Partager via


À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Utilisez les informations suivantes pour comprendre comment et pourquoi les clients Configuration Manager 2007 utilisent une déclaration d'intégrité (SoH) durant le processus de protection d'accès réseau (NAP) et les informations qu'elle contient.

Contenu SoH

Dans Configuration Manager 2007, tous les clients compatibles NAP génèrent une SoH lorsque l'agent de protection d'accès réseau Windows le demande.

Cette SoH contient toujours au moins les informations suivantes:

  • L'état de compatibilité du client ;

  • Le site du client ;

  • Une référence d'horodatage pour identifier les stratégies NAP de Configuration Manager que le client a utilisées pour évaluer sa compatibilité.

Comment la déclaration d'intégrité est-elle envoyée au client et depuis celui-ci

Le client Configuration Manager 2007 envoie sa SoH à un point du programme de validation d'intégrité système de Configuration Manager pour qu'elle soit vérifiée avant que celui-ci, à son tour, n'envoie une réponse de déclaration d'intégrité (SoHR), contenant l'état d'intégrité du client, au serveur NPS Microsoft Windows.

L'état d'intégrité du client est également renvoyé au client à partir du serveur NPS, dans une SoHR.

Informations de compatibilité dans une SoH

L'état d'intégrité du client peut être compatible (auquel cas, le client dispose généralement d'un accès réseau illimité) ou non compatible (auquel cas une mise à jour peut être appelée pour rendre le client compatible).

Initialement, tous les clients compatibles avec la protection d'accès réseau de Configuration Manager génèrent une SoH avec un état compatible, même si le site n'est pas activé pour la protection d'accès réseau. Lorsque le site est activé pour la protection d'accès réseau, tous les clients compatibles NAP attribués à ce site évaluent alors la compatibilité d'après les stratégies de protection d'accès réseau de Configuration Manager créées dans ce site ou héritées d'un site parent. À partir de là, la SoH client envoyée au point du programme de validation d'intégrité système peut entraîner une mise à jour si le client n'est pas compatible.

SoH mises en cache

La génération d'une SoH demande du temps et des efforts au client ; aussi, pour accroître l'efficacité, une SoH client est automatiquement mise en cache sur l'ordinateur client. Le client utilisera une SoH mise en cache si l'option d'agent de client NAP suivante n'est pas sélectionnée : Forcer une nouvelle analyse pour chaque évaluation. Pour plus d'informations, voir Comment configurer des paramètres d'évaluation NAP.

Le point du programme de validation d'intégrité système acceptera une SoH mise en cache des clients si elle se trouve dans la Période de validité configurée et si elle n'entre pas en conflit avec le paramètre La date de création doit être ultérieure au temps universel (UTC) facultatif. Pour plus d'informations, voir Comment spécifier la période de validité de la déclaration d'intégrité et Comment configurer l'option « La date de création doit être ultérieure au temps universel » pour la déclaration d'intégrité.

Échecs d'évaluation enregistrés dans les messages SoH

Lorsque le client est activé pour la protection d'accès réseau, la SoH qu'il envoie au point du programme de validation d'intégrité système peut contenir un état de compatibilité « compatible » s'il est compatible avec les stratégies de protection d'accès réseau de Configuration Manager qu'il a téléchargées ou « non compatible » s'il n'y est pas compatible. Toutefois, si le client ne parvient pas à déterminer son état de compatibilité, la SoH contient le code ou la catégorie de l'échec.

Lorsque la SoH client atteint le point du programme de validation d'intégrité système, ce dernier vérifie si l'échec correspond à l'un de ses échecs connus répertoriés. Si l'échec est connu, le point du programme de validation d'intégrité système envoie la SoH au serveur NPS avec l'échec connu. Si l'échec est inconnu du point du programme de validation d'intégrité système, ce dernier envoie la SoH au serveur NPS avec un échec « état de réponse inconnu ».

Pour plus d'informations sur les catégories d'échec, voir Configuration de catégories d'échec pour la protection d'accès réseau de Configuration Manager.

Validation de la SoH sur le point du programme de validation d'intégrité système

Avant que le point du programme de validation d'intégrité système n'envoie sa SoHR avec l'état d'intégrité du client au serveur NPS, il entreprend une série de vérifications de validation sur la SoH client qu'il reçoit.

Cela signifie, par exemple, que même si une SoH du client est envoyée au point du programme de validation d'intégrité système avec un état compatible, le programme de validation d'intégrité système peut envoyer un état d'intégrité non compatible au serveur NPS. Cela peut se produire lorsque le client est compatible avec les stratégies de protection d'accès réseau de Configuration Manager qu'il a téléchargées, mais que des stratégies de protection d'accès réseau de Configuration Manager plus récentes sont configurées pour le site et que le client ne les a pas encore téléchargées ; son état de compatibilité est alors obsolète et non valide.

Notes

Pour plus d'informations sur les scénarios dans lesquels le client peut envoyer une SoH à l'état compatible, mais pour lesquels une SoH à l'état non compatible est envoyée au serveur NPS, voir À propos de la conformité pour la protection d'accès réseau dans Configuration Manager.

Si le point du programme de validation d'intégrité système ne parvient pas à déterminer l'état d'intégrité du client, il envoie une SoH avec le code ou la catégorie d'échec rencontré au serveur NPS.

Pour obtenir une liste des vérifications de validation effectuées par le point du programme de validation d'intégrité système sur la SoH client et pour connaître leur ordre de traitement, voir Point du programme de validation d'intégrité système : processus de validation pour la protection d'accès réseau.

Déclaration d'intégrité renvoyée suite à une mise à jour

Si le client fait l'objet d'une mise à jour à cause de son état non compatible, il génère immédiatement une autre SoH avec, cette fois, la liste des serveurs de mise à jour de Configuration Manager (le point de gestion du client, les points de distribution et le point de mise à jour logicielle) requis pour le rendre compatible. Pour plus d'informations sur le processus de mise à jour, voir À propos de la mise à jour de la protection d'accès réseau.

Une fois le client mis à jour, il génère une autre SoH avec un état compatible, cette fois. Le point du programme de validation d'intégrité système vérifie que l'état d'intégrité du client est compatible et le transmet au serveur NPS. La SoHR envoyée au client inclut, cette fois, l'action à prendre pour un client compatible, qui représente généralement l'accès total au réseau pour une durée illimitée.

Voir aussi

Tâches

Comment configurer des paramètres d'évaluation NAP
Comment créer une stratégie NAP de Configuration Manager pour la protection d'accès réseau
Comment activer l'agent du client de protection d'accès réseau
Comment spécifier la période de validité de la déclaration d'intégrité

Concepts

À propos de la conformité pour la protection d'accès réseau dans Configuration Manager
Configuration de catégories d'échec pour la protection d'accès réseau de Configuration Manager
À propos de l'activation de la conformité avec la protection d'accès réseau
À propos de l'état du client NAP dans la protection d'accès réseau
À propos de la mise à jour de la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.