• Article

Introduction à la gestion hors bande dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

La gestion hors bande de System Center 2012 Configuration Manager fournit un puissant contrôle de gestion pour les ordinateurs équipés du processeur Intel vPro et d'une version d'Intel Active Management Technology (Intel AMT) prise en charge par Configuration Manager.

La gestion hors bande permet à un utilisateur administratif de se connecter au contrôleur de gestion AMT d'un ordinateur qui est éteint, en veille prolongée ou qui ne répond plus via le système d'exploitation.En revanche, la gestion intrabande est la technique généralement utilisée par Configuration Manager et ses prédécesseurs : un agent exécute le système d'exploitation complet de l'ordinateur géré et le contrôleur de gestion communique avec l'agent de gestion afin d'effectuer les tâches requises.

La gestion hors bande complète la gestion intrabande.En effet, bien que la gestion intrabande prenne en charge un plus grand nombre d'opérations car l'environnement de travail correspond au système d'exploitation dans son ensemble, elle est inutilisable en cas d'absence ou de mauvais fonctionnement du système d'exploitation.Dans ce cas, les fonctionnalités supplémentaires de la gestion hors bande permettent aux utilisateurs administratifs de gérer ces ordinateurs sans avoir besoin d'un accès local à l'ordinateur.

La gestion hors bande permet d'effectuer les tâches suivantes :

  • Mise sous tension d'un ou de plusieurs ordinateurs (par exemple, en cas de maintenance en dehors des heures de travail).

  • Mise hors tension d'un ou de plusieurs ordinateurs (par exemple, le système d'exploitation ne répond plus).

  • Redémarrage d'un ordinateur non fonctionnel ou démarrage à partir d'un périphérique connecté en local ou d'un fichier d'image de démarrage approprié connu.

  • Acquérir de nouvelles images pour un ordinateur en le démarrant à partir d'un fichier d'image de démarrage situé sur le réseau ou à l'aide d'un serveur PXE.

  • Reconfigurer les paramètres du BIOS sur un ordinateur sélectionné (et contourner le mot de passe du BIOS si cette opération est prise en charge par le fabricant de ce dernier).

  • Démarrer un système d'exploitation basé sur des commandes pour exécuter des commandes, des outils de réparation ou effectuer des applications de diagnostics (par exemple, pour mettre à niveau le microprogramme ou exécuter un outil de réparation de disques).

  • Configurer des déploiements de logiciels programmés pour réveiller des ordinateurs avant qu'ils soient en cours d'exécution.

Ces tâches de gestion hors bande sont prises en charge sur une connexion filaire non authentifiée, une connexion filaire 802.1X authentifiée et une connexion sans fil.La gestion hors bande présente également les fonctionnalités supplémentaires suivantes :

  • Audit pour les fonctionnalités sélectionnées.

  • Prise en charge des différents états d'alimentation afin de limiter la consommation électrique et de respecter la stratégie informatique.

  • Stockage de données dans AMT, permettant d'enregistrer jusqu'à 4 096 octets de caractères ASCII dans la mémoire RAM non volatile (NVRAM) du contrôleur de gestion.

Pour des exemples de scénarios d'utilisation de la gestion hors bande, consultez Exemples de scénarios d'utilisation de la gestion hors bande dans Configuration Manager.

Certaines des tâches précédentes sont exécutées depuis la console Configuration Manager, tandis que d'autres nécessitent l'exécution de la console de gestion hors bande fournie avec Configuration Manager.La gestion hors bande utilise la technologie de gestion à distance de Windows (WS-MAN) pour se connecter au contrôleur de gestion AMT d'un ordinateur.

Notes

Elle n'est pas prise en charge sur les clients gérés à partir d'Internet via la fonction de gestion des clients basés sur Internet.Configuration Manager les clients qui sont bloqués ou non approuvés par Configuration Manager ne peuvent pas être gérés hors bande.

Le tableau suivant présente les options et fonctionnalités fournies par la gestion hors bande dans Configuration Manager.

Fonctionnalité ou scénario

Plus d'informations

Gestion basée sur la sécurité

La gestion hors bande s'intègre à une infrastructure à clés publiques (PKI) interne à l'aide des certificats suivants :

  • Un certificat de configuration installé sur le point de service hors bande permettant de configurer des ordinateurs pour la gestion hors bande.

  • Un certificat de serveur Web qui est installé sur le point d'inscription pour une communication sécurisée avec le point de service hors bande pendant le processus de configuration.

  • Un certificat de serveur Web qui est installé sur chaque ordinateur géré hors bande afin d'authentifier et de chiffrer la communication à l'aide du protocole TLS (Transport Layer Security).

  • certificats clients si nécessaire pour l'authentification 802.1X.

Pour plus d'informations sur ces certificats, voir Configuration requise des certificats PKI pour Configuration Manager.

Avant de pouvoir gérer des ordinateurs à l'aide de la console de gestion hors bande, les administrateurs doivent être authentifiés à l'aide de Kerberos.

L'activité de gestion hors bande est enregistrée et contrôlable à l'aide d'un journal d'audit sur les ordinateurs AMT.

Prise en charge des réseaux filaires authentifiés 802.1X et des réseaux sans fil :

  • Authentifié 802. 1 fixe X prend en charge : options d'authentification client de EAP-TLS ou EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

  • Prise en charge sans fil : Sécurité WPA et WPA2, chiffrement AES ou TKIP, options d'authentification client de EAP-TLS, EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

Préparation AMT

Il est possible d'activer et de configurer les ordinateurs Intel AMT qui exécutent le client Configuration Manager.

Données d'inventaire enrichies

Des données d'inventaire matériel sont recueillies depuis le processeur AMT (numéro de stock, UUID BIOS, alimentation, processeur, mémoire et informations sur le pilote).

Identifier les contrôleurs de gestion AMT

Il est possible d'identifier les ordinateurs disposant d'un contrôleur de gestion AMT et de connaître l'état de sa configuration.

Ces informations peuvent s'avérer utiles pour effectuer des regroupements basés sur des requêtes et, ainsi, grouper les ordinateurs pour les activités hors bande, telles que la configuration et le contrôle d'alimentation.

Contrôle de l'alimentation

Il est possible de mettre sous/hors tension et de redémarrer certaines fonctionnalités d'un seul ordinateur, de plusieurs ordinateurs sélectionnés ou d'un regroupement d'ordinateurs.

Les ordinateurs peuvent également être réveillés par des déploiements de logiciels planifiés qui ont une échéance planifiée.

Console de gestion hors bande

Console de gestion dédiée, exécutée à partir de la console Configuration Manager ou lors d'une invite de commande, afin de lancer des tâches de gestion hors bande, notamment la redirection IDE ou des sessions en série sur le réseau local.

Notes

Les fonctionnalités peuvent varier selon le fabricant de l'ordinateur géré.Ainsi, la redirection IDE et la technologie série sur le réseau local peuvent avoir été désactivées par le fabricant.

Redirection IDE

L'ordinateur peut démarrer à partir d'un fichier d'image de démarrage ou d'un périphérique connecté en local, au lieu d'utiliser l'interface IDE du disque.Cette fonction est utile pour créer des images d'un disque dur et diagnostiquer ou réparer un disque dur.

Technologie série sur réseau local

La technologie série sur réseau local encapsule les données provenant d'un port série virtuel et les transmet via la connexion réseau existante que la console de gestion hors bande a établie.

La technologie série sur réseau local vous permet d'exécuter une session d'émulation de terminal pour l'ordinateur géré, dans laquelle vous pouvez exécuter des commandes et des applications en mode textePar exemple, vous pouvez reconfigurer le BIOS ou, en utilisant également la redirection IDE, vous pouvez mettre à jour le microprogramme ou exécuter des outils de diagnostic.

Extension de la gestion hors bande dans Configuration Manager

Pour des informations techniques supplémentaires prendre en charge et d'étendre la gestion hors bande dans Configuration Manager, consultez offres d'application d'Intel sur le site Microsoft Pinpoint.

Nouveautés de Configuration Manager

Notes

Les informations contenues dans cette section apparaissent également dans le guide Mise en route de System Center 2012 Configuration Manager.

Les éléments suivants sont nouveaux ou ont été modifiés pour la gestion hors bande depuis Configuration Manager 2007 :

  • System Center 2012 Configuration Manager ne prend plus en charge la configuration hors bande, qui pouvait être utilisée dans Configuration Manager 2007 lorsque le client Configuration Manager n'était pas installé ou qu'aucun système d'exploitation n'était installé sur l'ordinateur.Pour que des ordinateurs puissent être configurés pour AMT dans System Center 2012 Configuration Manager, ils doivent appartenir à un domaine Active Directory, le client System Center 2012 Configuration Manager doit être installé dessus et ils doivent être affectés à un site principal System Center 2012 Configuration Manager.

  • Pour configurer des ordinateurs pour AMT, vous devez installer, en plus du point de service hors bande, le nouveau rôle de système de site et le point d'inscription.Vous devez installer ces deux rôles de système de site sur le même site principal.

  • Il existe un nouveau compte, le compte, que vous spécifiez dans le Propriétés du composant Gestion hors bande : Provisioning onglet.Lorsque vous spécifiez ce compte et utilisez le même compte Windows que celui spécifié comme compte d'utilisateur AMT, vous pouvez utiliser ce compte pour supprimer les informations de configuration AMT si vous devez récupérer le site.Vous auriez également pu l'utiliser lorsque le client était réaffecté et que les informations de configuration AMT n'étaient pas supprimées de l'ancien site.

  • Configuration Manager ne génère plus de message d'état pour vous avertir que le certificat de configuration AMT va bientôt expirer.Vous devez vérifier vous-même la période de validité restante et veiller à renouveler ce certificat avant qu'il expire.

  • La découverte AMT n'utilise plus le port TCP 16992 ; seul le port TCP 16993 est utilisé.

  • Le port TCP 9971 n'est plus utilisé pour connecter le contrôleur de gestion AMT au point de service hors bande afin de configurer les ordinateurs pour AMT.

  • Le point de service hors bande utilise le protocole HTTPS (par défaut, le port TCP 443) pour se connecter au point d'inscription.

  • Le traducteur de WS-MAN n'est plus pris en charge.

  • La tâche de maintenance Réinitialiser les mots de passe d'ordinateur AMT a été supprimée.

  • Vous ne sélectionnez plus d'autorisation individuelle pour chaque compte d'utilisateur AMT.Au lieu de cela, tous les comptes d'utilisateur AMT sont configurés automatiquement pour le droit Administration PT (Configuration Manager 2007 SP1) ou Administration des plates-formes (Configuration Manager 2007 SP2), qui accorde des autorisations à toutes les fonctionnalités AMT.

  • Vous devez spécifier un groupe de sécurité universel dans les Propriétés du composant de gestion hors bande qui devra contenir les comptes d'ordinateur AMT que Configuration Manager crée pendant le processus de configuration AMT.

  • L'ordinateur du serveur de site ne nécessite plus le Contrôle intégral de l'unité d'organisation (OU) qui est utilisée lors de la configuration AMT.Au lieu de cela, il accorde les autorisations de lecture des membres et d'écriture des membres (cet objet uniquement).

  • Le point d'inscription plutôt que l'ordinateur du serveur de site principal requiert désormais l'autorisation d'émettre et de gérer des certificats sur l'autorité de certification (CA) émettrice.Cette autorisation est nécessaire pour révoquer des certificats AMT.Comme dans Configuration Manager 2007, ce compte d'ordinateur doit disposer d'autorisations DCOM pour communiquer avec l'autorité de certification émettrice.Pour configurer ce paramètre, assurez-vous que pour Windows Server 2008, le compte d'ordinateur du serveur du système de site du point d'inscription est membre du groupe de sécurité Accès DCOM au service de certificats ou, pour Windows Server 2003 SP1 et versions ultérieures, qu'il est membre du groupe de sécurité CERTSVC_DCOM_ACCESS dans le domaine dans lequel réside l'autorité de certification émettrice.

  • Les modèles de certificat pour le certificat du serveur Web AMT et le certificat client AMT 802.1X n'utilisent plus Fourni dans la demande et le compte d'ordinateur du serveur de site ne requiert plus d'autorisation vers les modèles de certificat suivants :

    • Pour le modèle de certificat du serveur Web AMT : Dans l'onglet Sujet, sélectionnez Construire à partir de ces informations Active Directory, puis sélectionnez Nom commun comme Format du nom du sujet.Dans l'onglet Sécurité, accordez des autorisations en Lecture et en Inscription au groupe de sécurité universel que vous spécifiez dans Propriétés du composant de gestion hors bande.

    • Pour le modèle de certificat client AMT 802.1X : Dans l'onglet Sujet, sélectionnez Construire à partir de ces informations Active Directory, puis sélectionnez Nom commun comme Format du nom du sujet.Désélectionnez la case Nom DNS, puis sélectionnez Nom principal de l'utilisateur (UPN) comme autre nom du sujet.Dans l'onglet Sécurité, accordez des autorisations en Lecture et en Inscription au groupe de sécurité universel que vous spécifiez dans Propriétés du composant de gestion hors bande.

  • Le certificat de configuration AMT ne requiert plus la possibilité d'exporter la clé privée.

  • Par défaut, le point de service hors bande vérifie le certificat de configuration AMT pour la révocation des certificats.Ceci se produit lors de l'exécution initiale du système de site et lors de la modification du certificat de configuration AMT.Vous pouvez désactiver cette option dans Propriétés du point de service hors bande.

  • Vous pouvez activer ou désactiver la vérification de la liste de révocation pour le certificat du serveur Web AMT dans la console de gestion hors bande.Pour modifier les paramètres, cliquez sur le menu Outils, puis cliquez sur Options.Le nouveau paramètre sera utilisé lors de votre prochaine connexion à un ordinateur AMT.

  • Lorsqu'un certificat pour un ordinateur AMT est révoqué, le motif de la révocation est désormais Cessation de l'opération au lieu de Remplacé.

  • Les ordinateurs AMT qui sont affectés au même site Configuration Manager doivent posséder un nom d'ordinateur unique, même s'ils appartiennent à différents domaines et disposent par conséquent d'un nom de domaine complet unique.

  • Lorsque vous réaffectez un ordinateur AMT d'un site Configuration Manager à un autre, vous devez tout d'abord supprimer les informations de configuration AMT, les réaffecter au client, puis configurer à nouveau le client pour AMT.

  • Les droits de sécurité Afficher les contrôleurs de gestion et Gérer les contrôleurs de gestion dans Configuration Manager 2007 sont désormais nommés Préparer AMT et Contrôler AMT, respectivement.L'autorisation Contrôler AMT est automatiquement ajoutée au rôle de sécurité Opérateur d'outils à distance.Si un utilisateur administratif est affecté au rôle de sécurité Opérateur d'outils à distance et vous souhaitez que cet utilisateur administratif configure des ordinateurs AMT ou contrôle le journal d'audit AMT, vous devez ajouter l'autorisation Préparer AMT à ce rôle de sécurité ou vous assurer que l'utilisateur administratif appartient à un autre rôle de sécurité qui inclut cette autorisation.