Licencier Microsoft Office sur RDS/Citrix : le guide SCA complet pour Microsoft 365 E3

Vous administrez une ferme RDS/Citrix et chaque collaborateur a Microsoft 365 E3 ? Bonne nouvelle : il n’est pas nécessaire de racheter Office en volume. Avec le mode Shared Computer Activation, vous licenciez proprement sans consommer les 5 activations par utilisateur.

Sommaire

Vue d’ensemble de la question

Dans les environnements multi‑session (RDS/Citrix XenApp/XenDesktop, VDI non‑persistant, hôtes de session AVD, etc.), l’activation « classique » d’Office liée au poste ou à l’utilisateur atteint vite ses limites. Le symptôme récurrent : un même collaborateur peut ouvrir des sessions sur plusieurs serveurs, et chaque serveur ne doit pas être interprété comme un nouveau « poste » consommant l’une des cinq activations Microsoft 365 Apps par utilisateur.

La question qui revient systématiquement : faut‑il acheter des licences Office en volume (MAK/KMS/LTSC) pour ces serveurs afin d’éviter d’épuiser les activations utilisateur ? La réponse est non dans la majorité des cas. Le mécanisme prévu par Microsoft pour ce scénario s’appelle Shared Computer Activation (SCA) et il est déjà inclus dans les abonnements adaptés (notamment Microsoft 365 E3/E5, Business Premium et autres SKU éligibles).

Réponse & solution

Activer le mode Shared Computer Activation (SCA)

But : autoriser Microsoft 365 Apps (ex‑Office 365 ProPlus) à s’exécuter sur un hôte partagé multi‑session sans associer une activation « fixe » au serveur.
Droit d’usage : inclus dans les licences utilisateur éligibles (ex. E3/E5/Business Premium). Aucun achat de licence en volume supplémentaire n’est requis pour ce cas d’usage.
Expérience utilisateur : lors de la première ouverture d’une application Office, l’utilisateur s’authentifie (Entra ID/Azure AD). Un jeton est émis et mis en cache, puis l’activation locale est libérée afin de ne pas consommer une activation « poste » durable.

Fonctionnement pratique

Connexion : l’utilisateur ouvre sa session sur n’importe quel serveur de la ferme, lance Word/Excel/Outlook et se connecte avec son compte de l’organisation.
Jeton : un jeton d’activation temporaire est créé puis stocké dans le profil de l’utilisateur (par défaut sous %localappdata%\Microsoft\Office\Licenses).
Renouvellement : le jeton se renouvelle régulièrement (en général sous 30 jours). Si la machine reste hors ligne trop longtemps, un avertissement s’affiche et l’utilisateur doit simplement se reconnecter.
Aucune « consommation » des 5 appareils : le passage sur un nouveau serveur de la ferme ne grève pas le quota des cinq activations par utilisateur.

Étapes de déploiement recommandées

Le plus sûr est d’industrialiser le paramètre SCA dès l’installation via ODT (Office Deployment Tool) ou par stratégie de groupe. Voici une trame éprouvée.

Étape	Action clé	Astuce/Contrôle
Pré‑requis	Vérifier que chaque utilisateur dispose d’une licence Microsoft 365 éligible (ex. E3/E5/Business Premium). Confirmer la connectivité sortante vers les services Microsoft 365.	Les CAL RDS restent requises côté Windows Server.
Paramétrage SCA	Définir `<Property Name="SharedComputerLicensing" Value="1"/>` dans votre `configuration.xml` ODT, ou activer la GPO « Use shared computer activation ».	GPO machine : Microsoft Office 2016 (Machine) > Licensing > Use shared computer activation = Enabled.
Installation	Déployer Microsoft 365 Apps sur chaque hôte de session (RDS/Citrix/AVD) via ODT/Endpoint Manager avec le fichier `configuration.xml` incluant SCA.	Utiliser l’édition 64 bits sauf exigence contraire d’add‑ins.
Profils	Mettre en place FSLogix Profiles et FSLogix Office Container pour conserver le jeton et accélérer les ouvertures de session.	Stockage SMB hautement disponible (VHDX dynamique, quotas).
Validation	Ouvrir Word > Compte et vérifier « Produit activé — Partage sur ordinateur ».	Contrôler le registre et la présence du jeton local.

Exemples concrets

Exemple de configuration.xml (ODT) pour SCA

&lt;Configuration&gt;
  &lt;Add OfficeClientEdition="64" Channel="Current"&gt;
    &lt;Product ID="O365ProPlusRetail"&gt;
      &lt;Language ID="fr-fr" /&gt;
    &lt;/Product&gt;
  &lt;/Add&gt;
  &lt;Property Name="SharedComputerLicensing" Value="1" /&gt;
  &lt;Property Name="AUTOACTIVATE" Value="1" /&gt;
  &lt;Updates Enabled="TRUE" /&gt;
  &lt;Display Level="None" AcceptEULA="TRUE" /&gt;
&lt;/Configuration&gt;

Clés de registre à vérifier

Clé	Valeur attendue	Remarque
`HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration\SharedComputerLicensing`	`1`	Injectée par ODT ou GPO.
`HKLM\SOFTWARE\Policies\Microsoft\Office\16.0\Common\Licensing\SharedComputerLicensing`	`1` (si GPO)	Prioritaire si configurée.
`%localappdata%\Microsoft\Office\Licenses\`	Jetons & fichiers de licence	À persister via FSLogix Office Container.

FSLogix : paramètres typiques

REM Profils FSLogix
[HKLM\SOFTWARE\FSLogix\Profiles]
"Enabled"=dword:00000001
"VHDLocations"="\\fileserver\FSLogix\Profiles"
"VolumeType"="VHDX"
"SizeInMBs"=dword:00001000

REM Office Container (ODFC)
[HKLM\SOFTWARE\FSLogix\ODFC]
"Enabled"=dword:00000001
"VHDLocations"="\fileserver\FSLogix\Office"
"VolumeType"="VHDX"

Points d’attention supplémentaires

Droits d’accès : SCA ne dispense pas de licence utilisateur. Chaque personne qui utilise Office doit être correctement licenciée (ex. E3/E5).
Réseau/Proxy : autoriser la résolution DNS et l’accès sortant TLS vers les services d’authentification et d’activation (par ex. login.microsoftonline.com, *.office.com, activation.office.com, *.msauth.net, *.aadcdn.microsoftonline-p.com). Éviter l’inspection TLS sur ces flux.
Synchronisation horaire : l’authentification moderne est sensible à la dérive d’horloge. Assurez la cohérence NTP sur DC, serveurs RDS et appliances proxy.
Scénarios offline : une machine isolée plus de 30 jours affichera un bandeau d’avertissement. Planifier une fenêtre de connectivité périodique pour renouveler les jetons.
Ne pas mixer les modèles : évitez d’installer simultanément Microsoft 365 Apps (SCA) et Office LTSC/2019 en volume sur les mêmes hôtes. Choisissez un modèle unique pour prévenir les conflits.
Compatibilité add‑ins : certains compléments hérités peuvent exiger des versions précises d’Office. Validez en maquette et, si nécessaire, isolez un « pool » d’hôtes avec un canal de mise à jour spécifique.
Canal de mise à jour : en RDS, privilégiez un canal contrôlé (ex. Monthly Enterprise) et un ring pilote restreint avant généralisation.

Quand envisager une licence en volume ?

Machines isolées : environnements totalement déconnectés (zones classifiées, réseaux industriels) où le renouvellement de jeton SCA n’est pas possible.
Compatibilité technique : dépendances à des add‑ins non pris en charge par Microsoft 365 Apps, ou nécessité contractuelle d’une version LTSC figée.
Exigences spécifiques de packaging : si votre standard impose MAK/KMS sur un parc dédié et isolé, en pleine conscience des coûts et de la complexité additionnels.

Dans tous les autres cas, rester sur Microsoft 365 E3/E5 + SCA est plus simple, plus robuste et plus économique.

Comparatif des modes d’activation Office sur hôtes partagés

Critère	Shared Computer Activation (SCA)	Licence en volume (MAK/KMS/LTSC)	Abonnement par appareil
Adapté aux fermes RDS/Citrix	Oui	Oui (mais coûteux/rigide)	Cas bornes/PC partagés
Consommation des 5 activations utilisateur	Non	Sans objet	Non (licence liée à l’appareil)
Dépendance à l’authentification cloud	Oui (Entra ID)	Non	Faible
Mises à jour fonctionnelles continues	Oui (canaux M365)	Non (sécurité uniquement)	Oui
Complexité opérationnelle	Faible avec FSLogix	Moyenne/Élevée	Moyenne
Coût additionnel	Inclus dans E3/E5/Business Premium	Achat séparé requis	Licence dédiée par appareil

Architecture de référence (RDS/Citrix)

Contrôleurs de domaine synchronisés (ou Entra Connect) pour l’authentification moderne.
Hôtes de session Windows Server avec Microsoft 365 Apps installées en SCA.
FSLogix pour la persistance de profil/Office Container sur un partage SMB hautement disponible.
Broker & Gateway RDS/Citrix durcis, avec règles de pare‑feu sortantes vers les services Microsoft 365.
Surveillance de la santé (journalisation ODT/Click‑to‑Run, journaux FSLogix, télémétrie applicative).

Checklist de validation SCA

Sur un hôte de session, ouvrir Word > Compte et vérifier l’intitulé « Produit activé — Partage sur ordinateur ».
Contrôler le registre : SharedComputerLicensing=1 sous la ruche ClickToRun\Configuration (et/ou GPO Policies).
Vérifier la présence des fichiers de licence sous %localappdata%\Microsoft\Office\Licenses dans le profil de l’utilisateur.
Examiner les journaux : %ProgramData%\Microsoft\Office\ClickToRun\Log pour l’installation/activation, %ProgramData%\FSLogix\Logs\ODFC pour le montage du container.
Tester avec un compte pilote sur plusieurs hôtes : pas de demande d’activation répétée, lancement rapide des apps Office.

Dépannage : erreurs fréquentes et correctifs

« Produit sans licence » ou demande d’activation récurrente

Confirmer SharedComputerLicensing = 1 (GPO ou ODT) et l’absence de restes d’une ancienne version MSI/volume.
Vérifier que le container FSLogix Office se monte (journaux ODFC). Sans persistance, le jeton se perd à chaque session.
Résoudre les blocages proxy/TLS : autoriser les FQDN des services Microsoft 365 et désactiver l’inspection TLS sur ce trafic.

« Nombre maximal d’activations atteint »

Ce message ne devrait pas apparaître en SCA. Il indique souvent un déploiement sans le paramètre SCA. Reprendre l’installation avec ODT/GPO corrects.

Performances lentes au premier lancement

Activer FSLogix Office Container pour persister le cache Office/Outlook (OST/ODT, caches Teams/OneDrive selon politique).
Optimiser le stockage VHDX (Thin Provisioning, défragmentation, IOPS garanties sur le partage).

Conflit avec une version Office existante

Désinstaller toute version MSI/volume avant d’installer Microsoft 365 Apps. Évitez les co‑installations (ex. Visio/Project MSI).

Sécurité & conformité

Authentification moderne : imposer MFA/Conditional Access pour l’accès aux apps Office sur les hôtes partagés.
Séparation des rôles : les comptes d’administration ne doivent pas utiliser d’apps bureautiques sur les serveurs de production.
Journalisation : conserver les logs ODT/Click‑to‑Run et FSLogix pour corrélation lors d’incidents.
Durcissement RDS/Citrix : profils verrouillés, redirections maîtrisées, impression et presse‑papiers selon la politique de sécurité.

Script d’installation automatisée (exemple)

Modèle minimaliste pour industrialiser l’installation côté hôte de session :

rem 1) Déployer ODT et configuration.xml dans C:\ODT
C:\ODT\setup.exe /download C:\ODT\configuration.xml
C:\ODT\setup.exe /configure C:\ODT\configuration.xml

rem 2) Forcer SCA via registre (si GPO non appliquée)
reg add HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration /v SharedComputerLicensing /t REG_DWORD /d 1 /f

rem 3) Activer FSLogix (si non géré par GPP/SCCM)
reg add HKLM\SOFTWARE\FSLogix\Profiles /v Enabled /t REG_DWORD /d 1 /f
reg add HKLM\SOFTWARE\FSLogix\ODFC /v Enabled /t REG_DWORD /d 1 /f

FAQ express

Le SCA fonctionne‑t‑il avec des sessions Citrix publiées ?
Oui. Le principe est identique à RDS : l’application s’active par jeton utilisateur, sans attacher une activation au serveur.

Et avec des bureaux virtuels persistants ?
Vous pouvez utiliser SCA, mais sur des VDI persistants, une activation utilisateur « classique » peut aussi convenir. SCA garde l’avantage d’éviter le comptage d’appareils.

Business Premium est‑il éligible ?
Oui, Business Premium (et d’autres SKU éligibles) inclut le droit d’usage SCA. Pour les environnements Windows Server multi‑session, vérifiez la conformité de votre SKU et privilégiez Apps for enterprise si besoin.

Dois‑je acheter des licences en volume pour Outlook uniquement ?
Non. Outlook fait partie de Microsoft 365 Apps et suit le même mécanisme SCA.

Que se passe‑t‑il si la ferme est hors ligne pendant longtemps ?
Les applications passeront en mode réduit après expiration du jeton. Une reconnexion au service d’activation rétablit l’usage normal.

Bonnes pratiques opérationnelles

Image dorée maîtrisée : intégrer ODT + SCA dans l’image, évitez les installations manuelles.
Canal de mise à jour stable : verrouiller un canal commun et diffuser progressivement.
Surveillance proactive : alertez sur les échecs d’activation Office et les montages FSLogix.
Documentation : consignez vos paramètres (ODT, GPO, partages FSLogix), versions et canaux, et votre procédure de restauration.

Conclusion

Le mode Shared Computer Activation résout intégralement la contrainte d’activation d’Office en environnement RDS/Citrix : avec vos licences Microsoft 365 E3 existantes, vous pouvez équiper autant d’hôtes de session que nécessaire sans entamer le quota des cinq appareils par utilisateur et sans surcoût de licences en volume. En pratique, il suffit d’activer SCA au déploiement (ODT/GPO), de persister les jetons via FSLogix et de garantir la connectivité aux services Microsoft 365. C’est la voie la plus simple, robuste et économique pour licencier correctement Microsoft Office dans une ferme multi‑session.