À propos du processus de protection d'accès réseau
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Pour vous aider à protéger votre réseau, utilisez ces informations pour comprendre comment la protection d'accès réseau (NAP) Configuration Manager 2007 interagit avec Configuration Manager 2007 et la protection d'accès réseau Windows.
Protection d'accès réseau avec les mises à jour logicielles
Les clients Configuration Manager 2007 qui prennent en charge la protection d'accès réseau (NAP) peuvent évaluer s'ils sont compatibles ou non avec les mises à jour logicielles que vous sélectionnez.
Les clients Configuration Manager 2007 envoient ces informations dans un état d'intégrité, lequel est présenté au programme de validation d'intégrité système de Configuration Manager 2007 qui réside sur le rôle Configuration Manager 2007 appelé point du programme de validation d'intégrité système.
Le point du programme de validation d'intégrité système est installé sur un ordinateur exécutant Windows Server 2008 avec le rôle de serveur de stratégie réseau. Il valide la conformité de l'ordinateur client et transmet l'état d'intégrité de cet ordinateur au serveur de stratégie réseau Windows.
Mise en application de la compatibilité avec les mises à jour logicielles sur le serveur de stratégie réseau
Le serveur de stratégie réseau Windows est configuré avec des stratégies qui déterminent l'action à entreprendre pour les ordinateurs qui se sont révélés compatibles, incompatibles ou incapables de prendre en charge la protection d'accès réseau (non compatibles NAP).
Si l'état d'intégrité d'un client non compatible NAP ne peut être déterminé, cela équivaut à une condition d'erreur. Par défaut, toutes les conditions d'erreurs sont associées à un état de non-compatibilité. Toutefois, ces conditions sont réparties en cinq catégories, et chacune d'elles peut être associée à un état de compatibilité ou de non-compatibilité.
Les actions que le serveur de stratégie réseau peut entreprendre en fonction des états d'intégrité de l'ordinateur sont les suivantes :
empêcher les ordinateurs d'accéder à l'intégralité du réseau ;
accorder un accès complet au réseau mais pendant une période limitée ;
accorder un accès complet au réseau indéfiniment ;
mettre à jour les ordinateurs incompatibles pour qu'ils soient conformes aux stratégies.
Important
Bien que le serveur de stratégie réseau prenne en charge la mise à jour lorsqu'il ne met pas en application la compatibilité (ce que l'on appelle parfois le « mode de rapport »), cette fonction n'est pas gérée par la protection d'accès réseau dans Configuration Manager 2007. Cette fonction est prise en charge par le biais de la fonctionnalité de mise à jour logicielle Configuration Manager 2007 standard.
Il est essentiel de comprendre que l'administrateur de Configuration Manager ne peut pas déterminer l'action à entreprendre en réponse à l'état d'intégrité d'un ordinateur qu'il transmet au serveur de stratégie réseau. Néanmoins, si le serveur de stratégie réseau est configuré pour mettre en application la compatibilité par le biais de mises à jour, les services de Configuration Manager sont ensuite utilisés pour transmettre les mises à jour logicielles nécessaires à la mise en conformité d'un ordinateur non compatible. Une fois la mise à jour terminée avec succès, les clients réévaluent leur état d'intégrité, lequel passe de non compatible à compatible.
Configuration des mises à jour logicielles pour la protection d'accès réseau
Vous sélectionnez les mises à jour logicielles dont les clients doivent disposer pour être compatibles en créant des stratégies de protection d'accès réseau de Configuration Manager. Vous ne pouvez sélectionner que les mises à jour logicielles qui ont déjà été téléchargées et intégrées à un package avec la fonction de mises à jour logicielles.
Contrairement aux déploiements de mises à jour logicielles, qui sont destinés aux regroupements de votre choix, les stratégies de protection d'accès réseau Configuration Manager sont automatiquement destinées à tous les ordinateurs attribués au site. Les stratégies de protection d'accès réseau de Configuration Manager parcourent la hiérarchie Configuration Manager de haut en bas, comme le font les publications et les packages dans Configuration Manager 2007. Les sites qui héritent des stratégies de protection d'accès réseau (NAP) de Configuration Manager ciblent ensuite automatiquement les stratégies NAP de Configuration Manager sur les clients attribués au site.
Important
En raison de ce ciblage et de cet héritage automatiques dans l'ensemble de la hiérarchie, il est essentiel de garder à l'esprit qu'une stratégie NAP Configuration Manager affecte potentiellement tous les clients de la hiérarchie.
Toutefois, contrairement au comportement des publications et des packages dans une hiérarchie Configuration Manager 2007, les stratégies NAP de Configuration Manager présentent les particularités suivantes :
Les sites enfants ne peuvent pas ajouter leurs propres stratégies NAP de Configuration Manager.
Les sites enfants ne peuvent pas modifier les stratégies NAP de Configuration Manager héritées.
Les sites enfants ne peuvent pas supprimer les stratégies NAP de Configuration Manager héritées.
Voir aussi
Concepts
À propos de la protection d'accès réseau dans les hiérarchies Configuration Manager
À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau
Détermination de votre stratégie pour la protection d'accès réseau
Autres ressources
Configuration du serveur NPS pour Configuration Manager
Présentation de la protection d'accès réseau
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.