Déployer une séquence de tâches sur Internet
S’applique à : Configuration Manager (branche actuelle)
Configuration Manager prend en charge différentes méthodes pour déployer une séquence de tâches sur des clients distants via Internet. Vous pouvez déployer une mise à niveau Windows, utiliser un média de démarrage ou la démarrer à partir du Centre logiciel. Cet article décrit les configurations particulières pour ces scénarios. Tout d’abord , utilisez Déployer une séquence de tâches pour créer le déploiement de base. Utilisez ensuite les configurations de cet article pour le personnaliser pour les clients Basés sur Internet.
Avertissement
Vous pouvez gérer le comportement des déploiements de séquences de tâches à haut risque. Un déploiement à haut risque est un déploiement qui est automatiquement installé et qui peut entraîner des résultats indésirables. Par exemple, une séquence de tâches dont l’objectif est Obligatoire et qui déploie un système d’exploitation est considérée comme un déploiement à haut risque. Pour plus d’informations, consultez Paramètres pour gérer les déploiements à haut risque.
Autoriser l’exécution de la séquence de tâches sur Internet
Dans la page Expérience utilisateur de l’Assistant Déploiement logiciel, vous pouvez configurer le déploiement sur Autoriser l’exécution de la séquence de tâches pour le client sur Internet. Ce paramètre est requis pour tous les scénarios clients basés sur Internet. Les sections suivantes couvrent les principaux scénarios lorsque vous activez ce paramètre.
Remarque
Le paramètre avancé de séquence de tâches Exécuter un autre programme en premier ne s’applique pas aux séquences de tâches qui s’exécutent sur les clients qui communiquent via une passerelle de gestion cloud (CMG). Cette option utilise le chemin réseau UNC du package, qui n’est pas accessible via la passerelle de gestion cloud.
Mise à niveau sur place de Windows
Utilisez ce paramètre pour les déploiements d’une séquence de tâches de mise à niveau windows sur place vers des clients Basés sur Internet via la passerelle de gestion cloud (CMG). Toutes les versions prises en charge de Configuration Manager prennent en charge ce scénario. Pour plus d’informations, consultez Déployer la mise à niveau sur place de Windows via la passerelle de gestion cloud.
Installer une séquence de tâches de création d’images Windows à partir du Centre logiciel
À compter de la version 2006, vous pouvez déployer une séquence de tâches avec une image de démarrage sur un appareil qui communique via la passerelle de gestion cloud. L’utilisateur doit démarrer la séquence de tâches à partir du Centre logiciel.
Remarque
Lorsqu’un client joint à Microsoft Entra exécute une séquence de tâches de déploiement de système d’exploitation, le client dans le nouveau système d’exploitation ne rejoint pas automatiquement l’ID Microsoft Entra. Même s’il ne s’agit pas de Microsoft Entra joint, le client est toujours géré.
Lorsque vous exécutez une séquence de tâches de déploiement de système d’exploitation sur un client Basé sur Internet, joint à Microsoft Entra ou utilisant l’authentification basée sur les jetons, vous devez spécifier la propriété CCMHOSTNAME à l’étape Configurer Windows et ConfigMgr .
Utiliser un média de démarrage pour installer une séquence de tâches de création d’images Windows
À compter de la version 2010, vous pouvez utiliser un média de démarrage pour réimager des appareils Basés sur Internet qui se connectent via une passerelle de gestion cloud. Ce scénario vous aide à mieux prendre en charge les travailleurs à distance. Si Windows ne démarre pas afin que l’utilisateur puisse accéder au Centre logiciel, vous pouvez maintenant lui envoyer un lecteur USB pour réinstaller Windows. Pour plus d’informations, consultez Déployer un système d’exploitation sur la passerelle de gestion cloud à l’aide d’un média de démarrage.
Dans les versions 2002 et antérieures, les opérations qui nécessitent un support de démarrage ne sont pas prises en charge avec ce paramètre. Autoriser l’exécution d’une séquence de tâches sur Internet uniquement pour les installations de logiciels génériques ou les séquences de tâches basées sur des scripts qui exécutent des opérations dans le système d’exploitation standard.
Remarque
Pour tous les scénarios de séquence de tâches basés sur Internet dans les versions 2002 et antérieures, démarrez la séquence de tâches à partir du Centre logiciel. Ils ne prennent pas en charge windows PE, PXE ou média de séquence de tâches.
Déployer la mise à niveau sur place de Windows via la passerelle de gestion cloud
La séquence de tâches de mise à niveau sur place de Windows prend en charge le déploiement sur des clients Basés sur Internet gérés via la passerelle de gestion cloud (CMG). Cette fonctionnalité permet aux utilisateurs distants de mettre plus facilement à niveau vers Windows sans avoir à se connecter à l’intranet.
Assurez-vous que tout le contenu référencé par la séquence de tâches de mise à niveau sur place est distribué à une passerelle de gestion cloud prenant en charge le contenu. Activer le paramètre de passerelle de gestion cloud : Autoriser la passerelle de gestion cloud à fonctionner en tant que point de distribution cloud et à fournir du contenu à partir du stockage Azure. Sinon, les appareils ne peuvent pas exécuter la séquence de tâches.
Lorsque vous déployez une séquence de tâches de mise à niveau, utilisez les paramètres suivants :
Autoriser l’exécution de la séquence de tâches pour le client sur Internet, sous l’onglet Expérience utilisateur du déploiement.
Choisissez l’une des options suivantes sous l’onglet Points de distribution du déploiement :
Téléchargez le contenu localement si nécessaire par la séquence de tâches en cours d’exécution. Le moteur de séquence de tâches peut télécharger des packages à la demande à partir d’une passerelle de gestion cloud prenant en charge le contenu. Cette option offre une flexibilité supplémentaire avec vos déploiements de mise à niveau windows sur place sur des appareils Basés sur Internet.
Téléchargez tout le contenu localement avant de commencer la séquence de tâches. Avec cette option, le client Configuration Manager télécharge le contenu à partir de la source cloud avant de démarrer la séquence de tâches.
(Facultatif) Pré-télécharger le contenu de cette séquence de tâches, sous l’onglet Général du déploiement. Pour plus d’informations, consultez Configurer le contenu de pré-mise en cache.
Remarque
Démarrez la séquence de tâches à partir du Centre logiciel. Ce scénario ne prend pas en charge le média windows PE, PXE ou de séquence de tâches.
Prise en charge des médias de démarrage pour le contenu cloud
À compter de la version 2010, le média de démarrage peut télécharger du contenu cloud. Par exemple, vous envoyez une clé USB à un utilisateur d’un bureau distant pour réimager son appareil. Ou un bureau disposant d’un serveur PXE local, mais vous souhaitez que les appareils hiérarchisent les services cloud autant que possible. Au lieu de taxer davantage le WAN pour télécharger le contenu de déploiement de système d’exploitation volumineux, les supports de démarrage et les déploiements PXE peuvent désormais obtenir du contenu à partir de sources cloud. Par exemple, une passerelle de gestion cloud (CMG) que vous activez pour partager du contenu.
Remarque
L’appareil a toujours besoin d’une connexion intranet au point de gestion.
Lorsque la séquence de tâches s’exécute, elle télécharge le contenu à partir des sources cloud. Passez en revue smsts.log sur le client.
Conditions préalables pour le média de démarrage
Activez le paramètre client suivant dans le groupe Services cloud : Autoriser l’accès au point de distribution cloud. Vérifiez que le paramètre client est déployé sur les clients cibles. Pour plus d’informations, consultez À propos des paramètres client - Services cloud.
Pour le groupe de limites dans lequel se trouve le client :
Associez la passerelle de gestion cloud prenant en charge le contenu. Pour plus d’informations, consultez Configurer un groupe de limites.
Activez l’option suivante : Préférer les sources cloud aux sources locales. Pour plus d’informations, consultez Options de groupe de limites pour les téléchargements d’homologues.
Distribuez le contenu référencé par la séquence de tâches à la passerelle de gestion cloud prenant en charge le contenu.
Déployer un système d’exploitation sur une passerelle de gestion cloud à l’aide d’un média de démarrage
À compter de la version 2010, vous pouvez utiliser le média de démarrage pour réimager des appareils Basés sur Internet qui se connectent via une passerelle de gestion cloud. Ce scénario vous aide à mieux prendre en charge les travailleurs à distance. Si Windows ne démarre pas afin que l’utilisateur puisse accéder au Centre logiciel, vous pouvez maintenant lui envoyer un lecteur USB pour réinstaller Windows.
Prérequis pour le support de démarrage via la passerelle de gestion cloud
Pour tout le contenu référencé dans la séquence de tâches, distribuez-le à une passerelle de gestion cloud prenant en charge le contenu. Pour plus d’informations, consultez Distribuer du contenu.
Activez les paramètres client suivants dans le groupe Services cloud :
Autoriser l’accès au point de distribution cloud
Autoriser les clients à utiliser une passerelle de gestion cloud
Configurez l’étape de séquence de tâches Appliquer les paramètres réseau pour rejoindre un groupe de travail. Pendant la séquence de tâches, l’appareil ne peut pas joindre le domaine Active Directory local. Il n’a pas de connectivité à un contrôleur de domaine pour joindre le domaine.
Lorsque vous déployez la séquence de tâches sur un regroupement, configurez les paramètres suivants :
Page Expérience utilisateur : Autoriser l’exécution de la séquence de tâches pour le client sur Internet
Page paramètres de déploiement : rendre disponible pour une option qui inclut un média.
Page Points de distribution, options de déploiement : téléchargez le contenu localement si nécessaire par la séquence de tâches en cours d’exécution. Pour plus d’informations, consultez Options de déploiement.
Vérifiez que l’appareil dispose d’une connexion Internet constante pendant l’exécution de la séquence de tâches. Windows PE ne prend pas en charge les réseaux sans fil. L’appareil a donc besoin d’une connexion réseau câblée.
Si vous utilisez un certificat PKI pour le support de démarrage, configurez-le pour SHA256 avec le fournisseur RSA et AES microsoft améliorés. Cette configuration de certificat est recommandée, mais pas obligatoire. Le certificat peut être un certificat v3 (CNG).
Dans les versions 2010 et 2103, si vous configurez le point de gestion sur Autoriser les connexions Internet uniquement, vous ne pouvez pas utiliser de média de démarrage sur une passerelle de gestion cloud. Pour contourner ce problème, configurez le point de gestion sur Autoriser les connexions intranet et Internet.
Si votre passerelle de gestion cloud utilise un certificat PKI, vous devez ajouter le certificat racine approuvé à l’image de démarrage. Sinon, Windows PE ne peut pas communiquer avec la passerelle de gestion cloud, car il n’approuve pas le certificat de la passerelle de gestion cloud. Pour plus d’informations, consultez Ajouter un certificat racine approuvé à une image de démarrage.
Créer un média de démarrage pour utiliser une passerelle de gestion cloud
Démarrez l’Assistant Création d’un média de séquence de tâches pour le média de démarrage. Pour plus d’informations, consultez Créer un média de démarrage. Modifiez le processus standard en procédant comme suit :
Dans la page Gestion des médias de l’Assistant, sélectionnez l’option Média basé sur le site.
Dans la page Sécurité , définissez un mot de passe fort pour protéger ce média.
Dans la page Image de démarrage , sous Point de gestion , sélectionnez la passerelle de gestion cloud dans la boîte de dialogue Ajouter des points de gestion .
Lorsque vous démarrez un appareil connecté à Internet à l’aide de ce média, il communique avec la passerelle de gestion cloud spécifiée. Le média de démarrage télécharge la stratégie pour le déploiement de la séquence de tâches via la passerelle de gestion cloud. Au fur et à mesure que la séquence de tâches s’exécute, elle télécharge tout contenu et stratégies supplémentaires sur Internet.
Une fois la séquence de tâches exécutée, le client utilise l’authentification basée sur les jetons.
Ajouter un certificat racine approuvé à une image de démarrage
Si votre passerelle de gestion cloud utilise un certificat PKI, vous devez ajouter le certificat racine approuvé à l’image de démarrage. Sinon, Windows PE ne peut pas communiquer avec la passerelle de gestion cloud, car il n’approuve pas le certificat de la passerelle de gestion cloud.
Étape 1 : Exporter l’objet blob du registre de certificats
Sur un système sur lequel le certificat racine approuvé est installé :
Ouvrez le menu Démarrer. Tapez
run
pour ouvrir la fenêtre Exécuter. Ouvrezmmc
.Dans le menu Fichier, choisissez Ajouter/Supprimer un composant logiciel enfichable...
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis Ajouter.
Dans la boîte de dialogue composant logiciel enfichable Certificats, sélectionnez Compte d’ordinateur, puis Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur, sélectionnez Ordinateur local, puis Terminer.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez OK.
Développez Certificats, autorités de certification racines approuvées, puis sélectionnez Certificats.
Sélectionnez le certificat racine. Dans le menu Action , sélectionnez Ouvrir.
Basculez vers l’onglet Détails .
Copiez la valeur de l’empreinte numérique du certificat. Par exemple
eb971f84c0c44b9eb22a378fecb45747eb971f84
Dans le menu Démarrer, exécutez
regedit
.Accédez à la clé de Registre suivante :
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
. Pour plus d’informations sur cette clé de Registre, consultez Emplacements du magasin système.Sélectionnez la clé de Registre qui correspond à l’empreinte numérique du certificat racine.
Dans le menu Fichier , sélectionnez Exporter. Spécifiez un nom de fichier et enregistrez le
.reg
fichier.Modifiez le fichier dans le Bloc-notes. Dans le chemin de la clé, remplacez par
SOFTWARE
winpe-offline
, puis enregistrez le fichier. Par exemple :[HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]
Copiez ce fichier à un emplacement auquel vous pouvez accéder pour l’étape suivante.
Étape 2 : Importer l’objet blob du registre de certificats dans l’image de démarrage hors connexion
Sur un système qui contient le fichier image de démarrage :
Montez le fichier WIM. Par exemple :
DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount
.Dans le menu Démarrer, exécutez
regedit
.Sélectionnez HKEY_LOCAL_MACHINE. Dans le menu Fichier , sélectionnez Charger Hive.
Accédez à
C:\Mount\Windows\System32\config
et sélectionnez LOGICIEL. Ce fichier est la ruche de Registre hors connexion pour l’image Windows PE montée surC:\Mount
.Importante
Assurez-vous que ce chemin d’accès correspond à l’image Windows PE montée, et non au chemin d’accès du système d’exploitation Windows par défaut.
Nommez la clé de la ruche
winpe-offline
chargée .Dans le menu Fichier , sélectionnez Importer. Accédez au fichier modifié
.reg
que vous avez précédemment exporté et modifié. Sélectionnez Ouvrir.Accédez à la clé de Registre suivante :
Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates
et vérifiez que la nouvelle clé est ajoutée.Sélectionnez la clé de Registre suivante :
Computer\HKEY_LOCAL_MACHINE\winpe-offline
. Dans le menu Fichier, sélectionnez Décharger Hive, puis Oui.Fermez l’éditeur du Registre et toutes les autres fenêtres qui référencent des fichiers dans
C:\Mount
.Démontez l’image de démarrage et validez les modifications. Par exemple,
DISM /Unmount-image /Commit /MountDir:C:\Mount
L’image de démarrage inclut désormais le certificat racine approuvé.