Windows 10 Joël Surget Septembre 2016 9 novembre 2018 CEA | juillet 2012

POC Windows 10 POC CEA/Microsoft sur Windows 10 en juin 2016 But: créer une image de référence CEA pour octobre Conforme à la sécurité CEA Basée sur MDT et SCCM Test avec Windows 10 1511 mais installation directe en 1607 Windows 10 1607 Entreprise / Office 2016 / Symantec 12.1.6 … Windows 10 Entreprise (ou Educationnal?) nécessaire 9 novembre 2018 | PAGE 2

Le CEA SCCM 1606 (aout 2016) SCCM 1511 indispensable pour gérer Windows 10 1607 SCCM 1606 Intègre le Store for business pour gérer les Appx Ou/et Microsoft Deployment Toolkit 2013 Update 2 L’image de référence, les task sequences … sont très proches entre Windows 7, 8 et 10 9 novembre 2018 | PAGE 3

Quelques points Applications Appx Sécurité Confidentialité UEFI Mise à jour des versions majeurs 9 novembre 2018 | PAGE 4

Applications Modernes/TuileS/APPX/Universal Windows Platform Remplacent petit à petit certaines applications standards Calculatrice/Pense-bête (sticky notes)… Edge, … : Uniquement APPX Appxs Microsoft : gérées par Windows Update Autres APPX : n’étaient installables/modifiables que par « Windows Store » A l’utilisateur et pas au PC Nécessite un compte MS (perso ou Azure) Non gérable par l’administrateur Nouveauté : Store for business 9 novembre 2018 | PAGE 5

Applications APPX Point de vue CEA Interdiction des applications qui envoient de l’information à Microsoft ou qui exigent un compte Microsoft Interdiction des applications promotionnelles (Elles varient souvent et s’installent automatiquement) Désinstaller les applications «inutiles » ou que l’on se sait pas mettre à jour Mettre à jour les applications que l’on garde LE CEA interdisait les applications APPX sur Windows 8.1 9 novembre 2018 | PAGE 6

Applications APPX Blocage du Windows Store: L’utilisateur ne peut plus ajouter de nouvelles apps GPO USER : Windows Components/Store/Turn off the Store application Ne pas le faire au pc sinon les maj ne sont plus. Interdiction des applications promotionnelles: Twitter, Candy Crush… GPO ‘Turn off Microsoft consummer experiences’ Suppression des applications « interdites » ou non voulues: Xbox, MineCraft , Courrier… Remove-AppxProvisionedPackage: Enlève les sources sur la machine Remove-AppxPackage: désinstalle l’application à l’utilisateur Script https://blogs.technet.microsoft.com/mniehaus/2015/11/11/removing- windows-10-in-box-apps-during-a-task-sequence 9 novembre 2018 | PAGE 7

Applications APPX Blocage des appx non déinstallables !!! : Commentaires Windows  (WindowsFeedback) Contact Support Via GPO APPLOCKER 9 novembre 2018 | PAGE 8

Applications APPX: Business store www.microsoft.com/business-store Utilisation obligatoire d’un compte Microsoft générique gratuit Choisir des applications qui ont une licence OFFLINE Téléchargement de l’application et des prérequis Intégration dans SCCM (ou dans des scripts) Pour les nouvelles Appx et la mise à jour des anciennes 9 novembre 2018 | PAGE 9

Applications APPX: Business store 9 novembre 2018

Applications APPX: Business store 9 novembre 2018

Applications APPX: Business store 9 novembre 2018

Business Store Intégration du business Store avec SCCM ou Intunes Dans Microsoft.com/business-store Ajout dans le store privé Permet de mettre à jour automatiquement les applications et de proposer d’autres applications Non tester car il faut un compte Azure payant 9 novembre 2018 | PAGE 13

Applications APPX Création d’un menu tuile par défaut + une belle barre de tâches Sur PC de référence, Export-StartLayout -layoutpath appsfolderlayout.xml pour le menu Edition manuelle du xml pour la barre de tâches (1607) Puis dans le task-sequence d’installation import-StartLayout -layoutpath appsfolderlayout.xml - mountpath $env:systemdrive 9 novembre 2018 | PAGE 14

Sécurité Cortana bloqué GPO : Windows Components/Search/Allow Cortana Hello (reconnaissance faciale….) bloqué GPO : Windows Components/Windows Hello for business/Use Windows Hello for business Télémétrie bloquée par GPO : Windows Components/Data Collection and Preview Builds/Allow Telemetry: 0 - Security [Enterprise Only] Onedrive bloqué par GPO : Windows Components/One Drive/Prevent the user of OneDrive for file Storage 9 novembre 2018 | PAGE 15

Confidentialité Impossible de bloquer par applications Blocage générale GPO Windows Components/App Privacy Impossible de bloquer par applications Blocage générale (GPO) (localisation…) Ou laisser à l’utilisateur Ou script 9 novembre 2018 | PAGE 16

UEFI Choix de n’installer que sur UEFI Secure boot activé TPM 2.0 activé, chiffrement obligatoire sur portable Mise à jour de Windows 7 ou 8.1 de Bios legacy vers UEFI impossible (réinstallation obligatoire) outils DELL pour basculer en UEFI et/ou configurer UEFI automatiquement « Dell Command | Configure » Pas encore tester Pcs DELL vont arriver avec l’UEFI par défaut (mais mal configurés) 9 novembre 2018 | PAGE 17

Mise à jour des versions majeurs (CB) La mise à jour directe (via windows update, wsus ou iso) fonctionne très bien MAIS ajoute automatiquement des apps (et remet celles que vous avez enlevées…) peut modifier des paramètres importants de sécurité… supprime le pack de langue Il faut configurer la nouvelle version et l’installer via tasksequence/script Bloquer (GPO) les mises à jours automatiques pour passer en CBB Windows Components/Store/Turn off the offer to update to the latest version of Windows 9 novembre 2018 | PAGE 18

Conclusion Windows 10 1607 proposé à l’IRFU début octobre en image par défaut Windows 7 est toujours proposé. Intégrer le store for business à SCCM Attendre la prochaine CB/CBB pour vraiment tester une mise à jour Paramétrer l’UEFI automatiquement 9 novembre 2018 | PAGE 19

Des QUESTIONS CEA | juillet 2012 9 novembre 2018

Commissariat à l’énergie atomique et aux énergies alternatives Centre de Saclay | 91191 Gif-sur-Yvette Cedex Etablissement public à caractère industriel et commercial | RCS Paris B 775 685 019 CEA | juillet 2012 9 novembre 2018