Scenario di esempio per la distribuzione e la gestione di client Configuration Manager nei dispositivi Windows Embedded

Si applica a: Configuration Manager (Current Branch)

Questo scenario illustra come gestire i dispositivi Windows Embedded abilitati per il filtro di scrittura con Configuration Manager. Se i dispositivi incorporati non supportano i filtri di scrittura, si comportano come client Configuration Manager standard e queste procedure non si applicano.

Coho Vineyard & Winery sta aprendo un centro visitatori e ha bisogno di chioschi che eseguono Windows Embedded per eseguire presentazioni interattive. L'edificio per il nuovo centro visitatori non è vicino al reparto IT, quindi i chioschi devono essere gestiti in remoto. Oltre al software che esegue le presentazioni, questi dispositivi devono eseguire software di protezione antimalware aggiornati per rispettare i criteri di sicurezza aziendali. I chioschi devono essere eseguiti 7 giorni alla settimana, senza tempi di inattività mentre il centro visitatori è aperto.

Coho esegue già Configuration Manager per gestire i dispositivi nella rete. Configuration Manager è configurato per l'esecuzione di Endpoint Protection e l'installazione di applicazioni e aggiornamenti software. Tuttavia, poiché il team IT non ha gestito i dispositivi Windows Embedded in precedenza, l'amministratore Configuration Manager esegue un progetto pilota per gestire due chioschi nella sala di attesa della reception.

Per gestire questi dispositivi Windows Embedded abilitati per il filtro di scrittura, Configuration Manager'amministratore esegue la procedura seguente per installare il client Configuration Manager, proteggere il client tramite Endpoint Protection e installare il software di presentazione interattivo.

1. L'amministratore Configuration Manager (il Amministrazione) legge il modo in cui i dispositivi Windows Embedded usano i filtri di scrittura e come Configuration Manager possono semplificare questa operazione disabilitando automaticamente e riabilitare i filtri writer per rendere persistente un'installazione software.

   Per altre informazioni, vedere Pianificazione della distribuzione client nei dispositivi Windows Embedded.

2. Prima che il Amministrazione installi il client Configuration Manager, il Amministrazione crea una nuova raccolta di dispositivi basata su query per i dispositivi Windows Embedded. Poiché l'azienda usa formati di denominazione standard per identificare i computer, il Amministrazione può identificare in modo univoco i dispositivi Windows Embedded in base alle prime sei lettere del nome del computer: WEMDVC. Il Amministrazione usa la query WQL seguente per creare questa raccolta: selezionare SMS_R_System.NetbiosName da SMS_R_System dove SMS_R_System.NetbiosName come "WEMDVC%"

   Questa raccolta consente al Amministrazione di gestire i dispositivi Windows Embedded con opzioni di configurazione diverse dagli altri dispositivi. Il Amministrazione userà questa raccolta per controllare i riavvii, distribuire Endpoint Protection con le impostazioni client e distribuire l'applicazione di presentazione interattiva.

   Vedere Come creare raccolte.

3. Il Amministrazione configura la raccolta per una finestra di manutenzione per garantire che i riavvii che potrebbero essere necessari per installare l'applicazione di presentazione e gli eventuali aggiornamenti non si verifichino durante gli orari di apertura per il centro visitatori. Gli orari di apertura saranno dalle 09:00 alle 18:00, dal lunedì alla domenica. Il Amministrazione configura la finestra di manutenzione per ogni giorno, dalle 18:30 alle 06:00.

4. Per altre informazioni, vedere Come usare le finestre di manutenzione.

5. Il Amministrazione quindi configura un'impostazione client del dispositivo personalizzata per installare il client Endpoint Protection selezionando Sì per le impostazioni seguenti e quindi distribuisce questa impostazione client personalizzata nella raccolta di dispositivi Windows Embedded:

   • Installare il client Endpoint Protection nei computer client

   • Per i dispositivi Windows Embedded con filtri di scrittura, eseguire il commit dell'installazione client di Endpoint Protection (è necessario riavviare)

   • Consenti l'installazione e il riavvio del client Endpoint Protection all'esterno delle finestre di manutenzione

     Quando viene installato il client Configuration Manager, queste impostazioni installano il client Endpoint Protection e garantiscono che venga salvato in modo permanente nel sistema operativo come parte dell'installazione, anziché scritto solo nella sovrimpressione. I criteri di sicurezza aziendali richiedono che il software antimalware sia sempre installato e che il Amministrazione non voglia correre il rischio che i chioschi non siano protetti anche per un breve periodo di tempo se vengono riavviati.

   Nota

   I riavvii necessari per installare il client Endpoint Protection sono un'occorrenza occasionale, che si verifica durante il periodo di configurazione per i dispositivi e prima che il centro visitatori sia operativo. A differenza della distribuzione periodica di applicazioni o aggiornamenti delle definizioni software, la prossima volta che il client Endpoint Protection viene installato nello stesso dispositivo sarà probabilmente quando l'azienda esegue l'aggiornamento alla versione successiva di Configuration Manager.

   Per altre informazioni, vedere Configurazione di Endpoint Protection.

6. Con le impostazioni di configurazione per il client ora disponibili, il Amministrazione si prepara a installare i client Configuration Manager. Prima che il Amministrazione possa installare i client, deve disabilitare manualmente il filtro di scrittura nei dispositivi Windows Embedded. Il Amministrazione legge la documentazione OEM che accompagna i chioschi multimediali e segue le istruzioni per disabilitare i filtri di scrittura.

   Il Amministrazione rinomina il dispositivo in modo che usi il formato di denominazione standard aziendale e quindi installa manualmente il client eseguendo CCMSetup con il comando seguente da un'unità mappata che contiene i file di origine client: CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1

   Questo comando installa il client, assegna il client al punto di gestione con l'FQDN Intranet di mpserver.cohovineyardandwinery.com e assegna il client al sito primario denominato CO1.

   Il Amministrazione sa che l'installazione e l'invio dello stato dei client al sito richiedono sempre un po' di tempo. Pertanto, il Amministrazione attende prima di confermare che i client vengano installati, assegnati al sito e visualizzati come client nella raccolta creata per i dispositivi Windows Embedded.

   Come ulteriore conferma, il Amministrazione controlla le proprietà di Configuration Manager in Pannello di controllo nei dispositivi e le confronta con i computer Windows standard gestiti dal sito. Ad esempio, nella scheda Componentil'agente di inventario hardware visualizza Abilitato e nella scheda Azioni sono disponibili 11 azioni, tra cui il ciclo di valutazione della distribuzione dell'applicazione e il ciclo di raccolta dati di individuazione.

   Certi che i client siano stati installati, assegnati e ricevuti correttamente dal punto di gestione, il Amministrazione abilita manualmente i filtri di scrittura seguendo le istruzioni dell'OEM.

   Per altre informazioni, vedere:

   • Come distribuire i client nei computer Windows

   • Come assegnare client a un sito

7. Ora che il client Configuration Manager è installato nei dispositivi Windows Embedded, il Amministrazione conferma di poterli gestire nello stesso modo in cui gestiscono i client Windows standard. Dalla console di Configuration Manager, ad esempio, il Amministrazione può gestirli in remoto usando il controllo remoto, avviare i criteri client e visualizzare le proprietà client e l'inventario hardware.

   Poiché questi dispositivi sono aggiunti a un dominio di Active Directory, il Amministrazione non deve approvarli manualmente come client attendibili e conferma dalla console di Configuration Manager che sono approvati.

   Per altre informazioni, vedere Come gestire i client.

8. Per installare il software di presentazione interattivo, il Amministrazione esegue la Distribuzione guidata software e configura un'applicazione necessaria. Nella pagina Esperienza utente della procedura guidata, nella sezione Gestione dei filtri di scrittura per i dispositivi Windows Embedded accettano l'opzione predefinita che seleziona Commit changes at deadline or during a maintenance window (requires restarts).

   Il Amministrazione mantiene questa opzione predefinita per i filtri di scrittura per garantire che l'applicazione venga mantenuta dopo un riavvio, in modo che sia sempre disponibile per i visitatori che usano i chioschi. La finestra di manutenzione giornaliera offre un periodo di sicurezza durante il quale possono verificarsi i riavvii per l'installazione e gli eventuali aggiornamenti.

   Il Amministrazione distribuisce l'applicazione nella raccolta di dispositivi Windows Embedded.

   Per altre informazioni, vedere Come distribuire applicazioni con Configuration Manager.

9. Per configurare gli aggiornamenti delle definizioni per Endpoint Protection, il Amministrazione usa gli aggiornamenti software ed esegue la Creazione guidata regola di distribuzione automatica. Selezionano il modello Definizione Aggiornamenti per precompilare la procedura guidata con le impostazioni appropriate per Endpoint Protection.

   Queste impostazioni includono quanto segue nella pagina Esperienza utente della procedura guidata:

   • Comportamento di scadenza: la casella di controllo Installazione software non è selezionata.

   • Gestione dei filtri di scrittura per i dispositivi Windows Embedded: la casella di controllo Commit changes at deadline or during a maintenance window (requires restarts) non è selezionata.

     Il Amministrazione mantiene queste impostazioni predefinite. Insieme, queste due opzioni con questa configurazione consentono di installare tutte le definizioni di aggiornamento software per Endpoint Protection nella sovrimpressione durante il giorno e di non attendere l'installazione e il commit durante la finestra di manutenzione. Questa configurazione soddisfa al meglio i criteri di sicurezza aziendali per consentire ai computer di eseguire la protezione antimalware aggiornata.

     Nota

     A differenza delle installazioni software per le applicazioni, le definizioni di aggiornamento software per Endpoint Protection possono verificarsi molto spesso, anche più volte al giorno. Sono spesso file di piccole dimensioni. Per questi tipi di distribuzioni correlate alla sicurezza, spesso può essere utile installare sempre la sovrimpressione anziché attendere fino alla finestra di manutenzione. Il client Configuration Manager reinstallerà rapidamente gli aggiornamenti delle definizioni software se il dispositivo viene riavviato perché questa azione avvia un controllo di valutazione e non attende la successiva valutazione pianificata.

     Il Amministrazione seleziona la raccolta di dispositivi Windows Embedded per la regola di distribuzione automatica.

     Per ulteriori informazioni, vedere
     Passaggio 3: Configurare Configuration Manager software Aggiornamenti per distribuire Aggiornamenti di definizione ai computer client in Configurazione di Endpoint Protection

10. Il Amministrazione decide di configurare un'attività di manutenzione che esegue periodicamente il commit di tutte le modifiche nella sovrimpressione. Questa attività consiste nel supportare la distribuzione delle definizioni degli aggiornamenti software, per ridurre il numero di aggiornamenti che si accumulano e devono essere installati di nuovo, ogni volta che il dispositivo viene riavviato. Nell'esperienza del Amministrazione, questo aiuta i programmi antimalware a essere eseguiti in modo più efficiente.

    Nota

    Queste definizioni di aggiornamento software verrebbero automaticamente sottoposte a commit nell'immagine se i dispositivi incorporati eseguissero un'altra attività di gestione che supportava il commit delle modifiche. Ad esempio, l'installazione di una nuova versione del software di presentazione interattiva eseguirà anche il commit delle modifiche per le definizioni di aggiornamento software. In alternativa, l'installazione di aggiornamenti software standard ogni mese che vengono installati durante la finestra di manutenzione potrebbe anche eseguire il commit delle modifiche per le definizioni degli aggiornamenti software. Tuttavia, in questo scenario, in cui gli aggiornamenti software standard non vengono eseguiti e il software di presentazione interattiva è improbabile che venga aggiornato molto spesso, potrebbero essere necessari mesi prima che gli aggiornamenti delle definizioni software vengano automaticamente eseguiti nell'immagine.

    Il Amministrazione prima di tutto crea una sequenza di attività personalizzata che non ha impostazioni diverse dal nome. Esegue la Creazione guidata sequenza di attività:

    1. Nella pagina Crea una nuova sequenza di attività il Amministrazione seleziona Crea una nuova sequenza di attività personalizzata e quindi fa clic su Avanti.

    2. Nella pagina Informazioni sequenza attività, il Amministrazione immette l'attività Manutenzione per eseguire il commit delle modifiche nei dispositivi incorporati per il nome della sequenza di attività e quindi fa clic su Avanti.

    3. Nella pagina Riepilogo il Amministrazione seleziona Avanti e completa la procedura guidata.

       Il Amministrazione quindi distribuisce questa sequenza di attività personalizzata nella raccolta di dispositivi Windows Embedded e configura la pianificazione per l'esecuzione ogni mese. Come parte delle impostazioni di distribuzione, selezionano la casella di controllo Commit changes at deadline or during a maintenance window (richiede riavvii) per rendere persistenti le modifiche dopo un riavvio. Per configurare questa distribuzione, il Amministrazione seleziona la sequenza di attività personalizzata appena creata e quindi nel gruppo Distribuzione della scheda Home fare clic su Distribuisci per avviare la Distribuzione guidata software:

    4. Nella pagina Generale il Amministrazione seleziona la raccolta di dispositivi Windows Embedded e quindi fa clic su Avanti.

    5. Nella pagina Impostazioni distribuzione il Amministrazione seleziona lo scopo di Obbligatorio e quindi fa clic su Avanti.

    6. Nella pagina Pianificazione il Amministrazione fa clic su Nuovo per specificare una pianificazione settimanale durante la finestra di manutenzione e quindi fa clic su Avanti.

    7. Il Amministrazione completa la procedura guidata senza ulteriori modifiche.

       Per ulteriori informazioni, vedere
       Gestire le sequenze di attività per automatizzare le attività.

11. Per l'esecuzione automatica dei chioschi multimediali, il Amministrazione scrive uno script per configurare i dispositivi per le impostazioni seguenti:

    • Accedere automaticamente, usando un account guest senza password.

    • Eseguire automaticamente il software di presentazione interattivo all'avvio.

      Il Amministrazione usa pacchetti e programmi per distribuire questo script nella raccolta di dispositivi Windows Embedded. Quando il Amministrazione esegue la Distribuzione guidata software, seleziona nuovamente la casella di controllo Commit changes at deadline or during a maintenance window (richiede riavvii) per rendere persistenti le modifiche dopo un riavvio.

      Per altre informazioni, vedere Pacchetti e programmi.

12. La mattina seguente, il Amministrazione controlla i dispositivi Windows Embedded. Verificano quanto segue:

    • Il chiosco multimediale viene connesso automaticamente tramite l'account guest.

    • Il software di presentazione interattivo è in esecuzione.

    • Il client Endpoint Protection è installato e include le definizioni di aggiornamento software più recenti.

    • Riavvio del dispositivo durante la finestra di manutenzione.

      Per altre informazioni, vedere:

    • Come monitorare Endpoint Protection

    • Monitorare le applicazioni con Configuration Manager

13. Il Amministrazione monitora i chioschi e ne segnala la corretta gestione al responsabile. Di conseguenza, vengono ordinati 20 chioschi per il centro visitatori.

    Per evitare l'installazione manuale del client Configuration Manager, che richiede la disabilitazione manuale e quindi l'abilitazione dei filtri di scrittura, il Amministrazione garantisce che l'ordine includa un'immagine personalizzata che includa già l'installazione e l'assegnazione del sito del client Configuration Manager. Inoltre, i dispositivi vengono denominati in base al formato di denominazione aziendale.

    I chioschi vengono consegnati al centro visitatori una settimana prima dell'apertura. Durante questo periodo, i chioschi multimediali sono connessi alla rete, tutta la gestione dei dispositivi per loro è automatica e non è necessario alcun amministratore locale. Il Amministrazione conferma che i chioschi multimediali funzionano come richiesto:

    • I client nei chioschi completino l'assegnazione del sito e scaricano la chiave radice attendibile da Active Directory Domain Services.

    • I client nei chioschi multimediali vengono aggiunti automaticamente alla raccolta di dispositivi Windows Embedded e configurati con la finestra di manutenzione.

    • Il client Endpoint Protection è installato e dispone delle definizioni di aggiornamento software più recenti per la protezione antimalware.

    • Il software di presentazione interattivo viene installato e eseguito automaticamente, pronto per i visitatori.

14. Dopo questa configurazione iniziale, eventuali riavvii che potrebbero essere necessari per gli aggiornamenti si verificano solo quando il centro visitatori viene chiuso.