Un des bénéfices de System Center 2012 Configuration Manager (SCCM) est de permettre l’injection de mise à jour dans une image d’installation de système d’exploitation. Cette fonctionnalité permet de maintenir l’image sans pour autant recapturer entièrement le système d’exploitation. L’équipe ConfigMgr a publié un correctif permettant de résoudre un problème avec ConfigMgr 2012 SP1 et les mises à jour s’appliquant à Windows Server 2012. En effet, l’assistant peut ne pas lister le contenu pour Windows Server 2012. Ceci provient d’une référence incorrecte à Windows Server 2012 dans la base de données de site.

Pour corriger le problème, rendez-vous sur : KB 2793237 The Schedule Updates Wizard does not list content for Windows Server 2012 in System Center 2012 Configuration Manager Service Pack 1

Qui ne connait pas Network Monitor développé initialement par SysInternals ? Cet outil s’apparente à un Ethereal ou Wireshark et se trouve aujourd’hui un successeur appelé Microsoft Message Analyzer. Celui-ci est disponible en bêta 2 et permet de capturer et analyser le réseau. Cette nouvelle version permet de comparer cette capture aux événements qui apparaissent dans le journal d’événements Windows.  La sortie est prévue pour mi 2013.

Ce nouvel outil se voit attribuer un blog : http://blogs.technet.com/messageanalyzer

Télécharger et Tester Microsoft Message Analyzer Bêta 2

Microsoft vient de lancer la version 10 d’Internet Explorer pour Windows 7 Service Pack 1. La RTM est estampillée 10.0.9200.1652 et apporte les nouveautés suivantes :

• Il est 20% plus rapide que son prédécésseur
• Support de CSS3
• Support de HTML5

Plus d’information sur les nouveautés : http://blogs.msdn.com/b/ie/archive/2013/02/26/ie10-for-windows-7-globally-available-for-consumers-and-businesses.aspx

Vous pouvez bloquer l’installation d’Internet Explorer 10 par Windows Update : Voir l’article

Télécharger le kit d’administration d’Internet Explorer 10 (IEAK). Cet outil permet de déployer, paramétrer et personnaliser Internet Explorer 10 au sein de l’entreprise.

Télécharger :

• Internet Explorer 10 for Windows 7
• Internet Explorer 10 for Windows 7 64-bit Edition and Windows Server 2008 R2 64-bit Edition
• Internet Explorer 10 Language Packs for Windows 7 and Windows Server 2008 R2

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Conclusion

Ceci est une révolution ! Microsoft s’ouvre véritablement aux systèmes alternatifs. Cette stratégie qui débuta avec l’intégration des systèmes Unix à SCOM ou le développement de la suite Office sur Mac, continue aujourd’hui avec System Center 2012 Configuration Manager Service Pack 1. Cette première étape d’administration offre de belles perspectives pour les entreprises qui ne géraient pas jusqu’alors ces périphériques. D’un point de vue technique, les ordinateurs Mac sont gérés comme des périphériques mobiles. Ils requièrent un niveau de sécurisation minimal utilisant les communications HTTPs. Le déploiement des certificats d’entreprise est la clé de voute de l’implémentation. C’est pourquoi, il ne faudra pas sous-estimer le cycle de vie de ces certificats qui devront être renouvelés en accord avec les périodes d’expiration. Côté infrastructure, la flexibilité apportée par ConfigMgr 2012 afin de coupler les protocoles HTTP et HTTPs, facilite l’implémentation de la gestion des ordinateurs Mac. Concernant les fonctionnalités, l’inventaire matériel s’intègre pleinement à celui proposé par les machines Windows et permet la remontée d’informations pertinentes. La télédistribution d’applications est calquée sur celle proposée pour les périphériques Windows et peut permettre la création de scénarii de déploiement complexes. La création d’un standard CMAPP visant à packager les applications au format souhaité par ConfigMgr, permet de faciliter la distribution des applications. Les ordinateurs Mac sont des systèmes hétérogènes de par le manque de gestion faite par les entreprises. La gestion de conformité apportera une première réponse en validant des paramètres via les listes de propriétés ou des scripts. Enfin depuis juin 2012, Microsoft propose une solution antivirale pour les ordinateurs Mac. Elle permet là aussi d’harmoniser les outils et les licences utilisés au sein du parc informatique. Cette première version n’apporte pas d’intégration native à la solution d’administration centralisée proposée par System Center 2012 EndPoint Protection.
La première version des clients Mac pour System Center 2012 Configuration Manager et System Center 2012 EndPoint Protection est déjà bien aboutie. Ceci constitue une solution prometteuse qui devrait apporter son lot de surprises dans les prochaines années.

Merci à Romain Loizeau qui m’a gentiment prêté son Mac pour que je puisse faire mes tests.

Microsoft a publié un correctif qui permet de corriger une fuite de mémoire sur le composant WMI et notamment son processus WmiPrvSE.exe pour les systèmes Windows 8 ou Windows Server 2012. Vous le savez WMI est utilisé dans nombre de produit et notamment System Center 2012 Configuration Manager, Operations Manager, Data Protection Manager, Virtual Machine Manager. Le problème survient lorsque WMI est utilisé pour la collecte des données de performance. Il est dû à l’utilisation du fichier de journalisation Performance Data Helper, la dll pdh.dll créé un nouveau processus en utilisant l’API CreateThread().

Pour résoudre le problème, installez le correctif suivant : KB2790831  - Handle leak in WmiPrvSE.exe process on a Windows 8-based or Windows Server 2012-based computer

L’équipe App-V a publié un billet pour expliquer comment résoudre l’erreur suivante pouvant survenir lors du démarrage du service Microsoft Application Virtualization client :

Error 1114
A Dynamic Link Library (DLL) initialization routine failed

Le journal d’événement renvoie notamment l’erreur suivante :

Log Name: Application
Source: Microsoft-Windows-WMI
Date: <date-time>
Event ID: 10
Task Category: None
Level: Error
Keywords: Classic
Description: Event filter with query "select * from __instancecreationevent within 60 where targetinstance isa "win32_service" and targetinstance.name="msmpsvc"" could not be reactivated in namespace "//./root/cimv2" because of error 0x80041010. Events cannot be delivered through this filter until the problem is corrected.

Vous pouvez retrouver la ligne suivante dans le fichier sftlog.txt :

[01/29/2013 19:04:48:773 ABCD CRT] {tid=1980}
Initialization of the Application Virtualization file system security failed (status 16D13A0A-0000E016).

Cette erreur est associée à la base WMI. Vous pouvez suivre les étapes suivantes :

• Vérifiez la consistance de la base WMI : Winmgmt /verifyrepository
• Recompiler la class CIMWin32 : mofcomp %systemroot%\system32\wbem\CIMWIN32.MOF
• Revérifiez la base WMI avec la commande Winmgmt /verifyrepository
• Puis exécutez la commande pour remédier : Winmgmt /salvagerepository

Source : http://blogs.technet.com/b/appv/archive/2013/02/13/support-tip-app-v-client-service-fails-with-error-1114-a-dynamic-link-library-dll-initialization-routine-failed.aspx

Travis Wright (MSFT) a publié le diagramme d’architecture du Data Warehouse de System Center 2012 Service Manager (SCSM). Celui-ci permet de comprendre le flux des données à travers les différentes bases :

• System Center Operations Manager
• System Center Service Manager
• System Center Configuration Manager
• DW Staging & Config
• DW Repository
• OM DW Data Mart
• DW Data Mart
• CM DW Data Mart

Voici le lien vers le schéma qui doit être lu avec Visio 2013 : http://gallery.technet.microsoft.com/Service-Manager-Data-30239db6

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

La protection antivirale avec EndPoint Protection 2012

Microsoft propose une version de System Center 2012 EndPoint Protection pour les systèmes alternatifs comme Mac OS ou Linux/Unix. Cette solution permet la protection des machines malgré leur spécificité. Microsoft a pour cela signer un partenariat avec ESET qui édite des versions clientes pour ces systèmes

La fonctionnalité de protection antivirale a été volontairement mise à l’écart des fonctionnalités dans cet article car celle-ci ne propose pour le moment pas d’intégration à System Center 2012 Configuration Manager. Il n'est ainsi pas possible de déployer des stratégies, des mises à jour de définitions, ou d'obtenir un statut centralisé de la protection.

Le client System Center 2012 EndPoint Protection est supporté sur les versions suivantes :

• Mac OS X 10.6 (Snow Leopard)
• Mac OS X 10.7 (Lion)
• Mac OS X 10.8 (Mountain Lion) si vous utilisez EndPoint Protection 2012 SP1

Les sources du client EndPoint Protection ne sont disponibles que par le portail d’entreprise MVLS. Le package contient trois fichiers :

• Install : Un binaire d'installation
• Uninstall : Un binaire qui pourra être utilisé pour désinstaller
• Un fichier Read Me

Avant de démarrer l'installation, assurez-vous d'avoir désinstallé les autres programmes antivirus

• Passez les écrans d'introduction, ReadMe
• Acceptez le contrat de licence et passez l'écran Privacy
• La page Setup  permet de choisir le mode d'installation (classique ou personnalisé)
• Si vous avez choisir le mode d'installation personnalisé, vous devez renseigner la configuration du serveur proxy.
• L'étape suivante permet de choisir si vous souhaitez détecter les applications non souhaitées.

• Vous pouvez ensuite personnaliser le répertoire de destination.
• L'étape qui suit donne la taille nécessaire à l'installation de l'antivirus.
• Pour lancer l'installation, vous devez entrer le mot de passe d'un administrateur
• L'installation terminée, vous pouvez fermer l'assistant.
• L'icône apparaît dans la barre supérieure

Lorsque vous ouvrez l'interface graphique, les panneaux suivants sont disponibles :

• Protection Status donne l'état de la protection (nombre d'attaques bloquées, version des mises à jour de définition) et des statistiques sur la protection antivirale et la protection du système de fichiers en temps réel.

• L'écran Computer Scan permet l'exécution des analyses intelligentes ou personnalisées. Vous pouvez aussi personnaliser les types d'analyse.
• La page Update permet l'exécution de la recherche des mises à jour de définition. Vous retrouvez aussi la version des définitions installée et la dernière date de mise à jour avec succès.

• La partie Setup donne accès à l'ensemble des configurations. En voici une liste non exhaustive :
• Le paramétrage de la protection système et en temps réel incluant les types d'objets à analyser (fichiers, liens symboliques, fichiers email, boites aux lettres, archives, archives à extraction…), les options d'analyses, le niveau de nettoyage, la liste d'exclusion...

• Les paramétrages de mise à jour pour activer ou non les notifications ou le téléchargement des versions préliminaires

• Les paramétrages des outils pour spécifier l'intervalle de rétention des logs et les mécanismes d'optimisation.

• Les configurations utilisateur impactant notamment l'interface, les alertes et notifications, les privilèges sur l'antivirus, ou l'intégration au menu contextuel.

• Des paramétrages divers comme la configuration d'un serveur proxy pour la récupération des mises à jour ou l'activation du blocage des périphériques amovibles (CD-ROM, FireWire, USB…).

L’équipe Exchange vient de publier le 10^ème Rollup (KB2788321) pour Exchange Server 2007 SP3 (version 08.03.0298.003). Voici la liste des corrections contenues dans ce package :

2783779 : Un utilisateur masqué est toujours affiché dans les informations sur l'organisation du carnet d'adresses dans OWA dans un environnement Exchange Server 2007

Télécharger Update Rollup 10 for Exchange Server 2007 Service Pack 3 (KB2788321)

L’équipe Exchange vient de publier le 6^ème Rollup (KB2746164) pour Exchange Server 2010 SP2 (version 14.02.0342.003). Voici la liste des corrections contenues dans ce package :

• 2489941

(http://support.microsoft.com/kb/2489941/)

La valeur « legacyExchangeDN » est affichée dans le champ « De » au lieu du « nom complet Simple" dans un message électronique dans un environnement Exchange Server 2010

• 2717453

(http://support.microsoft.com/kb/2717453/)

Vous ne pouvez pas déplacer ou supprimer un dossier à l'aide d'Outlook en mode en ligne dans un environnement Exchange Server 2010

• 2733608

(http://support.microsoft.com/kb/2733608/)

Les caractères DBCS japonais sont endommagés lorsque vous envoyez une demande de réunion ou que vous publiez une réponse à un article validé dans un dossier public dans un environnement Exchange Server 2010

• 2734635

(http://support.microsoft.com/kb/2734635/)

Les informations associées à un dossier (FAI) sont supprimés lorsque vous exécutez la cmdlet New-InboxRule ou modifiez des règles de boîte de réception dans un environnement Exchange Server 2010

• 2737046

(http://support.microsoft.com/kb/2737046/)

Fonctionnalité d'aperçu partiel ne fonctionne pas lorsque vous utilisez Outlook en mode en ligne dans un environnement Exchange Server 2010

• 2741117

(http://support.microsoft.com/kb/2741117/)

Utilisation élevée du processeur par le service de réplication de Microsoft Exchange sur les serveurs d'accès Client dans un environnement Exchange Server 2010

• 2746030

(http://support.microsoft.com/kb/2746030/)

Valeur incorrecte de ExternalURL pour EWS est retournée par un serveur d'accès Client d'Exchange Server 2010

• 2750188

(http://support.microsoft.com/kb/2750188/)

Hôte de Service Exchange se bloque lorsque vous démarrez le service sur un serveur Exchange 2010

• 2751417

(http://support.microsoft.com/kb/2751417/)

La synchronisation échoue si vous synchronisez un périphérique externe à une boîte aux lettres via EAS dans un environnement Exchange Server 2010

• 2751581

(http://support.microsoft.com/kb/2751581/)

La génération OAB échoue avec l'événement ID 9126, 9330 et 9338 ou 9339 dans un environnement Exchange Server 2010

• 2760999

(http://support.microsoft.com/kb/2760999/)

Message d'erreur « le domaine d'inscription « org » dérivé '.org <TenantDomainName> ' n'est pas un domaine valide » lorsque vous utilisez l'Assistant de Configuration hybride dans un Exchange Server

• 2776259

(http://support.microsoft.com/kb/2776259/)

MSFTEFD.exe processus se bloque si une pièce jointe a une extension de nom de fichier inattendue ou aucune extension de nom de fichier dans un environnement Exchange Server 2010

• 2779387

(http://support.microsoft.com/kb/2779387/)

E-mail messages sont affichés dans le dossier éléments envoyés dans une application EWS qui accède à un serveur de boîtes aux lettres d'Exchange Server 2010 en double

• 2783586

(http://support.microsoft.com/kb/2783586/)

Ordre du nom d'un contact s'affiche pas correctement après avoir modifié le contact dans un environnement Exchange Server 2010

• 2783631

(http://support.microsoft.com/kb/2783631/)

Champ User-Agent est vide lorsque vous exécutez la cmdlet Get-ActiveSyncDeviceStatistics dans un environnement Exchange Server 2010 SP2

• 2783633

(http://support.microsoft.com/kb/2783633/)

Impossible de déplacer ou supprimer un message électronique est supérieur à la réception maximale ou de taille d'envoi dans un environnement Exchange Server 2010

• 2783649

(http://support.microsoft.com/kb/2783649/)

Rendez-vous privé n'est visible à un délégué dans un environnement Exchange Server 2010

• 2783771

(http://support.microsoft.com/kb/2783771/)

Boîte aux lettres sur un périphérique mobile n'est pas mis à jour lorsque EAS est configuré dans un environnement Exchange Server 2010

• 2783772

(http://support.microsoft.com/kb/2783772/)

Processus EdgeTransport.exe se bloque après qu'un destinataire de journal reçoit un message de rapport de non-remise dans un environnement Exchange Server 2010

• 2783776

(http://support.microsoft.com/kb/2783776/)

Vous ne pouvez pas effectuer une recherche de cross-site dans une boîte aux lettres dans un environnement hybride d'Exchange Server 2010

• 2783782

(http://support.microsoft.com/kb/2783782/)

Message d'erreur lorsque vous utilisez Scanpst.exe sur un fichier .pst dans un environnement Exchange Server 2010

• 2784081

(http://support.microsoft.com/kb/2784081/)

Processus Store.exe se bloque si vous ajoutez certaines clés de Registre à un serveur de boîtes aux lettres d'Exchange Server 2010

• 2784083

(http://support.microsoft.com/kb/2784083/)

Numéros de semaine dans Outlook Web App et les calendriers Outlook sont incompatibles dans un environnement Exchange Server 2010

• 2784093

(http://support.microsoft.com/kb/2784093/)

Alertes SCOM et événement ID 4 dans une organisation Exchange Server 2010 SP2 qui a le correctif cumulatif 1 ou version ultérieur

• 2784566

(http://support.microsoft.com/kb/2784566/)

Le service d'accès de Client RPC Exchange se bloque sur un serveur de boîtes aux lettres d'Exchange Server 2010

• 2787023

(http://support.microsoft.com/kb/2787023/)

Service Assistants de boîte aux lettres Exchange se bloque lorsque vous essayez de modifier un élément récurrent du calendrier ou de publier des données disponible/occupé dans un environnement Exchange Server 2010

• 2788151

(http://support.microsoft.com/kb/2788151/)

Liste de délégués vide pour une boîte aux lettres de ressources en nuage lorsque vous utilisez EMC dans un environnement de Service Pack 2 d'Exchange Server 2010 sur site

• 2793274

(http://support.microsoft.com/kb/2793274/)

Une nouvelle option est disponible qui désactive l'action de rétention PermanentlyDelete dans une organisation Exchange Server 2010

• 2793278

(http://support.microsoft.com/kb/2793278/)

Vous ne pouvez pas utiliser la fonction de recherche pour rechercher des éléments de boîte aux lettres dans un environnement Exchange Server 2010

• 2793279

(http://support.microsoft.com/kb/2793279/)

Exchange Server 2010 ne redémarre pas lorsque le service de réplication de Microsoft Exchange se bloque

• 2793488

(http://support.microsoft.com/kb/2793488/)

Internet Explorer se bloque lorsque vous vous connectez à l'OWA plusieurs fois dans un environnement Exchange Server 2010

Télécharger Update Rollup 6 for Exchange Server 2010 Service Pack 2 (KB2746164)

Annoncé il y a quelques mois, le Service Pack 3 d’Exchange Server 2010 est mis en ligne par Microsoft. Il apporte un nombre important de nouveautés dont le support d’Exchange Server 2013.

Voici les nouveautés apportées par celui-ci

• Support de la coexistence avec Exchange 2013 (vous devez installer le CU1)
• Support de Windows Server 2012
• Support d’Internet Explorer 10
• Correction de plusieurs bugs

 2552121 You cannot synchronize a mailbox by using an Exchange ActiveSync device in an Exchange Server 2010 environment

2729444 Mailboxes are quarantined after you install the Exchange Server 2010 SP2 version of the Exchange Server 2010 Management Pack

2778100 Long delay in receiving email messages by using Outlook in an Exchange Server 2010 environment

2779351 SCOM alert when the Test-PowerShellConnectivity cmdlet is executed in an Exchange Server 2010 organization

2784569 Slow performance when you search a GAL by using an EAS device in an Exchange Server 2010 environment

2796950 Microsoft.Exchange.Monitoring.exe process consumes excessive CPU resources when a SCOM server monitors Exchange Server 2010 Client Access servers

2800133 W3wp.exe process consumes excessive CPU and memory resources on an Exchange Client Access server after you apply Update Rollup 5 version 2 for Exchange Server 2010 SP2

2800346 Outlook freezes and high network load occurs when you apply retention policies to a mailbox in a mixed Exchange Server 2010 SP2 environment

2810617 Can’t install Exchange Server 2010 SP3 when you define a Windows PowerShell script execution policy in Group Policy

2787500 Declined meeting request is added back to your calendar after a delegate opens the request by using Outlook 2010

2797529 Email message delivery is delayed on a Blackberry mobile device after you install Update Rollup 4 for Exchange Server 2010 SP2

2800080 ErrorServerBusy response code when you synchronize an EWS-based application to a mailbox in an Exchange Server 2010 environment

Plus d’infos sur : http://blogs.technet.com/b/exchange/archive/2013/02/12/released-exchange-server-2010-sp3.aspx

Télécharger le Service Pack 3 d’Exchange Server 2010

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Dépannage du client ConfigMgr pour Mac

Lorsqu’on utilise System Center Configuration Manager, il est important de comprendre comment dépanner les différents composants. On connait le produit comme l’un des plus verbeux, cette partie détaillera quels sont les outils à votre disposition pour dépanner le client ConfigMgr pour Mac. Le client comprend une tâche d’auto remédiation et s’intègre au processus de gestion de l’état d’activité et de santé du client ConfigMgr. De ce fait, indépendamment pour chaque machine vous pouvez observer son état de santé par la vue Asset and Compliance. Vous disposerez d’une vision plus globale en utilisant les vues de la partie Monitoring – Overview – Client Status.

Côté serveur, vous pourrez valider l’état des composants en utilisant la console d’administration et la vue System Status dans Monitoring. En outre, voici les fichiers de journalisation que l’on retrouve côté serveur :

• SMS_DM.log : Ce log enregistre les communications entre les ordinateurs Mac et le Management Point disposant du sous composant Device Management Point.
• DMPRP.log enregistre les communications entre les Device Management Point et les Management Point.
• Dmpmsi.log regroupe les données relatives à la configuration des Management Point qui supporte les ordinateurs Mac
• DMPSetup.log est le fichier de journalisation permettant de suivre l’installation du composant Device Management Point.
• enrollsrvMSI.log permet de suivre l’installation du rôle Enrollment Point.
• enrollmentweb.log donne un détail des communications entre les ordinateurs Mac et le rôle Enrollment Proxy Point
• enrollwebMSI.log donne un état de l’installation du rôle Enrollment Proxy Point.
• enrollmentservice.log enregistre les communications entre le rôle Enrollment Proxy Point et Enrollment Point.

Côté client, on retrouve les fichiers de journalisation suivants :

• CCMClient-<date>.log permet le suivi des opérations exécutées par le client ConfigMgr (inventaire, déploiement d’applications). Ce dernier est présent dans /Library/Application Support/Microsoft/CCM/Logs
• CCMAgent-<date>.log enregistre des informations sur les opérations et activités qui ont lieu sur la machine (connexion, déconnexion…). Le log est localisé dans /Library/Logs.
• CCMNotifications-<date>.log donne le détail des notifications affichées sur l’ordinateur Mac. Le fichier est situé dans le dossier /Library/Logs.
• CCMPrefPane-<date>.log regroupe les activités générées à partir de la fenêtre de préférence du client ConfigMgr. Le fichier est situé dans le dossier /Library/Logs

Les sources (.DMG) du client incluent un outil appelé CMDiagnostics permettant de générer une archive pouvant servir au dépannage du client. Elle inclut :

• Les fichiers de journalisation
• Le cache du client
• Les préférences/configurations du client ConfigMgr
• Les informations du système d’exploitation
• Les informations du processus
• Les éventuels crashs système ou utilisateur

Avec l’arrivée de System Center 2012 Configuration Manager, Microsoft a misé sur l’utilisateur. C’est ainsi que des systèmes ont été mis en place pour déployer des applications, des lignes de base de conformité sur l’utilisateur et non plus en ciblant la machine. Ce choix stratégique est à l’origine d’un changement dans les habitudes des usagers des systèmes d’information. L’entreprise s’emploie à donner tous les outils nécessaires pour que l’utilisateur final puisse travailler. Il n’est ainsi pas rare de voir des utilisateurs avec deux ou trois périphériques (ordinateur portable, smartphone, tablette…). Le but est ainsi d’offrir le même service à travers tous ces périphériques. En outre, certains profils peuvent se connecter sur plusieurs machines même si celles-ci ne sont pas leur périphérique principal. On peut notamment penser aux administrateurs ou aux équipes du support informatique. Avec System Center Configuration Manager 2007, il était déjà possible de créer des publications ciblant les utilisateurs mais le produit n’intégrait pas de mécanismes permettant de limiter le déploiement à se machine principale. Ainsi tant que l’utilisateur se connectait à un seul périphérique tout allait bien par contre dès lors qu’il se connectait sur une autre machine, l’ensemble des publications le suivaient sans aucun mécanisme intégré permettant d’éviter ce scénario. C’est ainsi que Microsoft a introduit l’affinité périphérique utilisateur ou User Device Affinity (UDA). Le système peut donc prendre en compte l’association d’un périphérique et d’une machine pour déployer une application.

Concernant les caractéristiques, les scénarios suivants sont possibles :

• Un utilisateur peut avoir plusieurs périphériques principaux
• Un périphérique peut être le périphérique principal de plusieurs utilisateurs

L’affinité périphérique utilisateur peut être créée de différentes façons :

• Manuellement par l’utilisateur au travers du portail d’applications. Cette option est disponible dans l’onglet My Systems L’utilisateur peut cocher la case I regularly use this computer to do my work si l’administrateur a créé une stratégie utilisateur lui laissant définir ses périphériques utilisateurs.
• Défini par l’administrateur : L’administrateur peut éditer les périphériques principaux d’un utilisateur par le biais de la console d’administration. Il peut aussi faire de l’import en masse avec l’option Import User Device Affinity où il pourra charger un fichier CSV pour créer toutes les associations
• Automatiquement par le système : Cette option permet de laisser Configuration Manager 2012 déterminer le périphérique principal d’un utilisateur. Pour cela, l’administrateur doit avoir configuré l’option et ses conditions par le biais d’une stratégie User and Device Affinity.
  Vous devez y spécifier les options suivantes :
  • User device affinity threshold (minutes) : définit le nombre de minutes d’utilisation pour un utilisateur pendant l’intervalle de jour ci-dessous.
  • User device affinity threshold (days) : donne l’intervalle Durant lequel le nombre de minutes d’utilisation est determiné pour créer l’affinité.

Note : Vous devez spécifier une valeur supérieure à 7 jours pour éviter la suppression des affinités périphériques utilisateurs lorsque l’utilisateur ne se connecte pas pendant une semaine. La valeur par défaut demande 48 heures de travail continu de la part de l’utilisateur sur 30 jours d’utilisation.

• • Automatically configure user device affinity from usage data pour créer automatiquement les associations.

Note : Cette option ajoute des associations mais peut aussi les retirer lorsqu’elles ne sont plus d’actualité.

Une fois la stratégie reçue par le client ConfigMgr, celui-ci va utiliser les stratégies locales de sécurité et notamment :

• Les événements d’audit de connexion des comptes
• Les évènements d’audit de connexion

Attention : Ces deux options doivent être activées indépendamment de l’infrastructure ConfigMgr sur chacun des clients pour pouvoir créer les affinités automatiquement. Le système d’exploitation Windows XP ne dispose pas de ces stratégies activées par défaut. Vous pouvez pour cela utiliser des stratégies de groupe (GPO).

Une fois l’affinité créé, celle-ci peut être utilisée au travers du nouveau modèle d’Application (il n’est pas possible d’utiliser les packages). Ce nouveau modèle intègre des mécanismes comme :

• Les méthodes de détection permettant notamment de détecter si l’application est déjà présente sur le système. Ceci évite de lancer le déploiement d’une application déjà installée. Avec ConfigMgr 2007, les administrateurs utilisaient des collections avec règles d’appartenance dynamiques basées sur l’inventaire machine. Certaines publications pouvaient s’exécuter bien que l’application soit présente et ce parce que l’inventaire n’avait pas encore été relancé sur la machine en question.
• Les prérequis permettant d’associer un type de déploiement à un scénario spécifique. Vous pouvez par exemple valider que la machine cible dispose bien d’un niveau de mémoire vive suffisant ou bien d’une langue de système d’exploitation compatible avec l’application déployée. Vous pouvez aussi valider que l’utilisateur cible du déploiement est bien le périphérique principal de la machine. En outre, vous pouvez personnaliser ces prérequis par le biais de conditions globales.
• Les dépendances permettent de créer d’associer une autre application pour qu’elle devienne une dépendance de l’application déployée.

L’équipe du support ConfigMgr a publié un article concernant le support de SQL Server 2012 pour les produits qui gravitent autour de System Center Configuration Manager. Le premier point est que seul SQL Server 2012 Service Pack 1 n’est supporté. La version sans Service Pack ne fait pas partie du support.

Voici un résumé du support :

• ConfigMgr 2007 SP2 supporte SQL Server 2012 SP1 pour la base de données de site
• ConfigMgr 2007 R3 supporte SQL Server 2012 SP1 pour la base de données de site, le rôle Reporting Services Point, et Client Status Reporting

Note : Vous devez appliquer le correctif de la KB2676776

• Pour ConfigMgr 2012 SP1, vous pouvez utiliser SQL Server 2012 SP1 pour la base de données de site (CAS, primaire, ou secondaire)

• FEP 2010 supporte le support de SQL Server 2012 SP1 dans un scénario de mise à jour de la base de données FEP et de la base de données de rapports depuis SQL Server 2008, SQL Server 2008 R2 ou SQL Server 2012. Il n’est pas supporté l’installation du produit sur une nouvelle instance SQL Server 2012 SP1.

Note : Vous devez appliquer le correctif de la KB2683558 Forefront Endpoint Protection data warehouse and reports fail to get new data on SQL Server 2012

• WSUS sur Windows Server 2012 supporte l’utilisation d’une base de données SQL Server 2012

Plus d’informations sur : http://blogs.technet.com/b/configmgrteam/archive/2013/02/11/support-announcements-for-february-2013.aspx

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Aperçu des fonctionnalités

Dans cette partie, je vous propose un aperçu des capacités offertes par cette version du client ConfigMgr pour les ordinateurs Mac. Ceux-ci s’intègrent parfaitement à l’administration des ressources en proposant :

• L’inventaire matériel et logiciels
• Le déploiement d’applications avec le nouveau modèle
• La gestion de conformité

Inventaire matériel et logiciels

Lorsque le client se connecte pour récupérer ses stratégies, il procède à l’évaluation de l’inventaire de la machine. Le but est de remonter des informations similaires à celle que l’on peut trouver avec le client Windows. Vous pouvez exploiter l’inventaire individuellement via l’explorateur de ressources ou les rapports.

• Ouvrez la console d’administration et naviguez dans Assets and Compliance – Overview – Devices

• Sélectionnez l’ordinateur Mac puis faites Start – Resource Explorer
• L’explorateur de ressource s’ouvre et vous permet de naviguez dans les différentes classes. Voici les classes inventoriées sur le Mac à ma disposition : CDROM Drive, Computer System, Desktop Monitor, Device Information, Disk Drives, Disk Partitions, Installed Applications, Mobile Device Computer System, Network Adapter, Operating System, Physical Memory, Processor, Services, System, USB Controller, USB Device, Video Controller, Workstation Status.

Déploiement d’applications

Les ordinateurs Mac s’intègre pleinement au modèle d’applications apporté par System Center 2012 Configuration Manager. Il est ainsi possible de créer une application qui propose des types de déploiement pour les clients Windows via le client lourd ou une bulle App-V, pour les ordinateurs Mac, etc… Cette implémentation a néanmoins quelques limitations :

• Le déploiement d’applications Mac sur des utilisateurs n’est pas supporté. Vous devez donc cibler les périphériques.
• Il n’est pas possible de déployer les applications en les rendant « disponibles » (Available).
• L’utilisation du Wake-On-Lan via l’envoie de paquets de réveil n’est pas supporté.
• Les ordinateurs Mac ne supportent pas l’utilisation de Background Intelligent Transfer Service (BITS) pour télécharger le contenu. Ainsi lorsque le téléchargement échoue, celui-ci recommence à zéro.
• Les conditions globales ne sont pas supportées lorsque vous utilisez un type de déploiement pour des applications Mac.

Voici le processus global :

• Microsoft ne supporte pas le déploiement de fichiers DMG, APP, PKG, ou MPKG, vous devez donc créer un package CMMac (format propriétaire Microsoft) à partir d’une machine de référence. Ceci permettra de créer le package avec les méthodes de détection et les lignes de commande nécessaires.
• Vous pouvez ensuite déployer l’application sur les machines concernées.

Préparation du package CMAPP

Commencez par vous procurer les sources d’installation de l’application que vous souhaitez déployer. J’ai choisi de déployer Office 2011 for Mac SP2 et l’utilitaire VLC. Récupérez ensuite l’outil CMAppUtil présent dans le dossier Tools des sources du client ConfigMgr pour Mac. Ouvrez ensuite un Terminal et naviguez vers l’outil CMAppUtil. Voici les paramètres disponibles avec l’outil :

• -h : donne accès à l’aide
• -r : Crée un fichier detection.xml à partir du fichier CMMac donnant les paramètres de détection inclus dans le package.
• -c <fichier source> : permet la conversion du fichier d’installation (App, pkg, mpkg, dmg)
• -o <fichier en sortie> : doit être utilisé avec le paramètre –c pour spécifier un fichier CMMac de sortie
• -a doit être utilisé avec l’option –c et les fichiers .DMG pour créer les fichiers CMMac pour toutes les applications et packages trouvés dans le fichier DMG
• -s passe la génération du fichier detection.xml si aucun paramètre de détection est créé et permet de forcer la génération du fichier CMMac sans la partie méthode de détection. En temps normal si aucune méthode de détection n’est trouvée, la génération échoue.
• -v active le mode verbeux de l’outil

Vous devez utiliser l’outil avec la forme suivante : ./CMAppUtil –c <fichier dmg> -o <répertoire de sortie> -a
Par exemple, voici les lignes de commande utilisées :

• ./CMAppUtil –c vlc-2.0.5.dmg –o ./ -a
• ./CMAppUtil –c ./en_office_for_mac_2011_home_and_business_2011_with_service_pack_2_838477.dmg –o ./ -a

Création de l’application

Une fois vos fichiers crées, déposez-les dans votre répertoire de sources :

Ouvrez la console d’administration de Configuration Manager 2012. Naviguez dans l’arborescence Software Library – Overview – Application Management – Applications. Cliquez sur Create Application. Une fois l’assistant ouvert, vérifiez que la case Automatically detect information about this application from installation files est cochée. Sélectionnez le type Mac OS X et renseignez l’emplacement du package CMMac :

Validez les informations d’import et passez à l’écran General Information. Validez et complétez les informations à propos de l’application puis cliquez sur Next.

Une fois l’import terminé, cliquez sur Close.

En éditant les propriétés du type de déploiement, on peut observer la ligne de commande et les méthodes de détection utilisées :

Distribution de l’application sur les points de distribution

Une fois l’application créée dans Configuration Manager, vous devez la distribution sur les points de distribution afin que les clients puissent la récupérer lorsqu’ils recevront l’application. Sélectionnez l’application précédemment créée, et cliquez sur Distribute Content.

Vérifiez les informations de l’écran Content.
Sur l’écran Content Destination, ajoutez le groupe de points de distribution ou le point de distribution souhaité.

Note : Vous devez déployer le contenu sur un point de distribution servant des clients Internet.

Passez l’écran Summary et Completion pour lancer l’opération. Après quelques minutes, vérifiez l’état de distribution du contenu dans la partie Monitoring.

Déploiement de l’application sur les ordinateurs Mac

Commencez par créer une collection de périphériques avec les ordinateurs Mac souhaités.

Rappel : Il n’est pas possible d’utiliser un déploiement tourné utilisateur pour les ordinateurs Mac.

Je vous conseille de préfixer vos collections par un code spécifiant ce pour quoi elles sont utilisées (Exemple : SWD Devices Office 2011 for Mac) Vous pouvez utiliser des règles d’appartenance ou des requêtes selon vos critères. Voici une requête qui vous permettra de sélectionner les ordinateurs Mac uniquement :

Select SMS_R_System.ClientEdition from SMS_R_System where SMS_R_System.ClientEdition = 5

Une fois la collection créée et correctement peuplée, retournez dans la partie Software Library – Overview – Application Management – Applications. Sélectionnez votre application et cliquez sur Deploy. L’assistant de déploiement s’ouvre. Spécifiez la collection de périphériques cibles :

A l’étape Content, Validez que l’application a bien été distribuée aux points de distribution servant des clients Internet et des périphériques mobiles.

Sur le groupe Deployment Settings, sélectionnez les options suivantes

• Action : Install
• Purpose : Required
  L’option Available ne peut être utilisée sur des ordinateurs Mac
• Les trois options pour le wake-up packets, le pré déploiement sur les périphériques principaux des utilisateurs et sur les connexions taxées ne sont pas applicables aux ordinateurs Mac.

Sur la page Scheduling, configurez la planification du déploiement. Ces options régissent à partir de quand vous rendez l’application disponible et à quelle date l’application devient obligatoire et s’installera automatiquement.

Sur l’écran User Experience, choisissez si l’utilisateur doit voir des notifications de ce déploiement.

A l’étape suivante, spécifiez les options de création d’alerte vis-à-vis d’un seuil de déploiement. Les options liées à System Center Operations Manager ne s’appliquent pas aux ordinateurs Mac.

Enfin, validez l’écran de résumé et fermez l’assistant.

Sur le client, une fois que celui-ci exécutera une synchronisation avec son Device Management Point et si le déploiement est dans l’intervalle de disponibilité adéquat, vous pouvez voir afficher une fenêtre comme celle-ci :

L’installation d’Office 2011 se lance :

Une fois terminé, les applications sont disponibles dans la partie Applications de vos ordinateurs Mac.

Gestion de la conformité

Outre les fonctionnalités d’inventaire et de déploiement d’applications, le client ConfigMgr pour Mac permet la vérification de la conformité. Cette partie s’attachera à détailler comment vérifier des paramètres sur un ordinateur Mac. Mac OS X stocke les paramètres dans des fichiers appelé Property List (plist). On trouve ces fichiers dans /System/Library ou /Library. Vous pouvez ensuite les éditer avec un outil comme plist Editor for Windows.

Au sens System Center Configuration Manager, la gestion de conformité est constituée des éléments suivants :

• Des objets de configuration (Configuration Items) : Ceux-ci représentent les paramètres que vous allez vérifier. On y retrouve la méthode utilisée (script, registre, pslist…) et les informations nécessaires à son évaluation (clé de registre…). Il inclut aussi des règles de conformité qui permettront de retourner le résultat de l’évaluation.
• Des lignes de base (Baselines) qui équivalent à un contrat de conformité. Celles-ci rassemblent des objets de configuration. Le résultat donnera l’état de conformité global du client vis-à-vis du contrat.

Il existe tout de même certaines limitations :

• Vous ne pouvez pas déployer une baseline sur des utilisateurs
• Vous ne pouvez pas vérifier des paramètres touchant les utilisateurs
• Vous ne pouvez pas vérifier des valeurs contenues dans un tableau de dictionnaire (balise <array>)

Création des objets de configuration

Nous allons commencer par créer plusieurs objets de configuration dans le but de vérifier :

• AlertsUseMainDevice pour valider que les sons système n’utilisent pas le périphérique audio principal
• ActivePowerProfiles pour vérifier que le profil AC Power est utilisé sur le système d’exploitation
• Dirigez-vous dans la console d’administration à travers l’arborescence Asset and Compliance – Compliance Settings – Configuration Items.
• Procédez à la création d’un objet de configuration que vous nommerez comme souhaité. Sélectionnez le type Mac OS.
• Sur l’écran suivant, choisissez les plateformes Mac OS sur lesquels vous souhaitez appliquer l’objet de configuration.
• Sur la page Settings, ajoutez un objet de configuration :
  • Nommez-le
  • Choisissez le Setting type souhaité parmi Script etMac OS X Preferences.
  • Choisissez le type de donnée vérifié (Integer)
  • Si vous avez choisi de valider un paramètre de préférence, sélectionnez l’Application ID et la clé concernée (Exemple : com.apple.soundpref et AlertsUseMainDevice)

• Ouvrez l’onglet Compliance Ruleset ajoutez une règle supplémentaire :
  • Nommez-la
  • Choisissez le type de règle parmi : Existencial et Value.
  • En fonction du type de règle, spécifiez la condition
  • Décidez si la condition doit rapporter un état de nom conformité lorsque l’instance du paramétrage n’est pas présente.
  • Finalement, sélectionnez le niveau de sévérité (Critical, Error, Warning ou Information) renvoyé en cas de non-conformité.

Note : Il n’est pas possible de remédier les paramétrages.

• Ajoutez autant de condition que nécessaire

• Sur l’assistant, passez l’état Compliance Rules si vous les avez déjà renseignées préalablement.

• Passez l’écran de résumé et fermez l’assistant

Ajoutez autant d’objets de configuration que nécessaire. Voici des exemples de configuration :

Création d’une ligne de base de configuration

Une fois les objets de configuration créés, vous devez créer une baseline.

• Toujours dans la console d’administration, naviguez dans Asset and Compliance – Compliance Settings – Configuration Baselines.
• Sélectionnez Create Configuration Baseline.
• Nommez votre baseline et ajoute les objets de configurations ou d’éventuelles lignes de base à évaluer :

• Cliquez sur OK pour valider sa création

Déployer la ligne de base

Commencez par créer une collection de périphériques avec les ordinateurs Mac souhaités. Je vous conseille de préfixer vos collections par un code spécifiant ce pour quoi elles sont utilisées (Exemple : DCM Devices WindowsTouch Compliancy) Vous pouvez utiliser des règles d’appartenance ou des requêtes selon vos critères. Voici une requête qui vous permettra de sélectionner les ordinateurs Mac uniquement :

Select SMS_R_System.ClientEdition from SMS_R_System where SMS_R_System.ClientEdition = 5

Une fois la collection créée et correctement peuplée, retournez dans la partie Asset and Compliance – Compliance Settings – Configuration Baselines. Sélectionnez votre baseline et cliquez sur Deploy. L’assistant de déploiement s’ouvre Vous devez spécifier :

• La collection de périphériques cibles.
• La programmation à laquelle les postes vont évaluer la baseline
• Si vous souhaitez générer une alerte lorsque le niveau de conformité est en dessous d’un seuil.

Une fois déployée et lorsque les clients l’ont évalué, vous pouvez observer l’état de conformité au travers des rapports et par la console d’administration. Pour cela, naviguez dans Monitoring – Overview – Deployments. Puis sélectionnez le déploiement concerné.

Vous pouvez obtenir plus de détails en cliquant sur View Status. Cette vue vous donnera notamment les objets de configuration en échec pour les machines non conformes.

Les rapports sont quant à eux disponibles dans Monitoring – Overview – Reporting – Reports – Compliance and Setting Management.

Microsoft vient de mettre à jour la liste des périphériques réseaux supportées par les nouvelles fonctionnalités de supervision étendues de System Center 2012 Operations Manager SP1. Cette nouveauté permet par exemple de superviser les routeurs et switches afin de déterminer leur statut (Online/Offline) ainsi que les ports et interfaces des périphériques ou encore des informations détaillées sur la mémoire et le processeur. Globalement Microsoft couvre les périphériques supportant SNMP et supervise les ports des périphériques implémentant les standards MIB (RFC 2863) et MIB-II (RFC 1213).

Pour télécharger la liste, rendez-vous sur : http://www.microsoft.com/download/en/details.aspx?id=26831

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Préparation des prérequis clients

Une fois les prérequis côté systèmes de site et infrastructure validés, nous pouvons passer à la préparation des prérequis clients.

Prérequis matériel et logiciels

Pour les facteurs processeur et mémoire, Microsoft recommande de suivre les préconisations liées au système d'exploitation sur lequel vous installez le client.  Par exemple, Mac OS X 10.7 requière la configuration suivante :

• Un processeur Intel Core 2 Duo, Core i3, Core i5, Core i7 ou Xeon

Note : Le client MAC n'est pas supporté sur d'autres plateformes qu'Intel 64-bit.

• 2 Go de mémoire vive (RAM)

Concernant l'espace disque nécessaire, le client une fois installé consomme jusqu'à 500 MB. Ajoutez à cela, l'espace nécessaire pour le cache (5 Giga-octets par défaut) servant à stocker temporairement les sources d'installation des applications, mises à jour etc…

System Center 2012 Configuration Manager Service Pack 1 supporte les systèmes d'exploitation suivants :

• Mac OS X 10.6 (Snow Leopard)
• Mac OS X 10.7 (Lion)

Pare-feu

Le client communique avec son serveur de site pour différentes opérations et ceci nécessite que vous ouvriez certains ports dédiés pour la communication avec les systèmes de site : Port TCP 443 en sortie pour la communication HTTPS,

Certificats

Vous devez créer et déployer des certificats sur les serveurs hébergeant les rôles : Management Point, Distribution Point, Enrollment Point, Enrollment Proxy Point. Ces certificats servent à l'authentification serveur et doivent servir pour le serveur Web. Nous aborderons ceci plus loin dans ce chapitre.

Plus précisément, le client Mac nécessite un certificat répondant aux exigences suivantes :

• La valeur d'Enhanced Key Usage doit être 1.3.6.1.5.5.7.3.2 pour spécifier une authentification cliente
• Une valeur unique doit être spécifiée dans le champ Subject Name. Le champ Subject Alternative Name n'est pas supporté
• L'algorithme de hachage supporté est SHA-1
• ConfigMgr supporte des clés de chiffrement jusqu'à 2048 bits.
• Le certificat doit être au format X.509 binary.

Sinon vous devez vous référer à la page de prérequis des certificats : http://technet.microsoft.com/en-us/library/gg699362.aspx

Création du modèle de certificat

Le client ConfigMgr Mac utilise un certificat pour communiquer avec ses systèmes de site. Commençons par déléguer les droits de demande de certificats sur l’autorité au groupe qui sera autorisé. Ouvrez la console Certificate Authority et ouvrez les propriétés de votre autorité de certification. Editez l’onglet Security pour ajouter le droit Request Certificates aux utilisateurs habilités.

Nous allons procéder à la création du modèle nécessaire. Retournez sur l’autorité de certification et ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Cliquez droit sur le nœud Certificate Templates et sélectionnez Manage.

Utilisez le modèle Authenticated Session comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Validez l’utilisation d’un modèle de type Windows Server 2003. Ouvrez l’onglet général, commencez par donner un nom au modèle. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

Naviguez dans l’onglet Subject Name et cochez l’option Build from this Active Directory Information. Dans le format du nom, choisissez  Common name et décochez la case User principal name (UPN).

Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les permissions d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes des personnes (du support par exemple) qui procéderont à l’enregistrement des ordinateurs Mac.  Déléguez-leur les droits Read et Enroll nécessaires à la demande de certificat.

Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

Modification de la stratégie pour l’enregistrement

Cette partie ne constitue pas une étape obligatoire, elle permet la configuration de la stratégie par défaut pour permettre l’enregistrement de l’ordinateur Mac et le déploiement automatique du certificat d’entreprise. Si vous choisissez de ne pas utiliser les rôles Enrollment Point et Enrollment Proxy Point et d’installer le client en déployant le certificat à la main, vous pouvez passer cette étape.

Ouvrez la console d’administration et naviguez dans l’arborescence Administration – Overview - Client Settings. Ouvrez la stratégie par défaut (Default Client Settings).

Note : L’ordinateur n’étant pas encore rattaché à l’infrastructure, ces changements doivent être appliqués à la stratégie par défaut.

Une fois la stratégie ouverte, choisissez Enrollment. Passez la valeur Allow users to enroll mobile devices and Mac Computers à Yes.

Cliquez ensuite Set Profile… pour définir un profil d’enregistrement. Une fenêtre s’ouvre, cliquez sur Create… pour créer le profil dédié aux ordinateurs Mac. La fenêtre de création s’ouvre, cliquez sur Add pour ajouter l’autorité de certification  utilisée pour délivrer le certificat. Vous devez ensuite sélectionner le modèle de certificat dédié aux ordinateurs Mac précédemment créé. Il vous sera aussi nécessaire de spécifier le code de site utilisé pour gérer ces clients.

Cliquez sur Ok pour créer le profil et Ok pour sélectionner le profil que nous créé :

Installation du client ConfigMgr pour Mac

Commencez par vous procurer les sources du client ConfigMgr pour MAC à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=36212

Note : La version que vous récupérez doit correspondre à celui de l’infrastructure ConfigMgr.

Installez le MSI sur une machine pour récupérer le fichier DMG dans C:\Program Files (x86)\Microsoft\System Center 2012 Configuration Manager Mac Client\

Il existe deux méthodes d’installation du client Mac :

• La première consiste à utiliser l’auto enregistrement du client et le déploiement automatique du certificat via l’autorité de certification Active Directory Certificate Services
• La seconde revient à déployer le certificat manuellement et à déléguer les droits nécessaires au client.

Méthode 1

Ouvrez un terminal et procédez à l'installation du client en utilisant sudo ./ccmsetup. Une fois l'installation terminée, ne redémarrez pas !

Naviguez dans le dossier Tools et exécutez la commande suivante : sudo ./CMEnroll -s <FQDN du serveur Enrollment Proxy Point> -ignorecertchainvalidation -u '<Domain\Utilisateur ayant les droits d'enregistrement sur le modèle de certificat>'. Entrez le mode de passe du compte utilisateur renseigné.

Note : Les apostrophes autour du nom d’utilisateur sont OBLIGATOIRES.

Redémarrez le client Mac. Ouvrez ensuite System Preferences et Configuration Manager. Vous devez voir la configuration du client. Enfin le client a pu apparaître dans le nœud Devices de la console d'administration.

Méthode 2

La seconde méthode vous demande de pré-déployer le certificat tout en l'enregistrant manuellement dans le magasin du client puis d'exécuter l'installation du client.

• Procédez à la demande et à l'installation du certificat sur le client Mac
• Ouvrez un terminal et exécutez la commande suivante : sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access
• Une fenêtre s'ouvre, sélectionnez System dans la section Keychains et Keys dans la section Category
• Identifiez le certificat que vous avez installé et double-cliquez dessus. Sur l'onglet Access Control, et sélectionnez Confirm before allowing access.
• Naviguez dans le répertoire d'installation du client (/Library/Application Support/Microsoft/CCM) et sélectionnez l'exécutable CCMClient puis cliquez sur Add.
• Cliquez sur Save.
• Les sources d'installation des clients Mac ne sont pas livrées avec le produit. Récupérez-les sur le centre de téléchargement Microsoft. Décompressez le fichier dmg.
• Exécutez la commande suivante : sudo ./ccmsetup -MP <FQDN du Management Point> -SubjectName <Valeur de la propriété SubjectName du certificat>
• Une fois l'installation terminée, redémarrez le client Mac pour terminer la procédure.

Note : Lorsque le client est installé, vous pouvez initier la récupération d’une stratégie manuellement en cliquant sur le bouton Connect Now. Vous pouvez aussi retrouver l’heure de dernière connexion.

L’équipe documentation de System Center Configuration Manager a publié la documentation offline de System Center 2012 Configuration Manager (SCCM). Ces fichiers d’aide sont remis à jour en moyenne tous les 6 mois pour couvrir les nouveaux sujets ou les modifications. Cette version correspond aux dernières mises à jour appliquées au 1 février 2013. On retrouve plusieurs modes :

• Un fichier CHM qui met à jour sur le serveur SCCM ou installe sur une autre machine les fichiers d’aide.
• La documentation complète au format Docx
• La documentation complète au format PDF (recherche plus aisée)

Pour voir les avantages et inconvénients de chacun des supports, je vous invite à lire le blog post de l’équipe : http://blogs.technet.com/b/configmgrteam/archive/2012/05/25/announcing-downloadable-documentation-for-configuration-manager.aspx

Télécharger The Technical Documentation Download for System Center 2012 Configuration Manager

Microsoft a publié les outils de déploiement pour la version Click-to-Run d’Office 2013. Ces outils permettent la personnalisation et l’administration d’Office 2013 dans ce mode de déploiement. Vous pouvez :

• Télécharger les sources d’installation sur un emplacement réseau
• Configurer l’installation pour utiliser le partage réseau comme source au lieu d’Internet
• Configurer l’installation pour supprimer toute l’interface graphique
• Configurer la journalisation pour l’installation
• Configurer si Office doit être automatiquement mis à jour ou non
• Configurer quels produits et langues doivent être installés
• Supprimer des produits de la partie Click-to-Run

Télécharger Office Deployment Tool for Click-to-Run

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

Préparation des prérequis d’infrastructure

L’infrastructure doit être préparée pour permettre l’accueil des ordinateurs Mac. Cette partie s’attachera à détailler le processus.

Prérequis des systèmes de site

Voici les prérequis nécessaires à l’installation des différents rôles de System Center 2012 Configuration Manager Service Pack 1 :

• Management Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • Application Development
    • ISAPI Extensions
  • Security
    • Windows Authentication
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • .NET Framework 4.0
    • BITS Server Extensions

• Device Management Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • ASP.NET (avec la nécessité de réenregistrer l’ASP.NET après l’installation du .NET 4 avec %windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe –i –enable)
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • .NET Framework 4.0
    • BITS Server Extensions

Concernant les certificats, le rôle Management Point et son sous rôle Device Management Point requièrent :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
• Le certificat utilisé pour la supervision du rôle :
  • Modèle Microsoft : Workstation Authentication
  • But : Client authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
  • Subjet Name ou Subject Alternative Name : doit contenir une valeur unique correspondant au FQDN de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
  • Longueur de clé maximum : 2048 bits

Note : Un Management Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

• Le Distribution Point requiert le rôle Web Server (IIS) avec les services suivants :
  • Les services activés par défaut par le rôle
  • Application Development :
    • ISAPI Extensions
  • Security :
    • Windows Authentication
  • IIS 6 Management Compatibility
    • IIS 6 Metabase Compatibility
    • IIS 6 WMI Compatibility

Note : Vous pouvez retirer HTTP Redirection et IIS Management Scripts and Tools.

• • Les fonctionnalités suivantes doivent être ajoutées :
    • Remote Differential Compression

Note : Un Distribution Point ne peut pas servir des clients à la fois via le protocole HTTP et HTTPS, vous devrez installer deux instances de ce rôle si certains clients ne peuvent pas utiliser le protocole HTTPS.

Pour les certificats, le rôle Distribution Point requiert :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2
• Le certificat utilisé pour authentifier le point de distribution auprès d’un Management Point utilisant les communications HTTPS et pour authentifier les clients lors du processus de déploiement de système d’exploitation :
  • Modèle Microsoft : Workstation Authentication
  • But : Client authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.2)
  • Subjet Name ou Subject Alternative Name : Pas de prérequis spécifique
  • Support des algorithmes de hachage : SHA-1, SHA-2
  • Longueur de clé maximum : 2048 bits

• L’Enrollment Point requiert
  • les fonctionnalités suivantes :
    • .NET Framework 3.5.1
    • .NET Framework 4.0
    • Toutes les versions : WCF Activation :
      • HTTP Activation
      • Non-HTTP Activation
  • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
    • Les services activés par défaut par le rôle
    • ASP.NET et les composants qui en dépendent
    • IIS 6 Management Compatibility
      • IIS 6 Metabase Compatibility

• L’Enrollment Proxy Point requiert :
  • Les fonctionnalités suivantes :
    • .NET Framework 3.5.1
    • .NET Framework 4.0
    • Toutes les versions : WCF Activation :
      • HTTP Activation
      • Non-HTTP Activation
  • Il requiert aussi le rôle Web Server (IIS) avec les services suivants :
    • Les services activés par défaut par le rôle
    • ASP.NET et les composants qui en dépendent
    • IIS 6 Management Compatibility
      • IIS 6 Metabase Compatibility

Concernant les certificats, les rôles Enrollment Point et Enrollment Proxy Point requièrent :

• Le certificat dédié aux systèmes de site hébergeant le rôle IIS :
  • Modèle Microsoft : Web Server
  • But : Server Authentication
  • Enhanced Key Usage : (1.3.6.1.5.5.7.3.1)
  • Subjet Name ou Subject Alternative Name : FQDN Internet et Intranet de la machine
  • Support des algorithmes de hachage : SHA-1, SHA-2

Vous trouverez plus d’information sur les prérequis logiciels sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg682077.aspx#BKMK_Win2k12SiteSystemPrereqs

Vous trouverez plus de détails sur les certificats requis sur la documentation Technet : http://technet.microsoft.com/en-us/library/gg699362.aspx

Nous ne détaillerons pas leur installation et vous devez au préalable effectuer cette opération pour continuer la lecture de l’article.

Création des certificats pour les systèmes de site

Commencez par installer une autorité de certification (PKI) d’entreprise visant à délivrer les certificats nécessaires. Nous utiliserons la PKI Active Directory Certificate Services (AD CS) afin de bénéficier des fonctionnalités d’enregistrement des périphériques via les rôles Enrollment Point et Enrollment Proxy Point. Une fois installée, ouvrez la console Certificate Authority et dirigez-vous sur le nœud Certificate Templates. Vous pouvez commencer par retirer tous les modèles que vous n’utiliserez pas. Ceci constitue une bonne pratique visant à augmenter le niveau de sécurité de l’autorité.
Ensuite, cliquez droit sur le nœud Certificate Templates et sélectionnez Manage. Une deuxième console s’ouvre. Nous allons commencer par créer le modèle qui sera utilisé pour délivrer des certificats pour les systèmes de site utilisant le serveur web (IIS).

Nous utiliserons le modèle Web Server comme base. Cliquez droit dessus et sélectionnez Duplicate Template. Une fenêtre s’ouvre vous permettant d’éditer les propriétés du modèle. Si vous utilisez une autorité de certification sous Windows Server 2008 ou Windows Server 2008 R2, vous devez utiliser un modèle de type Windows Server 2003. System Center Configuration Manager ne supporte pas les modèles de certificat au nouveau format.

Ouvrez l’onglet général, commencez par donner un nom au modèle. Celui-ci permettra une identification plus aisée lors de la demande de certificat. Vous pouvez aussi jouer sur les paramétrages de validité et de renouvellement. Une augmentation de ces paramétrages facilitera la maintenance générée par les certificats mais augmentera les risques de sécurité.

Naviguez dans l’onglet Subject Name et validez sur l’option Supply in the request est sélectionnée.

Nous allons ensuite éditer les permissions de sécurité via l’onglet Security. Commencez par retirer les droits d’enregistrement pour les groupes Domain Admins, Enterprise Admins et Authenticated Users si nécessaire. Vous pouvez ensuite créer un groupe qui contiendra les comptes ordinateurs des systèmes de site concernés et déléguer les droits Read et Enroll nécessaires à la demande de certificat.

Fermez la console de gestion des modèles et retournez sur la console dédiée à l’autorité de certification. Cliquez droit sur le nœud de l’autorité de certification et éditez ses propriétés. Dans la partie Security, ajoutez le groupe que nous avons créé précédemment et déléguez-lui les droits nécessaires pour procéder à une demande de certificats. Fermez la fenêtre des propriétés

Enfin, cliquez droit dans la partie Certificate Templates, et sélectionnez New – Certificate Template to issue. Une fenêtre s’ouvre afin de vous permettre la sélection du modèle que nous venons de créer.

Une fois le modèle activé, vous le retrouvez dans la liste des modèles disponibles.

Nous pouvons passer à la demande de certificats sur le ou les systèmes de site qui hébergeront les rôles Management Point, Distribution Point, Enrollment Proxy Point et Enrollment Point. Sur le serveur, ouvrez la console MMC et ajoutez le composant Certificates pour la machine. Par la suite, cliquez droit sur le nœud Personal et sélectionnez All Tasks – Request a new certificate. Une fenêtre s’ouvre afin de procéder à la demande d’un certificat. Le modèle doit apparaître si le compte ordinateur de la machine est dans le groupe disposant des droits nécessaires. Notez qu’un redémarrage du serveur peut être nécessaire afin de renouveler son ticket Kerberos. Sélectionnez le modèle ConfigMgr Web Server Certificate. Des informations complémentaires sont nécessaires, cliquez sur l’avertissement pour les renseigner.

Dans l’onglet Subject, ajoutez un nom alternatif de type DNS comprenant le nom de domaine pleinement qualifié (FQDN) du système de site.

Cliquez ensuite sur Ok pour valider l’information. Une fois revenu sur la fenêtre d’enregistrement, cliquez sur Enroll. La demande doit être effectuée avec succès.

Le certificat apparaît ensuite dans le magasin Personal. Nous allons pouvoir l’associer au site Web IIS. Pour cela, ouvrez la console IIS Manager. Cliquez droit sur le site web qui sera utilisé (en général Default Web Site) et sélectionnez Edit Bindings… :

Ajoutez ou éditez le type https. Sélectionnez le certificat SSL que vous venez de délivrer. Le bouton View vous permettra de valider le certificat que vous avez choisi si le common name n’est pas explicite.

Cliquez sur Ok puis fermez la console IIS Manager.

Installation des systèmes de site

Nous pouvons maintenant procéder à l’installation du système de site et du rôle concerné. Ouvrez la console d’administration de System Center 2012 Configuration Manager. Dirigez-vous dans Administration – Servers and Site Systems Roles. Trois scénarios se présentent à vous :

• Vous installez un ou plusieurs systèmes de site accompagnés des rôles nécessaires.
• Vous ajoutez les rôles à un système de site existant. Pour celle méthode, vous devrez au préalable renseigner le nom de domaine internet sur le système de site existant.
• Vous éditez le rôle de système de site déjà installé pour activer la fonctionnalité HTTPS.

Nous détaillerons le premier scénario. Cliquez sur Create Site System Server. Cliquez sur Browse pour renseigner le serveur que vous utiliserez. Sélectionnez ensuite le site auquel vous souhaitez attacher le système. Cochez la case Specify an FQDN for this site system for use on the internet et entrez FQDN souhaité. Vous pouvez ensuite choisir si vous souhaitez utiliser le compte machine du serveur de site pour installer les composants nécessaires ou un compte dédié. Dans les deux cas, les comptes doivent être administrateurs locaux de la machine.

Cliquez sur Next.

A l’étape System Role Selection, choisissez les rôles que vous souhaitez installer : Enrollment Point, Enrollment proxy Point, Distribution Point, et Management Point. Pour simplifier l’article, j’ai choisi de regrouper les 4 rôles sur la même machine. Cela ne sera surement pas le cas dans votre environnement de production.

L’assistant commence par la configuration du point de distribution. La case Install and configure IIS if required by Configuration Manager permet l’installation automatique des prérequis nécessaires pour les systèmes d’exploitation supérieurs à Windows Server 2008 SP2.  Cochez ensuite HTTPS pour spécifier que les clients qui dialogueront avec ce Distribution Point le feront via ce protocole. Vous devez aussi autoriser à la fois les connexions qui proviennent Intranet ou d’Internet.
Enfin puisque votre Distribution Point sera dans un mode de connexion sécurisé, vous devez importer le certificat utilisé pour authentifier les clients lors du processus de déploiement de système d’exploitation.

Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

Nous ne détaillerons pas les écrans de configuration du point de distribution qui suivent. Nous vous rappelons tout de même d’associer le point de distribution à un groupe de limites afin que l’ordinateur Mac puisse accéder au contenu nécessaire. 

A l’étape Management Point, cochez la case HTTPS pour spécifier le type de communication du système de site. Sélectionnez ensuite Allow intranet and internet connections et cochez la case Allow mobile devices and Mac computers to use this management point. Ces deux options permettront d’assurer le support des ordinateurs Mac par le rôle Management Point.

Note : Les clients Mac communiquent en mode Internet only mais l’option vous permettra aussi de gérer les clients Windows compatibles pour communiquer en HTTPS.

Passez le groupement Management Point Database si vous ne souhaitez pas configurer un réplica de base de données.

Sur l’écran Enrollment Point, Vous pouvez personnaliser le nom du site web (IIS) utilisé (celui-ci doit être créé manuellement au préalable), le port utilisé, et le nom de l’application virtuelle. Validez sur le protocole HTTPS est sélectionné. Choisissez ensuite d’utiliser le compte ordinateur du système de site ou un compte de service pour lire les informations dans la base de données.

Cliquez sur Next pour passer au groupement Enrollment Proxy Point. Sélectionnez le rôle Enrollment Point avec lequel le proxy dialoguera. Vous pouvez ensuite personnaliser le nom du site web (celui-ci doit être créé manuellement au préalable) et le port par défaut. Validez sur le protocole HTTPS est sélectionné.

Validez l’écran de résumé pour lancer l’installation. Fermez ensuite l’assistant.

Vous pouvez valider l’installation des rôles via les fichiers de journalisation suivants :

• Management Point : MPSetup.log
• Device Management Point : DMPSetup.log
• Enrollment Point : SMSENROLLSRVSetup.log et enrollsrvMSI.log
• Enrollment Proxy Point : SMSENROLLWEBSetup.log et enrollwebMSI.log

La partie Monitoring – System Status – Component Status vous permettra de valider l’état de chacun des composants.

Modification des communications clientes

Cette partie ne constitue pas un élément obligatoire pour la gestion des ordinateurs Mac. Néanmoins, nous avons choisi de l’inclure car elle permettra la gestion des clients Windows via le protocole HTTPS.

Ouvrez la console d’administration, naviguez dans Administration – Overview – Site Configuration – Sites. Ouvrez les propriétés du site et l’onglet Client Computer Communication. L’option HTTPS Only force le site à n’accepter que les communications HTTPs. Cette option est à activer avec délicatesse pour ne pas isoler des clients qui ne seraient pas compatibles. La case Use PKI client certificate (client authentication capability) when availability permet d’autoriser le client à utiliser un certificat d’entreprise s’il a été déployé. Le bouton Modify permet de modifier les options de sélection du certificat client. Le paramètre Clients check the certificate revocation list (CRL) for site systems permet de forcer le client à vérifier la liste de révocation des certificats pour éviter de dialoguer avec des certificats qui auraient été volés. La partie Trusted Root Certificiation Authorities permet la sélectionne de l’autorité de certification racine utilisée par System Center Configuration Manager.

Note : Cet imprime écran est donné à titre indicatif.

Les administrateurs ConfigMgr 2012 vont être comblés. Microsoft adopte une stratégie complétement différentes pour la supervision de ConfigMgr que celle qui avait été mise en place avec SCCM 2007. La précédente version était une version convertie qui n’a jamais été revue. L’équipe ConfigMgr propose une mise à jour (5.00.7804.1) du pack de supervision ou Monitoring Pack pour System Center 2012 Configuration Manager SP1. Cette version supporte à la fois System Center Operations Manager 2007 R2 ou System Center 2012 Operations Manager.

Il dispose des fonctionnalités suivantes :

• La supervision de la disponibilité des rôles de serveur
• La supervision de l’état de santé des services clés
• La supervision de l’état santé de la réplication SQL intersites
• La collection et la supervision des compteurs de performances des serveurs ConfigMgr
• Un diagramme topologique de la hiérarchie de site ConfigMgr
• Des rapports montrant l’état de disponibilité et les performances des serveurs ConfigMgr
• Supervision de l’état des alertes dans ConfigMgr

Voici le détail :

En outre, vous devez activer le mode proxy sur les agents des machines ConfigMgr 2012 supervisées. Pour plus d'information sur les classes, règles et moniteurs par rôle, vous pouvez lire la documentation et l'appendix.

Télécharger System Center Monitoring Pack for System Center 2012 SP1– Configuration Manager

Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS sur Microsoft Message Queuing Services (MSMQ) 2012. Ce Management Pack n’est supporté que sur System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center 2012 Monitoring Pack for Message Queuing

Microsoft vient de publier un Management Pack (7.0.8560.0) pour superviser le rôle WSUS  sur Windows Server 2012. Ce Management Pack est supporté sur System Center Operations Manager 2007 R2 et System Center 2012 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Le Management Pack apporte la supervision des éléments suivants :

• L’état de santé du client inclut l’installation des mises à jour, l’agent Windows Update, l’inventaire des clients, la mise à jour automatique des clients, les clients qui ne se rapportent pas
• L’état de santé du produit avec les permissions sur le répertoire de contenu, l’espace disque, la synchronisation du catalogue, la synchronisation du contenu, le service WSUS, et la notification d’e-mail
• L’état de santé de la base de données SQL
• L’état de santé des Web Services

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center Management Pack for WSUS on Windows Server 2012

Microsoft vient de publier le Patch Tuesday pour le mois de février 2013. Il comporte 12 bulletins de sécurité, dont cinq qualifiés de critique. Il corrige des vulnérabilités sur Windows, .NET Framework, Internet Explorer, et FAST Search.

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Table des matières

1. Introduction
2. Fonctionnement
3. Préparation des prérequis d’infrastructure
   1. Prérequis des systèmes de site
   2. Création des certificats pour les systèmes de site
   3. Installation des systèmes de site
   4. Modification des communications clientes
4. Préparation des prérequis clients
   1. Prérequis matériel et logiciels
   2. Création du modèle de certificat
   3. Modification de la stratégie pour l’enregistrement
   4. Installation du client ConfigMgr pour Mac

5. Aperçu des fonctionnalités
   1. Inventaire matériel et logiciels
   2. Déploiement d’applications
   3. Gestion de la conformité
6. Dépannage du client ConfigMgr pour Mac
7. La protection antivirale avec EndPoint Protection 2012
8. Conclusion

Télécharger la version PDF (disponible prochainement)

System Center 2012 Configuration Manager se voit octroyer de nouvelles capacités avec l’arrivée du Service Pack 1. Ce produit fait partie de la gamme de gestion de l’infrastructure System Center de Microsoft. Il permet la gestion du cycle de vie des ressources (postes de travail, serveurs, périphériques mobiles…) de l’entreprise. On retrouve notamment la possibilité de déployer des systèmes d’exploitation, des logiciels, des mises à jour logiciels, de prendre le contrôle à distance, d’inventorier le matériel et les logiciels, ou encore de vérifier la conformité de la ressource. Cette nouvelle version ouvre notamment la voie à l’interopérabilité vers des systèmes d’exploitation qui n’étaient jusqu’alors pas couverts. Cette série d’articles visera à présenter et couvrir l’implémentation et les possibilités offertes pour chacun des systèmes. Nous commencerons ainsi par les systèmes Mac OS. L’introduction de ce système était attendue par nombre d’entreprises qui ne possédaient pas de solution d’administration pour ces périphériques. Qui n’a pas rencontré des infographistes ou des VIPs qui ont fait des pieds et des mains pour obtenir cette exception. Ce phénomène va s’accentuer lorsque les entreprises prendront le pas de la consumérisation (BYOD), laissant ainsi aux utilisateurs le choix de son outil de travail.

Cette première version apporte les fonctionnalités suivantes :

• Découverte des périphériques Mac OS joints à l’annuaire Active Directory ou présents sur le réseau
• Inventaire Matériel
• Inventaire des logiciels au travers de l’inventaire matériel et des classes Add/Remove Programs. Il n’existe pour pas d’inventaire logiciel analysant le disque pour rechercher des fichiers (exécutables par exemple) comme celui présent sur les clients Windows.
• Déploiement d’applications via le nouveau modèle introduit avec ConfigMgr 2012
• Gestion de la conformité et des paramétrages
• La protection antivirale avec System Center 2012 Endpoint Protection

Microsoft a pour objectif d’enrichir la liste des fonctionnalités au gré des versions pour atteindre un niveau similaire à celui proposé pour les clients Windows.

System Center 2012 Configuration Manager Service Pack 1 supporte les versions suivantes de Mac OS X :

• Snow Leopard (10.6)
•  Lion (10.7)

La version 10.8 n’est toujours pas supportée mais devrait l’être prochainement.

System Center 2012 EndPoint Protection Service Pack 1 supporte les versions suivantes de Mac OS X :

• Snow Leopard (10.6)
• Lion (10.7)
• Mountain Lion (10.8)

Fonctionnement

La gestion des ordinateurs Mac reprend le concept introduit pour la gestion native des périphériques mobiles. Ainsi, un client spécifique est installé sur l’ordinateur et permet le dialogue avec le Device Management Point, sous composant du rôle de système de site Management Point. Le client l’interroge pour obtenir les stratégies pouvant inclure :

• Les paramètres à appliquer sur le client ConfigMgr
• Les déploiements d’applications qui ciblent la machine
• Les lignes de base que le client doit valider

Le client peut renvoyer des informations à ce rôle pour informer l’infrastructure sur :

• L’état des déploiements exécutés
• Le résultat des lignes de base
• Les messages d’état divers et variés
• Le résultat de l’inventaire matériel

Le Device Management Point est indispensable à la gestion des ordinateurs Mac. En outre, le client peut être amené à dialoguer avec un Distribution Point pour récupérer les sources nécessaires à l’installation des applications qui lui sont déployées.

Toutes les communications entre le client Mac et l’infrastructure sont chiffrées et authentifiées via l’utilisation de certificats et du protocole HTTPS.

Enfin, on retrouve les rôles de système de site Enrollment Point et Enrollment Proxy Point qui servent à l’enregistrement des clients auprès de l’infrastructure ConfigMgr. Il facilite notamment le déploiement des certificats nécessaires à la communication du client avec son Device Management Point. Ces rôles ne sont pas obligatoires à l’administration de ces périphériques. Ils évitent néanmoins des opérations manuelles nécessaires au déploiement du certificat d’entreprise.

Cet article détaillera la mise en œuvre de tous ces rôles.