Implantar uma sequência de tarefas pela Internet

Aplica-se a: Configuration Manager (branch atual)

O Configuration Manager suporta vários métodos para implementar uma sequência de tarefas em clientes remotos através da Internet. Pode implementar uma atualização do Windows, utilizar suportes de dados de arranque ou iniciá-lo a partir do Centro de Software. Este artigo abrange as configurações específicas para estes cenários. Primeiro, utilize Implementar uma sequência de tarefas para criar a implementação básica. Em seguida, utilize as configurações neste artigo para personalizá-lo para clientes baseados na Internet.

Aviso

Pode gerir o comportamento de implementações de sequência de tarefas de alto risco. Uma implementação de alto risco é uma implementação que é instalada automaticamente e tem o potencial de causar resultados indesejados. Por exemplo, uma sequência de tarefas com o objetivo Necessário que implementa um SO é considerada uma implementação de alto risco. Para obter mais informações, veja Definições para gerir implementações de alto risco.

Permitir a execução da sequência de tarefas na Internet

Na página Experiência do Utilizador do Assistente para Implementar Software, pode configurar a implementação para Permitir a execução da sequência de tarefas para o cliente na Internet. Esta definição é necessária para todos os cenários de cliente baseados na Internet. As secções seguintes abrangem os principais cenários quando ativa esta definição.

Observação

A definição avançada da sequência de tarefas para Executar outro programa em primeiro lugar não se aplica a sequências de tarefas executadas em clientes que comunicam através de um gateway de gestão da cloud (CMG). Esta opção utiliza o caminho de rede UNC do pacote, que não é acessível através do CMG.

Atualização no local do Windows

Utilize esta definição para implementações de uma sequência de tarefas de atualização no local do Windows para clientes baseados na Internet através do gateway de gestão da cloud (CMG). Todas as versões suportadas do Configuration Manager suportam este cenário. Para obter mais informações, veja Implementar a atualização no local do Windows através do CMG.

Instalar uma sequência de tarefas de processamento de imagens do Windows a partir do Centro de Software

A partir da versão 2006, pode implementar uma sequência de tarefas com uma imagem de arranque num dispositivo que comunica através do CMG. O utilizador tem de iniciar a sequência de tarefas a partir do Centro de Software.

Observação

Quando um cliente associado ao Microsoft Entra executa uma sequência de tarefas de implementação do SO, o cliente no novo SO não se associa automaticamente ao ID do Microsoft Entra. Apesar de não estar associado ao Microsoft Entra, o cliente ainda é gerido.

Quando executa uma sequência de tarefas de implementação do SO num cliente baseado na Internet, que é associada ao Microsoft Entra ou utiliza a autenticação baseada em tokens, tem de especificar a propriedade CCMHOSTNAME no passo Configurar Windows e ConfigMgr .

Utilizar suportes de dados de arranque para instalar uma sequência de tarefas do Windows Imaging

A partir da versão 2010, pode utilizar suportes de dados de arranque para recriar a imagem de dispositivos baseados na Internet que se ligam através de um CMG. Este cenário ajuda-o a suportar melhor os trabalhadores remotos. Se o Windows não iniciar para que o utilizador possa aceder ao Centro de Software, pode agora enviar-lhe uma pen USB para reinstalar o Windows. Para obter mais informações, veja Deploy an OS over CMG using bootable media (Implementar um SO através de CMG com suportes de dados de arranque).

Na versão 2002 e anterior, as operações que requerem um suporte de dados de arranque não são suportadas com esta definição. Permitir que uma sequência de tarefas seja executada na Internet apenas para instalações de software genéricas ou sequências de tarefas baseadas em scripts que executam operações no SO padrão.

Observação

Para todos os cenários de sequência de tarefas baseados na Internet na versão 2002 e anterior, inicie a sequência de tarefas a partir do Centro de Software. Não suportam windows PE, PXE ou suporte de dados de sequência de tarefas.

Implementar a atualização no local do Windows através do CMG

A sequência de tarefas de atualização no local do Windows suporta a implementação para clientes baseados na Internet geridos através do gateway de gestão da cloud (CMG). Esta capacidade permite que os utilizadores remotos atualizem mais facilmente para o Windows sem precisarem de se ligar à intranet.

Certifique-se de que todos os conteúdos referenciados pela sequência de tarefas de atualização no local são distribuídos para um CMG compatível com conteúdo. Ative a definição CMG: permita que o CMG funcione como um ponto de distribuição na cloud e sirva conteúdo do armazenamento do Azure. Caso contrário, os dispositivos não podem executar a sequência de tarefas.

Quando implementar uma sequência de tarefas de atualização, utilize as seguintes definições:

• Permitir que a sequência de tarefas seja executada para o cliente na Internet, no separador Experiência do Utilizador da implementação.

• Escolha uma das seguintes opções no separador Pontos de Distribuição da implementação:

  • Transfira conteúdo localmente quando necessário pela sequência de tarefas em execução. O motor de sequência de tarefas pode transferir pacotes a pedido a partir de um CMG compatível com conteúdo. Esta opção proporciona flexibilidade adicional com as implementações de atualização no local do Windows para dispositivos baseados na Internet.

  • Transfira todos os conteúdos localmente antes de iniciar a sequência de tarefas. Com esta opção, o cliente do Configuration Manager transfere o conteúdo da origem da cloud antes de iniciar a sequência de tarefas.

• (Opcional) Pré-transferir conteúdo para esta sequência de tarefas, no separador Geral da implementação. Para obter mais informações, veja Configurar conteúdo de pré-cache.

Observação

Inicie a sequência de tarefas a partir do Centro de Software. Este cenário não suporta suportes de dados de sequência de tarefas, PXE ou Windows PE.

Suporte de dados de arranque para conteúdo baseado na cloud

A partir da versão 2010, os suportes de dados de arranque podem transferir conteúdo baseado na cloud. Por exemplo, envia uma chave USB para um utilizador num escritório remoto para recriar a imagem do respetivo dispositivo. Ou um escritório que tenha um servidor PXE local, mas quer que os dispositivos dêem prioridade aos serviços cloud tanto quanto possível. Em vez de tributar ainda mais a WAN para transferir conteúdos de implementação de SO de grandes dimensões, os suportes de dados de arranque e as implementações PXE podem agora obter conteúdos de origens baseadas na cloud. Por exemplo, um gateway de gestão da cloud (CMG) que permite partilhar conteúdos.

Observação

O dispositivo ainda precisa de uma ligação de intranet ao ponto de gestão.

Quando a sequência de tarefas é executada, transfere o conteúdo das origens baseadas na cloud. Reveja smsts.log no cliente.

Pré-requisitos para suportes de dados de arranque

• Ative a seguinte definição de cliente no grupo Serviços Cloud : Permitir acesso ao ponto de distribuição na cloud. Certifique-se de que a definição de cliente está implementada nos clientes de destino. Para obter mais informações, veja Acerca das definições do cliente – Serviços cloud.

• Para o grupo de limites no qual o cliente se encontra:

  • Associe o CMG compatível com conteúdo. Para obter mais informações, veja Configurar um grupo de limites.

  • Ative a seguinte opção: prefira origens baseadas na cloud em vez de origens no local. Para obter mais informações, veja Opções de grupo de limites para transferências de elementos da rede.

• Distribua o conteúdo referenciado pela sequência de tarefas para o CMG compatível com conteúdo.

Implementar um SO através de CMG com suportes de dados de arranque

A partir da versão 2010, pode utilizar suportes de dados de arranque para recriar a imagem de dispositivos baseados na Internet que se ligam através de um CMG. Este cenário ajuda-o a suportar melhor os trabalhadores remotos. Se o Windows não iniciar para que o utilizador possa aceder ao Centro de Software, pode agora enviar-lhe uma pen USB para reinstalar o Windows.

Pré-requisitos para suportes de dados de arranque através de CMG

• Configurar um CMG

• Para todo o conteúdo referenciado na sequência de tarefas, distribua-o para um CMG compatível com conteúdo. Para obter mais informações, veja Distribuir conteúdo.

• Ative as seguintes definições de cliente no grupo Serviços cloud:

  • Permitir o acesso ao ponto de distribuição na cloud

  • Permitir que os clientes utilizem um gateway de gestão da cloud

• Configure o passo de sequência de tarefas Aplicar Definições de Rede para aderir a um grupo de trabalho. Durante a sequência de tarefas, o dispositivo não pode associar o domínio do Active Directory no local. Não tem conectividade a um controlador de domínio para associar o domínio.

• Quando implementar a sequência de tarefas numa coleção, configure as seguintes definições:

  • Página experiência do utilizador: Permitir a execução da sequência de tarefas para o cliente na Internet

  • Página de definições de implementação: disponibilize uma opção que inclua suportes de dados.

  • Página de pontos de distribuição, opções de implementação: transfira conteúdo localmente quando necessário pela sequência de tarefas em execução. Para obter mais informações, veja Opções de implementação.

• Certifique-se de que o dispositivo tem uma ligação à Internet constante enquanto a sequência de tarefas é executada. O Windows PE não suporta redes sem fios, pelo que o dispositivo precisa de uma ligação de rede com fios.

• Se utilizar um certificado baseado em PKI para o suporte de dados de arranque, configure-o para SHA256 com o fornecedor microsoft Enhanced RSA e AES. Esta configuração de certificado é recomendada, mas não é necessária. O certificado pode ser um certificado v3 (CNG).

• Nas versões 2010 e 2103, se configurar o ponto de gestão para Permitir ligações apenas à Internet, não poderá utilizar suportes de dados de arranque através de um CMG. Para contornar este problema, configure o ponto de gestão para Permitir ligações à intranet e à Internet.

• Se o CMG utilizar um certificado baseado em PKI, terá de adicionar o certificado de raiz fidedigna à imagem de arranque. Caso contrário, o Windows PE não consegue comunicar com o CMG porque não confia no certificado do CMG. Para obter mais informações, veja Adicionar um certificado de raiz fidedigna a uma imagem de arranque.

Criar um suporte de dados de arranque para utilizar um CMG

Inicie o assistente para criar suportes de dados de sequência de tarefas para suportes de dados de arranque. Para obter mais informações, veja Criar suportes de dados de arranque. Modifique o processo padrão com os seguintes passos:

• Na página Gestão de Multimédia do assistente, selecione a opção para Suporte de dados baseado no site.

• Na página Segurança , defina uma palavra-passe segura para proteger este suporte de dados.

• Na página Imagem de Arranque , em Ponto de gestão , selecione o Gateway de gestão da cloud na caixa de diálogo Adicionar Pontos de Gestão .

Quando arranca um dispositivo ligado à Internet com este suporte de dados, este comunica com o CMG especificado. O suporte de dados de arranque transfere a política para a implementação da sequência de tarefas através do CMG. À medida que a sequência de tarefas é executada, transfere quaisquer conteúdos e políticas adicionais através da Internet.

Após a execução da sequência de tarefas, o cliente utiliza a autenticação baseada em tokens.

Adicionar um certificado de raiz fidedigna a uma imagem de arranque

Se o CMG utilizar um certificado baseado em PKI, terá de adicionar o certificado de raiz fidedigna à imagem de arranque. Caso contrário, o Windows PE não consegue comunicar com o CMG porque não confia no certificado do CMG.

Passo 1: exportar o blob do registo de certificados

Num sistema com o certificado de raiz fidedigna instalado:

1. Abra o menu Iniciar. Escreva run para abrir a janela Executar. Abra mmc.

2. No menu Ficheiro, selecione Adicionar/Remover Snap-in....

3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.

   1. Na caixa de diálogo Snap-in Certificados, selecione Conta de computador e, em seguida, selecione Seguinte.

   2. Na caixa de diálogo Selecionar Computador, selecione Computador local e, em seguida, selecione Concluir.

   3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione OK.

4. Expanda Certificados, expanda Autoridades de Certificação de Raiz Fidedigna e selecione Certificados.

5. Selecione o certificado de raiz. No menu Ação , selecione Abrir.

6. Mude para o separador Detalhes .

7. Copie o valor do thumbprint do certificado. Por exemplo eb971f84c0c44b9eb22a378fecb45747eb971f84

8. No menu Iniciar, execute regedit.

9. Navegue para a seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Para obter mais informações sobre esta chave de registo, veja Localizações do Arquivo do Sistema.

10. Selecione a chave de registo que corresponde ao thumbprint do certificado de raiz.

11. No menu Ficheiro , selecione Exportar. Especifique um nome de ficheiro e guarde o .reg ficheiro.

12. Edite o ficheiro no Bloco de Notas. No caminho da chave, altere SOFTWARE para winpe-offlinee guarde o ficheiro. Por exemplo:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. Copie este ficheiro para uma localização à qual possa aceder para o próximo passo.

Passo 2: importar o blob do registo de certificados para a imagem de arranque offline

Num sistema que tenha o ficheiro de imagem de arranque:

1. Monte o ficheiro WIM. Por exemplo, DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

2. No menu Iniciar, execute regedit.

3. Selecione HKEY_LOCAL_MACHINE. No menu Ficheiro , selecione Carregar Hive.

4. Navegue para C:\Mount\Windows\System32\config e selecione SOFTWARE. Este ficheiro é o ramo de registo offline para a imagem do Windows PE montada no C:\Mount.

   Importante

   Certifique-se de que este caminho se destina à imagem montada do Windows PE e não ao caminho predefinido do SO Windows.

5. Atribua o nome à chave do ramo de registo winpe-offlinecarregado.

6. No menu Ficheiro , selecione Importar. Navegue para o ficheiro modificado .reg que exportou e modificou anteriormente. Selecione Abrir.

7. Navegue para a seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates e confirme que a nova chave foi adicionada.

8. Selecione a seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\winpe-offline. No menu Ficheiro , selecione Descarregar Hive e selecioneSim.

9. Feche o editor de registo e quaisquer outras janelas que referenciem ficheiros no C:\Mount.

10. Desmonte a imagem de arranque e consolide as alterações. Por exemplo, DISM /Unmount-image /Commit /MountDir:C:\Mount

A imagem de arranque inclui agora o certificado de raiz fidedigna.

Próximas etapas

Monitorar implantações do SO

Gerir sequências de tarefas para automatizar tarefas