Fonctionnalités de Technical Preview 1706 pour Configuration Manager
S’applique à : Configuration Manager (branche Technical Preview)
Cet article présente les fonctionnalités disponibles dans technical preview pour Configuration Manager, version 1706. Vous pouvez installer cette version pour mettre à jour et ajouter de nouvelles fonctionnalités à votre Configuration Manager site Technical Preview. Avant d’installer cette version de la préversion technique, consultez Technical Preview pour Configuration Manager vous familiariser avec les exigences générales et les limitations relatives à l’utilisation d’une préversion technique, comment effectuer une mise à jour entre les versions et comment fournir des commentaires sur les fonctionnalités d’une préversion technique.
Problèmes connus dans cette préversion technique :
Déplacer un point de distribution : les options de la console permettant de déplacer un point de distribution entre des sites ne peuvent pas être utilisées avec cette version en raison de la limite technical preview d’un site principal unique.
Paramètres de conformité des appareils : vous pouvez rencontrer un comportement opposé lors de l’utilisation des deux nouveaux paramètres de conformité de l’appareil :
Bloquer le débogage USB sur l’appareil
Bloquer les applications provenant de sources inconnues
Par exemple, si les administrateurs définissent Bloquer le débogage USB sur l’appareil surtrue, tous les appareils qui n’ont pas activé le débogage USB sont marqués comme non conformes.
Voici les nouvelles fonctionnalités que vous pouvez essayer avec cette version.
Groupes de limites améliorés pour les points de mise à jour logicielle
Cette version inclut des améliorations concernant le fonctionnement des points de mise à jour logicielle avec les groupes de limites. Voici un résumé du nouveau comportement de secours :
Le secours pour les points de mise à jour logicielle utilise désormais une heure configurable pour le secours vers les groupes de limites voisins, avec une durée minimale de 120 minutes.
Indépendamment de la configuration de secours, un client tente d’atteindre le dernier point de mise à jour logicielle qu’il a utilisé pendant 120 minutes. Après avoir échoué à atteindre ce serveur pendant 120 minutes, le client vérifie son pool de points de mise à jour logicielle disponibles pour en trouver un nouveau.
Tous les points de mise à jour logicielle dans le groupe de limites actuel du client sont ajoutés immédiatement au pool du client.
Étant donné qu’un client tente d’utiliser son serveur d’origine pendant 120 minutes avant d’en rechercher un nouveau, aucun serveur supplémentaire n’est contacté avant que deux heures se soient écoulées.
Si le secours vers un groupe voisin est configuré pendant au moins 120 minutes, les points de mise à jour logicielle de ce groupe de limites voisin font partie du pool de serveurs disponibles du client.
Après avoir échoué à atteindre son serveur d’origine pendant deux heures, le client passe à un cycle plus court pour contacter un nouveau point de mise à jour logicielle.
Cela signifie que si un client ne parvient pas à se connecter à un nouveau serveur, il sélectionne rapidement le serveur suivant dans son pool de serveurs disponibles et tente de contacter celui-ci.
- Ce cycle se poursuit jusqu’à ce que le client se connecte à un point de mise à jour logicielle qu’il peut utiliser.
- Jusqu’à ce que le client trouve un point de mise à jour logicielle, des serveurs supplémentaires sont ajoutés au pool de serveurs disponibles lorsque le délai de secours pour chaque groupe de limites voisin est atteint.
Pour plus d’informations, consultez Points de mise à jour logicielle dans la rubrique Boundary Groupes pour Current Branch.
Haute disponibilité du rôle serveur de site
La haute disponibilité pour le rôle de serveur de site est une solution basée sur Configuration Manager pour installer un serveur de site principal supplémentaire en mode passif. Le serveur de site en mode passif s’ajoute à votre serveur de site principal existant qui est en mode Actif . Un serveur de site en mode passif est disponible pour une utilisation immédiate, si nécessaire.
Un serveur de site principal en mode passif :
- Utilise la même base de données de site que votre serveur de site actif.
- Reçoit une copie de la bibliothèque de contenu des serveurs de site actifs, qui est ensuite synchronisée.
- N’écrit pas de données dans la base de données du site tant qu’elle est en mode passif.
- Ne prend pas en charge l’installation ou la suppression de rôles de système de site facultatifs tant qu’il est en mode passif.
Pour que le serveur de site en mode passif soit votre serveur de site en mode actif, vous devez le promouvoir manuellement. Le serveur de site actif est alors le serveur de site passif. Les rôles de système de site disponibles sur le serveur en mode actif d’origine restent disponibles tant que cet ordinateur est accessible. Seul le rôle serveur de site est basculé entre le mode actif et le mode passif.
Pour installer un serveur de site en mode passif, vous utilisez l’Assistant Création d’un serveur de système de site pour configurer un nouveau serveur de site avec un type de serveur de site principal et un mode passif. L’Assistant exécute ensuite Configuration Manager programme d’installation sur le serveur spécifié pour installer le nouveau serveur de site en mode passif. Une fois l’installation terminée, le serveur de site en mode actif maintient le serveur de site en mode passif et sa bibliothèque de contenu synchronisés avec les modifications ou configurations que vous apportez au serveur de site actif.
Conditions préalables et limitations
Un serveur de site unique en mode passif est pris en charge sur chaque site principal.
Le serveur de site en mode passif peut être local ou cloud dans Azure.
Les serveurs de site en mode actif et passif doivent se trouver dans le même domaine.
Les serveurs de site en mode actif et passif doivent utiliser la même base de données de site, qui doit être distante des ordinateurs de chaque serveur de site.
Le SQL Server qui héberge la base de données peut utiliser un instance par défaut, nommé instance, SQL Server Always On instance de cluster de basculement ou un groupe de disponibilité.
Le serveur de site en mode passif est configuré pour utiliser la même base de données de site que le serveur de site en mode actif. Toutefois, le serveur de site en mode passif n’utilise cette base de données qu’après sa promotion en mode actif.
L’ordinateur qui exécutera le serveur de site en mode passif :
Doit remplir les conditions préalables à l’installation d’un site principal.
S’installe à l’aide de fichiers sources qui correspondent à la version du serveur de site en mode actif.
Impossible d’avoir un rôle de système de site à partir d’un site avant d’installer le site en mode passif.
Les ordinateurs serveurs de site en mode actif et passif peuvent exécuter des systèmes d’exploitation ou des versions de Service Pack différents, tant qu’ils restent tous les deux pris en charge par votre version de Configuration Manager.
La promotion du serveur de site en mode passif au serveur en mode actif est manuelle. Il n’y a pas de basculement automatique.
Les rôles de système de site peuvent être installés uniquement sur le serveur de site en mode actif.
Un serveur de site en mode actif prend en charge tous les rôles de système de site. Vous ne pouvez pas installer de rôles de système de site sur le serveur lorsqu’il est en mode passif.
Les rôles de système de site qui utilisent une base de données (comme le point de création de rapports) doivent avoir cette base de données sur un serveur distant des serveurs de site en mode actif et passif.
Le SMS_Provider ne s’installe pas sur le serveur de site en mode passif. Étant donné que vous devez vous connecter à un SMS_Provider pour que le site promeut manuellement le serveur de site en mode passif en mode actif, nous vous recommandons d’installer au moins une instance supplémentaire du fournisseur sur un ordinateur supplémentaire.
Problème connu :
Avec cette version, l’état des conditions suivantes s’affiche dans la console sous forme de valeurs numériques plutôt que de texte lisible :
- 131071 : échec de l’installation du serveur de site
- 720895 : échec de la désinstallation du rôle serveur de site
- 851967 : échec du basculement
Ajouter un serveur de site en mode passif
Dans la console, accédez àSitesde configuration> de site d’administration> et démarrez l’Assistant Ajout de rôles de système de site. Vous pouvez également utiliser l’Assistant Création d’un serveur de système de site.
Dans la page Général , spécifiez le serveur qui hébergera le serveur de site en mode passif. Le serveur que vous spécifiez ne peut pas héberger de rôles de système de site avant d’installer un serveur de site en mode passif.
Dans la page Sélection du rôle système , sélectionnez uniquement Serveur de site principal en mode passif.
Pour terminer l’Assistant, vous devez fournir les informations suivantes utilisées pour exécuter le programme d’installation et installer le rôle de serveur de site sur le serveur spécifié :
Choisissez de copier les fichiers d’installation du serveur de site actif vers le nouveau serveur de site en mode passif, ou spécifiez un chemin d’accès à un emplacement qui contient le contenu du dossier CD.Latest du serveur de site actif.
Spécifiez le même serveur de base de données de site et le même nom de base de données que celui utilisé par le serveur de site en mode actif.
Configuration Manager installe ensuite le serveur de site en mode passif sur le serveur spécifié.
Pour obtenir des status d’installation détaillées, accédez àSitesde configuration de site d’administration>>.
La status pour le serveur de site en mode passif s’affiche sous la forme Installation.
Sélectionnez le serveur, puis cliquez sur Afficher l’état pour ouvrir État de l’installation du serveur de site pour obtenir des informations plus détaillées.
Promouvoir le serveur de site en mode passif en mode actif
Lorsque vous souhaitez changer le serveur de site en mode passif en mode actif, vous le faites à partir du volet Nœuds dansSitesde configuration du site d’administration>>. Tant que vous pouvez accéder à un instance du SMS_Provider, vous pouvez accéder au site pour effectuer cette modification.
Dans le volet Nœuds de la console Configuration Manager, sélectionnez le serveur de site en mode passif, puis, dans le ruban, choisissez Promouvoir en actif.
L’état simple du serveur que vous promomettez s’affiche dans le volet Nœuds en tant que Promotion.
Une fois la promotion terminée, la colonne État indique OK pour le nouveau serveur de site en mode actif et pour le nouveau serveur de site en mode passif .
DansSitesde configuration> du site d’administration>, le nom du serveur de site principal affiche désormais le nom du nouveau serveur de site en mode actif. Pour obtenir des status détaillées, accédez à Surveillance> del’état du serveur de site.
La colonne Mode identifie le serveur actif ou passif.
Lors de la promotion d’un serveur du mode passif au mode actif, sélectionnez le serveur de site que vous promomettez en mode actif, puis choisissez Afficher l’état dans le ruban. Cela ouvre la fenêtre État de la promotion du serveur de site qui affiche des détails supplémentaires sur le processus.
Lorsqu’un serveur de site en mode actif passe en mode passif, seul le rôle de système de site est rendu passif. Tous les autres rôles de système de site installés sur cet ordinateur restent actifs et accessibles aux clients.
Surveillance quotidienne
Lorsque vous disposez d’un site principal en mode passif, surveillez-le quotidiennement pour vous assurer qu’il reste synchronisé avec le serveur de site en mode actif et prêt à être utilisé. Pour ce faire, accédez à Surveillance> de l’étatdu serveur de site. Ici, vous pouvez afficher les serveurs de site en mode actif et passif.
L’onglet Résumé :
- La colonne Mode identifie le serveur actif ou passif.
- La colonne État indique OK lorsque le serveur en mode passif est synchronisé avec le serveur en mode actif.
- Pour afficher des détails supplémentaires sur l’état de la synchronisation de contenu, cliquez sur Afficher status à partir de l’état de synchronisation de contenu. Cela ouvre l’onglet Bibliothèque de contenu dans lequel vous pouvez essayer de résoudre les problèmes de synchronisation de contenu.
L’onglet Bibliothèque de contenu :
- Affichez l’état du contenu qui se synchronise entre le serveur de site actif et le serveur de site en mode passif.
- Vous pouvez sélectionner du contenu avec l’état Échec, puis choisir Synchroniser les éléments sélectionnés dans le ruban. Cette action tente de resynchroniser ce contenu de la source du contenu vers le serveur de site en mode passif. Pendant la récupération, l’état s’affiche comme En cours et, lorsqu’il est synchronisé, il s’affiche comme Réussite.
Essayez !
Essayez d’effectuer les tâches suivantes, puis envoyez-nous des commentaires à partir de l’onglet Accueil du ruban pour nous informer de son fonctionnement :
- Je peux installer un site principal en mode passif.
- Je peux utiliser la console pour promouvoir le serveur de site en mode passif afin d’en faire le serveur de site en mode actif et confirmer la modification de status pour les deux serveurs de site.
Inclure l’approbation pour des fichiers et dossiers spécifiques dans une stratégie Device Guard
Dans cette version, nous avons ajouté d’autres fonctionnalités à la gestion des stratégies Device Guard
Vous pouvez désormais éventuellement ajouter une approbation pour des fichiers spécifiques pour des dossiers dans une stratégie Device Guard. Cela vous permet d’effectuer les points suivants :
- Résoudre les problèmes liés aux comportements du programme d’installation managé
- Approuver les applications métier qui ne peuvent pas être déployées avec Configuration Manager
- Approuver les applications incluses dans une image de déploiement de système d’exploitation.
Essayez !
- Lorsque vous créez une stratégie Device Guard, sous l’onglet Inclusions de l’Assistant Création d’une stratégie Device Guard, cliquez sur Ajouter.
- Dans la boîte de dialogue Ajouter un fichier ou un dossier approuvé , spécifiez des informations sur le fichier ou dossier auquel vous souhaitez faire confiance. Vous pouvez spécifier un chemin d’accès de fichier ou de dossier local ou vous connecter à un appareil distant auquel vous êtes autorisé à vous connecter et spécifier un chemin d’accès de fichier ou de dossier sur cet appareil.
- Suivez les instructions de l’Assistant.
Masquer la progression de la séquence de tâches
Dans cette version, vous pouvez contrôler quand la progression de la séquence de tâches est affichée aux utilisateurs finaux à l’aide d’une nouvelle variable. Dans votre séquence de tâches, utilisez l’étape Définir la variable de séquence de tâches pour définir la valeur de la variable TSDisableProgressUI afin de masquer ou d’afficher la progression de la séquence de tâches. Vous pouvez utiliser l’étape Définir une variable de séquence de tâches plusieurs fois dans une séquence de tâches pour modifier la valeur de la variable. Cela vous permet de masquer ou d’afficher la progression de la séquence de tâches dans différentes sections de la séquence de tâches.
Pour masquer la progression de la séquence de tâches
Dans l’éditeur de séquence de tâches, utilisez l’étape Définir la variable de séquence de tâches pour définir la valeur de la variable TSDisableProgressUI sur True pour masquer la progression de la séquence de tâches.
Pour afficher la progression de la séquence de tâches
Dans l’éditeur de séquence de tâches, utilisez l’étape Définir la variable de séquence de tâches pour définir la valeur de la variable TSDisableProgressUI sur False pour afficher la progression de la séquence de tâches.
Spécifier un autre emplacement de contenu pour installer le contenu et désinstaller le contenu
Dans Configuration Manager aujourd’hui, vous spécifiez l’emplacement d’installation qui contient les fichiers d’installation d’une application. Lorsque vous spécifiez un emplacement d’installation, il est également utilisé comme emplacement de désinstallation pour le contenu de l’application. En fonction de vos commentaires, lorsque vous souhaitez désinstaller une application déployée et que le contenu de l’application ne se trouve pas sur l’ordinateur client, le client télécharge à nouveau tous les fichiers d’installation de l’application avant la désinstallation de l’application. Pour résoudre ce problème, vous pouvez désormais spécifier un emplacement de contenu d’installation et un emplacement de contenu de désinstallation facultatif. En outre, vous pouvez choisir de ne pas spécifier d’emplacement de contenu de désinstallation.
Essayez-le !
- Dans les propriétés du type de déploiement d’une application, cliquez sur l’onglet Contenu .
- Configurez l’emplacement d’installation du contenu comme d’habitude.
- Pour Désinstaller les paramètres de contenu, choisissez l’une des options suivantes :
- Identique à l’installation du contenu : le même emplacement de contenu sera utilisé, que vous installiez ou désinstalliez l’application.
- Aucun contenu de désinstallation : choisissez cette option si vous ne souhaitez pas fournir d’emplacement de contenu de désinstallation pour l’application.
- Différent du contenu d’installation : choisissez cette option si vous souhaitez spécifier un emplacement de contenu de désinstallation différent de l’emplacement du contenu d’installation.
- Si vous avez sélectionné Différent du contenu d’installation, accédez à ou entrez l’emplacement du contenu de l’application qui sera utilisé pour désinstaller l’application.
- Cliquez sur OK pour fermer la boîte de dialogue propriétés du type de déploiement.
Améliorations apportées à l’accessibilité
Cette préversion introduit plusieurs améliorations des fonctionnalités d’accessibilité dans la console Configuration Manager. Cela comprend :
Nouveaux raccourcis clavier pour vous déplacer dans la console :
- Ctrl + M : définit le focus sur le volet main (central).
- Ctrl + T : définit le focus sur le nœud supérieur dans le volet de navigation. Si le focus était déjà dans ce volet, le focus est défini sur le dernier nœud que vous avez visité.
- Ctrl + I : définit le focus sur la barre de navigation, sous le ruban.
- Ctrl + L : définit le focus sur le champ Recherche , le cas échéant.
- Ctrl + D : définit le focus sur le volet d’informations, le cas échéant.
- Alt : modifie le focus à l’entrée et à l’extérieur du ruban.
Améliorations générales :
- Amélioration de la navigation dans le volet de navigation lorsque vous tapez les lettres d’un nom de nœud.
- La navigation au clavier dans la vue main et le ruban sont désormais circulaires.
- La navigation au clavier dans le volet d’informations est désormais circulaire. Pour revenir à l’objet ou au volet précédent, utilisez Ctrl + D, puis Maj + TAB.
- Après l’actualisation d’une vue Espace de travail, le focus est défini sur le volet main de cet espace de travail.
- Correction d’un problème pour permettre aux lecteurs d’écran d’annoncer les noms des éléments de liste.
- Ajout de noms accessibles pour plusieurs contrôles sur la page, ce qui permet aux lecteurs d’écran d’annoncer des informations importantes.
Modifications apportées à l’Assistant Services Azure pour prendre en charge la préparation de la mise à niveau
À compter de cette version, utilisez l’Assistant Services Azure pour configurer une connexion de Configuration Manager à Upgrade Readiness. L’utilisation de l’Assistant simplifie la configuration du connecteur à l’aide d’un Assistant commun pour les services Azure associés.
Bien que la méthode de configuration de la connexion ait changé, les prérequis pour la connexion et la façon dont vous utilisez Upgrade Readiness restent inchangés.
Conditions préalables pour la préparation de la mise à niveau
Les conditions préalables à une connexion à Upgrade Readiness sont inchangées par rapport à celles détaillées pour current Branch de Configuration Manager. Ils sont répétés ici pour des raisons pratiques :
Conditions préalables
- Pour ajouter la connexion, votre environnement Configuration Manager doit d’abord configurer un point de connexion de service en mode en ligne. Lorsque vous ajoutez la connexion à votre environnement, microsoft Monitoring Agent est également installé sur l’ordinateur exécutant ce rôle de système de site.
- Inscrivez Configuration Manager en tant qu’outil de gestion « Application web et/ou API web » et obtenez l’ID client à partir de cette inscription.
- Créez une clé cliente pour l’outil de gestion inscrit dans Microsoft Entra ID.
- Dans le Portail Azure, fournissez à l’application web inscrite l’autorisation d’accéder à OMS.
Importante
Lorsque vous configurez l’autorisation d’accéder à OMS, veillez à choisir le rôle Contributeur et à lui attribuer des autorisations au groupe de ressources de l’application inscrite.
Une fois les prérequis configurés, vous êtes prêt à utiliser l’Assistant pour créer la connexion.
Utiliser l’Assistant Services Azure pour configurer Upgrade Readiness
Dans la console, accédez àVue d’ensemble> de l’administration>Services cloud>Azure Services, puis choisissez Configurer les services Azure sous l’onglet Accueil du ruban pour démarrer l’Assistant Services Azure.
Dans la page Services Azure , sélectionnez Upgrade Readiness Connector, puis cliquez sur Suivant.
Dans la page Application , spécifiez votre environnement Azure (la préversion technique prend uniquement en charge le cloud public). Cliquez ensuite sur Importer pour ouvrir la fenêtre Importer des applications .
Dans la fenêtre Importer des applications, spécifiez les détails d’une application web qui existe déjà dans votre Microsoft Entra ID.
- Fournissez un nom convivial pour le nom du locataire Microsoft Entra. Ensuite, spécifiez l’ID de locataire, le nom de l’application, l’ID client, la clé secrète pour l’application web Azure et l’URI de l’ID d’application.
- Cliquez sur Vérifier, puis, en cas de réussite, cliquez sur OK pour continuer.
Dans la page Configuration , spécifiez l’abonnement, le groupe de ressources et l’espace de travail Windows Analytics que vous souhaitez utiliser avec cette connexion à Upgrade Readiness.
Cliquez sur Suivant pour accéder à la page Résumé , puis terminez l’Assistant pour créer la connexion.
Nouveaux paramètres client pour les services cloud
Dans cette version, nous avons ajouté deux nouveaux paramètres client à Configuration Manager. Vous les trouverez dans la section Services cloud. Ces paramètres vous offrent les fonctionnalités suivantes :
- Contrôler les clients Configuration Manager qui peuvent accéder à une passerelle de gestion cloud configurée.
- Inscrivez automatiquement Windows 10 clients Configuration Manager joints à un domaine avec Microsoft Entra ID.
Ces nouveaux paramètres vous aident à accomplir les fonctionnalités décrites dans la version d’évaluation technique Configuration Manager 1705.
Avant de commencer
Vous devez avoir installé et configuré Microsoft Entra Connect entre votre Active Directory local et votre locataire Microsoft Entra.
Si vous supprimez la connexion, les appareils ne sont pas désinscrits, mais aucun nouvel appareil ne s’inscrit.
Essayez !
- Configurez les paramètres client suivants (disponibles dans la section Services cloud) à l’aide des informations fournies dans Configuration des paramètres client.
- Inscrivez automatiquement de nouveaux appareils joints à un domaine Windows 10 avec Microsoft Entra ID – Défini sur Oui (valeur par défaut) ou Non.
- Autoriser les clients à utiliser une passerelle de gestion cloud : définissez sur Oui (valeur par défaut) ou Non.
- Déployez les paramètres client sur le regroupement d’appareils requis.
Pour vérifier que l’appareil est joint à Microsoft Entra ID, exécutez la commande dsregcmd.exe /status dans une fenêtre d’invite de commandes. Le champ AzureAdjoined dans les résultats indique OUI si l’appareil est Microsoft Entra joint.
Créer et exécuter des scripts PowerShell à partir de la console Configuration Manager
Dans Configuration Manager, vous pouvez déployer des scripts sur des appareils clients à l’aide de packages et de programmes. Dans cette préversion technique, nous avons ajouté de nouvelles fonctionnalités qui vous permettent d’effectuer les actions suivantes :
- Importer des scripts PowerShell dans Configuration Manager
- Modifier les scripts à partir de la console Configuration Manager (pour les scripts non signés uniquement)
- Marquer les scripts comme approuvés ou refusés, pour améliorer la sécurité
- Exécutez des scripts sur des collections de PC clients Windows et de PC Windows gérés localement. Vous ne déployez pas de scripts. Au lieu de cela, ils sont exécutés en quasi temps réel sur les appareils clients.
- Examinez les résultats retournés par le script dans la console Configuration Manager.
Configuration requise
Pour utiliser des scripts, vous devez être membre du rôle de sécurité Configuration Manager approprié.
- Pour importer et créer des scripts, votre compte doit disposer des autorisations Créer pour les scripts SMS dans le rôle de sécurité Administrateur complet .
- Pour approuver ou refuser des scripts : votre compte doit disposer des autorisations Approuver pour les scripts SMS dans le rôle de sécurité Administrateur complet .
- Pour exécuter des scripts , votre compte doit disposer des autorisations Exécuter le script pour les regroupements dans le rôle de sécurité Gestionnaire des paramètres de conformité.
Pour plus d’informations sur les rôles de sécurité Configuration Manager, consultez Principes de base de l’administration basée sur les rôles.
Par défaut, les utilisateurs ne peuvent pas approuver un script qu’ils ont créé. Étant donné que les scripts sont puissants, polyvalents et peuvent être déployés sur de nombreux appareils, nous avons introduit un nouveau concept qui permet de séparer les rôles entre la personne qui crée le script et la personne qui approuve le script. Cela offre un niveau de sécurité supplémentaire contre l’exécution d’un script sans supervision. Vous pouvez désactiver cette approbation secondaire pour faciliter les tests, en particulier pendant la version Technical Preview.
Pour permettre aux utilisateurs d’approuver leurs propres scripts :
- Dans la console Configuration Manager, cliquez sur Administration.
- Dans l’espace de travail Administration , développez Configuration du site, puis cliquez sur Sites.
- Dans la liste des sites, choisissez votre site, puis, sous l’onglet Accueil , dans le groupe Sites , cliquez sur Paramètres de hiérarchie.
- Sous l’onglet Général de la boîte de dialogue Propriétés des paramètres de hiérarchie , décochez la case Ne pas autoriser les auteurs de scripts à approuver leurs propres scripts.
Essayez !
Importer et modifier un script
- Dans la console Configuration Manager, cliquez sur Bibliothèque de logiciels.
- Dans l’espace de travail Bibliothèque de logiciels , cliquez sur Scripts.
- Sous l’onglet Accueil , dans le groupe Créer , cliquez sur Créer un script.
- Dans la page Script de l’Assistant Création d’un script , configurez les éléments suivants :
- Nom du script : entrez un nom pour le script. Bien que vous puissiez créer plusieurs scripts portant le même nom, il vous sera plus difficile de trouver le script dont vous avez besoin dans la console Configuration Manager.
- Langage de script : actuellement, seuls les scripts PowerShell sont pris en charge.
- Importer : importez un script PowerShell dans la console. Le script s’affiche dans le champ Script .
- Effacer : supprime le script actuel du champ Script .
- Script : affiche le script actuellement importé. Vous pouvez modifier le script dans ce champ si nécessaire.
- Suivez les instructions de l’Assistant. Le nouveau script s’affiche dans la liste Script avec un status en attente d’approbation. Avant de pouvoir exécuter ce script sur les appareils clients, vous devez l’approuver.
Approuver ou refuser un script
Avant de pouvoir exécuter un script, il doit être approuvé. Pour approuver un script :
- Dans la console Configuration Manager, cliquez sur Bibliothèque de logiciels.
- Dans l’espace de travail Bibliothèque de logiciels , cliquez sur Scripts.
- Dans la liste Script , choisissez le script que vous souhaitez approuver ou refuser, puis, sous l’onglet Accueil , dans le groupe Script , cliquez sur Approuver/Refuser.
- Dans la boîte de dialogue Approuver ou refuser le script , approuver ou refuser le script, et éventuellement entrer un commentaire sur votre décision. Si vous refusez un script, il ne peut pas être exécuté sur les appareils clients.
- Suivez les instructions de l’Assistant. Dans la liste Script , la colonne État d’approbation change en fonction de l’action que vous avez effectuée.
Exécuter un script
Une fois qu’un script a été approuvé, il peut être exécuté sur une collection que vous choisissez.
- Dans la console Configuration Manager, cliquez sur Ressources et conformité.
- Dans l’espace de travail Ressources et conformité , cliquez sur Regroupements d’appareils.
- Dans la liste Regroupements d’appareils, cliquez sur le regroupement d’appareils sur lesquels vous souhaitez exécuter le script.
- Sous l’onglet Accueil , dans le groupe Tous les systèmes , cliquez sur Exécuter le script.
- Dans la page Script de l’Assistant Exécution d’un script , choisissez un script dans la liste. Seuls les scripts approuvés sont affichés. Cliquez sur Suivant, puis terminez l’Assistant.
Surveiller un script
Après avoir exécuté un script sur les appareils clients, utilisez cette procédure pour surveiller la réussite de l’opération.
- Dans la console Configuration Manager, cliquez sur Analyse.
- Dans l’espace de travail Surveillance , cliquez sur Résultats du script.
- Dans la liste Résultats du script , vous affichez les résultats de chaque script que vous avez exécuté sur les appareils clients. Un code de sortie de script de 0 indique généralement que le script s’est exécuté correctement.
Prise en charge du démarrage réseau PXE pour IPv6
Vous pouvez maintenant activer la prise en charge du démarrage réseau PXE pour IPv6 pour démarrer un déploiement de système d’exploitation de séquence de tâches. Lorsque vous utilisez ce paramètre, les points de distribution compatibles PXE prennent en charge IPv4 et IPv6. Cette option ne nécessite pas WDS et arrête WDS s’il est présent.
Pour activer la prise en charge du démarrage PXE pour IPv6
Utilisez la procédure suivante pour activer l’option de prise en charge IPv6 pour PXE.
- Dans la console Configuration Manager, accédez à Vued’ensemble> de l’administration>Points de distribution, puis cliquez sur Propriétés des points de distribution compatibles PXE.
- Sous l’onglet PXE , sélectionnez Prise en charge d’IPv6 pour activer la prise en charge IPv6 pour PXE.
Gérer les mises à jour des pilotes Microsoft Surface
Vous pouvez maintenant utiliser Configuration Manager pour gérer les mises à jour du pilote Microsoft Surface.
Configuration requise
Tous les points de mise à jour logicielle doivent s’exécuter Windows Server 2016.
Essayez !
Essayez d’effectuer les tâches suivantes, puis envoyez-nous des commentaires à partir de l’onglet Accueil du ruban pour nous informer de son fonctionnement :
- Activez la synchronisation pour les pilotes Microsoft Surface. Utilisez la procédure décrite dans Configurer la classification et les produits, puis sélectionnez Inclure les mises à jour des pilotes et des microprogrammes Microsoft Surface sous l’onglet Classifications pour activer les pilotes Surface.
- Synchronisez les pilotes Microsoft Surface.
- Déployer des pilotes Microsoft Surface synchronisés
Configurer des stratégies de report Windows Update entreprise
Vous pouvez maintenant configurer des stratégies de report pour Windows 10 Mises à jour des fonctionnalités ou des Mises à jour de qualité pour les appareils Windows 10 gérés directement par Windows Update entreprise. Vous pouvez gérer les stratégies de report dans le nouveau nœud Windows Update pour les stratégies d’entreprise sous Bibliothèque>de logiciels Windows 10 Maintenance.
Configuration requise
Windows 10 appareils gérés par Windows Update entreprise doivent disposer d’une connectivité Internet.
Pour créer une stratégie de report Windows Update entreprise
- Dans Bibliothèque de> logiciels Windows 10 Maintenance>Windows Update stratégies pour l’entreprise
- Sous l’onglet Accueil, dans le groupe Créer, sélectionnez Créer Windows Update stratégie entreprise pour ouvrir l’Assistant Création d’une stratégie Windows Update entreprise.
- Dans la page Général , indiquez un nom et une description pour la stratégie.
- Dans la page Stratégies de report, configurez s’il faut différer ou suspendre l’Mises à jour des fonctionnalités.
Les Mises à jour de fonctionnalités sont généralement de nouvelles fonctionnalités pour Windows. Après avoir configuré le paramètre de niveau de préparation de branche, vous pouvez définir si, et pendant combien de temps, vous souhaitez différer la réception des Mises à jour de fonctionnalité après leur disponibilité de Microsoft.- Niveau de préparation de la branche : définissez la branche pour laquelle l’appareil recevra les mises à jour Windows (Current Branch ou Current Branch for Business).
- Période de report (jours) : spécifiez le nombre de jours pendant lesquels la fonctionnalité Mises à jour sera différée. Vous pouvez différer la réception de ces Mises à jour de fonctionnalités pendant une période de 180 jours à compter de leur publication.
- Suspendre les fonctionnalités Mises à jour de démarrage : indiquez si les appareils doivent suspendre la réception des Mises à jour de fonctionnalités pendant une période allant jusqu’à 60 jours à compter du moment où vous suspendez les mises à jour. Une fois le nombre maximal de jours écoulés, la fonctionnalité de pause expire automatiquement et l’appareil analyse les mises à jour applicables Mises à jour Windows. Après cette analyse, vous pouvez à nouveau interrompre les mises à jour. Vous pouvez désamorcer la fonctionnalité Mises à jour en décochant la case.
- Choisissez de différer ou de suspendre la qualité Mises à jour.
Les Mises à jour de qualité sont généralement des correctifs et des améliorations des fonctionnalités Windows existantes et sont généralement publiées le premier mardi de chaque mois, mais peuvent être publiées à tout moment par Microsoft. Vous pouvez définir si, et pendant combien de temps, vous souhaitez différer la réception des Mises à jour de qualité après leur disponibilité.- Période de report (jours) : spécifiez le nombre de jours pendant lesquels la fonctionnalité Mises à jour sera différée. Vous pouvez différer la réception de ces Mises à jour de fonctionnalités pendant une période de 180 jours à compter de leur publication.
- Suspendre la qualité Mises à jour de démarrage : indiquez si les appareils doivent suspendre la réception des Mises à jour qualité pendant une période allant jusqu’à 35 jours à compter du moment où vous suspendez les mises à jour. Une fois le nombre maximal de jours écoulés, la fonctionnalité de pause expire automatiquement et l’appareil analyse les mises à jour applicables Mises à jour Windows. Après cette analyse, vous pouvez à nouveau interrompre les mises à jour. Vous pouvez désamorcer quality Mises à jour en décochant la case.
- Sélectionnez Installer les mises à jour à partir d’autres produits Microsoft pour activer le paramètre de stratégie de groupe qui rend les paramètres de report applicables à Microsoft Update, ainsi qu’à Windows Mises à jour.
- Sélectionnez Inclure les pilotes avec Windows Update pour mettre à jour automatiquement les pilotes à partir de Windows Mises à jour. Si vous désactivez ce paramètre, les mises à jour des pilotes ne sont pas téléchargées à partir de Windows Mises à jour.
- Terminez l’Assistant pour créer la stratégie de report.
Pour déployer une stratégie de report Windows Update entreprise
- Dans Bibliothèque de> logiciels Windows 10 Maintenance>Windows Update stratégies pour l’entreprise
- Sous l’onglet Accueil, dans le groupe Déploiement, sélectionnez Déployer Windows Update stratégie d’entreprise.
- Configurez les paramètres suivants :
- Stratégie de configuration à déployer : sélectionnez la stratégie Windows Update entreprise que vous souhaitez déployer.
- Collection : cliquez sur Parcourir pour sélectionner le regroupement dans lequel vous souhaitez déployer la stratégie.
- Corriger les règles non conformes lorsqu’elles sont prises en charge : sélectionnez cette option pour corriger automatiquement toutes les règles non conformes pour Windows Management Instrumentation (WMI), le Registre, les scripts et tous les paramètres des appareils mobiles inscrits par Configuration Manager.
- Autoriser la correction en dehors de la fenêtre de maintenance : si une fenêtre de maintenance a été configurée pour le regroupement sur lequel vous déployez la stratégie, activez cette option pour permettre aux paramètres de conformité de corriger la valeur en dehors de la fenêtre de maintenance. Pour plus d’informations sur les fenêtres de maintenance, consultez Utilisation des fenêtres de maintenance.
- Générer une alerte : configure une alerte qui est générée si la conformité de la base de référence de configuration est inférieure à un pourcentage spécifié par une date et une heure spécifiées. Vous pouvez également spécifier si vous souhaitez qu’une alerte soit envoyée à System Center Operations Manager.
- Délai aléatoire (heures) : spécifie une fenêtre de délai pour éviter un traitement excessif sur le service d’inscription de périphérique réseau. La valeur par défaut est 64 heures.
- Planification : spécifiez la planification d’évaluation de la conformité selon laquelle le profil déployé est évalué sur les ordinateurs clients. La planification peut être simple ou personnalisée. Le profil est évalué par les ordinateurs clients lorsque l’utilisateur ouvre une session.
- Terminez l’Assistant pour déployer le profil.
Prise en charge des autorités de certification Entrust
Configuration Manager prend désormais en charge les autorités de certification Entrust ; cela permet la remise de certificats PFX aux appareils inscrits dans Microsoft Intune.
Vous pouvez configurer Entrust en tant qu’autorité de certification lors de l’ajout d’un rôle Point d’enregistrement de certificat dans Configuration Manager. Lors de l’ajout d’un nouveau profil de certificat qui émet des certificats PFX, vous pouvez sélectionner une autorité de certification Microsoft ou Entrust.
Problème connu : Dans la préversion technique 1706, les certificats PFX ne sont pas émis pour les autorités de certification Microsoft. Cela n’affecte pas les certificats PFX ou les profils SCEP importés.
Prise en charge de Cisco (IPsec) pour les profils VPN iOS
Vous pouvez créer un profil VPN iOS avec Cisco (IPsec) comme type de connexion. Pour plus d’informations, consultez Créer des profils VPN.
Nouveaux paramètres d’élément de configuration Windows
Dans cette version, nous avons ajouté les nouveaux paramètres suivants que vous pouvez utiliser dans les éléments de configuration Windows :
Mot de passe
- Chiffrement de l’appareil
Appareil
- Modification des paramètres de région (bureau uniquement)
- Modification des paramètres d’alimentation et de veille
- Modification des paramètres de langue
- Modification de l’heure système
- Modification du nom de l’appareil
Store
- Mettre à jour automatiquement les applications à partir du Store
- Utiliser un magasin privé uniquement
- Lancement de l’application du Store
Microsoft Edge
- Bloquer l’accès à about :flags
- Remplacement de l’invite SmartScreen
- Remplacement de l’invite SmartScreen pour les fichiers
- Adresse IP webRTC localhost
- Moteur de recherche par défaut
- OpenSearch XML URL
- Pages d’accueil (bureau uniquement)
Pour plus d’informations sur les paramètres de conformité, consultez Garantir la conformité des appareils.
Nouvelles règles de stratégie de conformité des appareils
Type de mot de passe requis. Spécifiez si l’utilisateur doit créer un mot de passe alphanumérique ou numérique. Pour les mots de passe alphanumériques, vous spécifiez également le nombre minimal de jeux de caractères que le mot de passe doit avoir. Les quatre jeux de caractères sont : minuscules, majuscules, symboles et chiffres.
Pris en charge sur :
- Windows Phone 8+
- Windows 8.1+
- iOS 6 et versions ultérieures
Bloquer le débogage USB sur l’appareil. Vous n’avez pas besoin de configurer ces paramètres, car le débogage USB est déjà désactivé sur les appareils Android for Work.
Pris en charge sur :
- Android 4.0+
- Samsung KNOX Standard 4.0+
Bloquer les applications provenant de sources inconnues. Exiger que les appareils empêchent l’installation d’applications provenant de sources inconnues. Vous n’avez pas besoin de configurer ce paramètre, car les appareils Android for Work limitent toujours l’installation à partir de sources inconnues.
Pris en charge sur :
- Android 4.0+
- Samsung KNOX Standard 4.0+
Exiger une analyse des menaces sur les applications. Ce paramètre spécifie que la fonctionnalité Vérifier les applications est activée sur l’appareil.
Pris en charge sur :
- Android 4.2 à 4.4
- Samsung KNOX Standard 4.0+
Nouveaux paramètres de stratégie de gestion des applications mobiles
À compter de cette version, vous pouvez utiliser trois nouveaux paramètres de stratégie de gestion des applications mobiles (GAM) :
Bloquer la capture d’écran (appareils Android uniquement) : Spécifie que les fonctionnalités de capture d’écran de l’appareil sont bloquées lors de l’utilisation de cette application.
Désactiver la synchronisation des contacts : Empêche l’application d’enregistrer des données dans l’application Contacts native sur l’appareil.
Désactiver l’impression : Empêche l’application d’imprimer des données professionnelles ou scolaires.
Restrictions d’inscription Android et iOS
À compter de cette version, les administrateurs peuvent désormais spécifier que les utilisateurs ne peuvent pas inscrire des appareils Android ou iOS personnels dans leur environnement hybride. Cela vous permet de limiter les appareils inscrits aux appareils prédéclarés appartenant à l’entreprise ou aux appareils iOS inscrits auprès du programme d’inscription des appareils uniquement.
Essayez
- Dans la console Configuration Manager de l’espace de travail Administration, accédez à Services cloud>Microsoft Intune Abonnement.
- Sous l’onglet Accueil du groupe Abonnement , choisissez Configurer les plateformes , puis sélectionnez Android ou iOS.
- Sélectionnez Bloquer les appareils personnels.
Stratégie de gestion des applications Android for Work pour le copier-coller
Nous avons mis à jour les descriptions des paramètres pour les éléments de configuration Android for Work pour le profil Autoriser le partage de données entre le travail et le profil personnel.
Avant la version 1706 Technical Preview | Nom de la nouvelle option | Comportement |
---|---|---|
Empêcher tout partage au-delà des limites | Restrictions de partage par défaut | Travail à personnel : par défaut (qui devrait être bloqué sur toutes les versions) Personnel au travail : par défaut (autorisé sur 6.x+, bloqué sur 5.x) |
Aucune restriction | Les applications dans le profil personnel peuvent gérer les demandes de partage à partir d’un profil professionnel | Travail à personnel : autorisé Personnel au travail : autorisé |
Les applications dans le profil professionnel peuvent gérer les demandes de partage à partir d’un profil personnel | Les applications dans le profil professionnel peuvent gérer les demandes de partage à partir d’un profil personnel | Travail à personnel : par défaut Personnel au travail : autorisé (Utile uniquement sur la version 5.x où l’accès personnel au travail est bloqué) |
Aucune de ces options n’empêche directement le comportement de copier-coller. Nous avons ajouté un paramètre personnalisé au service et à l’application Portail d'entreprise dans la version 1704, qui peut être configuré pour empêcher le copier-coller. Cela peut être défini via un URI personnalisé.
- OMA-URI : ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
- Type de valeur : Boolean
La définition de DisallowCrossProfileCopyPaste sur true empêche le comportement de copier-coller entre les profils personnels et professionnels Android for Work.
Try it out
- Dans la console Configuration Manager, sélectionnez Ressources etVue d’ensemble de>la conformité>Paramètres>de conformité Éléments de configuration.
- Choisissez Créer pour créer un élément de configuration, puis spécifiez Nom et Android for Work.
- Dans les groupes de paramètres d’appareil à configurer, sélectionnez Profil professionnel, puis suivant.
- Sélectionnez la valeur Autoriser le partage de données entre les profils professionnels et personnels, puis terminez l’Assistant.
Évaluation de l’attestation d’intégrité de l’appareil pour les stratégies de conformité pour l’accès conditionnel
À partir de cette version, vous pouvez utiliser l’attestation d’intégrité de l’appareil status comme règle de stratégie de conformité pour l’accès conditionnel aux ressources de l’entreprise.
Try it out
Sélectionnez une règle d’attestation d’intégrité de l’appareil dans le cadre d’une évaluation de stratégie de conformité.