrateur intégré. S’il n'est pas déjà activé, vous pouvez le faire
en utilisant Utilisateurs locaux et Groupes dans Gestion de l’ordinateur. Puis, connectez-
vous à votre compte Administrateur pour mener à bien la procédure suivante.
7 Notes
Ne supprimez pas les applications système telles que l’application Store. Elles sont
difficiles à réinstaller. D’autres applications peuvent être facilement réinstallées à
partir du Store.
2. Exécutez les cmdlets en suivant le format de cet exemple pour chaque gestionnaire
de package d’application à désinstaller :
1. Utilisez cette cmdlet pour répertorier les applications du Store et d’autres éléments
ayant provisionné des données dans le stockage : Get-AppxProvisionedPackage -
Online .
Cet article est destiné à fournir des suggestions relatives à la configuration de Windows 10,
build 2004, dans le but d’optimiser les performances des environnements de bureau
virtualisé, notamment l’infrastructure VDI (Virtual Desktop Infrastructure) et Azure Virtual
Desktop. Tous les paramètres de ce guide sont des paramètres d’optimisation suggérés et
ne sont en aucun cas obligatoires.
7 Notes
Les paramètres d’optimisation peuvent être définis sur une machine de référence. Une
machine virtuelle est l’endroit idéal pour créer la machine virtuelle de base. En effet, l’état
peut être enregistré, des points de contrôle peuvent être créés, des sauvegardes peuvent
être effectuées, etc. Une installation par défaut du système d’exploitation est effectuée sur
la machine virtuelle de base. Cette machine virtuelle de base est ensuite optimisée :
suppression des applications inutiles, installation des mises à jour Windows, installation
d’autres mises à jour, suppression des fichiers temporaires, application des paramètres, etc.
La sécurité et la stabilité sont au premier rang des priorités de Microsoft pour ses produits
et ses services. En matière de gestion de la sécurité, les différences entre les bureaux
virtuels et les appareils physiques ne sont pas très importantes. Les clients d’entreprise
peuvent choisir d’utiliser les services Windows intégrés à Sécurité Windows. Cette suite de
services fonctionne bien avec ou sans connexion à Internet. Pour les environnements de
bureau virtuel non connectés à Internet, les signatures de sécurité peuvent être
téléchargées de manière proactive plusieurs fois par jour, car Microsoft peut publier
plusieurs mises à jour de signatures par jour. Ces signatures peuvent ensuite être fournies
aux appareils de bureau virtuel, puis leur installation en production peut être planifiée
(mode persistant ou non persistant). De cette façon, la protection des machines virtuelles
est la plus à jour possible.
Les paramètres de stratégie locale, ainsi que de nombreux autres paramètres de ce guide,
peuvent être remplacés par une stratégie basée sur un domaine. Il est recommandé
d’examiner attentivement les paramètres de stratégie et de supprimer, ou de ne pas utiliser,
ceux qui ne sont pas souhaités ou qui ne s’appliquent pas à votre environnement. Les
paramètres listés dans ce document tentent de trouver le meilleur équilibre entre, d’une
part, l’optimisation des performances dans les environnements de bureau virtuel et, d’autre
part, une expérience utilisateur de qualité.
7 Notes
Avec les environnements de bureau virtuel non persistants basés sur une image, l’image de
base est en lecture seule. Quand un appareil de bureau virtuel non persistant est démarré,
une copie de l’image de base est diffusée en streaming à la machine virtuelle. L’activité qui
se produit lors du démarrage et par la suite jusqu’au redémarrage suivant est redirigée vers
un emplacement temporaire. En général, des emplacements réseau sont fournis aux
utilisateurs pour stocker leurs données. Dans certains cas, le profil de l’utilisateur est
fusionné avec la machine virtuelle standard pour fournir ses paramètres à cet utilisateur.
La maintenance est un aspect important d’un bureau virtuel non persistant basé sur une
image. Les mises à jour du système d’exploitation et de ses composants sont généralement
livrées une fois par mois. Avec un environnement de bureau virtuel basé sur une image, un
ensemble de processus doivent être effectués pour obtenir les mises à jour de l’image :
Sur un hôte donné, toutes les machines virtuelles présentes sur cet hôte qui reposent
sur l’image de base doivent être arrêtées ou désactivées. Cela signifie que les
utilisateurs sont redirigés vers d’autres machines virtuelles.
L’image de base est ensuite ouverte et démarrée. Toutes les activités de maintenance
sont ensuite effectuées : mises à jour du système d’exploitation, mises à jour de .NET,
mises à jour des applications, etc.
L’image de base est scellée et définie comme pouvant être remise en production.
7 Notes
PowerShell
Get-ScheduledTask | Where-Object {$_.Settings.MaintenanceSettings}
Un des défis liés à un bureau virtuel non persistant est que la quasi-totalité des activités du
système d’exploitation sont abandonnées quand un utilisateur se déconnecte. Le profil de
l’utilisateur et/ou l’état peuvent être enregistrés dans un emplacement centralisé, mais la
machine virtuelle elle-même abandonne presque toutes les modifications apportées depuis
le dernier démarrage. Par conséquent, les optimisations destinées à un ordinateur Windows
qui enregistre l’état d’une session à l’autre ne sont pas applicables.
En fonction de l’architecture de l’appareil de bureau virtuel, des éléments tels que PreFetch
et SuperFetch ne sont pas utiles d’une session à l’autre, car toutes les optimisations sont
abandonnées au redémarrage de la machine virtuelle. L’indexation peut être une perte
partielle de ressources, tout comme une optimisation de disque telle qu’une
défragmentation traditionnelle.
7 Notes
Si vous préparez une image à l’aide de la virtualisation et que vous êtes connecté à
Internet durant le processus de création de l’image, à la première ouverture de session,
vous devez reporter les mises à jour des fonctionnalités. Pour cela, accédez à
Paramètres>Windows Update.
Il existe des raisons pour et contre l’exécution de sysprep. Dans le cas d’environnements de
bureau virtuel, vous souhaiterez peut-être personnaliser le profil utilisateur par défaut qui
sera utilisé comme modèle de profil pour les utilisateurs suivants qui se connecteront à
l’aide de cette image. Vous avez peut-être des applications à installer, mais vous souhaitez
aussi pouvoir contrôler les paramètres de chaque application.
L’alternative consiste à utiliser une image .ISO standard à partir de laquelle faire les
installations, éventuellement en utilisant un fichier de réponses d’installation sans
assistance, et une séquence de tâches pour installer ou supprimer des applications. Vous
pouvez aussi utiliser une séquence de tâches pour définir des paramètres de stratégie
locale dans l’image, par exemple en utilisant l’outil Utilitaire Objet Stratégie de groupe
locale (LGPO, Local Group Policy Object).
Pour en savoir plus sur la préparation d’images pour Azure, consultez Préparer un VHD ou
VHDX Windows à charger sur Azure
Prise en charge
Chaque fois que des valeurs par défaut de Windows sont changées, des questions se
posent sur la prise en charge. Une fois qu’une image de bureau virtuel (machine virtuelle ou
session) est personnalisée, toute modification apportée à l’image doit être consignée dans
un journal des modifications. Dans l’éventualité d’un dépannage, une image peut souvent
être isolée dans un pool et configurée en vue d’une analyse des problèmes. Après avoir
identifié la cause racine du problème, vous pouvez déployer la modification : d’abord sur
l’environnement de test, puis sur la charge de travail de production.
Ce document évite intentionnellement d’aborder les services système, les stratégies ou les
tâches qui affectent la sécurité. « Après cela, vient la maintenance Windows. La possibilité
de traiter les images de bureau virtuel en dehors des fenêtres de maintenance est
supprimée, car ces fenêtres ont lieu quand la plupart des événements de maintenance se
produisent dans les environnements de bureau virtuel, à l’exception des mises à jour
logicielles de sécurité. Microsoft a publié des conseils pour la sécurité de Windows dans les
environnements de bureau virtuel :
Vous pouvez entrer les termes "start value" site:support.microsoft.com dans votre
moteur de recherche préféré pour voir les problèmes connus concernant les valeurs de
démarrage par défaut des services.
Vous noterez peut-être que ce document et les scripts associés sur GitHub ne modifient
aucune autorisation par défaut. Si vous souhaitez améliorer vos paramètres de sécurité,
commencez par le projet appelé AaronLocker. Pour plus d’informations, consultez la vue
d’ensemble de « AaronLocker » .
Dans le cadre d’une installation par défaut de Windows 10, les applications UWP ne sont
peut-être pas toutes utilisées par une organisation. Si ces applications sont supprimées, il y
a donc moins d’évaluations à effectuer, moins de mise en cache, etc. La deuxième méthode
consiste à demander à Windows de désactiver les « expériences utilisateur ». Cela permet
de réduire l’activité du Store qui doit, pour chaque utilisateur, vérifier les applications
installées et les applications disponibles, puis commencer à télécharger certaines
applications UWP. Les gains de performance peuvent être importants quand vous avez des
centaines ou des milliers d’utilisateurs qui commencent à travailler à peu près en même
temps, voire à des heures différentes sur plusieurs fuseaux horaires.
La connectivité et le minutage sont des facteurs importants dès lors qu’il est question du
nettoyage des applications UWP. Si vous déployez votre image de base sur un appareil sans
connectivité réseau, Windows 10 ne peut pas se connecter à Microsoft Store, ni télécharger
des applications et essayer de les installer alors que vous essayez de les désinstaller. Ce
peut être une bonne stratégie que de prendre le temps de personnaliser votre image, puis
de mettre à jour le reste à un stade ultérieur du processus de création de l’image.
Si vous modifiez le fichier .WIM de base que vous utilisez pour installer Windows 10 et que
vous supprimez les applications UWP non nécessaires du fichier .WIM avant l’installation,
les applications ne seront pas installées dès le départ et le temps de création des profils
suivants sera plus court. Vous trouverez un lien plus loin dans cette section sur la
suppression des applications UWP du fichier .WIM de votre installation.
Une bonne stratégie pour l’environnement de bureau virtuel consiste à provisionner les
applications souhaitées dans l’image de base, puis à limiter ou à bloquer l’accès au
Microsoft Store. Les applications du Store sont mises à jour périodiquement en arrière-plan
sur les ordinateurs normaux. Les applications UWP peuvent être mises à jour pendant la
fenêtre de maintenance quand d’autres mises à jour sont appliquées.
Les applications UWP qui ne sont pas nécessaires sont toujours présentes dans le système
de fichiers, consommant une petite quantité d’espace disque. Pour les applications qui ne
seront jamais nécessaires, la charge utile des applications UWP non souhaitées peut être
supprimée de l’image de base en utilisant des commandes PowerShell. Si vous supprimez
les charges utiles des applications UWP du fichier .WIM d’installation en utilisant les liens
fournis plus loin dans cette section, vous pouvez commencer avec une liste très courte
d’applications UWP.
Exécutez la commande suivante pour énumérer les applications UWP provisionnées à partir
d’un système d’exploitation en cours d’exécution, comme dans cet exemple de sortie
tronquée de PowerShell :
PowerShell
Get-AppxProvisionedPackage -Online
DisplayName : Microsoft.3DBuilder
Version : 13.0.10349.0
Architecture : neutral
ResourceId : \~
PackageName : Microsoft.3DBuilder_13.0.10349.0_neutral_\~_8wekyb3d8bbwe
Regions :
DisplayName : Microsoft.Appconnector
Version : 2015.707.550
Architecture : neutral
ResourceId : \~
PackageName : Microsoft.Appconnector_2015.707.550.0_neutral_\~_8wekyb3d8bbwe
Regions :
...
Les applications UWP qui sont provisionnées sur un système peuvent être supprimées lors
de l’installation du système d’exploitation dans le cadre d’une séquence de tâches, ou plus
tard une fois le système d’exploitation installé. Ceci peut être la méthode préférée, car elle
rend modulaire le processus global de création ou de gestion d’image. Une fois que vous
développez les scripts, si quelque chose change dans une build ultérieure, vous modifiez un
script existant au lieu de répéter le processus à partir de zéro.
Si vous souhaitez en savoir plus, voici quelques ressources qui pourront vous être utiles :
Exécutez ensuite la commande PowerShell suivante pour supprimer les charges utiles des
applications UWP :
PowerShell
Pour conclure, l’applicabilité doit être évaluée pour chaque application UWP dans chaque
environnement. Vous devez installer une installation par défaut de Windows 10,
version 2004, puis noter les applications qui s’exécutent et consomment de la mémoire. Par
exemple, vous pouvez envisager de supprimer les applications qui démarrent
automatiquement ou celles qui affichent automatiquement des informations dans le menu
Démarrer, comme Météo et Actualités, et qui ne sont pas utiles dans votre environnement.
7 Notes
Si vous utilisez les scripts disponibles sur GitHub, vous pouvez facilement contrôler les
applications à supprimer avant l’exécution des scripts. Après avoir téléchargé les
fichiers de script, recherchez le fichier AppxPackages.json, modifiez-le, puis supprimez
les entrées des applications que vous souhaitez conserver, telles que Calculatrice ou
Pense-bêtes.
Vous pouvez gérer les fonctionnalités facultatives de Windows à l’aide de PowerShell. Pour
énumérer les fonctionnalités Windows installées, exécutez la commande PowerShell
suivante :
PowerShell
Get-WindowsOptionalFeature -Online
Vous pouvez utiliser PowerShell pour configurer une fonctionnalité facultative de Windows
énumérée comme activée ou désactivée. Voici un exemple :
PowerShell
PowerShell
Ensuite, vous souhaiterez peut-être supprimer le package du Lecteur Windows Media. Cet
exemple de commande vous indique comment procéder :
PowerShell
PS C:\> Get-WindowsPackage -Online -PackageName *media*
PackageName : Microsoft-Windows-MediaPlayer-
Package~31bf3856ad364e35~amd64~~10.0.19041.153
Applicable : True
Company :
CreationTime :
Description : Play audio and video files on your local machine and
on the Internet.
InstallPackageName : Microsoft-Windows-MediaPlayer-
Package~31bf3856ad364e35~amd64~~10.0.19041.153.mum
LastUpdateTime :
ProductName : Microsoft-Windows-MediaPlayer-Package
ProductVersion :
ReleaseType : OnDemandPack
RestartRequired : Possible
SupportInformation : http://support.microsoft.com/?kbid=777777
PackageState : Installed
CompletelyOfflineCapable : Undetermined
CapabilityId : Media.WindowsMediaPlayer~~~~0.0.12.0
Custom Properties :
Features : {}
Pour supprimer le package du Lecteur Windows Media (et libérer environ 60 Mo d’espace
disque), vous pouvez exécuter la commande suivante :
PowerShell
Path :
Online : True
RestartNeeded : False
appliquée aux profils utilisateur suivants créés à partir d’une machine exécutant cette
image. Vous pouvez contrôler les paramètres à appliquer au profil utilisateur par défaut en
modifiant le fichier DefaultUserSettings.txt.
Les paramètres suivants sont appliqués à la ruche de Registre de profils utilisateur par
défaut, principalement pour réduire les animations. Si certains ou l’ensemble de ces
paramètres ne sont pas souhaités, supprimez ceux que vous ne souhaitez pas appliquer aux
nouveaux profils utilisateur basés sur cette image. L’objectif de ces paramètres est d’activer
les paramètres équivalents suivants :
Laissez les sites Web accéder à ma liste de langues pour fournir du contenu local
Me montrer des contenus suggérés dans l'application Paramètres
Voici les paramètres d’optimisation appliqués à la ruche de Registre de profils utilisateur
par défaut pour optimiser les performances. Notez que cette opération est effectuée en
chargeant d’abord la ruche de Registre du profil utilisateur par défaut NTUser.dat, en tant
que nom de clé éphémère Temp, puis en apportant les modifications suivantes :
regedit
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer" /v
ShellState /t REG_BINARY /d 240000003C2800000000000000000000 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
IconsOnly /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ListviewAlphaSelect /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ListviewShadow /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ShowCompColor /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ShowInfoTip /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
TaskbarAnimations /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects" /v
VisualFXSetting /t REG_DWORD /d 3 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\StorageSense\Parameters\St
oragePolicy" /v 01 /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-338393Enabled /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-353694Enabled /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-353696Enabled /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-338388Enabled /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-338389Enabled /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SystemPaneSuggestionsEnabled /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.Windows.Photos_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.Windows.Photos_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1
/f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.SkypeApp_kzf8qxf38zg5c" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.SkypeApp_kzf8qxf38zg5c" /v DisabledByUser /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.YourPhone_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.YourPhone_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.MicrosoftEdge_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplicatio
ns\Microsoft.MicrosoftEdge_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1
/f
add "HKLM\Temp\Software\Microsoft\InputPersonalization" /v
RestrictImplicitInkCollection /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization" /v
RestrictImplicitTextCollection /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Personalization\Settings" /v
AcceptedPrivacyPolicy /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization\TrainedDataStore" /v
HarvestContacts /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\UserProfileEngagement"
/v ScoobeSystemSettingEnabled /t REG_DWORD /d 0 /f
Unload HKLM\Temp
Une autre série de paramètres utilisateur par défaut récemment ajoutée permet de
désactiver le démarrage et l’exécution de plusieurs applications Windows en arrière-plan.
Bien que cela ne soit pas significatif sur un seul appareil, Windows 10 démarre un certain
nombre de processus pour chaque session utilisateur sur un appareil donné (hôte). Citons
par exemple l’application Skype et Microsoft Edge. Les paramètres inclus empêchent
plusieurs applications de s’exécuter en arrière-plan. Si cette fonctionnalité est souhaitée, il
vous suffit de supprimer les lignes du fichier « DefaultUserSettings.txt » qui inclut les noms
d’application « Windows.Photos », « SkypeApp », « YourPhone » et/ou « MicrosoftEdge ».
Notez que certaines décisions peuvent reposer sur les spécificités de l’environnement.
Les paramètres suivants ont été choisis pour ne pas bloquer ou ne pas être en confit avec
des paramètres n’ayant rien à voir avec la sécurité. Ces paramètres ont été choisis pour
supprimer les paramètres ou désactiver les fonctionnalités qui peuvent ne pas être
applicables aux environnements de bureau virtuel.
Activer les Désactiver les services N/A Activé (Ce paramètre désactive
services réseau réseau pair à pair l’intégralité des Services de réseau
pair à pair Microsoft pair à pair de Microsoft et entraîne
Microsoft l’arrêt de toutes les applications
dépendantes. Si vous activez ce
paramètre, les protocoles pair à
pair sont désactivés.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
La désactivation de l’interrogation
passive NCIS peut améliorer la
charge de travail du processeur sur
les serveurs ou autres ordinateurs
dont la connectivité réseau est
statique.
*Paramètres Définir l’état de Teredo État désactivé Activé (Si ce paramètre est activé
TCPIP\ et qu’il a la valeur « État
Technologies de désactivé », aucune interface
transition IPv6 Teredo n’est présente sur l’hôte.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
Service WWAN\ Permettre aux Valeur par défaut Activé (Si vous choisissez l’option
Accès aux applications Windows pour toutes les « Forcer le refus », les applications
données d’accéder aux données applications : Windows ne sont pas autorisées à
mobiles mobiles Forcer le refus accéder aux données mobiles et
les utilisateurs ne peuvent pas la
modifier.)
Ouverture de Ne pas afficher l’écran N/A Activé (Si ce paramètre est activé,
session de démarrage Mise en l’écran de démarrage n’est pas
route à l’ouverture de présenté à l’utilisateur qui ouvre
session une session sur un appareil
Windows.)
Ouverture de Ne pas énumérer les N/A Activé (Si ce paramètre est activé,
session utilisateurs connectés l’interface utilisateur d’ouverture
sur les ordinateurs de session n’énumère aucun
membres d’un domaine utilisateur connecté sur les
ordinateurs membres d’un
domaine.)
*Confidentialité Permettre aux Valeur par défaut Activé (Si ce paramètre est activé
de l’application applications Windows pour toutes les et que vous choisissez l’option
d’accéder aux applications : « Forcer le refus », les applications
informations de Forcer le refus Windows ne sont pas autorisées à
diagnostic d’autres accéder aux informations de
applications diagnostic d’autres applications, et
les employés de votre organisation
ne peuvent pas modifier le
paramètre.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
*Confidentialité Permettre aux Valeur par défaut Activé (Si ce paramètre est activé
de l’application applications Windows pour toutes les et que vous choisissez l’option
d’accéder à applications : « Forcer le refus », les applications
l’emplacement Forcer le refus Windows ne sont pas autorisées à
accéder à l’emplacement et les
utilisateurs ne peuvent pas
modifier le paramètre.)
*Confidentialité Permettre aux Valeur par défaut Activé (Si ce paramètre est activé
de l’application applications Windows pour toutes les et que vous choisissez l’option
d’accéder aux données applications : « Forcer le refus », les applications
de mouvement Forcer le refus Windows ne sont pas autorisées à
accéder aux données de
mouvement et les employés de
votre organisation ne peuvent pas
modifier le paramètre.)
*Confidentialité Permettre aux Valeur par défaut Activé (Si ce paramètre est activé
de l’application applications Windows pour toutes les et que vous choisissez l’option
d’accéder aux applications : « Forcer le refus », les applications
notifications Forcer le refus Windows ne sont pas autorisées à
accéder aux notifications et les
utilisateurs ne peuvent pas
modifier le paramètre.)
*Confidentialité Autoriser les Valeur par défaut Activé (Ce paramètre de stratégie
de l’application applications Windows à pour toutes les spécifie si les applications
activer avec la voix applications : Windows peuvent être activées par
Forcer le refus la voix.)
*Confidentialité Autoriser les Valeur par défaut Activé (Ce paramètre de stratégie
de l’application applications Windows à pour toutes les spécifie si les applications
activer avec la voix applications : Windows peuvent être activées par
pendant que le système Forcer le refus la voix quand le système est
est verrouillé verrouillé.)
*Confidentialité Permettre aux Valeur par défaut Activé (Si vous choisissez l’option
de l’application applications Windows pour toutes les « Forcer le refus », les applications
de contrôler les radios applications : Windows n’ont pas d’accès
Forcer le refus permettant de contrôler des radios
et les employés de votre
organisation ne peuvent pas
modifier ce paramètre.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
*Stratégies Désactiver l’exécution Tous les lecteurs Activé (Si vous activez ce
d’exécution automatique paramètre de stratégie, l’exécution
automatique automatique est désactivée sur
tous les lecteurs.)
*Contenu cloud Ne pas afficher les N/A Activé (Ce paramètre de stratégie
Conseils Windows empêche l’affichage des conseils
Windows.)
*Collecte des Ne pas afficher les N/A Activé (Ce paramètre de stratégie
données et notifications de permet à une organisation de
versions commentaires bloquer sur ses appareils
d’évaluation l’affichage des questions de
Preview Microsoft.)
Gestionnaire de Utiliser une couleur unie N/A Activé (Ce paramètre de stratégie
fenêtres du pour l’arrière-plan du contrôle les visuels de l’arrière-
Bureau menu Démarrer plan de départ. Lorsque ce
paramètre de stratégie est activé,
l’arrière-plan de départ utilise une
couleur unie.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
Interface Désactiver les astuces N/A Activé (Si ce paramètre est activé,
utilisateur Windows n’affiche aucune astuce.)
latérale
Internet Lire les sons dans des N/A Désactivé (Si ce paramètre de
Explorer\ pages Web stratégie est désactivé, Internet
Panneau de Explorer ne lit pas et ne télécharge
configuration pas les sons présents dans le
Internet\ Onglet contenu web, ce qui permet
Avancé d’afficher plus rapidement les
pages.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
Internet Lire les vidéos dans les N/A Désactivé (Si vous désactivez ce
Explorer\ pages Web paramètre de stratégie, Internet
Panneau de Explorer ne lit pas et ne télécharge
configuration pas les vidéos, ce qui permet
Internet\ Onglet d’afficher plus rapidement les
Avancé pages.)
Rechercher Empêcher l’indexation N/A Activé (S’il est activé, les fichiers
des fichiers dans le sur les partages réseau mis à
cache des fichiers hors disposition hors connexion ne sont
connexion pas indexés. Dans le cas contraire,
ils sont indexés. Désactivé par
défaut.)
Espace de Autoriser l’espace de Choisissez l’une Activé (Si ce paramètre est activé
travail Windows travail Windows Ink des actions et que le sous-paramètre est
Ink suivantes : désactivé, la fonctionnalité Espace
Désactivé de travail Windows Ink n’est pas
disponible.)
Poste de travail Taille maximale des Nombre d’objets Activé (Spécifie le nombre
/ Active recherches dans Active retournés :1500 maximal d’objets que le système
Directory Directory affiche en réponse à une
commande d’exploration ou de
recherche dans Active Directory.
Ce paramètre affecte tous les
affichages de navigation associés à
Active Directory, tels que ceux des
Utilisateurs et Groupes locaux,
Utilisateurs et Ordinateurs Active
Directory et les boîtes de dialogue
utilisées pour définir des
autorisations pour les objets
utilisateur ou groupe dans Active
Directory.)
Menu Démarrer Ne pas afficher ni suivre N/A Activé (Ce paramètre de stratégie
et barre des les éléments des listes vous permet de contrôler
tâches de raccourcis à partir l’affichage ou le suivi des éléments
d'emplacements des listes de raccourcis à partir
distants d’emplacements distants.)
Services système
Si vous envisagez de désactiver les services système pour conserver les ressources, vérifiez
que le service n’est pas un composant d’un autre service. Dans ce document et avec les
scripts GitHub disponibles, certains services ne sont pas dans la liste car leur désactivation
n’est pas prise en charge.
7 Notes
Vous pouvez énumérer les services en cours d’exécution avec cet exemple de code
PowerShell, en ne générant que le nom abrégé du service :
PowerShell
Le tableau suivant liste les services dont vous pouvez envisager la désactivation dans les
environnements de bureau virtuel :
Service de CDPSvc Ce service est utilisé pour les Service de plateforme des
plateforme des scénarios de plateforme appareils connectés
appareils d’appareils connectés Pour en savoir plus,
connectés consultez cet article
Service Nom du service Élément Comment
Windows
Données des PimIndexMaintenanceSvc Indexe les données des Comme il s’agit d’un
contacts contacts pour la recherche « service par utilisateur »,
rapide des contacts. Si vous le service de modèle doit
arrêtez ou désactivez ce être désactivé.
service, des contacts risquent
de manquer dans vos résultats
de recherche.
Service Nom du service Élément Comment
Windows
Service Routeur SmsRouter Achemine les messages vers Ce service n’est peut-être
SMS Microsoft les clients appropriés en pas nécessaire si d’autres
Windows fonction de règles. outils sont utilisés pour la
messagerie, comme
Teams, Skype, etc. Pour en
savoir plus, consultez cet
article.
Mettre à jour le UsoSvc Gère les mises à jour Windows. Les mises à jour des
service S’il est arrêté, vos appareils ne appareils de bureau virtuel
Orchestrator seront pas en mesure de sont souvent gérées avec
télécharger et d’installer les soin. La maintenance est
dernières mises à jour. généralement effectuée
pendant les fenêtres de
maintenance. Dans
certains cas, un client de
mise à jour peut être
utilisé, comme SCCM. Les
mises à jour des
signatures de sécurité sont
un exception. En effet,
celles-ci peuvent être
appliquées à tout moment
à tout appareil de bureau
virtuel pour maintenir ses
signatures à jour. Si vous
désactivez ce service,
faites un test pour vérifier
que les signatures de
sécurité peuvent toujours
être installées.
Cliché instantané VSS Gère et implémente les clichés Si ce service est arrêté, les
des volumes instantanés de volumes pour clichés instantanés ne
les sauvegardes et autres seront pas disponibles
utilisations. pour la sauvegarde et la
sauvegarde échouera. Si
ce service est désactivé, le
démarrage de tout service
qui en dépend
explicitement échouera.
Pour en savoir plus,
consultez cet article.
Jeu sauvegardé XblGameSave Ce service synchronise les Si ce service est arrêté, les
sur Xbox Live données enregistrées pour les données enregistrées des
jeux dont la sauvegarde sur jeux ne seront
Xbox Live est activée. téléchargées ni vers, ni
depuis Xbox Live.
Les services par utilisateur sont des services qui sont créés quand un utilisateur se connecte
à Windows ou Windows Server, et qui sont arrêtés et supprimés quand cet utilisateur se
déconnecte. Ces services s’exécutent dans le contexte de sécurité du compte d’utilisateur :
ceci permet une meilleure gestion des ressources que l’approche précédente de l’exécution
de ces types de services dans Explorer, associés à un compte préconfiguré, ou en tant que
tâches. Pour plus d’informations, consultez Services par utilisateur dans Windows.
Tâches planifiées
Comme d’autres éléments dans Windows, vérifiez qu’un élément n’est pas nécessaire avant
de désactiver une tâche planifiée. Dans les environnements de bureau virtuel, l’exécution de
certaines tâches comme StartComponentCleanup peut ne pas être souhaitable en
production, mais peut être utile durant une fenêtre de maintenance sur l’image « gold »
(image de référence).
La liste suivante inclut les tâches qui effectuent des optimisations ou des collectes de
données sur les ordinateurs conservant leur état entre les redémarrages. Quand un appareil
de bureau virtuel redémarre et abandonne toutes les modifications effectuées depuis le
dernier démarrage, les optimisations destinées aux ordinateurs physiques ne sont pas
utiles.
Vous pouvez obtenir toutes les tâches planifiées en cours, y compris leur description, avec
le code PowerShell suivant :
PowerShell
7 Notes
Il existe plusieurs tâches qui ne peuvent pas être désactivées avec un script, même si
celui-ci est exécuté à partir d’une invite de commandes avec élévation de privilèges.
Les recommandations figurant ici et dans les scripts GitHub n’essaient pas de
désactiver les tâches qui ne peuvent pas être désactivées avec un script.
SpeechModelDownloadTask
SyspartRepair
C’est un bon choix dans le cas où vous vous apprêtez à installer des applications Microsoft,
comme Microsoft Office, dans l’image de base. De cette façon, Office est à jour quand
l’image est mise en service. Il existe également des mises à jour de .NET et de certains
composants tiers, comme Adobe, qui ont des mises à jour disponibles via Windows Update.
Un point très important pour les appareils de bureau virtuel non persistants est celui des
mises à jour de sécurité, y compris les fichiers de définition des logiciels de sécurité. Ces
mises à jour peuvent être publiées une ou plusieurs fois par jour.
Pour Windows Defender, il peut être préférable d’autoriser les mises à jour, même sur des
environnements de bureau virtuel non persistants. Les mises à jour sont appliquées presque
chaque fois que vous vous connectez, mais elles sont petites et ne doivent pas poser
problème. De plus, l’appareil n’accuse aucun retard au niveau des mises à jour, car seule la
dernière mise à jour disponible est appliquée. Il en va de même pour les fichiers de
définition tiers.
7 Notes
Les applications du Store (applications UWP) se mettent à jour via le Windows Store.
Les versions modernes d’Office, comme Office 365, se mettent à jour avec leurs
propres mécanismes quand elles sont connectées directement à Internet ou au moyen
de technologies de gestion quand ce n’est pas le cas.
5. Sélectionnez OK.
Le tableau suivant liste certaines traces système que vous pouvez envisager de désactiver
dans vos environnements de bureau virtuel :
Nom Comment
WDIContextLog Interface de pilote de périphérique pour réseau local sans fil (WLAN),
documentée ici.
7 Notes
Certains paramètres de cette section sont uniquement basés sur le Registre et doivent
être incorporés dans l’image de base avant que l’image soit déployée pour une
utilisation en production.
Les paramètres suivants sont documentés dans les instructions de réglage des
performances pour Windows Server 2016.
DisableBandwidthThrottling
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DisableBandwidthTh
rottling
S’applique à Windows 10 La valeur par défaut est 0. Par défaut, le redirecteur SMB limite le
débit sur les connexions réseau à latence élevée, dans certains cas afin d’éviter des délais
d’attente liés au réseau. Le fait de définir cette valeur de Registre sur 1 désactive cette
limitation, permettant ainsi un débit de transfert de fichiers plus élevé sur des connexions
réseau à latence élevée. Envisagez de définir cette valeur sur 1.
FileInfoCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileInfoCacheEntri
esMax
S’applique à Windows 10 La valeur par défaut est 64, avec une plage valide allant de 1 à
65 536. Cette valeur permet de déterminer la quantité de métadonnées de fichier pouvant
être mises en cache par le client. Une augmentation de la valeur peut réduire le trafic
réseau et améliorer les performances quand le système doit accéder à un grand nombre de
fichiers. Essayez en augmentant cette valeur à 1 024.
DirectoryCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DirectoryCacheEntr
iesMax
S’applique à Windows 10 La valeur par défaut est 16, avec une plage valide allant de 1 à
4 096. Cette valeur permet de déterminer la quantité d’informations de répertoire pouvant
être mises en cache par le client. Augmenter la valeur peut réduire le trafic réseau et
améliorer les performances lorsque des répertoires volumineux sont consultés. Envisagez
d’augmenter cette valeur à 1 024.
FileNotFoundCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileNotFoundCacheE
ntriesMax
S’applique à Windows 10 La valeur par défaut est 128, avec une plage valide allant de 1 à
65 536. Cette valeur permet de déterminer la quantité d’informations de nom de fichier
pouvant être mises en cache par le client. Une augmentation de la valeur peut réduire le
trafic réseau et améliorer les performances quand le système doit accéder à un grand
nombre de noms de fichier. Envisagez d’augmenter cette valeur à 2 048.
DormantFileLimit
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DormantFileLimit
S’applique à Windows 10 La valeur par défaut est 1 023. Ce paramètre spécifie le nombre
maximal de fichiers devant être laissés ouverts sur une ressource partagée une fois que
l’application a fermé le fichier. Là où plusieurs milliers de clients se connectent à des
serveurs SMB, réduisez cette valeur à 256 : Windows Server 2022, Windows Server 2019,
Vous pouvez configurer beaucoup de ces paramètres SMB à l’aide des applets de
commande Windows PowerShell Set-SmbClientConfiguration et Set-
SmbServerConfiguration. Les paramètres de Registre uniquement peuvent être configurés à
l’aide de Windows PowerShell, comme dans l’exemple suivant :
PowerShell
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"
RequireSecuritySignature -Value 0 -Force
7 Notes
Pour en savoir plus sur l’utilisation de l’Assistant Stockage avec des images VHD
personnalisées Azure, consultez Préparer et personnaliser une image de disque dur
virtuel principale.
Pour l’hôte de session Azure Virtual Desktop qui utilise Windows 10 Entreprise ou
Windows 10 Entreprise multisession, nous vous recommandons de désactiver
l’Assistant Stockage. Vous pouvez désactiver l’Assistant Stockage dans le menu
Paramètres sous Stockage.
Voici des suggestions pour les différentes tâches de nettoyage de disque. Elles doivent
toutes être testées avant d’être implémentées :
2. Nettoyez manuellement les fichiers temporaires et les journaux. À partir d’une invite
de commandes avec élévation de privilèges, exécutez ces commandes :
a. Del C:\*.tmp /s
b. C:\*.etl /s
c. C:\*.evtx /s
PowerShell
3. Supprimez tous les profils inutilisés sur le système à l’aide de la commande suivante :
Pour toute question ou interrogation sur les informations contenues dans ce document,
contactez l’équipe de votre compte Microsoft, effectuez des recherches dans le blog sur les
bureaux virtuels Microsoft pour professionnels de l’informatique , postez un message
dans les forums Microsoft consacrés aux bureaux virtuels ou contactez Microsoft .
Atteindre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\PolicyStat
e.
Remplacez la valeur « 1 » DeferQualityUpdates par « 0 ».
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings
Supprimez toute valeur existante de PausedQualityDate.
Accédez à
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explor
er\WAU
Choisissez Désactivé.
5. Redémarrez votre appareil pour que tous ces paramètres prennent effet.
6. Si vous ne souhaitez pas que cet appareil se voit proposer des mises à jour de
fonctionnalités, accédez à Paramètres>Windows Update>Options avancées>Choisir
quand installer les mises à jour, puis définissez manuellement l’option Une mise à
jour des fonctionnalités inclut des améliorations et de nouvelles fonctionnalités. Elle
peut être différée de ce nombre de jours avec une valeur différente de zéro,
comme 180 ou 365.
Informations supplémentaires
Pour en savoir plus sur l’architecture VDI de Microsoft, consultez notre documentation
Azure Virtual Desktop .
Si vous avez besoin d’aide supplémentaire pour résoudre des problèmes liés à sysprep,
consultez Sysprep échoue après avoir supprimé ou mis à jour les applications Microsoft
Store qui incluent des images Windows intégrées .
Optimisation de Windows 10 version 1909
pour un rôle VDI (Virtual Desktop
Infrastructure)
Article • 29/04/2023
Cet article vous aide à choisir les paramètres pour Windows 10, version 1909 (build 18363) qui doivent
normalement permettre des performances optimales dans un environnement VDI. Tous les paramètres
de ce guide sont des recommandations à considérer, mais ne sont en aucune façon des exigences.
Les principaux moyens d’optimiser les performances de Windows 10 dans un environnement VDI sont
de réduire au minimum les opérations où les graphiques des applications sont redessinés, de limiter
les activités en arrière-plan qui n’ont pas un intérêt majeur pour l’environnement VDI et de réduire les
processus en cours d’exécution au strict minimum. Un objectif secondaire est de réduire l’utilisation de
l’espace disque dans l’image de base au strict minimum. Avec les implémentations de VDI, la taille
d’image la plus petite possible, ou « gold », peut légèrement réduire l’utilisation de la mémoire sur
l’hyperviseur et permettre une légère diminution des opérations réseau nécessaires pour délivrer
l’image du poste de travail au consommateur.
7 Notes
Les paramètres d’optimisation sont placés sur un appareil de référence. Une machine virtuelle serait
un endroit idéal pour créer l’image, car l’état peut être enregistré, des points de contrôle peuvent être
créés et des sauvegardes peuvent être effectuées. Une installation par défaut du système
d’exploitation est effectuée sur la machine virtuelle de base. Cette machine virtuelle de base est
ensuite optimisée en supprimant les applications inutiles, en installant les mises à jour Windows, en
installant d’autres mises à jour, en supprimant les fichiers temporaires et en appliquant les paramètres.
Il existe d’autres types d’infrastructure VDI, par exemple la session Bureau à distance (RDS) et Azure
Virtual Desktop , récemment publié. La présentation détaillée de ces technologies n’est pas abordée
dans cet article. Ce dernier se concentre sur les paramètres de l’image de base Windows, sans
référence à d’autres facteurs de l’environnement, tels que l’optimisation de l’hôte.
La sécurité et la stabilité sont les principales priorités de Microsoft en ce qui concerne les produits et
les services. Les clients d’entreprise peuvent choisir d’utiliser l’application Sécurité Windows intégrée,
suite de services qui fonctionnent bien avec ou sans Internet. Pour les environnements VDI non
connectés à Internet, les signatures de sécurité peuvent être téléchargées plusieurs fois par jour, car
Microsoft peut publier plusieurs mises à jour de signatures par jour. Ces signatures peuvent ensuite
être fournies aux machines virtuelles VDI et planifiées pour être installées en production, que la VDI
soit persistante ou non persistante. De cette façon, la protection des machines virtuelles est la plus à
jour possible.
Certains paramètres de sécurité ne sont pas applicables aux environnements VDI qui ne sont pas
connectés à Internet et ne peuvent donc pas participer à la sécurité cloud. D’autres paramètres
peuvent être utilisés par les appareils Windows « normaux », tels que l’expérience du cloud ou le
Windows Store. La suppression de l’accès aux fonctionnalités inutilisées réduit l’encombrement, la
bande passante réseau et la surface d’attaque.
En ce qui concerne les mises à jour, Windows 10 utilise un algorithme de mise à jour mensuelle. Il n’est
donc pas nécessaire que les clients effectuent eux-mêmes les mises à jour. Dans la plupart des cas, les
administrateurs VDI contrôlent le processus de mise à jour par le biais d’un processus d’arrêt des
machines virtuelles basées sur une image « principale » ou « gold », descellent cette image en lecture
seule, la corrigent, puis la rescellent et la remettent en production. Ainsi, il n’est pas nécessaire que les
machines virtuelles VDI vérifient Windows Update. Dans certains cas, par exemple, les machines
virtuelles VDI persistantes, des procédures de mise à jour corrective normales ont lieu. Windows
Update ou Microsoft Intune peut également être utilisé. System Center Configuration Manager peut
être utilisé pour gérer les mises à jour et autres distributions de packages. Il appartient à chaque
organisation de déterminer la meilleure approche pour mettre à jour l’infrastructure VDI.
Conseil
Un script qui implémente les optimisations présentées dans cette rubrique, ainsi qu’un fichier
d’exportation d’objet de stratégie de groupe que vous pouvez importer avec LGPO.exe, est
disponible dans The Virtual Desktop Team sur GitHub.
Ce script a été conçu pour répondre à votre environnement et à vos exigences. Le code principal est
en PowerShell, et le travail est effectué à l’aide de fichiers d’entrée (texte brut), avec les fichiers
d’exportation de l’Outil d’objet de stratégie de groupe local (LGPO). Ces fichiers contiennent des listes
d’applications à supprimer et des services à désactiver. Si vous ne souhaitez pas supprimer une
application particulière ou désactiver un service particulier, modifiez le fichier texte correspondant et
supprimez l’élément. Enfin, il existe des paramètres de stratégie locale qui peuvent être importés dans
votre appareil. Il est préférable d’avoir des paramètres dans l’image de base, plutôt que d’appliquer les
paramètres à l’aide de la stratégie de groupe, car certains paramètres sont effectifs au redémarrage
suivant ou quand un composant est utilisé pour la première fois.
VDI persistante
La VDI persistante est à la base une machine virtuelle qui enregistre les états du système d’exploitation
entre les redémarrages. D’autres couches logicielles de la solution VDI fournissent aux utilisateurs un
accès simple et direct aux machines virtuelles qui leur sont affectées, souvent avec une solution
d’authentification unique.
Machine virtuelle traditionnelle, où la machine virtuelle a son propre fichier de disque virtuel,
démarre normalement, enregistre les modifications d’une session à l’autre. La différence est la
façon dont l’utilisateur accède à cette machine virtuelle. Il peut y avoir un portail web auquel
l’utilisateur se connecte et qui le dirige automatiquement vers la ou les machines virtuelles VDI
qui lui sont affectées.
Machine virtuelle persistante basée sur une image, éventuellement avec des disques virtuels
personnels. Dans ce type d’implémentation, il y a une image de base/gold sur un ou plusieurs
serveurs hôtes. Une machine virtuelle est créée, et un ou plusieurs disques virtuels sont créés et
affectés à ce disque pour le stockage persistant.
Quand la machine virtuelle est démarrée, une copie de l’image de base est lue dans la
mémoire de cette machine virtuelle. Au même moment, un disque virtuel persistant est affecté
à cette machine virtuelle, avec les modifications précédentes du système d’exploitation
fusionnées via un processus complexe.
Les modifications comme les écritures du journal des événements, les écritures du journal,
etc., sont redirigées vers le disque virtuel en lecture/écriture affecté à cette machine virtuelle.
La différence entre une machine VDI persistante et une machine virtuelle « normale » est la
relation avec l’image principale/gold. À un moment donné, les mises à jour doivent être
appliquées à l’image principale. C’est là que les implémentations décident comment les
modifications persistantes de l’utilisateur sont gérées. Dans certains cas, le disque avec les
modifications est ignoré et/ou réinitialisé, ce qui se traduit par la définition d’un nouveau
point de contrôle. Il se peut aussi que les modifications apportées par l’utilisateur soient
conservées par le biais de mises à jour de qualité mensuelles et que la base soit réinitialisée
après une mise à jour des fonctionnalités.
Avec la VDI non persistante basés sur une image, l’image de base est en lecture seule. Quand une
machine virtuelle non persistante est démarrée, une copie de l’image de base est diffusée en continu à
la machine virtuelle. L’activité qui se produit lors du démarrage et par la suite jusqu’au redémarrage
suivant est redirigée vers un emplacement temporaire. En général, des emplacements réseau sont
fournis aux utilisateurs pour stocker leurs données. Dans certains cas, le profil de l’utilisateur est
fusionné avec la machine virtuelle standard pour fournir ses paramètres à cet utilisateur.
Un aspect important de la VDI non persistante basée sur une image est la maintenance. Les mises à
jour du système d’exploitation et des composants sont généralement délivrées une fois par mois. Avec
la VDI basée sur une image, un ensemble de processus doivent être effectués pour obtenir les mises à
jour de l’image :
Sur un hôte donné, toutes les machines virtuelles présentes sur cet hôte qui sont dérivées de
l’image de base doivent être arrêtées/désactivées. Cela signifie que les utilisateurs sont redirigés
vers d’autres machines virtuelles.
L’image de base est ensuite ouverte et démarrée. Toutes les activités de maintenance sont
ensuite effectuées, comme les mises à jour du système d’exploitation, les mises à jour de .NET,
les mises à jour des applications, etc.
L’image de base est scellée et définie comme pouvant être remise en production.
7 Notes
PowerShell
Un des défis liés à la VDI non persistante est que quand un utilisateur se déconnecte, presque toutes
les activités du système d’exploitation sont abandonnées. Le profil de l’utilisateur et/ou l’état peuvent
être enregistrés dans un emplacement centralisé, mais la machine virtuelle elle-même abandonne
presque toutes les modifications apportées depuis le dernier démarrage. Par conséquent, les
optimisations destinées à un ordinateur Windows qui enregistre l’état d’une session à l’autre ne sont
pas applicables.
Selon l’architecture de la machine virtuelle VDI, des choses comme la prérécupération et SuperFetch
ne vont pas aider d’une session à l’autre, car toutes les optimisations sont abandonnées au
redémarrage de la machine virtuelle. L’indexation peut être une perte partielle de ressources, tout
comme les optimisations des disques, par exemple une défragmentation traditionnelle.
7 Notes
Si vous préparez une image à l’aide de la virtualisation et que vous êtes connecté à Internet lors
du processus de création de l’image, à la première ouverture de session, vous devez différer les
mises à jour des fonctionnalités en accédant à ParamètresWindows Update.
Il existe des raisons pour et contre l’exécution de Sysprep. Dans le cas de VDI, vous pouvez avoir
besoin de personnaliser le profil utilisateur par défaut qui doit être utilisé comme modèle de profil
pour les utilisateurs suivants qui se connectent en utilisant cette image. Vous pouvez avoir des
applications à installer, mais aussi vouloir contrôler les paramètres pour chaque application.
L’alternative consiste à utiliser une image .ISO standard à partir de laquelle faire les installations,
éventuellement en utilisant un fichier de réponses d’installation sans assistance, et une séquence de
tâches pour installer ou supprimer des applications. Vous pouvez aussi utiliser une séquence de tâches
pour définir des paramètres de stratégie locale dans l’image, par exemple en utilisant l’outil Utilitaire
Objet Stratégie de groupe locale (LGPO, Local Group Policy Object).
Prise en charge
Chaque fois que des valeurs par défaut de Windows sont changées, des questions se posent sur la
prise en charge. Une fois qu’une image VDI (machine virtuelle ou session) est personnalisée, toutes les
modifications apportées à l’image doivent être suivies dans un journal des modifications. Lors de la
résolution des problèmes, une image peut souvent être isolée dans un pool et configurée en vue
d’une analyse des problèmes. Une fois qu’un problème a fait l’objet d’un suivi jusqu’à la cause racine,
cette modification peut être déployée sur l’environnement de test en premier, et en dernier lieu sur la
charge de travail de production.
Ce document évite intentionnellement d’aborder les services système, les stratégies ou les tâches qui
affectent la sécurité. « Après cela, vient la maintenance Windows. La possibilité de traiter les images
VDI en dehors des fenêtres de maintenance est supprimée, car celles-ci ont lieu quand la plupart des
événements de maintenance se produisent dans les environnements VDI, à l’exception des mises à jour
logicielles de sécurité. Microsoft a publié des conseils pour la sécurité Windows dans les
environnements VDI. Pour plus d’informations, consultez Guide de déploiement de l’antivirus
Windows Defender dans un environnement d’infrastructure de bureau virtuel (VDI).
Tenez compte de la capacité de prise en charge lors de la modification des paramètres Windows par
défaut. Des problèmes difficiles peuvent survenir lors de la modification de services système, de
stratégies ou de tâches planifiées, au nom d’un durcissement ou d’une « simplification ». Consultez la
base de connaissances Microsoft pour connaître les problèmes connus actuels concernant les
paramètres par défaut modifiés. Les instructions de ce document et le script associé sur GitHub font
l’objet d’une maintenance par rapport aux problèmes connus susceptibles de se produire. En outre,
vous pouvez signaler des problèmes de plusieurs façons à Microsoft.
Vous pouvez entrer les termes « "valeur de démarrage" site:support.microsoft.com » dans votre
moteur de recherche préféré pour voir les problèmes connus concernant les valeurs de démarrage par
défaut des services.
Vous noterez peut-être que ce document et les scripts associés sur GitHub ne modifient aucune
autorisation par défaut. Si vous souhaitez améliorer vos paramètres de sécurité, commencez par le
projet appelé AaronLocker. Pour plus d’informations, consultez la vue d’ensemble de
« AaronLocker » .
Services système
Tâches planifiées
Paramètres utilisateur
Paramètres de l’hyperviseur/hôte
La connectivité et le minutage sont des facteurs importants dès lors qu’il est question du nettoyage
des applications UWP. Si vous déployez votre image de base sur un appareil sans connectivité réseau,
Windows 10 ne peut pas se connecter à Microsoft Store, ni télécharger des applications et essayer de
les installer alors que vous essayez de les désinstaller. Ce peut être une bonne stratégie que de
prendre le temps de personnaliser votre image, puis de mettre à jour le reste à un stade ultérieur du
processus de création de l’image.
Si vous modifiez le fichier .WIM de base que vous utilisez pour installer Windows 10 et que vous
supprimez les applications UWP non nécessaires du fichier .WIM avant l’installation, les applications ne
sont pas installées dès le départ et le temps de création de votre profil est plus court. Plus loin dans
cette section, vous trouverez plus d’informations sur la suppression des applications UWP du fichier
.WIM de votre installation.
Une bonne stratégie pour la VDI consiste à provisionner les applications souhaitées dans l’image de
base, puis à limiter ou à bloquer par la suite l’accès au Microsoft Store. Les applications du Store sont
mises à jour périodiquement en arrière-plan sur les ordinateurs normaux. Les applications UWP
peuvent être mises à jour pendant la fenêtre de maintenance quand d’autres mises à jour sont
appliquées. Pour plus d’informations, consultez Applications de plateforme Windows universelle
(UWP)
En fait, si vous supprimez ces applications du fichier .WIM d’installation en utilisant les liens fournis
plus loin dans cette section, vous devez être en mesure de commencer dès le début avec une liste très
courte d’applications UWP.
Exécutez la commande suivante pour énumérer les applications UWP provisionnées à partir d’un
système d’exploitation en cours d’exécution, comme dans cet exemple de sortie tronquée de
PowerShell :
PowerShell
Get-AppxProvisionedPackage -Online
DisplayName : Microsoft.3DBuilder
Version : 13.0.10349.0
Architecture : neutral
ResourceId : \~
PackageName : Microsoft.3DBuilder_13.0.10349.0_neutral_\~_8wekyb3d8bbwe
Regions :
...
Les applications UWP qui sont provisionnées sur un système peuvent être supprimées lors de
l’installation du système d’exploitation dans le cadre d’une séquence de tâches, ou plus tard une fois
que le système d’exploitation est installé. Ceci peut être la méthode préférée, car elle rend modulaire
le processus global de création ou de gestion d’une image. Une fois que vous développez les scripts,
si quelque chose change dans une build ultérieure, vous modifiez un script existant au lieu de répéter
le processus à partir de zéro. Voici quelques liens vers des informations à ce sujet :
Suppression d’applications intégrées du fichier WIM de Windows 10 avec PowerShell - Version 1.3
Windows 10 1607 : Empêcher le retour d’applications lors du déploiement de la mise à jour d’une
fonctionnalité
PowerShell
L’applicabilité doit être évaluée pour chaque application UWP dans chaque environnement. Vous
voulez installer une installation par défaut de Windows 10 1909, puis noter les applications qui sont en
cours d’exécution et consomment de la mémoire. Par exemple, vous pouvez envisager de supprimer
des applications qui démarrent automatiquement, ou des applications qui affichent automatiquement
des informations sur le menu Démarrer, comme Météo et Actualités, et qui ne sont pas utiles dans
votre environnement.
7 Notes
Si vous utilisez les scripts disponibles sur GitHub, vous pouvez facilement contrôler les
applications à supprimer avant l’exécution des scripts. Après avoir téléchargé les fichiers de script,
recherchez le fichier « AppxPackages.json », modifiez-le, puis supprimez les entrées des
applications que vous souhaitez conserver, telles que Calculatrice ou Pense-bêtes. Pour plus
d’informations, consultez la section Personnalisation .
PowerShell
Get-WindowsOptionalFeature -Online
Vous pouvez activer ou désactiver une fonctionnalité facultative spécifique de Windows, comme
l’illustre cet exemple :
PowerShell
Enable-WindowsOptionalFeature -Online -FeatureName "DirectPlay" -All
Vous pouvez désactiver des fonctionnalités dans l’image VDI, comme l’illustre cet exemple :
PowerShell
Ensuite, vous souhaiterez peut-être supprimer le package du lecteur Windows Media. Il existe deux
packages de lecteur Windows Media dans Windows 10 1909 :
PowerShell
PackageName : Microsoft-Windows-MediaPlayer-
Package~31bf3856ad364e35~amd64~~10.0.18362.1
Applicable : True
Company :
CreationTime :
Description : Play audio and video files on your local device and on the Internet.
InstallPackageName : Microsoft-Windows-MediaPlayer-
Package~31bf3856ad364e35~amd64~~10.0.18362.1.mum
...
Features : {}
PackageName : Microsoft-Windows-MediaPlayer-
Package~31bf3856ad364e35~amd64~~10.0.18362.449
Applicable : True
Company :
CreationTime :
Description : Play audio and video files on your local device and on the Internet.
InstallClient : UpdateAgentLCU
InstallPackageName : Microsoft-Windows-MediaPlayer-
Package~31bf3856ad364e35~amd64~~10.0.18362.449.mum
...
Si vous souhaitez supprimer le package du lecteur Windows Media (pour libérer environ 60 Mo
d’espace disque) :
PowerShell
En outre, pour réduire la transmission d’images sur l’infrastructure VDI, vous pouvez définir l’arrière-
plan par défaut sur une couleur unie à la place de l’image Windows 10 par défaut. Vous pouvez
également définir l’écran d’ouverture de session sur une couleur unie et désactiver l’effet de flou
opaque à l’ouverture de session.
Les paramètres suivants sont appliqués à la ruche de Registre de profils utilisateur par défaut,
principalement afin de réduire les animations. Si certains ou l’ensemble de ces paramètres ne sont pas
souhaités, supprimez les paramètres à ne pas appliquer aux nouveaux profils utilisateur basés sur cette
image. L’objectif de ces paramètres est d’activer les paramètres équivalents suivants :
dos
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ListviewAlphaSelect /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ListviewShadow /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ShowCompColor /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
ShowInfoTip /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v
TaskbarAnimations /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects" /v
VisualFXSetting /t REG_DWORD /d 3 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\StorageSense\Parameters\StoragePolic
y" /v 01 /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-338393Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-353694Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-353696Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-338388Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SubscribedContent-338389Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v
SystemPaneSuggestionsEnabled /t REG_DWORD /d 0 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.Windows.Photos_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.Windows.Photos_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.SkypeApp_kzf8qxf38zg5c" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.SkypeApp_kzf8qxf38zg5c" /v DisabledByUser /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.YourPhone_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.YourPhone_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.MicrosoftEdge_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.MicrosoftEdge_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.PPIProjection_cw5n1h2txyewy" /v Disabled /t REG_DWORD /d 1 /f
add
"HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microso
ft.PPIProjection_cw5n1h2txyewy" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization\TrainedDataStore" /v
HarvestContacts /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\UserProfileEngagement" /v
ScoobeSystemSettingEnabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\UserProfileEngagement" /v
ScoobeSystemSettingEnabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\UserProfileEngagement" /v
ScoobeSystemSettingEnabled /t REG_DWORD /d 0 /f
Dans les paramètres de stratégie locale, vous souhaiterez peut-être désactiver les images pour les
arrière-plans dans la VDI. Si vous souhaitez vraiment des images, vous pouvez créer des images
d’arrière-plan personnalisées avec une profondeur de couleur réduite afin de limiter la bande passante
réseau utilisée pour transmettre les informations d’image. Si vous décidez de ne pas spécifier d’image
d’arrière-plan dans la stratégie locale, vous pouvez définir la couleur d’arrière-plan avant de définir la
stratégie locale, car une fois celle-ci définie, l’utilisateur n’a aucun moyen de changer la couleur
d’arrière-plan. Il peut être préférable de spécifier « (null) » comme image d’arrière-plan. La section
suivante présente un autre paramètre de stratégie sur la non-utilisation de l’arrière-plan sur les
sessions de protocole RDP (Remote Desktop Protocol).
Certaines décisions peuvent être basées sur les spécificités de l’environnement, par exemple :
Les paramètres suivants ont été choisis pour ne pas bloquer ou ne pas être en confit avec des
paramètres n’ayant rien à voir avec la sécurité. Ces paramètres ont été choisis pour supprimer les
paramètres ou désactiver les fonctionnalités qui peuvent ne pas être applicables aux environnements
VDI.
Stratégies du gestionnaire de Toutes les propriétés Emplacement L’utilisateur ne peut pas changer
listes de réseaux des réseaux réseau l’emplacement
Indicateur d’état de Spécifier l’interrogation Désactiver Activé. Utilisez ce paramètre si vous êtes
connectivité réseau passive. l’interrogation sur un réseau isolé ou si vous utilisez
passive (case à une adresse IP statique.
cocher)
Paramètres TCPIP \ Définir l’état de Teredo État désactivé Activé. Dans l’état désactivé, aucune
Technologies de transition interface Teredo n’est présente sur
IPv6 l’hôte.
Paramètre de stratégie Élément Sous-élément Valeur possible et commentaires
Service de réseau local sans fil Autoriser Windows à se Désactivé. Les paramètres Se connecter
\ Paramètres de réseau local connecter aux points d’accès ouverts suggérés, Se
sans fil automatiquement à des connecter aux réseaux partagés par
points d’accès ouverts mes contacts et Activer les services
suggérés, à des réseaux payants sont désactivés, mais les
partagés par des utilisateurs sur cet appareil peuvent les
contacts et à des points activer.
d’accès offrant les
services payants.
*Stratégie de groupe Configurer les liaisons Désactivé. Désactive les liaisons web-
web-application avec les application désactive ; les URI HTTP(S)
gestionnaires d’URI sont ouverts dans le navigateur par
d’applications défaut au lieu de démarrer l’application
associée.
*Services de temps Windows \ Activer le client NTP Désactivé. Si vous désactivez ou que
Fournisseurs de temps Windows vous ne configurez pas ce paramètre de
stratégie, l’horloge de l’ordinateur local
ne synchronise pas l’heure avec les
serveurs NTP. REMARQUE : Manipulez
ce paramètre avec précaution. Les
appareils Windows joints à un domaine
doivent utiliser NT5DS. Le contrôleur de
domaine vers le contrôleur de domaine
parent doit utiliser NTP. Le rôle PDCe
doit utiliser NTP. Les machines virtuelles
utilisent parfois des « améliorations » ou
des « services d’intégration ».
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder aux applications : sont pas autorisées à accéder aux
informations de compte Forcer le refus informations de compte et les employés
de votre organisation ne peuvent pas la
changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder à l’historique applications : sont pas autorisées à accéder aux
des appels Forcer le refus informations de compte et les employés
de votre organisation ne peuvent pas la
changer.
Paramètre de stratégie Élément Sous-élément Valeur possible et commentaires
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder aux contacts applications : sont pas autorisées à accéder aux
Forcer le refus contacts et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les l’autorisation, les applications Windows
d’accéder aux e-mails applications : sont autorisées à accéder aux e-mails et
Forcer le refus les employés de votre organisation ne
peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder à applications : sont pas autorisées à accéder à
l’emplacement Forcer le refus l’emplacement et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder aux messages applications : sont pas autorisées à accéder aux
Forcer le refus messages et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder aux données applications : sont pas autorisées à accéder aux
de mouvement Forcer le refus données de mouvement et les employés
de votre organisation ne peuvent pas la
changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder aux applications : sont pas autorisées à accéder aux
notifications Forcer le refus notifications et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder aux tâches applications : sont pas autorisées à accéder aux tâches
Forcer le refus et les employés de votre organisation ne
peuvent pas la changer.
Paramètre de stratégie Élément Sous-élément Valeur possible et commentaires
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder au calendrier applications : sont pas autorisées à accéder au
Forcer le refus calendrier et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder à la caméra applications : sont pas autorisées à accéder à la
Forcer le refus caméra et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder au applications : sont pas autorisées à accéder au
microphone Forcer le refus microphone et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’accéder aux appareils applications : sont pas autorisées à accéder aux
de confiance Forcer le refus appareils de confiance et les employés
de votre organisation ne peuvent pas la
changer.
*Confidentialité de Laisser les applications Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application Windows communiquer pour toutes les le refus, les applications Windows ne
avec des appareils non applications : sont pas autorisées à communiquer avec
appairés Forcer le refus des appareils sans fil non appairés et les
employés de votre organisation ne
peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows n’ont
d’accéder à des radios applications : pas d’accès permettant de contrôler des
Forcer le refus radios et les employés de votre
organisation ne peuvent pas la changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
d’effectuer des appels applications : sont pas autorisées à effectuer des
téléphoniques Forcer le refus appels téléphoniques et les employés de
votre organisation ne peuvent pas la
changer.
*Confidentialité de Permettre aux Valeur par défaut Activé. Si vous choisissez l’option Forcer
l’application applications Windows pour toutes les le refus, les applications Windows ne
de s’exécuter en arrière- applications : sont pas autorisées à s’exécuter en
plan Forcer le refus arrière-plan et les employés de votre
organisation ne peuvent pas la changer.
*Collecte des données et Autoriser la télémétrie 0 - Sécurité Activé. Quand la valeur est définie sur 0,
versions d’évaluation Preview [Entreprise l’option s’applique seulement aux
uniquement] appareils exécutant les éditions
Entreprise, Éducation, IoT ou Windows
Server.
*Synchroniser vos paramètres Ne pas synchroniser Autoriser les Activé. Si vous activez ce paramètre de
utilisateurs à stratégie, « Synchroniser vos
activer la paramètres » est désactivé, et aucun des
synchronisation groupes « Synchroniser vos
(non sélectionné) paramètres » n’est synchronisé sur cet
appareil.
Antivirus Windows Defender \ Envoyer des exemples Ne jamais Activé. Seulement si l’option de données
MAPS de fichiers pour lesquels envoyer de diagnostic MAPS n’a pas été choisie.
une analyse
supplémentaire est
nécessaire
Antivirus Windows Defender \ Définir l’ordre des FileShares Activé. Si vous activez ce paramètre, les
Mises à jour des signatures sources pour le sources de mise à jour des définitions
téléchargement des sont contactées dans l’ordre spécifié.
mises à jour des Une fois que les mises à jour des
définitions définitions ont été téléchargées avec
succès à partir d’une source spécifiée,
les sources restantes de la liste ne sont
pas contactées.
Paramètre de stratégie Élément Sous-élément Valeur possible et commentaires
*Windows Update \ Windows Gérer les versions Définir le Activé. La sélection de Désactiver les
Update pour Entreprise d’évaluation comportement versions d’évaluation empêche
pour la réception l’installation des versions d’évaluation
des versions sur l’appareil. Les utilisateurs ne peuvent
d’évaluation : donc pas participer au programme
Windows Insider par le biais de
Paramètres -> Mise à jour et sécurité.
*Windows Update \ Windows Choisir le moment où Canal semi- Activé. Activez cette stratégie pour
Update pour Entreprise les versions d’évaluation annuel
spécifier le niveau des versions
et les mises à jour des Ajournement : d’évaluation ou des mises à jour des
fonctionnalités sont 365 jours
fonctionnalités à recevoir, et à quel
reçues Suspendre le moment.
démarrage : jj-
mm-aaa.
Menu Démarrer et barre des Ne pas utiliser la Activé. Le système n’effectue pas la
tâches méthode basée sur la recherche finale sur le lecteur. Il affiche
recherche pour simplement un message expliquant que
déterminer les le fichier est introuvable.
raccourcis du Bureau
Menu Démarrer et barre des Supprimer la barre Activé. L’icône Personnes est supprimée
tâches Personnes de la barre de la barre des tâches, le bouton de
des tâches bascule des paramètres correspondant
est supprimé de la page des paramètres
de la barre des tâches et les utilisateurs
ne peuvent pas épingler des personnes
à la barre des tâches.
Paramètre de stratégie Élément Sous-élément Valeur possible et commentaires
Menu Démarrer et barre des Désactiver les bulles de Activé. Les utilisateurs ne peuvent pas
tâches notification d’annonce épingler l’application Store à la barre
de fonctionnalité des tâches. Si l’application Store est déjà
épinglée à la barre des tâches, elle en
est supprimée lors de la connexion
suivante.
Pour plus d’informations sur l’Indicateur d’état de la connexion réseau (NCSI), consultez Gérer les
points de terminaison de connexion pour Windows 10 entreprise, version 1903 et Gérer les
connexions des composants du système d’exploitation Windows 10 aux services Microsoft.
Services système
Si vous envisagez de désactiver vos services système pour économiser des ressources, il est nécessaire
de bien vérifier que le service considéré n’est pas d’une façon ou d’une autre un composant d’un autre
service. Notez que certains services ne sont pas dans la liste, car leur désactivation n’est pas prise en
charge.
Beaucoup de services apparaissant comme de bons candidats à la désactivation sont définis avec un
type de démarrage du service manuel. Cela signifie que le service ne démarre pas automatiquement et
qu’il n’est pas démarré, sauf si un processus ou un événement déclenche une demande au service
dont la désactivation est envisagée. Les services qui sont déjà configurés avec un type de démarrage
manuel ne sont généralement pas listés ici.
7 Notes
Vous pouvez énumérer les services en cours d’exécution avec cet exemple de code PowerShell, en
ne générant que le nom abrégé du service :
PowerShell
CDPUserService Ce service utilisateur est utilisé pour les Il s’agit d’un service par utilisateur : le
scénarios de plateforme d’appareils connectés modèle de service doit donc être désactivé.
Expériences des Active les fonctionnalités qui prennent en Envisagez la désactivation si vous êtes sur
utilisateurs charge les expériences utilisateur connectées et un réseau déconnecté.
connectés et dans l’application. En outre, ce service gère la
télémétrie collecte et la transmission des informations de
diagnostic et d'utilisation en fonction des
événements (afin d'améliorer l'expérience et la
qualité de la plateforme Windows) lorsque les
paramètres des options de confidentialité des
diagnostics et de l'utilisation sont activés sous
Commentaires et Diagnostics.
Données des Indexe les données des contacts pour la Il s’agit d’un service par utilisateur : le
contacts recherche rapide des contacts. Si vous arrêtez modèle de service doit donc être désactivé.
ou désactivez ce service, des contacts risquent
de manquer dans vos résultats de recherche.
Service utilisateur Ce service utilisateur est utilisé pour les Il s’agit d’un service par utilisateur : le
GameDVR et enregistrements des jeux et les diffusions en modèle de service doit donc être désactivé.
Diffusion direct
MessagingService Service prenant en charge la messagerie texte et Il s’agit d’un service par utilisateur : le
les fonctionnalités associées. modèle de service doit donc être désactivé.
Optimiser les Permet à l’ordinateur de s’exécuter plus Normalement, les solutions VDI ne
lecteurs efficacement en optimisant les fichiers sur les bénéficient pas de l’optimisation des
lecteurs de stockage. disques. Ces « lecteurs » ne sont pas des
disques traditionnels et sont souvent une
simple allocation de stockage temporaire.
Superfetch Gère et améliore le niveau de performance du En règle générale, n’améliore pas les
système dans le temps. performances sur VDI, en particulier la VDI
non persistante, étant donné que l’état du
système d’exploitation est abandonné à
chaque redémarrage.
Rapport d’erreurs Permet le signalement des erreurs quand des Avec VDI, les diagnostics sont souvent
Windows programmes cessent de fonctionner ou de effectués dans un scénario hors connexion
répondre, et permet de délivrer des solutions et non pas dans le cadre de la production
existantes. Permet également la génération des normale. En outre, certains clients
journaux pour les services de diagnostic et de désactivent de toute façon Rapport
réparation. Si ce service est arrêté, les rapports d’erreurs Windows. Rapport d’erreurs
d’erreurs peuvent ne pas fonctionner Windows consomme une petite quantité
correctement, et les résultats des services de de ressources pour différentes choses,
diagnostic et de réparation peuvent ne pas être notamment les échecs d’installation d’un
affichés. périphérique ou d’une mise à jour.
Service Partage Partage des bibliothèques Lecteur Windows Non nécessaire, sauf si les clients
réseau du Lecteur Media avec d’autres lecteurs réseau et des partagent des bibliothèques Lecteur
Windows Media appareils multimédias en utilisant Plug and Play Windows Media sur le réseau.
universel
Si vous envisagez de changer une valeur de démarrage de service, la méthode recommandée consiste
à ouvrir une invite de commandes .cmd avec élévation de privilèges et à exécuter l’outil Gestionnaire
de contrôle des services « Sc.exe ». Pour plus d’informations sur l’utilisation de « Sc.exe », consultez Sc.
Tâches planifiées
Comme d’autres éléments dans Windows, vérifiez qu’un élément n’est pas nécessaire avant
d’envisager de le désactiver.
Les tâches de la liste suivante sont celles qui effectuent des optimisations ou des collectes de données
sur les ordinateurs conservant leur état entre les redémarrages. Quand une tâche de machine virtuelle
VDI redémarre et abandonne toutes les modifications effectuées depuis le dernier démarrage, les
optimisations destinées aux ordinateurs physiques ne sont pas utiles.
Vous pouvez obtenir toutes les tâches planifiées en cours, y compris leur description, avec le code
PowerShell suivant :
PowerShell
7 Notes
Il existe plusieurs tâches qui ne peuvent pas être désactivées à l’aide d’un script, même si vous
effectuez l’exécution avec élévation de privilèges. Nous vous recommandons de ne pas désactiver
les tâches qui ne peuvent pas être désactivées à l’aide d’un script.
Cellulaire
Consolidator
Diagnostics
FamilySafetyMonitor
FamilySafetyRefreshTask
MaintenanceTasks
MapsToastTask
Compatibilité
Microsoft-Windows-DiskDiagnosticDataCollector
MNO
NotificationTask
PerformRemediation
ProactiveScan
ProcessMemoryDiagnosticEvents
ProgramDataUpdater
Proxy
QueueReporting
RecommendedTroubleshootingScanner
ReconcileFeatures
ReconcileLanguageResources
RefreshCache
RegIdleBackup
ResPriStaticDbSync
RunFullMemoryDiagnostic
ScanForUpdates
ScanForUpdatesAsUser
Planifié
ScheduledDefrag
sihpostreboot
SilentCleanup
SmartRetry
SpaceAgentTask
SpaceManagerTask
SpeechModelDownloadTask
Sqm-Tasks
SR
StartComponentCleanup
StartupAppTask
StorageSense
SyspartRepair
Sysprep
UninstallDeviceTask
UpdateLibrary
UpdateModelTask
UsbCeip
Usb-Notifications
USO_UxBroker
WiFi
WIM-Hash-Management
WindowsActionDialog
WinSAT
Dossiers
WsSwapAssessmentTask
XblGameSaveTask
C’est un bon choix dans le cas où vous vous apprêtez à installer des applications Microsoft, comme
Microsoft Office, dans l’image de base. De cette façon, Office est à jour quand l’image est mise en
service. Il existe également des mises à jour de .NET et de certains composants tiers, comme Adobe,
qui ont des mises à jour disponibles via Windows Update.
Un point très important pour les machines virtuelles VDI non persistantes est celui des mises à jour de
sécurité, y compris les fichiers de définition des logiciels de sécurité. Ces mises à jour peuvent être
publiées une ou plusieurs fois par jour. Il doit y avoir un moyen de conserver ces mises à jour,
notamment pour Windows Defender et des composants tiers.
Pour Windows Defender, il peut être préférable d’autoriser les mises à jour, même sur une VDI non
persistante. Les mises à jour sont s’appliquer à presque chaque ouverture de session, mais il s’agit de
petites mises à jour qui ne devraient pas poser de problème. En outre, la machine virtuelle n’est pas en
retard sur les mises à jour, car seules les dernières mises à jour disponibles sont appliquées. La même
chose s’applique pour les fichiers de définition tiers.
7 Notes
Les applications du Store (applications UWP) se mettent à jour via le Windows Store. Les versions
modernes d’Office, comme Microsoft 365, se mettent à jour via leurs propres mécanismes quand
elles sont connectées directement à Internet, ou via des technologies de gestion quand ce n’est
pas le cas.
Voici quelques traces système dont vous pouvez envisager la désactivation pour une utilisation de
VDI :
Nom Comment
CloudExperienceHostOOBE
DiagLog
NtfsLog
TileStore
UBPM
WiFiSession
WinPhoneCritical
L’article ci-dessus contient des procédures pour la maintenance de l’image de VDI « gold » et explique
comment gérer les clients VDI en cours d’exécution. Pour réduire la bande passante réseau quand les
ordinateurs VDI doivent mettre à jour leurs signatures Windows Defender, échelonnez les
redémarrages et planifiez-les pour qu’ils aient lieu pendant les heures creuses quand c’est possible.
Les mises à jour des signatures Windows Defender peuvent se trouver en interne sur des partages de
fichiers ; là où c’est possible, placez ces partages de fichiers sur les mêmes segments réseau que les
machines virtuelles VDI (ou sur des segments proches).
Réglage des performances réseau du client à l’aide des paramètres
du Registre
Certains paramètres du Registre peuvent accroître les performances du réseau. Ceci est
particulièrement important dans les environnements où l’ordinateur ou VDI a une charge de travail qui
est principalement basée sur le réseau. Les paramètres de cette section sont recommandés pour
optimiser les performances en faveur du réseau, en configurant une mise en mémoire tampon
supplémentaire et la mise en cache d’éléments comme les entrées de répertoire.
7 Notes
Certains paramètres de cette section sont uniquement basés sur le Registre et doivent être
incorporés dans l’image de base avant que l’image soit déployée pour une utilisation en
production.
Les paramètres suivants sont documentés dans le Guide d’optimisation des performances de Windows
Server 2016, publié sur Microsoft.com par le groupe des produits Windows.
DisableBandwidthThrottling
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DisableBandwidthThrottling
S’applique à Windows 10 La valeur par défaut est 0. Par défaut, le redirecteur SMB limite le débit sur
les connexions réseau à latence élevée, dans certains cas afin d’éviter des délais d’attente liés au
réseau. Définir cette valeur de Registre sur 1 désactive cette limitation, en activant un débit de
transfert de fichiers plus élevé sur des connexions réseau à latence élevée. Envisagez de définir cette
valeur sur 1.
FileInfoCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileInfoCacheEntriesMax
S’applique à Windows 10. La valeur par défaut est 64, avec une plage valide allant de 1 à 65 536. Cette
valeur permet de déterminer la quantité de métadonnées de fichier pouvant être mises en cache par
le client. Une augmentation de la valeur peut réduire le trafic réseau et améliorer les performances
quand le système doit accéder à un grand nombre de fichiers. Essayez en augmentant cette valeur à
1 024.
DirectoryCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DirectoryCacheEntriesMax
S’applique à Windows 10 La valeur par défaut est 16, avec une plage valide allant de 1 à 4 096. Cette
valeur permet de déterminer la quantité d’informations de répertoire pouvant être mises en cache par
le client. Augmenter la valeur peut réduire le trafic réseau et améliorer les performances lorsque des
répertoires volumineux sont consultés. Envisagez d’augmenter cette valeur à 1 024.
FileNotFoundCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileNotFoundCacheEntriesMax
S’applique à Windows 10 La valeur par défaut est 128, avec une plage valide allant de 1 à 65 536. Cette
valeur permet de déterminer la quantité d’informations de nom de fichier pouvant être mises en cache
par le client. Une augmentation de la valeur peut réduire le trafic réseau et améliorer les performances
quand le système doit accéder à un grand nombre de noms de fichier. Envisagez d’augmenter cette
valeur à 2 048.
DormantFileLimit
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DormantFileLimit
S’applique à Windows 10 La valeur par défaut est 1 023. Ce paramètre spécifie le nombre maximal de
fichiers devant être laissés ouverts sur une ressource partagée une fois que l’application a fermé le
fichier. Là où plusieurs milliers de clients se connectent à des serveurs SMB, réduisez cette valeur à
256 : Windows Server 2022, Windows Server 2019,
Vous pouvez configurer beaucoup de ces paramètres SMB à l’aide des applets de commande
Windows PowerShell Set-SmbClientConfiguration et Set-SmbServerConfiguration. Les paramètres de
Registre uniquement peuvent être configurés à l’aide de Windows PowerShell, comme dans l’exemple
suivant :
PowerShell
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"
RequireSecuritySignature -Value 0 -Force
Paramètres supplémentaires provenant des conseils donnés dans Ligne de base de la fonctionnalité
limitée du trafic restreint Windows.
Microsoft a publié une base de référence créée avec les mêmes procédures que les bases de référence
de sécurité Windows pour les environnements qui ne sont pas connectés directement à Internet, ou si
vous voulez réduire les données envoyées à Microsoft et à d’autres services.
Les paramètres de la Ligne de base de la fonctionnalité limitée du trafic restreint Windows sont
signalés par un astérisque dans le tableau des paramètres de stratégie de groupe.
1. Exécutez l’Assistant Nettoyage de disque (avec élévation de privilèges) après avoir appliqué
toutes les mises à jour. Incluez les catégories « Optimisation de la distribution » et « Nettoyage
de Windows Update ». Ce processus peut être automatisé à l’aide de la ligne de commande
Cleanmgr.exe avec l’option /SAGESET:11 . L’option /SAGESET définit les valeurs de Registre qui
peuvent être utilisées ultérieurement pour automatiser le nettoyage de disque, qui utilise toutes
les options disponibles dans l’Assistant Nettoyage de disque.
a. Sur une machine virtuelle de test, à partir d’une nouvelle installation, l’exécution de
Cleanmgr.exe /SAGESET:11 révèle qu’il existe seulement deux options de nettoyage de disque
b. Si vous définissez plus d’options ou toutes les options, celles-ci sont enregistrées dans le
Registre, en fonction de la valeur d’Index fournie dans la commande précédente
( Cleanmgr.exe /SAGESET:11 ). Dans ce cas, nous allons utiliser la valeur 11 comme index, pour
une procédure de nettoyage automatique du disque ultérieure.
2. Nettoyez votre stockage Cliché instantané des volumes, s’il y en a en cours d’utilisation.
3. Nettoyez les fichiers temporaires et les journaux. Depuis une invite de commandes avec
élévation de privilèges, exécutez les commandes Del C:\*.tmp /s , Del C:\Windows\Temp\. et Del
%temp%\. .
4. Supprimez tous les profils inutilisés sur le système en exécutant wmic path win32_UserProfile
where LocalPath="c:\users\<user>" Delete .
Azure CLI
Get-Process -Name OneDrive | Stop-Process -Force -Confirm:$false
if (Test-Path "C:\\Windows\\System32\\OneDriveSetup.exe")`
{ Start-Process "C:\\Windows\\System32\\OneDriveSetup.exe"`
-ArgumentList "/uninstall"`
-Wait }
if (Test-Path "C:\\Windows\\SysWOW64\\OneDriveSetup.exe")`
{ Start-Process "C:\\Windows\\SysWOW64\\OneDriveSetup.exe"`
-ArgumentList "/uninstall"`
-Wait }
Remove-Item -Path
"C:\\Windows\\ServiceProfiles\\LocalService\\AppData\\Roaming\\Microsoft\\Windows\\Start
Menu\\Programs\\OneDrive.lnk" -Force
Remove-Item -Path
"C:\\Windows\\ServiceProfiles\\NetworkService\\AppData\\Roaming\\Microsoft\\Windows\\Star
t Menu\\Programs\\OneDrive.lnk" -Force
# Remove the automatic start item for OneDrive from the default user profile registry
hive
Supprimer l’accès à toutes les fonctionnalités Windows Update (remplacer activé par non
configuré)
Ne pas se connecter à des emplacements Internet Windows Update (remplacer activé par
non configuré).
Mettez à jour le service Orchestrator (remplacer désactivé par Automatique (Début différé) ).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\PolicyState
DeferQualityUpdates (remplacer 1 par 0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings
PausedQualityDate (supprimer toute valeur existante)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
WAU
Désactivé
Pour que tous ces paramètres prennent effet, redémarrez l’appareil. Si vous ne souhaitez pas que cet
appareil se voit proposer des mises à jour de fonctionnalités, accédez à Paramètres \ Windows Update
\ Options avancées \ Choisir quand installer les mises à jour, puis définissez manuellement l’option
Une mise à jour des fonctionnalités inclut des améliorations et de nouvelles fonctionnalités. Elle
peut être différée pendant ce nombre de jours sur une valeur différente de zéro, telle que 180 ou
365.
Pour toute question ou interrogation sur les informations contenues dans ce document, contactez
l’équipe de votre compte Microsoft, effectuez des recherches sur le blog VDI de Microsoft, postez un
message sur les forums Microsoft ou contactez Microsoft pour des questions ou des interrogations.
Références
What is VDI (virtual desktop infrastructure)
Sysprep échoue après avoir supprimé ou mis à jour les applications Microsoft Store qui incluent
des images Windows intégrées .
Optimisation de Windows 10 version 1803
pour un rôle VDI (Virtual Desktop
Infrastructure)
Article • 29/04/2023
Cet article vous aide à choisir les paramètres pour Windows 10, version 1803 (build 17134)
qui doivent normalement permettre des performances optimales dans un environnement
VDI. Tous les paramètres de ce guide sont des recommandations à considérer, mais ne sont
en aucune façon des exigences.
7 Notes
Conseil
Un script qui implémente les optimisations présentées dans cette rubrique, ainsi qu’un
fichier d’exportation d’objet de stratégie de groupe que vous pouvez importer avec
LGPO.exe, est disponible dans TheVDIGuys sur GitHub.
Les paramètres d’optimisation sont placés sur un appareil de référence. Une machine
virtuelle est un endroit idéal pour créer l’image, car vous pouvez enregistrer l’état, créer des
points de contrôle et faire des sauvegardes ainsi que d’autres tâches utiles. Commencez par
installer le système d’exploitation par défaut sur la machine virtuelle de base, puis optimisez
la machine virtuelle de base pour une utilisation de VDI en supprimant les applications
inutiles, en installant des mises à jour de Windows, en installant d’autres mises à jour, en
supprimant les fichiers temporaires, en appliquant des paramètres, etc.
Il existe d’autres types de VDI, comme les services Bureau à distance persistants. Une
description approfondie de ces technologies est en dehors de l’objet de cette rubrique, qui
se concentre sur les paramètres de l’image de base de Windows et fait référence à d’autres
facteurs de l’environnement, comme l’optimisation de l’hôte.
VDI persistante
La VDI persistante est à la base une machine virtuelle qui enregistre l’état du système
d’exploitation entre les redémarrages. D’autres couches logicielles de la solution VDI
fournissent aux utilisateurs un accès simple et direct aux machines virtuelles qui leur sont
affectées, souvent avec une solution d’authentification unique.
Machine virtuelle persistante basée sur une image, avec des disques virtuels
personnels. Dans ce type d’implémentation, il y a une image de base/gold sur un ou
plusieurs serveurs hôtes. Une machine virtuelle est créée, et un ou plusieurs disques
virtuels sont créés et affectés à ce disque pour le stockage persistant.
Quand la machine virtuelle est démarrée, une copie de l’image de base est lue dans
la mémoire de la machine virtuelle. Au même moment, un disque virtuel persistant
est affecté à cette machine virtuelle, avec les modifications précédentes du système
d’exploitation fusionnées via un processus complexe.
Les modifications comme les écritures du journal des événements, les écritures du
journal, etc., sont redirigées vers le disque virtuel en lecture/écriture affecté à cette
machine virtuelle.
Avec la VDI non persistante basés sur une image, l’image de base est en lecture seule.
Quand une machine virtuelle VDI non persistante est démarrée, une copie de l’image de
base est diffusée en continu à la machine virtuelle. L’activité qui se produit lors du
démarrage et par la suite jusqu’au redémarrage suivant est redirigée vers un emplacement
temporaire. En général, des emplacements réseau sont fournis aux utilisateurs pour stocker
leurs données. Dans certains cas, le profil de l’utilisateur est fusionné avec la machine
virtuelle standard pour fournir ses paramètres à cet utilisateur.
Un aspect important de la VDI non persistante basée sur une image est la maintenance. Les
mises à jour du système d’exploitation sont généralement délivrées une fois par mois.
Avec
la VDI basée sur une image, un ensemble de processus doivent être effectués pour obtenir
les mises à jour de l’image :
Sur un hôte donné, toutes les machines virtuelles présentes sur cet hôte qui sont
dérivées de l’image de base doivent être arrêtées ou désactivées. Cela signifie que les
utilisateurs sont redirigés vers d’autres machines virtuelles.
L’image de base est ensuite ouverte et démarrée. Toutes les activités de maintenance
sont ensuite effectuées, comme les mises à jour du système d’exploitation, les mises à
jour de .NET, les mises à jour des applications, etc.
L’image de base est scellée et définie comme pouvant être remise en production.
Les utilisateurs sont autorisés à se reconnecter.
7 Notes
PowerShell
Get-ScheduledTask | ? {$_.Settings.MaintenanceSettings}
Un des défis liés à la VDI non persistante est que quand un utilisateur se déconnecte,
presque toutes les activités du système d’exploitation sont abandonnées. Le profil de
l’utilisateur et/ou l’état peuvent être enregistrés, mais la machine virtuelle elle-même
abandonne presque toutes les modifications qui ont été apportées depuis le dernier
démarrage. Par conséquent, les optimisations destinées à un ordinateur Windows qui
enregistre l’état d’une session à l’autre ne sont pas applicables.
L’alternative consiste à utiliser une image .ISO standard à partir de laquelle faire les
installations, éventuellement en utilisant un fichier de réponses d’installation sans assistance,
et une séquence de tâches pour installer ou supprimer des applications. Vous pouvez aussi
utiliser une séquence de tâches pour définir des paramètres de stratégie locale dans l’image,
par exemple en utilisant l’outil Utilitaire Objet Stratégie de groupe locale (LGPO, Local Group
Policy Object).
Services système
Tâches planifiées
Paramètres utilisateur
Paramètres de l’hyperviseur/hôte
Nettoyage de disque
La connectivité et le minutage sont tout ce qui compte dès lors qu’il est question du
nettoyage des applications UWP. Si vous déployez votre image de base sur un appareil sans
connectivité réseau, Windows 10 ne peut pas se connecter à Microsoft Store, ni télécharger
des applications et essayer de les installer alors que vous essayez de les désinstaller.
Si vous modifiez le fichier .WIM de base que vous utilisez pour installer Windows 10 et que
vous supprimez les applications UWP non nécessaires du fichier .WIM avant l’installation, les
applications ne seront pas installées dès le départ et le temps de création de votre profil
devrait être plus court. Plus loin dans cette section, vous trouverez plus d’informations sur la
suppression des applications UWP du fichier .WIM de votre installation.
Une bonne stratégie pour la VDI consiste à provisionner les applications souhaitées dans
l’image de base, puis à limiter ou à bloquer par la suite l’accès au Microsoft Store. Les
applications du Store sont mises à jour périodiquement en arrière-plan sur les ordinateurs
normaux. Les applications UWP peuvent être mises à jour pendant la fenêtre de
maintenance quand d’autres mises à jour sont appliquées.
Les applications UWP qui ne sont pas nécessaires sont toujours présentes dans le système
de fichiers, consommant une petite quantité d’espace disque. Pour les applications qui ne
seront jamais nécessaires, la charge utile des applications UWP non souhaitées peut être
supprimée de l’image de base en utilisant des commandes PowerShell.
En fait, si vous supprimez ces applications du fichier .WIM d’installation en utilisant les liens
fournis plus loin dans cette section, vous devez être en mesure de commencer dès le début
avec une liste très courte d’applications UWP.
Exécutez la commande suivante pour énumérer les applications UWP provisionnées à partir
d’un système d’exploitation Windows 10 en cours d’exécution, comme dans cet exemple de
sortie tronquée de PowerShell :
PowerShell
Get-AppxProvisionedPackage -Online
DisplayName : Microsoft.3DBuilder
Version : 13.0.10349.0
Architecture : neutral
ResourceId : \~
PackageName : Microsoft.3DBuilder_13.0.10349.0_neutral_\~_8wekyb3d8bbwe
Regions :
Les applications UWP qui sont provisionnées sur un système peuvent être supprimées lors
de l’installation du système d’exploitation dans le cadre d’une séquence de tâches, ou plus
tard une fois que le système d’exploitation est installé. Ceci peut être la méthode préférée,
car elle rend modulaire le processus global de création ou de gestion d’une image. Une fois
que vous développez les scripts, si quelque chose change dans une build ultérieure, vous
modifiez un script existant au lieu de répéter le processus à partir de zéro. Voici quelques
liens vers des informations à ce sujet :
PowerShell
L’applicabilité doit être évaluée pour chaque application UWP dans chaque environnement.
Vous voulez installer une installation par défaut de Windows 10, version 1803, puis noter les
applications qui sont en cours d’exécution et consomment de la mémoire. Par exemple, vous
pouvez envisager de supprimer des applications qui démarrent automatiquement, ou des
applications qui affichent automatiquement des informations sur le menu Démarrer, comme
Météo et Actualités, et qui ne sont pas utiles dans votre environnement.
Une des applications UWP intégrée appelée Photos a un paramètre appelé par défaut
nommé Afficher une notification quand de nouveaux albums sont disponibles.
L’application Photos peut utiliser environ 145 Mo de mémoire ; en l’occurrence de la
mémoire d’une plage de travail privée, même si elle n’est pas utilisé. Changer la valeur de
Afficher une notification quand de nouveaux albums sont disponibles pour tous les
utilisateurs n’est pas pratique à ce moment-là, d’où la recommandation de supprimer
l’application Photos si elle n’est pas nécessaire ou souhaitée.
PowerShell
Get-WindowsOptionalFeature -Online
PowerShell
Certaines décisions peuvent être basées sur les spécificités de l’environnement, par
exemple :
Les paramètres suivants ne bloquent pas ou ne sont pas en confit avec des paramètres
n’ayant rien à voir avec la sécurité. Ces paramètres ont été choisis pour supprimer les
paramètres qui peuvent ne pas être applicables aux environnements VDI.
7 Notes
Stratégie de
l’ordinateur local \
Configuration
ordinateur \
Paramètres
Windows \
Paramètres de
sécurité
Stratégie de
l’ordinateur local \
Configuration
ordinateur \
Modèles
d’administration \
Panneau de
configuration
Stratégie de
l’ordinateur local \
Configuration
ordinateur \
Modèles
d’administration \
Réseau
Indicateur d’état de Spécifier l’interrogation Désactiver Activé (Utilisez ce paramètre si vous êtes
la connectivité passive l’interrogation sur un réseau isolé ou si vous utilisez
réseau (Notez qu’il passive (case à des adresses IP statiques.)
existe d’autres cocher)
paramètres dans
cette section qui
peuvent être utilisés
dans les réseaux
isolés)
*Paramètres TCPIP\ Définir l’état de Teredo État désactivé Activé (Dans l’état désactivé, aucune
Technologies de interface Teredo n’est présente sur
transition IPv6 l’hôte.)
Stratégie de
l’ordinateur local \
Configuration
ordinateur \
Modèles
d’administration \
Menu Démarrer et
barre des tâches
Stratégie de
l’ordinateur local \
Configuration
ordinateur \
Modèles
d’administration \
Système
*Services de temps Activer le client NTP Désactivé (Si vous désactivez ou que
Windows\ Windows vous ne configurez pas ce paramètre de
Fournisseurs de stratégie, l’horloge de l’ordinateur local
temps ne synchronise pas l’heure avec les
serveurs NTP) REMARQUE : Manipulez
ce paramètre avec précaution. Les
appareils Windows joints à un domaine
doivent utiliser NT5DS. Le contrôleur de
domaine vers le contrôleur de domaine
parent doit utiliser NTP. Le rôle PDCe
doit utiliser NTP. Les machines virtuelles
utilisent parfois des « améliorations » ou
des « services d’intégration ».
Stratégie de
l’ordinateur local \
Configuration
ordinateur \
Modèles
d’administration \
Composants
Windows
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder aux toutes les sont pas autorisées à accéder aux
informations de compte applications : informations de compte et les employés
Forcer le refus de votre organisation ne peuvent pas la
modifier)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder à l’historique toutes les sont pas autorisées à accéder aux
des appels applications : informations de compte et les employés
Forcer le refus de votre organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder aux contacts toutes les sont pas autorisées à accéder aux
applications : contacts et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous désactivez ou que vous
l’application applications Windows défaut pour ne configurez pas ce paramètre de
d’accéder aux toutes les stratégie, les employés de votre
informations de applications : organisation peuvent décider si les
diagnostic d’autres Forcer le refus applications Windows peuvent obtenir
applications des informations de diagnostic sur les
autres applications en utilisant
Paramètres > Confidentialité sur
l’appareil)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option
l’application applications Windows défaut pour « Forcer l’autorisation », les applications
d’accéder aux e-mails toutes les Windows sont autorisées à accéder aux
applications : e-mails et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder à toutes les sont pas autorisées à accéder à
l’emplacement applications : l’emplacement et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder aux messages toutes les sont pas autorisées à accéder à
applications : l’emplacement et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder aux données toutes les sont pas autorisées à accéder aux
de mouvement applications : données de mouvement et les employés
Forcer le refus de votre organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder aux toutes les sont pas autorisées à accéder aux
notifications applications : notifications et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder aux tâches toutes les sont pas autorisées à accéder aux tâches
applications : et les employés de votre organisation ne
Forcer le refus peuvent pas la modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder au calendrier toutes les sont pas autorisées à accéder au
applications : calendrier et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder à la caméra toutes les sont pas autorisées à accéder à la
applications : caméra et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder au toutes les sont pas autorisées à accéder au
microphone applications : microphone et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
Paramètre de Élément Sous-élément Valeur possible et commentaires
stratégie
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
d’accéder aux appareils toutes les sont pas autorisées à accéder aux
de confiance applications : appareils de confiance et les employés
Forcer le refus de votre organisation ne peuvent pas la
modifier.)
*Confidentialité de Laisser les applications Valeur par Activé (Si vous choisissez l’option Forcer
l’application Windows communiquer défaut pour le refus, les applications Windows ne
avec des appareils non toutes les sont pas autorisées à communiquer avec
appairés applications : des appareils sans fil non appairés et les
Forcer le refus employés de votre organisation ne
peuvent pas la modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows n’ont
d’accéder à des radios toutes les pas d’accès permettant de contrôler des
applications : radios et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Confidentialité de Permettre aux Valeur par Activé (Si vous choisissez l’option Forcer
l’application applications Windows défaut pour le refus, les applications Windows ne
de s’exécuter en arrière- toutes les sont pas autorisées à s’exécuter en
plan applications : arrière-plan et les employés de votre
Forcer le refus organisation ne peuvent pas la
modifier.)
*Collecte des Autoriser la télémétrie 0 – Sécurité Activé (Définir la valeur sur 0 fait que
données et versions [Entreprise l’option s’applique seulement aux
d’évaluation uniquement] appareils exécutant les éditions
Preview Entreprise, Éducation, IoT ou Windows
Server).
*Microsoft Edge Configurer Ne pas me Activé (Si vous activez ce paramètre, les
suivre demandes Ne pas me suivre sont
toujours envoyées aux sites web qui
demandent des informations de suivi.)
*Microsoft Edge Configurer des pages de Activé (Si vous activez ce paramètre,
démarrage vous pouvez configurer une ou plusieurs
pages de démarrage. Si ce paramètre est
activé, vous devez également inclure les
URL vers les pages correspondantes en
utilisant des crochets angulaires au
format suivant <support.contoso.com>
<support.microsoft.com> Windows 10,
version 1703 ou ultérieure : Si vous ne
souhaitez pas envoyer le trafic à
Microsoft, vous pouvez utiliser la valeur
<about:blank>, qui est prise en compte
pour les appareils joints ou non à un
domaine, quand il s’agit de la seule URL
configurée.
*Synchroniser vos Ne pas synchroniser Autoriser les Activé (Si vous activez ce paramètre de
paramètres utilisateurs à stratégie, « Synchroniser vos
activer la paramètres » est désactivé, et aucun des
synchronisation groupes « Synchroniser vos
(non paramètres » n’est synchronisé sur cet
sélectionné) appareil.
Antivirus Définir l’ordre des FileShares Activé (si vous activez ce paramètre, les
Windows Defender\ sources pour le sources de mise à jour de définition
Mises à jour des téléchargement des seront contactées dans l’ordre spécifié.
signatures mises à jour des Une fois que les mises à jour de
définitions définition ont été téléchargées avec
succès à partir d’une source spécifiée,
les autres sources de la liste ne sont pas
contactées.)
*Windows Update\ Gérer les versions Définir le Activé (la sélection de l’option
Windows Update d’évaluation comportement Désactiver les versions d’évaluation
pour Entreprise pour la empêchera l’installation des versions
réception des préliminaires sur l’appareil. Cela
versions empêchera les utilisateurs de s’abonner
d’évaluation : au programme Windows Insider, par le
biais des paramètres -> Mise à jour et
sécurité.)
Désactiver les
versions
d’évaluation
*Windows Update\ Choisir le moment où Canal semi- Activé (Activez cette stratégie pour
Windows Update les versions d’évaluation annuel spécifier le niveau des versions
pour Entreprise et les mises à jour des d’évaluation ou des mises à jour des
fonctionnalités sont fonctionnalités à recevoir, et à quel
reçues moment.)
Ajournement :
365 jours,
Suspendre le
démarrage : jj-
mm-aaaa
Stratégie de
l’ordinateur local \
Configuration
utilisateur \
Modèles
d’administration
Menu Démarrage Désactiver les bulles de Activé (Les utilisateurs ne peuvent pas
et barre des tâches notification d’annonce épingler l’application Store à la barre
de fonctionnalité des tâches. Si l’application Store est déjà
épinglée à la barre des tâches, elle en
est supprimée lors de la connexion
suivante.)
Stratégie de l’ordinateur
local \ Configuration
utilisateur \ Modèles
d’administration
Pour plus d’informations sur l’Indicateur d’état de la connexion réseau (NCSI), consultez :
The Network Connection Status icon
Services système
Si vous envisagez de désactiver des services système pour économiser des ressources,
vérifiez bien que le service considéré n’est pas d’une façon ou d’une autre un composant
d’un autre service.
CDPUserService Ce service utilisateur est utilisé pour les REMARQUE : Il s’agit d’un service par
scénarios de plateforme d’appareils utilisateur : le modèle de service doit
connectés donc être désactivé.
Expériences des Active les fonctionnalités qui prennent en Envisagez la désactivation si vous
utilisateurs charge les expériences utilisateur êtes sur un réseau déconnecté
connectés et connectées et dans l’application. En outre,
télémétrie ce service gère la collecte pilotée par les
événements et la transmission des
informations de diagnostic et d’utilisation
(utilisées pour améliorer l’expérience et la
qualité de la plateforme Windows) quand
les paramètres des options de diagnostics
et de confidentialité de l’utilisation sont
activés sous Commentaires et Diagnostics.
Service utilisateur Ce service utilisateur est utilisé pour les REMARQUE : Il s’agit d’un service par
GameDVR et enregistrements des jeux et les diffusions utilisateur : le modèle de service doit
Diffusion en direct donc être désactivé.
MessagingService Service prenant en charge la messagerie REMARQUE : Il s’agit d’un service par
texte et les fonctionnalités associées. utilisateur : le modèle de service doit
donc être désactivé.
Service Élément Comment
Windows
Optimiser les Permet à l’ordinateur de s’exécuter plus Normalement, les solutions VDI ne
lecteurs efficacement en optimisant les fichiers sur bénéficient pas de l’optimisation des
les lecteurs de stockage. disques. Ces « lecteurs » ne sont pas
des disques traditionnels et sont
souvent simplement une allocation
de stockage temporaire.
Rapport d’erreurs Permet le signalement des erreurs quand Avec VDI, les diagnostics sont
Windows des programmes cessent de fonctionner souvent effectués dans un scénario
ou de répondre, et permet de délivrer des hors connexion et non pas dans le
solutions existantes. Permet également la cadre de la production normale. En
génération des journaux pour les services outre, certains clients désactivent de
de diagnostic et de réparation. Si ce toute façon Rapport d’erreurs
service est arrêté, les rapports d’erreurs Windows. Rapport d’erreurs
peuvent ne pas fonctionner correctement, Windows consomme une petite
et les résultats des services de diagnostic quantité de ressources pour
et de réparation peuvent ne pas être différentes choses, notamment les
affichés. échecs d’installation d’un
périphérique ou d’une mise à jour.
Service Partage Partage des bibliothèques Lecteur Non nécessaire, sauf si les clients
réseau du Lecteur Windows Media avec d’autres lecteurs partagent des bibliothèques Lecteur
Windows Media réseau et des appareils multimédias en Windows Media sur le réseau.
utilisant Plug and Play universel
Tâches planifiées
Comme d’autres éléments dans Windows, vérifiez qu’un élément n’est pas nécessaire avant
d’envisager de le désactiver.
Les tâches de la liste suivante sont celles qui effectuent des optimisations ou des collectes
de données sur les ordinateurs conservant leur état entre les redémarrages. Quand une
tâche de machine virtuelle VDI redémarre et abandonne toutes les modifications effectuées
depuis le dernier démarrage, les optimisations destinées aux ordinateurs physiques ne sont
pas utiles.
Vous pouvez obtenir toutes les tâches planifiées en cours, y compris leur description, avec le
code PowerShell suivant :
Certaines des traces affichées sous Sessions de suivi d’événements et Sessions de trace des
événements Startup ne peuvent pas et ne doivent pas être arrêtées. D’autres, comme la
trace WiFiSession, peuvent être arrêtées. Pour arrêter une trace en cours d’exécution sous
Sessions de suivi d’événements, cliquez avec le bouton droit sur la trace, puis sélectionnez
Arrêter. Pour empêcher les traces de démarrer automatiquement au démarrage, procédez
comme suit :
5. Sélectionnez OK.
Voici quelques traces système dont vous pouvez envisager la désactivation pour une
utilisation de VDI :
Nom Comment
CloudExperienceHostOOBE
DiagLog
NtfsLog
TileStore
UBPM
Nom Comment
WiFiSession
C’est un bon choix dans le cas où vous vous apprêtez à installer des applications Microsoft,
comme Microsoft Office, dans l’image de base. De cette façon, Office est à jour quand
l’image est mise en service. Il existe également des mises à jour de .NET et de certains
composants non-Microsoft, comme Adobe, qui ont des mises à jour disponibles via
Windows Update.
Un point très important pour les machines virtuelles VDI non persistantes est celui des mises
à jour de sécurité, y compris les fichiers de définition des logiciels de sécurité. Ces mises à
jour peuvent être publiées une ou plusieurs fois par jour. Il doit y avoir un moyen de
conserver ces mises à jour, notamment pour Windows Defender et des composants non
Microsoft.
Pour Windows Defender, il peut être préférable d’autoriser les mises à jour, même sur une
VDI non persistante. Les mises à jour sont s’appliquer à presque chaque ouverture de
session, mais il s’agit de petites mises à jour qui ne devraient pas poser de problème. En
outre, la machine virtuelle ne sera pas en retard sur les mises à jour, car seule la dernière
mise à jour disponible est appliquée. La même chose s’applique pour les fichiers de
définition non-Microsoft.
7 Notes
Les applications du Store (applications UWP) se mettent à jour via le Windows Store.
Les versions modernes d’Office, comme Microsoft 365, se mettent à jour via leurs
propres mécanismes quand elles sont connectées directement à Internet, ou via des
technologies de gestion quand ce n’est pas le cas.
L’article ci-dessus contient des procédures pour la maintenance de l’image « gold » de VDI
et explique comment maintenir les clients VDI alors qu’ils sont en cours d’exécution. Pour
réduire la bande passante réseau quand les ordinateurs VDI doivent mettre à jour leurs
signatures Windows Defender, échelonnez les redémarrages et planifiez-les pour qu’ils aient
lieu pendant les heures creuses quand c’est possible. Les mises à jour des signatures
Windows Defender peuvent se trouver en interne sur des partages de fichiers ; là où c’est
possible, placez ces partages de fichiers sur les mêmes segments réseau que les machines
virtuelles VDI (ou sur des segments proches).
Consultez l’article mentionné au début de cette section pour plus d’informations sur
l’optimisation de Windows Defender avec VDI.
Notez que certains paramètres de cette section sont uniquement basés sur le Registre et
doivent être incorporés dans l’image de base avant que l’image soit déployée pour une
utilisation en production.
Les paramètres suivants sont documentés dans le Guide d’optimisation des performances de
Windows Server 2016, publié sur Microsoft.com par le groupe des produits Windows.
DisableBandwidthThrottling
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DisableBandwidt
hThrottling
S’applique à Windows 10 La valeur par défaut est 0. Par défaut, le redirecteur SMB limite le
débit sur les connexions réseau à latence élevée, dans certains cas afin d’éviter des délais
d’attente liés au réseau. La définition de cette valeur de Registre sur 1 désactive cette
limitation, en permettant un débit de transfert de fichiers plus élevé sur des connexions
réseau à latence élevée : vous devez donc envisager cette valeur.
FileInfoCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileInfoCacheEnt
riesMax
S’applique à Windows 10 La valeur par défaut est 64, avec une plage valide allant de 1 à
65 536. Cette valeur permet de déterminer la quantité de métadonnées de fichier pouvant
être mises en cache par le client. Une augmentation de la valeur peut réduire le trafic réseau
et améliorer les performances quand le système doit accéder à un grand nombre de fichiers.
Essayez en augmentant cette valeur à 1 024.
DirectoryCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DirectoryCacheE
ntriesMax
S’applique à Windows 10 La valeur par défaut est 16, avec une plage valide allant de 1 à
4 096. Cette valeur permet de déterminer la quantité d’informations de répertoire pouvant
être mises en cache par le client. Augmenter la valeur peut réduire le trafic réseau et
améliorer les performances lorsque des répertoires volumineux sont consultés. Envisagez
d’augmenter cette valeur à 1 024.
FileNotFoundCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileNotFoundCa
cheEntriesMax
S’applique à Windows 10 La valeur par défaut est 128, avec une plage valide allant de 1 à
65 536. Cette valeur permet de déterminer la quantité d’informations de nom de fichier
pouvant être mises en cache par le client. Une augmentation de la valeur peut réduire le
trafic réseau et améliorer les performances quand le système doit accéder à un grand
nombre de noms de fichier. Envisagez d’augmenter cette valeur à 2 048.
DormantFileLimit
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DormantFileLimi
t
S’applique à Windows 10 La valeur par défaut est 1 023. Ce paramètre spécifie le nombre
maximal de fichiers devant être laissés ouverts sur une ressource partagée une fois que
l’application a fermé le fichier. Là où plusieurs milliers de clients se connectent à des
serveurs SMB, réduisez cette valeur à 256 : Windows Server 2022, Windows Server 2019,
Vous pouvez configurer beaucoup de ces paramètres SMB à l’aide des applets de
commande Windows PowerShell Set-SmbClientConfiguration et Set-
SmbServerConfiguration. Vous pouvez configurer les paramètres de Registre uniquement à
l’aide de Windows PowerShell, comme dans l’exemple suivant :
Set-ItemProperty -Path
"HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanWorkstation\\Parameters"
7 Notes
Voici des suggestions pour les différentes tâches de nettoyage de disque. Vous devez les
tester avant de les implémenter :
b. Si vous définissez plus d’options ou toutes les options, celles-ci sont enregistrées
dans le Registre, en fonction de la valeur d’index fournie dans la commande
précédente (Cleanmgr.exe /SAGESET:11). Dans cet exemple, nous utilisons la valeur
11 comme index, pour une procédure de nettoyage automatique du disque
ultérieure.
3. Nettoyez les fichiers temporaires et les journaux. À partir d’une invite de commandes
avec élévation de privilèges, exécutez ces commandes :
Del C:\*.tmp /s
Del C:\Windows\Temp\.
Del %temp%\.
4. Supprimez tous les profils inutilisés sur le système avec cette commande :
Supprimer OneDrive
La suppression de OneDrive implique la suppression du package, et la désinstallation et la
suppression des fichiers *.lnk. Vous pouvez utiliser l’exemple de code PowerShell suivant
pour supprimer OneDrive de l’image :
Azure CLI
if (Test-Path "C:\\Windows\\System32\\OneDriveSetup.exe")`
{ Start-Process "C:\\Windows\\System32\\OneDriveSetup.exe"`
-ArgumentList "/uninstall"`
-Wait }
if (Test-Path "C:\\Windows\\SysWOW64\\OneDriveSetup.exe")`
{ Start-Process "C:\\Windows\\SysWOW64\\OneDriveSetup.exe"`
-ArgumentList "/uninstall"`
-Wait }
Remove-Item -Path
"C:\\Windows\\ServiceProfiles\\LocalService\\AppData\\Roaming\\Microsoft\\Window
s\\Start Menu\\Programs\\OneDrive.lnk" -Force
Remove-Item -Path
"C:\\Windows\\ServiceProfiles\\NetworkService\\AppData\\Roaming\\Microsoft\\Wind
ows\\Start Menu\\Programs\\OneDrive.lnk" -Force \# Remove the automatic start
item for OneDrive from the default user profile registry hive
Pour toute question ou interrogation sur les informations contenues dans ce document,
contactez l’équipe de votre compte Microsoft, effectuez des recherches sur le blog VDI de
Microsoft, postez un message sur les forums Microsoft ou contactez Microsoft pour des
questions ou des interrogations.
Gérer les utilisateurs de votre collection
de services Bureau à distance
Article • 21/09/2022
En tant qu’administrateur, vous pouvez gérer directement les utilisateurs ayant accès à
des collections spécifiques. Ainsi, vous pouvez créer une collection avec des applications
standard pour les travailleurs de l’information, puis créer une collection distincte avec
des applications de modélisation graphique pour les ingénieurs. La gestion de l’accès
utilisateur dans un déploiement des Services Bureau à distance nécessite deux étapes
principales :
Créer un groupe
Vous pouvez utiliser des groupes AD DS pour accorder l’accès à un ensemble
d’utilisateurs ayant besoin d’utiliser les mêmes ressources distantes.
1. Dans le Gestionnaire de serveur sur le serveur exécutant les services AD DS, cliquez
sur Outils Utilisateurs et ordinateurs Active Directory.
2. Développez le domaine dans le volet gauche pour afficher ses sous-dossiers.
3. Cliquez avec le bouton droit sur le dossier où vous souhaitez créer le groupe, puis
cliquez sur Nouveau Groupe.
4. Entrez un nom de groupe approprié, puis sélectionnez Global et Sécurité.
2. Ajoutez les autres serveurs Bureau à distance au pool de serveurs gérés du Service
Broker pour les connexions Bureau à distance :
a. Dans le Gestionnaire de serveur, cliquez sur Gérer Ajouter des serveurs.
b. Cliquez sur Rechercher.
c. Cliquez sur chaque serveur dans votre déploiement qui exécute un rôle Services
Bureau à distance, puis cliquez sur OK.
Si vous utilisez Windows Server pour accéder à des programmes RemoteApp ou des
postes de travail via l’accès web des services Bureau à distance ou la nouvelle
application Bureau à distance, vous avez peut-être remarqué que le titre par défaut de
l’espace de travail est « Ressources de travail ». Vous pouvez facilement changer le titre
à l’aide des applets de commande PowerShell.
Pour changer le titre, ouvrez une nouvelle fenêtre PowerShell sur le serveur du service
Broker pour les connexions, puis importez le module RemoteDesktop à l’aide de la
commande suivante.
PowerShell
Import-Module RemoteDesktop
PowerShell
Par exemple, vous pouvez utiliser la commande suivante pour remplacer le nom de
l’espace de travail par « Programmes RemoteApp Contoso » :
PowerShell
Si vous avez plusieurs serveurs du service Broker pour les connexions en mode haute
disponibilité, vous devez exécuter cette commande sur le serveur du service broker actif.
Vous pouvez utiliser la commande suivante :
PowerShell
Set-RDWorkspace -Name "Contoso RemoteApps" -ConnectionBroker (Get-
RDConnectionBrokerHighAvailability).ActiveManagementServer
Des performances d’application médiocres, par exemple une application qui s’exécute
lentement ou qui ne répond pas, représentent un des problèmes les plus difficiles à
diagnostiquer. En règle générale, vous démarrez votre diagnostic par la collecte
d’entrées et de sorties de disque, de mémoire, de processeur et d’autres métriques, puis
vous utilisez des outils, tels que Windows Performance Analyzer, pour tenter de
déterminer la cause du problème. Malheureusement, dans la plupart des cas, ces
données ne vous permettent pas d’identifier l’origine, car les compteurs de
consommation des ressources enregistrent des variations importantes et fréquentes. La
lecture des données pour les corréler avec le problème signalé s’avère donc ardue.
7 Notes
Une précision importante sur ce compteur est qu’il renseigne sur le délai de l’entrée
utilisateur maximal dans un intervalle configurable. Il s’agit de la plus longue durée
nécessaire à une entrée pour accéder à l’application, ce qui peut avoir un impact sur la
vitesse d’actions importantes et tangibles, telles que la frappe au clavier.
Ainsi, dans le tableau suivant, le délai de l’entrée utilisateur est indiqué comme étant de
1 000 ms dans cet intervalle. Le compteur indique le délai de l’entrée utilisateur le plus
lent dans l’intervalle, car la perception de « lent » par l’utilisateur est déterminée par la
durée de l’entrée la plus lente (le maximum) qu’il rencontre, et non par la vitesse
moyenne de toutes les entrées totalisées.
Numéro 0 1 2
7 Notes
La boîte de dialogue Ajouter des compteurs doit s’afficher ; dans celle-ci vous pouvez
sélectionner User Input Delay per Process (Délai de l’entrée utilisateur par processus)
ou User Input Delay per Session (Délai de l’entrée utilisateur par session).
Si vous sélectionnez Délai de l’entrée utilisateur par processus, vous voyez les Instances
de l’objet sélectionné (autrement dit, les processus) dans le format SessionID:ProcessID
<Process Image> .
7 Notes
Tous les processus ne sont pas inclus. Vous ne voyez aucun des processus exécutés
en tant que SYSTÈME.
Aussitôt qu’il est ajouté, le compteur commence à donner des informations sur le délai
de l’entrée utilisateur. Notez que l’échelle maximale est définie sur 100 (ms) par défaut.
Examinons à présent le délai de l’entrée utilisateur par session. Il y a des instances pour
chaque ID de session, et leurs compteurs renseignent sur le délai de l’entrée utilisateur
de n’importe quel processus au sein de la session spécifiée. Il existe par ailleurs deux
instances appelées « Max » (le délai maximal de l’entrée utilisateur dans toutes les
sessions) et « Average » (le délai moyen dans toutes les sessions).
Ce tableau montre un exemple visuel de ces instances. (Vous pouvez obtenir les mêmes
informations dans Perfmon en basculant vers le type de graphe Rapport.)
Type de compteur Nom de l'instance Délai signalé (ms)
Vous pouvez remarquer qu’il existe une corrélation entre les pics du processeur et ceux
du délai de l’entrée utilisateur : plus l’utilisation du processeur augmente, plus le délai
de l’entrée utilisateur s’allonge. Qui plus est, au fur et à mesure que d’autres utilisateurs
sont ajoutés au système, l’utilisation du processeur se rapproche de 100 %, ce qui se
traduit par des pics plus fréquents du délai de l’entrée utilisateur. Même si ce compteur
s’avère très utile dans des situations où le serveur ne dispose plus de ressources
suffisantes, vous pouvez tout aussi bien vous en servir pour effectuer le suivi du délai de
l’entrée utilisateur associé à une application particulière.
Options de configuration
L’indication du délai de l’entrée utilisateur d’après un intervalle par défaut de 1 000 ms
est un point essentiel à retenir lorsque vous utilisez ce compteur de performance. Si
vous définissez la propriété de l’intervalle d’échantillonnage du compteur de
performance (comme indiqué dans la capture d’écran suivante) sur une autre valeur,
l’information donnée sera incorrecte.
Pour résoudre ce problème, vous pouvez définir la clé de Registre suivante, afin qu’elle
corresponde à l’intervalle (en millisecondes) que vous souhaitez utiliser. Par exemple, si
nous modifions la valeur de Échantillonner toutes les x secondes, en optant pour
« 5 » secondes, nous devons définir cette clé sur 5 000 ms.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"LagCounterInterval"=dword:00005000
7 Notes
Nous avons également ajouté deux clés qui peuvent vous être utiles, sous la même clé
de Registre :
Voici à quoi ressemble le résultat que vous obtenez si vous activez les deux clés :
Avec les clients Bureau à distance Microsoft, vous pouvez vous connecter aux services
Bureau à distance à partir de Windows Server et de PC distants et utiliser et contrôler les
bureaux et les applications que votre administrateur a mis à votre disposition. Il existe
des clients disponibles pour de nombreux types d’appareils différents sur différentes
plateformes et facteurs de forme, comme les ordinateurs de bureau et les ordinateurs
portables, les tablettes, les smartphones et à travers les navigateurs web. À l’aide de
votre navigateur web sur des ordinateurs de bureau et des ordinateurs portables, vous
pouvez vous connecter sans avoir à télécharger ou installer de logiciels.
Il existe de nombreuses fonctionnalités que vous pouvez utiliser pour améliorer votre
expérience à distance, notamment les suivantes :
Certaines fonctionnalités sont disponibles uniquement avec certains clients. Il est donc
important de consulter Comparer les fonctionnalités des clients Bureau à distance pour
comprendre les différences lors de la connexion aux services Bureau à distance ou aux
PC distants.
Conseil
Vous pouvez également utiliser la plupart des versions du client Bureau à distance
pour vous connecter à Azure Virtual Desktop ainsi qu’aux services Bureau à
distance dans Windows Server ou à un PC distant. Si vous souhaitez des
informations sur Azure Virtual Desktop à la place, consultez Clients Bureau à
distance pour Azure Virtual Desktop.
Voici une liste des applications clientes Bureau à distance et notre documentation sur la
connexion aux services Bureau à distance ou à des PC distants, où vous pouvez trouver
des liens de téléchargement, les nouveautés et des informations sur comment installer
et utiliser chaque client.
L’application Bureau à distance pour Windows vous permet d’utiliser des PC et des
applications Windows à distance à partir d’un autre appareil Windows.
Aidez-vous des informations suivantes pour démarrer. Consultez le Forum aux questions
(FAQ) si vous avez des questions.
Conseil
Si vous souhaitez vous connecter à Azure Virtual Desktop au lieu des services
Bureau à distance ou d’un PC distant, consultez Se connecter à Azure Virtual
Desktop avec l’application Bureau à distance pour Windows.
) Important
Nous arrêtons de mettre à jour l’application Bureau à distance pour Windows avec
de nouvelles fonctionnalités.
Vous devez modifier ces paramètres ? Appuyez sur le menu de dépassement ( ... ) à côté
du nom du PC, puis appuyez sur Modifier.
7 Notes
Vous pouvez également ajouter une passerelle lorsque vous ajoutez une
nouvelle connexion.
Éléments gérés
Compte d’utilisateur : vous permet d’ajouter, de modifier et de supprimer des
comptes d’utilisateur enregistrés sur le client. Vous pouvez également mettre à
jour le mot de passe d’un compte qui a été changé.
Passerelle : vous permet d’ajouter, de modifier et de supprimer des serveurs de
passerelle enregistrés sur le client.
Groupe : vous permet d’ajouter, de modifier et de supprimer des groupes
enregistrés sur le client. Vous pouvez également regrouper les connexions ici.
Paramètres de session
Démarrer les connexions en mode plein écran : quand cette option est activée, à
chaque démarrage d’une connexion, le client utilise l’écran actif dans sa totalité.
Démarrer chaque connexion dans une nouvelle fenêtre : quand cette option est
activée, chaque connexion est démarrée dans une fenêtre distincte. Vous pouvez
ainsi avoir les connexions dans des écrans différents et passer de l’une à l’autre au
moyen de la barre des tâches.
Lors du redimensionnement de l’application : vous permet de contrôler ce qui se
passe quand la fenêtre du client est redimensionnée. L’action par défaut est Étirer
le contenu, en conservant ses proportions.
Utiliser les commandes clavier avec : vous permet de spécifier où les commandes
clavier comme WIN ou ALT+TAB sont utilisées. Par défaut, ces commandes sont
envoyées à la session seulement quand la connexion est en mode plein écran.
Empêcher l’expiration de l’écran : vous permet d’empêcher que l’écran expire
quand une session est active. Empêcher l’expiration est utile pour les connexions
qui ne nécessitent pas d’interaction pendant de longues périodes.
Paramètres d’application
Afficher les aperçus de PC : vous permet d’afficher l’aperçu d’un PC dans le Centre
de connexion avant de vous y connecter. Ce paramètre est activé par défaut.
Aidez-nous à améliorer le Bureau à distance : envoie des données anonymes à
Microsoft. Nous nous servons de ces données pour améliorer le client. Pour en
savoir plus sur la façon dont nous utilisons ces données personnelles anonymes,
consultez la Déclaration de confidentialité Microsoft . Ce paramètre est activé par
défaut.
Barre de connexion
La barre de connexion vous donne accès à des contrôles de navigation supplémentaires.
Par défaut, la barre de connexion est placée en haut de l’écran, au milieu. Appuyez sur la
barre et faites-la glisser vers la gauche ou la droite pour la déplacer.
Barre de commandes
Appuyez sur ... dans la barre de connexion pour afficher la barre de commandes sur le
côté droit de l’écran.
Interaction tactile directe : passe tous les contacts d’interaction tactile à la session
afin qu’ils soient interprétés à distance.
Ce mode s’utilise de la même façon qu’avec un écran tactile sur un appareil
Windows.
Pointeur de souris : transforme votre écran tactile local en un grand pavé tactile
vous permettant de déplacer un pointeur de souris dans la session.
Ce mode s’utilise de la même façon qu’avec un pavé tactile sur un appareil
Windows.
7 Notes
Pointeur de Clic gauche et Appuyer deux fois longuement avec un doigt, puis faire
souris glissement glisser
Pointeur de Clic droit et Appuyer deux fois longuement avec deux doigts, puis faire
souris glissement glisser
Pointeur de Roulette de la Appuyer longuement avec deux doigts, puis faire glisser vers
souris souris le haut ou vers le bas
Pointeur de Zoom Resserrer les deux doigts pour faire un zoom arrière ou
souris écarter les doigts pour effectuer un zoom avant
Vous pouvez également nous faire part de vos commentaires en sélectionnant le bouton
de points de suspension ( ... ) dans l’application cliente, puis Commentaires, comme
illustré dans l’image suivante.
7 Notes
Pour mieux vous aider, nous avons besoin que vous nous donniez le plus
d’informations détaillées possible sur le problème. Par exemple, vous pouvez
inclure des captures d’écran ou un enregistrement des actions qui vous ont conduit
au problème. Pour plus de conseils sur la façon de fournir des commentaires utiles,
consultez Commentaires.
Nouveautés de l’application Bureau à
distance pour Windows
Article • 20/04/2023
Dans cet article, vous allez découvrir les dernières mises à jour de l’application Bureau à
distance pour Windows. Pour en savoir plus sur l’utilisation de l’application Bureau à
distance pour Windows avec les services Bureau à distance, consultez Bien démarrer
avec le client Microsoft Store.
) Important
Nous ne mettons plus à jour l’application Bureau à distance pour Windows avec de
nouvelles fonctionnalités.
Réécriture du client pour qu’il utilise le même moteur RDP principal sous-jacent
que les clients iOS, macOS et Android.
Ajout de la prise en charge de la version intégrée à Azure Resource Manager
d’Azure Virtual Desktop.
Ajout de la prise en charge de x64 et ARM64.
Mise à jour du design du volet latéral qui est maintenant en plein écran.
Ajout de la prise en charge des modes Clair et Sombre.
Ajout de fonctionnalités pour s’abonner et se connecter à des déploiements de
cloud souverain.
Ajout de fonctionnalités pour permettre la sauvegarde et la restauration des
espaces de travail (signets) dans RTM (Release to Manufacturing).
Mise à jour des fonctionnalités pour utiliser les jetons Azure Active Directory
(Azure AD) existants pendant le processus d’abonnement afin de réduire le
nombre de fois où les utilisateurs doivent se connecter.
L’abonnement mis à jour peut à présent détecter si vous utilisez Azure Virtual
Desktop ou Azure Virtual Desktop (classique).
Correction du problème de copie des fichiers sur les ordinateurs distants.
Correction des problèmes d’accessibilité couramment signalés avec les boutons.
Une limite pouvant atteindre 20 informations d’identification par application est
autorisée.
Vous pouvez maintenant définir un nom d’affichage pour les comptes d’utilisateur,
afin de pouvoir enregistrer le même nom d’utilisateur avec différents mots de
passe.
Il est à présent possible de sélectionner un compte d’utilisateur lors de l’ajout de
ressources distantes.
Correction d’un problème de fin d’exécution du client.
Le client est désormais interrompu correctement lorsque des fenêtres secondaires
s’ouvrent.
Corrections de bogues supplémentaires.
Corrections de bogues.
Le client Bureau à distance pour Android vous permet d’utiliser des bureaux et
applications Windows directement à partir de votre appareil Android ou d’un
Chromebook qui prend en charge Google Play Store.
Cet article vous montre comment commencer à utiliser le client. Si vous avez des
questions supplémentaires, consultez notre Forum aux questions.
Conseil
Si vous souhaitez vous connecter à Azure Virtual Desktop au lieu des services
Bureau à distance ou d’un PC distant, consultez Se connecter à Azure Virtual
Desktop avec le client Bureau à distance pour Android et Chrome OS.
7 Notes
Avant d’ajouter une connexion, si ce n’est déjà fait, configurez votre PC pour qu’il
accepte les connexions à distance.
2. Entrez le nom du PC distant dans PC name (Nom du PC). Ce nom peut être un
nom d’ordinateur Windows, un nom de domaine Internet ou une adresse IP. Vous
pouvez aussi ajouter les informations du port au nom du PC (par exemple,
MyDesktop:3389 ou 10.0.0.1:3389). Ce champ est le seul obligatoire.
4. Vous pouvez également appuyer sur Show additional options (Afficher des
options supplémentaires) pour définir les paramètres facultatifs suivants :
Dans Friendly name (Nom convivial), vous pouvez entrer un nom facile à
mémoriser pour le PC auquel vous vous connectez. Si vous ne spécifiez pas
de nom convivial, le nom du PC s’affiche à la place.
Gateway (Passerelle) est la passerelle Bureau à distance que vous allez utiliser
pour vous connecter à un ordinateur à partir d’un réseau externe. Pour plus
d’informations, contactez votre administrateur système.
Sound (Son) sélectionne l’appareil que votre session à distance utilise pour
l’audio. Vous pouvez choisir d’activer le son sur votre appareil local ou sur
l’appareil distant, ou de désactiver entièrement le son.
Customize display resolution (Personnaliser la résolution d’affichage) définit
la résolution de la session à distance. Quand cette option est désactivée, la
résolution spécifiée dans les paramètres globaux est utilisée.
Permuter les boutons de la souris permute les commandes envoyées par les
gestes droit et gauche de la souris. Idéal pour les utilisateurs gauchers.
Se connecter à la session d’administrateur vous permet de vous connecter à
une session d’administrateur sur le PC distant.
Redirect local storage (Rediriger le stockage local) active la redirection du
stockage local. Ce paramètre est désactivé par défaut.
Vous devez modifier ces paramètres ? Appuyez sur le menu Autres options ( ... ) à côté
du nom du bureau, puis appuyez sur Modifier.
Conseil
Si vous obtenez l’erreur « 0xf07 » qui indique que « nous n’avons pas pu vous
connecter au PC distant, car le mot de passe associé au compte d’utilisateur a
expiré », réessayez avec un nouveau mot de passe.
1. Dans le Centre de connexion, appuyez sur +, puis appuyez sur Remote Resource
Feed (Flux de ressources distantes).
2. Dans le champ Feed URL (URL du flux), entrez l’URL du flux que vous souhaitez
ajouter. Il peut s’agir d’une URL ou d’une adresse e-mail.
Si vous utilisez une URL, utilisez celle que votre administrateur vous a
donnée.
Si vous utilisez une adresse e-mail, entrez votre adresse e-mail. En entrant
votre adresse e-mail, vous indiquez au client de rechercher une URL associée
à votre adresse e-mail si votre administrateur a configuré le serveur de cette
façon.
3. Appuyez Next (Suivant).
4. Spécifiez vos informations de connexion quand vous y êtes invité. Les informations
d’identification que vous devez utiliser peuvent varier en fonction du déploiement
et peuvent inclure les éléments suivants :
7 Notes
Afficher les aperçus de bureau vous permet d’afficher l’aperçu d’un bureau dans le
Centre de connexion avant de vous y connecter. Ce paramètre est activé par
défaut.
Pinch to zoom remote session (Pincer pour effectuer un zoom sur la session à
distance) vous permet de faire un zoom en effectuant un mouvement de
pincement. Si l’application que vous utilisez par le biais du Bureau à distance prend
en charge l’interaction tactile multipoint (introduite dans Windows 8), désactivez
cette fonctionnalité.
Activez Use scancode input when available (Utiliser l’entrée de code de touche
enfoncée quand elle est disponible) si votre application distante ne répond pas
correctement à l’entrée au clavier envoyée en tant que code de touche enfoncée.
L’entrée est envoyée en unicode quand l’option est désactivée.
Help improve Remote Desktop (Aider à améliorer Bureau à distance) envoie des
données anonymes à Microsoft sur la façon dont vous utilisez Bureau à distance
pour Android. Nous nous servons de ces données pour améliorer le client. Pour en
savoir plus sur notre politique de confidentialité et sur les types de données que
nous recueillons, consultez la déclaration de confidentialité de Microsoft . Ce
paramètre est activé par défaut.
7 Notes
7 Notes
1. Dans le Centre de connexion, appuyez sur Paramètres, puis appuyez sur Comptes
d’utilisateur.
2. Appuyez sur + pour ajouter un nouveau compte d’utilisateur.
3. Entrez les informations suivantes :
Une fois que vous êtes connecté aux ressources distantes, vous pouvez basculer entre
les applications au sein de cette session en appuyant sur le menu de développement ( >
) et en choisissant l’application souhaitée dans la liste des éléments disponibles.
Pour démarrer une nouvelle session dans votre connexion active, appuyez sur Démarrer
nouveau, puis choisissez la session dans la liste des éléments disponibles.
Pour déconnecter une session, appuyez sur la croix (X) à gauche de la vignette de la
session.
7 Notes
Pointeur de Clic gauche et Appuyer deux fois longuement avec un doigt, puis faire
souris glissement glisser
Pointeur de Clic droit et Appuyer deux fois longuement avec deux doigts, puis faire
souris glissement glisser
Pointeur de Roulette de la Appuyer longuement avec deux doigts, puis faire glisser vers
souris souris le haut ou vers le bas
Pour adhérer au canal Bêta, téléchargez notre client Bêta et indiquez votre
consentement pour accéder aux préversions. Ensuite, téléchargez le client. Vous recevrez
les préversions directement via le Google Play Store.
Nouveautés du client Bureau à distance
pour Android et Chrome OS
Article • 03/03/2023
Dans cet article, vous allez découvrir les dernières mises à jour du client Bureau
à distance pour Android et Chrome OS. Pour en savoir plus sur l’utilisation du client
Bureau à distance pour Android et Chrome OS avec les services Bureau à distance,
consultez Bien démarrer avec le client Android.
Nous avons créé une interface utilisateur en session qui permet de basculer entre
les applications et les PC distants.
Mise à jour de la prise en charge linguistique pour les éditeurs de méthode
d’entrée (IME) et les claviers externes.
Ajout de la prise en charge des abonnements d’espace de travail Azure Virtual
Desktop qui utilisent plusieurs identités pour la même URL.
Nous avons ajouté un message d’avertissement indiquant que vous ne devez pas
utiliser la passerelle des services Bureau à distance pour les adresses locales.
Ajout de la prise en charge des touches Verr. num et Arrêt défil. sur les claviers
externes.
Correction des bogues qui se produisaient en mode sombre.
La version minimale requise d’Android est désormais Android 8.
Ajout de la prise en charge des IME côté client lors de l’utilisation de claviers
intégrés et à l’écran.
Ajout d’une invite pour les informations d’identification lors de l’abonnement à un
workflow.
Amélioration des performances de téléchargement de l’espace de travail Azure
Virtual Desktop pour empêcher la limitation.
Correction d’un problème où des icônes de commande incorrectes apparaissaient
dans l’interface utilisateur.
Le client Bureau à distance sur iOS vous permet d’accéder à des applications, ressources
et bureaux Windows à partir de votre appareil iOS (iPhone et iPad).
Aidez-vous des informations suivantes pour démarrer. Consultez le Forum aux questions
(FAQ) si vous avez des questions.
Conseil
Si vous souhaitez vous connecter à Azure Virtual Desktop au lieu des services
Bureau à distance ou d’un PC distant, consultez Se connecter à Azure Virtual
Desktop avec le client Bureau à distance pour iOS et iPadOS.
7 Notes
Vous êtes curieux de découvrir les nouvelles versions du client iOS ? Consultez
Nouveautés du Bureau à distance sur iOS.
Le client iOS prend en charge les appareils exécutant iOS 14.x ou une version
ultérieure.
Ajouter un PC
Une fois que vous avez téléchargé le client et configuré votre ordinateur pour qu’il
accepte les connexions à distance, c’est le moment d’ajouter un PC.
1. Dans le Centre de connexion, appuyez sur +, puis sur Add PC (Ajouter un PC).
2. Entrez les informations suivantes :
Vous devez modifier ces paramètres ? Appuyez longuement sur le bureau à modifier,
puis appuyez sur l’icône des paramètres.
1. Dans l’écran du Centre de connexion, appuyez sur +, puis sur Add Workspace
(Ajouter un espace de travail).
2. Dans le champ Feed URL (URL du flux), entrez l’URL du flux que vous souhaitez
ajouter. Il peut s’agir d’une URL ou d’une adresse e-mail.
Si vous utilisez une URL, utilisez celle que votre administrateur vous a
donnée.
Si vous utilisez une adresse e-mail, entrez votre adresse e-mail. En entrant
votre adresse e-mail, vous indiquez au client de rechercher une URL associée
à votre adresse e-mail si votre administrateur a configuré le serveur de cette
façon.
Pour User name (Nom d’utilisateur), entrez le nom d’utilisateur d’un compte
ayant l’autorisation d’accéder aux ressources.
Pour Password (Mot de passe), entrez le mot de passe du compte.
Vous pouvez également être invité à fournir des informations
supplémentaires en fonction des paramètres avec lesquels votre
administrateur a configuré l’authentification.
5. Appuyez sur Enregistrer.
Une fois cette opération terminée, le Centre de connexion doit afficher les ressources
distantes.
Une fois que vous êtes abonné à un flux, son contenu est automatiquement mis à jour
de façon régulière. Les ressources peuvent être ajoutées, changées ou supprimées en
fonction des modifications apportées par votre administrateur.
1. Dans le Centre de connexion, appuyez sur Settings (Paramètres), puis appuyez sur
User Accounts (Comptes d’utilisateur).
2. Appuyez sur Ajouter un compte d'utilisateur.
3. Entrez les informations suivantes :
1. Dans le Centre de connexion, appuyez sur Settings (Paramètres), puis appuyez sur
User Accounts (Comptes d’utilisateur).
2. Sélectionnez le compte que vous souhaitez supprimer.
3. Appuyez sur Supprimer.
Barre de connexion
La barre de connexion vous donne accès à des contrôles de navigation supplémentaires.
Sélection de session
Il peut y avoir plusieurs connexions actives sur différents PC en même temps. Appuyez
sur la barre de connexion pour afficher la barre de sélection de session sur le côté
gauche de l’écran. La barre de sélection de session vous permet de voir toutes vos
connexions actives et de passer d’une connexion à une autre.
Pour basculer entre les applications dans une session de ressources à distance
ouverte, appuyez sur le menu de développement et choisissez une application
dans la liste.
Appuyez sur Démarrer nouveau pour démarrer une nouvelle session, puis
choisissez une session dans la liste des sessions disponibles.
Appuyez sur l’icône X sur le côté gauche de la vignette de la session pour vous
déconnecter de votre session.
Barre de commandes
La barre de commandes remplace la barre Utilitaire depuis la version 8.0.1. Vous pouvez
utiliser la barre de commande pour basculer d’un mode souris à un autre et revenir au
Centre de connexion.
7 Notes
Pointeur de Clic gauche et Appuyer longuement avec un doigt, puis faire glisser
souris glissement
Pointeur de Clic droit et Appuyer deux fois longuement avec deux doigts, puis faire
souris glissement glisser
Pointeur de Roulette de la Appuyer longuement deux fois avec deux doigts, puis faire
souris souris glisser vers le haut ou vers le bas
Pointeur de Zoom Resserrer les deux doigts pour effectuer un zoom arrière ou
souris écarter les doigts pour effectuer un zoom avant
Conseil
Swiftpoint offre une remise exclusive sur la souris ProPoint aux utilisateurs du
client iOS.
Sur un clavier visuel, utilisez le bouton sur le bord droit de la barre située au-dessus du
clavier pour basculer entre le clavier standard et un autre.
Si le mode Bluetooth est activé sur votre appareil iOS, le client détecte
automatiquement le clavier Bluetooth.
Bien que certaines combinaisons de touches puissent ne pas fonctionner comme prévu
dans une session à distance, la plupart des combinaisons de touches Windows
courantes, telles que Ctrl+C, Ctrl+V et Alt+Tab, fonctionnent.
Conseil
Vos questions et vos commentaires sont toujours les bienvenus. Toutefois, si vous
publiez des demandes de support ou des commentaires sur les produits dans la
section des commentaires de cet article, nous ne serons pas en mesure de
répondre à vos commentaires. Si vous avez besoin d’aide ou que vous souhaitez
résoudre les problèmes de votre client, nous vous recommandons vivement
d’accéder au forum des clients Bureau à distance et de démarrer un nouveau
thread.
Nouveautés du client Bureau à distance
pour iOS et iPadOS
Article • 17/03/2023
Dans cet article, vous allez découvrir les dernières mises à jour du client Bureau
à distance pour iOS et iPadOS. Pour en savoir plus sur l’utilisation du client Bureau
à distance pour iOS et iPadOS avec les services Bureau à distance, consultez Bien
démarrer avec le client iOS.
Dans cette version, nous avons supprimé l’invite globale d’accès à la caméra et au
microphone lorsque vous ouvrez et exécutez le client iOS pour la première fois. Au lieu
de cela, chaque fois qu’un signet de connexion ou une ressource publiée demande
l’accès, vous recevez une invite vous demandant si vous souhaitez accorder
l’autorisation.
7 Notes
Dans cette version, nous proposons des correctifs de bogues ciblés et des améliorations
sur le plan des performances, et nous ajoutons aussi de nouvelles fonctionnalités. Voici
ce que nous avons inclus :
Vous pouvez désormais utiliser Apple Pencil pour dessiner, écrire et interagir avec
des sessions à distance.
Vous pouvez désormais obtenir un aperçu en direct de la session active lorsque
vous passez d’une session à distance au Centre de connexion.
Récupérez des journaux à des fins de résolution des problèmes en accédant à
Paramètres>Résolution des problèmes .
Passez en revue les mises en surbrillance de l’application des versions précédentes
en accédant à Paramètres>À propos de>Principales caractéristiques de la
version.
Nous avons apporté quelques modifications visuelles à l’interface utilisateur de la
barre de connexion.
Nous avons corrigé des problèmes qui nuisaient au verrouillage des modes
paysage ou portrait sur iOS 16.
Mises à jour de la version 10.4.3
Date de publication : 11 août 2022
Dans cette version, nous avons résolu le bogue d’un client qui impactait
l’authentification lors de la connexion à des déploiements Azure Virtual Desktop.
Dans cette version, nous avons résolu certains bogues qui impactaient la connectivité du
déploiement d’Azure Virtual Desktop. Nous avons également résolu un problème qui
entraînait l’arrêt du fonctionnement de l’entrée du clavier externe quand Cmd+Tab était
utilisé pour quitter et revenir à l’application.
Dans cette version, nous avons ajouté des captures instantanées miniatures pour les
ressources de PC publiées à l’onglet Espaces de travail du Centre de connexion. Nous
avons également créé une interface utilisateur de mise en évidence dans l’application
pour annoncer les nouvelles fonctionnalités. L’interface utilisateur apparaît
automatiquement quand vous allumez votre machine pour la première fois après une
mise à jour. Vous pouvez aussi l’afficher en accédant à Paramètres>À propos>Points
clés de la version. Enfin, nous avons résolu un problème où le curseur de la souris se
bloquait temporairement au bas de l’écran.
La principale modification apportée à cette version est que vous pouvez désormais
changer dynamiquement l’orientation de la session à distance en mode paysage ou
portrait quand vous êtes connecté à un ordinateur Windows 8.1, Windows
Server 2012 R2 ou ultérieur. Vous pouvez définir vos préférences d’orientation dans
Paramètres>Affichage.
Pour que vous puissiez utiliser l’orientation dynamique de manière fluide, nous avons
mis à jour les expériences suivantes :
Nous avons également apporté des mises à jour pour améliorer les scénarios Azure
Virtual Desktop :
7 Notes
Dans cette version, nous avons ajouté la prise en charge de l’iPad Mini 6 et résolu un
problème lié aux fenêtres Slide Over et aux interactions avec le clavier. Merci pour vos
commentaires. Nous faisons de notre mieux pour optimiser cette application.
Dans cette version, nous avons ajouté la prise en charge de la redirection du fuseau
horaire. Cette nouvelle fonctionnalité résout un problème dans les sessions à distance
Windows 11 qui entraînait le scintillement de l’écran et rendait toute session inutilisable.
Dans cette version, nous avons implémenté une solution de contournement pour le
code d’erreur 0x907A (certificat incompatible). Celui-ci était causé par une infrastructure
tierce qui retournait un certificat incorrect dans les scénarios de redirection. Nous avons
également apporté des mises à jour pour améliorer la compatibilité et les métriques de
performance lors de la connexion à Azure Virtual Desktop (anciennement Windows
Virtual Desktop).
Dans cette version, nous avons apporté des mises à jour importantes au code sous-
jacent partagé qui alimente l’expérience Bureau à distance sur l’ensemble de nos clients.
Nous avons également ajouté de nouvelles fonctionnalités et corrigé des bogues et des
blocages qui se présentaient dans les rapports d’erreurs.
Vous pouvez maintenant faire glisser la fenêtre d’un candidat IME dans le client.
Prise en charge intégrée de Kerberos dans la séquence du protocole de sécurité
CredSSP.
Prise en charge des proxys HTTP dans les scénarios locaux et Azure Virtual
Desktop.
Mises à jour pour améliorer l’interopérabilité avec les fonctionnalités actuelles et à
venir du service Azure Virtual Desktop.
Dans cette version, nous avons fait les mises à jour ci-dessous :
Dans cette version, nous avons apporté les modifications suivantes à la barre de
connexion et à l’expérience utilisateur dans la session :
Nous avons également résolu des bogues d’accessibilité et les deux problèmes
suivants :
Dans cette version, nous avons résolu les problèmes à l’origine de plantages et
d’interférences avec le paramètre de zoom d’affichage. Nous avons également modifié
le paramètre d’utilisation de l’affichage complet pour qu’il apparaisse uniquement sur
les iPad appropriés, et ajusté les résolutions disponibles pour les iPhone et iPad.
Dans cette version, nous avons résolu certains bogues affectant les utilisateurs utilisant
iOS 14 et iPadOS 14.
Dans cette version, nous avons résolu certains problèmes de compatibilité avec iOS et
iPadOS 14. Nous avons également apporté les mises à jour de fonctionnalités et
correctifs suivants :
Cette version regroupe des correctifs de bogues et des petites mises à jour de
fonctionnalités. Voici les nouveautés :
Dans cette mise à jour, nous avons résolu les problèmes qui ont été signalés dans cette
version.
Correction d’un plantage qui se produisait pour certains utilisateurs quand ils
s’abonnaient à un flux Azure Virtual Desktop avec une authentification sans
répartiteur.
Correction de la disposition des icônes de l’espace de travail sur iPhone X,
iPhone XS et iPhone 11 Pro.
Mises à jour pour la version 10.1.1
Date de publication : 06/11/2020
Dans cette mise à jour, nous avons ajouté la possibilité de trier la vue de la liste des PC
(disponible sur iPhone) par nom ou heure de la dernière connexion.
Nous avons rassemblé des correctifs de bogues et des mises à jour de fonctionnalités
pour cette version. Voici les nouveautés :
Nous nous efforçons de résoudre les bogues et d’ajouter des fonctionnalités utiles.
Nouveautés de cette version :
Prise en charge des entrées en japonais et en chinois sur les claviers matériels.
Le mode liste des PC affiche maintenant le nom convivial du compte d’utilisateur
associé, s’il en existe un.
Lors de la première exécution, l’interface utilisateur des autorisations s’affiche
désormais correctement en mode Clair.
Correction d’un plantage qui se produisait chaque fois qu’un utilisateur appuyait
simultanément sur les touches Option et Flèche haut (ou bas) sur un clavier
matériel.
Mise à jour de la disposition du clavier visuel utilisée dans l’invite de mot de passe
pour faciliter la recherche de la barre oblique inverse.
Correction d’autres plantages signalés par les utilisateurs depuis la dernière
version.
Le client Bureau à distance sur Mac vous permet d’accéder à des applications,
ressources et bureaux Windows à partir de votre ordinateur Mac. Consultez les
informations suivantes. Elles constituent un excellent point de départ. Et si vous avez des
questions par la suite, n’hésitez pas à consulter notre FAQ.
Conseil
Si vous souhaitez vous connecter à Azure Virtual Desktop au lieu des services
Bureau à distance ou d’un PC distant, consultez Se connecter à Azure Virtual
Desktop avec le client Bureau à distance pour macOS.
7 Notes
Si vous avez déjà le client, vous pouvez vérifier si des mises à jour sont disponibles, pour
être certain d’avoir la version la plus récente. En haut de la fenêtre du client de la version
bêta, sélectionnez Version bêta de Bureau à distance Microsoft, puis Rechercher des
mises à jour.
Si vous utilisez une URL, utilisez celle que votre administrateur vous a
donnée.
Si vous utilisez une adresse e-mail, entrez votre adresse e-mail. En entrant
votre adresse e-mail, vous indiquez au client de rechercher une URL associée
à votre adresse e-mail si votre administrateur a configuré le serveur de cette
façon.
3. Sélectionnez S’abonner.
4. Connectez-vous avec votre compte d’utilisateur quand vous y êtes invité.
Une fois que vous êtes connecté, la liste des ressources disponibles doit s’afficher.
Une fois que vous êtes abonné à un flux, son contenu est automatiquement mis à jour
de façon régulière. Les ressources peuvent être ajoutées, changées ou supprimées en
fonction des modifications apportées par votre administrateur.
L’URL affiche le lien vers le serveur d’accès Web des services Bureau à distance qui
vous donne accès aux connexions RemoteApp et Bureau à distance.
Les connexions RemoteApp et Bureau à distance configurées sont affichées.
URL de flux : URL du serveur d’accès web des services Bureau à distance.
Vous pouvez également entrer votre compte e-mail professionnel dans ce
champ : cela indique au client de rechercher le serveur d’accès Web des
services Bureau à distance qui est associé à votre adresse e-mail.
Nom d’utilisateur : nom d’utilisateur à spécifier pour le serveur d’accès web
des services Bureau à distance auquel vous vous connectez.
Mot de passe : mot de passe à spécifier pour le serveur d’accès web des
services Bureau à distance auquel vous vous connectez.
3. Sélectionnez Enregistrer.
7 Notes
Par défaut, la session à distance utilisera les mêmes paramètres régionaux de clavier que
le système d’exploitation sur lequel vous exécutez le client. (Si votre Mac s’exécute sur
un système d’exploitation en-us, il est utilisé aussi pour les sessions à distance.) Si les
paramètres régionaux du clavier du système d’exploitation ne sont pas utilisés, vérifiez
le paramètre du clavier sur le PC distant et changez-le manuellement. Si vous souhaitez
obtenir davantage d’informations sur les claviers et les paramètres régionaux, veuillez
consulter le Forum aux questions du client Bureau à distance.
Dans cet article, vous allez découvrir les dernières mises à jour du client Bureau
à distance pour macOS. Pour en savoir plus sur l’utilisation du client Bureau à distance
pour macOS avec les services Bureau à distance, consultez Bien démarrer avec le
client macOS.
Dans cette version, nous avons résolu certains bogues et problèmes signalés par les
clients indiqués par la télémétrie. Deux des domaines de fonctionnalités affectés
incluent la redirection Teams et la prise en charge de plusieurs moniteurs.
Nous avons ajouté des captures instantanées miniatures pour les ressources de PC
publiées à l’onglet Espaces de travail du Centre de connexion.
Prise en charge de la journalisation intégrée à laquelle vous ne pouviez accéder
qu’avec les valeurs utilisateur par défaut de l’interface utilisateur. Pour accéder aux
journaux, accédez à Aide>Résolution des problèmes>Journalisation.
Vous pouvez maintenant réinitialiser tous les espaces de travail Azure Virtual
Desktop abonnés.
Correction d’un blocage dans l’infrastructure de journalisation du client.
Amélioration du rapport d’erreurs de diagnostic sur les échecs d’authentification
Azure Active Directory dans les scénarios Azure Virtual Desktop.
En ce qui concerne les bogues et les fonctionnalités secondaires, la liste suivante résume
quelques points importants :
Ajout de la prise en charge des eTags dans les scénarios d’actualisation d’espace
de travail Azure Virtual Desktop pour améliorer les temps de synchronisation.
La colonne en lecture seule dans l’interface utilisateur de sélection de la redirection
de dossier a été redimensionnée pour afficher l’en-tête de colonne complet.
Correction d’un problème entraînant l’affichage incorrect de l’heure ou du fuseau
horaire dans le client Outlook pour certaines entrées de calendrier.
Résolution des écarts lors de la création de rapports sur la largeur et la hauteur
physiques de l’appareil dans les scénarios Retina et non-Retina.
Mise à jour du client pour déclencher une reconnexion automatique dans les
scénarios Azure Virtual Desktop quand une erreur 0x3 est générée par la
passerelle.
Résolution d’un problème où le curseur de la souris sur un moniteur haute
résolution est plus grand que sur un moniteur normal.
Mise à jour du client pour mettre fin à la reconnexion automatique si la fenêtre de
session est fermée après la mise en veille.
Résolution d’un problème où les raccourcis clavier mappés CMD+C , CMD+V et CMD+F ,
ne fonctionnaient pas dans les sessions imbriquées.
Masquage de l’option « Importer à partir du Bureau à distance 8 » s’il n’y a pas de
données à importer.
Résolution des problèmes d’affichage en plein écran qui se produisaient sur les
modèles 14 et 16 pouces de MacBook Pro 2021.
Mieux gérer les configurations de passerelle Bureau à distance à charge équilibrée.
Résolution des problèmes signalés par les utilisateurs dans les rapports d’incidents
et les commentaires généraux.
Ajout d’un contour aux curseurs réversibles, tels que le curseur de texte, pour les
rendre visibles sur les arrière-plans foncés.
Améliorations apportées au code du Centre de connexion pour les PC et les
espaces de travail.
Ajout de la prise en charge du déplacement de la fenêtre locale lors de l’utilisation
de RemoteApp.
Par défaut, le déplacement de la fenêtre locale dans les scénarios RemoteApp
est désactivé. Pour activer le déplacement de la fenêtre locale, définissez la
stratégie EnableRemoteAppLocalMove avec la valeur True.
Mise à jour de l’invite d’informations de connexion qui s’affiche quand vous
accédez à Connexions>Afficher les informations de connexion.
Ajout de la protection de capture d’écran pour les scénarios Azure Virtual Desktop.
Résolution d’un problème qui permettait de rediriger plusieurs fois des dossiers.
Ajout d’un lien vers le nouveau forum de support dans Aide>Envoyer des
commentaires.
Mises à jour améliorant la sécurité, la connectivité et les performances lors de la
connexion à Azure Virtual Desktop.
Correction de trois erreurs de connectivité que les utilisateurs nous ont signalées :
Également mis à jour l’icône par défaut pour les postes de travail publiés et
implémenté une solution de contournement pour un problème qui provoquait
l’arrêt de la redirection de carte à puce avec les versions récemment corrigées de
Windows.
Résolution d’un problème lié au fait que le client retournait un code d’erreur 0x907
lors de la connexion à un point de terminaison de serveur avec un certificat qui
avait une propriété d’utilisation améliorée de la clé d’authentification Bureau à
distance de 1.3.6.1.4.1.311.54.1.2 .
Mis à jour le client pour résoudre un code d’erreur 0x2407 qui empêchait le client
d’autoriser les utilisateurs à accéder à distance.
Dans cette version, nous avons résolu un problème lié au fait que le client
retournait un code d’erreur 0x907 lors du traitement d’un certificat
d’authentification serveur avec une durée de validité de plus de 825 jours.
Résolution d’un problème qui provoquait le renvoi d’un code d’erreur 0x507 par le
client.
Prise en charge activée du codec AVC420 sur Apple Silicon.
Activation de la redirection de carte à puce (macOS 11.2 ou version ultérieure) sur
Apple Silicon.
Dans cette mise à jour, nous avons résolu un problème qui provoquait le blocage du
client lors de la connexion à une passerelle Bureau à distance.
Dans cette version, nous avons apporté des mises à jour importantes au code sous-
jacent partagé qui alimente l’expérience Bureau à distance sur l’ensemble de nos clients.
Nous avons également ajouté de nouvelles fonctionnalités et corrigé des bogues et des
blocages qui apparaissaient dans les rapports d’erreurs.
) Important
Ajout de la prise en charge du proxy HTTP pour les connexions à la passerelle des
services Bureau à distance.
Résolution d’un problème entraînant la rupture d’une connexion à la passerelle
Bureau distance et l’affichage d’un message avec le code d’erreur 0x3000064.
Correction d’un bogue empêchant le fonctionnement des opérations de
découverte et de téléchargement de l’espace de travail quand le numéro de port
est inclus dans des requêtes HTTP GET.
Icône Actualisation de l’application
7 Notes
Cette version est la dernière version qui sera compatible avec macOS version 10.13.
Dans cette version, nous avons apporté des mises à jour importantes au code sous-
jacent pour l’expérience Bureau à distance sur l’ensemble de nos clients. Nous avons
également ajouté de nouvelles fonctionnalités et corrigé des bogues et des blocages qui
se présentaient dans les rapports d’erreurs. Voici quelques-unes des modifications que
vous pouvez remarquer :
Dans cette version, nous avons apporté des modifications pour améliorer
l’interopérabilité avec le service Azure Virtual Desktop . En outre, nous avons inclus les
mises à jour suivantes :
Ctrl + Option + Suppr déclenche maintenant la séquence Ctrl + Alt + Suppr (qui
nécessitait auparavant que l’utilisateur appuie sur la touche Fn).
Correction du modèle de couleurs des notifications en mode clavier pour le mode
Clair.
Scénarios dans lesquels les connexions lancées à l’aide de la propriété de
fichier RDP GatewayAccessToken ne fonctionnaient pas.
7 Notes
Avec cette mise à jour, vous pouvez basculer entre les modes Scancode (Ctrl +
Commande + K) et Unicode (Ctrl + Commande + U) lors d’une entrée clavier. Le mode
Unicode permet de taper des caractères étendus à l’aide de la touche Option sur un
clavier Mac. Par exemple, sur un clavier QWERTY US Mac, Option + 2 permet d’entrer le
symbole de marque déposée (™). Vous pouvez également entrer des caractères
accentués en mode Unicode. Par exemple, sur un clavier QWERTY US, si vous appuyez
sur Option + E et la touche « A » simultanément, vous entrez le caractère « á » dans
votre session à distance.
Les dossiers redirigés peuvent désormais être marqués en lecture seule pour éviter
toute modification de leur contenu dans la session à distance.
Nous avons résolu l’erreur 0x607 qui se produisait au moment de la connexion
dans les scénarios de passerelle Bureau à distance RPC sur HTTPS.
Résolution des cas où les utilisateurs se voyaient demander leur informations
d’identification à deux reprises.
Résolution des cas où les utilisateurs recevaient l’invite d’avertissement du
certificat à deux reprises.
Ajout de l’heuristique pour améliorer le défilement basé sur trackpad.
Le client n’affiche plus le groupe « Bureaux enregistrés » s’il n’y a aucun groupe
créé par l’utilisateur.
Mise à jour de l’interface utilisateur des vignettes dans la vue PC.
Application de correctifs pour résoudre les incidents signalés par la télémétrie de
l’application.
Quand vous vous connectez via une passerelle Bureau à distance avec
l’authentification multifacteur, la connexion de la passerelle reste ouverte pour
éviter plusieurs invites MFA.
L’interface utilisateur du client est maintenant entièrement accessible via le clavier
avec prise en charge de VoiceOver.
Maintenant, les fichiers copiés dans le Presse-papiers de la session à distance sont
transférés seulement s’ils sont collés dans l’ordinateur local.
Maintenant, les URL copiées dans le Presse-papiers de la session à distance sont
collées correctement dans l’ordinateur local.
L’accès à distance aux facteurs d’échelle pour prendre en charge les affichages
Retina est désormais disponible pour les scénarios multiécrans.
Résolution d’un problème de compatibilité avec les serveurs Bureau à distance
basés sur FreeRDP qui entraînaient des problèmes de connectivité dans les
scénarios de redirection.
Résolution d’un problème de compatibilité de redirection de carte à puce avec les
futures versions de Windows 10.
Résolution d’un problème spécifique à macOS 10.15 où l’espace disponible
incorrect était signalé pour les dossiers redirigés.
Les connexions de PC publiées sont représentées avec une nouvelle icône sous
l’onglet Espaces de travail.
Les « flux » s’appellent maintenant des « espaces de travail » et les « postes de
travail » des « PC ».
Correction d’incohérences et de bogues dans la gestion des comptes d’utilisateur
dans l’interface utilisateur des préférences.
Nombreux correctifs de bogues pour une expérience plus fluide et plus fiable.
Ajouté des valeurs utilisateur par défaut pour désactiver la carte à puce, le Presse-
papiers, le microphone, l’appareil photo et la redirection de dossiers :
ClientSettings.DisableSmartcardRedirection
ClientSettings.DisableClipboardRedirection
ClientSettings.DisableMicrophoneRedirection
ClientSettings.DisableCameraRedirection
ClientSettings.DisableFolderRedirection
Correction d’un bogue qui entraînait l’envoi d’un nom d’appareil incorrect à la
session à distance (avec violation de licence dans certaines applications tierces).
Nettoyage d’un code d’arrêt pour garantir une fermeture plus fiable du client.
Dans cette version, nous avons résolu un bogue qui faisait passer l’affichage en basse
résolution lors d’une connexion à une session.
Correction d’un blocage se produisant lors d’une connexion via une passerelle
Bureau à distance.
Ajout d’un avis de confidentialité à la boîte de dialogue « Ajouter un flux ».
Résolution des déconnexions aléatoires (avec code d’erreur 0x904) qui survenaient
lors d’une connexion via une passerelle Bureau à distance.
Correction d’un bogue qui vidait la liste des résolutions dans les préférences de
l’application après l’installation.
Correction d’un bogue qui bloquait le client si certaines résolutions étaient
ajoutées à la liste des résolutions.
Traitement de la boucle d’invite d’authentification ADAL lors de la connexion à des
déploiements Azure Virtual Desktop.
Dans cette version, nous avons résolu les erreurs de peinture des graphismes (causées
par un bogue d’encodage du serveur) qui s’affichaient lors de l’utilisation du mode
AVC444.
7 Notes
Il existe un bogue dans macOS 10.14.0 et 10.14.1 qui peut entraîner l’utilisation
d’une grande quantité d’espace disque par le dossier «
.com.microsoft.rdc.application-data_SUPPORT/_EXTERNAL_DATA » (imbriqué dans
le dossier ~/Library). Pour résoudre ce problème, supprimez le contenu du dossier
et effectuez la mise à niveau vers macOS 10.14.2. Notez qu’un effet secondaire de
la suppression du contenu du dossier est la suppression des images de capture
instantanée attribuée aux Favoris. Ces images seront régénérées lors de la
reconnexion au PC distant.
Ajour de la prise en charge d’un mode sombre pour macOS Mojave 10.14.
Une option d’importation à partir de Bureau à distance Microsoft 8 s’affiche
maintenant dans le centre de connexion dans le cas où il serait vide.
Traitement de la compatibilité de redirection du dossier avec certaines applications
d’entreprise tierces.
Résolution des problèmes où les utilisateurs recevaient une erreur de passerelle
Bureau à distance 0x30000069 en raison de problèmes d’options de secours de
protocole de sécurité.
Correction des problèmes d’affichage progressif rencontrés par certains utilisateurs
en mode Ajuster à la fenêtre.
Correction d’un bogue qui empêchait la copie de fichiers et le collage après avoir
copié la dernière version d’un fichier.
Amélioration du défilement de la souris pour les deltas de défilement plus petits.
Tout nouveau centre de connexion qui prend en charge les opérations de glisser-
déposer, la disposition manuelle des bureaux, les colonnes redimensionnables en
mode Liste, le tri par colonne et une gestion des groupes plus simple.
Le centre de connexion mémorise désormais le dernier sélecteur de vue actif
(bureaux ou flux) lors de la fermeture de l’application.
L’interface utilisateur invitant à renseigner les informations d’identification et les
flux ont été révisés.
Les commentaires de la passerelle Bureau à distance font désormais partie de
l’interface utilisateur de l’état de connexion.
L’importation des paramètres depuis le client version 8 a été améliorée.
Les fichiers RDP pointant vers les points de terminaison RemoteApp peuvent
maintenant être importés dans le centre de connexion.
Optimisations de l’écran Retina pour les scénarios Bureau à distance de
surveillance uniques.
Prise en charge de la spécification du niveau d’interpolation des graphismes (ce
qui affecte l’effet de flou) quand les optimisations Retina ne sont pas utilisées.
Prise en charge de 256 couleurs pour permettre la connectivité à Windows 2000.
Correction des détourages des bords de droite et du bas de l’écran lors de la
connexion à Windows 7, Windows Server 2008 R2 et versions antérieures.
La copie d’un fichier local dans Outlook (s’exécutant dans une session distante)
ajoute désormais le fichier en tant que pièce jointe.
Correction d’un problème qui ralentissait les transferts de fichiers basés sur une
table de montage si les fichiers proviennent d’un partage de réseau.
Traitement d’un bogue qui entraînait le blocage d’Excel (s’exécutant dans une
session distante) lors de l’enregistrement sous un dossier redirigé.
Correction d’un problème qui empêchait le signalement d’espace libre pour les
dossiers redirigés.
Correction d’un bogue qui entraînait la consommation de trop de stockage disque
par les miniatures sur macOS 10.14.
Ajout de la prise en charge pour l’application des stratégies de redirection
d’appareil de passerelle Bureau à distance.
Correction d’un problème qui empêchait la fermeture des fenêtres de session lors
des déconnexions avec la passerelle Bureau à distance.
Si l’authentification au niveau du réseau n’est pas appliquée par le serveur, vous
êtes désormais redirigé vers l’écran de connexion si votre mot de passe a expiré.
Résolution des problèmes de performances qui apparaissaient quand un grand
nombre de données étaient transférées sur le réseau.
Corrections de la redirection d’une carte à puce.
Prise en charge de toutes les valeurs possibles de EnableCredSspSupport et des
paramètres du fichier RDP Niveau d'authentification si la clé d’utilisateur par
défaut ClientSettings.EnforceCredSSPSupport (dans le domaine
com.microsoft.rdc.macos ) est définie sur 0.
Prise en charge du paramètre de fichier RDP « Prompt for Credentials on Client »
quand l’authentification au niveau du réseau n’est pas négociée.
Prise en charge des connexions basées sur carte à puce via la redirection de carte à
puce à l’invite Winlogon quand l’authentification au niveau du réseau n’est pas
négociée.
Correction d’un problème qui empêchait le téléchargement des ressources de flux
avec des espaces dans l’URL.
Application de correctifs de sécurité pour incorporer les mises à jour pour traiter la
correction du chiffrement de l’oracle CredSSP comme décrite dans CVE-2018-0886.
Amélioration de l’affichage du curseur de la souris et de l’icône RemoteApp pour
traiter les erreurs de peinture signalées.
Traitement des problèmes où la fenêtre RemoteApp s’affichait derrière le centre de
connexion.
Correction d’un problème qui se produisait lors de la modification des ressources
locales après l’importation depuis Bureau à distance 8.
Vous pouvez maintenant démarrer une connexion en appuyant sur ENTRÉE sur une
vignette du bureau.
Lorsque vous êtes en mode plein écran, Cmd+M est maintenant correctement
mappé à WIN+M.
Les fenêtres À propos de, Préférences et Centre de connexion réagissent à présent
à Cmd+M.
Vous pouvez maintenant commencer la détection des flux en appuyant sur Entrée
dans la page *Ajout de ressources distantes*.
Correction d’un problème où un nouveau flux de ressources distantes apparaissait
comme étant vide dans le centre de connexion après l’actualisation.
Le client web Bureau à distance vous permet d’utiliser un navigateur web compatible
pour accéder aux ressources distantes de votre organisation (applications et bureaux)
publiées pour vous par votre administrateur. Vous pouvez interagir avec les bureaux et
applications distants comme vous le feriez avec un PC local, quel que soit l’endroit où
vous êtes, sans avoir à basculer sur un autre PC de bureau. Une fois que votre
administrateur a configuré vos ressources distantes, vous avez uniquement besoin des
éléments suivants : votre domaine, votre nom d’utilisateur, votre mot de passe, l’URL
envoyé par votre administrateur et un navigateur web pris en charge.
Conseil
Si vous souhaitez vous connecter à Azure Virtual Desktop au lieu des services
Bureau à distance, consultez Se connecter à Azure Virtual Desktop avec le client
web Bureau à distance.
7 Notes
En vous connectant au client web, vous acceptez que votre PC soit conforme à la
stratégie de sécurité de votre organisation.
Après vous être connecté, le client vous redirige vers l’onglet Toutes les ressources, qui
contient tous les éléments publiés pour vous dans un ou plusieurs groupes réductibles,
tels que le groupe « Ressources de travail ». Vous pouvez voir plusieurs icônes
représentant les applications, bureaux ou dossiers contenant plusieurs applications ou
bureaux que l’administrateur a mis à disposition du groupe de travail. Vous pouvez
revenir à cet onglet à tout moment pour lancer des ressources supplémentaires.
Lorsque vous avez fini, vous pouvez terminer votre session en sélectionnant le bouton
Se déconnecter dans la barre d’outils en haut de votre écran ou en fermant la fenêtre
du navigateur.
(Windows) Ctrl+Alt+Fin
Injecte Ctrl+Alt+Suppr dans la session à distance.
(MacOS)
Fn+Contrôle+Option+Supprimer
Effectuez les étapes suivantes pour transférer des fichiers de votre ordinateur local vers
la session à distance :
Pour télécharger des fichiers de la session à distance sur votre ordinateur local :
Le client web supprime la fenêtre IME locale lorsque vous utilisez la session à distance.
Si vous modifiez les paramètres IME une fois que vous êtes connecté à la session à
distance, les modifications n’ont aucun effet. Le client web ne prend pas en charge
l’entrée IME lors de l’utilisation d’une fenêtre de navigation privée.
7 Notes
Si le module linguistique n’est pas installé sur la machine virtuelle hôte, la session à
distance utilise par défaut le clavier Anglais (États-Unis).
7 Notes
La résolution native est désactivée par défaut. Pour activer la résolution native :
1. Dans votre session, accédez à l’angle supérieur droit de la barre des tâches et
sélectionnez Paramètres.
2. Définissez Activer la résolution d’affichage native sur Activé.
7 Notes
Les fichiers RDP ont une durée de vie limitée. Nous vous recommandons de
télécharger le fichier RDP chaque fois que vous devez utiliser une ressource.
1. Dans le client web, accédez au coin supérieur droit de la barre des tâches et
sélectionnez l’icône des paramètres (engrenage).
2. Sous Méthode lancement de ressource, sélectionnez Télécharger le fichier RDP.
3. Sélectionnez la ressource que vous souhaitez ouvrir (par exemple, Excel) pour
télécharger le fichier RDP.
4. Une fois le téléchargement terminé, sélectionnez le fichier RDP téléchargé pour
ouvrir la ressource.
7 Notes
Ajout de raccourcis clavier de client web pour basculer entre les programmes. Pour
plus d’informations, consultez Raccourcis clavier.
Le client prend désormais en charge la résolution native sur les appareils haute
résolution. Pour plus d’informations, consultez Activer la résolution d’affichage
native dans les sessions à distance.
Mise à jour du comportement de l’icône du mode plein écran pour désactiver
l’icône lorsque vous appuyez sur la touche F11 pour passer en mode plein écran.
Suppression de la prise en charge d’Internet Explorer et d’autres navigateurs
dépréciés.
Résolution d’un problème où certaines touches ne fonctionnaient pas
correctement sur la disposition de clavier japonaise.
Résolutions de bogues et améliorations de sécurité pour le transfert de fichiers.
Le client dispose maintenant d’un assembly web sur les navigateurs pris en charge.
Prise en charge du transfert de fichiers.
Corrections de bogues.
) Important
) Important
Dans la version 1.0.22.0, nous avons introduit une régression qui impacte certains
systèmes d’exploitation Chromebook. Les utilisateurs sur les systèmes
d’exploitation impactés ne pourront pas se connecter à une session à distance à
l’aide du client web. Nous étudions actuellement ce problème et publierons une
nouvelle version du client web dès que nous aurons corrigé cette régression.
L'utilisation hors connexion est désormais prise en charge sur les réseaux internes.
Amélioration du rendu sur les navigateurs autres que Microsoft Edge.
Mise en place d'une limite pour les nouvelles tentatives de récupération du flux
afin de prévenir les attaques par déni de service.
Correction de bogues d'accessibilité permettant aux utilisateurs souffrant de
troubles de la vision d'utiliser le client web.
Amélioration des messages présentés à l'utilisateur pour les erreurs de flux.
Ajout des raccourcis Ctrl + Alt + Fin (Windows) et
Fn + Contrôle + Option + Supprimer (Mac) pour appeler Ctrl + Alt + Suppr sur
l'ordinateur distant.
Amélioration des données de télémétrie en cas d'erreur générale.
Amélioration de notre pipeline de build et de nos outils de génération.
Correction de différents bogues.
PC pris en charge
Vous pouvez vous connecter aux ordinateurs exécutant les systèmes d’exploitation
Windows suivants :
Windows 10 Professionnel
Windows 10 Entreprise
Windows 8 Entreprise
Windows 8 Professionnel
Windows 7 Professionnel
Windows 7 Entreprise
Windows 7 Édition Intégrale
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Multipoint Server 2011
Windows Multipoint Server 2012
Windows Small Business Server 2008
Windows Small Business Server 2011
Les ordinateurs suivants peuvent exécuter la passerelle des services Bureau à distance :
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows 7 Édition Starter
Windows 7 Famille
Windows 8 FamilleHome
Windows 8.1 Famille
Windows 10 Famille
Vous pouvez utiliser Bureau à distance pour vous connecter à votre PC et le contrôler à
partir d’un appareil distant avec un client Bureau à distance Microsoft (disponible pour
Windows, iOS, macOS et Android). Lorsque vous autorisez les connexions à distance à
votre PC, vous pouvez utiliser cet appareil pour accéder à l’ensemble de vos
applications, fichiers et ressources réseau comme si vous étiez assis à votre bureau.
7 Notes
Pour vous connecter à un PC distant, cet ordinateur doit être allumé, il doit avoir une
connexion réseau, Bureau à distance doit être activé, vous devez avoir un accès réseau à
l’ordinateur distant (par exemple via Internet) et vous devez être autorisé à vous
connecter. Pour obtenir l’autorisation de vous connecter, vous devez être sur la liste des
utilisateurs. Avant de démarrer la connexion, il est judicieux de rechercher le nom de
l’ordinateur auquel vous vous connectez et de vous assurer que les connexions Bureau à
distance sont autorisées via son pare-feu.
1. Sur l’appareil auquel vous souhaitez vous connecter, sélectionnez Démarrer, puis
cliquez sur l’icône Paramètres à gauche.
2. Sélectionnez le groupe Système, suivi de l’élément Bureau à distance.
3. Utilisez le curseur pour activer le Bureau à distance.
4. Il est également recommandé de garder le PC allumé et détectable pour faciliter
les connexions. Cliquez sur Afficher les paramètres pour l’activer.
5. Si nécessaire, ajoutez les utilisateurs qui peuvent se connecter à distance en
cliquant sur Sélectionner des utilisateurs qui peuvent accéder à distance à ce PC.
a. Les membres du groupe Administrateurs ont automatiquement accès.
6. Notez le nom de l’ordinateur sous Comment se connecter à ce PC. Vous en aurez
besoin pour configurer les clients.
N’oubliez pas que lorsque vous activez l’accès Bureau à distance, vous accordez à tout
les membres du groupe Administrateurs, ainsi qu’aux autres utilisateurs que vous
sélectionnez, la possibilité d’accéder à distance à leur compte sur l’ordinateur.
Vous devez vous assurer que chaque compte qui a accès à votre PC est configuré avec
un mot de passe fort.
Lorsque vous vous connectez à votre PC à l’aide d’un client Bureau à distance, vous
créez une connexion peer-to-peer. Cela signifie que vous avez besoin d’un accès direct
au PC (parfois appelé « l’hôte »). Si vous devez vous connecter à votre PC depuis
l’extérieur du réseau et que votre ordinateur est allumé, vous devez activer cet accès.
Vous avez deux possibilités : utiliser le réacheminement de port ou configurer un VPN.
Le numéro de port mappé. Dans la plupart des cas il s’agit du port 3389, qui est le
port utilisé par défaut pour les connexions Bureau à distance.
2 Avertissement
Vous ouvrez votre PC aux accès Internet, ce qui n’est pas recommandé. Si
vous êtes obligé, veillez à définir un mot de passe fort pour votre PC. Il est
préférable d’utiliser un VPN.
Une fois que vous avez mappé le port, vous pourrez vous connecter à votre PC hôte
depuis l’extérieur du réseau local en se connectant à l’adresse IP publique de votre
routeur (la deuxième entrée de liste à puces ci-dessus).
L’adresse du routeur IP peut changer : votre fournisseur d’accès Internet peut affecter
une nouvelle adresse IP à tout moment. Pour éviter de rencontrer ce problème,
envisagez d’utiliser un DNS dynamique : cela vous permet de vous connecter au PC à
l’aide d’un nom de domaine facile à retenir, au lieu de l’adresse IP. Votre routeur met
automatiquement à jour le service DDNS avec votre nouvelle adresse IP, si elle change.
Avec la plupart des routeurs, vous pouvez définir quelle adresse IP source ou quel
réseau source peut utiliser le mappage de port. Par conséquent, si vous savez que vous
voulez uniquement vous connecter à partir du bureau, vous pouvez ajouter l’adresse IP
de votre réseau professionnel, ce qui vous permet d’éviter l’ouverture du port à Internet.
Si l’hôte que vous utilisez pour vous connecter utilise des adresses IP dynamiques,
définissez la restriction de source pour autoriser l’accès à partir de la plage de ce
fournisseur d’accès Internet.
Vous pouvez également envisager la configuration d’une adresse IP statique sur votre
PC afin que l’adresse IP interne ne change pas. Si vous le faites, le réacheminement de
port du routeur pointera toujours vers la bonne adresse IP.
Utiliser un VPN
Si vous vous connectez à votre réseau local à l’aide d’un réseau privé virtuel (VPN), vous
n’êtes pas obligé d’ouvrir votre PC à l’Internet public. Au lieu de cela, lorsque vous vous
connectez au VPN, votre client Bureau à distance se comporte comme s’il faisait partie
du même réseau et s’il était en mesure d’accéder à votre PC. Il existe de nombreux
services VPN : vous pouvez utiliser celui qui vous convient le mieux.
Modifier le port d’écoute pour Bureau à
distance sur votre ordinateur
Article • 03/03/2023
Lorsque vous vous connectez à un ordinateur (un client Windows ou Windows Server)
via le client Bureau à distance, la fonctionnalité Bureau à distance sur votre ordinateur «
entend » la requête de connexion via un port d’écoute défini (3389 par défaut). Vous
pouvez modifier ce port d’écoute sur les ordinateurs Windows en modifiant le registre.
La prochaine fois que vous vous connectez à cet ordinateur à l’aide de la connexion
Bureau à distance, vous devez taper le nouveau port. Si vous utilisez un pare-feu, veillez
à configurer votre pare-feu pour autoriser les connexions par le nouveau numéro de
port.
PowerShell
Par exemple :
PowerShell
PortNumber : 3389
PSPath :
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl
Set\Control\Terminal Server\WinStations\RDP-Tcp
PSParentPath :
Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl
Set\Control\Terminal Server\WinStations
PSChildName : RDP-Tcp
PSDrive : HKLM
PSProvider : Microsoft.PowerShell.Core\Registry
PowerShell
$portvalue = 3390
Cet article vous indique comment utiliser le rôle Passerelle des services Bureau à
distance pour déployer des serveurs Passerelle des services Bureau à distance dans votre
environnement Bureau à distance. Vous pouvez installer les rôles serveur sur des
machines physiques ou des machines virtuelles selon que vous créez un environnement
local, cloud ou hybride.
12. Pour Confirmer les sélections pour l’installation, sélectionnez Installer. Ne fermez
pas le programme d’installation pendant la procédure d’installation.
2. Accédez à Serveurs, cliquez avec le bouton droit sur le nom de votre serveur, puis
sélectionnez RD Gateway Manager.
3. Dans RD Gateway Manager, cliquez avec le bouton droit sur le nom de votre
passerelle, puis sélectionnez Propriétés.
7. Une fois que vous avez importé le certificat et sa clé privée, l’affichage doit afficher
les attributs de clé du certificat.
7 Notes
Étant donné que le rôle Passerelle des services Bureau à distance est supposé être
public, nous vous recommandons d’utiliser un certificat émis publiquement. Si vous
utilisez un certificat délivré par un organisme privé, vous devez vous assurer de
configurer au préalable tous les clients avec la chaîne de confiance du certificat
numérique.
Étapes suivantes
Si vous souhaitez ajouter la haute disponibilité à votre rôle Passerelle des services
Bureau à distance, consultez Ajouter la haute disponibilité au serveur frontal d’accès
web et de passerelle des services Bureau à distance.
Comparer les clients : fonctionnalités
Article • 20/04/2023
Il nous est souvent demandé de comparer les différents clients Bureau à distance du point de
vue de la connexion aux services Bureau à distance ou à des PC distants. Le tableau suivant
liste les fonctionnalités disponibles dans chacun de nos clients.
Sessions X X Applications
RemoteApp distantes
intégrées individuelles
intégrées au
bureau local
comme si elles
s’exécutaient
localement.
Sessions X X X X Applications
RemoteApp distantes
immersives individuelles
présentées dans
une fenêtre ou
agrandies en
plein écran.
Résolution X X X X La résolution et
dynamique l’orientation des
écrans locaux
sont reflétées
dynamiquement
dans la session à
distance. Si le
client s’exécute
en mode
fenêtré, le
bureau à
distance est
redimensionné
dynamiquement
à la taille de la
fenêtre du client.
Dimensionnement X X X Le Bureau à
intelligent distance en
mode fenêtré
est mis à
l’échelle de
façon
dynamique à la
taille de la
fenêtre.
Autres ressources
Si vous recherchez des informations sur les redirections d’appareils, consultez Comparer les
clients : redirections.
Comparer les clients : redirections
Article • 19/04/2023
Il nous est souvent demandé de comparer les différents clients Bureau à distance du
point de vue de la connexion aux services Bureau à distance ou à des PC distants. Voici
la réponse à ces questions.
Si vous vous connectez à distance à votre bureau personnel, il existe des redirections
supplémentaires que vous pouvez configurer dans les paramètres supplémentaires
pour la session. Si votre bureau à distance ou vos applications sont gérés par votre
organisation, votre administrateur peut activer ou désactiver des redirections à l’aide
des paramètres de stratégie de groupe ou des propriétés RDP.
) Important
Vous pouvez activer les redirections seulement avec des paramètres binaires qui
s’appliquent à la fois vers la machine distante et depuis celle-ci. Le service ne prend
actuellement pas en charge le blocage unidirectionnel des redirections d’un seul
côté de la connexion.
Redirection d’entrée
Clavier X X X X X X
Souris X X X X* X X
Redirection Boîte de réception Application Bureau Android iOS macOS Client
Windows
à distance web
(MSTSC)
Toucher X X X X X
(sauf
IE)
Stylet X X (pour X
toucher) **
* Consultez la liste des périphériques d’entrée pris en charge pour le client Bureau à
distance iOS.
** La redirection de la saisie avec le stylet n’est pas prise en charge lors de la connexion
à Windows Server 2012 ou Windows Server 2012 R2.
Redirection de port
Port série X
USB X
Quand vous activez la redirection de port USB, tous les appareils USB attachés à des
ports USB sont automatiquement reconnus dans la session à distance. Pour que les
appareils fonctionnent comme prévu, vous devez veiller à installer leurs pilotes requis à
la fois sur le point de terminaison et sur l’hôte. Assurez-vous également que les pilotes
sont certifiés pour s’exécuter dans des scénarios de configuration à distance. Si vous
avez besoin d’informations supplémentaires sur l’utilisation de votre appareil USB dans
des scénarios de configuration à distance, contactez le fabricant de l’appareil.
Appareils photo X X X X X
Redirection Boîte de Application Android iOS macOS Client
réception Bureau à web
Windows
distance
(MSTSC)
Disque/stockage X X X X X*
local
Emplacement X
Microphones X X X X X X
Scanneurs X
Plug-ins de X
canal virtuel
tiers
WebAuthn X
Autres ressources
Si vous recherchez des comparaisons de fonctionnalités, consultez Comparer les clients :
fonctionnalités.
Propriétés RDP prises en charge avec les Services Bureau
à distance
Article • 03/03/2023
Les organisations peuvent configurer des propriétés RDP (Remote Desktop Protocol) de manière centralisée dans les Services
Bureau à distance (RDS) afin de définir le comportement souhaité pour une connexion. Il est possible de définir un large
éventail de propriétés RDP, parmi lesquelles la redirection d’appareil, les paramètres d’affichage, le comportement de
session, etc.
7 Notes
Les propriétés RDP prises en charge diffèrent selon que vous utilisez les Services Bureau à distance ou Azure Virtual
Desktop. Aidez-vous des tableaux suivants pour comprendre le fonctionnement de chaque paramètre et savoir s’il
s’applique aux connexions à Azure Virtual Desktop, aux Services Bureau à distance, ou aux deux.
informations de connexion
Nom Propriété RDP Azure Services Description Valeurs Valeur
d’affichage Virtual Bureau par
Desktop à défaut
distance
Remarque :
Disponible en
préversion pour les
clients Windows et
web uniquement.
Cette propriété
remplace la
propriété
targetisaadjoined .
mot de passe.
- 1 : les connexions aux hôtes
joints à Azure AD réussissent,
Remarque : mais sont limitées à la saisie des
S’applique informations d’identification de
uniquement aux nom d’utilisateur et de mot de
clients non- passe lors de la connexion aux
Windows et aux hôtes de session.
appareils Windows
locaux qui ne sont
pas joints à
Azure AD.
Nom Propriété RDP Azure Services Description Valeurs Valeur
d’affichage Virtual Bureau par
Desktop à défaut
distance
Adresse full address:s:value ✗ ✔ Ce paramètre Un nom, une adresse IPv4 ou une Aucun
spécifie le nom adresse IPv6 valide.
d’hôte ou l’adresse
IP de l’ordinateur
distant auquel
vous souhaitez
vous connecter.
Il s’agit du seul
paramètre
obligatoire dans un
fichier RDP.
Adresse alternate full address:s:value ✗ ✔ Spécifie un autre Un nom, une adresse IPv4 ou une Aucun
alternative nom ou une autre adresse IPv6 valide.
adresse IP de
l’ordinateur
distant.
Nom d’hôte de gatewayhostname:s:value ✗ ✔ Spécifie le nom Un nom, une adresse IPv4 ou une Aucun
passerelle RD d’hôte de adresse IPv6 valide.
passerelle des
services Bureau à
distance.
Profil de gatewayprofileusagemethod:i:value ✗ ✔ Spécifie s’il faut - 0 : Utiliser le mode de profil par 0
passerelle utiliser les défaut, comme indiqué par
Bureau à paramètres par l’administrateur.
- 2 : Si l’authentification du
serveur échoue, afficher un
avertissement et choisir de se
connecter ou de refuser la
connexion.
- 3 : Aucune exigence
d’authentification spécifiée.
Comportement de la session
Nom Propriété RDP Azure Services Description Valeurs Valeur
d’affichage Virtual Bureau par
Desktop à défaut
distance
1. - 1 : Activer la
détection
automatique du type
de réseau.
- 1 : Utiliser la
détection
automatique de la
bande passante
réseau.
Nom Propriété RDP Azure Services Description Valeurs Valeur
d’affichage Virtual Bureau par
Desktop à défaut
distance
- 1 : Activer la
compression en bloc
RDP.
- 1 : Utiliser le
streaming
multimédia efficace
RDP pour la lecture
vidéo quand cela est
possible.
Redirection d’appareils
) Important
Vous pouvez activer les redirections seulement avec des paramètres binaires qui s’appliquent à la fois vers la machine
distante et depuis celle-ci. Le service ne prend actuellement pas en charge le blocage unidirectionnel des redirections
d’un seul côté de la connexion.
- 1 : Compression moyenne.
- 2 : Vidéo à faible
compression avec une qualité
d’image élevée.
Redirection de camerastoredirect:s:value ✔ ✔ Configure les caméras à - * : Rediriger toutes les Ne pas
la caméra rediriger. Ce paramètre caméras.
rediriger les
utilise une liste délimitée - Liste des caméras, comme caméras.
par des points-virgules \\?
des interfaces \usb#vid_0bda&pid_58b0&mi .
- DynamicDevices : Rediriger
tous les appareils pris en
charge qui seront connectés
plus tard.
- 1 : Le Presse-papiers de
l’ordinateur local est
disponible dans la session à
distance.
Redirection des redirectcomports:i:value ✔ ✔ Détermine si les ports - 0 : Les ports COM de 0
ports COM (série) COM sur l’ordinateur local ne sont pas
l’ordinateur client vont disponibles dans la session à
être redirigés et distance.
Paramètres d'affichage
Nom d’affichage Propriété RDP Azure Services Description Valeurs Valeur par
Virtual Bureau défaut
Desktop à
distance
Disponible
uniquement sur les
clients Boîte de
réception
Windows (MSTSC)
et Bureau
Windows
(MSRDC).
Disponible
uniquement sur le
client Bureau
Windows
(MSRDC).
Nom d’affichage Propriété RDP Azure Services Description Valeurs Valeur par
Virtual Bureau défaut
Desktop à
distance
grand. - 200
- 250
- 300
- 400
- 500
RemoteApp
Nom Propriété RDP Azure Services Description Valeurs Valeur
d’affichage Virtual Bureau par
Desktop à défaut
distance
- 1 : Les variables
d’environnement
doivent être
développées par
les valeurs de
l’ordinateur
distant.
Le répertoire de
travail de
RemoteApp est
spécifié via le
paramètre de
répertoire de
travail de
l’interpréteur de
commandes.
Ce document définit le format des URI (Uniform Resource Identifier) pour Bureau à
distance. Ces schémas d’URI permettent d’appeler des clients Bureau à distance à l’aide
de différentes commandes.
7 Notes
Le schéma d’URI ms-rd est actuellement pris en charge uniquement par le client
Windows Desktop (MSRDC).
L’URI ms-rd offre la possibilité de spécifier une commande pour le client et un ensemble
de paramètres propres à la commande en utilisant le format suivant :
ms-rd:command?parameters
Les paramètres utilisent comme format de chaîne de requête des paires clé-valeur
séparées par & pour fournir des informations supplémentaires pour la commande
donnée :
param1=value1¶m2=value2&…
Commandes et paramètres
Voici la liste des commandes actuellement prises en charge et de leurs paramètres
correspondants.
Paramètres de la commande :
Exemple : ms-rd:subscribe?url=
7 Notes
Le schéma d’URI suivant est pris en charge uniquement avec les clients pour les
appareils macOS, iOS et Android. Il est remplacé par le nouvel URI ms-rd ci-dessus.
Bureau à distance Microsoft utilise le schéma d’URI rdp://query_string pour stocker les
paramètres d’attribut préconfigurés qui sont utilisés au lancement du client. Les chaînes
de requête représentent un seul attribut ou un ensemble d'attributs RDP fourni dans
l'URL.
Les attributs RDP sont séparés par le symbole esperluette (&). Par exemple, lors de la
connexion à un PC, la chaîne est la suivante :
rdp://full%20address=s:mypc:3389&audiomode=i:2&disable%20themes=i:1
Ce tableau fournit une liste complète des attributs pris en charge qui peuvent être
utilisés avec les clients Bureau à distance iOS, Mac et Android. Un « x » dans la colonne
de plateforme indique que l’attribut est pris en charge. Les valeurs encadrées par des
signes <> représentent les valeurs prises en charge par les clients Bureau à distance.)
alternate shell=s:<chaîne> x x x
audiomode=i:0, 1 ou 2> x x x
desktopheight=i:valeur en pixels> x
desktopwidth=i:valeur en pixels> x
domain=s:chaîne> x x x
full address=s:chaîne> x x x
gatewayhostname=s:<chaîne> x x x
gatewayusagemethod=i:1 ou 2> x x x
loadbalanceinfo=s:chaîne> x x x
redirectprinters=i:0 ou 1> x
remoteapplicationcmdline=s:<chaîne> x x x
remoteapplicationmode=i:<0 ou 1> x x x
remoteapplicationprogram=s:<chaîne> x x x
username=s:chaîne> x x x
Attribut RDP Android Mac iOS
Une fois que vous avez configuré le client Bureau à distance sur votre appareil (Android,
Mac, iOS ou Windows), il peut vous rester quelques questions. Vous trouverez ici les
réponses aux questions les plus fréquemment posées sur les clients Bureau à distance.
Configuration
Connexions, passerelle et réseaux
Client web
Moniteurs, audio et souris
Matériel Mac
Messages d’erreur spécifiques
La majorité de ces questions s'appliquent à tous les clients, mais certaines d’entre-elles
sont propres à certains clients.
Si vous voulez nous poser d’autres questions, ajoutez-les dans les commentaires de cet
article.
Configuration
À quels PC puis-je me connecter ?
Merci de consulter l’article Client Bureau à distance - configuration prise en charge : il
contient toutes les informations nécessaires pour savoir à quels PC vous pouvez vous
connecter.
Cependant, si vous préférez procéder manuellement, n’hésitez pas à lire ce qui suit.
7 Notes
Vous pouvez autoriser certains utilisateurs à accéder à ce PC : pour ce faire, cliquez sur
Sélectionner les utilisateurs qui peuvent accéder à distance à ce PC.
Les membres du
groupe Administrateurs ont automatiquement accès.
Pour Windows 8.1, suivez les instructions pour autoriser les connexions à distance dans
Se connecter à un autre ordinateur à l’aide de Connexion Bureau à distance .
Un problème de réseau est survenu. Vérifiez que vous disposez d’une connexion à
Internet.
Le port du Bureau à distance peut être bloqué par un pare-feu. Si vous utilisez un
pare-feu Windows, procédez comme suit :
3. Cliquez sur Modifier les paramètres. Vous devrez peut-être saisir votre mot
de passe administrateur ou confirmer votre choix.
) Important
Si vous indiquez un nom de PC pour établir une connexion, cela implique que
votre réseau puisse le résoudre correctement via le DNS. Dans la plupart des
réseaux domestiques, vous devez utiliser l’adresse IP au lieu du nom d’hôte
pour vous connecter.
7 Notes
Passerelle des services Terminal Server ou passerelle des services Bureau à distance
Accès web au Bureau à distance
Réseau privé virtuel (via les options de VPN intégrées d’iOS)
Client web
Quels navigateurs puis-je utiliser ?
Le client web prend en charge Microsoft Edge, Mozilla Firefox (55.0 et ultérieur), Safari
et Google Chrome.
Si la disposition de votre clavier Mac est définie sur une version de clavier PC d’une
même langue de saisie (par exemple, Français – PC) toutes vos touches seront
probablement mappées correctement et votre clavier devrait fonctionner.
Si la disposition de votre clavier Mac est définie sur une version de clavier Mac d’une
même langue de saisie (par exemple, Français) la session à distance vous mappera vers
la version de PC de la langue de saisie (Français). Certains raccourcis clavier Mac que
vous avez l'habitude d'utiliser sous OSX ne fonctionneront pas dans la session Windows
distante.
Si la disposition de votre clavier est définie sur une variante d’une langue (par exemple,
le français canadien) et si la session distante ne peut pas vous associer exactement à
cette variante, la session distante vous affectera à la langue la plus proche (par exemple,
le français). Certains raccourcis clavier Mac que vous avez l'habitude d'utiliser sous OSX
ne fonctionneront pas dans la session Windows distante.
Si la disposition de votre clavier est définie sur une disposition à laquelle la session
distante ne peut pas du tout correspondre, cette dernière vous attribuera par défaut la
langue que vous avez utilisée en dernier sur ce PC. Dans ce cas, ou dans les cas où vous
devez changer la langue de votre session distante pour qu'elle corresponde à celle de
votre clavier Mac, vous pouvez régler manuellement la langue du clavier de la session
distante dans la langue qui correspond le mieux à celle que vous souhaitez utiliser,
comme suit.
Vous devrez peut-être fermer et redémarrer l’application que vous utilisez actuellement
pour que la modification du clavier entre en vigueur.
Erreurs spécifiques
Pourquoi est-ce que je reçois une erreur
« Privilèges insuffisants » ?
Vous n’êtes pas autorisé à accéder à la session à laquelle vous souhaitez vous connecter.
La cause la plus probable est que vous essayez de vous connecter à une session
d’administrateur. Seuls les administrateurs sont autorisés à se connecter à la console.
Vérifiez que le commutateur de console est désactivé dans les paramètres avancés du
Bureau à distance. Si le problème est ailleurs, veuillez contacter votre administrateur
système pour lui demander de l’aide.
Lors d’un accès à des ressources managées (applications ou bureau) fournies par votre
administrateur informatique, les paramètres de confidentialité pour le système distant
ont été préconfigurés par votre administrateur système. Ces paramètres peuvent être
différents des paramètres de confidentialité sur votre système local. Si vous avez des
questions, contactez votre administrateur système.
7 Notes
L’utilisation de ressources managées dans des régions autres que les États-Unis
peut entraîner un transfert de données aux États-Unis.
Reconnaissance vocale
Localiser mon appareil
Entrée manuscrite et saisie
Identifiant de publicité
Emplacement
Données de diagnostic
Personnalisation de l’expérience utilisateur
7 Notes
Suivez ces étapes quand un client Bureau à distance ne peut pas se connecter à un
Bureau à distance, mais ne fournit pas de messages ou ne présente pas d’autres
symptômes qui aideraient à en identifier la cause.
7 Notes
) Important
Pour vérifier et changer l’état du protocole RDP sur un ordinateur distant, utilisez une
connexion au Registre réseau :
1. Tout d’abord, dans le menu Démarrer, sélectionnez Exécuter. Dans la zone de texte
qui s’affiche, entrez regedt32.
2. Dans l’Éditeur du Registre, sélectionnez Fichier, puis Connexion au Registre
réseau.
3. Dans la boîte de dialogue Sélectionner un ordinateur, entrez le nom de
l’ordinateur distant, sélectionnez Vérifier les noms, puis OK.
4. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server et à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
NT\Terminal Services.
Pour vérifier la configuration de stratégie de groupe sur un ordinateur local, ouvrez une
fenêtre d’invite de commandes en tant qu’administrateur, puis entrez la commande
suivante :
gpresult /H c:\gpresult.html
Vous pouvez utiliser le composant logiciel enfichable MMC Services pour gérer les
services localement ou à distance. Vous pouvez également utiliser PowerShell pour gérer
les services localement ou à distance (si l’ordinateur distant est configuré pour accepter
les applets de commande PowerShell à distance).
Sur l’un ou l’autre ordinateur, si l’un des services n’est pas en cours d’exécution,
démarrez-le.
7 Notes
Si vous démarrez le service Services Bureau à distance, cliquez sur Oui pour
redémarrer automatiquement le service Redirecteur de port du mode utilisateur
des services Bureau à distance.
) Important
PowerShell
2. Entrez qwinsta.
3. Si la liste comprend rdp-tcp avec l’état Écouter, l’écouteur RDP fonctionne. Passez
à Vérifier le port d’écoute RDP. Sinon, passez à l’étape 4.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp
c. Exportez l’entrée vers un fichier .reg. Par exemple, dans l’Éditeur du Registre,
cliquez avec le bouton droit sur l’entrée, sélectionnez Exporter, puis entrez un
nom de fichier pour les paramètres exportés.
d. Copiez le fichier .reg exporté sur l’ordinateur affecté.
PowerShell
PowerShell
7. Si vous ne pouvez toujours pas vous connecter, vérifiez le statut du certificat auto-
signé RDP.
) Important
) Important
Vous pouvez utiliser les services Bureau à distance à l’aide d’un autre port.
Toutefois, nous vous déconseillons de le faire. Cet article n’explique pas
comment résoudre les problèmes avec ce type de configuration.
PowerShell
3. Recherchez une entrée pour le port TCP 3389 (ou le port RDP attribué) associé à
l’état Écoute.
7 Notes
4. Pour déterminer quelle application utilise le port 3389 (ou le port RDP attribué),
entrez la commande suivante :
PowerShell
5. Recherchez une entrée pour le numéro PID associé au port (dans la sortie de
netstat). Les services ou processus associés à ce PID apparaissent dans la colonne
de droite.
5. Notez si l’ordinateur affecté bloque les connexions à partir de tous les autres
ordinateurs, de certains autres ordinateurs ou d’un seul autre ordinateur.
Risques potentiels
Quand vous changez ce paramètre de Registre, il est important de garder à l’esprit les points
suivants :
Il s’agit d’une opération d’administration. Toute erreur introduite dans le Registre peut
rendre votre machine instable. Les utilisateurs doivent changer les entrées de Registre à
leurs propres risques.
Ce changement de Registre affecte toutes les applications sur votre ordinateur.
Les clients ne peuvent pas se connecter
et obtiennent l’erreur « Classe non
enregistrée »
Article • 21/09/2022
Quand vous essayez de vous connecter à un ordinateur distant à l’aide d’un client qui
exécute Windows 10 version 1709 ou ultérieure, le client peut ne pas se connecter et le
serveur Hôte de session Bureau à distance signale un message qui contient le code
d’erreur « Classe non enregistrée (0x80040154) ».
Cet article vous aide à résoudre l’erreur « Aucune licence disponible » dans un
déploiement qui inclut un serveur Hôte de session Bureau à distance (RDSH) et un
serveur du Gestionnaire de licences des services Bureau à distance.
Symptômes
Les clients ne peuvent pas se connecter aux services Bureau à distance et affichent des
messages semblables à ce qui suit :
Sortie
The remote session was disconnected because there are no Remote Desktop
License Servers available to provide a license.
Sortie
Sortie
The grace period for the Remote Desktop Session Host server has expired, but
the RD Session Host server hasn't been configured with any license servers.
Connections to the RD Session Host server will be denied unless a license
server is configured for the RD Session Host server.
Sortie
License server <computer name> is not available. This could be caused by
network connectivity problems, the Remote Desktop Licensing service is
stopped on the license server, or RD Licensing isn't available.
Cause
Ces problèmes peuvent être dus aux messages utilisateur suivants :
La session distante a été déconnectée, car aucune licence d’accès client Bureau à
distance n’est disponible pour cet ordinateur.
La session distante a été déconnectée, car aucun serveur de licences Bureau à
distance n’est disponible pour fournir une licence.
Dans ce cas, vérifiez la configuration des licences des services Bureau à distance.
Si l’outil de diagnostic des licences des services Bureau à distance répertorie d’autres
problèmes, tels que « Le composant X.224 du protocole RDP a détecté une erreur dans
le flux du protocole et a déconnecté le client », il peut y avoir un problème qui affecte
les certificats de licence. Ces problèmes ont tendance à être associés à des messages
utilisateur, tels que :
Le client n’a pas pu se connecter à Terminal Server car une erreur de sécurité s’est
produite. Après vous être assuré que vous êtes connecté au réseau, essayez de vous
reconnecter au serveur.
7 Notes
7 Notes
Pour plus d’informations sur cette configuration, voir Installer les licences
d’accès client aux services Bureau à distance sur le serveur de licences
Bureau à distance.
7 Notes
Si vous utilisez des serveurs joints à un domaine pour votre déploiement des
services Bureau à distance, vous pouvez utiliser à la fois des licences d’accès
client par utilisateur et par appareil. Si vous utilisez des serveurs de groupe de
travail pour votre déploiement des services Bureau à distance, vous devez
utiliser des licences d’accès client par appareil. Les licences d’accès client par
utilisateur ne sont pas autorisées dans un tel cas.
3. Dans la liste des stratégies, cliquez avec le bouton droit sur Utiliser les serveurs de
licences des services Bureau à distance spécifiés, puis sélectionnez Propriétés.
6. Dans la liste des stratégies, cliquez avec le bouton droit sur Définir le mode de
concession de licences Bureau à distance, puis sélectionnez Propriétés.
7. Sélectionnez Activé.
) Important
Suivez attentivement les instructions présentées dans cette section. Des problèmes
graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant
de commencer à modifier le Registre, sauvegardez-le afin de pouvoir le restaurer
en cas de problème.
7 Notes
Certificat
X509 Certificate
X509 Certificate ID
X509 Certificate2
1. Utiliser l’outil de diagnostic des licences des services Bureau à distance pour
rechercher des problèmes
2. S’assurer que les versions des licences d’accès client aux services Bureau à distance,
des hôtes de session Bureau à distance et des serveurs de licences des services
Bureau à distance sont compatibles
3. Veiller à utiliser le type approprié de licence d’accès client aux services Bureau à
distance pour l’environnement RDS
Les licences ne sont pas disponibles pour ce serveur hôte de session des services
Bureau à distance, et l’outil de diagnostic des licences des services Bureau à distance
a identifié des problèmes de licence pour le serveur hôte de session des services
Bureau à distance.
Le tableau ci-dessous indique les versions des licences d’accès client aux services Bureau
à distance et des serveurs de licences qui sont compatibles entre elles.
Commentaires
Was this page helpful? ツ Yes ト No
Si l’utilisateur est déjà membre de ce groupe (ou si plusieurs membres du groupe ont le
même problème), vérifiez la configuration des droits de l’utilisateur sur l’ordinateur
distant Windows 10 ou Windows Server 2016.
Par exemple, l’appartenance par défaut pour Accéder à cet ordinateur à partir du
réseau inclut Tout le monde. Si votre déploiement utilise un objet de stratégie de
groupe pour supprimer Tout le monde, vous devrez peut-être restaurer l’accès en
mettant à jour l’objet de stratégie de groupe de façon à ajouter Utilisateurs du
Bureau à distance.
Suivez attentivement les étapes décrites dans cette section. De graves problèmes
peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de le
modifier, sauvegardez le Registre afin de pouvoir le restaurer en cas de
problème.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal
Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\<Winstation name>\
Nom : fQueryUserConfigFromDC
Type : Reg_DWORD
Valeur : 1 (Décimal)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
Notez que toutes ces solutions demandent des compromis en termes de performances
ou de niveau de sécurité.
...
...
Les mises à jour initiales ont ajouté la prise en charge d’un nouvel objet de stratégie de
groupe, Correction d’oracle de chiffrement, qui peut avoir les paramètres suivants :
Vulnérable : Les applications clientes qui utilisent CredSSP peuvent revenir aux
versions non sécurisées, mais ce comportement expose les Bureaux distants à des
attaques. Les services qui utilisent CredSSP acceptent les clients qui n’ont pas été
mis à jour.
Atténué : les applications clientes qui utilisent CredSSP ne peuvent pas revenir aux
versions non sécurisées, mais les services qui utilisent CredSSP acceptent les clients
qui n’ont pas été mis à jour.
Forcer la mise à jour des clients : les applications clientes qui utilisent CredSSP ne
peuvent pas revenir aux versions non sécurisées, et les services qui utilisent
CredSSP n’acceptent pas les clients non corrigés.
7 Notes
Ce paramètre ne doit pas être déployé tant que tous les hôtes distants ne
prennent pas en charge la version la plus récente.
Pour résoudre ce problème, mettez à jour et redémarrez tous les systèmes. Pour obtenir
une liste complète des mises à jour et pour plus d’informations sur les vulnérabilités,
consultez CVE-2018-0886 | Vulnérabilité d’exécution de code à distance dans
CredSSP .
Pour contourner ce problème jusqu’à ce que les mises à jour soient terminées, consultez
KB 4093492 afin de connaître les types de connexions autorisés. S’il n’existe aucune
alternative possible, vous pouvez envisager l’une des méthodes suivantes :
) Important
Pour résoudre ce problème, vérifiez que les ordinateurs auxquels les utilisateurs
souhaitent se connecter (ainsi que les serveurs RDSH ou RDVI) sont entièrement mis à
jour jusqu’en juin 2018. Celle-ci comprend les mises à jour suivantes :
Si vous avez besoin d’utiliser une configuration à haute disponibilité avec des services
Broker pour les connexions Bureau à distance à charge équilibrée, vous pouvez
contourner ce problème en désactivant Credential Guard à distance. Pour plus
d’informations sur la façon de gérer Windows Defender Credential Guard à distance,
consultez Protéger les informations d’identification du Bureau à distance avec Windows
Defender Credential Guard à distance.
Lors de la connexion, l’utilisateur reçoit
un message « Les Services Bureau à
distance sont actuellement occupés »
Article • 21/09/2022
La tâche que vous essayez de réaliser ne peut pas se terminer car le service Bureau à
distance est actuellement occupé. Réessayez dans quelques minutes. Cela ne devrait
pas empêcher d’autres utilisateurs d’ouvrir une session.
Pour résoudre ce problème, appliquez les mises à jour suivantes aux serveurs RDSH :
Pour vérifier les paramètres actuels et identifier les objets de stratégie de groupe
existants sur le serveur RDSH, ouvrez une fenêtre d’invite de commandes en tant
qu’administrateur et entrez la commande suivante :
gpresult /H c:\gpresult.html
Pour appliquer les modifications de stratégie, ouvrez une fenêtre d’invite de commandes
sur l’ordinateur affecté et entrez la commande suivante :
gpupdate /force
Le client n’a pas pu se connecter au serveur Terminal Server en raison d’une erreur
de sécurité. Vérifiez que vous êtes connecté au réseau, puis réessayez de vous
connecter.
Bureau à distance déconnecté. Le client n’a pas pu se connecter à l’ordinateur
distant en raison d’une erreur de sécurité. Vérifiez que vous êtes connecté au
réseau et essayez de vous reconnecter.
7 Notes
Quand les communications entre les clients et les serveurs Hôtes de session
Bureau à distance nécessitent le niveau de chiffrement le plus élevé, utilisez le
chiffrement Compatible FIPS.
Les paramètres de niveau de chiffrement que vous configurez dans la
stratégie de groupe remplacent ceux que vous avez configurés à l’aide de
l’outil Configuration des services Bureau à distance. En outre, si vous activez la
stratégie Chiffrement système : utilisez des algorithmes compatibles FIPS
pour le chiffrement, le hachage et la signature, ce paramètre remplace la
stratégie Définir le niveau de chiffrement de la connexion client. La stratégie
de chiffrement système se trouve dans le dossier Configuration
ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies
locales\Options de sécurité.
Quand vous modifiez le niveau de chiffrement, le nouveau niveau prend effet
lors de la prochaine connexion d’un utilisateur. Si vous avez besoin de
plusieurs niveaux de chiffrement sur un serveur, installez plusieurs cartes
réseau et configurez chaque carte séparément.
Pour vérifier que le certificat a une clé privée correspondante, dans
Configuration des services Bureau à distance, cliquez avec le bouton droit sur
la connexion dont vous souhaitez voir le certificat, sélectionnez Général, puis
sélectionnez Modifier. Ensuite, sélectionnez Afficher le certificat. Sous
l’onglet Général, l’information « Vous avez une clé privée qui correspond à ce
certificat » doit apparaître si une clé est présente. Vous pouvez également voir
ces informations à l’aide du composant logiciel enfichable Certificats.
Le chiffrement compatible FIPS (la stratégie Chiffrement système : utilisez
des algorithmes compatibles FIPS pour le chiffrement, le hachage et la
signature ou le paramètre Compatible FIPS dans Configuration des services
Bureau à distance) chiffre et déchiffre les données envoyées entre le serveur
et le client avec les algorithmes de chiffrement FIPS (Federal Information
Processing Standard) 140-1, qui utilisent les modules de chiffrement
Microsoft. Pour plus d’informations, consultez Validation FIPS 140.
Le paramètre Élevé chiffre les données envoyées entre le serveur et le client à
l’aide d’un chiffrement renforcé 128 bits.
Le paramètre Compatible avec le client chiffre les données envoyées entre le
client et le serveur avec la force de clé maximale prise en charge par le client.
Le paramètre Faible chiffre les données envoyées du client au serveur à l’aide
du chiffrement 56 bits.
L’ordinateur portable distant se
déconnecte du réseau sans fil
Article • 03/03/2023
7 Notes
Pour modifier les paramètres d’authentification réseau sur un seul ordinateur, vous
devrez peut-être utiliser le panneau de configuration Centre réseau et partage afin
de créer une nouvelle connexion sans fil avec les nouveaux paramètres.
Cet article aborde plusieurs problèmes courants que les utilisateurs peuvent rencontrer
quand ils utilisent la fonctionnalité Bureau à distance.
Pour résoudre ce problème, appliquez les mises à jour suivantes aux machines
virtuelles :
Cela se produit car, lorsque l’authentification au niveau du réseau est désactivée, les
ordinateurs clients plus anciens utilisent un protocole plus lent quand ils se connectent à
Windows 10 version 1803 ou ultérieure.
Pour résoudre ce problème, appliquez les mises à jour suivantes comme il convient :
Les problèmes suivants ont été traités dans Windows 10 et les versions ultérieures à
compter d’octobre 2021.
Les utilisateurs ont signalé ne pas pouvoir changer le mode IME dans leurs
applications.
Les utilisateurs ne pouvaient pas changer le mode IME à l’aide du clavier.
Les utilisateurs ne pouvaient pas changer le mode IME à l’aide de l’icône de la
barre des tâches.
Passer d’une application distante à une autre ne change pas le mode IME.
Plateformes affectées :
7 Notes
Lorsque vous essayez de vous connecter à Azure Virtual Desktop à partir du client web
et qu’un message d’erreur indiquant « Nous sommes désolés, nous n’avons pas pu nous
connecter à « SessionDesktop » » s’affiche, cela signifie que le client web n’a plus de
mémoire.
Pour résoudre ce problème, vous devez soit réduire la taille de la fenêtre du navigateur,
soit déconnecter toutes les connexions existantes et essayer de vous reconnecter. Si
vous rencontrez toujours ce problème après avoir effectué ces opérations, contactez
votre administrateur local ou support technique pour obtenir de l’aide.