Avec l’arrivée de Windows 10, Microsoft proposait une nouvelle approche visant à provisionner les machines. Le but est de ne pas redéployer une image de référence et ainsi de s’affranchir de son maintien et de la gestion des drivers associés. Ceci a plusieurs bénéfices notamment avec le cycle de vie rapide de Windows 10 qui requiert de l’agilité. En outre, il permet considérablement de réduire les coûts puisqu’on s’affranchit du déploiement avec un système et des drivers à jour proposés par le fabricant OEM. Ainsi, on peut faire livrer la machine directement à l’utilisateur qui s’enregistre dans la solution d’administration afin de venir provisionner l’ensemble des éléments nécessaires à l’accès aux ressources de l’entreprise.
La principale problématique réside dans le fait que les machines livrées par les fabricants OEM, disposent d’une série d’applications. Si vous prenez des machines du grand public, on retrouve des logiciels sponsorisés (Antivirus, outil de sauvegarde, etc.). Lorsque vous prenez des fabricants avec des séries professionnels, le nombre d’applications est limitées (logiciels éditeurs, etc.) mais toujours bien présentes. Certains fabricants (Dell, Lenovo, HP) proposent un programme Signature qui permet l’achat de machine avec l’image par défaut de Windows 10. Ce programme très intéressant se paye néanmoins.
L’usage du scénario de provisionnement et des méthodes de gestion moderne avec les packages de provisionneIment ou des produits d’administration modernes (tels que Microsoft Intune) demandait de vivre avec ces surcouches ou de scripter l’ensemble des désinstallations. Ceci n’était pas sans limitation et limité donc la solution à un périmètre de périphérique bien défini.
A partir de Windows 10 1703 (Creators Update), Microsoft a intégré un Configuration Service Provider (CSP) permettant d’initier un nettoyage des applications préinstallées sur le système. Ceci permet considérablement d’améliorer le scénario de provisionnement décrit précédemment.
Il existe plusieurs méthodes permettant d’enclancher ce mécanisme :
- Manuellement en mode de démarrage avancé, l’utilisateur peut alors lancer le nettoyage de la machine.
- Via l’exécution de la méthode adéquate sur le CSP lorsque l’ordinateur est géré de manière moderne (MDM).
- Via l’utilisation d’un package de provisionnement créé avec Windows Configuration Designer.
Cet article s’attache à détailler les deux dernières méthodes et l’expérience utilisateur associée.
Prenons une machine (HP dans cet exemple) fraichement sortie du carton après réception du fabricant. On retrouve tous les outils du fabricant ainsi que certains logiciels préinstallés (comme la suite Office).
Utilisation de Windows Configuration Designer
Commencez par vous procurer l’outil Windows Configuration Designer. Ce dernier peut être téléchargé à partir du Windows Store si vous utilisez une version anglaise du système d’exploitation ou pour les autres langues à partir de l’ADK Windows 10 (version 1703 ou plus).
Lancez l’outil et procéder à la création d’un package de provisionnement avec le scénario Advanced Provisioning. Renseignez le nom d’un projet et sélectionnez le mode de configuration All Windows desktop editions.
Dans la partie Available customizations, naviguez dans Runtime settings – CleanPC. Vous pouvez aussi directement chercher le mot clé clean. Vous retrouvez alors deux options :
- CleanPCRetainingUserData permet de lancer le nettoyage des applications tout en gardant les applications.
- CleanPCWithoutRetainingUserData permet de lancer le nettoyage des applications sans garder les applications.
Activez un des deux paramétrages et procédez à l’export du package.
Bien entendu, vous pouvez compléter le package avec d’autres configurations (jointure à AAD ou AD, etc.)
Note : On retrouve le paramétrage via les assistants prédéfinis Provision desktop devices et plus particulièrement dans la première page Set up devices puis Remove pre-installed software. L’utilisation de ce mode n’offre que le scénario de nettoyage sans garder les données utilisateurs.
Expérience Utilisateur
Vous pouvez ensuite communiquer le package de provisionnement généré à un technicien ou à l’utilisateur final pour qu’il le charge directement sur la machine fraichement démarrée.
La machine redémarre ensuite et une procédure de réinitialisation s’exécute pendant une vingtaine de minutes.
Utilisation de Microsoft Intune
Pour accéder à la fonctionnalité, la machine doit bien entendu être gérée avec Microsoft Intune. Vous devez ouvrir le portail d'administration Microsoft Intune dans Azure et naviguez dans Devices - All Devices.
Sélectionnez le périphérique puis dans la partie Overview, faites More et choisissez Fresh Start.
Expérience utilisateur finale
A l’issue du démarrage, on retrouve un système nettoyé :
Un fichier est généré sur le bureau pour lister les applications qui ont été retirées par le processus.