透過網際網路部署工作順序

適用於：Configuration Manager (目前的分支)

Configuration Manager支援透過網際網路將工作順序部署到遠端用戶端的各種方法。 您可以部署 Windows 升級、使用可開機媒體，或從軟體中心啟動。 本文涵蓋這些案例的特定設定。 請先使用 部署工作順序 來建立基本部署。 然後使用本文中的組態，針對以網際網路為基礎的用戶端自訂它。

警告

您可以管理高風險工作順序部署的行為。 高風險部署是自動安裝的部署，可能會造成不必要的結果。 例如，部署 OS 之必要 用途的工作順序會被視為高風險部署。 如需詳細資訊， 請參閱管理高風險部署的設定。

允許工作順序在網際網路上執行

在 [部署軟體精靈] 的 [ 使用者體驗 ] 頁面上，您可以將部署設定 為 [允許工作順序在網際網路上執行用戶端]。 所有以網際網路為基礎的用戶端案例都需要此設定。 下列各節涵蓋啟用此設定時的主要案例。

注意事項

[先執行另一個程式] 的工作順序進階設定不適用於透過雲端管理閘道 (CMG) 進行通訊的用戶端上執行的工作順序。 此選項會使用無法透過 CMG 存取之套件的 UNC 網路路徑。

Windows 就地升級

使用此設定可透過雲端管理閘道 (CMG) ，將 Windows 就地升級工作順序部署至以網際網路為基礎的用戶端。 所有支援的Configuration Manager版本都支援此案例。 如需詳細資訊，請 參閱透過 CMG 部署 Windows 就地升級。

從軟體中心安裝 Windows 映像處理工作順序

從 2006 版開始，您可以將具有開機映射的工作順序部署到透過 CMG 通訊的裝置。 使用者必須從軟體中心啟動工作順序。

注意事項

當Microsoft Entra加入的用戶端執行 OS 部署工作順序時，新 OS 中的用戶端不會自動加入Microsoft Entra識別碼。 即使未Microsoft Entra聯結，用戶端仍會受到管理。

當您在以網際網路為基礎的用戶端上執行 OS 部署工作順序時，Microsoft Entra加入或使用權杖型驗證，您必須在安裝 Windows 和 ConfigMgr步驟中指定CCMHOSTNAME屬性。

使用可開機媒體安裝 Windows 映像處理工作順序

從 2010 版開始，您可以使用可開機媒體為透過 CMG 連線的網際網路型裝置重新安裝映射。 此案例可協助您更妥善地支援遠端工作者。 如果 Windows 無法啟動，讓使用者可以存取軟體中心，您現在可以傳送 USB 磁片磁碟機給他們以重新安裝 Windows。 如需詳細資訊，請 參閱使用可開機媒體透過 CMG 部署 OS。

在 2002 版和更早版本中，此設定不支援需要開機媒體的作業。 只允許工作順序在網際網路上執行，僅適用于在標準 OS 中執行作業的一般軟體安裝或腳本型工作順序。

注意事項

針對 2002 版和更早版本中所有以網際網路為基礎的工作順序案例，請從軟體中心啟動工作順序。 它們不支援 Windows PE、PXE 或工作順序媒體。

透過 CMG 部署 Windows 就地升級

Windows 就地升級工作順序支援部署至透過 雲端管理閘道 (CMG) 管理的網際網路型用戶端。 此功能可讓遠端使用者更輕鬆地升級至 Windows，而不需要連線到內部網路。

請確定就地升級工作順序所參考的所有內容都會散發到已啟用內容的 CMG。 啟用 CMG 設定： 允許 CMG 作為雲端發佈點，並從 Azure 儲存體提供內容。 否則，裝置無法執行工作順序。

當您部署升級工作順序時，請使用下列設定：

• 在部署的 [使用者體驗] 索引標籤上，允許用戶端在網際網路上執行工作順序。

• 在部署的 [發佈點] 索引標籤上，選擇下列其中一個選項：

  • 在執行中工作順序需要時，于本機下載內容。 工作順序引擎可以從已啟用內容的 CMG 隨選下載套件。 此選項可為 Windows 就地升級部署至以網際網路為基礎的裝置提供額外的彈性。

  • 開始工作順序之前，請先在本機下載所有內容。 使用此選項，Configuration Manager用戶端會先從雲端來源下載內容，再開始工作順序。

• (部署的 [一般] 索引標籤上， 選擇性) 此工作順序的 [預先下載內容]。 如需詳細資訊， 請參閱設定預先快取內容。

注意事項

從軟體中心啟動工作順序。 此案例不支援 Windows PE、PXE 或工作順序媒體。

雲端式內容的可開機媒體支援

從 2010 版開始， 可開機媒體 可以下載雲端式內容。 例如，您將 USB 金鑰傳送給遠端辦公室的使用者，以重新安裝其裝置的映射。 或是具有本機 PXE 伺服器但您希望裝置盡可能優先處理雲端服務的辦公室。 開機媒體和 PXE 部署現在可以從雲端式來源取得內容，而不是進一步對 WAN 進行稅金以下載大型 OS 部署內容。 例如，雲端管理閘道 (可讓您共用內容的 CMG) 。

注意事項

裝置仍然需要與管理點的內部網路連線。

當工作循序執行時，它會從雲端式來源下載內容。 檢閱用戶端上的 smsts.log 。

可開機媒體的必要條件

• 在雲端服務群組中啟用下列用戶端設定：允許存取雲端發佈點。 請確定用戶端設定已部署至目標用戶端。 如需詳細資訊，請 參閱關於用戶端設定 - 雲端服務。

• 針對用戶端所在的界限群組：

  • 建立已啟用內容之 CMG 的關聯。 如需詳細資訊， 請參閱設定界限群組。

  • 啟用下列選項： 偏好使用雲端式來源，而不是內部部署來源。 如需詳細資訊，請參閱 對等下載的界限群組選項。

• 將工作順序所參考的內容發佈至已啟用內容的 CMG。

使用可開機媒體透過 CMG 部署 OS

從 2010 版開始，您可以使用開機媒體為透過 CMG 連線的網際網路型裝置重新安裝映射。 此案例可協助您更妥善地支援遠端工作者。 如果 Windows 無法啟動，讓使用者可以存取軟體中心，您現在可以傳送 USB 磁片磁碟機給他們以重新安裝 Windows。

透過 CMG 開機媒體的必要條件

• 設定 CMG

• 針對工作順序中參考的所有內容，將它發佈至已啟用內容的 CMG。 如需詳細資訊，請參閱 散發內容。

• 在 雲端服務 群組中啟用下列用戶端設定：

  • 允許存取雲端發佈點

  • 讓用戶端使用雲端管理閘道

• 設定 [套用 網路設定 ] 工作順序步驟以加入工作組。 在工作順序期間，裝置無法加入內部部署的 Active Directory網域。 它無法連線到網域控制站來加入網域。

• 當您 將工作順序部署 至集合時，請設定下列設定：

  • 使用者體驗頁面：允許在網際網路上 針對用戶端執行工作順序

  • 部署設定頁面：可供包含媒體的選項使用。

  • 發佈點頁面，部署選項： 執行中工作順序需要時，在本機下載內容。 如需詳細資訊，請參閱 部署選項。

• 在工作循序執行時，請確定裝置具有固定的網際網路連線。 Windows PE 不支援無線網路，因此裝置需要有線網路連線。

• 如果您針對開機媒體使用 PKI 型憑證，請使用 Microsoft Enhanced RSA 和 AES 提供者為 SHA256 進行設定。 建議使用此憑證設定，但並非必要。 憑證可以是 v3 (CNG) 憑證。

• 在 2010 和 2103 版中，如果您將管理點設定為 [允許僅限網際網路聯機]，則無法透過 CMG 使用開機媒體。 若要解決此問題，請將管理點設定為 [允許內部網路和網際網路連線]。

• 如果您的 CMG 使用 PKI 型憑證，您必須將受信任的根憑證新增至開機映射。 否則，Windows PE 無法與 CMG 通訊，因為它不信任 CMG 的憑證。 如需詳細資訊，請 參閱將受信任的根憑證新增至開機映射。

建立開機媒體以使用 CMG

啟動可開機媒體的建立工作順序媒體精靈。 如需詳細資訊，請 參閱建立可開機媒體。 使用下列步驟修改標準程式：

• 在精靈的 [ 媒體管理 ] 頁面上，選取 [月臺式媒體] 的選項。

• 在 [ 安全 性] 頁面上，設定強式密碼來保護此媒體。

• 在 [開機映射] 頁面的 [管理點]下，從 [新增管理點] 對話方塊中選取[雲端管理閘道]。

當您使用此媒體開機連線到網際網路的裝置時，它會與指定的 CMG 通訊。 開機媒體會透過 CMG 下載工作順序部署的原則。 當工作循序執行時，它會透過網際網路下載任何其他內容和原則。

工作循序執行之後，用戶端會使用權杖型驗證。

將受信任的根憑證新增至開機映射

如果您的 CMG 使用 PKI 型憑證，您必須將受信任的根憑證新增至開機映射。 否則，Windows PE 無法與 CMG 通訊，因為它不信任 CMG 的憑證。

步驟 1：匯出憑證登錄 Blob

在已安裝受信任根憑證的系統上：

1. 開啟 [開始] 功能表。 輸入 run 以開啟 [執行] 視窗。 開啟 mmc 。

2. 從 [檔案] 功能表中，選擇 [ 新增/移除嵌入式管理單元...]。

3. 在 [新增或移除嵌入式管理單元] 對話方塊中，選取 [ 憑證]，然後選取 [ 新增]。

   1. 在 [憑證嵌入式管理單元] 對話方塊中，選取 [ 電腦帳戶]，然後選取 [ 下一步]。

   2. 在 [選取電腦] 對話方塊中，選取 [ 本機電腦]，然後選取 [ 完成]。

   3. 在 [新增或移除嵌入式管理單元] 對話方塊中，選取 [ 確定]。

4. 依 序展開 [憑證]、[ 受信任的根憑證授權單位]，然後選取 [ 憑證]。

5. 選取根憑證。 在 [ 動作] 功能表上，選取 [ 開啟]。

6. 切換至 [ 詳細資料] 索引卷 標。

7. 複製憑證指紋的值。 例如， eb971f84c0c44b9eb22a378fecb45747eb971f84

8. 從 [開始] 功能表執行 regedit 。

9. 流覽至下列登錄機碼： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates 。 如需此登錄機碼的詳細資訊，請參閱 系統存放區位置。

10. 選取符合根憑證指紋的登錄機碼。

11. 在 [ 檔案] 功能表上，選取 [ 匯出]。 指定檔案名，然後儲存 .reg 盤案。

12. 在記事本中編輯檔案。 在金鑰路徑中，將 變更 SOFTWARE 為 winpe-offline ，然後儲存檔案。 例如：

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. 將此檔案複製到您可以在下一個步驟中存取的位置。

步驟 2：將憑證登錄 Blob 匯入離線開機映射

在具有開機映射檔的系統上：

1. 掛接 WIM 檔案。 例如，DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount。

2. 從 [開始] 功能表執行 regedit 。

3. 選 取 [HKEY_LOCAL_MACHINE]。 在 [ 檔案] 功能表上，選取 [ 載入 Hive]。

4. 流覽至 [ C:\Mount\Windows\System32\config 軟體]，然後選取 [軟體]。 此檔案是掛接至 C:\Mount 之 Windows PE 映射的離線登錄區。

   重要事項

   請確定此路徑是掛接的 Windows PE 映射，而不是預設的 Windows OS 路徑。

5. 為載入的 Hive 命名密 winpe-offline 鑰。

6. 在 [ 檔案] 功能表上，選取 [ 匯入]。 流覽至您先前匯出和修改的已修改 .reg 檔案。 選取 [開啟]。

7. 流覽至下列登錄機碼： Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates 並確認已新增金鑰。

8. 選取下列登錄機碼： Computer\HKEY_LOCAL_MACHINE\winpe-offline 。 在 [ 檔案] 功能表上，選取 [ 卸載 Hive]，然後選取 [ 是]。

9. 關閉登錄編輯器和參考 中檔案的 C:\Mount 任何其他視窗。

10. 卸載開機映射 並認可變更。 例如，DISM /Unmount-image /Commit /MountDir:C:\Mount

開機映射現在包含受信任的根憑證。

後續步驟

監視作業系統部署

管理工作順序以自動化工作