Partager via


Fonctionnement de l’approvisionnement dans Windows

Les packages d’approvisionnement dans le client Windows offrent aux administrateurs informatiques un moyen simplifié d’appliquer des paramètres de configuration aux appareils clients Windows. L'outil Concepteur de configuration Windows simplifie la création des packages d'approvisionnement. Le Concepteur de configuration Windows peut être installé à partir du Microsoft Store.

Packages de configuration

Un package d’approvisionnement contient des configurations/paramètres et des ressources spécifiques qui peuvent être fournis via un média amovible ou téléchargés sur l’appareil.

Pour permettre l'ajout de plusieurs jeux de paramètres ou configurations, les données de configuration utilisées par le moteur d'approvisionnement proviennent de plusieurs sources de configuration qui se composent de packages d'approvisionnement distincts. Chaque package d'approvisionnement contient les données d'approvisionnement d'une source spécifique.

Un package d'approvisionnement (.ppkg) est un conteneur regroupant une collection de paramètres de configuration. Ce package présente le format suivant :

  • Métadonnées du package : les métadonnées contiennent des informations de base sur le package, telles que le nom du package, sa description, sa version, son classement, etc.

  • Descripteurs XML : chaque descripteur définit une ressource de personnalisation ou un paramètre de configuration inclus dans le package.

  • Charges utiles des ressources : charges utiles d’une ressource de personnalisation ou d’un paramètre de configuration associé à une application ou à une ressource de données.

Vous pouvez utiliser des packages d’approvisionnement pour l’approvisionnement d’appareils d’exécution en accédant au package sur un support amovible attaché à l’appareil, par le biais de la communication en champ proche (NFC) ou en téléchargeant à partir d’un emplacement source distant.

Précédence des packages d'approvisionnement

Lorsque plusieurs packages d'approvisionnement sont disponibles pour l'approvisionnement d'appareils, les conflits de paramètres peuvent être résolus grâce à la combinaison du type de propriétaire de package et du rang de package qui sont définis dans le manifeste du package. La liste ci-dessous indique l'ordre de précédence des types de propriétaires de package prédéfinis, de la précédence la plus faible à la plus élevée :

  1. Microsoft
  2. Fournisseur de silicium
  3. Fabricant d'ordinateurs OEM
  4. Intégrateur de systèmes
  5. Opérateur mobile
  6. Administrateur informatique

La plage de valeurs valide pour le rang de package est comprise entre 0 et 99.

Lorsque vous rencontrez des conflits de paramètres, les valeurs finales approvisionnées sur l'appareil sont déterminées par la précédence du type de propriétaire et par le rang des packages contenant les paramètres. Dans le cas des packages qui présentent le même type de propriétaire, le rang du package détermine le package à partir duquel les valeurs de paramètre seront approvisionnées sur l'appareil.

XML d'approvisionnement Windows

Le XML d'approvisionnement Windows est l'infrastructure qui permet aux composants Microsoft et d'OEM de déclarer les paramètres configurables par l'utilisateur et l'infrastructure sur l'appareil de façon à simplifier le processus d'application des paramètres pour le propriétaire des composants.

Les paramètres de chaque composant peuvent être déclarés dans le fichier manifeste du package de ce composant. Ces déclarations sont transformées en schéma de paramètres utilisé par le Concepteur de configuration Windows pour exposer les éventuels paramètres qui permettent aux utilisateurs de créer des personnalisations dans l'image ou dans les packages d'approvisionnement. La configuration utilisateur, qui est déclarée par le biais d'un ou de plusieurs fichiers de réponses d'approvisionnement, est convertie par le Concepteur de configuration Windows au format d'approvisionnement sur l'appareil.

Lorsque le moteur d'approvisionnement sélectionne une configuration, le XML d'approvisionnement Windows est inclus dans les données d'approvisionnement sélectionnées, puis est transmis au fournisseur de services de configuration (CSP) d'approvisionnement Windows par le biais du Gestionnaire de configuration. Le CSP d'approvisionnement Windows applique alors l'approvisionnement à l'emplacement approprié pour le composant à utiliser.

Moteur d'approvisionnement

Le moteur d’approvisionnement est le composant principal de la gestion de l’approvisionnement et de la configuration au moment de l’exécution sur un appareil exécutant Windows 10/11.

Le moteur d'approvisionnement offre les fonctionnalités suivantes :

  • Approvisionnement de configuration à tout moment pendant que l'appareil est en cours d'exécution, y compris durant la phase d'introduction de l'interface logicielle lors de la première utilisation (OOBE). Cet approvisionnement est également extensible à d'autres points pendant l'exécution de l'appareil.
  • Lecture et combinaison de paramètres issus de plusieurs sources de configuration qui peuvent être ajoutées à une image par Microsoft, l'OEM ou l'intégrateur de systèmes, ou qui peuvent être ajoutées à l'appareil par des utilisateurs ou administrateurs informatiques/d'un établissement d'enseignement au moment de l'exécution. Les sources de configuration peuvent être intégrées à l'image ou provenir de packages d'approvisionnement ajoutés à l'appareil.
  • Réaction à des déclencheurs ou événements et lancement d'une phase d'approvisionnement.
  • Authentification des packages d'approvisionnement.
  • Sélection d'un jeu de configuration reposant sur la phase d'approvisionnement et sur un ensemble de clés (par exemple, carte SIM, indicatif du pays de la station mobile (MCC), code de réseau mobile (MNC), plage d'identités internationales d'abonné mobile (IMSI), etc.) qui sont mappées sur une configuration spécifique, puis transmission de cette configuration à l'infrastructure de gestion de la configuration à appliquer.
  • Utilisation de l'interface utilisateur de la phase OOBE et du panneau de configuration pour autoriser la sélection d'une configuration par l'utilisateur lorsqu'une correspondance spécifique ne peut pas être déterminée.

Gestionnaire de configuration

Le gestionnaire de configuration fournit le moyen unifié de gérer les appareils Windows 10/11. La configuration s'effectue principalement par le biais des protocoles OMA (Open Mobile Alliance), DM (Device Management) et CP (Client Provisioning). Le Gestionnaire de configuration gère et analyse les demandes de ces protocoles à partir de différents canaux et les transmet aux CSP pour l'exécution des demandes et paramètres de gestion spécifiques.

Le moteur d'approvisionnement s'appuie sur le Gestionnaire de configuration pour l'ensemble du traitement et de l'application d'une configuration choisie. Le moteur d'approvisionnement détermine la phase d'approvisionnement et, en fonction d'un ensemble de clés, le jeu de configuration à envoyer au Gestionnaire de configuration. À son tour, le Gestionnaire de configuration analyse et appelle les CSP concernant le paramètre à appliquer.

Les CSP sont situés sous le Gestionnaire de configuration. Chaque section de configuration est convertie en un CSP spécifique qui gère l'interprétation de la configuration sous la forme d'une action sur l'appareil. Chaque CSP traduit les instructions de la configuration et appelle les API et composants appropriés pour l'exécution des actions d'approvisionnement demandées.

Gestionnaires de stratégies et de ressources

Les composants des Gestionnaires de stratégies, de ressources et de contextes gèrent l'inscription et la désinscription des appareils dans les environnements d'entreprise. Le processus d'inscription dans une entreprise consiste essentiellement à approvisionner les stratégies de configuration et de gestion des appareils que l'entreprise souhaite appliquer sur l'appareil. Cette opération est généralement effectuée par le biais de l'inscription explicite de l'appareil sur le serveur de gestion des appareils de l'entreprise à l'aide d'une connexion réseau. De cette façon, l'utilisateur est en mesure d'accéder aux ressources de l'entreprise par l'intermédiaire de l'appareil, et l'entreprise peut gérer et contrôler l'accès, ainsi que l'appareil proprement dit.

Les principales différences entre l'inscription dans l'entreprise et la configuration effectuée par le moteur d'approvisionnement sont les suivantes :

  • L'inscription applique sur l'appareil un ensemble limité et contrôlé de stratégies sur lesquelles l'utilisateur peut ne pas disposer d'un contrôle total. Le moteur d'approvisionnement expose un ensemble plus vaste de paramètres qui configurent d'autres aspects de l'appareil et qui sont généralement ajustables par l'utilisateur.
  • Le Gestionnaire de stratégies gère les paramètres de stratégie de plusieurs entités et procède à une sélection des paramètres en fonction de la priorité des entités. Le moteur d'approvisionnement applique les paramètres, mais ne permet pas de classer par ordre de priorité les paramètres issus de différentes sources. L'approvisionnement le plus spécifique est le dernier appliqué et celui qui est utilisé.
  • Les différents paramètres de stratégie appliqués à partir d'entités d'inscription distinctes sont stockés, ce qui permet de les supprimer par la suite dans le cadre d'une désinscription. L'utilisateur est ainsi en mesure de supprimer une stratégie d'entreprise et de faire revenir l'appareil à un état dépourvu de restrictions d'entreprise et de données sensibles. Le moteur d'approvisionnement ne conserve pas les différents paramètres d'approvisionnement et ne permet pas de restaurer tous les paramètres appliqués.

Windows 10 requiert l'application de stratégies et d'inscriptions par le biais de l'approvisionnement pour prendre en charge les cas dans lesquels une entreprise ou un établissement d'enseignement ne disposent pas d'un serveur DM assurant la gestion complète des appareils. Le moteur d'approvisionnement prend en charge l'approvisionnement des inscriptions et des stratégies par l'intermédiaire de sa configuration et s'intègre aux composants des Gestionnaires de stratégies et de ressources existants soit directement, soit par le biais du Gestionnaire de configuration.

Déclencheurs et phases

Les déclencheurs désignent les événements qui initialisent une phase d'approvisionnement pendant la durée de vie du système. Voici quelques exemples de déclencheurs : démarrage, phase OOBE, changement de carte SIM, ajout par l'utilisateur, ajout par l'administrateur, connexion utilisateur, mise à jour d'appareil, ainsi que différents déclencheurs manuels (tels qu'un déploiement en mode USB ou lancé à partir d'une pièce jointe à un e-mail ou d'un disque mémoire USB).

Lorsqu'un déclencheur survient, l'approvisionnement est initialisé pour une phase d'approvisionnement spécifique. Les phases sont regroupées en jeux basés sur l'étendue des paramètres :

  • Statique : première phase d'approvisionnement exécutée pour appliquer les paramètres de configuration au système afin de procéder à la configuration de la phase OOBE ou à la mise en œuvre des paramètres applicables à l'appareil qui ne peuvent pas être effectuées lors de la création de l'image.
  • Système : phase exécutée au cours de la phase OOBE et de la configuration des paramètres système.
  • UICC : phase exécutée à chaque ajout d'une carte UICC (Universal Integrated Circuit Card) dans un appareil afin de gérer la configuration et la personnalisation reposant sur l'identité de la carte UICC ou SIM. Cela autorise les scénarios de configuration d'exécution dans lesquels un OEM peut conserver une image unique configurable pour plusieurs opérateurs.
  • Mise à jour : phase exécutée après une mise à jour pour appliquer les éventuelles modifications des paramètres mis à jour.
  • Utilisateur : phase exécutée lors de la première exécution d'un compte d'utilisateur pour configurer les paramètres par utilisateur.

Approvisionnement d'appareil durant la phase OOBE

Le moteur d'approvisionnement applique toujours les packages d'approvisionnement conservés dans le dossier C:\Recovery\Customizations sur la partition du système d'exploitation. Lorsque le moteur d'approvisionnement applique les packages d'approvisionnement dans le dossier %ProgramData%\Microsoft\Provisioning, l'application de certains paramétrages d'exécution, comme le paramétrage destiné à installer et configurer les applications Windows, peut être prolongée au-delà de la phase OOBE et s'effectuer continuellement en arrière-plan lorsque l'appareil accède au Bureau. Les paramétrages destinés à configurer les stratégies et certaines configurations système cruciales doivent toujours effectués avant le premier point à partir duquel ils doivent prendre effet.

Les utilisateurs d'appareils peuvent appliquer un package d'approvisionnement à partir d'une source distante lors du premier démarrage de l'appareil au niveau de la phase OOBE. L'approvisionnement d'un appareil durant la phase OOBE se déclenche uniquement après la configuration de la langue, des paramètres régionaux, du fuseau horaire et des autres paramètres qui figurent sur la première page de l'interface utilisateur OOBE. Lorsque l'approvisionnement d'appareil est déclenché, l'interface utilisateur d'approvisionnement s'affiche sur la page OOBE. L'interface utilisateur d'approvisionnement permet aux utilisateurs de sélectionner un package d'approvisionnement acquis à partir d'une source distante, par exemple par le biais de la technologie NFC ou d'un média amovible.

Le tableau ci-après indique la façon dont un utilisateur peut initialiser l'approvisionnement d'appareil lors du premier démarrage de l'appareil en mode OOBE.

Méthode de distribution du package Méthode de lancement Appareils pris en charge
Média amovible : lecteur USB ou carte
SD (les packages doivent être placés à la racine du média)
Cinq appuis rapides sur la clé Windows pour lancer l’interface utilisateur d’approvisionnement Tous les appareils Windows
À partir d’un appareil administrateur par le biais d’une balise
NFC ou NFC de machine à machine (l’appareil administrateur doit exécuter une application qui peut transférer le package via NFC)
Cinq appuis rapides sur la clé Windows pour lancer l’interface utilisateur d’approvisionnement Appareils Windows IoT Standard

Le moteur d'approvisionnement copie toujours les packages d'approvisionnement acquis dans le dossier %ProgramData%\Microsoft\Provisioning avant de les traiter durant la phase OOBE. Le moteur d'approvisionnement applique toujours les packages d'approvisionnement incorporés dans l'image Windows installée durant la phase OOBE d'installation de Windows, que le package soit ou non signé et approuvé. Lorsque le moteur d'approvisionnement applique un package d'approvisionnement chiffré sur un appareil d'utilisateur final durant la phase OOBE, les utilisateurs doivent commencer par fournir un mot de passe valide pour déchiffrer ce package. Le moteur d'approvisionnement vérifie également si un package d'approvisionnement est signé et approuvé ; s'il ne l'est pas, l'utilisateur doit donner son consentement avant que le package soit appliqué à l'appareil.

Lorsque le moteur d'approvisionnement applique des packages d'approvisionnement durant la phase OOBE, il applique uniquement à l'appareil les paramètres d'exécution du package. Les paramètres d'exécution peuvent être des paramètres de configuration système, portant notamment sur la stratégie de sécurité, l'installation ou la désinstallation d'applications Windows, la configuration du réseau, l'inscription GPM de démarrage, l'approvisionnement des ressources de fichier, la configuration des comptes et des domaines, la mise à niveau de l'édition de Windows, etc. Le moteur d'approvisionnement recherche également les paramètres de configuration sur l'appareil, tels que les paramètres régionaux ou la carte SIM, et applique les paramètres à plusieurs variantes pour lesquels une ou plusieurs conditions sont remplies.

Approvisionnement d'appareil au moment de l'exécution

Les utilisateurs peuvent appliquer des packages d'approvisionnement autonomes lors de l'exécution d'un appareil. Le tableau ci-après indique les situations dans lesquelles il est possible d'initialiser un approvisionnement au moment de l'exécution de l'appareil.

Méthode de distribution du package Méthode de lancement Appareils pris en charge
Média amovible : lecteur USB ou carte
SD (les packages doivent être placés à la racine du média)
Paramètres>Comptes>Accès Professionnel ou Scolaire>Ajouter ou supprimer un package d'approvisionnement Tous les appareils Windows
Téléchargement à partir d'une connexion réseau et copie dans un dossier local Double-clic sur le fichier de package Client Windows pour les appareils d’édition de bureau
À partir d'un appareil d'administrateur connecté à l'appareil cible par le biais d'une connexion USB Glisser-déplacer du fichier de package sur l'appareil cible Appareils Windows IoT Standard

Lorsque vous appliquez des packages d'approvisionnement à partir d'un média amovible connecté à l'appareil, l'interface utilisateur Paramètres vous permet de visualiser le contenu d'un package avant de sélectionner ce package pour l'approvisionnement. Pour réduire les risques que l'appareil soit inondé de courriers indésirables par l'application de packages d'approvisionnement issus de sources inconnues, un package d'approvisionnement peut être signé et chiffré. Les partenaires peuvent également définir des stratégies pour limiter l'application de packages d'approvisionnement au moment de l'exécution des appareils. L'application de packages d'approvisionnement lors de l'exécution des appareils requiert un privilège administrateur. Si le package n'est pas signé ni approuvé, un utilisateur doit donner son consentement pour que le package soit appliqué à l'appareil. Si le package est chiffré, il doit être déchiffré à l'aide d'un mot de passe valide avant d'être appliqué à l'appareil.

Lorsque vous appliquez plusieurs packages d'approvisionnement à un appareil, le moteur d'approvisionnement résout les paramètres de ces packages qui présentent des valeurs de configuration conflictuelles en évaluant le rang des packages grâce à la combinaison du type de propriétaire de package et du rang de package qui sont définis dans les métadonnées de package. La valeur finale mise en œuvre sur l'appareil correspondra au paramètre de configuration appliqué à partir du package d'approvisionnement présentant le rang de package le plus élevé.

Une fois qu'un package d'approvisionnement autonome a été appliqué à l'appareil, le package est conservé dans le dossier %ProgramData%\Microsoft\Provisioning de l'appareil. Les packages d'approvisionnement peuvent être supprimés par un administrateur à l'aide de l'option Ajouter ou supprimer un package d'approvisionnement disponible sous Paramètres>Comptes>Accès Professionnel ou Scolaire.