Principes de base de la sécurité pour Configuration Manager

  • Article

S’applique à : Configuration Manager (branche actuelle)

Cet article résume les composants de sécurité fondamentaux suivants de n’importe quel environnement Configuration Manager :

Couches de sécurité

La sécurité pour Configuration Manager se compose des couches suivantes :

Sécurité du système d’exploitation et du réseau Windows

La première couche est fournie par les fonctionnalités de sécurité Windows pour le système d’exploitation et le réseau. Cette couche comprend les composants suivants :

  • Partage de fichiers pour transférer des fichiers entre les composants Configuration Manager.

  • Access Control listes (ACL) pour sécuriser les fichiers et les clés de Registre.

  • Internet Protocol Security (IPsec) pour sécuriser les communications.

  • Stratégie de groupe pour définir la stratégie de sécurité.

  • Autorisations DCOM (Distributed Component Object Model) pour les applications distribuées, comme la console Configuration Manager.

  • services de domaine Active Directory pour stocker les principaux de sécurité.

  • Sécurité des comptes Windows, y compris certains groupes créés par Configuration Manager lors de l’installation.

Infrastructure réseau

Les composants de sécurité réseau, tels que les pare-feu et la détection des intrusions, aident à assurer la défense de l’ensemble de l’environnement. Les certificats émis par les implémentations d’infrastructure à clé publique (PKI) standard permettent d’assurer l’authentification, la signature et le chiffrement.

Configuration Manager contrôles de sécurité

Par défaut, seuls les administrateurs locaux disposent des droits sur les fichiers et les clés de Registre requis par la console Configuration Manager sur les ordinateurs sur lesquels vous l’installez.

Fournisseur SMS

La couche de sécurité suivante est basée sur l’accès au fournisseur SMS. Le fournisseur SMS est un composant Configuration Manager qui accorde à un utilisateur l’accès pour interroger la base de données du site pour obtenir des informations. Le fournisseur SMS expose principalement l’accès via WMI (Windows Management Instrumentation), mais également une API REST appelée service d’administration.

Par défaut, l’accès au fournisseur est limité aux membres du groupe Administrateurs SMS local. Ce groupe contient d’abord uniquement l’utilisateur qui a installé Configuration Manager. Pour accorder à d’autres comptes l’autorisation d’accès au référentiel CIM (Common Information Model) et au fournisseur SMS, ajoutez les autres comptes au groupe Administrateurs SMS.

Vous pouvez spécifier le niveau d’authentification minimal pour que les administrateurs puissent accéder aux sites Configuration Manager. Cette fonctionnalité impose aux administrateurs de se connecter à Windows avec le niveau requis. Pour plus d’informations, consultez Planifier le fournisseur SMS.

Autorisations de base de données de site

La dernière couche de sécurité est basée sur les autorisations accordées aux objets dans la base de données du site. Par défaut, le compte système local et le compte d’utilisateur que vous avez utilisé pour installer Configuration Manager peuvent administrer tous les objets de la base de données du site. Accordez et limitez des autorisations à d’autres utilisateurs administratifs dans la console Configuration Manager à l’aide de l’administration basée sur les rôles.

Administration basée sur les rôles

Configuration Manager utilise l’administration basée sur les rôles pour sécuriser des objets tels que des collections, des déploiements et des sites. Ce modèle d’administration définit et gère de manière centralisée les paramètres d’accès de sécurité à l’échelle de la hiérarchie pour tous les sites et paramètres de site.

Un administrateur attribue des rôles de sécurité aux utilisateurs administratifs et aux autorisations de groupe. Les autorisations sont connectées à différents types d’objets Configuration Manager, par exemple pour créer ou modifier des paramètres client.

Les étendues de sécurité incluent des instances spécifiques d’objets qu’un utilisateur administratif est chargé de gérer. Par exemple, une application qui installe la console Configuration Manager.

La combinaison de rôles de sécurité, d’étendues de sécurité et de regroupements définit les objets qu’un utilisateur administratif peut afficher et gérer. Configuration Manager installe certains rôles de sécurité par défaut pour les tâches de gestion classiques. Créez vos propres rôles de sécurité pour prendre en charge vos besoins métier spécifiques.

Pour plus d’informations, consultez Principes de base de l’administration basée sur des rôles.

Sécurisation des points de terminaison clients

Configuration Manager sécurise la communication du client avec les rôles de système de site à l’aide de certificats auto-signés ou PKI, ou de jetons Microsoft Entra. Certains scénarios nécessitent l’utilisation de certificats PKI. Par exemple, la gestion des clients basée sur Internet et pour les clients d’appareils mobiles.

Vous pouvez configurer les rôles de système de site auxquels les clients se connectent pour la communication client HTTPS ou HTTP. Les ordinateurs clients communiquent toujours à l’aide de la méthode la plus sécurisée disponible. Les ordinateurs clients utilisent uniquement la méthode de communication moins sécurisée si vous avez des rôles de système de site qui autorisent la communication HTTP.

Importante

À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.

Pour plus d’informations, consultez Planifier la sécurité.

Configuration Manager comptes et groupes

Configuration Manager utilise le compte Système local pour la plupart des opérations de site. Certaines opérations de site autorisent l’utilisation d’un compte de service, au lieu d’utiliser le compte d’ordinateur de domaine du serveur de site. Certaines tâches de gestion peuvent nécessiter la création et la gestion d’autres comptes. Par exemple, pour joindre le domaine pendant une séquence de tâches de déploiement de système d’exploitation.

Configuration Manager crée plusieurs groupes et rôles SQL Server par défaut pendant l’installation. Vous devrez peut-être ajouter manuellement des comptes d’ordinateur ou d’utilisateur aux groupes et SQL Server rôles par défaut.

Pour plus d’informations, consultez Comptes utilisés dans Configuration Manager.

Confidentialité

Avant d’implémenter Configuration Manager, tenez compte de vos exigences en matière de confidentialité. Bien que les produits de gestion d’entreprise offrent de nombreux avantages, car ils peuvent gérer efficacement un grand nombre de clients, ce logiciel peut affecter la confidentialité des utilisateurs de votre organization. Configuration Manager comprend de nombreux outils pour collecter des données et surveiller les appareils. Certains outils peuvent poser des problèmes de confidentialité dans votre organization.

Par exemple, lorsque vous installez le client Configuration Manager, de nombreux paramètres de gestion sont activés par défaut. Cette configuration entraîne l’envoi d’informations par le logiciel client au site Configuration Manager. Le site stocke les informations client dans la base de données du site. Les informations client ne sont pas directement envoyées à Microsoft. Pour plus d’informations, consultez Données de diagnostic et d’utilisation.

Prochaines étapes

Principes de base de l’administration basée sur les rôles

Planifier la sécurié