Capacidades na Pré-visualização Técnica 1706 para Gestor de Configuração
Aplica-se a: Gestor de Configuração (ramo de pré-visualização técnica)
Este artigo introduz as funcionalidades disponíveis na Pré-visualização Técnica para Gestor de Configuração, versão 1706. Pode instalar esta versão para atualizar e adicionar novas capacidades ao seu site de pré-visualização técnica do Gestor de Configuração. Antes de instalar esta versão da pré-visualização técnica, reveja a Pré-visualização Técnica do Gestor de Configuração para se familiarizar com os requisitos gerais e limitações para a utilização de uma pré-visualização técnica, como atualizar entre versões e como fornecer feedback sobre as funcionalidades numa pré-visualização técnica.
Questões conhecidas nesta Pré-visualização Técnica:
Ponto de distribuição de movimento - As opções na consola para mover um ponto de distribuição entre os sites não podem ser utilizadas com esta versão devido ao limite técnico de pré-visualização de um único local primário.
Definições de conformidade do dispositivo - Pode experimentar um comportamento oposto ao utilizar as duas definições de conformidade do novo dispositivo:
Bloqueio USB depurando no dispositivo
Bloqueie aplicativos de fontes desconhecidas
Por exemplo, se os administradores definirem o bloco USB depurando o dispositivo para o caso verdadeiro, todos os dispositivos que não possuam depuragem USB ativados são marcados como incompatíveis.
Seguem-se novas funcionalidades que pode experimentar com esta versão.
Grupos de fronteira melhorados para pontos de atualização de software
Esta versão inclui melhorias na forma como os pontos de atualização de software funcionam com grupos de fronteira. O seguinte resume o novo comportamento de recuo:
O recuo para os pontos de atualização de software usa agora um tempo configurável para o retorno aos grupos de fronteira vizinhos, com um tempo mínimo de 120 minutos.
Independentemente da configuração do retorno, um cliente tenta alcançar o último ponto de atualização de software que utilizou durante 120 minutos. Depois de não ter chegado ao servidor durante 120 minutos, o cliente verifica então o seu conjunto de pontos de atualização de software disponíveis, para que possa encontrar um novo.
Todos os pontos de atualização de software do grupo de fronteira atual do cliente são adicionados imediatamente à piscina do cliente.
Como um cliente tenta usar o seu servidor original durante 120 minutos antes de procurar um novo, nenhum servidor adicional é contactado até depois de duas horas decorridos.
Se o retorno a um grupo vizinho for configurado para o mínimo de 120 minutos, os pontos de atualização de software desse grupo de fronteira vizinhos farão parte do conjunto de servidores disponíveis do cliente.
Depois de não ter atingido o seu servidor original durante duas horas, o cliente muda para um ciclo mais curto para contactar um novo ponto de atualização de software.
Isto significa que se um cliente não conseguir ligar-se a um novo servidor, seleciona rapidamente o próximo servidor a partir do seu pool de servidores disponíveis e tenta entrar em contacto com esse.
- Este ciclo continua até que o cliente se conecte a um ponto de atualização de software que pode utilizar.
- Até que o cliente encontre um ponto de atualização de software, os servidores adicionais são adicionados ao pool de servidores disponíveis quando o tempo de retorno para cada grupo de fronteira vizinho é cumprido.
Para obter mais informações, consulte os pontos de atualização do software no tópico Grupos de Fronteira para o Ramo Atual.
Função do servidor do site alta disponibilidade
Alta disponibilidade para a função do servidor do site é uma solução baseada em Gestor de Configuração para instalar um servidor de site primário adicional no modo Passivo. O servidor do site de modo passivo é além do servidor do site primário existente que está no modo Ativo. Um servidor de site de modo passivo está disponível para uso imediato, quando necessário.
Um servidor de site primário em modo passivo:
- Utiliza a mesma base de dados do site que o servidor do site ativo.
- Recebe uma cópia da biblioteca de conteúdos dos servidores do site ativo, que é então mantida em sincronização.
- Não escreve dados para a base de dados do site desde que esteja em modo passivo.
- Não suporta a instalação ou remoção de funções opcionais do sistema do local desde que esteja em modo passivo.
Para tornar o servidor do site do modo passivo o seu servidor de site de modo ativo, promove-o manualmente. Isto muda o servidor do site ativo para ser o servidor do site passivo. As funções do sistema de site que estão disponíveis no servidor de modo ativo original permanecem disponíveis enquanto o computador estiver acessível. Apenas a função do servidor do site é comutado entre o modo ativo e o modo passivo.
Para instalar um servidor de site de modo passivo, utilize o Assistente do Servidor do Sistema de Criação para configurar um novo servidor de site com um tipo de servidor de site primário e um modo de passivo. Em seguida, o assistente executa a Configuração do Gestor de Configuração no servidor especificado para instalar o novo servidor do site em modo passivo. Após a instalação estar concluída, o servidor do site do modo ativo mantém o servidor do site do modo passivo e a sua biblioteca de conteúdos sincronizado com alterações ou configurações que faz para o servidor do site ativo.
Pré-requisitos e limitações
Um único servidor de site em modo passivo é suportado em cada site primário.
O servidor do site em modo passivo pode estar no local ou baseado em nuvem em Azure.
Tanto o modo ativo como os servidores do site de modo passivo devem estar no mesmo domínio.
Tanto o modo ativo como os servidores do site de modo passivo devem utilizar a mesma base de dados do site, que deve ser afastada dos computadores de cada servidor do site.
O SQL Server que acolhe a base de dados pode usar uma instância padrão, caso nomeado, SQL Server Sempre Em caso de cluster de failover, ou um grupo de disponibilidade.
O servidor do site em modo passivo está configurado para utilizar a mesma base de dados do site que o servidor do site do modo ativo. No entanto, o servidor do site do modo passivo só utiliza essa base de dados depois de ser promovida para o modo ativo.
O computador que irá executar o servidor do site do modo passivo:
Deve cumprir os pré-requisitos para a instalação de um local primário.
Instala-se utilizando ficheiros de origem que correspondem à versão do servidor do site do modo ativo.
Não é possível ter uma função do sistema de site de qualquer site antes de instalar o site do modo passivo.
Os computadores do servidor de site de modo ativo e passivo podem executar diferentes sistemas operativos ou versões de pacote de serviço, desde que ambos permaneçam suportados pela sua versão do Gestor de Configuração.
A promoção do servidor do site do modo passivo para o servidor de modo ativo é manual. Não há falha automática.
As funções do sistema do site só podem ser instaladas no servidor do site que se encontra em modo ativo.
Um servidor de site em modo ativo suporta todas as funções do sistema do site. Não é possível instalar as funções do sistema de sítios no servidor quando esta se encontra em modo passivo.
As funções do sistema de sítios que utilizam uma base de dados (como o ponto de reporte) devem ter essa base de dados num servidor que esteja afastado tanto do modo ativo como dos servidores do site do modo passivo.
O SMS_Provider não instala no servidor do site em modo passivo. Uma vez que tem de se ligar a um SMS_Provider para que o site promova manualmente o servidor do site do modo passivo para o modo ativo, recomendamos a instalação de pelo menos uma instância adicional do fornecedor num computador adicional.
Edição conhecida:
Com esta versão, o Estado para as seguintes condições aparece na consola como valores numéricos em vez de texto legível:
- 131071 – A instalação do servidor do site falhou
- 720895 – Falha na desinstalação da função do servidor do site
- 851967 - Falha falhou
Adicione um servidor de site em modo passivo
Na consola aceda aos Locais de Configuração do Site da Administração > > e inicie o Assistente de Funções do Sistema de AdicionarSite . Também pode utilizar o Assistente do Servidor do Sistema de Criação.
Na página Geral, especifique o servidor que irá hospedar o servidor do site do modo passivo. O servidor que especifica não pode hospedar quaisquer funções do sistema de site antes de instalar um servidor de site em modo passivo.
Na página 'Seleção de Funções do Sistema', selecione apenas o servidor do site principal em modo passivo.
Para completar o assistente, tem de fornecer as seguintes informações utilizadas para executar a Configuração e instalar a função do servidor do site no servidor especificado:
Opte por copiar ficheiros de instalação do servidor do site ativo para o novo servidor do site do modo passivo ou especificar um caminho para uma localização que contenha o conteúdo da pasta CD.Mais recente do servidor do site ativo.
Especifique o mesmo servidor de base de dados do site e o nome da base de dados utilizado pelo servidor do site do modo ativo.
O Gestor de Configuração instala então o servidor do site em modo passivo no servidor especificado.
Para obter um estado de instalação detalhado, aceda aos > Locais de Configuração do Site > da Administração .
O estado do servidor do site em modo passivo apresenta-se como Instalação.
Selecione o servidor e, em seguida, clique em 'Mostrar Estado' para abrir o Estado de instalação do servidor do site para obter informações mais detalhadas.
Promover o servidor do site do modo passivo para o modo ativo
Quando pretende alterar o servidor do site do modo passivo para o modo ativo, fá-lo a partir do painel de nós nos Sítios de Configuração do Site da > Administração > . Desde que possa aceder a uma instância do SMS_Provider, pode aceder ao site para fazer esta alteração.
No painel de nós da consola 'Gestor de Configuração', selecione o servidor do site em modo passivo e, em seguida, a partir da Fita, escolha Promover para ativo.
O estado simples do servidor que está a promover é o painel de exibições no painel de nodes como Promoção.
Após a promoção estar concluída, a coluna Status mostra OK tanto para o novo servidor do site do modo Ativo como para o novo servidor do site do modo Passivo.
Nos Sites de Configuração do Site da Administração, > > o nome do servidor do site primário apresenta agora o nome do novo servidor do site do modo Ativo. Para obter um estado detalhado, aceda ao estado do servidor do site de > monitorização.
A coluna Modo identifica qual o servidor ativo ou passivo.
Ao promover um servidor do modo passivo para o modo ativo, selecione o servidor de site que está a promover para ativo e, em seguida, escolha o Estado de Exibição da fita. Isto abre a janela do Estado de Promoção do Servidor do Site que apresenta detalhes adicionais sobre o processo.
Quando um servidor de site em modo ativo muda para o modo passivo, apenas a função do sistema do site é tornada passiva. Todas as outras funções do sistema de site que são instaladas nesse computador permanecem ativas e acessíveis aos clientes.
Monitorização diária
Quando tiver um site primário em modo passivo, monitorize-o diariamente para garantir que permanece sincronizado com o servidor do site do modo ativo e pronto a ser utilizado. Para tal, aceda ao > estado do servidor do site de monitorização. Aqui pode visualizar tanto o modo ativo como os servidores do site de modo passivo.
O separador Resumo:
- A coluna Modo identifica qual o servidor ativo ou passivo.
- A coluna Status lista OK quando o servidor de modo passivo está sincronizado com o servidor de modo ativo.
- Para ver detalhes adicionais sobre o estado da sincronização de conteúdos, clique no estado do Show a partir do Estado de Sincronização de Conteúdos. Isto abre o separador Content Library onde pode tentar corrigir problemas de sincronização de conteúdos.
O separador Content Library:
- Consulte o Estado para obter conteúdo sincronizado do servidor do site ativo para o servidor do site de modo passivo.
- Pode selecionar conteúdo com um Estado de Falha e, em seguida, escolher itens selecionados sync da Fita. Esta ação tenta ressincronizar esse conteúdo desde a fonte do conteúdo até ao servidor do site do modo passivo. Durante a recuperação, o Estado apresenta como em curso, e quando está em sincronização, apresenta-se como Sucesso.
Experimente!
Tente completar as seguintes tarefas e, em seguida, envie-nos feedback a partir do separador Home da Fita para nos informar como funcionava:
- Posso instalar um local primário em modo passivo.
- Posso usar a consola para promover o servidor do site do modo passivo para torná-lo o servidor do site do modo ativo e confirmar a mudança de estado para ambos os servidores do site.
Incluir confiança para ficheiros e pastas específicos numa política de Proteção de Dispositivos
Nesta versão, adicionámos mais capacidades à gestão da política da Device Guard
Pode agora adicionar opcionalmente confiança para ficheiros específicos para pastas numa política de Proteção de Dispositivos. Isto permite-lhe:
- Superar problemas com comportamentos de instalação geridos
- Aplicações de linha de negócios fidedindo que não podem ser implementadas com Gestor de Configuração
- Aplicações fidediárias que estão incluídas numa imagem de implementação do sistema operativo.
Experimente!
- Enquanto estiver a criar uma política de Proteção de Dispositivos, no separador Inclusão do assistente de política Create Device Guard, clique em Adicionar.
- Na caixa de diálogo 'Adicionar Ficheiro Fidedigdo' ou "Pasta", especifique as informações sobre o ficheiro ou pasta em que pretende confiar. Pode especificar um ficheiro local ou um caminho de pasta ou ligar-se a um dispositivo remoto ao qual tem permissão para ligar e especificar um ficheiro ou caminho de pasta nesse dispositivo.
- Conclua o assistente.
Ocultar o progresso da sequência de tarefas
Nesta versão, pode controlar quando a sequência de tarefas é apresentada para os utilizadores finais utilizando uma nova variável. Na sua sequência de tarefa, utilize o passo variável de sequência de tarefa definida para definir o valor da variável TSDisableProgressUI para ocultar ou exibir o progresso da sequência de tarefas. Pode utilizar o passo variável da sequência de tarefas várias vezes numa sequência de tarefa para alterar o valor da variável. Isto permite ocultar ou exibir o progresso da sequência de tarefas em diferentes secções da sequência de tarefas.
Para ocultar o progresso da sequência de tarefas
No editor de sequência de tarefas, utilize o passo variável de sequência de tarefas para definir o valor da variável TSDisableProgressUI para True para ocultar o progresso da sequência de tarefas.
Para mostrar o progresso da sequência de tarefas
No editor de sequência de tarefas, utilize o passo variável de sequência de tarefas para definir o valor da variável TSDisableProgressUI para Falso para exibir o progresso da sequência de tarefas.
Especifique uma localização de conteúdo diferente para instalar conteúdo e desinstalar conteúdo
Hoje em Configuração Manager, especifica a localização de instalação que contém os ficheiros de configuração de uma aplicação. Quando especificar uma localização de instalação, esta também é usada como o local de desinstalação para o conteúdo da aplicação. Com base no seu feedback, quando pretende desinstalar uma aplicação implementada, e o conteúdo da aplicação não estiver no computador cliente, então o cliente irá descarregar todos os ficheiros de configuração da aplicação novamente antes de a aplicação ser desinstalada. Para resolver este problema, pode agora especificar tanto a localização do conteúdo de instalação como uma localização opcional de desinstalar o conteúdo. Além disso, pode optar por não especificar uma localização de conteúdo desinstalar.
Experimente!
- Nas propriedades do tipo de implementação de uma aplicação, clique no separador Conteúdo.
- Configure a localização do conteúdo da Instalação normalmente.
- Para desinstalar as definições de conteúdo, escolha uma das seguintes:
- O mesmo que instalar conteúdo - A mesma localização do conteúdo será utilizada independentemente de estar a instalar ou desinstalar a aplicação.
- Sem desinstalar conteúdo - Escolha isto se não quiser fornecer uma localização de conteúdo desinstalar para a aplicação.
- Diferente de instalar conteúdo - Escolha isto se pretende especificar uma localização de conteúdo desinstalar diferente da localização do conteúdo de instalação.
- Se selecionou Diferente de instalar conteúdo, navegue para ou introduza a localização do conteúdo da aplicação que será utilizado para desinstalar a aplicação.
- Clique em OK para fechar a caixa de diálogo do tipo de implementação.
Melhorias de acessibilidade
Esta pré-visualização introduz várias melhorias nas funcionalidades de acessibilidade na consola Do Gestor de Configuração. Incluem-se:
Novos atalhos de teclado para se mover em torno da consola:
- Ctrl + M - Define o foco no painel principal (central).
- Ctrl + T - Define o foco no nó superior no painel de navegação. Se o foco já estava nesse painel, o foco está definido para o último nó que visitou.
- Ctrl + I - Define o foco para a barra de migalhas de pão, abaixo da fita.
- Ctrl + L - Define o foco no campo Procurar, quando disponível.
- Ctrl + D - Define o foco para o painel de detalhes, quando disponível.
- Alt – Altera o foco dentro e fora da fita.
Melhorias gerais:
- Melhor navegação no painel de navegação quando digita as letras de um nome de nó.
- A navegação de teclado através da vista principal e a fita são agora circulares.
- A navegação de teclado no painel de detalhes é agora circular. Para voltar ao objeto ou painel anterior, utilize ctrl + D e, em seguida, Shift + TAB.
- Depois de refrescar uma vista do Espaço de Trabalho, o foco está definido para o painel principal desse espaço de trabalho.
- Corrigiu um problema para permitir que os leitores de ecrã anunciassem os nomes dos itens da lista.
- Adicionou nomes acessíveis para múltiplos controlos na página que permite aos leitores de ecrã anunciar informações importantes.
Alterações ao Assistente de Serviços Azure para suportar a prontidão de upgrade
A partir desta versão, utilize o Assistente de Serviços Azure para configurar uma ligação do Gestor de Configuração para a Atualização de Prontidão. A utilização do assistente simplifica a configuração do conector utilizando um assistente comum para serviços Azure relacionados.
Embora o método de configuração da ligação tenha mudado, os pré-requisitos para a ligação e como utiliza a Atualização de Prontidão permanecem inalterados.
Pré-requisitos para a preparação de upgrade
Os pré-requisitos para uma ligação à atualização de prontidão são inalterados dos detalhados para o Atual Ramo de Gestor de Configuração. São repetidos aqui por conveniência:
Pré-requisitos
- Para adicionar a ligação, o ambiente do Gestor de Configurações deve primeiro configurar um ponto de ligação de serviço num modo on-line. Quando adicionar a ligação ao seu ambiente, também instalará o Agente de Monitorização da Microsoft na máquina que executa esta função do sistema de site.
- Registar o Gestor de Configuração como uma ferramenta de gestão de "Web Application e/ou Web API" e obter o ID do cliente a partir deste registo.
- Crie uma chave de cliente para a ferramenta de gestão registada em Azure Ative Directory.
- No portal Azure, forneça à aplicação web registada permissão para aceder ao OMS.
Importante
Ao configurar a permissão para aceder ao OMS, não se esqueça de escolher a função Contribuinte e atribua-lhe permissões para o grupo de recursos da aplicação registada.
Depois de configurados os pré-requisitos, está pronto a utilizar o Assistente para criar a ligação.
Utilize o Assistente de Serviços Azure para configurar a prontidão de upgrade
Na consola, vá à Administração > Overview > Cloud Services > Azure Services, e, em seguida, escolha serviços Configure Azure a partir do separador Home da fita, para iniciar o Assistente de Serviços Azure.
Na página Serviços Azure, selecione o Conector de Preparação de Atualização e, em seguida, clique em Seguinte.
Na página da App, especifique o seu ambiente Azure (a pré-visualização técnica suporta apenas a Nuvem Pública). Em seguida, clique em Importar para abrir a janela De Aplicações de Importação.
Na janela Das Apps de Importação, especifique detalhes para uma aplicação web que já existe no seu AD AZure.
- Forneça um nome amigável para o nome do inquilino Azure AD. Em seguida, especifique o ID do Inquilino, Nome de Aplicação, ID do Cliente, chave secreta para a aplicação web Azure, e o ID URI da app.
- Clique em Verificar, e se for bem sucedido, clique em OK para continuar.
Na página configuração, especifique a subscrição, o grupo de recursos e Windows espaço de trabalho de Análise que pretende utilizar com esta ligação à Atualização de Prontidão.
Clique em seguida para ir à página Resumo e, em seguida, completar o assistente para criar a ligação.
Novas configurações de clientes para serviços na nuvem
Nesta versão, adicionámos duas novas definições de clientes ao Gestor de Configuração. Você vai encontrar isto na secção de Serviços cloud. Estas definições dão-lhe as seguintes capacidades:
- Controle quais os clientes do Gestor de Configuração que podem aceder a um portal de gestão de nuvem configurado.
- Registar automaticamente Windows 10 clientes de Configuração Manger ligados ao domínio com Azure Ative Directory.
Estas novas definições ajudam-no a realizar as capacidades descritas no Gestor de Configuração 1705 Pré-visualização Técnica.
Antes de começar
Você deve ter instalado e configurado Azure AD Ligação entre o seu Ative Directory no local e o seu inquilino AD Azure.
Se remover a ligação, os dispositivos não estão registados, mas nenhum novo dispositivo se registará.
Experimente!
- Configure as seguintes definições do cliente (encontradas na secção Cloud Services) utilizando as informações em Como configurar as definições do cliente.
- Registar automaticamente novos dispositivos de Windows 10 unidos com Azure Ative Directory – Definir para Sim (predefinição) ou Nº.
- Permitir que os clientes utilizem um gateway de gestão de nuvem – Definido para Sim (padrão), ou Não.
- Implemente as definições do cliente para a recolha necessária de dispositivos.
Para confirmar que o dispositivo está associado ao Azure AD, executar o comando dsregcmd.exe /status numa janela de aviso de comando. O campo AzureAdjoined nos resultados mostrará SIM se o dispositivo for a ad AZure.
Criar e executar scripts PowerShell a partir da consola Do Gestor de Configuração
No Gestor de Configuração, pode implementar scripts em dispositivos clientes usando pacotes e programas. Nesta pré-visualização técnica, adicionámos uma nova funcionalidade que permite tomar as seguintes ações:
- Scripts De Import PowerShell para Gestor de Configuração
- Editar os scripts da consola Do Gestor de Configuração (apenas para scripts não assinados)
- Marque scripts como Aprovados ou Negados, para melhorar a segurança
- Execute scripts em coleções de computadores Windows clientes, e no local geridos Windows computadores. Em vez disso, não se implantam scripts, são executados em tempo real em dispositivos de clientes.
- Examine os resultados devolvidos pelo script na consola 'Gestor de Configuração'.
Pré-requisitos
Para utilizar scripts, tem de ser membro da função de segurança adequada do Gestor de Configuração.
- Para importar e escrever scripts de autor - A sua conta deve ter permissões de criação de scripts por SMS na função de segurança do Administrador Completo.
- Para aprovar, ou negar scripts - A sua conta tem de ter permissões de aprovação para scripts SMS na função de segurança do Administrador Completo.
- Para executar scripts - A sua conta deve ter permissões de Script executar para cobranças na função de segurança compliance Definições Manager.
Para obter mais informações sobre as funções de segurança do Gestor de Configuração, consulte os fundamentos da administração baseada em funções.
Por padrão, os utilizadores não podem aprovar um script que tenham sido autoriados. Uma vez que os scripts são poderosos, versáteis e podem ser implementados em muitos dispositivos, introduzimos um novo conceito de fornecer a capacidade de separar os papéis entre a pessoa que autore o script e a pessoa que aprova o script. Isto dá um nível adicional de segurança contra executar um script sem supervisão. Pode desligar esta aprovação secundária, para facilitar os testes, especialmente durante o lançamento da Pré-visualização Técnica.
Para permitir que os utilizadores aprovem os seus próprios scripts:
- Na consola do Configuration Manager, clique em Administração.
- No espaço de trabalho da Administração, expanda a configuração do site e, em seguida, clique em Sites.
- Na lista de sites, escolha o seu site e, em seguida, no separador Casa, no grupo Sites, clique em Hierarquia Definições.
- No separador Geral da Caixa de Diálogo hierarquia Definições Propriedades, limpe a caixa de verificação Não permita que os autores do guião aprovem os seus próprios scripts.
Experimente!
Importar e editar um script
- Na consola do Configuration Manager, clique em Biblioteca de Software.
- No espaço de trabalho da Biblioteca de Software, clique em Scripts.
- No separador Casa, no grupo Criar, clique em Criar Script.
- Na página de Script do assistente criar script, configurar o seguinte:
- Nome do guião - Introduza um nome para o script. Embora possa criar vários scripts com o mesmo nome, isto irá dificultar-lhe a mente encontrar o script de que necessita na consola Do Gestor de Configuração.
- Linguagem do script - Atualmente, apenas os scripts PowerShell são suportados.
- Import - Importe um script PowerShell na consola. O script é apresentado no campo Script.
- Clear - Remove o script atual do campo Script.
- Script - Exibe o script atualmente importado. Pode editar o script neste campo conforme necessário.
- Conclua o assistente. O novo script é apresentado na lista de Scripts com um estado de espera para aprovação. Antes de poder executar este script em dispositivos clientes, tem de aprová-lo.
Aprovar ou negar um guião
Antes de poder executar um guião, tem de ser aprovado. Para aprovar um roteiro:
- Na consola do Configuration Manager, clique em Biblioteca de Software.
- No espaço de trabalho da Biblioteca de Software, clique em Scripts.
- Na lista de Scripts, escolha o script que pretende aprovar ou negar e, em seguida, no separador 'Casa', no grupo Script, clique em Aprovar/Negar.
- Na caixa de diálogo de scripts Approve ou deny, Approve, or Deny the script, e opcionalmente insira um comentário sobre a sua decisão. Se negar um script, não pode ser executado em dispositivos clientes.
- Conclua o assistente. Na lista de Scripts, verás a alteração da coluna do Estado de Aprovação, dependendo da ação que tomou.
Executar um roteiro
Uma vez aprovado um guião, pode ser executado contra uma coleção que escolher.
- Na consola do Configuration Manager, clique em Ativos e Compatibilidade.
- Na área de trabalho Ativos e Compatibilidade , clique em Coleções de Dispositivos.
- Na lista de Recolhas de Dispositivos, clique na recolha de dispositivos nos quais pretende executar o script.
- No separador 'Casa', no grupo All Systems, clique em Executar Script.
- Na página do Script do assistente do Script run, escolha um script da lista. Apenas são apresentados scripts aprovados. Clique em seguida, e, em seguida, complete o assistente.
Monitorize um script
Depois de ter executado um script para dispositivos clientes, utilize este procedimento para monitorizar o sucesso da operação.
- Na consola 'Gestor de Configuração', clique em 'Monitorização'.
- No espaço de trabalho de monitorização, clique nos Resultados do Script.
- Na lista de Resultados do Script, vê os resultados de cada script que executou em dispositivos clientes. Um código de saída do script de 0, geralmente indica que o script foi corrido com sucesso.
Suporte de arranque de rede PXE para IPv6
Agora pode ativar o suporte de arranque da rede PXE para o IPv6 iniciar uma implementação do sistema operativo de sequência de tarefas. Quando utilizar esta definição, os pontos de distribuição ativados por PXE suportam o IPv4 e o IPv6. Esta opção não requer WDS e irá parar o WDS se estiver presente.
Para ativar o suporte de boot PXE para o IPv6
Utilize o seguinte procedimento para ativar a opção de suporte IPv6 para PXE.
- Na consola 'Gestor de Configuração', aceda a Pontos de Distribuição Geral da Administração > > e clique em Propriedades para pontos de distribuição ativados por PXE.
- No separador PXE, selecione Support IPv6 para ativar o suporte do IPv6 para PXE.
Gerir as atualizações do controlador do Microsoft Surface
Agora pode utilizar o Gestor de Configuração para gerir as atualizações do controlador do Microsoft Surface.
Pré-requisitos
Todos os pontos de atualização de software devem ser executados Windows Server 2016.
Experimente!
Tente completar as seguintes tarefas e, em seguida, envie-nos feedback a partir do separador Home da Fita para nos informar como funcionava:
- Ativar a sincronização para os controladores do Microsoft Surface. Utilize o procedimento na classificação e produtos configurar e selecione Inclua controladores do Microsoft Surface e atualizações de firmware no separador Classificações para ativar os controladores do Surface.
- Sincronizar os controladores do Microsoft Surface.
- Implementar controladores sincronizados do Microsoft Surface
Configurar Windows atualização para políticas de diferimento de negócios
Agora pode configurar políticas de diferimento para Windows 10 Atualizações de Recursos ou Atualizações de Qualidade para dispositivos Windows 10 geridos diretamente por Windows Atualização para Negócios. Pode gerir as políticas de diferimento no novo nó de Atualização de Windows para Políticas Empresariais na Biblioteca de Software > Windows 10 Servicing.
Pré-requisitos
Windows 10 dispositivos geridos pela Windows Update for Business devem ter conectividade com a Internet.
Criar uma atualização de Windows para a política de diferimento de negócios
- Na Biblioteca de Software Windows 10 > atualização de Windows de manutenção para políticas > empresariais
- No separador 'Casa', no grupo Criar, selecione Criar Windows Atualização para Política de Negócios para abrir a Atualização de Windows para O Assistente de Política de Negócios.
- Na página geral, forneça um nome e descrição para a apólice.
- Na página Políticas de Diferimento, configure se adiar ou interromper atualizações de recursos.
Geralmente, as Atualizações de Funcionalidades são novas funcionalidades do Windows. Depois de configurar a definição do nível de prontidão do Branch, pode então definir se, e por quanto tempo, pretende adiar a receção de Atualizações de Recursos após a sua disponibilidade da Microsoft.- Nível de prontidão do ramo: Desajuste o ramo para o qual o dispositivo receberá atualizações Windows (Filial Atual ou Sucursal Atual para Negócios).
- Período de adiamento (dias): Especifique o número de dias para os quais as Atualizações de Recursos serão adiadas. Pode diferir a receção destas Atualizações de Funcionalidades durante um período máximo de 180 dias após o seu lançamento.
- Pausa Características Atualizações a partir de início : Selecione se suspender os dispositivos de receber atualizações de funcionalidades por um período de até 60 dias a partir do momento em que interromper as atualizações. Após ter decorrido o número máximo de dias, a funcionalidade de pausa irá automaticamente expirar e o dispositivo irá procurar atualizações aplicáveis nas Atualizações do Windows. Após esta procura, pode colocar as atualizações em pausa novamente. Pode desapasar as atualizações de funcionalidades limpando a caixa de verificação.
- Escolha adiar ou interromper atualizações de qualidade.
Geralmente, as Atualizações de Qualidade são correções e melhorias às funcionalidades do Windows existentes e, normalmente, são publicadas na primeira terça-feira de cada mês, embora possam ser lançadas em qualquer altura pela Microsoft. Pode definir se, e durante quanto tempo, gostaria de diferir a receção das Atualizações de Qualidade, após a sua disponibilidade.- Período de adiamento (dias): Especifique o número de dias para os quais as Atualizações de Recursos serão adiadas. Pode diferir a receção destas Atualizações de Funcionalidades durante um período máximo de 180 dias após o seu lançamento.
- Pausa Atualizações de Qualidade a partir de início : Selecione se suspender os dispositivos de receber Atualizações de Qualidade por um período de até 35 dias a partir do momento em que interromper as atualizações. Após ter decorrido o número máximo de dias, a funcionalidade de pausa irá automaticamente expirar e o dispositivo irá procurar atualizações aplicáveis nas Atualizações do Windows. Após esta procura, pode colocar as atualizações em pausa novamente. Pode desapará-lo atualizações de qualidade limpando a caixa de verificação.
- Selecione instalar atualizações de outros Produtos Microsoft para permitir a definição de política de grupo que torna as definições de diferimento aplicáveis ao Microsoft Update, bem como Windows Atualizações.
- Selecione Incluir controladores com Windows Update para atualizar automaticamente os controladores a partir de Windows Updates. Se limpar esta definição, as atualizações do controlador não serão descarregadas a partir de Windows Atualizações.
- Complete o assistente para criar a nova política de diferimento.
Implementar uma Windows atualização para a política de diferimento de negócios
- Na Biblioteca de Software Windows 10 > atualização de Windows de manutenção para políticas > empresariais
- No separador 'Casa', no grupo De implementação, selecione Implementar Windows Update for Business Policy.
- Configure as seguintes definições:
- Política de configuração a implementar: Selecione a Windows Atualização para a política de negócios que pretende implementar.
- Coleção: Clique em procurar para selecionar a coleção onde pretende implementar a política.
- Remediar regras não conformes quando suportados: Selecione para remediar automaticamente quaisquer regras que não sejam conformes para Windows Instrumentação de Gestão (WMI), o registo, scripts e todas as definições para dispositivos móveis que estejam matriculados pelo Gestor de Configuração.
- Permitir a reparação fora da janela de manutenção: Se tiver sido configurada uma janela de manutenção para a recolha à qual está a implementar a apólice, permita que esta opção deixe as definições de conformidade remediar o valor fora da janela de manutenção. Para obter mais informações sobre janelas de manutenção, consulte Como utilizar janelas de manutenção.
- Gerar um alerta: Configura um alerta gerado se a conformidade da linha de base de configuração for inferior a uma percentagem especificada por uma data e hora especificadas. Também pode especificar se pretende que seja enviado um alerta para o System Center Operations Manager.
- Atraso aleatório (horas): Especifica uma janela de atraso para evitar o processamento excessivo no Serviço de Inscrição de Dispositivos de Rede. O valor predefinido é 64 horas.
- Horário: Especifique o calendário de avaliação de conformidade através do qual o perfil implantado é avaliado nos computadores clientes. O agendamento pode ser simples ou personalizado. O perfil é avaliado por computadores cliente quando o utilizador inicia sessão.
- Preencha o assistente para implementar o perfil.
Apoio às autoridades de certificação da Entrust
O Gestor de Configuração apoia agora as autoridades de certificação Da Entrust; isto permite a entrega de certificados PFX a dispositivos inscritos em Microsoft Intune.
Pode configurar a Entrust como autoridade de certificação ao adicionar uma função de Ponto de Registo de Certificado no Gestor de Configuração. Ao adicionar um novo perfil de certificado que emite certificados PFX, pode selecionar uma autoridade de certificação Microsoft ou Entrust.
Edição conhecida: Na pré-visualização técnica de 1706, os certificados PFX não são emitidos para as autoridades de certificação da Microsoft. Isto não afeta certificados PFX importados ou perfis SCEP.
Suporte cisco (IPsec) para perfis VPN iOS
Pode criar um perfil VPN iOS com a Cisco (IPsec) como tipo de ligação. Para obter mais informações, consulte os perfis VPNda Create .
Definições de item de configuração de Windows nova
Nesta versão, adicionámos as seguintes novas definições que pode utilizar em Windows itens de configuração:
Palavra-passe
- Encriptação do dispositivo
Dispositivo
- Modificação das definições da região (apenas ambiente de trabalho)
- Modificação das definições de energia e sono
- Modificação de configurações linguísticas
- Modificação do tempo do sistema
- Modificação do nome do dispositivo
Armazenamento
- Aplicativos de atualização automática da loja
- Use apenas loja privada
- Loja originada lançamento de aplicativo
Microsoft Edge
- Bloquear acesso a cerca de:bandeiras
- Substituição de pedido de aviso smartScreen
- Substituição de pedido de solicitação do SmartScreen para ficheiros
- Endereço IP local da WebRTC
- Motor de pesquisa padrão
- OpenSearch XML URL
- Homepages (apenas ambiente de trabalho)
Para obter mais informações sobre as definições de conformidade, consulte Certifique-se de que o dispositivo está a cumprir.
Novas regras de política de conformidade com dispositivos
Tipo de senha requerida. Especificar se o utilizador deve criar uma palavra-passe alfanumérica ou uma palavra-passe numérica. Para senhas alfanuméricas, também especifique o número mínimo de caracteres que a palavra-passe deve ter. Os quatro conjuntos de caracteres são: Maiúsculas, letras maiúsculas, símbolos e números.
Suportado no:
- Windows Phone 8+
- Windows 8.1+
- iOS 6+
Bloquear depuragem USB no dispositivo. Não é necessário configurar estas definições, uma vez que a depuração USB já está desativada no Android para dispositivos work.
Suportado no:
- Android 4.0+
- Samsung KNOX Standard 4.0+
Bloqueie aplicativos de fontes desconhecidas. Exigir que os dispositivos impeçam a instalação de apps de fontes desconhecidas. Não é necessário configurar esta definição, uma vez que os dispositivos Android for Work restringem sempre a instalação de fontes desconhecidas.
Suportado no:
- Android 4.0+
- Samsung KNOX Standard 4.0+
Requerer a verificação de ameaças nas aplicações. Esta definição especifica que a funcionalidade de aplicações Verificar está ativada no dispositivo.
Suportado no:
- Android 4.2 a 4.4
- Samsung KNOX Standard 4.0+
Novas definições de política de gestão de aplicações móveis
A partir desta versão, pode utilizar três novas definições de política de gestão de aplicações móveis (MAM):
Captura de ecrã de bloco (apenas dispositivos Android): Especifica que as capacidades de captura do ecrã do dispositivo estão bloqueadas ao utilizar esta aplicação.
Desativar a sincronização de contacto: Impede que a aplicação guarde dados para a aplicação Contactos Nativos no dispositivo.
Impressão desativada: Impede a aplicação de imprimir trabalho ou dados escolares.
Restrições de inscrição para Android e iOS
A partir desta versão, os administradores podem agora especificar que os utilizadores não podem inscrever dispositivos pessoais android ou iOS no seu ambiente híbrido. Isto permite limitar os dispositivos matriculados a dispositivos pré-declarados, propriedade da empresa ou dispositivos iOS matriculados apenas com o Programa de Inscrição de Dispositivos.
Experimente
- Na consola do Configuration Manager, na área de trabalho Administração , aceda a Serviços Cloud > Subscrição do Microsoft Intune.
- No separador Home do grupo subscrição, escolha Plataformas configurantes e, em seguida, selecione Android ou iOS.
- Selecione dispositivos de propriedade pessoal do Block.
Política de gestão de aplicações android for Work para copy-paste
Atualizámos as descrições de definição para itens de configuração do Android para trabalho para permitir a partilha de dados entre o trabalho e o perfil pessoal.
Antes de 1706 Pré-visualização Técnica | Novo nome de opção | Comportamento |
---|---|---|
Impedir qualquer partilha entre limites | Restrições de partilha por defeito | Trabalho a pessoal: Padrão (espera-se que seja bloqueado em todas as versões) Pessoal-a-trabalho: Predefinido (permitido em 6.x+, bloqueado em 5.x) |
Sem restrições | As aplicações no perfil pessoal podem lidar com pedidos de partilha do perfil de trabalho | Trabalho a pessoal: Permitido Pessoal-a-trabalho: Permitido |
As aplicações no perfil de trabalho podem lidar com pedidos de partilha de perfil pessoal | As aplicações no perfil de trabalho podem lidar com pedidos de partilha de perfil pessoal | Trabalho a pessoal: Padrão Pessoal-a-trabalho: Permitido (Apenas útil em 5.x onde o pessoal para trabalhar está bloqueado) |
Nenhuma destas opções impede diretamente o comportamento da pasta de cópia. Adicionámos uma configuração personalizada ao serviço e Portal da Empresa app em 1704 que pode ser configurada para evitar a pasta de cópia. Isto pode ser definido através de URI personalizado.
- OMA-URI: ./Fornecedor/MSFT/WorkProfile/DisallowCrossProfilePaste
- Tipo de valor: Boolean
Definir DisallowCrossProfileCopyPaste para verdadeiros previntivos comportamentos de pasta de cópia entre Android para perfil pessoal e de trabalho.
Experimente
- Na consola 'Gestor de Configuração', selecione Ativos e Conformidade > > Definições de conformidade > Configurações Configurações de configuração .
- Escolha Criar para criar um novo item de configuração e especifique Nome e Android para trabalho.
- Nos grupos de configuração do dispositivo para configurar, selecione O Perfil de Trabalho e escolha o Seguinte.
- Selecione o valor para Permitir a partilha de dados entre o trabalho e os perfis pessoais e, em seguida, complete o assistente.
Avaliação do Atestado de Saúde do Dispositivo para políticas de conformidade para acesso condicional
A partir desta versão pode utilizar o estado do Attestation Device Health como regra de política de conformidade para o acesso condicional aos recursos da empresa.
Experimente
Selecione uma regra de Atestado de Saúde do Dispositivo como parte de uma avaliação da política de conformidade.