System Center Configuration Manager transforme la gestion de centaines ou milliers de machines en processus fluide et automatisé. Depuis plus de 30 ans, Microsoft affine cet outil utilisé par 75 % des PC d’entreprise à travers le monde. SCCM couvre l’intégralité du cycle de vie des équipements : inventaire matériel, protection antivirus, distribution d’applications, déploiement de systèmes d’exploitation et gestion des mises à jour depuis une console unique.
Qu’est-ce que SCCM et son évolution ?
Définition et présentation
SCCM ou ConfigMgr constitue la pierre angulaire de la suite System Center de Microsoft. Cette solution d’administration gère massivement et automatiquement des tâches administratives répétitives sur des milliers de postes de travail, serveurs et périphériques mobiles depuis une console unique.
SCCM intègre des mécanismes sophistiqués d’automatisation, de reporting avancé et de déploiement intelligent. L’outil définit un état de configuration désiré pour l’ensemble du parc, puis vérifie automatiquement la conformité de chaque machine. La plateforme gère l’inventaire matériel et logiciel, déploie des mises à jour de sécurité, installe des systèmes d’exploitation complets, contrôle les postes à distance et assure la protection contre les malwares via System Center Endpoint Protection intégré.
De SMS à Microsoft Endpoint Configuration Manager
L’histoire débute le 7 novembre 1994 avec Systems Management Server (SMS), l’une des premières certifications Microsoft (numéro 70-014). SMS 2.0 puis SMS 2003 ont apporté l’intégration avec Windows Server Update Services (WSUS) et la technologie BITS pour optimiser la bande passante.
En 2007, SMS devient System Center Configuration Manager pour intégrer la famille System Center. SCCM 2012 a introduit le support de Windows 8 et l’intégration cloud avec Windows Intune. SCCM 2016 a apporté le support complet de Windows 10 et le déploiement sur Azure.
En 2019, Configuration Manager est devenu Microsoft Endpoint Configuration Manager (MECM), s’intégrant dans Microsoft Endpoint Manager aux côtés d’Intune. En 2025, System Center 2025 (novembre 2024) apporte des améliorations de sécurité majeures comme le support de TLS 1.3.
Fonctionnalités principales de Configuration Manager
Déploiement d’applications et mises à jour
SCCM crée des packages d’applications sophistiqués intégrant conditions de déploiement, dépendances entre logiciels et règles de détection intelligentes. Vous disposez d’un déploiement obligatoire automatique selon un calendrier, ou d’un déploiement disponible dans le Centre Logiciel accessible aux utilisateurs.
SCCM s’intègre avec WSUS pour synchroniser et distribuer les correctifs Microsoft. Les Règles de Déploiement Automatique (ADR) automatisent entièrement le processus : définition des critères, planification du téléchargement, création automatique de groupes et déploiement selon des fenêtres de maintenance précises. Vous pouvez gérer des mises à jour tierces (Adobe, Dell, Citrix) grâce à System Center Updates Publisher (SCUP).
Le système de reporting offre 34 rapports prédéfinis pour suivre les taux de conformité par collection, identifier les machines en échec avec codes d’erreur précis, et consulter l’historique détaillé de déploiement.
Inventaire et gestion du parc informatique
L’inventaire matériel collecte des informations exhaustives : type et nombre de processeurs, mémoire RAM, capacité des disques durs, cartes réseau, écrans et état de batterie. L’inventaire logiciel identifie toutes les applications installées pour optimiser les coûts de licences et garantir la conformité légale.
Asset Intelligence catégorise automatiquement les logiciels détectés, identifie les éditeurs, et suit l’utilisation réelle via le Software Metering. Vous pouvez déterminer quels logiciels sont effectivement utilisés versus ceux qui occupent inutilement de l’espace disque.
Les collections dynamiques créent des groupes de machines selon des critères précis (exemple : « tous les ordinateurs portables Dell avec moins de 8 Go de RAM exécutant Windows 10″). SCCM intègre également le suivi de l’historique complet de chaque machine : date d’acquisition, affectation aux utilisateurs, modifications matérielles et interventions techniques.
Distribution des systèmes d’exploitation
SCCM déploie Windows de manière totalement automatisée via des séquences de tâches orchestrant : partitionnement des disques, installation de l’OS, injection des pilotes, installation des applications et configuration des paramètres système.
SCCM supporte plusieurs scénarios :
- Bare metal : installation sur machines vierges
- Refresh : réinstallation complète en préservant les données utilisateur
- Mise à niveau : passage d’une version Windows à une autre en conservant applications et données
- Capture et restauration : sauvegarde et restauration de l’état d’une machine
L’intégration avec Windows Deployment Services (WDS) permet les déploiements par réseau via PXE boot. SCCM injecte automatiquement les pilotes appropriés selon le modèle de machine détecté.
Protection et contrôle à distance des postes
System Center Endpoint Protection fournit une protection antivirus et anti-malware complète, directement gérée depuis la console SCCM. Le contrôle à distance permet aux techniciens d’accéder aux postes utilisateurs pour du support technique sans se déplacer.
Wake-on-LAN réveille automatiquement des machines éteintes avant l’exécution d’une tâche planifiée, puis les ré-éteint. La gestion de l’alimentation centralise le contrôle de la consommation énergétique avec des plans adaptés (haute performance pour développement, économie d’énergie pour machines standard).
Les paramètres de conformité vérifient automatiquement que toutes les machines respectent l’état de configuration désiré (pare-feu Windows activé, chiffrement BitLocker opérationnel, clés de registre critiques non modifiées).
Architecture, prérequis et installation
Composants et hiérarchie des sites SCCM
Le site primaire constitue l’unité de base hébergeant la base de données SQL Server contenant toutes les informations de configuration, données d’inventaire et métadonnées de contenu.
Pour les grandes organisations multi-sites, un site d’administration centrale (CAS) coordonne plusieurs sites primaires enfants, gérant des centaines de milliers de clients répartis géographiquement. Les sites secondaires agissent comme relais locaux pour les emplacements distants connectés par liaisons WAN limitées.
Les points de distribution constituent le réseau de diffusion du contenu. Ces serveurs IIS stockent les packages, mises à jour et images d’OS pour que les clients téléchargent depuis un emplacement réseau proche.
Le SMS Provider traduit les actions effectuées dans la console en requêtes SQL et opérations système. Autres rôles système :
- Point de gestion : interface principale entre clients et serveur de site
- Point de mise à jour logicielle : intégration avec WSUS
- Point de migration d’état : stockage temporaire des données utilisateur lors des migrations d’OS
- Point de services de rapport : hébergement des rapports SQL Server Reporting Services
Prérequis techniques (Active Directory, SQL Server)
Active Directory constitue le socle fondamental. SCCM exploite AD pour la découverte automatique des machines et utilisateurs, la gestion de la sécurité basée sur les groupes, et la publication des informations de site. L’extension du schéma AD via extadsch.exe permet à SCCM d’enregistrer ses propres classes et attributs.
SQL Server héberge les bases de données critiques. System Center 2025 prend en charge SQL Server 2019 (avec CU8 minimum), SQL Server 2022 et versions ultérieures. Composants SQL requis : Database Engine, SQL Server Reporting Services (SSRS), SQL Server Analysis Services (SSAS) en mode multidimensionnel, et Full-Text Search.
Windows Server Update Services (WSUS) doit être installé sur le serveur hébergeant le point de mise à jour logicielle. Pour un site gérant 25 000 clients, Microsoft recommande minimum 16 Go de RAM et 4 cœurs de processeur. Les grands déploiements nécessitent 96 Go de RAM ou plus pour plus de 150 000 clients.
Étapes d’installation et configuration
Phase 1 : préparation de l’environnement
L’outil Prerequisite Checker identifie automatiquement les éléments manquants. L’extension du schéma AD s’effectue en exécutant extadsch.exe depuis SMSSETUP\BIN\X64. Vérifiez les logs dans C:\ExtADSch.log pour confirmer le succès.
Phase 2 : installation du serveur de site
Lancez Setup.exe depuis la racine du média SCCM et sélectionnez « Installer un site principal Configuration Manager ». L’assistant guide à travers : acceptation des termes, saisie de la clé produit (ou version d’évaluation 180 jours), choix des composants, configuration du code de site (trois caractères uniques) et du nom du site.
Phase 3 : configuration initiale
Activez la découverte des ressources Active Directory pour peupler automatiquement la base de données. Configurez les limites de site définissant les segments réseau appartenant au site SCCM (plages IP, sous-réseaux ou sites Active Directory).
Le pouvoir de la carte : le SIG, un outil clé. Tout connaître du Système d’Information Géographique.
Phase 4 : déploiement du client SCCM
L’installation Push permet de déployer automatiquement le client sur tous les ordinateurs découverts. Alternativement, les stratégies de groupe (GPO) permettent un déploiement automatique lors de la connexion des machines au domaine.
Phase 5 : vérification et validation
Vérifiez le bon fonctionnement via le tableau de bord du statut client. Les logs CCMSetup.log et ClientIDManagerStartup.log confirment l’installation réussie. Créez des collections de test pour valider les déploiements avant extension au parc complet.
Administration via la console Configuration Manager
Interface et espaces de travail
La console Configuration Manager s’organise en espaces de travail structurant logiquement les fonctionnalités.
L’espace Actifs et conformité centralise les collections de machines et d’utilisateurs, les paramètres de conformité, les profils de configuration et la gestion des appareils mobiles. L’espace Bibliothèque de logiciels héberge tous les contenus déployables : applications, packages, pilotes, images d’OS et mises à jour. L’espace Surveillance fournit une visibilité en temps réel sur l’état de l’infrastructure et des déploiements.
Le volet de recherche localise rapidement n’importe quel objet dans la base de données. La sécurité basée sur les rôles limite l’accès de chaque administrateur aux fonctionnalités et collections nécessaires.
Gestion des applications et packages logiciels
Le modèle moderne d’applications encapsule plusieurs types de déploiement correspondant à différentes versions ou architectures du même logiciel. Les méthodes de détection permettent à SCCM de déterminer si le logiciel est déjà installé (règles basées sur registre, fichiers ou scripts PowerShell).
Les exigences spécifient les conditions préalables : version minimale d’OS, quantité de RAM, espace disque ou présence d’autres logiciels. Les dépendances établissent des relations entre applications : SCCM déploie automatiquement les prérequis en premier.
Le catalogue d’applications offre une expérience self-service via le Centre Logiciel. Les séquences de tâches enchaînent automatiquement plusieurs actions : installation de logiciels, modification de paramètres, redémarrage et vérification post-installation.
Administration des mises à jour et correctifs
Les Règles de Déploiement Automatique (ADR) définissent des critères de sélection automatique (exemple : « tous les correctifs de sécurité critiques publiés dans les 7 derniers jours pour Windows 10 et Office 365″). SCCM exécute cette règle selon un calendrier (généralement mercredi suivant le Patch Tuesday), crée automatiquement le groupe de mises à jour, télécharge le contenu et lance le déploiement.
Les fenêtres de maintenance empêchent les redémarrages intempestifs. Le pilotage progressif valide les mises à jour sur un sous-ensemble avant déploiement massif :
- Phase pilote : 50 machines représentatives, déploiement immédiat
- Phase 1 : 20 % du parc après validation pilote
- Phase 2 : 80 % restant après validation phase 1
Le reporting de conformité affiche le pourcentage de machines à jour, identifie les équipements en retard et détaille les raisons d’échec.
SCCM vs WSUS et intégration avec Microsoft Intune
Différences entre SCCM et WSUS
Windows Server Update Services (WSUS) constitue une solution gratuite intégrée à Windows Server distribuant les mises à jour Microsoft. WSUS suffit pour une PME avec un parc homogène Windows sans besoins avancés.
Comparaison SCCM vs WSUS :
| Critère | WSUS | SCCM |
|---|---|---|
| Ciblage des machines | Groupes basiques via AD | Collections dynamiques sophistiquées |
| Fenêtres de maintenance | Non supportées | Configuration granulaire par collection |
| Reporting | Rapports basiques | 34 rapports détaillés + personnalisation SQL |
| Mises à jour tierces | Support limité via extensions | Intégration native avec SCUP |
| Gestion multi-sites | Nécessite plusieurs serveurs WSUS | Points de distribution centralisés |
| Contrôle du déploiement | Approbation manuelle par mise à jour | Règles automatiques sophistiquées |
| Désinstallation des mises à jour | Non supportée | Possible via la console |
SCCM ne remplace pas WSUS mais l’enrichit. SCCM utilise WSUS comme moteur de synchronisation sous-jacent, ajoutant une couche d’orchestration, d’automatisation et de contrôle. WSUS suffit uniquement si vous gérez moins de 200 postes Windows exclusivement, sans besoins de reporting avancé ni gestion multi-sites complexe.
Co-management et gestion mobile (MDM)
Le co-management permet de gérer simultanément un appareil Windows 10/11 via SCCM et Microsoft Intune. L’activation commence par l’inscription des appareils dans Intune tout en conservant le client SCCM existant via Azure AD Hybrid Join.
Vous pouvez basculer sélectivement des charges de travail entre SCCM et Intune : politiques de conformité, Windows Update, applications Click-to-Run Office 365, protection des points de terminaison, configuration des appareils, et applications clientes. Pour chaque charge, vous choisissez l’autorité : SCCM, Intune, ou mode pilote.
Le Cloud Management Gateway (CMG) hébergé dans Azure permet aux machines hors réseau corporate de communiquer avec SCCM sans VPN.
Compatibilité multiplateforme
Support Windows, macOS, Linux et appareils mobiles
System Center 2025 supporte pleinement Windows 11 24H2 et Windows Server 2025, profitant du hotpatching qui permet d’appliquer des correctifs de sécurité sans redémarrage.
Le support macOS via un client dédié permet l’inventaire matériel et logiciel. Limitations : pas de déploiement d’OS complet, pas de gestion native des mises à jour macOS, capacités de reporting moins détaillées.
System Center 2025 supporte Linux : Ubuntu Linux 24.04, 22.04 et 20.04, Red Hat Enterprise Linux (RHEL) 9.x et 8.x, SUSE Linux Enterprise Server (SLES) 15 SP4+, Debian 13 et 12, Oracle Linux 9.x, Rocky Linux 9 et 8. Le client Linux permet l’inventaire, le déploiement de packages et scripts, et la gestion de la conformité.
Android vs iOS : Les deux systèmes d’exploitation les plus utilisés sur smartphone.
Les appareils iOS, iPadOS et Android s’inscrivent dans Intune, puis apparaissent dans la console SCCM si le co-management ou tenant attach est configuré. Les politiques mobiles contrôlent : restriction d’applications, configuration Wi-Fi et VPN, exigences de mot de passe, chiffrement et effacement à distance.
Avantages, tarification et formation
Bénéfices pour l’entreprise
Sans SCCM, déployer une application sur 500 postes nécessiterait des jours de travail. Avec SCCM, cette opération se configure en quelques minutes et s’exécute automatiquement pendant la nuit.
SCCM garantit que les correctifs de sécurité critiques se déploient rapidement et uniformément. Les rapports de conformité identifient immédiatement les machines vulnérables pour une remédiation proactive. La standardisation élimine les variations anarchiques entre postes.
L’inventaire automatisé identifie les machines obsolètes, détecte les logiciels non autorisés, et optimise l’utilisation des licences. Le Centre Logiciel permet aux employés d’installer eux-mêmes les applications approuvées, éliminant l’attente du helpdesk.
Une étude de Gartner estime que SCCM réduit de 30 à 40 % les coûts d’exploitation IT par rapport à une gestion manuelle ou décentralisée.
Licences et coûts
System Center Configuration Manager fait partie de la suite System Center, disponible en deux éditions.
System Center Standard Edition permet de gérer jusqu’à deux environnements de système d’exploitation (OSE) ou conteneurs Hyper-V par licence. System Center Datacenter Edition autorise un nombre illimité d’OSE ou de conteneurs Hyper-V.
Le licensing suit un modèle basé sur les cœurs. Chaque processeur physique nécessite une licence pour minimum 8 cœurs. Chaque serveur physique requiert au minimum 16 cœurs licenciés.
Exemple : un serveur avec 2 processeurs de 12 cœurs chacun nécessite 12 licences 2-cœurs System Center. Si Standard Edition coûte environ 1 300 € par licence 2-cœurs, l’investissement initial atteint environ 15 600 €.
Les Client Management Licenses (CML) s’ajoutent pour chaque poste géré : Per User CML (licence par utilisateur) ou Per Device CML (licence par appareil). Le prix public des CML tourne autour de 50 à 60 € par utilisateur ou device. Les organisations disposant de licences Microsoft 365 E3 ou E5 bénéficient souvent de droits System Center inclus.
Microsoft propose une version d’évaluation gratuite de 180 jours. Pour une organisation de 1 000 postes, le coût total peut atteindre 80 000 à 120 000 €. Le retour sur investissement se matérialise généralement dans les 18 à 24 mois.
Formations et certifications
Les formations officielles Microsoft couvrent l’installation, la configuration et l’administration quotidienne sur 5 jours intensifs. Le tarif moyen oscille entre 3 000 et 3 500 € HT pour les 5 jours.
La certification Microsoft 365 Certified: Endpoint Administrator Associate remplace les anciennes certifications SCCM. Pour l’obtenir, vous devez réussir l’examen MD-102 (Endpoint Administrator) validant vos compétences en déploiement d’OS, gestion d’applications, sécurité des endpoints et co-management.
Microsoft Learn propose des parcours gratuits d’apprentissage auto-rythmé. Des plateformes comme CBT Nuggets, Pluralsight et Udemy offrent des cours vidéo détaillés. La communauté SCCM (/r/SCCM sur Reddit, TechNet forums, blogs de MVP) partage régulièrement astuces, scripts et solutions.
Montez un laboratoire de test dans un environnement virtualisé. Microsoft fournit des machines virtuelles d’évaluation gratuites. Configuration Manager évolue avec trois versions par an (modèle Current Branch).
0 commentaires