Implantar uma sequência de tarefas pela Internet

Aplica-se a: Configuration Manager (branch atual)

Configuration Manager dá suporte a vários métodos para implantar uma sequência de tarefas em clientes remotos pela Internet. Você pode implantar uma atualização do Windows, usar mídia inicializável ou iniciá-la no Centro de Software. Este artigo aborda as configurações específicas para esses cenários. Primeiro, use Implantar uma sequência de tarefas para criar a implantação básica. Em seguida, use as configurações neste artigo para personalizá-lo para clientes baseados na Internet.

Aviso

Você pode gerenciar o comportamento para implantações de sequência de tarefas de alto risco. Uma implantação de alto risco é uma implantação que é instalada automaticamente e tem o potencial de causar resultados indesejados. Por exemplo, uma sequência de tarefas que tem uma finalidade de Obrigatório que implanta um sistema operacional é considerada uma implantação de alto risco. Para obter mais informações, consulte Configurações para gerenciar implantações de alto risco.

Permitir que a sequência de tarefas seja executada na Internet

Na página Experiência do Usuário do Assistente de Implantação de Software, você pode configurar a implantação para Permitir que a sequência de tarefas seja executada para o cliente na Internet. Essa configuração é necessária para todos os cenários de cliente baseados na Internet. As seções a seguir abrangem os cenários de main quando você habilita essa configuração.

Observação

A configuração avançada da sequência de tarefas para Executar outro programa primeiro não se aplica a sequências de tarefas executadas em clientes que se comunicam por meio de um CMG (gateway de gerenciamento de nuvem). Essa opção usa o caminho de rede UNC do pacote, que não está acessível por meio do CMG.

Atualização in-loco do Windows

Use essa configuração para implantações de uma sequência de tarefas de atualização in loco do Windows para clientes baseados na Internet por meio do CMG (gateway de gerenciamento de nuvem). Todas as versões com suporte do Configuration Manager dão suporte a esse cenário. Para obter mais informações, consulte Implantar a atualização in-loco do Windows por meio do CMG.

Instalar uma sequência de tarefas de imagem do Windows do Centro de Software

A partir da versão 2006, você pode implantar uma sequência de tarefas com uma imagem de inicialização em um dispositivo que se comunica por meio do CMG. O usuário precisa iniciar a sequência de tarefas do Centro de Software.

Observação

Quando um cliente ingressado Microsoft Entra executa uma sequência de tarefas de implantação do sistema operacional, o cliente no novo sistema operacional não ingressará automaticamente Microsoft Entra ID. Mesmo que não esteja Microsoft Entra ingressado, o cliente ainda é gerenciado.

Quando você executa uma sequência de tarefas de implantação do sistema operacional em um cliente baseado na Internet, que é Microsoft Entra ingressado ou usa a autenticação baseada em token, você precisa especificar a propriedade CCMHOSTNAME na etapa Configurar Windows e ConfigMgr.

Usar mídia inicializável para instalar uma sequência de tarefas de imagem do Windows

A partir da versão 2010, você pode usar mídia inicializável para reimagear dispositivos baseados na Internet que se conectam por meio de um CMG. Esse cenário ajuda você a dar melhor suporte a trabalhos remotos. Se o Windows não iniciar para que o usuário possa acessar o Centro de Software, agora você poderá enviar uma unidade USB para reinstalar o Windows. Para obter mais informações, consulte Implantar um sistema operacional em CMG usando mídia inicializável.

Na versão 2002 e anterior, não há suporte para operações que exigem uma mídia de inicialização com essa configuração. Permitir que uma sequência de tarefas seja executada na Internet apenas para instalações de software genéricas ou sequências de tarefas baseadas em script que executam operações no sistema operacional padrão.

Observação

Para todos os cenários de sequência de tarefas baseados na Internet na versão 2002 e anterior, inicie a sequência de tarefas do Centro de Software. Eles não dão suporte a mídia de sequência de tarefas, PXE ou PXE do Windows PE.

Implantar a atualização in-loco do Windows por meio do CMG

A sequência de tarefas de atualização in loco do Windows dá suporte à implantação para clientes baseados na Internet gerenciados por meio do CMG ( gateway de gerenciamento de nuvem ). Essa capacidade permite que os usuários remotos atualizem com mais facilidade para o Windows sem precisar se conectar à intranet.

Verifique se todo o conteúdo referenciado pela sequência de tarefas de atualização in-loco é distribuído a um CMG habilitado para conteúdo. Habilitar a configuração cmg: permitir que o CMG funcione como um ponto de distribuição de nuvem e sirva conteúdo do armazenamento do Azure. Caso contrário, os dispositivos não podem executar a sequência de tarefas.

Ao implantar uma sequência de tarefas de atualização, use as seguintes configurações:

• Permitir que a sequência de tarefas seja executada para o cliente na Internet, na guia Experiência do Usuário da implantação.

• Escolha uma das seguintes opções na guia Pontos de Distribuição da implantação:

  • Baixe conteúdo localmente quando necessário pela sequência de tarefas em execução. O mecanismo de sequência de tarefas pode baixar pacotes sob demanda de um CMG habilitado para conteúdo. Essa opção fornece flexibilidade adicional com suas implantações de atualização in loco do Windows para dispositivos baseados na Internet.

  • Baixe todo o conteúdo localmente antes de iniciar a sequência de tarefas. Com essa opção, o cliente Configuration Manager baixa o conteúdo da fonte de nuvem antes de iniciar a sequência de tarefas.

• (Opcional) Pré-baixar conteúdo para essa sequência de tarefas, na guia Geral da implantação. Para obter mais informações, consulte Configurar conteúdo pré-cache.

Observação

Inicie a sequência de tarefas do Centro de Software. Esse cenário não dá suporte ao Windows PE, PXE ou mídia de sequência de tarefas.

Suporte de mídia inicializável para conteúdo baseado em nuvem

A partir da versão 2010, a mídia inicializável pode baixar conteúdo baseado em nuvem. Por exemplo, você envia uma chave USB para um usuário em um escritório remoto para reimagem de seu dispositivo. Ou um escritório que tenha um servidor PXE local, mas você deseja que os dispositivos priorizem os serviços de nuvem o máximo possível. Em vez de tributar ainda mais a WAN para baixar conteúdo de implantação de sistema operacional grande, as implantações de mídia de inicialização e PXE agora podem obter conteúdo de fontes baseadas em nuvem. Por exemplo, um CMG (gateway de gerenciamento de nuvem) que você habilita para compartilhar conteúdo.

Observação

O dispositivo ainda precisa de uma conexão intranet com o ponto de gerenciamento.

Quando a sequência de tarefas é executada, ela baixa conteúdo das fontes baseadas em nuvem. Examine smsts.log no cliente.

Pré-requisitos para mídia inicializável

• Habilite a seguinte configuração de cliente no grupo Serviços de Nuvem: permitir o acesso ao ponto de distribuição de nuvem. Verifique se a configuração do cliente está implantada para os clientes de destino. Para obter mais informações, confira Sobre as configurações do cliente – Serviços de nuvem.

• Para o grupo de limites em que o cliente está:

  • Associe o CMG habilitado para conteúdo. Para obter mais informações, consulte Configurar um grupo de limites.

  • Habilite a seguinte opção: prefira fontes baseadas em nuvem em vez de fontes locais. Para obter mais informações, consulte Opções de grupo limite para downloads por pares.

• Distribua o conteúdo referenciado pela sequência de tarefas para o CMG habilitado para conteúdo.

Implantar um sistema operacional por CMG usando mídia inicializável

A partir da versão 2010, você pode usar a mídia de inicialização para reimagear dispositivos baseados na Internet que se conectam por meio de um CMG. Esse cenário ajuda você a dar melhor suporte a trabalhos remotos. Se o Windows não iniciar para que o usuário possa acessar o Centro de Software, agora você poderá enviar uma unidade USB para reinstalar o Windows.

Pré-requisitos para mídia de inicialização via CMG

• Configurar um CMG

• Para todo o conteúdo referenciado na sequência de tarefas, distribua-o para um CMG habilitado para conteúdo. Para obter mais informações, confira Distribuir conteúdo.

• Habilite as seguintes configurações de cliente no grupo de serviços de nuvem :

  • Permitir acesso ao ponto de distribuição de nuvem

  • Permitir que os clientes usem um gateway de gerenciamento de nuvem

• Configure a etapa Aplicar sequência de tarefas Configurações de Rede para ingressar em um grupo de trabalho. Durante a sequência de tarefas, o dispositivo não pode ingressar no domínio Active Directory local. Ele não tem conectividade com um controlador de domínio para ingressar no domínio.

• Ao implantar a sequência de tarefas em uma coleção, configure as seguintes configurações:

  • Página de experiência do usuário: permitir que a sequência de tarefas seja executada para o cliente na Internet

  • Página de configurações de implantação: disponibilize para uma opção que inclua mídia.

  • Página de pontos de distribuição, opções de implantação: baixe o conteúdo localmente quando necessário pela sequência de tarefas em execução. Para obter mais informações, confira Opções de implantação.

• Verifique se o dispositivo tem uma conexão de Internet constante enquanto a sequência de tarefas é executada. O Windows PE não dá suporte a redes sem fio, portanto, o dispositivo precisa de uma conexão de rede com fio.

• Se você usar um certificado baseado em PKI para a mídia de inicialização, configure-o para SHA256 com o provedor RSA e AES aprimorados da Microsoft. Essa configuração de certificado é recomendada, mas não é necessária. O certificado pode ser um certificado v3 (CNG).

• Nas versões 2010 e 2103, se você configurar o ponto de gerenciamento para Permitir conexões somente à Internet, não poderá usar a mídia de inicialização em um CMG. Para contornar esse problema, configure o ponto de gerenciamento para Permitir conexões de intranet e internet.

• Se o CMG usar um certificado baseado em PKI, você precisará adicionar o certificado raiz confiável à imagem de inicialização. Caso contrário, o Windows PE não pode se comunicar com o CMG porque não confia no certificado do CMG. Para obter mais informações, consulte Adicionar um certificado raiz confiável a uma imagem de inicialização.

Criar mídia de inicialização para usar um CMG

Inicie o assistente de mídia criar sequência de tarefas para mídia inicializável. Para obter mais informações, consulte Criar mídia inicializável. Modifique o processo padrão usando as seguintes etapas:

• Na página Gerenciamento de Mídia do assistente, selecione a opção para mídia baseada em site.

• Na página Segurança , defina uma senha forte para proteger essa mídia.

• Na página Imagem de Inicialização , em Ponto de gerenciamento , selecione o gateway de gerenciamento de nuvem na caixa de diálogo Adicionar Pontos de Gerenciamento .

Quando você inicializa um dispositivo conectado à Internet usando essa mídia, ele se comunica com o CMG especificado. A mídia de inicialização baixa a política para a implantação da sequência de tarefas por meio do CMG. À medida que a sequência de tarefas é executada, ela baixa qualquer conteúdo e políticas adicionais pela Internet.

Após a execução da sequência de tarefas, o cliente usa a autenticação baseada em token.

Adicionar um certificado raiz confiável a uma imagem de inicialização

Se o CMG usar um certificado baseado em PKI, você precisará adicionar o certificado raiz confiável à imagem de inicialização. Caso contrário, o Windows PE não pode se comunicar com o CMG porque não confia no certificado do CMG.

Etapa 1: Exportar o blob do registro de certificado

Em um sistema que tem o certificado raiz confiável instalado:

1. Abra o menu Iniciar. Digite run para abrir a janela Executar. Abra mmc.

2. No menu Arquivo, escolha Adicionar/Remover Snap-in....

3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.

   1. Na caixa de diálogo Snap-in Certificados, selecione Conta de computador e, em seguida, selecione Avançar.

   2. Na caixa de diálogo Selecionar Computador, selecione Computador local e, em seguida, selecione Concluir.

   3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione OK.

4. Expanda Certificados, expanda Autoridades de Certificação Raiz Confiáveis e selecione Certificados.

5. Selecione o certificado raiz. No menu Ação , selecione Abrir.

6. Alterne para a guia Detalhes .

7. Copie o valor da impressão digital do certificado. Por exemplo, eb971f84c0c44b9eb22a378fecb45747eb971f84

8. No menu Iniciar, execute regedit.

9. Navegue até a seguinte chave do registro: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Para obter mais informações sobre essa chave de registro, consulte Localizações do System Store.

10. Selecione a chave do registro que corresponde à impressão digital do certificado raiz.

11. No menu Arquivo , selecione Exportar. Especifique um nome de arquivo e salve o .reg arquivo.

12. Edite o arquivo no Bloco de Notas. No caminho da chave, altere SOFTWARE para winpe-offlinee salve o arquivo. Por exemplo:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. Copie este arquivo para um local que você pode acessar para a próxima etapa.

Etapa 2: importar o blob do registro de certificado para a imagem de inicialização offline

Em um sistema que tem o arquivo de imagem de inicialização:

1. Monte o arquivo WIM. Por exemplo, DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

2. No menu Iniciar, execute regedit.

3. Selecione HKEY_LOCAL_MACHINE. No menu Arquivo , selecione Carregar Hive.

4. Navegue até C:\Mount\Windows\System32\config e selecione SOFTWARE. Este arquivo é o hive de registro offline para a imagem do Windows PE montada em C:\Mount.

   Importante

   Verifique se esse caminho é para a imagem montada do Windows PE, não o caminho padrão do sistema operacional Windows.

5. Nomeie a chave para o hive winpe-offlinecarregado .

6. No menu Arquivo , selecione Importar. Navegue até o arquivo modificado .reg que você exportou e modificou anteriormente. Selecione Abrir.

7. Navegue até a seguinte chave do registro: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates e confirme se a nova chave foi adicionada.

8. Selecione a seguinte chave do registro: Computer\HKEY_LOCAL_MACHINE\winpe-offline. No menu Arquivo , selecione Descarregar Hive e selecioneSim.

9. Feche o editor do registro e quaisquer outras janelas que referenciem arquivos no C:\Mount.

10. Desmonte a imagem de inicialização e confirme as alterações. Por exemplo, DISM /Unmount-image /Commit /MountDir:C:\Mount

A imagem de inicialização agora inclui o certificado raiz confiável.

Próximas etapas

Monitorar implantações do SO

Gerenciar sequências de tarefas para automatizar tarefas