Déploiement de Windows To Go en entreprise

Dans Windows 8 et Windows 8.1, Windows To Go permet de nouveaux scénarios de mobilité d’entreprise par l’utilisation de Windows depuis une clé USB. Potentiellement, l’utilisateur transporte son bureau dans sa poche, et peut démarrer son environnement sur n’importe quel PC. Pour en savoir plus sur Windows To Go :

Windows To Go: Feature Overview
https://technet.microsoft.com/en-us/library/hh831833.aspx

Nous allons nous intéresser ici aux scénarios de déploiement de Windows To Go en entreprise, de la méthode manuelle à fins de tests aux procédés plus industriels adaptés à des déploiements massifs. Les articles de référence sont les suivants :

Deploy Windows To Go in Your Organization
https://technet.microsoft.com/en-us/library/jj721578.aspx

How to Provision Windows To Go in Configuration Manager
https://technet.microsoft.com/en-us/library/jj651035.aspx

Nous allons présenter ici trois méthodes de déploiement de Windows To Go :

  • Méthode manuelle
  • Méthode centralisée
  • Méthode libre-service

Méthode manuelle

La méthode manuelle est intéressante pour les tests car elle ne permet que de produire une clé Windows To Go à la fois. Entièrement graphique, elle n’est pas scriptable. Il s’agit de la méthode la plus connue. Pour créer une clé Windows To Go, il suffit de disposer des éléments suivants :

  • Un PC sous Windows 8.x Entreprise avec une prise USB 3.0 libre.
  • Une clé USB certifiée pour Windows To Go - Pour une liste de clés USB certifiées pour Windows To Go, consultez ce lien :
    https://technet.microsoft.com/en-us/library/hh831833.aspx#wtg_hardware.
  • Une image WIM de Windows 8.x Entreprise à déployer sur la clé USB. Pour un test, on peut trouver le fichier install.wim par défaut en montant une image ISO de Windows 8.x Entreprise. Sinon on peut utiliser une image WIM personnalisée avec les outils de déploiement de Windows.

Sur le PC il suffit de lancer l’assistant Windows To Go que l’on trouvera en cherchant (<Windows>+W) “Windows To Go” dans le panneau de configuration. On peut également lancer directement l’exécutable : pwcreator.exe. Cet assistant comprend 3 étapes :

  • Sélection de la clé USB
  • Sélection de l’image WIM
  • Activation de BitLocker sur la clé et saisie de son mot de passe

Ce qui se retrouve en 3 écrans :

pwcreator-fr-01

pwcreator-fr-02

pwcreator-fr-03

On retrouve ici ce que je décrivais il y a deux ans ici-même, et qui n’a pas changé entre Windows 8 et Windows 8.1.

Notez lors de la troisième étape que le mot de passe BitLocker devra être tapé avec le clavier configuré en américain QWERTY. Evitez donc les caractères sources d’erreurs dans ce cas, comme A, Z, Q, W, M, les caractères accentués, les chiffres et les symboles.

Cette méthode est intéressante lorsqu’il faut tester le matériel ou démontrer la solution rapidement sans mettre en œuvre un déploiement à grande échelle.

Les deux méthodes suivantes intéresseront plus les professionnels.

Méthode centralisée

La méthode centralisée consiste à créer des clés Windows To Go de manière automatique et centralisée. Les utilisateurs reçoivent, ou viennent chercher, une clé et la personnalisent ensuite, par exemple en joignant le domaine et en activant BitLocker.

Pour la création des clés nous utilisons un script permettant d’automatiser le processus. Un script d’exemple parfaitement opérationnel se trouve à cette adresse :

https://technet.microsoft.com/en-us/library/jj721578.aspx#wtg_adv_script

Ce script prend comme paramètres :

  • Le nom du fichier WIM à utiliser comme source
  • Le nom du domaine à joindre (optionnel)

Il effectue les tâches suivantes :

  • Préparer :
    • Un fichier WtgUnattend.xml – il est intéressant d’adapter cette partie (fonction CreateUnattendFile), notamment pour la version française de Windows, et le clavier français.
    • Un fichier registry.pol pour la configuration de BitLocker.
  • Identifier les lecteurs USB connectés au PC d’une taille supérieure à 20 Go
  • Pour chaque lecteur identifié, effectuer ces opérations en parallèle (un job par lecteur) :
    • Initialiser le lecteur au format MBR
    • Créer la partition système de 350 Mo, formatée en FAT32, appelée UFD-SYSTEM
    • Créer la partition de l’OS sur le reste du lecteur, formatée en NTFS, appelée UFD-WINDOWS
    • Configurer la partition de l’OS pour qu’elle n’ait pas de lettre lorsque le lecteur USB sera monté sur un système en cours d’exécution.
    • Appliquer l’image WIM sur la partition de l’OS
    • Copie des fichiers WtgUnattend.xml et registry.pol sur la partition de l’OS
    • Modification de la “SAN Policy” dans le registre de la partition de l’OS de façon à ne pas monter les disques internes (4 – Offline Internal)
    • Copie des fichiers de démarrage dans la partition système
    • Si un domaine est spécifié dans les paramètres du script :
      • Provisionner un compte d’ordinateur dans le domaine avec un nom d’ordinateur aléatoire – cela utilise la commande djoin /PROVISION. Il est intéressant de personnaliser cette commande, notamment si l’on veut ajouter des stratégies de groupe (option /POLICYNAMES), par exemple pour le paramétrage de DirectAccess.
      • Demander une jonction au domaine sans connexion au prochain redémarrage de Windows To Go
      • Placer un paramètre dans le registre pour ne pas demander la création d’un compte utilisateur au premier démarrage de Windows To Go
    • Forcer l’écriture des modifications sur le lecteur USB
  • Attendre que les jobs se terminent, supprimer les fichiers créés localement.

L’intérêt de ce script est qu’il peut générer plusieurs lecteurs USB en parallèle. Avec un ou plusieurs hubs USB 3.0, il est possible de créer en même temps jusqu’à 11 lecteurs USB en parallèle. La règle est que le script a besoin de deux lettres par lecteur.

Dans certains cas (notamment si l’on ne cherche pas à personnaliser les Windows To Go) il est possible d’utiliser des duplicateurs matériels de clés USB, qui seront très utiles pour des volumes importants.

Lorsqu’un utilisateur récupère une clé USB préparée par ce script avec un domaine, il peut dès le premier démarrage ouvrir une session avec son compte du domaine, activer BitLocker et commencer à travailler. La contrainte ici est qu’il doit être sur le réseau interne pour son premier logon. Mais si de plus, on a configuré DirectAcess grâce à une stratégie de groupe, le premier démarrage et le premier logon dans le domaine peuvent être effectués à distance.

La méthode recommandée est de vous approprier le script PowerShell fourni dans l’article Technet indiqué précédemment, et de l’adapter à vos besoins.

S’il est vraiment nécessaire que vous utilisiez un poste Windows 7 pour générer les lecteurs USB Windows To Go, un exemple de script pour Windows 7 est également présent à cette adresse :

https://technet.microsoft.com/en-us/library/jj721578.aspx#BKMK_wtgwin7prov

Méthode libre-service

Cette méthode utilise System Center 2012 Configuration Manager SP1, ou System Center 2012 R2 Configuration Manager. La version 2012 R2, plus récente, est bien sûr recommandée. Si êtes déjà familier avec SCCM cela ne devrait pas vous poser de problèmes. La méthode réutilise les séquences de tâches de déploiement de Windows 8.x. On utilise un média préparé (prestaged media), et un package avec l’outil Windows To Go libre-service, que l’on déploie aux utilisateurs appropriés.

Les utilisateurs exécutent le package, via le catalogue d’applications ou le software center, et n’ont qu’à passer par un assistant extrêmement simplifié, puisqu’il leur suffit de spécifier le lecteur USB qu’ils souhaitent utiliser.

Cette méthode est documentée en détail dans cet article :

How to Provision Windows To Go in Configuration Manager
https://technet.microsoft.com/en-us/library/jj651035.aspx

Voici un résumé des grandes étapes de préparation :

Tout d’abord, il y a quelques prérequis à préparer dans SCCM :

  • Distribuer une image de boot sur un point de distribution
  • Créer et distribuer une image de Windows 8.x sur un point de distribution
  • Créer une séquence de tâches de déploiement de Windows 8.x

Une fois ces prérequis effectués, voici les grandes étapes de la méthode :

  • Créer un média préparé (prestaged media), à partir de la séquence de tâches
  • Créer un package Windows To Go Creator
  • Modifier la séquence de tâches pour activer BitLocker pour Windows To Go
  • Déployer le package Windows To Go Creator et la séquence de tâches

Il est intéressant de noter que SCCM contient ne version spécifique de l’assistant Windows To Go, le Windows To Go Creator, qui permet d’automatiser quelques étapes de l’assistant pwcreator.exe présent dans Windows Entreprise. Celui de SCCM s’appelle wtgcreator.exe. Ce dernier se trouve sur le serveur SCCM dans le répertoire C:\Program Files\Microsoft Configuration Manager\OSD\Tools\WTG\Creator.

 

Ceci conclut cet article sur le déploiement de Windows To Go en entreprise, où nous avons vu la méthode manuelle classique et deux méthodes de déploiement en volume, centralisée et libre-service, la dernière utilisant SCCM 2012 R2.

Des versions d’évaluations de produits suivants sont disponibles en téléchargement gratuit :