Table des matières
- Introduction
- Fonctionnement
- Préparation des prérequis d’infrastructure
- Préparation des prérequis clients
- Aperçu des fonctionnalités
- Dépannage du client ConfigMgr pour Mac
- La protection antivirale avec EndPoint Protection 2012
- Conclusion
Télécharger la version PDF (disponible prochainement)
Aperçu des fonctionnalités
Dans cette partie, je vous propose un aperçu des capacités offertes par cette version du client ConfigMgr pour les ordinateurs Mac. Ceux-ci s’intègrent parfaitement à l’administration des ressources en proposant :
- L’inventaire matériel et logiciels
- Le déploiement d’applications avec le nouveau modèle
- La gestion de conformité
Inventaire matériel et logiciels
Lorsque le client se connecte pour récupérer ses stratégies, il procède à l’évaluation de l’inventaire de la machine. Le but est de remonter des informations similaires à celle que l’on peut trouver avec le client Windows. Vous pouvez exploiter l’inventaire individuellement via l’explorateur de ressources ou les rapports.
- Ouvrez la console d’administration et naviguez dans Assets and Compliance – Overview – Devices
- Sélectionnez l’ordinateur Mac puis faites Start – Resource Explorer
- L’explorateur de ressource s’ouvre et vous permet de naviguez dans les différentes classes. Voici les classes inventoriées sur le Mac à ma disposition : CDROM Drive, Computer System, Desktop Monitor, Device Information, Disk Drives, Disk Partitions, Installed Applications, Mobile Device Computer System, Network Adapter, Operating System, Physical Memory, Processor, Services, System, USB Controller, USB Device, Video Controller, Workstation Status.
Déploiement d’applications
Les ordinateurs Mac s’intègre pleinement au modèle d’applications apporté par System Center 2012 Configuration Manager. Il est ainsi possible de créer une application qui propose des types de déploiement pour les clients Windows via le client lourd ou une bulle App-V, pour les ordinateurs Mac, etc… Cette implémentation a néanmoins quelques limitations :
- Le déploiement d’applications Mac sur des utilisateurs n’est pas supporté. Vous devez donc cibler les périphériques.
- Il n’est pas possible de déployer les applications en les rendant « disponibles » (Available).
- L’utilisation du Wake-On-Lan via l’envoie de paquets de réveil n’est pas supporté.
- Les ordinateurs Mac ne supportent pas l’utilisation de Background Intelligent Transfer Service (BITS) pour télécharger le contenu. Ainsi lorsque le téléchargement échoue, celui-ci recommence à zéro.
- Les conditions globales ne sont pas supportées lorsque vous utilisez un type de déploiement pour des applications Mac.
Voici le processus global :
- Microsoft ne supporte pas le déploiement de fichiers DMG, APP, PKG, ou MPKG, vous devez donc créer un package CMMac (format propriétaire Microsoft) à partir d’une machine de référence. Ceci permettra de créer le package avec les méthodes de détection et les lignes de commande nécessaires.
- Vous pouvez ensuite déployer l’application sur les machines concernées.
Préparation du package CMAPP
Commencez par vous procurer les sources d’installation de l’application que vous souhaitez déployer. J’ai choisi de déployer Office 2011 for Mac SP2 et l’utilitaire VLC. Récupérez ensuite l’outil CMAppUtil présent dans le dossier Tools des sources du client ConfigMgr pour Mac. Ouvrez ensuite un Terminal et naviguez vers l’outil CMAppUtil. Voici les paramètres disponibles avec l’outil :
- -h : donne accès à l’aide
- -r : Crée un fichier detection.xml à partir du fichier CMMac donnant les paramètres de détection inclus dans le package.
- -c <fichier source> : permet la conversion du fichier d’installation (App, pkg, mpkg, dmg)
- -o <fichier en sortie> : doit être utilisé avec le paramètre –c pour spécifier un fichier CMMac de sortie
- -a doit être utilisé avec l’option –c et les fichiers .DMG pour créer les fichiers CMMac pour toutes les applications et packages trouvés dans le fichier DMG
- -s passe la génération du fichier detection.xml si aucun paramètre de détection est créé et permet de forcer la génération du fichier CMMac sans la partie méthode de détection. En temps normal si aucune méthode de détection n’est trouvée, la génération échoue.
- -v active le mode verbeux de l’outil
Vous devez utiliser l’outil avec la forme suivante : ./CMAppUtil –c <fichier dmg> -o <répertoire de sortie> -a
Par exemple, voici les lignes de commande utilisées :
- ./CMAppUtil –c vlc-2.0.5.dmg –o ./ -a
- ./CMAppUtil –c ./en_office_for_mac_2011_home_and_business_2011_with_service_pack_2_838477.dmg –o ./ -a
Création de l’application
Une fois vos fichiers crées, déposez-les dans votre répertoire de sources :
Ouvrez la console d’administration de Configuration Manager 2012. Naviguez dans l’arborescence Software Library – Overview – Application Management – Applications. Cliquez sur Create Application. Une fois l’assistant ouvert, vérifiez que la case Automatically detect information about this application from installation files est cochée. Sélectionnez le type Mac OS X et renseignez l’emplacement du package CMMac :
Validez les informations d’import et passez à l’écran General Information. Validez et complétez les informations à propos de l’application puis cliquez sur Next.
Une fois l’import terminé, cliquez sur Close.
En éditant les propriétés du type de déploiement, on peut observer la ligne de commande et les méthodes de détection utilisées :
Distribution de l’application sur les points de distribution
Une fois l’application créée dans Configuration Manager, vous devez la distribution sur les points de distribution afin que les clients puissent la récupérer lorsqu’ils recevront l’application. Sélectionnez l’application précédemment créée, et cliquez sur Distribute Content.
Vérifiez les informations de l’écran Content.
Sur l’écran Content Destination, ajoutez le groupe de points de distribution ou le point de distribution souhaité.
Note : Vous devez déployer le contenu sur un point de distribution servant des clients Internet.
Passez l’écran Summary et Completion pour lancer l’opération. Après quelques minutes, vérifiez l’état de distribution du contenu dans la partie Monitoring.
Déploiement de l’application sur les ordinateurs Mac
Commencez par créer une collection de périphériques avec les ordinateurs Mac souhaités.
Rappel : Il n’est pas possible d’utiliser un déploiement tourné utilisateur pour les ordinateurs Mac.
Je vous conseille de préfixer vos collections par un code spécifiant ce pour quoi elles sont utilisées (Exemple : SWD Devices Office 2011 for Mac) Vous pouvez utiliser des règles d’appartenance ou des requêtes selon vos critères. Voici une requête qui vous permettra de sélectionner les ordinateurs Mac uniquement :
Select SMS_R_System.ClientEdition from SMS_R_System where SMS_R_System.ClientEdition = 5
Une fois la collection créée et correctement peuplée, retournez dans la partie Software Library – Overview – Application Management – Applications. Sélectionnez votre application et cliquez sur Deploy. L’assistant de déploiement s’ouvre. Spécifiez la collection de périphériques cibles :
A l’étape Content, Validez que l’application a bien été distribuée aux points de distribution servant des clients Internet et des périphériques mobiles.
Sur le groupe Deployment Settings, sélectionnez les options suivantes
- Action : Install
- Purpose : Required
L’option Available ne peut être utilisée sur des ordinateurs Mac - Les trois options pour le wake-up packets, le pré déploiement sur les périphériques principaux des utilisateurs et sur les connexions taxées ne sont pas applicables aux ordinateurs Mac.
Sur la page Scheduling, configurez la planification du déploiement. Ces options régissent à partir de quand vous rendez l’application disponible et à quelle date l’application devient obligatoire et s’installera automatiquement.
Sur l’écran User Experience, choisissez si l’utilisateur doit voir des notifications de ce déploiement.
A l’étape suivante, spécifiez les options de création d’alerte vis-à-vis d’un seuil de déploiement. Les options liées à System Center Operations Manager ne s’appliquent pas aux ordinateurs Mac.
Enfin, validez l’écran de résumé et fermez l’assistant.
Sur le client, une fois que celui-ci exécutera une synchronisation avec son Device Management Point et si le déploiement est dans l’intervalle de disponibilité adéquat, vous pouvez voir afficher une fenêtre comme celle-ci :
L’installation d’Office 2011 se lance :
Une fois terminé, les applications sont disponibles dans la partie Applications de vos ordinateurs Mac.
Gestion de la conformité
Outre les fonctionnalités d’inventaire et de déploiement d’applications, le client ConfigMgr pour Mac permet la vérification de la conformité. Cette partie s’attachera à détailler comment vérifier des paramètres sur un ordinateur Mac. Mac OS X stocke les paramètres dans des fichiers appelé Property List (plist). On trouve ces fichiers dans /System/Library ou /Library. Vous pouvez ensuite les éditer avec un outil comme plist Editor for Windows.
Au sens System Center Configuration Manager, la gestion de conformité est constituée des éléments suivants :
- Des objets de configuration (Configuration Items) : Ceux-ci représentent les paramètres que vous allez vérifier. On y retrouve la méthode utilisée (script, registre, pslist…) et les informations nécessaires à son évaluation (clé de registre…). Il inclut aussi des règles de conformité qui permettront de retourner le résultat de l’évaluation.
- Des lignes de base (Baselines) qui équivalent à un contrat de conformité. Celles-ci rassemblent des objets de configuration. Le résultat donnera l’état de conformité global du client vis-à-vis du contrat.
Il existe tout de même certaines limitations :
- Vous ne pouvez pas déployer une baseline sur des utilisateurs
- Vous ne pouvez pas vérifier des paramètres touchant les utilisateurs
- Vous ne pouvez pas vérifier des valeurs contenues dans un tableau de dictionnaire (balise <array>)
Création des objets de configuration
Nous allons commencer par créer plusieurs objets de configuration dans le but de vérifier :
- AlertsUseMainDevice pour valider que les sons système n’utilisent pas le périphérique audio principal
- ActivePowerProfiles pour vérifier que le profil AC Power est utilisé sur le système d’exploitation
- Dirigez-vous dans la console d’administration à travers l’arborescence Asset and Compliance – Compliance Settings – Configuration Items.
- Procédez à la création d’un objet de configuration que vous nommerez comme souhaité. Sélectionnez le type Mac OS.
- Sur l’écran suivant, choisissez les plateformes Mac OS sur lesquels vous souhaitez appliquer l’objet de configuration.
- Sur la page Settings, ajoutez un objet de configuration :
- Nommez-le
- Choisissez le Setting type souhaité parmi Script etMac OS X Preferences.
- Choisissez le type de donnée vérifié (Integer)
- Si vous avez choisi de valider un paramètre de préférence, sélectionnez l’Application ID et la clé concernée (Exemple : com.apple.soundpref et AlertsUseMainDevice)
- Ouvrez l’onglet Compliance Ruleset ajoutez une règle supplémentaire :
- Nommez-la
- Choisissez le type de règle parmi : Existencial et Value.
- En fonction du type de règle, spécifiez la condition
- Décidez si la condition doit rapporter un état de nom conformité lorsque l’instance du paramétrage n’est pas présente.
- Finalement, sélectionnez le niveau de sévérité (Critical, Error, Warning ou Information) renvoyé en cas de non-conformité.
Note : Il n’est pas possible de remédier les paramétrages.
- Ajoutez autant de condition que nécessaire
- Sur l’assistant, passez l’état Compliance Rules si vous les avez déjà renseignées préalablement.
- Passez l’écran de résumé et fermez l’assistant
Ajoutez autant d’objets de configuration que nécessaire. Voici des exemples de configuration :
Création d’une ligne de base de configuration
Une fois les objets de configuration créés, vous devez créer une baseline.
- Toujours dans la console d’administration, naviguez dans Asset and Compliance – Compliance Settings – Configuration Baselines.
- Sélectionnez Create Configuration Baseline.
- Nommez votre baseline et ajoute les objets de configurations ou d’éventuelles lignes de base à évaluer :
- Cliquez sur OK pour valider sa création
Déployer la ligne de base
Commencez par créer une collection de périphériques avec les ordinateurs Mac souhaités. Je vous conseille de préfixer vos collections par un code spécifiant ce pour quoi elles sont utilisées (Exemple : DCM Devices WindowsTouch Compliancy) Vous pouvez utiliser des règles d’appartenance ou des requêtes selon vos critères. Voici une requête qui vous permettra de sélectionner les ordinateurs Mac uniquement :
Select SMS_R_System.ClientEdition from SMS_R_System where SMS_R_System.ClientEdition = 5
Une fois la collection créée et correctement peuplée, retournez dans la partie Asset and Compliance – Compliance Settings – Configuration Baselines. Sélectionnez votre baseline et cliquez sur Deploy. L’assistant de déploiement s’ouvre Vous devez spécifier :
- La collection de périphériques cibles.
- La programmation à laquelle les postes vont évaluer la baseline
- Si vous souhaitez générer une alerte lorsque le niveau de conformité est en dessous d’un seuil.
Une fois déployée et lorsque les clients l’ont évalué, vous pouvez observer l’état de conformité au travers des rapports et par la console d’administration. Pour cela, naviguez dans Monitoring – Overview – Deployments. Puis sélectionnez le déploiement concerné.
Vous pouvez obtenir plus de détails en cliquant sur View Status. Cette vue vous donnera notamment les objets de configuration en échec pour les machines non conformes.
Les rapports sont quant à eux disponibles dans Monitoring – Overview – Reporting – Reports – Compliance and Setting Management.