Como funciona o aprovisionamento no Windows
Os pacotes de aprovisionamento no cliente Windows fornecem aos administradores de TI uma forma simplificada de aplicar definições de configuração a dispositivos cliente Windows. O Designer de Configuração do Windows é uma ferramenta que facilita a criação de um pacote de provisionamento. O Windows Configuration Designer pode ser instalado a partir da Microsoft Store.
Pacotes de provisionamento
Um pacote de aprovisionamento contém configurações/definições e recursos específicos que podem ser fornecidos através de um suporte de dados amovível ou transferidos para o dispositivo.
Para habilitar a adição de vários conjuntos de configurações ou definições, os dados de configuração usados pelo mecanismo de provisionamento são criados com base em várias fontes de configuração que consistem em pacotes de provisionamento à parte. Cada pacote de provisionamento contém os dados de provisionamento de uma fonte diferente.
Um pacote de provisionamento (.ppkg) é um contêiner para uma coleção de definições de configuração. O pacote tem o seguinte formato:
Metadados do pacote – os metadados contêm informações básicas sobre o pacote, como o nome do pacote, a descrição, a versão, a classificação, etc.
Descritores XML – cada descritor define um recurso de personalização ou uma definição de configuração incluída no pacote.
Payloads de ativos – os payloads de um recurso de personalização ou uma definição de configuração associada a uma aplicação ou recurso de dados.
Pode utilizar pacotes de aprovisionamento para o aprovisionamento de dispositivos de runtime ao aceder ao pacote num suporte de dados amovível ligado ao dispositivo, através da comunicação de proximidade (NFC) ou ao transferir a partir de uma localização de origem remota.
Precedência para pacotes de provisionamento
Quando vários pacotes de provisionamento estão disponíveis para o provisionamento de dispositivo, a combinação do tipo de proprietário do pacote e o nível de classificação do pacote definidos no manifesto do pacote é usada para resolver conflitos de configuração. Os tipos de proprietário do pacote predefinido estão listados abaixo na ordem de precedência do tipo de proprietário do menor para o maior:
- Microsoft
- Fornecedor de Silicon
- OEM
- Integrador de Sistemas
- Operadora
- Administrador de TI
O intervalo de valores válidos do nível de classificação do pacote é de 0 a 99.
Quando são encontrados conflitos de configuração, os valores finais provisionados no dispositivo são determinados pela precedência de tipo do proprietário e pelo nível de classificação dos pacotes que contêm as configurações. Para pacotes com o mesmo tipo de proprietário, o nível de classificação do pacote determina o pacote do qual os valores de configuração são provisionados no dispositivo.
XML do provisionamento Windows
O XML de provisionamento do Windows é a estrutura que permite que os componentes Microsoft e OEM declarem definições configuráveis de usuário final e a infraestrutura no dispositivo para aplicar as configurações com um mínimo de trabalho pelo proprietário do componente.
As configurações de cada componente podem ser declaradas dentro do arquivo de manifesto de pacote do componente. Essas declarações são transformadas em esquemas de configurações usados pelo Designer de Configuração do Windows para expor as configurações possíveis a usuários a fim de criar personalizações na imagem ou em pacotes de provisionamento. O Designer de Configuração do Windows traduz a configuração do usuário, declarada por meio de arquivos de resposta de provisionamento, para o formato de provisionamento no dispositivo do Windows.
Quando o mecanismo de provisionamento seleciona uma configuração, o XML de provisionamento do Windows está contido dentro dos dados de provisionamento selecionados e é passado por meio do gerenciador de configurações e, em seguida, para o CSP de provisionamento do Windows. O CSP de provisionamento do Windows utiliza e aplica o provisionamento na posição correta para o componente real a ser usado.
Mecanismo de provisionamento
O motor de aprovisionamento é o componente principal para gerir o aprovisionamento e a configuração no runtime num dispositivo com o Windows 10/11.
O mecanismo de provisionamento fornece a seguinte funcionalidade:
- Configuração de provisionamento a qualquer momento quando o dispositivo está em execução incluindo a primeira inicialização e a configuração ou OOBE. Ela também é extensível a outros pontos durante o tempo de execução do dispositivo.
- Lendo e combinando configurações de várias fontes de configuração que podem ser adicionadas a uma imagem pela Microsoft, pelo OEM ou pelo integrador de sistemas, ou adicionadas por administradores de TI/ensino ou usuários ao dispositivo em tempo de execução. As fontes de configuração podem ser compiladas na imagem ou em pacotes de provisionamento adicionados ao dispositivo.
- Resposta a eventos ou disparadores e inicialização de um estágio de provisionamento.
- Autenticação dos pacotes de provisionamento.
- A seleção de um conjunto de configurações com base no estágio e em um conjunto de chaves – como SIM, MCC/MNC, intervalo IMSI etc. – mapeadas para uma configuração específica e, em seguida, a passagem dessa configuração para a infraestrutura de gerenciamento de configurações a ser aplicada.
- O trabalho com OOBE e a interface do usuário do painel de controle para permitir a seleção do usuário de configuração quando uma correspondência específica não puder ser determinada.
Gerenciador de configurações
O gestor de configuração fornece a forma unificada de gerir dispositivos Windows 10/11. A configuração é feita principalmente por meio dos protocolos OMA (Open Mobile Alliance), DM (Device Management) e CP (Client Provisioning). O gerenciador de configurações manipula e analisa essas solicitações de protocolo de diferentes canais e as passa para Provedores de serviço de configuração (CSPs) a fim de realizar as solicitações de gerenciamento e as configurações específicas.
O mecanismo de provisionamento depende do gerenciador de configurações para todo o processamento real e o aplicativo de uma configuração escolhida. O mecanismo de provisionamento determina o estágio de provisionamento e, com base em um conjunto de chaves, determina o conjunto de configurações a ser enviado para o gerenciador de configurações. O gerenciador de configurações, por sua vez, analisa e chama os CSPs para a configuração ser aplicada.
Sob o gerenciador de configurações estão os CSPs. Cada seção da configuração se transforma em um CSP específico para manipular a interpretação em uma ação no dispositivo. Cada CSP converte as instruções na configuração e as chama para as APIs e os componentes indicados para realizar as ações de provisionamento solicitadas.
Política e gerenciador de recursos
A política, o recurso e os componentes do gerenciador de contextos gerenciam o registro e o cancelamento de registro de dispositivos em ambientes corporativos. O processo de registro em uma empresa é essencialmente o provisionamento de configuração e as políticas de gerenciamento de dispositivos que a empresa deseja impor sobre o dispositivo. Isso costuma ser feito por meio da assinatura explícita do dispositivo para o servidor de gerenciamento de dispositivos de uma empresa por meio de uma conexão de rede. Isso dá ao usuário a capacidade de acessar os recursos da empresa por meio do dispositivo e a empresa com um meio de gerenciar e controlar o acesso e gerenciar e controlar o próprio dispositivo.
As principais diferenças entre o registro corporativo e a configuração realizada pelo mecanismo de provisionamento são:
- O registro impõe um conjunto de políticas limitado e controlado no dispositivo sobre o qual o usuário não pode ter controle total. O mecanismo de provisionamento expõe um conjunto maior de configurações que definem outros aspectos do dispositivo e geralmente são ajustáveis pelo usuário.
- O gerenciador de políticas gerencia as configurações de política de várias entidades e realiza uma seleção da configuração com base na prioridade das entidades. O mecanismo de provisionamento aplica as configurações e não oferecem um meio de priorizar configurações de diferentes fontes. O provisionamento mais específico é o último aplicado e aquele que é usado.
- As configurações de política individuais aplicadas por entidades de registro diferentes são armazenadas para que possam ser removidas durante o cancelamento de registro. Isso permite que o usuário remova a política corporativa e retorne o dispositivo a um estado sem as restrições corporativas e eventuais dados confidenciais. O mecanismo de provisionamento não mantém configurações de provisionamento individuais ou um meio de reverter todas as configurações aplicadas.
No Windows 10, o aplicativo de política e registro por meio de provisionamento é obrigatório para dar suporte a casos em que uma empresa ou uma instituição de ensino não tem um servidor DM para gerenciamento de dispositivos completo. O mecanismo de provisionamento dá suporte ao registro e à política de provisionamento por meio da configuração e se integra aos componentes do gerenciador de recursos e políticas existentes diretamente ou por meio do gerenciador de configurações.
Gatilhos e estágios
Gatilhos são eventos durante o tempo de vida do sistema que iniciam um estágio de provisionamento. Alguns exemplos de gatilhos são: inicialização, OOBE, alteração de SIM, usuário adicionado, administrador adicionado, logon do usuário, atualização de dispositivo e diversos gatilhos manuais (como implantação por USB ou inicialização a partir de um anexo de email ou de uma unidade flash USB).
Quando ocorre um gatilho, o provisionamento é iniciado para um determinado estágio de provisionamento. Os estágios são agrupados em conjuntos com base no escopo das configurações:
- Estático: primeiro estágio da execução do provisionamento para aplicar configurações ao sistema a fim de configurar OOBE ou aplicar configurações em todo o dispositivo que não podem ser feitas quando a imagem está sendo criada.
- Sistema: executado durante OOBE e define configurações em todo o sistema.
- UICC: estágios UICC executados para cada novo UICC em um dispositivo para lidar com a configuração e identidade visual com base na identidade do cartão SIM ou UICC. Isso permite os cenários de configuração de tempo de execução nos quais um OEM pode manter uma imagem que pode ser configurada para vários operadores.
- Atualização: será executado depois de uma atualização para aplicar as alterações feitas em configurações atualizadas em potencial.
- Usuário: é executado durante uma conta de usuário executada pela primeira vez para definir configurações por usuário.
Provisionamento de dispositivos durante OOBE
O mecanismo de provisionamento sempre aplica pacotes de provisionamento persistentes na pasta C:\Recovery\Customizations
na partição do sistema operacional. Quando o mecanismo de provisionamento aplica pacotes de provisionamento na pasta %ProgramData%\Microsoft\Provisioning
, determinados aplicativos de configuração de tempo de execução, como a configuração para instalar e configurar aplicativos do Windows, podem ser estendidos além de OOBE e serem processados continuamente em segundo plano quando o dispositivo chegar à área de trabalho. As definições para políticas de configuração e determinadas configurações do sistema essenciais são sempre concluídas antes do primeiro ponto em que elas devem entrar em vigor.
Os usuários de dispositivos podem aplicar um pacote de provisionamento de uma fonte remota quando o dispositivo é inicializado pela primeira vez em OOBE. O provisionamento de dispositivos durante OOBE só será disparado depois que idioma, localidade, fuso horário e outras configurações na primeira página da interface do usuário de OOBE forem definidas. Quando o provisionamento de dispositivos é disparado, a interface do usuário de provisionamento é exibida na página OOBE. A interface do usuário do provisionamento permite que os usuários selecionem um pacote de provisionamento adquirido de uma fonte remota, como NFC ou de uma mídia removível.
A tabela a seguir mostra como o provisionamento de dispositivos pode ser iniciado quando um usuário inicia pela primeira vez OOBE.
Entrega de pacote | Método de inicialização | Dispositivo compatível |
---|---|---|
Suporte de dados amovível – pen USB ou cartão SD (os pacotes têm de ser colocados na raiz do suporte de dados) |
Cinco toques rápidos na tecla Windows para iniciar a IU de aprovisionamento | Todos os dispositivos Windows |
A partir de um dispositivo administrador através da etiqueta NFC ou NFC da máquina virtual (o dispositivo administrador tem de executar uma aplicação que possa transferir o pacote por NFC) |
Cinco toques rápidos na tecla Windows para iniciar a IU de aprovisionamento | Dispositivos Windows IoT Core |
O mecanismo de provisionamento sempre copia os pacotes de provisionamento adquiridos para a pasta %ProgramData%\Microsoft\Provisioning
antes de processá-los durante OOBE. O mecanismo de provisionamento sempre aplica pacotes de provisionamento incorporados na imagem do Windows instalada durante o passo OOBE de Instalação do Windows, independentemente do pacote ser assinado e confiável. Quando o mecanismo de provisionamento aplica um pacote de provisionamento criptografado em um dispositivo do usuário final durante OOBE, os usuários devem primeiramente fornecer uma senha válida para descriptografar o pacote. O mecanismo de provisionamento também verifica se um pacote de provisionamento está assinado e é confiável. Se não for, o usuário deverá dar consentimento antes do pacote ser aplicado ao dispositivo.
Quando aplica pacotes de provisionamento durante OOBE, o mecanismo de provisionamento aplica apenas as configurações do tempo de execução do pacote ao dispositivo. As configurações de tempo de execução podem ser configurações de todo o sistema, inclusive política de segurança, instalação/desinstalação do aplicativo do Windows, configuração de rede, registro MDM de inicialização, provisionamento de ativos de arquivo, configuração de conta e domínio, atualização da edição do Windows e muito mais. O mecanismo de provisionamento também verifica as configurações no dispositivo, como região/localidade ou cartão SIM e aplica as configurações multivariadas com condições de correspondência.
Provisionamento de dispositivo em tempo de execução
Em tempo de execução de dispositivo, os pacotes de provisionamento autônomos podem ser aplicados pela iniciação pelo usuário. A tabela a seguir mostra quando o provisionamento em tempo de execução do dispositivo pode ser iniciado.
Entrega de pacote | Método de inicialização | Dispositivo compatível |
---|---|---|
Suporte de dados amovível – pen USB ou cartão SD (Os pacotes têm de ser colocados na raiz do suporte de dados) |
Configurações>Contas>Acessar trabalho ou escola>Adicionar ou remover um pacote de provisionamento | Todos os dispositivos Windows |
Baixados de uma conexão de rede e copiados para uma pasta local | Clique duas vezes no arquivo do pacote | Cliente Windows para dispositivos de edições de ambiente de trabalho |
Do dispositivo de um administrador conectado ao dispositivo de destino por meio do conector USB | Arraste e solte o arquivo do pacote para o dispositivo de destino | Dispositivos Windows IoT Core |
Ao aplicar pacotes de provisionamento de uma mídia removível conectada ao dispositivo, a interface do usuário Configurações permite exibir o conteúdo de um pacote antes de selecionar o pacote para provisionamento. Para minimizar o risco do dispositivo enviar spam aplicando pacotes de provisionamento de fontes desconhecidas, um pacote de provisionamento pode ser assinado e criptografado. Os parceiros também podem definir políticas para limitar a aplicação de pacotes de provisionamento em tempo de execução do dispositivo. A aplicação de pacotes de provisionamento em tempo de execução do dispositivo requer privilégio de administrador. Se o pacote não for assinado ou confiável, um usuário deverá dar consentimento para o pacote ser aplicado ao dispositivo. Se o pacote for criptografado, uma senha válida será necessária para descriptografar o pacote para que ele possa ser aplicado ao dispositivo.
Ao aplicar vários pacotes de provisionamento a um dispositivo, o mecanismo de provisionamento resolve configurações com valores de configuração conflitantes de pacotes diferentes avaliando a classificação do pacote usando a combinação de tipo de proprietário do pacote e nível de classificação do pacote definida nos metadados do pacote. Uma configuração aplicada de um pacote de provisionamento com a classificação mais alta do pacote será o valor final aplicado ao dispositivo.
Depois que um pacote de provisionamento autônomo for aplicado ao dispositivo, o pacote será mantido na pasta %ProgramData%\Microsoft\Provisioning
do dispositivo. Os pacotes de provisionamento podem ser removidos por um administrador usando Adicionar ou remover um pacote de provisionamento disponível em Configurações>Contas>Acessar trabalho ou escola.