Le contrôle logiciel dans SCCM 2012

SCCM 2012 propose une fonction de contrôle logiciel qui permet d’auditer l’usage de logiciels sur les postes de travail.

Dans une période où il faut faire des économies, il est toujours intéressant de pouvoir récupérer des licences logicielles sur des PC qui ne les utilisent jamais.

Dans cet exemple nous verrons comment :

  • activer la fonctionnalité du contrôle logiciel dans la console d’administration;
  • Créer une règle de surveillance pour l’application Adobe Acrobat;
  • Activer la fonctionnalité du contrôle logiciel dans la politique du client et paramétrer les remontées de surveillance;
  • Consulter les logs relatifs à la surveillance d’une application;
  • Gérer les tâches de maintenance relatives au contrôle logiciel;
  • Afficher un rapport d’utilisation d’un logiciel contrôlé.

La fonctionnalité de Contrôle logiciel est disponible au travers de la console d’administration dans la vue Ressources et Conformité

Propriétés_Control_logiciel

Par défaut, SCCM crée automatiquement des règles de contrôle à partir des données d’inventaire récemment utilisées. Elles sont désactivées par défaut mais bien présentes dans la liste. Il suffit juste d’activer la surveillance pour commencer le contrôle.

Pour avoir une console moins chargée, je préfère désactiver cette fonction et ajouter moi-même les logiciels à contrôler.

Pour créer une nouvelle règle, cliquer sur le bouton « Créer une règle de contrôle de logiciel » et remplir l’assistant.

regle_control_logiciel_acrobat2

ATTENTION : C’est à ce stade qu’il faut être vigilant car la détection automatique de la langue ou de la version d’un fichier exécutable peut vous jouer des tours.

Acrobat_propriétés2

En effet, j’ai rencontré plusieurs cas où la remontée d’utilisations d’applications contrôlées ne s’effectuait pas à cause de ces deux réglages.

Une mise à jour changeant le numéro de version, une version multilingue et l’application ne sera plus surveillée. N’hésitez donc pas à utiliser le caractère * pour rendre la règle plus générique (par exemple 9.* au lieu de 9.5.3) et à choisir « n’importe quelle langue » pour être certain d’avoir des résultats. Si nécessaire, on pourra toujours affiner la surveillance par la suite.

A ce stade, la règle de contrôle est créée. Il faut s’assurer que dans la politique du client, l’agent de contrôle logiciel est bien activé et spécifier le délai de regroupement des données.
Pour cela, rendez-vous dans le volet Administration, paramètres du client puis éditer la politique diffusée sur les postes de travail.

Ctrl_Logiciel_Client

Une fois la politique appliquée sur les postes de travail, ils vont commencer à auditer l’utilisation des applications surveillées.

On peut le vérifier en consultant le log local mtrmgr.log à l’aide de cmtrace.

Ouvrez le log puis lancer l’application surveillée pour constater le début du contrôle.

log_mtrmgr

On constate ici que le processus « Acrobat.exe » est bien détecté avec son PID dès son lancement et qu’il est bien associé à une règle de surveillance.

log_mtrmgr_finOn peut aussi lire dans le log la détection de la fermeture du processus quand on quitte l’application.

Le poste a donc bien détecté l’usage d’une application surveillée. Pour accélérer la remontée de cette information sur le serveur, on peut forcer l’exécution du rapport par le panneau de configuration de l’agent local.

CfgMgrCtrlPanel

Sélectionner, « Cycle du rapport d’utilisation du contrôle de logiciel » et cliquer sur Exécuter maintenant.

Le log de cette action locale s’appelle SWMTRReportGen.log.

log_SWMTRReportGen

Une fois l’information remontée au serveur, il va falloir que le server résume ces données pour pouvoir les consulter à partir des rapports SCCM.

Cette action est gérée dans les tâches de Maintenance de site, accessibles dans les réglages du site du volet Administration.

TachesDeMaintenance

Par défaut, les deux tâches relatives au contrôle logiciel sont exécutées quotidiennement.

TachesDeMaintenanceCtrlLogiciel

Il n’y a malheureusement pas la possibilité de forcer l’exécution de ces tâches de maintenance par l’interface graphique.

Dès le lendemain, on peut donc aller voir les rapports pour voir si le contrôle est bien effectif.

Les rapports sont accessibles dans le volet Surveillance, dans Rapports, Rapports puis Contrôle Logiciel.

Rapports_Control_Logiciel 2

En exécutant le rapport « Ordinateurs ayant exécuté un programme contrôlé spécifique » et en filtrant sur le logiciel Acrobat, on obtient le résultat suivant

Rapport_Control_Logiciel2

Dans cet exemple, nous aurons donc fait une démonstration du contrôle logiciel dans SCCM 2012 de sa création jusqu’à l’exécution d’un rapport d’utilisation.