Implementar uma sequência de tarefas através da Internet

Aplica-se a: Configuration Manager (ramo atual)

O Gestor de Configuração suporta vários métodos para implementar uma sequência de tarefas para clientes remotos através da internet. Pode implementar uma atualização de Windows 10, utilizar suportes de arranque ou iniciá-lo a partir do Software Center. Este artigo abrange as configurações específicas para estes cenários. Primeira utilização Implementar uma sequência de tarefas para criar a implementação básica. Em seguida, use as configurações deste artigo para personalizá-lo para clientes baseados na Internet.

Aviso

Pode gerir o comportamento de implementações de sequência de tarefas de alto risco. Uma implementação de alto risco é uma implementação que é automaticamente instalada e que tem o potencial de causar resultados indesejados. Por exemplo, uma sequência de tarefas que tenha um propósito de necessidade que implementa um SO é considerada uma implementação de alto risco. Para obter mais informações, consulte Definições para gerir implementações de alto risco.

Permitir que a sequência de tarefas corra na internet

Na página Experiência do Utilizador do Assistente de Software de Implantação, pode configurar a implementação para permitir que a sequência de tarefas possa ser executada para o cliente na Internet. Esta definição é necessária para todos os cenários de clientes baseados na Internet. As secções seguintes cobrem os cenários principais quando ativa esta definição.

Nota

A sequência de tarefas avançada definição para Executar outro programa em primeiro lugar não se aplica a sequências de tarefas que funcionam em clientes que comunicam através de um gateway de gestão de nuvem (CMG). Esta opção utiliza o caminho de rede unc do pacote, que não é acessível via CMG.

Windows 10 atualização no local

Utilize esta definição para implementações de uma sequência de tarefa de atualização Windows 10 no local para clientes baseados na Internet através do gateway de gestão de nuvem (CMG). Todas as versões suportadas do Gestor de Configuração suportam este cenário. Para obter mais informações, consulte implementar Windows 10 atualização no local através de CMG.

Instale uma sequência de tarefa de imagem Windows do Software Center

A partir da versão 2006, pode implementar uma sequência de tarefas com uma imagem de arranque para um dispositivo que comunica através do CMG. O utilizador precisa de iniciar a sequência de tarefas a partir do Software Center.

Nota

Quando um cliente Azure Ative Directory (Azure AD)-join executa uma sequência de tarefa de implementação de SO, o cliente no novo SISTEMA não se juntará automaticamente à Azure AD. Mesmo que não seja a Azure AD-joined, o cliente ainda é gerido.

Quando executar uma sequência de tarefas de implementação de SO num cliente baseado na Internet, ou é adcôde Azure ou usa a autenticação baseada em fichas, precisa especificar a propriedade CCMHOSTNAME no passo de Configuração Windows e ConfigMgr.

Utilize meios de arranque para instalar uma sequência de tarefas de imagem Windows

A partir da versão 2010, pode utilizar meios de arranque para reimagemar dispositivos baseados na Internet que se conectam através de um CMG. Este cenário ajuda-o a apoiar melhor os trabalhadores remotos. Se Windows não arrancar para que o utilizador possa aceder ao Software Center, pode agora enviar-lhes uma unidade USB para reinstalar Windows. Para obter mais informações, consulte implementar um SO sobre CMG utilizando meios de arranque.

Na versão de 2002 e mais cedo, as operações que requerem um suporte de arranque não são suportadas com esta definição. Permitir que uma sequência de tarefas seja executada na internet apenas para instalações genéricas de software ou sequências de tarefas baseadas em scripts que executem operações no sistema operativo padrão.

Nota

Para todos os cenários de sequência de tarefas baseados na Internet na versão 2002 e mais cedo, inicie a sequência de tarefas a partir do Software Center. Não suportam Windows PE, PXE ou meios de sequência de tarefas.

Implementar Windows 10 atualização no local via CMG

A sequência de tarefas de atualização Windows 10 no local suporta a implementação de clientes baseados na Internet geridos através do gateway de gestão de nuvem (CMG). Esta capacidade permite que os utilizadores remotos atualizem mais facilmente para Windows 10 sem necessidade de se conectarem à intranet.

Certifique-se de que todos os conteúdos referenciados pela sequência de tarefas de atualização no local são distribuídos a um CMG ativado por conteúdo. Ativar a definição cmg: Permita que a CMG funcione como ponto de distribuição em nuvem e sirva o conteúdo a partir do armazenamento Azure. Caso contrário, os dispositivos não podem executar a sequência de tarefas.

Quando implementar uma sequência de tarefa de atualização, utilize as seguintes definições:

• Permitir que a sequência de tarefas corra para o cliente na Internet, no separador Experiência do Utilizador da implementação.

• Escolha uma das seguintes opções no separador Pontos de Distribuição da implementação:

  • Descarregue o conteúdo localmente quando necessário pela sequência de tarefas de execução. O motor da sequência de tarefas pode descarregar pacotes a pedido a partir de um CMG ativado por conteúdo. Esta opção proporciona flexibilidade adicional com as suas Windows 10 implementações de upgrade no local para dispositivos baseados na Internet.

  • Descarregue todos os conteúdos localmente antes de iniciar a sequência de tarefas. Com esta opção, o cliente Do Gestor de Configuração descarrega o conteúdo a partir da fonte de nuvem antes de iniciar a sequência de tarefas.

• (Opcional) Pré-descarregue o conteúdo para esta sequência de tarefas, no separador Geral da implementação. Para obter mais informações, consulte o conteúdo pré-cache configurar.

Nota

Inicie a sequência de tarefas do Software Center. Este cenário não suporta Windows PE, PXE ou meios de sequência de tarefas.

Suporte para meios de comunicação bootable para conteúdo baseado na nuvem

A partir da versão 2010, os meios de comunicação podem descarregar conteúdo baseado na nuvem. Por exemplo, envia uma chave USB a um utilizador num escritório remoto para reimagem o seu dispositivo. Ou um escritório que tenha um servidor PXE local, mas você quer que os dispositivos priorizem os serviços na nuvem o máximo possível. Em vez de taxar ainda mais o WAN para descarregar grandes conteúdos de implementação de SO, os meios de arranque e as implementações de PXE podem agora obter conteúdo de fontes baseadas na nuvem. Por exemplo, um gateway de gestão de nuvem (CMG) que permite partilhar conteúdos.

Nota

O dispositivo ainda necessita de uma ligação intranet ao ponto de gestão.

Quando a sequência de tarefas é executado, descarrega o conteúdo a partir das fontes baseadas na nuvem. Reveja os smsts.log sobre o cliente.

Pré-requisitos para meios de comunicação

• Ativar a seguinte definição do cliente no grupo Cloud Services: Permitir o acesso ao ponto de distribuição na nuvem. Certifique-se de que a definição do cliente é implantada para os clientes-alvo. Para mais informações, consulte sobre as definições do cliente - Serviços cloud.

• Para o grupo de fronteira em que o cliente está:

  • Associar o CMG ativado pelo conteúdo. Para mais informações, consulte Configurar um grupo de fronteira.

  • Ativar a seguinte opção: Prefere fontes baseadas em nuvem em fontes no local. Para obter mais informações, consulte as opções do grupo Boundary para downloads por pares.

• Distribuir o conteúdo referenciado pela sequência de tarefas à CMG ativada pelo conteúdo.

Implementar um SO sobre CMG utilizando meios de arranque

A partir da versão 2010, pode utilizar os meios de arranque para reimagemar dispositivos baseados na Internet que se conectam através de um CMG. Este cenário ajuda-o a apoiar melhor os trabalhadores remotos. Se Windows não arrancar para que o utilizador possa aceder ao Software Center, pode agora enviar-lhes uma unidade USB para reinstalar Windows.

Pré-requisitos para meios de arranque via CMG

• Configurar um CMG

• Para todos os conteúdos referenciados na sequência de tarefa, distribua-o a um CMG ativado por conteúdo. Para mais informações, consulte Distribute content.

• Ativar as seguintes definições de clientes no grupo de serviços Cloud:

  • Permitir o acesso ao ponto de distribuição de nuvens

  • Permitir que os clientes utilizem um portal de gestão de nuvem

• Configure a rede de aplicação Definições passo da sequência de tarefas para se juntar a um grupo de trabalho. Durante a sequência de tarefas, o dispositivo não pode juntar-se ao domínio do Ative Directory no local. Não tem conectividade com um controlador de domínio para se juntar ao domínio.

• Quando implementar a sequência de tarefas numa coleção, configufique as seguintes definições:

  • Página de experiência do utilizador: Permitir que a sequência de tarefas corra para o cliente na internet

  • Página de definições de implementação: Disponibilizar para uma opção que inclua suportes de comunicação.

  • Página de pontos de distribuição, opções de implementação: Descarregue o conteúdo localmente quando necessário pela sequência de tarefas de execução. Para obter mais informações, consulte as opções de Implementação.

• Certifique-se de que o dispositivo tem uma ligação constante à Internet enquanto a sequência de tarefas é executado. Windows O PE não suporta redes sem fios, por isso o dispositivo precisa de uma ligação de rede com fios.

• Se utilizar um certificado baseado em PKI para o meio de arranque, configurá-lo para SHA256 com o provedor Microsoft Enhanced RSA e AES. Esta configuração do certificado é recomendada, mas não é necessária. O certificado pode ser um certificado v3 (CNG).

• Nas versões de 2010 e 2103, se configurar o ponto de gestão para permitir ligações apenas à Internet, então não pode utilizar o boot media através de um CMG. Para contornar esta questão, configurar o ponto de gestão para permitir ligações intranet e internet.

• Se o seu CMG utilizar um certificado baseado em PKI, tem de adicionar o certificado de raiz fidedigno à imagem de arranque. Caso contrário, Windows PE não pode comunicar com a CMG porque não confia no certificado da CMG. Para obter mais informações, consulte Adicionar um certificado de raiz fidedigno a uma imagem de arranque.

Criar meios de arranque para usar um CMG

Inicie o assistente de mídia de sequência de tarefas para meios de arranque. Para obter mais informações, consulte Criar meios de comunicação para arranque. Modificar o processo padrão utilizando os seguintes passos:

• Na página de Media Management do assistente, selecione a opção para suportes baseados no Site.

• Na página de Segurança, estabeleça uma palavra-passe forte para proteger estes meios de comunicação.

• Na página Boot Image, em 'Management Image', selecione o gateway de gestão Cloud a partir do diálogo Add Management Points.

Quando inicia um dispositivo ligado à Internet utilizando este meio de comunicação, comunica-se com o CMG especificado. O fundo de arranque descarrega a política para a implementação da sequência de tarefas através da CMG. À medida que a sequência de tarefas é executado, descarrega quaisquer conteúdos e políticas adicionais através da internet.

Após a sequência de tarefas, o cliente utiliza a autenticação baseada em fichas.

Adicione um certificado de raiz de confiança a uma imagem de arranque

Se o seu CMG utilizar um certificado baseado em PKI, tem de adicionar o certificado de raiz fidedigno à imagem de arranque. Caso contrário, Windows PE não pode comunicar com a CMG porque não confia no certificado da CMG.

Passo 1: Exportar a bolha do registo de certificados

Num sistema que tem o certificado de raiz fidedigno instalado:

1. Abra a menu Iniciar. Escreva run para abrir a janela Run. Abra mmc.

2. No menu Ficheiro, escolha Adicionar/Remover Snap-in....

3. Na caixa de diálogo Add or Remove Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.

   1. Na caixa de diálogo snap-in certificados, selecione conta de computador e, em seguida, selecione Seguinte.

   2. Na caixa de diálogo Select Computer, selecione computador local e, em seguida, selecione Terminar.

   3. Na caixa de diálogo Add or Remove Snap-ins, selecione OK.

4. Expandir certificados, expandir as Autoridades de Certificação de Raízes Fidedignas, e selecionar Certificados.

5. Selecione o certificado de raiz. No menu Ação, selecione Open.

6. Mude para o separador Detalhes.

7. Copie o valor da impressão digital do certificado. Por exemplo, eb971f84c0c44b9eb22a378fecb45747eb971f84

8. Do menu Iniciar, regedit corra.

9. Navegue pela seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates . Para obter mais informações sobre esta chave de registo, consulte as localizações da Loja do Sistema.

10. Selecione a chave de registo que corresponde à impressão digital do certificado de raiz.

11. No menu Ficheiro, selecione Export. Especifique um nome de ficheiro e guarde o .reg ficheiro.

12. Edite o ficheiro em Bloco de notas. No caminho chave, mude SOFTWARE para winpe-offline , e guarde o arquivo. Por exemplo:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. Copie este ficheiro para um local a que possa aceder para o próximo passo.

Passo 2: Importe a bolha do registo de certificados para a imagem de arranque offline

Num sistema que tem o ficheiro de imagem de arranque:

1. Monte o ficheiro WIM. Por exemplo, DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

2. Do menu Iniciar, regedit corra.

3. Selecione HKEY_LOCAL_MACHINE. No menu Ficheiro, selecione Load Hive.

4. Navegue e C:\Mount\Windows\System32\config selecione SOFTWARE. Este ficheiro é a colmeia de registo offline para a Windows imagem PE montada para C:\Mount .

   Importante

   Certifique-se de que este caminho é para a imagem PE montada Windows, não para o caminho padrão Windows OS.

5. Diga a chave da colmeia winpe-offline carregada.

6. No menu Ficheiro, selecione Import. Navegue no ficheiro modificado .reg que já exportou e modificou. Selecione Abrir.

7. Navegue na seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates e confirme que a nova chave é adicionada.

8. Selecione a seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\winpe-offline . No menu Ficheiro, selecione Descarregar Colmeia, e selecione Sim.

9. Feche o editor de registo e quaisquer outras janelas que refiram ficheiros em C:\Mount .

10. Desmonte a imagem de arranque e cometa as alterações. Por exemplo, DISM /Unmount-image /Commit /MountDir:C:\Mount

A imagem de arranque inclui agora o certificado de raiz fidedigno.

Passos seguintes

Monitorizar implementações de SO

Gerir sequências de tarefas para automatizar tarefas