Déployer Windows To Go dans votre organisation

S’applique à

  • Windows10

Cette rubrique vous aide à déployer WindowsToGo dans votre organisation. Avant de commencer le déploiement, n'oubliez pas de consulter les rubriques WindowsToGo: vue d’ensemble des fonctionnalités et Préparer votre organisation pour Windows To Go afin de vous assurer que vous disposez du matériel adapté et que vous êtes prêt à exécuter le déploiement. Vous pouvez ensuite utiliser les étapes décrites dans cette rubrique pour commencer votre déploiement de WindowsToGo.

Important

Windows to Go n’est plus en cours de développement. Cette fonctionnalité ne prend pas en charge les mises à jour de fonctionnalités et ne vous permet donc pas de rester à jour. Il nécessite également un type spécifique de bus USB qui n’est plus pris en charge par de nombreux OEM.

Conseils de déploiement

Voici une liste d’éléments à prendre en compte avant de commencer le processus de déploiement:

  • Utilisez uniquement les pilotes USB recommandés pour Windows to go. L’utilisation d’autres lecteurs n’est pas prise en charge. Consultez la liste sur Windows to Go: vue d’ensemble des fonctionnalités pour les derniers lecteurs USB certifiés pour une utilisation en tant que lecteurs Windows to go.

  • Après avoir configuré un nouvel espace de travail, vous pouvez toujours éjecter un lecteur Windows to Go en utilisant en toute sécurité le matériel de suppression et d’éjection de média figurant dans la zone de notification ou dans l’Explorateur Windows. Le fait de supprimer le lecteur du port USB sans le Ejecter peut entraîner la corruption de celui-ci.

  • Lors de l’exécution d’un espace de travail Windows to Go, arrêtez toujours l’espace de travail avant de déconnecter le lecteur.

  • System Center 2012 Configuration Manager SP1 et version ultérieure inclut la prise en charge de l’auto-attribution de pilotes Windows to Go aux utilisateurs. Vous pouvez télécharger Configuration Manager à des fins d’évaluation à partir du Centre d’évaluation Microsoft TechNet. Pour plus d’informations sur cette option de déploiement, voir Comment configurer Windows to Go dans Configuration Manager.

  • Si vous envisagez d’utiliser un réplicateur de lecteurs USB pour dupliquer les lecteurs Windows to Go, ne configurez pas l’accès au domaine hors connexion ou BitLocker sur le lecteur.

Étapes de déploiement de base

À moins que vous n’utilisiez une image de système d’exploitation personnalisée, votre espace de travail Windows to Go initial ne sera pas joint au domaine et ne contiendra pas d’applications. C’est exactement comme une nouvelle installation de Windows sur un ordinateur portable ou de bureau. Lors de la planification de votre déploiement, vous devez développer des méthodes permettant de joindre des lecteurs Windows to Go au domaine et d’installer les applications standard nécessaires aux utilisateurs de votre organisation. Ces méthodes seront probablement similaires à celles utilisées pour configurer des ordinateurs portables et de bureau avec des privilèges et applications de domaine. Cette section décrit les instructions permettant de créer la mise en page du disque appropriée sur le lecteur USB, en appliquant l’image du système d’exploitation et les configurations de base de Windows to Go spécifiques. Les étapes suivantes sont utilisées dans les scénarios de déploiement Windows to Go à grande échelle et à grande échelle.

Cette procédure vous permet d’obtenir un lecteur Windows to Go générique qui peut être distribué aux utilisateurs et personnalisé en fonction de leur utilisation selon les besoins. Ce lecteur est également approprié pour une utilisation avec des duplicateurs de disques USB. Vos scénarios de déploiement spécifiques n’impliquent pas seulement ces étapes de base, mais ces considérations de déploiement supplémentaires sont similaires à celles du déploiement de PC traditionnel et peuvent être intégrées à votre plan de déploiement Windows to go. Pour plus d’informations, voir options de déploiement Windows.

Avertissement

Si vous envisagez d’utiliser le lecteur Windows to Go générique en tant que lecteur maître dans un réplicateur USB, le lecteur ne doit pas être démarré. Si le lecteur a été amorcé par inadvertance, il devrait être reconfiguré avant la duplication.

Créer l’espace de travail Windows to Go

Au cours de cette étape, nous allons créer l’image du système d’exploitation qui sera utilisée sur les lecteurs Windows to go. Vous pouvez utiliser l’Assistant Création de Windows to Go ou vous pouvez effectuer cette opération manuellement à l’aide d’une combinaison de Windows PowerShell et de l’outil de ligne de commande.

Avertissement

La méthode recommandée pour créer un lecteur Windows to Go unique consiste à utiliser l’Assistant Création de Windows to Go inclus dans Windows 10 entreprise et Windows 10 éducation.

Pour créer un espace de travail Windows to Go avec l’Assistant Création de Windows to Go

  1. Connectez-vous à votre PC Windows en utilisant un compte doté de privilèges administrateur.

  2. Insérez le lecteur USB que vous souhaitez utiliser comme lecteur Windows to Go sur votre PC.

  3. Vérifiez que l’emplacement du fichier. wim (qui peut s’agir d’un partage réseau, d’un DVD ou d’un lecteur USB) est accessible et qu’il contient une image Windows 10 entreprise ou Windows 10 éducation valide à l’aide de Sysprep. De nombreux environnements peuvent utiliser la même image pour les déploiements Windows to Go et de bureau.

    Notes

    Pour plus d’informations sur les fichiers. wim, voir les informations techniques de référence sur le Gestionnaire d’image Windows. Pour plus d’informations sur l’utilisation de Sysprep, voir vue d’ensemble de Sysprep.

  4. À l’aide de Cortana, recherchez Windows to Go , puis appuyez sur entrée. Si la boîte de dialogue contrôle de compte d’utilisateur s’affiche, confirmez que l’action affichée est telle que vous le souhaitez, puis cliquez sur Oui. L' Assistant Création de Windows to Go s’ouvre.

  5. Dans la page Choisissez le lecteur que vous souhaitez utiliser , sélectionnez le lecteur qui représente le lecteur USB que vous avez inséré précédemment, puis cliquez sur suivant.

  6. Dans la page choisir une image Windows , cliquez sur Ajouter un emplacement de recherche , puis accédez à l’emplacement du fichier. wim et cliquez sur Sélectionner un dossier. L’Assistant affiche les images installables présentes dans le dossier. Sélectionnez l’image Windows 10 entreprise ou Windows 10 éducation que vous souhaitez utiliser, puis cliquez sur suivant.

  7. Facultatif Sur la page définir un mot de passe BitLocker (facultatif) , vous pouvez sélectionner utiliser BitLocker avec mon espace de travail Windows to Go pour chiffrer votre lecteur Windows to go. Si vous ne souhaitez pas chiffrer le lecteur pour le moment, cliquez sur sauter. Si vous décidez d’ajouter la protection par BitLocker ultérieurement, voir activer la protection BitLocker pour votre lecteur Windows to Go pour obtenir des instructions. v

    Avertissement

    Si vous envisagez d’utiliser un réplicateur de périphériques USB pour créer plusieurs lecteurs Windows to Go, n’activez pas BitLocker. Les lecteurs protégés par BitLocker ne doivent pas être dupliqués.

    Si vous choisissez de chiffrer le lecteur Windows to Go, procédez comme suit:

    • Tapez un mot de passe de huit caractères au minimum et conforme à la politique de complexité des mots de passe de votre organisation. Ce mot de passe sera fourni avant le démarrage du système d’exploitation, de sorte que tout caractère que vous utiliserez doit être capable d’être interprété par le microprogramme. Certains microprogrammes ne prennent pas en charge les caractères non-ASCII.
    >[!IMPORTANT]
    >The BitLocker recovery password will be saved in the documents library of the computer used to create the workspace automatically. If your organization is using Active Directory Domain Services (AD DS) to store recovery passwords it will also be saved in AD DS under the computer account of the computer used to create the workspace. This password will be used only if you need to recover access to the drive because the BitLocker password specified in the previous step is not available, such as if a password is lost or forgotten. For more information about BitLocker and AD DS, see [Active Directory Domain Services considerations](https://go.microsoft.com/fwlink/p/?LinkId=619157).    
  1. Vérifiez que la clé USB insérée est celle que vous voulez utiliser pour Windows, puis cliquez sur créer pour démarrer le processus de création d’espace de travail Windows to go.

    Avertissement

    Le lecteur USB identifié sera reformaté dans le cadre du processus de mise en service de Windows to Go et toutes les données du lecteur seront effacées.

  2. Attendez la fin du processus de création, ce qui peut prendre entre 20 et 30 minutes. Une page de fin s’affiche lorsque votre espace de travail Windows to Go est prêt à l’emploi. À partir de la page de saisie semi-automatique, vous pouvez configurer les options de démarrage de Windows to Go pour configurer l’ordinateur actuel en tant qu’ordinateur hôte Windows to go.

Votre espace de travail Windows to Go est désormais prêt à être démarré. Vous pouvez maintenant préparer un ordinateur hôte à l’aide des options de démarrage de Windows to Go et démarrer votre lecteur Windows to go.

Commandes équivalentes Windows PowerShell

Les applets de commande Windows PowerShell suivantes exécutent la même fonction que la procédure précédente. Entrez chaque cmdlet sur une seule ligne, même si elles peuvent apparaître par mot dans plusieurs lignes en raison de contraintes de mise en forme. Cette procédure ne peut être utilisée que sur des PC exécutant Windows 10. Avant de commencer, assurez-vous que le lecteur USB que vous souhaitez mettre en service en tant que lecteur Windows to Go est connecté au PC.

  1. À l’aide de Cortana, recherchez PowerShell, cliquez avec le bouton droit sur Windows PowerShell, puis sélectionnez exécuter en tant qu’administrateur.

  2. Dans la session Windows PowerShell, tapez les commandes suivantes pour partitionner un disque MBR (Master Boot Record) pour une utilisation avec une partition système FAT32 et une partition de système d’exploitation au format NTFS. Cette disposition de disque peut prendre en charge des ordinateurs qui utilisent le microprogramme UEFI ou BIOS:

    # The following command will set $Disk to all USB drives with >20 GB of storage
    
    $Disk = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot }
    
    #Clear the disk. This will delete any data on the disk. (and will fail if the disk is not yet initialized. If that happens, simply continue with ‘New-Partition…) Validate that this is the correct disk that you want to completely erase.
    #
    # To skip the confirmation prompt, append –confirm:$False
    Clear-Disk –InputObject $Disk[0] -RemoveData
    
    # This command initializes a new MBR disk
    Initialize-Disk –InputObject $Disk[0] -PartitionStyle MBR
    
    # This command creates a 350 MB system partition
    $SystemPartition = New-Partition –InputObject $Disk[0] -Size (350MB) -IsActive
    
    # This formats the volume with a FAT32 Filesystem
    # To skip the confirmation dialog, append –Confirm:$False
    Format-Volume -NewFileSystemLabel "UFD-System" -FileSystem FAT32 `
    -Partition $SystemPartition
    
    # This command creates the Windows volume using the maximum space available on the drive. The Windows To Go drive should not be used for other file storage.
    $OSPartition = New-Partition –InputObject $Disk[0] -UseMaximumSize
    Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS `
    -Partition $OSPartition
    
    # This command assigns drive letters to the new drive, the drive letters chosen should not already be in use.
    Set-Partition -InputObject $SystemPartition -NewDriveLetter "S"
    Set-Partition -InputObject $OSPartition -NewDriveLetter "W"
    
    # This command sets the NODEFAULTDRIVELETTER flag on the partition which prevents drive letters being assigned to either partition when inserted into a different computer.
    Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUE
    
  3. Ensuite, vous devez appliquer l’image du système d’exploitation que vous voulez utiliser avec Windows pour accéder à la partition du système d’exploitation que vous venez de créer sur le disque (cela risque de nécessiter 30 minutes ou plus, en fonction de la taille de l’image et de la vitesse de votre connexion USB). La commande suivante vous montre comment effectuer cette opération à l’aide de l’outil de ligne de commande de maintenance et de gestion des images de déploiement (DISM):

    Conseil

    Le numéro d’index doit être correctement défini pour une image d’entreprise valide dans le. Fichier WIM.

    #The WIM file must contain a sysprep generalized image.
    dism /apply-image /imagefile:n:\imagefolder\deploymentimages\mywtgimage.wim /index:1 /applydir:W:\
    
  4. À présent, utilisez l’outil de ligne de commande BCDboot pour déplacer les composants de démarrage nécessaires vers la partition système sur le disque. Cela permet de garantir que les composants de démarrage, les versions du système d’exploitation et les architectures correspondent. Ce /f ALL paramètre indique que les composants de démarrage pour UEFI et le BIOS doivent être placés sur la partition système du disque. L’exemple suivant illustre cette étape:

``` syntax
W:\Windows\System32\bcdboot W:\Windows /f ALL /s S:
```
  1. Appliquez une stratégie SAN (OFFLINE_INTERNAL-«4») pour empêcher le système d’exploitation de mettre automatiquement en ligne tout disque connecté en interne. Pour ce faire, créez et enregistrez un fichier san_policy.xml sur le disque. L’exemple suivant illustre cette étape:

    <?xml version='1.0' encoding='utf-8' standalone='yes'?>
    <unattend xmlns="urn:schemas-microsoft-com:unattend">
      <settings pass="offlineServicing">
        <component
            xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            language="neutral"
            name="Microsoft-Windows-PartitionManager"
            processorArchitecture="x86"
            publicKeyToken="31bf3856ad364e35"
            versionScope="nonSxS"
            >
          <SanPolicy>4</SanPolicy>
        </component>
       <component
            xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            language="neutral"
            name="Microsoft-Windows-PartitionManager"
            processorArchitecture="amd64"
            publicKeyToken="31bf3856ad364e35"
            versionScope="nonSxS"
            >
          <SanPolicy>4</SanPolicy>
        </component>
     </settings>
    </unattend>
    
  2. Positionnez le fichier san_policy.xml créé à l’étape précédente dans le répertoire racine de la partition Windows sur le lecteur Windows to Go (W: extrait les exemples précédents) et exécutez la commande suivante:

    Dism.exe /Image:W:\ /Apply-Unattend:W:\san_policy.xml
    
  3. Créez un fichier de réponses (Unattend. Xml) qui désactive l’utilisation de l’environnement de récupération Windows avec Windows to go. Vous pouvez utiliser l’exemple de code suivant pour créer un nouveau fichier de réponses ou le coller dans un fichier de réponses existant:

    <?xml version="1.0" encoding="utf-8"?>
    <unattend xmlns="urn:schemas-microsoft-com:unattend">
        <settings pass="oobeSystem">
            <component name="Microsoft-Windows-WinRE-RecoveryAgent"
              processorArchitecture="x86"
              publicKeyToken="31bf3856ad364e35" language="neutral"
              versionScope="nonSxS"
              xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                <UninstallWindowsRE>true</UninstallWindowsRE>
            </component>
           <component name="Microsoft-Windows-WinRE-RecoveryAgent"
              processorArchitecture="amd64"
              publicKeyToken="31bf3856ad364e35" language="neutral"
              versionScope="nonSxS"
              xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                <UninstallWindowsRE>true</UninstallWindowsRE>
            </component>
        </settings>
    </unattend>
    

    Après l’enregistrement du fichier de réponse, copiez le fichier Unattend. xml dans le dossier Sysprep sur le lecteur Windows to Go (par exemple, W:\Windows\System32\sysprep).

    Important

    Les fichiers d’installation automatique sont traités en fonction de leur emplacement. Le programme d’installation place un fichier d’informations temporaire sur le dossier %systemroot%\panther , qui est le premier emplacement dans lequel le programme d’installation vérifie les informations d’installation. Assurez-vous que le dossier ne contient pas de version antérieure d’un fichier Unattend. xml pour vérifier que l’application que vous venez de créer est utilisée.

    Si vous ne voulez pas démarrer votre appareil Windows to Go sur cet ordinateur et souhaitez le démarrer sur un autre ordinateur, veillez à utiliser l’option supprimer le périphérique en toute sécurité et éjecter le contenu multimédia pour déconnecter le lecteur en toute sécurité avant de le supprimer physiquement.

Votre espace de travail Windows to Go est désormais prêt à être démarré. Vous pouvez désormais préparer un ordinateur hôte à l’aide des options de démarrage de Windows to Go pour tester la configuration de votre espace de travail, configurer l’espace de travail pour la jointure de domaines en mode hors connexion, ou activer la protection BitLocker pour votre lecteur Windows to Go.

Pour préparer un ordinateur hôte

Les ordinateurs exécutant Windows 8 et version ultérieure peuvent être configurés en tant qu’ordinateurs hôtes qui utilisent Windows to Go automatiquement chaque fois qu’un espace de travail Windows to Go est disponible au démarrage. Lorsque les options de démarrage de Windows to Go sont activées sur un ordinateur hôte, Windows redirige le démarrage vers le lecteur Windows to Go chaque fois qu’il est connecté à l’ordinateur. Cela vous permet de basculer facilement d’une utilisation de l’ordinateur hôte à l’aide de l’espace de travail Windows to go.

Conseil

Si vous utilisez un PC exécutant Windows 7 en tant qu’ordinateur hôte, reportez-vous à la rubrique conseils pour configurer les paramètres du BIOS de manière à utiliser Windows to Go pour plus d’informations sur le mode de préparation de l’ordinateur hôte.

Si vous souhaitez utiliser l’espace de travail Windows to Go, arrêtez simplement l’ordinateur, branchez le lecteur Windows to Go et allumez l’ordinateur. Pour utiliser l’ordinateur hôte, arrêtez l’espace de travail Windows to Go, débranchez le lecteur Windows to Go et allumez l’ordinateur.

Pour définir les options de démarrage de Windows to Go pour les ordinateurs hôtes exécutant Windows 10:

  1. À l’aide de Cortana, recherchez options de démarrage de Windows to Go , puis appuyez sur entrée.

  2. Dans la boîte de dialogue options de démarrage de Windows to Go , sélectionnez Oui, puis cliquez sur enregistrer les modifications pour configurer l’ordinateur de sorte qu’il démarre à partir de la norme USB.

Pour les ordinateurs hôtes exécutant Windows 8 ou Windows 8,1:

  1. Appuyez sur la touche du logo Windows + W, recherchez les options de démarrage de Windows to Go, puis appuyez sur entrée.

  2. Dans la boîte de dialogue options de démarrage de Windows to Go , sélectionnez Oui, puis cliquez sur enregistrer les modifications pour configurer l’ordinateur de sorte qu’il démarre à partir de la norme USB.

Vous pouvez configurer le démarrage automatique de l’ordinateur de votre organisation à partir du lecteur USB en activant le paramètre de stratégie de groupe suivant:

\\Computer Configuration\Administrative Templates\Windows Components\Portable System\Windows d’utilisation pour accéder aux options de démarrage par défaut

Une fois ce paramètre de stratégie activé, le démarrage automatique d’un espace de travail Windows to Go est tenté lorsqu’un lecteur USB est connecté à l’ordinateur au démarrage. Les utilisateurs ne peuvent pas utiliser les options de démarrage de Windows to Go pour modifier ce comportement. Si vous désactivez ce paramètre de stratégie, le démarrage de Windows sur Go alors qu’un lecteur USB est connecté ne se produit pas, sauf si un utilisateur configure cette option manuellement dans le microprogramme. Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs membres du groupe administrateurs peuvent activer ou désactiver le démarrage à partir d’un lecteur USB à l’aide des options de démarrage de Windows to go.

Votre ordinateur hôte est désormais prêt à démarrer directement dans l’espace de travail Windows to Go lors de son insertion avant le démarrage de l’ordinateur. Si vous le souhaitez, vous pouvez effectuer la configuration de l' espace de travail Windows to Go pour le domaine hors connexion et activer la protection BitLocker pour votre lecteur Windows to Go.

Démarrer votre espace de travail Windows to Go

Après avoir configuré votre PC hôte pour qu’il démarre à partir d’une connexion USB, vous pouvez utiliser la procédure suivante pour démarrer votre espace de travail Windows to Go:

Pour démarrer votre espace de travail

  1. Assurez-vous que l’ordinateur hôte n’est pas en état de veille. Si l’ordinateur est en état de veille, vous pouvez l’arrêter ou le mettre en hibernation.

  2. Insérez le lecteur USB Windows to Go directement dans un 3,0 USB ou un port 2,0 USB sur le PC. N’utilisez pas de concentrateur ou d’extension USB.

  3. Allumez le PC. Si votre lecteur Windows to Go est protégé par BitLocker, vous serez invité à entrer le mot de passe, sinon l’espace de travail démarrera directement dans l’espace de travail Windows to go.

Étapes de déploiement avancées

Les étapes suivantes sont utilisées pour les déploiements plus avancés dans lesquels vous souhaitez contrôler davantage la configuration des lecteurs Windows to Go, vérifiez qu’ils sont correctement configurés pour l’accès distant aux ressources de votre organisation; protégé par le chiffrement de lecteur BitLocker.

Configurer l’espace de travail Windows to Go pour l’accès à distance

Il est essentiel de s’assurer que les espaces de travail Windows to Go sont efficaces pour un déploiement réussi. L’un des principaux avantages de Windows to Go réside dans le fait que vos utilisateurs peuvent utiliser l’espace de travail joint du domaine géré dans l’entreprise sur un ordinateur non géré hors du réseau de votre entreprise. Pour activer cette fonction, vous devez généralement approvisionner le lecteur USB conformément aux instructions de déploiement de base, puis ajouter la configuration pour la prise en charge de la liaison de domaine de l’espace de travail, de l’installation de toutes les applications métier et de la configuration de vous avez choisi une solution de connectivité à distance telle qu’un client de réseau privé virtuel ou un réseau DirectAccess. Une fois ces configurations effectuées, l’utilisateur peut travailler à partir de l’espace de travail à l’aide d’un ordinateur local. La procédure suivante vous permet de mettre en service des espaces de travail Windows to Go pour les travailleurs qui ne disposent pas d’un accès physique à votre réseau d’entreprise.

Conditions préalables pour le scénario d’accès à distance

  • Un ordinateur appartenant à un domaine exécutant Windows 8 ou une version ultérieure et configuré en tant qu’ordinateur hôte Windows to go.

  • Un lecteur Windows to Go qui n’a pas été amorcé ou qui a rejoint le domaine à l’aide de paramètres sans assistance.

  • Un compte d’utilisateur de domaine disposant de droits d’ajouter des comptes d’ordinateur au domaine et est membre du groupe Administrateurs sur l’ordinateur hôte Windows to go.

  • DirectAccess configuré sur le domaine

Pour configurer votre espace de travail Windows to Go pour l’accès à distance

  1. Démarrez l’ordinateur hôte, puis connectez-vous en utilisant un compte d’utilisateur disposant de privilèges pour ajouter des stations de travail au domaine, puis exécutez la commande suivante à partir d’une invite de commandes avec élévation < >de privilèges qui remplace les paramètres d’espace réservé d’exemple (notés par). applicable pour votre environnement:

    djoin /provision /domain <exampledomain.com> /machine <examplewindowstogo_workspace_name> /certtemplate <WorkstationAuthentication_template> /policynames <DirectAccess Client Policy: {GUID}> /savefile <C:\example\path\domainmetadatafile> /reuse
    

    Notes

    Le paramètre /CertTemplate prend en charge l’utilisation des modèles de certificats pour la distribution de certificats pour DirectAccess, si votre organisation n’utilise pas de modèles de certificats, vous pouvez omettre ce paramètre. Par ailleurs, si vous utilisez Djoin. exe avec des contrôleurs de domaine Windows Server 2008, ajoutez le commutateur/Downlevel lors de la mise en service. Pour plus d’informations, reportez-vous au Guide détaillé sur le domaine hors connexion.

  2. Insérez le lecteur Windows to go.

  3. Pour lancer une invite Windows PowerShell avec élévation de privilèges, cliquez avec le bouton droit sur le raccourci Windows PowerShell dans la barre des tâches, puis cliquez sur exécuter en tant qu’administrateur.

  4. À partir de l’invite de commandes Windows PowerShell, procédez comme suit:

    # The following command will set $Disk to all USB drives with >20 GB of storage
    
    $Disk = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot }
    
    #Clear the disk. This will delete any data on the disk. (and will fail if the disk is not yet initialized. If that happens, simply continue with ‘New-Partition…) Validate that this is the correct disk that you want to completely erase.
    #
    # To skip the confirmation prompt, append –confirm:$False
    Clear-Disk –InputObject $Disk[0] -RemoveData
    
    # This command initializes a new MBR disk
    Initialize-Disk –InputObject $Disk[0] -PartitionStyle MBR
    
    # This command creates a 350 MB system partition
    $SystemPartition = New-Partition –InputObject $Disk[0] -Size (350MB) -IsActive
    
    # This formats the volume with a FAT32 Filesystem
    # To skip the confirmation dialog, append –Confirm:$False
    Format-Volume -NewFileSystemLabel "UFD-System" -FileSystem FAT32 `
    -Partition $SystemPartition
    
    # This command creates the Windows volume using the maximum space available on the drive. The Windows To Go drive should not be used for other file storage.
    $OSPartition = New-Partition –InputObject $Disk[0] -UseMaximumSize
    Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS `
    -Partition $OSPartition
    
    # This command assigns drive letters to the new drive, the drive letters chosen should not already be in use.
    Set-Partition -InputObject $SystemPartition -NewDriveLetter "S"
    Set-Partition -InputObject $OSPartition -NewDriveLetter "W"
    
    # This command toggles the NODEFAULTDRIVELETTER flag on the partition which prevents drive letters being assigned to either partition when inserted into a different computer.
    Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUE
    
  5. Ensuite, vous devez appliquer l’image du système d’exploitation que vous voulez utiliser avec Windows pour accéder à la partition du système d’exploitation que vous venez de créer sur le disque (cela risque de nécessiter 30 minutes ou plus, en fonction de la taille de l’image et de la vitesse de votre connexion USB). La commande suivante vous montre comment effectuer cette opération à l’aide de l’outil de ligne de commande de maintenance et de gestion des images de déploiement (DISM):

>[!TIP]
>The index number must be set correctly to a valid Enterprise image in the .WIM file.

``` syntax
#The WIM file must contain a sysprep generalized image.
dism /apply-image /imagefile:n:\imagefolder\deploymentimages\mywtgimage.wim /index:1 /applydir:W:\
```
  1. Une fois ces commandes terminées, exécutez la commande suivante:

    djoin /requestodj /loadfile C:\example\path\domainmetadatafile /windowspath W:\Windows
    
  2. Ensuite, nous aurons besoin de modifier le fichier Unattend. xml pour configurer les paramètres de la première exécution (OOBE). Dans cet exemple, nous allons masquer la page termes du contrat de licence logiciel Microsoft, en configurant les mises à jour automatiques afin d’installer automatiquement les mises à jour importantes et recommandées, et en identifiant cet espace de travail dans le cadre d’un réseau de bureau privé. Si vous le souhaitez, vous pouvez utiliser les autres paramètres OOBE que vous avez configurés pour votre organisation. Pour plus d’informations sur les paramètres OOBE, voir OOBE:

    <?xml version="1.0" encoding="utf-8"?>
    <unattend xmlns="urn:schemas-microsoft-com:unattend">
        <settings pass="oobeSystem">
            <component name="Microsoft-Windows-WinRE-RecoveryAgent"
              processorArchitecture="x86"
              publicKeyToken="31bf3856ad364e35" language="neutral"
              versionScope="nonSxS"
              xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
               <UninstallWindowsRE>true</UninstallWindowsRE>
               <OOBE>
                  <HideEULAPage>true</HideEULAPage>
                  <ProtectYourPC>1</ProtectYourPC>
                  <NetworkLocation>Work</NetworkLocation>
                </OOBE>
             </component>
           <component name="Microsoft-Windows-WinRE-RecoveryAgent"
              processorArchitecture="amd64"
              publicKeyToken="31bf3856ad364e35" language="neutral"
              versionScope="nonSxS"
              xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
               <UninstallWindowsRE>true</UninstallWindowsRE>
               <OOBE>
                  <HideEULAPage>true</HideEULAPage>
                  <ProtectYourPC>1</ProtectYourPC>
                  <NetworkLocation>Work</NetworkLocation>
               </OOBE>
    </component>
        </settings>
    </unattend>
    
  3. Retirez en toute sécurité le lecteur Windows to go.

  4. À partir d’un ordinateur hôte, que ce soit sur un ordinateur hôte, démarrez-le et démarrez l’espace de travail Windows to go.

    • S’il s’agit d’une connexion réseau directe à l’aide d’un ordinateur hôte, connectez-vous à l’aide des informations d’identification de votre domaine.

    • Si ce n’est pas le cas, rejoignez un réseau filaire ou sans fil disposant d’un accès à Internet, puis reconnectez-vous en utilisant les informations d’identification de votre domaine.

    Notes

    En fonction de votre configuration de DirectAccess, vous serez peut-être invité à insérer votre carte à puce pour vous connecter au domaine.

Vous devriez maintenant être en mesure d’accéder aux ressources réseau de votre organisation et de travailler à partir de votre espace de travail Windows to Go, comme vous le feriez normalement depuis votre ordinateur de bureau standard.

Activer la protection de BitLocker pour votre lecteur Windows to Go

L’activation de BitLocker sur votre lecteur Windows to Go permettra de garantir la protection de vos données contre toute utilisation non autorisée et de la perte ou du vol de votre lecteur Windows to Go pour une personne non autorisée à obtenir des données confidentielles ou utiliser l’espace de travail pour gagner du ca. Cess à des ressources protégées au sein de votre organisation. Lorsque BitLocker est activé, chaque fois que vous démarrez votre lecteur Windows to Go, vous êtes invité à fournir le mot de passe BitLocker pour déverrouiller le lecteur. La procédure suivante décrit comment activer BitLocker sur votre lecteur Windows to Go:

Conditions préalables à l’activation du scénario BitLocker

  • Un lecteur Windows to Go qui peut être configuré correctement.

  • Un ordinateur exécutant Windows 8 configuré en tant qu’ordinateur hôte Windows to Go

  • Passez en revue les paramètres de stratégie de groupe suivants pour le chiffrement de lecteur BitLocker et modifiez la configuration en conséquence:

    \Windows Components\BitLocker Drive Encryption\Operating système Drives\Require d’authentification supplémentaire au démarrage. Cette stratégie permet d’utiliser un protecteur de clé de mot de passe avec un lecteur de système d’exploitation. Cette stratégie doit être activée pour configurer BitLocker à partir de l’espace de travail Windows to go. Ce paramètre de stratégie vous permet de déterminer si BitLocker nécessite une authentification supplémentaire à chaque démarrage de l’ordinateur et si vous utilisez BitLocker avec ou sans module de plateforme sécurisée (TPM). Vous devez activer ce paramètre et cocher la case autorisez BitLocker sans module de plateforme sécurisée compatible , puis activez l’option configurer l’utilisation des mots de passe pour les lecteurs du système d’exploitation .

    \Windows Components\BitLocker Drive Encryption\Operating système Drives\Configure utilisation de mots de passe pour les lecteurs du système d’exploitation. Ce paramètre de stratégie permet d’utiliser des mots de passe pour déverrouiller les lecteurs de systèmes d’exploitation protégés par BitLocker et fournit les moyens de configurer les exigences de complexité et de longueur pour les mots de passe des espaces de travail Windows to go. Pour que le paramètre de stratégie de complexité soit efficace, le mot de passe du paramètre de stratégie de groupe doit respecter les exigences de complexité stockées dans Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\ doit également être activé.

    \Windows Components\BitLocker Drive Encryption\Operating système Drives\Enable utilisation de l’authentification BitLocker nécessitant une entrée au clavier préboot sur des tablettes. Ce paramètre de stratégie permet aux utilisateurs d’activer les options d’authentification qui nécessitent une entrée utilisateur à partir de l’environnement d’amorçage, même si la plateforme indique un manque de fonctionnalité d’entrée de prédémarrage. Si ce paramètre n’est pas activé, les mots de passe ne peuvent pas être utilisés pour déverrouiller les lecteurs de systèmes d’exploitation protégés par BitLocker.

Vous pouvez choisir de désactiver la protection BitLocker sur les lecteurs Windows to Go avant de les distribuer aux utilisateurs dans le cadre de votre processus de mise en service, ou vous pouvez autoriser vos utilisateurs finaux à leur appliquer une protection BitLocker après leur possession. Une procédure pas à pas est fournie pour les deux scénarios.

L’activation de BitLocker lors de la mise en service garantit que l’image de votre système d’exploitation est toujours protégée par BitLocker. Lors de l’activation de BitLocker lors du processus de mise en service, vous pouvez réduire considérablement le temps nécessaire au chiffrement du lecteur en activant BitLocker après avoir configuré le disque et juste avant d’appliquer l’image. Si vous utilisez cette méthode, vous devez fournir à l’utilisateur son mot de passe BitLocker lorsque vous donnez son espace de travail Windows to go. Par ailleurs, vous devez demander à vos utilisateurs de démarrer leur espace de travail et de modifier leur mot de passe BitLocker dès que possible (cela peut être fait avec les privilèges d’utilisateur standard).

L’activation de BitLocker après distribution nécessite que vos utilisateurs activent BitLocker. En d’autres termes, vos espaces de travail Windows to Go ne sont pas protégés tant que l’utilisateur n’active pas BitLocker. Les droits d’administration sur l’espace de travail Windows to Go sont requis pour activer BitLocker. Pour plus d’informations sur BitLocker, voir vue d’ensemble de BitLocker.

Clés de récupération BitLocker

Les clés de récupération BitLocker sont les clés qui peuvent être utilisées pour déverrouiller un lecteur protégé par BitLocker en cas d’échec de la méthode de déverrouillage standard. Nous vous recommandons de sauvegarder les clés de récupération BitLocker dans les services de domaine Active Directory (AD DS). Si vous ne voulez pas utiliser AD DS pour stocker les clés de récupération, vous pouvez enregistrer les clés de récupération dans un fichier ou les imprimer. Le mode de gestion des clés de récupération BitLocker diffère en fonction du moment où BitLocker est activé.

  • Si la protection BitLocker est activée lors de la mise en service, les clés de récupération BitLocker seront stockées sous le compte d’ordinateur de l’ordinateur utilisé pour la mise en service des lecteurs. Si la sauvegarde de clés de récupération sur AD DS n’est pas utilisée, les clés de récupération devront être imprimées ou enregistrées dans un fichier pour chaque lecteur. L’administrateur informatique doit suivre les clés affectées à un lecteur Windows to go.

  • Warning
    Si BitLocker est activé après distribution, la clé de récupération sera sauvegardée dans AD DS sous le compte d’ordinateur de l’espace de travail. Si la sauvegarde de clés de récupération vers AD DS n’est pas utilisée, celles-ci peuvent être imprimées ou enregistrées dans un fichier par l’utilisateur. Si l’administrateur informatique souhaite disposer d’un enregistrement centralisé de clés de récupération, le processus par lequel l’utilisateur fournit la clé au service informatique doit être mis en place.

Pour activer BitLocker lors de la mise en service

  1. Démarrez l’ordinateur hôte exécutant Windows 8.

  2. Insérez votre lecteur Windows to go.

  3. Pour lancer une invite Windows PowerShell avec élévation de privilèges, cliquez avec le bouton droit sur le raccourci Windows PowerShell dans la barre des tâches, puis cliquez sur exécuter en tant qu’administrateur.

  4. Mettez en service le lecteur Windows to Go à l’aide des applets de commande suivantes:

    Notes

    Si vous avez utilisé la méthode manuelle pour créer un espace de travail , vous devez déjà avoir approvisionné le lecteur Windows to go. Si tel est le cas, vous pouvez passer à l’étape suivante.

    # The following command will set $Disk to all USB drives with >20 GB of storage
    
     $Disk = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot }
    
    #Clear the disk. This will delete any data on the disk. (and will fail if the disk is not yet initialized. If that happens, simply continue with ‘New-Partition…) Validate that this is the correct disk that you want to completely erase.
    #
    # To skip the confirmation prompt, append –confirm:$False
     Clear-Disk –InputObject $Disk[0] -RemoveData
    
    # This command initializes a new MBR disk
     Initialize-Disk –InputObject $Disk[0] -PartitionStyle MBR
    
    # This command creates a 350 MB system partition
     $SystemPartition = New-Partition –InputObject $Disk[0] -Size (350MB) -IsActive
    
    # This formats the volume with a FAT32 Filesystem
    # To skip the confirmation dialog, append –Confirm:$False
     Format-Volume -NewFileSystemLabel "UFD-System" -FileSystem FAT32 `
     -Partition $SystemPartition
    
    # This command creates the Windows volume using the maximum space available on the drive. The Windows To Go drive should not be used for other file storage.
     $OSPartition = New-Partition –InputObject $Disk[0] -UseMaximumSize
     Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS `
     -Partition $OSPartition
    
    # This command assigns drive letters to the new drive, the drive letters chosen should not already be in use.
     Set-Partition -InputObject $SystemPartition -NewDriveLetter "S"
     Set-Partition -InputObject $OSPartition -NewDriveLetter "W"
    
    # This command toggles the NODEFAULTDRIVELETTER flag on the partition which prevents drive letters being assigned to either partition when inserted into a different computer.
     Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUE
    

    Ensuite, vous devez appliquer l’image du système d’exploitation que vous voulez utiliser avec Windows pour accéder à la partition du système d’exploitation que vous venez de créer sur le disque (cela risque de nécessiter 30 minutes ou plus, en fonction de la taille de l’image et de la vitesse de votre connexion USB). La commande suivante vous montre comment effectuer cette opération à l’aide de l’outil de ligne de commande de maintenance et de gestion des images de déploiement (DISM):

    Conseil

    Le numéro d’index doit être correctement défini pour une image d’entreprise valide dans le. Fichier WIM.

    #The WIM file must contain a sysprep generalized image.
    dism /apply-image /imagefile:n:\imagefolder\deploymentimages\mywtgimage.wim /index:1 /applydir:W:\
    
  5. Dans la même session PowerShell, utilisez l’applet de commande suivante pour ajouter une clé de récupération au lecteur:

    $BitlockerRecoveryProtector = Add-BitLockerKeyProtector W: -RecoveryPasswordProtector
    
  6. Ensuite, utilisez les applets de commande suivantes pour enregistrer la clé de récupération dans un fichier:

    #The BitLocker Recovery key is essential if for some reason you forget the BitLocker password
    #This recovery key can also be backed up into Active Directory using manage-bde.exe or the
    #PowerShell cmdlet Backup-BitLockerKeyProtector.
    $RecoveryPassword = $BitlockerRecoveryProtector.KeyProtector.RecoveryPassword
    $RecoveryPassword > WTG-Demo_Bitlocker_Recovery_Password.txt
    
  7. Ensuite, utilisez les applets de commande suivantes pour ajouter le mot de passe en tant que chaîne sécurisée. Si vous ne spécifiez pas le mot de passe, l’applet de commande vous invite à entrer le mot de passe avant de poursuivre l’opération:

    # Create a variable to store the password
    $spwd = ConvertTo-SecureString -String <password> -AsplainText –Force
    Enable-BitLocker W: -PasswordProtector $spwd
    

    Avertissement

    Pour que BitLocker crypte uniquement l’espace utilisé sur le disque, –UsedSpaceOnly ajoutez le Enable-BitLocker paramètre à l’applet de passe. Les données ajoutées au lecteur BitLocker chiffreront de l’espace supplémentaire. L’utilisation de ce paramètre accélère le processus de préparation en tant que pourcentage plus petit du disque nécessite un chiffrement. Si vous n’êtes pas en mesure d’attendre que le chiffrement se termine, vous pouvez également supprimer en toute sécurité le lecteur Windows to Go lors du processus de chiffrement. La prochaine fois que le lecteur sera inséré sur un ordinateur, il sollicitera le mot de passe BitLocker. Lorsque le mot de passe est fourni, le processus de chiffrement est maintenu. Le cas échéant, veillez à ce que les utilisateurs sachent que le chiffrement BitLocker est toujours en cours et qu’ils pourront utiliser l’espace de travail pendant que le chiffrement s’exécute en arrière-plan.

  8. Copiez le mot de passe de récupération numérique et enregistrez-le dans un fichier en lieu sûr. Le mot de passe de récupération sera requis si le mot de passe est perdu ou oublié.

    Avertissement

    Si les options choisir le mode de protection des lecteurs de données amovibles par BitLocker peuvent être récupérés , les informations de récupération pour le lecteur seront stockées dans le dossier. compte de l’ordinateur hôte utilisé pour appliquer la clé de récupération.

    Si vous souhaitez stocker les informations de récupération sous le compte de l’espace de travail Windows to Go, vous pouvez activer BitLocker à partir de l’espace de travail Windows to Go à l’aide de l’Assistant Configuration de BitLocker dans l’élément panneau de configuration BitLocker, comme décrit dans la section activer BitLocker après distribution.

  9. Retirez en toute sécurité le lecteur Windows to go.

Les lecteurs Windows to Go sont désormais prêts à être distribués aux utilisateurs et sont protégés par BitLocker. Lorsque vous distribuez les lecteurs, assurez-vous que les utilisateurs ont connaissance des éléments suivants:

  • Mot de passe initial BitLocker qu’il devra démarrer pour démarrer les lecteurs.

  • État actuel du chiffrement.

  • Instructions permettant de modifier le mot de passe BitLocker après le démarrage initial.

  • Instructions sur la façon de récupérer le mot de passe de récupération le cas échéant. Il s’agit d’un processus de support technique, d’un site de récupération de mot de passe automatisé ou d’une personne à contacter.

Pour activer BitLocker après distribution

  1. Insérez votre lecteur Windows to Go sur votre ordinateur hôte (qui est actuellement arrêté), puis allumez-le et démarrez-le dans votre espace de travail Windows to go.

  2. Appuyez sur la touche du logo Windows + W pour ouvrir les paramètres de recherche, tapez BitLocker et sélectionnez l’élément pour le chiffrement de lecteur BitLocker.

  3. Les lecteurs sur l’espace de travail sont affichés, puis cliquez sur activer BitLocker pour le lecteur C:. L' Assistant Configuration de BitLocker s’affiche.

  4. Suivez les étapes de l' Assistant Configuration de BitLocker en sélectionnant l’option de protection par mot de passe.

Notes

Si vous n’avez pas configuré le paramètre de stratégie de groupe \Windows Components\BitLocker Drive Encryption\Operating System Drives\Require authentification supplémentaire au démarrage pour spécifier allow BitLocker sans module de plateforme sécurisée compatible , vous ne être en mesure d’activer BitLocker à partir de l’espace de travail Windows to go.

Exemple de script de déploiement avancé

L’exemple de script suivant prend en charge la mise en service de plusieurs lecteurs Windows to Go et la configuration de l’Association de domaines en mode hors connexion.

L’exemple de script crée un fichier Unattend qui rationalise le processus de déploiement de sorte que l’utilisation initiale du lecteur Windows to Go ne demande pas à l’utilisateur final les informations de configuration supplémentaires avant le démarrage.

Conditions préalables à l’exécution de l’exemple de script de déploiement avancé

  • Pour exécuter cet exemple de script, vous devez ouvrir une session Windows PowerShell en tant qu’administrateur à partir d’un ordinateur appartenant à un domaine à l’aide d’un compte disposant des autorisations de création de comptes de domaine.

  • L’utilisation de l’accès au domaine hors connexion est requise par le script, car le script ne crée pas de compte d’utilisateur d’administrateur local. Toutefois, l’appartenance aux domaines place automatiquement «administrateurs de domaine» dans le groupe Administrateurs local. Passez en revue les politiques de votre domaine. Si vous utilisez DirectAccess, vous devez modifier la commande Djoin. exe pour inclure les policynames certtemplate paramètres et éventuellement.

  • Le script doit utiliser des lettres de lecteur, de sorte que vous ne pouvez fournir qu’une partie des nombreux lecteurs disponibles.

Pour exécuter l’exemple de script de déploiement avancé

  1. Copiez l’intégralité de l’exemple de code intitulé «Windows to Go multiple Drive Configuration Sample script» dans un fichier de script PowerShell (. ps1).

  2. Apportez les modifications nécessaires à votre déploiement et enregistrez le fichier.

  3. Configurez la stratégie d’exécution PowerShell. Par défaut, la stratégie d’exécution de PowerShell est définie sur limité; Cela signifie que les scripts ne s’exécutent pas tant que vous n’avez pas explicitement accordé l’autorisation à. Pour configurer la stratégie d’exécution de PowerShell pour autoriser l’exécution du script, utilisez la commande suivante à partir d’une invite PowerShell avec élévation de privilèges:

    Set-ExecutionPolicy RemoteSigned
    

    La stratégie d’exécution RemoteSigned empêche l’exécution des scripts non signés à partir d’Internet sur votre ordinateur, mais autorise l’exécution de scripts créés localement. Pour plus d’informations sur les stratégies d’exécution, voir Set-ExecutionPolicy.

    Conseil

    Pour obtenir de l’aide en ligne pour une applet de commande Windows PowerShell, qu’elle soit ou non installée sur le <Web, tapez> l’applet de commande suivante en remplaçant cmdlet par le nom de l’applet de commande pour laquelle vous souhaitez obtenir de l’aide:

    Get-Help <cmdlet-name> -Online

    Cette commande entraîne l’ouverture de la version en ligne de la rubrique d’aide dans votre navigateur Internet par défaut.

Exemple de script de mise en service de plusieurs lecteurs Windows to Go

<#
.SYNOPSIS
Windows To Go multiple drive provisioning sample script.

.DESCRIPTION
This sample script will provision one or more Windows To Go drives, configure offline domain join (using random machine names) and provides an option for BitLocker encryption. To provide a seamless first boot experience, an unattend file is created that will set the first run (OOBE) settings to defaults. To improve performance of the script, copy your install image to a local location on the computer used for provisioning the drives.

.EXAMPLE
.\WTG_MultiProvision.ps1 -InstallWIMPath c:\companyImages\amd64_enterprise.wim
provision drives connected to your machine with the provided image.
#>
param (
    [parameter(Mandatory=$true)]
    [string]
#Path to install wim.  If you have the full path to the wim or want to use a local file.
    $InstallWIMPath,

    [string]
#Domain to which to join the Windows To Go workspaces.
    $DomainName
)


<#
  In order to set BitLocker Group Policies for our offline WTG image we need to create a Registry.pol file
  in the System32\GroupPolicy folder. This file requires binary editing, which is not possible in PowerShell
  directly so we have some C# code that we can use to add a type in our PowerShell instance that will write
  the data for us.
#>
$Source = @"
using System;
using System.Collections.Generic;
using System.IO;
using System.Text;

namespace MS.PolicyFileEditor
{
    //The PolicyEntry represents the DWORD Registry Key/Value/Data entry that will
    //be written into the file.
    public class PolicyEntry
    {
        private List<byte> byteList;

        public string KeyName { get; set; }
        public string ValueName { get; set; }

        internal List<byte> DataBytes
        {
            get { return this.byteList; }
        }

        public PolicyEntry(
            string Key,
            string Value,
            uint data)
        {
            KeyName = Key;
            ValueName = Value;
            this.byteList = new List<byte>();
            byte[] arrBytes = BitConverter.GetBytes(data);
            if (BitConverter.IsLittleEndian == false) { Array.Reverse(arrBytes); }
            this.byteList.AddRange(arrBytes);
        }

        ~PolicyEntry()
        {
            this.byteList = null;
        }
    }

    public class PolicyFile
    {
        private Dictionary<string, PolicyEntry> entries;

        public List<PolicyEntry> Entries
        {
            get
            {
                List<PolicyEntry> policyList = new List<PolicyEntry>(entries.Values);
                return policyList;
            }
        }

        public PolicyFile()
        {
            this.entries = new Dictionary<string, PolicyEntry>(StringComparer.OrdinalIgnoreCase);
        }

        public void SetDWORDValue(string key, string value, uint data)
        {
            PolicyEntry entry = new PolicyEntry(key, value, data);
            this.entries[entry.KeyName + "\\" + entry.ValueName] = entry;
        }

        public void SaveFile(string file)
        {
            using (FileStream fs = new FileStream(file, FileMode.Create, FileAccess.Write))
            {
                fs.Write(new byte[] { 0x50, 0x52, 0x65, 0x67, 0x01, 0x00, 0x00, 0x00 }, 0, 8);
                byte[] openBracket = UnicodeEncoding.Unicode.GetBytes("[");
                byte[] closeBracket = UnicodeEncoding.Unicode.GetBytes("]");
                byte[] semicolon = UnicodeEncoding.Unicode.GetBytes(";");
                byte[] nullChar = new byte[] { 0, 0 };

                byte[] bytes;

                foreach (PolicyEntry entry in this.Entries)
                {
                    fs.Write(openBracket, 0, 2);
                    bytes = UnicodeEncoding.Unicode.GetBytes(entry.KeyName);
                    fs.Write(bytes, 0, bytes.Length);
                    fs.Write(nullChar, 0, 2);

                    fs.Write(semicolon, 0, 2);
                    bytes = UnicodeEncoding.Unicode.GetBytes(entry.ValueName);
                    fs.Write(bytes, 0, bytes.Length);
                    fs.Write(nullChar, 0, 2);

                    fs.Write(semicolon, 0, 2);
                    bytes = BitConverter.GetBytes(4);
                    if (BitConverter.IsLittleEndian == false) { Array.Reverse(bytes); }
                    fs.Write(bytes, 0, 4);

                    fs.Write(semicolon, 0, 2);
                    byte[] data = entry.DataBytes.ToArray();
                    bytes = BitConverter.GetBytes((uint)data.Length);
                    if (BitConverter.IsLittleEndian == false) { Array.Reverse(bytes); }
                    fs.Write(bytes, 0, 4);

                    fs.Write(semicolon, 0, 2);
                    fs.Write(data, 0, data.Length);
                    fs.Write(closeBracket, 0, 2);
                }
                fs.Close();
            }
        }
    }
}
"@

########################################################################
#
# Helper Functions
#
Function CreateUnattendFile {
param (
    [parameter(Mandatory=$true)]
    [string]
    $Arch
)

    if ( Test-Path "WtgUnattend.xml" ) {
      del .\WtgUnattend.xml
    }
    $unattendFile = New-Item "WtgUnattend.xml" -type File
    $fileContent = @"
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
    <settings pass="oobeSystem">
        <component name="Microsoft-Windows-Shell-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="$Arch" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <OOBE>
                <HideEULAPage>true</HideEULAPage>
                <ProtectYourPC>1</ProtectYourPC>
                <NetworkLocation>Work</NetworkLocation>
            </OOBE>
        </component>
        <component name="Microsoft-Windows-International-Core" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="$Arch">
          <InputLocale>en-US</InputLocale>
          <SystemLocale>en-US</SystemLocale>
          <UILanguage>en-US</UILanguage>
          <UserLocale>en-US</UserLocale>
        </component>
        <component name="Microsoft-Windows-WinRE-RecoveryAgent" processorArchitecture="$Arch" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <UninstallWindowsRE>true</UninstallWindowsRE>
        </component>
    </settings>
</unattend>
"@

    Set-Content $unattendFile $fileContent

#return the file object
    $unattendFile
}

Function CreateRegistryPolicyFile {

    $saveFileLocaiton = "" + (get-location) + "\registry.pol"

    $policyFile = New-Object MS.PolicyFileEditor.PolicyFile
    $policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseAdvancedStartup", 1)
    $policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "EnableBDEWithNoTPM", 1)
    $policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPM", 2)
    $policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPMPIN", 2)
    $policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPMKey", 2)
    $policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPMKeyPIN", 2)
    $policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "OSEnablePrebootInputProtectorsOnSlates", 1)
    $policyFile.SaveFile($saveFileLocaiton)

    $saveFileLocaiton
}

########################################################################

if ( Test-Path $installWIMPath ){
  write-output "Image: $installWIMPath"
}
else{
  write-output "Unable to find image: $installWIMPath" "Exiting the script"
  exit
}

if ( (Get-WindowsImage -ImagePath $InstallWIMPath -Index 1).Architecture -eq 0 ){
    $Arch = "x86"
}
else{
    $Arch = "amd64"
}

$starttime = get-date

#Add type information for modifing the Registy Policy file
Add-Type -TypeDefinition $Source -Language CSharp

#Create helper files
$unattendFile = CreateUnattendFile -Arch $Arch
$registryPolFilePath = CreateRegistryPolicyFile

$Disks = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot }
if ($Disks -eq $null)
{
    Write-Output "No USB Disks found, exiting the script.  Please check that you have a device connected."
    exit
}

#We want to make sure that all non-boot connected USB drives are online, writeable and cleaned.
#This command will erase all data from all USB drives larger than 20Gb connected to your machine
#To automate this step you can add: -confirm:$False
Clear-Disk –InputObject $Disks -RemoveData -erroraction SilentlyContinue

# Currently the provisioning script needs drive letters (for dism and bcdboot.exe) and the script is more
# reliable when the main process determines all of the free drives and provides them to the sub-processes.
# Use a drive index starting at 1, since we need 2 free drives to proceed. (system & operating system)
$driveLetters =    68..90 | ForEach-Object { "$([char]$_):" } |
    Where-Object {
        (new-object System.IO.DriveInfo $_).DriveType -eq 'noRootdirectory'
    }
$driveIndex = 1

foreach ($disk in $Disks)
{

    if ( $driveIndex  -lt $driveLetters.count )
    {
        Start-Job -ScriptBlock {
            $installWIMPath = $args[0]
            $unattendFile = $args[1]
            $Disk = $args[2]
            $SystemDriveLetter = $args[3]
            $OSDriveLetter = $args[4]
            $DomainName = $args[5]
            $policyFilePath = $args[6]

#For compatibility between UEFI and legacy BIOS we use MBR for the disk.
            Initialize-Disk –InputObject $Disk -PartitionStyle MBR

#A short sleep between creating a new partition and formatting helps ensure the partition
#is ready before formatting.
            $SystemPartition = New-Partition –InputObject $Disk -Size (350MB) -IsActive
            Sleep 1
            Format-Volume -Partition $SystemPartition -FileSystem FAT32 -NewFileSystemLabel "UFD-System" -confirm:$False | Out-Null

            $OSPartition = New-Partition –InputObject $Disk -UseMaximumSize
            Sleep 1
            Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS -Partition $OSPartition -confirm:$False | Out-Null


#The No default drive letter prevents other computers from displaying contents of the drive when connected as a Data drive.
            Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUE
            Set-Partition -InputObject $SystemPartition -NewDriveLetter $SystemDriveLetter
            Set-Partition -InputObject $OSPartition -NewDriveLetter $OSDriveLetter

            dism /apply-image /index:1 /applydir:${OSDriveLetter}:\ /imagefile:$InstallWIMPath
            if (!$?){
                write-output "DISM image application failed, exiting."
                exit
            }

            copy $unattendFile ${OSDriveLetter}:\Windows\System32\sysprep\unattend.xml

#Create the directory for the Machine Registry Policy file, surpressing the output and any error
#and copy the pre-created Registry.pol file to that location.
            write-output "Set BitLocker default policies for WindowsToGo"
            md ${OSDriveLetter}:\windows\System32\GroupPolicy\Machine | out-null
            copy $policyFilePath ${OSDriveLetter}:\windows\System32\GroupPolicy\Machine

#modify the registry of the image to set SanPolicy.  This is also where you could set the default
#keyboard type for USB keyboards.
            write-output "Modify SAN Policy"
            reg load HKLM\PW-System ${OSDriveLetter}:\Windows\System32\config\SYSTEM > info.log
            reg add HKLM\PW-System\ControlSet001\Services\Partmgr\Parameters /v SanPolicy /d 4 /t REG_DWORD /f > info.log
            reg unload HKLM\PW-System > info.log

#We're running bcdboot from the newly applied image so we know that the correct boot files for the architecture and operating system are used.
#This will fail if we try to run an amd64 bcdboot.exe on x86.
            cmd /c "$OSDriveLetter`:\Windows\system32\bcdboot $OSDriveLetter`:\Windows /f ALL /s $SystemDriveLetter`:"
            if (!$?){
                write-output "BCDBOOT.exe failed, exiting script."
                exit
            }

            <#
               If a domain name was provided to the script, we will create a random computer name
               and perform an offline domain join for the device.  With this command we also suppress the
               Add User OOBE screen.
#>
            if ($DomainName)
            {
#using get-random, we will create a random computer name for the drive.
                $suffix = Get-Random
                $computername = "wtg-" + $suffix
                djoin /provision /domain $DomainName /savefile ${OSDriveLetter}:\tempBLOB.bin /reuse /machine $computername
                djoin /requestodj /loadfile ${OSDriveLetter}:\tempBLOB.bin /windowspath  ${OSDriveLetter}:\windows > info.log
                del ${OSDriveLetter}:\tempBLOB.bin

#add offline registry key to skip user account screen
                write-output "Add Offline Registry key for skipping UserAccount OOBE page."
                reg load HKLM\PW-Temp${OSDriveLetter}   ${OSDriveLetter}:\Windows\System32\config\SOFTWARE > info.log
                reg add HKLM\PW-Temp${OSDriveLetter}\Microsoft\Windows\CurrentVersion\Setup\OOBE /v UnattendCreatedUser /d 1 /t REG_DWORD > info.log
                reg unload HKLM\PW-Temp${OSDriveLetter} > info.log
            }

            try
            {
                Write-VolumeCache -DriveLetter ${OSDriveLetter}
                Write-Output "Disk is now ready to be removed."
            }
                catch [System.Management.Automation.CommandNotFoundException]
            {
                write-output "Flush Cache not supported, Be sure to safely remove the WTG device."
            }


       } -ArgumentList  @($installWIMPath, $unattendFile, $disk, $driveLetters[$driveIndex-1][0], $driveLetters[$driveIndex][0], $DomainName, $registryPolFilePath)
    }
    $driveIndex  = $driveIndex  + 2
}
#wait for all threads to finish
get-job | wait-job

#print output from all threads
get-job | receive-job

#delete the job objects
get-job | remove-job


#Cleanup helper files
del .\WtgUnattend.xml
del .\Registry.pol

$finishtime = get-date
$elapsedTime = new-timespan $starttime $finishtime
write-output "Provsioning completed in: $elapsedTime  (hh:mm:ss.000)"
write-output "" "Provisioning script complete."

Éléments à prendre en compte lors de l’utilisation de différentes dispositions de clavier USB avec Windows to Go

Avant de configurer votre lecteur Windows to Go, vous devez prendre en compte si votre espace de travail s’amorce sur un ordinateur équipé d’un clavier USB non anglais. Comme décrit dans la base de 927824 connaissances , il existe un problème connu pour lequel l’ID Plug-and-Play entraîne l’identification incorrecte du clavier comme un clavier à clé 101 en anglais. Pour éviter ce problème, vous pouvez modifier le script de mise en service pour définir les paramètres de remplacement du clavier.

Dans le script de mise en service PowerShell, une fois l’image appliquée, vous pouvez ajouter les commandes suivantes qui configureront correctement les paramètres du clavier. Dans l’exemple suivant, la disposition de clavier japonais est utilisée:

            reg load HKLM\WTG-Keyboard ${OSDriveLetter}:\Windows\System32\config\SYSTEM > info.log
            reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v LayerDriver /d JPN:kbd106dll /t REG_SZ /f
            reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v OverrideKeyboardIdentifier /d PCAT_106KEY /t REG_SZ /f
            reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v OverrideKeyboardSubtype /d 2 /t REG_DWORD /f
            reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v OverrideKeyboardType /d 7 /t REG_DWORD /f
            reg unload HKLM\WTG-Keyboard

Rubriques associées

Windows To Go: vue d'ensemble des fonctionnalités

Forums sur Windows 10

Préparer votre organisation à WindowsToGo

Considérations relatives au déploiement de WindowsToGo

Considérations de sécurité et de protection des données pour Windows To Go

Vue d’ensemble de BitLocker