Présentation

DKIM (DomainKey Identified Mail) permet de signer les messages expédiés par un serveur SMTP. Pour ceci, une paire de clé doit être générée, la clé publique est ensuite publiée via DNS, la clé privée est fournie au serveur SMTP.
À la réception d’un message signé via DKIM, un serveur mail va se référer à l’entête “DKIM-Signature” pour identifier le domaine et le selecteur, puis va chercher la clé publique sur les enregistrements DNS afin de vérifier la signature.

Configuration du DNS

https://help.returnpath.com/hc/fr/articles/222481088-Aper%C3%A7u-du-DNS-record-pour-la-signature-DKIM

C’est une entrée de type “TXT” (mentionnée de type DKIM chez OVH), appliquée à “selecteur._domainkey.domain.com” (selecteur et domain doivent être adaptés).
Le champ fonctionne sur un principe clé=valeur ; on retrouve les champs suivants :

• v= : version. DKIM1
• k= : type de clé. “rsa”
• p= : clé publique
• t= : ? (t=s) ; il semble que ce champ puisse poser problème dans le cas d’utilisation de sous-domaines

Analyse de la signature

https://help.returnpath.com/hc/fr/articles/222438487-Informations-d-ent%C3%AAte-de-la-signature-DKIM

Dans les entêtes d’un mail. Entête “DKIM-Signature”

Balises obligatoires :

• v= : version. Actulemment, c’est 1
• a= : algo pour générer la signature. Ca sera quasi toujours rsa-sha256
• d= : pour identifier le domaine responsable de la signature
• s= : sélecteur ; avec le domaine, permet de trouver l’emplacement de la clé publique dans le DNS
• h= : liste d’entetes qui seront utilisées pour créer la signature (et sont donc authentifiées) ; par exemple “h=To:From:Subject;”
• b= : hachage de la valeur “h” ; c’est généralement ceci que l’on appelle “signature DKIM”
• bh= : hachage du corps du message

Balises optionnelles :

• t= : horodatage du message
• x= : horodatage de l’expiration de la signature. Doit être postérieure à “t”

ARC (Authenticatd Received Chain)

https://www.dmarcanalyzer.com/fr/arc-est-ici/

Permet de résoudre des situations où SPF ou DKIM ne fonctionnent plus (typiquement lorsqu’il y’a un transfert de mail, soit via forward automatique, soit lors d’un transfert via une mailing-list).
En gros, lorsqu’un serveur de transfert reçoit un mail avec un résultat DMARC valide, il “encapsule” ce résultat dans une en-tête ARC. Il peut ensuite retransmettre l’ensemble (message + entête ARC) au destinataire suivant (qui peut être un autre intermédiaire, ou bien le destinataire final).

Si DMARC échoue, mais que l’ensemble de la chaîne ARC est valide, un serveur peut choisir de valider le mesage quand même.

En-têtes ARC :
ARC-Authentication-Results (AAR) : regroupe les infos d’authentification du mail d’origine (SPF, DKIM, DMARC)
ARC-Message-Signature (AMS) : une signature (comme pour DKIM) pour certifier le contenu de l’ensemble du message (excepté l’ARC-Seal)
ARC-Seal (AS) : une signature (comme pour DKIM) de l’ensemble de la chaîne des ARC-Seal

Chaque certification ARC est assortie d’un numéro d’instance (i) commençant à 1. Il peut y avoir plusieurs certifications ARC successives.

Gestion via Office 365

https://security.microsoft.com/dkimv2
ou ici
https://security.microsoft.com/authentication?viewid=DKIM

Nécessite de paramétrer les entrées DNS (CNAME type selector1._domainkey.mondomaine.fr. qui pointe chez MS)

Il peut être utile de pouvoir modifier un ISO d’install Windows (par exemple pour avoir une install de Win 11 avec compte local activé).
Je n’ai pas trouvé comment créer un iso bootable en partant d’une clé USB d’install.

Mais on peut utiliser Anyburn Free (ici en version 6.6) pour modifier l’ISO, tout en conservant les infos de boot déjà présentes.

Éditer un fichier image -> choisir l’iso officielle de Win 11
Sélectionner tout -> Supprimer
Ajouter -> sélectionner l’ensemble des dossiers de la clé usb d’install modifiée
Créer l’ISO

https://www.elevenforum.com/t/creating-an-iso-from-a-windows11-rufus-install-usb.42507/

Sinon ça ?
https://timothy-quinn.com/how-to-convert-a-bootable-usb-to-an-iso-file/

Il y’a plusieurs réglages séparés qui contrôlent le comportement de Windows quant à l’inactivité de l’utilisateur.

Récap TL/DR

Par poste

Si on veut s’assurer du verrouillage d’un poste, quel que soit son utilisateur, le + sûr est d’activer la GPO

Config ordi -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

La valeur définie (en secondes) sera la valeur maximum avant verrouillage de l’écran ; et un mot de passe sera demandé en cas de :

• économiseur d’écran
• veille de l’écran
• veille complète de l’ordi

Par utilisateur

Si on veut appliquer le réglage uniquement à certains utilisateurs, alors il faut activer la GPO :

Config utilisateur -> Stratégies -> Modèles d'admin -> Panneau de config -> Personnalisation
 - Dépassement du délai d’expiration de l’écran de veille
 - Un mot de passe protège l’écran de veille

pour protéger l’économiseur d’écran.

Il faut aussi activer la GPO :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Demander un mot de passe lorsqu’un ordinateur sort de la veille (sur batterie / sur secteur)

pour protéger la sortie de veille d’écran et de veille complète.

Intune

Devices -> Configuration -> New Policy -> Win 10 and later -> Settings Catalog
Administrative Templates -> Control Panel -> Personalization -> 
  Password protect the screen saver (User)
  Screen saver timeout (User)

pour l’économiseur d’écran. Appliquer la politique à des utilisateurs.

Gain de temps

Enfin on demande à arriver directement sur le champ de mot de passe avec le paramétrage suivant :

GPO

Config ordi -> Stratégies -> Modèles d'administration -> Panneau de configuration -> Personnalisation
 - Ne pas afficher l’écran de verrouillage

Intune

Devices -> Configuration -> New Policy -> Win 10 and later -> Settings Catalog
Administrative Templates -> Control Panel -> Personalization -> Do not display the lock screen

Extinction (veille) de l’écran / mise en veille

Permet de gérer les économies d’énergie, mais pas vraiment de sécuriser le poste, car les réglages/timing sont changeables par l’utilisateur final.

C’est lorsque l’écran passe complètement en mode veille/éco d’énergie (typiquement voyant orange).
Concerne la gestion de l’énergie, et s’applique à l’échelle du poste. Tous les utilisateurs partagent le même réglage.

Se gère dans le panneau de config, Options d’alimentation -> Modifier les paramètres du mode
ou app Paramètres -> Personnalisation -> Écran de verrouillage -> Paramètres du délai d’expiration de l’écran

Via GPO, on peut pré-définir un profil d’énergie qui contiendra d’autres paramètres, comme le délai d’extinction écran, par
Config ordi -> Préférences -> Paramètres du panneau de conf -> Options d'alimentation
Mais ceci reste modifiable par l’utilisateur final, on ne peut pas le forcer.

On peut par contre utiliser la GPO suivante pour contrôler le délai de mise en veille :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Spécifier le délai de veille du système (sur secteur / sur batterie)

qui aura pour effet de régler le délai de veille dans les options d’alimentation.

La GPO “Spécifier le délai de veille si l’ordinateur n’est pas utilisé (sur secteur)” me semble n’avoir aucun effet sur Win 10.

Demande du mot de passe pour déverrouillage

La nécessité ou non d’entrer un mot de passe lors de la reprise d’activité se gère par l’utilisateur dans les paramètres -> Comptes -> Options de connexion -> Exiger une connexion.
Il y’a le choix entre Jamais et “Lorsque le PC sort du mode veille” ; malgré l’intitulé trompeur, cette 2e option concerne la vraie mise en veille (sleep S3/S0i) du poste, mais aussi la veille de l’écran.
Elle ne concerne PAS la sortie d’économiseur d’écran, qui a son propre réglage (voir paragraphe suivant).
ATTENTION, il semble que si l’extinction de l’écran survient après l’économiseur d’écran, alors le mot de passe n’est pas demandé !

Au même endroit que précédemment :

Config ordi -> Stratégies -> Modèles d'administration -> Système -> Gestion de l'alimentation -> Paramètres de la veille
 - Demander un mot de passe lorsqu’un ordinateur sort de la veille (sur batterie / sur secteur)

qui aura pour effet de griser le choix “Exiger une connexion”.

Économiseur d’écran / Écran de veille

Ce sont les animations qui s’affichent sur l’écran lors d’inactivité (bulles etc).
Ce comportement peut se paramétrer au niveau machine, ou bien au niveau utilisateur.

Niveau poste

Le verrouillage d’un poste peut être forcé, quel que soit l’utilisateur, via la stratégie locale (gpedit.msc) :

Config ordi -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

Par défaut, la valeur est vide. Il n’est pas possible de valider une valeur vide, mais on peut y mettre 0 pour annuler le paramétrage.

La saisie d’une valeur non-nulle sur cette stratégie va immédiatement obliger la saisie d’un mot de passe pour la sortie de veille, d’économiseur d’écran et d’extinction de l’écran ; non-désactivable par l’utilisateur final.
Le paramétrage “Exiger une connexion” dans l’app Paramètres va aussi être grisé.
La paramétrage “Demander un mot de passe” du réglage utilisateur de l’écran de veille ne sera pas coché ; mais actif quand même.

Il est toutefois nécessaire de redémarrer pour que le timer soit pris en compte.
Ce timer est le délai maximum avant verrouillage session ; un utilisateur peut choisir un délai + court si souhaité.
Le choix de l’économiseur d’écran est laissé libre à l’utilisateur ; si celui-ci choisit “Aucun”, alors il est amené immédiatement sur l’écran de verrouillage.

GPO

On peut forcer cette valeur par GPO :

Config ordi -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Ouverture de session interactive : limite d'inactivité de l'ordinateur

L’application de cette GPO se répercute sur la valeur visible en local dans gpedit.msc.

ATTENTION, si la GPO est supprimée/désactivée, le paramétrage reste dans gpedit. Pour réinitialiser le comportement par défaut, il faut soit maintenir la GPO, mais avec une valeur de 0, soit passer manuellement la stratégie locale à 0 sur le poste.

Niveau utilisateur

On peut y accéder en cherchant “veille” dans le menu démarrer, on y trouve “Modifier l’écran de veille”.
On peut aussi entrer control desk.cpl,screensaver,@screensaver
Ou encore aller dans l’app Paramètres -> Personnalisation -> Écran de verrouillage -> Paramètres de l’écran de veille

ATTENTION, les paramètres visibles ici dépendent du paramétrage machine, s’il existe. En ce cas, si on définit une durée supérieure à la valeur machine, ce paramétrage ne sera pas pris en compte. On peut toutefois définir une valeur inférieure ou égale à la valeur machine.
Attention aussi, s’il y a paramétrage machine, que que l’on choisit “Aucun”, le timer défini en GUI, bien que grisé, est quand même appliqué ! Si on veut modifier le délai avant économiseur d’écran, il faut en choisir un (ou cocher la case de verrouillage), appliquer le timer souhaité, puis choisir “Aucun” (ou décocher) à nouveau.

On peut y choisir l’écran de veille en question, le délai d’activation, et le fait de protéger la reprise de session par un mot de passe.
Ces paramètres sont définis au niveau utilisateur, et se traduisent par les entrées de registre suivantes sous la clé HKCU\Control Panel\Desktop :

• ScreenSaveTimeOut : délai en secondes de l’économiseur d’écran
• ScreenSaverIsSecure (1 si le mot de passe est demandé à la reprise)
• SCRNSAVE.EXE : choix de l’éco d’écran (absent si écran de veille désactivé)

À noter que l’écran de veille “Vierge” affiche un écran noir, mais ne déclenche pas la veille du moniteur.

GPO

Il est également possible de forcer les paramètres utilisateurs.
Pour ceci :

Config utilisateur -> Stratégies -> Modèles d'admin -> Panneau de config -> Personnalisation
 - Dépassement du délai d’expiration de l’écran de veille
 - Un mot de passe protège l’écran de veille

Ceci permet de forcer le verrouillage de certaines sessions sensibles uniquement.

Éviter l’écran de verrouillage

Ce que MS appelle l’écran de verrouillage, c’est l’écran avec l’heure et une image, mais sans champ de mot de passe ; lorsqu’on fait un clic de souris ou frappe clavier, la demande de mot de passe apparaît.

On peut éviter cet écran et arriver directement sur la demande de mot de passe en activant la GPO suivante :

Config ordi -> Stratégies -> Modèles d'administration -> Panneau de configuration -> Personnalisation
 - Ne pas afficher l’écran de verrouillage

Concerne “Teams New”, le classique ayant été abandonné par MS.

https://learn.microsoft.com/en-us/answers/questions/5533409/starting-new-teams-for-all-users-automatically

Peut être désactivé par les modèles d’administration Teams (ADMX) ; toutefois, ceci ne s’applique que si l’utilisateur n’a jamais lancé Teams sur ce poste !
Config utilisateur -> Modèles d'administration -> Microsoft Teams -> Empêcher le démarrage automatique de Microsoft Teams après l’installation
à passer à “Activé”.

Sinon, peut être défini par une valeur de registre :
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData\MSTeams_8wekyb3d8bbwe\TeamsTfwStartupTask
Valeur State de type DWORD : 0

Ceci désactive le démarrage auto, autant dans les paramètres de Teams, que dans les paramètres Windows -> Applis au démarrage.

TLDR

En récap :

• si accès à un portail admin -> demande MFA (obligatoire à compter d’octobre 2025)
• si accès à la page de gestion des moyens MFA -> demande MFA
• si MFA est “enforced” pour l’utilisateur -> demande MFA quelle que soit le portail (mais bypass possible en fonction de l’IP)
• si self-service password reset activé -> MFA obligatoire même pour Office

Software TOTP

Les jetons utilisés par MS Authenticator ne sont pas standards ; ils ne peuvent être utilisés que dans l’applis MS Authenticator (qui doit avoir accès aux notifications push pour fonctionner).
Pour utiliser un TOTP standard, il faut utiliser l’option “Je souhaite utiliser une autre application d’authentification”.

Les 2 méthodes génèrent des QRCode, mais ceux de MS encodent une URL de type “phonefactor://” alors que ceux standard encodent une URL de type “otpauth://” .
Il est pertinent de sauvegarder les QRcode standards, car ils contiennent juste un secret (une graine) qui peut être réutilisée à tout moment.
Ceux de MS permettent une communication limitée dans le temps avec les serveurs de MS, donc ça ne sert à rien de les conserver.

Si on scanne un code “phonefactor://” avec une appli standard, certaines renverront juste une erreur, alors que d’autres (comme Aegis) signifieront explicitement ne pas être compatibles avec la méthode propriétaire de MS.

MS Auth permet l’identification soit par notification push, soit par un code type TOTP.
À noter que le code TOTP généré par MS Auth n’est pas le même qu’avec une appli standard !

Si les 2 méthodes sont activées pour un compte donné, on peut alors utiliser soit le code TOTP, soit le code MS Auth lors de la demande MFA.

Paramètres de sécurité par défaut

L’accès conditionnel du MFA nécessite des licences Entra P1/P2.

Si l’organisation n’a pas ces licences, la MFA peut être forcée pour tous les utilisateurs via le mécanisme des “paramètres de sécurité par défaut”. Ceux-ci exigent (entre autres) la MFA pour tous les utilisateurs.
Ils peuvent s’activer et se désactiver dans
Entra admin center -> Entra ID -> Overview -> Properties -> Manage security defaults (tout en bas de la page)

Il est aussi possible de forcer les utilisateurs 1 par 1 via le menu Per-user MFA (voir plus bas).

Paramètrage général

Le menu “Entra ID -> Multifactor authentication” n’est pas toujours disponible ; à voir si cela dépend de la date de création du tenant, ou bien des licences Entra Premium ?
Il semble que ces paramètres sont de toute façon dépréciés par MS, et voués à être remplacés par ce qui suit.

Entra admin center -> Entra ID -> Authentication methods
Contient les paramétrages globaux pour la MFA.

Policies (Stratégies) : permet de choisir quels modes de MFA sont autorisés selon les groupes d’utilisateurs.

• Software OATH token : TOTP standard ; sera proposé sous l’intitulé “MS Authenticator” mais avec l’option “Autre appli”
• MS Authenticator : option “phonefactor://” de MS

Certaines stratégies peuvent être paramétrées en cliquant sur leur nom.

Note sur les codes TOTP (MS Auth / OATH Soft token) :

• si seulement MS Auth activé : absence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Pro ou scolaire”
• si les MS Auth + OATH activés : présence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Pro ou scolaire”
• si seulement OATH activé : présence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Autre”

Settings -> “System-preferred multifactor authentication” :
Ceci force les utilisateurs à être, en premier lieu, exposé à la méthode MFA considéré la + sécurisée par MS. Celle-ci peut changer au fil du temps.
Si cette fonctionnalité est désactivée, les utilisteurs peuvent choisir eux-même la méthode proposée en 1er (voir paragraphe sur la gestion par les utilisateurs finaux).
Ceci n’empêche jamais les utilisateurs d’utiliser une autre méthode ; ça définit juste la première méthode proposée. Ils peuvent toujours en choisir une autre (à condition qu’elle soit autorisée par les stratégies) en déclarant la 1e méthode inaccessible.

“Registration campaign” : ne supporte actuellement (septembre 2025) que MS Authenticator

Obligation MFA pour les centres d’admin

https://aka.ms/mfaforazure
https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mandatory-multifactor-authentication

Activée de force le 30 septembre 2025 au + tard.
Contrairement à ce qui est indiqué sur la doc MS, le centre d’admin M365 (https://admin.microsoft.com) n’est pas encore concerné (même si ça va surement finir par venir).
Mais activée pour le centre d’admin Entra, d’Intune, et le portail Azure, notamment.

Le paramétrage pour désactiver la MFA en provenance de certaines plages d’IP ne s’appliquent pas à l’accès aux centres d’admin ; la MFA sera demandée en tous les cas.

Se gère ici :
https://entra.microsoft.com/#view/Microsoft_Azure_Resources/MfaSettings.ReactView
Besoin d’être avec “accès élevé” pour modifier les paramètres.

(note : la même page est aussi accessible via les portails Intune et Azure ; c’est bien le même paramétrage accessible de 3 endroits différents)

Les options proposées semblent être un sous-ensemble de celles autorisées dans les “Stratégies”. En activant tout, j’ai le choix entre :

• MS Auth
• TOTP
• Hardware token
• SMS
• Appel

Pour pouvoir accéder aux centres d’admin, il faut qu’une des méthodes ci-dessus soit activée dans les Stratégies, et que l’utilisateur s’enregistre via cette méthode.

Paramètres MFA par utilisateur

Peut se gérer dans Entra ID -> Users -> onglet “Per-user MFA”
(le menu Entra admin center -> Entra ID -> Multifactor authentication -> Additional cloud-based multifactor authentication settings envoie dans le même menu)

Lorsqu’on active la MFA pour un utilisateur, son état passe à “enabled”. Cela signifie qu’il sera contraint d’activer la MFA à sa prochaine connexion.
Une fois la MFA enregistrée par l’utilisateur final, son état passe à “enforced”. À partir de là, elle est nécessaire même pour une simple connexion à Office.

Lorsque l’état est “disabled”, la MFA est ignorée pour les connexions simples à Office. Elle reste nécessaire pour les centres d’admin, ou l’accès à la page utilisateur final de gestion de la MFA.

Entra ID -> Users -> choisir user -> Authentication methods
permet de visualiser les modes d’auth disponibles, indisponibles (activées par l’utilisateur, mais désactivées par les stratégies) et par-défaut pour l’utilisateur sélectionné ; permet d’ajouter certains modes (mail, tél) et d’en supprimer d’autres.

On ne peut pas voir ses propres méthodes d’auth via ce menu ; il faut passer par le lien du paragraphe “Utilisateur final”.

Services settings

Dans l’onglet “Per-user MFA”, il y a un onglet “Service settings”.
C’est ici que l’on peut autoriser la mémorisation d’une réponse MFA pendant plusieurs jours.
On peut aussi y désactiver la MFA pour certaines plages d’IP (fonctionne pour les accès standards à Office, mais pas aux centres d’admin ni à la gestion MFA par l’utilisateur final).

Self-service password recovery

Entra -> Entra ID -> Password reset
Les utilisateurs pour lesquels SSPR est activé ont l’obligation d’activer la MFA, avant de pouvoir se connecter via la connexion web (navigateur, connexion Office etc).

La réinitialisation se fait ici :
https://passwordreset.microsoftonline.com

Il faut valider la MFA par une des méthodes enregistrées et on peut reset son propre mot de passe.

Gestion par l’utilisateur final

https://mysignins.microsoft.com/security-info

L’accès à cette page est lui-même soumis à la MFA.
Les stratégies listées ici sont celles pour lesquelles il y’a une donnée enregistrée. Cela ne signifie pas que ce mode d’auth est accepté par Entra. Il peut avoir été désactivé.

À noter que l’utilisateur peut gérer ses moyens de MFA, mais pas les demandes de MFA elles-mêmes, ni les moyens acceptés et ceux refusés.
Ceci est paramétré par MS et/ou les admins.

App password

Il faut que la MFA soit “enforced” pour l’utilisateur qui veut créer un “app password”.
Ensuite, dans la gestion par l’utilisateur final, il devrait être possible de créer un app password.

Conditional Access

Dans les conditions -> Clients apps, “Mobile apps and desktop clients” inclut la jonction d’un appareil à Entra, la connexion à un Compte Pro ou Scolaire, à Office etc.
Ça inclut également Thunderbird via Oauth.

sudo aptitude install live-build live-tools
mkdir trixie_live && cd trixie_live
mkdir auto && cp /usr/share/doc/live-build/examples/auto/* ./auto/

config

Fichier
auto/config

#!/bin/sh

set -e

lb config noauto \
	--architectures 'amd64' \
	--archive-areas 'main contrib non-free non-free-firmware' \
	--bootappend-live 'boot=live config locales=fr_FR.UTF-8 keyboard-layouts=fr' \
	--binary-images 'iso-hybrid' \
	--distribution 'trixie' \
	--linux-flavours 'amd64' \
	--source 'false' \
	--backports 'true' \
	"${@}"

puis
lb config

Liste de paquets

Fichier
config/package-lists/live.list.chroot

live-boot
live-config
live-config-systemd
systemd-sysv


#FIRMWARE
firmware-linux firmware-atheros firmware-b43-installer firmware-bnx2x firmware-brcm80211 firmware-iwlwifi firmware-libertas firmware-myricom firmware-netxen firmware-qlogic firmware-realtek broadcom-sta-dkms firmware-amd-graphics firmware-linux-nonfree

#UTILS
nmap gparted hfsprogs ntfs-3g hfsplus dosfstools lightdm bash-completion chntpw dcfldd bootlogd less mesa-utils numlockx ethtool grub2 ssh gdisk testdisk iftop nethogs pm-utils aptitude apt-file smartmontools debootstrap pciutils usbutils cifs-utils e2fsprogs mtools screen lvm2 net-tools mdadm lsscsi haveged rng-tools-debian cryptsetup efibootmgr efivar ncdu wireless-tools bind9-dnsutils git iperf iperf3 lshw pmount grub-efi-ia32-bin grub-pc-bin grub-efi-amd64-bin curl dislocker apfsprogs apfs-dkms ntpsec ntpsec-ntpdate vlan edac-utils zfsutils-linux zfs-dkms btrfs-progs

# TEAMVIEWER
qml-module-qtquick2 qml-module-qtquick-controls qml-module-qtquick-dialogs

# DESKTOP
hplip system-config-printer xsane simple-scan mate-desktop-environment caja-open-terminal mesa-utils firefox-esr-l10n-fr chromium-l10n pulseaudio pavucontrol mate-media-common mate-media mate-settings-daemon-dev mate-settings-daemon-common mate-settings-daemon chromium engrampa unrar pluma bluez blueman pulseaudio-module-bluetooth gddrescue ddrescueview vlc rdesktop conky-all network-manager-gnome webcamoid cheese webp-pixbuf-loader

#

Paquets absents de trixie ou remplacés par d’autres :
dmraid
hfsutils
ntpdate -> ntpsec-ntpdate
ntp -> ntpsec openntpd
conky -> conky-all
pavumeter
rcconf

Backports et pinning

Fichier
config/archives/backports.pref.chroot

## ZFS and dependencies from backports
Package: zfsutils-linux zfs-dkms libnvpair3linux libuutil3linux libzfs6linux libzpool6linux
Pin: release o=Debian Backports
Pin-Priority: 600

Voir aussi notes pour Bullseye

Build

sudo lb bootstrap
sudo lb chroot

On peut éventuellement éditer le home du chroot entre l’étape chroot et l’étape binary.

sudo lb binary

Effectuer une sélection.
Clic-droit dessus -> Édition -> Tracer la sélection.

Choisir l’épaisseur du trait.
La couleur utilisée sera la couleur de l’avant-plan.

Configurations

Il y’a plusieurs moyens de configurer les applications Office :

• par des paramètres de configuration lors de l’installation (dans le fichier XML ou dans le configurateur)

  • permet de définir des clés de registre HKCU, dans chaque session, qui paramètrent le profil Outlook (lors de sa création uniquement)
  • si le profil Outlook existe déjà, ces clés n’ont aucun effet
  • laisse la possibilité à l’utilisateur final de changer les paramètres

• par la configuration des appareils par Intune

  • peut s’appliquer à des utilisateurs ou des appareils (mais certains paramètres de configuration ne fonctionnent qu’avec un seul type d’affectation)

• par le menu Intune -> Applications -> Gérez les applications -> Stratégies pour les applications Microsoft 365

  • s’applique uniquement à des utilisateurs
  • ne permet PAS la modification par l’utilisateur final
  • me semble particulièrement lent à être déployé

• par des entrées de registre écrites manuellement (script ou autre)

Selon les cas, on préfèrera l’une ou l’autre de ces possibilités.

Installation

Dans Intune -> Applications , si on choisit “Créer”, dans “Type d’application” on trouve “Applications Microsoft 365 pour Windows 10 et versions ultérieures”.
On peut choisir entre un configurateur, ou bien l’édition d’un fichier XML.

Dans mon expérience, si on passe par le configurateur, à chaque ouverture de session, il y’a une bonne utilisation CPU/disque liée à Office Click2Run, comme si la suite se réinstallait à chaque démarrage.
Ce problème ne semble pas se produite avec la version XML, qui de + permet + de souplesse dans l’installation et la configuration.

Fichier XML

https://learn.microsoft.com/fr-fr/microsoft-365-apps/deploy/office-deployment-tool-configuration-options

Un assistant est dispo ici pour en créer un :
https://config.office.com/deploymentsettings

Pour un ordi partagé :

<Property Name="SharedComputerLicensing" Value="1"/>

Voir les implications d’un ordi partagé ici :
https://learn.microsoft.com/en-us/microsoft-365-apps/licensing-activation/overview-licensing-activation-microsoft-365-apps
https://learn.microsoft.com/fr-fr/microsoft-365-apps/licensing-activation/overview-shared-computer-activation
Il faut notamment que chaque utilisateur ait une licence d’utilisation partagée, qui n’est inclus que dans Business Premium.

Quelques options pratiques :

<AppSettings>

<Setup Name="Company" Value="Ma Super Entreprise"/>

<User Key="software\microsoft\office\16.0\outlook\cached mode" Name="downloadsharedfolders" Value="0" Type="REG_DWORD" App="outlk16" Id="L_Downloadsharednonmailfolders"/>

<User Key="software\microsoft\office\16.0\excel\options" Name="defaultformat" Value="51" Type="REG_DWORD" App="excel16" Id="L_SaveExcelfilesas"/>
<User Key="software\microsoft\office\16.0\powerpoint\options" Name="defaultformat" Value="27" Type="REG_DWORD" App="ppt16" Id="L_SavePowerPointfilesas"/>
<User Key="software\microsoft\office\16.0\word\options" Name="defaultformat" Value="" Type="REG_SZ" App="word16" Id="L_SaveWordfilesas"/>

<User Key="software\microsoft\office\16.0\outlook\autodiscover" Name="zeroconfigexchange" Value="1" Type="REG_DWORD" App="outlk16" Id="L_AutomaticallyConfigureProfileBasedOnActive"/>

   <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsetting" Value="0" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />
    <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsettingdays" Value="14" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />

</AppSettings>

Chaque bloc permet respectivement :

• de définir le nom de l’entreprise
• de préconfigurer le non-télechargement des dossiers mails partagés
• de définir le format de fichier Office par défaut
• d’inscrire automatiquement l’adresse mail de login dans Outlook
• de définir l’intervalle de mise en cache par défaut (syncwindowsetting définit le nombre de mois, syncwindowsettingdays définit le nombre de jours)

Exemple complet de fichier XML (configuration ordi partagé, 1 mois de cache par défaut) :

<Configuration ID="c7f365bb-45f6-44a4-825f-751611bba3f5">
  <Info Description="Pas de New Outlook&#xA;Ordi partag�&#xA;D�sinstalle les applis MSI" />
  <Add OfficeClientEdition="64" Channel="SemiAnnual">
    <Product ID="O365BusinessRetail">
      <Language ID="fr-fr" />
      <ExcludeApp ID="Groove" />
      <ExcludeApp ID="Lync" />
      <ExcludeApp ID="OutlookForWindows" />
    </Product>
  </Add>
  <Property Name="SharedComputerLicensing" Value="1" />
  <Updates Enabled="TRUE" />
  <RemoveMSI />
  <AppSettings>
    <Setup Name="Company" Value="Ma Super Entreprise" />

    <User Key="software\microsoft\office\16.0\excel\options" Name="defaultformat" Value="51" Type="REG_DWORD" App="excel16" Id="L_SaveExcelfilesas" />
    <User Key="software\microsoft\office\16.0\powerpoint\options" Name="defaultformat" Value="27" Type="REG_DWORD" App="ppt16" Id="L_SavePowerPointfilesas" />
    <User Key="software\microsoft\office\16.0\word\options" Name="defaultformat" Value="" Type="REG_SZ" App="word16" Id="L_SaveWordfilesas" />

    <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="downloadsharedfolders" Value="0" Type="REG_DWORD" App="outlk16" Id="L_Downloadshardnonmailfolders" />

   <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsetting" Value="1" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />
    <User Key="software\microsoft\office\16.0\outlook\cached mode" Name="syncwindowsettingdays" Value="0" Type="REG_DWORD" App="outlk16" Id="L_CachedExchangeModeSyncSlider" />

    <User Key="software\microsoft\office\16.0\outlook\autodiscover" Name="zeroconfigexchange" Value="1" Type="REG_DWORD" App="outlk16" Id="L_AutomaticallyConfigureProfileBasedOnActive"/>

  </AppSettings>
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

Activation automatique

En Europe, l’activation automatique d’Office est désactivée en raison du Digital Market Act. Il est obligatoire de s’identifier manuellement pour que la licence soit reconnue.
Si on lance directement une appli Office, il faut entrer mail/pass à la main.
Si on lance edge, on peut établir la connexion juste en validant une fenêtre, et la connexion sera répercutée sur Office.

Pour forcer la connexion automatique, on peut soit modifier un fichier système comme indiqué dans ce lien :
https://call4cloud.nl/continue-to-sign-in-prompt-sso-dma/

soit désactiver la fonctionnalité de vérification de la zone géographique comme indiqué sur ce lien :
https://call4cloud.nl/fix-continue-to-sign-in-prompt-dma-sso-compliance/
Il suffit d’ajouter le script Remediatesso-2.ps1 dans les scripts de plateforme (PAS dans le contexte utilisateur).
J’ai mirroré ici le script et l’outil ViveTool utilisé dans ce tuto.

Script en question, copié-collé du site call4cloud.nl :

$downloadUrl = "https://github.com/thebookisclosed/ViVe/releases/download/v0.3.3/ViVeTool-v0.3.3.zip"  # URL to download ViVe tool
$tempPath = "C:\Windows\Temp"
$viveToolZip = "$tempPath\ViVeTool.zip"
$viveToolDir = "$tempPath\ViVeTool"
New-Item -Path $viveToolDir -ItemType Directory -Force | Out-Null

$viveToolExe = "$viveToolDir\ViVeTool.exe"
$featureIds = @(47557358, 45317806)


# Ensure ViVeTool exists
if (-not (Test-Path $viveToolExe)) {
    Invoke-WebRequest -Uri $downloadUrl -OutFile "$tempPath\ViVeTool.zip"
    Expand-Archive -Path "$tempPath\ViVeTool.zip" -DestinationPath $viveToolDir -Force
    Write-host "Downloaded and extracted ViVeTool."
} else {
    Write-host "ViVeTool already exists."
}
# disable features
foreach ($featureId in $featureIds) {
    Write-host "Disabling feature with ID $featureId."
& "$viveToolDir\ViveTool.exe" /disable /id:$featureId
}
 
# Query status of features
foreach ($featureId in $featureIds) {  
$queryresult = & "$viveToolDir\ViveTool.exe" /query /id:$featureId  
Write-host $queryresult  
}

Outlook

Téléchargement des dossiers partagés

Le but est de contrôler le paramètre
Fichiers de données -> choisir -> Paramètres -> Avancé -> Télécharger les dossiers partagés

https://learn.microsoft.com/en-us/microsoft-365-apps/outlook/data-files/shared-mail-folders-in-cached-exchange-mode

Via install

On peut contrôler ce paramètre lors de l’install, via le fichier XML de déploiement d’Office :

<AppSettings>
<User Key="software\microsoft\office\16.0\outlook\cached mode" Name="downloadsharedfolders" Value="0" Type="REG_DWORD" App="outlk16" Id="L_Downloadshardnonmailfolders" />
</AppSettings>

Ceci permet de créer la clé de registre sous HKCU. Si celle-ci est présente lors de la création du profil Outlook, l’option “Télécharger les dossiers partagés” ne sera pas activée.
Toutefois, cette clé n’a aucun effet si le profil existe déjà.

Le paramétrage reste modifiable par l’utilisateur final.

Stratégies MS365

Télécharger les dossiers partagés extérieurs à la messagerie
-> Désactivé

Ceci forcera la fonctionnalité à être désactivée dans Outlook, et ne sera PAS réactivable par l’utilisateur final.
Si on supprime l’utilisateur de la liste d’inclusion, il devrait finir par retrouver le contrôle de ce paramètre, mais cela peut prendre plusieurs heures.

Attention, le paramètre Désactiver la mise en cache des dossiers de courrier partagés semble gérer autre chose, il n’a pas d’effet pour ce besoin précis.

Configuration de l’appareil

Microsoft Outlook 2016 -> Paramètres du compte -> Exchange -> Mode Exchange mis en cache -> Download shared non-mail folders

Période de mise en cache

Stratégies MS 365 -> Paramètres de synchronisation du mode Exchange mis en cache

Empêche l’utilisateur final de changer la durée.

Connexion automatique à Outlook

Par défaut, au lancement d’Outlook, il faut valider manuellement l’adresse pour ajouter le compte.
On peut paramétrer Outlook pour qu’il ajoute automatiquement l’adresse du compte utilisateur.

2 options existent :

• config auto de chaque profil créé avec l’adresse mail
• config auto uniquement du 1e profil créé ; les suivants proposeront d’entrer une adresse mail

La 2e option me semble + souple, je présente donc celle-là.

Par la config de l’appareil

Automatically configure only the first profile based on Active Directory primary SMTP address

Langue système de Windows

Il m’est arrivé que je n’arrive pas à conserver les applications lors d’une mise-à-jour in-place upgrade de W11 23H2 vers 24H2.
Le message était “Vous ne pouvez pas conserver vos fichiers, applications et paramètres car vous avez choisi d’installer Windows 11 qui utilise une langue différente de celle que vous utilisez actuellement”.

L’OS était préinstallé par Dell. L’interface était bien en français, mais des traces de l’anglais étaient présentes.

Poste Reddit :
https://www.reddit.com/r/techsupport/comments/a69buf/need_help_with_changing_default_system_language/

On commence par vérifier l’état actuel des langues :
en admin :
dism /online /get-intl
On a notamment la ligne “Langue par défaut de l’interface utilisateur du système : en-US”
(en anglais c’est “Default system UI language”).

De même, si je lance la commande
lpksetup /u
la langue “Anglais (English)” n’est pas supprimable, car c’est la “langue système”.

Attention, à ne tenter que sur Windows Pro ou + ! La version Core/Famille ne gère pas plusieurs langues, ça pourrait casser !

regedit
HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language
Passer Default et InstallLanguage à la valeur souhaitée (pour fr-FR c’est 0x040c ; les valeurs sont dispo sur cette page )

On redémarre le poste, et on revérifie avec les mêmes commandes :
dism /online /get-intl me renvoie “fr-FR” en “Langue par défaut de l’interface utilisateur du système”
lpksetup /u propose de désinstaller l’anglais, mais pas le français

En relançant la mise à jour vers W11 24H2, il a alors été possible de faire la mise à jour en conservant tout.

Paramètres par défaut utilisateur

Paramètres -> Heure et langue -> Langue et région
Il y a plein de paramètres ici ; notamment
Administration des paramètres de la langue -> Copier les paramètres
qui permet de dupliquer nos paramètres personnels vers les futurs nouveaux comptes utilisateurs, et vers les paramètres de l’cran d’accueil.

La connexion au nouveau Teams utilise le mécanisme ModernAuth ; celui-ci peut récupérer les comptes “Professionnel ou scolaire” paramétrés dans Windows.
Si le compte est paramétré, Teams New se connecte sans avoir besoin d’entrer le mot de passe (et ce même après s’être déconnecté dans Teams).

Si on déconnecte le compte dans les paramètres, Teams New reste connecté s’il l’était.
Si on déconnecte ensuite Teams New, il faut ré-entrer le mot de passe pour se connecter à Teams.

Il peut toutefois arriver qu’on ait besoin de supprimer manuellement les fichiers de connexion, par exemple pour faire disparaître les suggestions de connexion Teams, soit pour résoudre certains problèmes de connexion (notamment vers les organisations externes).

Pour ceci, il faut renommer/supprimer les dossiers suivants.
ATTENTION, ça va supprimer/réinitialiser toutes les connexions MS : (Accès pro/scolaire, connexion à la licence Office, identifiants Teams etc).

%LocalAppData%\Packages\MSTeams_8wekyb3d8bbwe  
%LocalAppData%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy  
%LocalAppData%\Microsoft\OneAuth  
%LocalAppData%\Microsoft\TokenBroker  
%LocalAppData%\Microsoft\IdentityCache  

Éventuellement redémarrer le poste, et l’ensemble des logons Microsoft devrait être vierge.

https://learn.microsoft.com/fr-fr/microsoftteams/troubleshoot/teams-administration/clear-teams-cache

Pour l’ancien Teams (pas testé) :
%appdata%\Microsoft\Teams