Installer Phone Link sur Windows Server 2022 (Store, winget, PowerShell) – guide complet et sécurisé

Guide pas à pas et bonnes pratiques pour installer, sécuriser et maintenir l’application Phone Link sur Windows Server 2022, même dans un environnement d’entreprise verrouillé, sans dégrader la stabilité ni la sécurité du serveur.

Vue d’ensemble : est‑ce raisonnable d’installer Phone Link sur un serveur ?

Phone Link (ex‑« Votre téléphone ») est une application UWP pensée pour Windows 10/11 Client. Sur Windows Server 2022, elle n’est pas fournie par défaut et son usage n’est pas officiellement ciblé pour des rôles serveur. Pourtant, techniquement, il est possible de la faire fonctionner si vous respectez les points suivants :

• Le serveur doit être installé avec l’option “Server with Desktop Experience”. Sur Server 2022, ce choix se fait à l’installation ; il n’est pas convertible depuis Server Core.
• Il faut rétablir la chaîne UWP/AppX (services AppX et politiques de déploiement) et installer les composants nécessaires (App Installer/winget ou Microsoft Store, bibliothèques UWP).
• Vous devez limiter l’exposition (droits, GPO, réseau, notifications) pour préserver l’intégrité et les performances du serveur.

Important – Support & responsabilité : l’exécution d’applications grand public sur un OS serveur peut sortir des scénarios supportés. Utilisez un serveur de saute‑mouton/bastion dédié ou une VM d’admin si possible, et documentez la dérogation dans vos normes internes.

Résumé express (TL;DR)

Étape	Objectif	Action clé	Commande/Interface
0. Vérifier l’édition	S’assurer que “Desktop Experience” est présent	Contrôler le type d’installation	(Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion').InstallationType
1. Préparer l’environnement UWP	Activer services AppX et sideload de paquets signés	GPO/Registre + services	Voir scripts ci‑dessous
2. Obtenir un mécanisme d’installation	Installer App Installer (winget) ou le Microsoft Store	Winget recommandé en entreprise	winget / Add‑AppxPackage
3. Installer Phone Link	Déployer Microsoft.YourPhone + dépendances	winget (msstore) ou sideload offline	winget install … / Add‑AppxPackage
4. Appairer Android	Connexion via QR code	Phone Link ↔ Link to Windows	Interface graphique
5. Durcir & surveiller	Limiter l’impact et la surface d’attaque	GPO, comptes limités, notifications réduites	GPMC, Windows Security, journaux

Prérequis et contrôles de conformité

• Édition/option d’installation : “Server with Desktop Experience”. Si votre clé InstallationType renvoie Server Core, la seule voie fiable est une réinstallation (ou migration in‑place) avec l’option Desktop Experience.
• Compte : utilisez un compte d’administration local non partagé dédié à l’usage de Phone Link (évitez le compte Domain Admin).
• Connectivité : Internet sortant autorisé pour les services Microsoft (résolution DNS, téléchargement des paquets signés). Pour les appels, un contrôleur Bluetooth supporté côté serveur est requis ; sans Bluetooth, seules les fonctions de messagerie/notifications/fichiers fonctionneront.
• RDS/multi‑session : l’usage sur un hôte RDS partagé n’est pas recommandé (risque de confusion de notifications par session, surface d’attaque élargie). Privilégiez une VM d’admin personnelle.

Activer la couche UWP sur Windows Server 2022

1) Autoriser l’installation de paquets signés (sideload)

Activez les stratégies permettant l’installation de paquets AppX/MSIX de confiance (signés) :

# Autoriser l'installation d'applications approuvées (sideload)
New-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Appx' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Appx' `
  -Name AllowAllTrustedApps -Value 1 -PropertyType DWord -Force | Out-Null

# (Facultatif) Mode développeur — à éviter en production

New-Item -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock' \`
-Name AllowAllTrustedApps -Value 1 -PropertyType DWord -Force | Out-Null </code></pre>

<p>Vérifiez également l’absence de GPO bloquant le Store/UWP : <em>Computer Configuration → Administrative Templates → Windows Components → Store</em> (désactiver “Turn off the Store application” si vous installez le Store) et <em>Windows Components → App Package Deployment</em> (autoriser le sideload d’apps approuvées).</p>

<h3>2) Démarrer les services requis</h3>
<p>Les services AppX sont en démarrage <em>à la demande</em>. Assurez‑vous qu’ils ne sont pas désactivés :</p>
<pre><code class="language-powershell"># Services requis pour AppX/Store/winget
'AppXSvc','ClipSVC','BITS','TrustedInstaller' | ForEach-Object {
  Set-Service -Name $_ -StartupType Manual -ErrorAction SilentlyContinue
  Start-Service -Name $_ -ErrorAction SilentlyContinue
}

# Facultatif pour réseau sans fil/Bluetooth (selon matériel)

Set-Service -Name wlansvc -StartupType Manual -ErrorAction SilentlyContinue
Set-Service -Name bthserv -StartupType Manual -ErrorAction SilentlyContinue </code></pre>

<h2>Installer un mécanisme d’installation : winget ou Microsoft Store</h2>
<p>Deux approches fiables en entreprise :</p>
<table>
  <thead>
    <tr>
      <th>Méthode</th>
      <th>Avantages</th>
      <th>Points d’attention</th>
      <th>Quand l’utiliser</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td><strong>A. winget (recommandé)</strong></td>
      <td>Automatisable, auditable, pas besoin d’interface Store, fonctionne en ligne de commande</td>
      <td>Nécessite <em>App Installer</em> et la source <em>msstore</em> active</td>
      <td>Environnements gérés/SCCM, scripts IaC</td>
    </tr>
    <tr>
      <td><strong>B. Sideload offline</strong></td>
      <td>Indépendant du Store, maîtrisé/air‑gapped</td>
      <td>Gestion manuelle des dépendances (VCLibs, UI.Xaml) et signatures</td>
      <td>DMZ, réseau fermé, contraintes de conformité</td>
    </tr>
  </tbody>
</table>

<h3>Méthode A — Installer App Installer (winget) puis Phone Link</h3>
<ol>
  <li><strong>Installer App Installer (Microsoft.DesktopAppInstaller)</strong> avec ses dépendances (<em>Microsoft.VCLibs</em>, <em>Microsoft.UI.Xaml</em>) si nécessaire :
    <pre><code class="language-powershell"># Exemple d'installation offline signée (placez les fichiers dans C:\Packages)
Add-AppxPackage 'C:\Packages\Microsoft.VCLibs.140.00_*.appx'
Add-AppxPackage 'C:\Packages\Microsoft.UI.Xaml.2.8_*.appx'
Add-AppxPackage 'C:\Packages\Microsoft.DesktopAppInstaller_*.msixbundle'

# Vérifier que winget est disponible

winget --version </code></pre>

  </li>
  <li><strong>Activer la source Microsoft Store dans winget</strong> (souvent active par défaut) :
    <pre><code class="language-powershell">winget source list
# Si "msstore" n'apparaît pas :
winget source add --name msstore
</code></pre>
  </li>
  <li><strong>Installer Phone Link</strong>. Vous pouvez cibler l’ID du Store ou l’identifiant de package :
    <pre><code class="language-powershell"># Installation via l'ID de produit du Store (Phone Link)
winget install --id 9NMPJ99VJBWV --source msstore `
  --accept-source-agreements --accept-package-agreements

# Alternative par identifiant (selon catalogue) :

winget install Microsoft.YourPhone --source msstore \`
\--accept-source-agreements --accept-package-agreements </code></pre>

  </li>
</ol>
<p><em>Remarques :</em> winget 1.6+ fonctionne correctement sur Windows Server 2022 avec Desktop Experience. L’installation peut demander une ouverture de session au Store selon les politiques de l’entreprise. Journalisez l’opération (voir section “Surveillance et logs”).</p>

<h3>Méthode B — Sideload offline de Phone Link (sans Store)</h3>
<ol>
  <li><strong>Récupérez des packages <em>signés</em> et de source de confiance</strong> : 
    <ul>
      <li><em>Microsoft.YourPhone_&lt;version&gt;.msixbundle</em> (l’application).</li>
      <li><em>Microsoft.VCLibs.140.00</em> (UWP C++ runtime) en variante <em>Desktop</em> si requise.</li>
      <li><em>Microsoft.UI.Xaml</em> (WinUI 2.x) si requis par la version ciblée.</li>
    </ul>
  </li>
  <li><strong>Installez les dépendances</strong> :
    <pre><code class="language-powershell">Add-AppxPackage 'C:\Packages\Microsoft.VCLibs.140.00_*.appx'
Add-AppxPackage 'C:\Packages\Microsoft.UI.Xaml.2.*_*.appx'  # si requis

Installez Phone Link :

Add-AppxPackage 'C:\Packages\Microsoft.YourPhone_*.msixbundle'

(Facultatif) Provisionnez pour tous les utilisateurs (nouveaux profils) :

# Provisionnement offline pour futurs profils (MSIX)
Add-AppxProvisionedPackage -Online `
  -PackagePath 'C:\Packages\Microsoft.YourPhone_*.msixbundle' `
  -SkipLicense -Verbose `
  -DependencyPackagePath 'C:\Packages\Microsoft.VCLibs.140.00_*.appx','C:\Packages\Microsoft.UI.Xaml.2.*_*.appx'

Installer et utiliser Phone Link

Installation via Microsoft Store (si présent)

1. Ouvrez le Microsoft Store, recherchez Phone Link, cliquez sur Obtenir.
2. Attendez la fin du téléchargement et vérifiez que l’icône “Phone Link” apparaît dans le menu Démarrer.

Association avec Android

1. Sur le serveur, lancez Phone Link et choisissez Se connecter.
2. Sur le smartphone Android (Android 8+), installez/lancez l’app Link to Windows, scannez le QR code affiché sur le serveur.
3. Accordez les autorisations (notifications, SMS, fichiers). Les fonctionnalités de Appels nécessitent Bluetooth côté serveur.
4. Testez l’envoi d’un SMS et l’accès à la galerie pour valider la liaison.

Limites fonctionnelles : la prise en charge d’iOS est limitée ou indisponible dans ce scénario serveur. Les fonctions avancées (copier‑coller multiplateforme, appels) peuvent être restreintes si Bluetooth n’est pas présent/autorisé sur le serveur ou si des GPO bloquent les notifications.

Durcissement sécurité & performance (recommandé)

Principe de moindre privilège et cloisonnement

• Créer un compte local d’admin dédié à Phone Link, hors groupes à privilèges étendus du domaine.
• Limiter l’usage à une VM d’admin ou un bastion séparé des rôles serveurs critiques (AD, SQL, fichiers, etc.).
• Empêcher l’exécution en sessions RDP concurrentes multiples (risque de fuites de notifications entre sessions).

Réduire l’empreinte

• Désactiver les notifications non essentielles dans Phone Link et dans Paramètres → Système → Notifications.
• Activer Assistant de concentration pendant les maintenances planifiées.
• Bloquer le démarrage automatique si inutile (Planificateur de tâches → StartupAppTask de l’app).

Réseau & pare‑feu

• Autoriser les connexions sortantes nécessaires aux services Microsoft (téléchargement des paquets signés, synchronisation Phone Link).
• Pour les appels, autoriser Bluetooth (pilote + service) et vérifier les stratégies de sécurité correspondantes.

GPO utiles

Domaine	Paramètre	Recommandation
Store	Turn off the Store application	Désactivé si Store utilisé, sinon Activé
App Package Deployment	Allow all trusted apps to install	Activé
Notifications	Turn off toast notifications on the lock screen	Activé
Bluetooth	Allow Bluetooth	Selon politique ; requis pour Appels

Automatisation & déploiement d’entreprise

• Scripts PowerShell/IaC : standardisez les blocs (pré‑req, App Installer, winget, Phone Link) et signez vos scripts.
• Configuration Manager (SCCM) : créez une application MSIX (Phone Link) avec dépendances (VCLibs/UI.Xaml) et règles de détection (Get-AppxPackage *YourPhone*).
• Serveurs isolés : conservez un référentiel interne de paquets signés et contrôlez cryptographiquement chaque import (hachage, certificat).

Résolution de problèmes

Échecs d’installation AppX/MSIX

• Consultez Event Viewer → Microsoft‑Windows‑AppXDeployment/Operational.
• Exécutez : Get-AppxPackage -AllUsers *YourPhone* | Format-List Name,PackageFullName,Status Get-AppPackageLog -ActivityID <GUID depuis l'événement>
• Assurez‑vous que AllowAllTrustedApps est positionné à 1 et que ClipSVC/AppXSvc sont démarrés.
• Si vous utilisez le Store, exécutez wsreset.exe pour réinitialiser le cache.

winget ne voit pas le catalogue “msstore”

winget source reset --force
winget source add --name msstore

Vérifiez que le proxy/SSL d’entreprise n’intercepte pas le trafic de confiance (inspection TLS). Journal winget : répertoire DiagOutputDir de DesktopAppInstaller dans le profil utilisateur.

Appels indisponibles

• Le serveur n’a pas de contrôleur Bluetooth fonctionnel : seuls SMS/notifications/fichiers fonctionneront.
• Activez le service bthserv, installez les pilotes et associez le téléphone en Bluetooth.

Notifications silencieuses en session RDP

• Activez les notifications en session distante (Paramètres → Système → Notifications). Attention à la confidentialité.
• Évitez l’usage sur des hôtes RDS partagés ; préférez une VM d’admin personnelle.

Maintenance, rollback et nettoyage

Si vous devez revenir en arrière :

# Désinstallation pour l'utilisateur courant
Get-AppxPackage *YourPhone* | Remove-AppxPackage

# Pour tous les utilisateurs

Get-AppxPackage -AllUsers *YourPhone* | Remove-AppxPackage -AllUsers

# Retirer le provisionnement (pour nouveaux profils)

Get-AppxProvisionedPackage -Online | Where-Object {$\_.DisplayName -like '*YourPhone*'} |
Remove-AppxProvisionedPackage -Online

# Facultatif : retirer App Installer (winget) si déployé

Get-AppxPackage -AllUsers *DesktopAppInstaller* | Remove-AppxPackage -AllUsers 

Purgez les clés GPO/Registre ajoutées si elles n’ont plus d’utilité. Documentez la décision de rollback dans votre CMDB et fermez les règles de pare‑feu ouvertes pour Phone Link.

FAQ – Questions fréquentes

Peut‑on “activer Desktop Experience” après coup ?
Sur Windows Server 2022, non : “Server with Desktop Experience” est une option d’installation choisie à l’initialisation. Il faut réinstaller (ou migrer) si vous êtes en Server Core.

Intune permet‑il de pousser l’app sur Windows Server ?
Les scénarios MDM modernes visent principalement Windows 10/11 Client. Pour Server, utilisez plutôt SCCM/Configuration Manager, scripts PowerShell et référentiels internes.

L’installation de Microsoft Store sur Server est‑elle obligatoire ?
Non. Vous pouvez installer App Installer/winget et procéder via la source msstore ou faire un sideload offline des paquets signés.

Quels risques principaux ?
Surface d’attaque augmentée (services UWP, notifications), confidentialité (messages/sms visibles), dépendance réseau. Atténuez par le cloisonnement, des comptes dédiés et des GPO restrictives.

Annexe – Script type de bout en bout (winget)

# 1) Prépare l'environnement UWP
New-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Appx' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Appx' `
  -Name AllowAllTrustedApps -Value 1 -PropertyType DWord -Force | Out-Null
'AppXSvc','ClipSVC','BITS','TrustedInstaller' | % {
  Set-Service -Name $_ -StartupType Manual -ErrorAction SilentlyContinue
  Start-Service -Name $_ -ErrorAction SilentlyContinue
}

# 2) (Offline) Installer VCLibs/UI.Xaml + App Installer si winget absent

if (-not (Get-Command winget -ErrorAction SilentlyContinue)) {
Add-AppxPackage 'C:\Packages\Microsoft.VCLibs.140.00\_*.appx'
Add-AppxPackage 'C:\Packages\Microsoft.UI.Xaml.2.8\_*.appx'  # si requis
Add-AppxPackage 'C:\Packages\Microsoft.DesktopAppInstaller\_\*.msixbundle'
}

# 3) Activer msstore et installer Phone Link

try { winget source add --name msstore | Out-Null } catch {}
winget install --id 9NMPJ99VJBWV --source msstore \`
\--accept-source-agreements --accept-package-agreements --silent

# 4) Validation

Start-Sleep -Seconds 5
if (Get-AppxPackage *YourPhone*) { Write-Host 'Phone Link installé ✔' } else { exit 1 } 

Conclusion

En respectant une démarche rigoureuse (pré‑requis UWP, installation via winget ou sideload, compte dédié, GPO restrictives), Phone Link peut fonctionner sur Windows Server 2022 sans compromettre la stabilité du système. La clé est de séparer les rôles, minimiser les privilèges et documenter chaque dérogation. Pour un maximum de sécurité, privilégiez une VM d’admin dédiée ou un poste Windows 11 géré quand c’est possible.

---

Annexe – Tableau récapitulatif détaillé

Étape	Action	Commande ou interface
Vérifier Desktop Experience	Confirmer que l’OS est “Server with Desktop Experience”	(Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion').InstallationType
Autoriser UWP	Activer le sideload d’apps approuvées	GPO/Appx ; voir scripts
Services	Démarrer AppXSvc/ClipSVC/BITS	Set-Service AppXSvc -StartupType Manual; Start-Service AppXSvc
Installer App Installer	Obtenir winget	Add-AppxPackage .\Microsoft.DesktopAppInstaller_*.msixbundle
Installer Phone Link	Via Store (Obtenir) ou hors‑ligne (Add‑AppxPackage)	winget install --id 9NMPJ99VJBWV --source msstore # ou Add-AppxPackage .\Microsoft.YourPhone_*.msixbundle
Associer le téléphone	Scanner le QR code depuis Link to Windows (Android 8+)	Interface Phone Link

Bonnes pratiques de conformité

• Journalisation : archivez les journaux winget/AppX et la liste des paquets installés (Get-AppxPackage) dans votre coffre de preuves.
• Inventaire : étiquetez le serveur comme “dérogation usages client” dans votre CMDB.
• Revue périodique : validez trimestriellement la nécessité de l’application et la révoquez si l’usage n’est plus justifié.