Funcionamiento del aprovisionamiento en Windows
Los paquetes de aprovisionamiento en el cliente de Windows proporcionan a los administradores de TI una manera simplificada de aplicar la configuración a los dispositivos cliente de Windows. El Diseñador de configuraciones de Windows es una herramienta que facilita la creación de un paquete de aprovisionamiento. El Diseñador de configuración de Windows se puede instalar desde Microsoft Store.
Paquetes de aprovisionamiento
Un paquete de aprovisionamiento contiene configuraciones o configuraciones específicas y recursos que se pueden proporcionar a través de un medio extraíble o descargarse en el dispositivo.
Para habilitar la adición de varios conjuntos de configuraciones, los datos de configuración que usa el motor de aprovisionamiento se compilan fuera de varios orígenes de configuración que constan de paquetes de aprovisionamiento separados. Cada paquete de aprovisionamiento contiene los datos de aprovisionamiento de un origen distinto.
Un paquete de aprovisionamiento (.ppkg) es un contenedor de una colección de opciones de configuración. El paquete tiene el siguiente formato:
Metadatos del paquete: los metadatos contienen información básica sobre el paquete, como el nombre del paquete, la descripción, la versión, la clasificación, etc.
Descriptores XML: cada descriptor define un recurso de personalización o un valor de configuración incluido en el paquete.
Cargas de recursos: las cargas de un recurso de personalización o una configuración asociada a una aplicación o un recurso de datos.
Puede usar paquetes de aprovisionamiento para el aprovisionamiento de dispositivos en tiempo de ejecución accediendo al paquete en un medio extraíble conectado al dispositivo, a través de la comunicación de campo cercano (NFC) o descargando desde una ubicación de origen remota.
Precedencia de los paquetes de aprovisionamiento
Cuando varios paquetes de aprovisionamiento están disponibles para el aprovisionamiento del dispositivo, se usa la combinación del tipo de propietario del paquete y el nivel de clasificación del paquete definido en el manifiesto para resolver los conflictos de configuración. Los tipos de propietario del paquete predefinidos se enumeran a continuación en el orden de precedencia de tipo de propietario de menor a mayor:
- Microsoft
- Proveedor de Silicon
- OEM
- Integrador de sistemas
- Operador móvil
- Administrador de TI
El intervalo de valores válidos del nivel de clasificación de paquetes es de 0 a 99.
Cuando se producen conflictos de configuración, la precedencia del tipo de propietario y el nivel de clasificación de los paquetes que contienen la configuración determinan los valores finales aprovisionados en el dispositivo. Para los paquetes con el mismo tipo de propietario, el nivel de clasificación del paquete determina el paquete desde el que se aprovisionan los valores de configuración en el dispositivo.
XML de aprovisionamiento de Windows
XML de aprovisionamiento de Windows es el marco que permite a los componentes de Microsoft y OEM declarar la configuración del usuario final y la infraestructura en el dispositivo para aplicar la configuración con el mínimo esfuerzo del propietario del componente.
Se puede declarar la configuración de cada componente en el archivo de manifiesto de paquete del componente. Estas declaraciones se convierten en el esquema de configuración que usa el Diseñador de configuraciones de Windows para exponer la posible configuración a los usuarios para que creen personalizaciones en la imagen o en los paquetes de aprovisionamiento. El Diseñador de configuraciones de Windows traslada la configuración de usuario, que se declara a través de los archivos de respuesta de aprovisionamiento de Windows, al formato de aprovisionamiento en el dispositivo.
Cuando el motor de aprovisionamiento selecciona una configuración, el XML de aprovisionamiento de Windows está dentro de los datos de aprovisionamiento seleccionados y se pasa a través del administrador de configuración al CSP de aprovisionamiento de Windows. El CSP de aprovisionamiento de Windows toma y aplica el aprovisionamiento en la ubicación adecuada para el componente real que se usará.
Motor de aprovisionamiento
El motor de aprovisionamiento es el componente principal para administrar el aprovisionamiento y la configuración en tiempo de ejecución en un dispositivo que ejecuta Windows 10/11.
El motor de aprovisionamiento proporciona las siguientes funcionalidades:
- Aprovisionar la configuración en cualquier momento cuando el dispositivo esté en ejecución, por ejemplo, en el primer arranque, la primera configuración o la fase OOBE. También es extensible a otros puntos durante el tiempo de ejecución del dispositivo.
- Leer y combinar la configuración de varios orígenes de configuración que Microsoft, el OEM o los integradores de sistemas pueden agregar a una imagen, o que los usuarios o los administradores educativos o de TI pueden agregar en el dispositivo en tiempo de ejecución. Es posible que los orígenes de la configuración se compilen en la imagen o desde paquetes de aprovisionamiento agregados al dispositivo.
- Responder a desencadenadores o eventos e iniciar una fase de aprovisionamiento.
- Autenticar los paquetes de aprovisionamiento.
- Seleccionar un conjunto de configuración en función de la fase y un conjunto de claves (por ejemplo, SIM, MCC, MNC, intervalo IMSI, etc.) que se asignen a una configuración específica y pasarla a la infraestructura de administración de configuración para que se aplique.
- Trabajar con OOBE y la UI del panel de control para permitir al usuario seleccionar la configuración cuando no se pueda determinar una coincidencia específica.
Administrador de configuración
El administrador de configuración proporciona la forma unificada de administrar dispositivos Windows 10/11. La configuración se realiza principalmente a través de los protocolos Open Mobile Alliance (OMA), Device Management (DM) y Client Provisioning (CP). El administrador de configuración controla y analiza estas solicitudes de protocolo provenientes de distintos canales y las pasa a los proveedores de servicios de configuración (CSP) para realizar las solicitudes y la configuración de administración específicas.
El motor de aprovisionamiento se basa en el administrador de configuración para todo el procesamiento y aplicación reales de una configuración elegida. El motor de aprovisionamiento determina la fase de aprovisionamiento y, en función de un conjunto de claves, determina el conjunto de configuración que se enviará al administrador de configuración. A su vez, el administrador de configuración analiza y llama a los CSP para que se aplique la configuración.
Los CSP están por debajo del administrador de configuración. Cada sección de configuración se traslada a un determinado CSP para que lo interprete en una acción en el dispositivo. Cada CSP traduce las instrucciones de la configuración y las llamadas a las API y los componentes adecuados para realizar las acciones de aprovisionamiento solicitadas.
Administrador de directivas y recursos
Los componentes de administración de directivas, recursos y contextos administran la inscripción y la anulación de la inscripción de dispositivos en entornos empresariales. El proceso de inscripción en una empresa es básicamente el aprovisionamiento de configuración y las directivas de administración del dispositivo que la empresa quiera aplicar en él. Por lo general, esto se realiza con el registro explícito del dispositivo en el servidor de administración de dispositivos de la empresa a través de una conexión de red. Esto proporciona al usuario la capacidad de obtener acceso a los recursos de la empresa mediante el dispositivo. Por su parte, proporciona medios a la empresa para administrar y controlar el acceso y el dispositivo propiamente dicho.
Las diferencias clave entre la inscripción de empresa y la configuración realizada por el motor de aprovisionamiento son:
- La inscripción aplica un conjunto de directivas limitadas y controladas en el dispositivo sobre el que el usuario no puede tener el control total. El motor de aprovisionamiento expone un conjunto de configuración mayor que configura más aspectos del dispositivo y, por lo general, el usuario puede ajustarlo más.
- El administrador de directivas administra la configuración de directivas de varias entidades y realiza una selección de la configuración en función de la prioridad de las entidades. El motor de aprovisionamiento aplica la configuración y no ofrece ninguna forma de priorizar la configuración desde orígenes diferentes. El aprovisionamiento más específico es el último que se aplica y el que se usa.
- Se almacena la configuración de directivas individual que se aplica desde varias entidades de inscripción, por lo que se puede quitar más tarde durante la anulación de la suscripción. Esto permite al usuario quitar la directiva de empresa y devolver el dispositivo a un estado sin restricciones de empresa ni datos confidenciales. El motor de aprovisionamiento no mantiene la configuración de aprovisionamiento individual ni un medio para revertir toda la configuración aplicada.
En Windows 10, la aplicación de la directiva y la inscripción mediante aprovisionamiento son necesarias para admitir casos en los que una empresa o una institución educativa no tiene un servidor DM para la administración completa de dispositivos. El motor de aprovisionamiento admite la inscripción y la directiva de aprovisionamiento mediante su configuración y se integra con los componentes del administrador de directivas y recursos existente, directamente o mediante el administrador de configuración.
Desencadenadores y fases
Los desencadenadores son eventos que se producen durante la vigencia útil del sistema que inician una fase de aprovisionamiento. Algunos ejemplos de desencadenadores son: arranque, OOBE, cambio de SIM, usuario agregado, administrador agregado, inicio de sesión de usuario, actualización de dispositivo y varios desencadenadores manuales (como la implementación a través de USB o el inicio desde un archivo adjunto de correo electrónico o una unidad flash USB).
Cuando se produce un desencadenador, el aprovisionamiento se inicia para una fase determinada del aprovisionamiento. Las fases se agrupan en conjuntos en función del ámbito de la configuración:
- Estático: primera etapa que se ejecuta del aprovisionamiento para aplicar la configuración en el sistema para configurar la OOBE o aplicar la configuración de todo el dispositivo que no se puede realizar cuando se crea la imagen.
- Sistema: se ejecuta durante la OOBE y configura todo el sistema.
- UICC: las fases UICC se ejecutan para cada UICC nueva en un dispositivo para controlar la configuración y personalización de marca en función de la identidad de la tarjeta SIM o UICC. Esto habilita los escenarios de configuración de tiempo de ejecución en los que un OEM puede mantener una imagen que se puede configurar para varios operadores.
- Actualizar: se ejecuta después de una actualización para aplicar posibles cambios en la configuración actualizada.
- Usuario: se ejecuta durante la primera ejecución de una cuenta de usuario para realizar la configuración de cada usuario.
Aprovisionamiento del dispositivo durante la OOBE
El motor de aprovisionamiento aplica siempre los paquetes de aprovisionamiento de la carpeta C:\Recovery\Customizations en la partición del sistema operativo. Cuando el motor de aprovisionamiento aplica los paquetes de aprovisionamiento en la carpeta %ProgramData%\Microsoft\Provisioning, algunas aplicaciones de configuración de tiempo de ejecución, como la configuración para instalar y configurar las aplicaciones de Windows, pueden extenderse más allá de la fase OOBE y procesarse continuamente en segundo plano cuando el dispositivo accede al escritorio. La configuración de directivas y determinadas configuraciones del sistema cruciales siempre se finalizan antes del primer punto en el que se deben aplicar.
Los usuarios de los dispositivos pueden aplicar un paquete de aprovisionamiento desde un origen remoto cuando el dispositivo se arranca por primera vez en la OOBE. El dispositivo que se aprovisiona durante la OOBE solo se desencadena después de que se hayan configurado el idioma, la configuración regional, la zona horaria y otras opciones de configuración en la primera página de la UI de la OOBE. Cuando se desencadena el aprovisionamiento del dispositivo, se muestra la interfaz de usuario de aprovisionamiento en la página de la OOBE. La UI de aprovisionamiento permite a los usuarios seleccionar un paquete de aprovisionamiento adquirido desde un origen remoto, como NFC o un medio extraíble.
En la siguiente tabla se muestra cómo se puede iniciar el aprovisionamiento del dispositivo cuando un usuario arranca por primera vez en la OOBE.
| Entrega de paquetes | Método de inicio | Dispositivo compatible |
|---|---|---|
| Medios extraíbles: unidad USB o tarjeta SD (los paquetes deben colocarse en la raíz del medio) |
Cinco pulsaciones rápidas en la clave de Windows para iniciar la interfaz de usuario de aprovisionamiento | Todos los dispositivos Windows |
| Desde un dispositivo administrador a través de nfc de máquina a máquina o etiqueta NFC (el dispositivo de administrador debe ejecutar una aplicación que pueda transferir el paquete a través de NFC) |
Cinco pulsaciones rápidas en la clave de Windows para iniciar la interfaz de usuario de aprovisionamiento | Dispositivos Windows IoT Core |
El motor de aprovisionamiento copia siempre los paquetes de aprovisionamiento adquiridos en la carpeta %ProgramData%\Microsoft\Provisioning antes de procesarlos durante la OOBE. El motor de aprovisionamiento siempre aplica los paquetes de aprovisionamiento incrustados en la imagen de Windows instalada durante la fase OOBE del programa de instalación de Windows, independientemente de si el paquete está firmado y es de confianza. Cuando el motor de aprovisionamiento aplica un paquete de aprovisionamiento cifrado en un dispositivo del usuario final durante la OOBE, los usuarios deben proporcionar antes una contraseña válida para descifrar el paquete. El motor de aprovisionamiento también comprueba si un paquete de aprovisionamiento está firmado y es de confianza. Si no es así, el usuario debe dar su consentimiento antes de que el paquete se aplique al dispositivo.
Cuando el motor de aprovisionamiento aplica los paquetes de aprovisionamiento durante la OOBE, se aplica solo la configuración de tiempo de ejecución desde el paquete al dispositivo. La configuración de tiempo de ejecución puede ser una configuración de todo el sistema. Incluye la directiva de seguridad, la instalación o desinstalación de aplicaciones de Windows, la configuración de red, el arranque de la inscripción de MDM, el aprovisionamiento de recursos de archivo, la configuración de cuenta y dominio, la actualización de la edición de Windows, etc. El motor de aprovisionamiento también comprueba las opciones de configuración del dispositivo (como la región, la configuración regional o la tarjeta SIM) y aplica la configuración multivariante con las condiciones que coinciden.
Aprovisionamiento de dispositivos en tiempo de ejecución
Durante el tiempo de ejecución del dispositivo, la iniciación del usuario puede aplicar paquetes de aprovisionamiento independientes. En la tabla siguiente se muestra cuándo se puede iniciar el aprovisionamiento en tiempo de ejecución del dispositivo.
| Entrega de paquetes | Método de inicio | Dispositivo compatible |
|---|---|---|
| Medios extraíbles: unidad USB o tarjeta SD (los paquetes deben colocarse en la raíz del medio) |
Configuración>Cuentas>Obtener acceso a trabajo o escuela>Agregar o quitar un paquete de aprovisionamiento | Todos los dispositivos Windows |
| Descargado de una conexión de red y copiado en una carpeta local | Haz doble clic en el archivo de paquete. | Cliente de Windows para dispositivos de ediciones de escritorio |
| Desde un dispositivo administrador conectado al dispositivo de destino a través de tethering USB | Arrastra y coloca el archivo de paquete en el dispositivo de destino | Dispositivos Windows IoT Core |
Al aplicar paquetes de aprovisionamiento desde un medio extraíble conectado al dispositivo, la UI de configuración permite ver el contenido de un paquete antes de seleccionar el paquete de aprovisionamiento. Para minimizar el riesgo de que lleguen elementos no deseados al dispositivo porque se aplicaron paquetes de aprovisionamiento de orígenes desconocidos, se puede firmar y cifrar un paquete de aprovisionamiento. Los asociados también pueden establecer directivas para limitar la aplicación de paquetes de aprovisionamiento en tiempo de ejecución del dispositivo. Es necesario el privilegio de administrador para aplicar paquetes de aprovisionamiento en tiempo de ejecución del dispositivo. Si el paquete no está firmado o no es de confianza, un usuario debe dar su consentimiento antes de que el paquete se aplique al dispositivo. Si el paquete está cifrado, se necesita una contraseña válida para descifrar el paquete antes de que se pueda aplicar al dispositivo.
Al aplicar varios paquetes de aprovisionamiento en un dispositivo, el motor de aprovisionamiento resuelve la configuración de valores de configuraciones en conflicto desde diferentes paquetes mediante la evaluación de la clasificación del paquete con la combinación del tipo de propietario del paquete y el nivel de clasificación del paquete definidos en los metadatos. Una opción de configuración aplicada desde un paquete de aprovisionamiento con la clasificación de paquete más alta será el valor final que se aplique al dispositivo.
Después de aplicar un paquete de aprovisionamiento independiente al dispositivo, el paquete se guarda en la carpeta %ProgramData%\Microsoft\Provisioning del dispositivo. Un administrador puede quitar los paquetes de aprovisionamiento si usa Agregar o quitar un paquete de aprovisionamiento, disponible en Configuración>Cuentas>Obtener acceso a trabajo o escuela.