Utilisation d'une image Windows

Pour créer un pool de bureaux à l'aide de Windows, vous devez utiliser votre propre licence.

Remarque

  • Oracle fournit des images de base Windows à usage général préconfigurées pour une utilisation avec Secure Desktops. Ouvrez une demande de service pour demander l'une de ces images. Pour plus d'informations, reportez-vous à Images prises en charge.
  • OCI ne fournit pas d'images ou de licences pour Windows 10 ou Windows 11. Pour utiliser une image Windows, vous devez respecter votre contrat de licence Microsoft. Reportez-vous à Gestion des licences Microsoft sur Oracle Cloud Infrastructure.

Import d'images Windows personnalisées

Le service Compute permet d'importer des images Windows créées en dehors d'Oracle Cloud Infrastructure. Par exemple, vous pouvez importer des images exécutées sur des machines virtuelles ou physiques sur site, ou des machines virtuelles exécutées dans Oracle Cloud Infrastructure Classic. Vous pouvez ensuite lancer les images importées sur des machines virtuelles de calcul.

Attention

  • Si Oracle Cloud Infrastructure prend en charge le lancement d'une instance à partir d'un système d'exploitation personnalisé, cela ne garantit pas la prise en charge de l'instance par le fournisseur du système d'exploitation.
  • Pour Windows 10/11, vous devez utiliser votre propre licence (BYOL). Pour l'activer, l'image personnalisée doit indiquer le système d'exploitation Windows.
  • Par défaut, les bureaux Windows sont provisionnés sur des hôtes de machine virtuelle dédiés (DVH). Si votre contrat de licence autorise la virtualisation des bureaux Windows 10/11 dans un environnement cloud, vous pouvez désactiver le provisionnement DVH en ajoutant la balise appropriée à l'image utilisée pour créer le pool de bureaux. Reportez-vous à Balises de bureaux sécurisés.

Configuration requise pour les images source Windows

Les images personnalisées doivent répondre aux exigences suivantes :

  • La taille d'image maximale est de 400 Go.
  • L'image doit être configurée pour un type d'initialisation pris en charge.
    • Pour une image Windows 10, utilisez le type d'initialisation UEFI ou Legacy BIOS.
    • Pour une image Windows 11, utilisez uniquement le type d'initialisation UEFI.
  • Le processus d'initialisation ne doit pas exiger la présence de volumes de données supplémentaires pour une initialisation réussie.
  • L'image disque ne peut pas être chiffrée.
  • L'image de disque doit être un fichier VMDK ou QCOW2.
    • Créez le fichier image en clonant le volume source, et non en créant un cliché.
    • Les fichiers VMDK doivent être de type unique (monolithicSparse) ou optimisé pour le flux (streamOptimized). Les deux types sont constitués d'un seul fichier VMDK. Tous les autres formats VMDK, tels que ceux qui utilisent plusieurs fichiers, qui fractionnent les volumes ou qui contiennent des clichés, ne sont pas pris en charge.
  • L'interface réseau doit utiliser DHCP pour repérer les paramètres réseau. Lors de l'import d'une image personnalisée, les interfaces réseau existantes ne sont pas récréées. Toute interface réseau existante est remplacée par une carte d'interface réseau unique une fois le processus d'import terminé. Vous pouvez attacher des cartes d'interface réseau virtuelles supplémentaires après avoir lancé l'instance importée.
  • La configuration réseau ne doit pas coder en dur l'adresse MAC de l'interface réseau.
  • Pour les images Windows 11, l'initialisation sécurisée et le module de plate-forme sécurisée (TPM) doivent être désactivés pour Windows lors de la création d'images si votre plate-forme de virtualisation ne les prend pas en charge (par exemple, VirtualBox). Avant l'installation, utilisez l'éditeur de registre pour ajouter de nouvelles clés de registre :
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck Valeur DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck Valeur DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck Valeur DWORD (32 bits) 1.

Préparation des machines virtuelles Windows pour import

Pour pouvoir importer une image Windows personnalisée, vous devez préparer l'image pour vous assurer que les instances lancées à partir de celle-ci peuvent s'initialiser correctement et que les connexions réseau fonctionneront correctement.

Vous pouvez effectuer les tâches décrites dans cette section sur le système source en cours d'exécution. Si vous avez des doutes quant à la modification du système source actif, vous pouvez exporter l'image telle quelle, l'importer dans Oracle Cloud Infrastructure, puis lancer une instance basée sur l'image personnalisée. Vous pouvez ensuite vous connecter à l'instance à l'aide de la console VNC et réaliser les étapes de préparation.

Important

Le lecteur système sur lequel Windows est installé sera importé vers Oracle Cloud Infrastructure. Toutes les partitions du lecteur suivront par le biais de l'image importée. Les autres lecteurs ne seront pas importés. Vous devez les recréer sur l'instance après import. Vous devrez ensuite déplacer manuellement les données sur les lecteurs autres que système.

Pour préparer une machine virtuelle Windows à l'importation, utilisez l'une des options suivantes :

Préparation d'une machine virtuelle à l'aide du générateur d'images Secure Desktops

Utilisez le générateur d'images Secure Desktops pour préparer une machine virtuelle en tant qu'image à utiliser avec Secure Desktops.

Cet utilitaire vérifie les exigences, effectue une installation sans surveillance et configure une image (au format VMDK) qui peut être téléchargée vers Oracle Cloud Infrastructure.

Remarque

  • Cet utilitaire crée des images pour les éditions Windows 10 ou 11 (64 bits) Enterprise ou Professional. Les versions d'évaluation ne sont pas prises en charge.
  • Cet utilitaire nécessite l'utilisation d'Oracle VirtualBox version 7.0.18. Si vous utilisez une autre solution logicielle de virtualisation, suivez la méthode manuelle pour préparer la machine virtuelle.
  • Cet utilitaire sélectionne automatiquement le microprogramme UEFI pour une image Windows 11.

Pour utiliser le générateur d'images Secure Desktops, procédez comme suit :

  1. Reportez-vous à OCI Secure Desktops : Procédure de création d'une image Windows à utiliser avec OCI Secure Desktops à l'aide du générateur d'images OCI Secure Desktops (KB91837).
  2. Consultez les instructions et téléchargez tous les packages requis sur le système local.
  3. Téléchargez le fichier d'application (joint dans l'article de la base de connaissances) sur le système local.
  4. Exécutez le fichier d'application en tant qu'administrateur et suivez toutes les invites.
  5. Une fois le processus terminé, l'utilitaire affiche l'emplacement du fichier image VMDK qui a été créé.

Etape suivante :

Importez le fichier d'image VMDK vers Oracle Cloud Infrastructure.

Préparation d'une machine virtuelle à l'aide de la méthode manuelle

Utilisez la méthode manuelle pour préparer une machine virtuelle en tant qu'image à utiliser avec Secure Desktops.

Remarque

Pour obtenir des instructions sur la préparation manuelle de la machine virtuelle à l'aide de VirtualBox, reportez-vous à OCI Secure Desktops : Windows 10/11 pour la préparation d'OCI (KB60923).

Pour préparer manuellement une machine virtuelle Windows, procédez comme suit :

  1. Suivez les instructions de sécurité de votre organisation afin de garantir la sécurité du système Windows. Cela peut inclure, sans toutefois s'y limiter, les tâches suivantes :
    • Installez les dernières mises à jour de sécurité pour le système d'exploitation et les applications installées.
    • Activez le pare-feu et configurez-le de façon à activer uniquement les règles nécessaires.
    • Désactivez les comptes privilégiés inutiles.
    • Utilisez des mots de passe forts pour l'ensemble des comptes.
  2. Définissez votre serveur d'activation de licence :
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Créez une sauvegarde du volume racine.
  4. Si la machine virtuelle dispose d'un stockage attaché à distance, tel que NFS ou des volumes de blocs, configurez tous les services qui reposent sur ce stockage de sorte qu'ils démarrent manuellement. Le stockage attaché à distance n'est pas disponible lors de la première initialisation d'une instance importée sur Oracle Cloud Infrastructure.
  5. Assurez-vous que toutes les interfaces réseau utilisent DHCP, et que l'adresse MAC et les adresses IP ne sont pas codées en dur. Reportez-vous à la documentation de votre système afin de savoir comment effectuer sa configuration réseau.
  6. Installez l'agent Oracle Cloud. Pour obtenir le fichier d'installation de l'agent Oracle Cloud, contactez le support technique Oracle.
  7. Téléchargez les pilotes Oracle VirtIO pour Microsoft Windows.
  8. Installez les pilotes (sélectionnez le type d'installation Personnalisé), puis redémarrez l'instance.
  9. Désactivez LockScreen :
    try {
      Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
    } catch {
     New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
    } try {
     New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
     Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
    } catch {
     echo "done"
    }
  10. Désactivez RDP :
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Définissez le serveur de temps sur OCI :
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Vous pouvez éventuellement installer tout logiciel supplémentaire auquel vos utilisateurs souhaiteraient avoir accès.
  13. Installez Cloudbase-Init. Pendant l'installation :
    • Nom utilisateur : Administrateur
    • Ne sélectionnez pas l'option permettant d'exécuter le service Cloudbase-Init en tant que LocalSystem.

      L'utilisation de cette option rend certaines fonctionnalités du système d'exploitation indisponibles pendant la phase d'initialisation du cloud et peut entraîner des volumes de bureau manquants lors du lancement du bureau, ce qui vous oblige à exécuter le script attach_volume.ps1 pour résoudre le problème. Voir Manquant de volumes de bureau à l'ouverture du bureau Windows.

    • Ne sélectionnez pas les options d'exécution de Sysprep dans Cloudbase-Init et arrêtez le système.

    Une fois l'installation terminée, modifiez C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf et ajoutez retry_count=100.

  14. Créez le script PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 pour activer RDP dans Oracle Cloud Infrastructure lors de l'exécution de Cloudbase-Init :
    #ps1_sysnative 
    # 
    # location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
    # 
    $script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
    $log="$script_path\enable_rdp.txt" 
    Start-Transcript -Path $log -Append 
    Write-Host "Enabling rdp port" | Out-Default 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
    date | Out-Default 
    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
    # 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
  15. Si vous avez l'intention de lancer l'image importée sur plusieurs instances de machine virtuelle, créez une image générale du disque d'initialisation. Une image généralisée est nettoyée à partir d'informations propres à l'ordinateur, telles que les identificateurs uniques. Lorsque vous créez des instances à partir d'une image généralisée, les identificateurs uniques sont régénérés. Cela évite que deux instances créées à partir de la même image entrent en conflit sur les mêmes identificateurs.
  16. Exécutez le vérificateur de préparation aux images OCI Secure Desktops pour vérifier si votre machine virtuelle répond aux exigences de conformité à créer en tant qu'image à utiliser avec Secure Desktops.

    Cet outil peut mettre à jour le protocole NTP (Network Time Protocol), le protocole RDP (Remote Desktop Protocol) et verrouiller les paramètres d'écran requis pour une image Windows Secure Desktops.

    Pour plus d'informations sur cet utilitaire et pour télécharger le fichier d'application, reportez-vous à OCI Secure Desktops : procédure de confirmation de la conformité à l'aide du vérificateur de disponibilité des images OCI Secure Desktops (KB100881)

  17. Clonez la machine virtuelle arrêtée en tant que fichier VMDK ou QCOW2. Pour connaître les étapes à suivre, reportez-vous à la documentation des outils fournie avec votre environnement de virtualisation.

Etape suivante :

Importez le fichier d'image VMDK ou QCOW2 vers Oracle Cloud Infrastructure.

Import d'une machine virtuelle basée sur Windows

Après avoir préparé une image Windows, téléchargez le fichier image et importez l'image.

  1. Téléchargez le fichier image vers un bucket Object Storage. Utilisez l'interface de ligne de commande (CLI) pour exécuter la commande suivante :
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
        -bn <name of bucket> \
        -ns <name space> \
        --name <The name of the object in the bucket> \
        --file <path to the QCOW2 or VMDK image>
  2. Créez une image personnalisée à partir de l'objet téléchargé dans le bucket :
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image import from-object \
       -ns <name space> \
       -bn <name of bucket> \
       --name <The name of the object in the bucket> \
       --compartment-id <The OCID of the compartment you want the custom image to be created in> \
       --display-name <A user-friendly name for the new custom image> \
       --launch-mode PARAVIRTUALIZED \
       --source-image-type QCOW2|VMDK

    L'image importée apparaît dans la liste des images personnalisées du compartiment, avec l'état Import en cours. Lorsque l'import est terminé, l'état devient Disponible.

    En cas d'échec de la modification de l'état ou d'absence d'entrée dans la liste des images personnalisées, l'import échoue. Vérifiez que vous disposez d'un accès en lecture à l'objet Object Storage et que cet objet contient une image prise en charge.

  3. Mettez à jour l'image personnalisée pour indiquer le système d'exploitation Windows et la version du système d'exploitation Windows10 ou Windows11 :
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image update --image-id <custom image ocid> \
       --operating-system Windows \
       --operating-system-version <Windows10 or Windows11>
  4. Assurez-vous que le mode d'initialisation de l'image personnalisée est correct.
    • Pour une image Windows 10, utilisez le type d'initialisation UEFI ou Legacy BIOS.
    • Pour une image Windows 11, utilisez uniquement le type d'initialisation UEFI.

    Pour régler le mode d'initialisation :

    1. Ouvrez le menu de navigation et cliquez sur Compute. Sous Calcul, cliquez sur Images personnalisées.
    2. Cliquez sur l'image personnalisée qui vous intéresse.
    3. Cliquez sur Actions et sélectionnez Modifier les fonctionnalités de l'image. Pour le microprogramme, sélectionnez le mode d'initialisation approprié.
    4. Cliquez sur Enregistrer les modifications.
  5. (Windows 11) Configurez l'image personnalisée pour les instances protégées.

    Windows 11 prend en charge les instances protégées. Les instances protégées utilisent une combinaison de l'initialisation sécurisée, de l'initialisation mesurée et du module de plate-forme sécurisée afin de renforcer la sécurité du microprogramme pour se défendre contre les logiciels malveillants au niveau de l'initialisation.

    • L'initialisation sécurisée est une fonctionnalité UEFI (Unified Extensible Firmware Interface) qui empêche l'initialisation des systèmes d'exploitation et des programmes de chargement d'initialisation non autorisés.
    • L'initialisation mesurée renforce la sécurité de l'initialisation en stockant les mesures des composants d'initialisation, comme les programmes de chargement d'initialisation, les pilotes et les systèmes d'exploitation.
    • Le TPM (Trusted Platform Module) est une puce de sécurité spécialisée utilisée par l'initialisation mesurée pour stocker les mesures d'initialisation. L'activation de l'initialisation mesurée pour les machines virtuelles active automatiquement TPM.

    Pour activer les instances protégées :

    1. Ouvrez le menu de navigation et cliquez sur Compute. Sous Compute, cliquez sur Images personnalisées.
    2. Cliquez sur l'image personnalisée qui vous intéresse.
    3. Cliquez sur Actions et sélectionnez Modifier les fonctionnalités d'image. Configurez les éléments suivants :
      • Pour le microprogramme, assurez-vous que seul UEFI-64 est sélectionné.
      • Assurez-vous que Secure Boot est activé.
    4. Cliquez sur Enregistrer les modifications.

    Par conséquent, lorsque vous créez un pool de bureaux à l'aide de cette image, Secure Desktops détecte ce paramètre d'image et active automatiquement les instances de bureau protégées.

  6. Avant de rendre votre image disponible pour utilisation avec Secure Desktops, nous vous recommandons de la tester en créant manuellement une instance de calcul avec l'image et en établissant une connexion à la console. Reportez-vous à Dépannage des instances à l'aide des connexions à la console pour une instance.
  7. Ajoutez la balise d'image requise pour rendre l'image disponible pour utilisation avec les bureaux sécurisés.

    oci:desktops:is_desktop_image=true

    Reportez-vous à Balises de bureau sécurisées.