Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Avec l’arrivée de System Center 2012 Configuration Manager, Microsoft a misé sur l’utilisateur. C’est ainsi que des systèmes ont été mis en place pour déployer des applications, des lignes de base de conformité sur l’utilisateur et non plus en ciblant la machine. Ce choix stratégique est à l’origine d’un changement dans les habitudes des usagers des systèmes d’information. L’entreprise s’emploie à donner tous les outils nécessaires pour que l’utilisateur final puisse travailler. Il n’est ainsi pas rare de voir des utilisateurs avec deux ou trois périphériques (ordinateur portable, smartphone, tablette…). Le but est ainsi d’offrir le même service à travers tous ces périphériques. En outre, certains profils peuvent se connecter sur plusieurs machines même si celles-ci ne sont pas leur périphérique principal. On peut notamment penser aux administrateurs ou aux équipes du support informatique. Avec System Center Configuration Manager 2007, il était déjà possible de créer des publications ciblant les utilisateurs mais le produit n’intégrait pas de mécanismes permettant de limiter le déploiement à se machine principale. Ainsi tant que l’utilisateur se connectait à un seul périphérique tout allait bien par contre dès lors qu’il se connectait sur une autre machine, l’ensemble des publications le suivaient sans aucun mécanisme intégré permettant d’éviter ce scénario. C’est ainsi que Microsoft a introduit l’affinité périphérique utilisateur ou User Device Affinity (UDA). Le système peut donc prendre en compte l’association d’un périphérique et d’une machine pour déployer une application.

Concernant les caractéristiques, les scénarios suivants sont possibles :

  • Un utilisateur peut avoir plusieurs périphériques principaux
  • Un périphérique peut être le périphérique principal de plusieurs utilisateurs

 

L’affinité périphérique utilisateur peut être créée de différentes façons :

  • Manuellement par l’utilisateur au travers du portail d’applications. Cette option est disponible dans l’onglet My Systems L’utilisateur peut cocher la case I regularly use this computer to do my work si l’administrateur a créé une stratégie utilisateur lui laissant définir ses périphériques utilisateurs.
  • Défini par l’administrateur : L’administrateur peut éditer les périphériques principaux d’un utilisateur par le biais de la console d’administration. Il peut aussi faire de l’import en masse avec l’option Import User Device Affinity où il pourra charger un fichier CSV pour créer toutes les associations
  • Automatiquement par le système : Cette option permet de laisser Configuration Manager 2012 déterminer le périphérique principal d’un utilisateur. Pour cela, l’administrateur doit avoir configuré l’option et ses conditions par le biais d’une stratégie User and Device Affinity.
    Vous devez y spécifier les options suivantes :
    • User device affinity threshold (minutes) : définit le nombre de minutes d’utilisation pour un utilisateur pendant l’intervalle de jour ci-dessous.
    • User device affinity threshold (days) : donne l’intervalle Durant lequel le nombre de minutes d’utilisation est determiné pour créer l’affinité.

Note : Vous devez spécifier une valeur supérieure à 7 jours pour éviter la suppression des affinités périphériques utilisateurs lorsque l’utilisateur ne se connecte pas pendant une semaine. La valeur par défaut demande 48 heures de travail continu de la part de l’utilisateur sur 30 jours d’utilisation.

    • Automatically configure user device affinity from usage data pour créer automatiquement les associations.

Note : Cette option ajoute des associations mais peut aussi les retirer lorsqu’elles ne sont plus d’actualité.

Une fois la stratégie reçue par le client ConfigMgr, celui-ci va utiliser les stratégies locales de sécurité et notamment :

  • Les événements d’audit de connexion des comptes
  • Les évènements d’audit de connexion

 

Attention : Ces deux options doivent être activées indépendamment de l’infrastructure ConfigMgr sur chacun des clients pour pouvoir créer les affinités automatiquement. Le système d’exploitation Windows XP ne dispose pas de ces stratégies activées par défaut. Vous pouvez pour cela utiliser des stratégies de groupe (GPO).

Une fois l’affinité créé, celle-ci peut être utilisée au travers du nouveau modèle d’Application (il n’est pas possible d’utiliser les packages). Ce nouveau modèle intègre des mécanismes comme :

  • Les méthodes de détection permettant notamment de détecter si l’application est déjà présente sur le système. Ceci évite de lancer le déploiement d’une application déjà installée. Avec ConfigMgr 2007, les administrateurs utilisaient des collections avec règles d’appartenance dynamiques basées sur l’inventaire machine. Certaines publications pouvaient s’exécuter bien que l’application soit présente et ce parce que l’inventaire n’avait pas encore été relancé sur la machine en question.
  • Les prérequis permettant d’associer un type de déploiement à un scénario spécifique. Vous pouvez par exemple valider que la machine cible dispose bien d’un niveau de mémoire vive suffisant ou bien d’une langue de système d’exploitation compatible avec l’application déployée. Vous pouvez aussi valider que l’utilisateur cible du déploiement est bien le périphérique principal de la machine. En outre, vous pouvez personnaliser ces prérequis par le biais de conditions globales.
  • Les dépendances permettent de créer d’associer une autre application pour qu’elle devienne une dépendance de l’application déployée.

 

 

Facebook Like