Wdrażanie sekwencji zadań przez Internet

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Configuration Manager obsługuje różne metody wdrażania sekwencji zadań na klientach zdalnych za pośrednictwem Internetu. Możesz wdrożyć uaktualnienie systemu Windows, użyć nośnika rozruchowego lub uruchomić go z Poziomu Centrum oprogramowania. W tym artykule opisano konkretne konfiguracje dla tych scenariuszy. Najpierw użyj polecenia Wdróż sekwencję zadań , aby utworzyć wdrożenie podstawowe. Następnie użyj konfiguracji w tym artykule, aby dostosować je dla klientów internetowych.

Ostrzeżenie

Można zarządzać zachowaniem wdrożeń sekwencji zadań wysokiego ryzyka. Wdrożenie wysokiego ryzyka to wdrożenie, które jest instalowane automatycznie i może powodować niepożądane wyniki. Na przykład sekwencja zadań, która ma cel Wymagany , który wdraża system operacyjny, jest uważana za wdrożenie wysokiego ryzyka. Aby uzyskać więcej informacji, zobacz Ustawienia zarządzania wdrożeniami wysokiego ryzyka.

Zezwalaj na uruchamianie sekwencji zadań w Internecie

Na stronie Środowisko użytkownika Kreatora wdrażania oprogramowania można skonfigurować wdrożenie na wartość Zezwalaj na uruchamianie sekwencji zadań dla klienta w Internecie. To ustawienie jest wymagane dla wszystkich internetowych scenariuszy klienckich. Poniższe sekcje obejmują główne scenariusze po włączeniu tego ustawienia.

Uwaga

Zaawansowane ustawienie sekwencji zadań Uruchamianie innego programu najpierw nie ma zastosowania do sekwencji zadań uruchamianych na klientach, którzy komunikują się za pośrednictwem bramy zarządzania chmurą (CMG). Ta opcja używa ścieżki sieciowej UNC pakietu, która nie jest dostępna za pośrednictwem usługi CMG.

Uaktualnianie w miejscu systemu Windows

To ustawienie służy do wdrażania sekwencji zadań uaktualniania systemu Windows w miejscu do klientów internetowych za pośrednictwem bramy zarządzania chmurą (CMG). Wszystkie obsługiwane wersje Configuration Manager obsługują ten scenariusz. Aby uzyskać więcej informacji, zobacz Wdrażanie uaktualnienia systemu Windows w miejscu za pośrednictwem programu CMG.

Instalowanie sekwencji zadań obrazowania systemu Windows z centrum oprogramowania

Począwszy od wersji 2006, można wdrożyć sekwencję zadań z obrazem rozruchowym na urządzeniu, które komunikuje się za pośrednictwem usługi CMG. Użytkownik musi uruchomić sekwencję zadań z Centrum oprogramowania.

Uwaga

Gdy klient przyłączony do Microsoft Entra uruchamia sekwencję zadań wdrażania systemu operacyjnego, klient w nowym systemie operacyjnym nie będzie automatycznie dołączał do Microsoft Entra identyfikatora. Mimo że nie jest on Microsoft Entra przyłączony, klient jest nadal zarządzany.

Po uruchomieniu sekwencji zadań wdrażania systemu operacyjnego na kliencie internetowym jest to Microsoft Entra przyłączone lub używa się uwierzytelniania opartego na tokenach, należy określić właściwość CCMHOSTNAME w kroku Konfiguracja systemu Windows i programu ConfigMgr.

Instalowanie sekwencji zadań obrazowania systemu Windows przy użyciu nośnika rozruchowego

Począwszy od wersji 2010, można użyć nośnika rozruchowego do odtworzenia urządzeń internetowych, które łączą się za pośrednictwem cmg. Ten scenariusz pomaga lepiej obsługiwać pracowników zdalnych. Jeśli system Windows nie zostanie uruchomiony, aby użytkownik mógł uzyskać dostęp do Centrum oprogramowania, możesz teraz wysłać mu dysk USB w celu ponownej instalacji systemu Windows. Aby uzyskać więcej informacji, zobacz Deploy an OS over CMG using bootable media (Wdrażanie systemu operacyjnego za pośrednictwem programu CMG przy użyciu nośnika rozruchowego).

W wersji 2002 lub starszej operacje wymagające nośnika rozruchowego nie są obsługiwane w przypadku tego ustawienia. Zezwalaj na uruchamianie sekwencji zadań w Internecie tylko w przypadku ogólnych instalacji oprogramowania lub sekwencji zadań opartych na skryptach, które uruchamiają operacje w standardowym systemie operacyjnym.

Uwaga

W przypadku wszystkich internetowych scenariuszy sekwencji zadań w wersji 2002 lub starszej uruchom sekwencję zadań z poziomu Centrum oprogramowania. Nie obsługują one środowiska Windows PE, PXE ani nośnika sekwencji zadań.

Wdrażanie uaktualnienia systemu Windows w miejscu za pośrednictwem programu CMG

Sekwencja zadań uaktualniania systemu Windows w miejscu obsługuje wdrażanie na klientach internetowych zarządzanych za pośrednictwem bramy zarządzania chmurą (CMG). Ta możliwość umożliwia użytkownikom zdalnym łatwiejsze uaktualnianie do systemu Windows bez konieczności nawiązywania połączenia z intranetem.

Upewnij się, że cała zawartość, do których odwołuje się sekwencja zadań uaktualniania w miejscu, jest dystrybuowana do cmg z obsługą zawartości. Włącz ustawienie cmg: zezwalaj cmg działać jako punkt dystrybucji w chmurze i obsługiwać zawartość z usługi Azure Storage. W przeciwnym razie urządzenia nie mogą uruchomić sekwencji zadań.

Podczas wdrażania sekwencji zadań uaktualniania użyj następujących ustawień:

• Zezwalaj na uruchamianie sekwencji zadań dla klienta w Internecie na karcie Środowisko użytkownika wdrożenia.

• Wybierz jedną z następujących opcji na karcie Punkty dystrybucji wdrożenia:

  • Pobierz zawartość lokalnie w razie potrzeby przez uruchomioną sekwencję zadań. Aparat sekwencji zadań może pobierać pakiety na żądanie z cmg z obsługą zawartości. Ta opcja zapewnia dodatkową elastyczność dzięki wdrożeniom uaktualniania systemu Windows w miejscu na urządzeniach internetowych.

  • Przed rozpoczęciem sekwencji zadań pobierz całą zawartość lokalnie. Dzięki tej opcji klient Configuration Manager pobiera zawartość ze źródła w chmurze przed rozpoczęciem sekwencji zadań.

• (Opcjonalnie) Przed pobraniem zawartości dla tej sekwencji zadań na karcie Ogólne wdrożenia. Aby uzyskać więcej informacji, zobacz Konfigurowanie zawartości wstępnej pamięci podręcznej.

Uwaga

Uruchom sekwencję zadań z centrum oprogramowania. Ten scenariusz nie obsługuje środowiska Windows PE, PXE ani nośnika sekwencji zadań.

Obsługa nośników rozruchowych dla zawartości opartej na chmurze

Począwszy od wersji 2010, nośnik rozruchowy może pobierać zawartość opartą na chmurze. Na przykład wysyłasz klucz USB do użytkownika w zdalnym biurze w celu odtworzenia jego urządzenia. Lub biuro, które ma lokalny serwer PXE, ale chcesz, aby urządzenia jak najwięcej priorytetyzowały usługi w chmurze. Zamiast dalszego opodatkowania sieci WAN w celu pobrania dużej zawartości wdrożenia systemu operacyjnego, nośnik rozruchowy i wdrożenia PXE mogą teraz pobierać zawartość ze źródeł opartych na chmurze. Na przykład brama zarządzania chmurą (CMG), która umożliwia udostępnianie zawartości.

Uwaga

Urządzenie nadal wymaga połączenia intranetowego z punktem zarządzania.

Po uruchomieniu sekwencji zadań pobiera zawartość ze źródeł opartych na chmurze. Przejrzyj plik smsts.log na kliencie.

Wymagania wstępne dotyczące nośnika rozruchowego

• Włącz następujące ustawienie klienta w grupie Cloud Services: Zezwalaj na dostęp do punktu dystrybucji w chmurze. Upewnij się, że ustawienie klienta zostało wdrożone na klientach docelowych. Aby uzyskać więcej informacji, zobacz Informacje o ustawieniach klienta — usługi w chmurze.

• Dla grupy granic, w którą znajduje się klient:

  • Skojarz cmg z obsługą zawartości. Aby uzyskać więcej informacji, zobacz Konfigurowanie grupy granic.

  • Włącz następującą opcję: Preferuj źródła oparte na chmurze w stosunku do źródeł lokalnych. Aby uzyskać więcej informacji, zobacz Opcje grupy granic dla plików równorzędnych.

• Rozłóż zawartość, do których odwołuje się sekwencja zadań, do cmg z włączoną zawartością.

Wdrażanie systemu operacyjnego za pośrednictwem programu CMG przy użyciu nośnika rozruchowego

Począwszy od wersji 2010, można użyć nośnika rozruchowego do ponownego obrazu urządzeń internetowych, które łączą się za pośrednictwem cmg. Ten scenariusz pomaga lepiej obsługiwać pracowników zdalnych. Jeśli system Windows nie zostanie uruchomiony, aby użytkownik mógł uzyskać dostęp do Centrum oprogramowania, możesz teraz wysłać mu dysk USB w celu ponownej instalacji systemu Windows.

Wymagania wstępne dotyczące nośnika rozruchowego za pośrednictwem usługi CMG

• Konfigurowanie cmg

• W przypadku całej zawartości, do których odwołuje się sekwencja zadań, należy ją rozesłać do cmg z obsługą zawartości. Aby uzyskać więcej informacji, zobacz Rozpowszechnianie zawartości.

• Włącz następujące ustawienia klienta w grupie usługi w chmurze :

  • Zezwalaj na dostęp do punktu dystrybucji w chmurze

  • Umożliwianie klientom korzystania z bramy zarządzania chmurą

• Skonfiguruj krok sekwencji zadań Zastosuj ustawienia sieci , aby dołączyć do grupy roboczej. Podczas sekwencji zadań urządzenie nie może dołączyć do domeny lokalna usługa Active Directory. Nie ma łączności z kontrolerem domeny w celu dołączenia do domeny.

• Podczas wdrażania sekwencji zadań w kolekcji skonfiguruj następujące ustawienia:

  • Strona środowiska użytkownika: Zezwalaj na uruchamianie sekwencji zadań dla klienta w Internecie

  • Strona ustawień wdrożenia: udostępnij opcję zawierającą nośniki.

  • Strona punktów dystrybucji, opcje wdrażania: pobierz zawartość lokalnie, gdy jest to wymagane przez uruchomioną sekwencję zadań. Aby uzyskać więcej informacji, zobacz Opcje wdrażania.

• Upewnij się, że urządzenie ma stałe połączenie z Internetem podczas uruchamiania sekwencji zadań. System Windows PE nie obsługuje sieci bezprzewodowych, więc urządzenie wymaga połączenia sieci przewodowej.

• Jeśli używasz certyfikatu opartego na infrastrukturze PKI dla nośnika rozruchowego, skonfiguruj go dla algorytmu SHA256 za pomocą dostawcy microsoft Enhanced RSA i AES. Ta konfiguracja certyfikatu jest zalecana, ale nie jest wymagana. Certyfikat może być certyfikatem w wersji 3 (CNG).

• W wersjach 2010 i 2103 w przypadku skonfigurowania punktu zarządzania na wartość Zezwalaj na połączenia tylko z Internetem nie można używać nośnika rozruchowego za pośrednictwem cmg. Aby obejść ten problem, skonfiguruj punkt zarządzania na wartość Zezwalaj na połączenia intranetowe i internetowe.

• Jeśli usługa CMG używa certyfikatu opartego na infrastrukturze PKI, musisz dodać zaufany certyfikat główny do obrazu rozruchowego. W przeciwnym razie system Windows PE nie może komunikować się z usługą CMG, ponieważ nie ufa certyfikatowi cmg. Aby uzyskać więcej informacji, zobacz Dodawanie zaufanego certyfikatu głównego do obrazu rozruchowego.

Tworzenie nośnika rozruchowego do korzystania z cmg

Uruchom kreatora tworzenia nośnika sekwencji zadań dla nośnika rozruchowego. Aby uzyskać więcej informacji, zobacz Tworzenie nośnika rozruchowego. Zmodyfikuj standardowy proces, wykonując następujące kroki:

• Na stronie Zarządzanie multimediami kreatora wybierz opcję nośnika opartego na witrynie.

• Na stronie Zabezpieczenia ustaw silne hasło, aby chronić ten nośnik.

• Na stronie Obraz rozruchowy w obszarze Punkt zarządzania wybierz bramę zarządzania chmurą w oknie dialogowym Dodawanie punktów zarządzania .

Podczas rozruchu urządzenia połączonego z Internetem przy użyciu tego nośnika komunikuje się ono z określoną grupą cmg. Nośnik rozruchowy pobiera zasady wdrażania sekwencji zadań za pośrednictwem usługi CMG. W miarę uruchamiania sekwencji zadań pobiera ona dodatkową zawartość i zasady przez Internet.

Po uruchomieniu sekwencji zadań klient używa uwierzytelniania opartego na tokenach.

Dodawanie zaufanego certyfikatu głównego do obrazu rozruchowego

Jeśli usługa CMG używa certyfikatu opartego na infrastrukturze PKI, musisz dodać zaufany certyfikat główny do obrazu rozruchowego. W przeciwnym razie system Windows PE nie może komunikować się z usługą CMG, ponieważ nie ufa certyfikatowi cmg.

Krok 1. Eksportowanie obiektu blob rejestru certyfikatów

W systemie z zainstalowanym zaufanym certyfikatem głównym:

1. Otwórz menu Start. Wpisz run , aby otworzyć okno Uruchom. Otwórz plik mmc.

2. Z menu Plik wybierz pozycję Dodaj/Usuń przystawkę....

3. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty, a następnie wybierz pozycję Dodaj.

   1. W oknie dialogowym Przystawka Certyfikaty wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej.

   2. W oknie dialogowym Wybieranie komputera wybierz pozycję Komputer lokalny, a następnie wybierz pozycję Zakończ.

   3. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK.

4. Rozwiń węzeł Certyfikaty, rozwiń pozycję Zaufane główne urzędy certyfikacji i wybierz pozycję Certyfikaty.

5. Wybierz certyfikat główny. W menu Akcja wybierz pozycję Otwórz.

6. Przejdź do karty Szczegóły .

7. Skopiuj wartość odcisku palca certyfikatu. Na przykład: eb971f84c0c44b9eb22a378fecb45747eb971f84

8. Z menu Start uruchom polecenie regedit.

9. Przejdź do następującego klucza rejestru: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Aby uzyskać więcej informacji na temat tego klucza rejestru, zobacz Lokalizacje sklepu systemowego.

10. Wybierz klucz rejestru zgodny z odciskiem palca certyfikatu głównego.

11. W menu Plik wybierz pozycję Eksportuj. Określ nazwę pliku i zapisz .reg plik.

12. Edytuj plik w Notatniku. W ścieżce klucza zmień SOFTWARE wartość na winpe-offlinei zapisz plik. Przykład:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. Skopiuj ten plik do lokalizacji, do którą można uzyskać dostęp w następnym kroku.

Krok 2. Importowanie obiektu blob rejestru certyfikatów do obrazu rozruchowego w trybie offline

W systemie z plikiem obrazu rozruchowego:

1. Zainstaluj plik WIM. Na przykład DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

2. Z menu Start uruchom polecenie regedit.

3. Wybierz pozycję HKEY_LOCAL_MACHINE. W menu Plik wybierz pozycję Załaduj hive.

4. Przejdź do C:\Mount\Windows\System32\config i wybierz pozycję OPROGRAMOWANIE. Ten plik jest gałęzią rejestru w trybie offline dla obrazu systemu Windows PE zainstalowanego w programie C:\Mount.

   Ważna

   Upewnij się, że ta ścieżka jest do zainstalowanego obrazu systemu Windows PE, a nie domyślnej ścieżki systemu operacyjnego Windows.

5. Nadaj kluczowi nazwę załadowanego gałęzi winpe-offline.

6. W menu Plik wybierz pozycję Importuj. Przejdź do zmodyfikowanego .reg pliku, który został wcześniej wyeksportowany i zmodyfikowany. Wybierz opcję Otwórz.

7. Przejdź do następującego klucza rejestru: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates i upewnij się, że nowy klucz został dodany.

8. Wybierz następujący klucz rejestru: Computer\HKEY_LOCAL_MACHINE\winpe-offline. W menu Plik wybierz pozycję Zwolnij gałąź, a następnie wybierz pozycję Tak.

9. Zamknij edytor rejestru i wszystkie inne okna, które odwołują się do plików w programie C:\Mount.

10. Odinstaluj obraz rozruchowy i zatwierdź zmiany. Na przykład DISM /Unmount-image /Commit /MountDir:C:\Mount

Obraz rozruchowy zawiera teraz zaufany certyfikat główny.

Następne kroki

Monitorowanie wdrożeń systemu operacyjnego

Zarządzanie sekwencjami zadań w celu automatyzacji zadań