Livre Blanc Déployer Windows 7 en...

Livre Blanc

Déployer Windows 7 en entreprise

Déployer Windows 7 en entreprise 3

Déployer Windows 7 en entreprise

Doté de nouveaux outils de sécurité, de mobilité et d’administration des parcs de postes de travail, le système d’exploitation Windows 7 offre une meilleure productivité aux entreprises. Mais pour profiter à plein de ces avancées, un déploiement rigoureux, bien pensé en amont, s’impose.

L e déploiement de Windows 7 figure aujourd’hui sur la « to-do-list » de nombreux dirigeants et DSI. Non sans raisons. Doté d’une interface graphique rapide et conviviale, ce nouveau système d’exploitation, qui s’ap-

puie sur un « noyau » Windows Vista, est plus léger que ses aînés. Disponible en versions 32 et 64 bits, il béné-ficie d’une multitude d’innovations améliorant la sécurité et la productivité des collaborateurs, dont une nouvelle barre des tâches, plus ergonomique, un système innovant de « jump lists » (des raccourcis vers les documents et les applications les plus utilisés) et une console de gestion des périphériques (Device Stage), etc…

Les avantages à noter

Compatibilité. Basé sur le même noyau que Windows Vista, Windows 7 est compatible avec l’essentiel des applications tournant sous Vista (on estime que 10 millions de postes de travail sont actuellement équipés de cet OS en France). Le système a par ailleurs été optimisé pour tous les ordinateurs, des mini-PC aux stations de travail les plus évoluées.

Recherche. Windows 7 embarque des fonctionnalités de recherche fédérée permettant de rechercher des documents - localement ou à distance - sur un réseau d’entreprise, un serveur Sharepoint ou sur Internet...

Sécurité. Le système d’exploitation est livré avec de nouveaux outils de sécurisation des données, complémentaires du logiciel de chiffrement Bitlocker, apparu avec Windows Vista. Il intègre Bitlocker To Go, un outil de chiffrement des données stockées sur les périphériques amo-vibles (clés USB, mémoires flash...) et AppLocker (une nouvelle fonction qui permet aux adminis-trateurs de spécifier les applications autorisées à s’exécuter sur un ordinateur).

Nouveaux ponts avec Windows Server 2008 R2. Pris en charge par le même modèle de service, Windows 7 et Windows Server 2008 partagent une base de code commune. Ce qui signifie que les mises à jour, notamment de sécurité, sont partagées par les serveurs et les ordi-nateurs clients.La fonctionnalité DirectAccess permet aussi de relier Windows 7 à distance à un serveur d’entre-prise tournant sous Windows Server 2008 R2, via un tunnel sécurisé. Et ainsi de mettre à jour les ordinateurs via Internet, même lorsqu’ils ne sont pas connectés au réseau de l’entreprise.

4

Partenaire de longue date de Microsoft, Osiatis a pu tester et valider en « avant-première » ces innovations. Mieux, la SSII - sélectionnée comme « Preferred Partner Intégrateur » de Microsoft pour le programme TAP (Technical Adoption Program) Windows 7 visant à le faire découvrir à une trentaine de grandes entreprises - a pu industrialiser dès à présent les processus de migration vers ce système d’exploitation. Et identifier les facteurs clefs de succès d’un déploiement de Windows 7 en entreprise.

Points de vue d’experts

Le point de vue de Julien Lesaicherre,Chef de produit Windows 7 Entreprise chez Microsoft France

« Elément clé de notre vision du poste de travail, Windows 7 innove sur 3 domaines.

Il délivre la meilleure expérience utilisateur en toutes circonstances (performance,

recherche donnée, mobilité…), il permet de diminuer les risques et d’assurer la sécurité

du système d’information, notamment en offrant une granularité plus fine dans le contrôle

de la sécurité, et ce, tout en répondant aux exigences de réduction des coûts via

la rationalisation de la gestion des PC, du déploiement à l’administration des postes

de travail. »

Le point de vue d’Hervé Thibault,Responsable Activité Infrastructures Microsoft chez Osiatis

« Windows 7 ouvre la voie à la virtualisation des postes de travail en entreprise. La grande

nouveauté du système c’est qu’il embarque nativement un logiciel de virtualisation de

Windows XP (le mode XP) mettant à disposition de l’application l’environnement système

dont elle a besoin. Il permet aux utilisateurs de faire tourner - de façon transparente - une

application Windows XP dans une machine virtuelle dédiée. Le mode XP aide ainsi les

entreprises à écarter les risques d’incompatibilité de Windows 7 avec les applications

développées pour Windows XP (sorti en 2001 mais toujours très présent en entreprise).

Et à s’émanciper des dépendances entre les quatre grandes couches des systèmes

d’information : le profil utilisateur, les applications, le système d’exploitation et le matériel.

Ce mode XP est enrichi de deux solutions complémentaires. Il s’agit de Med-V (Microsoft

Enterprise Desktop Virtualization), un logiciel de sécurisation et d’administration des

logiciels virtualisés, fruit du rachat de Kidaro en 2008. Et d’App-V, une solution de

streaming applicatif et de virtualisation des applications issue de l’acquisition de

Softricity en 2006. »

Se poser les bonnes questions

Premier constat : si les entreprises ont tout intérêt à faire évoluer dès à présent leurs parcs de postes de travail vers Windows 7, elles doivent au préalable se poser les bonnes questions, notamment sur la compatibilité

du nouveau système avec l’existant matériel et applicatif de l’entreprise. Les applications installées fonctionne-ront-elles avec Windows 7 ? Les documents utilisés par l’entreprise seront-ils compatibles avec Office 2007 ou, prochainement, avec Office 2010 ? Quid des macros que les utilisateurs ont développées ? Qu’en est-il de la compatibilité du parc d’équipements (PC, imprimantes, scanners de numérisation...) ? Certains matériels doi-vent-ils être remplacés et/ou mis à jour ? Comment ?


La phase de planification et de préparation, particulièrement importante pour la réussite du déploiement, nécessite un in-ventaire rigoureux des matériels et des applicatifs utilisés dans l’entreprise – avec l’aide du logiciel d’audit MAP (Microsoft As-sessment and Planning) notamment. L’analyse de compatibi-lité du parc avec Windows 7 doit ensuite être effectuée avec une analyse des impacts techniques éventuels.

Ce travail préalable réalisé, les « masters » (c’est-à-dire les images de configurations complètes à appliquer sur les postes de travail) peuvent être créés et le plan de déploiement par étape peut être déterminé. Il est bien sûr conseillé de fixer des objectifs réalistes et de veiller à les respecter.

L’heure de la grande migration venue, plusieurs outils Micro-soft vous aideront dans votre déploiement, parmi lesquels la solution de télédistribution MDT 2010 (Microsoft Deployment Toolkit) pour les déploiements ou le logiciel d’administration SCCM 2007 (System Center Configuration Manager). Des solutions parfaitement maîtrisées par Osiatis, connu pour son expertise dans la migration et le déploiement industrialisé des systèmes d’exploitation. Pour le déploie-ment de Windows 7, la SSII intervient à la fois sur site ou à distance, via son centre de services Everest qui a récemment ajouté une offre de déploiement à distance à ses services de masterisation et de packaging (basée sur SCCM 2007).

Déployer Windows 7 phase par phase

Phase de planification

Cette phase, essentielle à la bonne réussite du projet, poursuit un triple objectif :

Cartographier et analyser l’existant matériel, logiciel et process (procédures de • support, de maintenance, …), pour bien identifier les contraintes à prendre en compte et circonscrire les risques du chemin de migration,

Réaliser l’ensemble des tests (matériels, applicatifs, …), et apporter les solutions • requises afin d’assurer la faisabilité de l’opération de migration elle-même,

Proposer un plan efficient de conduite du changement.•

Négliger un quelconque de ces aspects conduirait probablement à une dérive des charges ou du périmètre dans le meilleur des cas, voire à une remise en cause du projet dans le pire des cas.

Centre de Services Everest :le déploiement à distance industrialisé

Osiatis est aux avant-postes des projets de migration vers la nouvelle version du système d’exploitation de Microsoft. Disposant de son propre centre de packaging, et d’un savoir-faire reconnu dans la télédistribution des applications, la migration des postes de travail, le déploiement et l’administration des systèmes d’exploitation, la SSII offre toute une gamme de services autour de Windows 7 : de l’audit des infrastructures et des applications à la planification et au déploiement.

6

1er chantier : Analyse de l’existant matériel

Il s’agit ici de réaliser un inventaire exhaustif des matériels présents dans le parc informatique afin de valider leur compatibilité avec le système d’exploitation Windows 7, et notamment :

Le processeur•

La quantité de mémoire•

La capacité disque•

La carte vidéo (pour le support des effets de transparence et 3D d’aero)•

Pour les périphériques (imprimantes, scanners, webcams, lecteurs de smartcards • ou d’empreintes digitales, …), existence d’un driver valide voire « certifié »

La présence d’un composant TPM (Trusted Platform Module), • si l’on souhaite utiliser le composant de sécurité Bitlocker

La disponibilité des instructions de virtualisation (AMD-V ou Intel VT), • si l’on souhaite utiliser certaines fonctionnalités évoluées telles que le « mode XP » ou Med-V

A l’issue de ces opérations, nous serons en mesure de classifier les matériels compatibles (et le cas échéant d’évaluer les coûts de mise à jour des différents composants) :

En l’état•

Avec mise à jour matérielle (upgrade mémoire, …)•

Avec mise à jour logicielle (par exemple driver pour un périphérique, • ou Bios pour une machine)

2ème chantier : analyse de l’existant logiciel

La problématique de compatibilité applicative par rapport à Windows XP est l’élément le plus important (et le plus chronophage) du chemin critique de la migration. Dans une très grande majorité des cas, elle conditionne la faisabilité du projet lui-même.

Les « causes » d’incompatibilité sont en effet multiples :

Processus d’UAC (User Account Control),•

Volonté de passer sur une plateforme 64 bits,•

Mode protégé d’Internet Explorer 7/8,•

Sécurisation de la plateforme Windows 7 • (séparation/durcissement des services par rapport à Windows XP, …),

Pare-feu intégré,•

Etc.• Il convient donc d’attacher une importance toute particulière à inventorier de manière exhaustive son patrimoine applicatif. Sans oublier les macros / applications Office (Excel, Access, …) lorsque le projet de mise à niveau vers Windows 7 s’accompagne d’une montée de version vers Office 2007 / 2010 !A l’issue de cet inventaire, il sera possible ainsi de classifier son patrimoine applicatif :

Applications « standards » du marché (Adobe, Office, Antivirus, …)•

Applications « métier » du marché (GED, ERP, …)•

Applications « spécifiques », souvent orientées métiers et dont le développement • est le plus souvent interne à la société

A noter qu’a contrario d’une migration Windows XP vers Windows 7, une migration depuis Windows Vista s’opé-rera le plus souvent sans mauvaise surprise du point de vue applicatif, Microsoft s’étant attaché à proposer une compatibilité quasi-totale entre ces 2 plateformes. D’un point de vue process (que nous pourrions également


appeler « principe de précaution »), il convient cependant de procéder à une validation technique et fonctionnelle de l’ensemble des applicatifs.

3ème chantier : conduite des tests de compatibilité (matérielle, logicielle) et préconisation des solutions

Sur la base des catalogues matériel et logiciel issus des deux précédents chantiers, il s’agit désormais de conduire un ensemble de tests pour vérifier la compatibilité des différents composants, et le cas échéant, de décrire une solution à cette incompatibilité.Il conviendra donc de mettre en place un véritable « laboratoire », hébergeant un certain nombre de technologies (voir encadré), qui servira d’environnement de test aux différents acteurs du projet.

Pour résoudre les problèmes d’incompatibilité applicative, les pistes à explorer sont nombreuses :

Montée de version des applications vers une version compatible•

Utilisation des options de compatibilité natives dans Windows 7•

Désactivation UAC / LoRIE•

Virtualisation des applications (App-V)•

Virtualisation de l’OS (Med-V et « mode XP »)•

Utilisation des services de terminaux Windows Server 2008 / Citrix•

Réécriture des applications / macros « spécifiques » • (disponibilité du code source documenté, d’un référent, … ?)

Idéalement, le processus à mettre en œuvre serait le suivant :

Classification de degré de criticité des applications vis-à-vis du métier de 1. l’entreprise. Par exemple : critique, modéré, faible

Traitement en mode « projet » pour chaque application / macro référencée comme 2. « critique » (voire « modérée »)

Identification d’un référent interne, capable de définir le protocole de test « métier »a.

Conduite des tests techniques et fonctionnelsb.

Document de recettec.

Le cas échéant, préconisations de résolution ou d’une solution de contournement d. (plan de charge et plan d’actions associés)

Technologies du « laboratoire » :

Windows XP / Windows Vista / Windows 7 / Office 2007 -

Application Compatibility Toolkit (ACT) -

Office Migration Planning Manager (OMPM) pour les aspects Office 2007 -

Microsoft Application Virtualization (App-V), Microsoft Enterprise Desktop Virtualization -

(Med-V) et le « Mode XP » pour les solutions de remédiation

System Center Configuration Manager (SCCM) 2007 R2 et Microsoft Deployment Toolkit -

(MDT) 2010 pour les solutions de déploiement

8

4ème chantier : Conduite du changement

La mise en œuvre d’une nouvelle technologie montre en général un indice de satisfaction client sur le modèle suivant :

Tout l’art d’une gestion efficace d’un projet de mise à niveau (et donc la finalité de la conduite du changement) va consister à réduire au maximum la phase initiale « d’insatisfaction » de l’utilisateur, où celui-ci a quelque peu perdu ses repères et cherche à reprendre ses marques, pour l’amener dans une zone d’addiction où l’outil sera pleinement intégré dans les processus métiers.La conduite du changement (parfois appelée accompagnement du changement) vise à faciliter l’acceptation des changements induits par la mise en œuvre d’un nouveau projet et à réduire les facteurs de rejet.Ce chantier doit notamment permettre de décrire précisément les éléments suivants :

Les enjeux (stratégiques, business, techniques, …) et les facteurs du changement•

Les points de résistance au changement•

Les acteurs à impliquer (responsables, « facilitateurs », …)•

La structure des coûts•

Les impacts, que ce soit pour l’utilisateur final ou pour l’IT (en terme d’exploitation, • d’administration, …), et donc : - Le plan de formation : acteurs, vecteurs, planning - Le plan de communication : acteurs, vecteurs, planning

La trousse à outils de la phase planification :

Microsoft Assessment Planning (MAP) -

Windows 7 Upgrade Advisor -

Application Compatibility Toolkit (ACT) -

Office Migration Planning Manager (OMPM) -

Microsoft Application Virtualization (App-V) -

Microsoft Enterprise Desktop Virtualization (Med-V) -

« Mode XP » -

System Center Configuration Manager 2007 R2 -

Microsoft Deployment Toolkit 2010 -

Phase de réalisation

I l s’agit dans un premier temps de définir le cycle de vie du poste de travail et d’apporter des réponses à diffé-rentes questions, structurantes dans la conception du master.

Quels seront les composants systèmes du master ?Industrialisation : Quelle(s) technologie(s) de masterisation ? Quelle(s) solution(s) de déploiement ?Comment gérer les mises à jour de sécurité (patch management) – Outillage et process ?Quels sont les différents profils applicatifs utilisateurs ?Quelles sont les applications à inclure dans le master (« tronc commun ») et quelles sont celles en conséquen-ce à déployer en fonction du profil « métier » ?A partir de quel degré de changement (service pack, …) envisager de générer un nouveau master ?Quelle(s) méthode(s) d’authentification (carte à puce, biométrie, …) ?

Satisfaction

Satisfactioninitiale

Zoned’addiction ?

Temps


A partir de ces éléments, on procède alors dans l’ordre :

Le cas échéant, à la spécification et à l’intégration de l’outillage de déploiement•

A la rédaction d’un document de spécifications du master et de son cycle de vie, • en prenant en compte les éléments suivants :

Utilisation : Desktop, laptop, Tablet PC, « mini-portable », … »

Stratégies locales (restriction d’installation des périphériques USB, » règles de pare-feu, paramètre Internet Explorer, …)

Redirection de documents »

Sécurisation du poste (bitlocker, cryptage EFS, …) »

Modèle d’administration Office 2007 (forcer l’enregistrement au format office 97-2003, …) »

Paramétrages graphique et performances »

Modèles de gestion d’alimentation »

Environnement MUI (gestion multilingue) »

A la réalisation et à l’industrialisation du master (image WIM), sur la base • des éléments précédents

Au packaging des applications (virtuelles ou non) hors master et à leur intégration • dans la solution de déploiement

A l’intégration des correctifs de sécurité (hors master) • dans la solution de déploiement

Cette phase donne inévitablement lieu à un maquettage, et trouve très souvent son aboutissement lors d’un « pilote » afin de valider que le travail réalisé est en adéquation avec le contexte de l’entreprise, tant d’un point de vue technologique que d’un point de vue process.De plus, cette phase assure le plus souvent une réelle et progressive montée en compétence des différents acteurs.

La trousse à outils de la phase réalisation :

Windows Automated Installation Kit (WAIK) – -Windows Imaging (WIM) - DISM

Outil de packaging MSI -

Powershell -

Office Customization Toolkit (OCT) -

Microsoft Application Virtualization (App-V) -

Microsoft Enterprise Desktop Virtualization (Med-V) -

« Mode XP » -



User State Migration Tool (USMT) -

Stratégies systèmes (GPOs) -

Windows Software Update Services (WSUS) -

Windows Deployment Services (WDS) -

Phase de déploiement

A près le « go » prononcé lors de la phase précédente, il s’agit maintenant de procéder au déploiement de la solution industrialisée en environnement de production.

Le déploiement peut être :

« massif » (appelé également « one shot »), pour mettre à jour un nombre important • de machines en un temps réduit

« fractionné », par exemple par site géographique, par service, … •

« au fil de l’eau » (par exemple lors du renouvellement des machines).• Ces différents approches ont un impact bien évidemment différent, notamment en terme de logistique :

De déploiement•

10

De support (équipe support dédiée et numéro de téléphone distinct)•

De formation•

De communication.• Sur ces derniers sujets, la mise en œuvre d’un portail « collaboratif » peut permettre une moindre sollicitation des équipes support, via :

L’hébergement de blogs ou autres wiki pour faciliter la capitalisation et • l’appropriation (utilisateurs et équipes support d’ailleurs)

La mise à disposition de guides d’utilisation et autres recueils de bonnes • pratiques, pour une aide à la prise en main

Une FAQ sur les dysfonctionnements les plus fréquemment rencontrés•

Etc.•

En tout état de cause et quelle que soit l’approche retenue, il convient de s’assurer que l’on dispose d’une solu-tion efficace et performante de suivi des opérations et d’un reporting adapté.

La trousse à outil de la phase déploiement :



Stratégies systèmes (GPOs) -

Windows Software Update Services (WSUS) -

Windows Deployment Services (WDS) -

System Center Operations Manager 2007 R2 -

Portail « collaboratif » -

6 grandes erreurs à éviter

Négliger l’analyse de 1 compatibilité entre l’existant applicatif et matériel de l’entreprise et Windows 7.

Ne pas prévoir de plan de 2 contournement pour les applications qui pourraient être incompatibles.

Fermer les yeux sur les aspects 3 qui risquent de perturber les utilisateurs.

Sous-estimer les besoins en 4 formation.

Oublier la communication 5 autour de Windows 7 et de la suite de bureautique et de collaboration Office qui lui est associée.

Négliger la formation en amont 6 des équipes d’exploitation et de support aux utilisateurs.

À regarder de près

AppLocker. - Cette nouvelle fonctionnalité de Windows 7 permet aux utilisateurs de définir des applications qui seront autorisées ou non à s’exécuter sur les postes de travail des utilisateurs.

Transfert de plusieurs flux en multi-diffusion. - Cette fonctionnalité peut être utilisée pour permettre aux serveurs de « diffuser » les données d’image simultanément vers plusieurs clients.

Paramètres utilisateurs. - L’outil de migration des paramètres utilisateurs de Windows 7 (User State Migration Tool) intègre une nouvelle option permettant de stocker les données et les paramètres utilisateurs à un endroit commun sur un lecteur. Ce qui élimine la nécessité de déplacer « physiquement » les fichiers pour les nouvelles installations.


ConclusionPour déployer dans de bonnes conditions Windows 7 en entreprise, il est indispensable de :

Respecter les différentes phase de son plan de déploiement (planification, • réalisation et déploiement en tant que tel)

De former les équipes de support et d’exploitation. Et ce afin qu’elles soient en • mesure d’aider les utilisateurs dès la mise en production du nouveau système d’exploitation.

D’accompagner le changement (tel que défini dans la phase de planification) • afin de s’assurer que le projet de migration soit vécu comme une attente par les collaborateurs, et non comme une contrainte.

Le succès d’un projet de migration vers Windows 7 a un prix : celui de la satisfaction des utilisateurs.

À propos

Osiatis, une des principales SSII françaises, est reconnu comme un leader des services aux infrastructures. Il est également

présent dans les développements nouvelles technologies grâce à sa filiale Osiatis Ingénierie. Le Groupe, qui a réalisé en

2008 un chiffre d’affaires de 239,5 M€, compte près de 2 800 collaborateurs en France où il dispose d’un réseau d’une

trentaine d’implantations ce qui garantit proximité et réactivité à ses 1 500 clients. Osiatis est également implanté en

Belgique/Luxembourg, Espagne et Autriche.

Osiatis France

1 rue du Petit Clamart

78142 Vélizy Villacoublay

Tél. : 01 41 28 31 51

Web : www.osiatis.fr

Livre Blanc Déployer Windows 7 en...

Documents

Transcript of Livre Blanc Déployer Windows 7 en...