MDT : déployer Windows 11 24H2 en entreprise sans frais de licence

Le déploiement de systèmes d'exploitation à grande échelle représente l'un des défis opérationnels les plus chronophages du quotidien des équipes IT. Réinstaller manuellement des dizaines ou centaines de postes, configurer les pilotes, intégrer les applications métier et appliquer les stratégies de groupe : chaque étape multiplie les risques d'erreur et consomme des heures de travail précieuses. Microsoft Deployment Toolkit (MDT) répond précisément à ce besoin en fournissant un cadre de déploiement automatisé, entièrement gratuit, parfaitement intégré à l'écosystème Windows. Avec l'arrivée de Windows 11 24H2 — la mise à jour majeure de 2024 apportant de nouvelles exigences matérielles et de sécurité — de nombreuses entreprises doivent planifier une migration de parc. MDT permet de standardiser ce déploiement, de la création de l'image de référence jusqu'au premier démarrage du poste utilisateur, en passant par l'injection automatique des drivers et l'installation des logiciels. Ce guide détaille chaque étape pour construire une infrastructure MDT opérationnelle sur Windows Server 2022, depuis l'installation de l'ADK jusqu'au déploiement réseau via PXE, en couvrant les points de vigilance spécifiques à Windows 11 24H2.

Qu'est-ce que MDT (Microsoft Deployment Toolkit) et pourquoi l'utiliser ?

Microsoft Deployment Toolkit est une solution gratuite publiée par Microsoft qui automatise le déploiement des systèmes d'exploitation Windows (et partiellement Linux) sur des postes physiques ou virtuels. MDT s'appuie sur Windows Assessment and Deployment Kit (ADK) pour fournir les outils de personnalisation d'images et de création de médias de démarrage WinPE.

MDT se distingue par plusieurs avantages majeurs par rapport à des approches manuelles ou à des solutions tierces payantes :

• Gratuité totale : aucune licence spécifique MDT n'est requise. Seules les licences Windows et Office standard s'appliquent.
• Intégration native Microsoft : MDT s'intègre nativement avec Active Directory, Windows Server Update Services (WSUS) et System Center Configuration Manager (SCCM/Intune) en mode OSD.
• Séquences de tâches flexibles : chaque étape du déploiement (partitionnement, application de l'image WIM, injection de drivers, installation d'applications, jonction au domaine) est configurable via une interface graphique.
• Gestion des drivers par modèle : MDT peut injecter automatiquement les bons pilotes en fonction du modèle de machine cible, évitant les conflits ou les drivers manquants.
• LiteTouch et ZeroTouch : MDT supporte deux modes de déploiement. LiteTouch demande une intervention minimale de l'opérateur (choix de la séquence via un assistant). ZeroTouch, combiné avec SCCM, ne nécessite aucune interaction.

Pour Windows 11 24H2, MDT intègre les spécificités techniques : support du démarrage UEFI obligatoire, TPM 2.0, Secure Boot et les nouvelles exigences de sécurité renforcée (VBS, HVCI).

Prérequis — Windows Server, ADK Windows 11, WinPE add-on

Avant d'installer MDT, il est essentiel de valider l'environnement serveur et de télécharger les bons composants dans les bonnes versions.

Serveur MDT

• OS : Windows Server 2019 ou 2022 (recommandé). MDT peut également fonctionner sur Windows 10/11 pour des labs, mais un serveur dédié est préférable en production.
• RAM : 8 Go minimum, 16 Go recommandés si WDS est activé sur le même serveur.
• Disque : prévoir 200 Go minimum pour le Deployment Share (images WIM, drivers, applications). Un volume dédié est conseillé.
• Réseau : IP statique, accès aux clients via le réseau local ou VLAN dédié.

Composants à télécharger

1. MDT 8456 (dernière version stable) : téléchargement officiel Microsoft.
2. Windows ADK pour Windows 11 : disponible sur learn.microsoft.com/en-us/windows-hardware/get-started/adk-install. Choisir la version correspondant à Windows 11 24H2 (build 26100).
3. Windows PE add-on pour l'ADK : composant séparé, indispensable pour créer les médias de démarrage WinPE. Téléchargeable sur la même page que l'ADK.
4. Image ISO Windows 11 24H2 : via le Volume Licensing Service Center (VLSC) ou Media Creation Tool pour les licences retail.

Attention : MDT 8456 présente un problème de compatibilité avec les versions récentes de l'ADK (au-delà de la version 2004). Appliquer le patch non officiel MDT 8456 HTA fix ou utiliser le workaround Microsoft consistant à copier le fichier bcdboot.exe de l'ADK 2004 dans le répertoire MDT.

Installer MDT et l'ADK sur Windows Server 2022

L'installation se fait dans un ordre précis : ADK en premier, puis le WinPE add-on, puis MDT.

Installation de l'ADK

Exécuter le programme d'installation adksetup.exe. Dans la sélection des fonctionnalités, ne cocher que :

• Deployment Tools
• User State Migration Tool (USMT)
• Volume Activation Management Tool (VAMT) — optionnel

Ne pas cocher Windows Performance Toolkit ni d'autres composants non nécessaires pour MDT.

Installation du WinPE add-on

Exécuter adkwinpesetup.exe séparément. Ce composant installe les fichiers nécessaires à la création des images WinPE 64 bits (et 32 bits si nécessaire).

Installation de MDT

Exécuter MicrosoftDeploymentToolkit_x64.msi. L'installation est standard, sans option particulière. MDT installe la Deployment Workbench, console de gestion principale.

Patch de compatibilité ADK récent

Si l'ADK installé est de version postérieure à 2004 :

# Copier le fichier HTA manquant depuis le répertoire ADK 2004 (si disponible)
# Ou appliquer le patch communautaire MDT 8456.0 Hotfix
# Source : https://github.com/DeploymentResearch/MDTFixes

# Vérifier la version de l'ADK installée
reg query "HKLM\SOFTWARE\Microsoft\Windows Kits\Installed Roots" /v KitsRoot10

Créer un Deployment Share et importer Windows 11 24H2

Le Deployment Share est le dossier partagé réseau qui centralise toutes les ressources MDT : images OS, drivers, applications, scripts et séquences de tâches.

Création du Deployment Share

Dans la Deployment Workbench :

1. Clic droit sur Deployment Shares → New Deployment Share.
2. Choisir le chemin local : D:\DeploymentShare (volume dédié recommandé).
3. Définir le nom de partage réseau : DeploymentShare$ (avec le $ pour masquer le partage).
4. Décocher les options de demande de captures (utile uniquement si on crée des images WIM depuis des machines de référence).

Configurer les permissions NTFS et de partage : le compte de service MDT (ou les comptes d'ordinateurs du domaine) doit avoir accès en lecture.

Importer Windows 11 24H2

1. Monter l'ISO Windows 11 24H2 sur le serveur.
2. Dans la Deployment Workbench, aller dans Operating Systems → Import Operating System.
3. Choisir Full set of source files et pointer vers la lettre de lecteur de l'ISO montée.
4. MDT copie les fichiers et extrait les index WIM disponibles (Home, Pro, Enterprise, Education).
5. Sélectionner Windows 11 Enterprise (index 6 ou 7 selon l'ISO) pour un usage entreprise.

Créer une séquence de tâches (Task Sequence) Windows 11

La séquence de tâches définit l'enchaînement des opérations lors du déploiement : partitionnement, application de l'image, configuration OOBE, jonction au domaine, installation des applications.

Création de la séquence

1. Dans Task Sequences → New Task Sequence.
2. ID de séquence : WIN11-ENT-001 (identifiant unique, sans espaces).
3. Nom : Déploiement Windows 11 24H2 Enterprise.
4. Template : Standard Client Task Sequence.
5. Sélectionner l'OS importé précédemment.
6. Spécifier la clé de produit MAK ou laisser vide pour KMS.
7. Définir le compte d'administration locale (mot de passe à changer impérativement post-déploiement).

Personnalisation de la séquence

La séquence générée contient des groupes prédéfinis. Points clés à configurer :

• Partition : vérifier que le schéma GPT est sélectionné (obligatoire pour UEFI/TPM 2.0). Le groupe New Computer only gère le partitionnement automatique.
• Windows Updates : activer le groupe Windows Update (Post-Application Installation) pour intégrer les correctifs lors du déploiement.
• Jonction au domaine : dans Recover From Domain, renseigner les credentials AD et l'OU cible.
• Scripts post-déploiement : ajouter des étapes Run Command Line pour exécuter des scripts PowerShell de configuration (activation BitLocker, configuration pare-feu, etc.).

# Exemple d'étape PowerShell dans la séquence de tâches
# Activation BitLocker post-déploiement
powershell.exe -ExecutionPolicy Bypass -Command "Enable-BitLocker -MountPoint 'C:' -EncryptionMethod XtsAes256 -TpmProtector"

Intégrer les drivers dans MDT (injection automatique par modèle de PC)

L'injection automatique des drivers est l'une des fonctionnalités les plus puissantes de MDT. Elle permet de déployer l'image sur des machines de modèles différents sans créer une image par modèle.

Structure des dossiers de drivers

Dans Out-of-Box Drivers, créer une arborescence organisée par fabricant et modèle :

Out-of-Box Drivers\
  Windows 11 x64\
    Dell\
      Latitude 5540\
      OptiPlex 7010\
    HP\
      EliteBook 840 G10\
      ProDesk 600 G9\
    Lenovo\
      ThinkPad T14 Gen 4\

Importation des drivers

1. Télécharger les packs de drivers depuis les sites fabricants (Dell Command Deploy Pack, HP SoftPaq, Lenovo SCCM Driver Pack).
2. Extraire les drivers dans un dossier temporaire.
3. Dans la Deployment Workbench, clic droit sur le dossier modèle → Import Drivers → pointer vers le dossier extrait.
4. MDT inventorie et importe chaque fichier INF.

Règles d'injection automatique (CustomSettings.ini)

Le fichier CustomSettings.ini du Deployment Share définit les règles d'injection. L'instruction DriverGroup001 permet de cibler les drivers par modèle :

[Settings]
Priority=Model,Default

[Dell Latitude 5540]
DriverGroup001=Windows 11 x64\Dell\Latitude 5540

[HP EliteBook 840 G10]
DriverGroup001=Windows 11 x64\HP\EliteBook 840 G10

[Lenovo ThinkPad T14 Gen 4]
DriverGroup001=Windows 11 x64\Lenovo\ThinkPad T14 Gen 4

[Default]
DriverGroup001=Windows 11 x64\Generic

MDT interroge WMI sur la machine cible (Win32_ComputerSystem.Model) pour déterminer le groupe de drivers à appliquer.

Ajouter des applications dans MDT (Office, 7-Zip, etc.)

MDT permet d'intégrer des applications dans le déploiement, soit en installation silencieuse pendant la séquence de tâches, soit à la demande via le wizard LiteTouch.

Ajouter une application

Dans Applications → New Application :

• Application with source files : copie les fichiers d'installation dans le Deployment Share.
• Application without source files : référence un chemin réseau externe (utile pour les applications volumineuses comme Office).

Exemples d'applications courantes

# 7-Zip (installation silencieuse)
Commande : 7z2301-x64.exe /S

# Adobe Acrobat Reader DC
Commande : AcroRdrDC_2300620360_fr_FR.exe /sAll /rs /msi EULA_ACCEPT=YES

# Microsoft 365 Apps (ODT - Office Deployment Tool)
Commande : setup.exe /configure configuration-M365-entreprise.xml

# Google Chrome
Commande : googlechromestandaloneenterprise64.msi /qn /norestart

# VLC Media Player
Commande : vlc-3.0.20-win64.exe /L=1036 /S

Configuration Office avec ODT

Pour Microsoft 365 Apps, créer un fichier configuration-M365-entreprise.xml :

<Configuration ID="MonDeploiement">
  <Add OfficeClientEdition="64" Channel="MonthlyEnterprise">
    <Product ID="O365ProPlusRetail">
      <Language ID="fr-fr" />
      <ExcludeApp ID="Groove" />
      <ExcludeApp ID="Lync" />
    </Product>
  </Add>
  <Property Name="AUTOACTIVATE" Value="1" />
  <Updates Enabled="TRUE" Channel="MonthlyEnterprise" />
  <Display Level="None" AcceptEULA="TRUE" />
  <Logging Level="Standard" Path="%temp%" />
</Configuration>

Configurer le boot PXE avec WDS (Windows Deployment Services)

WDS (Windows Deployment Services) permet aux machines cibles de démarrer depuis le réseau (PXE boot) et de se connecter au Deployment Share MDT sans support physique (USB/DVD).

Installation de WDS

# Via PowerShell sur Windows Server 2022
Install-WindowsFeature -Name WDS -IncludeManagementTools -IncludeAllSubFeature

Après installation, configurer WDS via la console wdsmgmt.msc :

1. Clic droit sur le serveur → Configure Server.
2. Mode Integrated with Active Directory si le serveur est membre du domaine.
3. Dossier de stockage WDS : D:\WDSStore (volume dédié).
4. Répondre aux requêtes PXE : All client computers ou Known clients only selon la politique de sécurité.

Intégration MDT / WDS

Depuis la Deployment Workbench :

1. Clic droit sur le Deployment Share → Update Deployment Share.
2. MDT génère les images WinPE (LiteTouchPE_x64.iso et LiteTouchPE_x64.wim).
3. Dans WDS, Boot Images → Add Boot Image → sélectionner LiteTouchPE_x64.wim depuis D:\DeploymentShare\Boot\.

Activer DHCP options 66 (Boot Server) et 67 (Bootfile Name) sur le serveur DHCP si WDS n'est pas colocalisé avec DHCP. Pour un environnement DHCP tiers (Cisco, pfSense), configurer les options au niveau du scope :

Option 60 : PXEClient
Option 66 : IP du serveur WDS
Option 67 : boot\x64\wdsnbp.com

Déployer Windows 11 via le réseau (LiteTouch, ZeroTouch)

Déploiement LiteTouch

En LiteTouch, l'opérateur démarre la machine sur le réseau (PXE) ou depuis un média USB MDT. Un wizard graphique WinPE s'affiche :

1. Saisie des credentials de connexion au Deployment Share.
2. Sélection de la séquence de tâches (WIN11-ENT-001).
3. Saisie du nom du poste et de l'OU AD cible.
4. Démarrage automatique du déploiement.

Le fichier CustomSettings.ini peut pré-remplir certains champs pour réduire les saisies manuelles :

[Default]
SkipWizard=YES
SkipComputerName=NO
SkipDomainMembership=YES
JoinDomain=MONDOMAINE.LOCAL
DomainAdmin=svc-mdt
DomainAdminPassword=MotDePasseSécurisé
MachineObjectOU=OU=Postes,OU=Informatique,DC=mondomaine,DC=local
TaskSequenceID=WIN11-ENT-001
SkipTaskSequence=YES
SkipLocaleSelection=YES
UILanguage=fr-FR
UserLocale=fr-FR
KeyboardLocale=0409:0000040C
SkipTimeZone=YES
TimeZoneName=Romance Standard Time
SkipApplications=YES
SkipBitLocker=NO
SkipSummary=YES
SkipFinalSummary=NO

Déploiement ZeroTouch avec SCCM

En environnement SCCM (Microsoft Endpoint Configuration Manager), MDT s'intègre via le package MDT Integration pour SCCM. Le déploiement est entièrement automatisé : la machine reçoit la tâche de déploiement depuis le centre logiciel ou via une politique de déploiement OSD (Operating System Deployment) assignée à une collection.

Pour les structures sans SCCM, MDT LiteTouch avec un CustomSettings.ini bien configuré permet d'approcher le niveau d'automatisation ZeroTouch tout en conservant la gratuité de la solution. Nos consultants RSSI externalisés peuvent vous accompagner dans la mise en place de ce type d'infrastructure.

Optimiser la performance des déploiements MDT

Lorsque le nombre de déploiements simultanés augmente, plusieurs optimisations permettent d'éviter les goulots d'étranglement et de réduire significativement le temps de déploiement par poste.

Compression et taille des images WIM

Le format WIM (Windows Imaging Format) supporte plusieurs niveaux de compression. Dans MDT, configurer la compression dans les propriétés du Deployment Share :

• Fast : compression légère, déploiement plus rapide mais image plus volumineuse (~4-5 Go).
• Optimal : compromis recommandé pour la production (~3.5 Go).
• Maximum : compression maximale (~2.8 Go), temps de compression plus long lors de la mise à jour du Deployment Share.

Pour les réseaux lents ou le déploiement sur WiFi, la compression maximale est préférable malgré le surcoût CPU sur la machine cible. Sur des réseaux Gigabit internes, la compression Fast réduit la charge processeur et accélère le déploiement global.

Multicast avec WDS

WDS supporte la transmission multicast de l'image WIM, permettant de streamer simultanément la même image vers plusieurs machines sans multiplier la bande passante. Configuration :

# Créer une transmission multicast dans WDS
wdsutil /New-MulticastTransmission /FriendlyName:"Win11-24H2-Multicast" /Image:"Windows 11 Enterprise" /ImageType:Install /TransmissionType:AutoCast

Le multicast est particulièrement efficace pour les déploiements massifs (20+ machines simultanées) sur le même segment réseau. La bande passante consommée reste celle d'un seul flux, quel que soit le nombre de clients.

Caching des images avec DFS

Dans les environnements multi-sites, Distributed File System (DFS) Replication permet de répliquer le Deployment Share vers des serveurs WDS distants. Chaque site dispose ainsi d'une copie locale, éliminant les transferts WAN pendant les déploiements.

Personnalisation de l'image de référence (Master Image)

Plutôt que de déployer Windows 11 depuis l'ISO brute et d'installer les applications pendant la séquence, certaines organisations créent une image de référence (sysprep) incluant déjà les applications communes. Cette approche réduit considérablement le temps de déploiement :

1. Déployer Windows 11 sur une VM de référence avec MDT.
2. Installer les applications communes (Office, antivirus, outils IT).
3. Exécuter sysprep /oobe /generalize /shutdown.
4. Capturer l'image WIM avec MDT (séquence Sysprep and Capture).
5. Importer l'image WIM personnalisée dans MDT.

Le résultat : un déploiement complet (OS + applications de base) peut passer de 45-60 minutes à moins de 20 minutes sur un réseau Gigabit.

Monitoring du déploiement et gestion des erreurs

Monitoring MDT intégré

MDT inclut un service de monitoring accessible depuis la Deployment Workbench. Pour l'activer :

1. Clic droit sur le Deployment Share → Properties → onglet Monitoring.
2. Cocher Enable Monitoring for this deployment share.
3. Le service MDT Monitor écoute sur le port TCP 9800.

Dans CustomSettings.ini, ajouter :

EventService=http://MDT-SERVER:9800

Le tableau de bord Monitoring affiche en temps réel : nom du poste, séquence en cours, étape active, pourcentage de progression et erreurs éventuelles.

Logs MDT

Les logs de déploiement sont stockés dans C:\Windows\Temp\DeploymentLogs\ sur la machine cible (accessibles depuis WinPE dans X:\Windows\Temp\SMSTSLog\). Fichiers clés :

• BDD.log : log principal de la séquence de tâches.
• ZTIDrivers.log : injection des drivers.
• ZTIApplications.log : installation des applications.
• smsts.log : log générique du moteur de séquence.

Utiliser CMTrace (outil Microsoft gratuit) pour lire les logs en temps réel avec coloration des erreurs.

Erreurs courantes et résolutions

Pour les environnements complexes nécessitant une intégration avec des outils de gestion de parc ou une stratégie d'automatisation plus avancée, vous pouvez consulter notre article sur Windows Server 2025 et les Remote Desktop Services pour compléter votre infrastructure Microsoft.

La documentation officielle MDT est disponible sur learn.microsoft.com/en-us/mem/configmgr/mdt/ et la page de téléchargement de l'ADK sur learn.microsoft.com/en-us/windows-hardware/get-started/adk-install.

Combien de machines MDT peut-il déployer simultanément ?

MDT n'impose pas de limite technique stricte sur le nombre de déploiements simultanés. En pratique, la bande passante réseau et les performances I/O du serveur MDT sont les goulots d'étranglement. Avec un serveur doté d'un disque SSD et une connexion réseau 1 Gbps, des déploiements simultanés de 20 à 30 machines sont courants. Pour des déploiements massifs (100+ postes), il est recommandé d'utiliser des points de distribution WDS ou d'intégrer SCCM.

MDT est-il compatible avec Windows 11 24H2 sans modification ?

MDT 8456 nécessite un patch de compatibilité pour fonctionner avec l'ADK Windows 11 23H2 et versions ultérieures. Le problème principal concerne le fichier HTA du wizard LiteTouch. Après application du patch communautaire ou du workaround Microsoft, MDT fonctionne pleinement avec Windows 11 24H2, y compris pour les séquences UEFI avec TPM 2.0.

Peut-on déployer des applications différentes selon le département ?

Oui, via les variables MDT et les règles dans CustomSettings.ini. En associant des groupes AD ou des variables personnalisées à des listes d'applications, MDT installe automatiquement les logiciels correspondant au profil de la machine. Par exemple, les postes de comptabilité reçoivent Sage, tandis que les postes développeurs reçoivent Visual Studio.

Comment créer un média USB MDT pour déployer hors réseau ?

Dans la Deployment Workbench, clic droit sur le Deployment Share → Create Media. MDT génère un dossier contenant tous les fichiers nécessaires. Utiliser Rufus ou dism pour copier ce contenu sur une clé USB. Le déploiement s'effectue ensuite en standalone, sans connexion réseau, mais avec un temps de transfert plus long selon la taille de l'image WIM.

MDT peut-il déployer d'autres OS que Windows ?

MDT est principalement conçu pour Windows. Un support limité de Linux existe via des scripts personnalisés, mais il n'est pas natif. Pour des déploiements Linux à grande échelle, des outils comme Foreman, Cobbler ou Ansible sont plus adaptés. Dans un contexte mixte Windows/Linux, certaines entreprises utilisent MDT pour Windows et un outil dédié pour Linux.