Možnosti ve verzi Technical Preview 1706 pro Configuration Manager

  • Článek

Platí pro: Configuration Manager (větev Technical Preview)

Tento článek představuje funkce, které jsou k dispozici v Technical Preview pro Configuration Manager verze 1706. Tuto verzi můžete nainstalovat a aktualizovat a přidat nové funkce na web Configuration Manager Technical Preview. Před instalací této verze Technical Preview si přečtěte téma Technical Preview pro Configuration Manager, abyste se seznámili s obecnými požadavky a omezeními pro používání technical preview, s tím, jak aktualizovat mezi verzemi a jak poskytnout zpětnou vazbu k funkcím ve verzi Technical Preview.

Známé problémy v této verzi Technical Preview:

  • Přesunout distribuční bod – Možnosti v konzole nástroje pro přesun distribučního bodu mezi lokalitami nelze v této verzi použít kvůli omezení verze Technical Preview pro jednu primární lokalitu.

  • Nastavení dodržování předpisů zařízením – Při použití dvou nových nastavení dodržování předpisů zařízením může docházet k opačnému chování:

    • Blokování ladění USB na zařízení

    • Blokování aplikací z neznámých zdrojů

      Pokud například správci nastavili Blokovat ladění USB na zařízení nahodnotu true, všechna zařízení, která nemají povolené ladění USB, se označí jako nevyhovující předpisům.

Níže jsou uvedené nové funkce, které můžete s touto verzí vyzkoušet.

Vylepšené skupiny hranic pro body aktualizace softwaru

Tato verze obsahuje vylepšení fungování bodů aktualizace softwaru se skupinami hranic. Následující shrnutí nového záložního chování:

  • Náhradní body aktualizace softwaru teď používají konfigurovatelný čas pro návrat k sousedním hraničním skupinám s minimálním časem 120 minut.

  • Nezávisle na záložní konfiguraci se klient pokusí dosáhnout posledního bodu aktualizace softwaru, který používal po dobu 120 minut. Po 120 minutách, kdy se tento server nepodaří připojit, klient zkontroluje svůj fond dostupných bodů aktualizace softwaru, aby mohl najít nový.

    • Všechny body aktualizace softwaru v aktuální skupině hranic klienta se okamžitě přidají do fondu klienta.

    • Vzhledem k tomu, že se klient pokusí použít svůj původní server po dobu 120 minut, než vyhledá nový server, nebudou kontaktovány žádné další servery, dokud neuplynou dvě hodiny.

    • Pokud je na minimálně 120 minut nakonfigurovaná záložní instalace do skupiny sousedů, body aktualizace softwaru z této hraniční skupiny sousedů budou součástí fondu dostupných serverů klienta.

  • Poté, co se nepodaří spojit s původním serverem po dobu dvou hodin, klient přepne na kratší cyklus pro kontaktování nového bodu aktualizace softwaru.

    To znamená, že pokud se klientovi nepodaří připojit se k novému serveru, rychle vybere další server ze svého fondu dostupných serverů a pokusí se ho kontaktovat.

    • Tento cyklus pokračuje, dokud se klient připojí k bodu aktualizace softwaru, který může používat.
    • Dokud klient nenajde bod aktualizace softwaru, přidají se další servery do fondu dostupných serverů při splnění doby, kdy je splněn náhradní čas pro každou sousední skupinu hranic.

Další informace najdete v tématu Body aktualizace softwaru v tématu Skupiny hranic pro aktuální větev.

Vysoká dostupnost role serveru lokality

Vysoká dostupnost role serveru lokality je Configuration Manager řešení pro instalaci dalšího serveru primární lokality v pasivním režimu. Server lokality pasivního režimu je navíc k existujícímu serveru primární lokality, který je v aktivním režimu. Server lokality v pasivním režimu je k dispozici pro okamžité použití v případě potřeby.

Server primární lokality v pasivním režimu:

  • Používá stejnou databázi lokality jako aktivní server lokality.
  • Obdrží kopii knihovny obsahu aktivních serverů lokality, která se pak udržuje v synchronizaci.
  • Nezapisuje data do databáze lokality, pokud je v pasivním režimu.
  • Nepodporuje instalaci nebo odebrání volitelných rolí systému lokality, pokud je v pasivním režimu.

Pokud chcete server lokality pasivního režimu nastavit jako server lokality v aktivním režimu, ručně ho povyšujte. Tím se aktivní server lokality přepne na pasivní server lokality. Role systému lokality, které jsou k dispozici na původním serveru aktivního režimu, zůstanou dostupné, dokud je tento počítač přístupný. Mezi aktivním a pasivním režimem se přepíná pouze role serveru lokality.

Chcete-li nainstalovat server lokality v pasivním režimu, pomocí Průvodce vytvořením serveru systému lokality nakonfigurujte nový server lokality s typem serveru primární lokality a režimem pasivního. Průvodce pak spustí Configuration Manager instalační program na zadaném serveru a nainstaluje nový server lokality v pasivním režimu. Po dokončení instalace udržuje server lokality v aktivním režimu server lokality s pasivním režimem a jeho knihovnu obsahu v synchronizaci se změnami nebo konfiguracemi, které provedete se serverem aktivní lokality.

Požadavky a omezení

  • V každé primární lokalitě je podporován jeden server lokality v pasivním režimu.

  • Server lokality v pasivním režimu může být místní nebo cloudový v Azure.

  • Servery lokality aktivního i pasivního režimu musí být ve stejné doméně.

  • Servery lokality v aktivním i pasivním režimu musí používat stejnou databázi lokality, která musí být vzdálená od počítačů jednotlivých serverů lokality.

    • SQL Server, která hostuje databázi, může používat výchozí instanci, pojmenovanou instanci, SQL Server instanci clusteru s podporou převzetí služeb při selhání AlwaysOn nebo skupinu dostupnosti.

    • Server lokality v pasivním režimu je nakonfigurován tak, aby používal stejnou databázi lokality jako server lokality v aktivním režimu. Server lokality pasivního režimu však tuto databázi nepoužívá, dokud není povýšena do aktivního režimu.

  • Počítač, na který bude spuštěn server lokality pasivního režimu:

    • Musí splňovat požadavky pro instalaci primární lokality.

    • Nainstaluje se pomocí zdrojových souborů, které odpovídají verzi serveru lokality v aktivním režimu.

    • Před instalací lokality pasivního režimu nelze mít roli systému lokality z žádné lokality.

  • Na počítačích se serverem lokality v aktivním a pasivním režimu můžou běžet různé operační systémy nebo verze aktualizací Service Pack, pokud je vaše verze Configuration Manager podporuje.

  • Povýšení serveru lokality pasivního režimu na server v aktivním režimu je ruční. K automatickému převzetí služeb při selhání nedochází.

  • Role systému lokality lze nainstalovat pouze na server lokality, který je v aktivním režimu.

    • Server lokality v aktivním režimu podporuje všechny role systému lokality. Role systému lokality nelze nainstalovat na server, pokud je v pasivním režimu.

    • Role systému lokality, které používají databázi (například bod generování sestav), musí mít tuto databázi na serveru vzdáleném od serverů lokality v aktivním i pasivním režimu.

    • SMS_Provider se nenainstaluje na server lokality v pasivním režimu. Vzhledem k tomu, že se musíte připojit k SMS_Provider, aby lokalita ručně povýšil server lokality pasivního režimu do aktivního režimu, doporučujeme nainstalovat alespoň jednu další instanci zprostředkovatele do dalšího počítače.

Známý problém:
V této verzi se stav pro následující podmínky zobrazí v konzole konzoly jako číselné hodnoty místo čitelného textu:

  • 131071 – Instalace serveru lokality se nezdařila.
  • 720895 – Odinstalace role serveru lokality se nezdařila.
  • 851967 – Převzetí služeb při selhání selhalo

Přidání serveru lokality v pasivním režimu

  1. V konzole přejděte do části Lokalitykonfigurace> lokality pro správu>a spusťte Průvodce přidáním rolí systému lokality. Můžete také použít Průvodce vytvořením serveru systému lokality.

  2. Na stránce Obecné zadejte server, který bude hostitelem serveru lokality v pasivním režimu. Zadaný server nemůže před instalací serveru lokality v pasivním režimu hostovat žádné role systému lokality.

  3. Na stránce Výběr role systému vyberte v pasivním režimu pouze server primární lokality.

  4. K dokončení průvodce je nutné zadat následující informace, které se použijí ke spuštění instalačního programu a instalaci role serveru lokality na zadaný server:

    • Zvolte kopírování instalačních souborů ze serveru aktivní lokality na nový server lokality v pasivním režimu nebo zadejte cestu k umístění, které obsahuje obsah složky CD.Latest serveru aktivní lokality.

    • Zadejte stejný server databáze lokality a název databáze, jaký používá server lokality v aktivním režimu.

  5. Configuration Manager pak na zadaný server nainstaluje server lokality v pasivním režimu.

Podrobný stav instalace najdete v tématuLokalitykonfigurace> lokality pro správu>.

  • Stav serveru lokality v pasivním režimu se zobrazí jako Instalace.

  • Vyberte server a potom kliknutím na Zobrazit stav otevřete stav instalace serveru lokality , kde získáte podrobnější informace.

Zvýšení úrovně serveru lokality pasivního režimu do aktivního režimu

Pokud chcete změnit server lokality pasivního režimu na aktivní režim, uděláte to v podokně Uzly v částiLokalitykonfigurace lokality pro>správu>. Pokud máte přístup k instanci SMS_Provider, můžete tuto změnu provést na webu.

  1. V podokně Uzly konzoly Configuration Manager vyberte server lokality v pasivním režimu a pak na pásu karet zvolte Povýšit na aktivní.

  2. Jednoduchý stav serveru, který chcete povyšovat, se zobrazí v podokně Uzly jako Zvýšení úrovně.

  3. Po dokončení povýšení se ve sloupci Stav zobrazí OK pro nový server lokality v aktivním režimu i pro nový server lokality v pasivním režimu.

  4. V částiLokalitykonfigurace lokality pro>správu> se teď v názvu serveru primární lokality zobrazuje název nového serveru lokality v aktivním režimu. Podrobný stav najdete v tématu Monitorování>stavu serveru lokality.

    • Sloupec Režim určuje, který server je aktivní nebo pasivní.

    • Při povýšení serveru z pasivního režimu do aktivního režimu vyberte server lokality, který chcete povyšovat na aktivní, a pak na pásu karet zvolte Zobrazit stav . Otevře se okno Stav povýšení serveru lokality , ve které se zobrazí další podrobnosti o procesu.

Když server lokality v aktivním režimu přepne do pasivního režimu, bude pasivní pouze role systému lokality. Všechny ostatní role systému lokality nainstalované v tomto počítači zůstanou aktivní a přístupné pro klienty.

Denní monitorování

Pokud máte primární lokalitu v pasivním režimu, monitorujte ji každý den, abyste měli jistotu, že je synchronizovaná se serverem lokality v aktivním režimu a připravená k použití. Provedete to tak, že přejdete do části Monitorování>stavu serveru lokality. Tady můžete zobrazit servery lokality v aktivním i pasivním režimu.

Karta Souhrn :

  • Sloupec Režim určuje, který server je aktivní nebo pasivní.
  • Ve sloupci Stav se zobrazí seznam OK , pokud je server pasivního režimu synchronizovaný se serverem aktivního režimu.
  • Pokud chcete zobrazit další podrobnosti o stavu synchronizace obsahu, klikněte na Zobrazit stav ze stavu synchronizace obsahu. Otevře se karta Knihovna obsahu, kde se můžete pokusit opravit problémy se synchronizací obsahu.

Karta Knihovna obsahu :

  • Zobrazte stav obsahu, který se synchronizuje ze serveru aktivní lokality na server lokality pasivního režimu.
  • Můžete vybrat obsah se stavem Selhání a pak na pásu karet zvolit Synchronizovat vybrané položky . Tato akce se pokusí znovu synchronizovat obsah ze zdroje obsahu na server lokality pasivního režimu. Během obnovení se stav zobrazuje jako Probíhá, a když je synchronizovaný, zobrazí se jako Úspěch.

Vyzkoušejte si to!

Zkuste provést následující úkoly a pak nám na kartě Domů na pásu karet pošlete zpětnou vazbu, abyste nám dali vědět, jak to fungovalo:

  • Můžu nainstalovat primární lokalitu v pasivním režimu.
  • Pomocí konzoly lze zvýšit úroveň serveru lokality pasivního režimu, aby se z něj udělal server lokality v aktivním režimu, a potvrdit změnu stavu obou serverů lokality.

Zahrnutí důvěryhodnosti pro konkrétní soubory a složky do zásad ochrany Device Guard

V této verzi jsme přidali další funkce pro správu zásad Ochrany Device Guard .

Teď můžete volitelně přidat vztah důvěryhodnosti pro konkrétní soubory pro složky v zásadách ochrany Device Guard. To vám umožní:

  1. Řešení problémů s chováním spravovaného instalačního programu
  2. Důvěřovat obchodním aplikacím, které nejde nasadit pomocí Configuration Manager
  3. Důvěřovat aplikacím, které jsou součástí image nasazení operačního systému.

Vyzkoušejte si to!

  1. Při vytváření zásad Ochrany Device Guard klikněte na kartě Zahrnutí v průvodci vytvořením zásad Device Guard na Přidat.
  2. V dialogovém okně Přidat důvěryhodný soubor nebo složku zadejte informace o souboru nebo složce, kterým chcete důvěřovat. Můžete zadat cestu k místnímu souboru nebo složce nebo se připojit ke vzdálenému zařízení, ke kterému máte oprávnění k připojení, a určit cestu k souboru nebo složce na tomto zařízení.
  3. Dokončete průvodce.

Skrýt průběh pořadí úkolů

V této verzi můžete pomocí nové proměnné určit, kdy se bude průběh pořadí úkolů zobrazovat koncovým uživatelům. V pořadí úkolů pomocí kroku Nastavit proměnnou pořadí úkolů nastavte hodnotu proměnné TSDisableProgressUI pro skrytí nebo zobrazení průběhu pořadí úkolů. Pokud chcete změnit hodnotu proměnné, můžete v pořadí úkolů několikrát použít krok Nastavit proměnnou pořadí úkolů. To umožňuje skrýt nebo zobrazit průběh pořadí úkolů v různých částech pořadí úkolů.

Skrytí průběhu pořadí úkolů

V editoru pořadí úkolů pomocí kroku Nastavit proměnnou pořadí úkolů nastavte hodnotu proměnné TSDisableProgressUI na True , aby se skryl průběh pořadí úkolů.

Zobrazení průběhu pořadí úkolů

V editoru pořadí úkolů pomocí kroku Nastavit proměnnou pořadí úkolů nastavte hodnotu proměnné TSDisableProgressUI na Hodnotu False , aby se zobrazil průběh pořadí úkolů.

Určení jiného umístění obsahu pro instalaci a odinstalaci obsahu

V Configuration Manager dnes zadáte umístění instalace, které obsahuje instalační soubory aplikace. Když zadáte umístění instalace, použije se také jako umístění odinstalace pro obsah aplikace. Pokud na základě vaší zpětné vazby chcete odinstalovat nasazenou aplikaci a obsah aplikace není na klientském počítači, klient před odinstalací aplikace znovu stáhne všechny instalační soubory aplikace. Chcete-li tento problém vyřešit, můžete nyní zadat umístění instalačního obsahu i volitelné umístění obsahu odinstalace. Kromě toho se můžete rozhodnout nezadávat umístění obsahu pro odinstalaci.

Vyzkoušejte si to!

  1. Ve vlastnostech typu nasazení aplikace klikněte na kartu Obsah .
  2. Nakonfigurujte umístění obsahu instalace jako normální.
  3. V části Odinstalovat nastavení obsahu zvolte jednu z následujících možností:
    • Stejné jako obsah instalace – použije se stejné umístění obsahu bez ohledu na to, jestli aplikaci instalujete nebo odinstalujete.
    • Žádný obsah pro odinstalaci – Tuto možnost vyberte, pokud nechcete pro aplikaci zadat umístění obsahu pro odinstalaci.
    • Liší se od instalačního obsahu – Tuto možnost vyberte, pokud chcete zadat umístění obsahu pro odinstalaci, které se liší od umístění instalačního obsahu.
  4. Pokud jste vybrali jiné než instalační obsah, vyhledejte nebo zadejte umístění obsahu aplikace, které se použije k odinstalaci aplikace.
  5. Kliknutím na OK zavřete dialogové okno vlastností typu nasazení.

Vylepšení přístupnosti

Tato verze Preview přináší několik vylepšení funkcí přístupnosti v konzole Configuration Manager. Patří mezi ně:

Nové klávesové zkratky pro pohyb po konzole:

  • Ctrl +M – Nastaví fokus na hlavním (centrálním) podokně.
  • Ctrl + T – Nastaví fokus na horní uzel v navigačním podokně. Pokud už byl fokus v daném podokně, nastaví se na poslední navštívený uzel.
  • Ctrl + I – Nastaví fokus na panel s popisem cesty pod pásem karet.
  • Ctrl +L – Nastaví fokus na pole Hledat , pokud je k dispozici.
  • Ctrl +D – Nastaví fokus na podokno podrobností, pokud je k dispozici.
  • Alt – Změní fokus na pásu karet a z pásu karet.

Obecná vylepšení:

  • Vylepšená navigace v navigačním podokně při zadávání písmen názvu uzlu.
  • Navigace pomocí klávesnice v hlavním zobrazení a pásu karet jsou teď kruhové.
  • Navigace pomocí klávesnice v podokně podrobností je teď cyklické. Pokud se chcete vrátit k předchozímu objektu nebo podoknu, použijte ctrl + D a pak Shift + TAB.
  • Po aktualizaci zobrazení Pracovního prostoru se fokus nastaví na hlavní podokno tohoto pracovního prostoru.
  • Opravili jsme problém, který umožňoval čtečkám obrazovky oznamovat názvy položek seznamu.
  • Přidání přístupných názvů pro více ovládacích prvků na stránce, které umožňují čtečkám obrazovky oznamovat důležité informace.

Změny v Průvodci službami Azure pro podporu připravenosti na upgrade

Počínaje touto verzí nakonfigurujte připojení z Configuration Manager na Upgrade Readiness pomocí Průvodce službami Azure. Použití průvodce zjednodušuje konfiguraci konektoru pomocí běžného průvodce pro související služby Azure.

I když se změnila metoda konfigurace připojení, požadavky na připojení a způsob použití nástroje Upgrade Readiness zůstanou beze změny.

Předpoklady pro upgrade Readiness

Požadavky pro připojení k nástroji Upgrade Readiness se nezměnily od požadavků popsaných pro aktuální větev Configuration Manager. Tady se opakují pro usnadnění:

Požadavky

  • Aby bylo možné přidat připojení, musí prostředí Configuration Manager nejprve nakonfigurovat spojovací bod služby v online režimu. Když přidáte připojení k vašemu prostředí, nainstaluje se také agent Microsoft Monitoring Agent na počítač, na kterém běží tato role systému lokality.
  • Zaregistrujte Configuration Manager jako nástroj pro správu webové aplikace nebo webového rozhraní API a získejte ID klienta z této registrace.
  • Vytvořte klíč klienta pro registrovaný nástroj pro správu v Microsoft Entra ID.
  • V Azure Portal poskytněte zaregistrované webové aplikaci oprávnění pro přístup k OMS.

Důležité

Při konfiguraci oprávnění pro přístup k OMS nezapomeňte zvolit roli Přispěvatel a přiřadit jí oprávnění ke skupině prostředků registrované aplikace.

Po nakonfigurování požadavků jste připraveni použít průvodce k vytvoření připojení.

Konfigurace připravenosti upgradu pomocí Průvodce službami Azure

  1. V konzole přejděte naPřehled>správy>Cloud Services>Azure Services a pak na kartě Domů na pásu karet zvolte Konfigurovat služby Azure a spusťte Průvodce službami Azure.

  2. Na stránce Služby Azure vyberte Upgrade Readiness Connector a pak klikněte na Další.

  3. Na stránce Aplikace zadejte své prostředí Azure (Technical Preview podporuje jenom veřejný cloud). Potom kliknutím na Importovat otevřete okno Importovat aplikace .

  4. V okně Importovat aplikace zadejte podrobnosti o webové aplikaci, která už existuje ve vašem ID Microsoft Entra.

    • Zadejte popisný název pro název tenanta Microsoft Entra. Pak zadejte ID tenanta, název aplikace, ID klienta, tajný klíč pro webovou aplikaci Azure a identifikátor URI ID aplikace.
    • Klikněte na Ověřit a v případě úspěchu pokračujte kliknutím na OK .

  5. Na stránce Konfigurace zadejte předplatné, skupinu prostředků a pracovní prostor Windows Analytics, které chcete s tímto připojením použít, do možnosti Upgrade Readiness.

  6. Kliknutím na Další přejděte na stránku Souhrn a potom dokončete průvodce a vytvořte připojení.

Nová nastavení klienta pro cloudové služby

V této verzi jsme do Configuration Manager přidali dvě nová nastavení klienta. Najdete je v části Cloud Services. Tato nastavení poskytují následující možnosti:

  • Určete, kteří Configuration Manager klienti mají přístup k nakonfigurované bráně pro správu cloudu.
  • Automaticky zaregistrovat Windows 10 klienty Configuration Manger připojené k doméně s ID Microsoft Entra.

Tato nová nastavení vám pomůžou dosáhnout funkcí popsaných v Configuration Manager 1705 Technical Preview.

Než začnete

Musíte mít nainstalované a nakonfigurované Microsoft Entra Připojení mezi místní Active Directory a tenantem Microsoft Entra.

Pokud připojení odeberete, zařízení se neodregistrují, ale žádná nová zařízení se nezaregistrují.

Vyzkoušejte si to!

  1. Nakonfigurujte následující nastavení klienta (najdete v Cloud Services) pomocí informací v části Konfigurace nastavení klienta.
    • Automatická registrace nových zařízení Windows 10 připojených k doméně s ID Microsoft Entra – Nastavte na Ano (výchozí) nebo Ne.
    • Povolit klientům používat bránu pro správu cloudu – nastavte na Ano (výchozí) nebo Ne.
  2. Nasaďte nastavení klienta do požadované kolekce zařízení.

Pokud chcete ověřit, že je zařízení připojené k id Microsoft Entra, spusťte příkaz dsregcmd.exe /status v okně příkazového řádku. V poli AzureAdjoined ve výsledcích se zobrazí ANO, pokud je zařízení připojené Microsoft Entra.

Vytváření a spouštění skriptů PowerShellu z konzoly Configuration Manager

V Configuration Manager můžete nasazovat skripty do klientských zařízení pomocí balíčků a programů. V této verzi Technical Preview jsme přidali nové funkce, které umožňují provádět následující akce:

  • Import skriptů PowerShellu do Configuration Manager
  • Upravte skripty z konzoly Configuration Manager (pouze pro nepodepsané skripty)
  • Pokud chcete zlepšit zabezpečení, označte skripty jako schválené nebo zamítnuté.
  • Spouštějte skripty na kolekcích klientských počítačů s Windows a místně spravovaných počítačích s Windows. Nenasazujete skripty, ale spouští se téměř v reálném čase na klientských zařízeních.
  • Zkontrolujte výsledky vrácené skriptem v konzole Configuration Manager.

Požadavky

Pokud chcete používat skripty, musíte být členem příslušné role zabezpečení Configuration Manager.

  • Pokud chcete importovat a vytvářet skripty – Váš účet musí mít oprávnění k vytvářenískriptů SMS v roli zabezpečení Úplný správce .
  • Pokud chcete schvalovat nebo odepřít skripty – Váš účet musí mít oprávnění Ke schválenískriptů SMS v roli zabezpečení Úplný správce .
  • Pokud chcete spouštět skripty – Váš účet musí mít oprávnění Spustit skript pro kolekce v roli zabezpečení Správce nastavení dodržování předpisů .

Další informace o Configuration Manager rolích zabezpečení najdete v tématu Základy správy na základě rolí.

Ve výchozím nastavení nemůžou uživatelé schválit skript, který vytvořili. Vzhledem k tomu, že skripty jsou výkonné, všestranné a dají se nasadit do mnoha zařízení, zavedli jsme nový koncept, který umožňuje oddělit role mezi osobou, která skript vytváří, a osobou, která skript schvaluje. To poskytuje další úroveň zabezpečení proti spuštění skriptu bez dohledu. Toto sekundární schválení můžete vypnout, aby se usnadnilo testování, zejména během vydání Technical Preview.

Povolení schvalování vlastních skriptů uživatelům:

  1. V konzole Configuration Manager klikněte na Správa.
  2. V pracovním prostoru Správa rozbalte Položku Konfigurace lokality a potom klikněte na položku Lokality.
  3. V seznamu webů zvolte svůj web a potom na kartě Domů ve skupině Weby klikněte na Nastavení hierarchie.
  4. Na kartě Obecné v dialogovém okně Vlastnosti nastavení hierarchiezrušte zaškrtnutí políčka Nepovolit autorům skriptů schvalovat vlastní skripty.

Vyzkoušejte si to!

Import a úprava skriptu

  1. V konzole Configuration Manager klikněte na Softwarová knihovna.
  2. V pracovním prostoru Softwarová knihovna klikněte na Skripty.
  3. Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit skript.
  4. Na stránce Skript v průvodci vytvořením skriptu nakonfigurujte následující:
    • Název skriptu – zadejte název skriptu. I když můžete vytvořit více skriptů se stejným názvem, bude pro vás obtížnější najít skript, který potřebujete v konzole Configuration Manager.
    • Skriptovací jazyk – V současné době se podporují jenom skripty PowerShellu .
    • Import – Importuje do konzoly skript PowerShellu. Skript se zobrazí v poli Skript .
    • Vymazat – odebere aktuální skript z pole Skript .
    • Script – zobrazí aktuálně importovaný skript. Skript v tomto poli můžete podle potřeby upravit.
  5. Dokončete průvodce. Nový skript se zobrazí v seznamu Skript se stavem Čeká se na schválení. Před spuštěním tohoto skriptu na klientských zařízeních ho musíte schválit.

Schválení nebo zamítnutí skriptu

Před spuštěním skriptu je nutné ho schválit. Schválení skriptu:

  1. V konzole Configuration Manager klikněte na Softwarová knihovna.
  2. V pracovním prostoru Softwarová knihovna klikněte na Skripty.
  3. V seznamu Skript zvolte skript, který chcete schválit nebo zamítnout, a potom na kartě Domů ve skupině Skript klikněte na Schválit nebo zamítnout.
  4. V dialogovém okně Schválit nebo zamítnout skriptmůžete schválit nebo zamítnout skript a volitelně zadat komentář k vašemu rozhodnutí. Pokud skript zamítnete, nebude možné ho spustit na klientských zařízeních.
  5. Dokončete průvodce. V seznamu Skript uvidíte změnu sloupce Stav schválení v závislosti na akci, kterou jste provedli.

Spuštění skriptu

Jakmile je skript schválen, můžete ho spustit pro kolekci, kterou zvolíte.

  1. V konzole Configuration Manager klikněte na Prostředky a kompatibilita.
  2. V pracovním prostoru Prostředky a kompatibilita klikněte na Kolekce zařízení.
  3. V seznamu Kolekce zařízení klikněte na kolekci zařízení, na kterých chcete skript spustit.
  4. Na kartě Domů ve skupině Všechny systémy klikněte na Spustit skript.
  5. Na stránce Skript v průvodci Spuštěním skriptu zvolte v seznamu skript. Zobrazí se pouze schválené skripty. Klikněte na Další a dokončete průvodce.

Monitorování skriptu

Po spuštění skriptu pro klientská zařízení použijte tento postup ke sledování úspěšnosti operace.

  1. V konzole Configuration Manager klikněte na Monitorování.
  2. V pracovním prostoru Monitorování klikněte na Výsledky skriptů.
  3. V seznamu Výsledky skriptu zobrazíte výsledky pro každý skript, který jste spustili na klientských zařízeních. Ukončovací kód skriptu 0 obecně značí, že se skript úspěšně spustil.

Podpora spouštění ze sítě PXE pro protokol IPv6

Teď můžete povolit podporu spouštění ze sítě PXE pro protokol IPv6 a spustit nasazení operačního systému pořadí úkolů. Při použití tohoto nastavení budou distribuční body s podporou PXE podporovat protokolY IPv4 i IPv6. Tato možnost nevyžaduje službu WDS, a pokud je k dispozici, službu WDS zastaví.

Povolení podpory spouštění PXE pro protokol IPv6

Pomocí následujícího postupu povolte možnost pro podporu IPv6 pro PXE.

  1. V konzole Configuration Manager přejděte naPřehled>správy>Distribuční body a klikněte na Vlastnosti distribučních bodů s povoleným PXE.
  2. Na kartě PXE vyberte Podpora protokolu IPv6 a povolte podporu IPv6 pro technologii PXE.

Správa aktualizací ovladačů Microsoft Surface

Teď můžete používat Configuration Manager ke správě aktualizací ovladačů Microsoft Surface.

Požadavky

Všechny body aktualizace softwaru musí běžet Windows Server 2016.

Vyzkoušejte si to!

Zkuste provést následující úkoly a pak nám na kartě Domů na pásu karet pošlete zpětnou vazbu, abyste nám dali vědět, jak to fungovalo:

  1. Povolte synchronizaci pro ovladače Microsoft Surface. Použijte postup v části Konfigurace klasifikace a produktů a na kartě Klasifikace vyberte Zahrnout ovladače a aktualizace firmwaru Microsoft Surface a povolte ovladače Surface.
  2. Synchronizujte ovladače Microsoft Surface.
  3. Nasazení synchronizovaných ovladačů Microsoft Surface

Konfigurace zásad odkladu služba Windows Update pro firmy

Teď můžete nakonfigurovat zásady odkladu pro Aktualizace funkce Windows 10 nebo Aktualizace kvality pro Windows 10 zařízení spravovaná přímo službou služba Windows Update for Business. Zásady odkladu můžete spravovat v novém uzlu služba Windows Update pro obchodní zásady v části Softwarová knihovna>Windows 10 Údržba.

Požadavky

Windows 10 zařízení spravovaná službou služba Windows Update for Business musí mít připojení k internetu.

Vytvoření zásady odkladu služba Windows Update pro firmy

  1. V softwarové knihovně>Windows 10 Údržba>služba Windows Update pro obchodní zásady
  2. Na kartě Domů ve skupině Vytvořit vyberte Vytvořit služba Windows Update pro obchodní zásady a otevřete Průvodce vytvořením služba Windows Update pro obchodní zásady.
  3. Na stránce Obecné zadejte název a popis zásady.
  4. Na stránce Zásady odložení nakonfigurujte, jestli chcete Aktualizace funkcí odložit nebo pozastavit.
    Aktualizace funkcí jsou obecně nové funkce pro Windows. Po nakonfigurování nastavení Úroveň připravenosti větve pak můžete definovat, jestli a na jak dlouho chcete odložit příjem funkcí Aktualizace v závislosti na jejich dostupnosti od Microsoftu.
    • Úroveň připravenosti větve: Nastavte větev, pro kterou bude zařízení dostávat aktualizace Windows (Current Branch nebo Current Branch for Business).
    • Doba odkladu (dny): Zadejte počet dnů, o které se Aktualizace funkce odloží. Příjem těchto Aktualizace funkcí můžete odložit o 180 dnů od jejich vydání.
    • Pozastavit funkce Aktualizace spuštění: Vyberte, jestli chcete zařízením pozastavit příjem Aktualizace funkcí po dobu až 60 dnů od pozastavení aktualizací. Po uplynutí maximálního počtu dnů platnost funkce pozastavení automaticky vyprší a zařízení vyhledá příslušné aktualizace ve Windows Aktualizace. Po této kontrole můžete aktualizace znovu pozastavit. Zrušením zaškrtnutí políčka můžete zrušit Aktualizace funkcí.
  5. Zvolte, jestli chcete pozdržet nebo pozastavit Aktualizace pro zvýšení kvality.
    Aktualizace pro zvýšení kvality jsou obecně opravy a vylepšení stávajících funkcí Systému Windows a jsou obvykle publikovány každé první úterý v měsíci, ale microsoft je může kdykoli vydat. Můžete definovat, jestli a jak dlouho chcete odložit příjem Aktualizace pro zvýšení kvality po jejich dostupnosti.
    • Doba odkladu (dny): Zadejte počet dnů, o které se Aktualizace funkce odloží. Příjem těchto Aktualizace funkcí můžete odložit o 180 dnů od jejich vydání.
    • Pozastavit spuštění Aktualizace kvality: Vyberte, jestli se má zařízením pozastavit příjem Aktualizace pro zvýšení kvality po dobu až 35 dnů od pozastavení aktualizací. Po uplynutí maximálního počtu dnů platnost funkce pozastavení automaticky vyprší a zařízení vyhledá příslušné aktualizace ve Windows Aktualizace. Po této kontrole můžete aktualizace znovu pozastavit. Zrušením zaškrtnutí políčka můžete zrušit Aktualizace pro zvýšení kvality.
  6. Výběrem možnosti Instalovat aktualizace z jiných produktů společnosti Microsoft povolte nastavení zásad skupiny, které nastaví, že se nastavení odkladu použije pro službu Microsoft Update a windows Aktualizace.
  7. Pokud chcete automaticky aktualizovat ovladače z Windows Aktualizace, vyberte Zahrnout ovladače s služba Windows Update. Pokud toto nastavení vymažete, aktualizace ovladačů se z windows Aktualizace stáhnou.
  8. Dokončete průvodce a vytvořte nové zásady odložení.

Nasazení zásad odložení služba Windows Update for Business

  1. V softwarové knihovně>Windows 10 Údržba>služba Windows Update pro obchodní zásady
  2. Na kartě Domů ve skupině Nasazení vyberte Nasadit služba Windows Update pro obchodní zásady.
  3. Nakonfigurujte následující nastavení:
    • Zásady konfigurace k nasazení: Vyberte zásadu služba Windows Update for Business, kterou chcete nasadit.
    • Kolekce: Klikněte na Procházet a vyberte kolekci, do které chcete zásadu nasadit.
    • Náprava nevyhovujících pravidel, pokud je podporována: Tuto možnost vyberte, pokud chcete automaticky opravit všechna pravidla, která nevyhovují rozhraní WMI (Windows Management Instrumentation), registru, skriptů a všech nastavení pro mobilní zařízení zaregistrovaná službou Configuration Manager.
    • Povolit nápravu mimo časové období údržby: Pokud je pro kolekci, do které nasazujete zásadu, nakonfigurované časové období údržby, povolte tuto možnost, pokud chcete nastavení dodržování předpisů opravit hodnotu mimo časové období údržby. Další informace o časových obdobích údržby najdete v tématu Použití časových období údržby.
    • Vygenerovat výstrahu: Nakonfiguruje výstrahu, která se vygeneruje, pokud je dodržování předpisů standardních hodnot konfigurace k zadanému datu a času menší než zadané procento. Můžete také určit, jestli se má výstraha odesílat do nástroje System Center Operations Manager.
    • Náhodné zpoždění (hodiny): Určuje interval zpoždění, aby se zabránilo nadměrnému zpracování ve Službě zápisu síťových zařízení. Výchozí hodnota je 64 hodin.
    • Plán: Zadejte plán vyhodnocení dodržování předpisů, podle kterého se nasazený profil vyhodnocuje na klientských počítačích. Plán může být jednoduchý nebo vlastní. Profil vyhodnocují klientské počítače při přihlášení uživatele.
  4. Dokončete průvodce a nasaďte profil.

Podpora pro svěření certifikačních autorit

Configuration Manager teď podporuje svěření certifikačních autorit, což umožňuje doručování certifikátů PFX do zařízení zaregistrovaných v Microsoft Intune.

Roli Svěření můžete nakonfigurovat jako certifikační autoritu při přidávání role bodu registrace certifikátu v Configuration Manager. Při přidávání nového profilu certifikátu, který vydává certifikáty PFX, můžete vybrat certifikační autoritu Microsoft nebo Pověřit.

Známý problém: Ve verzi 1706 Technical Preview se certifikáty PFX nevystavují pro certifikační autority Microsoftu. To nemá vliv na importované certifikáty PFX ani profily SCEP.

Podpora cisco (IPsec) pro profily VPN pro iOS

Můžete vytvořit profil VPN pro iOS s typem připojení Cisco (IPsec). Další informace najdete v tématu Vytvoření profilů SÍTĚ VPN.

Nová nastavení položky konfigurace Windows

V této verzi jsme přidali následující nová nastavení, která můžete použít v položkách konfigurace Windows:

Password

  • Šifrování zařízení

Device

  • Změna nastavení oblasti (jenom desktopová verze)
  • Úprava nastavení napájení a režimu spánku
  • Úprava nastavení jazyka
  • Úprava systémového času
  • Změna názvu zařízení

Úložiště

  • Automatická aktualizace aplikací ze Storu
  • Použít jenom privátní úložiště
  • Spuštění aplikace pocházející ze Storu

Microsoft Edge

  • Blokování přístupu k about:flags
  • Přepsání výzvy filtru SmartScreen
  • Přepsání výzvy filtru SmartScreen pro soubory
  • IP adresa místního hostitele webRTC
  • Výchozí vyhledávací web
  • OpenSearch XML URL
  • Domovské stránky (jenom desktopové)

Další informace o nastavení dodržování předpisů najdete v tématu Zajištění dodržování předpisů zařízením.

Nová pravidla zásad dodržování předpisů zařízením

  • Požadovaný typ hesla. Určete, jestli musí uživatel vytvořit alfanumerické nebo číselné heslo. U alfanumerických hesel také zadáte minimální počet znakových sad, které musí heslo obsahovat. Čtyři znakové sady jsou: Malá písmena, velká písmena, symboly a čísla.

    Podporováno v:

    • Windows Phone 8 nebo novější
    • Windows 8.1+
    • iOS 6 nebo novější

  • Zablokujte ladění USB na zařízení. Toto nastavení nemusíte konfigurovat, protože ladění USB je na zařízeních s Androidem for Work už zakázané.

    Podporováno v:

    • Android 4.0 nebo novější
    • Samsung KNOX Standard 4.0+

  • Blokování aplikací z neznámých zdrojů Vyžadovat, aby zařízení bránila instalaci aplikací z neznámých zdrojů. Toto nastavení nemusíte konfigurovat, protože zařízení s Androidem for Work vždy omezují instalaci z neznámých zdrojů.

    Podporováno v:

    • Android 4.0 nebo novější
    • Samsung KNOX Standard 4.0+

  • Vyžadovat kontrolu hrozeb u aplikací. Toto nastavení určuje, že je na zařízení povolená funkce Ověřit aplikace.

    Podporováno v:

    • Android 4.2 až 4.4
    • Samsung KNOX Standard 4.0+

Nová nastavení zásad správy mobilních aplikací

Od této verze můžete použít tři nová nastavení zásad správy mobilních aplikací (MAM):

  • Blokovat snímek obrazovky (jenom zařízení s Androidem): Určuje, že funkce zachycení obrazovky zařízení jsou při použití této aplikace blokované.

  • Zakázat synchronizaci kontaktů: Zabrání aplikaci v ukládání dat do nativní aplikace Kontakty v zařízení.

  • Zakázat tisk: Zabrání aplikaci v tisku pracovních nebo školních dat.

Omezení registrace androidu a iOSu

Od této verze teď můžou správci určit, že uživatelé nemůžou registrovat osobní zařízení s Androidem nebo iOSem ve svém hybridním prostředí. To vám umožní omezit zaregistrovaná zařízení jenom na předem deklarovaná zařízení vlastněná společností nebo zařízení s iOSem zaregistrovaná v Programu registrace zařízení.

Vyzkoušet

  1. V konzole Configuration Manager v pracovním prostoru Správa přejděte na Cloud Services>Microsoft Intune Předplatné.
  2. Na kartě Domů ve skupině Předplatné zvolte Konfigurovat platformy a pak vyberte Android nebo iOS.
  3. Vyberte Blokovat zařízení v osobním vlastnictví.

Zásady správy aplikací pro Android for Work pro kopírování a vložení

Aktualizovali jsme popisy nastavení pro položky konfigurace Androidu for Work pro možnost Povolit sdílení dat mezi pracovním a osobním profilem.

Před 1706 Technical Preview Název nové možnosti Chování
Zabránění sdílení napříč hranicemi Výchozí omezení sdílení Work-to-personal: Výchozí (ve všech verzích se očekává blokování)
Osobní do práce: Výchozí (povoleno ve verzi 6.x+, blokováno 5.x)
Bez omezení Aplikace v osobním profilu můžou zpracovávat žádosti o sdílení z pracovního profilu. Work-to-personal: Allowed
Osobní do práce: Povoleno
Aplikace v pracovním profilu můžou zpracovávat žádosti o sdílení z osobního profilu. Aplikace v pracovním profilu můžou zpracovávat žádosti o sdílení z osobního profilu. Work-to-personal: Default
Osobní do práce: Povoleno
(Užitečné pouze u verze 5.x, kde je zablokovaná funkce personal-to-work.

Žádná z těchto možností přímo nebrání chování kopírování a vkládání. Do služby a aplikace Portál společnosti ve verzi 1704 jsme přidali vlastní nastavení, které je možné nakonfigurovat tak, aby se zabránilo kopírování a vkládání. To je možné nastavit prostřednictvím vlastního identifikátoru URI.

  • OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • Typ hodnoty: Logická hodnota

Nastavení DisallowCrossProfileCopyPaste na hodnotu true zabrání chování kopírování a vkládání mezi osobním a pracovním profilem Androidu for Work.

Vyzkoušet

  1. V konzole Configuration Manager vyberte Prostředky apřehled>nastavení>dodržování předpisů>Položky konfigurace.
  2. Zvolte Vytvořit a vytvořte novou položku konfigurace a zadejte Název a Android for Work.
  3. Ve skupinách nastavení zařízení, které chcete konfigurovat, vyberte Pracovní profil a zvolte Další.
  4. Vyberte hodnotu Povolit sdílení dat mezi pracovním a osobním profilem a dokončete průvodce.

Posouzení ověření stavu zařízení pro zásady dodržování předpisů pro podmíněný přístup

Od této verze můžete stav ověření stavu zařízení použít jako pravidlo zásad dodržování předpisů pro podmíněný přístup k prostředkům společnosti.

Vyzkoušet

V rámci posouzení zásad dodržování předpisů vyberte pravidlo ověření stavu zařízení.