Sécurité et confidentialité pour la gestion des applications dans Configuration ManagerSecurity and privacy for application management in Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Conseils en matière de sécurité pour la gestion des applicationsSecurity guidance for application management

Utiliser le Centre logiciel sans le catalogue d’applicationsUse the Software Center without the application catalog

L’expérience utilisateur Silverlight du catalogue d’applications n’est plus prise en charge depuis la version Current Branch 1806.The application catalog's Silverlight user experience isn't supported as of current branch version 1806. Cette configuration permet d’alléger l’infrastructure de serveur nécessaire pour fournir des applications aux utilisateurs.This configuration helps you reduce the server infrastructure required to deliver applications to users.

Depuis la version 1906, les clients mis à jour utilisent automatiquement le point de gestion pour les déploiements d’applications disponibles pour l’utilisateur.Starting in version 1906, updated clients automatically use the management point for user-available application deployments. Vous ne pouvez pas non plus installer de nouveaux rôles du catalogue d’applications.You also can't install new application catalog roles. Le support prend fin pour les rôles du catalogue d’applications à compter de la version 1910.Support ends for the application catalog roles with version 1910. La réduction de l’infrastructure du serveur réduit également la surface d’attaque.Reducing the server infrastructure also reduces the attack surface.

Pour fournir une expérience d’application cohérente et sécurisée aux clients basés sur Internet, utilisez Azure Active Directory et la passerelle de gestion cloud.To deliver a consistent and secure application experience for internet-based clients, use Azure Active Directory and the cloud management gateway.

Pour plus d’informations, consultez Configurer le Centre logiciel.For more information, see Configure Software Center.

Utiliser HTTPS avec le catalogue d’applicationsUse HTTPS with the application catalog

Important

Le support prend fin pour les rôles du catalogue d’applications à compter de la version 1910.Support ends for the application catalog roles with version 1910. Pour plus d’informations, consultez Supprimer le catalogue des applications.For more information, see Remove the application catalog.

Configurez le point du site web du catalogue des applications et le point de service web du catalogue des applications pour qu’ils acceptent les connexions HTTPS.Configure the application catalog website point and the application catalog web service point to accept HTTPS connections. Avec cette configuration, le serveur est authentifié auprès des utilisateurs.With this configuration, the server is authenticated to users. Les données transmises sont protégées contre la falsification et l’affichage.The transmitted data is protected from tampering and viewing.

Limitez les chances de subir des attaques d’ingénierie sociale en invitant les utilisateurs à se connecter uniquement à des sites web approuvés.Help prevent social engineering attacks by educating users to only connect to trusted websites. Enseignez aux utilisateurs les dangers liés aux sites web malveillants.Educate users about the dangers of malicious websites.

Quand vous n’utilisez pas HTTPS, n’utilisez pas les options de configuration de marque.When you don't use HTTPS, don't use the branding configuration options. Ces paramètres affichent le nom de votre organisation dans le catalogue d’applications comme preuve d’identité.These settings show the name of your organization in the application catalog as proof of identity.

Utiliser la séparation de rôleUse role separation

Important

Le support prend fin pour les rôles du catalogue d’applications à compter de la version 1910.Support ends for the application catalog roles with version 1910. Pour plus d’informations, consultez Supprimer le catalogue des applications.For more information, see Remove the application catalog.

Installez le point du site Web du catalogue des applications et le point de service Web du catalogue des applications sur des serveurs distincts.Install the application catalog website point and the application catalog web service point on separate servers. Si le point de site web est compromis, il est séparé du point de service web.If the website point is compromised, it's separate from the web service point. Cette conception contribue à protéger les clients et l’infrastructure Configuration Manager.This design helps to protect the Configuration Manager clients and infrastructure. Cette configuration est particulièrement importante si le point du site web accepte les connexions des clients en partir d’Internet.This configuration is especially important if the website point accepts client connections from the internet. Ce qui rend le serveur plus vulnérable aux attaques.It makes the server more vulnerable to attack.

Fermer les fenêtres du navigateurClose browser windows

Important

Le support prend fin pour les rôles du catalogue d’applications à compter de la version 1910.Support ends for the application catalog roles with version 1910. Pour plus d’informations, consultez Supprimer le catalogue des applications.For more information, see Remove the application catalog.

Formez les utilisateurs à la fermeture de la fenêtre du navigateur lorsqu’ils ont terminé d’utiliser le catalogue des applications.Educate users to close the browser window when they finish using the application catalog. Si les utilisateurs naviguent jusqu’à un site Web externe dans la même fenêtre du navigateur que celle qu’ils ont utilisée pour le catalogue d’applications, le navigateur continue à utiliser les paramètres de sécurité adaptés aux sites approuvés dans l’intranet.If users browse to an external website in the same browser window that they used for the application catalog, the browser continues to use the security settings that are suitable for trusted sites in the intranet.

Indiquer de manière centralisée l’affinité entre utilisateur et appareilCentrally specify user device affinity

Spécifiez manuellement l’affinité entre utilisateur et appareil au lieu de laisser les utilisateurs identifier leur appareil principal.Manually specify the user device affinity instead of letting users identify their primary device. N’activez pas la configuration basée sur l’utilisation.Don't enable usage-based configuration.

Ne considérez pas comme faisant autorité les informations collectées auprès des utilisateurs ou de l’appareil.Don't consider information that's collected from users or from the device to be authoritative. Si vous déployez un logiciel en utilisant une affinité entre utilisateur et appareil qu’un administrateur ne spécifie pas, le logiciel risque de s’installer sur des ordinateurs et pour des utilisateurs qui ne sont pas autorisés à le recevoir.If you deploy software by using user device affinity that a trusted administrator doesn't specify, the software might be installed on computers and to users who aren't authorized to receive that software.

Ne pas exécuter les déploiements à partir de points de distributionDon't run deployments from distribution points

Configurez toujours les déploiements pour télécharger du contenu à partir de points de distribution plutôt que de les exécuter à partir de points de distribution.Always configure deployments to download content from distribution points rather than run from distribution points. Quand vous configurez des déploiements pour télécharger du contenu à partir d’un point de distribution et que vous les exécutez localement, le client Configuration Manager vérifie le hachage du package après avoir téléchargé le contenu.When you configure deployments to download content from a distribution point and run locally, the Configuration Manager client verifies the package hash after it downloads the content. Le client rejette le package si le hachage ne correspond pas à celui défini dans la stratégie.The client discards the package if the hash doesn't match the hash in the policy.

Si vous configurez un déploiement pour qu’il s’exécute directement à partir d’un point de distribution, le client Configuration Manager ne vérifie pas le hachage du package.If you configure the deployment to run directly from a distribution point, the Configuration Manager client doesn't verify the package hash. Ce comportement signifie que le client Configuration Manager peut installer un logiciel qui a été falsifié.This behavior means that the Configuration Manager client can install software that's been tampered with.

Si vous devez effectuer des déploiements directement à partir de points de distribution, utilisez les autorisations NTFS minimales sur les packages au niveau des points de distribution.If you must run deployments directly from distribution points, use NTFS least permissions on the packages on the distribution points. De même, utilisez la sécurité du protocole Internet (IPsec) pour sécuriser le canal entre le client et les points de distribution et entre les points de distribution et le serveur de site.Also use internet protocol security (IPsec) to secure the channel between the client and the distribution points, and between the distribution points and the site server.

Ne pas laisser les utilisateurs interagir avec des processus avec élévation de privilègesDon't let users interact with elevated processes

Si vous activez les options Exécuter avec les droits d’administration ou Installer pour le système, ne laissez pas les utilisateurs interagir avec ces applications.If you enable the options to Run with administrative rights or Install for system, don't let users interact with those applications. Quand vous configurez une application, vous pouvez définir l’option Permettre aux utilisateurs d’afficher et d’interagir avec l’installation du programme.When you configure an application, you can set the option to Allow users to view and interact with the program installation. Ce paramètre permet aux utilisateurs de répondre à toutes les invites obligatoires dans l’interface utilisateur.This setting allows users to respond to any required prompts in the user interface. Si vous configurez aussi l’application avec l’option Exécuter avec les droits d’administration, ou à partir de la version 1802, Installer pour le système, une personne malveillante sur l’ordinateur qui exécute le programme peut utiliser l’interface utilisateur pour élever les privilèges sur l’ordinateur client.If you also configure the application to Run with administrative rights, or starting in version 1802 Install for system, an attacker at the computer that runs the program could use the user interface to escalate privileges on the client computer.

Utilisez des programmes utilisant Windows Installer pour l’installation et des privilèges élevés par utilisateur pour les déploiements de logiciels qui nécessitent des informations d’identification d’administration.Use programs that use Windows Installer for setup and per-user elevated privileges for software deployments that require administrative credentials. Le programme d’installation doit être exécuté dans le contexte d’un utilisateur qui ne dispose pas d’informations d’identification d’administration.Setup must be run in the context of a user who doesn't have administrative credentials. Les privilèges élevés par utilisateur de Windows Installer représentent la méthode la plus sûre pour déployer les applications avec cette spécification.Windows Installer per-user elevated privileges provide the most secure way to deploy applications that have this requirement.

Restreindre la possibilité pour les utilisateurs d’installer les logiciels de manière interactiveRestrict whether users can install software interactively

Configurez le paramètre client Autorisations d’installation dans le groupe Agent ordinateur.Configure the Install permissions client setting in the Computer Agent group. Ce paramètre restreint les types d’utilisateurs qui peuvent installer des logiciels dans le Centre logiciel.This setting restricts the types of users who can install software in Software Center.

Par exemple, créez un paramètre de client personnalisé après avoir défini Installer les autorisations sur Administrateurs uniquement.For example, create a custom client setting with Install permissions set to Only administrators. Appliquez ce paramètre client à un regroupement de serveurs.Apply this client setting to a collection of servers. Cette configuration empêche les utilisateurs sans autorisations d’administrateur d’installer des logiciels sur ces serveurs.This configuration prevents users without administrative permissions from installing software on those servers.

Pour les appareils mobiles, déployer uniquement les applications qui sont signéesFor mobile devices, deploy only applications that are signed

Déployez des applications d’appareil mobile seulement si leur code est signé par une autorité de certification approuvée par l’appareil mobile.Deploy mobile device applications only if they're code-signed by a certification authority (CA) that the mobile device trusts.

Par exemple :For example:

  • Une application d’un fournisseur, signée par une autorité de certification connue, comme VeriSign.An application from a vendor, which is signed by a well-known CA like VeriSign.

  • Une application interne que vous signez indépendamment de Configuration Manager, en utilisant votre autorité de certification interne.An internal application that you sign independent from Configuration Manager by using your internal CA.

  • Une application interne que vous signez à l’aide de Configuration Manager quand vous créez le type d’application et que vous utilisez un certificat de signature.An internal application that you sign by using Configuration Manager when you create the application type and use a signing certificate.

Sécuriser l’emplacement du certificat de signature d’application d’appareil mobileSecure the location of the mobile device application signing certificate

Si vous signez des applications d’appareil mobile à l’aide de l’ Assistant Création d’une application dans Configuration Manager, sécurisez l’emplacement du fichier de certificat de signature, ainsi que le canal de communication.If you sign mobile device applications by using the Create Application Wizard in Configuration Manager, secure the location of the signing certificate file, and secure the communication channel. Pour vous prémunir contre l’élévation de privilèges et les attaques de l’intercepteur, stockez le fichier de certificat de signature dans un dossier sécurisé.To help protect against elevation of privileges and against man-in-the-middle attacks, store the signing certificate file in a secured folder.

Utilisez IPsec entre les ordinateurs suivants :Use IPsec between the following computers:

  • Ordinateur qui exécute la console Configuration ManagerThe computer that runs the Configuration Manager console
  • L’ordinateur qui stocke le fichier de signature de certificat.The computer that stores the certificate signing file
  • L’ordinateur qui stocke les fichiers sources de l’application.The computer that stores the application source files

Vous pouvez aussi signer l’application indépendamment de Configuration Manager et avant d’exécuter l’Assistant Création d’une application.Alternatively, sign the application independent of Configuration Manager and before you run the Create Application Wizard.

Instaurer des contrôles d’accèsImplement access controls

Pour protéger les ordinateurs de référence, implémentez des contrôles d’accès.To protect reference computers, implement access controls. Lorsque vous configurez la méthode de détection dans un type de déploiement en naviguant vers un ordinateur de référence, assurez-vous que celui-ci n’est pas compromis.When you configure the detection method in a deployment type by browsing to a reference computer, make sure that the computer isn't compromised.

Restreindre et surveiller les utilisateurs administratifsRestrict and monitor administrative users

Limitez et surveillez les utilisateurs administratifs auxquels vous accordez les rôles de sécurité basée sur les rôles de gestion des applications suivants :Restrict and monitor the administrative users who you grant the following application management role-based security roles:

  • Administrateur d’applicationApplication Administrator
  • Auteur d’applicationApplication Author
  • Gestionnaire de déploiement d’applicationsApplication Deployment Manager

Même lorsque vous configurez l'administration basée sur les rôles, les utilisateurs administratifs qui créent et déploient des applications peuvent disposer d'un nombre d'autorisations plus important que ce que vous pensez.Even when you configure role-based administration, administrative users who create and deploy applications might have more permissions than you realize. Par exemple, des utilisateurs administratifs qui créent ou modifient une application peuvent sélectionner des applications dépendantes qui ne sont pas dans leur étendue de sécurité.For example, administrative users who create or change an application can select dependent applications that aren't in their security scope.

Configurer des applications App-V dans des environnements virtuels avec le même niveau de confianceConfigure App-V apps in virtual environments with the same trust level

Quand vous configurez des environnements virtuels Microsoft Application Virtualization (App-V), sélectionnez des applications qui ont le même niveau de confiance dans l’environnement virtuel.When you configure Microsoft Application Virtualization (App-V) virtual environments, select applications that have the same trust level in the virtual environment. Dans la mesure où des applications dans un environnement virtuel App-V peuvent partager des ressources, comme le Presse-papiers, configurez l’environnement virtuel afin que les applications sélectionnées aient le même niveau de confiance.Because applications in an App-V virtual environment can share resources, like the clipboard, configure the virtual environment so that the selected applications have the same trust level.

Pour plus d’informations, consultez Créer des environnements virtuels App-V.For more information, see Create App-V virtual environments.

Vérifier que les applications macOS proviennent d’une source fiableMake sure macOS apps are from a trustworthy source

Si vous déployez des applications pour les ordinateurs macOS, assurez-vous que les fichiers source proviennent d'une source fiable.If you deploy applications for macOS devices, make sure that the source files are from a trustworthy source. L’outil CMAppUtil ne valide pas la signature du package source.The CMAppUtil tool doesn't validate the signature of the source package. Assurez-vous que le package provient d’une source de confiance.Make sure the package comes from a source that you trust. L’outil CMAppUtil ne peut pas détecter si les fichiers ont été falsifiés.The CMAppUtil tool can't detect whether the files have been tampered with.

Sécuriser le fichier cmmac pour les applications macOSSecure the cmmac file for macOS apps

Si vous déployez des applications pour les ordinateurs macOS, sécurisez l’emplacement du fichier .cmmac.If you deploy applications for macOS computers, secure the location of the .cmmac file. L’outil CMAppUtil génère ce fichier, puis vous l’importez dans Configuration Manager.The CMAppUtil tool generates this file, and then you import it to Configuration Manager. Ce fichier n’est pas signé ou validé.This file isn't signed or validated.

Sécurisez le canal de communication lorsque vous importez ce fichier dans Configuration Manager.Secure the communication channel when you import this file to Configuration Manager. Pour empêcher la falsification de ce fichier, stockez-le dans un dossier sécurisé.To help prevent tampering with this file, store it in a secured folder. Utilisez IPsec entre les ordinateurs suivants :Use IPsec between the following computers:

  • Ordinateur qui exécute la console Configuration ManagerThe computer that runs the Configuration Manager console
  • L’ordinateur qui stocke le fichier .cmmac.The computer that stores the .cmmac file

Utiliser HTTPS pour les applications webUse HTTPS for web applications

Si vous configurez un type de déploiement d’application web, utilisez le protocole HTTPS pour sécuriser la connexion.If you configure a web application deployment type, use HTTPS to secure the connection. Si vous déployez une application web en utilisant un lien HTTP plutôt qu’un lien HTTPS, l’appareil peut être redirigé vers un serveur non autorisé.If you deploy a web application by using an HTTP link rather than an HTTPS link, the device could be redirected to a rogue server. Les données transférées entre l’appareil et le serveur ont pu être falsifiées.Data that's transferred between the device and server could be tampered with.

Problèmes de sécurité pour la gestion des applicationsSecurity issues for application management

  • Les utilisateurs à faibles privilèges peuvent copier des fichiers à partir du cache du client sur l'ordinateur client.Low-rights users can copy files from the client cache on the client computer.

    Les utilisateurs peuvent lire le cache du client, mais pas y écrire.Users can read the client cache but can't write to it. Avec les autorisations de lecture, un utilisateur peut copier des fichiers d'installation d'application d'un ordinateur à un autre.With read permissions, a user can copy application installation files from one computer to another.

  • Les utilisateurs avec des privilèges faibles peuvent modifier les fichiers qui enregistrent l’historique de déploiement de logiciels sur l’ordinateur client.Low-rights users can change files that record software deployment history on the client computer.

    Sachant que les informations de l’historique des applications ne sont pas protégées, un utilisateur peut modifier les fichiers qui indiquent si une application est installée.Because the application history information isn't protected, a user can change files that report whether an application is installed.

  • Les packages App-V ne sont pas signés.App-V packages aren't signed.

    Les packages App-V dans Configuration Manager ne prennent pas en charge la signature.App-V packages in Configuration Manager don't support signing. Les signatures numériques vérifient que le contenu provient d’une source approuvée et qu’il n’a pas été altéré au cours du transit.Digital signatures verify the content is from a trusted source and wasn't altered in transit. Il n’existe aucune mesure d’atténuation du risque pour ce problème de sécurité.There's no mitigation for this security issue. Suivez les bonnes pratiques de sécurité de façon à télécharger le contenu à partir d’une source approuvée et d’un emplacement sécurisé.Follow the security best practice to download the content from a trusted source and from a secure location.

  • Les applications App-V publiées peuvent être installées par tous les utilisateurs sur l'ordinateur.Published App-V applications can be installed by all users on the computer.

    Quand une application App-V est publiée sur un ordinateur, tous les utilisateurs qui se connectent à cet ordinateur peuvent installer l’application.When an App-V application is published on a computer, all users who sign in to that computer can install the application. Vous ne pouvez pas limiter les utilisateurs qui peuvent installer l’application après sa publication.You can't restrict the users who can install the application after it's published.

Certificats pour Microsoft Silverlight 5 et mode de confiance élevée obligatoires pour le catalogue des applications Certificates for Microsoft Silverlight 5 and elevated trust mode required for the application catalog

Important

Le support prend fin pour les rôles du catalogue d’applications à compter de la version 1910.Support ends for the application catalog roles with version 1910. Pour plus d’informations, consultez Supprimer le catalogue des applications.For more information, see Remove the application catalog.

Les clients Configuration Manager version 1710 et antérieures requièrent Microsoft Silverlight 5, qui doit s’exécuter en mode de confiance élevée pour permettre aux utilisateurs d’installer des logiciels à partir du catalogue d’applications.Configuration Manager clients version 1710 and earlier require Microsoft Silverlight 5, which must run in elevated trust mode for users to install software from the application catalog. Par défaut, les applications Silverlight s'exécutent en mode de confiance partielle pour empêcher les applications d'accéder aux données utilisateur.By default, Silverlight applications run in partial trust mode to prevent applications from accessing user data. Si ce n’est pas déjà fait, Configuration Manager installe automatiquement Microsoft Silverlight 5 sur les clients.If it isn't already installed, Configuration Manager automatically installs Microsoft Silverlight 5 on clients. Par défaut, Configuration Manager définit le paramètre du client Autoriser les applications Silverlight à s’exécuter en mode de confiance élevée de l’Agent ordinateur sur Oui.By default, Configuration Manager sets the Computer Agent Allow Silverlight applications to run in elevated trust mode client setting to Yes. Ce paramètre permet aux applications Silverlight signées et approuvées de demander le mode de confiance élevée.This setting lets signed and trusted Silverlight applications request elevated trust mode.

Lors de l’installation du rôle de système de site du point de site web du catalogue d’applications, le client installe également un certificat de signature Microsoft dans le magasin de certificats Éditeurs approuvés de l’ordinateur sur chaque ordinateur client Configuration Manager.When you install the application catalog website point site system role, the client also installs a Microsoft signing certificate in the Trusted Publishers computer certificate store on each Configuration Manager client computer. Les applications Silverlight signées par ce certificat s’exécutent en mode de confiance élevée, ce dont les ordinateurs ont besoin pour pouvoir installer des logiciels du catalogue des applications.Silverlight applications signed by this certificate run in the elevated trust mode, which computers require to install software from the application catalog. Configuration Manager gère automatiquement ce certificat de signature.Configuration Manager automatically manages this signing certificate. Pour optimiser la continuité de service, ne supprimez pas ou ne déplacez pas manuellement ce certificat de signature Microsoft.To increase service continuity, don't manually delete or move this Microsoft signing certificate.

Avertissement

Quand il est activé, le paramètre client Autoriser les applications Silverlight à s’exécuter en mode de confiance élevée permet à toutes les applications Silverlight signées par des certificats du magasin de certificats Éditeurs approuvés, que ce soit dans le magasin de l’ordinateur ou dans le magasin de l’utilisateur, de s’exécuter en mode de confiance élevée.When enabled, the Allow Silverlight applications to run in elevated trust mode client setting lets all Silverlight applications, which are signed by certificates in the Trusted Publishers certificate store in either the computer store or the user store, run in elevated trust mode. Le paramètre client ne peut pas activer le mode de confiance élevée spécifiquement pour le catalogue des applications Configuration Manager ou pour le magasin de certificats Éditeurs approuvés du magasin de l’ordinateur.The client setting can't enable elevated trust mode specifically for the Configuration Manager application catalog or for the Trusted Publishers certificate store in the computer store. Si un logiciel malveillant ajoute un certificat non autorisé dans le magasin de certificats Éditeurs approuvés, un logiciel malveillant qui utilise sa propre application Silverlight peut dès lors s’exécuter aussi en mode de confiance élevée.If malware adds a rogue certificate in the Trusted Publishers store, malware that uses its own Silverlight application can now also run in elevated trust mode.

Si vous définissez le paramètre Autoriser les applications Silverlight à s’exécuter en mode de confiance élevée sur Non, les clients ne suppriment pas le certificat de signature Microsoft.If you set the Allow Silverlight applications to run in elevated trust mode setting to No, clients don't remove the Microsoft signing certificate.

Pour plus d’informations sur les applications approuvées dans Silverlight, consultez Applications approuvées.For more about trusted applications in Silverlight, see Trusted Applications.

Informations de confidentialité pour la gestion d'applicationsPrivacy information for application management

La gestion des applications vous permet d’exécuter n’importe quel programme, script ou application sur n’importe quel client de la hiérarchie.Application management lets you run any application, program, or script on any client in the hierarchy. Configuration Manager n’a aucun contrôle sur les types d’applications, de programmes ou de scripts que vous exécutez, ni sur le type d’informations qu’ils transmettent.Configuration Manager has no control over the types of applications, programs, or scripts that you run or the type of information that they transmit. Lors du déploiement des applications, Configuration Manager peut transmettre des informations entre les clients et les serveurs qui identifient les comptes d’appareil et de connexion.During the application deployment process, Configuration Manager might transmit information that identifies the device and sign-in accounts between clients and servers.

Configuration Manager gère les informations d’état relatives au processus de déploiement de logiciels.Configuration Manager maintains status information about the software deployment process. Les informations d’état relatives au déploiement logiciel ne sont pas chiffrées pendant la transmission, à moins que le client communique avec HTTPS.Software deployment status information isn't encrypted during transmission unless the client communicates by using HTTPS. Les informations d’état ne sont pas stockées dans la base de données sous une forme chiffrée.The status information isn't stored in encrypted form in the database.

L’utilisation de l’installation d’applications de Configuration Manager pour installer à distance, en mode interactif ou silencieux des logiciels sur des clients peut être soumise à des termes de contrat de licence propres à ce logiciel.The use of Configuration Manager application installation to remotely, interactively, or silently install software on clients might be subject to software license terms for that software. Cette utilisation est distincte des termes du contrat de licence logiciel pour Configuration Manager.This use is separate from the Software License Terms for Configuration Manager. Consultez et acceptez toujours les termes du contrat de licence logiciel avant de déployer le logiciel à l’aide de Configuration Manager.Always review and agree to the Software Licensing Terms before you deploy software by using Configuration Manager.

Configuration Manager collecte les données d’utilisation et de diagnostics sur les applications. Microsoft utilise ensuite ces données pour améliorer les versions ultérieures.Configuration Manager collects diagnostics and usage data about applications, which is used by Microsoft to improve future releases. Pour plus d’informations, consultez Données de diagnostic et d’utilisation.For more information, see Diagnostics and usage data.

Le déploiement d’application ne se produit pas par défaut et nécessite plusieurs étapes de configuration.Application deployment doesn't happen by default and requires several configuration steps.

Les fonctionnalités suivantes permettent un déploiement efficace des logiciels :The following features help efficient software deployment:

  • L’affinité entre utilisateur et appareil mappe un utilisateur à des appareils.User device affinity maps a user to devices. Un administrateur Configuration Manager déploie les logiciels pour un utilisateur.A Configuration Manager administrator deploys software to a user. Le client installe automatiquement le logiciel sur le ou les ordinateurs que l’utilisateur utilise le plus souvent.The client automatically installs the software on one or more computers that the user uses most often.

  • Le Centre logiciel est installé automatiquement sur un appareil pendant l’installation du client Configuration Manager.Software Center is installed automatically on a device when you install the Configuration Manager client. Les utilisateurs modifient les paramètres, recherchent et installent des logiciels à partir du Centre logiciel.Users change settings, browse for and install software from Software Center.

  • Le catalogue d’applications est un site web qui permet aux utilisateurs de demander l’installation de logiciels.The application catalog is a website that lets users request software to install.

    Important

    Le support prend fin pour les rôles du catalogue d’applications à compter de la version 1910.Support ends for the application catalog roles with version 1910. Pour plus d’informations, consultez Supprimer le catalogue des applications.For more information, see Remove the application catalog.

Informations relatives à l’affinité entre utilisateur et appareilUser device affinity privacy information

  • Configuration Manager peut transmettre des informations entre les clients et les systèmes de site du point de gestion.Configuration Manager might transmit information between clients and management point site systems. Les informations peuvent identifier le compte d’ordinateur et de connexion, ainsi que le résumé de l’utilisation pour les comptes de connexion.The information might identify the computer and sign-in account and the summarized usage for sign-in accounts.

  • Les informations transmises entre le client et le serveur ne sont pas chiffrées, sauf si le point de gestion est configuré pour imposer aux clients de communiquer via HTTPS.The information that's transmitted between the client and server isn't encrypted, unless the management point is configured to require clients to communicate by using HTTPS.

  • Les informations relatives à l’ordinateur et à l’utilisation du compte de connexion, qui servent à mapper un utilisateur à un appareil, sont stockées sur les ordinateurs clients, envoyées aux points de gestion, puis stockées dans la base de données Configuration Manager.The computer and sign-in account usage information, which is used to map a user to a device, is stored on client computers, sent to management points, and then stored in the Configuration Manager database. Les informations anciennes sont supprimées de la base de données par défaut après 90 jours.The old information is deleted from the database by default after 90 days. Le comportement de suppression peut être configuré en définissant la tâche de maintenance de site Supprimer les anciennes données relatives à l'affinité entre périphérique et utilisateur .The deletion behavior is configurable by setting the Delete Aged User Device Affinity Data site maintenance task.

  • Configuration Manager conserve les informations d’état relatives à l’affinité entre utilisateur et appareil.Configuration Manager maintains status information about user device affinity. Les informations d’état ne sont pas chiffrées lors de leur transmission, sauf si les clients sont configurés pour communiquer avec des points de gestion à l’aide de HTTPS.Status information isn't encrypted during transmission, unless clients are configured to communicate with management points by using HTTPS. Les informations d’état ne sont pas stockées dans la base de données sous une forme chiffrée.Status information isn't stored in encrypted form in the database.

  • Les informations sur l’ordinateur et sur la connexion qui sont utilisées pour déterminer l’affinité entre utilisateur et appareil sont toujours activées.Computer and sign-in usage information that's used to establish user and device affinity is always enabled. Les utilisateurs et les utilisateurs administratifs peuvent fournir des informations relatives à l’affinité entre utilisateur et appareil.Users and administrative users can supply user device affinity information.

Informations sur la confidentialité dans le Centre logicielSoftware Center privacy information

  • Le Centre logiciel permet à l’administrateur Configuration Manager de publier n’importe quel programme, script ou application exécutable par les utilisateurs.Software Center lets the Configuration Manager admin publish any application or program or script for users to run. Configuration Manager n’a aucun contrôle sur les types de programmes ou de scripts publiés dans le catalogue, ni sur le type des informations qu’ils transmettent.Configuration Manager has no control over the types of programs or scripts that are published in the catalog or the type of information that they transmit.

  • Configuration Manager peut transmettre des informations entre les clients et le point de gestion.Configuration Manager might transmit information between clients and the management point. Les informations peuvent identifier les comptes d’ordinateur et de connexion.The information might identify the computer and sign-in accounts. Les informations transmises entre le client et les serveurs ne sont pas chiffrées, sauf si vous configurez l point de gestion pour imposer aux clients de se connecter via HTTPS.The information that's transmitted between the client and servers isn't encrypted, unless you configure the management point to require clients connect by using HTTPS.

  • Les informations sur la demande d’approbation d’application sont enregistrées dans la base de données Configuration Manager.The information about the application approval request is stored in the Configuration Manager database. Les demandes qui sont annulées ou refusées, ainsi que les entrées d’historique de demande correspondantes, sont supprimées par défaut après 30 jours.Requests that are canceled or denied and the corresponding request history entries are deleted by default after 30 days. Le comportement de suppression peut être configuré en définissant la tâche de maintenance de site Supprimer les anciennes données de demande d'application .The deletion behavior is configurable by setting the Delete Aged Application Request Data site maintenance task. Les demandes d’approbation d’application qui sont à l’état Approuvé et En attente ne sont jamais supprimées.Application approval requests that are in approved and pending states are never deleted.

  • Le Centre logiciel est installé automatiquement pendant l’installation du client Configuration Manager sur un appareil.Software Center is installed automatically when you install the Configuration Manager client on a device.

Informations sur la confidentialité dans le catalogue d’applicationsApplication catalog privacy information

Important

Le support prend fin pour les rôles du catalogue d’applications à compter de la version 1910.Support ends for the application catalog roles with version 1910. Pour plus d’informations, consultez Supprimer le catalogue des applications.For more information, see Remove the application catalog.

  • Le catalogue d’applications n’est pas installé par défaut.The application catalog isn't installed by default. Cette installation nécessite plusieurs étapes de configuration.This installation requires several configuration steps.

  • Le catalogue des applications permet à l’administrateur Configuration Manager de publier n’importe quel programme, script ou application exécutable par les utilisateurs.The application catalog lets the Configuration Manager admin publish any application or program or script for users to run. Configuration Manager n’a aucun contrôle sur les types de programmes ou de scripts publiés dans le catalogue, ni sur le type des informations qu’ils transmettent.Configuration Manager has no control over the types of programs or scripts that are published in the catalog or the type of information that they transmit.

  • Configuration Manager peut transmettre des informations entre les clients et les rôles de systèmes de site du catalogue des applications.Configuration Manager might transmit information between clients and the application catalog site system roles. Les informations peuvent identifier les comptes d’ordinateur et de connexion.The information might identify the computer and sign-in accounts. Les informations transmises entre le client et les serveurs ne sont pas chiffrées, sauf si ces rôles de système de site sont configurés pour imposer aux clients de se connecter via HTTPS.The information that's transmitted between the client and servers isn't encrypted, unless these site system roles are configured to require clients connect by using HTTPS.