Aller au contenu

(Cours/TP) Microsoft Configuration Manager

Présentation (slides)

alt text *source : https://learn.microsoft.com/fr-fr/mem/endpoint-manager-overview

Programme & Tour d’Horizon

Objectifs de la formation :

  • Découvrir les principes fondamentaux de Configuration Manager.

  • Comprendre l’architecture, la terminologie et les rôles principaux.

  • Se familiariser avec l’interface et les scénarios courants pour un technicien helpdesk.

Programme global (3 jours) :

1) Installation et configuration du serveur (TP01).

2) Découverte des ressources AD, déploiement du client (TP02).

3) Inventaire et outils de contrôle à distance (TP03).

4) Distribution d’applications (TP04).

5) Sécurité des ressources (TP05).

6) Déploiement d’OS (TP06).

Tour d’horizon de la console MECM

  • Présentation des menus, des noeuds principaux (Assets and Compliance, Software Library, Monitoring, Administration, etc.).

  • Mise en évidence des principaux rôles (Management Point, Distribution Point, SUP, etc.).

Que permet Configuration Manager ?

  • Inventaire matériel et logiciel : Rapports détaillés, suivi des ressources, tableau de bord d’utilisation.

  • Déploiement d’applications : Distribution automatisée, suivi des installations, mises à jour logicielles.

  • Mises à jour logicielles (via WSUS) : Intégration avec WSUS pour synchroniser et diffuser les mises à jour Microsoft de façon centralisée (Windows, Office, etc.).

  • Déploiement d’OS : Création et personnalisation d’images, automatisation (ZTI, LTI).

  • Sécurité et conformité : Configuration des stratégies (GPO-like), antivirus (Endpoint Protection), chiffrement (BitLocker), etc.

  • Outils de support et de contrôle à distance : Diagnostic et dépannage en direct sur les postes gérés.

Évolution historique (de SMS à InTune)

  • SMS (Systems Management Server) : Lancé en 1994 pour gérer les ordinateurs Windows. Inventaire matériel/logiciel et déploiement d’applications.

  • SCCM (System Center Configuration Manager) : Évolution majeure de SMS en 2007. Distribution d’OS, patch management et reporting enrichi.

  • SCCM 2012 : Tournant et dernière version baptisée avec l’année : Centré désormais sur l’utilisateur (mobilité), mais gestion mobile limitée à Windows Mobile et Nokia. Android et iOS sont gérés via un connecteur Exchange basique. Les solutions tierces (MobileIron, Good, AirWatch...) dominent pour iOS/Android.

Période difficile pour Microsoft (Windows 8 peu plébiscité), Microsoft lance alors Intune, un service SaaS pour la gestion mobile !

  • 2015 : Renaissance avec Windows 10 : Microsoft adopte une approche de mises à jour continues, inspirée de Windows 10. SCCM bascule vers la « Current Branch », la première est la 1511 (envrion 1 par trimestre) : cycle de mises à jour simplifié et perpétuel. Permet de suivre l’évolution rapide de la mobilité, de la co-gestion et de l’intégration cloud.

  • Microsoft Endpoint Configuration Manager (MECM) : Nouvelle dénomination depuis 2019 (intégré dans Microsoft Endpoint Manager). Intégration renforcée avec Intune et introduction des scénarios de co-gestion (cloud + on-premise).

  • Mars 2023 Microsoft a annoncé un changement de nomenclature (regroupant Configuration Manager, Intune, Endpoint Analytics et Autopilot sous l’appellation « Microsoft Intune »), passant de Microsoft Endpoint Manager à Microsoft Intune !

ConfigMgr est largement prédominant dans les grandes entreprises. Microsoft a annoncé en 2022/2023 que des centaines de millions d’appareils Windows sont gérés via ConfigMgr dans le monde, et que plus de 270 millions d’appareils (tout OS confondus) sont « actifs » dans Intune !

Focus sur Intune et la co-gestion

  • Microsoft Intune : Gestion des appareils (PC, mobiles) dans le cloud (MDM). Simplifie l’administration avec peu ou pas d’infrastructure locale.

  • Co-gestion (Co-management) : Piloter les mêmes terminaux depuis MECM (on-premise) et Intune (cloud). Répartition flexible des tâches : par exemple, déploiement d’apps via MECM, gestion des paramètres via Intune.

Notions et terminologie clés

  • Site: Périmètre logique et technique d’administration composé forcément d'un site primaire. On peut ajouter un site secondaire considéré comme un relais pour gérer des liaisons réseau lentes ou délocalisées et un Central Administration Site (CAS) dans des grandes organisations avec plusieurs sites primaires. Un client ne peut appartenir qu’à un seul site primaire à la fois, assurant ainsi son administration.

  • Rôles Système de Site (Site System Roles) : Fonctions attribuées à un serveur tesl que Management Point (MP), Distribution Point (DP) et Software Update Point (SUP).

  • Base de données SQL Server : Stocke toutes les informations (inventaire, configuration, déploiements). Maintenance, sauvegardes et bonnes pratiques SQL indispensables.

  • Découverte (Discovery Methods) : Permet d’identifier automatiquement les ressources dans AD (machines, utilisateurs).

  • Client ConfigMgr : Agent installé sur chaque machine. Gère l’inventaire, le déploiement d’applications, les mises à jour.

  • Collections : groupe logique de ressources (machines, utilisateurs ou groupes) que l’on souhaite gérer ou cibler de manière spécifique. Basées sur des requêtes (OS, attributs AD, noms, etc.) ou gérées manuellement.

Principaux fichiers de Log

  • Importance des logs : Diagnostic des problèmes (déploiement échoué, inventaire bloqué, etc.). Logs côté serveur et côté client.

  • Logs serveurs (exemples) :

  • SiteComp.log : Installation/configuration des composants de site.

  • SmsAdminUI.log : Erreurs potentielles liées à la console d’administration.

  • WCM.log : Gestion de la configuration du SUP.

  • Logs clients (exemples) :

  • CCMSetup.log : Installation du client ConfigMgr.

  • LocationServices.log : Attribution du site et découverte des points de distribution.

  • AppEnforce.log : Exécution des déploiements d’applications.

  • Outils de lecture CMTrace : pour filtrer, rechercher, lire les logs en temps réel.

TP Configuration Manager

  • Prise en main pratique : Nous mettrons en place un serveur MECM de test, verrons la découverte, le déploiement du client, la distribution d’applications et le déploiement d’OS.

  • À retenir : Configuration Manager est une solution complète de gestion du parc informatique on premise, intégrée à la suite Microsoft Intune (anciennement Endpoint Manager), permettant une co-gestion cloud/hybride avec Intune.

Lien vers les TP en PDF

Pour info, liste des prérequis Configuration Manager

Voici une vue d’ensemble, organisée par catégorie, des prérequis pour installer et Configuration Manager (validé pour la version 2403). Les prérequis pour Configuration Manager couvrent l’OS, les rôles Windows, SQL, l’ADK pour le déploiement d’OS, et un environnement AD/DNS fiable. Planifier correctement l’espace disque, les comptes et la connectivité permet d’éviter la plupart des problèmes d’installation. En production, on privilégiera HTTPS et la sécurité via des certificats PKI. En lab/test, un mode HTTP suffit pour démarrer rapidement.

1) Système d’exploitation du serveur :

  • Windows Server à partie de la version 2019. Mettez à jour l'OS avant l’installation. L’édition Standard ou Datacenter convient. Les éditions Core sont supportées, mais moins pratiques pour l’administration visuelle.

2) Rôles et fonctionnalités Windows

  • IIS (Internet Information Services) : Nécessaire notamment pour le point de gestion (MP) et point de distribution (DP).

  • .NET Framework 3.5 et 4.8 : Indispensables pour certains composants Configuration Manager et la console.

  • BITS (Background Intelligent Transfer Service) et RDC (Remote Differential Compression) : Optimisent les transferts de contenu et la réplication.

  • WSUS (Windows Server Update Services) : Si vous hébergez le Software Update Point (SUP) localement. Peut être sur le même serveur ou sur un serveur dédié.

3) SQL Server

  • SQL Server 2019 ou 2022 (standard ou enterprise). Doit être à jour avec les derniers Service Packs/CUs.

  • Autorisations & configuration : Compte de service SQL dédié. Moteur de base de données, ports réseau ouverts (par défaut 1433).

  • Collation : SQL_Latin1_General_CP1_CI_AS indispensable pour éviter les problèmes d’installation.

4) ADK (Assessment and Deployment Kit)

  • Indispensable pour les scénarios de déploiement d’OS (images WinPE, etc.).

  • WinPE Add-on : WinPE est séparé du package principal de l’ADK. À installer si vous comptez créer des images de démarrage pour le déploiment d'OS.

5) Réseau et Active Directory

  • Nom de domaine : Le serveur Configuration Manager doit être joint au domaine Active Directory (même forêt ou confiance établie).

  • DNS : Résolution correcte pour le serveur et les clients. Entrées DNS à jour (A/AAAA, PTR si nécessaire).

  • Comptes & Groupes : Comptes de service dédiés (ex. : compte pour l’installation de SCCM, compte pour SQL, etc.). Droits suffisants pour interroger AD (lecture) et créer des objets (selon le besoin).

6) Certificats (HTTPS/PKI) [Optionnel]

  • PKI (Public Key Infrastructure) : Optionnel, mais recommandé pour la communication HTTPS sécurisée. Certificats pour le site, les points de gestion, etc.

  • Mode HTTPS ou HTTP : Mode HTTP suffisant en environnement de test. En production, privilégier HTTPS..

7) Stockage et espace disque

  • Espace disque pour la base de données : Variable selon la taille du parc (journaux d’inventaire, mises à jour, etc.) Prévoyez une marge confortable (+100 Go minimum selon l’ampleur de l’environnement).

  • Espace pour le contenu (packages, images, mises à jour) : Sur le point de distribution (ou partage réseau). Peut atteindre des centaines de Go selon vos applications / images WIM.

  • Performances : Disques rapides (SSD) recommandés pour la base SQL et le dossier de logs.

8) Accès Internet (Optionnel)

  • Synchronisation des mises à jour : Accès au catalogue Microsoft si vous utilisez WSUS/SUP localement. Nécessaire pour la co-gestion avec Intune (si applicable).

  • Téléchargement ADK/WinPE : Vous devrez télécharger les exécutables si vous ne les avez pas en local.

9) Comptes et permissions Configuration Manager

  • Compte d’installation : Doit être administrateur local du serveur + droits suffisants sur SQL.

  • Compte du site : Utilisé pour exécuter certains services MECM. Besoin de droits spécifiques sur AD et SQL, selon vos configurations.

  • Compte du client : Pour l’installation push : droits administrateurs locaux sur les machines cibles.

10) Autres dépendances / considérations

  • Pare-feu Windows: Ouvrir les ports nécessaires (RPC, SMB, 80, 443, 8530/8531 pour WSUS, etc.).

  • Horloge et synchronisation NTP : Importante pour éviter des erreurs d’authentification (Kerberos).

  • CMTrace / Visionneuse de logs : Préconisé pour lire les fichiers journaux Configuration Manager.

Commandes PowerShell permettant d’installer les rôles et fonctionnalités Windows prérequis pour l'éxecution des TP

Commandes permettant d’installer les rôles et fonctionnalités Windows nécessaires à un serveur Configuration Manager (validé version 2403) sans inclure l’installation de SQL Server et WSUS. Il inclut les composants IIS, .NET, BITS, RDC.

# 1. Import du module ServerManager (certaines versions de Windows Server en ont besoin)
Import-Module ServerManager -ErrorAction SilentlyContinue

# 2. Installation des rôles et fonctionnalités
# ASTUCE : faites un Get-WindowsFeature pour vérifier la disponibilité/nomenclature exacte.

#Installation du transfert intelligent en arrière-plan (BITS) et la compression différentielle à distance (RDC)

Install-WindowsFeature -Name BITS , RDC

# Installetion du .NET Framework 3.5 et le .NET Framework 4.5

Install-WindowsFeature -Name NET-Framework-Features , NET-Framework-45-Features

# Instalaltion du Serveur web IIS

Install-WindowsFeature -Name Web-Server, Web-Common-Http, Web-Static-Content, Web-Http-Errors, Web-Security, Web-Windows-Auth, Web-App-Dev, Web-Asp-Net, Web-Asp-Net45, Web-Net-Ext, Web-Net-Ext45, Web-ISAPI-Ext, Web-Mgmt-Compat, Web-Metabase, Web-Wmi, Web-Scripting-Tools -IncludeManagementTools

Références

https://www.editions-eni.fr/livre/microsoft-endpoint-configuration-manager-exploitation-et-administration-2e-edition-9782409029097

https://learn.microsoft.com/fr-fr/mem/configmgr/core/understand/introduction