Guide d’ingénierie Windows (WEG) de fabrication
Le WEG de fabrication fournit aux partenaires fabricants d’ordinateurs (OEM) et ODM une feuille de route du processus de fabrication idéal pour les appareils Windows 10 et ultérieurs, avec des conseils pour les pièges potentiels et les opportunités de simplifier le processus.
Vue d’ensemble de la fabrication
De nombreuses décisions qui affectent la fabricabilité sont prises dès le début de l’effort d’ingénierie d’un nouveau dispositif, de sorte qu’une attention particulière doit être accordée à la sélection du processus de production ayant les frais généraux les plus bas. Chaque minute supplémentaire passée à la fabrication équivaut à un coût supplémentaire pour le produit final. Le WEG de fabrication est destiné à fournir aux partenaires OEM et ODM une feuille de route du processus de fabrication idéal qui réunit le logiciel et le matériel dans l’usine. Ce WEG offre également des possibilités de simplifier le processus et les conseils pour planifier et éviter les problèmes courants. Nos recommandations en matière de fabrication et de déploiement sont destinées à vous aider à :
- Optimiser l’empreinte disque de l’image sur les bureaux
- Permettre le déploiement Windows sur des disques de petite capacité sur les bureaux
- Raccourcir le temps de déploiement d’images
- Simplifier le processus de création d’images
- Simplifier le processus d’injection/de création de rapports d’Activation OEM (OA3) sur les bureaux. Les appareils mobiles ne nécessitent pas d’activation.
- Tester et étalonner l’appareil sur la chaîne de production
- Prendre en charge d’autres scénarios clés pour créer d’excellents appareils
Pour ce document, une version générique du processus de fabrication de bureau ressemblerait à ceci :
Le WEG de fabrication n’est pas conçu pour communiquer la Configuration matérielle minimale requise pour Windows ou le document de stratégie OEM (OPD). Les documents du WHCP et de l’OPD prévalent sur toute information contenue dans le WEG de fabrication. Vous devez vous conformer au WHCP et à l’OPD.
Considérations globales
Chemin de fabrication
Selon votre activité, vous pouvez emprunter deux voies générales de fabrication : la production sur stock (Build to Stock, ou BTS) et la production à la demande (Build to Order, ou BTO). Lorsque vous passez en revue les instructions de ce document, tenez compte du processus de fabrication de l’appareil afin de hiérarchiser les investissements dans chaque phase et de gagner autant de temps que possible pour votre processus personnalisé.
Pour une procédure pas-à-pas utilisant des appareils de bureau, consultez notre laboratoire de fabrication de bout en bout.
Pour les appareils mobiles, vous devez utiliser le chemin de fabrication BTS.
Production à la demande (BTO)
Les appareils BTO commencent par une image de base, puis reçoivent la majorité de leurs personnalisations pendant le processus de fabrication.
Le principal avantage est la flexibilité de la nomenclature du logiciel, qui permet d’apporter des modifications tardives. Les inconvénients incluent une création d’image et un processus de fabrication plus complexes, un temps supplémentaire en usine et des tailles d’images croissantes.
Production sur stock (BTS)
Les appareils BTS ont des images personnalisées presque entièrement dans le labo. Les processus BTS sont plus simples à planifier et à produire, sont plus rapides en usine, permettent un meilleur contrôle de la qualité et ont une taille de disque contrôlée. Les dispositifs BTS doivent encore permettre des changements importants de dernière minute dans l’usine. Pour les éditions de bureau de Windows 10 et Windows 11, bon nombre de ces modifications peuvent être effectuées à l’aide de l’installation hors connexion.
Réinitialisation rapide
Les outils de réinitialisation rapide ne nécessitent plus d’image de récupération complète du système séparée sur une partition distincte. Cela permet d’économiser plusieurs gigaoctets d’espace. Lorsque les utilisateurs doivent actualiser ou réinitialiser l’appareil, les mises à jour Windows installées pourront être conservées, au lieu d’être téléchargées et installées à nouveau. Toutes les personnalisations que vous avez fournies seront également conservées.
La nouvelle disposition de partition ressemble aux dispositions de partition traditionnelles de Windows 8.1, à l’exception de la partition Windows RE qui est désormais déplacée à la fin du lecteur, et qu’il n’est plus nécessaire de disposer d’une partition de restauration complète du système séparée.
Pour plus d’informations, consultez Réinitialisation rapide
La réinitialisation rapide n’est pas prise en charge sur les appareils mobiles. Au lieu de cela, vous devez effectuer une réinitialisation aux paramètres d’usine.
Système d’exploitation compact
Vous pouvez maintenant exécuter l’ensemble du système d’exploitation, y compris vos applications de bureau Windows préchargées, à l’aide de fichiers compressés, en utilisant les fonctionnalités de système d’exploitation compact et d’instanciation unique. Ces fonctionnalités remplacent la fonctionnalité de démarrage WIM à partir de la Mise à jour 1 de Windows 8.1 et peuvent aider à maintenir une empreinte disque plus petite au fil du temps.
Bien que le système d’exploitation compact soit pris en charge pour tous les appareils, nous vous recommandons de ne l’utiliser que sur les appareils dotés de disques SSD, en raison des performances plus lentes des disques rotatifs.
Pour plus d’informations, consultez Système d’exploitation compact, instanciation unique et optimisation de l’image.
Le système d’exploitation compact n’est pas pris en charge sur les appareils mobiles.
Approvisionnement des packages
Pour gagner du temps lors de la création d’images, vous pouvez désormais capturer et appliquer des applications Windows de bureau pendant le déploiement d’images à l’aide de packages de configuration. Cela permet d’éviter les étapes fastidieuses de la généralisation et de la recapture de l’ensemble de l’image, et de déployer rapidement des appareils BTO.
Modules linguistiques
Au lieu d’ajouter des modules linguistiques complets, économisez de l’espace en ajoutant les ressources dont vous avez besoin pour l’appareil de bureau en choisissant des packages individuels pour les chaînes d’affichage, l’écriture manuscrite, les fonctions vocales et la conversion de texte par synthèse vocale. Plus tard, si votre utilisateur a besoin de fonctionnalités de langage supplémentaires, Windows peut télécharger les packages si nécessaire.
Les décisions relatives aux références SKU linguistiques et régionales peuvent avoir un impact considérable sur l’empreinte disque et la complexité du système de création d’images. Veillez à limiter la quantité et les types de modules linguistiques inclus dans chaque image.
Les appareils mobiles utilisent une image mondiale afin que toutes les langues soient incluses dans chaque image.
Co-programmes d’installation de pilotes
Les pilotes ne représentent généralement qu’une très petite partie de l’empreinte disque, mais les co-programmes d’installation ou les applications de bureau pour périphérique qui accompagnent les pilotes peuvent ajouter des centaines de mégaoctets. Examinez attentivement si le ou les appareils nécessitent que l’application Windows classique associée soit entièrement fonctionnelle.
Composants matériels
Les décisions relatives au matériel peuvent également avoir une incidence sur le processus de fabrication. Outre les défis liés à l’assemblage physique du matériel, l’inclusion ou l’exclusion de certains appareils peut compliquer le processus de fabrication. Par exemple, si les écrans tactiles et les capteurs sont inclus, ils doivent être étalonnés sur chaque appareil. Si vous excluez des appareils tels que des ports Ethernet, vous ne pouvez pas utiliser le démarrage PXE, ce qui peut entraîner des coûts supplémentaires.
Applications anti-programmes malveillants
Recommandation : Configurez vos appareils pour éviter l’analyse complète du disque lors de la première connexion. Collaborez avec votre fournisseur de logiciel anti-programmes malveillants pour déterminer les meilleures pratiques pour limiter cette analyse.
Nous avons vu plusieurs instances où les outils anti-programmes malveillants effectuent une analyse complète du disque lors de la première connexion de l’utilisateur. L’analyse est en concurrence avec les tâches critiques qui se produisent pendant le processus de première connexion, ce qui entraîne une première connexion très lente, une expérience de démarrage détériorée et des performances système lentes.
Pour Microsoft Defender, ceci peut être configuré en ajoutant des identificateurs uniques à vos images. Pour plus d’informations, consultez Configurer un identificateur d’image approuvé pour Microsoft Defender.
Mises à jour de l’image avant usine
Les images finales (golden) sont généralement transmises à l’ODM par l’OEM avant le début de la production. Ces images nécessitent presque toujours une mise à jour. Lorsque vous mettez à jour l’image finale, vous n’aurez pas à effectuer les mises à jour sur chaque appareil. Cela permet de réduire le temps passé dans l’usine pour chaque appareil et d’améliorer la qualité.
Les mises à jour de l’image peuvent inclure des pilotes, des mises à jour Windows, des logiciels, des personnalisations OEM et des packages d’application (.appx).
À propos de l’installation
Si vous mettez à jour des images à l’aide de l’installation hors connexion, vous devrez les actualiser régulièrement. Le temps gagné dans l’usine devrait en valoir la peine.
Objectifs
Réduisez le temps passé par unité dans l’usine et diminuez le nombre d’errata sur les appareils de production.
Implémentation
Sur un système BTO, certains pilotes et applications facultatifs peuvent devoir être appliqués à la station de téléchargement de logiciels pour s’adapter à l’appareil. Ces modifications doivent être réduites afin de diminuer la probabilité d’erreur et d’améliorer le temps de fabrication.
Création d'images
Le processus global de création d’images de bureau finales dans les laboratoires d’images OEM est similaire au processus existant.
Pour éviter les problèmes de compatibilité, utilisez la nouvelle version de Windows PE lorsque vous travaillez sur l’appareil de référence dans le laboratoire de création d’images.
Stratégie spécifique à la région pour la suppression de Skype sur le bureau
Les applications fournies par Windows sont incluses dans toutes les images système Windows par défaut. Ces applications ne peuvent pas être modifiées, sauf si cela est explicitement indiqué dans le document de stratégie OEM de Windows (OPD).
Si vous devez supprimer l’application Skype de boîte de réception en raison d’exigences de stratégies, vous pouvez utiliser l’outil DISM.exe ou les cmdlets DISM Windows PowerShell pour supprimer l’application. Pour plus d’informations sur cette exigence de stratégie, consultez le document de stratégie OEM le plus récent.
Pour supprimer Skype en ligne en mode audit à partir de Windows PowerShell :
get-provisionedappxpackage -online | where-object {$_.displayname -eq "Microsoft.SkypeApp"} | Remove-ProvisionedAppxPackage -online
Pour supprimer Skype hors ligne avec Windows PowerShell :
get-provisionedappxpackage -path c:\mount | where-object {$_.displayname -eq "Microsoft.SkypeApp"} | Remove-ProvisionedAppxPackage
Pour supprimer Skype hors ligne à l’aide de Dism.exe :
Obtenez le nom complet du package :
Dism.exe /image:<Windows_volume> /get-provisionedappxpackages
Supprimez le package à l’aide du
<PackageName>
de la liste Microsoft.SkypeApp :Dism.exe /image:<Windows_volume> /remove-provisionedappxpackage /PackageName:<PackageName>
Remarque
Si vous utilisez la version Windows 8 de WinPE, vous devez mettre à jour les horodatages des fichiers après toute opération de maintenance, faute de quoi vous risquez de ne pas pouvoir activer l’image à l’aide de la méthode de gestion des licences d’Activation OEM 3.0. En outre, l’outil de diagnostic de gestion des licences intégré, licensingdiag.exe, signalera que l’image a été falsifiée.
Pour résoudre ce problème, après toute opération de maintenance exécutée à partir de la version Windows 8 de WinPE, l’OEM doit exécuter :
dir %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
Personnalisation du pilote
Vous devez ajouter des packages de pilotes pour veiller à ce que Windows puisse démarrer correctement pour la première fois et se connecter à Internet et à Windows Update. Pour obtenir des instructions, consultez « Ajouter des pilotes à votre image Windows ».
Guide de personnalisation des pilotes
- Si un package de pilotes est nécessaire pour démarrer correctement Windows sur le système, vous devez utiliser DISM pour l’installer dans une image Windows hors connexion avant de déployer et de démarrer l’image système Windows.
- Pour une fiabilité et une facilité de maintenance optimales, vous ne devez installer que des packages de pilotes conformes à Windows Driver.
- Pour optimiser la fiabilité et l’efficacité, vous devez utiliser DISM pour installer des packages de pilotes dans une image système Windows hors connexion.
- Si des packages de pilotes supplémentaires doivent être installés dans l’usine, vous devez installer les packages de pilotes pendant l’installation hors connexion, c’est-à-dire après l’application de l’image système Windows sur l’appareil et avant de démarrer l’appareil en mode audit.
Mises à jour de modules linguistiques
Après avoir installé une nouvelle langue, vous devez réinstaller les ensembles APPX et les applications Windows de boîte de réception pour prendre en charge les nouvelles langues. Sinon, les ensembles APPX n’incluent pas la prise en charge des nouvelles langues.
Applications en mode Audit
Nous vous déconseillons de désactiver le service de préparation des applications (App Readiness Service) en mode Audit pour tous les appareils fabriqués par des OEM. La désactivation du service de préparation des applications peut réduire le temps nécessaire pour que l’appareil démarre d’abord dans l’OOBE, mais peut empêcher le lancement d’applications faisant partie intégrante du système d’exploitation ou avoir un impact négatif sur celui-ci.
Pour désactiver le service de préparation des applications hors ligne :
Créez un fichier .reg où HKLM\Software\Microsoft\Windows\CurrentVersion\AppReadiness DisableInAuditMode est défini sur la valeur 1.
Montez l’image système Windows. Par exemple :
Dism /Mount-Image /ImageFile:"C:\Images\ModelSpecificImage.wim" /Name:"Fabrikam" /MountDir:"C:\mount\windows" /Optimize
Chargez la ruche du registre. Par exemple :
reg load hklm\LoadedHive C:\mount\Windows\System32\config\SYSTEM
Ajoutez la valeur du registre. Par exemple, à l’aide d’un fichier .reg à partir de votre clé USB :
regedit /s e:\registry\regFile.reg
Déchargez la ruche.
reg unload hklm\LoadedHive
Démontez l’image système Windows, en validant les modifications. Par exemple :
Dism /Unmount-Image /MountDir:"C:\mount\windows" /Commit
Si vous devez désactiver le service, il est recommandé de le faire hors ligne avant d’entrer en mode audit. Vous pouvez également le désactiver en ligne en mode audit, mais vous devez généraliser l’image après avoir désactivé le service. Pour désactiver le service de préparation des applications en ligne :
- En mode Audit, démarrez
regedit
. - Accédez à HKLM\Software\Microsoft\Windows\CurrentVersion\AppReadiness DisableInAuditMode.
- Définissez la valeur de la clé sur 1.
Exécutez Sysprep generalize avant de continuer.
Phase SMT / Assembly
Les appareils doivent être étalonnés pour offrir une expérience optimale aux clients et pour passer les tests du Windows Hardware Lab Kit.
Implémentation
- Étalonnages
- Capteurs
- Pavé tactile
- Touchscreen
- RF
- Caméra
Réglez l’heure sur UTC et implémentez les modifications ACPI détaillées ci-dessous.
Test matériel et phase d’exécution
Pour cette phase, vous pouvez :
- Utiliser le Système d’exploitation Microsoft Validation, un système d’exploitation léger, rapide et personnalisable basé sur Windows 11 que vous pouvez utiliser en usine pour diagnostiquer, atténuer et réparer les défauts matériels pendant la fabrication des appareils Windows.
- Testez sur une version complète de Windows. Cela vous permet de tester les interactions matérielles/logicielles finales telles que l’utilisateur les verra.
À propos de l’installation
Windows PE n’est pas un système d’exploitation pris en charge pour les tests, car il est conçu pour être utilisé uniquement comme véhicule de déploiement.
À l’aide du système d’exploitation Validation ou de la version complète de Windows que vous utiliserez, vous pouvez effectuer des tests et une validation dans le même environnement que celui avec lequel l’appareil sera fourni.
Objectifs
Fournissez un produit de la plus haute qualité possible, tout en réduisant les délais de fabrication au strict minimum.
Implémentation
L’installation du système d’exploitation de test peut être gérée de différentes façons. Étant donné que le système d’exploitation de test a moins d’attrition que celui expédié, l’image peut être installée sur le disque à tout moment, ce qui peut réduire le temps consacré à l’application de l’image dans l’usine. Il est possible de faire préflasher l’image par le fabricant de matériel ou d’utiliser la duplication de disque sur place.
Important : désactivez l’approvisionnement automatique TPM (module de plateforme sécurisée) lors du démarrage dans un système d’exploitation de test pour garantir de bons niveaux de performance et vous assurer que le système d’exploitation de l’utilisateur est propriétaire du module. Pour ce faire dans Windows, vous devez définir les clés de Registre suivantes :
[HKLM\System\CurrentControlSet\Services\Tpm\WMI\NoAutoProvision] (REG_DWORD) to 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPM\WMI]
"NoAutoProvision"=dword:00000001
Phase de téléchargement de logiciels
À propos de l’installation
Il convient de veiller à minimiser le temps consacré à cette phase. Bien que certaines longues durées soient inévitables (telles que les personnalisations BTO), nous encourageons nos partenaires à calculer les coûts par rapport aux avantages de la rationalisation dans la mesure du possible.
Objectifs
Créez un système de création d’images efficace et résilient avec un minimum de frais généraux. Déplacez autant d’étapes que possible vers les mises à jour de l’image avant usine.
Implémentation
Démarrez la machine sur WinPE. Pour déployer le système d’exploitation compact, vous devez utiliser la version Windows 10 ou ultérieure de Windows PE. Vous pouvez démarrer WinPE de différentes façons :
- à l’aide du PXE
- à l’aide d’un lecteur USB amovible
- en préinstallant WinPE sur le disque dur
Créez la structure de partition de disque dur à l’aide de diskpart.
diskpart /s F:\CreatePartitions-UEFI.txt
Pour plus d’informations, consultez Partitions de disque dur basées sur UEFI/GPT
Appliquez les images que vous avez créées à l’aide de DISM aux partitions Windows.
ApplyImage F:\Images\ThinImage.wim
Pour en savoir plus, consultez Capturer et appliquer des partitions Windows, Système et Récupération.
Facultatif : utilisez la même image qu’une image de récupération sur un lecteur USB distinct. Il n’est plus nécessaire de se procurer ce disque USB auprès d’un fabricant agréé. Pour plus d’informations, consultez Créer un média pour exécuter des fonctionnalités de réinitialisation rapide.
Démarrez l’appareil en mode audit.
Apportez toutes les modifications finales à l’image. C’est là que de nombreuses modifications BTO sont apportées.
Si les applications APPX ont été installées avant l’ajout de modules linguistiques supplémentaires, réinstallez les applications afin qu’elles puissent prendre en charge les nouvelles langues. Cela inclut les applications de boîte de réception.
Microsoft recommande vivement aux OEM d’exécuter DISM avec les indicateurs /StartComponentCleanup /resetbase pour gagner de l’espace disque libre supplémentaire.
Vérifiez que les applications .NET Framework sont compilées en exécutant les commandes suivantes
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe update /queue C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe eqi
Sur les machines 64 bits, procédez de la même façon pour le CLR 64 bits :
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe update /queue C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe eqi
Créez le rapport de build de l’ordinateur (CBR) OA3 à l’aide d’OAtool.exe, injectez la clé dans le microprogramme et validez l’approvisionnement.
Si vous utilisez l’environnement de préinstallation Windows (WinPE) 5.x, corrigez les horodateurs. (Cette étape n’est pas nécessaire si vous utilisez WinPE pour Windows 10.)
dir %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
Exécutez Sysprep /oobe pour préparer le système pour l’utilisateur final.
Activez le démarrage sécurisé (s’il est implémenté).
Phase d’assurance qualité
L’assurance qualité doit être exécutée sur un échantillon de machines tout au long du cycle de production pour garantir que toutes les personnalisations ont été correctement installées. Cette passe d’assurance qualité doit également être utilisée pour valider l’implémentation OA3.
À propos de l’installation
Une fois que le système est passé par l’OOBE pour cette passe d’assurance qualité, il doit être réinitialisé afin de garantir que l’expérience de l’utilisateur final est excellente.
Objectifs
Assurez une bonne expérience client et réduisez le temps passé à reconstruire la machine.
Implémentation
L’appareil doit revenir à la ligne de production pour qu’il soit réimagé.
Refabrication
Une fois que l’appareil est passé par l’OOBE (pour quelque raison que ce soit), il doit être réimagé. En usine, l’appareil peut simplement être réintroduit dans la station de téléchargement de logiciels une fois que le TPM a été effacé (si équipé).
Si l’appareil doit être réparé sur le terrain par un tiers, il convient d’utiliser la réinitialisation rapide. Cela permet de garantir que la machine retrouve sa configuration d’usine complète tout en conservant une simplicité d’exécution.
À propos de l’installation
Bien que la PBR dispose de toutes les fonctions nécessaires au reconditionnement en usine, elle ne permet pas de programmer les actions et ne fournit pas les codes d’erreur exploitables requis pour l’automatisation qui serait nécessaire pour une production à grande échelle.
Objectifs
Assurez une bonne expérience client tout en protégeant les données de l’utilisateur.
Implémentation
Pour effacer le TPM, utilisez les commandes suivantes :
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
$Tpm.SetPhysicalPresenceRequest(22)
Pour utiliser Windows PE, vous aurez besoin d’une image Windows PE personnalisée avec :
- des pilotes spécifiques au SOC pour ftpm.
- des composants facultatifs : SecureStartup, WMI, PowerShell et .NET Framework.
Liste de contrôle de fabrication
Chronologie des tâches de fabrication Windows 10
Vous pouvez utiliser cette liste de contrôle pour planifier vos tâches de fabrication.
Tâche | Phase pré-EV | Phase EV | Phase DV | Phase PV |
---|---|---|---|---|
Travail de fabrication requis : | Pré-EV | EV | DV | PV |
ODM choisi ? | ✔ | - | - | - |
Accès de l’OEM à Windows 11 ? | ✔ | - | - | - |
Accès de l’ODM à Windows 11 ? | ✔ | - | - | - |
Accès de l’OEM au WEG de fabrication ? | ✔ | - | - | - |
Accès de l’ODM au WEG de fabrication ? | ✔ | - | - | - |
Identification des points de contact de l’ODM ? | ✔ | - | - | - |
Identification des points de contact de l’OEM ? | ✔ | - | - | - |
Lancement de l’ODM ? | ✔ | - | - | - |
Lancement de l’OEM ? | ✔ | - | - | - |
Appel de fabrication régulier ? | - | ✔ | - | - |
Déploiement : | Pré-EV | EV | DV | PV |
Compréhension des concepts de déploiement par l’OEM | ✔ | - | - | - |
Compréhension des concepts de déploiement par l’ODM | ✔ | - | - | - |
Utilisation de la DISM Windows 11 | - | ✔ | - | - |
Utilisation de la version Windows 11 de Windows PE | - | ✔ | - | - |
Attributs étendus appliqués via la DISM | - | ✔ | - | - |
Vérification WinSxS en cours d’exécution ? /AnalyzeComponentStore | - | ✔ | - | - |
Image nettoyée ? (DISM /Cleanup-Image /StartComponentCleanup /ResetBase) | - | ✔ | - | - |
Réinitialisation rapide | Pré-EV | EV | DV | PV |
Compréhension des concepts de réinitialisation rapide par l’OEM | - | ✔ | - | - |
Compréhension des concepts de réinitialisation rapide par l’ODM | - | ✔ | - | - |
Disposition de partition recommandée à utiliser pour Windows RE et la réinitialisation rapide ? | - | - | ✔ | - |
Si une disposition de partition non standard est utilisée, la récupération complète est-elle configurée ? | - | - | ✔ | - |
Paramètres ACL de l’image de récupération corrects ? | - | - | ✔ | - |
Heure d’actualisation/réinitialisation conforme aux directives ? | - | - | - | ✔ |
Windows RE : | Pré-EV | EV | DV | PV |
Compréhension des concepts de Windows RE par l’OEM | - | ✔ | - | - |
Compréhension des concepts de Windows RE par l’ODM | - | ✔ | - | - |
Windows RE est activé | - | - | ✔ | - |
L’emplacement de Windows RE est correct | - | - | ✔ | - |
Le GUID des BCD pour Windows RE correspond à l’entrée GUID de Windows RE dans Reagent.xml | - | - | ✔ | - |
L’index d’image est correct | - | - | ✔ | - |
Industrie : | Pré-EV | EV | DV | PV |
Taille de partition Windows RE (Mo) et position sur le disque sélectionné | - | ✔ | - | - |
La partition de test utilise le système d’exploitation Validation ou Windows complet | - | - | ✔ | - |
Déploiement d’images via [carte réseau] ou [duplication] | - | ✔ | - | - |
Plan d’approvisionnement de clé OPM terminé ? | - | ✔ | - | - |
Modules linguistiques par référence SKU | - | - | ✔ | - |
Démarrage sécurisé : | Pré-EV | EV | DV | PV |
Compréhension des concepts de sécurité par l’OEM | ✔ | - | - | - |
Compréhension des concepts de sécurité par l’ODM | ✔ | - | - | - |
Processus de démarrage sécurisé testé avec signature de préproduction ? | - | - | ✔ | - |
Limite désactivée ? | - | - | - | ✔ |
Pilotes signés par le fabricant de matériel / le fournisseur de logiciel indépendant ? | - | - | - | ✔ |
Pilotes signés par Microsoft ? | - | - | - | ✔ |
Processus de refabrication terminé [usine] | - | - | ✔ | - |
Processus de refabrication terminé [service sur le terrain] | - | - | ✔ | - |
Plans de démarrage sécurisé et de stratégie de débogage vérifiés par FT | - | ✔ | - | - |
OA 3.0 : | Pré-EV | EV | DV | PV |
Utilisation de OA3tool.exe mis à jour | - | - | ✔ | - |
Valider l’image/la clé hors connexion | - | - | ✔ | - |
Injection effectuée dans [Windows PE][Windows] Reportez-vous à la section Activation OEM 3.0. |
- | - | ✔ | - |
Annexe
Optimisation de l’empreinte disque réduite
L’empreinte disque de base de Windows 10 x86 avec Office et 2 Go de RAM contiendra :
Windows (w/Office), fichier de pagination, fichier de mise en veille prolongée, fichier d’échange et deux modules linguistiques | 11,7 GO |
WinRE | 500 Mo |
Partitions système (MSR, ESP) | 428 MO |
Total | ~23 GO |
Espace disponible pour les personnalisations OEM sur un appareil de 32 Go (29 Go utilisable) | ~6 GO |
Il est supposé que :
- Empreinte disque calculée à l’aide de GetDiskFreeSpaceEx()
- Les données sont collectées immédiatement après l’installation du système d’exploitation, avant l’exécution de NGEN, avant les tâches inactives.
- La mesure inclut les fichiers de pagination
- Windows Update est désactivé
- La génération a plusieurs exécutions, l’empreinte maximale est utilisée dans ce rapport
- La capacité du lecteur est convertie en tailles de base 2 : 32 Go == 32 000 000 000 octets == 30 518 MiB (ou 29 GiB).
Modules linguistiques
Les modules linguistiques comprennent certains des plus grands ajouts d’espace disque qu’un OEM est susceptible d’effectuer. Une langue avec tous ses composants facultatifs inclus peut être estimée à 275 Mo chacune (la taille varie selon la langue) tandis que les modules linguistiques Office peuvent être estimés à 300 Mo (également selon la langue).
Windows tronque les modules linguistiques inutilisés une fois que l’utilisateur final sélectionne une langue principale pendant l’OOBE. Une fois qu’elles ont été supprimées, ces langues ne seront pas disponibles par le biais de la réinitialisation rapide.
Pour maintenir une empreinte disque plus petite, envisagez de réduire la quantité de langues installées sur chaque référence SKU expédiée.
Maintenance
L’ajout de packages de Base de connaissances de Windows Update peut augmenter considérablement la taille du disque. Pour réduire l’empreinte d’une image après avoir ajouté des mises à jour :
Installez la Base de connaissances et redémarrez si vous y êtes invité
À partir d’une invite de commandes avec élévation de privilèges, exécutez les commandes suivantes :
dism.exe /online /cleanup-image /startcomponent
Redémarrez l’appareil.
Horloge en temps réel (RTC)
La RTC est une source de temps alimentée par une batterie qui stocke et maintient l’heure du système lorsque l’appareil est hors tension. ACPI 5.0 définit l’appareil de temps & d’alarme qui extrait l’appareil matériel sous-jacent qui gère l’heure de la plateforme. L’appareil de temps & d’alarme ACPI est le moyen privilégié de régler et d’interroger l’heure de la plate-forme sous Windows, même sur un système doté d’une RTC traditionnelle basée sur le CMOS. L’interface ACPI fournit le décalage de fuseau horaire calculé pour la valeur de l’heure obtenue ou écrite dans la RTC. Ce champ d’informations supplémentaire répond à un problème de longue date avec la RTC basée sur le CMOS, où un système d’exploitation ne sait pas comment interpréter l’heure lue à partir de l’horloge matérielle.
Considérations relatives à l’usine
Windows interroge la RTC pour mettre à jour l’heure du système quand :
- aucun service de synchronisation de temps n’est disponible.
- la machine entre en veille (S3) ou en veille prolongée (S4).
- le débogueur du noyau est activé.
Les OEM configurent généralement la RTC en temps local (LT) pour les appareils fournis avec Windows 7. Windows 7 utilise exclusivement l’interface de temps du CMOS pour obtenir l’heure de la RTC, qui est interprétée comme LT. Dans Windows 8, nous avons ajouté la prise en charge de l’appareil de temps & d’alarme ACPI, mais Windows 8 utilise également la RTC du CMOS, si disponible, et traite l’heure retournée à partir de celle-ci comme LT. Ce comportement (lié à l’interface de la RTC du CMOS) est incompatible avec la plupart des systèmes d’exploitation autres que Windows. En outre, les fournisseurs d’hébergement comme Azure souhaitent utiliser l’heure UTC dans leur matériel virtualisé pour simplifier la gestion et la migration des invités qui peuvent avoir plusieurs fuseaux horaires différents.
Pour résoudre ces problèmes, Microsoft va abandonner l’interface de la RTC du CMOS et s’appuyer principalement sur l’appareil de temps & d’alarme ACPI.
Pour les OEM, les conseils sont les suivants :
- Implémentez l’appareil de temps & d’alarme ACPI.
- Définissez l’indicateur « RTC du CMOS absente » dans la table de description ACPI fixe (FADT). Le matériel sous-jacent peut toujours être la RTC reposant sur le CMOS, mais Windows n’utilisera que l’appareil de temps & d’alarme ACPI si cet indicateur est défini.
- Il n’est pas recommandé que le microprogramme de la plateforme mette à jour la RTC pendant la période d’heure d’été. Toutefois, si c’est le cas, le microprogramme doit s’assurer que le temps universel coordonné (UTC) peut toujours être calculé en ajoutant le décalage horaire calculé à la valeur de temps, c’est-à-dire UTC = LT + TZ (fuseau horaire). Windows ignore le champ DST reçu de la méthode de contrôle _GRT.
- Invalider la TZ (définie sur 0x7FF) par le biais du microprogramme si l’heure de la RTC est mise à jour par l’interface de la RTC du CMOS.
Garantir une bonne expérience de première connexion
L’équipe Windows a constaté un certain nombre de problèmes qui nuisent à la bonne performance des utilisateurs lors de leur première expérience avec Windows. Les conseils suivants devraient permettre de résoudre les problèmes les plus courants lors de la préparation des images du système d’exploitation pour vos clients.
Outils anti-programmes malveillants analysant le disque lors de la première connexion
Nous avons vu plusieurs instances où les outils anti-programmes malveillants effectuent une analyse complète du disque lors de la première connexion de l’utilisateur. L’analyse est en concurrence avec les tâches critiques qui se produisent pendant le processus de première connexion, ce qui entraîne une première connexion très lente, une expérience de démarrage détériorée et des performances système lentes.
Recommandation : Les appareils doivent être configurés pour éviter l’analyse complète du disque lors de la première connexion. Des conseils spécifiques pour les solutions antivirus doivent être fournis par le fournisseur d’antivirus.
Microsoft Defender
Ajoutez des identificateurs uniques à vos images pour empêcher Microsoft Defender de réanalyser tous les fichiers que vous avez fournis dans l’image de disque d’origine. Pour plus d’informations, consultez Configurer un identificateur d’image approuvé pour Microsoft Defender.
Exécution de commandes NGEN
La génération d’images natives est une tâche qui compile le MSIL (code de machine virtuelle) du .NET Framework en images natives (exécutables spécifiques à la plateforme). En règle générale, cela améliore le temps de démarrage de l’application CLR de plus d’un ordre de grandeur. Pour plus de détails, consultez Les avantages de NGen en matière de performances.
Recommandation : suivez ces instructions pour vous assurer que les applications .NET Framework sont compilées. Veuillez exécuter les commandes suivantes après avoir installé toutes les mises à jour du système d’exploitation :
Sur les appareils 32 bits, x86 ou Arm :
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe update /queue
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe eqi
Sur les appareils 64 bits, procédez comme suit pour les deux versions du .NET Framework :
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe update /queue
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe eqi
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe update /queue
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe eqi
Pilotes graphiques
Un appareil Windows doit être fourni avec le pilote graphique DirectX approprié au matériel du système. Si le pilote approprié n’est pas installé, le système bascule sur un pilote graphique basé sur le logiciel. Cela entraîne une dégradation des expériences avec Windows, notamment des performances de première connexion plus lentes.
Recommandation : installez le pilote graphique approprié pour votre matériel en mode audit.
Forum aux questions
Windows PE
Question : Puis-je utiliser le nouveau WinPE pour déployer, gérer et assurer la maintenance des versions précédentes de Windows ?
Réponse : les mises à jour de WinPE n’affectent pas les versions de Windows actuellement prises en charge. Vous pouvez utiliser la version mise à jour de WinPE pour déployer des versions antérieures de Windows.
Question : Dois-je migrer vers les nouveaux outils de déploiement disponibles dans le cadre de Windows 10 ou Windows 11 ?
Réponse : Non. Vous devez uniquement effectuer une mise à jour vers la version plus récente des outils de déploiement (WinPE, DISM) si vous souhaitez implémenter le système d’exploitation compact.
Question : Comment l’optimisation de l’empreinte disque a-t-elle un impact sur mon environnement PXE ?
Réponse : vous devez uniquement mettre à jour votre environnement PXE vers la version plus récente des outils de déploiement (WinPE, DISM) si vous exécutez une « apply » (appliquer) dans votre environnement PXE. Si vous exécutez uniquement un téléchargement (copie de fichiers à partir du serveur vers le client), vous n’avez pas besoin de mettre à jour votre environnement PXE.
Récupération rapide (PBR) et Environnement de récupération Windows (WinRE)
Question : WinRE sera-t-il également mis à jour ?
Réponse : Oui, un nouveau WinRE.wim est nécessaire.
Question : L’utilisateur peut-il toujours créer une clé USB de PBR ?
Réponse : Oui. Si la disposition de partition par défaut est utilisée, aucune configuration supplémentaire n’est requise par l’OEM pour l’activer.
Stockage
Question : Prenez-vous uniquement en charge les disques SSD ?
Réponse : Nous prenons en charge à la fois les SSD et les supports rotatifs traditionnels. Nous vous recommandons d’utiliser l’instanciation unique uniquement sur des disques SSD, en raison de problèmes de performances.
Question : Puis-je utiliser l’instanciation unique des packages de configuration sur une configuration à double disque (disque dur + SSD) ?
Réponse : l’instanciation unique ne peut être implémentée que sur le même disque.
Encombrement disque
Question : Comment supprimerez-vous les modules linguistiques que l’utilisateur ne choisit pas pendant l’OOBE ?
Réponse : Les modules linguistiques sont supprimés de l’appareil et ne seront plus disponibles pendant les opérations de récupération rapide.
Question : Comment calculez-vous la taille du disque ? Par exemple, vous indiquez une taille de disque de 14,8 Go sur un disque de 16 Go.
Réponse : La capacité du disque est convertie en base 2. Par exemple, 16 000 000 000 (milliards d’octets) correspondent à environ 14,8 Go.
Question : Puis-je uniquement utiliser le système d’exploitation compact sur de petits appareils, tels que ceux dotés d’une RAM de 1 Go et d’un disque de 16 Go ?
Réponse : le système d’exploitation compact peut être appliqué à n’importe quelle plateforme 32 bits ou 64 bits avec >=16 Go de stockage SSD.
Question : Recommandez-vous d’utiliser un disque de 16 Go sur une plateforme 64 bits exécutant Windows 64 bits ?
Réponse : Nous recommandons une capacité de disque minimale de 32 Go pour Windows 64 bits.
Création d’images et déploiement
Question : Quelles sont les modifications apportées à la commande DISM pour prendre en charge le système d’exploitation compact ?
Réponse : Vous pouvez utiliser DISM /Apply-Image … /Compact et /Apply-CustomDataImage. Pour plus d’informations, consultez Options de ligne de commande de la gestion des images DISM.
Question : Le système d’exploitation compact prend-il en charge les dispositions de partition GPT et MBR ?
Réponse : Oui.
Question : Un outil OA3 mis à jour est-il requis avec Windows 10 et Windows 11 ?
Réponse : Oui.
Question : Puis-je toujours utiliser l’Assistant Gestion d’installation, des paramètres et des fichiers de réponses sans assistance avec Windows 10 et Windows 11 ?
Réponse: Oui, bien que certains paramètres aient pu être modifiés. Consultez Modification des paramètres du fichier de réponses.
Modules linguistiques et applications
Question : Est-il possible d’utiliser plusieurs modules linguistiques ?
Réponse : Oui, mais nous vous recommandons vivement de valider l’impact sur l’empreinte disque du nombre de langues (Windows, Office, pilotes et applications) par image.
Question : Y a-t-il un changement dans la manière d’installer les modules linguistiques ?
Réponse : Oui, vous appliquerez le lp.cab de base de la même manière qu’auparavant afin d’obtenir plusieurs options d’interface utilisateur, mais pour pouvoir saisir du texte ou obtenir de l’aide, vous devrez ajouter des composants linguistiques facultatifs. Pour plus d’informations, consultez Ajouter des modules linguistiques à Windows.
Question : Y a-t-il un changement dans la façon d’installer les applications de bureau ou du Microsoft Store ?
Réponse : Il n’existe aucun changement dans la façon dont vous installez des applications de bureau ou du Microsoft Store à partir depuis Windows 8.1.
Question : Quelle est l’expérience utilisateur dans une configuration multilingue ou lorsqu’un utilisateur ajoute un module linguistique supplémentaire ?
Réponse : Les modules linguistiques continueront de fonctionner de la même façon que dans les versions précédentes de Windows.
Question : Existe-t-il des problèmes de compatibilité avec les applications de bureau ?
Réponse : Le type d’applications énumérées ci-dessous devra être validé avec attention.
- Les outils de chiffrement de volume complet ne doivent pas chiffrer les images WIM pour limiter l’impact sur les performances. Ces outils doivent vérifier l’intégrité du WIM non chiffré afin d’éviter toute falsification.
- Tout outil qui écrit des fichiers système peut être affecté :
- Les applications de création d’images doivent effectuer une sauvegarde en mode bloc et une restauration de TOUS les volumes.
- Les opérations de restauration incomplètes/défectueuses peuvent empêcher le démarrage d’un système.
- Les outils de chiffrement/sauvegarde/défragmentation peuvent involontairement augmenter la taille des fichiers système.
Question : Le système d’exploitation compact s’applique-t-il également à Windows Embedded ?
Réponse : L’implémentation et la conception des fonctionnalités du système d’exploitation compact sont limitées à Windows 10 et Windows 11 pour les éditions de bureau (Famille, Professionnel et Entreprise). Cependant, vous devriez contacter votre représentant Windows Embedded et lui demander quel est son plan d’optimisation de l’empreinte disque.
Stratégie
Question : L’exigence actuelle de 10 Go d’espace disque libre a-t-elle été modifiée ?
Réponse : Reportez-vous aux Exigences de compatibilité matérielle Windows mises à jour.
Maintenance
Question : Comment la mise à niveau fonctionnera-t-elle, en particulier sur l’image de récupération avec l’optimisation de l’empreinte disque ?
Réponse : La mise à niveau continuera de fonctionner.