Windows Embedded デバイスにConfiguration Manager クライアントを展開および管理するシナリオの例

Configuration Manager (現在のブランチ) に適用

このシナリオでは、書き込みフィルターが有効な Windows Embedded デバイスをConfiguration Managerで管理する方法を示します。埋め込みデバイスが書き込みフィルターをサポートしていない場合は、標準Configuration Manager クライアントとして動作し、これらの手順は適用されません。

Coho Vineyard & Winery はビジター センターを開き、対話型のプレゼンテーションを実行するために Windows Embedded を実行するキオスクが必要です。 新しいビジター センターの建物は IT 部門に近くないため、キオスクはリモートで管理する必要があります。 プレゼンテーションを実行するソフトウェアに加えて、これらのデバイスは、会社のセキュリティ ポリシーに準拠するために最新のマルウェア対策保護ソフトウェアを実行する必要があります。 キオスクは週 7 日実行する必要があり、ビジター センターが開いている間はダウンタイムは発生しません。

Coho は既にConfiguration Managerを実行して、ネットワーク上のデバイスを管理しています。 Configuration Managerは、Endpoint Protection を実行し、ソフトウェア更新プログラムとアプリケーションをインストールするように構成されています。 ただし、IT チームは以前に Windows Embedded デバイスを管理していないため、Configuration Manager管理者はパイロットを実行して、フロント ロビーで 2 つのキオスクを管理します。

書き込みフィルターが有効な Windows Embedded デバイスを管理するには、管理者Configuration Manager次の手順を実行して、Configuration Manager クライアントをインストールし、Endpoint Protection を使用してクライアントを保護し、対話型プレゼンテーション ソフトウェアをインストールします。

1. Configuration Manager管理者 (管理) は、Windows Embedded デバイスが書き込みフィルターを使用する方法と、ソフトウェアのインストールを保持するためにライター フィルターを自動的に無効にしてから再度有効にすることで、Configuration Managerを簡単にする方法を読み取ります。

   詳細については、「Windows Embedded デバイスへのクライアント展開の計画」を参照してください。

2. 管理がConfiguration Manager クライアントをインストールする前に、管理は Windows Embedded デバイスの新しいクエリ ベースのデバイス コレクションを作成します。 会社は標準の名前付け形式を使用してコンピューターを識別するため、管理はコンピューター名の最初の 6 文字 (WEMDVC) で Windows Embedded デバイスを一意に識別できます。 管理では、次の WQL クエリを使用してこのコレクションを作成します。"WEMDVC%" のような SMS_R_System.NetbiosName をSMS_R_Systemから [SMS_R_System.NetbiosName] を選択します。

   このコレクションを使用すると、管理は、他のデバイスとは異なる構成オプションを使用して Windows Embedded デバイスを管理できます。 管理では、このコレクションを使用して再起動を制御し、クライアント設定で Endpoint Protection を展開し、対話型プレゼンテーション アプリケーションをデプロイします。

   「 コレクションを作成する方法」を参照してください。

3. 管理は、プレゼンテーション アプリケーションのインストールに必要な再起動と、ビジター センターの営業時間中にアップグレードが行われないように、メンテナンス期間のコレクションを構成します。 営業時間は、月曜日から日曜日の09:00〜18:00です。 管理は、毎日 18:30 から 06:00 のメンテナンス期間を構成します。

4. 詳細については、「 メンテナンス期間の使用方法」を参照してください。

5. 次に、管理は、次の設定で [はい] を選択して Endpoint Protection クライアントをインストールするようにカスタム デバイス クライアント設定を構成し、このカスタム クライアント設定を Windows Embedded デバイス コレクションに展開します。

   • クライアント コンピューターに Endpoint Protection クライアントをインストールする

   • 書き込みフィルターを使用する Windows Embedded デバイスの場合は、Endpoint Protection クライアントのインストールをコミットします (再起動が必要)

   • Endpoint Protection クライアントのインストールと再起動をメンテナンス期間外に実行できるようにする

     Configuration Manager クライアントがインストールされると、これらの設定は Endpoint Protection クライアントをインストールし、オーバーレイにのみ書き込まれるのではなく、インストールの一部としてオペレーティング システムに保持されるようにします。 会社のセキュリティ ポリシーでは、マルウェア対策ソフトウェアが常にインストールされ、管理が再起動した場合でも、キオスクが保護されていないリスクを短時間実行することを望まない必要があります。

   注:

   Endpoint Protection クライアントのインストールに必要な再起動は 1 回限り発生します。これは、デバイスのセットアップ期間中、ビジター センターが動作する前に発生します。 アプリケーションやソフトウェア定義の更新プログラムの定期的な展開とは異なり、次に Endpoint Protection クライアントを同じデバイスにインストールする場合は、会社が次のバージョンのConfiguration Managerにアップグレードする場合が考えられます。

   詳細については、「 Endpoint Protection の構成」を参照してください。

6. クライアントの構成設定が整ったので、管理はConfiguration Manager クライアントのインストールを準備します。 管理がクライアントをインストールする前に、Windows Embedded デバイスの書き込みフィルターを手動で無効にする必要があります。 管理は、キオスクに付属する OEM ドキュメントを読み取り、その指示に従って書き込みフィルターを無効にします。

   管理は、会社の標準の名前付け形式を使用するようにデバイスの名前を変更し、クライアント ソース ファイルを保持するマップされたドライブから次のコマンドを使用して CCMSetup を実行して、クライアントを手動でインストールします。 CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   このコマンドは、クライアントをインストールし、mpserver.cohovineyardandwinery.com のイントラネット FQDN を持つ管理ポイントにクライアントを割り当て、CO1 という名前のプライマリ サイトにクライアントを割り当てます。

   管理は、クライアントが自分の状態をインストールしてサイトに送り返すのに常に時間がかかることを認識しています。 そのため、管理は、クライアントが正常にインストール、サイトに割り当て、Windows Embedded デバイス用に作成したコレクション内のクライアントとして表示されることを確認するまで待機します。

   追加の確認として、管理は、デバイス上のコントロール パネルのConfiguration Managerのプロパティをチェックし、サイトによって管理されている標準の Windows コンピューターと比較します。 たとえば、[ コンポーネント ] タブの [ハードウェア インベントリ エージェント ] に [有効] と表示され、[ アクション ] タブには、 アプリケーション展開の評価サイクル と 検出データ収集サイクルを含む 11 個の使用可能なアクションがあります。

   クライアントが管理ポイントからクライアント ポリシーを正常にインストール、割り当て、受信していることを確認すると、管理は OEM の指示に従って書き込みフィルターを手動で有効にします。

   詳細については、以下を参照してください:

   • Windows コンピューターにクライアントを展開する方法

   • クライアントをサイトに割り当てる方法

7. Configuration Manager クライアントが Windows Embedded デバイスにインストールされたので、管理は、標準の Windows クライアントを管理するのと同じ方法で管理できることを確認します。 たとえば、Configuration Manager コンソールから、管理はリモート コントロールを使用してリモートで管理したり、クライアント ポリシーを開始したり、クライアントのプロパティとハードウェア インベントリを表示したりできます。

   これらのデバイスは Active Directory ドメインに参加しているため、管理は信頼されたクライアントとして手動で承認する必要はありません。また、Configuration Manager コンソールから承認されていることを確認します。

   詳細については、「 クライアントを管理する方法」を参照してください。

8. 対話型プレゼンテーション ソフトウェアをインストールするには、管理によってソフトウェアの展開ウィザードが実行され、必要なアプリケーションが構成されます。 ウィザードの [ ユーザー エクスペリエンス ] ページの [ Windows Embedded Devices のフィルター処理の書き込み ] セクションで、[ 期限時またはメンテナンス期間中に変更をコミットする (再起動が必要)] を選択する既定のオプションをそのまま使用します。

   管理は、キオスクを使用して訪問者が常に使用できるように、再起動後もアプリケーションが保持されるように、書き込みフィルターのこの既定のオプションを保持します。 毎日のメンテナンス期間は、インストールの再起動と更新が発生する可能性がある安全な期間を提供します。

   管理は、アプリケーションを Windows Embedded デバイス コレクションに展開します。

   詳細については、「Configuration Managerを使用してアプリケーションをデプロイする方法」を参照してください。

9. Endpoint Protection の定義更新プログラムを構成するために、管理はソフトウェア更新プログラムを使用し、自動展開規則の作成ウィザードを実行します。 [定義] 更新 テンプレートを選択して、Endpoint Protection に適した設定をウィザードに事前設定します。

   これらの設定には、ウィザードの [ユーザー エクスペリエンス ] ページで次のものが含まれます。

   • 期限の動作: [ソフトウェア のインストール] チェック ボックスが選択されていません。

   • Windows Embedded デバイスの書き込みフィルター処理: [期限またはメンテナンス期間中に変更をコミットする (再起動が必要)] チェックボックスが選択されていません。

     管理では、これらの既定の設定が保持されます。 この構成のこれら 2 つのオプションを組み合わせることで、Endpoint Protection のソフトウェア更新プログラム定義を日中オーバーレイにインストールし、メンテナンス期間中にインストールしてコミットするのを待つ必要はありません。 この構成は、コンピューターが最新のマルウェア対策保護を実行するための会社のセキュリティ ポリシーを最もよく満たしています。

     注:

     アプリケーションのソフトウェアインストールとは異なり、Endpoint Protection のソフトウェア更新プログラムの定義は、1 日に複数回でも非常に頻繁に発生する可能性があります。 多くの場合、小さなファイルです。 このような種類のセキュリティ関連のデプロイでは、メンテナンス期間まで待つのではなく、常にオーバーレイにインストールすると便利な場合があります。 このアクションは評価チェックを開始し、次にスケジュールされた評価まで待機しないため、デバイスが再起動した場合、Configuration Manager クライアントはソフトウェア定義の更新プログラムをすばやく再インストールします。

     管理は、自動展開規則の Windows Embedded デバイス コレクションを選択します。

     トピック
     手順 3: Endpoint Protection の構成Configuration Managerクライアント コンピューターに定義更新を配信するようにソフトウェア 更新を構成する

10. 管理は、オーバーレイ上のすべての変更を定期的にコミットするメンテナンス タスクを構成することを決定します。 このタスクは、ソフトウェア更新プログラム定義の展開をサポートし、デバイスが再起動されるたびに蓄積され、再度インストールする必要がある更新プログラムの数を減らすことです。 管理のエクスペリエンスでは、マルウェア対策プログラムの実行効率が高くなります。

    注:

    埋め込みデバイスが変更のコミットをサポートする別の管理タスクを実行した場合、これらのソフトウェア更新プログラムの定義はイメージに自動的にコミットされます。 たとえば、対話型プレゼンテーション ソフトウェアの新しいバージョンをインストールすると、ソフトウェア更新プログラム定義の変更もコミットされます。 または、メンテナンス期間中にインストールする標準のソフトウェア更新プログラムを毎月インストールすると、ソフトウェア更新プログラムの定義の変更がコミットされる可能性もあります。 ただし、標準のソフトウェア更新プログラムが実行されず、対話型プレゼンテーション ソフトウェアが頻繁に更新される可能性が低いこのシナリオでは、ソフトウェア定義の更新プログラムがイメージに自動的にコミットされるまでに数か月が経過する可能性があります。

    管理は、最初に、名前以外の設定を持たないカスタム タスク シーケンスを作成します。 タスク シーケンスの作成ウィザードを実行します。

    1. [新しいタスク シーケンスの作成] ページで、管理で [新しいカスタム タスク シーケンスの作成] を選択し、[次へ] をクリックします。

    2. [タスク シーケンス情報] ページで、タスク シーケンス名の埋め込みデバイスで変更をコミットするメンテナンス タスクを入力管理、[次へ] をクリックします。

    3. [概要] ページで、管理で [次へ] を選択し、ウィザードを完了します。

       次に、管理は、このカスタム タスク シーケンスを Windows Embedded devices コレクションに展開し、毎月実行するようにスケジュールを構成します。 展開設定の一部として、[期限またはメンテナンス期間中に変更をコミットする (再起動が必要)] チェックボックスを選択して、再起動後に変更を保持します。 この展開を構成するには、管理が作成したカスタム タスク シーケンスを選択し、[ホーム] タブの [展開] グループで [展開] をクリックしてソフトウェアの展開ウィザードを開始します。

    4. [全般] ページで、管理によって Windows Embedded デバイス コレクションが選択され、[次へ] をクリックします。

    5. [展開の設定] ページで、管理で [必要な目的] を選択し、[次へ] をクリックします。

    6. [スケジュール] ページで、[新規] をクリックしてメンテナンス期間中に週単位のスケジュールを指定し、[次へ] をクリック管理。

    7. 管理はウィザードを完了し、それ以上変更は行いません。

       トピック
       タスク シーケンスを管理してタスクを自動化します。

11. キオスクが自動的に実行されるように、管理は、次の設定のデバイスを構成するためのスクリプトを書き込みます。

    • パスワードのないゲスト アカウントを使用して、自動的にログオンします。

    • 起動時に対話型プレゼンテーション ソフトウェアを自動的に実行します。

      管理では、パッケージとプログラムを使用して、このスクリプトを Windows Embedded devices コレクションに展開します。 管理は、ソフトウェアの展開ウィザードを実行するときに、再起動後に変更を保持するために、期限またはメンテナンス期間中 (再起動が必要) チェックボックスをもう一度選択します。

      詳細については、「 パッケージとプログラム」を参照してください。

12. 次の朝、管理は Windows Embedded デバイスをチェックします。 次の内容を確認します。

    • キオスクは、ゲスト アカウントを使用して自動的にログオンします。

    • 対話型プレゼンテーション ソフトウェアが実行されています。

    • Endpoint Protection クライアントがインストールされ、最新のソフトウェア更新プログラムの定義があります。

    • メンテナンス期間中にデバイスが再起動された。

      詳細については、以下を参照してください:

    • Endpoint Protection を監視する方法

    • Configuration Managerを使用してアプリケーションを監視する

13. 管理はキオスクを監視し、管理が成功したことをマネージャーに報告します。 その結果、ビジター センターには 20 台のキオスクが注文されます。

    書き込みフィルターを手動で無効にしてから有効にする必要があるConfiguration Manager クライアントの手動インストールを回避するために、管理は、Configuration Manager クライアントのインストールとサイトの割り当てを既に含むカスタマイズされたイメージが注文に含まれていることを確認します。 さらに、デバイスには会社の名前付け形式に従って名前が付けられます。

    キオスクは、オープンの 1 週間前にビジター センターに配信されます。 この間、キオスクはネットワークに接続され、それらのすべてのデバイス管理は自動的に行われ、ローカル管理者は必要ありません。 管理は、キオスクが必要に応じて機能していることを確認します。

    • キオスク上のクライアントはサイトの割り当てを完了し、信頼されたルート キーをActive Directory Domain Servicesからダウンロードします。

    • キオスク上のクライアントは、Windows Embedded デバイス コレクションに自動的に追加され、メンテナンス期間で構成されます。

    • Endpoint Protection クライアントがインストールされ、マルウェア対策保護用の最新のソフトウェア更新プログラム定義があります。

    • インタラクティブなプレゼンテーションソフトウェアがインストールされ、訪問者の準備が整い、自動的に実行されます。

14. この初期セットアップ後、更新に必要な再起動は、ビジター センターが閉じられたときにのみ発生します。