Configuration Manager Technical Preview 1705 中的功能
适用于:Configuration Manager (technical preview branch)
本文介绍 Configuration Manager Technical Preview 版本 1705 中提供的功能。 可以安装此版本,以更新 Configuration Manager 技术预览版站点并向其添加新功能。 安装此版本的技术预览版之前,请查看 Configuration Manager 技术预览版 ,熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供有关技术预览版中功能的反馈。
此 Technical Preview 中的已知问题:
- Operations Manager 套件连接器不会升级。 从配置了 OMS 连接器的以前版本的 Technical Preview 升级时,该连接器不会升级,并且不再在控制台中可用。 升级后,必须使用 Azure 服务向导 并重新建立与 OMS 工作区的连接。
- Surface 驱动程序不会成功同步。 尽管针对技术预览版的 Configuration Manager 控制台的 新增功能 中列出了对 Surface 驱动程序的支持,但此功能尚未按预期工作。
- 无法创建适用于企业的 Windows 更新延迟策略。 尽管配置适用于企业的 Windows 更新延迟策略的功能在 Configuration Manager 控制台中列出了技术预览版的 新增功能 ,但向导不会打开,你也无法配置任何策略。
以下是可使用此版本试用的新功能。
更新重置工具
可以使用 Configuration Manager 更新重置工具 (CMUpdateReset.exe)修复控制台中更新下载或复制出现问题时出现的问题。 此工具包含在 Technical Preview 版本 1705 中。 在 \cd.latest\SMSSETUP\TOOLS 文件夹中安装预览版后,可以在技术预览网站的站点服务器上找到它。
可以将此工具与 Technical Preview 版本 1606 或更高版本配合使用。 提供这种向后支持,以便该工具可用于一系列技术预览更新方案,而无需等待下一个技术预览版可用。
当控制台内更新尚未安装且处于失败状态时,可以使用此工具。 失败状态可能意味着更新下载仍在进行中,但会停滞并且花费的时间过长,可能比你以前对类似大小的更新包的预期要长几个小时。 将更新复制到子主站点也可能失败。
运行该工具时,它会针对指定的更新运行。 默认情况下,该工具不会删除已成功安装或下载的更新。
先决条件
用于运行该工具的帐户需要以下权限:
- 对管理中心站点的站点数据库以及层次结构中每个主站点的读取和写入权限。 若要设置这些权限,可以将用户帐户添加为 db_datawriter 的成员,并在每个站点的 Configuration Manager 数据库中 db_datareader固定数据库角色 。 该工具不与辅助站点交互。
- 层次结构的顶级站点上的本地管理员。
- 承载服务连接点的计算机上的本地管理员。
你将需要要重置的更新包的 GUID。 获取 GUID:
- 在控制台中转到 “管理>更新和服务 ”,然后在显示窗格中,右键单击“ 状态) ” (列之一的标题,然后选择“ 包 Guid”。 这会将该列添加到显示中,并且该列显示更新包 GUID。
提示
若要复制 GUID,请选择要重置的更新包的行,然后使用 Ctrl+C 复制该行。 如果将复制的选定内容粘贴到文本编辑器中,则可以在运行该工具时仅复制用作命令行参数的 GUID。
运行工具
该工具必须在层次结构的顶级站点上运行。
运行该工具时,使用命令行参数在层次结构的顶层站点上指定 SQL Server、站点数据库名称以及要重置的更新包的 GUID。 然后,该工具根据更新状态标识它需要访问的其他服务器。
如果更新包处于 下载后 状态,则该工具不会清理包。 作为一个选项,可以使用强制删除参数强制删除成功下载的更新 (请参阅本主题后面的命令行参数) 。
工具运行后:
- 如果删除了包,请重启顶层站点SMS_Executive服务,然后检查更新以再次下载包。
- 如果未删除包,则无需执行任何操作,因为更新将重新初始化并重启复制或安装。
命令行参数:
| 参数 | 说明 |
|---|---|
| 顶层站点的 SQL Server 的 -S <FQDN> |
必需 必须为层次结构的顶层站点指定托管站点数据库的 SQL Server 的 FQDN。 |
| -D <数据库名称> |
必需 必须指定顶层站点数据库的名称。 |
| -P <包 GUID> |
必需 必须为要重置的更新包指定 GUID。 |
| -I <SQL Server 实例名称> |
可选 使用此标识承载站点数据库的 SQL Server 实例。 |
| -FDELETE |
可选 使用它可强制删除已成功下载的更新包。 |
示例:
在典型方案中,需要重置有下载问题的更新。 SERVER1.FABRIKAM.COM SQL Server FQDN ,站点数据库 CM_XYZ,包 GUID 为 61F16B3C-F1F6-4F9F-8647-2A524B0C802C。 运行: CMUpdateReset.exe -S server1.fabrikam.com -D CM_XYZ -P 61F16B3C-F1F6-4F9F-8647-2A524B0C802C
在更极端的情况下,需要强制删除有问题的更新包。 SERVER1.FABRIKAM.COM SQL Server FQDN ,站点数据库 CM_XYZ,包 GUID 为 61F16B3C-F1F6-4F9F-8647-2A524B0C802C。 运行: CMUpdateReset.exe -FDELETE -S server1.fabrikam.com -D CM_XYZ -P 61F16B3C-F1F6-4F9F-8647-2A524B0C802C
使用 Technical Preview 测试该工具
可以将此工具与 Technical Preview 版本 1606 或更高版本配合使用。 提供这种向后支持,以便该工具可用于大量技术预览版更新方案,而无需等待下一个技术预览版可用。
在该更新完成其先决条件检查之前,对技术预览版的更新包运行该工具。 已完成的先决条件检查状态由 管理>更新和服务中包的以下状态之一标识:
- 已通过先决条件检查
- 先决条件检查已通过,但出现警告
- 先决条件检查失败
高 DPI 控制台支持
在此版本中,当在高 DPI 设备上查看时,Configuration Manager 控制台如何缩放和显示 UI 的不同部分 ((如 Surface 书籍) )应得到修复。
对等缓存改进
从此技术预览版开始,对等缓存 不再使用网络访问帐户 对来自对等方的下载请求进行身份验证。
SQL Server Always On 可用性组的改进
在此版本中,现在可以在用于 Configuration Manager 的 SQL Server Always On 可用性组中使用异步提交副本。 这意味着可以将其他副本添加到可用性组,以用作异地 (远程) 备份,然后在灾难恢复方案中使用这些副本。
Configuration Manager 支持使用异步提交副本来恢复同步副本。 有关如何完成此操作的信息,请参阅备份和恢复主题中的 站点数据库恢复选项 。
此版本不支持故障转移以使用异步提交副本作为站点数据库。
警告
由于 Configuration Manager 不会验证异步提交副本的状态以确认它是最新的,并且 根据设计,此类副本可能不同步,因此使用异步提交副本作为站点数据库可能会危及站点和数据的完整性。
可以在可用性组中使用与所用 SQL Server 版本支持的副本数量和类型相同的副本。 (以前的支持仅限于两个同步提交副本。)
配置异步提交副本
若要将异步副本添加到 用于 Configuration Manager 的可用性组,无需运行配置同步副本所需的配置脚本。 (这是因为不支持将该异步副本用作站点数据库。) 有关详细信息,请参阅 将辅助副本添加到可用性组。
使用异步副本恢复站点
在使用异步副本恢复站点数据库之前,必须停止活动主站点以防止对站点数据库进行其他写入。 停止站点后,可以使用异步副本代替 使用手动恢复的数据库。
若要停止站点,可以使用 层次结构维护工具来 停止站点服务器上的关键服务。 使用命令行: Preinst.exe /stopsite
停止站点相当于在站点服务器上停止站点组件管理器服务 (sitecomp) 后跟SMS_Executive服务。
改进了Microsoft 365 更新的用户通知
对客户端安装 Microsoft 365 更新时利用 Office 即点即用用户体验进行了改进。 这包括弹出窗口和应用内通知,以及倒计时体验。 在此版本之前,当向客户端发送Microsoft 365 更新时,打开的 Office 应用程序会自动关闭,而不会发出警告。 此更新后,Office 应用程序将不再意外关闭。
先决条件
此更新适用于 Microsoft 365 企业应用版客户端。
已知问题
当客户端首次评估Microsoft 365 更新分配,并且更新的截止时间是过去、立即计划的或计划在 30 分钟内的,Microsoft 365 用户体验可能会不一致。 例如,客户端可能会收到更新的 30 分钟倒计时对话框,但实际强制执行可能在倒计时结束之前开始。 若要避免此行为,请考虑以下事项:
- 部署Microsoft 365 更新,截止时间比当前时间提前 60 分钟以上。
- 在集合的非营业时间内配置维护时段,或在部署上配置强制宽限期。
尝试一下!
尝试完成以下任务,然后从功能区的“开始”选项卡向我们发送反馈,让我们知道它是如何工作的:
- 将 Microsoft 365 更新部署到客户端,最后期限设置为至少比当前时间提前 60 分钟的时间。 观察客户端上的新行为。
配置和部署 Windows Defender 应用程序防护策略
Windows Defender 应用程序防护 是一项新的 Windows 功能,它通过在操作系统其他部分无法访问的安全隔离容器中打开不受信任的网站来帮助保护用户。 在此技术预览版中,我们添加了使用配置并部署到集合的 Configuration Manager 符合性设置配置此功能的支持。 此功能将在 64 位版本的 Windows 10 创意者更新的预览版中发布。 若要立即测试此功能,必须使用此更新的预览版本。
准备工作
若要创建和部署 Windows Defender 应用程序防护策略,必须将部署策略的 Windows 10 设备配置为网络隔离策略。 有关详细信息,请参阅稍后引用的博客文章。 此功能仅适用于当前的 Windows 10 预览体验成员版本。 若要对其进行测试,客户端必须运行最新的 Windows 10 预览体验成员内部版本。
尝试一下!
确保已阅读博客文章,了解有关 Windows Defender 应用程序防护的基础知识。
若要创建策略并浏览可用设置,请执行以下操作:
- 在 Configuration Manager 控制台中,选择 “资产和符合性”。
- 在 “资产和符合性” 工作区中,选择“ 概述>终结点保护>”“Windows Defender 应用程序防护”。
- 在“ 开始 ”选项卡的“ 创建 ”组中,单击“ 创建 Windows Defender 应用程序防护策略”。
- 使用博客文章作为参考,可以浏览和配置可用设置以试用该功能。
- 完成后,完成向导,并将策略部署到一个或多个 Windows 10 设备。
进一步阅读
若要详细了解 Windows Defender 应用程序防护,请参阅 此博客文章。 此外,若要详细了解 Windows Defender 应用程序防护独立模式,请参阅 此博客文章。
用于Microsoft Entra ID 和云管理的新功能
在此版本中,可以将云服务配置为使用 Microsoft Entra ID 来支持以下方案:
- 从 Internet 手动安装 Configuration Manager 客户端,并将其分配给 Configuration Manager 站点。
- 使用 Intune 将 Configuration Manager 客户端部署到 Internet 上的设备。
优点
使用云服务和Microsoft Entra ID 无需使用客户端身份验证证书。
可以在站点中发现Microsoft Entra 用户,以在集合和其他 Configuration Manager 操作中使用。
准备工作
- 必须具有Microsoft Entra 租户。
- 设备必须运行 Windows 10 并Microsoft Entra 联接。 除了Microsoft已加入 Entra 的) 之外,客户端还可以加入域。
- 除了管理点站点系统角色 的现有先决条件 外,还必须确保在承载此站点系统角色的计算机上启用 ASP.NET 4.5 (和使用此) 自动选择的任何其他选项。
- 若要使用 Microsoft Intune 部署 Configuration Manager 客户端,请执行以下操作:
- 必须有一个正常工作的 Intune 租户 (Configuration Manager 和 Intune 不需要) 连接。
- 在 Intune 中,你已创建并部署了包含 Configuration Manager 客户端的应用。 有关如何执行此操作的详细信息,请参阅如何将客户端安装到 Intune MDM 托管的 Windows 设备。
- 若要使用 Configuration Manager 部署客户端,请执行以下操作:
- 必须至少为 HTTPS 模式配置一个管理点。
- 必须设置云管理网关。
设置云管理网关
设置云管理网关,使客户端无需使用证书即可从 Internet 访问 Configuration Manager 站点。
可在以下主题中找到有关如何执行此操作的帮助:
- 在 Configuration Manager 中规划云管理网关。
- 为 Configuration Manager 设置云管理网关。
- 在 Configuration Manager 中监视云管理网关。
在 Configuration Manager 云服务中设置 Azure 服务应用
这会将 Configuration Manager 站点连接到Microsoft Entra ID,并且是本部分中所有其他操作的先决条件。 为此:
在 Configuration Manager 控制台的 “管理 ”工作区中,展开“ 云服务”,然后单击“ Azure 服务”。
在“ 主页 ”选项卡上的“ Azure 服务 ”组中,单击“ 配置 Azure 服务”。
在 Azure 服务 向导的“Azure 服务”页上,选择“ 云管理 ”以允许客户端使用 entra ID Microsoft层次结构进行身份验证。
在向导的“ 常规 ”页上,指定 Azure 服务的名称和说明。
在向导的“ 应用 ”页上,从列表中选择 Azure 环境,然后单击“ 浏览 ”以选择将用于配置 Azure 服务的服务器和客户端应用:
- 在 “服务器应用 ”窗口中,选择要使用的服务器应用,然后单击“ 确定”。 服务器应用是包含 Azure 帐户配置(包括租户 ID、客户端 ID 和客户端密钥)的 Azure Web 应用。 如果没有可用的服务器应用,请使用以下选项之一:
- 创建:若要创建新的服务器应用,请单击“ 创建”。 为应用和租户提供友好名称。 然后,登录到 Azure 后,Configuration Manager 会在 Azure 中创建 Web 应用,包括用于 Web 应用的客户端 ID 和密钥。 稍后,可以从 Azure 门户查看这些内容。
- 导入:若要使用 Azure 订阅中已存在的 Web 应用,请单击“ 导入”。 为应用和租户提供友好名称,然后指定租户 ID、客户端 ID 和 Azure Web 应用的密钥,供 Configuration Manager 使用。 验证信息后,单击“ 确定 ”继续。 此选项目前在此技术预览版中不可用。
- 对客户端应用重复相同的过程。
使用应用程序导入时,需要授予 “读取目录数据 ”应用程序权限,才能在门户中设置正确的权限。 如果使用应用程序创建,则权限会自动与应用程序一起创建,但仍需要在 Azure 门户中向应用程序授予许可。
- 在 “服务器应用 ”窗口中,选择要使用的服务器应用,然后单击“ 确定”。 服务器应用是包含 Azure 帐户配置(包括租户 ID、客户端 ID 和客户端密钥)的 Azure Web 应用。 如果没有可用的服务器应用,请使用以下选项之一:
在向导的“ 发现 ”页上,可以选择 启用Microsoft Entra 用户发现,然后单击 “设置”。 在 “Microsoft Entra 用户发现设置 ”对话框中,为何时发生发现配置计划。 还可以启用增量发现,以仅检查Microsoft Entra ID 中的新帐户或更改的帐户。
完成该向导。
此时,已将 Configuration Manager 站点连接到 Microsoft Entra ID。
从 Internet 安装 CM 客户端
在开始之前,请确保客户端安装源文件本地存储在要安装客户端的设备上。 然后,按照如何使用以下安装命令行 将客户端部署到 Windows 计算机 中的说明 (将示例中的值替换为自己的值) :
ccmsetup.exe /NoCrlCheck /Source:C:\CLIENT CCMHOSTNAME=SCCMPROXYCONTOSO。CLOUDAPP.NET/CCM_Proxy_ServerAuth/72457598037527932 SMSSiteCode=HEC AADTENANTID=780433B5-E05E-4B7D-BFD1-E8013911E543 AADTENANTNAME=contoso AADCLIENTAPPID=<GUID> AADRESOURCEURI=https://contososerver
- /NoCrlCheck:如果管理点或云管理网关使用非公共服务器证书,则客户端可能无法访问 CRL 位置。
- /Source:本地文件夹:客户端安装文件的位置。
- CCMHOSTNAME:Internet 管理点的名称。 可以通过从托管客户端上的命令提示符运行 gwmi -namespace root\ccm\locationservices -class SMS_ActiveMPCandidate 来找到此内容。
- SMSMP:查找管理点的名称 - 此名称可以在 Intranet 上。
- SMSSiteCode:Configuration Manager 站点的站点代码。
- AADTENANTID、 AADTENANTNAME:链接到 Configuration Manager 的 Microsoft Entra 租户的 ID 和名称。 可以通过在已加入 Microsoft Entra 的设备上从命令提示符运行 dsregcmd.exe /status 来找到此内容。
- AADCLIENTAPPID:Microsoft Entra 客户端应用 ID。 有关发现此问题的帮助,请参阅 使用门户创建可访问资源的Microsoft Entra 应用程序和服务主体。
- AADResourceUri:已载入Microsoft Entra 服务器应用的标识符 URI。
使用 Azure 服务向导配置到 OMS 的连接
从 1705 技术预览版开始,使用 Azure 服务向导 配置从 Configuration Manager 到 Operations Management Suite (OMS) 云服务的连接。 向导将替换以前的工作流来配置此连接。
该向导用于配置 Configuration Manager 的云服务,例如 OMS、适用于企业的 Windows 应用商店 (WSfB) ,以及Microsoft Entra ID。
Configuration Manager 连接到 OMS 以获取 Log Analytics 或升级就绪情况等功能。
OMS 连接器的先决条件
配置到 OMS 连接的先决条件与 Current Branch 版本 1702 中所述的先决条件保持不变。 此处将重复该信息:
向 OMS 提供 Configuration Manager 权限。
必须安装安装在服务连接点上的 OMS Microsoft Monitoring Agent 以及 OMS 连接器。 必须将代理和 OMS 连接器配置为使用相同的 OMS 工作区。 若要安装代理,请参阅 OMS 文档中 的下载并安装代理 。
安装连接器和代理后,必须将 OMS 配置为使用 Configuration Manager 数据。 为此,请在 OMS 门户中 导入 Configuration Manager 集合。
使用 Azure 服务向导配置与 OMS 的连接
在控制台中,转到“管理>概述>云服务>Azure 服务”,然后从功能区的“主页”选项卡中选择“配置 Azure 服务”,启动 Azure 服务向导。
在 “Azure 服务 ”页上,选择“Operation Management Suite”云服务。 提供 Azure 服务名称 的友好名称和可选说明,然后单击“ 下一步”。
在 “应用 ”页上,指定 Azure 环境, (技术预览版仅支持公有云) 。 然后,单击“ 浏览 ”打开“服务器应用”窗口。
选择 Web 应用:
- 导入:若要使用 Azure 订阅中已存在的 Web 应用,请单击“ 导入”。 为应用和租户提供友好名称,然后指定租户 ID、客户端 ID 和 Azure Web 应用的密钥,供 Configuration Manager 使用。 验证信息后,单击“确定”继续。
注意
使用此预览版配置 OMS 时,OMS 仅支持 Web 应用的 导入 函数。 不支持创建新的 Web 应用。 同样,不能为 OMS 重用现有应用。
如果成功完成所有其他过程,则 “OMS 连接配置” 屏幕上的信息将自动显示在此页上。 应显示 Azure 订阅、 Azure 资源组和 Operations Management Suite 工作区的连接设置信息。
向导使用输入的信息连接到 OMS 服务。 选择要与 OMS 同步的设备集合,然后单击“ 添加”。
在 “摘要” 屏幕上验证连接设置,然后选择“ 下一步”。 “ 进度” 屏幕显示连接状态,然后应 为“完成”。
向导完成后,Configuration Manager 控制台会显示已将 Operation Management Suite 配置为 云服务类型。