À propos de l'approbation du client dans Configuration Manager
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Dernière mise à jour de la rubrique — Novembre 2007
Le mode mixte de Configuration Manager 2007 n'authentifie pas les clients tant qu'ils ne sont pas autorisés à rejoindre le site. Tout ordinateur doté du client System Center Configuration Manager 2007, attribué à un site et disposant d'un certificat auto-signé peut communiquer avec un point de gestion, afficher la console System Center Configuration Manager 2007, recevoir une stratégie du site et envoyer des informations au site. En mode mixte, si la case à cocher Ce site contient uniquement des clients ConfigMgr 2007 n'est pas activée, des stratégies contenant des données sensibles peuvent être envoyées à n'importe quel client. Cependant, si la case à cocher est activée, seuls les clients approuvés peuvent recevoir des stratégies contenant des données sensibles.
Un client Configuration Manager 2007 ne peut être approuvé tant qu'il n'est pas correctement installé et attribué à un site.
L'approbation peut être manuelle, automatique pour les ordinateurs de domaines approuvés ou automatique pour tous les ordinateurs, et elle est configurée comme propriété de site sous l'onglet Mode site pour les sites en mode mixte.
La méthode d'approbation la plus sûre consiste à approuver automatiquement les clients qui sont membres de domaines approuvés. Dans ce mode, les clients qui ne sont pas membres d'un domaine approuvé, y compris les clients de groupes de travail, doivent être approuvés manuellement. Si vous voulez vérifier manuellement chaque client avant qu'il soit autorisé à recevoir des stratégies contenant des données sensibles, définissez le mode d'approbation manuel. Il n'est pas recommandé d'approuver automatiquement tous les clients, sauf si vous disposez d'autres contrôles d'accès pour empêcher l'accès des ordinateurs non approuvés à votre réseau. Si un client n'est pas approuvé par une méthode automatique, il s'affiche toujours dans la console Configuration Manager 2007 ; vous pouvez l'approuver manuellement en le recherchant dans un regroupement et en utilisant Approuver dans le menu Action. Pour plus d'informations, consultez la rubrique Comment approuver des clients Configuration Manager.
Les clients de périphériques mobiles ne reçoivent pas de stratégie contenant des données sensibles ; par conséquent, leur approbation n'est pas nécessaire.
Qui plus est, l'approbation n'est pas requise lorsque le site est configuré pour le mode natif, car les certificats PKI (infrastructure à clés publiques) authentifient les clients sur le point de gestion et d'autres systèmes de site.
Notes
Lorsqu'un site Configuration Manager 2007 est en mode natif, l'approbation du client n'est pas utilisée. Toutefois, si vous affichez un regroupement dans la console Configuration Manager, la colonne d'approbation s'affiche. Pour les sites en mode natif, les informations de cette colonne ne doivent pas être utilisées.
Le tableau suivant répertorie les trois options d'approbation disponibles comme option de site en mode mixte.
| Paramètre d'approbation | Informations complémentaires |
|---|---|
Approuver manuellement chaque ordinateur |
L'approbation manuelle de chaque ordinateur afin qu'il rejoigne le site est l'option la moins risquée, mais elle présente la surcharge administrative la plus importante. Les clients doivent être approuvés manuellement depuis leur site d'attribution au sein de la console Configuration Manager. |
Approuver automatiquement les ordinateurs dans les domaines approuvés |
L'approbation automatique des ordinateurs dans les domaines approuvés approuve automatiquement les ordinateurs clients liés à des domaines approuvés par le domaine du serveur de site. Lorsque vous utilisez ce paramètre, vous devez vous assurer que vous disposez d'autres contrôles de sécurité pour empêcher que des ordinateurs non approuvés soient liés à un domaine approuvé. Important Si des clients sont issus d'un domaine autre que le domaine du serveur de site, vous devez configurer le point de gestion par défaut du site (ou le point de gestion d'équilibrage de la charge réseau) avec un nom de domaine complet pour utiliser cette option. Pour plus d'informations sur la spécification de ce nom de domaine complet, consultez la rubrique Comment configurer le nom de domaine complet intranet des systèmes de site. |
Approuver automatiquement tous les ordinateurs |
L'approbation automatique de tous les ordinateurs afin qu'ils soient liés au site permet à tout ordinateur de rejoindre le site. Ce paramètre est déconseillé car il permet à un ordinateur de devenir client sans vérification de son approbation. |
Réinitialisation du statut d'approbation du client au mode natif lors de la migration d'un site
Lors de la migration d'un site Configuration Manager 2007 du mode mixte au mode natif, les clients ne conservent pas leur statut d'approbation, et le statut d'approbation de tous les clients attribués au site est automatiquement défini sur Non approuvé.
Lorsque le site fonctionne en mode natif, l'authentification du client à l'aide de certificats PKI (infrastructure à clés publiques) se substitue à l'approbation, et le statut d'approbation n'est pas utilisé. Cependant, si le site repasse en mode mixte, les clients doivent être réapprouvés comme s'il s'agissait de nouveaux clients.
Voir aussi
Tâches
Comment approuver des clients Configuration Manager
Comment bloquer des clients Configuration Manager
Référence
Propriétés du site : Mode site
Concepts
Choisir entre le mode natif et le mode mixte
Déterminer si des noms de serveurs (FQDN) sont à utiliser
Présentation du déploiement du client Configuration Manager
Meilleures pratiques pour la sécurisation des clients
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.