Exemple de scénario de déploiement et de gestion de clients Configuration Manager sur des appareils Windows Embedded

  • Article

S’applique à : Configuration Manager (branche actuelle)

Ce scénario montre comment gérer des appareils Windows Embedded avec filtre d’écriture avec Configuration Manager. Si vos appareils incorporés ne prennent pas en charge les filtres d’écriture, ils se comportent comme des clients Configuration Manager standard et ces procédures ne s’appliquent pas.

Coho Vineyard & Winery ouvre un centre d’accueil et a besoin de kiosques qui exécutent Windows Embedded pour exécuter des présentations interactives. Le bâtiment du nouveau centre d’accueil n’étant pas proche du service informatique, les kiosques doivent être gérés à distance. En plus des logiciels qui exécutent les présentations, ces appareils doivent exécuter des logiciels de protection anti-programme malveillant à jour pour se conformer aux stratégies de sécurité de l’entreprise. Les kiosques doivent fonctionner 7 jours sur 7, sans temps d’arrêt pendant que le centre d’accueil est ouvert.

Coho s’exécute déjà Configuration Manager pour gérer les appareils sur son réseau. Configuration Manager est configuré pour exécuter Endpoint Protection et installer les mises à jour logicielles et les applications. Toutefois, étant donné que l’équipe informatique n’a pas géré d’appareils Windows Embedded auparavant, l’administrateur Configuration Manager exécute un pilote pour gérer deux kiosques dans la salle d’accueil.

Pour gérer ces appareils Windows Embedded qui sont activés pour le filtre d’écriture, Configuration Manager administrateur effectue les étapes suivantes pour installer le client Configuration Manager, protéger le client à l’aide d’Endpoint Protection et installer le logiciel de présentation interactive.

  1. L’administrateur Configuration Manager (l’Administration) lit comment les appareils Windows Embedded utilisent des filtres d’écriture et comment Configuration Manager pouvez faciliter cela en désactivant automatiquement les filtres writer, puis en réactivant les filtres d’écriture pour conserver une installation logicielle.

    Pour plus d’informations, consultez Planification du déploiement du client sur des appareils Windows Embedded.

  2. Avant que le Administration installe le client Configuration Manager, le Administration crée un regroupement d’appareils basé sur des requêtes pour les appareils Windows Embedded. Étant donné que l’entreprise utilise des formats de nommage standard pour identifier ses ordinateurs, le Administration peut identifier de façon unique les appareils Windows Embedded par les six premières lettres du nom de l’ordinateur : WEMDVC. Le Administration utilise la requête WQL suivante pour créer cette collection : sélectionnez SMS_R_System.NetbiosName à partir de SMS_R_System où SMS_R_System.NetbiosName comme « WEMDVC% »

    Ce regroupement permet aux Administration de gérer les appareils Windows Embedded avec des options de configuration différentes des autres appareils. Le Administration utilisera ce regroupement pour contrôler les redémarrages, déployer Endpoint Protection avec les paramètres client et déployer l’application de présentation interactive.

    Consultez Comment créer des collections.

  3. Le Administration configure le regroupement pour une fenêtre de maintenance afin de s’assurer que les redémarrages qui peuvent être nécessaires à l’installation de l’application de présentation et les mises à niveau ne se produisent pas pendant les heures d’ouverture du centre d’accueil. Les heures d’ouverture seront de 9h00 à 18h00, du lundi au dimanche. Le Administration configure la fenêtre de maintenance pour tous les jours, de 18h30 à 6h00.

  4. Pour plus d’informations, consultez Utilisation des fenêtres de maintenance.

  5. Le Administration configure ensuite un paramètre client d’appareil personnalisé pour installer le client Endpoint Protection en sélectionnant Oui pour les paramètres suivants, puis déploie ce paramètre client personnalisé sur le regroupement d’appareils Windows Embedded :

    • Installer le client Endpoint Protection sur les ordinateurs clients

    • Pour les appareils Windows Embedded avec filtres d’écriture, valider l’installation du client Endpoint Protection (nécessite un redémarrage)

    • Autoriser l’installation et le redémarrage du client Endpoint Protection en dehors des fenêtres de maintenance

      Lorsque le client Configuration Manager est installé, ces paramètres installent le client Endpoint Protection et s’assurent qu’il est conservé dans le système d’exploitation dans le cadre de l’installation, plutôt que d’écrire dans la superposition uniquement. Les stratégies de sécurité de l’entreprise exigent que le logiciel anti-programme malveillant soit toujours installé et que le Administration ne souhaite pas courir le risque que les kiosques ne soient pas protégés pendant même une courte période s’ils redémarrent.

    Remarque

    Les redémarrages requis pour installer le client Endpoint Protection sont une occurrence unique, qui se produit pendant la période d’installation des appareils et avant le fonctionnement du centre d’accueil. Contrairement au déploiement périodique d’applications ou de mises à jour de définition de logiciels, la prochaine fois que le client Endpoint Protection sera installé sur le même appareil, l’entreprise effectuera probablement une mise à niveau vers la prochaine version de Configuration Manager.

    Pour plus d’informations, consultez Configuration d’Endpoint Protection.

  6. Une fois les paramètres de configuration du client désormais en place, le Administration prépare l’installation des clients Configuration Manager. Avant que le Administration puisse installer les clients, ils doivent désactiver manuellement le filtre d’écriture sur les appareils Windows Embedded. Le Administration lit la documentation OEM qui accompagne les kiosques et suit leurs instructions pour désactiver les filtres d’écriture.

    Le Administration renomme l’appareil afin qu’il utilise le format de nommage standard de l’entreprise, puis installe le client manuellement en exécutant CCMSetup avec la commande suivante à partir d’un lecteur mappé qui contient les fichiers sources du client : CCMSetup.exe /MP :mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

    Cette commande installe le client, affecte le client au point de gestion qui a le nom de domaine complet intranet de mpserver.cohovineyardandwinery.com et affecte le client au site principal nommé CO1.

    Le Administration sait qu’il faut toujours un certain temps aux clients pour installer et renvoyer leurs status au site. Par conséquent, le Administration attend avant de confirmer que les clients ont correctement installé, affecté au site et apparaissent en tant que clients dans le regroupement qu’ils ont créé pour les appareils Windows Embedded.

    En guise de confirmation supplémentaire, le Administration vérifie les propriétés de Configuration Manager dans Panneau de configuration sur les appareils et les compare aux ordinateurs Windows standard gérés par le site. Par exemple, sous l’onglet Composants , l’Agent d’inventaire matériel affiche Activé et, sous l’onglet Actions , il existe 11 actions disponibles, notamment le cycle d’évaluation du déploiement d’applications et le cycle de collecte de données de découverte.

    Convaincu que les clients sont correctement installés, affectés et recevant la stratégie client à partir du point de gestion, le Administration active ensuite manuellement les filtres d’écriture en suivant les instructions de l’OEM.

    Pour plus d’informations, reportez-vous aux rubriques suivantes :

  7. Maintenant que le client Configuration Manager est installé sur les appareils Windows Embedded, le Administration confirme qu’il peut les gérer de la même façon qu’il gère les clients Windows standard. Par exemple, à partir de la console Configuration Manager, les Administration peuvent les gérer à distance à l’aide du contrôle à distance, lancer une stratégie client pour eux et afficher les propriétés du client et l’inventaire matériel.

    Étant donné que ces appareils sont joints à un domaine Active Directory, le Administration n’a pas besoin de les approuver manuellement en tant que clients approuvés et confirme à partir de la console Configuration Manager qu’ils sont approuvés.

    Pour plus d’informations, consultez Guide pratique pour gérer les clients.

  8. Pour installer le logiciel de présentation interactive, le Administration exécute l’Assistant Déploiement logiciel et configure une application requise. Dans la page Expérience utilisateur de l’Assistant, dans la section Gestion des filtres d’écriture pour les appareils Windows Embedded , ils acceptent l’option par défaut qui sélectionne Valider les modifications à l’échéance ou pendant une fenêtre de maintenance (redémarrages requis) .

    Le Administration conserve cette option par défaut pour les filtres d’écriture afin de s’assurer que l’application persiste après un redémarrage, afin qu’elle soit toujours disponible pour les visiteurs utilisant les bornes. La fenêtre de maintenance quotidienne fournit une période de sécurité pendant laquelle les redémarrages pour l’installation et toutes les mises à jour peuvent se produire.

    Le Administration déploie l’application sur le regroupement d’appareils Windows Embedded.

    Pour plus d’informations, consultez Comment déployer des applications avec Configuration Manager.

  9. Pour configurer les mises à jour de définition pour Endpoint Protection, le Administration utilise les mises à jour logicielles et exécute l’Assistant Création d’une règle de déploiement automatique. Ils sélectionnent le modèle Définition Mises à jour pour préremplir l’Assistant avec les paramètres appropriés pour Endpoint Protection.

    Ces paramètres incluent les éléments suivants dans la page Expérience utilisateur de l’Assistant :

    • Comportement del’échéance : la case Installation du logiciel case activée n’est pas sélectionnée.

    • Gestion des filtres d’écriture pour les appareils Windows Embedded : la case Valider les modifications à l’échéance ou pendant une fenêtre de maintenance (nécessite des redémarrages case activée) n’est pas sélectionnée.

      Le Administration conserve ces paramètres par défaut. Ensemble, ces deux options avec cette configuration permettent d’installer toutes les définitions de mises à jour logicielles pour Endpoint Protection dans la superposition pendant la journée et de ne pas attendre d’être installées et validées pendant la fenêtre de maintenance. Cette configuration répond le mieux à la stratégie de sécurité de l’entreprise pour que les ordinateurs exécutent une protection anti-programme malveillant à jour.

      Remarque

      Contrairement aux installations logicielles pour les applications, les définitions de mises à jour logicielles pour Endpoint Protection peuvent se produire très fréquemment, même plusieurs fois par jour. Il s’agit souvent de petits fichiers. Pour ces types de déploiements liés à la sécurité, il peut souvent être avantageux de toujours installer sur la superposition plutôt que d’attendre la fenêtre de maintenance. Le client Configuration Manager réinstallera rapidement les mises à jour de définition de logiciel si l’appareil redémarre, car cette action lance une case activée d’évaluation et n’attend pas la prochaine évaluation planifiée.

      Le Administration sélectionne le regroupement d’appareils Windows Embedded pour la règle de déploiement automatique.

      Pour plus d'informations, consultez
      Étape 3 : Configurer Configuration Manager software Mises à jour pour remettre des Mises à jour de définition aux ordinateurs clients dans Configuration d’Endpoint Protection

  10. Le Administration décide de configurer une tâche de maintenance qui valide régulièrement toutes les modifications sur la superposition. Cette tâche consiste à prendre en charge le déploiement des définitions de mises à jour logicielles, afin de réduire le nombre de mises à jour qui s’accumulent et doivent être installées à nouveau, chaque fois que l’appareil redémarre. Dans l’expérience du Administration, cela permet aux programmes anti-programme malveillant de s’exécuter plus efficacement.

    Remarque

    Ces définitions de mises à jour logicielles sont automatiquement validées dans l’image si les appareils incorporés ont exécuté une autre tâche de gestion qui prend en charge la validation des modifications. Par exemple, l’installation d’une nouvelle version du logiciel de présentation interactive validerait également les modifications pour les définitions de mises à jour logicielles. Ou, l’installation de mises à jour logicielles standard chaque mois qui s’installent pendant la fenêtre de maintenance peut également valider les modifications pour les définitions de mises à jour logicielles. Toutefois, dans ce scénario, où les mises à jour logicielles standard ne s’exécutent pas et qu’il est peu probable que le logiciel de présentation interactive soit mis à jour très souvent, il peut s’agir de plusieurs mois avant que les mises à jour de définition de logiciel ne soient automatiquement validées dans l’image.

    Le Administration crée d’abord une séquence de tâches personnalisée qui n’a pas de paramètres autres que le nom. Ils exécutent l’Assistant Création d’une séquence de tâches :

    1. Dans la page Créer une nouvelle séquence de tâches, le Administration sélectionne Créer une séquence de tâches personnalisée, puis clique sur Suivant.

    2. Dans la page Informations sur la séquence de tâches, le Administration entre la tâche de maintenance pour valider les modifications sur les appareils incorporés pour le nom de la séquence de tâches, puis clique sur Suivant.

    3. Dans la page Résumé, le Administration sélectionne Suivant et termine l’Assistant.

      Le Administration déploie ensuite cette séquence de tâches personnalisée sur le regroupement d’appareils Windows Embedded et configure la planification pour qu’elle s’exécute tous les mois. Dans le cadre des paramètres de déploiement, ils sélectionnent la case Valider les modifications à l’échéance ou pendant une fenêtre de maintenance (redémarrages requis case activée) pour conserver les modifications après un redémarrage. Pour configurer ce déploiement, le Administration sélectionne la séquence de tâches personnalisée qu’il vient de créer, puis, sous l’onglet Accueil, dans le groupe Déploiement, il clique sur Déployer pour démarrer l’Assistant Déploiement logiciel :

    4. Dans la page Général, le Administration sélectionne le regroupement d’appareils Windows Embedded, puis clique sur Suivant.

    5. Dans la page Paramètres de déploiement, le Administration sélectionne l’objectif obligatoire, puis clique sur Suivant.

    6. Dans la page Planification, le Administration clique sur Nouveau pour spécifier une planification hebdomadaire pendant la fenêtre de maintenance, puis cliquez sur Suivant.

    7. Le Administration termine l’Assistant sans aucune autre modification.

      Pour plus d'informations, consultez
      Gérer les séquences de tâches pour automatiser les tâches.

  11. Pour que les kiosques s’exécutent automatiquement, le Administration écrit un script pour configurer les appareils pour les paramètres suivants :

    • Connectez-vous automatiquement à l’aide d’un compte invité qui n’a pas de mot de passe.

    • Exécutez automatiquement le logiciel de présentation interactive au démarrage.

      Le Administration utilise des packages et des programmes pour déployer ce script sur le regroupement d’appareils Windows Embedded. Lorsque le Administration exécute l’Assistant Déploiement logiciel, il sélectionne à nouveau la case Valider les modifications à l’échéance ou pendant une fenêtre de maintenance (redémarrages requis case activée) pour conserver les modifications après un redémarrage.

      Pour plus d’informations, consultez Packages et programmes.

  12. Le lendemain matin, le Administration vérifie les appareils Windows Embedded. Ils confirment les éléments suivants :

    • Le kiosque est automatiquement connecté à l’aide du compte invité.

    • Le logiciel de présentation interactive est en cours d’exécution.

    • Le client Endpoint Protection est installé et dispose des dernières définitions de mises à jour logicielles.

    • Que l’appareil a redémarré pendant la fenêtre de maintenance.

      Pour plus d’informations, reportez-vous aux rubriques suivantes :

    • Comment surveiller Endpoint Protection

    • Surveiller les applications avec Configuration Manager

  13. Le Administration surveille les kiosques et en signale la gestion réussie à leur responsable. En conséquence, 20 kiosques sont commandés pour le centre d’accueil.

    Pour éviter l’installation manuelle du client Configuration Manager, qui nécessite la désactivation manuelle, puis l’activation des filtres d’écriture, le Administration garantit que la commande inclut une image personnalisée qui inclut déjà l’installation et l’affectation de site du client Configuration Manager. En outre, les appareils sont nommés en fonction du format de nommage de l’entreprise.

    Les kiosques sont livrés au centre d’accueil une semaine avant son ouverture. Pendant ce temps, les bornes sont connectées au réseau, toute la gestion des appareils est automatique et aucun administrateur local n’est nécessaire. Le Administration confirme que les bornes fonctionnent comme prévu :

    • Les clients sur les kiosques terminent l’attribution de site et téléchargent la clé racine approuvée à partir de services de domaine Active Directory.

    • Les clients sur les kiosques sont automatiquement ajoutés au regroupement d’appareils Windows Embedded et configurés avec la fenêtre de maintenance.

    • Le client Endpoint Protection est installé et dispose des dernières définitions de mises à jour logicielles pour la protection contre les logiciels malveillants.

    • Le logiciel de présentation interactive est installé et s’exécute automatiquement, prêt pour les visiteurs.

  14. Après cette configuration initiale, les redémarrages qui peuvent être nécessaires pour les mises à jour se produisent uniquement lorsque le centre d’accueil est fermé.