Cenário de exemplo para implementar e gerir clientes Configuration Manager em dispositivos Windows Embedded

Aplica-se a: Configuration Manager (branch atual)

Este cenário demonstra como pode gerir dispositivos Windows Embedded com filtro de escrita ativado com Configuration Manager. Se os seus dispositivos incorporados não suportarem filtros de escrita, comportam-se como clientes padrão Configuration Manager e estes procedimentos não se aplicam.

A Coho Vineyard & Winery está a abrir um centro de visitantes e precisa de quiosques que executem o Windows Embedded para executar apresentações interativas. O edifício do novo centro de visitantes não está próximo do departamento de TI, pelo que os quiosques têm de ser geridos remotamente. Além do software que executa as apresentações, estes dispositivos têm de executar software de proteção antimalware atualizado para cumprir as políticas de segurança da empresa. Os quiosques têm de ser executados 7 dias por semana, sem tempo de inatividade enquanto o centro de visitantes estiver aberto.

O Coho já executa Configuration Manager para gerir dispositivos na respetiva rede. Configuration Manager está configurado para executar o Endpoint Protection e instalar atualizações de software e aplicações. No entanto, como a equipa de TI nunca geriu dispositivos Windows Embedded, o administrador Configuration Manager executa um piloto para gerir dois quiosques na sala de espera de receção.

Para gerir estes dispositivos Windows Embedded com filtro de escrita ativado, Configuration Manager administrador executa os seguintes passos para instalar o cliente Configuration Manager, proteger o cliente utilizando o Endpoint Protection e instalar o software de apresentação interativo.

1. O administrador Configuration Manager (o Administração) lê como os dispositivos Windows Embedded utilizam filtros de escrita e como Configuration Manager podem facilitar esta ação ao desativar automaticamente e, em seguida, reativar os filtros de escritor para manter uma instalação de software.

   Para obter mais informações, veja Planear a implementação de clientes em dispositivos Windows Embedded.

2. Antes de o Administração instalar o cliente Configuration Manager, o Administração cria uma nova coleção de dispositivos baseados em consultas para os dispositivos Windows Embedded. Uma vez que a empresa utiliza formatos de nomenclatura padrão para identificar os respetivos computadores, o Administração pode identificar exclusivamente os dispositivos Windows Embedded pelas primeiras seis letras do nome do computador: WEMDVC. O Administração utiliza a seguinte consulta WQL para criar esta coleção: selecione SMS_R_System.NetbiosName em SMS_R_System em que SMS_R_System.NetbiosName como "WEMDVC%"

   Esta coleção permite ao Administração gerir os dispositivos Windows Embedded com diferentes opções de configuração dos outros dispositivos. O Administração utilizará esta coleção para controlar reinícios, implementar o Endpoint Protection com definições de cliente e implementar a aplicação de apresentação interativa.

   Veja Como criar coleções.

3. O Administração configura a coleção para uma janela de manutenção para garantir que os reinícios que possam ser necessários para instalar a aplicação de apresentação e quaisquer atualizações não ocorrem durante o horário de funcionamento do centro de visitantes. O horário de funcionamento será das 09:00 às 18:00, de segunda a domingo. O Administração configura a janela de manutenção para todos os dias, das 18:30 às 06:00.

4. Para obter mais informações, consulte Como utilizar janelas de manutenção.

5. Em seguida, o Administração configura uma definição de cliente de dispositivo personalizado para instalar o cliente do Endpoint Protection ao selecionar Sim para as seguintes definições e, em seguida, implementa esta definição de cliente personalizada na coleção de dispositivos Windows Embedded:

   • Instalar o cliente do Endpoint Protection em computadores cliente

   • Para dispositivos Windows Embedded com filtros de escrita, consolide a instalação do cliente do Endpoint Protection (requer reinício)

   • Permitir que a instalação e o reinício do cliente do Endpoint Protection sejam executados fora das janelas de manutenção

     Quando o cliente Configuration Manager estiver instalado, estas definições instalam o cliente do Endpoint Protection e garantem que este persiste no sistema operativo como parte da instalação, em vez de serem escritas apenas na sobreposição. As políticas de segurança da empresa exigem que o software antimalware esteja sempre instalado e o Administração não queira correr o risco de os quiosques estarem desprotegidos durante um curto período de tempo se forem reiniciados.

   Observação

   Os reinícios necessários para instalar o cliente do Endpoint Protection são uma ocorrência única, que ocorre durante o período de configuração dos dispositivos e antes de o centro de visitantes estar operacional. Ao contrário da implementação periódica de aplicações ou atualizações de definições de software, a próxima vez que o cliente do Endpoint Protection for instalado no mesmo dispositivo será provavelmente quando a empresa atualizar para a próxima versão do Configuration Manager.

   Para obter mais informações, veja Configurar o Endpoint Protection.

6. Com as definições de configuração do cliente agora implementadas, o Administração prepara-se para instalar os clientes Configuration Manager. Antes de os Administração poderem instalar os clientes, têm de desativar manualmente o filtro de escrita nos dispositivos Windows Embedded. O Administração lê a documentação do OEM que acompanha os quiosques e segue as instruções para desativar os filtros de escrita.

   O Administração muda o nome do dispositivo para que utilize o formato de nomenclatura padrão da empresa e, em seguida, instala o cliente manualmente ao executar CCMSetup com o seguinte comando a partir de uma unidade mapeada que contém os ficheiros de origem do cliente: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Este comando instala o cliente, atribui o cliente ao ponto de gestão que tem o FQDN da intranet de mpserver.cohovineyardandwinery.com e atribui o cliente ao site primário denominado CO1.

   O Administração sabe que os clientes demoram sempre algum tempo a instalar e a enviar de volta as suas status para o site. Assim, o Administração aguarda antes de confirmar que os clientes instalam, atribuem ao site com êxito e aparecem como clientes na coleção que criaram para dispositivos Windows Embedded.

   Como confirmação adicional, o Administração verifica as propriedades de Configuration Manager no Painel de Controle nos dispositivos e compara-as com os computadores Windows padrão geridos pelo site. Por exemplo, no separador Componentes , o Agente de Inventário de Hardware apresenta Ativado e, no separador Ações , existem 11 ações disponíveis, que incluem o Ciclo de Avaliação da Implementação de Aplicações e o Ciclo de Recolha de Dados de Deteção.

   Confiante de que os clientes são instalados com êxito, atribuídos e a receber a política de cliente do ponto de gestão, o Administração ativa manualmente os filtros de escrita ao seguir as instruções do OEM.

   Para saber mais, confira:

   • Como implantar clientes em computadores Windows

   • Como atribuir clientes a um site

7. Agora que o cliente Configuration Manager está instalado nos dispositivos Windows Embedded, o Administração confirma que pode geri-los da mesma forma que gere os clientes Windows padrão. Por exemplo, a partir da consola do Configuration Manager, o Administração pode geri-los remotamente através do controlo remoto, iniciar a política de cliente para os mesmos e ver as propriedades do cliente e o inventário de hardware.

   Uma vez que estes dispositivos estão associados a um domínio do Active Directory, o Administração não tem de os aprovar manualmente como clientes fidedignos e confirma a partir da consola do Configuration Manager que foram aprovados.

   Para obter mais informações, veja Como gerir clientes.

8. Para instalar o software de apresentação interativo, o Administração executa o Assistente de Implementação de Software e configura uma aplicação necessária. Na página Experiência de Utilizador do assistente, na secção Processamento de filtros de escrita para dispositivos Windows Embedded , aceitam a opção predefinida que seleciona Consolidar alterações dentro do prazo ou durante uma janela de manutenção (requer reinícios).

   O Administração mantém esta opção predefinida para filtros de escrita para garantir que a aplicação persiste após um reinício, para que esteja sempre disponível para os visitantes que utilizam os quiosques. A janela de manutenção diária fornece um período seguro durante o qual os reinícios da instalação e quaisquer atualizações podem ocorrer.

   O Administração implementa a aplicação na coleção de dispositivos Windows Embedded.

   Para obter mais informações, veja Como implementar aplicações com Configuration Manager.

9. Para configurar atualizações de definições para o Endpoint Protection, o Administração utiliza atualizações de software e executa o Assistente para Criar Regra de Implementação Automática. Selecionam o modelo definição Atualizações para pré-preencher o assistente com definições adequadas para o Endpoint Protection.

   Estas definições incluem o seguinte na página Experiência de Utilizador do assistente:

   • Comportamento do prazo: a caixa de marcar Instalação de Software não está selecionada.

   • Processamento de filtros de escrita para dispositivos Windows Embedded: a caixa Consolidar alterações dentro do prazo ou durante uma janela de manutenção (requer reinícios) marcar não está selecionada.

     O Administração mantém estas predefinições. Em conjunto, estas duas opções com esta configuração permitem que quaisquer definições de atualização de software para o Endpoint Protection sejam instaladas na sobreposição durante o dia e não esperem para serem instaladas e consolidadas durante a janela de manutenção. Esta configuração cumpre melhor a política de segurança da empresa para que os computadores executem a proteção antimalware atualizada.

     Observação

     Ao contrário das instalações de software para aplicações, as definições de atualização de software para o Endpoint Protection podem ocorrer com muita frequência, mesmo várias vezes por dia. Muitas vezes, são ficheiros pequenos. Para estes tipos de implementações relacionadas com segurança, muitas vezes pode ser vantajoso instalar sempre a sobreposição em vez de esperar pela janela de manutenção. O cliente Configuration Manager reinstalará rapidamente as atualizações de definição de software se o dispositivo reiniciar porque esta ação inicia uma avaliação marcar e não aguarda até à próxima avaliação agendada.

     O Administração seleciona a coleção de dispositivos Windows Embedded para a regra de implementação automática.

     Para obter mais informações, confira
     Passo 3: Configurar Configuration Manager Atualizações de Software para Fornecer Atualizações de Definição a Computadores Cliente na Configuração do Endpoint Protection

10. O Administração decide configurar uma tarefa de manutenção que consolida periodicamente todas as alterações na sobreposição. Esta tarefa destina-se a suportar a implementação de definições de atualização de software, para reduzir o número de atualizações que se acumulam e têm de ser instaladas novamente, sempre que o dispositivo for reiniciado. Na experiência do Administração, isto ajuda os programas antimalware a funcionar de forma mais eficiente.

    Observação

    Estas definições de atualização de software seriam automaticamente consolidadas na imagem se os dispositivos incorporados executassem outra tarefa de gestão que suportasse a consolidação das alterações. Por exemplo, a instalação de uma nova versão do software de apresentação interativa também consolidaria as alterações para definições de atualização de software. Em alternativa, instalar atualizações de software padrão todos os meses que são instaladas durante a janela de manutenção também pode consolidar as alterações das definições de atualização de software. No entanto, neste cenário, em que as atualizações de software padrão não são executadas e é pouco provável que o software de apresentação interativa seja atualizado com muita frequência, poderá demorar meses até que as atualizações de definição de software sejam automaticamente consolidadas na imagem.

    O Administração cria primeiro uma sequência de tarefas personalizada que não tem outras definições que não o nome. Executam o Assistente para Criar Sequência de Tarefas:

    1. Na página Criar uma Nova Sequência de Tarefas, o Administração seleciona Criar uma nova sequência de tarefas personalizada e, em seguida, clica em Seguinte.

    2. Na página Informações da Sequência de Tarefas, o Administração introduz a tarefa Manutenção para consolidar alterações em dispositivos incorporados para o nome da sequência de tarefas e, em seguida, clica em Seguinte.

    3. Na página Resumo, o Administração seleciona Seguinte e conclui o assistente.

       Em seguida, o Administração implementa esta sequência de tarefas personalizada na coleção de dispositivos Windows Embedded e configura a agenda para ser executada todos os meses. Como parte das definições de implementação, selecionam a caixa Consolidar alterações dentro do prazo ou durante uma janela de manutenção (requer reinícios) marcar para manter as alterações após um reinício. Para configurar esta implementação, o Administração seleciona a sequência de tarefas personalizada que acabou de criar e, em seguida, no separador Base, no grupo Implementação, clicam em Implementar para iniciar o Assistente de Implementação de Software:

    4. Na página Geral, o Administração seleciona a coleção de dispositivos Windows Embedded e, em seguida, clica em Seguinte.

    5. Na página Definições de Implementação, o Administração seleciona o Objetivo de Obrigatório e, em seguida, clica em Seguinte.

    6. Na página Agendamento, o Administração clica em Novo para especificar uma agenda semanal durante a janela de manutenção e, em seguida, clica em Seguinte.

    7. O Administração conclui o assistente sem mais alterações.

       Para obter mais informações, confira
       Gerir sequências de tarefas para automatizar tarefas.

11. Para que os quiosques funcionem automaticamente, o Administração escreve um script para configurar os dispositivos para as seguintes definições:

    • Inicie sessão automaticamente com uma conta de convidado sem palavra-passe.

    • Execute automaticamente o software de apresentação interativo no arranque.

      O Administração utiliza pacotes e programas para implementar este script na coleção de dispositivos Windows Embedded. Quando o Administração executa o Assistente para Implementar Software, selecionam novamente a caixa Consolidar alterações dentro do prazo ou durante uma janela de manutenção (requer reinícios) marcar para manter as alterações após um reinício.

      Para obter mais informações, veja Pacotes e programas.

12. Na manhã seguinte, o Administração verifica os dispositivos Windows Embedded. Confirmam o seguinte:

    • O quiosque é automaticamente iniciado com a conta de convidado.

    • O software de apresentação interativo está em execução.

    • O cliente do Endpoint Protection está instalado e tem as definições de atualização de software mais recentes.

    • Que o dispositivo foi reiniciado durante a janela de manutenção.

      Para saber mais, confira:

    • Como monitorizar o Endpoint Protection

    • Monitorizar aplicações com Configuration Manager

13. O Administração monitoriza os quiosques e comunica a gestão bem-sucedida dos mesmos ao respetivo gestor. Como resultado, são encomendados 20 quiosques para o centro de visitantes.

    Para evitar a instalação manual do cliente Configuration Manager, que requer a desativação manual e, em seguida, a ativação dos filtros de escrita, o Administração garante que a encomenda inclui uma imagem personalizada que já inclui a instalação e atribuição de site do cliente Configuration Manager. Além disso, os dispositivos são nomeados de acordo com o formato de nomenclatura da empresa.

    Os quiosques são entregues no centro de visitantes uma semana antes de abrir. Durante este período, os quiosques estão ligados à rede, toda a gestão de dispositivos para os mesmos é automática e não é necessário nenhum administrador local. O Administração confirma que os quiosques estão a funcionar conforme necessário:

    • Os clientes nos quiosques completam a atribuição do site e transferem a chave de raiz fidedigna do Active Directory Domain Services.

    • Os clientes nos quiosques são automaticamente adicionados à coleção de dispositivos Windows Embedded e configurados com a janela de manutenção.

    • O cliente do Endpoint Protection está instalado e tem as definições de atualização de software mais recentes para proteção antimalware.

    • O software de apresentação interativo é instalado e executado automaticamente, pronto para os visitantes.

14. Após esta configuração inicial, quaisquer reinícios que possam ser necessários para atualizações ocorrem apenas quando o centro de visitantes é fechado.