Technical Preview 1805 for Configuration Manager 中的功能
适用于:Configuration Manager (技术预览分支)
本文介绍 technical Preview for Configuration Manager 版本 1805 中提供的功能。 可以安装此版本以更新技术预览网站并向其添加新功能。
在安装此更新之前,请查看 Technical Preview 一文。 本文使你熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供反馈。
以下是可使用此版本试用的新功能。
使用任务序列的手动配置阶段创建分阶段部署
现在,可以使用任务序列的手动配置阶段 创建分阶段部署 。 可以从“创建分阶段部署”向导的“ 阶段 ”选项卡添加最多 10 个其他阶段。
尝试一下!
按照说明创建分阶段部署,在其中手动配置所有阶段。 发送 反馈 ,告知我们工作原理。
在 “软件库 ”工作区中,展开 “作系统”,然后选择“ 任务序列”。
右键单击现有任务序列,然后选择“ 创建分阶段部署”。
在“ 常规 ”选项卡上,为分阶段部署提供名称、说明 (可选) ,然后选择“ 手动配置所有阶段”。
在“ 阶段 ”选项卡上,单击“ 添加”。
指定阶段 的名称 ,然后浏览到目标 阶段集合。
在 “阶段设置” 选项卡上,为每个计划设置选择一个选项,完成后选择“ 下一步 ”。
上一阶段的成功条件 (第一阶段禁用此选项。)
- 部署成功百分比:为上一阶段成功条件指定成功完成部署的设备百分比。
在上一阶段成功后开始此部署阶段的条件
- 在延迟期后自动开始此阶段 (天) :选择在上一阶段成功后开始下一阶段之前要等待的天数。
- 手动开始此部署阶段:在上一阶段成功后,不要自动开始此阶段。
设备成为目标后,安装软件
- 尽快:一旦设备成为目标,就设置设备上安装的最后期限。
- 相对于设备的目标时间 (截止时间) :设置设备目标之后的一定天数的安装截止时间。
完成阶段设置向导。
在“创建分阶段部署”向导的“ 阶段 ”选项卡上,现在可以添加、删除、重新排序或编辑此部署的阶段。
完成“创建分阶段部署”向导。
Azure 资源管理器的云分发点支持
创建云分发点的实例时,向导现在提供用于创建 Azure 资源管理器部署的选项。 Azure 资源管理器 是一种新式平台,用于将所有解决方案资源作为一个实体(称为资源组)进行管理。 使用 Azure 资源管理器 部署云分发点时,站点使用 Microsoft Entra ID 进行身份验证并创建必要的云资源。 这种现代化部署不需要经典 Azure 管理证书。
云分发点向导仍提供使用 Azure 管理证书进行 经典服务部署 的选项。 为了简化资源的部署和管理,我们建议对所有新的云分发点使用 Azure 资源管理器 部署模型。 如果可能,请通过资源管理器重新部署现有云分发点。
Configuration Manager不会将现有的经典云分发点迁移到 Azure 资源管理器部署模型。 使用 Azure 资源管理器部署创建新的云分发点,然后删除经典云分发点。
重要
此功能不会启用对 Azure 云服务提供商的支持, (CSP) 。 使用 Azure 资源管理器的云分发点部署继续使用 CSP 不支持的经典云服务。 有关详细信息,请参阅 Azure CSP 中的可用 Azure 服务。
先决条件
与 Microsoft Entra ID 集成。 Microsoft Entra不需要用户发现。
云分发点的要求相同,Azure 管理证书除外。
尝试一下!
尝试完成任务。 然后发送 反馈 ,告知我们工作原理。
在Configuration Manager控制台“管理”工作区中,展开“云服务”,然后选择“云分发点”。 单击功能区中的“ 创建云分发点 ”。
在“常规”页上,选择“Azure 资源管理器部署”。 单击“ 登录 ”以使用 Azure 订阅管理员帐户进行身份验证。 向导会自动填充集成先决条件期间存储的Microsoft Entra订阅信息中的剩余字段。 如果你拥有多个订阅,请选择要使用的所需订阅。 单击下一个。
在 “设置” 页上,像往常一样提供服务器 PKI 证书文件 。 此证书定义 Azure 使用的云分发点 服务 FQDN 。 选择“ 区域”,然后选择资源组选项以 “新建” 或“ 使用现有”。 输入新的资源组名称,或从下拉列表中选择现有资源组。
完成该向导。
注意
对于所选Microsoft Entra服务器应用,Azure 分配订阅参与者权限。
使用服务连接点上的 cloudmgr.log 监视服务部署进度。
根据管理见解执行作
现在,某些 管理见解 可以选择执行作。 根据规则,此作具有以下行为之一:
在控制台中自动导航到可在其中执行进一步作的节点。 例如,如果管理见解建议更改客户端设置,则执行作将导航到“客户端设置”节点。 可以通过修改默认或自定义客户端设置对象执行进一步作。
导航到基于查询的筛选视图。 例如,对空集合规则执行作只会在集合列表中显示这些集合。 可在此处执行进一步作,例如删除集合或修改其成员身份规则。
以下管理见解规则在此版本中具有作:
- 安全性
- 不支持的反恶意软件客户端版本
- 软件中心
- 使用软件中心的新版本
- 应用程序
- 没有部署的应用程序
- 简化管理
- 非 CB 客户端版本
- 集合
- 空集合
- 云服务
- 将客户端更新到最新版本Windows 10
使用共同管理将设备配置工作负载转换为Intune
启用共同管理后,现在可以将设备配置工作负荷从 Configuration Manager 转换为Intune。 通过转换此工作负载,可以使用 Intune 部署 MDM 策略,同时继续使用 Configuration Manager 部署应用程序。
若要转换此工作负载,请转到共同管理属性页,并将滑块从Configuration Manager移动到“试点”或“全部”。 有关详细信息,请参阅Windows 10设备的共同管理。
注意
移动此工作负载还会移动 资源访问 和 Endpoint Protection 工作负载,它们是设备配置工作负荷的子集。
转换此工作负载时,仍可以将设置从Configuration Manager部署到共同管理的设备,即使Intune是设备配置颁发机构。 此异常可用于配置组织所需的设置,但在Intune中尚不可用。 在Configuration Manager配置基线上指定此异常。 在创建基线时,启用“ 始终应用此基线”选项,即使在共同管理的客户端 上,或者在现有基线的属性的“ 常规 ”选项卡上。
启用分发点以使用网络拥塞控制
Windows 低额外延迟后台传输 (LEDBAT) 是Windows Server的一项功能,可帮助管理后台网络传输。 对于在受支持的 Windows Server 版本上运行的分发点,可以启用一个选项来帮助调整网络流量。 客户端仅在网络带宽可用时使用网络带宽。
先决条件
Windows Server版本 1709 上的分发点。
没有客户端先决条件。
尝试一下!
尝试完成任务。 然后发送 反馈 ,告知我们工作原理。
在Configuration Manager控制台中,转到“管理”工作区。 选择“ 分发点” 节点。 选择目标分发点,然后单击功能区中的“ 属性 ”。
在“ 常规 ”选项卡上,启用“ 调整下载速度”选项,以使用未使用的网络带宽 (Windows LEDBAT) 。
云管理仪表板
新的云管理仪表板为云管理网关提供集中视图, (CMG) 使用情况。 使用 Microsoft Entra ID 加入站点时,还会显示有关云用户和设备的数据。
以下屏幕截图是云管理仪表板的一部分,其中显示了两个可用磁贴:
此功能还包括用于实时验证的 CMG 连接分析器 ,以帮助进行故障排除。 控制台内实用工具检查服务的当前状态,以及通过 CMG 连接点连接到允许 CMG 流量的任何管理点的信道。
先决条件
基于 Internet 的客户端使用的活动 云管理网关 。
已载入 到 Azure 服务 进行云管理的站点。
尝试一下!
尝试完成任务。 然后发送 反馈 ,告知我们工作原理。
云管理仪表板
在Configuration Manager控制台中,转到“监视”工作区。 选择“云管理”节点,并查看仪表板磁贴。
CMG 连接分析器
在Configuration Manager控制台中,转到“管理”工作区。 展开云服务并选择“云管理网关”。
选择目标 CMG 实例,然后在功能区中选择“ 连接分析器 ”。
在 CMG 连接分析器窗口中,选择以下选项之一以向服务进行身份验证:
Microsoft Entra用户:使用此选项模拟与登录到已加入Microsoft Entra Windows 10设备的基于云的用户标识相同的通信。 单击“登录”以安全地输入此Microsoft Entra用户帐户的凭据。
客户端证书:使用此选项模拟与具有客户端身份验证证书的 Configuration Manager 客户端相同的通信。
单击“ 开始 ”以开始分析。 结果显示在分析器窗口中。 选择一个条目,在“说明”字段中查看更多详细信息。
CMPivot
Configuration Manager始终提供设备数据的大型集中存储,客户可使用这些数据进行报告。 但是,该数据仅与上次从客户端收集数据一样好。
CMPivot 是一种新的控制台内实用工具,可用于访问环境中设备的实时状态。 它会立即对目标集合中当前连接的所有设备运行查询,并返回结果。 然后,可以在工具中筛选和分组此数据。 通过提供来自联机客户端的实时数据,可以更快地回答业务问题、解决问题以及响应安全事件。
例如,在 缓解推理执行端通道漏洞时,其中一项要求是更新系统 BIOS。 可以使用 CMPivot 快速查询系统 BIOS 信息,并查找不符合要求的客户端。
在此屏幕截图中,CMPivot 显示两个单独的 BIOS 版本,每个版本的设备计数为一个。 尝试 CMPivot 时,可以使用此示例查询:
Registry('hklm:\\Hardware\\Description\\System\\BIOS') | where (Property == 'BIOSVersion') | summarize dcount( Device ) by Value
可以单击设备计数向下钻取以查看特定设备。 在 CMPivot 中显示设备时,可以右键单击设备并选择以下 客户端通知作:
- 运行脚本
- 遥控
- 资源资源管理器
右键单击特定设备时,还可以将特定设备的视图透视到以下属性之一:
- 自动启动命令
- 已安装的产品
- 流程
- 服务
- 用户
- 活动Connections
- 缺少汇报
先决条件
必须将目标客户端更新到最新版本。
Configuration Manager管理员需要权限才能运行脚本。 有关详细信息,请参阅 脚本的安全角色。
尝试一下!
尝试完成任务。 然后发送 反馈 ,告知我们工作原理。
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备集合”。 选择目标集合,然后单击功能区中的“ 启动 CMPivot ”以启动该工具。
接口提供有关使用 工具的详细信息。
- 可以在顶部手动输入查询字符串,或单击内联文档中的链接。
- 单击其中一个 实体 ,将其添加到查询字符串。
- 表运算符、聚合函数和标量函数的链接在 Web 浏览器中打开语言参考文档。 CMPivot 使用与 Azure Log Analytics 相同的查询语言。
改进了安全客户端通信
建议对所有Configuration Manager通信路径使用 HTTPS 通信,但由于管理 PKI 证书的开销,某些客户可能具有挑战性。 引入Microsoft Entra集成可减少部分(但不是全部)证书要求。
此版本包括对客户端与站点系统通信方式的改进。 这些改进有两个主要目标:
无需 PKI 服务器身份验证证书即可保护客户端通信。
客户端可以从分发点安全地访问内容,而无需网络访问帐户。
注意
对于想要使用它的客户,PKI 证书仍然是一个有效的选项。
应用场景
以下方案受益于这些改进:
方案 1:客户端到管理点
加入Microsoft Entra的设备可以通过云管理网关 (CMG) 与配置 HTTP 的管理点进行通信。 站点服务器为管理点生成证书,允许它通过安全通道进行通信。
注意
此行为已从当前分支版本 1802 Configuration Manager更改,该版本需要为此方案启用 HTTPS 的管理点。 有关详细信息,请参阅 为 HTTPS 启用管理点。
方案 2:客户端到分发点
已加入工作组或Microsoft Entra的客户端可以通过安全通道从为 HTTP 配置的分发点下载内容。
方案 3 Microsoft Entra设备标识
Microsoft Entra加入或混合Microsoft Entra设备(没有Microsoft Entra用户登录)可以安全地与其分配的站点通信。 基于云的设备标识现在足以向 CMG 和管理点进行身份验证。
先决条件
为 HTTP 客户端连接配置的管理点。 在站点系统角色属性的“ 常规 ”选项卡上设置此选项。
为 HTTP 客户端连接配置的分发点。 在站点系统角色属性的“ 常规 ”选项卡上设置此选项。 不要启用 “允许客户端匿名连接”选项。
云管理网关。
将站点载入到Microsoft Entra ID进行云管理。
- 如果已满足站点的此先决条件,则需要更新 Microsoft Entra 应用程序。 在Configuration Manager控制台中,转到“管理”工作区,展开“云服务”,然后选择“Microsoft Entra租户”。 选择Microsoft Entra租户,在“应用程序”窗格中选择 Web 应用程序,然后单击功能区中的“更新应用程序设置”。
运行 Windows 10 版本 1803 并加入到 Microsoft Entra ID 的客户端。 (此要求在技术上仅适用于 方案 3.)
尝试一下!
尝试完成任务。 然后发送 反馈 ,告知我们工作原理。
在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”。 选择网站,然后单击功能区中的“ 属性 ”。
切换到“客户端计算机通信”选项卡。选择“HTTPS”或“HTTP”选项,然后启用“将Configuration Manager生成的证书用于 HTTP 站点系统”的新选项。
请参阅前面的要验证 的方案列表 。
提示
在此版本中,最多等待 30 分钟,让管理点从站点接收并配置新证书。
可以在Configuration Manager控制台中看到这些证书。 转到 “管理 ”工作区,展开“ 安全性”,然后选择“ 证书” 节点。 查找 SMS 颁发 根证书,以及 SMS 颁发根颁发的站点服务器角色证书。
已知问题
用户无法在软件中心查看任何面向它们的可用应用程序。
OS 部署方案仍然需要网络访问帐户。
快速且反复地启用和禁用“为 HTTP 站点系统使用Configuration Manager生成的证书”选项可能会导致证书无法正确绑定到站点系统角色。 “短信颁发”证书颁发的证书不会绑定到 Windows Server Internet Information Services (IIS) 中的网站。 若要解决此问题,请从 Windows 中的短信证书存储中删除“短信颁发”颁发的 所有证书, 然后重新启动 smsexec 服务。
启用第三方软件更新支持的改进
由于你对第三方软件更新支持的反馈,此版本进一步迭代了与 System Center 汇报 Publisher (SCUP) 的集成。 Configuration Manager技术预览版 1803 添加了从 WSUS 读取证书以进行第三方更新的功能,然后将该证书部署到客户端。 但仍需要使用 SCUP 工具创建和管理证书以对第三方软件更新进行签名。
在此版本中,可以启用 Configuration Manager 站点以自动配置证书。 站点与 WSUS 通信以生成用于此目的的证书。 Configuration Manager然后继续将证书部署到客户端。 此迭代无需使用 SCUP 工具创建和管理证书。
有关 SCUP 工具的常规用法的详细信息,请参阅 System Center 汇报 Publisher。
先决条件
- 启用和部署“软件汇报”组中的“启用第三方软件更新”客户端设置。
- 如果 WSUS 与软件更新点位于单独的服务器上,则必须在远程 WSUS 服务器上执行以下作之一:
- 在 Windows 中启用远程注册表服务
或 - 在注册表项
HKLM\Software\Microsoft\Update Services\Server\Setup中,创建名为 EnableSelfSignedCertificates 的新 DWORD,1值为 。
- 在 Windows 中启用远程注册表服务
尝试一下!
尝试完成任务。 然后发送 反馈 ,告知我们工作原理。
在Configuration Manager控制台中,转到“管理”工作区。 展开 “站点配置 ”,然后选择“ 站点”。 选择顶级站点,在功能区中单击“ 配置站点组件 ”,然后选择“ 软件更新点”。
切换到“第三方汇报”选项卡。选择“启用第三方软件更新”选项,然后选择Configuration Manager自动管理证书的选项。
继续执行用于导入第三方软件更新目录的典型 SCUP 工作流的其余部分,然后将更新部署到客户端。
Windows 10就地升级任务序列的改进
Windows 10就地升级的默认任务序列模板现在包括另一个新组,其中包含在升级过程失败时要添加的建议作。 通过这些作,可以更轻松地进行故障排除。
失败时运行作下的新组
收集日志:若要从客户端收集日志,请在此组中添加步骤。
- 一种常见的做法是将日志文件复制到网络共享。 若要建立此连接,请使用 “连接到网络文件夹” 步骤。
- 若要执行复制作,请结合 “运行命令行”或“运行PowerShell 脚本 ”步骤使用自定义脚本或实用工具。
- 要收集的文件可能包括以下日志:
%_SMSTSLogPath%\*.log
%SystemDrive%\$Windows.~BT\Sources\Panther\setupact.log - 有关setupact.log和其他 Windows 安装程序日志的详细信息,请参阅 Windows 安装程序日志文件。
- 有关Configuration Manager客户端日志的详细信息,请参阅Configuration Manager客户端日志
- 有关_SMSTSLogPath和其他有用变量的详细信息,请参阅 任务序列内置变量
运行诊断工具:若要运行其他诊断工具,请在此组中添加步骤。 这些工具应自动完成,以便在发生故障后尽快从系统收集其他信息。
CMTrace 随客户端一起安装
CMTrace 日志查看工具现在与 Configuration Manager 客户端一起自动安装。 它已添加到客户端安装目录,默认情况下为 %WinDir%\ccm\cmtrace.exe。
注意
CMTrace 不会 自动注册到 Windows 以打开.log文件扩展名。
对Configuration Manager控制台的改进
我们对 Configuration Manager 控制台进行了以下改进:
- “资产和符合性”下的“设备列表”“设备”现在默认显示当前登录的用户。 此值与 客户端状态相同。 当用户注销时,将清除该值。 如果没有用户登录,则该值为空。
对控制台反馈的改进
此版本包括对 Configuration Manager 控制台中新反馈机制的以下改进:
反馈对话框现在会记住以前的设置,例如所选选项和电子邮件地址。
它现在支持脱机反馈。 从控制台保存反馈,然后从连接到 Internet 的系统上传到Microsoft。 使用 中
cd.latest\SMSSETUP\Tools\UploadOfflineFeedback\UploadOfflineFeedback.exe新的脱机反馈上传器工具。 若要查看可用和必需的命令行选项,请使用 选项运行该工具--help。 连接的系统需要访问 petrol.office.microsoft.com。
已知问题
在连接到 Internet 的计算机上使用“ 发送笑脸 ”或“ 发送皱眉” 时,可能会返回以下消息:“发送反馈时出错。如果单击“ 更多详细信息”,将显示以下文本: {"Message":""}。 此错误是由于后端反馈系统的响应存在已知问题。 可以消除错误。 Microsoft仍收到反馈。 (如果详细信息显示不同的消息,请使用脱机反馈选项在以后重试发送反馈。)
对已启用 PXE 的分发点的改进
此版本在分发点上使用“ 启用 PXE 响应方而不使用 Windows 部署服务” 选项时,包括以下其他改进:
- 启用此选项时,会在分发点上自动创建 Windows 防火墙规则
- 对组件日志记录的改进
对大整数值的硬件清单的改进
硬件清单当前限制大于 4,294,967,296 (2^32) 。 对于硬盘驱动器大小(以字节为单位)等属性,可以达到此限制。 管理点不会处理超过此限制的整数值,因此数据库中不会存储任何值。 现在,在此版本中,限制增加到 18,446,744,073,709,551,616 (2^64) 。
对于值不会更改的属性(例如总磁盘大小),升级站点后可能不会立即看到该值。 大多数硬件清单都是增量报告。 客户端仅发送更改的值。 若要解决此行为,请将另一个属性添加到同一类。 此作会导致客户端更新类中已更改的所有属性。
对 WSUS 维护的改进
WSUS 清理向导现在拒绝根据取代规则过期或被取代的更新。 这些规则在软件更新点组件属性上定义。
尝试一下!
尝试完成任务。 然后发送 反馈 ,告知我们工作原理。
在Configuration Manager控制台中,转到“管理”工作区。 展开 “站点配置 ”,然后选择“ 站点”。 选择顶级站点,在功能区中单击“ 配置站点组件 ”,然后选择“ 软件更新点”。
切换到“ 取代规则 ”选项卡。启用 “运行 WSUS 清理向导”选项。 指定所需的取代行为。
查看WSyncMgr.log文件。
对 CNG 证书的支持的改进
在此版本中,将 CNG 证书 用于以下已启用 HTTPS 的其他服务器角色:
- 证书注册点,包括具有Configuration Manager策略模块的 NDES 服务器
后续步骤
有关安装或更新技术预览分支的信息,请参阅适用于Configuration Manager的技术预览版。