Jun 01, 2015
Infrastructure, communication & collaboration
Quoi de neuf dans SCCM2012 R2 ?
Aurélien Bonnin & Mark CochraneMVP ECM & MVP ECM
vNext
[email protected] [email protected]
Stand 99
#mstechdays Infrastructure, communication & collaboration
SCCM 2012 R2 en 1 slide: découvrir & modifier
• Découvrir– L’AD: postes, users, groupes, sites, subnets– Les ressources: matériels, applications, utilisation,
statuts, codes retour, configurations
• Modifier– Stratégies– Déploiement: logiciels, scripts, signatures, patches,
masters
+ Administrer– Rôles, périmètres, rapports, scalabilité, architecture
#mstechdays Infrastructure, communication & collaboration
SCCM – maintenant c’est facile
Management points
Site server SQL
Client avancé
ReportingPoints
localDistribution
point
SMSPKGx$
Server Locatorpoint
Scan AD:ADSites, Users, Machines
Package d¶install
Console d¶admin
Ajout des ressources découvertesDDR
SMS_def.mof
Log
Log
%windir%\system32\CCM\logs
Assigne un site en automatique quand avancé et que AD pas
étendu
#mstechdays Infrastructure, communication & collaboration
• Infrastructure• Gestion client• Contenus• OSD• Settings• Compagnons
SCCM 2012 R2 - Révolution
#mstechdays Infrastructure, communication & collaboration
Modifications
• Setup: possibilité de sélectionner un emplacement spécifique (non-standard) pour les fichiers de la base du site Primaire ou CAS (sauf pour un Cluster)
• Schéma: RAS• Rapports: RBAC-isés (deux dimensions)
#mstechdays Infrastructure, communication & collaboration
Ah ok ! Finalement la sécurité dans SCCM, c’est facile…
Site Server (running under LocalSystem)
MachineDCOMCnfgCOM Security Limits Launch
& Activation permissions
LocalSecurity
Domain\user not Admin accessing a report
SERVICE_LOCATOR_POINT
SMS_REPORTING_POINT
SQL
SQLServerConfigMgrProtocols
SQL=LocalSystemOr SMSSQLAcct=Sysadmin
SQL runs under LocalSystem and machine account is in SPN List setspn -A MSSQLSvc/machine.thedomain.com:1433 machinesetspn -A MSSQLSvc/machine:1433 machine
ORSQL runs under Domain\Account and account is in SPN List setspn -A MSSQLSvc/machine.thedomain.com:1433 domain\acctsetspn -A MSSQLSvc/machine:1433 domain\acct
OR SQL runs on same machine than SMS
User has LocalActivation Thru Local « Report Users » group
(manual in Win2003sp1+)
SMS_COLLECTION_EVALUATORSMS_COMPONENT_STATUS_SUMMARIZERSMS_DISCOVERY_DATA_MANAGERSMS_SITE_COMPONENT_MANAGERSMS_SQL_MONITOR
AD
SMS_AD_XXX_DISCOVERY
HIERARCHY_MANAGER& SITE_COMPONENT_MANAGER
SiteServer machine account hasFullControl on System\System Management
(object & children)
LocalSecurity
LocalSecurity
Ports
Ports LDAP 389/389LDAP SSL 636RPC 135/135
GC LDAP 3268GC LDAP SSL 88/88
SMS WMI Provider(ROOT\SMS)
AD Securty
SQLSecurity
SMS is on the same machine or
Machine is Member of Local Security Group « SMS_SiteSystemToSQLConnection_XXX »
SPN
MP, CAP, RP & SLP Machine are members of SMS_SiteSystemToSiteServerConnection_<xxx>
Machine is Member of « SMS_SiteToServerstoSiteSystems »
Named pipes=ON
Remote consoleUser has Remote Activation rightThru local « SMS Admins » group
(manual in Win2003sp1+)
SiteSystem
IUSR_Machine$ (invité Internet)Has LocalActivation right(manual in Win2003sp1+)
LocalSecurity
LocalSecurity
Machine is Member of « SMS_SiteToSiteConnecion_XXX »
Any Site in the SiteServer¶s
SiteAddress List Machine is Member of « SMS_SiteToSiteConnecion_XXX »
DCOMComponentRights
DCOMComponentRights
SecondarySite
Remote Install Secondary
LocalSecurityUser or Machine must be
local administrator
Push Client
LocalSecurityCARCA or Server$ is
local adminAND
XP\Admin$ exists (File & Print share must be enabled if XPSP2)
Client(LocalSystem)
WMISecurity
ConsoleUser is member of « SMS Admins » group
#mstechdays Infrastructure, communication & collaboration
Bienvenue au « CRP »
• Certificate Registration Point– Enrôlement des périphériques Windows sans
passer par l’AD– Requiert ADDS sur un Windows 2012 R2 et une
extension
#mstechdays Infrastructure, communication & collaboration
Côté Client
• Wizard Mac installe le certificat (évite le CMEnroll)• Wizard de renouvellement de certificat pour Mac • Embedded : support de certains Unified Write
Filter• Wake-Up proxy: Power Management / Firewall
exception for wake-up proxy• /ExcludeFeatures:ClientUI• Clic-droit/Reassign
#mstechdays Infrastructure, communication & collaboration
Collection automne-hiver
• Fenêtre de maintenance– Task sequences– Software updates– Général
• Les mises à jour respectent la SUMW en priorité
• RSoS: Visualisation des paramètres en respectant l’ordre de priorité
#mstechdays Infrastructure, communication & collaboration
Software updates
• Possibilité de changer le deployment package– Comme les nouvelles MAJ sont ajoutées au même SUPKG,
la taille peut devenir un problème – En cas de nouveau DP, le transfert peut devenir très(trop)
lourd
• « Test » des ADR– Prévisualisation des correctifs répondant aux critères et aux
filters– Depuis le Wizard et depuis l’onglet Software Updates
d’une ADR
#mstechdays Infrastructure, communication & collaboration
Software Updates
• Démo
#mstechdays Infrastructure, communication & collaboration
Ah ok ! Software Updates – maintenant c’est facile…
Windows Update
Active SUP
Sites/ActiveSUP/SiteCompon
ents/SUP
Library/SoftUpd/ All sw Updates
Manual selection
Automatic deployment
rule
SW Update groupDeployment
package
Distribution Point Content Lib
Client device policy
criteria
Target Collection
Package Source
Deployment
Download location
Updates
WSUS
#mstechdays Infrastructure, communication & collaboration
App management
• Nouveau DT: Web applications (raccourci dans le menu Démarrer ou dans l’écran d’accueil)
• Modification du DT « Windows app package » pour reconnaître les « .appxbundle » (app+ ressources)
• Option « appli favorite » qui met en avant l’application dans le CompanyPortal
• Option « privacy link » consultable avant installation
• Une application peut être associée à une connexion VPN et la déclencher lors de son lancement
#mstechdays Infrastructure, communication & collaboration
App Management
• Démo
#mstechdays Infrastructure, communication & collaboration
Content management• Pull DP
– contactent désormais leurs DP sources selon des priorités (Si 1=échec, alors 2; Si 2= échec, alors 3…)– Envoient leurs statuts (auparavant, le DISTMGR du siteserver venait interroger chaque Pull-DP)
• Monitoring/Distribution/<contenu>/ViewStatus/AssetDetails/Clic = View, Cancel, Redistribute
• Nouveau rapport « Distribution point usage summary »
• Possibilité de configurer plusieurs « Network Access Accounts » par site
• BranchCache reprend un transfert interrompu à l’octet près
• Calcul dynamique (à chaque envoi de contenu) de la bande passante. Le résultat sert à prioriser les envois ultérieurs (pour que le plus de DP possible l’aient au plus vite)
• Validation des contenus : appel WMI du DP par lots de 50 fichiers (au lieu de 1 dans 2012)
#mstechdays Infrastructure, communication & collaboration
Content Management
• Démo
#mstechdays Infrastructure, communication & collaboration
OSD
• Support de Windows Server 2012 R2 et Windows 8.1• Retro-compatibilité des boot images « WAIK » et de WinPE 3.1. • Support PXE pour les « BIOS » IA32 UEFI. • Création d’un prestage de TS en un clic (sans passer sur chaque
dépendance une par une)• Gestion de VHD
– Depuis une console CM installée sur un Hyper-V– Compatible VMM
• Nouvelles étapes de task sequence : Run PowerShell Script, Check Readiness & Set Dynamic Variables
• Nouvelles variables de TS
#mstechdays Infrastructure, communication & collaboration
Ah OK ! OSD – maintenant PXE c’est facile…
PXE RomLegacy card
Broadcast UDP67: DHCP Discover(Option60 set)
PXE(smspxe.log)
TCP1433: exec NBS_Lookupdevice(client unknown ? Does it exists in dbo.system_disc or
unknownsystem_disc)
TCP1433: exec NBS_GetPXEBootAction(bootfile to send = ?)
Broadcast UDP67: DHCP Discover(ReadyToAck IP & bootServer)
UDP68: DHCPOffer(IP address)
Broadcast UDP68: DHCPAck(Ack IP & lease)
Unicast UDP4011: DHCP Request(Ask for bootserver(66) & bootfile(67) )
UDP68: DHCPOffer(Option60 set)
DHCP (option60 if also PXE)
UDP69: DHCPAck(Option66 & Option67 + WDSNBP)
Unicast UDP4011: DHCP Request(Option250 (architecture) + Ask for bootserver(66)
& bootfile(67) )
SQL
TFTP : GET bootfile
http:<dp>/sms_dp_smspkg$/<pkgid>/<winpe.wim>
Bootserver(66) = <dp_with_pxe>Bootfile(67) = \smsboot\<archi>\<bootfile>
(in <PXEDP><WDSRemoteInstallDir>
Bootfile(67)= « pxeboot.com » bootserver(66) = <pxedp>
WDSNBP
bootfile
WinPE
ClientLookupReply: Unknown=1 ou bien ItemKey=<resourceid>
MP
DP
TFTP : GET wdsnbp.com
Get TaskSequenceSteps & dependencies
DP
Download TaskSequenceDependencies (using NetworkAccessAccount)
Windows
Download TaskSequenceDependencies (using NetworkAccessAccount)
CaptureShareCapture & WriteCaptured WIM(using account specified in TS task)
Select * from V_RA_System_MACAddresses where MAC_Addresses0='00:06:30:00:15:72'If duplicate (one obsolete) and the TS targets the bad one: abortpxe.com
MAC@ still in cache ?
#mstechdays Infrastructure, communication & collaboration
Certificate profiles• Protocole SCEP (Simple Certificate Enrollment
Protocol). – Utilisables pour Wi-Fi & VPN.– iOS, Windows 8.1, Windows RT 8.1, Android.– Déploiement du root et des intermédiaires chaine de trust
• CRP en haut de la hiérarchie– Configuration Manager Policy Module (sur un W12R2)– ADCS– Network Device Enrollment Service role– Publié sur Internet– Communique avec la CA
#mstechdays Infrastructure, communication & collaboration
Remote connection profiles
• RDS, VDI• Applications publiées• Accès depuis internet• Accès possible hors domaine
#mstechdays Infrastructure, communication & collaboration
VPN profiles
• Provisioning pour accéder aux réseaux Corp– Paramètres– Certificats
• Plateformes– iOS, Windows 8.1, Windows RT et Windows RT
8.1.
#mstechdays Infrastructure, communication & collaboration
Wifi profiles
• Provisioning pour accédr aux WiFis Corp– Paramètres– Certificats
• Plateformes– iOS, Windows 8.1, Windows RT 8.1 et Android.
#mstechdays Infrastructure, communication & collaboration
Mobiles
• ClientSettings pour mobiles– Pas dans ClientSettings mais dans… – Asset&C / Compliance Settings / ConfigItems /
new / type=mobile– Intègre les settings d’iOS 7
• Enrôlement– Android via GooglePlay– iOS via AppStore
#mstechdays Infrastructure, communication & collaboration
Mobile devices
• Déploiement obligatoires configurer une échéance• Wipe & Retire peuvent être réservés aux contenus
Corp• Le mobile peut être personnel ou société (change
ownership)– Ni dans le domaine– Sans agent
• Inventaires full (si device de société) / apps société uniquement (si perso)– Si ni client CM ni domaine, Intune
#mstechdays Infrastructure, communication & collaboration
Extensions Intune
• Au fur et à mesure de leur disponibilité– Extensions Intune sont proposées dans la
console– Exemple: email profiles
• Provisioning pour Exchange ActiveSync– Profils– Restrictions
• iOS & Windows Phone 8.
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
#mstechdays Infrastructure, communication & collaboration
MDM
• Démo
#mstechdays Infrastructure, communication & collaboration
Toolkit R2
• Démo
#mstechdays Infrastructure, communication & collaboration
Support Center
• Démo
#mstechdays Infrastructure, communication & collaboration
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business