Configurer des locataires pour Windows 365 Gouvernement

Le moyen le plus rapide d’utiliser Windows 365 consiste à utiliser AADJ, des images de galerie et l’option Microsoft Hosted Network. Les instructions de cette page sont uniquement si vous devez utiliser l’une ou l’autre des deux :

• Images personnalisées. Windows 365 fournit des images de galerie optimisées, y compris des images avec des applications Microsoft 365 préinstallées. Une fois l’image de galerie déployée, Intune peut être utilisé pour personnaliser davantage les paramètres courants et le déploiement d’applications. Si vous devez utiliser votre image personnalisée existante, pour plus d’informations, consultez Ajouter une image personnalisée.
• Azure Network Connections (ANC). Les ANC vous permettent de provisionner des PC cloud qui sont attachés à un réseau virtuel que vous gérez. Les exemples incluent :
  • Azure Réseau virtuel (VNet).
  • Azure passerelle VPN ou une connexion dédiée via ExpressRoute.
  • Autres ressources Azure, y compris les ressources de PC cloud.
• Pour plus d’informations, consultez Créer une connexion réseau Azure.

Pour les clients cloud de la communauté du secteur public (GCC) uniquement, les instructions suivantes permettent à Intune de s’exécuter dans Azure pour gérer les PC cloud s’exécutant dans Azure Government régions.

Remarque

• Vous n’avez pas besoin d’un abonnement Azure Government pour utiliser Windows 365 Gouvernement. Ces instructions s’appliquent spécifiquement à GCC et uniquement si des images personnalisées et/ou des Connections réseau Azure sont nécessaires. Les instructions de cette page ne s’appliquent pas à GCC High.
• Pour les clients du secteur public qui n’ont pas d’abonnement Azure Government ou qui nécessitent une intégration à Azure, envisagez d’utiliser Windows 365 Entreprise. Assurez-vous que cela répond à vos exigences de conformité. Windows 365 Entreprise est conforme à FedRAMP. Voir Windows 365 Description du service

Avant de commencer

Pour le mappage de locataire et l’octroi d’autorisations pour les images personnalisées et/ou la connexion à vos propres réseaux, vous avez besoin des éléments suivants :

• Un abonnement Azure Government.
• Informations d’identification d’un utilisateur qui a :
  • Rôle Administrateur général dans votre locataire Azure (se terminant par onmicrosoft.com).
• Informations d’identification d’un utilisateur qui a :
  • Rôle de propriétaire dans votre abonnement Azure Government, ET
  • Rôle Administrateur général dans votre locataire Azure Government (se terminant par onmicrosoft.us).
• Pour répondre aux exigences de licence.
• (Le cas échéant) Les informations suivantes pour appliquer des autorisations pour configurer la connexion réseau Azure. Le réseau virtuel et le sous-réseau doivent déjà exister.
  • ID d’abonnement.
  • Groupe de ressources
  • Réseau virtuel.
  • Sous-réseau.

Remarque

Bien que les PC cloud des utilisateurs du GCC soient hébergés et sécurisés dans le Azure Government cloud, les points de terminaison pour les administrateurs et les utilisateurs finaux se trouvent dans le domaine Azure commercial. Les utilisateurs se connectent aux PC cloud à l’aide d’informations d’identification synchronisées avec Microsoft Entra ID.

Microsoft Entra options

Si vous souhaitez utiliser Microsoft Entra jointure ou Microsoft Entra jointure hybride, tenez compte des préparations suivantes :

Microsoft Entra pc cloud joints : si vous souhaitez utiliser une infrastructure de jointure Microsoft Entra et votre propre réseau, vous avez besoin d’un locataire et d’un abonnement Azure dans le cloud Azure Government. Le locataire dans le domaine Azure .com doit être mappé au locataire dans le domaine Azure Government (.us).

Pc cloud hybrides Microsoft Entra joints : si vous souhaitez utiliser une infrastructure de jointure hybride Microsoft Entra, vous devez configurer votre locataire commercial (.com) et vos locataires gouvernementaux (.us) avant de créer vos réseaux virtuels Azure.

Préparation de Windows 365'outil d’installation gcc

Pour que l’outil d’installation Windows 365 GCC termine le mappage du locataire, l’application Windows 365 Microsoft Entra doit être autorisée à accéder à votre locataire AZURE GOVERNMENT AD par le biais d’un principal de service. L’objet principal de service définit ce que l’application peut faire dans le locataire, qui peut accéder à l’application et les ressources auxquelles l’application peut accéder. Avant d’exécuter l’outil d’installation Windows 365 GCC la première fois, vous devez effectuer les opérations suivantes :

1. Si ce n’est pas déjà fait, installez Azure CLI sur l’ordinateur sur lequel vous allez créer le principal de service. Pour plus d’informations, consultez Installation d’Azure CLI.
2. Connectez-vous à votre locataire Azure Government AD à l’aide des étapes Azure CLI définies dans Se connecter avec Azure CLI. Les autorisations d’administrateur général sont requises pour créer le principal de service pour l’application Windows 365.
3. Pour plus d’informations sur l’utilisation des principaux de service dans Azure, consultez Utiliser le principal de service Azure à l’aide d’Azure CLI. Accordez les autorisations d’application Windows 365 Microsoft Entra à votre locataire en exécutant la commande PowerShell suivante : az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5.
4. Une fois la commande terminée, vous devriez être en mesure d’afficher des détails sur le principal de service en exécutant la commande PowerShell suivante : az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5. Vous devez voir l’application Windows 365 répertoriée dans la vue Toutes les applications du panneau Application d’entreprise de Portail Azure.

Le principal app service Windows 365 peut uniquement accéder aux ressources Azure nécessaires à la configuration de l’image personnalisée et à la prise en charge de la connexion réseau Azure (ANC) dans Windows 365. Une fois créé, le principal de service ne peut être supprimé que lorsque les images personnalisées, les objets ANC et les PC cloud correspondants qui les utilisent ont été déprovisionnés. Dans le cas contraire, les tâches d’approvisionnement de PC cloud risquent d’échouer et les PC cloud existants risquent de devenir inaccessibles.

Prise en main de l’outil d’installation Windows 365 GCC

Suivez ces étapes pour configurer le mappage de locataire à l’aide de l’outil d’installation Windows 365 GCC.

1. Lancez le GCCSetupTool.exe. Cet outil est disponible à l’adresse https://aka.ms/gccsetuptool.
2. Dans la page Prise en main , sélectionnez Suivant.
3. Connectez-vous avec votre compte Azure. Ce compte doit disposer d’autorisations d’administrateur général.
4. Confirmez que vous souhaitez continuer avec votre compte > commercial Suivant.
5. Connectez-vous avec votre compte > Azure Government Suivant>, tapez vos informations d’identification.
6. Confirmez que vous souhaitez continuer avec votre compte > gouvernemental Suivant.
7. Dans l’écran Sélectionner la fonctionnalité pour activer , vérifiez que Images personnalisées est sélectionnée. Cette option est sélectionnée par défaut, car il n’y a aucune raison d’exécuter l’outil d’installation Windows 365 GCC, sauf si vous avez besoin d’au moins l’une de ces fonctionnalités ci-dessous.

   Remarque

   ANC inclut les autorisations pour les images personnalisées.

8. Sélectionnez Connexions réseau Azure , puis sélectionnez l’abonnement, le réseau virtuel et le sous-réseau que vous souhaitez configurer. Sélectionnez Suivant.
9. Dans la page Vérifier les paramètres , passez en revue les sélections que vous avez effectuées, puis sélectionnez Accorder.
10. Une fois l’installation terminée, vous pouvez fermer l’outil.

Résolution des problèmes

Si vous rencontrez des problèmes lors de l’exécution de l’outil d’installation Windows 365 GCC :

1. Dans le dossier où le GCCSetupTool.exe est exécuté, accédez au dossier Journal et examinez le GCCAdminTool.log fichier.
2. Si vous continuez à rencontrer des problèmes, contactez le support technique et fournissez le fichier GCCADminTool.log.

Utilisation ultérieure de l’outil d’installation gcc

L’outil d’installation Windows 365 GCC peut être réexécuté après l’installation initiale. Vous pouvez utiliser à nouveau l’outil d’installation de GCC si vous :

• N’a pas configuré les ANC avant, ou
• Vous souhaitez étendre l’utilisation des ANC à d’autres réseaux.

Alternative de script

Comme alternative à l’utilisation de l’outil d’installation de GCC pour configurer ANC, vous pouvez également utiliser le script suivant pour configurer des autorisations pour d’autres ANC.

Remarque

Le mappage de locataire doit réussir avant de poursuivre le script pour configurer les ANC.

connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1

1. Si vous n’avez pas configuré Cloud Shell (compte de stockage Azure requis), vous avez deux options pour exécuter le script :
   • Sélectionnez Copier sur le script, puis exécutez le script PowerShell localement sur votre ordinateur.
   • Sélectionnez Ouvrir Cloudshell> collez le script dans la session > Cloud Shell de votre abonnement Azure Government exécutez le script.
2. Après avoir exécuté le script, à l’invite, sélectionnez l’option 2. Cette option configure les autorisations pour l’ANC.
3. Dans la liste des abonnements Azure Government, sélectionnez l’abonnement auquel vous souhaitez accorder des autorisations.
4. Dans la liste des groupes de ressources, sélectionnez le groupe de ressources que vous souhaitez utiliser.
5. Sélectionnez votre réseau virtuel.
6. Le script accorde des autorisations et répertorie ce qui a été configuré.

Étapes suivantes

En savoir plus sur Windows 365 Gouvernement.