Déploiement Office 365 ProPlus : ODT et Shared Computers
Sommaire
I. Présentation
La suite Office peut être déployée sur les postes de votre parc informatique à l'aide de l'outil Office Deployment Toolkit, que ce soit Office 2016, Office 2019 ou Office 365 ProPlus comme nous avons pu le voir dans un précédent tutoriel. Le cas d'Office 365 ProPlus est un peu particulier, car il s'agit de la version fournie au travers des abonnements Office 365 / Microsoft 365. D'ailleurs, nous devons parler maintenant des "Applications Microsoft 365 pour l’entreprise" et non d'Office 365 ProPlus depuis la version 2004.
Lorsqu'un utilisateur dispose d'une licence qui intègre le pack Office, il peut l'installer sur plusieurs appareils personnels et il devra réaliser l'activation à l'aide de son compte Microsoft. Au niveau des postes Windows, chaque utilisateur bénéficie de 5 licences Office 365 ProPlus avec son compte. Le problème, c'est que si vous déployez ce pack Office dans votre entreprise, les utilisateurs devront activer la suite Office avec leur compte et cela va décompter une licence à chaque nouveau poste. Vous allez me dire, si la personne a un poste attribué ce n'est pas bien grave.
Prenons maintenant le cas d'une école où les étudiants peuvent avoir cette licence, et où les changements de postes sont très nombreux : l'étudiant va très rapidement arriver au bout des 5 activations. Cet exemple s'applique également à des usines, des hôpitaux, etc.
Pour répondre à cette problématique, Microsoft a intégré à son licensing la notion de "Shared Computers" (Ordinateurs partagés) qui permet d'identifier clairement les postes partagés afin d'éviter de décompter les licences inutilement lorsqu'un utilisateur va activer Office avec son compte. C'est ce que nous allons voir dans ce tutoriel.
Précisions sur le licensing :
Pour utiliser cette fonctionnalité, vous devez bien entendu pouvoir installer les Applications Microsoft 365 pour les entreprises (anciennement Office 365 ProPlus), qui sont incluses dans plusieurs plans Microsoft. C'est le cas notamment des plans Office 365 E3 ou A3, ainsi que les variantes Microsoft 365, ou encore de Microsoft 365 Business Premium. Attention tout de même, la prise en charge de l'activation d'ordinateurs partagés est prise en charge seulement sur Microsoft 365 Business Premium (en dehors des plans E3 et E5), c'est-à-dire qu'elle ne fonctionnera pas sur un plan Microsoft 365 Business Standard.
Note : l'activation d'ordinateurs partagés n'est pas compatible avec Office pour Mac
Voyons comment cela fonctionne...
Dès la phase de déploiement de la suite Office avec l'outil Office Deployment Toolkit (ODT), vous devez configurer Office pour qu'il fonctionne selon le mode "Ordinateur partagé".
L’authentification au sein d’Office avec un compte Microsoft sur un poste génère un token d’authentification (deux fichiers générés). Si les tokens sont stockés sur un dossier partagé (dans le profil itinérant ou redirigé, par exemple), cela permet de réutiliser le jeton lorsque l’utilisateur change de PC pour qu’il s’authentifie seulement une fois : ce paramétrage s’effectue via deux clés de registre (ou deux paramètres GPO équivalents). Nous y reviendrons.
Si le token d’authentification est stocké en local sur le PC, l’utilisateur doit s’authentifier avec son compte Office 365 au moins une fois sur chaque poste pour générer un token. Sans notion d'itinérance, il n'est pas possible de récupérer des informations sur une précédente activation.
1 - Choisir le bon produit
Lorsque vous allez créer votre fichier XML pour ODT ou reprendre un fichier existant, vous devrez utiliser le produit "O365ProPlusRetail", comme ceci :
<Product ID="O365ProPlusRetail">
<Language ID="fr-fr" />
</Product>
2 - La propriété SharedComputerLicensing
Ensuite, au niveau des propriétés déclarées dans ce bloc <Product>, vous devez ajouter la propriété SharedComputerLicensing : cela permettra de créer une clé dans le registre pour configurer Office avec le mode d'activation ordinateurs partagés.
<Property Name="SharedComputerLicensing" Value="1" />
Si cela se faisait dans un second temps, sur un PC déjà avec Office, vous pouvez également créer une valeur Reg_SZ nommée "SharedComputerLicensing" avec une valeur à "1" pour activer cette fonctionnalité sur un poste. Cette valeur est à créer dans le registre à cet endroit : "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration"
À partir de là, il ne reste plus qu'à déployer Office 365 sur vos postes de cette façon.
Lorsque l'outil sera déployé, l'utilisateur sera invité à saisir son compte Office 365 pour activer la suite Office sur ce poste, pour sa session. Si un autre utilisateur utilise le poste avec sa propre session, il devra activer Office avec son compte Office 365. L'activation nécessite que l'ordinateur soit connecté à Internet.
Pour vérifier si la configuration est opérationnelle, en passant par Word par exemple : Fichier > Compte > à propos de Word. La mention "Shared Computer Activation" doit s'afficher.
Un autre moyen est de vérifier la présence de la valeur de registre citée précédemment.
Note 1 : Bien que ce type d'activation permettent de ne pas décompter les activations sur le compte Microsoft de l'utilisateur, ce n'est pas open-bar pour autant. Microsoft impose une limite, c'est-à-dire que sur une période donnée vous ne pouvez pas activer un nombre illimité d'ordinateurs qui fonctionnent avec le mode ordinateurs partagé.
Note 2 : le jeton d'activation est valide 30 jours sur un poste, mais si l'utilisateur se connecte tous les jours sur le PC, la validité du jeton est prolongée d'une journée à chaque fois. Il faut vraiment qu'il soit 30 jours sans utiliser ce PC pour que le jeton expire.
III. Stocker le jeton d'authentification sur un partage
Que ce soit pour fluidifier le processus d'activation ou pour répondre aux besoins d'un environnement VDI non persistant, il s'avère particulièrement intéressant de stocker le jeton d'authentification sur un partage, notamment si vous ne pouvez pas utiliser le SSO. Cela offre la possibilité de rendre le jeton itinérant donc l'utilisateur active Office une seule fois sur un poste, et l'activation le suit sur les autres postes grâce au jeton qui est accessible sur le réseau.
Cette configuration s'effectue par GPO (via ADMX Office) ou avec ODT.
- Par GPO
Le paramètre "Spécifier l'emplacement d'enregistrement du jeton de licence utilisé par l'activation d'ordinateurs partagés" qui se situe sous "Configuration ordinateur\Stratégies\Modèles d’administration\Microsoft Office 2016 (ordinateur)\Paramètres de gestion des licences" doit être activé.
- Par ODT
Avec ODT, il y a deux options à configurer : SCLCacheOverride et SCLCacheOverrideDirectory. D'une part pour activer l'itinérance du jeton (SCLCacheOverride) et ensuite pour préciser le partage dans lequel seront stockés les jetons (SCLCacheOverrideDirectory). Voici comment déclarer ces deux propriétés :
<Property Name="SCLCacheOverride" Value="1" /> <Property Name="SCLCacheOverrideDirectory" Value="\\srv-adds-01\ODT_Office\Tokens\" />
Dans l'exemple ci-dessus, les jetons seront stockés à l'emplacement suivant : \\srv-adds-01\ODT_Office\Tokens\
Pour chaque utilisateur, un sous-dossier sera automatiquement créé, avec deux fichiers pour représenter le token :
La documentation Microsoft contient des détails supplémentaires : M365 - Shared Computers Activation
Excellent article qui synthétise l’essentiel à connaître. Merci.
Salut Merci pour cette information, j’ai mis en place cela sur une ferme RDSH. CEla fonctionne très bien. Le token est stocker sur un partage sur notre serveur de fichier.
Leur profil est itinerant, et sur chaque serveur de la ferme le profil les suits. Le token est lui stable sur un partage.
Par contre comme indiqué le token à une duré de 30 jours et tout les 30 jours, ils doivent se reconnecter avec leur identifiant, j’ai pas le fait que lorsqu’ils se reconnectent, cela allonge un jour de plus. Alors pour moi en tant qu’administrateur ça me dérange pas en soit, mais un utilisateur lambda… cela est une « corvée ». Chaque user à une licence perso. Nous n’exposons pas notre AD sur Azure pour information. Création des comptes via le portail office 365.
Ce sont des licences office 365 pro plus. Y’a t’il un moyen de rallonger ce temps ? Quelqu’un à t’il déjà trouvé une parade à cela?
Cdlmnt,
David
Bonjour,
J’utilise méthode ODT pour stocker mes tokens sur un espace partagé.
Malheureusement, comme indiqué à la fin de ce super article, je n’ai pas la création d’un dossier par user.
Seulement j’ai 4 fichiers :
{149DBCE7-A48E-44DB-8364-A53386CD4580}.authString
{149DBCE7-A48E-44DB-8364-A53386CD4580}.authString.txt.previous
{149DBCE7-A48E-44DB-8364-A53386CD4580}.signingCert
{149DBCE7-A48E-44DB-8364-A53386CD4580}.signingCert.txt.previous
Je rencontre beaucoup de demande de reconnexion des users sur leur compte office 365 (sur la session RDS), avec obligation de deconnexion totale du compte, fermeture de session et reconnexion 🙁
Avez-vous une idée ?
Cordialement
Un grand merci pour ton travail !! C’est incroyable et ton site m’a été d’une aide incroyable! Ton contenu est de grande qualité (C’est un novice qui te le dit) Tu as réussi à me permettre d’installer MO365 dans mon lycée.
Petite remarque
– je conseil de ne pas masquer l’installation dans le choix du xml pour voir si des erreurs d’installation ne se font pas…. c’était mon cas … (5 jrs pour comprendre)
– L’installation d’une version via ODT bloque si un Office antérieur à 2016 est installé sur le PC / cocher la désinstallation des versions précédentes (mettre juste dans le xml > voir vidéo ou tuto) permet de lancer correctement l’installation.
Encore merci pour la qualité de ton travail !!