Conseils pour le déploiement de Applications Microsoft 365 pour les grandes entreprises dans un environnement GCC High ou DoD

  • Article

Si vous envisagez de déployer Applications Microsoft 365 pour les grandes entreprises dans un environnement GCC High ou DoD, vous devez prendre en compte certaines considérations spéciales pour vous aider à répondre à vos exigences de conformité.

Quelle version de Applications Microsoft 365 pour les grandes entreprises déployer

Importante

Pour répondre aux exigences de conformité GCC High et DoD, vous devez exécuter au moins la version 1803 de Applications Microsoft 365 pour les grandes entreprises.

La version 1803 ou ultérieure est disponible dans le canal actuel, le canal Entreprise mensuel, Semi-Annual canal Entreprise (préversion) et Semi-Annual canal Entreprise.

Qu’en est-il des autres applications, telles que Project et Visio ?

Vous pouvez déployer les versions d’abonnement des applications de bureau Project et Visio dans un environnement GCC High ou DoD, mais elles doivent être au moins version 1803. Toutes les configurations ou paramètres mentionnés pour Applications Microsoft 365 pour les grandes entreprises s’appliquent également aux versions d’abonnement des applications de bureau Project et Visio.

Outlook pour iOS et Android est également disponible pour les environnements GCC High ou DoD. Pour plus d’informations, lisez ce billet de blog tech community.

Importante

Pour Teams, vous devez actuellement exclure l’installation de Teams lorsque vous installez Applications Microsoft 365 pour les grandes entreprises. Au lieu de cela, vous devez installer Teams à l’aide du programme d’installation msi distinct. À l’avenir, vous serez en mesure d’installer Teams avec Applications Microsoft 365 pour les grandes entreprises sans avoir à utiliser le programme d’installation distinct basé sur MSI.

Quel canal de mise à jour de Applications Microsoft 365 pour les grandes entreprises utiliser

Nous recommandons le canal actuel, car il fournit à vos utilisateurs les fonctionnalités Office les plus récentes dès qu’ils sont prêts. Si vous avez besoin d’une prévisibilité supplémentaire du moment où ces nouvelles fonctionnalités Office sont publiées chaque mois, nous vous recommandons le canal Entreprise mensuel. Dans les cas où vous avez sélectionné des appareils qui nécessitent des tests approfondis avant de recevoir de nouvelles fonctionnalités, nous vous recommandons d'Semi-Annual Canal Entreprise.

Pour plus d’informations, consultez Vue d’ensemble des canaux de mise à jour pour Microsoft 365 Apps.

Où installer Applications Microsoft 365 pour les grandes entreprises et où obtenir les mises à jour

Si la connectivité réseau et d’autres considérations basées sur les exigences de votre organisation ne sont pas un problème, vous pouvez choisir de déployer Applications Microsoft 365 pour les grandes entreprises directement à partir du réseau de distribution de contenu (CDN) Office sur Internet. Vous pouvez également configurer Applications Microsoft 365 pour les grandes entreprises pour recevoir automatiquement les mises à jour à partir du CDN Office. Cette configuration nécessite le moins d’efforts administratifs et constitue un moyen simple de maintenir Applications Microsoft 365 pour les grandes entreprises à jour.

Si vous ne souhaitez pas installer d’ordinateurs avec Applications Microsoft 365 pour les grandes entreprises se connecter au CDN Office et au service Gestion des appareils pour obtenir des mises à jour, vous devez configurer Applications Microsoft 365 pour les grandes entreprises être installé et mis à jour à partir d’un dossier partagé à partir de votre réseau interne. Vous aurez toujours besoin d’au moins un ordinateur pour avoir accès au CDN Office pour pouvoir télécharger des Applications Microsoft 365 pour les grandes entreprises et des mises à jour pour Applications Microsoft 365 pour les grandes entreprises vers le dossier partagé sur votre réseau interne. En outre, les ordinateurs installés avec Applications Microsoft 365 pour les grandes entreprises nécessitent toujours une connectivité Internet pour rester activés.

N’oubliez pas que l’installation et la mise à jour d’Applications Microsoft 365 pour les grandes entreprises à partir d’un dossier partagé sur votre réseau local nécessitent plus d’efforts administratifs et plus d’espace disque. Par exemple, vous devez suivre quand les nouvelles builds de Applications Microsoft 365 pour les grandes entreprises sont disponibles, puis télécharger la version mise à jour de Applications Microsoft 365 pour les grandes entreprises sur votre réseau. Les fichiers de base pour Applications Microsoft 365 pour les grandes entreprises sont d’au moins 1,6 Go et d’au moins 250 Mo pour chaque langue déployée.

Si Applications Microsoft 365 pour les grandes entreprises est mis à jour directement à partir du CDN Office, la quantité de trafic réseau vers chaque ordinateur est inférieure, car seuls les fichiers modifiés doivent être téléchargés. La taille de ces mises à jour peut varier de 50 Mo à 300 Mo. Ces estimations sont basées sur les données historiques de la dernière année ou environ des mises à jour.

Quels outils utiliser pour déployer Applications Microsoft 365 pour les grandes entreprises

Il n’existe aucune aide spéciale sur les outils que vous pouvez utiliser pour déployer Applications Microsoft 365 pour les grandes entreprises dans les environnements GCC High ou DoD.

Pour déployer Applications Microsoft 365 pour les grandes entreprises, vous pouvez utiliser l’outil Déploiement d’Office avec un fichier configuration.xml. L’outil Déploiement d’Office étant un outil en ligne de commande, il peut être utilisé avec des scripts ou des fichiers de commandes. Le fichier configuration.xml contient les paramètres de l’installation. Par exemple, d’où installer Applications Microsoft 365 pour les grandes entreprises, s’il faut installer la version 32 bits ou 64 bits, quelles langues installer et où Applications Microsoft 365 pour les grandes entreprises devez vous connecter pour obtenir les mises à jour. Pour plus d’informations sur l’outil déploiement d’Office et le fichier configuration.xml, voir Vue d’ensemble de l’outil déploiement d’Office et des options de configuration pour l’outil déploiement d’Office.

Vous pouvez également utiliser des outils de déploiement de logiciels d’entreprise, tels que Microsoft Configuration Manager, pour déployer Applications Microsoft 365 pour les grandes entreprises. Pour plus d’informations sur l’utilisation de Configuration Manager, consultez Déployer avec Configuration Manager (Current Branch).

Remarque

Si vous disposez d’un antivirus ou d’un autre logiciel endpoint Protection configuré pour empêcher les installations ou les écritures de données sur vos appareils, nous vous recommandons d’effectuer une mise à jour vers la version la plus récente de ce logiciel, si possible. Dans certains cas, vous devrez peut-être configurer une exception pour le processus de OfficeClickToRun.exe afin que l’installation se termine correctement.

Exemples de fichiers configuration.xml

Pour plus d’informations sur les paramètres disponibles dans le fichier configuration.xml, voir Options de configuration de l’outil Déploiement d’Office.

Installation et mise à jour des Applications Microsoft 365 pour les grandes entreprises à partir du CDN Office

Voici un exemple de fichier configuration.xml à utiliser avec l’outil Déploiement d’Office pour installer Applications Microsoft 365 pour les grandes entreprises sur le canal actuel à partir du CDN Office. Applications Microsoft 365 pour les grandes entreprises seront également mis à jour automatiquement directement à partir du CDN Office.

<Configuration> 
   <Add OfficeClientEdition="64" Channel="Current">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE"  Channel="Current" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

Installation et mise à jour Applications Microsoft 365 pour les grandes entreprises à partir d’un dossier partagé sur le réseau local

Voici un exemple de fichier configuration.xml à utiliser avec l’outil Déploiement d’Office pour installer Applications Microsoft 365 pour les grandes entreprises sur Semi-Annual canal Entreprise à partir d’un dossier partagé sur votre réseau local. Mises à jour à Applications Microsoft 365 pour les grandes entreprises provient également d’un dossier partagé sur votre réseau local.

Remarque

Pour supprimer la charge administrative liée à la gestion des dossiers partagés pour les mises à jour, nous vous recommandons de configurer Applications Microsoft 365 pour les grandes entreprises pour obtenir les mises à jour directement à partir du CDN Office sur Internet si possible. Si l’utilisation du CDN Office n’est pas une option, nous vous recommandons ensuite d’utiliser Configuration Manager pour gérer les mises à jour.

<Configuration> 
   <Add SourcePath="\\Server\Share\Installs"  OfficeClientEdition="64" Channel="SemiAnnual">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE" UpdatePath="\\Server\Share\Updates" Channel="SemiAnnual" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

Configurer s’il faut envoyer des données de télémétrie à Microsoft

Les applications Office envoient régulièrement des données de télémétrie à Microsoft pour aider Microsoft à comprendre comment améliorer le produit. Dans les environnements hautement réglementés, vous pouvez choisir d’empêcher l’envoi de données de télémétrie à Microsoft.

Aucune autre configuration n’est nécessaire pour empêcher Applications Microsoft 365 pour les grandes entreprises ou les applications Office sur Android d’envoyer des données de télémétrie à Microsoft. Dans les deux cas, les applications peuvent reconnaître qu’elles se trouvent dans un environnement GCC High ou DoD et empêchent automatiquement les données de télémétrie d’être envoyées à Microsoft.

Pour les autres applications Office telles que Office pour Mac et les applications Office sur iOS, une configuration supplémentaire est nécessaire pour empêcher l’envoi de données de télémétrie à Microsoft. Pour plus d’informations, consultez les sections suivantes.

Désactiver l’envoi de données de télémétrie à Microsoft à partir de Skype Entreprise client

Pour empêcher Skype Entreprise client d’envoyer des données de télémétrie à Microsoft, modifiez le Registre et ajoutez la valeur TelemetryTier à la clé HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync. Le type de TelemetryTier est REG_DWORD et la valeur doit être définie sur 0.

Pour plus d’informations, consultez pratiques de collecte de données Skype Entreprise et Microsoft Teams.

Désactivez l’envoi de données de télémétrie à Microsoft à partir de Office pour Mac

Office pour Mac renvoie des informations de télémétrie à Microsoft à intervalles réguliers. Les données sont chargées sur le point de terminaison « Nexus ». Les données de télémétrie aident l’équipe d’ingénierie à évaluer l’intégrité et les comportements inattendus de chaque application Office. Il existe deux catégories de données de télémétrie :

  • Pulsation contient des informations sur la version et la licence. Ces données sont envoyées immédiatement au lancement de l’application.
  • Utilisation contient des informations sur la façon dont les applications sont utilisées et les erreurs non irrécupérables. Ces données sont envoyées toutes les 60 minutes.

Pour empêcher Office pour Mac d’envoyer des données de télémétrie à Microsoft, vous pouvez définir les préférences SendAllTelemetryEnabled et SendCriticalTelemetryEnabled sur « FALSE ».

Importante

Vous devez utiliser au moins la version 16.11 de Office pour Mac.

Les préférences sont par application et peuvent être définies via les profils de configuration macOS ou manuellement à partir du terminal, comme illustré dans l’exemple suivant.

defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Excel SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Powerpoint SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Outlook SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.onenote.mac SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.autoupdate2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Excel SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Powerpoint SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Outlook SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.onenote.mac SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.autoupdate2 SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendCriticalTelemetryEnabled  -bool FALSE

Désactiver l’envoi de données de télémétrie à Microsoft à partir d’applications Office sur iOS

Pour empêcher les applications Office sur iOS d’envoyer des données de télémétrie à Microsoft, définissez les préférences SendAllTelemetryEnabled et SendCriticalTelemetryEnabled sur « false ». Les préférences sont par application et peuvent être définies à l’aide de Microsoft Intune. Pour plus d’informations, consultez Ajouter des politiques de configuration d'application pour les appareils iOS gérés.

Importante

Vous devez utiliser au moins la version 2.11 d’Office sur iOS.

Définissez ce qui suit pour chaque clé et chaque valeur dans la configuration :

  • Clé de configuration = SendAllTelemetryEnabled
  • Type de valeur = Boolean
  • Valeur de configuration = false

et

  • Clé de configuration = SendCriticalTelemetryEnabled
  • Type de valeur = Boolean
  • Valeur de configuration = false

Paramètres supplémentaires à configurer

Outre les paramètres de données de télémétrie, vous pouvez choisir de configurer d’autres paramètres en fonction de vos exigences de conformité. La plupart de ces paramètres sont configurés en apportant des modifications au Registre. Pour déployer des modifications de Registre sur plusieurs ordinateurs ou utilisateurs, vous pouvez utiliser des fichiers de commandes, des scripts de connexion, des stratégie de groupe, des Configuration Manager, PowerShell ou d’autres outils de script et de déploiement.

Vérifier que l’authentification moderne est activée

L’authentification moderne doit être activée pour être conforme. L’authentification moderne est activée par défaut pour les services Office 365 et dans Applications Microsoft 365 pour les grandes entreprises. Sauf si vous avez intentionnellement désactivé l’authentification moderne, aucune action n’est requise. Pour plus d’informations, voir Fonctionnement de l’authentification moderne pour les applications clientes Office 2013, Office 2016 et Office 2019.

Désactiver Rapport d'erreurs Windows

Pour désactiver Rapport d'erreurs Windows (Watson), modifiez le Registre et, sous la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting, définissez la valeur Disabled sur 1. Le type de la valeur Disabled est REG_DWORD.

Configurer le comportement d’Outlook sur Applications Microsoft 365 pour les grandes entreprises

Les valeurs de Registre suivantes doivent être définies pour configurer correctement le comportement d’Outlook sur Applications Microsoft 365 pour les grandes entreprises. Le type de ces valeurs de Registre est REG_DWORD et les valeurs doivent être définies sur 1.

Emplacement du Registre : HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover\EnableOffice365ConfigService
Description: Ce paramètre de Registre est nécessaire pour que les paramètres de boîte aux lettres appropriés puissent être récupérés dans cet environnement spécifique sans appeler un service mondial pour récupérer les paramètres de boîte aux lettres. Si vous utilisez la version 1805 ou ultérieure de Applications Microsoft 365 pour les grandes entreprises, vous n’avez pas besoin de définir ce paramètre de Registre.

Emplacement du Registre : HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableAccountSettingsDetectionService
Description: Ce paramètre de Registre désactive l’appel d’un service mondial qui permet d’obtenir des informations de compte pour POP, IMAP et d’autres protocoles basés sur l’adresse e-mail. Étant donné que ce service sera désactivé par cette clé, les comptes personnels devront être configurés manuellement.

Emplacement du Registre : HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisablePreviewPlace
Description: Ce paramètre de Registre désactive la fonctionnalité Bientôt disponible, qui fournit aux utilisateurs des informations sur les fonctionnalités à venir et permet aux utilisateurs d’essayer ces fonctionnalités et de fournir des commentaires. Coming Soon est disponible dans la version 1806 ou ultérieure de Applications Microsoft 365 pour les grandes entreprises.

Les valeurs de Registre suivantes sont facultatives. Le type de ces valeurs de Registre est REG_DWORD et les valeurs doivent être définies sur 1.

Emplacement du Registre : HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableGuessSmart
Description: Ce paramètre de Registre désactive les tentatives de configuration des comptes IMAP et POP via différents ports connus.

Emplacement du Registre : HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisableOutlookMobileHyperlink
Description: Ce paramètre de Registre supprime l’option de configuration d’Outlook sur un appareil mobile à la suite d’un compte correctement configuré dans Outlook Desktop.

En outre, si des compléments Office sont créés et utilisés dans des applications non Outlook, ces applications doivent savoir où la boîte aux lettres de l’utilisateur est configurée. Microsoft effectue uniquement les étapes 6 et 7 du processus de découverte automatique . Cela signifie que vous devez avoir une URL qui existe dans l’un des emplacements suivants : https://<contoso.com>.autodiscover/autodiscover.xml ou https://autodiscover.<contoso.com>/autodiscover/autodiscover.xml. Ensuite, vous devez rediriger vers https://autodiscover-s-dod.office365.us/autodiscover/autodiscover.xml. Ce processus sera automatique dans les versions ultérieures.

Éléments à prendre en compte

Une diligence raisonnable a été effectuée pour passer en revue les services cloud connectés aux fonctionnalités dans Applications Microsoft 365 pour les grandes entreprises. Nous avons constaté que ces processus ne sont pas une preuve de défaillance et nous avons créé le tableau suivant pour capturer tous les cas de périphérie qui n’ont pas été capturés initialement avant la mise en production initiale. Nous allons utiliser cette table pour pouvoir communiquer la recherche, tout risque potentiel et l’atténuation de cette augmentation de l’étendue. Les services de cette table seront correctement désactivés dans les 30 jours.

Application Fonctionnalité Action d'amélioration
Excel Cartes Cette fonctionnalité a été désactivée à partir de ces versions :

- Version 1804 (build 9226.2126) du canal actuel
- Version 1803 (build 9126.2191) de Semi-Annual Canal Entreprise (préversion)
- Version 1803 (build 9126.2259) de Semi-Annual Canal Entreprise

Si vous utilisez une version antérieure d’Excel, n’utilisez pas cette fonctionnalité.

Informations de référence

Réseau de distribution de contenu (CDN) Office

Les logiciels permettant d’installer et de mettre à jour Applications Microsoft 365 pour les grandes entreprises sont disponibles sur le réseau de distribution de contenu (CDN) Office sur Internet. Le service Démarrer en un clic, qui gère les installations et les mises à jour de Applications Microsoft 365 pour les grandes entreprises, effectue des appels au CDN Office, qui est hébergé par Akamai.

Office 365 a conclu un protocole d’accord avec Akamai dans le cadre du package d’accréditation Office 365 et Akami dispose d’une accréditation fedRAMP modérée. Pour assurer la disponibilité, le service Démarrer en un clic peut basculer vers une instance mondiale d’Azure Front Door, qui dispose également d’une accréditation fedRAMP modérée.

service Gestion des appareils

Pour les installations de Applications Microsoft 365 pour les grandes entreprises configurées pour obtenir automatiquement des mises à jour à partir du CDN Office, Microsoft utilise le service Gestion des appareils (DMS) pour appliquer la configuration de mise en production à des appareils individuels en fonction de leur configuration spécifique. Par exemple, la version du système d’exploitation sur laquelle Office est installé, si la version 32 bits ou 64 bits d’Office est installée, et quelle langue d’Office est installée.

Le service Démarrer en un clic contacte DMS pour rechercher les mises à jour et obtient une réponse JSON lui indiquant si une nouvelle build est disponible en téléchargement. Aucune des données transmises par le service Démarrer en un clic n’est stockée par le service DMS. Les données sont simplement utilisées comme critères de filtrage pour déterminer les informations de build qui doivent être fournies à l’élément Démarrer en un clic pour mettre à jour Applications Microsoft 365 pour les grandes entreprises.

Le service DMS ne traite, ne stocke ni ne transmet d’informations d’identification personnelle ni de contenu client.

Pour plus d’informations sur les environnements GCC High et DoD fournis par Microsoft, consultez les descriptions de service suivantes :

Pour obtenir des conseils de déploiement généraux sur Applications Microsoft 365 pour les grandes entreprises, consultez les articles suivants :

Pour plus d’informations sur la mise en réseau, consultez les articles suivants :