Planifier la gestion des clients sur Internet dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Utilisez la gestion des clients basée sur Internet (IBCM) pour gérer Configuration Manager clients lorsqu’ils ne sont pas connectés à votre réseau interne. Avantages de l’utilisation d’IBCM :
- Contrôle total des serveurs et des rôles fournissant le service
- Aucune dépendance de service cloud
- Peut ne pas nécessiter de réseau privé virtuel (VPN)
- Tous les coûts sont associés au service local
En raison des exigences de sécurité plus élevées de la gestion des ordinateurs clients sur un réseau public, IBCM nécessite l’utilisation de certificats PKI. Cette configuration garantit que les connexions sont authentifiées par une autorité indépendante. Lorsque les clients et serveurs de site IBCM envoient des données, elles sont chiffrées et sécurisées.
Communications clientes
Les rôles de système de site suivants sur les sites principaux prennent en charge les connexions à partir de clients qui se trouvent dans des emplacements non approuvés :
Remarque
Bien que IBCM se concentre principalement sur le scénario Basé sur Internet, les mêmes comportements s’appliquent aux clients dans une forêt Active Directory non approuvée. Les sites secondaires ne prennent pas en charge les connexions client à partir d’emplacements non approuvés.
Point d’inscription de certificat pour le module de stratégie Configuration Manager (NDES)
Avertissement
À compter de la version 2203, le point d’inscription de certificat n’est plus pris en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.
Point de distribution
Passerelle de gestion cloud compatible avec le contenu (CMG)
Point de proxy d’inscription
Point d’état de secours
Point de gestion
Point de mise à jour logicielle
À propos des systèmes de site accessibles sur Internet
Il n’est pas nécessaire d’avoir une approbation entre la forêt d’un client et celle du serveur de système de site. Toutefois, lorsque la forêt qui contient un système de site accessible sur Internet approuve la forêt qui contient les comptes d’utilisateur, cette configuration prend en charge les stratégies basées sur l’utilisateur pour les appareils sur Internet lorsque vous activez le paramètre client Stratégie clientActiver les demandes de stratégie utilisateur des clients Internet.
Par exemple, les configurations suivantes illustrent quand IBCM prend en charge les stratégies utilisateur pour les appareils sur Internet :
Le point de gestion basé sur Internet se trouve dans le réseau de périmètre. Ce réseau dispose également d’un contrôleur de domaine en lecture seule pour authentifier l’utilisateur. Un pare-feu entre le périmètre et les réseaux internes autorise les paquets Active Directory.
Le compte d’utilisateur se trouve dans la forêt intranet. Le point de gestion basé sur Internet se trouve dans la forêt basée sur le périmètre. La forêt de périmètre approuve la forêt interne. Un pare-feu entre le périmètre et les réseaux internes autorise les paquets d’authentification.
Le compte d’utilisateur et le point de gestion internet se trouvent tous deux dans la forêt intranet. Vous publiez le point de gestion sur Internet avec un serveur proxy web.
Utiliser un serveur proxy web
Vous pouvez placer des systèmes de site basés sur Internet dans l’intranet lorsque vous les publiez sur Internet avec un serveur proxy web. Configurez ces systèmes de site pour les connexions clientes à partir d’Internet uniquement ou les connexions clientes à partir d’Internet et de l’intranet. Lorsque vous utilisez un serveur proxy web, vous pouvez le configurer pour le pontage SSL (Secure Sockets Layer) vers le tunneling SSL ou SSL.
Pontage SSL vers SSL
Le pontage SSL vers SSL est la configuration recommandée et plus sécurisée, car il utilise l’arrêt SSL avec l’authentification. Il authentifie les ordinateurs clients avec l’authentification de l’ordinateur. Les appareils mobiles que vous inscrivez avec Configuration Manager ne prennent pas en charge le pontage SSL.
Avec l’arrêt SSL au niveau du proxy, il inspecte les paquets à partir d’Internet avant de les transférer au réseau interne. Le proxy authentifie la connexion à partir du client, l’arrête, puis ouvre une nouvelle connexion authentifiée aux systèmes de site basés sur Internet. Lorsque Configuration Manager clients utilisent un proxy, le client contient en toute sécurité son identité (GUID) dans la charge utile du paquet. Le point de gestion ne considère pas le proxy comme étant le client. Configuration Manager ne prend pas en charge le pontage avec HTTP vers HTTPS ou de HTTPS à HTTP.
Remarque
Configuration Manager ne prend pas en charge la définition de configurations de pontage SSL tierces. Par exemple, Citrix Netscaler ou F5 BIG-IP. Contactez le fournisseur de votre appareil pour le configurer en vue de son utilisation avec Configuration Manager.
Tunneling
Si votre serveur web proxy ne peut pas prendre en charge la configuration requise pour le pontage SSL, Configuration Manager prend également en charge le tunneling SSL. Vous pouvez également utiliser le tunneling SSL pour prendre en charge les appareils mobiles que vous inscrivez avec Configuration Manager. Il s’agit d’une option moins sécurisée, car le proxy transfère les paquets SSL d’Internet aux systèmes de site sans terminaison SSL. Le proxy n’inspecte pas les paquets à la recherche de contenu malveillant. Lorsque vous utilisez le tunneling SSL, il n’existe aucune exigence de certificat pour le serveur web proxy.
Planifier les clients basés sur Internet
Déterminez s’il faut configurer vos clients basés sur Internet pour la gestion sur l’intranet et sur Internet, ou pour la gestion des clients internet uniquement. Vous pouvez uniquement configurer cette option de gestion pendant l’installation du client. Pour le modifier ultérieurement, réinstallez le client.
Remarque
Si vous configurez un point de gestion pour prendre en charge les clients basés sur Internet, les clients qui se connectent à ce point de gestion deviennent compatibles Avec Internet, ils actualisent ensuite leur liste de points de gestion disponibles.
Vous n’avez pas besoin de restreindre la configuration de la gestion des clients Sur Internet uniquement à Internet. Vous pouvez également l’utiliser sur l’intranet.
Les clients que vous configurez pour la gestion Internet uniquement communiquent uniquement avec les systèmes de site que vous configurez pour les connexions client à partir d’Internet. Utilisez cette configuration dans les scénarios suivants :
- Pour les ordinateurs dont vous savez qu’ils ne se connecteront jamais à votre intranet. Par exemple, les ordinateurs de point de vente dans des emplacements distants.
- Pour limiter la communication du client au protocole HTTPS uniquement. Par exemple, pour prendre en charge les stratégies de pare-feu et de sécurité restreintes.
- Lorsque vous installez des systèmes de site basés sur Internet dans un réseau de périmètre et que vous souhaitez gérer ces serveurs en tant que clients Configuration Manager.
Remarque
Lorsque vous souhaitez gérer des clients de groupe de travail sur Internet, installez-les uniquement sur Internet.
Lorsque vous configurez un appareil mobile pour utiliser un point de gestion basé sur Internet, il est automatiquement configuré comme internet uniquement.
Vous pouvez configurer d’autres clients pour la gestion des clients Internet et intranet. Lorsqu’ils détectent un changement de réseau, ils basculent automatiquement entre IBCM et la gestion des clients intranet. Si ces clients peuvent rechercher et se connecter à un point de gestion qui prend en charge les connexions client sur l’intranet, ces clients sont gérés en tant que clients intranet. Les clients intranet disposent de fonctionnalités Configuration Manager complètes. Si les clients ne peuvent pas trouver ou se connecter à un point de gestion qui prend en charge les connexions client sur l’intranet, ils tentent de se connecter à un point de gestion basé sur Internet. Si cette action réussit, ces clients sont alors gérés par les systèmes de site Basés sur Internet dans le site qui leur est attribué.
L’avantage du basculement automatique est que les clients peuvent utiliser toutes les fonctionnalités lorsqu’ils se connectent à l’intranet et recevoir une gestion essentielle lorsqu’ils sont sur Internet. Le téléchargement de contenu qui commence sur Internet peut reprendre en toute transparence sur l’intranet, et inversement.
Conditions préalables
IBCM dans Configuration Manager a les dépendances suivantes :
Les clients ont besoin d’une connexion Internet. Configuration Manager utilise la connexion Internet existante de l’appareil. Les appareils mobiles doivent disposer d’une connexion Internet directe. Les ordinateurs clients complets peuvent disposer d’une connexion Internet directe ou se connecter à l’aide d’un serveur web proxy.
Les systèmes de site qui prennent en charge IBCM nécessitent une connexion Internet et doivent se trouver dans un domaine Active Directory. Les systèmes de site basés sur Internet ne nécessitent pas de relation d’approbation avec la forêt Active Directory du serveur de site. Toutefois, lorsque le point de gestion Internet peut authentifier l’utilisateur à l’aide de Authentification Windows, il prend en charge les stratégies utilisateur. Si Authentification Windows échoue, il prend uniquement en charge les stratégies d’appareil.
Remarque
Pour prendre en charge les stratégies utilisateur, activez également les paramètres client suivants dans le groupe Stratégie client :
- Activer l’interrogation des stratégies utilisateur sur les clients
- Activer les demandes de stratégie utilisateur des clients Internet
Une infrastructure à clé publique (PKI) pour déployer et gérer les certificats requis pour les clients Internet et les serveurs de système de site. Pour plus d’informations, consultez Configuration requise des certificats PKI.
Inscrivez les entrées d’hôte DNS publiques pour les noms de domaine complets (FQDN) Internet des systèmes de site qui prennent en charge IBCM.
Activez l’option Utiliser le certificat client PKI (fonctionnalité d’authentification client) lorsqu’elle est disponible sous l’onglet Sécurité des communications des propriétés du site. Cette option est obligatoire.
Exigences de communication du client
Les pare-feu ou serveurs proxy intervenant doivent autoriser la communication cliente pour les systèmes de site basés sur Internet :
Prise en charge de HTTP 1.1
Autoriser le type de contenu HTTP d’une pièce jointe MIME en plusieurs parties (multipart/mixte et application/octet-stream)
Verbes
Autorisez les verbes suivants pour les rôles serveur de système de site basés sur Internet :
Rôle | Verbes |
---|---|
Point de gestion | -TÊTE - CCM_POST - BITS_POST -AVOIR - PROPFIND |
Point de distribution | -TÊTE -AVOIR - PROPFIND |
Point d’état de secours | POST |
En-têtes HTTP
Autorisez les en-têtes HTTP suivants pour les rôles serveur de système de site basés sur Internet :
Rôle | En-têtes HTTP |
---|---|
Point de gestion | -Gamme: - CCMClientID : - CCMClientIDSignature : - CCMClientTimestamp : - CCMClientTimestampsSignature : |
Point de distribution | Gamme: |
Pour connaître les exigences de communication similaires lorsque vous utilisez le point de mise à jour logicielle pour les connexions clientes à partir d’Internet, consultez la documentation relative à Windows Server Update Services (WSUS).
Fonctionnalités non prises en charge
Toutes les fonctionnalités de gestion des clients ne sont pas appropriées pour Internet. Configuration Manager ne prend pas en charge certaines fonctionnalités pour les clients sur Internet. Ces fonctionnalités non prises en charge s’appuient généralement sur services de domaine Active Directory ou ne sont pas appropriées pour un réseau public.
Les fonctionnalités suivantes ne sont pas prises en charge lorsque vous gérez des clients sur Internet avec IBCM :
Déploiement de client sur Internet, tel que le déploiement de client push client et le déploiement de client basé sur des mises à jour logicielles. Utilisez l’installation manuelle du client.
Attribution automatique de site
Wake-on-LAN
Déploiement du système d’exploitation. Toutefois, vous pouvez déployer des séquences de tâches qui ne déploient pas de système d’exploitation.
Contrôle à distance
Déploiement de logiciels pour les utilisateurs. Cette fonctionnalité s’appuyait sur le catalogue d’applications, qui n’est plus pris en charge.
Itinérance du client. L’itinérance permet aux clients de toujours trouver les points de distribution les plus proches pour télécharger du contenu. Les clients sélectionnent de manière non déterministe l’un des systèmes de site basés sur Internet, quel que soit la bande passante ou l’emplacement physique.
Lorsque vous configurez un point de mise à jour logicielle pour accepter les connexions à partir d’Internet, les clients Basés sur Internet analysent toujours ce point de mise à jour logicielle pour déterminer les mises à jour logicielles requises. Lorsque ces clients sont sur Internet, ils essaient d’abord de télécharger les mises à jour logicielles à partir de Microsoft Update, plutôt qu’à partir d’un point de distribution Internet. Si ce comportement échoue, ils essaient de télécharger les mises à jour logicielles requises à partir d’un point de distribution Internet.
Conseil
Le client Configuration Manager détermine automatiquement s’il se trouve sur l’intranet ou sur Internet. Si le client peut contacter un contrôleur de domaine ou un point de gestion local, il définit son type de connexion sur « Intranet actuel ». Sinon, il bascule vers « Actuellement Internet » et communique avec les systèmes de site affectés à son site.