Microsoft Configuration Manager (SCCM)

Configuration Manager ist das am meisten eingesetzte und älteste Mitglied der System Center Suite. Im Vergleich zur Vorgängerversion Configuration Manager 2012 R2 Sp1 kann mit dem Configuration Manager ab 1511 eine Brücke zu Entra durch Intune aufgebaut werden. Mit der Version 1910 wurde der System Center Configuration Manager in Microsoft Endpoint Configuration Manager umbenannt. Mit der Version 2303 hat Microsoft den Configuration Manager erneuert umbenannt in Microsoft Configuration Manager.

In der 1511 Version wurde Intune durch die neue Site System Role Service Connection Point (SCP) noch enger in Configuration Manager integriert. Auch das sog. In-Console Update läuft über diesen SCP. Microsoft nutzt diesen SCP auch, um Informationen (User Data Collection) von der gesamten Configuration Manager Infrastruktur des Kunden zu besorgen und auch, um die notwendigen In-Console Updates zur Verfügung zu stellen. Man muss Intune zwar nicht haben, aber mit der Integration von Intune in Configuration Manager bekommt man nicht nur eine MDM Lösung (Mobile Device Management), sondern auch die Remote Verwaltung von Windows.

Infrastruktur:Die Configuration Manager 2409/2503/2509/2603 Infrastruktur ist nicht starr, also nicht mehr site gebunden wie noch bei Configuration Manager 2007. Dank der Global Database Replication zwischen Central Administration Site & Primary Site und Primary Site & Secondary Site stehen u.a. Collection Daten hierarchieweit zur Verfügung.Mittlerweile ist es aber nicht mehr empfohlen eine Central Administration Site aufzubauen sondern eine Standalone Primary Site zu installieren.Nach dem Aufbau der Standalone Primary Site und Platzierung der Site System Roles müssen die Computer durch diverse Discovery und Deployment Methoden mit Configuration Manager Agent installiert werden. Die Clients werden den sog. Boundaries manuell oder automatisch zugeordnet, die wiederum den Boundary Groups angehören müssen, damit sie überhaupt Software (Content) beziehen können.Mit Configuration Manager 1610 können Boundary Group Relationships zwischen den Boundary Groups in einer Primary Site für intelligentes Distribution Point (DP) Fallback sorgen. Ein Client sucht die geeigneten DPs (mit Content) zuerst in seiner Boundary Group (Current Boundary Group), dann die DPs in der benachbarten BG (Neighbor Boundary Group), die die niedrigste Zeit-Relationship zu seiner BG hat. Letztendlich werden DPs in der Default-Site-Boundary-Group gesucht. Die Infrastruktur einer Configuration Manager 1610 kann dadurch für Fallback Szenarien effektiver gestaltet werden.Ab Configuration Manager 1702 müssen auch Software Update Points (SUP) in Boundary Groups aufgenommen werden, damit Clients diese finden können.

Umstellung auf HTTPS:Damit die Verbindung zwischen Management Point und den Clients nicht ungeschützt über HTTP läuft, sollte diese auf HTTPS umgestellt werden. Auch die anderen Site System Server, wie der Distribution- und Software Update Point, sollten auf HTTPS umgestellt werden. Die Umstellung auf HTTPS ist besonders wichtig, wenn die Cloud Features oder das BitLocker Management eingesetzt werden. Es kann zwar das Feature Enhanced HTTP (ab 1810) verwendet werden, aber hierbei werden einfach nur selbstsignierte Zertifikate erstellt. Deswegen wird in diesem Kurs die Umstellung auf HTTPS mit Zertifikaten einer Enterprise PKI praktiziert. Ab der Version 2103 ist die HTTP Kommunikation veraltet und kann mittlerweile nicht mehr verwendet werden.

Infrastruktur – Hochverfügbare Site Server:Ab Configuration Manager 1810 können hochverfügbare Site Server aufgebaut werden. Jeder der zwei Site Server nutzt seine lokale SQL Datenbank, welche Teil eines SQL AlwaysOn Clusters ist. Somit kann sowohl der aktive als auch der passive Site Server als Clusternode auf die synchronisierte Datenbank zugreifen. Zu jeder Zeit ist nur ein Site Server aktiv.

Deployment:Die Hauptaufgabe von Configuration Manager ist Devices & Benutzer mit Software zu versorgen. Das Deployment von Betriebssystemen (OS) und Applikationen bildet daher auch den Hauptschwerpunkt des Kurses. Wir praktizieren im Kurs nicht nur das herkömmliche statische Deployment, sondern dank des Application Models das Smart-Deployment. Eine Applikation kann z.B. abhängig von deren Deployment Types (.msi(x),.appx, .appxbundle, usw) nun auch gezielt an Benutzers Primary Device dank der UDA (User Device Affinity) verteilt werden. Durch Self-Service kann ein Benutzer außerdem seine ihm bereitgestellte Anwendung im Software Center selbst auswählen und installieren.

Administration:Mit der RBAC (Role-Based Administration Control) können administrative Aufgaben durch die Kombination von Security Roles, Security Scopes und Collection (User, Devices) hierarchieweit sehr fein konfiguriert und delegiert werden. Zur Administration gehören auch die Datenbank-Verwaltung mit Backup & Recovery, sowie alles um die gesamte Configuration Manager-Hierarchie sicher und optimal zu gestalten. Ab Configuration Manager 1810 kann für die Authentifizierung eine Zertifikats- oder Windows Hello -basierte Anmeldung erzwungen werden.

Monitoring & Troubleshooting:Es gibt eine ganze Menge Logs, die wir als Grundlage für das Troubleshooting im Kurs versuchen, auseinanderzuhalten und aufgabenbezogen zu analysieren. Das Monitoring wird ausgiebig mit den Bordmitteln von Configuration Manager betrieben.

Kurseinschränkungen:Wegen des sehr großen Umfangs von Configuration Manager wird in diesem Kurs keine Migration von älteren Configuration Manager Versionen behandelt.Es wird mit der Vollversion vom Configuration Manager 2509 gestartet. Bei dieser Version handelt es sich um die letzte verfügbare Baseline Version.

Übersicht & Planung Configuration Manager 2409, 2503 2509 & 2603

• Central Administration Site vs. Standalone Primary Site

• Site System Roles (Management Point, Distribution Point, Software Update Point, Reporting Point, Service Connection Point)

• Secondary Site vs. Remote Distribution Point

• Boundary Groups

Installation

• Primary Site (PS)

• Management Point (MP)

• Distribution Point (DP)

• Reporting Server (RP)

• Service Connection Point (SCP)

• Software Update Point (SUP)

Administration & Konfiguration

• Discovery Methoden: AD Forest Discovery, AD Group, User, System Discovery, Heartbeat, Network Discovery

• Boundary & Boundary Groups

• Fallback Boundary Group (Neighborhood Boundary Group)

• Default-Site-Boundary-Group

• User & Device Collections

• Umstellung auf HTTPS only

• Role Base Access Control (RBAC)

• Compliance Settings

• Windows LEDBAT für Distribution Point und Software Update Point

• Windows Peer Cache

• Content Library Struktur

Remote Distribution Point (RDP)

• Installation Remote Distribution Point (Remote DP)

• Rate Limits, Schedule, Pulse Mode etc.

• Pre-Staged Content

Configuration Manager Clients (Agents)

• Agent Installation (Push)

• Default Client Settings

• Custom Client Settings

• Logs und Monitoring

• CM-Pivot

Deployment: Applications

• Application Deployment Types

• Application Deployment Device Collections

• Application Deployment User Collections

• Application Features (Requirements, Application Group, Approval Mode)

Upgrade Configuration Manager

• Vorbereitung (Check List)

• Upgrade Site Server (Prequisite Check, Install Update Pack, Upgrade)

• Upgrade Client Agent

• Post-Installation

Deployment: Operating Systems (Teil 1)

• Boot Images

• Importieren von Operating System Images (Windows 11 & Server 2025)

• Erstellen einer Task Sequence

• Treiber integration

Deployment: Operating Systems (Teil 2)

• BitLocker integration in eine Task Sequence

• PowerShell integration in eine Task Sequence

• Installation von Anwendungen über eineTask Sequence

• Integration von Packages in eine Task Sequence

• Verschachtelte Task Sequence

• Task Sequence Debugger

Deployment: Operating Systems (Teil 3) – Dynamic Task Sequence mit Variablen

• Built-In Task Sequence Variablen

• Verwenden von Built-In Task Sequence Variablen

• Custom Variablen

• Colletion Variablen

• Task Sequence Conditions

Deployment: Updates

• Installation Software Update Point (SUP)

• Software Updates synchronisieren

• Software Update Groups erstellen

• Software Update Packages Deployment

• Automatic Deployment Rules erstellen

• Microsoft 365 Apps Client Management

MBAM (Microsoft BitLocker Administration Management)

• Einrichtung von MBAM

• MBAM Policies erstellen und Clients zuweisen

• Recovery von BitLocker

Reporting

• Reporting Services Point (RSP)

• Configuration Manager Built-In Reports

• Custom Report anlegen

High availability Site Server

• SQL AAG einrichten

• Configuration Manager Datenbank in eine AAG überführen

• Verschieben der Content Library

• Installation eines passiven Site Servers

• Failover Tests

Backup and Recovery

• Backup Configuration Manager Databases

• Backup Configuration Manager Configuration

• Backup Content Library

• Backup Source

• Recovery Configuration Manager

Internals & Database

• Configuration Manager und WMI; Inventory und WMI

• SMS Provider

• Database Query (T-SQL)

• Database Struktur

Zielgruppe:Das Seminar richtet sich an Configuration Manager Administratoren, Serveradministratoren und Support-Ingenieure sowie Desktop-Administratoren von Windows 10/11 Clients.