透過網際網路部署工作順序

適用於：Configuration Manager (目前的分支)

Configuration Manager 支援各種方法，以透過因特網將工作順序部署至遠端用戶端。 您可以部署 Windows 升級、使用可開機媒體，或從軟體中心啟動。 本文涵蓋這些案例的特定設定。 請先使用 部署工作順序 來建立基本部署。 然後使用本文中的組態，針對以因特網為基礎的用戶端自定義它。

警告

您可以管理高風險工作順序部署的行為。 高風險部署是自動安裝的部署，可能會造成不必要的結果。 例如，部署 OS之必要 用途的工作順序會被視為高風險部署。 如需詳細資訊， 請參閱管理高風險部署的設定。

允許工作順序在因特網上執行

在 [部署軟體精靈] 的 [ 用戶體驗 ] 頁面上，您可以將部署設定 為 [允許工作順序在因特網上執行用戶端]。 所有以因特網為基礎的用戶端案例都需要此設定。 下列各節涵蓋啟用此設定時的主要案例。

注意事項

[先執行另一個程式] 的工作順序進階設定不適用於透過雲端管理網關 (CMG) 進行通訊的用戶端上執行的工作順序。 此選項會使用無法透過 CMG 存取之套件的 UNC 網路路徑。

Windows 就地升級

使用此設定可透過雲端管理網關 (CMG) ，將 Windows 就地升級工作順序部署至以因特網為基礎的用戶端。 所有支援的 Configuration Manager 版本都支援此案例。 如需詳細資訊，請 參閱透過CMG部署 Windows 就地升級。

從軟體中心安裝 Windows 映像處理工作順序

從 2006 版開始，您可以將具有開機映像的工作順序部署到透過 CMG 通訊的裝置。 用戶必須從軟體中心啟動工作順序。

注意事項

當Microsoft加入 Entra 的用戶端執行 OS 部署工作順序時，新 OS 中的用戶端將不會自動加入 Microsoft Entra ID。 即使未Microsoft加入 Entra，用戶端仍會受到管理。

當您在以因特網為基礎的用戶端上執行 OS 部署工作順序時，Microsoft加入或使用令牌型驗證，您必須在安裝 Windows 和 ConfigMgr 步驟中指定 CCMHOSTNAME 屬性。

使用可開機媒體安裝 Windows 映像處理工作順序

從 2010 版開始，您可以使用可開機媒體為透過 CMG 連線的因特網型裝置重新安裝映像。 此案例可協助您更妥善地支持遠端工作者。 如果 Windows 無法啟動，讓使用者可以存取軟體中心，您現在可以傳送 USB 磁碟驅動器給他們以重新安裝 Windows。 如需詳細資訊，請 參閱使用可開機媒體透過CMG部署OS。

在 2002 版和更早版本中，此設定不支援需要開機媒體的作業。 只允許工作順序在因特網上執行，僅適用於在標準OS中執行作業的一般軟體安裝或腳本型工作順序。

注意事項

針對 2002 版和更早版本中所有以因特網為基礎的工作順序案例，請從軟體中心啟動工作順序。 它們不支援 Windows PE、PXE 或工作順序媒體。

透過 CMG 部署 Windows 就地升級

Windows 就地升級工作順序支援部署至透過 雲端管理閘道 (CMG) 管理的因特網型用戶端。 此功能可讓遠端使用者更輕鬆地升級至 Windows，而不需要連線到內部網路。

請確定就地升級工作順序所參考的所有內容都會散發到已啟用內容的 CMG。 啟用 CMG 設定： 允許 CMG 作為雲端發佈點，並從 Azure 記憶體提供內容。 否則，裝置無法執行工作順序。

當您部署升級工作順序時，請使用下列設定：

• 在部署的 [用戶體驗] 索引標籤上，允許用戶端在因特網上執行工作順序。

• 在部署的 [發佈點] 索引標籤上，選擇下列其中一個選項：

  • 在執行中工作順序需要時，於本機下載內容。 工作順序引擎可以從已啟用內容的 CMG 隨選下載套件。 此選項可為 Windows 就地升級部署至以因特網為基礎的裝置提供額外的彈性。

  • 開始工作順序之前，請先在本機下載所有內容。 使用此選項時，Configuration Manager 用戶端會先從雲端來源下載內容，再開始工作順序。

• (部署的 [一般] 索引標籤上， 選擇性) 此工作順序的 [預先下載內容]。 如需詳細資訊， 請參閱設定預先快取內容。

注意事項

從軟體中心啟動工作順序。 此案例不支援 Windows PE、PXE 或工作順序媒體。

雲端式內容的可開機媒體支援

從 2010 版開始， 可開機媒體 可以下載雲端式內容。 例如，您將 USB 金鑰傳送給遠端辦公室的使用者，以重新安裝其裝置的映像。 或是具有本機 PXE 伺服器但您希望裝置盡可能優先處理雲端服務的辦公室。 開機媒體和 PXE 部署現在可以從雲端式來源取得內容，而不是進一步對 WAN 進行稅金以下載大型 OS 部署內容。 例如，雲端管理閘道 (可讓您共用內容的 CMG) 。

注意事項

裝置仍然需要與管理點的內部網路連線。

當工作順序執行時，它會從雲端式來源下載內容。 檢閱 用戶端上的smsts.log 。

可開機媒體的必要條件

• 在 雲端服務 群組中啟用下列用戶端設定： 允許存取雲端發佈點。 請確定客戶端設定已部署至目標用戶端。 如需詳細資訊，請 參閱關於用戶端設定 - 雲端服務。

• 針對用戶端所在的界限群組：

  • 建立已啟用內容之 CMG 的關聯。 如需詳細資訊， 請參閱設定界限群組。

  • 啟用下列選項： 偏好使用雲端式來源，而不是內部部署來源。 如需詳細資訊，請參閱 對等下載的界限群組選項。

• 將工作順序所參考的內容發佈至已啟用內容的 CMG。

使用可開機媒體透過 CMG 部署 OS

從 2010 版開始，您可以使用開機媒體為透過 CMG 連線的因特網型裝置重新安裝映射。 此案例可協助您更妥善地支持遠端工作者。 如果 Windows 無法啟動，讓使用者可以存取軟體中心，您現在可以傳送 USB 磁碟驅動器給他們以重新安裝 Windows。

透過 CMG 開機媒體的必要條件

• 設定 CMG

• 針對工作順序中參考的所有內容，將它發佈至已啟用內容的 CMG。 如需詳細資訊，請參閱 散發內容。

• 在 雲端服務 群組中啟用下列用戶端設定：

  • 允許存取雲端發佈點

  • 讓用戶端使用雲端管理閘道

• 設定 [套用 網络設定 ] 工作順序步驟以加入工作組。 在工作順序期間，裝置無法加入內部部署 Active Directory 網域。 它無法連線到域控制器來加入網域。

• 當您 將工作順序部署 至集合時，請設定下列設定：

  • 用戶體驗頁面：允許在因特網上 針對客戶端執行工作順序

  • 部署設定頁面：可供包含媒體的選項使用。

  • 發佈點頁面，部署選項： 執行中工作順序需要時，在本機下載內容。 如需詳細資訊，請參閱 部署選項。

• 在工作順序執行時，請確定裝置具有固定的因特網連線。 Windows PE 不支援無線網路，因此裝置需要有線網路連線。

• 如果您針對開機媒體使用 PKI 型憑證，請使用Microsoft增強式 RSA 和 AES 提供者為 SHA256 設定憑證。 建議使用此憑證設定，但並非必要。 憑證可以是 v3 (CNG) 憑證。

• 在 2010 和 2103 版中，如果您將管理點設定為 [允許僅限因特網連線]，則無法透過 CMG 使用開機媒體。 若要解決此問題，請將管理點設定為 [允許內部網络和因特網連線]。

• 如果您的 CMG 使用 PKI 型憑證，您必須將受信任的跟證書新增至開機映像。 否則，Windows PE 無法與 CMG 通訊，因為它不信任 CMG 的憑證。 如需詳細資訊，請 參閱將受信任的跟證書新增至開機映射。

建立開機媒體以使用 CMG

啟動可開機媒體的建立工作順序媒體精靈。 如需詳細資訊，請 參閱建立可開機媒體。 使用下列步驟修改標準程式：

• 在精靈的 [ 媒體管理 ] 頁面上，選取 [月臺式媒體] 的選項。

• 在 [ 安全 性] 頁面上，設定強密碼來保護此媒體。

• 在 [開機映射] 頁面的 [管理點] 下，從 [新增管理點] 對話框中選取 [雲端管理網關]。

當您使用此媒體開機連線到因特網的裝置時，它會與指定的 CMG 通訊。 開機媒體會透過 CMG 下載工作順序部署的原則。 當工作順序執行時，它會透過因特網下載任何其他內容和原則。

工作順序執行之後，用戶端會使用令牌型驗證。

將受信任的跟證書新增至開機映像

如果您的 CMG 使用 PKI 型憑證，您必須將受信任的跟證書新增至開機映像。 否則，Windows PE 無法與 CMG 通訊，因為它不信任 CMG 的憑證。

步驟 1：導出憑證登錄 Blob

在已安裝受信任跟憑證的系統上：

1. 開啟 [開始] 功能表。 輸入 run 以開啟 [執行] 視窗。 開啟 mmc。

2. 從 [檔案] 功能表中，選擇 [ 新增/移除嵌入式管理單元...]。

3. 在 [新增或移除嵌入式管理單元] 對話框中，選取 [ 憑證]，然後選取 [ 新增]。

   1. 在 [憑證嵌入式管理單元] 對話框中，選取 [ 計算機帳戶]，然後選取 [ 下一步]。

   2. 在 [選取計算機] 對話框中，選取 [ 本機計算機]，然後選取 [ 完成]。

   3. 在 [新增或移除嵌入式管理單元] 對話框中，選取 [ 確定]。

4. 依 序展開 [憑證]、[ 受信任的跟證書授權單位]，然後選取 [ 憑證]。

5. 選取跟證書。 在 [ 動作] 功能表上，選取 [ 開啟]。

6. 切換至 [ 詳細數據] 索引標籤 。

7. 複製憑證指紋的值。 例如 eb971f84c0c44b9eb22a378fecb45747eb971f84

8. 從 [開始] 選單執行 regedit。

9. 流覽至下列登錄機碼： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates。 如需此登錄機碼的詳細資訊，請參閱 系統存放區位置。

10. 選取符合跟證書指紋的登錄機碼。

11. 在 [ 檔案] 功能表上，選取 [ 導出]。 指定檔名，然後儲存 .reg 盤案。

12. 在記事本中編輯檔案。 在金鑰路徑中，將變更 SOFTWARE 為 winpe-offline，然後儲存盤案。 例如：

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

13. 將此檔案複製到您可以在下一個步驟中存取的位置。

步驟 2：將憑證登錄 Blob 匯入離線開機映像

在具有開機映像檔的系統上：

1. 掛接 WIM 檔案。 例如，DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount。

2. 從 [開始] 選單執行 regedit。

3. 選 取 [HKEY_LOCAL_MACHINE]。 在 [ 檔案] 功能表上，選取 [ 載入 Hive]。

4. 流覽至 [ C:\Mount\Windows\System32\config 軟體]，然後選取 [軟體]。 此檔案是掛接至 C:\Mount之 Windows PE 映像的離線登錄區。

   重要事項

   請確定此路徑是掛接的 Windows PE 映射，而不是預設的 Windows OS 路徑。

5. 為載入的 Hive 命名金 winpe-offline鑰。

6. 在 [ 檔案] 功能表上，選取 [ 匯入]。 流覽至您先前匯出和修改的已修改 .reg 檔案。 選取 [開啟]。

7. 流覽至下列登錄機碼： Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates 並確認已新增金鑰。

8. 選取下列登錄機碼： Computer\HKEY_LOCAL_MACHINE\winpe-offline。 在 [ 檔案] 功能表上，選取 [ 卸除 Hive]，然後選取 [ 是]。

9. 關閉登錄編輯器和參考 中檔案的 C:\Mount任何其他視窗。

10. 卸除開機映像 並認可變更。 例如，DISM /Unmount-image /Commit /MountDir:C:\Mount

開機映像現在包含受信任的跟證書。

後續步驟

監視作業系統部署

管理工作順序以自動化工作