Implementar una secuencia de tareas a través de Internet

Se aplica a: Configuration Manager (rama actual)

Configuration Manager admite varios métodos para implementar una secuencia de tareas en clientes remotos a través de Internet. Puede implementar una actualización Windows, usar medios de arranque o iniciarla desde el Centro de software. En este artículo se tratan las configuraciones particulares de estos escenarios. En primer lugar, use Implementar una secuencia de tareas para crear la implementación básica. A continuación, use las configuraciones de este artículo para personalizarla para clientes basados en Internet.

Advertencia

Puede administrar el comportamiento de las implementaciones de secuencias de tareas de alto riesgo. Una implementación de alto riesgo es una implementación que se instala automáticamente y tiene el potencial de causar resultados no deseados. Por ejemplo, una secuencia de tareas que tiene un propósito de Obligatorio que implementa un sistema operativo se considera una implementación de alto riesgo. Para obtener más información, vea Configuración administrar implementaciones de alto riesgo.

Permitir que la secuencia de tareas se ejecute en Internet

En la página Experiencia del usuario del Asistente para implementar software, puede configurar la implementación en Permitir que la secuencia de tareas se ejecute para el cliente en Internet. Esta configuración es necesaria para todos los escenarios de cliente basados en Internet. Las secciones siguientes cubren los escenarios principales al habilitar esta configuración.

Nota

La configuración avanzada de secuencia de tareas para Ejecutar otro programa en primer lugar no se aplica a las secuencias de tareas que se ejecutan en clientes que se comunican a través de una puerta de enlace de administración en la nube (CMG). Esta opción usa la ruta de acceso de red UNC del paquete, que no es accesible a través de CMG.

Windows actualización local

Use esta configuración para implementaciones de una secuencia de tareas de actualización Windows local a clientes basados en Internet a través de la puerta de enlace de administración en la nube (CMG). Todas las versiones admitidas de Configuration Manager admiten este escenario. Para obtener más información, vea Deploy Windows in-place upgrade via CMG.

Instalar una secuencia Windows de tareas de creación de imágenes desde el Centro de software

A partir de la versión 2006, puedes implementar una secuencia de tareas con una imagen de arranque en un dispositivo que se comunica a través del CMG. El usuario debe iniciar la secuencia de tareas desde el Centro de software.

Nota

Cuando un cliente Azure Active Directory (Azure AD) unido a un sistema operativo ejecuta una secuencia de tareas de implementación del sistema operativo, el cliente del nuevo sistema operativo no se unirá automáticamente a Azure AD. Aunque no está unido Azure AD, el cliente se sigue administrando.

Cuando ejecuta una secuencia de tareas de implementación del sistema operativo en un cliente basado en Internet, que está unido Azure AD o usa la autenticación basada en token, debe especificar la propiedad CCMHOSTNAME en el paso Setup Windows y ConfigMgr.

Usar medios de arranque para instalar una secuencia Windows de tareas de creación de imágenes

A partir de la versión 2010, puede usar medios de arranque para volver a crear imágenes de dispositivos basados en Internet que se conectan a través de un CMG. Este escenario le ayuda a admitir mejor a los trabajadores remotos. Si Windows no se iniciará para que el usuario pueda acceder al Centro de software, ahora puede enviarles una unidad USB para volver a instalar Windows. Para obtener más información, vea Deploy an OS over CMG using bootable media.

En la versión 2002 y versiones anteriores, las operaciones que requieren un medio de arranque no se admiten con esta configuración. Permitir que una secuencia de tareas se ejecute en Internet solo para instalaciones de software genéricas o secuencias de tareas basadas en scripts que ejecuten operaciones en el sistema operativo estándar.

Nota

Para todos los escenarios de secuencia de tareas basados en Internet en la versión 2002 y versiones anteriores, inicie la secuencia de tareas desde el Centro de software. No son compatibles con Windows PE, PXE ni medios de secuencia de tareas.

Implementar Windows actualización local a través de CMG

La Windows de tareas de actualización local admite la implementación en clientes basados en Internet administrados a través de la puerta de enlace de administración en la nube (CMG). Esta capacidad permite a los usuarios remotos actualizar a Windows sin necesidad de conectarse a la intranet.

Asegúrese de que todo el contenido al que hace referencia la secuencia de tareas de actualización local se distribuyó a un CMG habilitado para contenido. Habilitar la configuración de CMG: Permitir que CMG funcione como un punto de distribución en la nube y que sirva contenido de Azure Storage . De lo contrario, los dispositivos no pueden ejecutar la secuencia de tareas.

Al implementar una secuencia de tareas de actualización, use la siguiente configuración:

  • Permitir que la secuencia de tareas se ejecute para el cliente en Internet, en la pestaña Experiencia del usuario de la implementación.

  • Elija una de las siguientes opciones en la pestaña Puntos de distribución de la implementación:

    • Descargue el contenido localmente cuando la secuencia de tareas en ejecución lo necesite. El motor de secuencia de tareas puede descargar paquetes a petición desde un CMG habilitado para contenido. Esta opción proporciona flexibilidad adicional con las implementaciones de actualización Windows locales en dispositivos basados en Internet.

    • Descargue todo el contenido localmente antes de iniciar la secuencia de tareas. Con esta opción, el cliente de Configuration Manager descarga el contenido del origen de la nube antes de iniciar la secuencia de tareas.

  • (Opcional) Descargar previamente el contenido de esta secuencia de tareas, en la pestaña General de la implementación. Para obtener más información, vea Configure pre-cache content.

Nota

Inicie la secuencia de tareas desde el Centro de software. Este escenario no admite Windows pe, PXE o medios de secuencia de tareas.

Compatibilidad con medios de arranque para contenido basado en la nube

A partir de la versión 2010, los medios de arranque pueden descargar contenido basado en la nube. Por ejemplo, envía una clave USB a un usuario en una oficina remota para volver a crear una imagen de su dispositivo. O una oficina que tiene un servidor PXE local, pero desea que los dispositivos prioricen los servicios en la nube tanto como sea posible. En lugar de gravar aún más la WAN para descargar contenido de implementación de sistema operativo grande, los medios de arranque y las implementaciones PXE ahora pueden obtener contenido de orígenes basados en la nube. Por ejemplo, una puerta de enlace de administración en la nube (CMG) que se habilita para compartir contenido.

Nota

El dispositivo todavía necesita una conexión de intranet al punto de administración.

Cuando se ejecuta la secuencia de tareas, descarga contenido de los orígenes basados en la nube. Revise smsts.log en el cliente.

Requisitos previos para medios de arranque

  • Habilite la siguiente configuración de cliente en el grupo Servicios en la nube: Permitir el acceso al punto de distribución en la nube. Asegúrese de que la configuración del cliente se implementa en los clientes de destino. Para obtener más información, vea Acerca de la configuración del cliente - Servicios en la nube.

  • Para el grupo de límites en el que se encuentra el cliente:

  • Distribuya el contenido al que hace referencia la secuencia de tareas al CMG habilitado para contenido.

Implementar un sistema operativo a través de CMG con medios de arranque

A partir de la versión 2010, puede usar medios de arranque para volver a crear imágenes de dispositivos basados en Internet que se conectan a través de un CMG. Este escenario le ayuda a admitir mejor a los trabajadores remotos. Si Windows no se iniciará para que el usuario pueda acceder al Centro de software, ahora puede enviarles una unidad USB para volver a instalar Windows.

Requisitos previos para medios de arranque a través de CMG

  • Configuración de CMG

  • Para todo el contenido al que se hace referencia en la secuencia de tareas, distribuyalo a un CMG habilitado para contenido. Para obtener más información, vea Distribuir contenido.

  • Habilite la siguiente configuración de cliente en el grupo Servicios en la nube:

    • Permitir el acceso al punto de distribución en la nube

    • Permitir a los clientes usar una puerta de enlace de administración en la nube

  • Configure el paso Aplicar secuencia Configuración de tareas de red para unirse a un grupo de trabajo. Durante la secuencia de tareas, el dispositivo no puede unirse al dominio local de Active Directory. No tiene conectividad con un controlador de dominio para unirse al dominio.

  • Al implementar la secuencia de tareas en una colección, configure las siguientes opciones:

    • Página de experiencia del usuario: permitir que la secuencia de tareas se ejecute para el cliente en Internet

    • Página de configuración de implementación: Hacer que esté disponible para una opción que incluya medios.

    • Página puntos de distribución, opciones de implementación: Descargar contenido localmente cuando sea necesario en la secuencia de tareas en ejecución . Para obtener más información, vea Opciones de implementación.

  • Asegúrate de que el dispositivo tenga una conexión a Internet constante mientras se ejecuta la secuencia de tareas. Windows PE no admite redes inalámbricas, por lo que el dispositivo necesita una conexión de red por cable.

  • Si usa un certificado basado en PKI para los medios de arranque, configúrelo para SHA256 con el proveedor rsa y AES mejorados de Microsoft. Esta configuración de certificado se recomienda pero no es necesaria. El certificado puede ser un certificado v3 (CNG).

  • En las versiones 2010 y 2103, si configura el punto de administración en Permitir conexiones solo a Internet, no puede usar medios de arranque a través de un CMG. Para evitar este problema, configure el punto de administración en Permitir conexiones de intranet e Internet.

  • Si su CMG usa un certificado basado en PKI, debe agregar el certificado raíz de confianza a la imagen de arranque. De lo Windows, PE no puede comunicarse con el CMG porque no confía en el certificado de CMG. Para obtener más información, vea Agregar un certificado raíz de confianza a una imagen de arranque.

Crear medios de arranque para usar un CMG

Inicie el Asistente para crear medios de secuencia de tareas para medios de arranque. Para obtener más información, vea Create bootable media. Modifique el proceso estándar siguiendo los pasos siguientes:

  • En la página Administración de medios del asistente, seleccione la opción para medios basados en sitio.

  • En la página Seguridad, establezca una contraseña segura para proteger este medio.

  • En la página Imagen de arranque, en Punto de administración, seleccione la puerta de enlace de administración de nube en el cuadro de diálogo Agregar puntos de administración.

Al arrancar un dispositivo conectado a Internet con este medio, se comunica con el CMG especificado. Los medios de arranque descargan la directiva para la implementación de la secuencia de tareas a través del CMG. A medida que se ejecuta la secuencia de tareas, descarga cualquier contenido y directivas adicionales a través de Internet.

Después de ejecutar la secuencia de tareas, el cliente usa la autenticación basada en tokens.

Agregar un certificado raíz de confianza a una imagen de arranque

Si su CMG usa un certificado basado en PKI, debe agregar el certificado raíz de confianza a la imagen de arranque. De lo Windows, PE no puede comunicarse con el CMG porque no confía en el certificado de CMG.

Paso 1: Exportar el blob del Registro de certificados

En un sistema que tiene instalado el certificado raíz de confianza:

  1. Abra el menú Inicio. Escriba run para abrir la ventana Ejecutar. Abra mmc .

  2. En el menú Archivo, elija Agregar o quitar complemento....

  3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados y, a continuación, seleccione Agregar.

    1. En el cuadro de diálogo Complemento Certificados, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.

    2. En el cuadro de diálogo Seleccionar equipo, seleccione Equipo local y, a continuación, seleccione Finalizar.

    3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Aceptar.

  4. Expanda Certificados, expanda Entidades de certificación raíz de confianza y seleccione Certificados.

  5. Seleccione el certificado raíz. En el menú Acción, seleccione Abrir.

  6. Cambie a la pestaña Detalles.

  7. Copie el valor de la huella digital del certificado. Por ejemplo: eb971f84c0c44b9eb22a378fecb45747eb971f84

  8. Desde el menú Inicio, ejecute regedit .

  9. Vaya a la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates . Para obtener más información acerca de esta clave del Registro, vea System Store Locations.

  10. Seleccione la clave del Registro que coincida con la huella digital del certificado raíz.

  11. En el menú Archivo, seleccione Exportar. Especifique un nombre de archivo y guarde el .reg archivo.

  12. Edite el archivo en Bloc de notas. En la ruta de acceso clave, SOFTWARE cambie a y guarde el winpe-offline archivo. Por ejemplo:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

  13. Copie este archivo en una ubicación a la que pueda obtener acceso para el paso siguiente.

Paso 2: Importar el blob del Registro de certificados a la imagen de arranque sin conexión

En un sistema que tiene el archivo de imagen de arranque:

  1. Monte el archivo WIM. Por ejemplo, DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

  2. Desde el menú Inicio, ejecute regedit .

  3. Seleccione HKEY_LOCAL_MACHINE. En el menú Archivo, seleccione Cargar subárbol.

  4. Busque y C:\Mount\Windows\System32\config seleccione SOFTWARE. Este archivo es el subárbol del Registro sin conexión Windows imagen pe montada en C:\Mount .

    Importante

    Asegúrese de que esta ruta de acceso es a la imagen Windows PE montada, no a la ruta Windows del sistema operativo.

  5. Asigne un nombre a la clave del subárbol winpe-offline cargado.

  6. En el menú Archivo, seleccione Importar. Busque el archivo .reg modificado que exportó y modificó anteriormente. Seleccione Abrir.

  7. Vaya a la siguiente clave del Registro y confirme que se ha Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates agregado la nueva clave.

  8. Seleccione la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\winpe-offline . En el menú Archivo, seleccione Descargar subárbol y seleccione .

  9. Cierre el editor del Registro y cualquier otra ventana que haga referencia a archivos en C:\Mount .

  10. Desmonte la imagen de arranque y confirme los cambios. Por ejemplo: DISM /Unmount-image /Commit /MountDir:C:\Mount

La imagen de arranque ahora incluye el certificado raíz de confianza.

Siguientes pasos

Supervisión de implementaciones del sistema operativo

Administrar secuencias de tareas para automatizar tareas