Funktionen in Technical Preview 1702 für Configuration Manager

Gilt für: Configuration Manager (Technical Preview-Branch)

In diesem Artikel werden die Features vorgestellt, die in der Technical Preview für Configuration Manager Version 1702 verfügbar sind. Sie können diese Version installieren, um Ihre Configuration Manager Technical Preview-Website zu aktualisieren und neue Funktionen hinzuzufügen. Lesen Sie vor der Installation dieser Version der Technical Preview das Einführungsthema Technical Preview für Configuration Manager, um sich mit den allgemeinen Anforderungen und Einschränkungen für die Verwendung einer Technical Preview vertraut zu machen, wie Sie zwischen Versionen aktualisieren und Feedback zu den Features in einer Technical Preview geben.

Im Folgenden finden Sie neue Features, die Sie mit dieser Version ausprobieren können.

Senden von Feedback über die Configuration Manager-Konsole

In dieser Vorschau werden neue Feedbackoptionen in der Configuration Manager-Konsole eingeführt. Mit den Feedbackoptionen können Sie Feedback direkt über die Configuration Manager Produktfeedback-Website an das Entwicklungsteam senden.

Sie finden die Option Feedback :

• Im Menüband ganz links auf der Registerkarte Start jedes Knotens.
  

• Wenn Sie mit der rechten Maustaste auf ein beliebiges Objekt in der Konsole klicken.
  

Wenn Sie Feedback auswählen, wird In Ihrem Browser die Configuration Manager Produktfeedback-Website geöffnet.

Änderungen für Updates und Wartung

In dieser Vorschau werden die folgenden Schritte eingeführt.

Einfachere Updateoptionen
Wenn Ihre Infrastruktur das nächste Mal für zwei oder mehr Updates qualifiziert ist, wird nur das neueste Update heruntergeladen. Wenn Ihre aktuelle Websiteversion beispielsweise zwei oder mehr älter als die neueste verfügbare Version ist, wird nur die neueste Updateversion automatisch heruntergeladen.

Sie haben die Möglichkeit, die anderen verfügbaren Updates herunterzuladen und zu installieren, auch wenn sie nicht die aktuellste Version sind. Sie erhalten jedoch eine Warnung, dass das Update durch ein neueres ersetzt wurde. Um ein Update herunterzuladen, das als Download verfügbar ist, wählen Sie das Update in der Konsole aus, und klicken Sie dann auf Herunterladen.

Verbesserte Bereinigung älterer Updates
Wir haben eine automatische sauber-Up-Funktion hinzugefügt, die die nicht benötigten Downloads aus dem Ordner "EasySetupPayload" auf Ihrem Standortserver löscht.

Verbesserungen beim Peercache

Ab diesem Release lehnt ein Peercachequellcomputer eine Anforderung für Inhalte ab, wenn der Peercachequellcomputer eine der folgenden Bedingungen erfüllt:

• Befindet sich im Akkumodus mit niedrigem Akkustand.
• Die CPU-Auslastung überschreitet zum Zeitpunkt der Anforderung des Inhalts 80 %.
• Die Datenträger-E/A verfügt über eine AvgDiskQueueLength , die 10 überschreitet.
• Es sind keine weiteren Verbindungen mit dem Computer verfügbar.

Sie können diese Einstellungen mithilfe der Client-Agent-Konfigurationsklasse für das Peerquellfeature (SMS_WinPEPeerCacheConfig) konfigurieren, wenn Sie das Configuration Manager SDK verwenden.

Wenn der Computer eine Anforderung für den Inhalt ablehnt, sucht der anfordernde Computer weiterhin nach Inhalten aus alternativen Quellen in seinem Pool verfügbarer Inhaltsquellen.

Verwenden von Microsoft Entra Domain Services zum Verwalten von Geräten, Benutzern und Gruppen

Mit dieser Technical Preview-Version können Sie Geräte verwalten, die in eine Microsoft Entra Domain Services verwaltete Domäne eingebunden sind. Sie können auch Geräte, Benutzer und Gruppen in dieser Domäne mit verschiedenen Configuration Manager Ermittlungsmethoden ermitteln.

Die Technical Preview-Standortinfrastruktur, Clients und die Microsoft Entra Domain Services Domäne müssen alle in Azure ausgeführt werden.

Einrichten von Configuration Manager für die Verwendung Microsoft Entra ID

Um Microsoft Entra ID mit Configuration Manager verwenden zu können, benötigen Sie Folgendes:

• Azure-Abonnement.
• Microsoft Entra-ID mit Domain Services (DS).
• Ein Configuration Manager Standort, der auf einer Azure-VM ausgeführt wird, die mit Ihrer Microsoft Entra-ID verknüpft ist.
• Configuration Manager Clients, die in derselben Microsoft Entra-Umgebung ausgeführt werden.

Informationen zum Konfigurieren Microsoft Entra Domain Service finden Sie unter Erste Schritte mit Microsoft Entra Domain Services.

Entdecken von Ressourcen

Nachdem Sie Configuration Manager für die Ausführung in Microsoft Entra ID eingerichtet haben, können Sie die folgenden Active Directory-Ermittlungsmethoden verwenden, um Microsoft Entra ID nach Ressourcen zu durchsuchen:

• Active Directory-Systemermittlung
• Active Directory-Benutzerermittlung
• Active Directory-Gruppenermittlung

Bearbeiten Sie für jede methode, die Sie verwenden, die LDAP-Abfrage, um die Microsoft Entra ORGANISATIONSstrukturen anstelle der Container zu durchsuchen, die typisch für lokales Active Directory sind. Dies erfordert, dass Sie die Abfrage anweisen, Ihr Active Directory in Ihrem Azure-Abonnement zu durchsuchen.

In den folgenden Beispielen wird die Microsoft Entra-ID contoso.onmicrosoft.com verwendet:

• Systemermittlung
  Microsoft Entra ID speichert Geräte unter der Organisationseinheit AADDC-Computer. Konfigurieren Sie Folgendes:

  • LDAP://OU=AADDC Computers,DC=contoso,DC=onmicrosoft,DC=com

• Die Benutzerermittlung Microsoft Entra-ID speichert Benutzer unter der Organisationseinheit AADDC-Benutzer. Konfigurieren Sie Folgendes:

  • LDAP://OU=AADDC Users,DC= contoso,DC=onmicrosoft,DC=com

• Gruppenermittlung
  Microsoft Entra-ID verfügt nicht über eine Organisationseinheit, in der Gruppen gespeichert werden. Verwenden Sie stattdessen die gleiche allgemeine Struktur wie die System- oder Benutzerabfragen, und konfigurieren Sie die LDAP-Abfrage so, dass sie auf die Organisationseinheit verweist, die die Gruppen enthält, die Sie ermitteln möchten.

Weitere Informationen zur Microsoft Entra-ID finden Sie im Folgenden:

• Microsoft Entra Domain Services Produktinformationen
• Active Directory Domain Services Dokumentation

Verbesserungen der Gerätekonformitätsrichtlinie für bedingten Zugriff

Eine neue Gerätekonformitätsrichtlinienregel ist verfügbar, mit der Sie den Zugriff auf Unternehmensressourcen blockieren können, die den bedingten Zugriff unterstützen, wenn Benutzer Apps verwenden, die Teil einer nicht konformen Liste von Apps sind. Die nicht kompatible Liste der Apps kann vom Administrator definiert werden, wenn die neue kompatible Regel Apps hinzugefügt wird, die nicht installiert werden können. Diese Regel erfordert, dass der Administrator den App-Namen, die App-ID und den App-Herausgeber (optional) eingibt, wenn eine App zur nicht konformen Liste hinzugefügt wird. Diese Einstellung gilt nur für iOS- und Android-Geräte.

Darüber hinaus hilft dies Organisationen dabei, Datenlecks durch ungesicherte Apps zu minimieren und einen übermäßigen Datenverbrauch durch bestimmte Apps zu verhindern.

Probieren Sie es aus

Szenario: Identifizieren Sie Apps, die datenlecks verursachen können, indem Unternehmensdaten außerhalb Ihres Unternehmens gesendet werden, oder die einen übermäßigen Datenverbrauch verursachen, und erstellen Sie dann eine Gerätekonformitätsrichtlinie für bedingten Zugriff , die diese Apps in die liste der nicht konformen Apps einfügt. Dadurch wird der Zugriff auf Unternehmensressourcen blockiert, die den bedingten Zugriff unterstützen, bis der Benutzer die blockierte App entfernen kann.

Warnung zur Version des Antischadsoftwareclients

Ab dieser Vorschauversion gibt Configuration Manager Endpoint Protection eine Warnung aus, wenn mehr als 20 % (Standard) der verwalteten Clients eine abgelaufene Version des Antischadsoftwareclients verwenden (d. h. Windows Defender- oder Endpoint Protection-Client).

Probieren Sie es aus

Stellen Sie mithilfe der Clienteinstellungsrichtlinie sicher, dass Endpoint Protection auf allen Desktop- und Serverclients aktiviert ist. Sie können jetzt die Antischadsoftware-Clientversion und den Endpoint Protection-Bereitstellungsstatus anzeigen, indem Sie ressourcen- und konformitätsübersicht>>Geräte>Alle Desktops und Clients bereitstellen wechseln. Um nach einer Warnung zu suchen, zeigen Sie Warnungen im Arbeitsbereich Überwachung an. Wenn mehr als 20 % der verwalteten Clients eine abgelaufene Version der Antischadsoftware ausführen, wird die Warnung Antimalware-Clientversion veraltet angezeigt. Diese Warnung wird nicht auf der Registerkarte Überwachungsübersicht> angezeigt. Um abgelaufene Antischadsoftwareclients zu aktualisieren, aktivieren Sie Softwareupdates für Antischadsoftwareclients.

Um den Prozentsatz zu konfigurieren, mit dem die Warnung generiert wird, erweitern Sie AlleWarnungen> überwachen>, doppelklicken Sie auf Antischadsoftwareclients veraltet, und ändern Sie die Option Warnung auslösen, wenn der Prozentsatz der verwalteten Clients mit einer veralteten Version des Antischadsoftwareclients mehr als ist.

Konformitätsbewertung für updates von Windows Update for Business

Sie können jetzt eine Updateregel für Konformitätsrichtlinien konfigurieren, um ein Windows Update for Business-Bewertungsergebnis als Teil der Auswertung des bedingten Zugriffs einzubeziehen.

Wichtig

Sie müssen über Windows 10 Insider Preview-Build 15019 oder höher verfügen, um die Konformitätsbewertung für Windows Update for Business-Updates verwenden zu können.

Zulassen, dass Windows Update for Business Windows 10 Updates verwalten kann

Verwenden Sie zum Sammeln von Konformitätsbewertungsinformationen für updates von Windows Update for Business das folgende Verfahren, um die Client-Agent-Einstellung so zu konfigurieren, dass Windows Update for Business explizit Windows 10 Updates verwalten kann.

1. Wechseln Sie in der Configuration Manager-Konsole zuVerwaltungsclienteinstellungen>.
2. Wechseln Sie in den Eigenschaften für die Clienteinstellungen zu Software Updates, und wählen Sie Ja für die Einstellung Updates mit Windows Update for Business verwalten Windows 10 aus.

Erstellen einer Konformitätsrichtlinie für Windows Update for Business-Bewertung

1. Wechseln Sie in der Configuration Manager-Konsole zu Bestand und Kompatibilität>Kompatibilitätseinstellungen>Konformitätsrichtlinien.
2. Klicken Sie auf Konformitätsrichtlinie erstellen , oder wählen Sie eine vorhandene Konformitätsrichtlinie aus, die Geändert werden soll.
3. Geben Sie auf der Seite Allgemein einen Namen und eine Beschreibung an, wählen Sie Kompatibilitätsregeln für Geräte aus, die mit dem Configuration Manager Client verwaltet werden, legen Sie den Schweregrad für die Nichtkonformität für die Berichterstellung fest, und klicken Sie auf Weiter.
4. Wählen Sie auf der Seite Unterstützte Plattformen Windows 10 aus, und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Regeln auf Neu..., und wählen Sie dann für Bedingungdie Option Windows Update für Geschäftskonformität erforderlich aus. Die Einstellung Wert wird automatisch auf True festgelegt.

Die neue Richtlinie wird im Knoten Konformitätsrichtlinien des Arbeitsbereichs Bestand und Kompatibilität angezeigt.

Bereitstellen einer Konformitätsrichtlinie

1. Wechseln Sie in der Configuration Manager-Konsole zu Ressourcen undKonformitätskonformitätseinstellungen>, und klicken Sie dann auf Konformitätsrichtlinien.
2. Klicken Sie auf der Registerkarte Start in der Gruppe Bereitstellung auf Bereitstellen.
3. Klicken Sie im Dialogfeld Konformitätsrichtlinie bereitstellen auf Durchsuchen , um die Benutzersammlung auszuwählen, in der die Richtlinie bereitgestellt werden soll. Darüber hinaus können Sie Optionen auswählen, um Warnungen zu generieren, wenn die Richtlinie nicht konform ist, und auch, um den Zeitplan zu konfigurieren, nach dem diese Richtlinie auf Konformität ausgewertet wird.
4. Wenn Sie fertig sind, klicken Sie auf OK.

Überwachen der Konformitätsrichtlinie

Nachdem Sie die Konformitätsrichtlinie erstellt haben, können Sie die Konformitätsergebnisse in der Configuration Manager-Konsole überwachen. Weitere Informationen finden Sie unter Überwachen der Konformitätsrichtlinie.

Verbesserungen an Softwarecentereinstellungen und Benachrichtigungen für Tasksequenzen mit hoher Auswirkung

Dieses Release enthält die folgenden Verbesserungen an softwarecenter-Einstellungen und Benachrichtigungen für Tasksequenzen mit hoher Auswirkung bei der Bereitstellung:

• In den Eigenschaften für die Tasksequenz können Sie jetzt jede Tasksequenz, einschließlich Nicht-Betriebssystem-Tasksequenzen, als Risikobereitstellung konfigurieren. Jede Tasksequenz, die bestimmte Bedingungen erfüllt, wird automatisch als "Mit hoher Auswirkung" definiert. Weitere Informationen finden Sie unter Verwalten von Bereitstellungen mit hohem Risiko.
• In den Eigenschaften für die Tasksequenz können Sie die Standardbenachrichtigung verwenden oder eine eigene benutzerdefinierte Benachrichtigung für Bereitstellungen mit hoher Auswirkung erstellen.
• In den Eigenschaften für die Tasksequenz können Sie Softwarecenter-Eigenschaften konfigurieren, die einen Neustart erforderlich machen, die Downloadgröße der Tasksequenz und die geschätzte Laufzeit umfassen.
• Die Standardmäßige Bereitstellungsmeldung für direkte Upgrades gibt jetzt an, dass Ihre Apps, Daten und Einstellungen automatisch migriert werden. Zuvor wurde in der Standardmeldung für jede Betriebssysteminstallation angegeben, dass alle Apps, Daten und Einstellungen verloren gehen würden, was bei einem direkten Upgrade nicht zutrifft.

Festlegen einer Tasksequenz als Tasksequenz mit hoher Auswirkung

Verwenden Sie das folgende Verfahren, um eine Tasksequenz als "mit hoher Auswirkung" festzulegen.

Hinweis

Jede Tasksequenz, die bestimmte Bedingungen erfüllt, wird automatisch als "Mit hoher Auswirkung" definiert. Weitere Informationen finden Sie unter Verwalten von Bereitstellungen mit hohem Risiko.

1. Wechseln Sie in der Configuration Manager-Konsole zu Softwarebibliothek>Betriebssysteme>Tasksequenzen.
2. Wählen Sie die zu bearbeitende Tasksequenz aus, und klicken Sie auf Eigenschaften.
3. Wählen Sie auf der Registerkarte Benutzerbenachrichtigung die Option Dies ist eine Tasksequenz mit hohen Auswirkungen aus.

Erstellen einer benutzerdefinierten Benachrichtigung für Bereitstellungen mit hohem Risiko

1. Wechseln Sie in der Configuration Manager-Konsole zu Softwarebibliothek>Betriebssysteme>Tasksequenzen.

2. Wählen Sie die zu bearbeitende Tasksequenz aus, und klicken Sie auf Eigenschaften.

3. Wählen Sie auf der Registerkarte Benutzerbenachrichtigung die Option Benutzerdefinierten Text verwenden aus.

   Hinweis

   Sie können den Benutzerbenachrichtigungstext nur festlegen, wenn die Tasksequenz Dies ist eine auswirkungsreiche Tasksequenz ausgewählt ist.

4. Konfigurieren Sie die folgenden Einstellungen (maximal 255 Zeichen pro Textfeld):

   Überschriftentext für Benutzerbenachrichtigungen: Gibt den blauen Text an, der in der Softwarecenter-Benutzerbenachrichtigung angezeigt wird. In der Standardbenutzerbenachrichtigung enthält dieser Abschnitt beispielsweise "Bestätigen Sie, dass Sie das Betriebssystem auf diesem Computer aktualisieren möchten".

   Text der Benutzerbenachrichtigung: Es gibt drei Textfelder, die den Text der benutzerdefinierten Benachrichtigung angeben.

   • 1. Textfeld: Gibt den Standard Textkörper an, der in der Regel Anweisungen für den Benutzer enthält. In der Standardbenutzerbenachrichtigung enthält dieser Abschnitt beispielsweise folgendes: "Das Upgrade des Betriebssystems dauert einige Zeit, und Ihr Computer kann mehrmals neu gestartet werden."
   • 2. Textfeld: Gibt den fett formatierten Text unter dem Standard Textkörper an. In der Standardbenutzerbenachrichtigung enthält dieser Abschnitt beispielsweise folgendes: "Dieses direkte Upgrade installiert das neue Betriebssystem und migriert automatisch Ihre Apps, Daten und Einstellungen."
   • 3. Textfeld: Gibt die letzte Textzeile unter dem fett formatierten Text an. In der Standardbenutzerbenachrichtigung enthält dieser Abschnitt beispielsweise "Klicken Sie auf Installieren, um zu beginnen. Klicken Sie andernfalls auf Abbrechen."

   Angenommen, Sie konfigurieren die folgende benutzerdefinierte Benachrichtigung in den Eigenschaften.

   

   Die folgende Benachrichtigung wird angezeigt, wenn der Endbenutzer die Installation über das Softwarecenter öffnet.

   

Konfigurieren von Softwarecentereigenschaften

Gehen Sie wie folgt vor, um die Details für die tasksequenz zu konfigurieren, die im Softwarecenter angezeigt wird. Diese Details dienen nur zur Information.

1. Wechseln Sie in der Configuration Manager-Konsole zu Softwarebibliothek>Betriebssysteme>Tasksequenzen.
2. Wählen Sie die zu bearbeitende Tasksequenz aus, und klicken Sie auf Eigenschaften.
3. Auf der Registerkarte Allgemein sind die folgenden Einstellungen für das Softwarecenter verfügbar:
   • Neustart erforderlich: Teilt dem Benutzer mit, ob während der Installation ein Neustart erforderlich ist.
   • Downloadgröße (MB): Gibt an, wie viele Megabytes im Softwarecenter für die Tasksequenz angezeigt werden.
   • Geschätzte Laufzeit (Minuten): Gibt die geschätzte Laufzeit in Minuten an, die im Softwarecenter für die Tasksequenz angezeigt wird.

Überprüfen, ob ausführbare Dateien ausgeführt werden, bevor eine Anwendung installiert wird

Im Dialogfeld Eigenschaften des <Bereitstellungstypnamens> eines Bereitstellungstyps können Sie nun auf der Registerkarte Installationsverhalten eine von mehreren ausführbaren Dateien angeben, die bei Ausführung die Installation des Bereitstellungstyps blockieren. Der Benutzer muss die ausgeführte ausführbare Datei schließen (oder sie kann automatisch für Bereitstellungen mit erforderlichem Zweck geschlossen werden), bevor der Bereitstellungstyp installiert werden kann.

Probieren Sie es aus.

1. Wählen Sie in den Eigenschaften eines Configuration Manager Bereitstellungstyps die Registerkarte Installationsverhalten aus.
2. Wählen Sie Hinzufügen aus, um einen oder mehrere ausführbare Dateinamen hinzuzufügen, die Sie überprüfen möchten. Sie können auch einen Anzeigenamen hinzufügen, um Benutzern das Identifizieren von Anwendungen in der Liste zu erleichtern.
3. Wenn die Bereitstellung erforderlich ist, können Sie im Assistenten zum Bereitstellen von Software optional alle ausgeführten ausführbaren Dateien automatisch schließen auswählen, die Sie auf der Registerkarte Installationsverhalten des Dialogfelds Eigenschaften des Bereitstellungstyps angegeben haben.

Wenn die Anwendung als Verfügbar bereitgestellt wurde und ein Endbenutzer versucht, eine Anwendung zu installieren, wird er aufgefordert, alle ausgeführten ausführbaren Dateien zu schließen, die Sie angegeben haben, bevor er mit der Installation fortfahren kann.

Wenn die Anwendung als Erforderlich bereitgestellt wurde und die Option Ausgeführte ausführbare Dateien automatisch schließen ausgewählt ist, die Sie auf der Registerkarte Installationsverhalten des Dialogfelds Eigenschaften des Bereitstellungstyps angegeben haben, wird ein Dialogfeld angezeigt, in dem sie darüber informiert werden, dass von Ihnen angegebene ausführbare Dateien automatisch geschlossen werden, wenn der Installationsstichtag der Anwendung erreicht ist. Sie können diese Dialogfelder unter Clienteinstellungen>Computer-Agent planen. Wenn sie dem Endbenutzer nicht angezeigt werden sollen, wählen Sie in den Eigenschaften der Bereitstellung auf der Registerkarte Benutzerfreundlichkeit die Option Im Softwarecenter ausblenden und alle Benachrichtigungen aus.

Wenn die Anwendung als Erforderlich bereitgestellt wurde und die Option Alle ausgeführten ausführbaren Dateien automatisch schließen, die Sie auf der Registerkarte Installationsverhalten des Dialogfelds Eigenschaften des Bereitstellungstyps angegeben haben, nicht ausgewählt ist, schlägt die Installation der App fehl, wenn mindestens eine der angegebenen Anwendungen ausgeführt wird.

Erstellen von PFX-Zertifikaten mit S MIME-Unterstützung

Sie können jetzt ein PFX-Zertifikatprofil erstellen, das S/MIME unterstützt, und es für Benutzer bereitstellen. Dieses Zertifikat kann dann für die S/MIME-Verschlüsselung und -Entschlüsselung auf gerätenübergreifend verwendet werden, die der Benutzer registriert hat.

Darüber hinaus können Sie jetzt mehrere Zertifizierungsstellen für mehrere Standortsystemrollen des Zertifikatregistrierungspunkts angeben und dann zuweisen, welche Zertifizierungsstellen Anforderungen als Teil des Zertifikatprofils verarbeiten.

Bei iOS-Geräten können Sie einem E-Mail-Profil ein PFX-Zertifikatprofil zuordnen und die S/MIME-Verschlüsselung aktivieren. Dies aktiviert dann S/MIME im nativen E-Mail-Client unter iOS und ordnet diesem das richtige S/MIME-Verschlüsselungszertifikat zu.

Weitere Informationen zu Zertifikaten in Configuration Manager finden Sie unter Einführung in Zertifikatprofile.

Neue Konformitätseinstellungen für iOS-Geräte

Wir haben neue Einstellungen hinzugefügt, die Sie in Ihren Konfigurationselementen für iOS-Geräte verwenden können. Dies sind Einstellungen, die zuvor in Microsoft Intune in einer eigenständigen Konfiguration vorhanden waren und jetzt verfügbar sind, wenn Sie Intune mit Configuration Manager verwenden. Hilfe zu diesen Einstellungen finden Sie unter iOS-Richtlinieneinstellungen in Microsoft Intune.

• Synchronisieren von Daten aus verwalteten Apps mit iCloud
• Übergabe, um Aktivitäten auf einem anderen Gerät fortzusetzen
• iCloud-Fotofreigabe
• iCloud-Fotobibliothek
• Vertrauen neuer Unternehmens-App-Autoren
• Benutzern das Herunterladen von Inhalten aus dem iBook Store erlauben, die als "Erotica" gekennzeichnet sind (nur im überwachten Modus)
• Erzwingen gekoppelter Apple Watches zur Verwendung der Handgelenkerkennung
• Kennwort für ausgehende AirPlay-Anforderungen
• Ändern von Kontoeinstellungen (nur im überwachten Modus)
• Änderungen an den App-Mobilfunkdatennutzungseinstellungen (nur im überwachten Modus)
• Löschen aller Inhalte und Einstellungen (nur im überwachten Modus)
• Konfigurieren von Einschränkungen für das Gerät (nur im überwachten Modus)
• Verwenden der Hostkopplung zum Steuern der Geräte, mit denen ein iOS-Gerät gekoppelt werden kann (nur im überwachten Modus)
• Installieren von Konfigurationsprofilen und Zertifikaten (nur im überwachten Modus)
• Änderung des Gerätenamens (nur im überwachten Modus)
• Änderung der Kennung (nur im überwachten Modus)
• Apple Watch-Kopplung (nur im überwachten Modus)
• Änderung der Benachrichtigungseinstellungen (nur im überwachten Modus)
• Änderung des Hintergrundbilds (nur im überwachten Modus)
• Änderung der Einstellungen für die Diagnoseübermittlung (nur im überwachten Modus)
• Bluetooth-Änderung (nur überwachter Modus)
• AirDrop (nur überwachter Modus)
• Verwenden von Siri zum Abfragen von benutzergenerierten Inhalten aus dem Internet (nur im überwachten Modus)
• Siri-Filter für anstößige Anstößigkeiten (nur im überwachten Modus)
• Zurückgeben von Ergebnissen aus dem Internet in der Spotlight-Suche (nur im überwachten Modus)
• Word Definitionssuche (nur im überwachten Modus)
• Prädiktive Tastaturen (nur überwachter Modus)
• Automatische Korrektur (nur überwachter Modus)
• Rechtschreibprüfung der Tastatur (nur im überwachten Modus)
• Tastenkombinationen (nur im überwachten Modus)
• Installieren von Apps mit Apple Configurator und iTunes (nur im überwachten Modus)
• Automatische App-Downloads (nur im überwachten Modus)
• Vornehmen von Änderungen an den Einstellungen der App "Meine Freunde suchen " (nur im überwachten Modus)
• Zugriff auf den iBooks Store (nur im überwachten Modus)
• Nachrichten-App (nur überwachter Modus)
• Podcasts (nur im überwachten Modus)
• Apple Music (nur im überwachten Modus)
• iTunes Radio (nur überwachter Modus)
• Apple News (nur im überwachten Modus)
• Game Center (nur überwachter Modus)
• AirDrop als nicht verwaltetes Ziel behandeln

Android for Work-Unterstützung

Ab Technical Preview Version 1702 können Sie ein Google-Konto an Ihren MDM-Hybridmandanten binden. Hiermit können Sie folgende Aktionen ausführen:

• Registrieren sie unterstützte Android-Geräte als Android for Work, erstellen Sie Arbeitsprofile auf diesen registrierten Geräten.
• Genehmigen von Apps im Play for Work Store, Synchronisieren mit der Configuration Manager-Konsole und Anschließendes Bereitstellen in den Arbeitsprofilen der Geräte
• Erstellen und Bereitstellen von Konfigurationselementen zum Konfigurieren von Arbeitsprofil- und Kennworteinstellungen für diese Geräte
• Erstellen und Bereitstellen von Konformitätsrichtlinienelementen und Ressourcenzugriffsprofilen für Android for Work-Geräte wie bei Android-Geräten
• Durchführen der selektiven Zurücksetzung auf Android for Work-Geräten

Wenn Sie ein Gerät als Android for Work registrieren, erstellt ein Arbeitsprofil auf dem Gerät, das Intune verwalten kann. Dieses Arbeitsprofil ist parallel zum persönlichen Profil auf dem Android-Gerät vorhanden. Benutzer können ganz einfach zwischen Arbeitsprofil-Apps und persönlichen Profil-Apps wechseln. Sie können keine Elemente im persönlichen Profil verwalten. Persönliche Apps und Daten bleiben nicht verwaltet. Configuration Manager hat die vollständige Kontrolle über das Arbeitsprofil und dessen Inhalt und kann es vom Gerät entfernen.

Android for Work ist eine separate Plattform von Android, und Sie müssen entscheiden, welche Form der Verwaltung für Android-Geräte verwendet werden soll, die Arbeitsprofile unterstützen.

Probieren Sie es aus!

In den folgenden Abschnitten wird die Verwaltung von Android for Work beschrieben.

Aktivieren der Verwaltung von Android for Work

1. Erstellen Sie unter ein Google-Konto https://accounts.google.com/SignUp , um es als Ihr Android for Work-Administratorkonto zu verwenden, das allen Android for Work-Verwaltungsaufgaben für diesen Intune-Mandanten zugeordnet wird. Dies kann ein Google-Konto sein, das von den Administratoren geteilt wird, die Android-Geräte verwalten. Dies ist das Google-Konto, das Ihr organization verwendet, um Apps in der Play for Work-Konsole zu verwalten und zu veröffentlichen. Sie verwenden dieses Konto, um Apps im Play for Work Store zu genehmigen. Behalten Sie daher den Kontonamen und das Kennwort im Auge.
2. Aktivieren Sie die Android-Registrierung, indem Sie das Google-Konto an den in Configuration Manager verwalteten Intune-Mandanten binden:
   1. Wechseln Sie zuVerwaltungsübersicht>>Cloud Services>Microsoft Intune Abonnements, und wählen Sie Ihr Intune-Abonnement aus.
   2. Klicken Sie im Menüband auf Plattformen>konfigurieren Android , und stellen Sie sicher, dass Android-Registrierung aktivieren aktiviert ist.
   3. Klicken Sie im Menüband auf Plattformen>konfigurieren Android for Work.
   4. Klicken Sie im Dialogfeld in der Intune-Konsole auf Android for Work konfigurieren. Die Intune-Konsole wird in Ihrem Webbrowser geöffnet.
   5. Verwenden Sie Ihre Intune-Administratoranmeldeinformationen, um sich beim Intune-Portal anzumelden.
   6. Klicken Sie auf Konfigurieren , um die Android for Work-Website von Google Play zu öffnen.
   7. Geben Sie auf der Anmeldeseite von Google die Anmeldeinformationen für das Google-Konto aus Schritt 1 ein, und geben Sie dann Die Unternehmensinformationen an.
3. Wenn Sie zum Intune-Portal zurückkehren, ist Android for Work aktiviert, und Sie haben drei Registrierungsoptionen für Android for Work-Geräte:
   • Verwalten aller Geräte als Android : (Deaktiviert) Alle Android-Geräte, einschließlich Geräten, die Android for Work unterstützen, werden als herkömmliche Android-Geräte registriert.
   • Verwalten unterstützter Geräte als Android for Work : (Aktiviert) Alle Geräte, die Android for Work unterstützen, sind als Android for Work-Geräte registriert. Jedes Android-Gerät, das Android for Work nicht unterstützt, wird als herkömmliches Android-Gerät registriert.
   • Verwalten unterstützter Geräte nur für Benutzer in diesen Gruppen als Android for Work : (Testen) Ermöglicht ihnen, die Verwaltung von Android for Work auf eine begrenzte Gruppe von Benutzern zu richten. Nur Mitglieder der ausgewählten Gruppen, die ein Gerät registrieren, das Android for Work unterstützt, werden als Android for Work-Geräte registriert. Alle anderen sind als Android-Geräte registriert.

Hinweis

Ein bekanntes Problem verhindert, dass die Option Unterstützte Geräte nur für Benutzer in diesen Gruppen als Android for Work verwalten wie erwartet funktioniert. Die Geräte der Benutzer in den angegebenen Microsoft Entra Gruppen werden als Android anstelle von Android for Work registriert. Zum Testen von Android for Work müssen Sie die Option Alle unterstützten Geräte als Android for Work verwalten verwenden.

Um die Android for Work-Registrierung zu aktivieren, müssen Sie eine der beiden unteren Optionen auswählen. Die Option Unterstützte Geräte nur für Benutzer in diesen Gruppen als Android for Work verwalten erfordert, dass Sie zuerst Microsoft Entra Sicherheitsgruppen eingerichtet haben.

Nach Abschluss der Bindung werden der Kontoname und organization Name im Intune-Portal angezeigt. An diesem Punkt können Sie beide Browser schließen.

Genehmigen und Bereitstellen von Android for Work-Apps

Führen Sie die folgenden Schritte aus, um Apps im Play for Work Store zu genehmigen, sie mit der Configuration Manager-Konsole zu synchronisieren und auf verwalteten Android for Work-Geräten bereitzustellen. Um Apps in den Arbeitsprofilen der Benutzer bereitzustellen, müssen Sie die Apps in Play for Work genehmigen und die Apps dann mit der Configuration Manager-Konsole synchronisieren.

1. Öffnen Sie einen Browser, und navigieren Sie zu: https://play.google.com/work.
2. Melden Sie sich mit dem Google-Administratorkonto an, das Sie an Ihren Intune-Mandanten gebunden haben.
3. Suchen Sie nach Apps, die Sie in Ihrer Umgebung bereitstellen möchten, und klicken Sie für jede dieser Apps auf Genehmigen .
4. Wechseln Sie in der Configuration Manager-Konsole zuAdministratorübersicht>>Cloud Services>Android for Work, und klicken Sie auf Synchronisieren.
5. Warten Sie bis zu 10 Minuten, bis Apps synchronisiert werden, und wechseln Sie dann zu Softwarebibliothek>Übersicht>Anwendungsverwaltung>Lizenzinformationen für Store-Apps.
6. Klicken Sie auf eine App, die über Play for Work synchronisiert wurde, und klicken Sie dann auf Anwendung erstellen.
7. Schließen Sie den Assistenten ab, und klicken Sie auf Schließen.
8. Wechseln Sie zu Softwarebibliothek>Übersicht>Anwendungsverwaltung>Anwendungen, wählen Sie eine Android for Work-App aus, und stellen Sie sie wie gewohnt bereit.

Zum Synchronisieren von Play for Work-Apps mit Configuration Manager müssen Sie mindestens eine App auf der Play for Work-Website genehmigen.

Registrieren eines Android for Work-Geräts

Die Registrierung von Android for Work-Geräten ähnelt der Registrierung für Android. Laden Sie die Unternehmensportal-App für Android herunter, und führen Sie sie auf Ihrem mobilen Gerät aus. Sie werden im Rahmen des Registrierungsprozesses aufgefordert, ein Arbeitsprofil zu erstellen. Nachdem das Arbeitsprofil erstellt wurde, müssen Sie zur verwalteten Version des Unternehmensportal wechseln. Die verwaltete Unternehmensportal ist mit einem kleinen orangefarbenen Aktenkoffer in der unteren rechten Ecke gekennzeichnet.

Erstellen und Bereitstellen eines Konfigurationselements

Android for Work verfügt über zwei Einstellungsgruppen für Konfigurationselemente:

• Kennwort
• Arbeitsprofil

Sie können die Inhaltsfreigabe zwischen Arbeitsprofilen sowie die folgenden Konfigurationselemente auf Geräten mit Android 6 oder höher konfigurieren:

• Das Verhalten für Apps, die bestimmte Berechtigungen anfordern
• Ob Benachrichtigungen für Anwendungen innerhalb des Arbeitsprofils auf dem Sperrbildschirm sichtbar sind

Um dies zu versuchen, erstellen Sie ein Konfigurationselement über den Standardworkflow, wählen Sie Android for Work auf der Seite Allgemein aus, und konfigurieren Sie einstellungen für jede der Einstellungsgruppen, fügen Sie das Konfigurationselement einer Baseline hinzu und stellen Sie wie gewohnt bereit. Diese Einstellungen gelten nur für Geräte, die als Android for Work registriert sind, und nicht für Geräte, die als Android registriert sind.

Durchführen des selektiven Zurücksetzens

Geräte, die als Android for Work registriert sind, können nur selektiv zurückgesetzt werden, da Sie nur das Arbeitsprofil verwalten. Dadurch wird verhindert, dass das persönliche Profil zurückgesetzt wird. Durch eine selektive Zurücksetzung auf einem Android for Work-Gerät wird das Arbeitsprofil einschließlich aller Apps und Daten entfernt und die Registrierung des Geräts aufgehoben.

Verwenden Sie zum selektiven Zurücksetzen eines Android for Work-Geräts den normalen selektiven Zurücksetzungsprozess in der Configuration Manager-Konsole.

Bekannte Probleme für Android for Work

Das Konfigurieren des Synchronisierungszeitplans in Android for Work-E-Mail-Profilen führt dazu, dass deren Bereitstellung fehlschlägt Eine der Optionen auf der ConfigMgr-Benutzeroberfläche für Android for Work-E-Mail-Profile ist "Zeitplan". Auf anderen Plattformen kann der Administrator so einen Zeitplan für die Synchronisierung von E-Mail- und anderen E-Mail-Kontodaten auf den mobilen Geräten konfigurieren, auf den sie bereitgestellt werden. Es funktioniert jedoch nicht für Android for Work-E-Mail-Profile, und wenn Sie eine andere Option als "Nicht konfiguriert" auswählen, wird das Profil nicht auf geräten bereitgestellt.