Exemple de scénario de déploiement et de gestion de clients Configuration Manager sur des périphériques Windows Embedded
S'applique à: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notes
Les informations de cette rubrique s'appliquent seulement à System Center 2012 Configuration Manager SP1 ou ultérieur, et à System Center 2012 R2 Configuration Manager ou ultérieur.
Notes
Cette rubrique s'affiche dans le guide Déploiement de clients pour System Center 2012 Configuration Manager et dans le guide Scénarios et solutions pour System Center 2012 Configuration Manager.
Ce scénario montre comment gérer des périphériques Windows Embedded à filtre d'écriture à l'aide de System Center 2012 Configuration Manager SP1. Si vous disposez de Configuration Manager sans Service Pack, Configuration Manager ne peut pas automatiquement désactiver et réactiver les filtres d'écriture et vous devez prendre des mesures supplémentaires pour le faire avant et après l'installation du logiciel. Si vos périphériques intégrés ne prennent pas en charge les filtres d'écriture, ils se comportent comme des clients Configuration Manager standard et vous n'êtes pas obligé d'appliquer les étapes incluses dans ce scénario, requises pour gérer les filtres d'écriture.
Coho Vineyard & Winery ouvre un centre d'accueil et s'intéresse aux bornes qui exécutent Windows Embedded pour exécuter des présentations interactives. Le bâtiment du nouveau centre d'accueil n'est pas proche du département informatique, donc il est important que les bornes puissent être gérées à distance. Outre l'installation du logiciel qui exécute les présentations interactives, ces périphériques doivent exécuter des logiciels anti-programmes malveillants actualisés pour se conformer aux stratégies de sécurité de l'entreprise. Pour veiller à ce que les présentations interactives soient toujours disponibles pour les visiteurs, les bornes doivent fonctionner 7 jours sur 7, sans interruption pendant les heures d'ouverture du centre d'accueil.
Coho Vineyard & Winery exécute déjà Configuration Manager SP1 pour gérer les périphériques de son réseau.Configuration Manager est configuré pour exécuter Endpoint Protection et installer les mises à jour logicielles et les applications. En revanche, étant donné que l'équipe informatique n'a jamais géré de périphériques Windows Embedded auparavant, Jane, administratrice Configuration Manager, a mis en place un pilote pour gérer deux bornes situées dans le hall de réception de l'entreprise. Si le si le pilote permet de gérer ces périphériques à distance avec succès, le bon de commande des bornes du centre d'accueil peut être approuvé.
Pour gérer ces périphériques Windows Embedded à filtre d'écriture, Jane respecte les étapes suivantes pour installer le client Configuration Manager, le protéger à l'aide d'Endpoint Protection et installer le logiciel de présentation interactive.
Processus |
Référence |
|---|---|
Jane s'informe de la manière dont les périphériques Windows Embedded utilisent les filtres d'écriture, puis de la manière dont Configuration Manager SP1 peut simplifier cette utilisation en désactivant, puis réactivant automatiquement ces filtres d'écriture, dans le but de conserver une installation logicielle. |
La section Déploiement du client Configuration Manager sur des appareils Windows Embedded de la rubrique Présentation du déploiement de client dans Configuration Manager |
Avant d'installer le client Configuration Manager, Jane crée un regroupement de périphériques basé sur une requête pour les périphériques Windows Embedded. Comme l'entreprise utilise des formats d'attribution de noms standard pour identifier ses ordinateurs, Jane peut identifier les périphériques Windows Embedded de manière unique par les six premières lettres du nom de l'ordinateur : WEMDVC Elle utilise la requête WQL suivante pour créer ce regroupement : select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%" Ce regroupement lui permet de gérer les périphériques Windows Embedded avec des options de configuration différentes des autres périphériques. Elle utilise ce regroupement pour contrôler les redémarrages, déployer Endpoint Protection avec les paramètres du client et déployer l'application de présentation interactive. |
|
Jane configure le regroupement pendant une fenêtre de maintenance pour veiller à ce que les redémarrages nécessaires pour installer l'application de présentation et toutes les éventuelles mises à jour ne se produisent pas pendant les heures d'ouverture du centre d'accueil. Le centre est ouvert de 9h00 à 18h00, du lundi au dimanche. Elle configure la fenêtre de maintenance de sorte à ce qu'elle se produise tous les jours, de 18h30 à 6h00. |
Comment utiliser les fenêtres de maintenance dans Configuration Manager |
Jane configure ensuite un paramètre client personnalisé pour les périphériques en vue d'installer le client Endpoint Protection en sélectionnant Oui pour les paramètres suivants, puis elle déploie ce paramètre client personnalisé sur le regroupement de périphériques Windows Embedded :
Quand le client Configuration Manager est installé, ces paramètres permettent d'installer le client Endpoint Protection et de garantir sa conservation dans le système d'exploitation dans le cadre de l'installation, plutôt que sa seule écriture dans le segment de recouvrement. Les stratégies de sécurité de l'entreprise exigent une installation permanente du logiciel anti-programme malveillant et Jane ne veut pas prendre le risque de laisser les bornes sans protection même pendant un court instant alors qu'ils redémarrent. Notes Les redémarrages requis pour installer le client Endpoint Protection ne se produisent qu'une seule fois, pendant la période d'installation des périphériques et avant que le centre d'accueil ne soit opérationnel. À la différence du déploiement périodique d'applications ou de mises à jour de définitions de logiciels, la prochaine installation du client Endpoint Protection sur le même périphérique aura probablement lieu quand l'entreprise procédera à la mise à niveau vers la version ultérieure de Configuration Manager. |
Étape 5: Configuration des paramètres Client personnalisés pour Endpoint Protection dans Comment configurer Endpoint Protection dans Configuration Manager |
Avec les paramètres de configuration du client maintenant en place, Jane prépare l'installation des clients Configuration Manager. Avant de pouvoir installer les clients, elle doit désactiver manuellement le filtre d'écriture sur les périphériques Windows Embedded. Elle lit la documentation du fabricant qui accompagne les bornes et suit les instructions pour désactiver les filtres d'écriture. Jane renomme le périphérique pour qu'il utilise le format d'attribution de noms standard de l'entreprise, puis elle installe le client manuellement en exécutant CCMSetup à l'aide de la commande suivante à partir d'un lecteur mappé qui contient les fichiers sources du client : CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1 Cette commande permet d'installer le client, d'affecter le client au point de gestion dont le nom de domaine complet de l'intranet est mpserver.cohovineyardandwinery.com, puis d'affecter le client au site principal nommé CO1. Jane sait qu'il faut toujours un certain temps pour que les clients s'installent et renvoient leur état au site. Par conséquent, elle patiente avant de confirmer l'installation correcte des clients, leur affectation au site et leur affichage en tant que clients dans le regroupement qu'elle a créé pour les périphériques Windows Embedded. À titre de confirmation supplémentaire, sur les périphériques Windows Embedded, elle vérifie les propriétés de Configuration Manager dans le Panneau de configuration et les compare aux ordinateurs Windows standard gérés par le site. Par exemple, sous l'onglet Composants, l'élément Agent de l'inventaire matériel affiche Activé et sous l'onglet Actions figurent 11 actions disponibles, notamment Cycle d'évaluation du déploiement de l'application et Cycle de collecte de données de découverte. Certaine que les clients sont correctement installés et affectés, et que le point de gestion leur envoie la stratégie client, Jane active ensuite manuellement les filtres d'écriture en suivant les instructions du fabricant. |
Installation de clients sur des ordinateurs Windows dans Configuration Manager Comment attribuer des clients à un site dans Configuration Manager |
Maintenant que le client Configuration Manager est installé sur les périphériques Windows Embedded, Jane s'assure qu'elle peut les gérer de la même manière que les clients Windows standard. Par exemple, à partir de la console Configuration Manager, elle est capable de les gérer à distance à l'aide du contrôle à distance, de lancer la stratégie client pour eux, ainsi que d'afficher les propriétés du client et l'inventaire matériel. Étant donné que ces périphériques sont joints à un domaine Active Directory, elle n'a pas besoin de les confirmer manuellement en tant que clients approuvés ; elle utilise plutôt la console Configuration Manager pour les approuver. |
|
Pour installer le logiciel de présentation interactive, Jane exécute l'Assistant Déploiement logiciel et configure une application requise. Sur la page Expérience utilisateur de l'Assistant, dans la section Traitement des filtres d'écriture pour les périphériques Windows Embedded, elle accepte l'option par défaut qui sélectionne Valider les changements à l'échéance ou pendant une fenêtre de maintenance (redémarrage requis). Jane garde cette option par défaut pour les filtres d'écriture pour garantir la conservation de l'application après un redémarrage, afin qu'elle soit toujours disponible pour les visiteurs qui utilisent les bornes. La fenêtre de maintenance quotidienne offre une période sans risque au cours de laquelle les redémarrages d'installation et les mises à jour peuvent se produire. Jane déploie l'application sur le regroupement de périphériques Windows Embedded. |
Comment déployer des applications dans Configuration Manager |
Pour configurer les mises à jour de définitions pour Endpoint Protection, Jane utilise des mises à jour logicielles et exécute l'Assistant Création d'une règle de déploiement automatique. Elle sélectionne le modèle Mises à jour de définitions pour préremplir l'Assistant avec les paramètres appropriés à Endpoint Protection. Ces paramètres incluent les éléments suivants sur la page Expérience utilisateur de l'Assistant :
Jane conserve ces paramètres par défaut. Associées à cette configuration, ces deux options permettent d'installer toutes les définitions de mises à jour logicielles pour Endpoint Protection dans le segment de recouvrement pendant la journée, sans attendre leur installation et leur validation au cours de la fenêtre de maintenance. Cette configuration respecte mieux la stratégie de sécurité de l'entreprise en ce qui concerne l'exécution par les ordinateurs d'une protection actualisée contre les programmes malveillants. Notes Contrairement aux installations logicielles des applications, les définitions de mises à jour logicielles pour Endpoint Protection peuvent se produire très fréquemment, voire même plusieurs fois par jour. Il s'agit souvent de petits fichiers. Pour ces types de déploiements liés à la sécurité, il s'avère souvent bénéfique de toujours procéder à l'installation dans le segment de recouvrement plutôt que d'attendre la fenêtre de maintenance. Le client Configuration Manager réinstalle rapidement les mises à jour de définitions logicielles si le périphérique redémarre car cette action lance un contrôle d'évaluation sans attendre la prochaine évaluation programmée. Jane sélectionne le regroupement de périphériques Windows Embedded pour la règle de déploiement automatique. |
Étape 3 : Configurer des mises à jour logicielles Configuration Manager pour fournir des mises à jour de définitions aux ordinateurs clients dans Comment configurer Endpoint Protection dans Configuration Manager |
Jane décide de configurer une tâche de maintenance qui valide régulièrement toutes les modifications apportées au segment de recouvrement. Cette tâche consiste à prendre en charge le déploiement des définitions de mises à jour logicielles, afin de réduire le nombre de mises à jour qui s'accumulent et doivent être à nouveau installées, chaque fois que le périphérique redémarre. Elle sait, par expérience, que cela permet aux logiciels anti-programmes malveillants de s'exécuter plus efficacement. Notes Ces définitions de mises à jour logicielles seraient automatiquement validées dans l'image si les périphériques intégrés exécutaient une autre tâche de gestion prenant en charge la validation des modifications. Par exemple, l'installation d'une nouvelle version du logiciel de présentation interactive permettrait également de valider les modifications pour les définitions de mises à jour logicielles. Ou bien, l'installation mensuelle de mises à jour logicielles standard au cours de la fenêtre de maintenance permettrait également de valider les modifications pour les définitions de mises à jour logicielles. En revanche, dans ce scénario, où les mises à jour logicielles standard ne s'exécutent pas et le logiciel de présentation interactive a peu de chances d'être souvent mis à jour, des mois peuvent passer avant que les mises à jour de définitions logicielles ne soient automatiquement validées dans l'image. Jane crée d'abord une séquence de tâches personnalisée sans autre paramètre que le nom. Elle exécute l'Assistant Création d'une séquence de tâches :
Jane déploie ensuite cette séquence de tâches personnalisée sur le regroupement de périphériques Windows Embedded, puis elle configure la planification pour une exécution mensuelle. Dans le cadre des paramètres de déploiement, elle active la case à cocher Valider les changements à l'échéance ou pendant une fenêtre de maintenance (redémarrage requis) pour conserver les modifications après un redémarrage. Pour configurer ce déploiement, elle sélectionne la séquence de tâches personnalisée qu'elle vient de créer, puis sous l'onglet Accueil, dans le groupe Déploiement, elle clique sur Déployer pour démarrer l'Assistant Déploiement logiciel :
|
Comment gérer des séquences de tâches dans Configuration Manager |
Pour que les bornes fonctionnent automatiquement, Jane écrit un script permettant de configurer les périphériques comme suit :
Jane utilise des packages et des programmes pour déployer ce script sur le regroupement de périphériques Windows Embedded. Lors de l'exécution de l'Assistant Déploiement logiciel, elle active là encore la case à cocher Valider les changements à l'échéance ou pendant une fenêtre de maintenance (redémarrage requis) pour conserver les modifications après un redémarrage. |
|
Le matin suivant, Jane contrôle les périphériques Windows Embedded. Elle vérifie les éléments suivants :
|
Comment surveiller Endpoint Protection dans Configuration Manager Comment surveiller des applications dans Configuration Manager |
Jane surveille les bornes et indique à son responsable que ces bornes sont correctement gérées. Ainsi, le centre d'accueil passe une commande de 20 bornes.
Pour éviter de devoir installer manuellement le client Configuration Manager, ce qui nécessiterait de désactiver manuellement les filtres d'écriture puis de les activer, Jane s'assure que la commande comprend une image personnalisée qui intègre déjà l'installation et les attributions de site du client Configuration Manager SP1. En outre, les noms des périphériques sont attribués conformément au format choisi par la société.
Les bornes sont livrées au centre d'accueil une semaine après son ouverture. Pendant ce laps de temps, les bornes sont connectées au réseau. Toutes les opérations de gestion des périphériques sont automatisées et aucun administrateur n'est requis localement. Jane vérifie que les bornes fonctionnent comme prévu :
Les clients installés sur les bornes réalisent une attribution de site et téléchargent la clé racine approuvée auprès des services de domaine Active Directory.
Les clients installés sur les bornes sont ajoutés automatiquement au regroupement de périphériques Windows Embedded et leur fenêtre de maintenance est configurée.
Le client Endpoint Protection est installé et dispose des dernières définitions de mises à jour logicielles, pour la protection contre les programmes malveillants.
Le logiciel de présentation interactive est installé et s'exécute automatiquement. Il est entièrement prêt à l'emploi pour les visiteurs.
Au terme de cette configuration initiale, les redémarrages éventuellement nécessaires pour l'installation des mises à jour ont lieu seulement lorsque le centre d'accueil est fermé au public.