Principes de base de la sécurité pour Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Cet article récapitule les composants de sécurité fondamentaux suivants de tout environnement Configuration Manager :

Couches de sécurité

La sécurité de Configuration Manager se compose des couches suivantes :

Windows Sécurité du système d’exploitation et du réseau

La première couche est fournie par les fonctionnalités Windows sécurité pour le système d’exploitation et le réseau. Cette couche comprend les composants suivants :

  • Partage de fichiers pour transférer des fichiers entre des composants Configuration Manager.

  • Listes de contrôle d’accès (ACA) pour sécuriser les fichiers et les clés de Registre.

  • IPsec (Internet Protocol Security) pour sécuriser les communications.

  • Stratégie de groupe pour définir la stratégie de sécurité.

  • Autorisations DCOM (Distributed Component Object Model) pour les applications distribuées, telles que la console Configuration Manager.

  • Services de domaine Active Directory pour stocker les principaux de sécurité.

  • Windows sécurité de compte, y compris certains groupes créés par Configuration Manager lors de l’installation.

Infrastructure réseau

Les composants de sécurité réseau, tels que les pare-feu et la détection des intrusions, contribuent à assurer la défense de l’ensemble de l’environnement. Les certificats émis par des implémentations d’infrastructure à clé publique (PKI) standard du secteur permettent d’assurer l’authentification, la signature et le chiffrement.

Contrôles de sécurité Configuration Manager

Par défaut, seuls les administrateurs locaux ont des droits sur les fichiers et les clés de Registre dont la console Configuration Manager a besoin sur les ordinateurs où vous l’installez.

Fournisseur SMS

La couche de sécurité suivante est basée sur l’accès au fournisseur SMS. Le fournisseur SMS est un composant Configuration Manager qui accorde à un utilisateur l’accès pour interroger la base de données de sites pour obtenir des informations. Le fournisseur SMS expose principalement l’accès via Windows Management Instrumentation (WMI), mais également une API REST appelée service d’administration.

Par défaut, l’accès au fournisseur est limité aux membres du groupe Administrateurs SMS local. Ce groupe contient d’abord uniquement l’utilisateur qui a installé Configuration Manager. Pour accorder à d’autres comptes l’autorisation d’accès au référentiel CIM (Common Information Model) et au fournisseur SMS, ajoutez les autres comptes au groupe Administrateurs SMS.

Vous pouvez spécifier le niveau d’authentification minimal pour que les administrateurs accèdent aux sites Configuration Manager. Cette fonctionnalité impose aux administrateurs de se Windows avec le niveau requis. Pour plus d’informations, voir Plan for the SMS Provider.

Autorisations de base de données de site

La dernière couche de sécurité est basée sur les autorisations accordées aux objets dans la base de données de sites. Par défaut, le compte Système local et le compte d’utilisateur que vous avez utilisé pour installer Configuration Manager peuvent administrer tous les objets de la base de données de sites. Accordez et restreignez des autorisations à d’autres utilisateurs d’administration dans la console Configuration Manager à l’aide de l’administration basée sur les rôles.

Administration basée sur les rôles

Configuration Manager utilise l’administration basée sur les rôles pour sécuriser des objets tels que des collections, des déploiements et des sites. Ce modèle d’administration définit et gère de manière centralisée les paramètres d’accès de sécurité à l’échelle de la hiérarchie pour tous les sites et paramètres de site.

Un administrateur attribue des rôles de sécurité aux utilisateurs administratifs et aux autorisations de groupe. Les autorisations sont connectées à différents types d’objets Configuration Manager, par exemple, pour créer ou modifier des paramètres clients.

Les étendues de sécurité incluent des instances spécifiques d’objets qu’un utilisateur administratif est responsable de gérer. Par exemple, une application qui installe la console Configuration Manager.

La combinaison de rôles de sécurité, d’étendues de sécurité et de collections définit les objets qu’un utilisateur administratif peut afficher et gérer. Configuration Manager installe certains rôles de sécurité par défaut pour les tâches de gestion classiques. Créez vos propres rôles de sécurité pour prendre en charge vos besoins métier spécifiques.

Pour plus d’informations, voir Fundamentals of role-based administration.

Sécurisation des points de terminaison des clients

Configuration Manager sécurisation la communication du client avec les rôles du système de site à l’aide de certificats auto-signés ou PKI, ou de jetons Azure Active Directory (Azure AD). Certains scénarios nécessitent l’utilisation de certificats pKI. Par exemple, la gestion des clients basés sur Internetet pour les clients d’appareils mobiles.

Vous pouvez configurer les rôles du système de site auquel les clients se connectent pour la communication client HTTPS ou HTTP. Les ordinateurs clients communiquent toujours à l’aide de la méthode la plus sécurisée disponible. Les ordinateurs clients utilisent uniquement la méthode de communication moins sécurisée si vous avez des rôles de systèmes de site qui autorisent la communication HTTP.

Important

À compter de configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont supprimés. Configurez le site pour HTTPS ou Http amélioré. Pour plus d’informations, voir Activer le site pour HTTPS uniquement ou HTTP amélioré.

Pour plus d’informations, voir Planifier la sécurité.

Groupes et comptes Configuration Manager

Configuration Manager utilise le compte système local pour la plupart des opérations de site. Certaines opérations de site autorisent l’utilisation d’un compte de service, au lieu d’utiliser le compte d’ordinateur de domaine du serveur de site. Certaines tâches de gestion peuvent nécessiter la création et la gestion d’autres comptes. Par exemple, pour joindre le domaine pendant une séquence de tâches de déploiement du système d’exploitation.

Configuration Manager crée plusieurs groupes et rôles SQL Server par défaut lors de l’installation. Vous de devez peut-être ajouter manuellement des comptes d’ordinateurs ou d’utilisateurs aux groupes par défaut et SQL Server rôles.

Pour plus d’informations, voir Comptes utilisés dans Configuration Manager.

Confidentialité

Avant d’implémenter Configuration Manager, prenez en compte vos exigences de confidentialité. Bien que les produits de gestion d’entreprise offrent de nombreux avantages car ils peuvent gérer efficacement de nombreux clients, ce logiciel peut affecter la confidentialité des utilisateurs de votre organisation. Configuration Manager inclut de nombreux outils pour collecter des données et surveiller les appareils. Certains outils peuvent lever des problèmes de confidentialité dans votre organisation.

Par exemple, lorsque vous installez le client Configuration Manager, il active de nombreux paramètres de gestion par défaut. Cette configuration entraîne l’envoi d’informations au site Configuration Manager par le logiciel client. Le site stocke les informations client dans la base de données de sites. Les informations client ne sont pas directement envoyées à Microsoft. Pour plus d’informations, voir Diagnostics et données d’utilisation.

Prochaines étapes

Principes de base de l’administration basée sur les rôles

Planifier la sécurié