Możliwości w wersji Technical Preview 1706 dla Configuration Manager

Dotyczy: Configuration Manager (gałąź technical preview)

W tym artykule przedstawiono funkcje dostępne w wersji Technical Preview dla Configuration Manager w wersji 1706. Możesz zainstalować tę wersję, aby zaktualizować i dodać nowe możliwości do witryny Configuration Manager technical preview. Przed zainstalowaniem tej wersji wersji technical preview zapoznaj się z tematem Technical Preview, aby Configuration Manager zapoznać się z ogólnymi wymaganiami i ograniczeniami dotyczącymi korzystania z wersji technical preview, sposobem aktualizowania między wersjami oraz sposobem przekazywania opinii na temat funkcji w wersji technical preview.

Znane problemy w tej wersji technical preview:

• Przenoszenie punktu dystrybucji — nie można użyć opcji w konsoli, aby przenieść punkt dystrybucji między lokacjami z tą wersją ze względu na limit wersji technical preview pojedynczej lokacji głównej.

• Ustawienia zgodności urządzeń — podczas korzystania z dwóch nowych ustawień zgodności urządzeń może wystąpić zachowanie przeciwne:

  • Blokuj debugowanie USB na urządzeniu

  • Blokowanie aplikacji z nieznanych źródeł

    Jeśli na przykład administratorzy ustawią ustawienie Blokuj debugowanie USB na urządzeniu nawartość true, wszystkie urządzenia, które nie mają włączonego debugowania USB, są oznaczone jako niezgodne.

Poniżej przedstawiono nowe funkcje, które można wypróbować w tej wersji.

Ulepszone grupy granic dla punktów aktualizacji oprogramowania

Ta wersja zawiera ulepszenia dotyczące sposobu pracy punktów aktualizacji oprogramowania z grupami granic. Poniżej przedstawiono podsumowanie nowego zachowania rezerwowego:

• Powrót do punktów aktualizacji oprogramowania używa teraz konfigurowalnego czasu powrotu do sąsiednich grup granic z minimalnym czasem wynoszącym 120 minut.

• Niezależnie od konfiguracji rezerwowej klient próbuje osiągnąć ostatni punkt aktualizacji oprogramowania używany przez 120 minut. Po 120 minutach nie można nawiązać połączenia z tym serwerem, klient sprawdza pulę dostępnych punktów aktualizacji oprogramowania, aby znaleźć nową.

  • Wszystkie punkty aktualizacji oprogramowania w bieżącej grupie granic klienta są natychmiast dodawane do puli klienta.

  • Ponieważ klient próbuje użyć swojego oryginalnego serwera przez 120 minut przed poszukiwaniem nowego, nie są kontaktowane żadne dodatkowe serwery do czasu po upływie dwóch godzin.

  • Jeśli powrót do grupy sąsiadów jest skonfigurowany przez co najmniej 120 minut, punkty aktualizacji oprogramowania z tej grupy granic sąsiada będą częścią puli dostępnych serwerów klienta.

• Po nawiązaniu połączenia z oryginalnym serwerem przez dwie godziny klient przełącza się na krótszy cykl kontaktowania się z nowym punktem aktualizacji oprogramowania.

  Oznacza to, że jeśli klient nie może nawiązać połączenia z nowym serwerem, szybko wybiera następny serwer z puli dostępnych serwerów i próbuje się z nim skontaktować.

  • Ten cykl trwa do momentu, gdy klient nawiąże połączenie z punktem aktualizacji oprogramowania, którego może użyć.
  • Dopóki klient nie znajdzie punktu aktualizacji oprogramowania, dodatkowe serwery są dodawane do puli dostępnych serwerów po osiągnięciu rezerwowego czasu dla każdej grupy granic sąsiada.

Aby uzyskać więcej informacji, zobacz punkty aktualizacji oprogramowania w temacie Boundary Grupy dla bieżącej gałęzi.

Wysoka dostępność roli serwera lokacji

Wysoka dostępność roli serwera lokacji jest rozwiązaniem opartym na Configuration Manager w celu zainstalowania dodatkowego serwera lokacji głównej w trybie pasywnym. Serwer lokacji trybu pasywnego jest dodatkiem do istniejącego serwera lokacji głównej, który jest w trybie aktywnym . Serwer lokacji trybu pasywnego jest dostępny do natychmiastowego użycia w razie potrzeby.

Serwer lokacji głównej w trybie pasywnym:

• Używa tej samej bazy danych lokacji co aktywny serwer lokacji.
• Odbiera kopię biblioteki zawartości aktywnych serwerów lokacji, która jest następnie przechowywana w synchronizacji.
• Nie zapisuje danych w bazie danych lokacji, o ile są w trybie pasywnym.
• Nie obsługuje instalacji lub usuwania opcjonalnych ról systemu lokacji, o ile są w trybie pasywnym.

Aby serwer lokacji trybu pasywnego był serwerem lokacji trybu aktywnego, należy go ręcznie podwyższyć. Spowoduje to przełączenie aktywnego serwera lokacji na serwer lokacji pasywnej. Role systemu lokacji dostępne na oryginalnym serwerze trybu aktywnego pozostają dostępne, o ile komputer jest dostępny. Tylko rola serwera lokacji jest przełączana między trybem aktywnym i pasywnym.

Aby zainstalować serwer lokacji w trybie pasywnym, użyj Kreatora tworzenia serwera systemu lokacji , aby skonfigurować nowy serwer lokacji z typem serwera lokacji głównej i trybem pasywnym. Następnie kreator uruchamia Configuration Manager Instalatora na określonym serwerze, aby zainstalować nowy serwer lokacji w trybie pasywnym. Po zakończeniu instalacji serwer lokacji trybu aktywnego przechowuje serwer lokacji trybu pasywnego i jego bibliotekę zawartości zsynchronizowane ze zmianami lub konfiguracjami wprowadzonymi na aktywnym serwerze lokacji.

Wymagania wstępne i ograniczenia

• Pojedynczy serwer lokacji w trybie pasywnym jest obsługiwany w każdej lokacji głównej.

• Serwer lokacji w trybie pasywnym może być lokalny lub oparty na chmurze na platformie Azure.

• Serwery lokacji trybu aktywnego i pasywnego muszą znajdować się w tej samej domenie.

• Zarówno serwery lokacji trybu aktywnego, jak i pasywnego muszą używać tej samej bazy danych lokacji, która musi być zdalna od komputerów każdego serwera lokacji.

  • SQL Server hostujący bazę danych może używać wystąpienia domyślnego, wystąpienia nazwanego, SQL Server zawsze włączonego wystąpienia klastra trybu failover lub grupy dostępności.

  • Serwer lokacji w trybie pasywnym jest skonfigurowany do używania tej samej bazy danych lokacji co serwer lokacji trybu aktywnego. Jednak serwer lokacji trybu pasywnego nie używa tej bazy danych dopiero po podwyższeniu jej do trybu aktywnego.

• Komputer, na który zostanie uruchomiony serwer lokacji w trybie pasywnym:

  • Musi spełniać wymagania wstępne dotyczące instalowania lokacji głównej.

  • Instaluje przy użyciu plików źródłowych zgodnych z wersją serwera lokacji trybu aktywnego.

  • Nie można mieć roli systemu lokacji z żadnej lokacji przed zainstalowaniem lokacji trybu pasywnego.

• Komputery serwera lokacji w trybie aktywnym i pasywnym mogą uruchamiać różne systemy operacyjne lub wersje dodatku Service Pack, o ile obie te komputery pozostają obsługiwane przez twoją wersję Configuration Manager.

• Podwyższanie poziomu serwera lokacji trybu pasywnego do serwera trybu aktywnego jest ręczne. Nie ma automatycznego trybu failover.

• Role systemu lokacji można zainstalować tylko na serwerze lokacji, który jest w trybie aktywnym.

  • Serwer lokacji w trybie aktywnym obsługuje wszystkie role systemu lokacji. Nie można zainstalować ról systemu lokacji na serwerze, gdy jest on w trybie pasywnym.

  • Role systemu lokacji korzystające z bazy danych (takiej jak punkt raportowania) muszą mieć tę bazę danych na serwerze zdalnym zarówno z serwerów lokacji trybu aktywnego, jak i pasywnego.

  • SMS_Provider nie jest instalowana na serwerze lokacji w trybie pasywnym. Ponieważ należy nawiązać połączenie z SMS_Provider, aby lokacja ręcznie podwyższyła poziom serwera lokacji trybu pasywnego do trybu aktywnego, zalecamy zainstalowanie co najmniej jednego dodatkowego wystąpienia dostawcy na dodatkowym komputerze.

Znany problem:
W tej wersji stan następujących warunków jest wyświetlany w konsoli jako wartości liczbowe zamiast tekstu czytelnego:

• 131071 — instalacja serwera lokacji nie powiodła się
• 720895 — odinstalowywanie roli serwera lokacji nie powiodło się
• 851967 — tryb failover nie powiódł się

Dodawanie serwera lokacji w trybie pasywnym

1. W konsoli przejdź do obszaruLokacje konfiguracji lokacji>administracyjnej> i uruchom Kreatora dodawania ról systemu lokacji. Możesz również użyć Kreatora tworzenia serwera systemu lokacji.

2. Na stronie Ogólne określ serwer, który będzie hostem serwera lokacji trybu pasywnego. Określony serwer nie może hostować żadnych ról systemu lokacji przed zainstalowaniem serwera lokacji w trybie pasywnym.

3. Na stronie Wybór roli systemu wybierz tylko serwer lokacji głównej w trybie pasywnym.

4. Aby ukończyć pracę kreatora, należy podać następujące informacje, które są używane do uruchamiania instalatora i instalowania roli serwera lokacji na określonym serwerze:

   • Wybierz opcję kopiowania plików instalacyjnych z aktywnego serwera lokacji na nowy serwer lokacji trybu pasywnego lub określ ścieżkę do lokalizacji zawierającej zawartość folderu CD.Latest aktywnego serwera lokacji.

   • Określ ten sam serwer bazy danych lokacji i nazwę bazy danych, która jest używana przez serwer lokacji trybu aktywnego.

5. Configuration Manager następnie instaluje serwer lokacji w trybie pasywnym na określonym serwerze.

Aby uzyskać szczegółowy stan instalacji, przejdź do obszaruLokacje konfiguracji lokacji>administracyjnej>.

• Stan serwera lokacji w trybie pasywnym jest wyświetlany jako Instalowanie.

• Wybierz serwer, a następnie kliknij pozycję Pokaż stan , aby otworzyć pozycję Stan instalacji serwera lokacji , aby uzyskać bardziej szczegółowe informacje.

Podwyższanie poziomu serwera lokacji trybu pasywnego do trybu aktywnego

Jeśli chcesz zmienić tryb pasywny serwera lokacji na tryb aktywny, należy to zrobić z poziomu okienka Węzły wwitrynachkonfiguracji lokacji administracji>>. Tak długo, jak możesz uzyskać dostęp do wystąpienia SMS_Provider, możesz uzyskać dostęp do witryny, aby wprowadzić tę zmianę.

1. W okienku Węzły konsoli Configuration Manager wybierz serwer lokacji w trybie pasywnym, a następnie na wstążce wybierz pozycję Podwyższ poziom do aktywnego.

2. Prosty stan promowany serwera jest wyświetlany w okienku Węzły jako promowanie.

3. Po zakończeniu podwyższania poziomu kolumna Stan pokazuje ok zarówno dla nowego serwera lokacji trybu aktywnego , jak i dla nowego serwera lokacji trybu pasywnego .

4. W obszarzeLokacje konfiguracji lokacjiadministracyjnej> nazwa serwera lokacji głównej wyświetla teraz nazwę nowego serwera lokacji> trybu aktywnego. Aby uzyskać szczegółowy stan, przejdź do obszaru Monitorowanie>stanu serwera lokacji.

   • Kolumna Tryb określa, który serwer jest aktywny lub pasywny.

   • Podczas promowania serwera z trybu pasywnego do trybu aktywnego wybierz serwer lokacji, który jest promowany jako aktywny, a następnie wybierz pozycję Pokaż stan na wstążce. Spowoduje to otwarcie okna Stan podwyższania poziomu serwera lokacji z dodatkowymi szczegółami dotyczącymi procesu.

Gdy serwer lokacji w trybie aktywnym przełącza się do trybu pasywnego, tylko rola systemu lokacji jest pasywna. Wszystkie inne role systemu lokacji zainstalowane na tym komputerze pozostają aktywne i dostępne dla klientów.

Codzienne monitorowanie

Jeśli lokacja główna jest w trybie pasywnym, monitoruj ją codziennie, aby upewnić się, że pozostaje ona zsynchronizowana z serwerem lokacji trybu aktywnego i jest gotowa do użycia. W tym celu przejdź do obszaru Monitorowanie>stanu serwera lokacji. W tym miejscu można wyświetlić zarówno serwery lokacji trybu aktywnego, jak i pasywnego.

Karta Podsumowanie :

• Kolumna Tryb określa, który serwer jest aktywny lub pasywny.
• Kolumna Stan zawiera listę OK , gdy serwer trybu pasywnego jest zsynchronizowany z serwerem trybu aktywnego.
• Aby wyświetlić dodatkowe szczegóły dotyczące stanu synchronizacji zawartości, kliknij pozycję Pokaż stan ze stanu synchronizacji zawartości. Spowoduje to otwarcie karty Biblioteka zawartości, na której można spróbować rozwiązać problemy z synchronizacją zawartości.

Karta Biblioteka zawartości :

• Wyświetl stan zawartości synchronizowanej z aktywnego serwera lokacji z serwerem lokacji trybu pasywnego.
• Możesz wybrać zawartość ze stanem Niepowodzenie, a następnie wybrać pozycję Synchronizuj wybrane elementy na wstążce. Ta akcja próbuje ponownie zsynchronizować tę zawartość ze źródła zawartości na serwer lokacji trybu pasywnego. Podczas odzyskiwania stan jest wyświetlany jako W toku, a gdy jest zsynchronizowany, jest wyświetlany jako Powodzenie.

Wypróbuj to!

Spróbuj wykonać następujące zadania, a następnie wyślij nam opinię z karty Narzędzia główne wstążki, aby poinformować nas, jak to działa:

• Mogę zainstalować lokację główną w trybie pasywnym.
• Mogę użyć konsoli do promowania serwera lokacji trybu pasywnego, aby uczynić go serwerem lokacji trybu aktywnego i potwierdzić zmianę stanu dla obu serwerów lokacji.

Uwzględnianie zaufania dla określonych plików i folderów w zasadach funkcji Device Guard

W tej wersji dodaliśmy dodatkowe możliwości do zarządzania zasadami funkcji Device Guard

Teraz opcjonalnie można dodać zaufanie do określonych plików dla folderów w zasadach funkcji Device Guard. Dzięki temu możesz:

1. Rozwiązywanie problemów z zachowaniami instalatora zarządzanego
2. Ufaj aplikacjom biznesowym, których nie można wdrożyć przy użyciu Configuration Manager
3. Ufaj aplikacjom uwzględnionym w obrazie wdrażania systemu operacyjnego.

Wypróbuj to!

1. Podczas tworzenia zasad funkcji Device Guard na karcie Inkluzywności kreatora tworzenia zasad funkcji Device Guard kliknij przycisk Dodaj.
2. W oknie dialogowym Dodawanie zaufanego pliku lub folderu określ informacje o pliku lub folderze, któremu chcesz zaufać. Możesz określić ścieżkę pliku lokalnego lub folderu lub połączyć się z urządzeniem zdalnym, z którym masz uprawnienia do nawiązywania połączenia i określania ścieżki pliku lub folderu na tym urządzeniu.
3. Zakończ pracę kreatora.

Ukryj postęp sekwencji zadań

W tej wersji możesz kontrolować, kiedy postęp sekwencji zadań jest wyświetlany użytkownikom końcowym przy użyciu nowej zmiennej. W sekwencji zadań użyj kroku Ustaw zmienną sekwencji zadań , aby ustawić wartość zmiennej TSDisableProgressUI w celu ukrycia lub wyświetlenia postępu sekwencji zadań. Możesz użyć kroku Ustaw zmienną sekwencji zadań wiele razy w sekwencji zadań, aby zmienić wartość zmiennej. Pozwala to ukryć lub wyświetlić postęp sekwencji zadań w różnych sekcjach sekwencji zadań.

Aby ukryć postęp sekwencji zadań

W edytorze sekwencji zadań użyj kroku Ustaw zmienną sekwencji zadań , aby ustawić wartość zmiennej TSDisableProgressUI na wartość True , aby ukryć postęp sekwencji zadań.

Aby wyświetlić postęp sekwencji zadań

W edytorze sekwencji zadań użyj kroku Ustaw zmienną sekwencji zadań , aby ustawić wartość zmiennej TSDisableProgressUI na wartość False , aby wyświetlić postęp sekwencji zadań.

Określanie innej lokalizacji zawartości na potrzeby instalowania zawartości i odinstalowywania zawartości

W Configuration Manager dzisiaj określisz lokalizację instalacji zawierającą pliki konfiguracji aplikacji. Po określeniu lokalizacji instalacji jest ona również używana jako lokalizacja odinstalowywania zawartości aplikacji. Na podstawie opinii, gdy chcesz odinstalować wdrożoną aplikację, a zawartość aplikacji nie znajduje się na komputerze klienckim, klient ponownie pobierze wszystkie pliki konfiguracji aplikacji przed odinstalowaniem aplikacji. Aby rozwiązać ten problem, można teraz określić zarówno lokalizację zawartości instalacji, jak i opcjonalną lokalizację zawartości odinstalowywania. Ponadto możesz nie określać lokalizacji zawartości odinstalowywania.

Wypróbuj to!

1. We właściwościach typu wdrożenia aplikacji kliknij kartę Zawartość .
2. Skonfiguruj lokalizację zawartości Zainstaluj normalnie.
3. W obszarze Odinstaluj ustawienia zawartości wybierz jedną z następujących opcji:
   • Tak samo jak w przypadku instalowania zawartości — ta sama lokalizacja zawartości będzie używana niezależnie od tego, czy jest instalowana, czy odinstalowywanie aplikacji.
   • Brak zawartości odinstalowywania — wybierz tę opcję, jeśli nie chcesz podawać lokalizacji zawartości odinstalowywania aplikacji.
   • Inaczej niż w przypadku instalowania zawartości — wybierz tę opcję, jeśli chcesz określić lokalizację zawartości odinstalowywania inną niż lokalizacja zawartości instalacji.
4. Jeśli wybrano opcję Inaczej niż zawartość instalacji, przejdź do lub wprowadź lokalizację zawartości aplikacji, która będzie używana do odinstalowania aplikacji.
5. Kliknij przycisk OK , aby zamknąć okno dialogowe właściwości typu wdrożenia.

Ulepszenia ułatwień dostępu

W tej wersji zapoznawczej wprowadzono kilka ulepszeń funkcji ułatwień dostępu w konsoli Configuration Manager. Obejmują one:

Nowe skróty klawiaturowe umożliwiające poruszanie się po konsoli:

• Ctrl + M — ustawia fokus na głównym (centralnym) okienku.
• Ctrl + T — ustawia fokus na górny węzeł w okienku nawigacji. Jeśli fokus był już w tym okienku, fokus jest ustawiony na ostatni odwiedziony węzeł.
• Ctrl + I — ustawia fokus na pasku nadrzędnym poniżej wstążki.
• Ctrl + L — ustawia fokus na pole Wyszukiwania, jeśli jest dostępne.
• Ctrl + D — ustawia fokus na okienku szczegółów, jeśli jest dostępny.
• Alt — zmienia fokus na wstążce i na jej zewnątrz.

Ogólne ulepszenia:

• Ulepszona nawigacja w okienku nawigacji po wpisaniu liter nazwy węzła.
• Nawigacja za pomocą klawiatury w widoku głównym i na wstążce jest teraz okrągła.
• Nawigacja za pomocą klawiatury w okienku szczegółów jest teraz okrągła. Aby powrócić do poprzedniego obiektu lub okienka, użyj Ctrl + D, a następnie Shift + TAB.
• Po odświeżeniu widoku obszaru roboczego fokus jest ustawiony na główne okienko tego obszaru roboczego.
• Rozwiązano problem polegający na umożliwieniu czytnikom zawartości ekranu ogłaszania nazw elementów listy.
• Dodano na stronie dostępne nazwy wielu kontrolek, które umożliwiają czytnikom zawartości ekranu ogłaszanie ważnych informacji.

Zmiany w Kreatorze usług platformy Azure w celu obsługi gotowości do uaktualnienia

Począwszy od tej wersji, użyj Kreatora usług platformy Azure, aby skonfigurować połączenie z Configuration Manager do gotowości na uaktualnienie. Użycie kreatora upraszcza konfigurację łącznika przy użyciu wspólnego kreatora dla powiązanych usług platformy Azure.

Mimo że metoda konfigurowania połączenia uległa zmianie, wymagania wstępne dotyczące połączenia i sposobu korzystania z gotowości do uaktualnienia pozostają niezmienione.

Wymagania wstępne dotyczące gotowości na uaktualnienie

Wymagania wstępne dotyczące połączenia z gotowością do uaktualnienia są niezmienione w stosunku do wymagań opisanych w temacie Current Branch of Configuration Manager. Są one powtarzane tutaj dla wygody:

Wymagania wstępne

• Aby dodać połączenie, środowisko Configuration Manager musi najpierw skonfigurować punkt połączenia usługi w trybie online. Po dodaniu połączenia do środowiska program zainstaluje również agenta monitorowania firmy Microsoft na maszynie z uruchomioną tą rolą systemu lokacji.
• Zarejestruj Configuration Manager jako narzędzie do zarządzania "Aplikacja internetowa i/lub internetowy interfejs API" i pobierz identyfikator klienta z tej rejestracji.
• Utwórz klucz klienta dla zarejestrowanego narzędzia do zarządzania w Tożsamość Microsoft Entra.
• W Azure Portal podaj zarejestrowanej aplikacji internetowej uprawnienia dostępu do pakietu OMS.

Ważna

Podczas konfigurowania uprawnień dostępu do pakietu OMS należy wybrać rolę Współautor i przypisać jej uprawnienia do grupy zasobów zarejestrowanej aplikacji.

Po skonfigurowaniu wymagań wstępnych możesz utworzyć połączenie za pomocą Kreatora.

Konfigurowanie gotowości do uaktualnienia za pomocą Kreatora usług platformy Azure

1. W konsoli przejdź do obszaruOmówienie>administracji>Cloud Services>Azure Services, a następnie wybierz pozycję Konfiguruj usługi platformy Azure na karcie Narzędzia główne na wstążce, aby uruchomić Kreatora usług platformy Azure.

2. Na stronie Usługi platformy Azure wybierz łącznik Gotowość do uaktualnienia, a następnie kliknij przycisk Dalej.

3. Na stronie Aplikacja określ środowisko platformy Azure (wersja zapoznawcza techniczna obsługuje tylko chmurę publiczną). Następnie kliknij pozycję Importuj , aby otworzyć okno Importuj aplikacje .

4. W oknie Importuj aplikacje określ szczegóły aplikacji internetowej, która już istnieje w Tożsamość Microsoft Entra.

   • Podaj przyjazną nazwę nazwy dzierżawy Microsoft Entra. Następnie określ identyfikator dzierżawy, nazwę aplikacji, identyfikator klienta, klucz tajny aplikacji internetowej platformy Azure oraz identyfikator URI identyfikatora aplikacji.
   • Kliknij przycisk Weryfikuj, a jeśli się powiedzie, kliknij przycisk OK , aby kontynuować.

5. Na stronie Konfiguracja określ subskrypcję, grupę zasobów i obszar roboczy usługi Windows Analytics, którego chcesz użyć z tym połączeniem, aby uaktualnić gotowość.

6. Kliknij przycisk Dalej , aby przejść do strony Podsumowanie , a następnie ukończ pracę kreatora, aby utworzyć połączenie.

Nowe ustawienia klienta dla usług w chmurze

W tej wersji dodaliśmy dwa nowe ustawienia klienta do Configuration Manager. Znajdziesz je w sekcji Cloud Services. Te ustawienia zapewniają następujące możliwości:

• Kontrolowanie, które Configuration Manager klienci mogą uzyskiwać dostęp do skonfigurowanej bramy zarządzania chmurą.
• Automatycznie rejestruj Windows 10 przyłączonych do domeny klientów programu Configuration Manger przy użyciu Tożsamość Microsoft Entra.

Te nowe ustawienia ułatwiają realizację możliwości opisanych w Configuration Manager 1705 Technical Preview.

Przed rozpoczęciem

Musisz zainstalować i skonfigurować Microsoft Entra Połącz między lokalna usługa Active Directory a dzierżawą Microsoft Entra.

Jeśli usuniesz połączenie, urządzenia nie zostaną zarejestrowane, ale żadne nowe urządzenia nie zostaną zarejestrowane.

Wypróbuj to!

1. Skonfiguruj następujące ustawienia klienta (znajdujące się w sekcji Cloud Services), korzystając z informacji w temacie How to configure client settings (Jak skonfigurować ustawienia klienta).
   • Automatycznie rejestruj nowe urządzenia przyłączone do domeny Windows 10 przy użyciu Tożsamość Microsoft Entra — ustaw wartość Tak (wartość domyślna) lub Nie.
   • Włącz klientom korzystanie z bramy zarządzania chmurą — ustaw wartość Tak (wartość domyślna) lub Nie.
2. Wdróż ustawienia klienta w wymaganej kolekcji urządzeń.

Aby potwierdzić, że urządzenie jest przyłączone do Tożsamość Microsoft Entra, uruchom polecenie dsregcmd.exe /status w oknie wiersza polecenia. Pole AzureAdjoined w wynikach będzie pokazywać wartość TAK, jeśli urządzenie jest Microsoft Entra przyłączone.

Tworzenie i uruchamianie skryptów programu PowerShell z poziomu konsoli Configuration Manager

W Configuration Manager można wdrażać skrypty na urządzeniach klienckich przy użyciu pakietów i programów. W tej wersji zapoznawczej technicznej dodaliśmy nowe funkcje, które umożliwiają wykonywanie następujących akcji:

• Importowanie skryptów programu PowerShell do Configuration Manager
• Edytuj skrypty z konsoli Configuration Manager (tylko w przypadku skryptów niepodpisanych)
• Oznaczanie skryptów jako zatwierdzonych lub odrzuconych w celu zwiększenia bezpieczeństwa
• Uruchamianie skryptów w kolekcjach komputerów klienckich z systemem Windows i lokalnych zarządzanych komputerach z systemem Windows. Zamiast tego skrypty nie są wdrażane niemal w czasie rzeczywistym na urządzeniach klienckich.
• Sprawdź wyniki zwrócone przez skrypt w konsoli Configuration Manager.

Wymagania wstępne

Aby używać skryptów, musisz być członkiem odpowiedniej roli zabezpieczeń programu Configuration Manager.

• Aby importować i tworzyć skrypty — Twoje konto musi mieć uprawnienia Do tworzeniaskryptów programu SMS w roli zabezpieczeń Pełna administrator .
• Aby zatwierdzić lub odmówić skryptów — Twoje konto musi mieć uprawnienia Zatwierdzanieskryptów programu SMS w roli zabezpieczeń Pełna administrator .
• Aby uruchamiać skrypty — Twoje konto musi mieć uprawnienia Uruchamianie skryptu dla kolekcji w roli zabezpieczeń Menedżer ustawień zgodności .

Aby uzyskać więcej informacji na temat Configuration Manager ról zabezpieczeń, zobacz Podstawy administracji opartej na rolach.

Domyślnie użytkownicy nie mogą zatwierdzić utworzonego skryptu. Ponieważ skrypty są zaawansowane, wszechstronne i można je wdrażać na wielu urządzeniach, wprowadziliśmy nową koncepcję umożliwiającą oddzielenie ról między osobą, która tworzy skrypt, a osobą, która zatwierdza skrypt. Zapewnia to dodatkowy poziom zabezpieczeń przed uruchamianiem skryptu bez nadzoru. Możesz wyłączyć to zatwierdzenie pomocnicze, aby ułatwić testowanie, szczególnie w wersji Technical Preview.

Aby umożliwić użytkownikom zatwierdzanie własnych skryptów:

1. W konsoli Configuration Manager kliknij pozycję Administracja.
2. W obszarze roboczym Administracja rozwiń węzeł Konfiguracja lokacji, a następnie kliknij pozycję Lokacje.
3. Na liście witryn wybierz witrynę, a następnie na karcie Narzędzia główne w grupie Lokacje kliknij pozycję Ustawienia hierarchii.
4. Na karcie Ogólne okna dialogowego Właściwości ustawień hierarchii wyczyść pole wyboru Nie zezwalaj autorom skryptów na zatwierdzanie własnych skryptów.

Wypróbuj to!

Importowanie i edytowanie skryptu

1. W konsoli Configuration Manager kliknij pozycję Biblioteka oprogramowania.
2. W obszarze roboczym Biblioteka oprogramowania kliknij pozycję Skrypty.
3. Na karcie Narzędzia główne w grupie Tworzenie kliknij pozycję Utwórz skrypt.
4. Na stronie Skrypt kreatora tworzenia skryptu skonfiguruj następujące elementy:
   • Nazwa skryptu — wprowadź nazwę skryptu. Mimo że można utworzyć wiele skryptów o tej samej nazwie, utrudni to znalezienie skryptu potrzebnego w konsoli Configuration Manager.
   • Język skryptów — obecnie obsługiwane są tylko skrypty programu PowerShell .
   • Importowanie — importowanie skryptu programu PowerShell do konsoli programu PowerShell. Skrypt jest wyświetlany w polu Skrypt .
   • Wyczyść — usuwa bieżący skrypt z pola Skrypt .
   • Skrypt — wyświetla obecnie zaimportowany skrypt. W razie potrzeby możesz edytować skrypt w tym polu.
5. Zakończ pracę kreatora. Nowy skrypt jest wyświetlany na liście Skrypt ze stanem Oczekiwanie na zatwierdzenie. Przed uruchomieniem tego skryptu na urządzeniach klienckich należy go zatwierdzić.

Zatwierdzanie lub odrzucanie skryptu

Przed uruchomieniem skryptu należy go zatwierdzić. Aby zatwierdzić skrypt:

1. W konsoli Configuration Manager kliknij pozycję Biblioteka oprogramowania.
2. W obszarze roboczym Biblioteka oprogramowania kliknij pozycję Skrypty.
3. Na liście Skrypt wybierz skrypt, który chcesz zatwierdzić lub odmówić, a następnie na karcie Narzędzia główne w grupie Skrypt kliknij pozycję Zatwierdź/Odmów.
4. W oknie dialogowym Zatwierdzanie lub odrzucanie skryptuzatwierdź lub odmów skryptu i opcjonalnie wprowadź komentarz dotyczący decyzji. Jeśli odmówisz skryptu, nie można go uruchomić na urządzeniach klienckich.
5. Zakończ pracę kreatora. Na liście Skrypt zostanie wyświetlona zmiana kolumny Stan zatwierdzenia w zależności od wykonywanej akcji.

Uruchom skrypt

Po zatwierdzeniu skryptu można go uruchomić względem wybranej kolekcji.

1. W konsoli Configuration Manager kliknij pozycję Zasoby i zgodność.
2. W obszarze roboczym Zasoby i zgodność kliknij pozycję Kolekcje urządzeń.
3. Na liście Kolekcje urządzeń kliknij kolekcję urządzeń, na których chcesz uruchomić skrypt.
4. Na karcie Narzędzia główne w grupie Wszystkie systemy kliknij pozycję Uruchom skrypt.
5. Na stronie Skrypt kreatora Uruchamianie skryptu wybierz skrypt z listy. Wyświetlane są tylko zatwierdzone skrypty. Kliknij przycisk Dalej, a następnie ukończ pracę kreatora.

Monitorowanie skryptu

Po uruchomieniu skryptu na urządzeniach klienckich użyj tej procedury, aby monitorować powodzenie operacji.

1. W konsoli Configuration Manager kliknij pozycję Monitorowanie.
2. W obszarze roboczym Monitorowanie kliknij pozycję Wyniki skryptu.
3. Na liście Wyniki skryptu wyświetlasz wyniki dla każdego skryptu uruchomionego na urządzeniach klienckich. Kod zakończenia skryptu 0 zazwyczaj wskazuje, że skrypt został uruchomiony pomyślnie.

Obsługa rozruchu sieciowego środowiska PXE dla protokołu IPv6

Teraz możesz włączyć obsługę rozruchu sieciowego środowiska PXE dla protokołu IPv6, aby rozpocząć wdrażanie systemu operacyjnego sekwencji zadań. W przypadku korzystania z tego ustawienia punkty dystrybucji z obsługą środowiska PXE będą obsługiwać zarówno protokół IPv4, jak i IPv6. Ta opcja nie wymaga usług WDS i zatrzyma usługę WDS, jeśli jest obecna.

Aby włączyć obsługę rozruchu środowiska PXE dla protokołu IPv6

Użyj poniższej procedury, aby włączyć opcję obsługi protokołu IPv6 dla środowiska PXE.

1. W konsoli Configuration Manager przejdź do pozycji Administracja>— przegląd>punktów dystrybucji, a następnie kliknij pozycję Właściwości dla punktów dystrybucji z obsługą środowiska PXE.
2. Na karcie PXE wybierz pozycję Obsługa protokołu IPv6 , aby włączyć obsługę protokołu IPv6 dla środowiska PXE.

Zarządzanie aktualizacjami sterowników urządzenia Microsoft Surface

Teraz możesz użyć Configuration Manager do zarządzania aktualizacjami sterowników Microsoft Surface.

Wymagania wstępne

Wszystkie punkty aktualizacji oprogramowania muszą działać Windows Server 2016.

Wypróbuj to!

Spróbuj wykonać następujące zadania, a następnie wyślij nam opinię z karty Narzędzia główne wstążki, aby poinformować nas, jak to działa:

1. Włącz synchronizację sterowników Microsoft Surface. Użyj procedury w temacie Konfigurowanie klasyfikacji i produktów , a następnie wybierz pozycję Dołącz sterowniki Microsoft Surface i aktualizacje oprogramowania układowego na karcie Klasyfikacje , aby włączyć sterowniki Surface.
2. Zsynchronizuj sterowniki microsoft surface.
3. Wdrażanie zsynchronizowanych sterowników urządzenia Microsoft Surface

Konfigurowanie zasad odroczenia Windows Update dla firm

Teraz można skonfigurować zasady odroczenia dla Windows 10 Aktualizacje funkcji lub Aktualizacje jakości dla urządzeń Windows 10 zarządzanych bezpośrednio przez Windows Update dla firm. Zasady odroczenia można zarządzać w nowym węźle Windows Update for Business Policies w obszarze Biblioteka> oprogramowania Windows 10 Obsługa.

Wymagania wstępne

Windows 10 urządzenia zarządzane przez Windows Update dla firm muszą mieć łączność z Internetem.

Aby utworzyć zasady odroczenia Windows Update dla firm

1. W bibliotece> oprogramowania Windows 10 obsługa>Windows Update dla zasad biznesowych
2. Na karcie Narzędzia główne w grupie Tworzenie wybierz pozycję Utwórz Windows Update dla zasad biznesowych, aby otworzyć Kreatora tworzenia Windows Update dla zasad biznesowych.
3. Na stronie Ogólne podaj nazwę i opis zasad.
4. Na stronie Zasady odroczenia skonfiguruj, czy należy odroczyć lub wstrzymać Aktualizacje funkcji.
   Aktualizacje funkcji są ogólnie nowymi funkcjami systemu Windows. Po skonfigurowaniu ustawienia poziomu gotowości gałęzi możesz określić, czy i na jak długo chcesz odroczyć otrzymywanie funkcji Aktualizacje zgodnie z ich dostępnością od firmy Microsoft.
   • Poziom gotowości gałęzi: ustaw gałąź, dla której urządzenie będzie otrzymywać aktualizacje systemu Windows (Current Branch lub Current Branch for Business).
   • Okres odroczenia (dni): określ liczbę dni, dla których funkcja Aktualizacje zostanie odroczona. Możesz odroczyć otrzymywanie tych Aktualizacje funkcji na okres 180 dni od ich wydania.
   • Wstrzymywanie funkcji Aktualizacje uruchamiania: wybierz, czy wstrzymać urządzenia z otrzymywania Aktualizacje funkcji na okres do 60 dni od momentu wstrzymania aktualizacji. Po upływie maksymalnej liczby dni funkcja wstrzymania automatycznie wygaśnie, a urządzenie przeskanuje system Windows Aktualizacje w poszukiwaniu odpowiednich aktualizacji. Po wykonaniu tego skanowania możesz ponownie wstrzymać aktualizacje. Możesz usunąć Aktualizacje funkcji, wyczyszczając pole wyboru.
5. Określ, czy należy odroczyć, czy wstrzymać Aktualizacje jakości.
   Aktualizacje jakości są ogólnie poprawkami i ulepszeniami istniejących funkcji systemu Windows i są zazwyczaj publikowane w pierwszy wtorek każdego miesiąca, ale mogą być wydawane w dowolnym momencie przez firmę Microsoft. Możesz określić, czy i na jak długo chcesz odroczyć otrzymywanie Aktualizacje jakości zgodnie z ich dostępnością.
   • Okres odroczenia (dni): określ liczbę dni, dla których funkcja Aktualizacje zostanie odroczona. Możesz odroczyć otrzymywanie tych Aktualizacje funkcji na okres 180 dni od ich wydania.
   • Wstrzymywanie Aktualizacje jakości począwszy od: wybierz, czy wstrzymać urządzenia z otrzymywania Aktualizacje jakości na okres do 35 dni od momentu wstrzymania aktualizacji. Po upływie maksymalnej liczby dni funkcja wstrzymania automatycznie wygaśnie, a urządzenie przeskanuje system Windows Aktualizacje w poszukiwaniu odpowiednich aktualizacji. Po wykonaniu tego skanowania możesz ponownie wstrzymać aktualizacje. Możesz usunąć Aktualizacje jakości, wyczyszczając pole wyboru.
6. Wybierz pozycję Zainstaluj aktualizacje z innych produktów firmy Microsoft, aby włączyć ustawienie zasad grupy, które powoduje, że ustawienia odroczenia mają zastosowanie do usługi Microsoft Update, a także systemu Windows Aktualizacje.
7. Wybierz pozycję Dołącz sterowniki z Windows Update, aby automatycznie aktualizować sterowniki z systemu Windows Aktualizacje. Jeśli to ustawienie zostanie wyczyszczone, aktualizacje sterowników nie zostaną pobrane z systemu Windows Aktualizacje.
8. Ukończ pracę kreatora, aby utworzyć nowe zasady odroczenia.

Aby wdrożyć zasady odroczenia Windows Update for Business

1. W bibliotece> oprogramowania Windows 10 obsługa>Windows Update dla zasad biznesowych
2. Na karcie Narzędzia główne w grupie Wdrażanie wybierz pozycję Wdróż Windows Update dla zasad biznesowych.
3. Skonfiguruj następujące ustawienia:
   • Zasady konfiguracji do wdrożenia: wybierz zasady Windows Update dla firm, które chcesz wdrożyć.
   • Kolekcja: kliknij przycisk Przeglądaj , aby wybrać kolekcję, w której chcesz wdrożyć zasady.
   • Koryguj niezgodne reguły, gdy są obsługiwane: wybierz opcję automatycznego korygowania wszelkich reguł niezgodnych z instrumentacją zarządzania windows (WMI), rejestru, skryptów i wszystkich ustawień dla urządzeń przenośnych zarejestrowanych przez Configuration Manager.
   • Zezwalaj na korygowanie poza oknem konserwacji: jeśli dla kolekcji, w której wdrażasz zasady, skonfigurowano okno obsługi, włącz tę opcję, aby umożliwić ustawieniem zgodności korygowanie wartości poza oknem konserwacji. Aby uzyskać więcej informacji na temat okien obsługi, zobacz Jak używać okien obsługi.
   • Generowanie alertu: konfiguruje alert, który jest generowany, jeśli zgodność punktu odniesienia konfiguracji jest mniejsza niż określona wartość procentowa według określonej daty i godziny. Możesz również określić, czy chcesz wysłać alert do programu System Center Operations Manager.
   • Losowe opóźnienie (godziny): określa okno opóźnienia, aby uniknąć nadmiernego przetwarzania w usłudze rejestracji urządzeń sieciowych. Wartość domyślna to 64 godziny.
   • Harmonogram: określ harmonogram oceny zgodności, według którego wdrożony profil jest oceniany na komputerach klienckich. Harmonogram może być prostym lub niestandardowym harmonogramem. Profil jest oceniany przez komputery klienckie, gdy użytkownik się loguje.
4. Ukończ pracę kreatora, aby wdrożyć profil.

Obsługa urzędów certyfikacji Entrust

Configuration Manager obsługuje teraz urząd certyfikacji Entrust. Umożliwia to dostarczanie certyfikatów PFX do urządzeń zarejestrowanych w Microsoft Intune.

Podczas dodawania roli punktu rejestracji certyfikatów w Configuration Manager można skonfigurować funkcję Entrust jako urząd certyfikacji. Podczas dodawania nowego profilu certyfikatu, który wystawia certyfikaty PFX, możesz wybrać urząd certyfikacji Microsoft lub Entrust.

Znany problem: W wersji zapoznawczej 1706 technical preview certyfikaty PFX nie są wystawiane dla urzędów certyfikacji firmy Microsoft. Nie ma to wpływu na zaimportowane certyfikaty PFX ani profile SCEP.

Obsługa aplikacji Cisco (IPsec) dla profilów sieci VPN systemu iOS

Jako typ połączenia można utworzyć profil sieci VPN systemu iOS z aplikacją Cisco (IPsec). Aby uzyskać więcej informacji, zobacz Tworzenie profilów sieci VPN.

Nowe ustawienia elementu konfiguracji systemu Windows

W tej wersji dodaliśmy następujące nowe ustawienia, których można użyć w elementach konfiguracji systemu Windows:

Password (hasło)

• Szyfrowanie urządzenia

Urządzenie

• Modyfikowanie ustawień regionu (tylko komputery)
• Modyfikowanie ustawień zasilania i uśpienia
• Modyfikowanie ustawień języka
• Modyfikacja czasu systemu
• Modyfikowanie nazwy urządzenia

Sklep

• Automatyczne aktualizowanie aplikacji ze sklepu
• Używanie tylko magazynu prywatnego
• Uruchamianie aplikacji pochodzącej ze sklepu

Microsoft Edge

• Blokuj dostęp do elementu about:flags
• Przesłonięcia monitu smartscreen
• Przesłonięcia monitu smartscreen dla plików
• Adres IP hosta lokalnego webRTC
• Domyślna wyszukiwarka
• OpenSearch XML URL
• Strony główne (tylko komputery)

Aby uzyskać więcej informacji na temat ustawień zgodności, zobacz Zapewnianie zgodności urządzeń.

Nowe reguły zasad zgodności urządzeń

• Wymagany typ hasła. Określ, czy użytkownik musi utworzyć hasło alfanumeryczne, czy hasło liczbowe. W przypadku haseł alfanumerycznych należy również określić minimalną liczbę zestawów znaków, które musi zawierać hasło. Cztery zestawy znaków to: małe litery, wielkie litery, symbole i cyfry.

  Obsługiwane w:

  • Windows Phone 8+
  • Windows 8.1+
  • iOS 6+
    
    

• Blokuj debugowanie USB na urządzeniu. Nie trzeba konfigurować tych ustawień, ponieważ debugowanie USB jest już wyłączone na urządzeniach z programem Android for Work.

  Obsługiwane w:

  • Android 4.0+
  • Samsung KNOX Standard 4.0+
    
    

• Blokuj aplikacje z nieznanych źródeł. Wymagaj, aby urządzenia uniemożliwiać instalację aplikacji z nieznanych źródeł. Nie trzeba konfigurować tego ustawienia, ponieważ urządzenia z programem Android for Work zawsze ograniczają instalację z nieznanych źródeł.

  Obsługiwane w:

  • Android 4.0+
  • Samsung KNOX Standard 4.0+
    
    

• Wymagaj skanowania pod kątem zagrożeń w aplikacjach. To ustawienie określa, że funkcja Weryfikowanie aplikacji jest włączona na urządzeniu.

  Obsługiwane w:

  • Android od 4.2 do 4.4
  • Samsung KNOX Standard 4.0+

Nowe ustawienia zasad zarządzania aplikacjami mobilnymi

Począwszy od tej wersji, można użyć trzech nowych ustawień zasad zarządzania aplikacjami mobilnymi (MAM):

• Blokuj przechwytywanie ekranu (tylko urządzenia z systemem Android): Określa, że możliwości przechwytywania ekranu urządzenia są blokowane podczas korzystania z tej aplikacji.

• Wyłącz synchronizację kontaktów: Uniemożliwia aplikacji zapisywanie danych w natywnej aplikacji Kontakty na urządzeniu.

• Wyłącz drukowanie: Uniemożliwia aplikacji drukowanie danych służbowych.

Ograniczenia rejestracji w systemach Android i iOS

Począwszy od tej wersji, administratorzy mogą teraz określić, że użytkownicy nie mogą rejestrować osobistych urządzeń z systemem Android lub iOS w środowisku hybrydowym. Pozwala to ograniczyć zarejestrowane urządzenia do urządzeń wstępnie zadeklarowanych, należących do firmy lub urządzeń z systemem iOS zarejestrowanych tylko w programie Device Enrollment Program.

Wypróbuj to

1. W konsoli Configuration Manager w obszarze roboczym Administracja przejdź do Cloud Services>Microsoft Intune Subskrypcja.
2. Na karcie Narzędzia główne w grupie Subskrypcja wybierz pozycję Konfiguruj platformy , a następnie wybierz pozycję Android lub iOS.
3. Wybierz pozycję Blokuj urządzenia osobiste.

Zasady zarządzania aplikacjami systemu Android for Work na potrzeby kopiowania i wklejania

Zaktualizowaliśmy opisy ustawień dla elementów konfiguracji programu Android for Work dla profilu Zezwalaj na udostępnianie danych między profilem służbowym i osobistym.

Przed 1706 Technical Preview	Nowa nazwa opcji	Zachowanie
Zapobieganie udostępnianiu poza granicami	Domyślne ograniczenia udostępniania	Praca z osobami osobistymi: wartość domyślna (oczekuje się, że zostanie zablokowana we wszystkich wersjach) Osobiste do pracy: wartość domyślna (dozwolona w wersji 6.x+, zablokowana w wersji 5.x)
Brak ograniczeń	Aplikacje w profilu osobistym mogą obsługiwać żądania udostępniania z profilu służbowego	Praca z osobami osobistymi: dozwolone Osobiste do pracy: dozwolone
Aplikacje w profilu służbowym mogą obsługiwać żądania udostępniania z profilu osobistego	Aplikacje w profilu służbowym mogą obsługiwać żądania udostępniania z profilu osobistego	Praca z osobami osobistymi: ustawienie domyślne Osobiste do pracy: dozwolone (Przydaje się tylko w wersji 5.x, w której jest zablokowany dostęp osobisty do pracy)

Żadna z tych opcji bezpośrednio nie uniemożliwia zachowania kopiowania i wklejania. W wersji 1704 dodaliśmy ustawienie niestandardowe do usługi i aplikacji Portal firmy, które można skonfigurować tak, aby zapobiegać kopiowaniu i wklejaniu. Można to ustawić za pomocą niestandardowego identyfikatora URI.

• OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
• Typ wartości: wartość logiczna

Ustawienie wartości DisallowCrossProfileCopyPaste na wartość true uniemożliwia zachowanie kopiowania i wklejania między profilami osobistymi i służbowymi programu Android for Work.

Wypróbuj to

1. W konsoli Configuration Manager wybierz pozycję Elementy konfiguracji Zasoby i Przegląd> zgodności >Ustawienia> zgodności.
2. Wybierz pozycję Utwórz , aby utworzyć nowy element konfiguracji, a następnie określ pozycję Nazwa i Android for Work.
3. W grupach ustawień urządzenia do skonfigurowania wybierz pozycję Profil służbowy, a następnie wybierz pozycję Dalej.
4. Wybierz wartość Zezwalaj na udostępnianie danych między profilami służbowymi i osobistymi, a następnie ukończ pracę kreatora.

Ocena zaświadczania o kondycji urządzenia dla zasad zgodności dla dostępu warunkowego

Począwszy od tej wersji, możesz użyć stanu zaświadczania o kondycji urządzenia jako reguły zasad zgodności dla dostępu warunkowego do zasobów firmy.

Wypróbuj to

Wybierz regułę zaświadczania o kondycji urządzenia w ramach oceny zasad zgodności.