Notions de base de la sécurité pour Configuration ManagerFundamentals of security for Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Cet article récapitule les composants fondamentaux de la sécurité d’un environnement Configuration Manager :This article summarizes the following fundamental security components of any Configuration Manager environment:

Couches de sécuritéSecurity layers

La sécurité pour Configuration Manager se compose des couches suivantes :Security for Configuration Manager consists of the following layers:

Système d’exploitation Windows et sécurité réseauWindows OS and network security

La première couche est fournie par les fonctionnalités de sécurité Windows tant pour le système d’exploitation que pour le réseau.The first layer is provided by Windows security features for both the OS and the network. Cette couche inclut les composants suivants :This layer includes the following components:

  • le partage de fichiers pour transférer les fichiers entre des composants Configuration Manager ;File sharing to transfer files between Configuration Manager components

  • des listes de contrôle d'accès pour sécuriser les fichiers et les clés de Registre ;Access Control Lists (ACLs) to help secure files and registry keys

  • La sécurité du protocole Internet (IPsec) pour sécuriser les communicationsInternet Protocol Security (IPsec) to help secure communications

  • Une stratégie de groupe pour définir la stratégie de sécuritéGroup Policy to set security policy

  • Des autorisations DCOM (Distributed Component Object Model) pour les applications distribuées, comme la console Configuration ManagerDistributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console

  • des services de domaine Active Directory pour stocker les entités de sécurité ;Active Directory Domain Services to store security principals

  • La sécurité de compte Windows, notamment certains groupes créés par Configuration Manager durant la configurationWindows account security, including some groups that Configuration Manager creates during setup

Infrastructure réseauNetwork infrastructure

Des composants de sécurité supplémentaires, comme les pare-feu et la détection d’intrusion, contribuent à protéger l’ensemble de l’environnement.Additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Les certificats émis par des implémentations d’infrastructure à clé publique (PKI) standard permettent de fournir une authentification, une signature et un chiffrement.Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

Contrôles de sécurité de Configuration ManagerConfiguration Manager security controls

En plus de la sécurité fournie par l’infrastructure réseau et de serveur Windows, Configuration Manager contrôle l’accès à sa console et à ses ressources de plusieurs façons.In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to its console and resources in several ways. Par défaut, seuls les administrateurs locaux disposent de droits d’accès aux fichiers et aux clés de Registre nécessaires à la console Configuration Manager sur les ordinateurs où vous l’installez.By default, only local administrators have rights to the files and registry keys that the Configuration Manager console requires on computers where you install it.

Fournisseur SMSSMS Provider

La couche de sécurité suivante est basée sur l'accès via WMI (Windows Management Instrumentation), en particulier le fournisseur SMS.The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. Le fournisseur SMS est un composant Configuration Manager qui octroie un accès à un utilisateur pour interroger la base de données du site afin d’obtenir des informations.The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. Par défaut, l’accès au fournisseur est restreint aux membres du groupe Administrateurs SMS local.By default, access to the provider is restricted to members of the local SMS Admins group. À l’origine, ce groupe contient uniquement l’utilisateur qui a installé Configuration Manager.This group at first contains only the user who installed Configuration Manager. Pour accorder d'autres autorisations de compte à l'emplacement de stockage CIM (Common Information Model) et au fournisseur SMS, ajoutez les autres comptes au groupe Administrateurs SMS.To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

À compter de la version 1810, vous pouvez spécifier le niveau d’authentification minimal pour les administrateurs qui accèdent aux sites Configuration Manager.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Cette fonctionnalité force les administrateurs à se connecter à Windows avec le niveau requis.This feature enforces administrators to sign in to Windows with the required level.

Pour plus d’informations, consultez Planifier le fournisseur SMS.For more information, see Plan for the SMS Provider.

Autorisations de base de données de siteSite database permissions

Les autorisations d'accès aux objets de la base de données de site constituent la dernière couche de sécurité.The final layer of security is based on permissions to objects in the site database. Par défaut, le compte système local et le compte d’utilisateur que vous utilisez pour installer Configuration Manager peuvent administrer tous les objets de la base de données du site.By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Accordez et limitez les autorisations à des utilisateurs administratifs supplémentaires dans la console Configuration Manager à l’aide de l’administration basée sur des rôles.Grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Administration basée sur des rôlesRole-based administration

Configuration Manager utilise l’administration basée sur des rôles pour sécuriser les objets (regroupements, déploiements, sites, etc.).Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Ce modèle d'administration définit et gère de façon centralisée les paramètres d'accès de sécurité à l'échelle de la hiérarchie pour tous les sites et les paramètres du site.This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings.

Un administrateur attribue des rôles de sécurité aux utilisateurs administratifs et aux autorisations de groupe.An administrator assigns security roles to administrative users and group permissions. Les autorisations sont connectées à différents types d’objet Configuration Manager, par exemple pour créer ou changer les paramètres du client.The permissions are connected to different Configuration Manager object types, for example, to create or change client settings.

Les étendues de sécurité regroupent des instances d’objets spécifiques qu’un utilisateur administratif est chargé de gérer, par exemple une application qui installe Microsoft 365 Apps.Security scopes group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft 365 Apps.

La combinaison des rôles de sécurité, des étendues de sécurité et des regroupements définit les objets qu’un utilisateur administratif peut afficher et gérer.The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. Configuration Manager installe des rôles de sécurité par défaut pour les tâches de gestion classiques.Configuration Manager installs some default security roles for typical management tasks. Créez vos propres rôles de sécurité en fonction des besoins propres à votre activité.Create your own security roles to support your specific business requirements.

Pour plus d’informations, consultez Configurer l’administration basée sur des rôles.For more information, see Configure role-based administration.

Sécurisation des points de terminaison des clientsSecuring client endpoints

Configuration Manager sécurise la communication des clients aux rôles de système de site à l’aide de certificats auto-signés ou PKI ou de jetons Azure AD (Azure Active Directory).Configuration Manager secures client communication to site system roles by using either self-signed or PKI certificates, or Azure Active Directory (Azure AD) tokens. Certains scénarios nécessitent l’utilisation de certificats PKI.Some scenarios require the use of PKI certificates. Citons par exemple la gestion des clients basés sur internet et les clients d’appareils mobiles.For example, internet-based client management, and for mobile device clients.

Vous pouvez configurer les rôles de système de site auxquels les clients se connectent pour utiliser les protocoles HTTPS ou HTTP dans le cadre de la communication avec les clients.You can configure the site system roles to which clients connect for either HTTPS or HTTP client communication. Les ordinateurs clients communiquent toujours à l’aide de la méthode la plus sécurisée disponible.Client computers always communicate by using the most secure method that's available. Les ordinateurs clients n’utilisent la méthode de communication moins sécurisée que si vos rôles de système de site autorisent la communication HTTP.Client computers only fall back to using the less secure communication method if you have site systems roles that allow HTTP communication.

Pour plus d’informations, consultez Planifier la sécurité.For more information, see Plan for security.

Comptes et groupes de Configuration ManagerConfiguration Manager accounts and groups

Configuration Manager utilise le compte Système local pour la plupart des opérations de site.Configuration Manager uses the Local System account for most site operations. Certaines tâches de gestion peuvent nécessiter la création et la gestion de comptes supplémentaires.Some management tasks might require you to create and maintain additional accounts. Configuration Manager crée plusieurs rôles SQL Server et groupes par défaut durant l’installation.Configuration Manager creates several default groups and SQL Server roles during setup. Vous devez peut-être ajouter manuellement des comptes d’ordinateur ou d’utilisateur à ces groupes par défaut et à ces rôles SQL Server.You might have to manually add computer or user accounts to the default groups and SQL Server roles.

Pour plus d’informations, consultez Comptes utilisés dans Configuration Manager.For more information, see Accounts used in Configuration Manager.

ConfidentialitéPrivacy

Avant d’implémenter Configuration Manager, réfléchissez à vos besoins en matière de confidentialité.Before you implement Configuration Manager, consider your privacy requirements. Bien que les produits de gestion d’entreprise offrent de nombreux avantages, car ils permettent de gérer efficacement un grand nombre de clients, ces logiciels peuvent affecter la confidentialité des utilisateurs de votre organisation.Although enterprise management products offer many advantages because they can effectively manage lots of clients, this software might affect the privacy of users in your organization. Configuration Manager comprend de nombreux outils pour collecter les données et superviser les appareils.Configuration Manager includes many tools to collect data and monitor devices. Certains outils sont susceptibles de poser des problèmes de confidentialité dans votre organisation.Some tools might raise privacy concerns in your organization.

Par exemple, quand vous installez le client Configuration Manager, de nombreux paramètres de gestion sont activés par défaut.For example, when you install the Configuration Manager client, it enables many management settings by default. Le logiciel client envoie donc des informations au site Configuration Manager.This configuration causes the client software to send information to the Configuration Manager site. Le site stocke les informations sur le client dans la base de données de site.The site stores client information in the site database. Les informations sur le client ne sont pas envoyées directement à Microsoft.The client information isn't directly sent to Microsoft. Pour plus d’informations, consultez Données de diagnostic et d’utilisation.For more information, see Diagnostics and usage data.

Voir aussiSee also