Cenário de exemplo para implantar e gerenciar clientes Configuration Manager em dispositivos Windows Embedded

Aplica-se a: Configuration Manager (branch atual)

Esse cenário demonstra como você pode gerenciar dispositivos Windows Embedded habilitados para filtro de gravação com Configuration Manager. Se seus dispositivos inseridos não dão suporte a filtros de gravação, eles se comportam como clientes padrão Configuration Manager e esses procedimentos não se aplicam.

O Coho Vineyard & Winery está abrindo um centro de visitantes e precisa de quiosques que executam o Windows Embedded para executar apresentações interativas. O prédio do novo centro de visitantes não é próximo ao departamento de TI, portanto, os quiosques devem ser gerenciados remotamente. Além do software que executa as apresentações, esses dispositivos devem executar software de proteção antimalware atualizado para cumprir as políticas de segurança da empresa. Os quiosques devem funcionar 7 dias por semana, sem tempo de inatividade enquanto o centro de visitantes está aberto.

O Coho já executa Configuration Manager para gerenciar dispositivos em sua rede. Configuration Manager está configurado para executar o Endpoint Protection e instalar atualizações de software e aplicativos. No entanto, como a equipe de TI não gerenciou dispositivos Windows Embedded antes, o administrador do Configuration Manager executa um piloto para gerenciar dois quiosques no lobby de recepção.

Para gerenciar esses dispositivos Windows Embedded habilitados para filtro de gravação, Configuration Manager administrador executa as seguintes etapas para instalar o cliente Configuration Manager, proteger o cliente usando o Endpoint Protection e instalar o software de apresentação interativo.

1. O administrador do Configuration Manager (o Administração) lê como os dispositivos Windows Embedded usam filtros de gravação e como Configuration Manager pode facilitar isso desabilitando automaticamente e, em seguida, reabilitando os filtros de gravador para persistir uma instalação de software.

   Para obter mais informações, confira Planejamento para implantação do cliente em dispositivos Windows Embedded.

2. Antes que o Administração instale o cliente Configuration Manager, o Administração cria uma nova coleção de dispositivos baseada em consulta para os dispositivos Windows Embedded. Como a empresa usa formatos de nomenclatura padrão para identificar seus computadores, o Administração pode identificar exclusivamente dispositivos Windows Embedded pelas seis primeiras letras do nome do computador: WEMDVC. O Administração usa a seguinte consulta WQL para criar esta coleção: selecione SMS_R_System.NetbiosName de SMS_R_System em que SMS_R_System.NetbiosName como "WEMDVC%"

   Essa coleção permite que o Administração gerencie os dispositivos Windows Embedded com diferentes opções de configuração dos outros dispositivos. O Administração usará essa coleção para controlar reinicializações, implantar o Endpoint Protection com as configurações do cliente e implantar o aplicativo de apresentação interativo.

   Consulte Como criar coleções.

3. O Administração configura a coleção para uma janela de manutenção para garantir que as reinicializações necessárias para a instalação do aplicativo de apresentação e quaisquer atualizações não ocorram durante o horário de funcionamento do centro de visitantes. O horário de funcionamento será das 9h às 18h, de segunda a domingo. O Administração configura a janela de manutenção para todos os dias, das 18h30 às 06h.

4. Para obter mais informações, consulte Como usar janelas de manutenção.

5. O Administração então configura uma configuração de cliente de dispositivo personalizado para instalar o cliente do Endpoint Protection selecionando Sim para as seguintes configurações e, em seguida, implanta essa configuração de cliente personalizada na coleção de dispositivos Windows Embedded:

   • Instalar o cliente do Endpoint Protection em computadores cliente

   • Para dispositivos Windows Embedded com filtros de gravação, confirme a instalação do cliente do Endpoint Protection (requer reinicialização)

   • Permitir que a instalação e a reinicialização do cliente do Endpoint Protection sejam executadas fora das janelas de manutenção

     Quando o cliente Configuration Manager estiver instalado, essas configurações instalam o cliente endpoint Protection e garantem que ele seja mantido no sistema operacional como parte da instalação, em vez de gravado apenas na sobreposição. As políticas de segurança da empresa exigem que o software antimalware esteja sempre instalado e que o Administração não queira executar o risco de os quiosques ficarem desprotegidos por um curto período de tempo se forem reiniciados.

   Observação

   As reinicializações necessárias para instalar o cliente do Endpoint Protection são uma ocorrência única, que acontece durante o período de instalação dos dispositivos e antes que o centro de visitantes esteja operacional. Ao contrário da implantação periódica de aplicativos ou atualizações de definição de software, a próxima vez que o cliente do Endpoint Protection estiver instalado no mesmo dispositivo provavelmente será quando a empresa atualizar para a próxima versão do Configuration Manager.

   Para obter mais informações, consulte Configurando a Proteção de Ponto de Extremidade.

6. Com as configurações do cliente agora em vigor, o Administração se prepara para instalar os clientes Configuration Manager. Antes que o Administração possa instalar os clientes, eles devem desabilitar manualmente o filtro de gravação nos dispositivos Windows Embedded. O Administração lê a documentação do OEM que acompanha os quiosques e segue suas instruções para desabilitar os filtros de gravação.

   O Administração renomeia o dispositivo para que ele use o formato de nomenclatura padrão da empresa e instale o cliente manualmente executando CCMSetup com o seguinte comando de uma unidade mapeada que contém os arquivos de origem do cliente: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Esse comando instala o cliente, atribui o cliente ao ponto de gerenciamento que tem o FQDN intranet de mpserver.cohovineyardandwinery.com e atribui o cliente ao site primário chamado CO1.

   O Administração sabe que sempre leva um tempo para que os clientes instalem e enviem de volta suas status para o site. Assim, o Administração aguarda antes de confirmar que os clientes instalam, atribuem com êxito ao site e aparecem como clientes na coleção que eles criaram para dispositivos Windows Embedded.

   Como confirmação adicional, o Administração verifica as propriedades de Configuration Manager em Painel de Controle nos dispositivos e as compara aos computadores Windows padrão gerenciados pelo site. Por exemplo, na guia Componentes , o Agente de Inventário de Hardware exibe Habilitado e, na guia Ações , há 11 ações disponíveis, que incluem Ciclo de Avaliação de Implantação de Aplicativo e Ciclo de Coleta de Dados de Descoberta.

   Confiante de que os clientes estão instalados, atribuídos e recebendo a política de cliente com êxito do ponto de gerenciamento, o Administração então habilita manualmente os filtros de gravação seguindo as instruções do OEM.

   Para saber mais, confira:

   • Como implantar clientes em computadores Windows

   • Como atribuir clientes a um site

7. Agora que o cliente Configuration Manager está instalado nos dispositivos Windows Embedded, o Administração confirma que eles podem gerenciá-los da mesma maneira que gerenciam os clientes Windows padrão. Por exemplo, no console Configuration Manager, o Administração pode gerenciá-los remotamente usando controle remoto, iniciar a política do cliente para eles e exibir propriedades do cliente e inventário de hardware.

   Como esses dispositivos são ingressados em um domínio do Active Directory, o Administração não precisa aprová-los manualmente como clientes confiáveis e confirma no console Configuration Manager que eles são aprovados.

   Para obter mais informações, consulte Como gerenciar clientes.

8. Para instalar o software de apresentação interativo, o Administração executa o Assistente de Implantação de Software e configura um aplicativo necessário. Na página Experiência do Usuário do assistente, na seção Tratamento de filtro de gravação para dispositivos Windows Embedded , eles aceitam a opção padrão que seleciona Confirmar alterações no prazo ou durante uma janela de manutenção (requer reinicializações).

   O Administração mantém essa opção padrão para filtros de gravação para garantir que o aplicativo persista após uma reinicialização, de modo que ele esteja sempre disponível para os visitantes usando os quiosques. A janela de manutenção diária fornece um período seguro durante o qual as reinicializações para instalação e quaisquer atualizações podem ocorrer.

   O Administração implanta o aplicativo na coleção de dispositivos Windows Embedded.

   Para obter mais informações, consulte Como implantar aplicativos com Configuration Manager.

9. Para configurar atualizações de definição para Proteção de Ponto de Extremidade, o Administração usa atualizações de software e executa o Assistente criar regras de implantação automática. Eles selecionam o modelo Definição Atualizações para pré-popular o assistente com configurações apropriadas para Proteção de Ponto de Extremidade.

   Essas configurações incluem o seguinte na página Experiência do Usuário do assistente:

   • Comportamento de prazo: a caixa marcar de Instalação de Software não está selecionada.

   • Tratamento de filtro de gravação para dispositivos Windows Embedded: a caixa Confirmar alterações no prazo ou durante uma janela de manutenção (requer reinicializações marcar) não está selecionada.

     O Administração mantém essas configurações padrão. Juntas, essas duas opções com essa configuração permitem que todas as definições de atualização de software para o Endpoint Protection sejam instaladas na sobreposição durante o dia e não aguardem para serem instaladas e confirmadas durante a janela de manutenção. Essa configuração atende melhor à política de segurança da empresa para computadores executarem proteção antimalware atualizada.

     Observação

     Ao contrário das instalações de software para aplicativos, as definições de atualização de software para Proteção de Ponto de Extremidade podem ocorrer com muita frequência, mesmo várias vezes por dia. Geralmente, são arquivos pequenos. Para esses tipos de implantações relacionadas à segurança, muitas vezes pode ser benéfico sempre instalar na sobreposição em vez de esperar até a janela de manutenção. O cliente Configuration Manager instalará rapidamente as atualizações de definição de software se o dispositivo for reiniciado porque essa ação inicia uma avaliação marcar e não aguarda até a próxima avaliação agendada.

     O Administração seleciona a coleção de dispositivos Windows Embedded para a regra de implantação automática.

     Para obter mais informações, confira
     Etapa 3: configurar Configuration Manager software Atualizações para entregar Atualizações de definição aos computadores cliente na configuração da proteção de ponto de extremidade

10. O Administração decide configurar uma tarefa de manutenção que confirma periodicamente todas as alterações na sobreposição. Essa tarefa é dar suporte à implantação de definições de atualização de software, para reduzir o número de atualizações que se acumulam e devem ser instaladas novamente, sempre que o dispositivo for reiniciado. Na experiência do Administração, isso ajuda os programas antimalware a serem executados com mais eficiência.

    Observação

    Essas definições de atualização de software seriam automaticamente comprometidas com a imagem se os dispositivos inseridos executaram outra tarefa de gerenciamento com suporte para cometer as alterações. Por exemplo, a instalação de uma nova versão do software de apresentação interativa também confirmaria as alterações para definições de atualização de software. Ou, instalar atualizações de software padrão todos os meses que se instalam durante a janela de manutenção também pode confirmar as alterações para definições de atualização de software. No entanto, nesse cenário, em que as atualizações de software padrão não são executadas e é improvável que o software de apresentação interativa seja atualizado com muita frequência, pode levar meses até que as atualizações de definição de software sejam automaticamente comprometidas com a imagem.

    O Administração primeiro cria uma sequência de tarefas personalizada que não tem configurações diferentes do nome. Eles executam o Assistente criar sequência de tarefas:

    1. Na página Criar uma Nova Sequência de Tarefas, o Administração seleciona Criar uma nova sequência de tarefas personalizada e, em seguida, clica em Avançar.

    2. Na página Informações da Sequência de Tarefas, o Administração insere a tarefa Manutenção para confirmar alterações em dispositivos inseridos para o nome da sequência de tarefas e, em seguida, clica em Avançar.

    3. Na página Resumo, o Administração seleciona Avançar e conclui o assistente.

       O Administração então implanta essa sequência de tarefas personalizada na coleção de dispositivos Windows Embedded e configura a agenda a ser executada todos os meses. Como parte das configurações de implantação, eles selecionam a caixa Confirmar alterações no prazo ou durante uma janela de manutenção (requer reinicializações marcar) para persistir as alterações após uma reinicialização. Para configurar essa implantação, o Administração seleciona a sequência de tarefas personalizada que eles acabaram de criar e, na guia Página Inicial, no grupo Implantação, eles clicam em Implantar para iniciar o Assistente de Implantação de Software:

    4. Na página Geral, o Administração seleciona a coleção dispositivos Windows Embedded e, em seguida, clica em Avançar.

    5. Na página Configurações de Implantação, o Administração seleciona a Finalidade do Necessário e, em seguida, clica em Avançar.

    6. Na página Agendamento, o Administração clica em Novo para especificar uma agenda semanal durante a janela de manutenção e, em seguida, clica em Avançar.

    7. O Administração conclui o assistente sem alterações adicionais.

       Para obter mais informações, confira
       Gerenciar sequências de tarefas para automatizar tarefas.

11. Para que os quiosques sejam executados automaticamente, o Administração grava um script para configurar os dispositivos para as seguintes configurações:

    • Faça logon automaticamente, usando uma conta de convidado que não tem senha.

    • Execute automaticamente o software de apresentação interativo na inicialização.

      O Administração usa pacotes e programas para implantar esse script na coleção de dispositivos Windows Embedded. Quando o Administração executa o Assistente de Implantação de Software, eles novamente selecionam a caixa Confirmar alterações no prazo ou durante uma janela de manutenção (requer reinicializações marcar) para persistir as alterações após uma reinicialização.

      Para obter mais informações, consulte Pacotes e programas.

12. Na manhã seguinte, o Administração verifica os dispositivos Windows Embedded. Eles confirmam o seguinte:

    • O quiosque é conectado automaticamente usando a conta de convidado.

    • O software de apresentação interativo está em execução.

    • O cliente do Endpoint Protection está instalado e tem as definições mais recentes de atualização de software.

    • Que o dispositivo foi reiniciado durante a janela de manutenção.

      Para saber mais, confira:

    • Como monitorar a Proteção de Ponto de Extremidade

    • Monitorar aplicativos com Configuration Manager

13. O Administração monitora os quiosques e relata o gerenciamento bem-sucedido deles ao seu gerente. Como resultado, 20 quiosques são solicitados para o centro de visitantes.

    Para evitar a instalação manual do cliente Configuration Manager, que requer desabilitar manualmente e habilitar os filtros de gravação, o Administração garante que o pedido inclua uma imagem personalizada que já inclui a instalação e a atribuição do site do cliente Configuration Manager. Além disso, os dispositivos são nomeados de acordo com o formato de nomenclatura da empresa.

    Os quiosques são entregues no centro de visitantes uma semana antes de abrir. Durante esse tempo, os quiosques são conectados à rede, todo o gerenciamento de dispositivos para eles é automático e nenhum administrador local é necessário. O Administração confirma que os quiosques estão funcionando conforme necessário:

    • Os clientes nos quiosques completam a atribuição do site e baixam a chave raiz confiável de Active Directory Domain Services.

    • Os clientes nos quiosques são adicionados automaticamente à coleção de dispositivos Windows Embedded e configurados com a janela de manutenção.

    • O cliente do Endpoint Protection está instalado e tem as definições mais recentes de atualização de software para proteção antimalware.

    • O software de apresentação interativo é instalado e é executado automaticamente, pronto para visitantes.

14. Após essa configuração inicial, todas as reinicializações que podem ser necessárias para atualizações ocorrem somente quando o centro de visitantes é fechado.