À propos des bases de référence de configuration et des éléments de configuration
Dans Configuration Manager, les bases de référence sont utilisées pour définir la configuration d’un produit ou d’un système qui est établi à un moment spécifique dans le temps. Les bases de référence de configuration dans Configuration Manager contiennent un ensemble défini de configurations souhaitées qui sont évaluées pour la conformité en tant que groupe.
Bases de référence de configuration
Les bases de référence de configuration contiennent un ou plusieurs éléments de configuration avec des règles associées, et elles sont attribuées aux ordinateurs par le biais de regroupements, ainsi qu’une planification d’évaluation de la conformité.
Remarque
Bien que vous puissiez affecter des bases de référence de configuration à un regroupement qui contient des utilisateurs, les bases de référence de configuration sont évaluées uniquement par les ordinateurs du regroupement.
Vous pouvez créer vos propres bases de référence de configuration avec la console Configuration Manager et importer des bases de référence de configuration à partir des sources suivantes :
Une base de référence de configuration des meilleures pratiques de Microsoft ou d’autres fournisseurs
Bases de référence de configuration créées personnalisées au sein de votre propre organisation, mais externes à Configuration Manager
Un autre site Configuration Manager
Lorsque les bases de référence de configuration sont importées, à moins qu’elles n’aient été créées à l’origine dans le même site Configuration Manager, vous ne pouvez pas les modifier directement dans la console Configuration Manager. Si vous devez affiner les éléments de configuration pour répondre aux besoins de votre entreprise, le chemin recommandé est le suivant :
Créez des éléments de configuration enfants avec vos valeurs personnalisées.
Dupliquez la base de référence de configuration.
Modifiez la ligne de base dupliquée et remplacez les éléments de configuration par vos éléments de configuration enfants modifiés.
Règles de base de référence de configuration
Les règles de base de configuration sont utilisées pour spécifier la façon dont les éléments de configuration inclus dans la base de référence de configuration doivent être évalués pour la conformité sur les ordinateurs clients. Il existe des types fixes de règles de base de configuration qui ne peuvent pas être modifiés dans Configuration Manager. Les éléments de configuration peuvent être ajoutés aux règles de base de configuration suivantes :
L’un des éléments de configuration du système d’exploitation suivants doit être présent et correctement configuré.
Ces applications et éléments de configuration générale sont requis et doivent être correctement configurés.
Si ces éléments de configuration d’application facultatifs sont détectés, ils doivent être correctement configurés.
Ces mises à jour logicielles doivent être présentes.
Ces éléments de configuration d’application ne doivent pas être présents.
Ces bases de référence de configuration doivent également être validées.
Affectation de la base de référence de configuration
Pour que les ordinateurs clients puissent évaluer leur conformité avec les bases de référence de configuration dans Configuration Manager, la base de référence de configuration doit leur être attribuée par le biais de regroupements d’ordinateurs.
L’affectation se compose des propriétés suivantes :
La base de référence de configuration elle-même
Collection à cibler pour l’évaluation de la conformité, et si elle inclut des sous-regroupements définis
La planification de l’évaluation de la conformité, qui est initialement configurée avec le calendrier d’évaluation de la conformité par défaut, mais qui peut être modifiée pour chaque affectation
Les affectations de base de configuration sont des propriétés facultatives pour une base de référence de configuration. Une base de référence de configuration unique peut être affectée à plusieurs regroupements en définissant plusieurs affectations de base de configuration.
Base de référence de configuration dépendante
L’une des règles de base de configuration consiste à inclure une autre base de référence de configuration. Cette fonctionnalité d’imbrication fournit une méthode en couches permettant de définir une base de référence de configuration de base pour un large éventail d’ordinateurs, puis d’affiner cette configuration de base avec des bases de référence de configuration supplémentaires qui ont des configurations plus spécifiques pour les ordinateurs avec des rôles similaires.
Les bases de référence dépendantes sont également utilisées lorsque vous souhaitez combiner vos propres besoins métier avec ceux d’une base de référence de configuration importée (par exemple, les bases de référence de configuration best practices de Microsoft) qui ne peuvent pas être modifiées directement. Lorsque la base de référence de configuration des meilleures pratiques est mise à niveau avec une nouvelle version, vous pouvez importer la version ultérieure sans avoir à créer une nouvelle base de référence de configuration.
Les bases de référence de configuration dépendantes sont affichées dans la console Configuration Manager en tant que propriété d’une base de référence de configuration.
Base de référence de configuration en double
Une base de référence de configuration en double dans Configuration Manager est une copie exacte d’une base de référence de configuration existante qui ne conserve aucune relation avec l’original. La création d’une base de référence de configuration en double peut être appropriée si vous souhaitez créer un certain nombre de bases de référence de configuration similaires mais non liées et que vous avez une base de référence de configuration que vous utilisez comme modèle. Un autre scénario consiste à redéfinir les règles ou les éléments de configuration dans une base de référence de configuration importée.
Vous ne pouvez pas dupliquer une base de référence de configuration importée si elle contient des données de configuration que le Configuration Manager ne peut pas interpréter.
Éléments de configuration
Les éléments de configuration définissent une unité discrète de configuration à évaluer pour la conformité. Ils peuvent contenir un ou plusieurs éléments et leurs critères de validation, et ils définissent généralement une unité de configuration que vous souhaitez surveiller au niveau de la modification indépendante.
Les éléments de configuration sont les blocs de construction des bases de référence de configuration. Par conséquent, le même élément de configuration peut être utilisé dans plusieurs bases de référence de configuration.
Configuration Manager prend en charge les types d’éléments de configuration suivants :
Élément de configuration du système d’exploitation
Élément de configuration permettant de déterminer la conformité des paramètres relatifs à la version et à la configuration du système d’exploitation.
Élément de configuration d’application
Élément de configuration permettant de déterminer la conformité d’une application. Cela peut indiquer si l’application est installée, ainsi que des détails sur sa configuration.
Élément de configuration général
Élément de configuration permettant de déterminer la conformité des paramètres généraux et des objets, où leur existence ne dépend pas du système d’exploitation, d’une application ou d’une mise à jour logicielle.
Élément de configuration des mises à jour logicielles
Élément de configuration permettant de déterminer la conformité des mises à jour logicielles à l’aide de la fonctionnalité de mises à jour logicielles dans Configuration Manager.
Vous ne pouvez pas importer, créer ou configurer des éléments de configuration des mises à jour logicielles dans le nœud Gestion de la configuration souhaitée . Au lieu de cela, elles sont mises à la disposition des bases de référence de configuration via la fonctionnalité de mises à jour logicielles lors du téléchargement des mises à jour logicielles. Cela signifie que les éléments de configuration des mises à jour logicielles peuvent être sélectionnés pour être inclus dans les bases de référence de configuration, bien qu’ils ne soient pas affichés sous le nœud Éléments de configuration .
Les autres éléments de configuration peuvent être importés, créés et configurés avec la console Configuration Manager. Ces éléments de configuration affichent un certain nombre de propriétés, notamment les suivantes :
Général
Objets
Paramètres
Version de Windows
Applicabilité
Méthode de détection
Les propriétés disponibles pour chaque élément de configuration dépendent du type d’élément de configuration. Par exemple, vous pouvez configurer un élément de configuration du système d’exploitation pour vérifier la version exacte du système d’exploitation. Cette propriété n’est pas applicable aux autres éléments de configuration. Vous ne voyez donc pas la propriété Version de Windows qui est disponible pour les autres éléments de configuration. Le tableau suivant répertorie les propriétés configurables d’un élément de configuration dans Configuration Manager et indique si la propriété configurable est disponible pour chaque type d’élément de configuration.
| Type d’élément de configuration | Général | Windows Version | Objets | Paramètres | Méthode de détection | Applicabilité | Sécurité |
|---|---|---|---|---|---|---|---|
| Général | √ | Ø | √ | √ | Ø | √ | √ |
| Application | √ | Ø | √ | √ | √ | √ | √ |
| Système d’exploitation | √ | √ | √ | √ | Ø | Ø | √ |
| Mises à jour logicielles | √ | Ø | Ø | Ø | Ø | Ø | √ |
Clé:
√ = Propriété disponible
Ø = Propriété non disponible
À l’exception des éléments de configuration des mises à jour logicielles, vous pouvez afficher et modifier les propriétés de chaque élément de configuration dans le nœud Éléments de configuration sous Gestion de la configuration souhaitée dans la console Configuration Manager. Utilisez le nœud Software Mises à jour pour afficher et modifier les éléments de configuration des mises à jour logicielles.
En plus des propriétés configurables d’un élément de configuration dans le nœud Gestion de la configuration souhaitée , vous voyez également des informations d’audit affichées dans les propriétés Général , qui indiquent quand l’élément de configuration a été créé, quand il a été modifié pour la dernière fois et par qui. En outre, un onglet de propriété Relations montre comment l’élément de configuration est lié à d’autres éléments de configuration et bases de référence de configuration.
Élément de configuration enfant
Un élément de configuration enfant est une copie d’un élément de configuration qui continue d’hériter des propriétés de l’élément de configuration d’origine. Vous ne pouvez pas modifier les objets et paramètres hérités de l’élément de configuration enfant avec leurs critères de validation, mais vous pouvez ajouter des critères de validation supplémentaires aux objets et paramètres hérités, et vous pouvez également ajouter de nouveaux objets et paramètres à l’élément de configuration enfant. L’objectif habituel de la création et de la modification d’un élément de configuration enfant est qu’il affine l’élément de configuration d’origine pour répondre aux besoins de votre entreprise.
En raison de la relation de dépendance des propriétés héritées du parent à l’élément de configuration enfant, la modification de l’élément de configuration d’origine affecte l’élément de configuration enfant.
Les éléments de configuration enfants sont appropriés lorsque vous avez importé des données de configuration à partir d’une base de référence de configuration des meilleures pratiques et que vous souhaitez être en mesure de mettre à jour les données de configuration lorsque de nouvelles versions sont publiées, qui continueront à transmettre leurs propriétés à l’élément de configuration enfant.
Un autre scénario d’utilisation d’un élément de configuration enfant consiste à conserver l’héritage pour une administration précise. Par exemple, vous pouvez utiliser un élément de configuration enfant si vous avez un élément de configuration qui définit une stratégie de sécurité d’entreprise que tous les ordinateurs doivent respecter, mais que vos ordinateurs du service financier sont soumis à des exigences de sécurité supplémentaires. Dans ce cas, vous pouvez créer un élément de configuration enfant à partir de l’élément de configuration de stratégie de sécurité d’entreprise. L’élément de configuration enfant hérite de toutes les propriétés de la stratégie de sécurité d’entreprise, mais il est modifié pour contenir les exigences de sécurité supplémentaires. Si la stratégie de sécurité d’entreprise a changé, l’élément de configuration d’origine peut être modifié sans avoir à modifier l’élément de configuration pour les ordinateurs du service financier. De même, si les exigences relatives aux ordinateurs du service financier changent, seul l’élément de configuration enfant doit être modifié et non l’élément de configuration d’origine qui définit la stratégie de sécurité de l’entreprise.
Élément de configuration en double
Un élément de configuration en double est une copie exacte d’un autre élément de configuration qui ne conserve aucune relation avec l’élément de configuration d’origine. Vous pouvez donc utiliser un élément de configuration en double comme modèle pour modifier seulement quelques propriétés et conserver indépendamment les deux éléments de configuration, ou vous pouvez l’utiliser lorsque vous avez importé un élément de configuration en lecture seule (par exemple, à partir d’une base de référence de configuration des meilleures pratiques) et que vous souhaitez utiliser l’élément de configuration avec modification et ne conserver aucun héritage de l’élément de configuration d’origine.
En outre, si vous souhaitez utiliser un élément de configuration importé, mais supprimer des objets ou des paramètres (ou leurs critères de validation associés), votre seul choix de modification consiste à créer un élément de configuration en double et à modifier cet élément de configuration en double en conséquence.