Identifier les processus qui utilisent du swap.
Les résultats sont en ko (comme dans le fichier /proc/$PID/smaps)

#!/bin/bash
# Get current swap usage for all running processes
SUM=0
OVERALL=0
for DIR in `find /proc/ -maxdepth 1 -type d | egrep "^/proc/[0-9]"` ; do
    PID=`echo $DIR | cut -d / -f 3`
    PROGNAME=`ps -p $PID -o comm --no-headers`
    for SWAP in `grep Swap $DIR/smaps 2>/dev/null| awk '{ print $2 }'`
    do
        let SUM=$SUM+$SWAP
        done
        if [ ! $SUM = 0 ] ; then
          echo "$SUM : Swap Used - ($PROGNAME ) PID=$PID"
        fi
        let OVERALL=$OVERALL+$SUM
        SUM=0
done
echo "Overall swap used: $OVERALL"

https://www.liquidweb.com/help-docs/server-administration/linux/identifying-which-processes-are-using-swap-memory/

ADB Sideload et TWRP install

Installer un .zip via adb sideload et “Install Zip” dans TWRP reviennent au même.

Un légère différence est que lors d’une installation via le fichier zip directement présent sur le tél, l’installeur connaît le nom du fichier, et peut dans certains cas modifier son comportement en fonction de ce nom. Par exemple, si le fichier magisk.zip est renommé uninstall.zip, alors l’installation de ce fichier entrainera la suppression de Magisk.

A/B

https://forum.xda-developers.com/t/how-to-manually-switch-the-active-slot.4499789/

Une grosse partie des partitions sont en double, dans une version “A” et une version “B”. Ce sont des slots.
Le tél a un slot actif au démarrage, et n’utilisera que les partitions de ce slot.

Ceci permet la mise à jour OTA vers le slot inactif alors que le tél tourne sur le slot actif. Au redémarrage, le slot actif est changé et le boot se fait sur la nouvelle version.
En cas d’échec de démarrage 3 fois de suite, le slot est rechangé.

En exception notable, la partition data n’a qu’un seul exemplaire ; pour cette raison, il n’est pas possible (sans factory reset) de passer d’un OS à un autre OS différent en utilisant les 2 slots.

Consulter le slot actif

fastboot getvar current-slot

adb shell
getprop ro.boot.slot_suffix

Dans TWRP, section “Reboot”.
Dans LOS recovery, affiché en haut.

Changer le slot actif

fastboot --set-active=b

Dans TWRP, section “Reboot”, bouton A ou B.

Pour les Sony, en mode flash, avec newflasher :
newflasher set_active:a

boot et recovery

Dans les devices A/B, le recovery n’est plus une partition à part entière, mais fait partie de la partition boot.
Pour cette raison, la commande fastboot flash recovery ./recovery.img ne fonctionne pas, car recovery n’est pas une cible valide.
De même, pour un recovery différent du recovery de l’OS installé (par exemple TWRP), la commande fastboot flash boot ./recovery.img fonctionne, mais va empêcher le système de boot car sa partition boot est cassée. Seul le recovery sera bootable.

Pour installer TWRP, il faut donc copier télécharger twrp-installer.zip puis l’installer via adb sideload. Ça peut être fait depuis le recovery de LineageOS, ou bien on peut booter temporairement TWRP depuis le mode fastboot, via
fastboot boot ./twrp.img
pour installer twrp-installer.zip depuis “Install” ou bien “ADB Sideload”. L’installer écrit TWRP sur la zone recovery des 2 slots “boot” sans toucher au reste du boot.

Si la VoLTE est active, lorsqu’on passe un appel, l’indicateur reste en 4G/LTE ; sinon il repasse en 3G/H+.

Sous LineageOS, lorsque la VoLTE est active, un petit logo “HD” apparaît lors de l’appel.
Attention, en cas d’appel sortant, il n’apparaît qu’une fois la communication établie ; il est absent durant la tonalité.

*#*#4636#*#*
Infos sur le téléphone -> ... (haut-droite) -> État du service IMS

Ne PAS se fier à "Type de réseau vocal" dans les infos tél

Paramètres -> Réseau et Internet -> SIM -> choisir la SIM -> Type de réseau préféré
WCDMA = H+ , appels 3G
TDSCDMA = pas d’appel

Sous Win standard :
Panneau de conf -> Système -> propriétés avancés ->

Sous Win Server

Peut être dans clic-droit sur lecteur -> onglet “Clichés instantanés”
Mais si absent on peut retrouver la même fenêtre dans :

compmgmt.msc
Dossier partagés -> clic-droit -> Toutes les tâches -> Configurer les clichés instantanés

à activer au niveau d’un lecteur
Possible de modifier la planification

Ceci va rendre utile l’onglet “versions précédentes” des postes qui accèdent à des partages sur ce lecteur via le réseau

Présentation

Les PC fonctionnent selon différents états d’alimentation (power states).
https://en.wikipedia.org/wiki/ACPI
https://learn.microsoft.com/en-us/windows/win32/power/system-power-states
Lorsqu’un PC est en cours de fonctionnement, il est à l’état S0.
Lorsqu’il est en veille classique, il est à l’état S3.
Lorsqu’il est en hibernation, il est à l’état S4.
Et lorsqu’il est complètement éteint, il est à l’état S5.

Lors d’une veille classique S3, seule la RAM est alimentée en électricité ; tous les autres composants sont éteints.
En ceci, la reprise d’activité est rapide, mais pas instantanée.

Dans le but d’améliorer ceci, la veille “S0 low-power idle” a été créée ; elle maintient plusieurs composants en état de fonctionnement, donc les cartes réseau et le processeur.
Elle est également appelée S0iX.

Typiquement, depuis un autre pc, il reste possible de pinger l’adresse IP d’un poste en veille moderne.

Le PC n’est pas censé faire d’actions gourmandes en énergie, mais de nombreux cas rapportent que le PC se met à chauffer fortement et vider la batterie lors de la veille moderne.

https://learn.microsoft.com/fr-fr/windows-hardware/design/device-experiences/modern-standby

Vérifier les modes de veille supportés

Le support des différents modes de veille dépend de l’UEFi, ainsi que de l’OS.
Les cartes-mères modernent doivent toutes supporter la veille moderne ; certaines supportent encore le mode S3, mais de moins en moins.

Sous Windows

powercfg -a

liste les états d’alimentation supportés par le système.
On peut y voir soit “En veille (S3)” soit “Veille (Mode faible consommation S0) connecté au réseau”.

Lorsque le mode S0 low-power est disponible, le mode S3 est nécessairement désactivé (“Cet état de veille est désactivé lorsque le mode faible consommation S0 est pris en charge”).

Désactiver le mode S0

https://www.makeuseof.com/windows-disable-modern-standby/

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power]
"PlatformAoAcOverride"=dword:00000000

reg add HKLM\System\CurrentControlSet\Control\Power /v PlatformAoAcOverride /t REG_DWORD /d 0

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power]
"PlatformAoAcOverride"=-

reg delete "HKLM\System\CurrentControlSet\Control\Power" /v PlatformAoAcOverride /f

TLDR

En récap :

• si accès à un portail admin -> demande MFA (obligatoire à compter d’octobre 2025)
• si accès à la page de gestion des moyens MFA -> demande MFA
• si MFA est “enforced” pour l’utilisateur -> demande MFA quelle que soit le portail (mais bypass possible en fonction de l’IP)
• si self-service password reset activé -> MFA obligatoire même pour Office

Software TOTP

Les jetons utilisés par MS Authenticator ne sont pas standards ; ils ne peuvent être utilisés que dans l’applis MS Authenticator (qui doit avoir accès aux notifications push pour fonctionner).
Pour utiliser un TOTP standard, il faut utiliser l’option “Je souhaite utiliser une autre application d’authentification”.

Les 2 méthodes génèrent des QRCode, mais ceux de MS encodent une URL de type “phonefactor://” alors que ceux standard encodent une URL de type “otpauth://” .
Il est pertinent de sauvegarder les QRcode standards, car ils contiennent juste un secret (une graine) qui peut être réutilisée à tout moment.
Ceux de MS permettent une communication limitée dans le temps avec les serveurs de MS, donc ça ne sert à rien de les conserver.

Si on scanne un code “phonefactor://” avec une appli standard, certaines renverront juste une erreur, alors que d’autres (comme Aegis) signifieront explicitement ne pas être compatibles avec la méthode propriétaire de MS.

MS Auth permet l’identification soit par notification push, soit par un code type TOTP.
À noter que le code TOTP généré par MS Auth n’est pas le même qu’avec une appli standard !

Si les 2 méthodes sont activées pour un compte donné, on peut alors utiliser soit le code TOTP, soit le code MS Auth lors de la demande MFA.

Paramètres de sécurité par défaut

L’accès conditionnel du MFA nécessite des licences Entra P1/P2.

Si l’organisation n’a pas ces licences, la MFA peut être forcée pour tous les utilisateurs via le mécanisme des “paramètres de sécurité par défaut”. Ceux-ci exigent (entre autres) la MFA pour tous les utilisateurs.
Ils peuvent s’activer et se désactiver dans
Entra admin center -> Entra ID -> Overview -> Properties -> Manage security defaults (tout en bas de la page)

Il est aussi possible de forcer les utilisateurs 1 par 1 via le menu Per-user MFA (voir plus bas).

Paramètrage général

Le menu “Entra ID -> Multifactor authentication” n’est pas toujours disponible ; à voir si cela dépend de la date de création du tenant, ou bien des licences Entra Premium ?
Il semble que ces paramètres sont de toute façon dépréciés par MS, et voués à être remplacés par ce qui suit.

Entra admin center -> Entra ID -> Authentication methods
Contient les paramétrages globaux pour la MFA.

Policies (Stratégies) : permet de choisir quels modes de MFA sont autorisés selon les groupes d’utilisateurs.

• Software OATH token : TOTP standard ; sera proposé sous l’intitulé “MS Authenticator” mais avec l’option “Autre appli”
• MS Authenticator : option “phonefactor://” de MS

Certaines stratégies peuvent être paramétrées en cliquant sur leur nom.

Note sur les codes TOTP (MS Auth / OATH Soft token) :

• si seulement MS Auth activé : absence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Pro ou scolaire”
• si les MS Auth + OATH activés : présence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Pro ou scolaire”
• si seulement OATH activé : présence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Autre”

Settings -> “System-preferred multifactor authentication” :
Ceci force les utilisateurs à être, en premier lieu, exposé à la méthode MFA considéré la + sécurisée par MS. Celle-ci peut changer au fil du temps.
Si cette fonctionnalité est désactivée, les utilisteurs peuvent choisir eux-même la méthode proposée en 1er (voir paragraphe sur la gestion par les utilisateurs finaux).
Ceci n’empêche jamais les utilisateurs d’utiliser une autre méthode ; ça définit juste la première méthode proposée. Ils peuvent toujours en choisir une autre (à condition qu’elle soit autorisée par les stratégies) en déclarant la 1e méthode inaccessible.

“Registration campaign” : ne supporte actuellement (septembre 2025) que MS Authenticator

Obligation MFA pour les centres d’admin

https://aka.ms/mfaforazure
https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mandatory-multifactor-authentication

Activée de force le 30 septembre 2025 au + tard.
Contrairement à ce qui est indiqué sur la doc MS, le centre d’admin M365 (https://admin.microsoft.com) n’est pas encore concerné (même si ça va surement finir par venir).
Mais activée pour le centre d’admin Entra, d’Intune, et le portail Azure, notamment.

Le paramétrage pour désactiver la MFA en provenance de certaines plages d’IP ne s’appliquent pas à l’accès aux centres d’admin ; la MFA sera demandée en tous les cas.

Se gère ici :
https://entra.microsoft.com/#view/Microsoft_Azure_Resources/MfaSettings.ReactView
Besoin d’être avec “accès élevé” pour modifier les paramètres.

(note : la même page est aussi accessible via les portails Intune et Azure ; c’est bien le même paramétrage accessible de 3 endroits différents)

Les options proposées semblent être un sous-ensemble de celles autorisées dans les “Stratégies”. En activant tout, j’ai le choix entre :

• MS Auth
• TOTP
• Hardware token
• SMS
• Appel

Pour pouvoir accéder aux centres d’admin, il faut qu’une des méthodes ci-dessus soit activée dans les Stratégies, et que l’utilisateur s’enregistre via cette méthode.

Paramètres MFA par utilisateur

Peut se gérer dans Entra ID -> Users -> onglet “Per-user MFA”
(le menu Entra admin center -> Entra ID -> Multifactor authentication -> Additional cloud-based multifactor authentication settings envoie dans le même menu)

Lorsqu’on active la MFA pour un utilisateur, son état passe à “enabled”. Cela signifie qu’il sera contraint d’activer la MFA à sa prochaine connexion.
Une fois la MFA enregistrée par l’utilisateur final, son état passe à “enforced”. À partir de là, elle est nécessaire même pour une simple connexion à Office.

Lorsque l’état est “disabled”, la MFA est ignorée pour les connexions simples à Office. Elle reste nécessaire pour les centres d’admin, ou l’accès à la page utilisateur final de gestion de la MFA.

Entra ID -> Users -> choisir user -> Authentication methods
permet de visualiser les modes d’auth disponibles, indisponibles (activées par l’utilisateur, mais désactivées par les stratégies) et par-défaut pour l’utilisateur sélectionné ; permet d’ajouter certains modes (mail, tél) et d’en supprimer d’autres.

On ne peut pas voir ses propres méthodes d’auth via ce menu ; il faut passer par le lien du paragraphe “Utilisateur final”.

Services settings

Dans l’onglet “Per-user MFA”, il y a un onglet “Service settings”.
C’est ici que l’on peut autoriser la mémorisation d’une réponse MFA pendant plusieurs jours.
On peut aussi y désactiver la MFA pour certaines plages d’IP (fonctionne pour les accès standards à Office, mais pas aux centres d’admin ni à la gestion MFA par l’utilisateur final).

Self-service password recovery

Entra -> Entra ID -> Password reset
Les utilisateurs pour lesquels SSPR est activé ont l’obligation d’activer la MFA, avant de pouvoir se connecter via la connexion web (navigateur, connexion Office etc).

La réinitialisation se fait ici :
https://passwordreset.microsoftonline.com

Il faut valider la MFA par une des méthodes enregistrées et on peut reset son propre mot de passe.

Gestion par l’utilisateur final

https://mysignins.microsoft.com/security-info

L’accès à cette page est lui-même soumis à la MFA.
Les stratégies listées ici sont celles pour lesquelles il y’a une donnée enregistrée. Cela ne signifie pas que ce mode d’auth est accepté par Entra. Il peut avoir été désactivé.

À noter que l’utilisateur peut gérer ses moyens de MFA, mais pas les demandes de MFA elles-mêmes, ni les moyens acceptés et ceux refusés.
Ceci est paramétré par MS et/ou les admins.

App password

Il faut que la MFA soit “enforced” pour l’utilisateur qui veut créer un “app password”.
Ensuite, dans la gestion par l’utilisateur final, il devrait être possible de créer un app password.

La gestion des connexions SMB a changé depuis Windows 11 Pro 24H2.
Elle avait déjà changé pour les versions Education, Pro for workstations, Enterprise de Windows 10 et 11.
Elle reste similaire à avant pour Windows 11 Home.

En conséquence de ces changements, Windows exige maintenant que les connexions SMB soient signées, et la bascule sur un accès invité en cas de défaut de signature est désactivée.
Article chez MS

Dans mon cas, il s’agit de l’accès vers un serveur Samba, dont l’accès invité fonctionne correctement et nativement depuis un poste Windows 10.
Avec Windows 11 Pro 24H2, je suis confronté aux 2 problèmes : la signature de la connexion SMB, et l’accès en tant qu’invité.

À noter que la solution ne semble pas fonctionner pour des profils cloud, que pour les utilisateurs locaux du poste. Question de configuration ?

Accès SMB non signé

https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-signing

Par défaut, Windows 11 Pro (au moins 24H2) exige que les connexions SMB soient signées.
La fonctionnalité de signature ne fonctionne pas avec l’accès invité, il est donc indispensable de la désactiver (source chez MS).

Cela peut se vérifier par la commande Powershell
Get-SmbClientConfiguration | findstr req.*sign
qui doit nous indiquer la valeur de RequireSecuritySignature, probablement à True.

Le problème se manifeste par “Une erreur étendue s’est produite” (si accès depuis la fenêtre “Exécuter”) ou “Windows ne peut pas accéder à my-srv” (si accès depuis la barre d’adresse de l’explorateur).

Pour ceci, j’ai 3 possibilités : le registre, les stratégies locales, ou Powershell.
Ces 3 possibilités sont équivalentes : l’activation (ou désactivation) par une méthode se répercute de manière visible sur les autres méthodes (il faut toutefois fermer/rouvrir les stratégies locales pour actualiser).

Registre :
HKLM\SYSTEM\CurrectControlSet\Services\LanmanWorkstation\Parameters et définir la valeur DWORD
RequireSecuritySignature
à 0

Stratégies locales :
gpedit.msc
Config ordi -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Client réseau Microsoft : communications signées numériquement (toujours)

Powershell :
Set-SmbClientConfiguration -RequireSecuritySignature $false -Force

Connexion en tant qu’invité

Sources pour cette partie :

https://memo.raphaelguetta.fr/post/server-2019-access-guest-share/
https://learn.microsoft.com/en-us/windows-server/storage/file-server/enable-insecure-guest-logons-smb2-and-smb3
https://forum.qnap.com/viewtopic.php?t=175771

Une fois la connexion non-signée autorisée, lorsque je cherche à me connecter à mon serveur, je suis accueilli par une invite d’authentification, sans possibilité de me connecter en invité (alors que mon serveur l’accepte). Ceci car l’accès à des partages sans authentification est désactivé par défaut.

On peut vérifier en lançant la commande Powershell
Get-SmbClientConfiguration | findstr /I enablei
qui nous retourne la valeur de EnableInsecureGuestLogons, probablement False.

Comme pour les signatures, on peut contrôler ce paramètre par le registre, Powershell, ou les stratégies locales.
La stratégie locale a toutefois priorité ! Si elle est est configurée (activée ou désactivée), alors la valeur de l’entrée de registre n’aura aucun impact.
En ce cas, le résultat de Get-SmbClientConfiguration affichera la configuration effective, indépendamment de la valeur de registre.
Set-SmbClientConfiguration continuera de modifier la valeur de registre, mais n’aura pas d’impact sur la stratégie locale.

Registre/Powershell

On peut au choix ouvrir l’éditeur de registre, ouvrir la clé
HKLM\SYSTEM\CurrectControlSet\Services\LanmanWorkstation\Parameters
et ajouter/éditer la valeur DWORD AllowInsecureGuestAuth en la passant à 1.
Il est également possible de lancer la commande Powershell
Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force
qui aura pour résultat de créer/modifier cette même valeur registre.

Stratégies locales

gpedit.msc
Configuration ordinateur -> Modèles d'administration -> Réseau -> Station de travail LANMAN
Activer les ouvertures de session invité non sécurisées -> Activé

Poste joint à AzureAD

Le compte est de la forme nom.prenom@domain.com.
Un whoami sur le poste cible renvoie azuread\nomprenom .

Si le paramètre NLA est activé, seul un poste Windows pourra y accéder ; freerdp ne semble pas gérer l’authenfication Kerberos pour le moment ? Voir cette issue.
Pour se connecter depuis Windows, lancer mstsc.exe, aller dans l’onglet Avancé puis Cocher “Utiliser un compte web pour vous connecter à l’ordinateur distant”. On peut laisser le mot de passe vide.
Une fenêtre de connexion web va s’ouvrir.
La connexion reste ensuite établie, et ne demande plus le mot de passe.

On peut également désactiver NLA (sur le poste cible, paramètres avancés du système -> Utilisation à distance).
En ce cas on peut se connecter depuis FreeRDP avec
xfreerdp /v:10.0.10.100 /d:AzureAD /u:nomprenom /p:mypassword /sec:tls
ou encore
xfreerdp /v:10.0.10.100 /u:"AzureAD\nomprenom" /p:mypassword /sec:tls
ou encore
xfreerdp /v:10.0.10.100 /u:AzureAD\\nomprenom /p:mypassword /sec:tls

Sauvegarde des credentials sur les postes qui y accèdent ? Semble se faire tout seul sur un compte local qui accède à un compte AzureAD ?

Compte perso ?

“MicrosoftAccount\nomprenom” ??

Ne pas confondre Microsoft LAPS (=legacy LAPS), ancienne génération pour le on-prem, et Windows LAPS pour le cloud (entra joined et hybrid-joined)

Présentation

LAPS, Local Admin Password Solution, permet de centraliser la gestion des mots de passe des admins locaux sur les postes.

Entra

https://learn.microsoft.com/en-us/entra/identity/devices/howto-manage-local-admin-passwords

Windows LAPS est inclus dans Entra Free, mais des fonctionnalités en + nécessitent d’autres licences (administrative units, custom roles, Conditional Access, and Intune)

Pour l’activer, aller dans
Entra -> Devices -> Overview -> Device settings
et l’activer

Intune

https://learn.microsoft.com/en-us/intune/intune-service/protect/windows-laps-overview

Configurations

Il y’a plusieurs moyens de configurer les applications Office :

• par des paramètres de configuration lors de l’installation (dans le fichier XML ou dans le configurateur)

  • permet de définir des clés de registre HKCU, dans chaque session, qui paramètrent le profil Outlook (lors de sa création uniquement)
  • si le profil Outlook existe déjà, ces clés n’ont aucun effet
  • laisse la possibilité à l’utilisateur final de changer les paramètres

• par la configuration des appareils par Intune

  • peut s’appliquer à des utilisateurs ou des appareils (mais certains paramètres de configuration ne fonctionnent qu’avec un seul type d’affectation)

• par le menu Intune -> Applications -> Gérez les applications -> Stratégies pour les applications Microsoft 365

  • s’applique uniquement à des utilisateurs
  • ne permet PAS la modification par l’utilisateur final
  • me semble particulièrement lent à être déployé

• par des entrées de registre écrites manuellement (script ou autre)

Selon les cas, on préfèrera l’une ou l’autre de ces possibilités.

Installation

Dans Intune -> Applications , si on choisit “Créer”, dans “Type d’application” on trouve “Applications Microsoft 365 pour Windows 10 et versions ultérieures”.
On peut choisir entre un configurateur, ou bien l’édition d’un fichier XML.

Dans mon expérience, si on passe par le configurateur, à chaque ouverture de session, il y’a une bonne utilisation CPU/disque liée à Office Click2Run, comme si la suite se réinstallait à chaque démarrage.
Ce problème ne semble pas se produite avec la version XML, qui de + permet + de souplesse dans l’installation et la configuration.

Fichier XML

https://learn.microsoft.com/fr-fr/microsoft-365-apps/deploy/office-deployment-tool-configuration-options

Un assistant est dispo ici pour en créer un :
https://config.office.com/deploymentsettings

Pour un ordi partagé :

<Property Name="SharedComputerLicensing" Value="1"/>

Voir les implications d’un ordi partagé ici :
https://learn.microsoft.com/en-us/microsoft-365-apps/licensing-activation/overview-licensing-activation-microsoft-365-apps
https://learn.microsoft.com/fr-fr/microsoft-365-apps/licensing-activation/overview-shared-computer-activation
Il faut notamment que chaque utilisateur ait une licence d’utilisation partagée, qui n’est inclus que dans Business Premium.

Quelques options pratiques :

<AppSettings>

<Setup Name="Company" Value="Ma Super Entreprise"/>

<User Key="software\microsoft\office\16.0\outlook\cached mode" Name="downloadsharedfolders" Value="0" Type="REG_DWORD" App="outlk16" Id="L_Downloadsharednonmailfolders"/>

<User Key="software\microsoft\office\16.0\excel\options" Name="defaultformat" Value="51" Type="REG_DWORD" App="excel16" Id="L_SaveExcelfilesas"/>
<User Key="software\microsoft\office\16.0\powerpoint\options" Name="defaultformat" Value="27" Type="REG_DWORD" App="ppt16" Id="L_SavePowerPointfilesas"/>
<User Key="software\microsoft\office\16.0\word\options" Name="defaultformat" Value="" Type="REG_SZ" App="word16" Id="L_SaveWordfilesas"/>

<User Key="software\microsoft\office\16.0\outlook\autodiscover" Name="zeroconfigexchange" Value="1" Type="REG_DWORD" App="outlk16" Id="L_AutomaticallyConfigureProfileBasedOnActive"/>

   <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsetting" Value="0" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />
    <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsettingdays" Value="14" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />

</AppSettings>

Chaque bloc permet respectivement :

• de définir le nom de l’entreprise
• de préconfigurer le non-télechargement des dossiers mails partagés
• de définir le format de fichier Office par défaut
• d’inscrire automatiquement l’adresse mail de login dans Outlook
• de définir l’intervalle de mise en cache par défaut (syncwindowsetting définit le nombre de mois, syncwindowsettingdays définit le nombre de jours)

Exemple complet de fichier XML (configuration ordi partagé, 1 mois de cache par défaut) :

<Configuration ID="c7f365bb-45f6-44a4-825f-751611bba3f5">
  <Info Description="Pas de New Outlook&#xA;Ordi partag�&#xA;D�sinstalle les applis MSI" />
  <Add OfficeClientEdition="64" Channel="SemiAnnual">
    <Product ID="O365BusinessRetail">
      <Language ID="fr-fr" />
      <ExcludeApp ID="Groove" />
      <ExcludeApp ID="Lync" />
      <ExcludeApp ID="OutlookForWindows" />
    </Product>
  </Add>
  <Property Name="SharedComputerLicensing" Value="1" />
  <Updates Enabled="TRUE" />
  <RemoveMSI />
  <AppSettings>
    <Setup Name="Company" Value="Ma Super Entreprise" />

    <User Key="software\microsoft\office\16.0\excel\options" Name="defaultformat" Value="51" Type="REG_DWORD" App="excel16" Id="L_SaveExcelfilesas" />
    <User Key="software\microsoft\office\16.0\powerpoint\options" Name="defaultformat" Value="27" Type="REG_DWORD" App="ppt16" Id="L_SavePowerPointfilesas" />
    <User Key="software\microsoft\office\16.0\word\options" Name="defaultformat" Value="" Type="REG_SZ" App="word16" Id="L_SaveWordfilesas" />

    <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="downloadsharedfolders" Value="0" Type="REG_DWORD" App="outlk16" Id="L_Downloadshardnonmailfolders" />

   <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsetting" Value="1" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />
    <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsettingdays" Value="0" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />

    <User Key="software\microsoft\office\16.0\outlook\autodiscover" Name="zeroconfigexchange" Value="1" Type="REG_DWORD" App="outlk16" Id="L_AutomaticallyConfigureProfileBasedOnActive"/>

  </AppSettings>
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

Activation automatique

En Europe, l’activation automatique d’Office est désactivée en raison du Digital Market Act. Il est obligatoire de s’identifier manuellement pour que la licence soit reconnue.
Si on lance directement une appli Office, il faut entrer mail/pass à la main.
Si on lance edge, on peut établir la connexion juste en validant une fenêtre, et la connexion sera répercutée sur Office.

Pour forcer la connexion automatique, on peut soit modifier un fichier système comme indiqué dans ce lien :
https://call4cloud.nl/continue-to-sign-in-prompt-sso-dma/

soit désactiver la fonctionnalité de vérification de la zone géographique comme indiqué sur ce lien :
https://call4cloud.nl/fix-continue-to-sign-in-prompt-dma-sso-compliance/
Il suffit d’ajouter le script Remediatesso-2.ps1 dans les scripts de plateforme (PAS dans le contexte utilisateur).
J’ai mirroré ici le script et l’outil ViveTool utilisé dans ce tuto.

Script en question, copié-collé du site call4cloud.nl :

$downloadUrl = "https://github.com/thebookisclosed/ViVe/releases/download/v0.3.3/ViVeTool-v0.3.3.zip"  # URL to download ViVe tool
$tempPath = "C:\Windows\Temp"
$viveToolZip = "$tempPath\ViVeTool.zip"
$viveToolDir = "$tempPath\ViVeTool"
New-Item -Path $viveToolDir -ItemType Directory -Force | Out-Null

$viveToolExe = "$viveToolDir\ViVeTool.exe"
$featureIds = @(47557358, 45317806)


# Ensure ViVeTool exists
if (-not (Test-Path $viveToolExe)) {
    Invoke-WebRequest -Uri $downloadUrl -OutFile "$tempPath\ViVeTool.zip"
    Expand-Archive -Path "$tempPath\ViVeTool.zip" -DestinationPath $viveToolDir -Force
    Write-host "Downloaded and extracted ViVeTool."
} else {
    Write-host "ViVeTool already exists."
}
# disable features
foreach ($featureId in $featureIds) {
    Write-host "Disabling feature with ID $featureId."
& "$viveToolDir\ViveTool.exe" /disable /id:$featureId
}
 
# Query status of features
foreach ($featureId in $featureIds) {  
$queryresult = & "$viveToolDir\ViveTool.exe" /query /id:$featureId  
Write-host $queryresult  
}

Outlook

Téléchargement des dossiers partagés

Le but est de contrôler le paramètre
Fichiers de données -> choisir -> Paramètres -> Avancé -> Télécharger les dossiers partagés

https://learn.microsoft.com/en-us/microsoft-365-apps/outlook/data-files/shared-mail-folders-in-cached-exchange-mode

Via install

On peut contrôler ce paramètre lors de l’install, via le fichier XML de déploiement d’Office :

<AppSettings>
<User Key="software\microsoft\office\16.0\outlook\cached mode" Name="downloadsharedfolders" Value="0" Type="REG_DWORD" App="outlk16" Id="L_Downloadshardnonmailfolders" />
</AppSettings>

Ceci permet de créer la clé de registre sous HKCU. Si celle-ci est présente lors de la création du profil Outlook, l’option “Télécharger les dossiers partagés” ne sera pas activée.
Toutefois, cette clé n’a aucun effet si le profil existe déjà.

Le paramétrage reste modifiable par l’utilisateur final.

Stratégies MS365

Télécharger les dossiers partagés extérieurs à la messagerie
-> Désactivé

Ceci forcera la fonctionnalité à être désactivée dans Outlook, et ne sera PAS réactivable par l’utilisateur final.
Si on supprime l’utilisateur de la liste d’inclusion, il devrait finir par retrouver le contrôle de ce paramètre, mais cela peut prendre plusieurs heures.

Attention, le paramètre Désactiver la mise en cache des dossiers de courrier partagés semble gérer autre chose, il n’a pas d’effet pour ce besoin précis.

Configuration de l’appareil

Microsoft Outlook 2016 -> Paramètres du compte -> Exchange -> Mode Exchange mis en cache -> Download shared non-mail folders

Période de mise en cache

Stratégies MS 365 -> Paramètres de synchronisation du mode Exchange mis en cache

Empêche l’utilisateur final de changer la durée.

Connexion automatique à Outlook

Par défaut, au lancement d’Outlook, il faut valider manuellement l’adresse pour ajouter le compte.
On peut paramétrer Outlook pour qu’il ajoute automatiquement l’adresse du compte utilisateur.

2 options existent :

• config auto de chaque profil créé avec l’adresse mail
• config auto uniquement du 1e profil créé ; les suivants proposeront d’entrer une adresse mail

La 2e option me semble + souple, je présente donc celle-là.

Par la config de l’appareil

Automatically configure only the first profile based on Active Directory primary SMTP address