Microsoft vient de mettre à jour la liste des périphériques réseaux supportées par les nouvelles fonctionnalités de supervision étendues de System Center 2012 Operations Manager SP1. Cette nouveauté permet par exemple de superviser les routeurs et switches afin de déterminer leur statut (Online/Offline) ainsi que les ports et interfaces des périphériques ou encore des informations détaillées sur la mémoire et le processeur. Globalement Microsoft couvre les périphériques supportant SNMP et supervise les ports des périphériques implémentant les standards MIB (RFC 2863) et MIB-II (RFC 1213).

Pour télécharger la liste, rendez-vous sur : http://www.microsoft.com/download/en/details.aspx?id=26831

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Préparation des prérequis clients

Une fois les prérequis côté systèmes de site et infrastructure validés, nous pouvons passer à la préparation des prérequis clients.

Prérequis matériel et logiciels

Pour les facteurs processeur et mémoire, Microsoft recommande de suivre les préconisations liées au système d'exploitation sur lequel vous installez le client.  Par exemple, Mac OS X 10.7 requière la configuration suivante :

• Un processeur Intel Core 2 Duo, Core i3, Core i5, Core i7 ou Xeon

Note : Le client MAC n'est pas supporté sur d'autres plateformes qu'Intel 64-bit.

• 2 Go de mémoire vive (RAM)

Concernant l'espace disque nécessaire, le client une fois installé consomme jusqu'à 500 MB. Ajoutez à cela, l'espace nécessaire pour le cache (5 Giga-octets par défaut) servant à stocker temporairement les sources d'installation des applications, mises à jour etc…

System Center 2012 Configuration Manager Service Pack 1 supporte les systèmes d'exploitation suivants :

• Mac OS X 10.6 (Snow Leopard)
• Mac OS X 10.7 (Lion)

Pare-feu

Le client communique avec son serveur de site pour différentes opérations et ceci nécessite que vous ouvriez certains ports dédiés pour la communication avec les systèmes de site : Port TCP 443 en sortie pour la communication HTTPS,

Certificats

Vous devez créer et déployer des certificats sur les serveurs hébergeant les rôles : Management Point, Distribution Point, Enrollment Point, Enrollment Proxy Point. Ces certificats servent à l'authentification serveur et doivent servir pour le serveur Web. Nous aborderons ceci plus loin dans ce chapitre.

Plus précisément, le client Mac nécessite un certificat répondant aux exigences suivantes :

• La valeur d'Enhanced Key Usage doit être 1.3.6.1.5.5.7.3.2 pour spécifier une authentification cliente
• Une valeur unique doit être spécifiée dans le champ Subject Name. Le champ Subject Alternative Name n'est pas supporté
• L'algorithme de hachage supporté est SHA-1
• ConfigMgr supporte des clés de chiffrement jusqu'à 2048 bits.
• Le certificat doit être au format X.509 binary.

Sinon vous devez vous référer à la page de prérequis des certificats : http://technet.microsoft.com/en-us/library/gg699362.aspx

Création du modèle de certificat

Le client ConfigMgr Mac utilise un certificat pour communiquer avec ses systèmes de site. Commençons par déléguer les droits de demande de certificats sur l’autorité au groupe qui sera autorisé. Ouvrez la console Certificate Authority et ouvrez les propriétés de votre autorité de certification. Editez l’onglet Security pour ajouter le droit Request Certificates aux utilisateurs habilités.

Nous allons procéder à la création du modèle nécessaire. Retournez sur l’autorité de certification et ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Cliquez droit sur le nœud Certificate Templates et sélectionnez Manage.

Utilisez le modèle Authenticated Session comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Validez l’utilisation d’un modèle de type Windows Server 2003. Ouvrez l’onglet général, commencez par donner un nom au modèle. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

Naviguez dans l’onglet Subject Name et cochez l’option Build from this Active Directory Information. Dans le format du nom, choisissez  Common name et décochez la case User principal name (UPN).

Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les permissions d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes des personnes (du support par exemple) qui procéderont à l’enregistrement des ordinateurs Mac.  Déléguez-leur les droits Read et Enroll nécessaires à la demande de certificat.

Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

Modification de la stratégie pour l’enregistrement

Cette partie ne constitue pas une étape obligatoire, elle permet la configuration de la stratégie par défaut pour permettre l’enregistrement de l’ordinateur Mac et le déploiement automatique du certificat d’entreprise. Si vous choisissez de ne pas utiliser les rôles Enrollment Point et Enrollment Proxy Point et d’installer le client en déployant le certificat à la main, vous pouvez passer cette étape.

Ouvrez la console d’administration et naviguez dans l’arborescence Administration – Overview - Client Settings. Ouvrez la stratégie par défaut (Default Client Settings).

Note : L’ordinateur n’étant pas encore rattaché à l’infrastructure, ces changements doivent être appliqués à la stratégie par défaut.

Une fois la stratégie ouverte, choisissez Enrollment. Passez la valeur Allow users to enroll mobile devices and Mac Computers à Yes.

Cliquez ensuite Set Profile… pour définir un profil d’enregistrement. Une fenêtre s’ouvre, cliquez sur Create… pour créer le profil dédié aux ordinateurs Mac. La fenêtre de création s’ouvre, cliquez sur Add pour ajouter l’autorité de certification  utilisée pour délivrer le certificat. Vous devez ensuite sélectionner le modèle de certificat dédié aux ordinateurs Mac précédemment créé. Il vous sera aussi nécessaire de spécifier le code de site utilisé pour gérer ces clients.

Cliquez sur Ok pour créer le profil et Ok pour sélectionner le profil que nous créé :

Installation du client ConfigMgr pour Mac

Commencez par vous procurer les sources du client ConfigMgr pour MAC à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=36212

Note : La version que vous récupérez doit correspondre à celui de l’infrastructure ConfigMgr.

Installez le MSI sur une machine pour récupérer le fichier DMG dans C:\Program Files (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client\

Il existe deux méthodes d’installation du client Mac :

• La première consiste à utiliser l’auto enregistrement du client et le déploiement automatique du certificat via l’autorité de certification Active Directory Certificate Services
• La seconde revient à déployer le certificat manuellement et à déléguer les droits nécessaires au client.

Méthode 1

Ouvrez un terminal et procédez à l'installation du client en utilisant sudo ./ccmsetup. Une fois l'installation terminée, ne redémarrez pas !

Naviguez dans le dossier Tools et exécutez la commande suivante : sudo ./CMEnroll -s <FQDN du serveur Enrollment Proxy Point> -ignorecertchainvalidation -u '<Domain\Utilisateur ayant les droits d'enregistrement sur le modèle de certificat>'. Entrez le mode de passe du compte utilisateur renseigné.

Note : Les apostrophes autour du nom d’utilisateur sont OBLIGATOIRES.

Redémarrez le client Mac. Ouvrez ensuite System Preferences et Configuration Manager. Vous devez voir la configuration du client. Enfin le client a pu apparaître dans le nœud Devices de la console d'administration.

Méthode 2

La seconde méthode vous demande de pré-déployer le certificat tout en l'enregistrant manuellement dans le magasin du client puis d'exécuter l'installation du client.

• Procédez à la demande et à l'installation du certificat sur le client Mac
• Ouvrez un terminal et exécutez la commande suivante : sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
• Une fenêtre s'ouvre, sélectionnez System dans la section Keychains et Keys dans la section Category
• Identifiez le certificat que vous avez installé et double-cliquez dessus. Sur l'onglet Access Control, et sélectionnez Confirm before allowing access.
• Naviguez dans le répertoire d'installation du client (/Library/Application Support/Microsoft/CCM) et sélectionnez l'exécutable CCMClient puis cliquez sur Add.
• Cliquez sur Save.
• Les sources d'installation des clients Mac ne sont pas livrées avec le produit. Récupérez-les sur le centre de téléchargement Microsoft. Décompressez le fichier dmg.
• Exécutez la commande suivante : sudo ./ccmsetup -MP <FQDN du Management Point> -SubjectName <Valeur de la propriété SubjectName du certificat>
• Une fois l'installation terminée, redémarrez le client Mac pour terminer la procédure.

Note : Lorsque le client est installé, vous pouvez initier la récupération d’une stratégie manuellement en cliquant sur le bouton Connect Now. Vous pouvez aussi retrouver l’heure de dernière connexion.

L’équipe documentation de System Center Configuration Manager a publié la documentation offline de System Center 2012 Configuration Manager (SCCM). Ces fichiers d’aide sont remis à jour en moyenne tous les 6 mois pour couvrir les nouveaux sujets ou les modifications. Cette version correspond aux dernières mises à jour appliquées au 1 février 2013. On retrouve plusieurs modes :

• Un fichier CHM qui met à jour sur le serveur SCCM ou installe sur une autre machine les fichiers d’aide.
• La documentation complète au format Docx
• La documentation complète au format PDF (recherche plus aisée)

Pour voir les avantages et inconvénients de chacun des supports, je vous invite à lire le blog post de l’équipe : http://blogs.technet.com/b/configmgrteam/archive/2012/05/25/announcing-downloadable-documentation-for-configuration-manager.aspx

Télécharger The Technical Documentation Download for System Center 2012 Configuration Manager

Microsoft a publié les outils de déploiement pour la version Click-to-Run d’Office 2013. Ces outils permettent la personnalisation et l’administration d’Office 2013 dans ce mode de déploiement. Vous pouvez :

• Télécharger les sources d’installation sur un emplacement réseau
• Configurer l’installation pour utiliser le partage réseau comme source au lieu d’Internet
• Configurer l’installation pour supprimer toute l’interface graphique
• Configurer la journalisation pour l’installation
• Configurer si Office doit être automatiquement mis à jour ou non
• Configurer quels produits et langues doivent être installés
• Supprimer des produits de la partie Click-to-Run

Télécharger Office Deployment Tool for Click-to-Run

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Préparation des prérequis d’infrastructure

L’infrastructure doit être préparée pour permettre l’accueil des ordinateurs Mac. Cette partie s’attachera à détailler le processus.

Prérequis des systèmes de site

Voici les prérequis nécessaires à l’installation des différents rôles de System Center 2012 Configuration Manager Service Pack 1 :

• Management Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • Application Development
    • ISAPI Extensions
  • Security
    • Windows Authentication
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • .NET Framework 4.0
    • BITS Server Extensions

• Device Management Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • ASP.NET (avec la nécessité de réenregistrer l’ASP.NET après l’installation du .NET 4 avec %windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe –i –enable)
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • .NET Framework 4.0
    • BITS Server Extensions

Concernant les certificats, le rôle Management Point et son sous rôle Device Management Point requièrent :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
• Le certificat utilisé pour la supervision du rôle :
  • Modèle Microsoft : Workstation Authentication
  • But : Client authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
  • Subjet Name ou Subject Alternative Name : doit contenir une valeur unique correspondant au FQDN de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
  • Longueur de clé maximum : 2048 bits

Note : Un Management Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

• Le Distribution Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • Application Development :
    • ISAPI Extensions
  • Security :
    • Windows Authentication
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • Remote Differential Compression

Note : Un Distribution Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

Pour les certificats, le rôle Distribution Point requiert :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
• Le certificat utilisé pour authentifier le point de distribution auprès d’un Management Point utilisant les communications HTTPS et pour authentifier les clients lors du processus de déploiement de système d’exploitation :
  • Modèle Microsoft : Workstation Authentication
  • But : Client authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
  • Subjet Name ou Subject Alternative Name : Pas de prérequis spécifique
  • Support des algorithmes de hachage : SHA-1, SHA-2
  • Longueur de clé maximum : 2048 bits

• L’Enrollment Point requiert
  • les fonctionnalités suivantes :
    • .NET Framework 3.5.1
    • .NET Framework 4.0
    • Toutes les versions : WCF Activation :
      • HTTP Activation
      • Non-HTTP Activation
  • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
    • Les services activés par défaut par le rôle
    • ASP.NET et les composants qui en dépendent
    • IIS 6 Management Compatibility
      • IIS 6 Metabase Compatibility

• L’Enrollment Proxy Point requiert :
  • Les fonctionnalités suivantes :
    • .NET Framework 3.5.1
    • .NET Framework 4.0
    • Toutes les versions : WCF Activation :
      • HTTP Activation
      • Non-HTTP Activation
  • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
    • Les services activés par défaut par le rôle
    • ASP.NET et les composants qui en dépendent
    • IIS 6 Management Compatibility
      • IIS 6 Metabase Compatibility

Concernant les certificats, les rôles Enrollment Point et Enrollment Proxy Point requièrent :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2

Vous trouverez plus d’information sur les prérequis logiciels sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg682077.aspx#BKMK_Win2k12SiteSystemPrereqs

Vous trouverez plus de détails sur les certificats requis sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg699362.aspx

Nous ne détaillerons pas leur installation et vous devez au préalable effectuer cette opération pour continuer la lecture de l’article.

Création des certificats pour les systèmes de site

Commencez par installer une autorité de certification (PKI) d’entreprise visant à délivrer les certificats nécessaires. Nous utiliserons la PKI Active Directory Certificate Services (AD CS) afin de bénéficier des fonctionnalités d’enregistrement des périphériques via les rôles Enrollment Point et Enrollment Proxy Point. Une fois installée, ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Vous pouvez commencer par retirer tous les modèles que vous n’utiliserez pas. Ceci constitue une bonne pratique visant à augmenter le niveau de sécurité de l’autorité.
Ensuite, cliquez droit sur le nœud Certificate Templates et sélectionnez Manage. Une deuxième console s’ouvre. Nous allons commencer par créer le modèle qui sera utilisé pour délivrer des certificats pour les systèmes de site utilisant le serveur web (IIS).

Nous utiliserons le modèle Web Server comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Si vous utilisez une autorité de certification sous Windows Server 2008 ou Windows Server 2008 R2, vous devez utiliser un modèle de type Windows Server 2003. System Center Configuration Manager ne supporte pas les modèles de certificat au nouveau format.

Ouvrez l’onglet général, commencez par donner un nom au modèle. Celui-ci permettra une identification plus aisée lors de la demande de certificat. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

Naviguez dans l’onglet Subject Name et validez sur l’option Supply in the request est sélectionnée.

Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les droits d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes ordinateurs des systèmes de site concernés et déléguer les droits Read et Enroll nécessaires à la demande de certificat.

Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

Nous pouvons passer à la demande de certificats sur le ou les systèmes de site qui hébergeront les rôles Management Point, Distribution Point, Enrollment Proxy Point et Enrollment Point. Sur le serveur, ouvrez la console MMC et ajoutez le composant Certificates pour la machine. Par la suite, cliquez droit sur le nœud Personal et sélectionnez All Tasks – Request a new certificate. Une fenêtre s’ouvre afin de procéder à la demande d’un certificat. Le modèle doit apparaître si le compte ordinateur de la machine est dans le groupe disposant des droits nécessaires. Notez qu’un redémarrage du serveur peut être nécessaire afin de renouveler son ticket Kerberos. Sélectionnez le modèle ConfigMgr Web Server Certificate. Des informations complémentaires sont nécessaires, cliquez sur l’avertissement pour les renseigner.

Dans l’onglet Subject, ajoutez un nom alternatif de type DNS comprenant le nom de domaine pleinement qualifié (FQDN) du système de site.

Cliquez ensuite sur Ok pour valider l’information. Une fois revenu sur la fenêtre d’enregistrement, cliquez sur Enroll. La demande doit être effectuée avec succès.

Le certificat apparaît ensuite dans le magasin Personal. Nous allons pouvoir l’associer au site Web IIS. Pour cela, ouvrez la console IIS Manager. Cliquez droit sur le site web qui sera utilisé (en général Default Web Site) et sélectionnez Edit Bindings… :

Ajoutez ou éditez le type https. Sélectionnez le certificat SSL que vous venez de délivrer. Le bouton View vous permettra de valider le certificat que vous avez choisi si le common name n’est pas explicite.

Cliquez sur Ok puis fermez la console IIS Manager.

Installation des systèmes de site

Nous pouvons maintenant procéder à l’installation du système de site et du rôle concerné. Ouvrez la console d’administration de System Center 2012 Configuration Manager. Dirigez-vous dans Administration – Servers and Site Systems Roles. Trois scénarios se présentent à vous :

• Vous installez un ou plusieurs systèmes de site accompagnés des rôles nécessaires.
• Vous ajoutez les rôles à un système de site existant. Pour celle méthode, vous devrez au préalable renseigner le nom de domaine internet sur le système de site existant.
• Vous éditez le rôle de système de site déjà installé pour activer la fonctionnalité HTTPS.

Nous détaillerons le premier scénario. Cliquez sur Create Site System Server. Cliquez sur Browse pour renseigner le serveur que vous utiliserez. Sélectionnez ensuite le site auquel vous souhaitez attacher le système. Cochez la case Specify an FQDN for this site system for use on the internet et entrez FQDN souhaité. Vous pouvez ensuite choisir si vous souhaitez utiliser le compte machine du serveur de site pour installer les composants nécessaires ou un compte dédié. Dans les deux cas, les comptes doivent être administrateurs locaux de la machine.

Cliquez sur Next.

A l’étape System Role Selection, choisissez les rôles que vous souhaitez installer : Enrollment Point, Enrollment proxy Point, Distribution Point, et Management Point. Pour simplifier l’article, j’ai choisi de regrouper les 4 rôles sur la même machine. Cela ne sera surement pas le cas dans votre environnement de production.

L’assistant commence par la configuration du point de distribution. La case Install and configure IIS if required by Configuration Manager permet l’installation automatique des prérequis nécessaires pour les systèmes d’exploitation supérieurs à Windows Server 2008 SP2.  Cochez ensuite HTTPS pour spécifier que les clients qui dialogueront avec ce Distribution Point le feront via ce protocole. Vous devez aussi autoriser à la fois les connexions qui proviennent Intranet ou d’Internet.
Enfin puisque votre Distribution Point sera dans un mode de connexion sécurisé, vous devez importer le certificat utilisé pour authentifier les clients lors du processus de déploiement de système d’exploitation.

Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

Nous ne détaillerons pas les écrans de configuration du point de distribution qui suivent. Nous vous rappelons tout de même d’associer le point de distribution à un groupe de limites afin que l’ordinateur Mac puisse accéder au contenu nécessaire. 

A l’étape Management Point, cochez la case HTTPS pour spécifier le type de communication du système de site. Sélectionnez ensuite Allow intranet and internet connections et cochez la case Allow mobile devices and Mac computers to use this management point. Ces deux options permettront d’assurer le support des ordinateurs Mac par le rôle Management Point.

Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

Passez le groupement Management Point Database si vous ne souhaitez pas configurer un réplica de base de données.

Sur l’écran Enrollment Point, Vous pouvez personnaliser le nom du site web (IIS) utilisé (celui-ci doit être créé manuellement au préalable), le port utilisé, et le nom de l’application virtuelle. Validez sur le protocole HTTPS est sélectionné. Choisissez ensuite d’utiliser le compte ordinateur du système de site ou un compte de service pour lire les informations dans la base de données.

Cliquez sur Next pour passer au groupement Enrollment Proxy Point. Sélectionnez le rôle Enrollment Point avec lequel le proxy dialoguera. Vous pouvez ensuite personnaliser le nom du site web (celui-ci doit être créé manuellement au préalable) et le port par défaut. Validez sur le protocole HTTPS est sélectionné.

Validez l’écran de résumé pour lancer l’installation. Fermez ensuite l’assistant.

Vous pouvez valider l’installation des rôles via les fichiers de journalisation suivants :

• Management Point : MPSetup.log
• Device Management Point : DMPSetup.log
• Enrollment Point : SMSENROLLSRVSetup.log et enrollsrvMSI.log
• Enrollment Proxy Point : SMSENROLLWEBSetup.log et enrollwebMSI.log

La partie Monitoring – System Status – Component Status vous permettra de valider l’état de chacun des composants.

Modification des communications clientes

Cette partie ne constitue pas un élément obligatoire pour la gestion des ordinateurs Mac. Néanmoins, nous avons choisi de l’inclure car elle permettra la gestion des clients Windows via le protocole HTTPS.

Ouvrez la console d’administration, naviguez dans Administration – Overview – Site Configuration – Sites. Ouvrez les propriétés du site et l’onglet Client Computer Communication. L’option HTTPS Only force le site à n’accepter que les communications HTTPs. Cette option est à activer avec délicatesse pour ne pas isoler des clients qui ne seraient pas compatibles. La case Use PKI client certificate (client authentication capability) when availability permet d’autoriser le client à utiliser un certificat d’entreprise s’il a été déployé. Le bouton Modify permet de modifier les options de sélection du certificat client. Le paramètre Clients check the certificate revocation list (CRL) for site systems permet de forcer le client à vérifier la liste de révocation des certificats pour éviter de dialoguer avec des certificats qui auraient été volés. La partie Trusted Root Certificiation Authorities permet la sélectionne de l’autorité de certification racine utilisée par System Center Configuration Manager.

Note : Cet imprime écran est donné à titre indicatif.

Les administrateurs ConfigMgr 2012 vont être comblés. Microsoft adopte une stratégie complétement différentes pour la supervision de ConfigMgr que celle qui avait été mise en place avec SCCM 2007. La précédente version était une version convertie qui n’a jamais été revue. L’équipe ConfigMgr propose une mise à jour (5.00.7804.1) du pack de supervision ou Monitoring Pack pour System Center 2012 Configuration Manager SP1. Cette version supporte à la fois System Center Operations Manager 2007 R2 ou System Center 2012 Operations Manager.

Il dispose des fonctionnalités suivantes :

• La supervision de la disponibilité des rôles de serveur
• La supervision de l’état de santé des services clés
• La supervision de l’état santé de la réplication SQL intersites
• La collection et la supervision des compteurs de performances des serveurs ConfigMgr
• Un diagramme topologique de la hiérarchie de site ConfigMgr
• Des rapports montrant l’état de disponibilité et les performances des serveurs ConfigMgr
• Supervision de l’état des alertes dans ConfigMgr

Voici le détail :

En outre, vous devez activer le mode proxy sur les agents des machines ConfigMgr 2012 supervisées. Pour plus d'information sur les classes, règles et moniteurs par rôle, vous pouvez lire la documentation et l'appendix.

Télécharger System Center Monitoring Pack for System Center 2012 SP1– Configuration Manager

Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS sur Microsoft Message Queuing Services (MSMQ) 2012. Ce Management Pack n’est supporté que sur System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center 2012 Monitoring Pack for Message Queuing

Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS  sur Windows Server 2012. Ce Management Pack est supporté sur System Center Operations Manager 2007 R2 et System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Le Management Pack apporte la supervision des éléments suivants :

• L’état de santé du client inclut l’installation des mises à jour, l’agent Windows Update, l’inventaire des clients, la mise à jour automatique des clients, les clients qui ne se rapportent pas
• L’état de santé du produit avec les permissions sur le répertoire de contenu, l’espace disque, la synchronisation du catalogue, la synchronisation du contenu, le service WSUS, et la notification d’e-mail
• L’état de santé de la base de données SQL
• L’état de santé des Web Services

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center Management Pack for WSUS on Windows Server 2012

Microsoft vient de publier le Patch Tuesday pour le mois de février 2013. Il comporte 12 bulletins de sécurité, dont cinq qualifiés de critique. Il corrige des vulnérabilités sur Windows, .NET Framework, Internet Explorer, et FAST Search.

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

System Center 2012 Configuration Manager se voit octroyer de nouvelles capacités avec l’arrivée du Service Pack 1. Ce produit fait partie de la gamme de gestion de l’infrastructure System Center de Microsoft. Il permet la gestion du cycle de vie des ressources (postes de travail, serveurs, périphériques mobiles…) de l’entreprise. On retrouve notamment la possibilité de déployer des systèmes d’exploitation, des logiciels, des mises à jour logiciels, de prendre le contrôle à distance, d’inventorier le matériel et les logiciels, ou encore de vérifier la conformité de la ressource. Cette nouvelle version ouvre notamment la voie à l’interopérabilité vers des systèmes d’exploitation qui n’étaient jusqu’alors pas couverts. Cette série d’articles visera à présenter et couvrir l’implémentation et les possibilités offertes pour chacun des systèmes. Nous commencerons ainsi par les systèmes Mac OS. L’introduction de ce système était attendue par nombre d’entreprises qui ne possédaient pas de solution d’administration pour ces périphériques. Qui n’a pas rencontré des infographistes ou des VIPs qui ont fait des pieds et des mains pour obtenir cette exception. Ce phénomène va s’accentuer lorsque les entreprises prendront le pas de la consumérisation (BYOD), laissant ainsi aux utilisateurs le choix de son outil de travail.

Cette première version apporte les fonctionnalités suivantes :

• Découverte des périphériques Mac OS joints à l’annuaire Active Directory ou présents sur le réseau
• Inventaire Matériel
• Inventaire des logiciels au travers de l’inventaire matériel et des classes Add/Remove Programs. Il n’existe pour pas d’inventaire logiciel analysant le disque pour rechercher des fichiers (exécutables par exemple) comme celui présent sur les clients Windows.
• Déploiement d’applications via le nouveau modèle introduit avec ConfigMgr 2012
• Gestion de la conformité et des paramétrages
• La protection antivirale avec System Center 2012 Endpoint Protection

Microsoft a pour objectif d’enrichir la liste des fonctionnalités au gré des versions pour atteindre un niveau similaire à celui proposé pour les clients Windows.

System Center 2012 Configuration Manager Service Pack 1 supporte les versions suivantes de Mac OS X :

• Snow Leopard (10.6)
•  Lion (10.7)

La version 10.8 n’est toujours pas supportée mais devrait l’être prochainement.

System Center 2012 EndPoint Protection Service Pack 1 supporte les versions suivantes de Mac OS X :

• Snow Leopard (10.6)
• Lion (10.7)
• Mountain Lion (10.8)

Fonctionnement

La gestion des ordinateurs Mac reprend le concept introduit pour la gestion native des périphériques mobiles. Ainsi, un client spécifique est installé sur l’ordinateur et permet le dialogue avec le Device Management Point, sous composant du rôle de système de site Management Point. Le client l’interroge pour obtenir les stratégies pouvant inclure :

• Les paramètres à appliquer sur le client ConfigMgr
• Les déploiements d’applications qui ciblent la machine
• Les lignes de base que le client doit valider

Le client peut renvoyer des informations à ce rôle pour informer l’infrastructure sur :

• L’état des déploiements exécutés
• Le résultat des lignes de base
• Les messages d’état divers et variés
• Le résultat de l’inventaire matériel

Le Device Management Point est indispensable à la gestion des ordinateurs Mac. En outre, le client peut être amené à dialoguer avec un Distribution Point pour récupérer les sources nécessaires à l’installation des applications qui lui sont déployées.

Toutes les communications entre le client Mac et l’infrastructure sont chiffrées et authentifiées via l’utilisation de certificats et du protocole HTTPS.

Enfin, on retrouve les rôles de système de site Enrollment Point et Enrollment Proxy Point qui servent à l’enregistrement des clients auprès de l’infrastructure ConfigMgr. Il facilite notamment le déploiement des certificats nécessaires à la communication du client avec son Device Management Point. Ces rôles ne sont pas obligatoires à l’administration de ces périphériques. Ils évitent néanmoins des opérations manuelles nécessaires au déploiement du certificat d’entreprise.

Cet article détaillera la mise en œuvre de tous ces rôles.

Microsoft vient de publier une mise à jour 2.0.1000.0 de Package Conversion Manager 2.0 pour System Center 2012 Configuration Manager Service Pack 1 (SP1). Cette mise à jour permet la correction du bug rencontré lorsque la console d’administration n’est pas installée dans le chemin par défaut. Package Conversion Manager est un outil développé par Microsoft afin transformer et migrer automatiquement les packages et programmes de System Center Configuration Manager 2007 vers le nouveau modèle d’applications de System Center 2012 Configuration Manager. Cette version contient un tableau de bord des conversions.

Télécharger System Center 2012 SP1 Configuration Manager Package Conversion Manager 2.0

Comme chaque année, Microsoft organise le Microsoft Management Summit (MMS). Pour l’année 2013, celui-ci aura lieu au Mandalay Bay à Las Vegas du 8 au 12 Avril 2012. Aujourd'hui Microsoft vient d'ouvrir le catalogue de sessions. Pour rappel, le MMS est l’événement de référence en ce qui concerne les produits de la gamme System Center de Microsoft. Au programme de cet événement :

• System Center 2012 Configuration Manager Service Pack 1
• System Center 2012 Data Protection Manager Service Pack 1
• System Center 2012 Operations Manager Service Pack 1
• System Center 2012 Service Manager Service Pack 1
• System Center 2012 Virtual Machine Manager Service Pack 1
• System Center 2012 Orchestrator Service Pack 1
• System Center 2012 Application Controller Service Pack 1
• System Center 2012 Service Provider Foundation
• System Center Advisor
• Windows Intune
• Microsoft Desktop Optimization Pack

Microsoft a étendu la période d’Early Birds pour l’événement et permet d’avoir des tarifs préférentiels.

Je vous laisse consulter le site de l’événement pour obtenir plus d’information et vous inscrire à la newsletter de notification : http://www.2013mms.com/register

Microsoft vient de publier la version 2 de son outil Microsoft Baseline Configuration Analyser (MBCA) pour Windows 8 et Windows Server 2012. Cet outil permet de valider les paramètres de configuration selon les critères définis par Microsoft. Il permet donc de vérifier la configuration système pour éviter d’éventuels dysfonctionnements.

Les prérequis suivants sont nécessaires :

• Systèmes d’exploitation supportés: Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 8, Windows Server 2003, Windows Server 2003 R2 (32-Bit x86), Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate
• Windows PowerShell 2.0
• .NET Framework 2.0

MBCA est disponible en version 32 et 64 bits. Un guide d’utilisation est aussi fourni.

Télécharger Microsoft Baseline Configuration Analyzer 2.0

Microsoft vient de publier une Prerelease de Microsoft Security Essentials 4.2. Cette nouvelle mouture a le noyau commun à System Center 2012 EndPoint Protection, Windows Intune EndPoint Protection et Windows Azure EndPoint Protection.

Télécharger Microsoft Security Essentials  4.2.216.0

Arnab Biswas [MSFT] a publié une procédure détaillant comment séquencer l’application Visual Studio 2012 avec Application Virtualization 4.6 SP2 (App-V).

Plus d’information sur : http://social.technet.microsoft.com/Forums/en-US/prescriptiveguidance/thread/7e93e525-31ed-43fc-8415-88a12766d2c2

L’équipe Service Manager a publié un billet pour annoncer que le connecteur Exchange sera prochainement supporté sur System Center 2012 Service Manager (SCSM) Service Pack 1. Ce support sera natif avec l’application de l’Update Rollup 2 qui devrait arriver début avril.

Source : http://blogs.technet.com/b/servicemanager/archive/2013/02/07/update-on-exchange-connector.aspx

Microsoft a mis à jour les clients System Center 2012 Configuration Manager Service Pack 1 (SCCM) pour les systèmes Unix et Linux. Cette mise à jour fait suite à un problème lorsque le client est ciblé par des stratégies concernant l’inventaire logiciel. Dans ce cas de figure, le client ne procède pas à une demande de stratégie et l’activité du client passe en inactif.

Vous pouvez observer le message d’erreur suivant dans le fichier Scxcm.log :

ATTEMPT TO EXECUTE A FILE SYSTEM INVENTORY CYCLE HAS BEEN TRAPPED

Le client Unix ne supporte pas l’inventaire logiciel et dans sa version précédente engendre cet effet de bord.

Pour résoudre le problème, téléchargez et réinstallez le client Unix/Linux : Microsoft System Center 2012 Service Pack 1 Configuration Manager - Clients for Additional Operating Systems

Source : Error message when the UNIX/Linux client for System Center 2012 Configuration Manager SP1 is targeted with Software Inventory policies

Microsoft a créé un page Technet Wiki pour System Center Service Manager et plus particulièrement les composants Data Warehouse et Reporting.

On retrouve des liens vers des ressources sur :

• L’architecture du Data Warehouse
• L’administration du Data Warehouse
• Etendre le Data Warehouse
• Créer des rapports
• Utiliser les rapports

La page à retenir : http://social.technet.microsoft.com/wiki/contents/articles/15608.system-center-service-manager-data-warehouse-and-reporting.aspx

Avec la toujours plus grande complexité des composants d’architecture, Microsoft a pour habitude de publier des posters récapitulant les différents concepts et leur fonctionnement. Ainsi, on retrouve aujourd’hui une trois de composants pour Hyper-V sur Windows Server 2012.

Pour le télécharger rendez-vous sur : Windows Server 2012 Hyper-V Component Architecture Poster and Companion References

Microsoft vient d’annoncer la résolution de problèmes de synchronisation d’Asset Intelligence sur des sites System Center 2012 Configuration Manager Service Pack 1. Ceci survenait lorsque le site avait été mis à jour depuis la version RTM. Vous pouviez observer l’erreur suivante dans le fichier AIUpdateSvc.log :

Error InternalError during download, watermark returned

Microsoft a identifié la cause et corrigé le problème le 4 février 2013. Aucune action n’est requise de votre part et le problème devrait se résoudre à la prochaine synchronisation.

Savision vient d’annoncer une solution de Microsoft à un bug rencontré sur Live Maps et son intégration avec System Center 2012 Service Manager Service Pack 1 (SCSM). Le Service Pack 1 du produit provoque un bug dans la synchronisation des cartes et des tableaux de bord en empêchant l’association du contexte métier avec les incidents et les demandes de changement.

Pour le résoudre, consultez la section PowerShell Tasks Created with the Authoring Tool Do Not Work Properly de la Release Note.

Microsoft vient d’annoncer le TechEd Europe 2013. Il aura lieu du 25 au 28 juin 2013 à Madrid. Cet événement Micorosft est le plus important en Europe et traite de sujet pour les ITs et les développeurs. On devrait y voir des sessions autour de Windows 8, Windows Server 2012, et System Center 2012 SP1.

L’inscription commence le 12 février : http://www.msteched.com/   

Lorsque vous gérez plusieurs clusters par Data Protection Manager 2012, vous devez lancer le script DSConfig.ps1 sur chacun des nœuds du cluster pour enrichir la configuration (DataSources.xml) du serveur DPM.  Cette opération doit être répétée à chaque ajout d’une machine virtuelle au cluster. Microsoft vient de publier un outil permettant de sérialiser/fusionner automatiquement. Le but est de lancer l’outil de manière périodique sur le serveur DPM pour retirer les opérations manuelles.

Pour plus d’infos, lisez les instructions.

Télécharger System Center Data Protection Manager CSV Serialization Tool

Rebelote ! Les fabricants de matériel vont changer la taille des secteurs de disque dans les prochains mois. Les disques vont donc peu à peu passer du format Advanced (512-byte) au 4K native (4 Kbytes). Ceci a un impact certain sur les systèmes d’exploitation qui doivent prendre en compte ce changement pour optimiser l’utilisation du disque. Cela avait été le même scénario il y a plus d’un an lors du passage au format Advanced. Dans l’absolu ceci engendre des performances réduites du système d’exploitation.

Voici la matrice de compatibilité :

Voici l’article dans la base de connaissances qui parle de ce sujet : http://support.microsoft.com/kb/2510009

Microsoft vient de préciser la fin du support de l’outil System Center Configuration Manager P2V Migration Toolkit for ConfigMgr. Celui-ci court jusqu’au 12 juillet 2013. P2V Migration : permet de faire de la migration P2V de serveurs SCCM 2007. Le but est de faciliter la migration des serveurs de site SCCM 2007 sur les sites distants ne disposant pas d’infrastructure pour opérer une migration Side-by-side. Ces sites sont souvent soumis à une limitation de la bande passante restreignant les différentes opérations de migration.

La méthode est simple :

• P2V de la machine disposant du serveur de site SCCM
• Ré-Installation du serveur sous Windows Server 2008 R2
• Installation du rôle Hyper-V
• Import de la machine virtuelle SCCM 2007
• Vous pouvez ensuite créer une machine virtuelle qui recevra le nouveau site SCCM 2012 et opérer la migration

Les prérequis sont les suivants :

• Processeur 64 bit
• BIOS supportant la virtualisation assistée par Matériel et Data Execution Prevention

Télécharger l’outil dans System Center 2012 – Configuration Manager Component Add-ons and Extensions