Distribuire una sequenza di attività in Internet

  • Articolo

Si applica a: Configuration Manager (Current Branch)

Configuration Manager supporta vari metodi per distribuire una sequenza di attività ai client remoti tramite Internet. È possibile distribuire un aggiornamento di Windows, usare supporti di avvio o avviarlo da Software Center. Questo articolo illustra le configurazioni specifiche per questi scenari. Usare prima di tutto Distribuire una sequenza di attività per creare la distribuzione di base. Usare quindi le configurazioni in questo articolo per personalizzarlo per i client basati su Internet.

Avviso

È possibile gestire il comportamento per le distribuzioni di sequenze di attività ad alto rischio. Una distribuzione ad alto rischio è una distribuzione installata automaticamente e che può causare risultati indesiderati. Ad esempio, una sequenza di attività che ha lo scopo Distribuisci un sistema operativo è considerata una distribuzione ad alto rischio. Per altre informazioni, vedere Impostazioni per gestire distribuzioni ad alto rischio.

Consenti l'esecuzione della sequenza di attività su Internet

Nella pagina Esperienza utente della Distribuzione guidata software è possibile configurare la distribuzione in Consenti l'esecuzione della sequenza di attività per il client su Internet. Questa impostazione è necessaria per tutti gli scenari client basati su Internet. Le sezioni seguenti illustrano gli scenari principali quando si abilita questa impostazione.

Nota

L'impostazione avanzata della sequenza di attività su Esegui un altro programma prima di tutto non si applica alle sequenze di attività eseguite nei client che comunicano tramite un gateway di gestione cloud.The task sequence advanced setting to Run another program first doesn't apply to task sequences that run on clients that communicate via a cloud management gateway (CMG). Questa opzione usa il percorso di rete UNC del pacchetto, che non è accessibile tramite CMG.

Aggiornamento sul posto di Windows

Usare questa impostazione per le distribuzioni di una sequenza di attività di aggiornamento sul posto di Windows ai client basati su Internet tramite cloud management gateway (CMG). Tutte le versioni supportate di Configuration Manager supportano questo scenario. Per altre informazioni, vedere Distribuire l'aggiornamento sul posto di Windows tramite CMG.

Installare una sequenza di attività di creazione immagini Windows da Software Center

A partire dalla versione 2006, è possibile distribuire una sequenza di attività con un'immagine di avvio in un dispositivo che comunica tramite cmg. L'utente deve avviare la sequenza di attività da Software Center.

Nota

Quando un client aggiunto a Microsoft Entra esegue una sequenza di attività di distribuzione del sistema operativo, il client nel nuovo sistema operativo non aggiungerà automaticamente l'ID Microsoft Entra. Anche se non è stato aggiunto a Microsoft Entra, il client è ancora gestito.

Quando si esegue una sequenza di attività di distribuzione del sistema operativo in un client basato su Internet, che è aggiunto a Microsoft Entra o usa l'autenticazione basata su token, è necessario specificare la proprietà CCMHOSTNAME nel passaggio Configurazione di Windows e ConfigMgr .

Usare i supporti di avvio per installare una sequenza di attività di creazione di immagini Windows

A partire dalla versione 2010, è possibile usare i supporti di avvio per ricreare l'immagine dei dispositivi basati su Internet che si connettono tramite un cmg. Questo scenario consente di supportare meglio i lavoratori remoti. Se Windows non viene avviato in modo che l'utente possa accedere a Software Center, è ora possibile inviare un'unità USB per reinstallare Windows. Per altre informazioni, vedere Distribuire un sistema operativo tramite CMG usando supporti di avvio.

Nella versione 2002 e versioni precedenti, le operazioni che richiedono un supporto di avvio non sono supportate con questa impostazione. Consentire l'esecuzione di una sequenza di attività su Internet solo per installazioni software generiche o sequenze di attività basate su script che eseguono operazioni nel sistema operativo standard.

Nota

Per tutti gli scenari di sequenza di attività basati su Internet nella versione 2002 e precedenti, avviare la sequenza di attività da Software Center. Non supportano i supporti di Windows PE, PXE o sequenza di attività.

Distribuire l'aggiornamento sul posto di Windows tramite CMG

La sequenza di attività di aggiornamento sul posto di Windows supporta la distribuzione ai client basati su Internet gestiti tramite cloud management gateway (CMG). Questa funzionalità consente agli utenti remoti di eseguire più facilmente l'aggiornamento a Windows senza dover connettersi alla Intranet.

Assicurarsi che tutto il contenuto a cui fa riferimento la sequenza di attività di aggiornamento sul posto sia distribuito a un cmg abilitato per il contenuto. Abilitare l'impostazione CMG: consentire a CMG di funzionare come punto di distribuzione cloud e gestire il contenuto da Archiviazione di Azure. In caso contrario, i dispositivi non possono eseguire la sequenza di attività.

Quando si distribuisce una sequenza di attività di aggiornamento, usare le impostazioni seguenti:

  • Consenti l'esecuzione della sequenza di attività per il client su Internet nella scheda Esperienza utente della distribuzione.

  • Scegliere una delle opzioni seguenti nella scheda Punti di distribuzione della distribuzione:

    • Scaricare il contenuto in locale quando necessario dalla sequenza di attività in esecuzione. Il motore della sequenza di attività può scaricare pacchetti su richiesta da un cmg abilitato per il contenuto. Questa opzione offre ulteriore flessibilità con le distribuzioni di aggiornamento sul posto di Windows ai dispositivi basati su Internet.

    • Scaricare tutto il contenuto in locale prima di avviare la sequenza di attività. Con questa opzione, il client di Configuration Manager scarica il contenuto dall'origine cloud prima di avviare la sequenza di attività.

  • (Facoltativo) Eseguire il pre-download del contenuto per questa sequenza di attività nella scheda Generale della distribuzione. Per altre informazioni, vedere Configurare il contenuto della pre-cache.

Nota

Avviare la sequenza di attività da Software Center. Questo scenario non supporta i supporti di Windows PE, PXE o sequenza di attività.

Supporto multimediale di avvio per il contenuto basato sul cloud

A partire dalla versione 2010, i supporti di avvio possono scaricare contenuti basati sul cloud. Ad esempio, si invia una chiave USB a un utente in un ufficio remoto per ricreare l'immagine del dispositivo. Oppure un ufficio che dispone di un server PXE locale, ma si vuole che i dispositivi diano priorità il più possibile ai servizi cloud. Invece di tassare ulteriormente la rete WAN per scaricare contenuto di distribuzione del sistema operativo di grandi dimensioni, i supporti di avvio e le distribuzioni PXE possono ora ottenere contenuto da origini basate sul cloud. Ad esempio, un gateway di gestione cloud (CMG) che si abilita per condividere il contenuto.

Nota

Il dispositivo necessita ancora di una connessione Intranet al punto di gestione.

Quando viene eseguita la sequenza di attività, scarica il contenuto dalle origini basate sul cloud. Esaminare smsts.log nel client.

Prerequisiti per i supporti di avvio

  • Abilitare l'impostazione client seguente nel gruppo Servizi cloud : Consentire l'accesso al punto di distribuzione cloud. Assicurarsi che l'impostazione client sia distribuita nei client di destinazione. Per altre informazioni, vedere Informazioni sulle impostazioni client - Servizi cloud.

  • Per il gruppo di limiti in cui si trova il client:

  • Distribuire il contenuto a cui fa riferimento la sequenza di attività al cmg abilitato per il contenuto.

Distribuire un sistema operativo tramite CMG usando supporti di avvio

A partire dalla versione 2010, è possibile usare i supporti di avvio per ricreare l'immagine dei dispositivi basati su Internet che si connettono tramite un cmg. Questo scenario consente di supportare meglio i lavoratori remoti. Se Windows non viene avviato in modo che l'utente possa accedere a Software Center, è ora possibile inviare un'unità USB per reinstallare Windows.

Prerequisiti per i supporti di avvio tramite CMG

  • Configurare CMG

  • Per tutto il contenuto a cui si fa riferimento nella sequenza di attività, distribuirlo a un cmg abilitato per il contenuto. Per altre informazioni, vedere Distribuire il contenuto.

  • Abilitare le impostazioni client seguenti nel gruppo servizi cloud :

    • Consentire l'accesso al punto di distribuzione cloud

    • Abilitare i client per l'uso di un gateway di gestione cloud

  • Configurare il passaggio Della sequenza di attività Applica impostazioni di rete per l'aggiunta a un gruppo di lavoro. Durante la sequenza di attività, il dispositivo non può aggiungere il dominio Active Directory locale. Non ha connettività a un controller di dominio per l'aggiunta al dominio.

  • Quando si distribuisce la sequenza di attività in una raccolta, configurare le impostazioni seguenti:

    • Pagina Esperienza utente: Consenti l'esecuzione della sequenza di attività per il client su Internet

    • Pagina Delle impostazioni di distribuzione: rendere disponibile un'opzione che include supporti.

    • Pagina punti di distribuzione, opzioni di distribuzione: scaricare il contenuto in locale quando necessario dalla sequenza di attività in esecuzione. Per altre informazioni, vedere Opzioni di distribuzione.

  • Assicurarsi che il dispositivo disponga di una connessione Internet costante durante l'esecuzione della sequenza di attività. Windows PE non supporta le reti wireless, quindi il dispositivo necessita di una connessione di rete cablata.

  • Se si usa un certificato basato su PKI per il supporto di avvio, configurarlo per SHA256 con il provider Microsoft Enhanced RSA e AES. Questa configurazione del certificato è consigliata ma non obbligatoria. Il certificato può essere un certificato v3 (CNG).

  • Nelle versioni 2010 e 2103, se si configura il punto di gestione su Consenti connessioni solo Internet, non è possibile usare i supporti di avvio su un cmg. Per risolvere questo problema, configurare il punto di gestione su Consenti connessioni Intranet e Internet.

  • Se il cmg usa un certificato basato su PKI, è necessario aggiungere il certificato radice attendibile all'immagine di avvio. In caso contrario, Windows PE non può comunicare con cmg perché non considera attendibile il certificato del cmg. Per altre informazioni, vedere Aggiungere un certificato radice attendibile a un'immagine di avvio.

Creare supporti di avvio per usare un cmg

Avviare la creazione guidata di supporti della sequenza di attività per i supporti di avvio. Per altre informazioni, vedere Creare supporti di avvio. Modificare il processo standard seguendo questa procedura:

  • Nella pagina Gestione multimediale della procedura guidata selezionare l'opzione Per i supporti basati sul sito.

  • Nella pagina Sicurezza impostare una password complessa per proteggere questo supporto.

  • Nella pagina Immagine di avvio , in Punto di gestione selezionare il gateway di gestione cloud nella finestra di dialogo Aggiungi punti di gestione .

Quando si avvia un dispositivo connesso a Internet usando questo supporto, comunica con il cmg specificato. Il supporto di avvio scarica i criteri per la distribuzione della sequenza di attività tramite cmg. Durante l'esecuzione della sequenza di attività, scarica tutti i contenuti e i criteri aggiuntivi su Internet.

Dopo l'esecuzione della sequenza di attività, il client usa l'autenticazione basata su token.

Aggiungere un certificato radice attendibile a un'immagine di avvio

Se il cmg usa un certificato basato su PKI, è necessario aggiungere il certificato radice attendibile all'immagine di avvio. In caso contrario, Windows PE non può comunicare con cmg perché non considera attendibile il certificato del cmg.

Passaggio 1: Esportare il BLOB del Registro di sistema dei certificati

In un sistema in cui è installato il certificato radice attendibile:

  1. Aprire il menu Start. Digitare run per aprire la finestra Esegui. Aprire mmc.

  2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.

  3. Nella finestra di dialogo Aggiungi o rimuovi snap-in selezionare Certificati e quindi selezionare Aggiungi.

    1. Nella finestra di dialogo Snap-in Certificati selezionare Account computer e quindi avanti.

    2. Nella finestra di dialogo Seleziona computer selezionare Computer locale, quindi selezionare Fine.

    3. Nella finestra di dialogo Aggiungi o rimuovi snap-in selezionare OK.

  4. Espandere Certificati, Autorità di certificazione radice attendibili e selezionare Certificati.

  5. Selezionare il certificato radice. Scegliere Apri dal menu Azione.

  6. Passare alla scheda Dettagli .

  7. Copiare il valore per l'identificazione personale del certificato. Per esempio eb971f84c0c44b9eb22a378fecb45747eb971f84

  8. Dal menu Start eseguire regedit.

  9. Passare alla chiave del Registro di sistema seguente: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Per altre informazioni su questa chiave del Registro di sistema, vedere Percorsi dell'archivio di sistema.

  10. Selezionare la chiave del Registro di sistema corrispondente all'identificazione personale del certificato radice.

  11. Scegliere Esporta dal menu File. Specificare un nome di file e salvare il .reg file.

  12. Modificare il file nel Blocco note. Nel percorso della chiave passare SOFTWARE a winpe-offlinee salvare il file. Ad esempio:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

  13. Copiare questo file in un percorso a cui è possibile accedere per il passaggio successivo.

Passaggio 2: Importare il BLOB del Registro di sistema dei certificati nell'immagine di avvio offline

In un sistema con il file di immagine di avvio:

  1. Montare il file WIM. Ad esempio, DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

  2. Dal menu Start eseguire regedit.

  3. Selezionare HKEY_LOCAL_MACHINE. Scegliere Carica Hive dal menu File.

  4. Passare a C:\Mount\Windows\System32\config e selezionare SOFTWARE. Questo file è l'hive del Registro di sistema offline per l'immagine Windows PE montata su C:\Mount.

    Importante

    Assicurarsi che questo percorso sia relativo all'immagine Windows PE montata, non al percorso predefinito del sistema operativo Windows.

  5. Denominare la chiave per l'hive winpe-offlinecaricato.

  6. Scegliere Importa dal menu File. Passare al file modificato .reg esportato e modificato in precedenza. Seleziona Apri.

  7. Passare alla chiave del Registro di sistema seguente: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates e verificare che la nuova chiave sia stata aggiunta.

  8. Selezionare la chiave del Registro di sistema seguente: Computer\HKEY_LOCAL_MACHINE\winpe-offline. Nel menu File selezionare Scarica Hive e selezionare .

  9. Chiudere l'editor del Registro di sistema e tutte le altre finestre che fanno riferimento ai file in C:\Mount.

  10. Smontare l'immagine di avvio e eseguire il commit delle modifiche. Ad esempio, DISM /Unmount-image /Commit /MountDir:C:\Mount

L'immagine di avvio include ora il certificato radice attendibile.

Passaggi successivi

Monitorare le distribuzioni del sistema operativo

Gestire le sequenze di attività per automatizzare le attività