Partager via

Configuration des stratégies d'exemption pour la protection d'accès réseau de Configuration Manager

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dernière mise à jour de la rubrique -- Août 2007

Lorsque vous utilisez la protection d'accès réseau dans Configuration Manager 2007, la première stratégie réseau correspondante du serveur de stratégie réseau sera appliquée aux clients connectés. Ceci signifie que les exceptions et les exemptions requièrent des stratégies qui leur sont propres, avec des paramètres différents de ceux des paramètres de stratégie standard.

Exemples :

Des exemples de scénarios expliquant comment obtenir des exemptions pour la protection d'accès réseau (NAP) de Configuration Manager sont présentés ci-dessous :

  • Les personnes spécifiées disposent d'un accès réseau illimité..

  • En cas de non-conformité, les ordinateurs de bureau disposent d'un accès complet au réseau pour une période limitée, tandis que les ordinateurs portables disposent d'un accès limité..

  • Pendant les heures d'indisponibilité du support technique local, les ordinateurs non compatibles bénéficient d'un accès complet au réseau pour une période limitée, et non d'un accès limité..

  • L'état d'intégrité des ordinateurs spécifiés ne sera pas vérifié dans Configuration Manager. Cette mesure n'est applicable que si le client Configuration Manager n'est pas installé sur les ordinateurs sélectionnés..

Les personnes spécifiées disposent d'un accès réseau illimité.

  1. Créez une stratégie réseau présentant la configuration suivante :

    • Dans l'onglet Aperçu, sélectionnez Stratégie activée.

    • Dans l'onglet Aperçu, sélectionnez l'autorisation d'accès Autoriser l'accès. Octroyez l'accès si la demande de connexion correspond à cette stratégie.

    • Sous l'onglet Conditions, ajoutez la condition des Groupes Windows, cliquez sur Ajouter des groupes, sélectionnez le groupe contenant toutes les personnes qui doivent toujours disposer d'un accès complet au réseau, si la stratégie est compatible. Cliquez sur le groupe que vous venez de sélectionner, cliquez sur OK, puis de nouveau sur OK pour fermer la boîte de dialogue Groupes Windows.

    • Sous l'onglet Conditions, ajoutez la condition Stratégies d'intégrité, sélectionnez la stratégie d'intégrité Conforme créée précédemment, puis cliquez sur OK.

    • Sous l'onglet Contraintes, pour la contrainte DHCP et IPsec uniquement, cliquez sur Vérifier uniquement l'intégrité de l'ordinateur. Notez que ce paramètre de doit pas être sélectionné si vous utilisez VPN ou 802.1X comme mécanisme de contrainte.

    • Dans l'onglet Paramètres, cliquez sur Contrainte NAP sous la section Protection d'accès réseau, cliquez sur Autoriser un accès complet au réseau, puis sur OK.

  2. Ajoutez cette stratégie avant la stratégie réseau de Configuration Manager qui fait référence à la stratégie de contrôle d'intégrité compatible et ne disposant pas d'une condition des groupes Windows.

En cas de non-conformité, les ordinateurs de bureau disposent d'un accès complet au réseau pour une période limitée, tandis que les ordinateurs portables disposent d'un accès limité.

  1. Créez une stratégie réseau non conforme pour les ordinateurs de bureau en réseau :

    • Dans l'onglet Aperçu, sélectionnez Stratégie activée.

    • Dans l'onglet Aperçu, sélectionnez l'autorisation d'accès Autoriser l'accès. Octroyez l'accès si la demande de connexion correspond à cette stratégie.

    • Sous l'onglet Conditions, ajoutez la condition Groupes d'ordinateurs, cliquez sur Ajouter des groupes et sélectionnez le groupe contenant tous les ordinateurs qui doivent disposer d'un accès réseau complet pendant une période limitée en cas de non-conformité. Cliquez sur le groupe que vous venez de sélectionner, cliquez sur OK, puis de nouveau sur OK pour fermer la boîte de dialogue Groupes d'ordinateurs.

    • Dans l'onglet Conditions, ajoutez la condition Stratégies de contrôle d'intégrité, sélectionnez la stratégie de contrôle d'intégrité Non compatible créée précédemment, puis cliquez sur OK.

    • Sous l'onglet Contraintes, pour la contrainte DHCP et IPsec uniquement, cliquez sur Vérifier uniquement l'intégrité de l'ordinateur. Notez que ce paramètre de doit pas être sélectionné si vous utilisez VPN ou 802.1X comme mécanisme de contrainte.

    • Sous l'onglet Paramètres, cliquez sur Contrainte NAP dans la section Protection d'accès réseau, cliquez sur Autoriser un accès complet au réseau pour une période limitée, puis utilisez les options Date et Heure pour définir les périodes d'accès réseau limité des ordinateurs, si leur état d'intégrité n'est toujours pas compatible.

    • Sous l'onglet Paramètres, cliquez sur Contrainte NAP puis sur Configurer dans la section Groupe de serveurs de mise à jour et URL de dépannage. Dans la boîte de dialogue Serveurs de mise à jour et URL de dépannage, spécifiez les éléments suivants et cliquez sur OK :

      Dans la section Groupe de serveurs de mise à jour, sélectionnez le groupe de serveurs de mise à jour créé auparavant et contenant des serveurs d'infrastructure, tels que des serveurs DNS.

      Dans la section URL de dépannage, tapez le lien vers une page Web accessible depuis le réseau limité que vous souhaitez dévoiler aux utilisateurs lorsqu'ils sont en cours de mise à jour.

  2. Créez une stratégie réseau non conforme pour les ordinateurs portables :

    • Dans l'onglet Aperçu, sélectionnez Stratégie activée.

    • Dans l'onglet Aperçu, sélectionnez l'autorisation d'accès Autoriser l'accès. Octroyez l'accès si la demande de connexion correspond à cette stratégie.

    • Sous l'onglet Conditions, ajoutez la condition Groupes d'ordinateurs, cliquez sur Ajouter des groupes et sélectionnez le groupe contenant tous les ordinateurs portables qui doivent disposer d'un accès réseau limité en cas de non-conformité. Cliquez sur le groupe que vous venez de sélectionner, cliquez sur OK, puis de nouveau sur OK pour fermer la boîte de dialogue Groupes d'ordinateurs.

    • Dans l'onglet Conditions, ajoutez la condition Stratégies de contrôle d'intégrité, sélectionnez la stratégie de contrôle d'intégrité Non compatible créée précédemment, puis cliquez sur OK.

    • Sous l'onglet Contraintes, pour la contrainte DHCP et IPsec uniquement, cliquez sur Vérifier uniquement l'intégrité de l'ordinateur. Notez que ce paramètre de doit pas être sélectionné si vous utilisez VPN ou 802.1X comme mécanisme de contrainte.

    • Sous l'onglet Paramètres, cliquez sur Contrainte NAP sous la section Protection d'accès réseau, puis cliquez sur Autoriser un accès limité.

    • Sous l'onglet Paramètres, cliquez sur Contrainte NAP puis sur Configurer dans la section Groupe de serveurs de mise à jour et URL de dépannage. Dans la boîte de dialogue Serveurs de mise à jour et URL de dépannage, spécifiez les éléments suivants et cliquez sur OK :

      Dans la section Groupe de serveurs de mise à jour, sélectionnez le groupe de serveurs de mise à jour créé auparavant et contenant des serveurs d'infrastructure, tels que des serveurs DNS.

      Dans la section URL de dépannage, tapez le lien vers une page Web accessible depuis le réseau limité que vous souhaitez dévoiler aux utilisateurs lorsqu'ils sont en cours de mise à jour.

  3. Ajoutez la stratégie réseau non conforme des ordinateurs portables avant la stratégie réseau non conforme des ordinateurs de bureau.

Pendant les heures d'indisponibilité du support technique local, les ordinateurs non compatibles bénéficient d'un accès complet au réseau pour une période limitée, et non d'un accès limité.

  1. Créez une stratégie réseau non compatible pour un accès réseau complet de 2 h 00 à 4 h 00 uniquement :

    • Dans l'onglet Aperçu, sélectionnez Stratégie activée.

    • Dans l'onglet Aperçu, sélectionnez l'autorisation d'accès Autoriser l'accès. Octroyez l'accès si la demande de connexion correspond à cette stratégie.

    • Sous l'onglet Conditions, ajoutez la condition Restrictions de date et d'heure, sélectionnez 2:00 à 4:00, cliquez sur Autorisé, puis cliquez sur OK.

    • Dans l'onglet Conditions, ajoutez la condition Stratégies de contrôle d'intégrité, sélectionnez la stratégie de contrôle d'intégrité Non compatible créée précédemment, puis cliquez sur OK.

    • Sous l'onglet Contraintes, pour la contrainte DHCP et IPsec uniquement, cliquez sur Vérifier uniquement l'intégrité de l'ordinateur. Notez que ce paramètre de doit pas être sélectionné si vous utilisez VPN ou 802.1X comme mécanisme de contrainte.

    • Sous l'onglet Paramètres, cliquez sur Contrainte NAP dans la section Protection d'accès réseau, cliquez sur Autoriser un accès complet au réseau pour une période limitée, puis utilisez les options Date et Heure pour définir les périodes d'accès réseau limité des ordinateurs, si leur état d'intégrité n'est toujours pas compatible.

    • Dans l'onglet Paramètres, cliquez successivement sur Contrainte NAP, sur Configurer dans la section Groupe de serveurs de mise à jour et URL de dépannage. Puis dans la boîte de dialogue Serveurs de mise à jour et URL de dépannage, spécifiez les éléments suivants et cliquez sur OK :

    • Dans la section Groupe de serveurs de mise à jour, sélectionnez le groupe de serveurs de mise à jour créé auparavant et contenant des serveurs d'infrastructure, tels que des serveurs DNS.

    • Dans la section URL de dépannage, tapez le lien vers une page Web accessible depuis le réseau limité que vous souhaitez dévoiler aux utilisateurs lorsqu'ils sont en cours de mise à jour.

  2. Vérifiez si cette stratégie est ajoutée avant que la stratégie non compatible sans condition de restrictions au niveau de la date et de l'heure.

L'état d'intégrité des ordinateurs spécifiés ne sera pas vérifié dans Configuration Manager. Cette mesure n'est applicable que si le client Configuration Manager n'est pas installé sur les ordinateurs sélectionnés.

  1. Créez une nouvelle stratégie de contrôle d'intégrité qui ne fait pas référence au programme de validation d'intégrité système de Configuration Manager, mais qui inclut les autres programmes de validation d'intégrité système que vous utilisez.

  2. Créez une nouvelle stratégie de réseau :

    • Dans l'onglet Aperçu, sélectionnez Stratégie activée.

    • Dans l'onglet Aperçu, sélectionnez l'autorisation d'accès Autoriser l'accès. Octroyez l'accès si la demande de connexion correspond à cette stratégie.

    • Sous l'onglet Conditions, ajoutez la condition Groupes d'ordinateurs, cliquez sur Ajouter des groupes, sélectionnez le groupe Windows contenant tous les ordinateurs sur lesquels le client Configuration Manager ne doit pas être installé. Cliquez sur le groupe que vous venez de sélectionner, cliquez sur OK, puis de nouveau sur OK pour fermer la boîte de dialogue Groupes d'ordinateurs.

    • Sous l'onglet Conditions, ajoutez la condition Stratégies de contrôle d'intégrité, sélectionnez la nouvelle stratégie de contrôle d'intégrité ne faisant pas référence au programme de validation d'intégrité système de Configuration Manager, puis cliquez sur OK.

    • Sous l'onglet Contraintes, pour la contrainte DHCP et IPsec uniquement, cliquez sur Vérifier uniquement l'intégrité de l'ordinateur. Notez que ce paramètre de doit pas être sélectionné si vous utilisez VPN ou 802.1X comme mécanisme de contrainte.

    • Dans l'onglet Paramètres, cliquez sur Contrainte NAP sous la section Protection d'accès réseau, cliquez sur Autoriser un accès complet au réseau, puis sur OK.

  3. Ajoutez cette stratégie réseau avant toute autre faisant référence aux stratégies d'intégrité de Configuration Manager.

Voir aussi

Concepts

Détermination de votre stratégie pour la protection d'accès réseau

Autres ressources

Configuration du serveur NPS pour Configuration Manager
Présentation de la protection d'accès réseau

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.