Cenário de exemplo para implantação e gestão de clientes do Gestor de Configuração em dispositivos Windows Embedded

Aplica-se a: Configuration Manager (ramo atual)

Este cenário demonstra como é possível gerir dispositivos incorporados Windows com o Gestor de Configuração ativados por filtros.Se os seus dispositivos incorporados não suportam filtros de escrita, comportam-se como clientes Standard Configuration Manager e estes procedimentos não se aplicam.

A Coho Vineyard & Winery está a abrir um centro de visitantes e precisa de quiosques que funcionam Windows Embedded para realizar apresentações interativas. O edifício para o novo centro de visitantes não é próximo do departamento de TI, por isso os quiosques devem ser geridos remotamente. Além do software que executa as apresentações, estes dispositivos devem executar software de proteção antimalware atualizado para cumprir com as políticas de segurança da empresa. Os quiosques devem funcionar 7 dias por semana, sem tempo de inatividade enquanto o centro de visitantes estiver aberto.

O Coho já executa o Gestor de Configuração para gerir dispositivos na sua rede. O Gestor de Configuração está configurado para executar a Proteção de Pontos Finais e instalar atualizações e aplicações de software. No entanto, como a equipa de TI não conseguiu Windows dispositivos Incorporados antes, o administrador do Gestor de Configuração executa um piloto para gerir dois quiosques no lobby de receção.

Para gerir estes Windows dispositivos incorporados que estão ativados por filtros de escrita, o administrador do Gestor de Configuração executa os seguintes passos para instalar o cliente Gestor de Configuração, proteger o cliente utilizando a Proteção de Pontos Finais e instalar o software de apresentação interativo.

1. O administrador do Gestor de Configuração (o Administrador) lê como Windows dispositivos Incorporados usam filtros de escrita e como o Gestor de Configuração pode facilitar isto desativando automaticamente e, em seguida, reativando os filtros do escritor para persistirem numa instalação de software.

   Para obter mais informações, consulte Planeamento para a implementação do cliente para Windows dispositivos Incorporados.

2. Antes de o Administrador instalar o cliente Gestor de Configuração, o Administrador cria uma nova coleção de dispositivos baseados em consultas para os dispositivos incorporados Windows. Como a empresa utiliza formatos de nomeação padrão para identificar os seus computadores, o Administrador pode identificar exclusivamente Windows dispositivos Incorporados pelas primeiras seis letras do nome do computador: WEMDVC. O Administrador utiliza a seguinte consulta WQL para criar esta coleção: selecione SMS_R_System.NetbiosName a partir de SMS_R_System onde SMS_R_System.NetbiosName como "WEMDVC%"

   Esta coleção permite ao Administrador gerir os dispositivos incorporados Windows com diferentes opções de configuração dos outros dispositivos. O Administrador utilizará esta coleção para controlar o reinício, implementar a Proteção de Pontos Finais com as definições do cliente e implementar a aplicação de apresentação interativa.

   Ver Como criar coleções.

3. O Administrador configura a recolha para uma janela de manutenção para garantir que o recomeço que pode ser necessário para a instalação da aplicação de apresentação e quaisquer atualizações não ocorram durante o horário de funcionamento do centro de visitantes. As horas de abertura serão das 9:00 às 18:00, de segunda a domingo. O Administrador configura a janela de manutenção para todos os dias, das 18:30 às 06:00.

4. Para mais informações, consulte como utilizar janelas de manutenção.

5. Em seguida, o Administrador configura uma definição personalizada do cliente do dispositivo para instalar o cliente Endpoint Protection selecionando Sim para as seguintes definições e, em seguida, implementa esta definição personalizada do cliente para a coleção de dispositivos incorporados Windows:

   • Instalar o cliente do Endpoint Protection nos computadores cliente

   • Para dispositivos Windows Embedded com filtros de escrita, consolidar a instalação de cliente do Endpoint Protection (necessita de reinicialização)

   • Permitir a instalação de cliente Endpoint Protection e reiniciar fora das janelas de manutenção

     Quando o cliente Do Gestor de Configuração é instalado, estas definições instalam o cliente Endpoint Protection e asseguram-se de que é persistido no sistema operativo como parte da instalação, em vez de ser escrita apenas para a sobreposição. As políticas de segurança da empresa exigem que o software antimalware esteja sempre instalado e o Administrador não queira correr o risco de os quiosques ficarem desprotegidos por um curto período de tempo se reiniciarem.

   Nota

   Os reinícios necessários para instalar o cliente do Endpoint Protection ocorrem apenas uma vez, durante o período de configuração dos dispositivos e antes de o centro de visitantes estar operacional. Ao contrário da implementação periódica de aplicações ou atualizações de definição de software, a próxima vez que o cliente Endpoint Protection for instalado no mesmo dispositivo será provavelmente quando a empresa atualizar para a próxima versão do Gestor de Configuração.

   Para obter mais informações, consulte a Proteção de Pontos finais configurantes.

6. Com as definições de configuração para o cliente agora no lugar, o Administrador prepara-se para instalar os clientes Gestor de Configuração. Antes que o Administrador possa instalar os clientes, devem desativar manualmente o filtro de escrita no Windows dispositivos incorporados. O Administrador lê a documentação do OEM que acompanha os quiosques e segue as suas instruções para desativar os filtros de escrita.

   O Administrador renomea o dispositivo para que utilize o formato padrão da empresa e, em seguida, instala o cliente manualmente executando o CCMSetup com o seguinte comando a partir de uma unidade mapeada que contém os ficheiros de origem do cliente: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Este comando instala o cliente, atribui o cliente ao ponto de gestão que tem o FQDN da Intranet de mpserver.cohovineyardandwinery.com e atribui o cliente ao site primário denominado CO1.

   O Administrador sabe que demora sempre algum tempo para os clientes instalarem e enviarem de volta o seu estado para o site. Assim, o Administrador aguarda antes de confirmar que os clientes instalam, atribuem ao site com sucesso e aparecem como clientes na coleção que criaram para Windows dispositivos Incorporados.

   Como confirmação adicional, o Administrador verifica as propriedades do Gestor de Configuração no Painel de Controlo nos dispositivos e compara-os com os computadores Windows padrão que são geridos pelo site. Por exemplo, no separador Componentes , Agente de Inventário de Hardware apresenta Ativado e, no separador Ações , existem 11 ações disponíveis, que incluem Ciclo de Avaliação da Aplicação de Implementação e Ciclo de coleção de dados de deteção.

   Confiante de que os clientes são instalados, atribuídos e recebendo a política do cliente com sucesso a partir do ponto de gestão, o Administrador ativa manualmente os filtros de escrita seguindo as instruções do OEM.

   Para obter mais informações, consulte:

   • Como implementar clientes em computadores Windows

   • Como atribuir clientes a um site

7. Agora que o cliente Do Gestor de Configuração está instalado nos dispositivos Windows Embedded, o Administrador confirma que podem geri-los da mesma forma que gerem os clientes standard Windows. Por exemplo, a partir da consola Do Gestor de Configuração, o Administrador pode geri-los remotamente utilizando o controlo remoto, iniciar a política do cliente para eles e ver as propriedades do cliente e o inventário de hardware.

   Uma vez que estes dispositivos estão unidos a um domínio ative Directory, o Admin não tem de os aprovar manualmente como clientes de confiança e confirma a partir da consola Do Gestor de Configuração que estão aprovados.

   Para mais informações, consulte Como gerir os clientes.

8. Para instalar o software de apresentação interativo, o Administrador executa o Assistente de Software de Implementação e configura uma aplicação necessária. Na página Experiência do Utilizador do assistente, no manuseamento do filtro Write para Windows secção de dispositivos incorporados, aceitam a opção padrão que seleciona Alterar alterações no prazo ou durante uma janela de manutenção (requer o reinício).

   O Administrador mantém esta opção predefinida para escrever filtros para garantir que a aplicação persiste após um reinício, de modo a que esteja sempre disponível para os visitantes que usam os quiosques. A janela de manutenção diária fornece um período seguro durante o qual podem ocorrer os reinícios para instalação e atualizações.

   O Administrador implementa a aplicação na coleção de dispositivos Windows Embedded.

   Para obter mais informações, consulte Como implementar aplicações com o Gestor de Configuração.

9. Para configurar atualizações de definição para a Proteção de Pontos Finais, o Administrador utiliza atualizações de software e executa o Assistente de Regra de Implementação Automática. Selecionam o modelo de Atualizações de Definição para pré-povoar o assistente com definições adequadas para a Proteção de Pontos finais.

   Estas definições incluem as seguintes na página Experiência do Utilizador do assistente:

   • Comportamento do prazo: a caixa de verificação Instalação do Software não está selecionada.

   • Processamento do filtro de escrita para dispositivos Windows Embedded: a caixa de verificação Confirmar alterações dentro do prazo ou durante a janela de manutenção (requer reinicialização) não está selecionada.

     O Administrador mantém estas definições predefinidos. Em conjunto, estas duas opções com esta configuração permitem a instalação de quaisquer definições de atualização de software para o Endpoint Protection na sobreposição durante o dia, sem aguardar para serem instaladas e consolidadas durante a janela de manutenção. Esta configuração cumpre melhor a política de segurança da empresa relativa à execução de proteção antimalware atualizada nos computadores.

     Nota

     Ao contrário das instalações de software para aplicações, as definições de atualização de software para o Endpoint Protection podem ocorrer com muita frequência, inclusivamente várias vezes por dia. São frequentemente ficheiros pequenos. Para estes tipos de implementações relacionadas com segurança, geralmente é vantajoso instalar sempre na sobreposição em vez de aguardar até à janela de manutenção. O cliente Do Gestor de Configuração instalará rapidamente as atualizações de definição de software se o dispositivo reiniciar porque esta ação inicia uma verificação de avaliação e não aguarda até à próxima avaliação programada.

     O Administrador seleciona a recolha de dispositivos incorporados Windows para a regra de implantação automática.

     Para obter mais informações, veja
     Passo 3: Configurar atualizações de software do gestor de configuração para entregar atualizações de definição aos computadores clientes na proteção de pontos finais configurando

10. A Administração decide configurar uma tarefa de manutenção que compromete periodicamente todas as alterações na sobreposição. Esta tarefa destina-se a suportar a implementação de definições de atualização de software, para reduzir o número de atualizações que se acumulam e têm de ser instaladas novamente sempre que o dispositivo reinicia. Na experiência do Administrador, isto ajuda os programas antimalware a funcionar de forma mais eficiente.

    Nota

    Estas definições de atualização de software seriam consolidadas automaticamente na imagem se os dispositivos Embedded executassem outra tarefa de gestão que suportasse a consolidação de alterações. Por exemplo, a instalação de uma nova versão do software de apresentação interativa também consolidaria as alterações das definições de atualização de software. Em alternativa, a instalação de atualizações de software padrão todos os meses durante a janela de manutenção também poderia consolidar as alterações das definições de atualização de software. No entanto, neste cenário, em que as atualizações de software padrão não são executadas e o software de apresentação interativa não é atualizado com muita frequência, poderão decorrer meses até as atualizações de definições de software serem automaticamente consolidadas na imagem.

    O Administrador cria primeiro uma sequência de tarefas personalizada que não tem outras definições que não o nome. Executam o Assistente de Sequência de Tarefas Criar:

    1. Na página Criar uma nova seqüência de tarefa, o Administrador seleciona Criar uma nova sequência de tarefas personalizada e, em seguida, clicar em Seguinte.

    2. Na página 'Informações de sequência de tarefas', o Administrador introduz a tarefa manutenção para cometer alterações em dispositivos incorporados para o nome da sequência de tarefas e, em seguida, clica em Seguinte.

    3. Na página Resumo, o Administrador seleciona Seguinte, e completa o assistente.

       Em seguida, o Administrador implementa esta sequência de tarefas personalizadas para a coleção de dispositivos incorporados Windows e configura o horário a ser executado todos os meses. Como parte das definições de implementação, selecionam as alterações do Compromisso no prazo ou durante uma janela de manutenção (requer recomeça) a caixa de verificação para persistir as alterações após um reinício. Para configurar esta implementação, o Administrador seleciona a sequência de tarefas personalizada que acabam de criar e, em seguida, no separador 'Casa', no grupo 'Implementação', clicam em Implementar para iniciar o Assistente de Software de Implantação:

    4. Na página Geral, o Administrador seleciona a coleção de dispositivos incorporados Windows e, em seguida, clica em Seguinte.

    5. Na página de Definições implantação, o Administrador seleciona a Finalidade do Requerido e, em seguida, clica em Seguida.

    6. Na página de Agendamento, o Administrador clica em Novo para especificar um horário semanal durante a janela de manutenção e, em seguida, clica em Seguinte.

    7. O Administrador completa o assistente sem mais alterações.

       Para obter mais informações, veja
       Gerir sequências de tarefas para automatizar tarefas.

11. Para que os quiosques se atrasem automaticamente, o Administrador escreve um script para configurar os dispositivos para as seguintes definições:

    • Iniciar sessão automaticamente utilizando uma conta de convidado sem palavra-passe.

    • Executar automaticamente o software de apresentação interativa ao iniciar.

      O Administrador utiliza pacotes e programas para implementar este script na coleção de dispositivos incorporados Windows. Quando o Administrador executa o Assistente de Software de Implementação, eles voltam a selecionar as alterações do Commit no prazo ou durante uma janela de manutenção (requer recomeça) caixa de verificação para persistir as alterações após um reinício.

      Para mais informações, consulte Pacotes e programas.

12. Na manhã seguinte, o Administrador verifica os Windows dispositivos incorporados. Confirmam o seguinte:

    • A sessão do quiosque foi automaticamente iniciada com a conta de convidado.

    • O software de apresentação interativa está em execução.

    • O cliente do Endpoint Protection está instalado e tem as definições de atualização de software mais recentes.

    • O dispositivo foi reiniciado durante a janela de manutenção.

      Para obter mais informações, consulte:

    • Como monitorizar o Endpoint Protection

    • Monitorize aplicações com Gestor de Configuração

13. O Administrador monitoriza os quiosques e reporta a gestão bem sucedida deles ao seu gestor. Dado o êxito, são encomendados 20 quiosques para o centro de visitantes.

    Para evitar a instalação manual do cliente Gestor de Configuração, que requer desativação manual e, em seguida, ativar os filtros de escrita, o Administrador garante que a encomenda inclui uma imagem personalizada que já inclui a instalação e atribuição do site do cliente Gestor de Configuração. Além disso, o nome dos dispositivos é atribuído de acordo com o formato de nomenclatura da empresa.

    Os quiosques são entregues para o centro de visitantes uma semana antes da respetiva abertura. Durante este período, os quiosques são ligados à rede, toda a gestão de dispositivos é automática e não é necessário um administrador local. O Administrador confirma que os quiosques estão a funcionar conforme necessário:

    • Os clientes dos quiosques concluem a atribuição de sites e transferem a chave de raiz fidedigna a partir dos Serviços de Domínio do Active Directory.

    • Os clientes dos quiosques são automaticamente adicionados à coleção de dispositivos Windows Embedded e configurados com a janela de manutenção.

    • O cliente do Endpoint Protection está instalado e tem as definições de atualização de software mais recentes da proteção antimalware.

    • O software de apresentação interativa está instalado e é executado automaticamente (está preparado para os visitantes).

14. Após esta configuração inicial, quaisquer reinícios que possam ser necessários para atualizações só ocorrerão quando o centro de visitantes estiver fechado.