Cet article répond à certaines questions que les administrateurs informatiques peuvent se poser sur les paramètres et la synchronisation des données d’application.
Quel compte est utilisé pour la synchronisation des paramètres ?
Dans Windows 8.1, la synchronisation des paramètres a toujours utilisé les comptes Microsoft consommateur. Les utilisateurs de l’entreprise avaient la possibilité de connecter un compte Microsoft à leur compte de domaine Active Directory pour avoir accès à la synchronisation des paramètres. Dans Windows 10 et versions ultérieures, cette fonctionnalité « compte Microsoft connecté » est remplacée par une structure de compte principal et secondaire.
Le compte principal est défini en tant que compte utilisé pour se connecter à Windows. Il peut s’agir d’un compte Microsoft, d’un compte Microsoft Entra, d’un compte Active Directory local ou d’un compte local. En plus du compte principal, les utilisateurs de Windows 10 et versions ultérieures peuvent ajouter à leur appareil un ou plusieurs comptes cloud. Un compte secondaire est généralement un compte Microsoft, Microsoft Entra, ou un autre compte tel que Gmail ou Facebook. Ces comptes secondaires permettent d’accéder à d’autres services tels que l’authentification unique et le Windows Store, mais ne prennent pas en charge la synchronisation des paramètres.
Les données des différents comptes d’utilisateur du périphérique ne sont jamais mélangées. Il existe deux règles de synchronisation des paramètres :
- Les paramètres Windows sont toujours itinérants avec le compte principal.
- Les données d’application sont marquées avec le compte utilisé pour l’acquisition de l’application. Seules les applications marquées avec le compte principal sont synchronisées. Le marquage de propriété des applications est déterminé lors du chargement d’une application en version test via le Windows Store ou via la gestion des périphériques mobiles (GPM).
S’il est impossible d’identifier le propriétaire de l’application, celle-ci est itinérante avec le compte principal. Si un appareil est mis à niveau à partir de Windows 8 ou Windows 8.1 vers Windows 10 et versions ultérieures, toutes les applications sont marquées comme étant acquises par le compte Microsoft. Cela est dû au fait que la plupart des utilisateurs acquièrent des applications via le Windows Store et qu’il n’existait aucune prise en charge de Windows Store pour les comptes Microsoft Entra avant Windows 10. Si une application est installée via une licence en mode hors connexion, l’application est marquée en utilisant le compte principal de l’appareil.
Remarque
Les appareils Windows 10 ou version ultérieure appartenant à une entreprise et connectés à Microsoft Entra ID ne peuvent plus connecter leurs comptes Microsoft à un compte de domaine. La possibilité de connecter un compte Microsoft à un compte de domaine et de synchroniser toutes les données de l'utilisateur avec le compte Microsoft (c'est-à-dire le compte Microsoft itinérant via le compte Microsoft connecté et la fonctionnalité Active Directory) est supprimée de Windows 10 et des appareils plus récents qui sont reliés à un environnement Active Directory ou Microsoft Entra connecté.
Comment mettre à niveau pour passer de la synchronisation des paramètres de compte Microsoft dans Windows 8 à la synchronisation des paramètres Microsoft Entra dans Windows 10 ou version ultérieure ?
Après la mise à niveau vers Windows 10 et versions ultérieures, vous continuez à synchroniser les paramètres utilisateur via le compte Microsoft tant que vous êtes un utilisateur joint au domaine et que le domaine Active Directory ne se connecte pas avec Microsoft Entra ID.
Si le domaine Active Directory local ne se connecte pas avec Microsoft Entra ID, votre appareil essaie de synchroniser les paramètres à l’aide du compte Microsoft Entra connecté. Si l’administrateur Microsoft Entra n’active pas Enterprise State Roaming, votre compte Microsoft Entra connecté cesse la synchronisation des paramètres. Si vous exécutez Windows 10 et versions ultérieures et que vous vous connectez avec une identité Microsoft Entra, vous pouvez commencer la synchronisation des paramètres Windows dès que votre administrateur active la synchronisation des paramètres via Microsoft Entra ID.
Si vous avez stocké des données personnelles sur votre appareil d’entreprise, vous devez savoir que le système d’exploitation Windows et les données d’application commencent à se synchroniser avec Microsoft Entra ID. Cela entraîne les conséquences suivantes :
- Les paramètres de votre compte personnel Microsoft divergent des paramètres de vos comptes Microsoft Entra professionnels ou scolaires. puisque la synchronisation des paramètres de compte Microsoft et de Microsoft Entra utilisent désormais des comptes distincts.
- Les données personnelles telles que les mots de passe Wi-Fi, les identifiants web et favoris d’Internet Explorer qui étaient auparavant synchronisées via un compte Microsoft connecté sont synchronisées via Microsoft Entra ID.
Comment fonctionne l'interopérabilité entre le compte Microsoft et Microsoft Entra Enterprise State Roaming ?
Dans les versions Windows 10 publiées à partir de novembre 2015 inclus, Enterprise State Roaming n’est pris en charge que pour un compte à la fois. Si vous vous connectez à Windows à l’aide d’un compte professionnel ou scolaire Microsoft Entra, toutes les données sont synchronisées via Microsoft Entra ID. Si vous vous connectez à Windows à l’aide d’un compte Microsoft personnel, toutes les données sont synchronisées via le compte Microsoft. En itinérance, les données d’application universelles utilisent uniquement le compte de connexion principal de l’appareil seulement si la licence de l’application est détenue par le compte principal. Les données d’application universelles appartenant à un compte secondaire ne sont pas synchronisées.
Les paramètres se synchronisent-ils pour les comptes Microsoft Entra regroupant plusieurs clients ?
Lorsque plusieurs comptes Microsoft Entra de locataires Microsoft Entra différents se trouvent sur le même appareil, vous devez mettre à jour le registre de l’appareil pour communiquer avec le service Azure Rights Management pour chaque locataire Microsoft Entra.
- Recherchez le GUID de chaque locataire Microsoft Entra. Connectez-vous au Centre d’administration Microsoft Entra, accédez à Identité>Vue d’ensemble>Propriétés>ID de locataire.
- Dès que vous disposez du GUID, vous devez ajouter la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<tenant ID GUID>. À partir de la clé tenant ID GUID, créez une nouvelle valeur de chaînes multiples (REG-MULTI-SZ) nommée AllowedRMSServerUrls. Pour ses données, spécifiez les URL de point de distribution de licence des autres clients Azure auxquels l’appareil accède.
- Vous trouverez les URL de point de distribution de licence en exécutant l’applet de commande Get-AadrmConfiguration dans le module AADRM. Si les valeurs des paramètres LicensingIntranetDistributionPointUrl et LicensingExtranetDistributionPointUrl sont différentes, spécifiez les deux valeurs. Si les valeurs sont les mêmes, spécifiez la valeur une seule fois.
Puis-je stocker localement les paramètres et les données synchronisés ?
Enterprise State Roaming stocke toutes les données synchronisées dans le Microsoft Cloud. UE-V offre une solution d’itinérance locale.
Comment les données sont-elles sécurisées ?
Avant novembre 2022, toutes les données utilisateur étaient sécurisées à l’aide de Azure Rights Management.
À compter de novembre 2022, Microsoft n’utilise plus Azure Rights Management pour le chiffrement de toutes les données. Microsoft s’engage à protéger les données client. Certaines données sensibles telles que les mots de passe sont chiffrées côté client avec des clés dérivées du locataire Microsoft Entra pour garantir une couche de sécurité supplémentaire. Toutes les données utilisateur (y compris les données non sensibles) sont chiffrées en transit et au repos dans le cloud. Pour obtenir la liste des éléments de données sensibles et non sensibles itinérants, consultez les Informations de référence sur les paramètres d’itinérance Windows.
Puis-je gérer la synchronisation d’un paramètre ou d’une application spécifique ?
Dans Windows 10 ou versions ultérieures, les administrateurs peuvent désactiver la synchronisation pour tous les groupes de synchronisation de paramètres sur un appareil géré avec GPM ou stratégie de groupe.
Comment puis-je activer ou désactiver l’itinérance ?
Dans l’application Paramètres, accédez à Comptes>Synchroniser vos paramètres. Depuis cette page, vous pouvez voir le compte utilisé pour l’itinérance des paramètres et activer ou désactiver l’itinérance pour chacun des groupes de paramètres.
Quelle est la recommandation de Microsoft pour l’activation de l’itinérance dans Windows 10 et version ultérieure ?
Microsoft propose quelques solutions d’itinérances de paramètres, notamment UE-V et Enterprise State Roaming. Si votre organisation n’est pas prête à déplacer les données dans le cloud ou qu’elle ne se sent pas à l’aise avec cette idée, nous vous recommandons d’utiliser UE-V comme principale technologie d’itinérance. Si votre organisation a besoin d’une prise en charge de l’itinérance pour les applications de bureau Windows existantes, mais qu’elle est prête à migrer vers le cloud, nous vous recommandons d’utiliser à la fois Enterprise State Roaming et UE-V. Bien que UE-V et Enterprise State Roaming soient des technologies similaires, elles ne sont pas mutuellement exclusives. Elles se complètent pour vous assurer que votre organisation offre des services d’itinérance dont vos utilisateurs ont besoin.
Lorsque vous utilisez Enterprise State Roaming et UE-V, Enterprise State Roaming est l’agent itinérant principal sur l’appareil. UE-V est utilisé pour compléter les applications Win32.
- Enterprise State Roaming est l’agent itinérant principal sur l’appareil. UE-V est utilisé pour compenser l’« écart avec Win32 ».
- Les paramètres d’itinérance UE-V pour Windows et les données d’application UWP modernes doivent être désactivés lorsque vous utilisez des stratégies de groupe UE-V. Ces paramètres sont déjà couverts par Enterprise State Roaming.
Comment la solution Enterprise State Roaming prend-elle en charge Virtual Desktop Infrastructure (VDI) ?
Enterprise State Roaming est pris en charge sur les références SKU client Windows 10 ou version ultérieure, mais pas sur les références SKU serveur. Si une machine virtuelle cliente est hébergée sur un hyperviseur alors que vous vous connectez à distance à la machine virtuelle, vos données seront alors en mode itinérant. Si plusieurs utilisateurs partagent le même système d’exploitation et que les utilisateurs se connectent à distance à un serveur pour bénéficier d’une expérience de bureau complète, l’itinérance peut ne pas fonctionner. Ce dernier scénario n’est pas officiellement pris en charge.
Qu’est-il arrivé au rapport d’état de synchronisation des appareils par utilisateur ?
Le rapport d’état de synchronisation des appareils par utilisateur a été supprimé du centre d’administration Microsoft Entra. Le rapport a été supprimé parce qu’il ne fournissait que des détails pour les versions non prises en charge de Windows. Enterprise State Roaming nécessite Windows 11 ou Windows 10 version 21H2 ou ultérieure.
Étapes suivantes
Pour une vue d’ensemble, consultez Vue d’ensemble d’Enterprise State Roaming.