Implementar una secuencia de tareas a través de Internet

Se aplica a: Configuration Manager (rama actual)

Configuration Manager admite varios métodos para implementar una secuencia de tareas en clientes remotos a través de Internet. Puede implementar una actualización de Windows, usar medios de arranque o iniciarla desde el Centro de software. En este artículo se tratan las configuraciones concretas de estos escenarios. En primer lugar, use Implementar una secuencia de tareas para crear la implementación básica. A continuación, use las configuraciones de este artículo para personalizarla para clientes basados en Internet.

Advertencia

Puede administrar el comportamiento de las implementaciones de secuencia de tareas de alto riesgo. Una implementación de alto riesgo es una implementación que se instala automáticamente y que puede provocar resultados no deseados. Por ejemplo, una secuencia de tareas que tiene el propósito Requerido que implementa un sistema operativo se considera una implementación de alto riesgo. Para obtener más información, consulte Configuración para administrar implementaciones de alto riesgo.

Permitir que la secuencia de tareas se ejecute en Internet

En la página Experiencia del usuario del Asistente para implementar software, puede configurar la implementación para permitir que la secuencia de tareas se ejecute para el cliente en Internet. Esta configuración es necesaria para todos los escenarios de cliente basados en Internet. En las secciones siguientes se tratan los escenarios principales al habilitar esta configuración.

Nota:

La configuración avanzada de secuencia de tareas para ejecutar otro programa en primer lugar no se aplica a las secuencias de tareas que se ejecutan en clientes que se comunican a través de una puerta de enlace de administración en la nube (CMG). Esta opción usa la ruta de acceso de red UNC del paquete, a la que no se puede acceder a través de CMG.

Actualización local de Windows

Use esta configuración para las implementaciones de una secuencia de tareas de actualización local de Windows en clientes basados en Internet a través de la puerta de enlace de administración en la nube (CMG). Todas las versiones admitidas de Configuration Manager admiten este escenario. Para obtener más información, consulte Implementación de la actualización local de Windows a través de CMG.

Instalación de una secuencia de tareas de creación de imágenes de Windows desde el Centro de software

A partir de la versión 2006, puede implementar una secuencia de tareas con una imagen de arranque en un dispositivo que se comunique a través de CMG. El usuario debe iniciar la secuencia de tareas desde el Centro de software.

Nota:

Cuando un cliente unido a Microsoft Entra ejecuta una secuencia de tareas de implementación del sistema operativo, el cliente del nuevo sistema operativo no se unirá automáticamente Microsoft Entra identificador. Aunque no está Microsoft Entra unido, el cliente sigue estando administrado.

Al ejecutar una secuencia de tareas de implementación del sistema operativo en un cliente basado en Internet, que está Microsoft Entra unido o usa la autenticación basada en tokens, debe especificar la propiedad CCMHOSTNAME en el paso Configurar Windows y ConfigMgr.

Uso de medios de arranque para instalar una secuencia de tareas de creación de imágenes de Windows

A partir de la versión 2010, puede usar medios de arranque para volver a crear imágenes de dispositivos basados en Internet que se conectan a través de un CMG. Este escenario le ayuda a admitir mejor a los trabajadores remotos. Si Windows no se inicia para que el usuario pueda acceder al Centro de software, ahora puede enviarle una unidad USB para reinstalar Windows. Para obtener más información, consulte Implementación de un sistema operativo a través de CMG mediante medios de arranque.

En la versión 2002 y versiones anteriores, las operaciones que requieren un medio de arranque no se admiten con esta configuración. Permitir que una secuencia de tareas se ejecute en Internet solo para instalaciones de software genérico o secuencias de tareas basadas en scripts que ejecutan operaciones en el sistema operativo estándar.

Nota:

Para todos los escenarios de secuencia de tareas basados en Internet de la versión 2002 y anteriores, inicie la secuencia de tareas desde el Centro de software. No admiten windows PE, PXE ni medios de secuencia de tareas.

Implementación de la actualización local de Windows a través de CMG

La secuencia de tareas de actualización local de Windows admite la implementación en clientes basados en Internet administrados a través de la puerta de enlace de administración en la nube (CMG). Esta capacidad permite a los usuarios remotos actualizar más fácilmente a Windows sin necesidad de conectarse a la intranet.

Asegúrese de que todo el contenido al que hace referencia la secuencia de tareas de actualización local se distribuye a un CMG habilitado para contenido. Habilitar la configuración de CMG: permitir que CMG funcione como un punto de distribución de nube y sirva contenido de Azure Storage. De lo contrario, los dispositivos no pueden ejecutar la secuencia de tareas.

Al implementar una secuencia de tareas de actualización, use la siguiente configuración:

• Permitir que la secuencia de tareas se ejecute para el cliente en Internet, en la pestaña Experiencia del usuario de la implementación.

• Elija una de las siguientes opciones en la pestaña Puntos de distribución de la implementación:

  • Descargue contenido localmente cuando sea necesario para la secuencia de tareas en ejecución. El motor de secuencia de tareas puede descargar paquetes a petición desde un CMG habilitado para contenido. Esta opción proporciona flexibilidad adicional con las implementaciones de actualización local de Windows a dispositivos basados en Internet.

  • Descargue todo el contenido localmente antes de iniciar la secuencia de tareas. Con esta opción, el cliente Configuration Manager descarga el contenido del origen de la nube antes de iniciar la secuencia de tareas.

• (Opcional) Descargue previamente el contenido de esta secuencia de tareas, en la pestaña General de la implementación. Para obtener más información, consulte Configuración del contenido anterior a la caché.

Nota:

Inicie la secuencia de tareas desde el Centro de software. Este escenario no admite windows PE, PXE ni medios de secuencia de tareas.

Compatibilidad con medios de arranque para contenido basado en la nube

A partir de la versión 2010, los medios de arranque pueden descargar contenido basado en la nube. Por ejemplo, envía una clave USB a un usuario en una oficina remota para volver a crear una imagen de su dispositivo. O una oficina que tiene un servidor PXE local, pero quiere que los dispositivos prioricen los servicios en la nube tanto como sea posible. En lugar de gravar aún más la WAN para descargar contenido de implementación de sistema operativo grande, los medios de arranque y las implementaciones pxe ahora pueden obtener contenido de orígenes basados en la nube. Por ejemplo, una puerta de enlace de administración en la nube (CMG) que se habilita para compartir contenido.

Nota:

El dispositivo todavía necesita una conexión de intranet al punto de administración.

Cuando se ejecuta la secuencia de tareas, descarga contenido de los orígenes basados en la nube. Revise smsts.log en el cliente.

Requisitos previos para medios de arranque

• Habilite la siguiente configuración de cliente en el grupo de Cloud Services: Permitir el acceso al punto de distribución de nube. Asegúrese de que la configuración de cliente está implementada en los clientes de destino. Para obtener más información, consulte Acerca de la configuración de cliente: servicios en la nube.

• Para el grupo de límites en el que se encuentra el cliente:

  • Asocie la instancia de CMG habilitada para contenido. Para obtener más información, vea Configurar un grupo de límites.

  • Habilite la opción siguiente: Preferir orígenes basados en la nube en lugar de orígenes locales. Para obtener más información, consulte Opciones del grupo de límites para descargas del mismo nivel.

• Distribuya el contenido al que hace referencia la secuencia de tareas a cmg habilitado para contenido.

Implementación de un sistema operativo a través de CMG mediante medios de arranque

A partir de la versión 2010, puede usar medios de arranque para volver a crear una imagen de los dispositivos basados en Internet que se conectan a través de un CMG. Este escenario le ayuda a admitir mejor a los trabajadores remotos. Si Windows no se inicia para que el usuario pueda acceder al Centro de software, ahora puede enviarle una unidad USB para reinstalar Windows.

Requisitos previos para los medios de arranque a través de CMG

• Configuración de CMG

• Para todo el contenido al que se hace referencia en la secuencia de tareas, distribúyalo a un CMG habilitado para contenido. Para obtener más información, consulte Distribución de contenido.

• Habilite la siguiente configuración de cliente en el grupo Servicios en la nube :

  • Permitir el acceso al punto de distribución de nube

  • Permitir que los clientes usen una puerta de enlace de administración en la nube

• Configure el paso de secuencia de tareas Aplicar configuración de red para unirse a un grupo de trabajo. Durante la secuencia de tareas, el dispositivo no puede unirse al dominio Active Directory local. No tiene conectividad con un controlador de dominio para unirse al dominio.

• Al implementar la secuencia de tareas en una colección, configure los siguientes valores:

  • Página experiencia del usuario: Permitir que la secuencia de tareas se ejecute para el cliente en Internet

  • Página Configuración de implementación: haga que esté disponible para una opción que incluya medios.

  • Página Puntos de distribución, opciones de implementación: descargue contenido localmente cuando sea necesario para la secuencia de tareas en ejecución. Para obtener más información, consulte Opciones de implementación.

• Asegúrese de que el dispositivo tiene una conexión constante a Internet mientras se ejecuta la secuencia de tareas. Windows PE no admite redes inalámbricas, por lo que el dispositivo necesita una conexión de red cableada.

• Si usa un certificado basado en PKI para los medios de arranque, configúrelo para SHA256 con el proveedor RSA mejorado de Microsoft y AES. Se recomienda esta configuración de certificado, pero no es necesaria. El certificado puede ser un certificado v3 (CNG).

• En las versiones 2010 y 2103, si configura el punto de administración en Permitir conexiones solo a Internet, no puede usar medios de arranque a través de un CMG. Para solucionar este problema, configure el punto de administración en Permitir conexiones de Intranet e Internet.

• Si cmg usa un certificado basado en PKI, debe agregar el certificado raíz de confianza a la imagen de arranque. De lo contrario, Windows PE no puede comunicarse con cmg porque no confía en el certificado de CMG. Para obtener más información, vea Agregar un certificado raíz de confianza a una imagen de arranque.

Creación de medios de arranque para usar una instancia de CMG

Inicie el Asistente para crear medios de secuencia de tareas para medios de arranque. Para obtener más información, consulte Creación de medios de arranque. Modifique el proceso estándar mediante los pasos siguientes:

• En la página Administración de medios del asistente, seleccione la opción de medios basados en el sitio.

• En la página Seguridad , establezca una contraseña segura para proteger este medio.

• En la página Imagen de arranque , en Punto de administración , seleccione cloud management gateway en el cuadro de diálogo Agregar puntos de administración .

Al arrancar un dispositivo conectado a Internet mediante este medio, se comunica con el CMG especificado. Los medios de arranque descargan la directiva para la implementación de la secuencia de tareas a través de CMG. A medida que se ejecuta la secuencia de tareas, descarga cualquier contenido adicional y directivas a través de Internet.

Una vez ejecutada la secuencia de tareas, el cliente usa la autenticación basada en tokens.

Adición de un certificado raíz de confianza a una imagen de arranque

Si cmg usa un certificado basado en PKI, debe agregar el certificado raíz de confianza a la imagen de arranque. De lo contrario, Windows PE no puede comunicarse con cmg porque no confía en el certificado de CMG.

Paso 1: Exportación del blob del Registro de certificados

En un sistema que tenga instalado el certificado raíz de confianza:

1. Abra el menú Inicio. Escriba run para abrir la ventana Ejecutar. Abra mmc.

2. En el menú Archivo, elija Agregar o quitar complemento....

3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados y, a continuación, seleccione Agregar.

   1. En el cuadro de diálogo Complemento Certificados, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.

   2. En el cuadro de diálogo Seleccionar equipo, seleccione Equipo local y, a continuación, seleccione Finalizar.

   3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Aceptar.

4. Expanda Certificados, entidades de certificación raíz de confianza y seleccione Certificados.

5. Seleccione el certificado raíz. En el menú Acción , seleccione Abrir.

6. Cambie a la pestaña Detalles .

7. Copie el valor de la huella digital del certificado. Por ejemplo, eb971f84c0c44b9eb22a378fecb45747eb971f84

8. En el menú Inicio, ejecute regedit.

9. Vaya a la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Para obtener más información sobre esta clave del Registro, consulte Ubicaciones del Almacén del sistema.

10. Seleccione la clave del Registro que coincida con la huella digital del certificado raíz.

11. En el menú Archivo , seleccione Exportar. Especifique un nombre de archivo y guarde el .reg archivo.

12. Edite el archivo en el Bloc de notas. En la ruta de acceso de la clave, cambie SOFTWARE a winpe-offliney guarde el archivo. Por ejemplo:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. Copie este archivo en una ubicación a la que pueda acceder para el paso siguiente.

Paso 2: Importar el blob del Registro de certificados a la imagen de arranque sin conexión

En un sistema que tiene el archivo de imagen de arranque:

1. Monte el archivo WIM. Por ejemplo, DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

2. En el menú Inicio, ejecute regedit.

3. Seleccione HKEY_LOCAL_MACHINE. En el menú Archivo , seleccione Cargar Hive.

4. Vaya a C:\Mount\Windows\System32\config y seleccione SOFTWARE. Este archivo es el subárbol del Registro sin conexión para la imagen de Windows PE montada en C:\Mount.

   Importante

   Asegúrese de que esta ruta de acceso es a la imagen montada de Windows PE, no a la ruta de acceso predeterminada del sistema operativo Windows.

5. Asigne a la clave el nombre del subárbol winpe-offlinecargado.

6. En el menú Archivo , seleccione Importar. Vaya al archivo modificado .reg que exportó y modificó anteriormente. Seleccione Abrir.

7. Vaya a la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates y confirme que se ha agregado la nueva clave.

8. Seleccione la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\winpe-offline. En el menú Archivo , seleccione Descargar Hive y seleccione Sí.

9. Cierre el editor del Registro y cualquier otra ventana que haga referencia a los archivos de C:\Mount.

10. Desmonte la imagen de arranque y confirme los cambios. Por ejemplo: DISM /Unmount-image /Commit /MountDir:C:\Mount

La imagen de arranque ahora incluye el certificado raíz de confianza.

Pasos siguientes

Supervisión de implementaciones del sistema operativo

Administración de secuencias de tareas para automatizar tareas