L’activation est un processus qui certifie que vous utilisez légalement une copie d’un logiciel Microsoft. Elle consiste en un échange de données entre un produit et un serveur de licences. Sommairement, le produit construit un identifiant unique à partir de divers renseignements techniques (produit, version, identifiant unique généré et surtout, la clé de licence), et le serveur retourne une information indiquant le succès ou non de la procédure.

À la maison, l’activation est généralement négociée avec des serveurs Internet de Microsoft. Les principaux produits concernés sont Windows (depuis Windows XP) et Office (depuis Office 2007), cependant le système pourrait tout aussi bien servir à d’autres produits de l’éditeur. Votre licence se présente généralement sous forme d’étiquette sécurisée collé sur votre unité centrale ou au dos de votre portable, voire cachée sous la batterie de certains modèles via des étiquettes au format réduit. Cependant, la dématérialisation vous permet de ne conserver qu’un courriel avec un certificat d’authenticité sur lequel est inscrit votre clé de licence, ce qui est généralement le cas pour Office.

Pour les entreprises ayant une infrastructure Microsoft importante – on prendra comme exemple une cinquantaine de postes et une quinzaine de serveurs – il peut devenir fastidieux pour un administrateur de jongler avec les processus d’activation Microsoft. L’éditeur commence alors à fournir des solutions plus adaptés à la gestion de parc.

Différentes techniques permettent l’activation parmi lesquelles MAK, VAMT, KMS et AVMA. On parle alors de licences en volume.

Attention : si l’éditeur permet d’utiliser ses produits pendant quelques jours (période de grâce variable selon les produits), l’activation à l’aide d’une licence valide est strictement obligatoire. Cet article présente les outils légaux et ne promeut en aucun cas les usages détournés et illégaux via des logiciels de type Auto KMS et consorts. Vous devez être en possession d’autant de licences valides que de copies de logiciels Microsoft en production sur vos systèmes.

La licence en volume

Lorsque votre parc commence à devenir important, vous pouvez négocier des tarifs auprès de Microsoft et gérer alors

des licences en volume. Dès lors, votre infrastructure peut se permettre, dans certains cas que nous allons présenter plus loin, d’utiliser la même clé de licence pour plusieurs produits identiques.

Remarquez qu’une clé de licence n’est censé être utilisée qu’une seule fois pour un produit donné et sur un poste donné. Elle n’est déplaçable qu’un nombre limité de fois (remplacement de poste) avant de se désactiver définitivement. Microsoft fournit maintenant des licences par utilisateur pour Office (Office 365 et Office Click-to-Run (C2R)), éliminant alors le problème du transfert, et permettant l’itinérance.

La licence en volume est donc avant tout un procédé permettant la simplification et l’automatisation du côté technique. L’entreprise reste redevable de l’achat du nombre nécessaire de licences et ne s’occupe plus que de la gestion administratives de ces licences. Si on achète par exemple un lot de 50 licences Windows 7, on reçoit un certificat indiquant l’autorisation d’exploiter jusqu’à 50 instances de Windows 7 en même temps dans l’entreprise, ainsi que l’autorisation d’exploiter des outils de gestion en volume.

Remarque : le volume du parc à partir duquel on peut utiliser tel ou tel procédé d’activation en volume est à négocier directement avec l’éditeur ou un partenaire. Les chiffres indiqués ici sont fictifs et ne reflètent pas les seuils et plafonds de l’éditeur, par ailleurs variables selon le type de contrat que votre entreprise peut signer.

MAK (Multiple Activation Key)

Pour un parc à dimensions restreintes et connecté à Internet, Microsoft propose d’exploiter une clé unique par type de produit, laissant chaque instance s’activer directement sur Internet à l’aide des serveurs Microsoft. La clé fournie est alors marquée spécialement afin de ne pas limiter le nombre d’activation. Microsoft peut engager une procédure pour faire vérifier le nombre de licences détenues et le nombre effectivement en production en cas de suspicion de fraude.

L’utilisation de clé MAK permet donc de fabriquer des images des postes de l’entreprise (avec des logiciels comme Acronis True Image ou Norton Ghost, ou bien des solutions en réseau comme Windows Deployment Services ou Fog), mais repose toujours sur une connectivité Internet. On parle d’activation indépendante MAK.

VAMT (Volume Activation Management Tool)

Pour les parcs grossisants, ou dont les postes subissent un nombre conséquent de réinstallation, par exemple une salle informatique dans un centre de formation, où il est nécessaire de réinitialiser très régulièrement les systèmes, l’appel à Microsoft peut être « proxyfié ». Microsoft fournit l’outil VAMT dans le Kit d’Installation Automatique de Windows (WAIK), lequel permet d’agir comme un proxy d’activation. Il récolte une ou plusieurs demandes d’activation, et les envoie en bloc aux serveurs Internet de Microsoft. Il garde la trace des réponses afin de rejouer une demande d’activation déjà validée sans contacter les serveurs en ligne.

VAMT peut être utilisé pour remplacer l’activation par téléphone pour les réseaux non reliés à Internet. On exploite alors deux instances VAMT : l’une reliée à Internet, l’autre reliée au réseau isolé. Ce principe, décrit dans le Technet, se fait à base d’échange de données XML par support de stockage. Le guide MAK est également un bon support de référence.

KMS (Key Management Service)

Concrètement, l’activation d’un produit Microsoft est validée par un KMS. Microsoft gère donc des serveurs KMS sur Internet, spécialement conçus pour gérer les licences d’exploitation qu’ils ont accordé à leurs clients. Ce sont ces serveurs, et leurs bases de données, qui contiennent une part importante des clés de licence que l’on trouve sur les sites de piratage et qui sont marquées comme usurpées. Les serveurs KMS n’acceptent donc plus ces clés, et le produit sollicitant une activation se verra opposer un refus.

Les grandes entreprises dont les volumes de licences achetés à Microsoft sont particulièrement conséquents peuvent obtenir une instance KMS pour leurs besoins internes. C’est ce type d’activation que l’on retrouve dans les fameux « accords cadre » de l’Éducation Nationale par exemple. On parle alors de GVLK pour Group Volume Licence Key et de CSVLK pour Customer Support Volume License Key (voir cet excellent résumé). C’est donc le principe de la clé MAK, mais avec un serveur KMS interne, lequel n’a pas besoin de communiquer avec Microsoft. Ce type de produit est particulièrement surveillé par Microsoft tant sa fuite serait catastrophique pour l’éditeur, et les grands comptes bénéficiant de ces KMS doivent satisfaire à des exigences importantes en terme de sécurité informatique. Parmi ces règles, on peut imaginer trouver des restrictions à une frange réduite du personnel de confiance quant à l’accès aux serveurs hébergeant le KMS, voire un accès à du personnel exclusivement Microsoft, façon boîte noire.

AVMA (Automated Virtual Machine Activation)

Ce principe, introduit à partir de Windows 2012, permet à une machine virtuelle Windows 2012 (ou supérieure) de s’activer automatiquement si l’hôte physique Hyper-V est activé. AVMA ne fonctionne que pour les éditions serveur de Windows 2012 et supérieures, et uniquement en tant que machine virtuelle sur Hyper-V. De plus, l’hyperviseur doit être installé sur une édition Datacenter. AVMA ne fonctionnera pas avec VMware ESX ou une autre solution de virtualisation, ni avec des version de Windows destinées aux postes de travail (Windows 7 par exemple). AVMA est également décrit dans le Technet. Notez qu’à l’évidence, on ne peut utiliser AVMA pour activer une machine physique.

Les différentes éditions

N’importe quelle clé ne peut pas aller sur n’importe quel produit. Deux exemples vont illustrer le principe.

Supposons que l’on installe une instance de Microsoft Windows 2012 à l’aide d’un DVD prévu par défaut pour une activation via KMS mais que l’on veuille utiliser l’activation AVMA. Dans ce cas, il faudra modifier l’édition installée à l’aide de la commande DISM (Deployment Image Servicing and Management), et saisir une clé spéciale reconnue pour le fonctionnement d’AVMA. On a donc adapté l’édition de Windows 2012 à l’aide de DISM. Notez que DISM permet également de basculer d’une édition Standard à une édition Datacenter par exemple.

Autre cas, Office 2016 et sa forte orientation Cloud : les entreprises reliées à Internet peuvent être plutôt attirées par le concept de licence à l’utilisateur (CAL) que par des licences au poste. La licence à l’utilisateur permet à un employé de disposer de plusieurs ordinateurs avec autant d’installations d’Office 2016, mais de ne pouvoir en exploiter qu’une à un instant donné. Certaines entreprises préfèrent conserver la licence au poste, et doivent donc se munir d’une édition adaptée. Concrètement, une installation de Microsoft Office 2016 C2R (click-to-run) ne pourra pas accepter la même licence qu’une installation VL (volume license). La première ne pourra pas être configurée pour accepter des licences en volume et n’interrogera jamais un KMS d’entreprise, tandis que la deuxième ignorera les licences attachées à un compte Office 365. Contrairement à l’exemple précédent sur Windows 2012, il n’est pas possible de convertir une édition d’Office 2016 vers une autre édition.

En résumé : si votre parc devient important, il peut être intéressant pour vous de négocier des licences en volume et de se pencher sur les outils permettant de les gérer. Demandez conseil à Microsoft ou à un partenaire.