Créer des éléments de configuration personnalisés pour les ordinateurs de bureau et serveur Windows gérés avec le client Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Utilisez l’élément de configuration Configuration Manager ordinateurs de bureau et serveurs Windows personnalisés pour gérer les paramètres des ordinateurs et serveurs Windows gérés par le client Configuration Manager.

Démarrer l’Assistant

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité, développez Paramètres de conformité, puis sélectionnez le nœud Éléments de configuration.

  2. Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Créer un élément de configuration.

  3. Dans la page Général de l’Assistant Création d’un élément de configuration, spécifiez un nom et éventuellement une description pour l’élément de configuration.

  4. Sous Spécifier le type d’élément de configuration que vous souhaitez créer, sélectionnez Ordinateurs de bureau et serveurs Windows (personnalisés).

    • Si vous souhaitez fournir des paramètres de méthode de détection qui vérifient l’existence d’une application, sélectionnez Ce fichier de configuration contient les paramètres de l’application.
  5. Pour vous aider à rechercher et filtrer les éléments de configuration dans la console Configuration Manager, sélectionnez Catégories pour créer et attribuer des catégories.

Méthodes de détection

Utilisez cette procédure pour fournir des informations de méthode de détection pour l’élément de configuration.

Remarque

Ces informations s’appliquent uniquement si vous sélectionnez Cet élément de configuration contient des paramètres d’application dans la page Général de l’Assistant.

Une méthode de détection dans Configuration Manager contient des règles utilisées pour détecter si une application est installée sur un ordinateur. Cette détection se produit avant que le client n’évalue sa conformité pour l’élément de configuration. Pour détecter si une application est installée, vous pouvez détecter la présence d’un fichier Windows Installer pour l’application, utiliser un script personnalisé ou sélectionner Toujours supposer que l’application est installée pour évaluer la conformité de l’élément de configuration, que l’application soit installée ou non.

Pour détecter une installation d’application à l’aide du fichier Windows Installer

  1. Dans la page Méthodes de détection de l’Assistant Création d’un élément de configuration, sélectionnez l’option Utiliser la détection de Windows Installer.

  2. Sélectionnez Ouvrir, accédez au fichier Windows Installer (.msi) que vous souhaitez détecter, puis sélectionnez Ouvrir.

  3. Le champ Version remplit automatiquement le numéro de version du fichier Windows Installer. Si la valeur affichée est incorrecte, entrez un nouveau numéro de version ici.

  4. Si vous souhaitez détecter chaque profil utilisateur sur l’ordinateur, sélectionnez Cette application est installée pour un ou plusieurs utilisateurs.

Pour détecter une application et un type de déploiement spécifiques

  1. Dans la page Méthodes de détection de l’Assistant Création d’un élément de configuration, sélectionnez Détecter une application et un type de déploiement spécifiques. Choisir Sélectionner.

  2. Dans la boîte de dialogue Spécifier l’application , sélectionnez l’application et un type de déploiement associé que vous souhaitez détecter.

Pour détecter une installation d’application à l’aide d’un script personnalisé

Lorsqu’un script Windows PowerShell s’exécute en tant que méthode de détection, le client Configuration Manager appelle PowerShell avec le -NoProfile paramètre . Cette option démarre PowerShell sans profils. Un profil PowerShell est un script qui s’exécute au démarrage de PowerShell.

  1. Dans la page Méthodes de détection de l’Assistant Création d’un élément de configuration, sélectionnez l’option Utiliser un script personnalisé pour détecter cette application.

  2. Dans la liste, sélectionnez la langue du script. Choisissez parmi les formats suivants :

    • VBScript

    • JScript

    • PowerShell

  3. Sélectionnez Ouvrir, accédez au script que vous souhaitez utiliser, puis sélectionnez Ouvrir.

    Importante

    Lorsque vous utilisez un script PowerShell signé, veillez à sélectionner Ouvrir. Vous ne pouvez pas utiliser copier et coller pour un script signé.

Spécifier les plateformes prises en charge

Dans la page Plateformes prises en charge de l’Assistant Création d’un élément de configuration, sélectionnez les versions Windows sur lesquelles vous souhaitez évaluer la conformité de l’élément de configuration, ou choisissez Sélectionner tout.

Vous pouvez également spécifier manuellement la version de Windows. Sélectionnez Ajouter et spécifiez chaque partie du numéro de build Windows.

Remarque

Lorsque vous spécifiez Windows Server 2016, la sélection de All Windows Server 2016 and higher 64-bit) inclut également Windows Server 2019. Pour spécifier Windows Server 2016 uniquement, utilisez l’option Spécifier manuellement la version de Windows.

Configurer les paramètres

Utilisez cette procédure pour configurer les paramètres de l’élément de configuration.

Les paramètres représentent les conditions professionnelles ou techniques utilisées pour évaluer la conformité sur les appareils clients. Vous pouvez configurer un nouveau paramètre ou accéder à un paramètre existant sur un ordinateur de référence.

  1. Dans la page Paramètres de l’Assistant Création d’un élément de configuration, sélectionnez Nouveau.

  2. Sous l’onglet Général de la boîte de dialogue Créer un paramètre , fournissez les informations suivantes :

    • Nom : entrez un nom unique pour le paramètre. Vous pouvez utiliser un maximum de 256 caractères.

    • Description : entrez une description pour le paramètre. Vous pouvez utiliser un maximum de 256 caractères.

    • Type de paramètre : dans la liste, choisissez et configurez l’un des types de paramètres suivants à utiliser pour ce paramètre :

    • Type de données : choisissez le format dans lequel la condition retourne les données avant d’être utilisée pour évaluer le paramètre. La liste Type de données n’est pas affichée pour tous les types de paramètres.

      Conseil

      Le type de données à virgule flottante ne prend en charge que trois chiffres après la virgule décimale.

  3. Configurez des détails supplémentaires sur ce paramètre sous la liste Type de paramètre . Les éléments que vous pouvez configurer varient en fonction du type de paramètre que vous avez sélectionné.

  4. Sélectionnez OK pour enregistrer le paramètre et fermer la boîte de dialogue Créer un paramètre .

Requête Active Directory

  • Préfixe LDAP : spécifiez un préfixe valide pour la requête services de domaine Active Directory pour évaluer la conformité sur les ordinateurs clients. Pour effectuer une recherche globale dans un catalogue, utilisez LDAP:// ou GC://.

  • Nom unique (DN) : spécifiez le nom unique de l’objet services de domaine Active Directory évalué pour la conformité sur les ordinateurs clients.

  • Filtre de recherche : spécifiez un filtre LDAP facultatif pour affiner les résultats de la requête services de domaine Active Directory afin d’évaluer la conformité sur les ordinateurs clients. Pour retourner tous les résultats de la requête, entrez (objectclass=*).

  • Étendue de recherche : spécifiez l’étendue de recherche dans services de domaine Active Directory

    • Base : interroge uniquement l’objet spécifié

    • Un niveau : cette option n’est pas utilisée dans cette version de Configuration Manager

    • Sous-arborescence : interroge l’objet spécifié et sa sous-arborescence complète dans le répertoire

  • Propriété : spécifiez la propriété de l’objet services de domaine Active Directory utilisé pour évaluer la conformité sur les ordinateurs clients.

    Par exemple, si vous souhaitez interroger la propriété Active Directory qui stocke le nombre de fois qu’un utilisateur entre incorrectement un mot de passe, entrez badPwdCount dans ce champ.

  • Requête : affiche la requête construite à partir des entrées dans Préfixe LDAP, Nom unique (DN),Filtre de recherche (si spécifié) et Propriété.

Assembly

Un assembly est un morceau de code qui peut être partagé entre des applications. Les assemblys peuvent avoir l’extension de nom de fichier .dll ou .exe. Le Global Assembly Cache est le dossier %SystemRoot%\Assembly sur les ordinateurs clients. Ce cache est l’emplacement où Windows stocke tous les assemblys partagés.

  • Nom de l’assembly : Spécifie le nom de l’objet assembly que vous souhaitez rechercher. Le nom ne peut pas être le même que d’autres objets d’assembly du même type. Commencez par l’inscrire dans le Global Assembly Cache. Le nom de l’assembly peut comporter jusqu’à 256 caractères.

Système de fichiers

  • Tapez : dans la liste, indiquez si vous souhaitez rechercher un fichier ou un dossier.

  • Chemin d’accès : spécifiez le chemin du fichier ou dossier spécifié sur les ordinateurs clients. Vous pouvez spécifier des variables d’environnement système et la variable d’environnement %USERPROFILE% dans le chemin d’accès.

    • Le type de paramètre Système de fichiers ne prend pas en charge la spécification d’un chemin d’accès UNC à un partage réseau dans la zone Chemin d’accès .

    • Si vous utilisez la %USERPROFILE% variable d’environnement dans les zones Chemin d’accèsou Nom de fichier ou de dossier, le client Configuration Manager recherche tous les profils utilisateur sur l’ordinateur client. Ce comportement peut entraîner la recherche de plusieurs instances du fichier ou du dossier.

    • Si les paramètres de conformité n’ont pas accès au chemin d’accès spécifié, une erreur de découverte est générée. En outre, si le fichier que vous recherchez est en cours d’utilisation, une erreur de découverte est générée.

      Conseil

      Sélectionnez Parcourir pour configurer le paramètre à partir de valeurs sur un ordinateur de référence.

  • Nom du fichier ou du dossier : spécifiez le nom de l’objet fichier ou dossier à rechercher. Vous pouvez spécifier des variables d’environnement système et la variable d’environnement %USERPROFILE% dans le nom du fichier ou du dossier. Vous pouvez également utiliser les caractères génériques * et ? dans le nom de fichier.

    • Si vous spécifiez un nom de fichier ou de dossier et que vous utilisez des caractères génériques, cette combinaison peut produire un nombre élevé de résultats. Cela peut également entraîner une utilisation élevée des ressources sur l’ordinateur client et un trafic réseau élevé lors du signalement des résultats à Configuration Manager.
  • Inclure les sous-dossiers : recherchez également tous les sous-dossiers sous le chemin d’accès spécifié.

  • Ce fichier ou dossier est associé à une application 64 bits : s’il est activé, recherchez uniquement les emplacements de fichiers 64 bits, par %ProgramFiles% exemple sur les ordinateurs 64 bits. Si cette option n’est pas activée, recherchez à la fois les emplacements 64 bits et les emplacements 32 bits tels que %ProgramFiles(x86)%.

    • Si le même fichier ou dossier existe à la fois dans les emplacements de fichiers système 64 bits et 32 bits sur le même ordinateur 64 bits, plusieurs fichiers sont découverts par la condition globale.

Métabase IIS

  • Chemin de la métabase : spécifiez un chemin d’accès valide à la métabase IIS (Internet Information Services). Par exemple : /LM/W3SVC/.

  • ID de propriété : spécifiez la propriété numérique du paramètre de métabase IIS.

Clé du Registre

  • Hive : sélectionnez la ruche du Registre que vous souhaitez rechercher

    • Sélectionnez Parcourir pour configurer le paramètre à partir de valeurs sur un ordinateur de référence. Pour accéder à une clé de Registre sur un ordinateur distant, activez le service Registre distant sur l’ordinateur distant.
  • Clé : spécifiez le nom de clé de Registre que vous souhaitez rechercher. Utilisez le format key\subkey.

  • Cette clé de Registre est associée à une application 64 bits : recherchez des clés de Registre 64 bits en plus des clés de Registre 32 bits sur les clients qui exécutent une version 64 bits de Windows.

    • Si la même clé de Registre existe dans les emplacements de Registre 64 bits et 32 bits sur le même ordinateur 64 bits, les deux clés de Registre sont découvertes par la condition globale.

Valeur de Registre

  • Hive : sélectionnez la ruche du Registre à rechercher.

    • Sélectionnez Parcourir pour configurer le paramètre à partir de valeurs sur un ordinateur de référence. Pour accéder à une valeur de Registre sur un ordinateur distant, activez le service Registre distant sur l’ordinateur distant. Vous avez également besoin d’autorisations d’administrateur pour accéder à l’ordinateur distant.
  • Clé : spécifiez le nom de clé de Registre à rechercher. Utilisez le format key\subkey.

  • Valeur : spécifiez la valeur qui doit être contenue dans la clé de Registre spécifiée.

  • Cette clé de Registre est associée à une application 64 bits : recherchez les clés de Registre 64 bits en plus des clés de Registre 32 bits sur les clients qui exécutent une version 64 bits de Windows.

    • Si la même clé de Registre existe dans les emplacements de Registre 64 bits et 32 bits sur le même ordinateur 64 bits, les deux clés de Registre sont découvertes par la condition globale.

Script

La valeur retournée par le script est utilisée pour évaluer la conformité de la condition globale. Par exemple, lorsque vous utilisez VBScript, vous pouvez utiliser la commande WScript.Echo Result pour renvoyer la valeur de la variable Result à la condition globale. Lorsque vous utilisez Windows PowerShell comme script de découverte ou de correction, le client Configuration Manager appelle PowerShell avec le -NoProfile paramètre . Cette option démarre PowerShell sans profils. Un profil PowerShell est un script qui s’exécute au démarrage de PowerShell.

  • Script de découverte : sélectionnez Ajouter un script, puis entrez ou accédez à un script. Ce script est utilisé pour rechercher la valeur. Vous pouvez utiliser des scripts Windows PowerShell, VBScript ou Microsoft JScript.

  • Script de correction (facultatif) : sélectionnez Ajouter un script, puis entrez ou accédez à un script. Ce script est utilisé pour corriger les valeurs de paramètre non conformes. Vous pouvez utiliser des scripts Windows PowerShell, VBScript ou Microsoft JScript.

    Importante

    • Pour signaler correctement un échec de correction, les scripts doivent lever des exceptions plutôt qu’un code de sortie différent de zéro.
  • Exécuter des scripts à l’aide des informations d’identification de l’utilisateur connecté : si vous activez cette option, le script s’exécute sur les ordinateurs clients qui utilisent les informations d’identification de l’utilisateur connecté.

Importante

  • Lorsque vous utilisez un script PowerShell signé, veillez à sélectionner Ouvrir. Vous ne pouvez pas utiliser copier et coller pour un script signé.
  • À compter de la version 2207, vous pouvez définir un délai d’exécution du script (secondes) lors de la configuration des paramètres client pour les paramètres de conformité.

Requête SQL

  • SQL Server instance : indiquez si vous souhaitez que la requête SQL s’exécute sur l’instance par défaut, sur toutes les instances ou sur un nom d’instance de base de données spécifié. Le nom de l’instance doit faire référence à une instance locale de SQL Server. Pour faire référence à une instance de cluster de basculement SQL Server Always On ou à un groupe de disponibilité, utilisez un paramètre de script.

  • Base de données : spécifiez le nom de la base de données Microsoft SQL Server sur laquelle vous souhaitez exécuter la requête SQL.

  • Colonne : spécifiez le nom de colonne retourné par l’instruction Transact-SQL utilisée pour évaluer la conformité de la condition globale.

  • Instruction Transact-SQL : spécifiez la requête SQL complète que vous souhaitez utiliser pour la condition globale. Pour utiliser une requête SQL existante, sélectionnez Ouvrir.

    Importante

    Les paramètres de requête SQL ne prennent pas en charge les commandes SQL qui modifient la base de données. Vous pouvez uniquement utiliser des commandes SQL qui lisent les informations de la base de données.

Requête WQL

  • Espace de noms : spécifiez l’espace de noms WMI évalué pour la conformité sur les ordinateurs clients. La valeur par défaut est root\cimv2.

  • Classe : spécifiez la classe WMI cible dans l’espace de noms ci-dessus.

  • Propriété : spécifiez la propriété WMI cible dans la classe ci-dessus.

  • Clause WHERE de requête WQL : spécifiez une clause éligible pour réduire les résultats. Par exemple, pour interroger uniquement le service DHCP dans la classe Win32_Service, la clause WHERE peut être Name = 'DHCP' and StartMode = 'Auto'.

Requête XPath

  • Chemin d’accès : spécifiez le chemin du fichier .xml sur les ordinateurs clients utilisé pour évaluer la conformité. Configuration Manager prend en charge l’utilisation de toutes les variables d’environnement système Windows et de la %USERPROFILE% variable utilisateur dans le nom du chemin d’accès.

  • Nom du fichier XML : spécifiez le nom de fichier contenant la requête XML dans le chemin d’accès ci-dessus.

  • Inclure des sous-dossiers : activez cette option pour rechercher tous les sous-dossiers sous le chemin d’accès spécifié.

  • Ce fichier est associé à une application 64 bits : recherchez l’emplacement %Windir%\System32 du fichier système 64 bits en plus de l’emplacement %Windir%\Syswow64 du fichier système 32 bits sur Configuration Manager clients qui exécutent une version 64 bits de Windows.

  • Requête XPath : spécifiez une requête XPath (Full XML Path Language) valide.

  • Espaces de noms : identifiez les espaces de noms et les préfixes à utiliser pendant la requête XPath.

Si vous tentez de découvrir un fichier de .xml chiffré, les paramètres de conformité recherchent le fichier, mais la requête XPath ne produit aucun résultat. Le client Configuration Manager ne génère pas d’erreur.

Si la requête XPath n’est pas valide, le paramètre est évalué comme non conforme sur les ordinateurs clients.

Configurer des règles de conformité

Les règles de conformité spécifient les conditions qui définissent la conformité d’un élément de configuration. Avant de pouvoir évaluer la conformité d’un paramètre, il doit avoir au moins une règle de conformité. Les paramètres WMI, registre et script vous permettent de corriger les valeurs qui ne sont pas conformes. Vous pouvez créer des règles ou accéder à un paramètre existant dans n’importe quel élément de configuration pour sélectionner des règles.

Pour créer une règle de conformité

  1. Dans la page Règles de conformité de l’Assistant Création d’un élément de configuration, sélectionnez Nouveau.

  2. Dans la boîte de dialogue Créer une règle , fournissez les informations suivantes :

    • Nom : entrez un nom pour la règle de conformité.

    • Description : entrez une description de la règle de conformité.

    • Paramètre sélectionné : sélectionnez Parcourir pour ouvrir la boîte de dialogue Sélectionner un paramètre . Sélectionnez le paramètre pour lequel vous souhaitez définir une règle, ou sélectionnez Nouveau paramètre. Lorsque vous avez terminé, choisissez Sélectionner.

      Conseil

      Pour afficher des informations sur le paramètre actuellement sélectionné, sélectionnez Propriétés.

    • Type de règle : sélectionnez le type de règle de conformité que vous souhaitez utiliser :

      • Valeur : créez une règle qui compare la valeur retournée par l’élément de configuration à une valeur que vous spécifiez. Pour plus d’informations sur les paramètres supplémentaires, consultez Règles de valeur.

      • Existential : créez une règle qui évalue le paramètre selon qu’il existe sur un appareil client ou selon le nombre de fois où il est trouvé. Pour plus d’informations sur les paramètres supplémentaires, consultez Règles existentielles.

  3. Sélectionnez OK pour fermer la boîte de dialogue Créer une règle .

Règles de valeur

  • Propriété : la propriété de l’objet à vérifier varie en fonction du paramètre sélectionné. Les propriétés disponibles varient en fonction du type de paramètre.

  • Le paramètre doit respecter les règles ou autorisations suivantes : les règles ou autorisations disponibles varient en fonction du type de paramètre.

  • Corriger les règles non conformes lorsqu’elles sont prises en charge : sélectionnez cette option pour Configuration Manager corriger automatiquement les règles non conformes. Configuration Manager prend en charge cette action avec les types de règles suivants :

    • Valeur de Registre : s’il n’est pas conforme, le client définit la valeur de Registre. S’il n’existe pas, le client crée la valeur.

    • Script : le client utilise le script de correction que vous avez spécifié avec le paramètre .

    • Requête WQL

    Importante

    • Pour signaler correctement un échec de correction, les scripts doivent lever des exceptions plutôt qu’un code de sortie différent de zéro.
    • Vous ne pouvez corriger les règles non conformes que lorsque l’opérateur de règle est défini sur Égal à.
  • Signaler la non-conformité si cette instance de paramètre est introuvable : si ce paramètre est introuvable sur les ordinateurs clients, activez cette option pour que l’élément de configuration signale la non-conformité.

  • Gravité de non-conformité pour les rapports : spécifiez le niveau de gravité signalé dans Configuration Manager rapports en cas d’échec de cette règle de conformité. Les niveaux de gravité suivants sont disponibles :

    • Aucune
    • Information
    • Warning
    • Critical
    • Critique avec événement : les ordinateurs qui ne respectent pas cette règle de conformité signalent une gravité d’échec critique. Ce niveau de gravité est également enregistré en tant qu’événement Windows dans le journal des événements de l’application.

Règles existentielles

Remarque

Les options affichées peuvent varier en fonction du type de paramètre pour lequel vous configurez une règle.

  • Le paramètre doit exister sur les appareils clients

  • Le paramètre ne doit pas exister sur les appareils clients

  • Le paramètre se produit le nombre de fois suivant :

  • Gravité de non-conformité pour les rapports : spécifiez le niveau de gravité signalé dans Configuration Manager rapports en cas d’échec de cette règle de conformité. Les niveaux de gravité suivants sont disponibles :

    • Aucune
    • Information
    • Warning
    • Critical
    • Critique avec événement : les ordinateurs qui ne respectent pas cette règle de conformité signalent une gravité d’échec critique. Ce niveau de gravité est également enregistré en tant qu’événement Windows dans le journal des événements de l’application.

Suivre les corrections des éléments de configuration

(Introduit dans la version 2002)

À compter de Configuration Manager version 2002, vous pouvez suivre l’historique de correction lorsqu’il est pris en charge dans vos règles de conformité d’élément de configuration. Lorsque cette option est activée, toute correction qui se produit sur le client pour l’élément de configuration génère un message d’état. L’historique est stocké dans la base de données Configuration Manager.

Créez des rapports personnalisés pour afficher l’historique des corrections à l’aide de la vue publique v_CIRemediationHistory. La RemediationDate colonne correspond à l’heure à laquelle, au format UTC, le client a exécuté la correction. Identifie ResourceID l’appareil. La création de rapports personnalisés avec la vue v_CIRemediationHistory vous aide à :

  • Identifier les problèmes possibles avec vos scripts de correction
  • Recherchez les tendances des corrections telles qu’un client qui est constamment non conforme à chaque cycle d’évaluation.

Activer l’option Suivre l’historique des corrections en cas de prise en charge

  • Pour les nouveaux éléments de configuration, ajoutez l’option Suivre l’historique des corrections en cas de prise en charge sous l’onglet Règles de conformité lorsque vous créez un paramètre dans la page Paramètres de l’Assistant.
  • Pour les éléments de configuration existants, ajoutez l’option Suivre l’historique des corrections en cas de prise en charge sous l’onglet Règles de conformité de l’élément de configuration Propriétés. Suivre l’historique de correction lorsqu’il est pris en charge dans la version 2002

Prochaines étapes

Créer des lignes de base de configuration