Vous devez patcher, inventorier et piloter 6 000 PC Windows 10/11 hors domaine ? Ce guide détaille comment acheter et déployer SCCM (Microsoft Endpoint Configuration Manager) en environnement workgroup, les coûts à prévoir, l’architecture cible et un plan d’exécution pas à pas.
Sommaire
Vue d’ensemble du besoin
Objectifs de l’organisation :
- Distribuer les mises à jour Windows avec maîtrise des anneaux et du reporting de conformité.
- Déployer des exécutables (.exe, .msi, scripts) avec détection et relance.
- Tenir un inventaire matériel/logiciel exploitable (requêtes, rapports, alertes).
- Appliquer des stratégies (pare‑feu, services, configuration client) sur 6 000 postes Windows 10/11 en workgroup couvrant plusieurs succursales.
Réponse courte
- SCCM couvre tous les besoins (mises à jour, déploiement, inventaire, télé‑assistance, reporting) y compris pour des clients hors domaine. Certaines fonctions orientées utilisateur (ciblage par identités AD) sont limitées.
- Coûts : licence serveur System Center (Standard ou Datacenter) + une CML par appareil ou par utilisateur. Les montants varient selon votre contrat, avec des prix publics indicatifs détaillés plus bas.
- Joindre à un domaine ? Non, pas obligatoire. Cela simplifie toutefois la découverte, l’authentification et l’exploitation quotidienne.
Ce que SCCM apporte en environnement workgroup
| Besoin | Fonction SCCM | Particularités en workgroup | Docs Microsoft |
|---|---|---|---|
| Correctifs OS | Software Update Point (WSUS intégré), ADR, rapports de conformité | OK. Le client récupère le contenu via un Network Access Account (NAA) si aucun contexte d’utilisateur. | Plan des rôles & SUP |
| Déploiement d’EXE | Applications / Packages, Conditions de détection, Remplacements | Aucune limite spécifique liée au workgroup. | Fonctionnalités MECM |
| Inventaire & rapports | Hardware/Software Inventory, Asset Intelligence, CMPivot | Fonctionne normalement (requêtes par collections et attributs matériels/logiciels). | Asset Intelligence & Inventaires |
| Télé‑assistance | Remote Control (visionnage/prise de main) | Pas de Remote Assistance intégré pour des clients non‑domaine. Le module Remote Control SCCM reste disponible. | Remote Control |
Spécificités du hors domaine à connaître
- Découverte AD : non applicable pour des PC non jointés. On déploie le client
CCMSetup.exepar script, outil tiers, image, ou manuel (voir scripts plus bas). - Résolution du point de gestion (MP) : via DNS (recommandé) ou liste statique fournie au client (
SMSMP//mp:). - Authentification & chiffrement : activer Enhanced HTTP sur le site ou déployer une PKI. Obligatoire si gestion Internet ou usage d’un Cloud Management Gateway (CMG) pour des machines non jointes à Azure AD.
- Fonctions absentes/réduites : ciblage basé utilisateur AD, roaming de profils utilisateur, et certaines intégrations AD.
- Sites distants : CMG évite le VPN pour la gestion Internet. Alternativement, points de distribution (DP) locaux, Peer Cache et BranchCache réduisent la bande passante WAN.
Licensing et coûts – repères 2025
Prix publics indicatifs (susceptibles d’évoluer selon votre programme de licences) :
| Licence | Usage | Repère MSRP (US$) | Notes |
|---|---|---|---|
| System Center Server ML Standard | 16 cœurs, ≤ 2 VM/hôte | ≈ 1 323 $ | Inclut les droits SQL Server Standard pour SCCM et System Center. |
| System Center Server ML Datacenter | 16 cœurs, VM illimitées | ≈ 3 607 $ | À privilégier si forte densité de virtualisation. |
| Client Management License (CML) | par appareil | ≈ 62 $ | Couvre le droit d’usage du client SCCM et Endpoint Protection. |
| Client Management License (CML) | par utilisateur | ≈ 132 $ | Utile si un utilisateur utilise plusieurs appareils. |
Règles pratiques : seules les machines gérées doivent être licenciées côté client. Le binaire SCCM et SQL Server Standard nécessaires à SCCM sont inclus avec la Server ML. Validez néanmoins votre éditeur/agrégateur pour le chiffrage contractuel.
Exemple de budget synthétique (ordre de grandeur)
| Poste de coût | Hypothèse | Montant estimatif | Commentaires |
|---|---|---|---|
| CML par appareil | 6 000 × 62 $ | ≈ 372 000 $ | Selon contrat, remises volume fréquentes. |
| Server ML | 2 hôtes (Standard) × 1 323 $ | ≈ 2 646 $ | Peut basculer en Datacenter si densité VM élevée. |
| Azure CMG | Consommation + trafic (12 mois) | ≈ 5 000–15 000 $ | Très dépendant du volume de contenu/updates via Internet. |
| Infra Windows Server | OS + hébergement | Variable | Souvent déjà couvert par vos licences serveur/virtualisation. |
Astuce : commencez par le modèle par appareil. Si vos utilisateurs cumulent plusieurs PC, simulez ensuite la bascule par utilisateur.
Architecture recommandée
Prérequis : Windows Server 2022/2025, Configuration Manager 2403+ (ou version courante prise en charge), SQL Server 2022. Les serveurs SCCM restent idéalement jointés au domaine (même si les postes ne le sont pas).
| Composant | Rôle | Recommandation |
|---|---|---|
| Site primaire (CAS non requis) | Gestion de 6 000 clients | 1 site primaire unique suffit, haute disponibilité SQL optionnelle. |
| Management Point (MP) | Communication client <‑> serveur | 2 MPs pour résilience. DNS et certificats configurés. |
| Distribution Point (DP) | Distribution de contenu | 1‑N DPs centraux + DPs distants clés. Activer Pull DP là où utile. |
| Software Update Point (SUP) | Métadonnées WSUS + contenu | 1 SUP dédié, idéalement séparé du MP. Maintenance WSUS planifiée. |
| Cloud Management Gateway (CMG) | Gestion via Internet | Optionnel. Recommandé si succursales sans VPN ou nomades. |
| SQL Server | Base de données du site | SQL 2022 Standard (inclus avec System Center) dimensionné pour ~6k clients. |
Dimensionnement de départ
- Site/MP/SUP : 8 vCPU, 32 Go RAM, stockage rapide (250–500 Go) + volumes séparés pour logs/DB/tempDB.
- DP central : 8 vCPU, 32 Go RAM, 1–2 To pour la Content Library. Activer Microsoft Connected Cache si co‑gestion/Intune envisagée.
- DP de succursale : 4 vCPU, 16 Go RAM, 300–500 Go selon le cache souhaité. À défaut de DP, utiliser Peer Cache/BranchCache sur quelques « super‑pairs ».
Frontières et groupes de frontières
- Définir des frontières par sous‑réseaux (CIDR) ou plages IP par succursale.
- Associer chaque groupe de frontières à son ou ses DPs et MPs.
- Activer la fallback vers le DP central avec un délai (p. ex. 120 min) pour éviter le trafic WAN si le DP local est indisponible.
Gestion hors domaine : ce qui change concrètement
Network Access Account (NAA)
Le NAA est un compte de domaine stocké dans SCCM (chiffré) utilisé par le client pour lire du contenu sur les DPs lorsqu’il n’y a pas de contexte utilisateur. Bonnes pratiques :
- Créer un compte dédié (ex.
DOMAINE\naa_sccm), droits lecture seule sur la Content Library des DPs. - Rotation du mot de passe et monitoring des usages.
- Limiter ce compte à l’accès contenu : aucun droit administratif sur SCCM/serveurs.
Certificats, HTTPS et sécurité
- Enhanced HTTP : suffisant pour un parc on‑premises avec communications chiffrées et simplifiées.
- PKI : requis si vous gérez des postes via Internet non joints à Azure AD, ou si votre politique impose l’authentification par certificats.
- CMG & identité : pour des postes Azure AD joined, CMG fonctionne sans PKI côté client. Pour des workgroups non AAD, prévoyez PKI.
Découverte & installation du client
Sans AD, privilégiez une installation poussée du client avec les paramètres du site :
\\serveur\source\ccmsetup\ccmsetup.exe /mp:mp.intra.exemple.fr SMSSITECODE=PR1 SMSMP=mp.intra.exemple.fr CCMENABLELOGGING=1 CCMLOGMAXSIZE=5242880
Variantes utiles :
/source:\\serveur\source\ccmsetuppour éviter un premier téléchargement depuis Internet.DNSSUFFIX=exemple.frsi vous devez forcer le suffixe DNS.CCMALWAYSINF=0(valeur par défaut : gestion intranet).
Outils de déploiement possibles : PSExec, PDQ Deploy, RMM existant, script de connexion local, image de poste, ou un exécutable signé diffusé par vos équipes terrain.
Plan d’implémentation recommandé
- Architecture & bases : installer le site primaire (Windows Server 2022/2025, SQL 2022), créer MP/DP/SUP. Activer Enhanced HTTP ou déployer PKI. Créer le Network Access Account.
- Frontières : modéliser les sous‑réseaux des succursales, créer les groupes de frontières et lier DP/MP.
- Collections : par site, par criticité (VIP/standard), par anneau de patch (Pilote/Prod), par type de matériel.
- Client : empaqueter
ccmsetupet le déployer à un panel pilote (2–3 % du parc), puis à l’échelle. - Updates : configurer SUP (produits Windows 10/11, classifications Sécurité), créer des ADR (Pilote J+3, Production J+10), fenêtres de maintenance et alertes de conformité.
- Applications : modéliser vos .exe en Applications avec règles de détection. Définir l’ordre, les dépendances et les relances.
- Inventaire : activer matériel/logiciel, Asset Intelligence. Valider les rapports clés (top éditeurs, logiciels interdits, BIOS non à jour).
- Télé‑assistance : activer Remote Control via les paramètres client. Tester la prise en main entre sites.
- CMG (optionnel) : si besoin de gestion Internet, créer la CMG et basculer par collections éligibles (nomades/succursales sans VPN).
- Exploitation : former N1/N2, documenter le runbook, définir les KPI et le calendrier de maintenance (WSUS, SQL, sauvegardes SCCM).
Anneaux de mise à jour (exemple)
| Anneau | Population | Déploiement | Fenêtre de maintenance | Fallback |
|---|---|---|---|---|
| Pilote | 3 % (~180 postes) | J+3 après Patch Tuesday | 22:00–06:00 local | J+5 si échec |
| Production A | 47 % (~2 820) | J+10 | 22:00–06:00 | J+12 |
| Production B | 50 % (~3 000) | J+17 | 22:00–06:00 | J+19 |
Bonnes pratiques pour 6 000 postes
- Collections statiques minimales, privilégier des règles basées sur attributs (site, version Windows, type d’équipement).
- Limitez les évaluations de collection (planification décalée, pas de « Every 5 minutes » hors raison).
- Peer Cache et BranchCache pour les petites succursales sans DP, avec 1–2 super‑pairs par site.
- Pré‑remplissage des DPs pour les mises à jour mensuelles et les apps critiques. Évitez le « tout à la fois » le Patch Tuesday.
- Maintenance WSUS : nettoyage des métadonnées, compression, déclin des updates obsolètes.
- Gouvernance des applications : règles de détection robustes, désinstallation propre (scripts uninstall testés).
- Surveillance : tableaux de bord (compliance updates, versions BIOS/UEFI, couverture client), alertes sur dérives.
Journalisation et diagnostic
| Contexte | Logs côté client | Que chercher |
|---|---|---|
| Installation du client | ccmsetup.log, client.msi.log | Succès Return code 0, résolution du MP, téléchargement sources. |
| Localisation du site/MP | ClientLocation.log, LocationServices.log | Attribution site, endpoints de management (HTTP/HTTPS). |
| Contenu | CAS.log, ContentTransferManager.log | Sources de contenu, BITS, erreurs de DP. |
| Applications | AppDiscovery.log, AppEnforce.log | Détection, code retour installateur, relance. |
| Mises à jour | WUAHandler.log, UpdatesDeployment.log, UpdatesHandler.log, CIAgent.log | Évaluation, téléchargement, installation, redémarrage. |
| Télé‑assistance | rcsvc.log, RCTRacing.log | Initialisation de l’agent, connexions, refus/acception. |
Modèles et scripts utiles
Installation silencieuse du client sur un poste workgroup
rem Exécuter en tant qu’administrateur local
mkdir C:\Temp\SCCM
xcopy \\srv-dp\Sources\ccmsetup C:\Temp\SCCM\ /E /I /Y
C:\Temp\SCCM\ccmsetup.exe ^
/mp:mp.intra.exemple.fr ^
SMSSITECODE=PR1 ^
SMSMP=mp.intra.exemple.fr ^
CCMENABLELOGGING=1 ^
CCMLOGLEVEL=0 ^
CCMLOGMAXHISTORY=5 ^
CCMLOGMAXSIZE=5242880
rem Vérifier l’inscription
powershell -NoLogo -NoProfile -Command "Get-Service CcmExec | Start-Service; Start-Sleep 10; Get-WmiObject -Namespace root\ccm -Class SMS_Client" Déploiement de masse via PSExec (échantillon)
psexec @liste_machines.txt -u .\AdminLocal -p MotDePasse ^
-c C:\Packages\ccmsetup\ccmsetup.exe ^
/mp:mp.intra.exemple.fr SMSSITECODE=PR1 SMSMP=mp.intra.exemple.fr
Règle de détection pour un .exe
Type : Détection par fichier
Chemin : C:\Program Files\MonEditeur\MonAppli
Fichier : monappli.exe
Version minimale : 8.4.0
Stratégie de distribution de contenu
- Grosses apps : pré‑stager sur DPs distants (fichiers .pkgx) en heures creuses.
- Updates mensuelles : packs cumulatifs Windows + SSU – distribuer 48 h avant déploiement.
- Succursales sans DP : activer Peer Cache/BranchCache. Déployer d’abord sur 1–2 « seeders » par site.
- Gestion Internet : CMG pour livrer politiques et packages légers. Pour du contenu massif, privilégier DP sur site ou planifier.
Modèle d’exploitation & KPI
| KPI | Objectif | Pilotage |
|---|---|---|
| Couverture client | > 98 % des postes contactent un MP sur 7 jours | Rapports « Client Activity », alertes d’inactivité. |
| Conformité sécurité mensuelle | > 95 % à J+14 | Tableaux de bord ADR par anneau/site. |
| Taux de succès déploiements applicatifs | > 97 % | Rapports AppDeployment – erreurs triées par code. |
| Volume WAN par site | ‑30 % vs baseline | Activation Peer Cache/BranchCache, mesure par DP. |
Alternatives et co‑gestion
- Co‑gestion SCCM + Intune : basculer progressivement certains workloads (Updates, Compliance, Apps) vers le cloud tout en conservant SCCM pour l’historique et les scénarios complexes.
- Intune seul : option cloud‑native, efficace si les PC peuvent être joints Azure AD et si vous acceptez le modèle Windows Update for Business. Licences M365 E3/E5 requises.
- Autres outils : Ivanti, ManageEngine, PDQ, etc. souvent plus simples en workgroup mais moins complets (reporting, RBAC, écosystème System Center).
Risques & parades
| Risque | Impact | Mitigation |
|---|---|---|
| Mauvaise résolution du MP | Clients « orphelins », échec de politiques | DNS fiable, SMSMP renseigné, supervision LocationServices.log. |
| NAA surexposé | Accès indus au contenu DP | Compte dédié, droits lecture uniquement, rotation, audit. |
| WSUS non maintenu | Conformité lente, erreurs de scan | Maintenance mensuelle, déclin updates anciennes, compression DB. |
| Bande passante WAN saturée | Déploiements lents, timeouts | DP locaux, planification, Peer Cache/BranchCache, fenêtres. |
| Gestion Internet sans identité | Postes nomades non gérés | CMG + Azure AD ou PKI pour workgroups non AAD. |
FAQ express
Faut‑il un domaine Active Directory ?
Non pour les postes, oui fortement recommandé pour les serveurs SCCM. Sans AD côté clients, on perd le ciblage utilisateur et la découverte AD.
Combien de serveurs ?
Un site primaire et 2 MPs suffisent souvent. Ajoutez 1 SUP dédié, 1 DP central et des DPs d’appoint sur les sites majeurs.
Peut‑on gérer les machines via Internet sans VPN ?
Oui avec CMG. Pour des workgroups non joints à Azure AD, prévoyez une PKI côté clients.
Les coûts SQL sont inclus ?
Oui, des droits SQL Server Standard pour héberger System Center/SCCM sont inclus avec les licences Server ML.
Que faire si certaines applis exigent des droits admin ?
Utiliser le moteur d’exécution système (contexte LocalSystem) et limiter l’exposition en contrôlant les collections et fenêtres.
Check‑list de mise en service
- ✅ Serveurs SCCM/SQL durcis, sauvegardes testées.
- ✅ Rôles MP/DP/SUP opérationnels, certificats/Enhanced HTTP activés.
- ✅ Frontières par sous‑réseaux et liaisons DP/MP validées.
- ✅ NAA déployé avec droits minimaux.
- ✅ Clients pilotes installés et
Client Activity> 98 % à J+7. - ✅ ADR Pilote/Prod en place, conformité > 95 % à J+14.
- ✅ Télé‑assistance testée inter‑sites.
- ✅ Runbook N1/N2, plan de maintenance WSUS/SQL, supervision.
Conclusion
Oui, SCCM est une solution complète pour gérer 6 000 postes Windows en workgroup. Vous devrez soigner la résolution réseau (DNS), la sécurité (Enhanced HTTP ou PKI), et le Network Access Account. L’adhésion à un domaine n’est pas nécessaire côté PC, mais elle simplifie l’exploitation. Pour les succursales distantées et les travailleurs nomades, adossez‑vous à un Cloud Management Gateway (ou co‑gestion avec Intune) afin d’éviter les VPN et de réduire la complexité opérationnelle. Côté budget, comptez les CML + une ou deux licences Server ML, l’infrastructure Windows/SQL (incluse côté droits) et, si besoin, une enveloppe Azure pour la CMG. Avec une architecture simple, des anneaux de patch rigoureux et une distribution de contenu intelligente (DP, Peer Cache, BranchCache), vous atteindrez rapidement une conformité élevée sans joindre vos 6 000 machines à un domaine.