Le document traite des bonnes pratiques pour la délégation dans ConfigMgr 2012 R2, en mettant l'accent sur la sécurité et le contrôle des privilèges. Il présente des principes fondamentaux de sécurité et les rôles basés sur l'administration, ainsi que des exemples d'utilisation et des recommandations pour éviter des erreurs courantes. Enfin, il aborde la gestion de la conformité et les mesures de sécurité recommandées pour protéger l'infrastructure.

1. AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr

2. Retour d'expérience sur la mise
en place de la délégation de
ConfigMgr 2012 R2
Stéphane PAPP (Microsoft)
Charles BOUDRY (Microsoft)
@stephanepapp

3. tech.days 2015#mstechdays
Principes généraux
Comment déléguer ?
Quelles sont les bonnes pratiques à suivre?
Sécurité et ConfigMgr 2012 R2

4. Principes généraux
Nécessité des privilèges
Principes fondamentaux
Corolaire de la délégation

5. tech.days 2015#mstechdays
Installation poussée de l’agent ConfigMgr
Installation d’un logiciel
Distribution d’un système d’exploitation
Gestion de la conformité
À travers quelques exemples
Sécurité et ConfigMgr 2012 R2

6. tech.days 2015#mstechdays
« Un ordinateur sécurisé est un ordinateur éteint ! Et encore… » Bill GATES
Une chaîne dépend du
maillon le plus faible !
Sécurité et ConfigMgr 2012 R2

7. tech.days 2015#mstechdays
ConfigMgr contribue à gérer la sécurité
Security Development Lifecycle (SDL)
Partenariat gagnant-gagnant
Sécurité et ConfigMgr 2012 R2

8. tech.days 2015#mstechdays
Délégation
Bonnes pratiques
Qui contrôle ConfigMgr, contrôle le parc géré par ConfigMgr
Sécurité et ConfigMgr 2012 R2

9. tech.days 2015#mstechdays
Réinstallation accidentelle de serveurs
Suppression d’objets dans la console
Erreurs de déploiement / packaging
Perte de la clé de recouvrement de BitLocker
Utilisation malveillante
Toute ressemblance avec des événements… n’est pas une coïncidence
Sécurité et ConfigMgr 2012 R2

10. tech.days 2015#mstechdays
Changements des principes fondamentaux
Segmenter pour mieux contrôler
Sécurité et ConfigMgr 2012 R2

11. Comment déléguer ?
Role Based Administration
Outils

12. tech.days 2015#mstechdays
Rôles de sécurité prédéfinis
Groupes d’utilisateurs
Étendues de sécurité (Scopes) / Regroupements
(Collections)
Matrix of Role-Based Administration Permissions for
ConfigMgr 2012
Visibilité dans la console
Role Based Administration
Sécurité et ConfigMgr 2012 R2

13. tech.days 2015#mstechdays
Groupes
RBA Viewer
Sécurité et ConfigMgr 2012 R2

14. tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2

15. tech.days 2015#mstechdays
Exemple d’utilisation : changer le comportement de
l’interface
http://blogs.msdn.com/b/spapp/archive/2013/06/22/configmgr-
2012-lancer-l-explorateur-de-ressources-sur-un-double-clic.aspx
Autre exemple : Faire disparaître tous les espaces de
travail sauf Ressources et Conformité ou ne conserver
que Propriétés ou Explorateur de ressources sur un
clic droit sur un client
Sécurité par obscurité
Sécurité et ConfigMgr 2012 R2

16. tech.days 2015#mstechdaysSécurité et ConfigMgr 2012 R2

17. tech.days 2015#mstechdays
Rapports 
http://blogs.technet.com/b/configmgrdogs/archive/2014/07/14/creating
-custom-rbac-enabled-reports-in-configmgr-2012-r2.aspx
http://blogs.technet.com/b/smartinez/archive/2013/11/28/how-to-
create-a-rba-capable-report-for-configmgr-r2.aspx
Dossiers 
ConfigMgr 2012 R2
Sécurité et ConfigMgr 2012 R2

18. Bonnes pratiques
Réseau / OS / IIS / AD / SQL
ConfigMgr

19. tech.days 2015#mstechdays
Modèles de sécurisation
Pare-feu local
Internet Information Server (IIS)
Sécurité et ConfigMgr 2012 R2

20. tech.days 2015#mstechdays
SQL Server
Active Directory
DNS
Sécurité et ConfigMgr 2012 R2

21. tech.days 2015#mstechdays
Ne pas remonter d’informations confidentielles ou
privée !
Limiter la taille des fichiers MIF
Ne pas collecter les NoIdMIF
À bas les cadences infernales !
Inventaire
Sécurité et ConfigMgr 2012 R2

22. tech.days 2015#mstechdays
Ne pas distribuer sur la collection All Systems
Compte d’accès réseau
Compte pour joindre le domaine
Compte administrateur local
Distribution de Système d’exploitation ou OSD
Sécurité et ConfigMgr 2012 R2

23. tech.days 2015#mstechdays
Droits de créer des packages/applications versus
droits de déployer
Distribution sous Local System
Contenu distribué
Distribution de logiciels
Sécurité et ConfigMgr 2012 R2

24. tech.days 2015#mstechdays
Groupe WSUS Administrators
Compte pour la synchronisation via le proxy
Site Web personnalisé
Gestion des mises à jour
Sécurité et ConfigMgr 2012 R2

25. tech.days 2015#mstechdays
Élévation de privilège
Prise de main à distance
Sécurité et ConfigMgr 2012 R2

26. tech.days 2015#mstechdays
Signature de code
PowerShell et Set-ExecutionPolicy
Scripts de remédiation
Gestion de conformité
Sécurité et ConfigMgr 2012 R2

27. tech.days 2015#mstechdays
Accès sécurisé à la clé de recouvrement de BitLocker
MBAM
Sécurité et ConfigMgr 2012 R2

28. tech.days 2015#mstechdays
Suivi de la délégation et audits
Remettre en conditions opérationnelles une
infrastructure ConfigMgr
Sécurité et ConfigMgr 2012 R2

31. © 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr

32. Matrix of Role-Based Administration
Permissions for ConfigMgr 2012
http://gallery.technet.microsoft.c
om/Matrix-of-Role-Based-d6318b96

33. * Nouveau avec ConfigMgr 2012 R2
35

34. Audit Security (Sécurité de l’audit)*
Control AMT (Contrôler AMT)
Create (Créer)
Delete (Suprimer)
Delete Resource (Supprimer la resource)
Deploy AntiMalware Policies (Déployer des
strategies anti-programmes malveillants)
Deploy Applications (Déployer des
applications)
Deploy Client Settings (Déployer des
paramètres client)
Deploy Configuration Items (Déployer des
éléments de configuration)
Deploy Firewall Policies (Déployer des
strategies de pare-feu)
Deploy Packages (Déployer des packages)
Deploy Software Updates (Déployer des mises
à jour logicielles)
Deploy Task Sequences (Déployer des
sequences de tâches)
Enforce Security
Manage Folder (Modifier un dossier)
Modify (Modifier)
Modify Client Status Alert (Modifier l’alerte
relative à l’état du client)
Modify Collection Setting (Modifier les
paramètres de regroupement)
Modify Folder (Modifier un dossier)
Modify Resource (Modifier la resource)
Move Object (Déplacer un objet)
Provision AMT (Préparer AMT)
Read (Lecture)
Read Resource (Lire la resource)
Remote Control (Contrôle à distance)
View Collected File (Afficher le fichier collecté)
* Sic ! 36

35.  Abonnements aux alertes
 Stratégies anti-programme
malveillant
 Applications
 Images de démarrage
 Groupes de limites
 Éléments de configuration
 Paramètres client personnalisés
 Points de distribution et groupes de
points de distribution
 Packages de pilotes
 Conditions globales
 Tâches de migration
 Images du système d'exploitation
 Packages d'installation du système
d'exploitation
 Packages
 Requêtes
 Sites
 Règles de contrôle de logiciel
 Groupes de mises à jour logicielles
 Packages de mises à jour logicielles
 Packages de séquence de tâches
 Éléments et packages des
paramètres du périphérique
Windows CE
37

36.  Forêts Active Directory*
 Utilisateurs administratifs
 Alertes
 Limites
 Associations
d'ordinateurs
 Paramètres client par
défaut*
 Modèles de déploiement
 Pilotes de périphériques
 Connecteur Exchange
Server*
 Mappages de site à site
de migration
 Profil d'inscription de
périphérique mobile
 Rôles de sécurité
 Étendues de sécurité
 Adresses de site*
 Rôles système de site*
 Titres des logiciels
 Mises à jour logicielles
 Messages d'état
 Affinités des
périphériques
d'utilisateur
38

37.  Alert subscription (Read, Modify, Delete,
Set Security Scope, Create)
 Alerts (Read, Modify, Delete, Create, Run
Reports, Modify Reports)
 Antimalware Policy (Read, Modify, Delete,
Create, Read Default, Modify Default, Run
Report, Modify Reports)
 Application (Read, Modify, Delete, Set
Security Scope, Create, Approve, Manage
Folder Item, Manage Folder, Run Report,
Modify Report)
 Boot Image Package (Read, Modify,
Delete, Set Security Scope, Create,
Manage Folder Item, Manage Folder)
 Boundaries (Read, Modify, Delete, Create)
 Boundary Group (Read, Modify, Delete,
Set Security Scope, Create,
AssociateSiteSystem)
 Client Agent Setting (Read, Modify,
Delete, Set Security Scope, Create)
 Cloud Subscription (Read, Modify, Delete,
Set Security Scope, Create)
 Collection (Read, Modify, Delete, Remote
Control, Modify Resource, Delete
Resource, Create, View Collected File,
Read Resource, Manage Folder Item,
Deploy Packages, Audit Security, Deploy
Client Settings, Manage Folder, Enforce
Security, Deploy AntiMalware Policies,
Deploy Applications, Modify Collection
Setting, Deploy Configuration Items,
Deploy Task Sequences, Control AMT,
Provision AMT, Deploy Software Updates,
Deploy Firewall Policies, Modify Client
Status Alert)
39

38.  Computer Association (Read, Delete,
Create, Manage Folder Item, Manage
Folder, Recover User State, Run Report,
Modify Report)
 Configuration Item (Read, Modify, Delete,
Set security scope, Create, Manage Folder
Item, Manage Folder, Network Access,
Run Reports, Modify Reports)
 Configuration Policy (Read, Modify,
Delete, Set Security Scope, Create)
 Deployment Templates (Read, Modify,
Delete, Create)
 Device Drivers (Read, Modify, Delete,
Create, Manage Folder Item, Manage
Folder, Network Access, Run Reports,
Modify Reports)
 Distribution Point (Read, Copy to
Distribution Point, Set Security Scope)
 Distribution Point Group (Read, Modify,
Delete, Copy to Distribution Point , Set
Security Scope, Create, Associate)
 Drivers Package (Read, Modify, Delete, Set
Security Scope, Create, Manage Folder
Item, Manage Folder)
 Firewall Settings (Read, Author Policy, Run
Report)
 Global Condition (Read, Modify, Delete,
Set Security Scope, Create)
 Inventory Reports (Read, Modify, Delete,
Create, Run Report)
 Migration Job (Read, Modify, Delete, Set
Security Scope, Create, Manage Folder
Item, ManageMigrationJob, Run Report,
Modify Report)
40

39.  Migration Site-to-Site Mappings
(Read, Modify, Delete, Create,
Specify Source Hierarchy)
 Mobile Device Enrollment Profiles
(Read, Modify, Delete, Create)
 Operating System Image (Read,
Modify, Delete, Set Security Scope,
Create, Manage Folder Item,
Manage Folder)
 Operating System Installation
Package (Read, Modify, Delete, Set
Security Scope, Create, Manage
Folder Item, Manage Folder)
 Package (Read, Modify, Delete, Set
Security Scope, Create, Manage
Folder Item, Manage Folder, Run
Report, Modify Report)
 Query (Read, Modify, Delete, Set
Security Scope, Create, Manage
Folder Item, Manage Folder)
 Security Roles (Read, Modify,
Delete, Create)
 Security Scopes (Read, Modify,
Delete, Create)
 Settings for user data and profile
management (Read, Author Policy,
Run Report)
 Sideload Key (Read, Modify, Delete,
Create, Run Report, Modify Report)
 Site (Read, Modify, Delete, Set
Security Scope, Create, Meter Site,
Manage Status Filters, Modify CH
Settings, Import Machine, Read CH
Settings, Modify Connector Policy,
Manage OSD Certificate, Run
Report, Modify Report)
41

40.  Software Metering Rule (Read, Modify,
Delete, Set Security Scope, Create,
Manage Folder Item, Manage Folder ,
Run Report, Modify Report)
 Software Title (Modify, Manage AI, View
AI)
 Software Update Group (Read, Modify,
Delete, Set Security Scope, Create)
 Software Update Package (Read, Modify,
Delete, Delete, Set Security Scope, Create)
 Software Update (Read, Modify, Delete,
Create, Manage Folder Item, Manage
Folder, Network Access, Run Report,
Modify Report)
 Status Messages (Read, Modify, Delete,
Create, Run Report, Modify Report)
 Task Sequence Package (Read, Modify,
Delete, Set Security Scope, Create,
Manage Folder Item, Manage Folder,
Create Task Sequence Media, Run Report,
Modify Report)
 User Device Affinities (Read, Modify,
Delete, Create, Run Report, Modify
Report)
 Users (Read, Modify, Remove, Add, Run
report, Modify Report)
 Virtual Environment (Read, Modify,
Delete, Set Security Scope, Create)
 Windows CE Device Setting Item (Read,
Modify, Delete, Set Security Scope,
Create, Run Report, Modify Report)
 Windows CE Device Setting Package
(Read, Modify, Delete, Set Security Scope,
Create)
 Windows Firewall Policy (Read, Modify,
Delete, Set Security Scope, Create)
42