Migrer vos licences Windows 10 Pro vers Windows 10 Enterprise E3 !

Introduction

Depuis la version 1709, il est possible de passer automatiquement d’une version Windows 10 professionnelle vers Windows 10 Entreprise si le compte utilisateur sous Azure est abonné à une licence Windows 10 Enterprise E3 ou E5 (disponible depuis la version 1607 manuellement). Cette fonctionnalité évite aux administrateurs de déployer manuellement des images Windows 10 Entreprise sur chaque ordinateur cible. Cette dernière se fait en toute transparence pour l’utilisateur final.

Prérequis 

Pour monter de version automatiquement, il faut respecter les prérequis suivants :

• Disposer d’un abonnement Windows 10 Enterprise E3 ou E5
• Les comptes ordinateurs présents dans l’Active Directory doivent être synchronisés vers Azure AD
• Ajouter les ADMX Windows 10 à jour pour inscrire automatiquement l’appareil

Configuration

Depuis le centre d’administration d’Office 365 (https://admin.microsoft.com/Adminportal), vérifier que l’utilisateur est bien présent dans l’annuaire et qu’une licence Windows 10 Enterprise E3 ou E5 lui soit bien affectée.

Depuis un contrôleur de domaine, ouvrir la console de gestion des GPO. Créer puis éditer votre nouvelle stratégie :

Vérifier que la GPO soit bien appliquée au compte ordinateur

Vérification

Lorsque l’utilisateur va se ré-authentifier sur sa machine, il remarquera que le temps d’ouverture de sa session a augmenté uniquement pour la première authentification. Cela est dû à l’inscription de la licence Windows 10 Enterprise E3. Depuis le menu Windows Update → Activation, on remarque que la souscription est bien active.

Il en est de même depuis le registre.

A noter : si le compte utilisateur est soumis au MFA, il devra alors compléter le processus manuellement au travers d’une notification.

Conclusion

On remarque qu’il est aisé pour les entreprises de réaliser la migration de leurs licences Windows 10 Pro vers la version Enterprise. Cela n’est pas une simple montée de version, la licence Windows 10 Enterprise E3 apporte entre autres :

• Credential Guard : Cette fonctionnalité utilise la sécurité basée sur la virtualisation pour protéger les secrets, de manière à ce que le logiciel système privilégié soit le seul à disposer d’un accès. Cette configuration permet de résister aux techniques d’attaque de type Pass-the-Hash ou Pass-the-Ticket.
• Device Guard : Cette fonctionnalité est une combinaison de fonctions de sécurité matérielle et logicielle qui autorise uniquement les applications fiables à s’exécuter sur un appareil.
• AppLocker Management : Cette fonctionnalité permet aux professionnels de l’informatique de déterminer les applications et fichiers que les utilisateurs peuvent exécuter sur un appareil.

Pour aller plus loin : https://docs.microsoft.com