Académique Documents
Professionnel Documents
Culture Documents
2020
Guide d’utilisation - SCCM
Abdelali ELGHAZRANI
& Philippe GODREUIL
Groupe ASSU2000
17/09/2020
Groupe ASSU2000 Page 2 sur 102
PRESENTATION
Nous allons présenter dans ce document l’ensemble des procédures à suivre pour effectuer
avec l’outil SCCM les types de déploiements suivants :
- Déploiement d’applications
- Déploiement des Scripts et Packages
- Déploiement d’une image système d’exploitation
- Déploiement des Mises à jour Windows
1 DEFINITION DE L’OUTIL
SCCM acronyme pour System Center Configuration Manager.
Un logiciel de gestion système crée par Microsoft
Il est destiné à gérer de grands parcs d’ordinateurs sur systèmes Windows. Il
permet la prise en main à distance, la gestion de correctifs, l’automatisation de
tâches, la télédistribution d’applications, l’inventaire matériel et logiciel, la gestion
de la conformité et l’administration des politiques de sécurité.
La version installée sur notre infrastructure est : 1910, publiée en décembre 2019
Groupe ASSU2000 Page 5 sur 102
2 ARCHITECTURE SCCM
L’architecture réseau mise en place et qui répond au besoin du Groupe ASSU 2000 est la
suivante :
Utilisez un site principal autonome lorsqu'un site principal unique peut prendre en
charge la gestion de tous vos appareils et utilisateurs.
Cette topologie est également efficace lorsque les différents emplacements
géographiques de votre entreprise peuvent être desservis par un seul site principal.
Pour vous aider à gérer le trafic réseau, vous pouvez utiliser des points de gestion
préférés et une infrastructure de contenu soigneusement planifiée.
Ci-après une topologie plus simplifiée que celle indiquée plus haut, les flèches en bleu pour
les communications entre serveurs et celles qui sont en rouge pour les communications
client-serveur.
Groupe ASSU2000 Page 6 sur 102
* : (Distribution Point) sont des serveurs sur lesquels nous hébergeons les fichiers de
contenu, packages, images OS, et d’autres contenus que nous déployons sur des appareils
et des utilisateurs.
Pour une 1ère connexion, vous devez spécifier le serveur de site primaire:
framaesr141.grpassu.fr
Groupe ASSU2000 Page 9 sur 102
a) Espace de travail
o Ressources et Conformité
o Bibliothèque de logiciels
o Monitoring
o Administration
b) Nœuds
c) Ruban
Le ruban se situe en haut de la console et peut avoir plusieurs onglets.
d) Volet Détails
Ce volet affiche des informations supplémentaires, et les onglets varient en fonction de
nœud
Dans l’espace de travail « Assets and Compliance » nous avons plusieurs nœuds à
découvrir, ce document va mettre en évidence trois rubriques importantes à découvrir :
Users, Devices, Device collections
5.1.1 Users
Usage :
o Comment peut-on récupérer le nom des ordinateurs sur lesquels l’utilisateur s’est
connecté récemment ?
La fenêtre vous affiche la liste des ordinateurs sur lesquels l’utilisateur s’est connecté, le
nombre de connexion sur le poste ainsi que la date.
Groupe ASSU2000 Page 12 sur 102
5.1.2 Devices
Ce nœud vous affiche la liste des appareils collectés récemment depuis l’annuaire AD.
a) Etat du client
Configuration Manager présente les types d’informations suivants sous forme d’état du
client :
Agent
non Inactif :
installé Inverse d’Actif
Etat
inconnu
Exécuter un script
Déployer une App Powershell sur l’appareil
Notifier l’appareil de
l’activation d’un
déploiement sur celle-ci
Supprimer l’appareil de la
base de données SCCM
(Non depuis AD)
Les regroupements vous permettent d’organiser les ressources en unités gérables. Vous
pouvez créer des regroupements pour répondre à vos besoins de gestion des clients et
pour effectuer des opérations sur plusieurs ressources à la fois.
Groupe ASSU2000 Page 14 sur 102
Sous le nœud Device Collections nous avons deux dossiers parents qui regroupent des
collections d’ordinateurs comme ci-dessous :
Collections
regroupent des
_SUPPORT_Collections ordinateurs
selon un critère,
ici est le type de
|___ système
|___..... d’exploitation
DEFAULT_Collections Collections
d’ordinateurs
créés par
default après la
mise en place et
configuration de
site primaire.
a) Dossier « _SUPPORT_Collections »
Les dossiers enfants existant sous ce dossier, sont organisés comme ci-dessous :
Groupe ASSU2000 Page 15 sur 102
Application Deployment
Nomenclature :
ADR – PC – Phase <Number> - <Besoin>
Le Centre logiciel est une application qui est installée quand vous installez le client
Configuration Manager sur un appareil Windows. Les utilisateurs utilisent le Centre logiciel
pour demander et installer les logiciels que vous déployez. Le Centre logiciel permet aux
utilisateurs d’effectuer les actions suivantes :
- Rechercher et installer des applications, des mises à jour logicielles et de
nouvelles versions de système d’exploitation
- Afficher leur historique de demande de logiciels
- Afficher la conformité des appareils par rapport aux stratégies de votre
organisation
Groupe ASSU2000 Page 17 sur 102
Parfois, nous étions dans l’obligation de réinstaller le centre logiciel sur la machine à cause
d’un message d’erreur ou lorsqu’il est mal installé, du coup nous le réinstallons via la
console Configuration Manager en suivant les étapes suivantes :
Cochez la 3ème option, en sélectionnant le site depuis lequel le client sera installé
Confirmation
Les regroupements sont des groupes d’utilisateurs ou d’appareils. Utilisez les regroupements pour
effectuer des tâches comme la gestion d’applications, le déploiement de paramètres de compatibilité
ou l’installation de mises à jour de logiciel.
Il existe différents types de règles que vous pouvez utiliser pour configurer les membres d’un
regroupement dans Configuration Manager.
Ci-après trois scenarios de la création des regroupements avec les règles les plus utilisées:
Groupe ASSU2000 Page 21 sur 102
Règle Directe
Utilisez les règles directes pour choisir les utilisateurs ou les ordinateurs à ajouter à un
regroupement. L’appartenance ne change pas, à moins qu’une ressource soit supprimée
de Configuration Manager.
Après avoir cliqué sur « Direct Rule », une fenêtre de bienvenue au « Wizard » de la
création d’une règle qui va s’afficher, puis cliquez sur « Next »
Règle de requête
Nous allons répéter les même étapes que ceux de la « Règle Directe » jusqu’à cette
fenêtre, Nous choisissons « Query Rule »
Groupe ASSU2000 Page 26 sur 102
Définissez un nom pour la règle, ici j’ai mis « Get_LAPT » dans le but de chercher que les
noms NetBios commençant par « LAPTxxxx » dont x est un chiffre.
Cliquez sur le bouton « Edit Query Statement » pour modifier le critère de recherche :
Cliquez sur le bouton numéro 3 pour choisir une classe d’attribut et sa valeur,
Dans le cas suivant :
Attribut class : System Resource
Attribute : NetBIOS Name
Maintenant la règle vient d’être créée, vous pouvez laisser la case à cocher pour que ce
regroupement puisse se mettre à jour automatiquement pour chaque 7 jour.
Groupe ASSU2000 Page 28 sur 102
Confirmation :
Après cette étape, SCCM va chercher les ressources dans sa base de données et les lister
dans ce regroupement crée :
N.B : Lorsque vous voulez voir les membres d’un regroupement, vous voyez deux
colonnes :
o Member count : il compte les appareils dont l’agent SCCM est installé
o Members Visible on Site : indique les appareils dont l’agent n’est pas installé
Groupe ASSU2000 Page 29 sur 102
Dans cet exemple, nous avons inclus les deux collections créées précédemment :
Groupe ASSU2000 Page 30 sur 102
6 BIBLIOTHEQUE DE LOGICIELS
Après avoir téléchargé l’application et déposé sur le serveur, nous allons la déclarer sur
SCCM en suivant les étapes ci-après :
Cliquez sur « Next », dans la fenêtre ci-dessous, laissez tout par défaut :
Groupe ASSU2000 Page 34 sur 102
Ajouter une méthode d’installation et spécifier les fichiers source pour cette application :
Remarque
Console manager ne gère pas les exécutables (.exe) que les fichiers de type .msi,
La raison pour laquelle nous avons choisi la méthode d’installation par script.
Groupe ASSU2000 Page 35 sur 102
Dans notre cas, un script « .bat » qui a été créé manuellement dans le répertoire de
l’application dont le but est de lancer l’installation en mode silencieux en rajoutant le
paramètre /S :
@echo off
if EXIST "%programfiles(x86)%\Notepad++\uninstall.exe" (
"%programfiles(x86)%\Notepad++\uninstall.exe" /S
) else (
@echo "uninstall x86 non trouve"
)
if EXIST "%programfiles%\Notepad++\uninstall.exe" (
"%programfiles%\Notepad++\uninstall.exe" /S
) else (
@echo "uninstall x64 pour Notepad++ non trouve"
)
Note
Après l’installation de Notpad++ sur un ordinateur Windows système 64bits, il crée son
répertoire dans ce chemin : C:\Program Files (x86)\Notepad++, sur ce dossier il existe
l’exécutable de l’application ainsi que son désinstallateur (uninstall.exe).
Avec le script Uninstall.bat nous pouvons appeler le programme de désinstallation quel que
soit l’architecture de l’ordinateur (32bits ou 64bits).
Dans cette étape nous allons indiquer au ConfigManager la méthode avec laquelle on peut
détecter la présence ou non de l’application sur la machine client :
Groupe ASSU2000 Page 37 sur 102
Pour détecter la présence de notepad sur la machine, nous effectuons une recherche
dans le répertoire « %ProgramFiles(x86)%\Notepad++ » l’exécutable
« notepad++.exe »
Puisque nous n’avons pas des prérequis ou dépendances pour cette installation, nous
laissons ces fenêtres par défaut :
Groupe ASSU2000 Page 39 sur 102
Résumé :
Groupe ASSU2000 Page 41 sur 102
Ensuite, pour déployer l’application sur des PC, vérifiez que le contenu de l’application est
copié sur un point de distribution. Les PC accèdent au point de distribution pour installer
l’application.
Introduction
Un déploiement qui utilise des packages et des programmes peut être plus adapté qu’une
application lors du déploiement des scripts qui ne doivent pas être surveillés en
permanence.
Dans cette exemple nous créons un package qui possède un programme basé sur un script
PowerShell, celui-ci va exécuter une commande sur la machine client pour désactiver sa
carte Wifi.
Après avoir créé le script sur le répertoire partagé de serveur, nous allons maintenant
créer son package dans Configuration Manager :
Après cette fenêtre vous laissez tout par défaut cliquez sur « Next » jusqu’à la fin :
Maintenant le package a été créé, il suffit juste de distribuer son contenu sur tous les points
de distribution pour que vous puissiez le déployer sur les machines.
Nom
Notepad++
d’Application
Package distribué sur tous les DPs : Success : 5
Statut de
contenu
Groupe ASSU2000 Page 50 sur 102
Nombre de
déploiements Aucun déploiement en cours
actifs de ce
package
Non
L’application
dépend à une
séquence de
tache
Scénario de déploiement :
DEPLOY Regroupement
App d’ordinateur
Etapes :
Dossier « En Production »
Sélectionnez « Device Colection » dans la liste déroulante (1), l’application sera déployée
sur un regroupement d’ordinateurs non utilisateurs :
Dans cette étape vous précisez qu’il s’agit d’une installation obligatoire :
« Install / Required »
Groupe ASSU2000 Page 54 sur 102
Sélectionnez la première option pour que la machine client puisse voir les notifications de
ce déploiement au niveau de Centre Logiciel :
Groupe ASSU2000 Page 55 sur 102
Pour l’instant, il n’y a aucune application en cours d’installation sur la machine, car le cycle
d’évaluation pour des nouveaux déploiements n’a pas encore été exécuté par l’agent, soit :
Vous patientez dès que la machine soit notifiée par le serveur,
OU
Vous forcez l’évaluation manuellement avec deux méthodes possibles
- Méthode 1 : Depuis la machine
- Méthode 2 : Depuis SCCM
Groupe ASSU2000 Page 57 sur 102
FELICITATION !
Groupe ASSU2000 Page 60 sur 102
6.2.1 Introduction
Le scénario suivant décrit les étapes pour préparer une image système d’un ordinateur
Dell Optiplex 3020 pour l’importer dans Configuration Manager.
Ordinateur Dell Optiplex 3020, Core i3, 8Go RAM, 500Go HDD
Applications - 7zip
installés - Adobe Reader v11.0.08 (sans mise à jour automatique)
- Adobe flash player v32
- Client Dameware (Access à distance)
- Agent TrendMicro
- Gestassur AS400
- Bandeau AVAYA
- Plantronic hub
- AVAYA Desktop Resources pour Optiecoute
- AVAYA PlayBack pour Optiecoute
- Prérequis pour SupervisionCristal
Personnalisation
Mettre des raccourcis des applications ci-dessous sur le bureau
public :
Après avoir installé toutes les applications de base nécessaire, nous devons généraliser
l’image de système pour supprimer les informations spécifiques uniques,
remplacer le SID de l’ordinateur lié à une image et préparer le déploiement sur
différentes plates-formes, cette opération se fait avec l’outil de Microsoft SysPrep.
Groupe ASSU2000 Page 62 sur 102
Aperçu
Enregistrer l’image
capturée dans un Capturer l’image
endroit en réseau système
Outil SysPrep
Sysprep est un outil proposé par Microsoft qui permet d’enregistrer une image système à
un instant précis afin de déployer celle-ci sur votre parc de PC, l’objectif de l’outil est de
cloner un système.
Mode graphique :
Mode Command :
Pour tester l’image iso avant de la graver sur une clé USB, nous avons créé une machine
virtuel sur Hyper-V en démarrant cela avec l’ISO crée :
Si vous voyez ce même affichage cela indique que c’est bon pour continuer notre
processus de capture.
Groupe ASSU2000 Page 65 sur 102
Capturer l’image
Maintenant vous pouvez graver l’image ISO sur un CD ou clé USB et démarrer
l’ordinateur référent (qu’on a SysPrepé tout à l’heure) avec le support WinPE pour
le capturer
Console de Windows PE
Tester si la machine est connectée au réseau pour sauvegarder l’image capture sur un
emplacement réseau, ici dans notre cas
Après avoir capturé l’image de poste réfèrent, nous avons obtenu une image ‘.wim’ avec
une taille de 5.16Go
L’image a été déposée sur le répertoire partagé de serveur framaesr141, voici le chemin :
\\framaesr141\Sources\OSD\Operating System\W10x64-1903-Dell3020-IMGSTD.wim
Rappel :
Pour créer une séquence de tache de déploiement de système sur SCCM, vous avez
plusieurs choix, soit:
Créer depuis une Template prédéfinis sur SCCM
Créer manuellement ‘From Scratch’
Ou
Dupliquer une séquence de tache déjà crée
Dans notre cas, nous avons déjà créé une Template avec laquelle on peut créer plusieurs
séquences de tache rapidement.
Mettez-vous sur
- l’Espace de travail ‘Software Library’
- Nœud : ‘Operating Systems’ -> ‘Task Sequences’
- Dossier ‘TEST’
- Clic droit sur la séquence de tache ‘TEMPLATE’
- Copy
Groupe ASSU2000 Page 72 sur 102
Partitionnement
Installation
d’image OS par
modèle PC
Paramètre
Windows &
Configuration de
groupe Agent SCCM
d’appartenance
Applications et
Scripts
Groupe ASSU2000 Page 74 sur 102
Partitionnement
Partition Disk 0 – BIOS : cette étape est désactivée, on n’utilise plus le firmware BIOS
OSDPreserveDriveLetter UEFI :
La valeur de cette variable de la séquence de tâche doit être à « True »
Avec cette variable activée, l'étape d'installation du système d'exploitation forcera
la lettre de la partition système à être celle qui a été capturée dans l’image .Wim
Groupe ASSU2000 Page 75 sur 102
Saisissez : OSDisk
Installation d’image OS
Cliquez sur l’onglet ‘Option’ et ajouter une condition pour qu’elle soit vérifiée avant
l’application de l’image sur la machine en question :
Paramètre Windows
Saisissez les informations de License Windows*
Mot de passe administrateur
Fuseau horaire*
* : Optionnel
Paramètre réseau
Joindre l’hôte au Domain : grpassu.fr
Choisissez une unité d’organisation comme emplacement des ordinateurs
Spécifiez un compte et son mot de passe qui a les permissions de joindre des
ordinateurs au Domain : grpassu\sccm.admin
Applications
Cette phase vous permet d’installer des applications déjà créées dans SCCM
Groupe ASSU2000 Page 79 sur 102
Script/Package
Cette étape vous permet d’exécuter des scripts, qu’ils sont encapsulés dans un
package logiciel
Exemples :
Activate NumKeypad
Dans ce package, il existe un script PowerShell qui fait une action dans le registre de
système activer le pavé numérique du clavier avant l’ouverture de la session
d’utilisateur.
Ignorer le message qui vous indique que le regroupement ne contient aucun membre.
Après cette fenêtre cliquez sur le bouton « Summary » pour atteindre la fin.
Confirmation
Le mode opératoire de déploiement côté client fait l’objet d’un autre tutoriel qui se trouve
dans ce répertoire :
\\framaesr435\Sources\INFORMATIQUE\Support_Qualite\Procedure\SCCM\
Configuration_PXE.pdf
Dans cette fenêtre vous voyez toutes les étapes de la séquence de tâche
6.3.1 Introduction
Dans ce chapitre, nous verrons les mises à jour logicielles sur SCCM et de quelle manière
elles sont déployées.
Pour rester protégé contre les cyber-attaques et les menaces malveillantes, il est très
important que vous gardiez le parc informatique avec les dernières mises à jour
logicielles.
Lorsqu'il s'agit de déployer des mises à jour, SCCM est le meilleur outil pour le faire.
Le schéma ci-dessous décrit l’ensemble des éléments qui rentrent en jeu pour le
processus de déploiement des mises à jour sur le parc dont SCCM :
Ajoute les mises à jour téléchargées depuis Internet à un groupe de mises à jour
logicielles (SUG : Software Update Groups)
Distribue le contenu de la mise à jour aux points de distribution.
Déploie le groupe de mise à jour (SUG) sur les clients.
Aperçu
Groupe ASSU2000 Page 88 sur 102
KB125362
5
KB125852
0
SUG
DP –
Boulogne DP – Tanger-
DP – Monaco Marina
6.3.2 Terminologie
Dans l’espace de travail « Sofwtare Library » nous avons un nœud pour la gestion du
déploiement des mises à jour Windows « Software Updates »
Il y a quatre nœuds que l’on va découvrir dans ce chapitre, ils sont les suivants :
Groupe ASSU2000 Page 89 sur 102
Ce nœud vous affiche le méta-data des mises à jour téléchargées par le serveur
via le service WSUS (Windows Server Update Services)
Ce service effectue chaque 8 heures une Synchronisation avec les serveurs des
mises à jour de Microsoft.
Sur ce nœud vous pouvez effectuer les tâches suivantes :
o Chercher une mise à jour par son numéro de KB, date de sortie, la
classification de la mise à jour, etc...
o Télécharger une mise à jour ou plusieurs et déployer sur un regroupement
Groupe ASSU2000 Page 90 sur 102
Deployment Packages
Groupe ASSU2000 Page 91 sur 102
\\framaesr141\Sources\UPDATES
Groupe ASSU2000 Page 92 sur 102
Les Synchronisations des Updates avec Microsoft s’effectuent toutes les 8 heures.
Groupe ASSU2000 Page 94 sur 102
Propriété Valeur
Superseded* No
Les règles de déploiement cherchent les mises à jour respectant ce critère et les
stocke dans un Groupe de mise à jour (SUG), et commence à les télécharger dans
un package de déploiement.
Avant de déployer ces mises à jour sur les postes, SCCM déclenche
automatiquement le processus de distribution de contenu des packages des mises
à jour aux points de distribution distants.
Les mises à jour sont déployées par regroupement de 20% du parc sur 6 jours, en
cas de problème avec une mise à jour, seulement un cinquième du parc sur
toutes les entités sera impacté, ce qui limite les impacts d’un service complet.
Le déploiement des mises à jour sur le parc se déroule dans l’ordre ci-dessous :
Cette règle déploie les mises à jour une fois téléchargées sur
un regroupement de 20 postes : ADR – PC – Phase 1
5jrs
Phases
TEST
5jrs
1jrs
Ending with 1 and 6 : la nomenclature des postes chez Assu2000 étant un numéro
unique cela permet de créer des groupes de postes grâce au dernier chiffre du nom de
machine. Ainsi, les postes se terminant par le chiffre 0 et 5, 1 et 6, 2 et 7, 3 et 8, 4 et 9
intègrent chacun un groupe.
Remarque :
La dernière phase de déploiement vient d’être implémentée pour déployer les updates
sur les ordinateurs portables.
6.4 Scripts
Prérequis
Pour exécuter des scripts PowerShell, le client doit exécuter PowerShell version 3.0
ou ultérieure. Toutefois, si un script que vous exécutez contient des fonctionnalités
d’une version ultérieure de PowerShell, le client sur lequel vous exécutez le script
doit exécuter cette version de PowerShell.
Pour utiliser des scripts, vous devez être membre du rôle de sécurité Configuration
Manager approprié.
Création
Dans cet exemple nous allons créer un script qui installe une application :
Calcultarice_windows7.exe sur une machine Exécutant Windows 10.
Groupe ASSU2000 Page 98 sur 102
Et le corps de script :
\\framaesr432\appli$\Sources\Software\CalculatriceW7.exe /S
/S : Installation silencieuse
Confirmation
Groupe ASSU2000 Page 99 sur 102
Approbation