L'idée de cette session est de présenter les nouveautés de System Center 2012 Configuration Manager R2 avec notamment la prise en charges des fonctionnalités suivantes : - Déploiement et gestion des clients Windows 8.1 et Windows Server 2012 R2 - Nouveaux types de déploiement d'application (Apps Windows 8.1, Bundle d'application…) - Nouvelles configuration supportées (support SQL, OS, architectures supportées…) - Nouveaux rôles de serveur de site (Certificate Registration Point) - Nouveaux CmdLet pour les tâches d'administration - Améliorations dans la gestion et le déploiement des clients (Resultant Client Settings, Client Assignment) - Nouveautés dans la gestion des périphériques mobiles (Déploiement d'applications en mode requis, gestion des Android, Wipe selectif, personal et company-owned…) - Gestion des clients Max OS, Linux et UNIX servers - Gestion de la configuration de l'environnement utilisateur : Remote Connection Profiles, Certificat, VPN et Wifi Profiles - Nouveautés dans la gestion des applications, des déploiements de système d'exploitation ou de gestion des correctifs de sécurité - Améliorations du reporting Les scénarios / nouvelles fonctionnalités les plus importantes seront illustrées par des démonstrations.
Speakers : Mark Cochrane (Vnext), Aurélien Bonnin (Vnext)
4. SCCM – maintenant c’est facile
Scan AD:
ADSites, Users, Machines
Assigne un site en automatique
quand avancé et que AD pas
étendu
Package d install
DDR
Ajout des ressources découvertes
Server Locator
point
SMSPKGx$
Log
Site server
Distribution
point
Management
points
SQL
local
SMS_def.mof
Console d admin
Log
%windir%system32CCM
logs
Client avancé
#mstechdays
Infrastructure, communication & collaboration
Reporting
Points
6. Modifications
• Setup: possibilité de sélectionner un
emplacement spécifique (non-standard)
pour les fichiers de la base du site
Primaire ou CAS (sauf pour un Cluster)
• Schéma: RAS
• Rapports: RBAC-isés (deux dimensions)
#mstechdays
Infrastructure, communication & collaboration
7. Ah ok ! Finalement la sécurité dans SCCM, c’est
facile…
AD Securty
SiteServer machine account has
FullControl on SystemSystem Management
(object & children)
HIERARCHY_MANAGER
& SIT E_COMPONENT_MANAGER
AD
SMS_AD_XXX_DISCOVERY
User is member of « SMS Admins » group
Console
WMISecurity
SMS_REPORTING_POINT
SQLSecurity
Remote console
SMS WMI Provider
(ROOTSMS)
Ports LDAP 389/389
LDAP SSL 636
RPC 135/135
GC LDAP 3268
GC LDAP SSL 88/88
Ports
User has Remote Activation right
Thru local « SMS Admins » group
(manual in Win2003sp1+)
MachineDCOMCnfg
COM Security Limits Launch
& Activation permissions
DCOMComponentRights
SQL=LocalSystem
Or SMSSQLAcct=Sysadmin
User has LocalActivation
Thru Local « Report Users » group
(manual in Win2003sp1+)
Domainuser not Admin
accessing a report
IUSR_Machine$ (invité Internet)
Has LocalActivation right
(manual in Win2003sp1+)
Named pipes=ON
SERVICE_LOCATOR_POINT
SQLServerConfigMgr
Protocols
SQL
LocalSecurity
SPN
LocalSecurity
DCOMComponentRights
SMS_COLLECTION_EVALUAT OR
SMS_COMPONENT_STAT US_SUMMARIZER
SMS_DISCOVERY_DATA_MANAGER
SMS_SIT E_COMPONENT_MANAGER
SMS_SQL_MONITOR
SMS is on the same machine
or
Machine is Member of Local Security Group
« SMS_SiteSystemToSQLConnection_XXX »
SQL runs under LocalSystem and machine account is in SPN List
setspn -A MSSQLSvc/machine.thedomain.com:1433 machine
setspn -A MSSQLSvc/machine:1433 machine
OR
SQL runs under DomainAccount and account is in SPN List
setspn -A MSSQLSvc/machine.thedomain.com:1433 domainacct
setspn -A MSSQLSvc/machine:1433 domainacct
OR
SQL runs on same machine than SMS
Remote Install Secondary
User or Machine must be
LocalSecurity
local administrator
Secondary
Site
Push Client
Machine is Member of
« SMS_SiteToServerstoSiteSystems »
CARCA or Server$ is
LocalSecurity
local admin
Client
AND
(LocalSystem)
XPAdmin$ exists (File & Print share
must be enabled if XPSP2)
SiteSystem
MP, CAP, RP & SLP Machine are members of
SMS_SiteSystemToSiteServerConnection_<xxx>
LocalSecurity
Any Site in the
SiteServer s
SiteAddress List
LocalSecurity
Machine is Member of
« SMS_SiteToSiteConnecion_XXX »
Site Server
(running under LocalSystem)
Machine is Member of
« SMS_SiteToSiteConnecion_XXX »
LocalSecurity
#mstechdays
Infrastructure, communication & collaboration
8. Bienvenue au « CRP »
• Certificate Registration Point
– Enrôlement des périphériques Windows sans passer
par l’AD
– Requiert ADDS sur un Windows 2012 R2 et une
extension
#mstechdays
Infrastructure, communication & collaboration
9. Côté Client
• Wizard Mac installe le certificat (évite le CMEnroll)
• Wizard de renouvellement de certificat pour Mac
• Embedded : support de certains Unified Write
Filter
• Wake-Up proxy: Power Management / Firewall
exception for wake-up proxy
• /ExcludeFeatures:ClientUI
• Clic-droit/Reassign
#mstechdays
Infrastructure, communication & collaboration
10. Collection automne-hiver
• Fenêtre de maintenance
– Task sequences
– Software updates
– Général
• Les mises à jour respectent la SUMW en
priorité
• RSoS: Visualisation des paramètres en
respectant l’ordre de priorité
#mstechdays
Infrastructure, communication & collaboration
11. Software updates
• Possibilité de changer le deployment
package
– Comme les nouvelles MAJ sont ajoutées au même SUPKG,
la taille peut devenir un problème
– En cas de nouveau DP, le transfert peut devenir très(trop)
lourd
• « Test » des ADR
– Prévisualisation des correctifs répondant aux critères et aux
filters
– Depuis le Wizard et depuis l’onglet Software Updates
d’une ADR
#mstechdays
Infrastructure, communication & collaboration
13. Ah ok ! Software Updates – maintenant c’est
facile…
Updates
Client device
policy
Windows Update
Target Collection
criteria
#mstechdays
SW Update group
Active SUP
Library/SoftUpd/ All
sw Updates
Download
location
Deployment
Manual
selection
WSUS
Sites/
ActiveSUP/
SiteCompon
ents/SUP
Deployment
package
Automatic
deployment
rule
Package
Source
Infrastructure, communication & collaboration
Distribution Point
Content Lib
14. App management
•
Nouveau DT: Web applications (raccourci dans le menu Démarrer ou dans
l’écran d’accueil)
•
Modification du DT « Windows app package » pour reconnaître les
« .appxbundle » (app+ ressources)
•
Option « appli favorite » qui met en avant l’application dans le
CompanyPortal
•
Option « privacy link » consultable avant installation
•
Une application peut être associée à une connexion VPN et la déclencher
lors de son lancement
#mstechdays
Infrastructure, communication & collaboration
16. Content management
•
Pull DP
–
–
contactent désormais leurs DP sources selon des priorités (Si 1=échec, alors 2; Si 2= échec, alors 3…)
Envoient leurs statuts (auparavant, le DISTMGR du siteserver venait interroger chaque Pull-DP)
•
Monitoring/Distribution/<contenu>/ViewStatus/AssetDetails/Clic = View, Cancel,
Redistribute
•
Nouveau rapport « Distribution point usage summary »
•
Possibilité de configurer plusieurs « Network Access Accounts » par site
•
BranchCache reprend un transfert interrompu à l’octet près
•
Calcul dynamique (à chaque envoi de contenu) de la bande passante. Le résultat sert à
prioriser les envois ultérieurs (pour que le plus de DP possible l’aient au plus vite)
•
Validation des contenus : appel WMI du DP par lots de 50 fichiers (au lieu de 1 dans 2012)
#mstechdays
Infrastructure, communication & collaboration
18. OSD
•
•
•
•
Support de Windows Server 2012 R2 et Windows 8.1
Retro-compatibilité des boot images « WAIK » et de WinPE 3.1.
Support PXE pour les « BIOS » IA32 UEFI.
Création d’un prestage de TS en un clic (sans passer sur chaque
dépendance une par une)
• Gestion de VHD
– Depuis une console CM installée sur un Hyper-V
– Compatible VMM
• Nouvelles étapes de task sequence : Run PowerShell Script, Check
Readiness & Set Dynamic Variables
• Nouvelles variables de TS
#mstechdays
Infrastructure, communication & collaboration
19. Ah OK ! OSD – maintenant PXE c’est
facile…
Broadcast UDP67: DHCP Discover
(Option60 set)
DHCP (option60 if also
PXE)
UDP68: DHCPOffer
(IP address)
Select * from V_RA_System_MACAddresses where
MAC_Addresses0='00:06:30:00:15:72'
If duplicate (one obsolete) and the TS targets the bad one: abortpxe.com
UDP68: DHCPOffer
(Option60 set)
PXE Rom
Legacy card
Broadcast UDP67: DHCP Discover
(ReadyToAck IP & bootServer)
MAC@ still in cache ?
Broadcast UDP68: DHCPAck
(Ack IP & lease)
Unicast UDP4011: DHCP Request
(Ask for bootserver(66) & bootfile(67) )
TCP1433: exec NBS_Lookupdevice
(client unknown ? Does it exists in dbo.system_disc or
unknownsystem_disc)
ClientLookupReply: Unknown=1 ou bien ItemKey=<resourceid>
PXE
(smspxe.log)
UDP69: DHCPAck
(Option66 & Option67 + WDSNBP)
TFTP : GET wdsnbp.com
Unicast UDP4011: DHCP Request
(Option250 (architecture) + Ask for bootserver(66)
& bootfile(67) )
TCP1433: exec NBS_GetPXEBootAction
(bootfile to send = ?)
WDSNBP
Bootserver(66) = <dp_with_pxe>
Bootfile(67) = smsboot<archi><bootfile>
(in <PXEDP><WDSRemoteInstallDir>
Bootfile(67)= « pxeboot.com »
bootserver(66) = <pxedp>
TFTP : GET bootfile
bootfile
http:<dp>/sms_dp_smspkg$/<pkgid>/<winpe.wim>
Get TaskSequenceSteps & dependencies
DP
MP
WinPE
Download TaskSequenceDependencies
(using NetworkAccessAccount)
Download TaskSequenceDependencies
(using NetworkAccessAccount)
DP
Windows
Capture & WriteCaptured WIM
(using account specified in TS task)
#mstechdays
CaptureShare
Infrastructure, communication & collaboration
SQL
20. Certificate profiles
• Protocole SCEP (Simple Certificate Enrollment
Protocol).
– Utilisables pour Wi-Fi & VPN.
– iOS, Windows 8.1, Windows RT 8.1, Android.
– Déploiement du root et des intermédiaires chaine de trust
• CRP en haut de la hiérarchie
–
–
–
–
–
#mstechdays
Configuration Manager Policy Module (sur un W12R2)
ADCS
Network Device Enrollment Service role
Publié sur Internet
Communique avec la CA
Infrastructure, communication & collaboration
21. Remote connection profiles
•
•
•
•
RDS, VDI
Applications publiées
Accès depuis internet
Accès possible hors domaine
#mstechdays
Infrastructure, communication & collaboration
22. VPN profiles
• Provisioning pour accéder aux réseaux
Corp
– Paramètres
– Certificats
• Plateformes
– iOS, Windows 8.1, Windows RT et Windows RT 8.1.
#mstechdays
Infrastructure, communication & collaboration
23. Wifi profiles
• Provisioning pour accédr aux WiFis Corp
– Paramètres
– Certificats
• Plateformes
– iOS, Windows 8.1, Windows RT 8.1 et Android.
#mstechdays
Infrastructure, communication & collaboration
24. Mobiles
• ClientSettings pour mobiles
– Pas dans ClientSettings mais dans…
– Asset&C / Compliance Settings / ConfigItems / new /
type=mobile
– Intègre les settings d’iOS 7
• Enrôlement
– Android via GooglePlay
– iOS via AppStore
#mstechdays
Infrastructure, communication & collaboration
25. Mobile devices
• Déploiement obligatoires configurer une échéance
• Wipe & Retire peuvent être réservés aux contenus
Corp
• Le mobile peut être personnel ou société (change
ownership)
– Ni dans le domaine
– Sans agent
• Inventaires full (si device de société) / apps société
uniquement (si perso)
– Si ni client CM ni domaine, Intune
#mstechdays
Infrastructure, communication & collaboration
26. Extensions Intune
• Au fur et à mesure de leur disponibilité
– Extensions Intune sont proposées dans la console
– Exemple: email profiles
• Provisioning pour Exchange ActiveSync
– Profils
– Restrictions
• iOS & Windows Phone 8.
#mstechdays
Infrastructure, communication & collaboration
45. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Infrastructure, communication & collaboration