Utiliser une image Windows

Pour créer un groupe d'ordinateurs de bureau à l'aide de Windows, vous devez utiliser votre propre licence.

Note

  • Oracle fournit des images de base Windows à usage général préconfigurées pour une utilisation avec des bureaux sécurisés. Ouvrez une demande de service pour demander l'une de ces images. Pour plus d'informations, voir Images prises en charge.
  • OCI ne fournit pas d'images ou de licences pour Windows 10 ou Windows 11. Pour utiliser une image Windows, vous devez respecter votre contrat de licence Microsoft. Voir Acquisition de licences Microsoft pour Oracle Cloud Infrastructure.

Importation d'images Windows personnalisées

Le service de calcul vous permet d'importer des images Windows qui ont été créées en dehors d'Oracle Cloud Infrastructure. Par exemple, vous pouvez importer des images exécutées sur des machines physiques ou virtuelles sur place, ou encore des machines virtuelles exécutées dans Oracle Cloud Infrastructure version classique. Vous pouvez ensuite lancer vos images importées sur des machines virtuelles de calcul.

Attention

  • La prise en charge d'Oracle Cloud Infrastructure lors du lancement d'une instance à partir d'un système d'exploitation personnalisé ne garantit pas que le fournisseur du système d'exploitation prend également en charge cette instance.
  • Windows 10/11 exige que vous utilisiez votre propre licence (BYOL). Pour l'activer, l'image personnalisée doit spécifier le système d'exploitation Windows.
  • Par défaut, les ordinateurs de bureau Windows sont provisionnés sur des hôtes dédiés de machine virtuelle (DVH). Si votre contrat de licence autorise la virtualisation des ordinateurs de bureau Windows 10/11 dans un environnement en nuage, vous pouvez désactiver le provisionnement d'hôte de machine virtuelle dédié en ajoutant le marqueur approprié à l'image utilisée pour créer le groupe d'ordinateurs de bureau. Voir Marqueurs de bureau sécurisés.

Exigences en matière d'images sources Windows

Les images personnalisées doivent répondre aux exigences suivantes :

  • La taille maximale de l'image est de 400 Go.
  • L'image doit être configurée pour un type de démarrage pris en charge.
    • Pour une image Windows 10, utilisez le type de démarrage UEFI ou BIOS existant.
    • Pour une image Windows 11, utilisez uniquement le type de démarrage UEFI.
  • Le processus de démarrage ne doit pas nécessiter la présence de volumes de données supplémentaires pour un démarrage réussi.
  • L'image disque ne peut pas être chiffrée.
  • L'image du disque doit être un fichier VMDK ou QCOW2.
    • Créez le fichier d'image en clonant le volume source, et non en créant un instantané.
    • Les fichiers VMDK doivent avoir l'un des types "monobloc évolutif" (monolithicSparse) ou "optimisé pour le flux" (streamOptimized), qui sont tous deux composés d'un fichier VMDK unique. Tous les autres formats VMDK, tels que ceux qui utilisent plusieurs fichiers, des volumes fractionnés ou qui contiennent des instantanés, ne sont pas pris en charge.
  • L'interface réseau doit utiliser DHCP pour détecter les paramètres de réseau. Lorsque vous importez une image personnalisée, les interfaces réseau existantes ne sont pas recréées. Toutes les interfaces réseau existantes sont remplacées par une carte d'interface réseau unique une fois le processus d'importation terminé. Vous pouvez attacher des cartes d'interface réseau virtuelle supplémentaires après avoir lancé l'instance importée.
  • La configuration réseau ne doit pas coder en dur l'adresse MAC de l'interface réseau.
  • Pour les images Windows 11, le démarrage sécurisé et le module de plate-forme sécurisée (TPM) doivent être désactivés pour Windows lors de la création de l'image si votre plate-forme de virtualisation ne les prend pas en charge (par exemple, VirtualBox). Avant l'installation, utilisez l'éditeur de registre pour ajouter de nouvelles clés de registre :
    • Valeur 1 de DWORD (32 bits) HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck.
    • Valeur 1 de DWORD (32 bits) HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck.
    • Valeur 1 de DWORD (32 bits) HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck.

Préparation des machines virtuelles Windows pour l'importation

Pour pouvoir importer une image Windows personnalisée, vous devez préparer l'image pour vous assurer que les instances lancées à partir de l'image peuvent démarrer correctement et que les connexions réseau fonctionnent correctement.

Vous pouvez effectuer les tâches décrites dans cette section sur le système source en cours d'exécution. Si vous avez des préoccupations sur la modification du système source en direct, vous pouvez exporter l'image telle quelle, l'importer dans Oracle Cloud Infrastructure, puis lancer une instance basée sur l'image personnalisée. Vous pouvez ensuite vous connecter à l'instance à l'aide de la console VNC et effectuer les étapes de préparation.

Important

Le lecteur système sur lequel Windows est installé sera importé dans Oracle Cloud Infrastructure. Toutes les partitions sur le lecteur accompagnent l'image importée. Tous les autres lecteurs ne sont pas importés et vous devez les recréer après l'importation. Vous devez ensuite déplacer manuellement les données sur les lecteurs autres que du système.

Pour préparer une machine virtuelle Windows à importer, utilisez l'une des options suivantes :

Préparation d'une machine virtuelle à l'aide de Secure Desktops Image Builder

Utilisez Secure Desktops Image Builder pour préparer une machine virtuelle en tant qu'image à utiliser avec Secure Desktops.

Cet utilitaire vérifie les exigences, effectue une installation sans surveillance et configure une image (au format VMDK) pouvant être chargée dans Oracle Cloud Infrastructure.

Note

  • Cet utilitaire crée des images pour les éditions Enterprise ou Professional de Windows 10 ou 11 (64 bits). Les versions d'évaluation ne sont pas prises en charge.
  • Cet utilitaire nécessite l'utilisation d'Oracle VirtualBox version 7.0.18. Si vous utilisez une autre solution logicielle de virtualisation, suivez la méthode manuelle pour préparer la machine virtuelle.
  • Cet utilitaire sélectionne automatiquement le micrologiciel UEFI pour une image Windows 11.

Pour utiliser Secure Desktops Image Builder :

  1. Reportez-vous à OCI Secure Desktops : Comment créer une image Windows à utiliser avec OCI Secure Desktops à l'aide du générateur d'images OCI Secure Desktops (KB91837).
  2. Consultez les instructions et téléchargez tous les packages requis sur le système local.
  3. Téléchargez le fichier d'application (joint dans l'article de connaissances) sur le système local.
  4. Exécutez le fichier d'application en tant qu'administrateur et suivez toutes les invites.
  5. Une fois le processus terminé, l'utilitaire affiche l'emplacement du fichier image VMDK qui a été créé.

Étape suivante :

Importez le fichier d'image VMDK vers Oracle Cloud Infrastructure.

Préparation d'une machine virtuelle à l'aide de la méthode manuelle

Utilisez la méthode manuelle pour préparer une machine virtuelle en tant qu'image à utiliser avec des bureaux sécurisés.

Note

Pour obtenir des conseils sur la préparation manuelle de la machine virtuelle à l'aide de VirtualBox, consultez Bureaux sécurisés OCI : Windows 10/11 pour la préparation OCI (KB60923).

Pour préparer manuellement une machine virtuelle Windows :

  1. Suivez les directives de sécurité de votre organisation pour vous assurer que le système Windows est sécurisé. Cela peut inclure les tâches suivantes, mais ne s'y limite pas :
    • Installez les dernières mises à jour de sécurité pour le système d'exploitation et les applications installées.
    • Activez le pare-feu et configurez-le pour activer uniquement les règles qui sont nécessaires.
    • Désactivez les comptes privilégiés inutiles.
    • Utilisez des mots de passe forts pour tous les comptes.
  2. Définissez votre serveur d'activation de licence :
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Créez une sauvegarde du volume racine.
  4. Si la machine virtuelle a un stockage attaché à distance, tel que NFS ou des volumes par blocs, configurez tous les services qui dépendent de ce stockage pour démarrer manuellement. Le stockage attaché à distance n'est pas disponible lors du premier démarrage d'une instance importée sur Oracle Cloud Infrastructure.
  5. Assurez-vous que toutes les interfaces réseau utilisent DHCP et que les adresses MAC et les adresses IP ne sont pas codées dur. Pour les étapes de configuration réseau du système, voir la documentation le concernant.
  6. Installez Oracle Cloud Agent. Pour obtenir le fichier d'installation d'Oracle Cloud Agent, communiquez avec le soutien technique d'Oracle.
  7. Téléchargez les pilotes Oracle VirtIO pour Microsoft Windows.
  8. Installez les pilotes (sélectionnez le type d'installation Personnalisé), puis redémarrez l'instance.
  9. Désactivez LockScreen :
    try {
      Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
    } catch {
     New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
    } try {
     New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
     Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
    } catch {
     echo "done"
    }
  10. Désactiver le modèle de dépendance de taux :
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Réglez le serveur de temps à OCI :
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Facultativement, installez tout logiciel supplémentaire auquel vous souhaitez que vos utilisateurs aient accès.
  13. Installez Cloudbase-Init. Lors de l'installation :
    • Nom d'utilisateur : Administrateur
    • Ne sélectionnez pas l'option LocalSystem pour exécuter le service Cloudbase-Init.

      L'utilisation de cette option rend certaines fonctions de système d'exploitation indisponibles pendant la phase d'initialisation en nuage et peut entraîner des volumes de bureau manquants lors du lancement du bureau, ce qui vous oblige à exécuter le script attach_volume.ps1 pour résoudre le problème. Voir Volumes de bureau manquants lors de l'ouverture du bureau Windows.

    • Ne sélectionnez pas les options permettant d'exécuter Sysprep dans Cloudbase-Init et d'arrêter le système.

    Une fois l'installation terminée, modifiez C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf et ajoutez retry_count=100.

  14. Créez le script PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 pour activer RDP dans Oracle Cloud Infrastructure lors de l'exécution de Cloudbase-Init :
    #ps1_sysnative 
    # 
    # location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
    # 
    $script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
    $log="$script_path\enable_rdp.txt" 
    Start-Transcript -Path $log -Append 
    Write-Host "Enabling rdp port" | Out-Default 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
    date | Out-Default 
    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
    # 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
  15. Si vous prévoyez de lancer l'image importée sur plusieurs instances de machine virtuelle, créez une image généralisée du disque de démarrage. Les informations spécifiques à un ordinateur, telles que les identificateurs uniques, sont nettoyées de l'image généralisée. Lorsque vous créez des instances à partir d'une image généralisée, les identificateurs uniques sont régénérés. Ainsi, deux instances créées à partir de la même image ne peuvent pas créer de conflit avec les mêmes identificateurs.
  16. Exécutez le vérificateur de préparation des images pour OCI Secure Desktops pour vérifier si votre machine virtuelle satisfait aux exigences de conformité à créer en tant qu'image pour une utilisation avec Secure Desktops.

    Cet outil peut mettre à jour Network Time Protocol (NTP), Remote Desktop Protocol (RDP) et verrouiller les paramètres d'écran requis pour une image Windows Secure Desktops.

    Pour plus d'informations sur cet utilitaire et pour télécharger le fichier d'application, consultez OCI Secure Desktops : How to Confirm Compliance Using the OCI Secure Desktops Image Readiness Checker (KB100881)

  17. Clonez la machine virtuelle arrêtée en tant que fichier VMDK ou QCOW2. Reportez-vous à la documentation des outils fournie avec votre environnement de virtualisation pour connaître les étapes.

Étape suivante :

Importez le fichier d'image VMDK ou QCOW2 dans Oracle Cloud Infrastructure.

Importation d'une machine virtuelle Windows

Après avoir préparé une image Windows pour l'importation, chargez le fichier d'image et importez l'image.

  1. Chargez le fichier d'image dans un seau du service de stockage d'objets. Utilisez l'interface de ligne de commande pour exécuter la commande suivante :
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
        -bn <name of bucket> \
        -ns <name space> \
        --name <The name of the object in the bucket> \
        --file <path to the QCOW2 or VMDK image>
  2. Créez une image personnalisée à partir de l'objet chargé dans le seau :
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image import from-object \
       -ns <name space> \
       -bn <name of bucket> \
       --name <The name of the object in the bucket> \
       --compartment-id <The OCID of the compartment you want the custom image to be created in> \
       --display-name <A user-friendly name for the new custom image> \
       --launch-mode PARAVIRTUALIZED \
       --source-image-type QCOW2|VMDK

    L'image importée apparaît dans la liste des images personnalisées pour le compartiment, avec le statut Importation. Lorsque l'importation est terminée, le statut passe à Disponible.

    En cas d'échec de la modification du statut ou d'absence d'entrée dans la liste d'images personnalisées, l'importation a échoué. Assurez-vous de disposer de l'accès en lecture à l'objet du service de stockage d'objets et qu'il contient une image prise en charge.

  3. Mettez à jour l'image personnalisée pour spécifier le système d'exploitation Windows et la version du système d'exploitation Windows10 ou Windows11 :
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image update --image-id <custom image ocid> \
       --operating-system Windows \
       --operating-system-version <Windows10 or Windows11>
  4. Assurez-vous que le mode de démarrage de l'image personnalisée est correct.
    • Pour une image Windows 10, utilisez le type de démarrage UEFI ou BIOS existant.
    • Pour une image Windows 11, utilisez uniquement le type de démarrage UEFI.

    Pour régler le mode de démarrage :

    1. Ouvrez le menu de navigation et cliquez sur Calcul. Sous Calcul, cliquez sur Images personnalisées.
    2. Cliquez sur l'image personnalisée qui vous intéresse.
    3. Cliquez sur Actions et sélectionnez Modifier les capacités d'image. Pour le microprogramme, sélectionnez le mode de démarrage approprié.
    4. Cliquez sur Enregistrer les modifications.
  5. (Windows 11) Configurez l'image personnalisée pour les instances dotées d'une protection maximale.

    Windows 11 inclut la prise en charge des instances dotées d'une protection maximale. Les instances blindées utilisent une combinaison de Secure Boot, Measured Boot et Trusted Platform Module (TPM) pour renforcer la sécurité du firmware afin de se protéger contre les logiciels malveillants au niveau du démarrage.

    • Le démarrage sécurisé est une fonction de l'interface UEFI (Unified Extensible Firmware Interface) qui empêche les programmes de démarrage et les systèmes d'exploitation non autorisés de démarrer.
    • Le démarrage mesuré améliore la sécurité du démarrage en stockant les mesures des composants de démarrage, tels que les chargeurs de démarrage, les pilotes et les systèmes d'exploitation.
    • Trusted Platform Module (TPM) est une puce de sécurité spécialisée utilisée par le démarrage mesuré pour stocker les mesures de démarrage. L'activation du démarrage mesuré pour les machines virtuelles active automatiquement TPM.

    Pour activer les instances dotées d'une protection maximale :

    1. Ouvrez le menu de navigation et cliquez sur Calcul. Sous Calcul, cliquez sur Images personnalisées.
    2. Cliquez sur l'image personnalisée qui vous intéresse.
    3. Cliquez sur Actions et sélectionnez Modifier les capacités d'image. Définissez les éléments suivants :
      • Pour le micrologiciel, assurez-vous que seul UEFI-64 est sélectionné.
      • Assurez-vous que le démarrage sécurisé est activé.
    4. Cliquez sur Enregistrer les modifications.

    Par conséquent, lorsque vous créez un groupe d'ordinateurs de bureau à l'aide de cette image, Secure Desktops détecte ce paramètre d'image et active automatiquement les instances de bureau dotées d'une protection maximale.

  6. Avant de rendre votre image disponible pour utilisation avec Secure Desktops, nous vous recommandons de tester l'image en créant manuellement une instance de calcul avec l'image et en établissant une connexion à la console. Voir Résolution des instances à partir des connexions à la console d'instance.
  7. Ajoutez la balise d'image requise pour rendre l'image disponible pour utilisation avec Secure Desktops.

    oci:desktops:is_desktop_image=true

    Voir Marqueurs de bureau sécurisés.