livreBlanc6Web

Livre Blanc

Déployer Windows 7 en entreprise

2

Déployer Windows 7 en entreprise

Déployer Windows 7 en entreprise Doté de nouveaux outils de sécurité, de mobilité et d’administration des parcs de postes de travail, le système d’exploitation Windows 7 offre une meilleure productivité aux entreprises. Mais pour proter à

plein de ces avancées, un déploiement rigoureux, bien pensé en amont, s’impose.

L

e déploiement de Windows 7 gure aujourd’hui sur la « to- do-list » de nombreux dirigea nts et DSI. Non sans raisons. Doté d’une interface graphique rapide et conviviale, ce nouveau système d’exploitation, qui s’appuie sur un « noyau » Windows Vista, est plus léger que ses aînés. Disponible en versions 32 et 64 bits, il bénécie d’une multitude d’innovations améliorant la sécurité et la productivité des collaborateurs, dont une nouvelle barre des tâches, plus ergonomique, un système innovant de « jump lists » (des raccourcis vers les documents et les applications les plus utilisés) et une console de gestion des périphériques (Device Stage), etc…

Les avantages à noter Compatibilité. Basé sur le même noyau que Windows Vista, Windows 7 est compatible avec l’essentiel des applications tournant sous Vista (on estime que 10 millions de postes de travail sont actuellement équipés de cet OS en France). Le système a par ailleurs été optimisé pour tous les ordinateurs, des mini-PC aux stations de travail les plus évoluées.

Recherche. Windows 7 embarque des fonctionnalités de recherche fédérée permettant de rechercher des documents - localement ou à distance - sur un réseau d’entreprise, un serveur Sharepoint ou sur Internet...

Sécurité. Le système d’exploitation est livré avec de nouveaux outils de sécurisation des données, complémentaires du logiciel de chiffrement Bitlocker, apparu avec Windows Vista. Il intègre Bitlocker To Go, un outil de chiffrement des données stockées sur les périphériques amovibles (clés USB, mémoires ash...) et AppLocker (une nouvelle fonction qui permet aux administrateurs de spécier les applications autorisées à s’exécuter sur un ordinateur).

Nouveaux ponts avec Windows Server 2008 R2. Pris en charge par le même modèle de service, Windows 7 et Windows Server 2008 partagent une base de code commune. Ce qui signie que les mises à jour, notamment de sécurité, sont partagées par les serveurs et les ordinateurs clients. La fonctionnalité DirectAccess permet aussi de relier Windows 7 à distance à un serveur d’entreprise tournant sous Windows Server 2008 R2, via un tunnel sécurisé. Et ainsi de mettre à jour les ordinateurs via Internet, même lorsqu’ils ne sont pas connectés au réseau de l’entreprise.

3

4

Partenaire de longue date de Microsoft, Osiatis a pu tester et valider en « avant-première » ces innovations. Mieux, la SSII - sélectionnée comme « Preferred Partner Intégrateur » de Microsoft pour le programme TAP (Technical Adoption Program) Windows 7 visant à le faire découvrir à une trentaine de grandes entreprise s - a pu industrialiser dès à présent les processus de migration vers ce système d’exploitation. Et identier les facteurs clefs de succès d’un déploiement de Windows 7 en entreprise.

Points de vue d’experts Le point de vue de Julien Lesaicherre, Chef de produit Windows 7 Entreprise chez Microsoft France « Elément clé de notre visi on du poste de travail, Windows 7 innove sur 3 domaines. Il délivre la meilleure expérience utilisateur en toutes circonstances (performance, recherche donnée, mobilité…), il permet de diminuer les risques et d’assurer la sécurité du système d’information, notamment en offrant une granularité plus ne dans le contrôle de la sécurité, et ce, tout en répondant aux exigences de réduction des coûts via la rationalisation de la gestion des PC, du déploiement à l’administration des postes de travail. »

Le point de vue d’Hervé Thibault, Responsable Activité Infrastructures Microsoft chez Osiatis « Windows 7 ouvre la voie à la virtualisation des postes de travail en entreprise. La grande nouveauté du système c’est qu’il embarque nativement un logiciel de vir tualisation de Windows XP (le mode XP) mett ant à disposition de l’application l’environnement système dont elle a besoin. Il permet aux utilisateurs de faire tourner - de façon transparente - une application Windows XP dans une machine virtuelle dédiée. Le mode XP aide ainsi les entreprises à écarter l es risques d’incompatibilité de Windows 7 avec les applications développées pour Windows XP (sorti en 2001 mais toujours très présent en entreprise). Et à s’émanciper des dépendances entre les quatre grandes couches des systèmes d’information : le prol utilis ateur, les applications, le système d’exploitation et le matériel. Ce mode XP est enrichi de deux solutions complémentaires. Il s’agit de Med-V (Microsoft Enterprise Desktop Virtualization), un logiciel de s écurisation et d’administration des logiciels virtualisés, fruit du rachat de Kidaro en 2008. Et d’App-V, une solution de streaming applicatif et de virtualisation des applications issue de l’acquisition de Softricity en 2006. »

Se poser les bonnes questions

P

remier constat : si le s entreprises ont tout intérêt à fai re évoluer dès à présent leur s parcs de postes de travail vers Windows 7, elles doivent au préalable se poser les bonnes questions, notamment sur la compatibilité du nouveau système avec l’existant matériel et applicatif de l’entreprise. Les applications installées fonctionneront-elles avec Windows 7 ? Les documents utilisés par l’entreprise seront-ils compatibles avec Ofce 2007 ou, prochainement, avec Ofce 2010 ? Quid des macros que les utilisateurs ont développées ? Qu’en est-il de la compatibilité du parc d’équipements (PC, imprimantes, scanners de numérisation...) ? Certains matériels doivent-ils être remplacés et/ou mis à jour ? Comment ?

Déployer Windows 7 en entreprise

La phase de planication et de préparation, particulièrement importante pour la réussite du déploiement, nécessite un inventaire rigoureux des matériels et des applicatifs utilisés dans l’entreprise – avec l’aide du logiciel d’audit MAP (Microsof t Assessment and Planning) notamment. L’analyse de compatibilité du parc avec Windows 7 doit ensuite être effectuée avec une analyse des impacts techniques éventuels. Ce travail préalable réalisé, les « masters » (c’est-à-dire les images de congurations complètes à appliquer sur le s postes de travail) peuvent être créés et le plan de déploiement par étape peut être déterminé. Il est bien sûr conseillé de xer des objectifs réalistes et de veiller à les respecter.

5

Centre de Services Everest : le déploiement à distance industrialisé Osiatis est aux avant-postes des projets de migration vers la nouvelle version du système d’exploitation de Microsoft. Disposant de son propre centre de packaging, et d’un savoir-faire reconnu dans la télédistribution des applications, la migration des postes de travail, le déploiement et l’administration des systèmes d’exploitation, la SSII offre toute une gamme de services autour de Windows 7 : de l’audit des infrastructures et des applications à la planication et au déploiement.

L’heure de la grande migration venue, plusieurs outils Microsoft vous aideront dans votre déploiement, parmi lesquels la solution de télédistribution MDT 2010 (Microsoft Deployment Toolkit) pour les déploiements ou le logiciel d’administration SCCM 2007 (System Center Conguration Manager). Des solutions parfaitement maîtrisées par Osiatis, connu pour son expertise dans la migrati on et le déploiement industri alisé des systèmes d’exploitation. Pour le déploiement de Windows 7, la SSII intervient à la fois sur site ou à distance, via son centre de services Everest qui a récemment ajouté une offre de déploiement à distance à ses services de masterisation et de packaging (basée sur SCCM 2007).

Déployer Windows 7 phase par phase Phase de planication Cette phase, essentielle à la bonne réussite du projet, poursuit un triple objectif : • Cartographier et analyser l’existant matériel, logiciel et process (procédures de support, de maintenance, …), pour bien identier les contraintes à prendre en compte et circonscrire les risques du chemin de migration, • Réaliser l’ensemble des tests (matériels, applicatifs, …), et apporter les solutions requises an d’assurer la faisabilité de l’opération de migration elle-même, • Proposer un plan efcient de conduite du changement. Négliger un quelconque de ces aspects conduirai t probablement à une dérive des charges ou du périmètre dans le meilleur des cas, voire à une remise en cause du projet dans le pire des cas.

6

1er chantier : Analyse de l’existant matériel Il s’agit ici de réaliser un inventaire exhaustif des matériels présents dans le parc informatique an de valider leur compatibilité avec le système d’exploitation Windows 7, et notamment : • Le processeur • La quantité de mémoire • La capacité disque • La carte vidéo (pour le support des effets de transparence et 3D d’aero) • Pour les périphériques (imprimantes, scanners, webcams, lecteurs de smartcards ou d’empreintes digitales, …), existence d’un driver valide voire « certié » • La présence d’un composant TPM (Trusted Platform Module), si l’on souhaite utiliser le composant de sécurité Bitlocker • La disponibilité des instructions de virtualisation (AMD-V ou Intel VT), si l’on souhaite utiliser certaines fonctionnalités évoluées telles que le « mode XP » ou Med-V  A l’issue de ces opérations, nous serons en mesure de classier les matériels compatibles (et le cas échéant d’évaluer les coûts de mise à jour des différents composants) : • En l’état •  Avec mise à jour matérielle (upgrade mémoire, …) •  Avec mise à jour logicielle (par exemple driver pour un périphérique, ou Bios pour une machine)

2ème chantier : analyse de l’existant logiciel La problématique de compatibilité applicative par rapport à Windows XP est l’élément le plus important (et le plus chronophage) du chemin critique de la migration. Dans une très grande majorité des cas, elle conditionne la faisabilité du projet lui-même. Les « causes » d’incompatibilité sont en effet multiples : • Processus d’UAC (User Account Control), • Volonté de passer sur une plateforme 64 bits, • Mode protégé d’Internet Explorer 7/8, • Sécurisation de la plateforme Windows 7 (séparation/durcissement des services par rapport à Windows XP, …), • Pare-feu intégré, • Etc. Il convient donc d’attacher une importance toute particulière à inventorier de manière exhaustive son patrimoine applicatif. Sans oublier les macros / applicati ons Ofce (Excel, Access, …) lorsque le projet de mise à niveau vers Windows 7 s’accompagne d’une montée de version vers Ofce 2007 / 2010 !  A l’issue de cet inventaire, il sera possible ainsi de classier son patrimoine applicatif : •  Applications « standards » du marché (Adobe, Ofce, Antivirus, …) •  Applications « métier » du marché (GED, ERP, …) •  Applications « spéciques », souvent orientées métiers et dont le développement est le plus souvent interne à la société  A noter qu’a contrario d’une migration Windows XP vers Windows 7, une migration depuis Windows Vista s’opérera le plus souvent sans mauvaise surprise du point de vue applicatif, Microsoft s’étant attaché à proposer une compatibilité quasi-totale entre ces 2 plateformes. D’un point de vue process (que nous pourrions également

Déployer Windows 7 en entreprise

appeler « principe de précaution »), il convient cependant de procéder à une validation technique et fonctionnelle de l’ensemble des applicatifs.

3ème chantier : conduite des tests de compatibilité (matérielle, logicielle) et préconisation des solutions Sur la base des catalogues matériel et logiciel issus des deux précédents chantiers, il s’agit désormais de conduire un ensemble de tests pour vérier la compatibilité des différents composants, et le cas échéant, de décrire une solution à cette incompatibilité. Il conviendra donc de mettre en place un véritable « laboratoire », hébergeant un certain nombre de technologies (voir encadré), qui servira d’environnement de test aux différents acteurs du projet. Pour résoudre les problèmes d’incompatibilité applicative, les pistes à explorer sont nombreuses : • Montée de version des applications vers une version compatible • Utilisation des options de compatibilité natives dans Windows 7 • Désactivation UAC / LoRIE • Virtualisation des applications (App-V) • Virtualisation de l’OS (Med-V et « mode XP ») • Utilisation des services de terminaux Windows Server 2008 / Citrix • Réécriture des applications / macros « spéciques » (disponibilité du code source documenté, d’un référent, … ?) Idéalement, le processus à mettre en œuvre serait le suivant : 1. Classication de degré de criticité des applications vis-à-vis du métier de l’entreprise. Par exemple : critique, modéré, faible 2. Traitement en mode « projet » pour chaque application / macro référencée comme « critique » (voire « modérée ») a. Identication d’un référent interne, capable de dénir le protocole de test « métier » b. Conduite des tests techniques et fonctionnels c. Document de recette d. Le cas échéant, préconisations de résolution ou d’une solution de contournement (plan de charge et plan d’actions associés)

7

8

4ème chantier : Conduite du changement La mise en œuvre d’une nouvelle technologie montre en général un indice de satisfaction client sur le modèle suivant :

Satisfaction

Zone d’addiction ?

Satisfaction initiale

Temps

Tout l’art d’une gestion efcace d’un projet de mise à niveau (et donc la nalité de la conduite du changement) va consister à réduire au maximum la phase initiale « d’insatisfaction » de l’utilisateur, où celui-ci a quelque peu perdu ses repères et cherche à reprendre ses marques, pour l’amener dans une zone d’addiction où l’outil sera pleinement intégré dans les processus métiers. La conduite du changement (par fois appelée accompagnement du changemen t) vise à faciliter l’acceptation des changements induits par la mise en œuvre d’un nouveau projet et à réduire les facteurs de rejet. Ce chantier doit notamment permettre de décrire précisément les éléments suivants : • Les enjeux (stratégiques, business, techniques, …) et les facteurs du changement • Les points de résistance au changement • Les acteurs à impliquer (responsables, « facilitateurs », …) • La structure des coûts • Les impacts, que ce soit pour l’utilisateur nal ou pour l’IT (en terme d’exploitation, d’administration, …), et donc : - Le plan de formation : acteurs, vecteurs, planning - Le plan de communication : acteurs, vecteurs, planning

Phase de réalisation

I

l s’agit dans un premier temps de dénir l e cycle de vie du poste de travail et d’apporter des ré ponses à diffé rentes questions, structurantes dans la conception du master. Quels seront les composants systèmes du master ? Industrialisation : Quelle(s) technologie(s) de masterisation ? Quelle(s) solution(s) de déploiement ? Comment gérer les mises à jour de sécurité (patch management) – Outillage et process ? Quels sont les différents prols applicatifs utilisateurs ? Quelles sont les applications à inclure dans le master (« tronc commun ») et quelles sont celles en conséquence à déployer en fonction du prol « métier » ?  A partir de quel degré de changement (service pack, …) envisager de générer un nouveau master ? Quelle(s) méthode(s) d’authentication (carte à puce, biométrie, …) ?

Déployer Windows 7 en entreprise

 A partir de ces éléments, on procède alors dans l’ordre : • Le cas échéant, à la spécication et à l’intégration de l’outillage de déploiement •  A la rédaction d’un document de spécications du master et de son cycle de vie, en prenant en compte les éléments suivants : »

»

Utilisation : Desktop, laptop, Tablet PC, « mini-portable », … Stratégies locales (restriction d’installation des périphériques USB, règles de pare-feu, paramètre Internet Explorer, …)

»

Redirection de documents

»

Sécurisation du poste (bitlocker, cryptage EFS, …)

»

Modèle d’administration Ofce 2007 (forcer l’enregistrement au format ofce 97-2003, …)

»

Paramétrages graphique et performances

»

Modèles de gestion d’alimentation

»

Environnement MUI (gestion multilingue)

•  A la réalisation et à l’industrialisation du master (image WIM), sur la base des éléments précédents •  Au packaging des applications (virtuelles ou non) hors master et à leur intégration dans la solution de déploiement •  A l’intégration des correctifs de sécurité (hors master) dans la solution de déploiement Cette phase donne inévitablement lieu à un maquettage, et trouve très souvent son aboutissement lors d’un « pilote » an de valider que le travail réalisé est en adéquation avec le contexte de l’entreprise, tant d’un point de vue technologique que d’un point de vue process. De plus, cette phase assure le plus souvent une réelle et progressive montée en compétence des différents acteurs.

Phase de déploiement

 A 

près le « go » prononcé lors de la phase précédente, il s’agit maintenant de procéder au déploiement de la solution industrialisée en environnement de production. Le déploiement peut être : • « massif » (appelé également « one shot »), pour mettre à jour un nombre important de machines en un temps réduit • « fractionné », par exemple par site géographique, par service, … • « au l de l’eau » (par exemple lors du renouvellement des machines). Ces différents approches ont un impact bien évidemment différent, notamment en terme de logistique : • De déploiement

9

10

• De support (équipe support dédiée et numéro de téléphone distinct) • De formation • De communication. Sur ces derniers sujets, la mise en œuvre d’un portail « collaboratif » peut permettre une moindre sollicitation des équipes support, via : • L’hébergement de blogs ou autres wiki pour faciliter la capitalisation et l’appropriation (utilisateurs et équipes support d’ailleurs) • La mise à disposition de guides d’utilisation et autres recueils de bonnes pratiques, pour une aide à la prise en main • Une FAQ sur les dysfonctionnements les plus fréquemment rencontrés • Etc. En tout état de cause et quelle que soit l’approche retenue, il convient de s’assurer que l’on dispose d’une solution efcace et performante de suivi des opérations et d’un reporting adapté.

À regarder de près -  AppLocker. Cette nouvelle fonctionnalité de Windows 7 permet aux utilisateurs de dénir des applications qui seront autorisées ou non à s’exécuter sur les postes de travail des utilisateurs.

6 grandes erreurs à éviter 1 Négliger l’analyse de compatibilité entre l’existant applicatif et matériel de l’entreprise et Windows 7.

2 Ne pas prévoir de plan de - Transfert de plusieurs ux en multi-diffusion. Cette fonctionnalité peut être utilisée pour permettre aux serveurs de « diffuser » les données d’image simultanément vers plusieurs clients. - Paramètres utilisateurs. L’outil de migration des paramètres utilisateurs de Windows 7 (User State Migration Tool) intègre une nouvelle option permettant de stocker les données et les paramètres utilisateurs à un endroit commun sur un lecteur. Ce qui élimine la nécessité de déplacer « physiquement » les chiers pour les nouvelles installations.

contournement pour les applications qui pourraient être incompatibles.

3 Fermer les yeux sur les aspects qui risquent de perturber les utilisateurs.

4 Sous-estimer les besoins en formation.

5 Oublier la communication autour de Windows 7 et de la suite de bureautique et de collaboration Ofce qui lui est associée.

6 Négliger la formation en amont des équipes d’exploitation et de support aux utilisateurs.

Déployer Windows 7 en entreprise

Conclusion Pour déployer dans de bonnes conditions Windows 7 en entreprise, il est indispensable de : • Respecter les différentes phase de son plan de déploiement (planication, réalisation et déploiement en tant que tel) • De former les équipes de support et d’exploitation. Et ce an qu’elles soient en mesure d’aider les utilisateurs dès la mise en production du nouveau système d’exploitation. • D’accompagner le changement (tel que déni dans la phase de planication) an de s’assurer que le projet de migration soit vécu comme une attente par les collaborateurs, et non comme une contrainte. Le succès d’un projet de migration vers Windows 7 a un prix : celui de la satisfaction des utilisateurs.

11

À propos Osiatis, une des principales SSII françaises, est reconnu comme un leader des services aux infrastructures. Il est également présent dans les développements nouvelles technologies grâce à sa liale Osiatis Ingénierie. Le G roupe, qui a réalisé en 2008 un chiffre d’affaires de 239,5 M€, compte près de 2 800 collaborateurs en France où il dispose d’un réseau d’une trentaine d’implantations ce qui garantit proximité et réactivité à ses 1 500 clients. Osiatis est également implanté en Belgique/Luxembourg, Espagne et Autriche.

Osiatis France 1 rue du Petit Clamart 78142 Vélizy Villacoublay Tél. : 01 41 28 31 51 Web : www.osiatis.fr