Partager via

À propos de la conformité pour la protection d'accès réseau dans Configuration Manager

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Utilisez les informations ci-après pour comprendre comment Configuration Manager 2007 détermine la conformité aux mises à jour logicielles pour la protection d'accès réseau (NAP). Ces informations vous aident à préparer votre implémentation de la protection d'accès réseau et à résoudre les situations dans lesquelles l'évaluation de la conformité ne produit pas les résultats escomptés.

La conformité, un processus échelonné

Déterminer la conformité pour la protection d'accès réseau de Configuration Manager est un processus qui se déroule en plusieurs étapes :

  • Le client Configuration Manager NAP évalue si toutes les mises à jour logicielles requises ont été installées avant leur date d'effet spécifique. Il transfère ensuite ces informations de conformité ou de non-conformité vers le point du programme de validation d'intégrité système dans sa déclaration d'intégrité. En cas d'échec de l'évaluation, le client envoie les informations correspondantes dans la déclaration d'intégrité.

  • Le point du programme de validation d'intégrité système valide ensuite la déclaration d'intégrité du client, en utilisant un ensemble de critères de conformité. Le processus de validation utilise la référence d'état d'intégrité de Configuration Manager, publiée sur des services de domaine Active Directory, ainsi que les paramètres configurés par le point du programme de validation d'intégrité système.

  • Dans certains cas, les critères de validation ne sont pas suffisants pour permettre au point du programme de validation d'intégrité système de déterminer si le client est conforme ou non. Cela peut se produire si le client est inconnu ou si une erreur survient. La configuration du programme de validation d'intégrité système sur le serveur NPS détermine ensuite si le client est conforme ou non. La configuration par défaut est non conforme.

Raisons pour lesquelles un client qui a requis des mises à jour logicielles peut être non conforme

Le déroulement de la vérification de la conformité en trois étapes fournit à Configuration Manager une méthode élaborée mais efficace pour détecter si un client est conforme aux mises à jour logicielles. Cependant, cette méthode peut également s'avérer complexe pour les administrateurs qui souhaitent comprendre pourquoi un client a été signalé comme étant non conforme. Par exemple, même si des clients qui requièrent des mises à jour logicielles se voient toujours attribuer l'état d'intégrité non conforme par le point du programme de validation d'intégrité système, des clients qui disposent de toutes les mises à jour requises peuvent également être signalés comme étant non conformes par le programme de validation d'intégrité système.

Situations dans lesquelles un client dispose de toutes les mises à jour logicielles, mais est jugé non conforme :

  • Si le site client n'est pas connu du programme de validation d'intégrité système, l'état inconnu lui est attribué plutôt qu'un état conforme ou non conforme. Cette condition d'erreur se produit lorsque le point du programme de validation d'intégrité système ne peut pas trouver une référence d'état d'intégrité pour le nom et le code du site dans la déclaration d'intégrité du client. Cela peut être dû au fait qu'un nouveau site Configuration Manager a été installé et que la réplication Active Directory n'est pas terminée. Il est également possible qu'un client se trouve en dehors de sa hiérarchie de Configuration Manager. La condition d'erreur « inconnu » renvoie à la catégorie d'échec Code d'erreur reçu spécifique au fournisseur SHA sur le programme de validation d'intégrité système sur le serveur NPS Windows, qui par défaut est configuré comme étant non conforme. Cependant, cette catégorie d'erreur peut être configurée comme conforme ou non conforme.

  • Si des erreurs se produisent au cours de la validation, l'état de conformité du client peut passer d'une catégorie d'échec à une autre. Par défaut, les deux catégories d'échec de serveur sont de type « non conforme » sur le programme de validation d'intégrité système sur le serveur NPS Windows, mais elles peuvent toutes les deux être configurées comme conforme ou non conforme.

  • Si l'une des vérifications de validation ci-après échoue, un client conforme à ses stratégies de Configuration Manager est jugé non conforme :

    • La déclaration d'intégrité du client est plus ancienne que le paramètre du point de programme de validation d'intégrité système pour l'option La date créée doit être ultérieure au temps universel. Dans ce scénario, il est probable que des stratégies NAP de Configuration Manager nouvelles et importantes ont été configurées, et il est impératif que le client évalue sa conformité aux stratégies les plus récentes.

    • La déclaration d'intégrité du client ne se trouve pas dans le paramètre du point du programme de validation d'intégrité système pour l'option Période de validité. Dans ce scénario, le client utilise une déclaration d'intégrité mise en cache. Si le client évalue de nouveau sa conformité, il est possible qu'il ne soit plus conforme (par exemple, si des mises à jour logicielles ont été désinstallées).

    • Le client n'a pas utilisé de stratégies NAP à jour de Configuration Manager pour évaluer sa conformité. Dans ce scénario, l'horodateur de stratégie dans la déclaration d'intégrité du client est plus ancienne que l'horodateur affiché dans la référence d'état d'intégrité, ce qui indique que des changements ont été apportés aux stratégies NAP de Configuration Manager depuis le dernier téléchargement des stratégies NAP par le client.

Étapes de mise à jour d'un client qui a requis des mises à jour logicielles

Si le client est conforme à ses stratégies NAP de Configuration Manager, mais non conforme aux critères du programme de validation d'intégrité système, une mise à jour réussie se déroule comme suit :

  • Si le client n'a pas été évalué par rapport aux dernières stratégies NAP de Configuration Manager, il est invité à télécharger sa stratégie d'ordinateur qui inclut les stratégies NAP de Configuration Manager.

  • Le client évalue de nouveau sa conformité et envoie une nouvelle déclaration d'intégrité au point du programme de validation d'intégrité système.

  • Si l'état est toujours conforme et que toutes les vérifications de la validation sont réussies, l'état d'intégrité du client est jugé conforme.

Voir aussi

Tâches

Comment configurer l'option « La date de création doit être ultérieure au temps universel » pour la déclaration d'intégrité
Comment spécifier la période de validité de la déclaration d'intégrité

Concepts

Configuration de catégories d'échec pour la protection d'accès réseau de Configuration Manager
À propos de la date d'effet de la protection d'accès réseau
À propos des références de l'état d'intégrité NAP dans la protection d'accès réseau
À propos des stratégies NAP de Configuration Manager dans la protection d'accès réseau
À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau
Point du programme de validation d'intégrité système : processus de validation pour la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.