Comment configurer la synchronisation sécurisée des fichiers avec Work Folders sur Windows Server 2025

Commencez par installer le rôle Dossiers de travail via le Gestionnaire de serveur. Ce rôle fournit la fonctionnalité de base pour la synchronisation sécurisée des fichiers sur votre réseau d'entreprise.

Ouvrez le Gestionnaire de serveur et accédez au tableau de bord. Cliquez sur Ajouter des rôles et des fonctionnalités pour lancer l'assistant d'installation.

# Méthode d'installation alternative PowerShell
Install-WindowsFeature -Name WorkFolders -IncludeManagementTools -Restart

Dans l'assistant, sélectionnez Installation basée sur un rôle ou une fonctionnalité, choisissez votre serveur cible, puis développez Services de fichiers et de stockage → Services de fichiers et iSCSI. Cochez la case Dossiers de travail et cliquez sur Ajouter des fonctionnalités lorsque vous y êtes invité.

Terminez l'installation et redémarrez le serveur si nécessaire. L'installation inclut automatiquement le module PowerShell SyncShare.

Vérification : Exécutez cette commande pour confirmer que le rôle est installé :

Get-WindowsFeature -Name WorkFolders

L'InstallState devrait indiquer Installé.

Les dossiers de travail nécessitent HTTPS pour une synchronisation sécurisée dans les environnements de production. Vous devrez obtenir un certificat SSL et configurer les enregistrements DNS pour le FQDN de votre serveur.

Tout d'abord, créez un enregistrement DNS A pointant vers votre serveur. Par exemple, si l'IP de votre serveur est 192.168.1.100 :

# Ajouter un enregistrement DNS (exécuter sur le serveur DNS ou le contrôleur de domaine)
Add-DnsServerResourceRecordA -ZoneName "contoso.com" -Name "workfolders" -IPv4Address "192.168.1.100"

Ensuite, obtenez votre certificat SSL. À des fins de test, vous pouvez créer un certificat auto-signé :

# Créer un certificat auto-signé pour les tests
$cert = New-SelfSignedCertificate -DnsName "workfolders.contoso.com" -CertStoreLocation "Cert:\LocalMachine\My"

Pour la production, demandez un certificat à votre autorité de certification ou utilisez Let's Encrypt. Une fois que vous avez le certificat, liez-le au service Dossiers de travail via le Gestionnaire de serveur.

Accédez à Gestionnaire de serveur → Services de fichiers et de stockage → Dossiers de travail. Faites un clic droit sur le nom de votre serveur et sélectionnez Lier le certificat. Choisissez votre certificat SSL dans la liste.

Vérification : Testez la liaison du certificat :

Get-SyncServerCertificate

Organisez l'accès des utilisateurs en créant des groupes de sécurité dédiés dans Active Directory. Cette approche simplifie la gestion des autorisations et permet un contrôle granulaire sur qui peut accéder aux Dossiers de Travail.

Ouvrez Active Directory Users and Computers ou utilisez PowerShell pour créer les groupes de sécurité :

# Créer un groupe de sécurité pour les utilisateurs des Dossiers de Travail
New-ADGroup -Name "WorkFolders-Users" -GroupScope Universal -GroupCategory Security -Path "OU=Groups,DC=contoso,DC=com" -Description "Utilisateurs ayant accès à la synchronisation des Dossiers de Travail"

Ajoutez des utilisateurs au groupe :

# Ajouter des utilisateurs au groupe des Dossiers de Travail
Add-ADGroupMember -Identity "WorkFolders-Users" -Members "jdoe", "asmith", "mwilson"

Pour les organisations avec plusieurs départements, envisagez de créer des groupes séparés :

# Créer des groupes spécifiques aux départements
New-ADGroup -Name "WorkFolders-Finance" -GroupScope Universal -GroupCategory Security -Path "OU=Groups,DC=contoso,DC=com"
New-ADGroup -Name "WorkFolders-HR" -GroupScope Universal -GroupCategory Security -Path "OU=Groups,DC=contoso,DC=com"

Cette structure vous permet de créer des partages de synchronisation séparés avec des politiques différentes pour chaque département.

Vérification : Confirmez la création et l'appartenance aux groupes :

Get-ADGroup -Filter "Name -like 'WorkFolders*'" | Select-Object Name, GroupScope
Get-ADGroupMember -Identity "WorkFolders-Users"

Créez maintenant le partage de synchronisation qui stockera les données des utilisateurs et définissez les politiques de synchronisation. Cela implique de configurer l'emplacement de stockage, l'accès des utilisateurs et les politiques de sécurité.

Tout d'abord, créez un dossier dédié sur un volume NTFS avec suffisamment d'espace :

# Créer le répertoire Work Folders
New-Item -Path "E:\WorkFolders" -ItemType Directory -Force

# Définir les autorisations NTFS appropriées
icacls "E:\WorkFolders" /grant "SYSTEM:(OI)(CI)F" "Administrators:(OI)(CI)F" "WorkFolders-Users:(OI)(CI)M"

Lancez l'Assistant Nouveau Partage de Synchronisation depuis Gestionnaire de Serveur → Services de Fichiers et de Stockage → Work Folders → Partages → Créer un Partage de Synchronisation.

Alternativement, utilisez PowerShell pour créer le partage de synchronisation :

# Créer un partage de synchronisation avec PowerShell
New-SyncShare -Name "CompanyData" -Path "E:\WorkFolders" -User "WorkFolders-Users" -RequireEncryption $true -RequirePasswordAutoLock $true

Configurez les politiques du partage de synchronisation dans l'assistant :

• Chemin : E:\WorkFolders
• Utilisateurs : Groupe de sécurité WorkFolders-Users
• Politiques de l'appareil : Activer "Chiffrer les Work Folders sur les appareils" et "Verrouiller automatiquement l'écran et exiger un mot de passe"
• Quota utilisateur : Définir à 5 Go par utilisateur (ajuster selon vos besoins)

L'URL du partage de synchronisation sera https://workfolders.contoso.com/WorkFolders.

Vérification : Confirmez que le partage de synchronisation est créé et accessible :

Get-SyncShare -Name "CompanyData"
Get-SyncShare -Name "CompanyData" | Select-Object Name, Path, UserQuotaGB, RequireEncryption

Implémentez la gestion des quotas pour contrôler l'utilisation du stockage et empêcher un utilisateur unique de consommer des ressources serveur excessives. Work Folders offre des options de quota flexibles au niveau du partage et de l'utilisateur.

Définissez des quotas d'utilisateur individuels à l'aide de PowerShell :

# Définir le quota pour tous les utilisateurs dans le partage de synchronisation
Set-SyncShare -Name "CompanyData" -UserQuotaGB 5

# Définir le quota en Mo pour un contrôle plus précis
Set-SyncShare -Name "CompanyData" -UserQuotaInMB 5120

# Voir les paramètres de quota actuels
Get-SyncShare -Name "CompanyData" | Select-Object Name, UserQuotaGB, UserQuotaInMB

Pour différents groupes d'utilisateurs avec des besoins de stockage variés, créez des partages de synchronisation séparés :

# Créer un partage de synchronisation pour les cadres avec un quota plus élevé
New-SyncShare -Name "ExecutiveData" -Path "E:\WorkFolders\Executive" -User "WorkFolders-Executives" -RequireEncryption $true
Set-SyncShare -Name "ExecutiveData" -UserQuotaGB 20

# Créer un partage utilisateur standard avec un quota inférieur
New-SyncShare -Name "StandardData" -Path "E:\WorkFolders\Standard" -User "WorkFolders-Users" -RequireEncryption $true
Set-SyncShare -Name "StandardData" -UserQuotaGB 2

Surveillez l'utilisation des quotas sur tous les partages de synchronisation :

# Vérifier l'utilisation des quotas pour tous les partages
Get-SyncShare | ForEach-Object {
    $share = $_
    Write-Host "Partage : $($share.Name)"
    Write-Host "Quota : $($share.UserQuotaGB) GB par utilisateur"
    Write-Host "Utilisateurs : $($share.User)"
    Write-Host "---"
}

Configurez des rapports de stockage pour suivre les modèles d'utilisation :

# Activer le rapport de stockage (nécessite le Gestionnaire de ressources du serveur de fichiers)
Install-WindowsFeature -Name FS-Resource-Manager -IncludeManagementTools

Vérification : Testez l'application des quotas en vérifiant l'allocation de stockage des utilisateurs :

# Voir les informations détaillées sur les quotas
Get-SyncUserSettings -SyncShare "CompanyData" | Select-Object User, QuotaGB, UsedStorageGB

Automatisez le déploiement des dossiers de travail dans votre organisation en utilisant la stratégie de groupe. Cela élimine le besoin de configuration manuelle sur chaque poste de travail client et garantit des paramètres cohérents.

Ouvrez la console de gestion des stratégies de groupe et créez un nouveau GPO ou modifiez-en un existant. Accédez à Configuration de l'ordinateur → Stratégies → Modèles d'administration → Système → Dossiers de travail.

Configurez les paramètres de stratégie suivants :

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkFolders]
"WorkFoldersUrl"="https://workfolders.contoso.com/WorkFolders"
"AutoProvision"=dword:00000001
"AllowUntrustedCerts"=dword:00000000

Activez la stratégie "Spécifier les paramètres des dossiers de travail" et configurez :

• URL des dossiers de travail : https://workfolders.contoso.com/WorkFolders
• Forcer la configuration automatique : Activé
• Autoriser les certificats non approuvés : Désactivé (pour la production)

Pour les environnements de test, vous pouvez temporairement autoriser les certificats non approuvés :

# Commande PowerShell pour configurer les dossiers de travail via le registre (pour les tests)
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkFolders"
New-Item -Path $regPath -Force
Set-ItemProperty -Path $regPath -Name "WorkFoldersUrl" -Value "https://workfolders.contoso.com/WorkFolders"
Set-ItemProperty -Path $regPath -Name "AutoProvision" -Value 1 -Type DWord

Liez le GPO aux unités organisationnelles appropriées contenant vos ordinateurs cibles. Envisagez de créer des GPO distincts pour différents groupes d'utilisateurs s'ils ont besoin de configurations différentes pour les dossiers de travail.

Vérification : Vérifiez l'application du GPO sur les ordinateurs clients :

# Exécuter sur l'ordinateur client pour vérifier les paramètres du GPO
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkFolders" -ErrorAction SilentlyContinue

# Forcer la mise à jour de la stratégie de groupe
gpupdate /force

Configurez les Dossiers de travail sur les stations de travail clientes Windows 10/11 pour activer la synchronisation sécurisée des fichiers. Cela peut être fait manuellement ou automatiquement via le déploiement de la stratégie de groupe.

Pour la configuration manuelle, ouvrez Panneau de configuration → Dossiers de travail sur l'ordinateur client. Cliquez sur Configurer les Dossiers de travail et entrez l'URL du serveur.

Alternativement, utilisez PowerShell pour configurer les Dossiers de travail de manière programmatique :

# Configurez les Dossiers de travail sur le client (exécutez en tant qu'administrateur)
$workFoldersUrl = "https://workfolders.contoso.com/WorkFolders"
$localPath = "$env:USERPROFILE\Work Folders"

# Enregistrez les Dossiers de travail
Register-SyncShare -SyncShareUrl $workFoldersUrl -LocalPath $localPath

Pour un déploiement en masse, créez un script PowerShell qui peut être déployé via la stratégie de groupe ou SCCM :

# WorkFolders-Setup.ps1
param(
    [string]$ServerUrl = "https://workfolders.contoso.com/WorkFolders",
    [string]$LocalPath = "$env:USERPROFILE\Work Folders"
)

try {
    # Vérifiez si les Dossiers de travail sont déjà configurés
    $existingSync = Get-SyncShare -ErrorAction SilentlyContinue
    
    if (-not $existingSync) {
        Write-Host "Configuration des Dossiers de travail..."
        Register-SyncShare -SyncShareUrl $ServerUrl -LocalPath $LocalPath
        Write-Host "Dossiers de travail configurés avec succès"
    } else {
        Write-Host "Dossiers de travail déjà configurés"
    }
} catch {
    Write-Error "Échec de la configuration des Dossiers de travail : $($_.Exception.Message)"
}

Surveillez l'état de la synchronisation sur les ordinateurs clients :

# Vérifiez l'état de synchronisation des Dossiers de travail
Get-SyncShare | Select-Object SyncShareUrl, LocalPath, SyncStatus, LastSyncTime

# Affichez les statistiques de synchronisation
Get-SyncStatistics

Le dossier de synchronisation local par défaut est %USERPROFILE%\Work Folders. Les utilisateurs peuvent accéder à leurs fichiers synchronisés via l'Explorateur de fichiers ou en se rendant à cet emplacement.

Vérification : Testez la synchronisation des fichiers entre le serveur et le client :

# Créez un fichier de test sur le client
New-Item -Path "$env:USERPROFILE\Work Folders\test-sync.txt" -ItemType File -Value "Test de synchronisation"

# Forcez la synchronisation immédiate
Invoke-SyncShareSync

# Vérifiez l'état de synchronisation
Get-SyncShare | Select-Object SyncStatus, LastSyncTime

Mettre en œuvre des procédures de surveillance et de dépannage pour maintenir un fonctionnement fiable des dossiers de travail. Une surveillance régulière aide à identifier les problèmes avant qu'ils n'affectent les utilisateurs.

Vérifiez l'état du service Work Folders et redémarrez si nécessaire :

# Vérifier l'état du service
Get-Service -Name "WSSCSVC" | Select-Object Name, Status, StartType

# Redémarrer le service si nécessaire
Restart-Service -Name "WSSCSVC" -Force

# Définir le démarrage automatique du service
Set-Service -Name "WSSCSVC" -StartupType Automatic

Surveiller la santé des partages de synchronisation et l'activité des utilisateurs :

# Voir tous les partages de synchronisation et leur statut
Get-SyncShare | Select-Object Name, Path, User, Enabled, RequireEncryption

# Vérifier les statistiques de synchronisation des utilisateurs
Get-SyncUserSettings | Select-Object User, LastSyncTime, SyncStatus, UsedStorageGB

# Voir les événements des partages de synchronisation
Get-WinEvent -LogName "Microsoft-Windows-SyncShare/Operational" -MaxEvents 50 | Select-Object TimeCreated, LevelDisplayName, Message

Commandes de dépannage courantes pour les problèmes côté client :

# Réinitialiser les dossiers de travail sur le client (exécuter en tant qu'administrateur)
Unregister-SyncShare -Force
Register-SyncShare -SyncShareUrl "https://workfolders.contoso.com/WorkFolders"

# Effacer le cache des dossiers de travail
Remove-Item -Path "$env:LOCALAPPDATA\Microsoft\Windows\WorkFolders\*" -Recurse -Force

# Vérifier les journaux de synchronisation côté client
Get-WinEvent -LogName "Microsoft-Windows-WorkFolders/Operational" -MaxEvents 20

Configurer la surveillance automatisée avec des scripts PowerShell :

# WorkFolders-Monitor.ps1
$shares = Get-SyncShare
$issues = @()

foreach ($share in $shares) {
    if (-not $share.Enabled) {
        $issues += "Share '$($share.Name)' is disabled"
    }
    
    $users = Get-SyncUserSettings -SyncShare $share.Name
    foreach ($user in $users) {
        if ($user.SyncStatus -ne "Success") {
            $issues += "User '$($user.User)' sync status: $($user.SyncStatus)"
        }
    }
}

if ($issues.Count -gt 0) {
    Write-Warning "Work Folders issues detected:"
    $issues | ForEach-Object { Write-Warning $_ }
} else {
    Write-Host "All Work Folders shares are healthy" -ForegroundColor Green
}

Vérification : Testez le flux de synchronisation complet :

# Vérification complète de la santé
Get-Service WSSCSVC | Select-Object Status
Get-SyncShare | Select-Object Name, Enabled
Test-NetConnection -ComputerName "workfolders.contoso.com" -Port 443