System Center 2012 Configuration Manager R2 : Quoi de neuf ?

Infrastructure, communication & collaboration

Quoi de neuf dans SCCM2012 R2 ?

Aurélien Bonnin & Mark CochraneMVP ECM & MVP ECM

vNext

[email protected] [email protected]

Stand 99

mailto:[email protected]

mailto:[email protected]

#mstechdays Infrastructure, communication & collaboration

SCCM 2012 R2 en 1 slide: découvrir & modifier

• Découvrir– L’AD: postes, users, groupes, sites, subnets– Les ressources: matériels, applications, utilisation,

statuts, codes retour, configurations

• Modifier– Stratégies– Déploiement: logiciels, scripts, signatures, patches,

masters

+ Administrer– Rôles, périmètres, rapports, scalabilité, architecture


SCCM – maintenant c’est facile

Management points

Site server SQL

Client avancé

ReportingPoints

localDistribution

point

SMSPKGx$

Server Locatorpoint

Scan AD:ADSites, Users, Machines

Package d¶install

Console d¶admin

Ajout des ressources découvertesDDR

SMS_def.mof

Log

Log

%windir%\system32\CCM\logs

Assigne un site en automatique quand avancé et que AD pas

étendu


• Infrastructure• Gestion client• Contenus• OSD• Settings• Compagnons

SCCM 2012 R2 - Révolution


Modifications

• Setup: possibilité de sélectionner un emplacement spécifique (non-standard) pour les fichiers de la base du site Primaire ou CAS (sauf pour un Cluster)

• Schéma: RAS• Rapports: RBAC-isés (deux dimensions)


Ah ok ! Finalement la sécurité dans SCCM, c’est facile…

Site Server (running under LocalSystem)

MachineDCOMCnfgCOM Security Limits Launch

& Activation permissions

LocalSecurity

Domain\user not Admin accessing a report

SERVICE_LOCATOR_POINT

SMS_REPORTING_POINT

SQL

SQLServerConfigMgrProtocols

SQL=LocalSystemOr SMSSQLAcct=Sysadmin

SQL runs under LocalSystem and machine account is in SPN List setspn -A MSSQLSvc/machine.thedomain.com:1433 machinesetspn -A MSSQLSvc/machine:1433 machine

ORSQL runs under Domain\Account and account is in SPN List setspn -A MSSQLSvc/machine.thedomain.com:1433 domain\acctsetspn -A MSSQLSvc/machine:1433 domain\acct

OR SQL runs on same machine than SMS

User has LocalActivation Thru Local « Report Users » group

(manual in Win2003sp1+)

SMS_COLLECTION_EVALUATORSMS_COMPONENT_STATUS_SUMMARIZERSMS_DISCOVERY_DATA_MANAGERSMS_SITE_COMPONENT_MANAGERSMS_SQL_MONITOR

AD

SMS_AD_XXX_DISCOVERY

HIERARCHY_MANAGER& SITE_COMPONENT_MANAGER

SiteServer machine account hasFullControl on System\System Management

(object & children)

LocalSecurity

LocalSecurity

Ports

Ports LDAP 389/389LDAP SSL 636RPC 135/135

GC LDAP 3268GC LDAP SSL 88/88

SMS WMI Provider(ROOT\SMS)

AD Securty

SQLSecurity

SMS is on the same machine or

Machine is Member of Local Security Group « SMS_SiteSystemToSQLConnection_XXX »

SPN

MP, CAP, RP & SLP Machine are members of SMS_SiteSystemToSiteServerConnection_<xxx>

Machine is Member of « SMS_SiteToServerstoSiteSystems »

Named pipes=ON

Remote consoleUser has Remote Activation rightThru local « SMS Admins » group

(manual in Win2003sp1+)

SiteSystem

IUSR_Machine$ (invité Internet)Has LocalActivation right(manual in Win2003sp1+)

LocalSecurity

LocalSecurity

Machine is Member of « SMS_SiteToSiteConnecion_XXX »

Any Site in the SiteServer¶s

SiteAddress List Machine is Member of « SMS_SiteToSiteConnecion_XXX »

DCOMComponentRights

DCOMComponentRights

SecondarySite

Remote Install Secondary

LocalSecurityUser or Machine must be

local administrator

Push Client

LocalSecurityCARCA or Server$ is

local adminAND

XP\Admin$ exists (File & Print share must be enabled if XPSP2)

Client(LocalSystem)

WMISecurity

ConsoleUser is member of « SMS Admins » group


Bienvenue au « CRP »

• Certificate Registration Point– Enrôlement des périphériques Windows sans

passer par l’AD– Requiert ADDS sur un Windows 2012 R2 et une

extension


Côté Client

• Wizard Mac installe le certificat (évite le CMEnroll)• Wizard de renouvellement de certificat pour Mac • Embedded : support de certains Unified Write

Filter• Wake-Up proxy: Power Management / Firewall

exception for wake-up proxy• /ExcludeFeatures:ClientUI• Clic-droit/Reassign


Collection automne-hiver

• Fenêtre de maintenance– Task sequences– Software updates– Général

• Les mises à jour respectent la SUMW en priorité

• RSoS: Visualisation des paramètres en respectant l’ordre de priorité


Software updates

• Possibilité de changer le deployment package– Comme les nouvelles MAJ sont ajoutées au même SUPKG,

la taille peut devenir un problème – En cas de nouveau DP, le transfert peut devenir très(trop)

lourd

• « Test » des ADR– Prévisualisation des correctifs répondant aux critères et aux

filters– Depuis le Wizard et depuis l’onglet Software Updates

d’une ADR


Software Updates

• Démo


Ah ok ! Software Updates – maintenant c’est facile…

Windows Update

Active SUP

Sites/ActiveSUP/SiteCompon

ents/SUP

Library/SoftUpd/ All sw Updates

Manual selection

Automatic deployment

rule

SW Update groupDeployment

package

Distribution Point Content Lib

Client device policy

criteria

Target Collection

Package Source

Deployment

Download location

Updates

WSUS


App management

• Nouveau DT: Web applications (raccourci dans le menu Démarrer ou dans l’écran d’accueil)

• Modification du DT « Windows app package » pour reconnaître les « .appxbundle » (app+ ressources)

• Option « appli favorite » qui met en avant l’application dans le CompanyPortal

• Option « privacy link » consultable avant installation

• Une application peut être associée à une connexion VPN et la déclencher lors de son lancement


App Management

• Démo


Content management• Pull DP

– contactent désormais leurs DP sources selon des priorités (Si 1=échec, alors 2; Si 2= échec, alors 3…)– Envoient leurs statuts (auparavant, le DISTMGR du siteserver venait interroger chaque Pull-DP)

• Monitoring/Distribution/<contenu>/ViewStatus/AssetDetails/Clic = View, Cancel, Redistribute

• Nouveau rapport « Distribution point usage summary »

• Possibilité de configurer plusieurs « Network Access Accounts » par site

• BranchCache reprend un transfert interrompu à l’octet près

• Calcul dynamique (à chaque envoi de contenu) de la bande passante. Le résultat sert à prioriser les envois ultérieurs (pour que le plus de DP possible l’aient au plus vite)

• Validation des contenus : appel WMI du DP par lots de 50 fichiers (au lieu de 1 dans 2012)


Content Management

• Démo


OSD

• Support de Windows Server 2012 R2 et Windows 8.1• Retro-compatibilité des boot images « WAIK » et de WinPE 3.1. • Support PXE pour les « BIOS » IA32 UEFI. • Création d’un prestage de TS en un clic (sans passer sur chaque

dépendance une par une)• Gestion de VHD

– Depuis une console CM installée sur un Hyper-V– Compatible VMM

• Nouvelles étapes de task sequence : Run PowerShell Script, Check Readiness & Set Dynamic Variables

• Nouvelles variables de TS


Ah OK ! OSD – maintenant PXE c’est facile…

PXE RomLegacy card

Broadcast UDP67: DHCP Discover(Option60 set)

PXE(smspxe.log)

TCP1433: exec NBS_Lookupdevice(client unknown ? Does it exists in dbo.system_disc or

unknownsystem_disc)

TCP1433: exec NBS_GetPXEBootAction(bootfile to send = ?)

Broadcast UDP67: DHCP Discover(ReadyToAck IP & bootServer)

UDP68: DHCPOffer(IP address)

Broadcast UDP68: DHCPAck(Ack IP & lease)

Unicast UDP4011: DHCP Request(Ask for bootserver(66) & bootfile(67) )

UDP68: DHCPOffer(Option60 set)

DHCP (option60 if also PXE)

UDP69: DHCPAck(Option66 & Option67 + WDSNBP)

Unicast UDP4011: DHCP Request(Option250 (architecture) + Ask for bootserver(66)

& bootfile(67) )

SQL

TFTP : GET bootfile

http:<dp>/sms_dp_smspkg$/<pkgid>/<winpe.wim>

Bootserver(66) = <dp_with_pxe>Bootfile(67) = \smsboot\<archi>\<bootfile>

(in <PXEDP><WDSRemoteInstallDir>

Bootfile(67)= « pxeboot.com » bootserver(66) = <pxedp>

WDSNBP

bootfile

WinPE

ClientLookupReply: Unknown=1 ou bien ItemKey=<resourceid>

MP

DP

TFTP : GET wdsnbp.com

Get TaskSequenceSteps & dependencies

DP

Download TaskSequenceDependencies (using NetworkAccessAccount)

Windows

Download TaskSequenceDependencies (using NetworkAccessAccount)

CaptureShareCapture & WriteCaptured WIM(using account specified in TS task)

Select * from V_RA_System_MACAddresses where MAC_Addresses0='00:06:30:00:15:72'If duplicate (one obsolete) and the TS targets the bad one: abortpxe.com

MAC@ still in cache ?


Certificate profiles• Protocole SCEP (Simple Certificate Enrollment

Protocol). – Utilisables pour Wi-Fi & VPN.– iOS, Windows 8.1, Windows RT 8.1, Android.– Déploiement du root et des intermédiaires chaine de trust

• CRP en haut de la hiérarchie– Configuration Manager Policy Module (sur un W12R2)– ADCS– Network Device Enrollment Service role– Publié sur Internet– Communique avec la CA


Remote connection profiles

• RDS, VDI• Applications publiées• Accès depuis internet• Accès possible hors domaine


VPN profiles

• Provisioning pour accéder aux réseaux Corp– Paramètres– Certificats

• Plateformes– iOS, Windows 8.1, Windows RT et Windows RT

8.1.


Wifi profiles

• Provisioning pour accédr aux WiFis Corp– Paramètres– Certificats

• Plateformes– iOS, Windows 8.1, Windows RT 8.1 et Android.


Mobiles

• ClientSettings pour mobiles– Pas dans ClientSettings mais dans… – Asset&C / Compliance Settings / ConfigItems /

new / type=mobile– Intègre les settings d’iOS 7

• Enrôlement– Android via GooglePlay– iOS via AppStore


Mobile devices

• Déploiement obligatoires configurer une échéance• Wipe & Retire peuvent être réservés aux contenus

Corp• Le mobile peut être personnel ou société (change

ownership)– Ni dans le domaine– Sans agent

• Inventaires full (si device de société) / apps société uniquement (si perso)– Si ni client CM ni domaine, Intune


Extensions Intune

• Au fur et à mesure de leur disponibilité– Extensions Intune sont proposées dans la

console– Exemple: email profiles

• Provisioning pour Exchange ActiveSync– Profils– Restrictions

• iOS & Windows Phone 8.


MDM

• Démo


Toolkit R2

• Démo


Support Center

• Démo


Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

http://notes.mstechdays.fr/

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business

System Center 2012 Configuration Manager R2 : Quoi de neuf ?

Technology

Transcript of System Center 2012 Configuration Manager R2 : Quoi de neuf ?