Comment configurer le service d’administration dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Suivez les étapes décrites dans cet article pour configurer le service d’administration sur votre fournisseur SMS. Avant de commencer, lisez les prérequis du service d’administration.
Activer la communication HTTPS sécurisée
Configurez le service d’administration pour utiliser une connexion HTTPS sécurisée pour protéger les données en transit sur le réseau.
À compter de la version 2010, vous n’avez plus besoin d’activer IIS sur le fournisseur SMS pour le service d’administration. Le site crée un certificat auto-signé pour le fournisseur SMS et le lie automatiquement sans nécessiter IIS. Si IIS était précédemment installé sur le fournisseur SMS, vous pouvez le supprimer. Redémarrez ensuite le composant SMS_REST_PROVIDER. N’oubliez pas que vous devez ouvrir le port HTTPS 443 sur votre pare-feu.
Le service d’administration utilise automatiquement le certificat auto-signé du site. Ce comportement permet de réduire les frictions pour faciliter l’utilisation du service d’administration. Le site génère toujours ce certificat. Le service d’administration ignore le paramètre de site HTTP amélioré, car il utilise toujours le certificat du site même si aucun autre système de site n’utilise http amélioré. Vous pouvez toujours lier manuellement un certificat d’authentification serveur PKI. Si vous avez déjà lié un certificat PKI au port 443 sur le serveur du fournisseur SMS, le service d’administration utilise ce certificat existant.
Utiliser un certificat d’authentification serveur
Remarque
Par défaut, le service d’administration utilise automatiquement le certificat auto-signé du site. Vous pouvez toujours lier manuellement un certificat d’authentification serveur PKI. Avant de pouvoir lier votre certificat PKI, dissociez manuellement le certificat auto-signé du site du port 443 sur le fournisseur SMS.
Il existe deux méthodes principales d’utilisation d’un certificat d’authentification serveur :
À partir de l’infrastructure à clé publique (PKI) de votre organisation
Si votre environnement a déjà une infrastructure à clé publique, vous pouvez l’utiliser pour émettre un certificat d’authentification serveur pour le fournisseur SMS. Ce certificat est similaire au certificat que vous utiliseriez pour un point de gestion ou un point de distribution. Pour plus d’informations, consultez Configuration requise des certificats PKI.
La plupart des implémentations pKI d’entreprise ajoutent les autorités de certification racines approuvées aux clients Windows. Par exemple, l’utilisation des services de certificats Active Directory avec une stratégie de groupe. Si vous émettez le certificat à partir d’une autorité de certification que vos clients n’approuvent pas automatiquement, ajoutez le certificat racine approuvé de l’autorité de certification aux clients. Vous pouvez limiter cette approbation uniquement aux clients qui doivent accéder au service d’administration.
Utilisez un certificat d’un fournisseur de certificats public et globalement approuvé. Les clients Windows incluent des autorités de certification racines approuvées de ces fournisseurs. En utilisant un certificat d’authentification serveur émis par l’un de ces fournisseurs, vos clients l’approuvent automatiquement.
Une fois que vous disposez d’un certificat d’authentification serveur pour le fournisseur SMS, vous devez le lier manuellement au port 443 dans IIS sur le serveur qui héberge le rôle Fournisseur SMS.
Tout d’abord, ajoutez le certificat au serveur. Importez le certificat dans le magasin Personnel de l’ordinateur local. Utilisez ensuite l’une des options suivantes pour lier le certificat :
Lier le certificat avec IIS
Si le serveur avec le rôle Fournisseur SMS a la console de gestion IIS, utilisez l’action Modifier les liaisons sur le site web par défaut. Ajoutez le port 443 et spécifiez votre certificat à partir du magasin de certificats de l’ordinateur.
Remarque
Le rôle Fournisseur SMS ne nécessite pas IIS. Cette procédure utilise la console IIS pour lier le certificat. Ces liaisons de certificat sont destinées à la machine, et non à un service spécifique.
Lier le certificat avec netsh
Utilisez la ligne de commande netsh pour lier le certificat :
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Où <thumbprint>
est l’empreinte numérique du certificat installé et <GUID>
est un GUID aléatoire.
Conseil
Utilisez l’applet de commande New-Guid
Windows PowerShell pour générer un GUID aléatoire.
Par exemple :
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Activer l’accès à Internet
Vous pouvez utiliser le service d’administration local uniquement, ou vous pouvez l’activer pour l’accès via la passerelle de gestion cloud (CMG). Certains scénarios nécessitent l’accès au service d’administration à partir d’Internet, comme l’attachement de locataire ou les approbations d’applications par e-mail.
Avant de pouvoir configurer le fournisseur SMS pour autoriser le trafic de passerelle de gestion cloud, commencez par configurer une passerelle de gestion cloud. Pour plus d’informations, consultez Vue d’ensemble de la passerelle de gestion cloud.
Ensuite, utilisez le processus suivant pour activer le service d’administration via la passerelle de gestion cloud :
Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Serveurs et rôles de système de site.
Sélectionnez le serveur avec le rôle Fournisseur SMS .
Conseil
Dans le ruban, sous l’onglet Accueil , sélectionnez Serveurs avec rôle , puis Fournisseur SMS. Cette action vous montre les systèmes de site avec ce rôle.
Dans le volet d’informations, sélectionnez le rôle Fournisseur SMS , puis sélectionnez Propriétés dans le ruban sous l’onglet Rôle de site .
Sélectionnez l’option Autoriser Configuration Manager trafic de passerelle de gestion cloud pour le service d’administration.
Pour accéder au service d’administration à partir d’Internet, remplacez le nom de domaine complet du fournisseur SMS par le point de terminaison de la passerelle de gestion cloud. Par exemple :
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Conseil
Pour obtenir la valeur de ce point de terminaison, procédez comme suit :
Créez une passerelle de gestion cloud. Pour plus d’informations, consultez Configurer une passerelle de gestion cloud.
Sur un client actif, ouvrez une invite de commandes Windows PowerShell en tant qu’administrateur.
Exécutez la commande suivante :
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Activer l’utilisation de la console
Remarque
À compter de la version 2111, l’option Permettant à la console Configuration Manager d’utiliser le service d’administration est supprimée. Le service d’administration étant toujours actif, la console l’utilise si nécessaire.
Permettre à certains nœuds de la console Configuration Manager d’utiliser le service d’administration. Cette modification permet à la console de communiquer avec le fournisseur SMS via HTTPS au lieu de via WMI.
Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Sites. Dans le ruban, sélectionnez Paramètres de hiérarchie.
Dans la page Général, sélectionnez l’option Activer la console Configuration Manager pour utiliser le service d’administration.
Cette modification affecte uniquement les nœuds suivants sous le nœud Sécurité dans l’espace de travail Administration :
- Utilisateurs administratifs
- Rôles de sécurité
- Étendues de sécurité
- Connexions à la console
Lorsque vous sélectionnez l’un de ces nœuds, si le message d’erreur suivant s’affiche :
Configuration Manager ne peut pas se connecter au service d’administration
Passez en revue les informations sous l’erreur. Vérifiez ensuite que le service d’administration est activé, configuré et fonctionnel. Pour plus d’informations, notamment sur les fichiers journaux à examiner, consultez la section Vérifier .
Vérifier
Lorsque le site installe le service d’administration, il journalise l’activité dans le fichier RESTPROVIDERSetup.log dans le répertoire d’installation Configuration Manager. Par défaut, ce chemin est C:\Program Files\Microsoft Configuration Manager\logs
.
Le site effectue le suivi de l’état d’intégrité du service d’administration dans le fichier SMS_REST_PROVIDER.log . Vous pouvez voir le démarrage du service et des informations sur le certificat.
Testez le service d’administration en effectuant une requête simple dans un navigateur web, par exemple :
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
Le service d’administration enregistre son activité dans le fichier adminservice.log sur le serveur du fournisseur SMS dans le répertoire d’installation Configuration Manager.
Pour la requête de métadonnées ci-dessus, le fichier journal affiche les lignes suivantes :
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]