Comment déployer des clients sur des ordinateurs Windows dans Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Cet article fournit des détails sur le déploiement du client Configuration Manager sur des ordinateurs Windows. Pour plus d’informations sur la planification et la préparation du déploiement du client, consultez les articles suivants :

Installation poussée du client

Il existe trois façons principales d’utiliser l’envoi (push) du client :

  • Lorsque vous configurez l’installation push du client pour un site, l’installation du client s’exécute automatiquement sur les ordinateurs découverts par le site. Cette méthode est limitée aux limites configurées du site lorsque ces limites sont configurées en tant que groupe de limites.

  • Démarrez l’installation push du client en exécutant l’Assistant Installation push du client pour une collection ou une ressource spécifique au sein d’un regroupement.

  • Utilisez l’Assistant Installation push du client pour installer le client Configuration Manager, que vous pouvez utiliser pour interroger le résultat. L’installation réussit uniquement si l’un des éléments retournés par la requête est l’attribut ResourceID de la classe de ressource système .

Si le serveur de site ne peut pas contacter l’ordinateur client ou démarrer le processus d’installation, il retente automatiquement l’installation toutes les heures. Le serveur continue de réessayer jusqu’à sept jours.

Pour faciliter le suivi du processus d’installation du client, installez un point d’état de secours avant d’installer les clients. Lorsque vous installez un point d’état de secours, il est automatiquement affecté aux clients lorsqu’ils sont installés par la méthode d’installation push du client. Pour suivre la progression de l’installation du client, consultez les rapports de déploiement et d’affectation du client.

Les fichiers journaux du client fournissent des informations plus détaillées pour la résolution des problèmes. Les fichiers journaux ne nécessitent pas de point d’état de secours. Par exemple, le fichier CCM.log sur le serveur de site enregistre les problèmes qui se produisent lorsque le serveur de site se connecte à l’ordinateur. Le fichier CCMSetup.log sur le client enregistre le processus d’installation.

Importante

L’envoi (push) du client réussit uniquement si toutes les conditions préalables sont remplies. Pour plus d’informations, consultez Dépendances de méthode d’installation.

Configurer le site pour utiliser automatiquement l’envoi (push) du client pour les ordinateurs découverts

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration , développez Configuration du site, puis sélectionnez le nœud Sites .

  2. Sélectionnez le site pour lequel vous souhaitez configurer l’installation push automatique du client à l’échelle du site.

  3. Sous l’onglet Accueil du ruban, dans le groupe Paramètres , sélectionnez Paramètres d’installation du client, puis Installation Push du client.

  4. Sous l’onglet Général de la fenêtre Propriétés de l’installation push du client, sélectionnez Activer l’installation push automatique du client à l’échelle du site.

  5. À compter de la version 1806, lorsque vous mettez à jour le site, une vérification Kerberos de l’envoi (push) du client est activée. L’option Autoriser le secours de connexion à NTLM est activée par défaut, ce qui est cohérent avec le comportement précédent. Si le site ne peut pas authentifier le client à l’aide de Kerberos, il retente la connexion à l’aide de NTLM. La configuration recommandée pour améliorer la sécurité consiste à désactiver ce paramètre, ce qui nécessite Kerberos sans secours NTLM.

    Il est recommandé de désactiver cette option dans les environnements existants, si possible, pour renforcer la sécurité.

    Remarque

    Lorsqu’il utilise l’envoi (push) du client pour installer le client Configuration Manager, le serveur de site crée une connexion à distance au client. À compter de la version 1806, le site peut exiger l’authentification mutuelle Kerberos en n’autorisant pas le secours à NTLM avant d’établir la connexion. Cette amélioration permet de sécuriser la communication entre le serveur et le client.

    Selon vos stratégies de sécurité, votre environnement peut déjà préférer ou exiger Kerberos par rapport à l’ancienne authentification NTLM. Pour plus d’informations sur les considérations de sécurité de ces protocoles d’authentification, consultez le paramètre de stratégie de sécurité Windows pour restreindre NTLM.

    Pour utiliser cette fonctionnalité, les clients doivent se trouver dans une forêt Active Directory approuvée. Kerberos dans Windows s’appuie sur Active Directory pour l’authentification mutuelle.

  6. À compter de la version 2207, lorsque vous mettez à jour le site, l’option Autoriser le secours de connexion à NTLM est désactivée par défaut sur les nouvelles installations de site. Il est recommandé d’augmenter la sécurité.

  7. Sélectionnez les types de système vers lesquels Configuration Manager doit envoyer (push) le logiciel client. Indiquez si vous souhaitez installer le client sur les contrôleurs de domaine.

  8. Sous l’onglet Comptes , spécifiez un ou plusieurs comptes que Configuration Manager doit utiliser lorsqu’il se connecte à l’ordinateur cible. Sélectionnez l’icône Créer , entrez le nom d’utilisateur et le mot de passe (pas plus de 38 caractères), confirmez le mot de passe, puis sélectionnez OK. Spécifiez au moins un compte d’installation push du client. Ce compte doit disposer de droits d’administrateur local sur l’ordinateur cible pour installer le client. Si vous ne spécifiez pas de compte d’installation Push client, Configuration Manager tente d’utiliser le compte d’ordinateur du système de site. Échec de l’envoi (push) du client inter-domaines lors de l’utilisation du compte d’ordinateur du système de site.

    Remarque

    Pour utiliser l’envoi (push) du client à partir d’un site secondaire, spécifiez le compte sur le site secondaire qui lance l’envoi (push) du client.

    Pour plus d’informations sur le compte d’installation push du client, consultez la procédure suivante, Utiliser l’Assistant Installation push du client.

  9. Spécifiez les propriétés d’installation requises sous l’onglet Propriétés d’installation .

    Si vous avez étendu le schéma Active Directory pour Configuration Manager, le site publie les propriétés d’installation du client spécifiées dans les services de domaine Active Directory. Lorsque CCMSetup s’exécute sans propriétés d’installation, il lit ces propriétés à partir d’Active Directory.

    Remarque

    Si vous activez l’installation push du client sur un site secondaire, définissez la propriété SMSSITECODE sur le code de site Configuration Manager de son site principal parent. Si vous avez étendu le schéma Active Directory pour Configuration Manager, pour trouver automatiquement l’attribution de site correcte, définissez cette propriété sur AUTO.

Utiliser l’Assistant Installation push du client

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration , développez Configuration du site, puis sélectionnez le nœud Sites .

  2. Sélectionnez le site pour lequel vous souhaitez configurer l’installation push automatique du client à l’échelle du site.

  3. Sous l’onglet Accueil du ruban, dans le groupe Paramètres , sélectionnez Paramètres d’installation du client, puis Installation Push du client.

  4. Spécifiez les propriétés d’installation requises sous l’onglet Propriétés d’installation .

    Si vous avez étendu le schéma Active Directory pour Configuration Manager, le site publie les propriétés d’installation du client spécifiées dans les services de domaine Active Directory. Lorsque CCMSetup s’exécute sans propriétés d’installation, il lit ces propriétés à partir d’Active Directory.

  5. Dans la console de Configuration Manager, accéder à l’espace de travail Actifs et conformité.

  6. Dans le nœud Appareils , sélectionnez un ou plusieurs ordinateurs. Vous pouvez également sélectionner un regroupement d’ordinateurs dans le nœud Regroupements d’appareils .

  7. Sous l’onglet Accueil du ruban, choisissez l’une des options suivantes :

    • Pour envoyer (push) le client à un ou plusieurs appareils, dans le groupe Appareil , sélectionnez Installer le client.

    • Pour envoyer (push) le client à un ensemble d’appareils, dans le groupe Regroupement , sélectionnez Installer le client.

  8. Dans la page Avant de commencer de l’Assistant Installation du client Configuration Manager, passez en revue les informations, puis sélectionnez Suivant.

  9. Sélectionnez les options appropriées dans la page Options d’installation .

  10. Passez en revue les paramètres d’installation, puis terminez l’Assistant.

Remarque

Utilisez cet Assistant pour installer des clients même si le site n’est pas configuré pour l’envoi (push) du client.

Installation basée sur les mises à jour logicielles

L’installation du client basée sur les mises à jour logicielles publie le client sur un point de mise à jour logicielle en tant que mise à jour logicielle. Utilisez cette méthode pour une première installation ou une mise à niveau.

Si le client Configuration Manager est installé sur un ordinateur, l’ordinateur reçoit la stratégie cliente du site. Cette stratégie inclut le nom du serveur du point de mise à jour logicielle et le port à partir duquel obtenir les mises à jour logicielles.

Importante

Pour l’installation basée sur les mises à jour logicielles, utilisez le même serveur Windows Server Update Services (WSUS) pour l’installation du client et les mises à jour logicielles. Ce serveur doit être le point de mise à jour logicielle actif dans un site principal. Pour plus d’informations, consultez Installer un point de mise à jour logicielle.

Si le client Configuration Manager n’est pas installé sur un ordinateur, configurez et affectez un objet de stratégie de groupe. La stratégie de groupe spécifie le nom du serveur du point de mise à jour logicielle.

Vous ne pouvez pas ajouter des propriétés de ligne de commande à une installation de client basée sur des mises à jour logicielles. Si vous avez étendu le schéma Active Directory pour Configuration Manager, l’installation du client interroge automatiquement les services de domaine Active Directory pour connaître les propriétés d’installation.

Si vous n’avez pas étendu le schéma Active Directory, utilisez la stratégie de groupe pour provisionner les paramètres d’installation du client. Ces paramètres sont automatiquement appliqués à toute installation de client basée sur des mises à jour logicielles. Pour plus d’informations, consultez la section relative à l’approvisionnement des propriétés d’installation du client et l’article Sur l’affectation de clients à un site.

Utilisez les procédures suivantes pour configurer des ordinateurs sans client Configuration Manager afin d’utiliser le point de mise à jour logicielle. Il existe également une procédure pour publier le logiciel client sur le point de mise à jour logicielle.

Conseil

Si les ordinateurs sont dans un état de redémarrage en attente après une installation précédente du logiciel, une installation cliente basée sur des mises à jour logicielles peut entraîner le redémarrage de l’ordinateur.

Configurer un objet de stratégie de groupe pour spécifier le point de mise à jour logicielle

  1. Utilisez la console de gestion des stratégies de groupe pour ouvrir un objet de stratégie de groupe nouveau ou existant.

  2. Développez Configuration ordinateur, Modèles d’administration et Composants Windows, puis sélectionnez Windows Update.

  3. Ouvrez les propriétés du paramètre Spécifier l’emplacement intranet du service de mise à jour Microsoft, puis sélectionnez Activé.

  4. Définir le service de mise à jour intranet pour la détection des mises à jour : spécifiez le nom et le port du serveur de point de mise à jour logicielle.

    • Si vous avez configuré le système de site Configuration Manager pour utiliser un nom de domaine complet (FQDN), utilisez ce format.

    • Si le système de site Configuration Manager n’est pas configuré pour utiliser un nom de domaine complet, utilisez un format de nom court.

    Conseil

    Pour déterminer le numéro de port, consultez Guide pratique pour déterminer les paramètres de port utilisés par WSUS.

    Exemple au format FQDN : http://server1.contoso.com:8530

  5. Définir le serveur de statistiques intranet : ce paramètre est généralement configuré avec le même nom de serveur.

  6. Affectez l’objet de stratégie de groupe aux ordinateurs sur lesquels vous souhaitez installer le client et recevoir les mises à jour logicielles.

Publier le client Configuration Manager sur le point de mise à jour logicielle

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration , développez Configuration du site, puis sélectionnez le nœud Sites .

  2. Sélectionnez le site pour lequel vous souhaitez configurer l’installation du client basée sur les mises à jour logicielles.

  3. Sous l’onglet Accueil du ruban, dans le groupe Paramètres , sélectionnez Paramètres d’installation du client, puis Software Update-Based Client Installation.

  4. Sélectionnez Activer l’installation du client basée sur les mises à jour logicielles.

  5. Si la version du client du site est plus récente que celle du point de mise à jour logicielle, la boîte de dialogue Version ultérieure du package client détecté s’ouvre. Sélectionnez Oui pour publier la version la plus récente.

    Remarque

    Si vous n’avez pas encore publié le logiciel client sur le point de mise à jour logicielle, cette boîte de dialogue est vide.

La mise à jour logicielle du client Configuration Manager n’est pas automatiquement mise à jour lorsqu’il existe une nouvelle version. Lorsque vous mettez à jour le site, répétez cette procédure pour mettre à jour le client.

Installation de la stratégie de groupe

Utilisez la stratégie de groupe dans les services de domaine Active Directory pour publier ou affecter le client Configuration Manager. Le client s’installe au démarrage de l’ordinateur. Lorsque vous utilisez une stratégie de groupe, le client apparaît dans Ajout/Suppression de programmes dans le Panneau de configuration. L’utilisateur peut l’installer à partir de là.

Utilisez le package Windows Installer CCMSetup.msi pour les installations basées sur une stratégie de groupe. Ce fichier se trouve dans le <ConfigMgr installation directory>\bin\i386 dossier sur le serveur de site. Vous ne pouvez pas ajouter de propriétés à ce fichier pour modifier le comportement d’installation.

Importante

Vous devez disposer des autorisations d’administrateur pour accéder aux fichiers d’installation du client.

Pour plus d’informations, consultez Guide pratique pour installer des logiciels à distance à l’aide d’une stratégie de groupe.

Installation manuelle

Installez manuellement le logiciel client sur les ordinateurs à l’aide de CCMSetup.exe. Vous trouverez ce programme et ses fichiers de prise en charge dans le dossier Client du dossier d’installation Configuration Manager sur le serveur de site. Le site partage ce dossier au réseau comme suit :

\\<site server name>\SMS_<site code>\Client\

<site server name> est le nom du serveur de site principal. <site code> est le code de site principal auquel le client est affecté. Pour exécuter CCMSetup.exe à partir de la ligne de commande sur le client, connectez-vous à cet emplacement réseau, puis exécutez la commande .

Importante

Vous devez disposer des autorisations d’administrateur pour accéder aux fichiers d’installation du client.

CCMSetup.exe copie tous les prérequis nécessaires sur l’ordinateur client et appelle le package Windows Installer (Client.msi) pour installer le client. Vous ne pouvez pas exécuter Client.msi directement.

Pour modifier le comportement de l’installation du client, spécifiez les options de ligne de commande pour CCMSetup.exe et Client.msi. Veillez à spécifier les paramètres CCMSetup qui commencent par / avant de spécifier Client.msi propriétés. Par exemple :

CCMSetup.exe /mp:SMSMP01 /logon SMSSITECODE=AUTO FSP=SMSFP01

Dans cet exemple, le client s’installe avec les options suivantes :

Option Description
/mp:SMSMP01 Ce paramètre CCMSetup spécifie le point de gestion SMSMP01 pour télécharger les fichiers d’installation du client requis.
/logon Ce paramètre CCMSetup spécifie que l’installation doit s’arrêter si un client Configuration Manager existant est trouvé sur l’ordinateur.
SMSSITECODE=AUTO Cette propriété Client.msi spécifie que le client tente de localiser le code de site Configuration Manager à utiliser, à l’aide des services de domaine Active Directory, par exemple.
FSP=SMSFP01 Cette propriété Client.msi spécifie que le point d’état de secours nommé SMSFP01 est utilisé pour recevoir les messages d’état envoyés à partir de l’ordinateur client.

Pour plus d’informations, consultez À propos des paramètres et des propriétés d’installation du client.

Conseil

Pour connaître la procédure d’installation du client Configuration Manager sur un appareil Windows moderne à l’aide de l’identité Microsoft Entra, consultez Installer et attribuer des clients Configuration Manager à l’aide de l’ID Microsoft Entra pour l’authentification. Cette procédure s’adresse aux clients sur un intranet ou Sur Internet.

Exemples d’installation manuelle

Ces exemples concernent les clients joints à Active Directory sur un intranet. Ils utilisent les valeurs suivantes :

  • MPSERVER : serveur hébergeant le point de gestion
  • FSPSERVER : serveur hébergeant le point d’état de secours
  • ABC : code de site
  • contoso.com : nom de domaine

Supposons que vous avez configuré tous les serveurs de système de site avec un nom de domaine complet intranet et que vous avez publié les informations du site dans Active Directory.

Commencez par les étapes suivantes sur l’ordinateur client :

  1. Connectez-vous en tant qu’administrateur local.
  2. Mapper le lecteur Z à \\MPSERVER\SMS_ABC\Client.
  3. Basculez l’invite de commandes sur le lecteur Z.

Exécutez ensuite l’une des commandes suivantes :

Exemple manuel 1

CCMSetup.exe

Cette commande installe le client sans paramètres ou propriétés supplémentaires. Le client est automatiquement configuré avec les propriétés d’installation du client publiées sur les services de domaine Active Directory, y compris les paramètres suivants :

  • Code de site : ce paramètre nécessite que l’emplacement réseau du client soit inclus dans un groupe de limites que vous avez configuré pour l’attribution du client.
  • Point de gestion.
  • Point d’état de secours.
  • Communiquez à l’aide du protocole HTTPS uniquement.

Pour plus d’informations, consultez À propos des propriétés d’installation du client publiées sur les services de domaine Active Directory.

Exemple manuel 2

CCMSetup.exe /MP:mpserver.contoso.com /UsePKICert SMSSITECODE=ABC CCMHOSTNAME=server05.contoso.com CCMFIRSTCERT=1 FSP=server06.constoso.com

Cette commande remplace la configuration automatique des services de domaine Active Directory. Il n’est pas nécessaire d’inclure l’emplacement réseau du client dans un groupe de limites configuré pour l’attribution du client. Au lieu de cela, l’installation spécifie les paramètres suivants :

  • Code de site
  • Point de gestion intranet
  • Point de gestion basé sur Internet
  • Point d’état de secours qui accepte les connexions à partir d’Internet
  • Utiliser un certificat d’infrastructure à clé publique (PKI) client (si disponible) dont la période de validité est la plus longue

Installation du script d’ouverture de session

Configuration Manager prend en charge l’utilisation de scripts d’ouverture de session pour installer le logiciel client Configuration Manager. Utilisez le fichier programme CCMSetup.exe dans un script d’ouverture de session pour déclencher l’installation du client.

L’installation du script d’ouverture de session utilise les mêmes méthodes que l’installation manuelle du client. Spécifiez le /logon paramètre d’installation pour CCMSsetup.exe. Si une version du client existe déjà sur l’ordinateur, ce paramètre empêche le client de s’installer. Ce comportement empêche la réinstallation du client chaque fois que le script d’ouverture de session s’exécute.

Si vous ne spécifiez pas de source d’installation à l’aide du /Source paramètre et qu’aucun point de gestion à partir duquel obtenir l’installation n’est spécifié par le /MP paramètre, CCMSetup.exe localise le point de gestion en recherchant les services de domaine Active Directory. Ce comportement se produit uniquement si vous avez étendu le schéma pour Configuration Manager et publié le site sur les services de domaine Active Directory. Le client peut également utiliser DNS pour localiser un point de gestion.

Installation du package et du programme

Utilisez Configuration Manager pour créer et déployer un package et un programme qui mettez à niveau le logiciel client pour les appareils sélectionnés. Configuration Manager fournit un fichier de définition de package qui remplit les propriétés du package avec des valeurs généralement utilisées. Personnalisez le comportement de l’installation du client en spécifiant des paramètres de ligne de commande et des propriétés supplémentaires.

Remarque

Vous ne pouvez pas mettre à niveau les clients Configuration Manager 2007 à l’aide de cette méthode. Utilisez plutôt la mise à niveau automatique du client, qui crée et déploie automatiquement un package contenant la dernière version du client. Pour plus d’informations, consultez Mettre à niveau les clients.

Pour plus d’informations sur la migration à partir de versions antérieures du client Configuration Manager, consultez Planification d’une stratégie de migration de client.

Créer un package et un programme pour le logiciel client

Utilisez la procédure suivante pour créer un package et un programme Configuration Manager que vous pouvez déployer sur les ordinateurs clients Configuration Manager afin de mettre à niveau le logiciel client.

  1. Dans la console Configuration Manager, accédez à l’espace de travail Bibliothèque de logiciels , développez Gestion des applications, puis sélectionnez le nœud Packages .

  2. Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Créer un package dans Définition.

  3. Dans la page Définition de package de l’Assistant, sélectionnez Microsoft dans la liste Éditeur , puis sélectionnez Mise à niveau du client Configuration Manager dans la liste Définition de package .

  4. Dans la page Fichiers sources , sélectionnez Toujours obtenir des fichiers à partir d’un dossier source.

  5. Dans la page Dossier source, sélectionnez Chemin d’accès réseau (nom UNC). Entrez ensuite le chemin d’accès réseau du serveur et du partage qui contient les fichiers d’installation du client.

    Remarque

    L’ordinateur sur lequel le déploiement Configuration Manager s’exécute doit avoir accès au dossier réseau spécifié. Sinon, l’installation du client échoue.

    Pour modifier l’une des propriétés d’installation du client, modifiez la ligne de commande CCMSetup.exe sous l’onglet Général de la boîte de dialogue Programme propriétés de mise à niveau sans assistance de l’agent Configuration Manager . Les propriétés d’installation par défaut sont /noservice SMSSITECODE=AUTO.

  6. Distribuez le package à tous les points de distribution que vous souhaitez héberger le package de mise à niveau du client. Déployez ensuite le package sur des regroupements d’appareils qui contiennent des clients que vous souhaitez mettre à niveau.

Appareils Windows gérés par Intune GPM

Déployez le client Configuration Manager sur les appareils inscrits auprès de Microsoft Intune.

Cette procédure concerne un client traditionnel connecté à un intranet. Il utilise des méthodes d’authentification client traditionnelles. Pour vous assurer que l’appareil reste dans un état managé après avoir installé le client, il doit se trouver sur l’intranet et dans une limite de site Configuration Manager.

Pour connaître la procédure d’installation du client Configuration Manager sur un appareil Windows à l’aide de l’identité Microsoft Entra, consultez Installer et attribuer des clients Configuration Manager à l’aide de l’ID Microsoft Entra pour l’authentification.

Après avoir installé le client Configuration Manager, les appareils ne se désinscrit pas d’Intune. Ils peuvent utiliser le client Configuration Manager et l’inscription GPM en même temps. Pour plus d’informations, consultez Vue d’ensemble de la cogestion.

Remarque

Vous pouvez utiliser d’autres méthodes d’installation du client pour installer le client Configuration Manager sur un appareil géré par Intune. Par exemple, si un appareil géré par Intune se trouve sur l’intranet et est joint au domaine Active Directory, vous pouvez utiliser la stratégie de groupe pour installer le client Configuration Manager.

Installer le client Configuration Manager à l’aide d’Intune

  1. Dans Intune, ajoutez une application métier Windows qui contient le fichier d’installation du client Configuration Manager CCMSetup.msi. Vous trouverez ce fichier dans le \bin\i386 dossier du répertoire d’installation de Configuration Manager sur le serveur de site.

  2. Dans l’éditeur de logiciels Intune, entrez les paramètres de ligne de commande. Par exemple, utilisez cette commande avec un client traditionnel sur un intranet :

    CCMSETUPCMD="/MP:<FQDN of management point> SMSMP=<FQDN of management point> SMSSITECODE=<your site code> DNSSUFFIX=<DNS suffix of management point>"

    Remarque

    Pour obtenir un exemple de commande à utiliser avec un client Windows à l’aide de l’authentification Microsoft Entra, consultez Comment préparer des appareils Basés sur Internet pour la cogestion.

  3. Affectez l’application à un groupe d’ordinateurs Windows inscrits.

Installation de l’image de système d’exploitation

Préinstallez le client Configuration Manager sur un ordinateur de référence que vous utilisez pour créer une image de système d’exploitation.

Importante

Lorsque vous utilisez la séquence de tâches Configuration Manager pour déployer une image de système d’exploitation, l’étape Préparer le client ConfigMgr supprime complètement le client Configuration Manager.

Préparer l’ordinateur client pour la création d’images

  1. Installez manuellement le logiciel client Configuration Manager sur l’ordinateur de référence. Pour plus d’informations, consultez Guide pratique pour installer des clients Configuration Manager manuellement.

    Importante

    Ne spécifiez pas de code de site Configuration Manager pour le client dans les propriétés de ligne de commande CCMSetup.exe.

  2. À l’invite de commandes, tapez net stop ccmexec pour arrêter le service hôte de l’agent SMS (CcmExec.exe) sur l’ordinateur de référence.

  3. Supprimez le fichier SMSCFG.INI du dossier Windows sur l’ordinateur de référence.

  4. Supprimez les certificats du magasin de certificats SMS de l’ordinateur local.

  5. Supprimez tous les autres certificats d’authentification client valides stockés dans le magasin de l’ordinateur local sur l’ordinateur de référence. Par exemple, si vous utilisez des certificats PKI, avant d’imager l’ordinateur, supprimez les certificats dans le magasin Personnel pour Ordinateur et Utilisateur.

  6. Si les clients sont installés dans une hiérarchie Configuration Manager différente de celle de l’ordinateur de référence, supprimez la clé racine approuvée de l’ordinateur de référence.

    Remarque

    Si les clients ne peuvent pas interroger les services de domaine Active Directory pour localiser un point de gestion, ils utilisent la clé racine approuvée pour déterminer les points de gestion approuvés. Si vous déployez tous les clients image dans la même hiérarchie que celle de l’ordinateur maître, laissez la clé racine approuvée en place.

    Si vous déployez les clients dans différentes hiérarchies, supprimez la clé racine approuvée. Approvisionnez également ces clients avec la nouvelle clé racine approuvée. Pour plus d’informations, consultez Planification de la clé racine approuvée.

  7. Utilisez votre logiciel d’imagerie pour capturer une image de l’ordinateur de référence.

  8. Déployez l’image sur les ordinateurs de destination.

Ordinateurs de groupe de travail

Configuration Manager prend en charge l’installation du client pour les ordinateurs dans les groupes de travail. Installez le client sur les ordinateurs du groupe de travail à l’aide de la méthode spécifiée dans Installation manuelle des clients Configuration Manager.

Configuration requise

  • Installez manuellement le client sur chaque ordinateur du groupe de travail. Pendant l’installation, l’utilisateur interactif doit disposer de droits d’administrateur local.

  • Pour accéder aux ressources du domaine du serveur de site Configuration Manager, configurez le compte d’accès réseau pour le site. Spécifiez ce compte dans le composant de site de distribution de logiciels. Pour plus d’informations, consultez Composants de site.

Limitations

  • Les clients de groupe de travail ne peuvent pas localiser les points de gestion à partir des services de domaine Active Directory. Au lieu de cela, ils utilisent DNS ou un autre point de gestion.

  • L’itinérance globale n’est pas prise en charge. Les clients de groupe de travail ne peuvent pas interroger les services de domaine Active Directory pour obtenir des informations sur le site.

  • Les méthodes de découverte Active Directory ne peuvent pas détecter les ordinateurs dans les groupes de travail.

  • Vous ne pouvez pas déployer de logiciels sur des utilisateurs d’ordinateurs de groupe de travail.

  • Vous ne pouvez pas utiliser la méthode d’installation push du client pour installer le client sur les ordinateurs du groupe de travail.

  • Les clients de groupe de travail ne peuvent pas utiliser Kerberos pour l’authentification et peuvent nécessiter une approbation manuelle.

  • Vous ne pouvez pas configurer un client de groupe de travail en tant que point de distribution. Configuration Manager exige que les ordinateurs de point de distribution soient membres d’un domaine.

Installer le client sur les ordinateurs du groupe de travail

Vérifiez les conditions préalables, puis suivez les instructions de la section Comment installer les clients Configuration Manager manuellement.

Exemple de groupe de travail 1

Cet exemple effectue les actions suivantes :

  • Installe le client pour la gestion des clients intranet
  • Spécifie le code du site
  • Spécifie le suffixe DNS pour localiser un point de gestion

CCMSetup.exe SMSSITECODE=ABC DNSSUFFIX=constoso.com

Exemple de groupe de travail 2

Cet exemple nécessite que le client se trouve sur un emplacement réseau configuré dans un groupe de limites. Si cette exigence n’est pas remplie, l’attribution automatique de site ne fonctionnera pas. La commande inclut un point d’état de secours sur le serveur FSPSERVER. Cette propriété permet de suivre le déploiement du client et d’identifier les éventuels problèmes de communication client.

CCMSetup.exe FSP=fspserver.constoso.com

Gestion des clients basée sur Internet

Remarque

Cette section ne s’applique pas aux clients qui utilisent une passerelle de gestion cloud. Pour installer des clients basés sur Internet à l’aide d’une passerelle de gestion cloud, consultez Installer et affecter des clients Configuration Manager à l’aide de l’ID Microsoft Entra pour l’authentification.

Lorsque le site Configuration Manager prend en charge la gestion des clients basés sur Internet pour les clients qui se trouvent parfois sur un intranet et parfois sur Internet, vous avez deux options lorsque vous installez des clients sur l’intranet :

  • Incluez la propriété CCMHOSTNAME=<internet FQDN of the internet-based management point> Client.msi lorsque vous installez le client, en utilisant l’installation manuelle ou l’envoi (push) du client, par exemple. Lorsque vous utilisez cette méthode, affectez directement le client au site. Vous ne pouvez pas utiliser l’attribution automatique de site. Consultez la section Comment installer manuellement des clients Configuration Manager , qui fournit un exemple de cette méthode de configuration.

  • Installez le client pour la gestion du client intranet, puis affectez un point de gestion client basé sur Internet au client. Modifiez le point de gestion à l’aide des propriétés du client dans la page Configuration Manager du Panneau de configuration, ou à l’aide d’un script. Lorsque vous utilisez cette méthode, vous pouvez utiliser l’attribution automatique du client. Pour plus d’informations, consultez la section Comment configurer des clients pour la gestion des clients basée sur Internet après l’installation du client .

Pour installer des clients qui se trouvent sur Internet, choisissez l’une des méthodes prises en charge suivantes :

  • Fournissez un mécanisme permettant à ces clients de se connecter temporairement à l’intranet avec un VPN. Installez ensuite le client à l’aide de n’importe quelle méthode d’installation du client appropriée.

  • Utilisez une méthode d’installation indépendante de Configuration Manager. Par exemple, empaqueter les fichiers sources d’installation du client sur un support amovible et envoyer le média aux utilisateurs. Les fichiers sources d’installation du client se trouvent dans le <installation path>\Client dossier sur le serveur de site Configuration Manager. Sur le support, incluez un script pour copier manuellement sur le dossier client. À partir de ce dossier, installez le client à l’aide de CCMSetup.exe et de toutes les propriétés de ligne de commande CCMSetup appropriées.

Remarque

Configuration Manager ne prend pas en charge l’installation d’un client directement à partir du point de gestion Internet ou du point de mise à jour logicielle basée sur Internet.

Les clients gérés sur Internet doivent communiquer avec les systèmes de site basés sur Internet. Vérifiez que ces clients disposent également de certificats d’infrastructure à clé publique (PKI) avant d’installer le client. Installez ces certificats indépendamment de Configuration Manager. Pour plus d’informations, consultez Configuration requise des certificats PKI.

Installer des clients sur Internet en spécifiant les propriétés de ligne de commande CCMSetup

  1. Suivez les instructions de la section Guide pratique pour installer des clients Configuration Manager manuellement. Incluez toujours les options suivantes :

    • Paramètre de ligne de commande CCMSetup /source:<local path of the copied Client folder>

    • Paramètre de ligne de commande CCMSetup /UsePKICert

    • Client.msi propriété CCMHOSTNAME=<FQDN of internet-based management point>

    • Client.msi propriété SMSSIGNCERT=<local path of exported site server signing certificate>

    • Client.msi propriété SMSSITECODE=<site code of internet-based management point>

    Remarque

    Si le site a plusieurs points de gestion basés sur Internet, celui que vous spécifiez pour la CCMHOSTNAME propriété n’a pas d’importance. Lorsqu’un client Configuration Manager se connecte au point de gestion Internet spécifié, il envoie au client la liste des points de gestion Internet disponibles dans le site. Le client en sélectionne un au hasard dans la liste.

  2. Si vous ne souhaitez pas que le client vérifie la liste de révocation de certificats, spécifiez le paramètre /NoCRLCheckde ligne de commande CCMSetup .

  3. Si vous utilisez un point d’état de secours basé sur Internet, spécifiez la propriété FSP=<internet FQDN of the internet-based fallback status point>Client.msi .

  4. Si vous installez le client pour la gestion des clients internet uniquement, spécifiez la propriété CCMALWAYSINF=1Client.msi .

  5. Déterminez si vous devez spécifier des paramètres de ligne de commande CCMSetup supplémentaires. Par exemple, si le client a plusieurs certificats PKI valides, vous devrez peut-être spécifier un critère de sélection de certificat. Pour obtenir la liste des propriétés disponibles, consultez À propos des paramètres et des propriétés d’installation du client.

Exemple basé sur Internet

CCMSetup.exe /source: D:\Clients /UsePKICert CCMHOSTNAME=server1.contoso.com SMSSIGNCERT=siteserver.cer SMSSITECODE=ABC FSP=server2.contoso.com CCMALWAYSINF=1 CCMFIRSTCERT=1

Cet exemple installe le client avec les comportements suivants :

  • Utilisez les fichiers sources d’un dossier sur le lecteur D.
  • Utilisez un certificat PKI client.
  • Sélectionnez le certificat avec la période de validité la plus longue.
  • Gestion des clients sur Internet uniquement.
  • Affectez au client l’autorisation d’utiliser le point de gestion internet nommé SERVER1.
  • Affectez le point d’état de secours basé sur Internet dans le domaine contoso.com.
  • Affectez le client au site ABC.

Pour configurer des clients pour la gestion des clients basée sur Internet après l’installation du client

Pour affecter le point de gestion basé sur Internet après avoir installé le client, utilisez l’une de ces procédures. La première nécessite une configuration manuelle et convient à quelques clients. La seconde est plus appropriée pour la configuration de nombreux clients.

Configurer des clients pour la gestion des clients basée sur Internet après l’installation du client à partir du panneau de configuration Configuration Manager

  1. Ouvrez le panneau de configuration Configuration Manager sur le client.

  2. Sous l’onglet Réseau , entrez le nom de domaine complet (FQDN) du point de gestion basé sur Internet en tant que nom de domaine complet Internet.

    Remarque

    L’onglet Réseau est disponible uniquement si le client dispose d’un certificat PKI client.

  3. Si le client accède à Internet à l’aide d’un serveur proxy, entrez les paramètres du serveur proxy.

Configurer des clients pour la gestion des clients basée sur Internet après l’installation du client à l’aide d’un script

PowerShell
  1. Ouvrez un éditeur en ligne PowerShell, comme PowerShell ISE ou Visual Studio Code. Vous pouvez également utiliser un éditeur de texte, comme le Bloc-notes.

  2. Copiez et insérez les lignes de code suivantes dans l’éditeur. Remplacez par 'mp.contoso.com' le nom de domaine complet Internet de votre point de gestion Internet.

    $newInternetBasedManagementPointFQDN = 'mp.contoso.com'
    $client = New-Object -ComObject Microsoft.SMS.Client
    $client.SetInternetManagementPointFQDN($newInternetBasedManagementPointFQDN)
    Restart-Service CcmExec
    $client.GetInternetManagementPointFQDN()
    

    Remarque

    La dernière ligne est là uniquement pour vérifier la nouvelle valeur du point de gestion Internet.

    Pour supprimer un point de gestion Internet spécifié, supprimez la valeur de nom de domaine complet du serveur entre guillemets. La ligne devient $newInternetBasedManagementPointFQDN = ''.

  3. Enregistrez le fichier avec une extension .ps1.

  4. Exécutez le script avec des droits élevés sur les ordinateurs clients. Utilisez l’une des méthodes suivantes :

    • Déployez le fichier sur des clients Configuration Manager existants à l’aide d’un package et d’un programme.

    • Exécutez le fichier localement sur les clients Configuration Manager existants en double-cliquant sur le fichier de script dans l’Explorateur de fichiers.

Vous devrez peut-être redémarrer le client pour que les modifications prennent effet.

Approvisionner les propriétés d’installation du client

Provisionnez les propriétés d’installation du client pour les installations client basées sur la stratégie de groupe et les mises à jour logicielles. Utilisez la stratégie de groupe Windows pour provisionner des ordinateurs avec les propriétés d’installation du client Configuration Manager. Ces propriétés sont stockées dans le registre de l’ordinateur. Le client les lit lors de l’installation. Cette procédure n’est normalement pas obligatoire, mais elle peut être nécessaire pour certains scénarios d’installation du client, tels que :

  • Vous utilisez les paramètres de stratégie de groupe ou les méthodes d’installation du client basée sur les mises à jour logicielles. Vous n’avez pas étendu le schéma Active Directory pour Configuration Manager.

  • Vous souhaitez remplacer les propriétés d’installation du client sur des ordinateurs spécifiques.

Remarque

Si des propriétés d’installation sont fournies sur la ligne de commande CCMSetup.exe, les propriétés d’installation approvisionnées sur les ordinateurs ne sont pas utilisées.

Un modèle d’administration de stratégie de groupe nommé ConfigMgrInstallation.adm est fourni sur le support d’installation de Configuration Manager. Utilisez ce modèle pour approvisionner les ordinateurs clients avec des propriétés d’installation.

Conseil

Par défaut, ConfigMgrInstallation.adm ne prend pas en charge les chaînes de plus de 255 caractères. Cette configuration peut avoir un impact sur l’ajout de plusieurs paramètres ou paramètres avec des valeurs longues, comme CCMCERTISSUERS.

Pour contourner ce problème :

  1. Modifier ConfigMgrInstallation.adm dans le Bloc-notes.
  2. Pour la propriété VALUENAME SetupParameters, remplacez la valeur par MAXLEN un entier plus grand. Par exemple : MAXLEN 511.

Configurer et attribuer des propriétés d’installation du client à l’aide d’un objet de stratégie de groupe

  1. Importez le modèle d’administration ConfigMgrInstallation.adm dans un objet de stratégie de groupe (GPO) nouveau ou existant à l’aide d’un éditeur tel que l’Éditeur d’objet de stratégie de groupe Windows. Vous trouverez ce fichier dans le TOOLS\ConfigMgrADMTemplates dossier sur le support d’installation de Configuration Manager.

  2. Ouvrez les propriétés du paramètre importé Configurer les paramètres de déploiement du client.

  3. Sélectionnez Activé.

  4. Dans la zone CCMSetup , entrez les propriétés de ligne de commande CCMSetup requises. Pour obtenir la liste de toutes les propriétés de ligne de commande CCMSetup et des exemples d’utilisation, consultez À propos des paramètres et des propriétés d’installation du client.

  5. Affectez l’objet de stratégie de groupe aux ordinateurs que vous souhaitez approvisionner avec les propriétés d’installation du client Configuration Manager.