Configuration Manager Current Branch 版本 2207 中的新增功能
适用于: Configuration Manager(current branch)
Configuration Manager Current Branch 的 Update 2207 作为控制台内更新提供。 在运行版本 2103 或更高版本的站点上应用此更新。 本文总结了 Configuration Manager 版本 2207 中的更改和新功能。
请始终查看安装此更新的最新清单。 有关详细信息,请参阅 安装更新 2207 的清单。 更新站点后,还要查看 更新后清单。
若要充分利用新的 Configuration Manager 功能,请在更新站点后,将客户端更新到最新版本。 虽然更新站点和控制台时 Configuration Manager 控制台中会显示新功能,但在客户端版本也是最新的之前,完整方案不起作用。
云附加管理
对租户附加设备使用 Intune 基于角色的访问控制 (RBAC)
从 Microsoft Intune 管理中心与租户附加设备交互时,现在可以使用 Intune 基于角色的访问控制 (RBAC) 。 例如,使用 Intune 作为基于角色的访问控制机构时,具有 Intune 技术支持操作员角色 的用户不需要从 Configuration Manager 分配的安全角色或其他权限。 有关详细信息,请参阅 租户附加客户端的 Intune 基于角色的访问控制。
增强 Configuration Manager 管理服务的安全性
我们将引入一个新的云应用程序,该应用程序对管理服务的访问受限。 此功能允许云管理网关 (CMG) 在管理点与管理服务之间划分管理员权限。 这使 CMG 能够限制对管理服务的访问。 此功能为管理员提供精细的访问控制,用户可通过这些控件访问管理服务,并在必要时强制实施 MFA。
有关详细信息,请参阅 配置 Azure 服务以用于 Configuration Manager。
简化的应用程序部署审批
管理员现在可以通过选择电子邮件通知中的链接,批准或拒绝从他们有权访问 Internet 的任何位置在设备上部署应用程序的请求。 此功能要求管理员手动将 Azure Active Directory 应用中的 CMG URL 添加为单页应用程序重定向 URI。
有关详细信息,请参阅 在 Azure AD 中为应用服务应用创建应用注册。
在默认边界组中为管理点添加云源并首选云源
在 2203 当前分支之前,你没有选择将 CMG 作为默认边界组中的管理点。 回退到默认边界组的客户端只能与非基于云的管理点通信。
最初安装站点时,会为每个站点创建一个默认站点边界组,所有客户端默认使用该站点边界组,直到它们分配到自定义边界组。
从 Configuration Manager 2207 开始,可以通过 PowerShell 添加选项以包含和首选云源。 例如,可以将 CMG 设置为默认边界组中客户端的首选管理点。
有关详细信息,请参阅 默认站点边界组行为支持云源选择。
客户端管理
对符合性设置评估的精细控制
现在,可以在配置符合性设置的客户端设置时定义 脚本执行超时 (秒) 。 超时值可以设置为最小 60 秒到最大值 600 秒。 当需要运行可能超过默认值 60 秒的脚本时,使用此新设置可以更灵活地执行配置项目。
有关详细信息,请参阅 客户端设置的符合性设置组。
软件更新
提高了自动部署规则 (ADR) 的可管理性
现在,你将能够使用文件夹组织 ADR。 这种改进通过跨分阶段部署的结构化视图,帮助你在整个组织层次结构中更好地对 ADR 进行分类和管理。 也可以使用 PowerShell cmdlet 创建文件夹。
有关详细信息,请参阅 为自动部署规则创建文件夹的过程。
增强了对每月维护时段的控制
根据你的反馈,我们增强了每月维护时段计划。 现在可以设置每月维护时段计划,通过配置偏移量,更好地使部署与每月软件更新的发布保持一致。 例如,使用月份第二个星期二后两天的偏移量设置星期四的维护时段。
有关详细信息,请参阅 如何在 Configuration Manager 中使用维护时段。
终结点保护
改进了 Windows Server 2012 R2 和 Windows Server 2016 的 Microsoft Defender for Endpoint (MDE) 载入
Configuration Manager 版本 2207 现在支持自动部署新式统一 Microsoft Defender for Endpoint for Windows Server 2012 R2 & 2016。 以 Microsoft Defender for Endpoint 载入策略为目标的 Windows Server 2012 和 2016 设备将使用统一代理,而不是现有的基于 Microsoft 监视代理的解决方案(如果通过客户端设置进行配置)。
有关详细信息,请参阅 Microsoft Defender for Endpoint 加入。
针对不受信任的环境的增强保护
Windows Defender 应用程序防护现在称为Microsoft控制台中的 Defender 应用程序防护。
Microsoft Defender 应用程序防护中的 “常规 设置”页现在允许在 Configuration Manager 中创建策略,以使用 Microsoft Edge 和隔离的 Windows 环境来保护员工。
“ 应用程序行为 设置”页允许启用或禁用相机和麦克风,以及指纹与隔离容器的证书匹配。
删除了以下项:
- 企业站点可以在 “主机交互 ”页下加载非企业内容,例如第三方插件设置。
- 文件信任条件策略,在 “文件管理 ”页下。
有关详细信息,请参阅 创建和部署 Microsoft Defender 应用程序防护策略。
Configuration Manager 控制台
对控制台的改进
在控制台中的任何节点上执行搜索时,搜索栏现在将包含 路径 条件,以显示该节点中的子文件夹包含在搜索中。
路径条件是信息性的,无法编辑。
默认情况下,在包含子文件夹的任何节点中执行搜索时,将搜索所有子文件夹。 可以通过从搜索工具栏中选择“当前节点”选项来缩小搜索范围。
对深色主题的改进
自 2203 年以来,深色主题一直作为预发行功能提供。 在此版本中,我们已将深色主题扩展到其他组件,例如按钮、上下文菜单和超链接。 启用此预发行功能以体验深色主题。
有关详细信息,请参阅 控制台更改和提示。
其他更新
有关 Configuration Manager 的 Windows PowerShell cmdlet 更改的详细信息,请参阅 版本 2207 发行说明。
后续步骤
此时,版本 2207 已针对早期更新通道发布。 若要安装此更新,需要选择加入。 有关详细信息,请参阅 早期更新通道。
准备好安装此版本后,请参阅 安装 Configuration Manager 的更新 和 安装更新 2207 的清单。
有关已知重大问题,请参阅 发行说明。
更新站点后,还要查看 更新后清单。