Configurer la sécurité dans Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Utilisez les informations de cet article pour vous aider à configurer des options de sécurité pour Configuration Manager. Avant de commencer, vérifiez que vous disposez d’un plan de sécurité.

Importante

À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.

Certificats PKI clients

Si vous souhaitez utiliser des certificats d’infrastructure à clé publique (PKI) pour les connexions clientes aux systèmes de site qui utilisent Internet Information Services (IIS), utilisez la procédure suivante pour configurer les paramètres de ces certificats.

1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Sites. Sélectionnez le site principal à configurer.

2. Dans le ruban, choisissez Propriétés. Basculez ensuite vers l’onglet Sécurité des communications .

3. Sélectionnez les paramètres des systèmes de site qui utilisent IIS.

   • HTTPS uniquement : les clients affectés au site utilisent toujours un certificat PKI client lorsqu’ils se connectent aux systèmes de site qui utilisent IIS. Par exemple, un point de gestion et un point de distribution.

   • HTTPS ou HTTP : vous n’avez pas besoin que les clients utilisent des certificats PKI.

   • Utiliser des certificats générés Configuration Manager pour les systèmes de site HTTP : pour plus d’informations sur ce paramètre, consultez HTTP amélioré.

4. Sélectionnez les paramètres des ordinateurs clients.

   • Utiliser le certificat PKI client (fonctionnalité d’authentification client) lorsqu’il est disponible : si vous avez choisi le paramètre de serveur de site HTTPS ou HTTP , choisissez cette option pour utiliser un certificat PKI client pour les connexions HTTP. Le client utilise ce certificat au lieu d’un certificat auto-signé pour s’authentifier auprès des systèmes de site. Si vous avez choisi HTTPS uniquement, cette option est automatiquement choisie.

     Lorsque plusieurs certificats clients PKI valides sont disponibles sur un client, sélectionnez Modifier pour configurer les méthodes de sélection de certificat client. Pour plus d’informations sur la méthode de sélection de certificat client, consultez Planification de la sélection de certificat client PKI.

   • Les clients case activée la liste de révocation de certificats (CRL) pour les systèmes de site : activez ce paramètre pour que les clients case activée la liste de révocation de certificats de votre organization pour les certificats révoqués. Pour plus d’informations sur la vérification de la liste de révocation de certificats pour les clients, consultez Planification de la révocation de certificats PKI.

5. Pour importer, afficher et supprimer les certificats pour les autorités de certification racines approuvées, sélectionnez Définir. Pour plus d’informations, consultez Planification des certificats racines approuvés PKI et liste des émetteurs de certificats.

Répétez cette procédure pour tous les sites principaux de la hiérarchie.

Gérer la clé racine approuvée

Utilisez ces procédures pour préprovisionner et vérifier la clé racine approuvée pour un client Configuration Manager.

Remarque

Si les clients peuvent obtenir la clé racine approuvée à partir de services de domaine Active Directory ou d’un push client, vous n’avez pas besoin de la préprovisionner.

Lorsque les clients utilisent la communication HTTPS vers les points de gestion, vous n’avez pas besoin de préprovisionner la clé racine approuvée. Ils établissent l’approbation par les certificats PKI.

Pour plus d’informations sur la clé racine approuvée, consultez Planifier la sécurité.

Préprovisionner un client avec la clé racine approuvée à l’aide d’un fichier

1. Sur le serveur de site, accédez au répertoire d’installation Configuration Manager. Dans le \bin\<platform> sous-dossier, ouvrez le fichier suivant dans un éditeur de texte : mobileclient.tcf

2. Recherchez l’entrée , SMSPublicRootKey. Copiez la valeur de cette ligne et fermez le fichier sans enregistrer les modifications.

3. Créez un fichier texte et collez la valeur de clé que vous avez copiée à partir du fichier mobileclient.tcf.

4. Enregistrez le fichier à un emplacement où tous les ordinateurs peuvent y accéder, mais où le fichier est protégé contre toute falsification.

5. Installez le client à l’aide d’une méthode d’installation qui accepte client.msi propriétés. Spécifiez la propriété suivante : SMSROOTKEYPATH=<full path and file name>

   Importante

   Lorsque vous spécifiez la clé racine approuvée lors de l’installation du client, spécifiez également le code du site. Utilisez la propriété client.msi suivante : SMSSITECODE=<site code>

Préprovisionner un client avec la clé racine approuvée sans utiliser de fichier

1. Sur le serveur de site, accédez au répertoire d’installation Configuration Manager. Dans le \bin\<platform> sous-dossier, ouvrez le fichier suivant dans un éditeur de texte : mobileclient.tcf

2. Recherchez l’entrée , SMSPublicRootKey. Copiez la valeur de cette ligne et fermez le fichier sans enregistrer les modifications.

3. Installez le client à l’aide d’une méthode d’installation qui accepte client.msi propriétés. Spécifiez la propriété client.msi suivante : SMSPublicRootKey=<key> où <key> est la chaîne que vous avez copiée à partir de mobileclient.tcf.

   Importante

   Lorsque vous spécifiez la clé racine approuvée lors de l’installation du client, spécifiez également le code du site. Utilisez la propriété client.msi suivante : SMSSITECODE=<site code>

Vérifier la clé racine approuvée sur un client

1. Ouvrez une console Windows PowerShell en tant qu’administrateur.

2. Exécutez la commande suivante :

   (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
   

La chaîne retournée est la clé racine approuvée. Vérifiez qu’il correspond à la valeur SMSPublicRootKey dans le fichier mobileclient.tcf sur le serveur de site.

Supprimer ou remplacer la clé racine approuvée

Supprimez la clé racine approuvée d’un client à l’aide de la propriété client.msi, RESETKEYINFORMATION = TRUE.

Pour remplacer la clé racine approuvée, réinstallez le client avec la nouvelle clé racine approuvée. Par exemple, utilisez l’envoi (push) du client ou spécifiez la propriété client.msi SMSPublicRootKey.

Pour plus d’informations sur ces propriétés d’installation, consultez À propos des paramètres et propriétés d’installation du client.

Signature et chiffrement

Configurez les paramètres de signature et de chiffrement les plus sécurisés pour les systèmes de site que tous les clients du site peuvent prendre en charge. Ces paramètres sont particulièrement importants lorsque vous laissez les clients communiquer avec les systèmes de site à l’aide de certificats auto-signés via HTTP.

1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Sites. Sélectionnez le site principal à configurer.

2. Dans le ruban, sélectionnez Propriétés, puis basculez vers l’onglet Signature et chiffrement .

   Cet onglet est disponible uniquement sur un site principal. Si vous ne voyez pas l’onglet Signature et chiffrement , vérifiez que vous n’êtes pas connecté à un site d’administration centrale ou à un site secondaire.

3. Configurez les options de signature et de chiffrement pour que les clients communiquent avec le site.

   • Exiger la signature : les clients signent les données avant de les envoyer au point de gestion.

   • Exiger SHA-256 : les clients utilisent l’algorithme SHA-256 lors de la signature des données.

     Avertissement

     Ne nécessitez pas SHA-256 sans avoir au préalable vérifié que tous les clients prennent en charge cet algorithme de hachage. Ces clients incluent ceux qui peuvent être affectés au site à l’avenir.

     Si vous choisissez cette option et que les clients avec des certificats auto-signés ne peuvent pas prendre en charge SHA-256, Configuration Manager les rejette. Le composant SMS_MP_CONTROL_MANAGER enregistre l’ID de message 5443.

   • Utiliser le chiffrement : les clients chiffrent les données d’inventaire client et les messages status avant de les envoyer au point de gestion.

Répétez cette procédure pour tous les sites principaux de la hiérarchie.

Administration basée sur les rôles

L’administration basée sur les rôles combine des rôles de sécurité, des étendues de sécurité et des regroupements attribués pour définir l’étendue administrative de chaque utilisateur administratif. Une étendue inclut les objets qu’un utilisateur peut afficher dans la console, ainsi que les tâches liées à ces objets qu’il a l’autorisation d’effectuer. Les configurations d’administration basée sur les rôles sont appliquées à chaque site d’une hiérarchie.

Pour plus d’informations, consultez Configurer l’administration basée sur les rôles. Cet article détaille les actions suivantes :

• Créer des rôles de sécurité personnalisés

• Configurer des rôles de sécurité

• Configurer des étendues de sécurité pour un objet

• Configurer des regroupements pour gérer la sécurité

• Créer un utilisateur administratif

• Modifier l’étendue administrative d’un utilisateur administratif

Importante

Votre propre étendue administrative définit les objets et les paramètres que vous pouvez attribuer lorsque vous configurez l’administration basée sur les rôles pour un autre utilisateur administratif. Pour plus d’informations sur la planification de l’administration basée sur les rôles, consultez Principes de base de l’administration basée sur les rôles.

Gérer les comptes

Configuration Manager prend en charge les comptes Windows pour de nombreuses tâches et utilisations différentes. Pour afficher les comptes configurés pour différentes tâches et gérer le mot de passe que Configuration Manager utilise pour chaque compte, procédez comme suit :

1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Sécurité, puis choisissez le nœud Comptes.

2. Pour modifier le mot de passe d’un compte, sélectionnez le compte dans la liste. Choisissez ensuite Propriétés dans le ruban.

3. Choisissez Définir pour ouvrir la boîte de dialogue Compte d’utilisateur Windows . Spécifiez le nouveau mot de passe pour Configuration Manager à utiliser pour ce compte.

   Remarque

   Le mot de passe que vous spécifiez doit correspondre au mot de passe de ce compte dans Active Directory.

Pour plus d’informations, consultez Comptes utilisés dans Configuration Manager.

Identifiant Microsoft Entra

Intégrez Configuration Manager à Microsoft Entra ID pour simplifier et activer votre environnement dans le cloud. Permettre au site et aux clients de s’authentifier à l’aide de l’ID Microsoft Entra.

Pour plus d’informations, consultez le service de gestion cloud dans Configurer les services Azure.

Authentification du fournisseur SMS

Vous pouvez spécifier le niveau d’authentification minimal pour que les administrateurs puissent accéder aux sites Configuration Manager. Cette fonctionnalité impose aux administrateurs de se connecter à Windows avec le niveau requis avant de pouvoir accéder à Configuration Manager. Pour plus d’informations, consultez Planifier l’authentification du fournisseur SMS.

Importante

Cette configuration est un paramètre à l’échelle de la hiérarchie. Avant de modifier ce paramètre, assurez-vous que tous les administrateurs Configuration Manager peuvent se connecter à Windows avec le niveau d’authentification requis.

Pour configurer ce paramètre, procédez comme suit :

1. Commencez par vous connecter à Windows avec le niveau d’authentification prévu.

2. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Sites.

3. Sélectionnez Paramètres de hiérarchie dans le ruban.

4. Basculez vers l’onglet Authentification . Sélectionnez le niveau d’authentification souhaité, puis sélectionnez OK.

   • Uniquement si nécessaire, sélectionnez Ajouter pour exclure des utilisateurs ou des groupes spécifiques. Pour plus d’informations, consultez Exclusions.

Exclusions

Sous l’onglet Authentification des paramètres de hiérarchie, vous pouvez également exclure certains utilisateurs ou groupes. Utilisez cette option avec parcimonie. Par exemple, lorsque des utilisateurs spécifiques ont besoin d’accéder à la console Configuration Manager, mais ne peuvent pas s’authentifier auprès de Windows au niveau requis. Il peut également être nécessaire pour l’automatisation ou les services qui s’exécutent dans le contexte d’un compte système.

Prochaines étapes

• Comment activer TLS 1.2

• Référence technique des contrôles cryptographiques

• Communication entre les points de terminaison