Funktionen in Technical Preview 1706 für Configuration Manager

  • Artikel

Gilt für: Configuration Manager (Technical Preview-Branch)

In diesem Artikel werden die Features vorgestellt, die in der Technical Preview für Configuration Manager Version 1706 verfügbar sind. Sie können diese Version installieren, um Ihre Configuration Manager Technical Preview-Website zu aktualisieren und neue Funktionen hinzuzufügen. Bevor Sie diese Version der Technical Preview installieren, lesen Sie Technical Preview für Configuration Manager, um sich mit allgemeinen Anforderungen und Einschränkungen für die Verwendung einer Technical Preview vertraut zu machen, wie Sie zwischen Versionen aktualisieren und Feedback zu den Features in einer Technical Preview geben.

Bekannte Probleme in dieser Technical Preview:

  • Verteilungspunkt verschieben : Die Optionen in der Konsole zum Verschieben eines Verteilungspunkts zwischen Standorten können aufgrund des Technical Preview-Grenzwerts eines einzelnen primären Standorts nicht mit dieser Version verwendet werden.

  • Gerätekonformitätseinstellungen : Bei Verwendung der beiden neuen Gerätekonformitätseinstellungen kann es zu einem gegenteiligen Verhalten kommen:

    • USB-Debugging auf Gerät blockieren

    • Apps von unbekannten Quellen blockieren

      Wenn Administratoren z. B . USB-Debuggen auf Gerät blockieren auftrue festlegen, werden alle Geräte, auf denen das USB-Debuggen nicht aktiviert ist, als nicht konform markiert.

Im Folgenden finden Sie neue Features, die Sie mit dieser Version ausprobieren können.

Verbesserte Begrenzungsgruppen für Softwareupdatepunkte

Dieses Release enthält Verbesserungen für die Funktionsweise von Softwareupdatepunkten mit Begrenzungsgruppen. Im Folgenden wird das neue Fallbackverhalten zusammengefasst:

  • Fallback für Softwareupdatepunkte verwendet jetzt eine konfigurierbare Zeit für Fallbacks auf benachbarte Begrenzungsgruppen mit einer Mindestzeit von 120 Minuten.

  • Unabhängig von der Fallbackkonfiguration versucht ein Client, den letzten Softwareupdatepunkt zu erreichen, den er 120 Minuten lang verwendet hat. Nachdem dieser Server 120 Minuten lang nicht erreicht wurde, überprüft der Client seinen Pool der verfügbaren Softwareupdatepunkte, um einen neuen zu finden.

    • Alle Softwareupdatepunkte in der aktuellen Begrenzungsgruppe des Clients werden sofort dem Pool des Clients hinzugefügt.

    • Da ein Client versucht, seinen ursprünglichen Server 120 Minuten lang zu verwenden, bevor er einen neuen Server sucht, werden erst nach ablaufen zwei Stunden weitere Server kontaktiert.

    • Wenn das Fallback auf eine benachbarte Gruppe mindestens 120 Minuten lang konfiguriert ist, sind Softwareupdatepunkte aus dieser benachbarten Begrenzungsgruppe Teil des Clientpools der verfügbaren Server.

  • Nachdem der ursprüngliche Server zwei Stunden lang nicht erreicht wurde, wechselt der Client zu einem kürzeren Zyklus, um einen neuen Softwareupdatepunkt zu kontaktieren.

    Wenn ein Client also keine Verbindung mit einem neuen Server herstellen kann, wählt er schnell den nächsten Server aus dem Pool der verfügbaren Server aus und versucht, diesen zu kontaktieren.

    • Dieser Zyklus wird fortgesetzt, bis der Client eine Verbindung mit einem Softwareupdatepunkt herstellt, den er verwenden kann.
    • Bis der Client einen Softwareupdatepunkt findet, werden dem Pool der verfügbaren Server weitere Server hinzugefügt, wenn die Fallbackzeit für jede benachbarte Begrenzungsgruppe erreicht ist.

Weitere Informationen finden Sie unter Softwareupdatepunkte im Thema Begrenzungsgruppen für Current Branch.

Hochverfügbarkeit der Standortserverrolle

Hochverfügbarkeit für die Standortserverrolle ist eine Configuration Manager-basierte Lösung zum Installieren eines zusätzlichen primären Standortservers im passiven Modus. Der Standortserver im passiven Modus wird zusätzlich zu Ihrem vorhandenen primären Standortserver im aktiven Modus verwendet. Bei Bedarf steht ein Standortserver im passiven Modus zur sofortigen Verwendung zur Verfügung.

Ein primärer Standortserver im passiven Modus:

  • Verwendet dieselbe Standortdatenbank wie ihr aktiver Standortserver.
  • Empfängt eine Kopie der Inhaltsbibliothek der aktiven Standortserver, die dann synchron gehalten wird.
  • Schreibt keine Daten in die Standortdatenbank, solange sie sich im passiven Modus befindet.
  • Unterstützt die Installation oder Entfernung optionaler Standortsystemrollen nicht, solange sie sich im passiven Modus befinden.

Um den Standortserver im passiven Modus zu ihrem Standortserver im aktiven Modus zu machen, stufen Sie ihn manuell herauf. Dadurch wird der aktive Standortserver in den passiven Standortserver umgestellt. Die Standortsystemrollen, die auf dem ursprünglichen Server im aktiven Modus verfügbar sind, bleiben verfügbar, solange auf diesen Computer zugegriffen werden kann. Nur die Standortserverrolle wird zwischen aktivem und passivem Modus gewechselt.

Um einen Standortserver im passiven Modus zu installieren, verwenden Sie den Assistenten zum Erstellen von Standortsystemservern , um einen neuen Standortserver mit einem Typ des primären Standortservers und einem Passiven Modus zu konfigurieren. Der Assistent führt dann Configuration Manager Setup auf dem angegebenen Server aus, um den neuen Standortserver im passiven Modus zu installieren. Nach Abschluss der Installation hält der Standortserver im aktiven Modus den Standortserver im passiven Modus und seine Inhaltsbibliothek mit Änderungen oder Konfigurationen, die Sie am aktiven Standortserver vornehmen, synchron.

Voraussetzungen und Einschränkungen

  • Ein einzelner Standortserver im passiven Modus wird an jedem primären Standort unterstützt.

  • Der Standortserver im passiven Modus kann lokal oder cloudbasiert in Azure sein.

  • Standortserver im aktiven und passiven Modus müssen sich in derselben Domäne befinden.

  • Sowohl der standortserver im aktiven als auch im passiven Modus müssen dieselbe Standortdatenbank verwenden, die remote von den Computern der einzelnen Standortserver sein muss.

    • Die SQL Server, die die Datenbank hostet, kann eine Standard-instance namens instance, SQL Server Always On Failovercluster-instance oder eine Verfügbarkeitsgruppe verwenden.

    • Der Standortserver im passiven Modus ist so konfiguriert, dass er dieselbe Standortdatenbank wie der Standortserver im aktiven Modus verwendet. Der Standortserver im passiven Modus verwendet diese Datenbank jedoch erst, nachdem sie in den aktiven Modus heraufgestuft wurde.

  • Der Computer, auf dem der Standortserver im passiven Modus ausgeführt wird:

    • Muss die Voraussetzungen für die Installation eines primären Standorts erfüllen.

    • Wird mithilfe von Quelldateien installiert, die der Version des Standortservers im aktiven Modus entsprechen.

    • Vor der Installation des Standorts im passiven Modus kann keine Standortsystemrolle von keinem Standort vorhanden sein.

  • Auf den Standortservercomputern im aktiven und passiven Modus können verschiedene Betriebssysteme oder Service Pack-Versionen ausgeführt werden, solange beide von Ihrer Version von Configuration Manager unterstützt werden.

  • Die Heraufstufung des Standortservers im passiven Modus zum Server im aktiven Modus erfolgt manuell. Es gibt kein automatisches Failover.

  • Standortsystemrollen können nur auf dem Standortserver installiert werden, der sich im aktiven Modus befindet.

    • Ein Standortserver im aktiven Modus unterstützt alle Standortsystemrollen. Standortsystemrollen können nicht auf dem Server installiert werden, wenn er sich im passiven Modus befindet.

    • Standortsystemrollen, die eine Datenbank (z. B. den Berichtspunkt) verwenden, müssen über diese Datenbank auf einem Server verfügen, der sowohl vom standortserver als auch vom standortserver im passiven Modus entfernt ist.

    • Die SMS_Provider wird nicht im passiven Modus auf dem Standortserver installiert. Da Sie eine Verbindung mit einem SMS_Provider herstellen müssen, damit der Standortserver im passiven Modus manuell in den aktiven Modus höherstufen kann, empfiehlt es sich, mindestens einen zusätzlichen instance des Anbieters auf einem zusätzlichen Computer zu installieren.

Bekanntes Problem:
In dieser Version wird status für die folgenden Bedingungen in der Konsole als numerische Werte anstelle von lesbarem Text angezeigt:

  • 131071: Fehler bei der Installation des Standortservers
  • 720895: Fehler bei der Deinstallation der Standortserverrolle
  • 851967: Failover fehlgeschlagen

Hinzufügen eines Standortservers im passiven Modus

  1. Wechseln Sie in der Konsole zu Verwaltung>Standortkonfiguration>Standorte, und starten Sie den Assistenten zum Hinzufügen von Standortsystemrollen. Sie können auch den Assistenten zum Erstellen von Standortsystemservern verwenden.

  2. Geben Sie auf der Seite Allgemein den Server an, der den Standortserver im passiven Modus hosten soll. Der angegebene Server kann vor der Installation eines Standortservers im passiven Modus keine Standortsystemrollen hosten.

  3. Wählen Sie auf der Seite Systemrollenauswahl nur primärer Standortserver im passiven Modus aus.

  4. Um den Assistenten abzuschließen, müssen Sie die folgenden Informationen angeben, die zum Ausführen des Setups und zur Installation der Standortserverrolle auf dem angegebenen Server verwendet werden:

    • Wählen Sie aus, ob Installationsdateien vom aktiven Standortserver auf den neuen Standortserver im passiven Modus kopiert werden sollen, oder geben Sie einen Pfad zu einem Speicherort an, der den Inhalt des Ordners CD.Latest des aktiven Standortservers enthält.

    • Geben Sie denselben Standortdatenbankserver und Datenbanknamen an, wie sie vom Standortserver im aktiven Modus verwendet werden.

  5. Configuration Manager installiert dann den Standortserver im passiven Modus auf dem angegebenen Server.

Eine ausführliche Installation status finden Sie unterStandortkonfigurationsstandorte> fürdie Verwaltung>.

  • Die status für den Standortserver im passiven Modus wird als Installieren angezeigt.

  • Wählen Sie den Server aus, und klicken Sie dann auf Status anzeigen , um den Installationsstatus des Standortservers zu öffnen, um ausführlichere Informationen zu erhalten.

Höherstufen des Standortservers im passiven Modus in den aktiven Modus

Wenn Sie den Standortserver im passiven Modus in den aktiven Modus ändern möchten, geschieht dies über den Bereich Knoten unterStandortkonfigurationsstandorte> der Verwaltung>. Solange Sie auf eine instance des SMS_Provider zugreifen können, können Sie auf die Website zugreifen, um diese Änderung vorzunehmen.

  1. Wählen Sie im Bereich Knoten der Configuration Manager-Konsole den Standortserver im passiven Modus aus, und wählen Sie dann im Menüband Die Option Höherstufen aus, um aktiv zu sein.

  2. Der einfache Status für den Server, den Sie höherstufen, wird im Knotenbereich als Höherstufen angezeigt.

  3. Nachdem die Heraufstufung abgeschlossen ist, wird in der Spalte Status sowohl für den neuen Standortserver im aktiven Modus als auch für den neuen Standortserver im passiven Modus ok angezeigt.

  4. UnterStandortkonfigurationsstandorte> derVerwaltung> zeigt der Name des primären Standortservers jetzt den Namen des neuen Standortservers im aktiven Modus an. Ausführliche status finden Sie unter Überwachen> desStandortserverstatus.

    • Die Spalte Mode gibt an, welcher Server aktiv oder passiv ist.

    • Wählen Sie beim Herstufen eines Servers vom passiven in den aktiven Modus den Standortserver aus, den Sie in den aktiven Modus herstufen möchten, und wählen Sie dann im Menüband Status anzeigen aus. Daraufhin wird das Fenster Standortserver-Heraufstufungsstatus geöffnet, in dem zusätzliche Details zum Prozess angezeigt werden.

Wenn ein Standortserver im aktiven Modus in den passiven Modus wechselt, wird nur die Standortsystemrolle als passiv festgelegt. Alle anderen Standortsystemrollen, die auf diesem Computer installiert sind, bleiben aktiv und für Clients zugänglich.

Tägliche Überwachung

Wenn Sie einen primären Standort im passiven Modus haben, überwachen Sie ihn täglich, um sicherzustellen, dass er mit dem Standortserver im aktiven Modus synchronisiert und einsatzbereit bleibt. Wechseln Sie dazu zu Überwachen> desStandortserverstatus. Hier können Sie sowohl die Standortserver im aktiven als auch den passiven Modus anzeigen.

Die Registerkarte Zusammenfassung :

  • Die Spalte Mode gibt an, welcher Server aktiv oder passiv ist.
  • In der Spalte Status wird OK angezeigt, wenn der Server im passiven Modus mit dem Server im aktiven Modus synchronisiert ist.
  • Um weitere Details zum Status der Inhaltssynchronisierung anzuzeigen, klicken Sie im Inhaltssynchronisierungsstatus auf status anzeigen. Dadurch wird die Registerkarte Inhaltsbibliothek geöffnet, auf der Sie versuchen können, Probleme bei der Inhaltssynchronisierung zu beheben.

Die Registerkarte Inhaltsbibliothek :

  • Zeigen Sie den Status für Inhalte an, die vom aktiven Standortserver mit dem Standortserver im passiven Modus synchronisiert werden.
  • Sie können Inhalte mit dem Status Fehler auswählen und dann ausgewählte Elemente im Menüband synchronisieren auswählen. Mit dieser Aktion wird versucht, diesen Inhalt aus der Quelle des Inhalts mit dem Standortserver im passiven Modus neu zu synchronisieren. Während der Wiederherstellung wird der Status als In Bearbeitung angezeigt, und wenn er synchronisiert ist, wird er als Erfolg angezeigt.

Probieren Sie es aus!

Versuchen Sie, die folgenden Aufgaben auszuführen, und senden Sie uns dann auf der Registerkarte Start des Menübands Feedback, um uns mitzuteilen, wie es funktioniert hat:

  • Ich kann einen primären Standort im passiven Modus installieren.
  • Ich kann die -Konsole verwenden, um den Standortserver im passiven Modus höher zu stufen, um ihn zum Standortserver im aktiven Modus zu machen, und die Änderung der status für beide Standortserver bestätigen.

Einschließen einer Vertrauensstellung für bestimmte Dateien und Ordner in einer Device Guard-Richtlinie

In dieser Version haben wir der Device Guard-Richtlinienverwaltung weitere Funktionen hinzugefügt.

Sie können jetzt optional eine Vertrauensstellung für bestimmte Dateien für Ordner in einer Device Guard-Richtlinie hinzufügen. Dies ermöglicht Folgendes:

  1. Beheben von Problemen mit verwalteten Installationsverhalten
  2. Branchenspezifische Apps, die nicht mit Configuration Manager bereitgestellt werden können, vertrauen
  3. Vertrauen Sie Apps, die in einem Betriebssystembereitstellungsimage enthalten sind.

Probieren Sie es aus!

  1. Während Sie eine Device Guard-Richtlinie erstellen, klicken Sie auf der Registerkarte Einschlüsse des Assistenten zum Erstellen von Device Guard-Richtlinien auf Hinzufügen.
  2. Geben Sie im Dialogfeld Vertrauenswürdige Datei oder Ordner hinzufügen Informationen zu der Datei oder dem Ordner an, der Bzw. dem Sie vertrauen möchten. Sie können entweder einen lokalen Datei- oder Ordnerpfad angeben oder eine Verbindung mit einem Remotegerät herstellen, mit dem Sie über die Berechtigung zum Herstellen einer Verbindung verfügen, und einen Datei- oder Ordnerpfad auf diesem Gerät angeben.
  3. Schließen Sie den Assistenten ab.

Tasksequenzstatus ausblenden

In dieser Version können Sie steuern, wann der Tasksequenzfortschritt endbenutzern angezeigt wird, indem Sie eine neue Variable verwenden. Verwenden Sie in Ihrer Tasksequenz den Schritt Tasksequenzvariable festlegen, um den Wert für die Variable TSDisableProgressUI festzulegen, um den Tasksequenzstatus auszublenden oder anzuzeigen. Sie können den Schritt Tasksequenzvariable festlegen mehrmals in einer Tasksequenz verwenden, um den Wert für die Variable zu ändern. Auf diese Weise können Sie den Tasksequenzfortschritt in verschiedenen Abschnitten der Tasksequenz ausblenden oder anzeigen.

So blenden Sie den Tasksequenzstatus aus

Verwenden Sie im Tasksequenz-Editor den Schritt Tasksequenzvariable festlegen, um den Wert der TsDisableProgressUI-Variable auf True festzulegen, um den Tasksequenzstatus auszublenden.

So zeigen Sie den Tasksequenzstatus an

Verwenden Sie im Tasksequenz-Editor den Schritt Tasksequenzvariable festlegen, um den Wert der TsDisableProgressUI-Variable auf False festzulegen, um den Tasksequenzstatus anzuzeigen.

Angeben eines anderen Inhaltsspeicherorts für Installations- und Deinstallationsinhalte

In Configuration Manager heute geben Sie den Installationsspeicherort an, der die Setupdateien für eine App enthält. Wenn Sie einen Installationsspeicherort angeben, wird dieser auch als Deinstallationsspeicherort für den Anwendungsinhalt verwendet. Wenn Sie eine bereitgestellte Anwendung deinstallieren möchten und sich der App-Inhalt nicht auf dem Clientcomputer befindet, lädt der Client basierend auf Ihrem Feedback alle App-Setupdateien erneut herunter, bevor die Anwendung deinstalliert wird. Um dieses Problem zu beheben, können Sie jetzt sowohl einen Speicherort für den Installationsinhalt als auch einen optionalen Speicherort für deinstallationsinhalte angeben. Darüber hinaus können Sie festlegen, dass sie keinen Speicherort für deinstallationsinhalte angeben möchten.

Probieren Sie es aus!

  1. Klicken Sie in den Eigenschaften des Bereitstellungstyps einer Anwendung auf die Registerkarte Inhalt .
  2. Konfigurieren Sie den Speicherort des Installationsinhalts wie gewohnt.
  3. Wählen Sie unter Inhaltseinstellungen deinstallieren eine der folgenden Optionen aus:
    • Identisch mit Installationsinhalten : Derselbe Inhaltsspeicherort wird verwendet, unabhängig davon, ob Sie die Anwendung installieren oder deinstallieren.
    • Kein Deinstallationsinhalt : Wählen Sie diese Option aus, wenn Sie keinen Speicherort für den Deinstallationsinhalt für die Anwendung angeben möchten.
    • Anders als installationsinhalt : Wählen Sie diese Option aus, wenn Sie einen Speicherort für Deinstallationsinhalte angeben möchten, der sich vom Speicherort des Installationsinhalts unterscheidet.
  4. Wenn Sie Anders als Installationsinhalt ausgewählt haben, navigieren Sie zum Speicherort des Anwendungsinhalts, der zum Deinstallieren der Anwendung verwendet wird, oder geben Sie diesen ein.
  5. Klicken Sie auf OK , um das Dialogfeld eigenschaften des Bereitstellungstyps zu schließen.

Verbesserungen der Barrierefreiheit

In dieser Vorschau werden einige Verbesserungen der Barrierefreiheitsfeatures in der Configuration Manager-Konsole eingeführt. Dies schließt ein:

Neue Tastenkombinationen zum Navigieren in der Konsole:

  • STRG+M: Legt den Fokus auf den Standard (zentralen) Bereich fest.
  • STRG+T: Legt den Fokus auf den oberen Knoten im Navigationsbereich fest. Wenn sich der Fokus bereits in diesem Bereich befand, wird der Fokus auf den zuletzt besuchten Knoten gesetzt.
  • STRG+I: Legt den Fokus auf die Breadcrumb-Leiste unterhalb des Menübands fest.
  • STRG+L: Legt den Fokus auf das Suchfeld fest, sofern verfügbar.
  • STRG+D: Legt den Fokus auf den Detailbereich fest, sofern verfügbar.
  • ALT: Ändert den Fokus im Menüband und außerhalb des Menübands.

Allgemeine Verbesserungen:

  • Verbesserte Navigation im Navigationsbereich, wenn Sie die Buchstaben eines Knotennamens eingeben.
  • Die Tastaturnavigation durch die Standard Ansicht und das Menüband sind jetzt kreisförmig.
  • Die Tastaturnavigation im Detailbereich ist jetzt kreisförmig. Um zum vorherigen Objekt oder Bereich zurückzukehren, drücken Sie STRG+D und dann UMSCHALT+TAB.
  • Nach dem Aktualisieren einer Arbeitsbereichsansicht wird der Fokus auf den Standard Bereich dieses Arbeitsbereichs festgelegt.
  • Es wurde ein Problem behoben, mit dem Sprachausgaben die Namen von Listenelementen ankündigen konnten.
  • Es wurden barrierefreie Namen für mehrere Steuerelemente auf der Seite hinzugefügt, mit denen Sprachausgaben wichtige Informationen ankündigen können.

Änderungen am Assistenten für Azure-Dienste zur Unterstützung der Upgradebereitschaft

Verwenden Sie ab diesem Release den Assistenten für Azure-Dienste, um eine Verbindung zwischen Configuration Manager und Upgradebereitschaft zu konfigurieren. Die Verwendung des Assistenten vereinfacht die Konfiguration des Connectors mithilfe eines allgemeinen Assistenten für verwandte Azure-Dienste.

Obwohl sich die Methode zum Konfigurieren der Verbindung geändert hat, bleiben die Voraussetzungen für die Verbindung und die Verwendung der Upgradebereitschaft unverändert.

Voraussetzungen für die Upgradebereitschaft

Die Voraussetzungen für eine Verbindung mit upgrade Readiness sind unverändert gegenüber denen, die für den Current Branch von Configuration Manager beschrieben sind. Sie werden hier der Einfachheit halber wiederholt:

Voraussetzungen

  • Um die Verbindung hinzuzufügen, muss Ihre Configuration Manager-Umgebung zunächst einen Dienstverbindungspunkt in einem Onlinemodus konfigurieren. Wenn Sie die Verbindung zu Ihrer Umgebung hinzufügen, wird auch microsoft Monitoring Agent auf dem Computer installiert, auf dem diese Standortsystemrolle ausgeführt wird.
  • Registrieren Sie Configuration Manager als Verwaltungstool "Webanwendung und/oder Web-API", und rufen Sie die Client-ID aus dieser Registrierung ab.
  • Erstellen Sie einen Clientschlüssel für das registrierte Verwaltungstool in Microsoft Entra ID.
  • Geben Sie im Azure-Portal der registrierten Web-App die Berechtigung für den Zugriff auf OMS an.

Wichtig

Stellen Sie beim Konfigurieren der Berechtigung für den Zugriff auf OMS sicher, dass Sie die Rolle Mitwirkender auswählen und ihr Berechtigungen der Ressourcengruppe der registrierten App zuweisen.

Nachdem die Voraussetzungen konfiguriert wurden, können Sie den Assistenten verwenden, um die Verbindung zu erstellen.

Verwenden des Assistenten für Azure-Dienste zum Konfigurieren der Upgradebereitschaft

  1. Wechseln Sie in der Konsole zu Verwaltungsübersicht>>Cloud Services>Azure Services, und wählen Sie dann auf der Registerkarte Start des Menübands Azure-Dienste konfigurieren aus, um den Azure-Dienst-Assistenten zu starten.

  2. Wählen Sie auf der Seite Azure-Dienste die Option Upgrade Readiness Connector aus, und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite App Ihre Azure-Umgebung an (die Technical Preview unterstützt nur die öffentliche Cloud). Klicken Sie dann auf Importieren , um das Fenster Apps importieren zu öffnen.

  4. Geben Sie im Fenster Apps importieren Details für eine Web-App an, die bereits in Ihrer Microsoft Entra-ID vorhanden ist.

    • Geben Sie einen Anzeigenamen für den Microsoft Entra Mandantennamen an. Geben Sie dann die Mandanten-ID, den Anwendungsnamen, die Client-ID, den geheimen Schlüssel für die Azure-Web-App und den App-ID-URI an.
    • Klicken Sie auf Überprüfen, und klicken Sie bei erfolgreicher Ausführung auf OK , um den Vorgang fortzusetzen.

  5. Geben Sie auf der Seite Konfiguration das Abonnement, die Ressourcengruppe und den Windows Analytics-Arbeitsbereich an, die Sie mit dieser Verbindung für upgrade Readiness verwenden möchten.

  6. Klicken Sie auf Weiter , um zur Seite Zusammenfassung zu wechseln, und schließen Sie dann den Assistenten ab, um die Verbindung zu erstellen.

Neue Clienteinstellungen für Clouddienste

In dieser Version haben wir zwei neue Clienteinstellungen zu Configuration Manager hinzugefügt. Diese finden Sie im Abschnitt Cloud Services. Diese Einstellungen bieten Ihnen die folgenden Funktionen:

  • Steuern Sie, welche Configuration Manager Clients auf ein konfiguriertes Cloudverwaltungsgateway zugreifen können.
  • Automatisches Registrieren Windows 10 in die Domäne eingebundenen Configuration Manager-Clients mit Microsoft Entra ID.

Diese neuen Einstellungen helfen Ihnen dabei, die in der Configuration Manager 1705 Technical Preview beschriebenen Funktionen zu erreichen.

Vorbereitende Schritte

Sie müssen Microsoft Entra Connect zwischen Ihrem lokales Active Directory und Ihrem Microsoft Entra Mandanten installiert und konfiguriert haben.

Wenn Sie die Verbindung entfernen, werden geräte nicht nicht registriert, aber es werden keine neuen Geräte registriert.

Probieren Sie es aus!

  1. Konfigurieren Sie die folgenden Clienteinstellungen (im Abschnitt Cloud Services), indem Sie die Informationen unter Konfigurieren von Clienteinstellungen verwenden.
    • Automatisches Registrieren neuer Windows 10 in die Domäne eingebundenen Geräte mit Microsoft Entra ID: Auf Ja (Standard) oder Nein festgelegt.
    • Clients die Verwendung eines Cloudverwaltungsgateways ermöglichen : Legen Sie auf Ja (Standard) oder Nein fest.
  2. Stellen Sie die Clienteinstellungen für die erforderliche Sammlung von Geräten bereit.

Um zu bestätigen, dass das Gerät mit Microsoft Entra ID verknüpft ist, führen Sie den Befehl dsregcmd.exe /status in einem Eingabeaufforderungsfenster aus. Das Feld AzureAdjoined in den Ergebnissen zeigt JA an, wenn das Gerät Microsoft Entra eingebunden ist.

Erstellen und Ausführen von PowerShell-Skripts über die Configuration Manager-Konsole

In Configuration Manager können Sie Skripts mithilfe von Paketen und Programmen auf Clientgeräten bereitstellen. In dieser Technical Preview haben wir neue Funktionen hinzugefügt, mit denen Sie die folgenden Aktionen ausführen können:

  • Importieren von PowerShell-Skripts in Configuration Manager
  • Bearbeiten Sie die Skripts über die Configuration Manager-Konsole (nur für nicht signierte Skripts)
  • Markieren von Skripts als genehmigt oder verweigert, um die Sicherheit zu verbessern
  • Ausführen von Skripts auf Sammlungen von Windows-Client-PCs und lokalen verwalteten Windows-PCs. Sie stellen keine Skripts bereit, sondern werden auf Clientgeräten nahezu in Echtzeit ausgeführt.
  • Untersuchen Sie die vom Skript zurückgegebenen Ergebnisse in der Configuration Manager-Konsole.

Voraussetzungen

Um Skripts verwenden zu können, müssen Sie Mitglied der entsprechenden Configuration Manager-Sicherheitsrolle sein.

  • Zum Importieren und Erstellen von Skripts : Ihr Konto muss über die Berechtigung Erstellen für SMS-Skripts in der Sicherheitsrolle "Vollständiger Administrator " verfügen.
  • Um Skripts zu genehmigen oder zu verweigern : Ihr Konto muss über Die Berechtigung Genehmigen für SMS-Skripts in der Sicherheitsrolle "Vollständiger Administrator " verfügen.
  • Zum Ausführen von Skripts : Ihr Konto muss über Skriptausführungsberechtigungen für Sammlungen in der Sicherheitsrolle Complianceeinstellungen-Manager verfügen.

Weitere Informationen zu Configuration Manager Sicherheitsrollen finden Sie unter Grundlagen der rollenbasierten Verwaltung.

Standardmäßig können Benutzer ein skript, das sie erstellt haben, nicht genehmigen. Da Skripts leistungsstark und vielseitig sind und auf vielen Geräten bereitgestellt werden können, haben wir ein neues Konzept eingeführt, das die Möglichkeit bietet, die Rollen zwischen der Person, die das Skript erstellt hat, und der Person, die das Skript genehmigt, zu trennen. Dies bietet ein zusätzliches Maß an Sicherheit beim Ausführen eines Skripts ohne Aufsicht. Sie können diese sekundäre Genehmigung deaktivieren, um das Testen zu vereinfachen, insbesondere während der Technical Preview-Version.

So können Benutzer ihre eigenen Skripts genehmigen:

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.
  2. Erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration, und klicken Sie dann auf Standorte.
  3. Wählen Sie in der Liste der Websites Ihre Website aus, und klicken Sie dann auf der Registerkarte Start in der Gruppe Standorte auf Hierarchieeinstellungen.
  4. Deaktivieren Sie auf der Registerkarte Allgemein des Dialogfelds Eigenschaften der Hierarchieeinstellungen das Kontrollkästchen Skriptautoren dürfen ihre eigenen Skripts nicht genehmigen.

Probieren Sie es aus!

Importieren und Bearbeiten eines Skripts

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.
  2. Klicken Sie im Arbeitsbereich Softwarebibliothek auf Skripts.
  3. Klicken Sie auf der Registerkarte Start in der Gruppe Erstellen auf Skript erstellen.
  4. Konfigurieren Sie auf der Seite Skript des Assistenten zum Erstellen von Skripts Folgendes:
    • Skriptname : Geben Sie einen Namen für das Skript ein. Obwohl Sie mehrere Skripts mit demselben Namen erstellen können, wird es für Sie schwieriger, das benötigte Skript in der Configuration Manager-Konsole zu finden.
    • Skriptsprache : Derzeit werden nur PowerShell-Skripts unterstützt.
    • Importieren : Importieren Sie ein PowerShell-Skript in die Konsole. Das Skript wird im Feld Skript angezeigt.
    • Löschen : Entfernt das aktuelle Skript aus dem Feld Skript .
    • Skript : Zeigt das aktuell importierte Skript an. Sie können das Skript in diesem Feld nach Bedarf bearbeiten.
  5. Schließen Sie den Assistenten ab. Das neue Skript wird in der Liste Skript mit dem status Warten auf Genehmigung angezeigt. Bevor Sie dieses Skript auf Clientgeräten ausführen können, müssen Sie es genehmigen.

Genehmigen oder Verweigern eines Skripts

Bevor Sie ein Skript ausführen können, muss es genehmigt werden. So genehmigen Sie ein Skript:

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.
  2. Klicken Sie im Arbeitsbereich Softwarebibliothek auf Skripts.
  3. Wählen Sie in der Liste Skript das Skript aus, das Sie genehmigen oder verweigern möchten, und klicken Sie dann auf der Registerkarte Start in der Gruppe Skript auf Genehmigen/Verweigern.
  4. Wählen Sie im Dialogfeld Skript genehmigen oder verweigern die Option Genehmigen oder Verweigern des Skripts aus, und geben Sie optional einen Kommentar zu Ihrer Entscheidung ein. Wenn Sie ein Skript verweigern, kann es nicht auf Clientgeräten ausgeführt werden.
  5. Schließen Sie den Assistenten ab. In der Liste Skript wird die Spalte Genehmigungsstatus in Abhängigkeit von der von Ihnen ausgeführten Aktion geändert.

Ausführen eines Skripts

Nachdem ein Skript genehmigt wurde, kann es für eine von Ihnen ausgewählte Sammlung ausgeführt werden.

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.
  2. Klicken Sie im Arbeitsbereich Bestand und Kompatibilität auf Gerätesammlungen.
  3. Klicken Sie in der Liste Gerätesammlungen auf die Sammlung der Geräte, auf denen Sie das Skript ausführen möchten.
  4. Klicken Sie auf der Registerkarte Start in der Gruppe Alle Systeme auf Skript ausführen.
  5. Wählen Sie auf der Seite Skript des Assistenten skriptausführung ein Skript aus der Liste aus. Es werden nur genehmigte Skripts angezeigt. Klicken Sie auf Weiter, und schließen Sie dann den Assistenten ab.

Überwachen eines Skripts

Nachdem Sie ein Skript für Clientgeräte ausgeführt haben, verwenden Sie dieses Verfahren, um den Erfolg des Vorgangs zu überwachen.

  1. Klicken Sie in der Configuration Manager-Konsole auf Überwachung.
  2. Klicken Sie im Arbeitsbereich Überwachung auf Skriptergebnisse.
  3. In der Liste Skriptergebnisse zeigen Sie die Ergebnisse für jedes Skript an, das Sie auf Clientgeräten ausgeführt haben. Der Skriptausgangscode 0 gibt im Allgemeinen an, dass das Skript erfolgreich ausgeführt wurde.

PXE-Netzwerkstartunterstützung für IPv6

Sie können jetzt die PXE-Netzwerkstartunterstützung für IPv6 aktivieren, um eine Tasksequenzbetriebssystembereitstellung zu starten. Wenn Sie diese Einstellung verwenden, unterstützen PXE-fähige Verteilungspunkte sowohl IPv4 als auch IPv6. Diese Option erfordert keine WDS und beendet WDS, wenn es vorhanden ist.

So aktivieren Sie die PXE-Startunterstützung für IPv6

Gehen Sie wie folgt vor, um die Option für die IPv6-Unterstützung für PXE zu aktivieren.

  1. Wechseln Sie in der Configuration Manager-Konsole zuVerwaltungsübersicht>>Verteilungspunkte, und klicken Sie auf Eigenschaften für PXE-fähige Verteilungspunkte.
  2. Wählen Sie auf der Registerkarte PXEdie Option IPv6 unterstützen aus, um die IPv6-Unterstützung für PXE zu aktivieren.

Verwalten von Microsoft Surface-Treiberupdates

Sie können jetzt Configuration Manager verwenden, um Microsoft Surface-Treiberupdates zu verwalten.

Voraussetzungen

Alle Softwareupdatepunkte müssen Windows Server 2016 ausgeführt werden.

Probieren Sie es aus!

Versuchen Sie, die folgenden Aufgaben auszuführen, und senden Sie uns dann auf der Registerkarte Start des Menübands Feedback, um uns mitzuteilen, wie es funktioniert hat:

  1. Aktivieren Sie die Synchronisierung für Microsoft Surface-Treiber. Verwenden Sie das Verfahren unter Konfigurieren von Klassifizierungen und Produkten, und wählen Sie auf der Registerkarte Klassifizierungen die Option Microsoft Surface-Treiber und Firmwareupdates einschließen aus, um Surface-Treiber zu aktivieren.
  2. Synchronisieren Sie die Microsoft Surface-Treiber.
  3. Bereitstellen synchronisierter Microsoft Surface-Treiber

Konfigurieren von Windows Update for Business-Zurückstellungsrichtlinien

Sie können jetzt Zurückstellungsrichtlinien für Windows 10 Feature Updates oder Quality Updates für Windows 10 Geräte konfigurieren, die direkt von Windows Update for Business verwaltet werden. Sie können die Zurückstellungsrichtlinien im neuen Knoten Windows Update für Geschäftsrichtlinien unter Softwarebibliothek>Windows 10 Wartung verwalten.

Voraussetzungen

Windows 10 geräte, die von Windows Update for Business verwaltet werden, müssen über eine Internetverbindung verfügen.

So erstellen Sie eine Windows Update for Business-Zurückstellungsrichtlinie

  1. Unter Softwarebibliothek>Windows 10 Servicing>Windows Update for Business Policies
  2. Wählen Sie auf der Registerkarte Start in der Gruppe Erstellen die Option Windows Update für Geschäftsrichtlinie erstellen aus, um den Assistenten zum Erstellen von Windows Update für Geschäftsrichtlinien zu öffnen.
  3. Geben Sie auf der Seite Allgemein einen Namen und eine Beschreibung für die Richtlinie an.
  4. Konfigurieren Sie auf der Seite Zurückstellungsrichtlinien, ob Feature-Updates verzögert oder angehalten werden soll.
    Feature-Updates sind im Allgemeinen neue Features für Windows. Nachdem Sie die Einstellung branch readiness level konfiguriert haben, können Sie definieren, ob und wie lange Sie den Empfang von Feature-Updates deren Verfügbarkeit von Microsoft verzögern möchten.
    • Branch-Bereitschaftsstufe: Legen Sie den Branch fest, für den das Gerät Windows-Updates empfängt (Current Branch oder Current Branch for Business).
    • Zurückstellungszeitraum (Tage): Geben Sie die Anzahl der Tage an, für die Feature-Updates zurückgestellt werden. Sie können den Empfang dieser Feature-Updates für einen Zeitraum von 180 Tagen nach ihrer Veröffentlichung zurückstellen.
    • Features anhalten Updates starten: Wählen Sie aus, ob Geräte den Empfang von Feature-Updates für einen Zeitraum von bis zu 60 Tagen ab dem Zeitpunkt anhalten möchten, zu dem Sie die Updates anhalten. Nach Ablauf der maximalen Tage läuft die Pausenfunktion automatisch ab, und das Gerät überprüft Windows Updates auf anwendbare Updates. Nach dieser Überprüfung können Sie die Updates erneut anhalten. Sie können das Anhalten von Feature-Updates aufheben, indem Sie das Kontrollkästchen deaktivieren.
  5. Wählen Sie aus, ob Quality Updates zurückgehalten oder zurückgehalten werden soll.
    Qualitäts-Updates sind im Allgemeinen Korrekturen und Verbesserungen an vorhandenen Windows-Funktionen und werden in der Regel am ersten Dienstag jedes Monats veröffentlicht, können jedoch jederzeit von Microsoft veröffentlicht werden. Sie können definieren, ob und wie lange Sie den Empfang von Qualitäts-Updates nach deren Verfügbarkeit verzögern möchten.
    • Zurückstellungszeitraum (Tage): Geben Sie die Anzahl der Tage an, für die Feature-Updates zurückgestellt werden. Sie können den Empfang dieser Feature-Updates für einen Zeitraum von 180 Tagen nach ihrer Veröffentlichung zurückstellen.
    • Starten von Quality Updates anhalten: Wählen Sie aus, ob Geräte den Empfang von Quality Updates für einen Zeitraum von bis zu 35 Tagen ab dem Zeitpunkt, zu dem Sie die Updates anhalten, anhalten möchten. Nach Ablauf der maximalen Tage läuft die Pausenfunktion automatisch ab, und das Gerät überprüft Windows Updates auf anwendbare Updates. Nach dieser Überprüfung können Sie die Updates erneut anhalten. Sie können die Unterbrechung von Quality Updates aufheben, indem Sie das Kontrollkästchen deaktivieren.
  6. Wählen Sie Updates von anderen Microsoft-Produkten installieren aus, um die Gruppenrichtlinieneinstellung zu aktivieren, die die Zurückstellungseinstellungen für Microsoft Update sowie für Windows Updates.
  7. Wählen Sie Treiber in Windows Update einschließen aus, um Treiber von Windows Updates automatisch zu aktualisieren. Wenn Sie diese Einstellung deaktivieren, werden Treiberupdates nicht von Windows Updates heruntergeladen.
  8. Schließen Sie den Assistenten ab, um die neue Verzögerungsrichtlinie zu erstellen.

So stellen Sie eine Windows Update for Business-Zurückstellungsrichtlinie bereit

  1. Unter Softwarebibliothek>Windows 10 Servicing>Windows Update for Business Policies
  2. Wählen Sie auf der Registerkarte Start in der Gruppe Bereitstellung die Option Windows Update für Unternehmen-Richtlinie bereitstellen aus.
  3. Konfigurieren Sie die folgenden Einstellungen:
    • Bereitzustellende Konfigurationsrichtlinie: Wählen Sie die Windows Update für Unternehmen aus, die Sie bereitstellen möchten.
    • Sammlung: Klicken Sie auf Durchsuchen , um die Sammlung auszuwählen, in der Sie die Richtlinie bereitstellen möchten.
    • Nicht konforme Regeln korrigieren, falls unterstützt: Wählen Sie diese Option aus, um alle Regeln, die für die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI), die Registrierung, Skripts und alle Einstellungen für mobile Geräte, die von Configuration Manager registriert werden, automatisch zu korrigieren.
    • Wartung außerhalb des Wartungsfensters zulassen: Wenn ein Wartungsfenster für die Sammlung konfiguriert wurde, für die Sie die Richtlinie bereitstellen, aktivieren Sie diese Option, damit Konformitätseinstellungen den Wert außerhalb des Wartungsfensters korrigieren können. Weitere Informationen zu Wartungsfenstern finden Sie unter Verwenden von Wartungsfenstern.
    • Warnung generieren: Konfiguriert eine Warnung, die generiert wird, wenn die Kompatibilität der Konfigurationsbaseline zu einem angegebenen Datum und einer angegebenen Uhrzeit kleiner als ein angegebener Prozentsatz ist. Sie können auch angeben, ob eine Warnung an System Center Operations Manager gesendet werden soll.
    • Zufällige Verzögerung (Stunden): Gibt ein Verzögerungsfenster an, um übermäßige Verarbeitung im Registrierungsdienst für Netzwerkgeräte zu vermeiden. Der Standardwert ist 64 Stunden.
    • Zeitplan: Geben Sie den Zeitplan für die Konformitätsauswertung an, nach dem das bereitgestellte Profil auf Clientcomputern ausgewertet wird. Der Zeitplan kann entweder ein einfacher oder ein benutzerdefinierter Zeitplan sein. Das Profil wird von Clientcomputern ausgewertet, wenn sich der Benutzer anmeldet.
  4. Schließen Sie den Assistenten ab, um das Profil bereitzustellen.

Unterstützung für Entrust-Zertifizierungsstellen

Configuration Manager unterstützt jetzt Entrust-Zertifizierungsstellen. Dies ermöglicht die Übermittlung von PFX-Zertifikaten an Geräte, die bei Microsoft Intune registriert sind.

Sie können Entrust als Zertifizierungsstelle konfigurieren, wenn Sie eine Zertifikatregistrierungspunktrolle in Configuration Manager hinzufügen. Wenn Sie ein neues Zertifikatprofil hinzufügen, das PFX-Zertifikate ausstellt, können Sie entweder eine Microsoft- oder Entrust-Zertifizierungsstelle auswählen.

Bekanntes Problem: In der Technical Preview 1706 werden PFX-Zertifikate nicht für Microsoft-Zertifizierungsstellen ausgestellt. Dies wirkt sich nicht auf importierte PFX-Zertifikate oder SCEP-Profile aus.

Cisco-Unterstützung (IPsec) für iOS-VPN-Profile

Sie können ein iOS-VPN-Profil mit Cisco (IPsec) als Verbindungstyp erstellen. Weitere Informationen finden Sie unter Erstellen von VPN-Profilen.

Neue Einstellungen für Windows-Konfigurationselemente

In dieser Version haben wir die folgenden neuen Einstellungen hinzugefügt, die Sie in Windows-Konfigurationselementen verwenden können:

Kennwort

  • Geräteverschlüsselung

Gerät

  • Änderung der Regionseinstellungen (nur Desktop)
  • Änderung der Energie- und Energiesparmoduseinstellungen
  • Änderung der Spracheinstellungen
  • Änderung der Systemzeit
  • Änderung des Gerätenamens

Store

  • Automatisches Aktualisieren von Apps aus dem Store
  • Nur privaten Speicher verwenden
  • Start der Store-App

Microsoft Edge

  • Zugriff auf about:flags blockieren
  • SmartScreen-Eingabeaufforderungsüberschreibung
  • SmartScreen-Eingabeaufforderungsüberschreibung für Dateien
  • WebRTC localhost-IP-Adresse
  • Standardsuchmaschine
  • OpenSearch XML-URL
  • Homepages (nur Desktop)

Weitere Informationen zu Konformitätseinstellungen finden Sie unter Sicherstellen der Gerätekonformität.

Neue Regeln für Gerätekonformitätsrichtlinien

  • Erforderlicher Kennworttyp. Geben Sie an, ob der Benutzer ein alphanumerisches oder ein numerisches Kennwort erstellen muss. Für alphanumerische Kennwörter geben Sie auch die Mindestanzahl von Zeichensätzen an, die das Kennwort aufweisen muss. Die vier Zeichensätze sind: Kleinbuchstaben, Großbuchstaben, Symbole und Zahlen.

    Unterstützt auf:

    • Windows Phone 8+
    • Windows 8.1+
    • iOS 6+

  • Blockieren des USB-Debuggens auf dem Gerät. Sie müssen diese Einstellungen nicht konfigurieren, da das USB-Debuggen auf Android for Work-Geräten bereits deaktiviert ist.

    Unterstützt auf:

    • Android 4.0 und höher
    • Samsung KNOX Standard 4.0+

  • Blockieren von Apps aus unbekannten Quellen. Geräte müssen die Installation von Apps aus unbekannten Quellen verhindern. Sie müssen diese Einstellung nicht konfigurieren, da Android for Work-Geräte die Installation aus unbekannten Quellen immer einschränken.

    Unterstützt auf:

    • Android 4.0 und höher
    • Samsung KNOX Standard 4.0+

  • Bedrohungsüberprüfung für Apps erforderlich. Diese Einstellung gibt an, dass das Feature Apps überprüfen auf dem Gerät aktiviert ist.

    Unterstützt auf:

    • Android 4.2 bis 4.4
    • Samsung KNOX Standard 4.0+

Neue Richtlinieneinstellungen für die Verwaltung mobiler Anwendungen

Ab diesem Release können Sie drei neue Richtlinieneinstellungen für die Verwaltung mobiler Anwendungen (MAM) verwenden:

  • Bildschirmaufnahme blockieren (nur Android-Geräte): Gibt an, dass die Bildschirmaufnahmefunktionen des Geräts blockiert werden, wenn diese App verwendet wird.

  • Kontaktsynchronisierung deaktivieren: Verhindert, dass die App Daten in der nativen Kontakte-App auf dem Gerät speichert.

  • Drucken deaktivieren: Verhindert, dass die App Geschäfts-, Schul- oder Unidaten druckt.

Android- und iOS-Registrierungseinschränkungen

Ab diesem Release können Administratoren festlegen, dass Benutzer keine persönlichen Android- oder iOS-Geräte in ihrer Hybridumgebung registrieren können. Dadurch können Sie registrierte Geräte auf vorab deklarierte, unternehmenseigene Geräte oder iOS-Geräte beschränken, die nur mit dem Programm zur Geräteregistrierung registriert sind.

Probieren Sie es aus

  1. Wechseln Sie in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung zu Cloud Services>Microsoft Intune Abonnement.
  2. Wählen Sie auf der Registerkarte Start in der Gruppe Abonnementdie Option Plattformen konfigurieren und dann Android oder iOS aus.
  3. Wählen Sie Persönliche Geräte blockieren aus.

Android for Work-Anwendungsverwaltungsrichtlinie für Kopieren und Einfügen

Wir haben die Einstellungsbeschreibungen für Android for Work-Konfigurationselemente für die Datenfreigabe zwischen arbeits- und persönlichem Profil zulassen aktualisiert.

Vor 1706 Technical Preview Neuer Optionsname Verhalten
Verhindern einer grenzüberschreitend verteilten Freigabe Standardfreigabeeinschränkungen Work-to-Personal: Standard (wird für alle Versionen blockiert)
Personal-to-Work: Standard (zulässig ab 6.x, blockiert für 5.x)
Keine Einschränkungen Apps im persönlichen Profil können Freigabeanforderungen aus dem Arbeitsprofil verarbeiten. Work-to-Personal: Zulässig
Personal-to-Work: Zulässig
Apps im Arbeitsprofil können Freigabeanforderungen aus einem persönlichen Profil verarbeiten Apps im Arbeitsprofil können Freigabeanforderungen aus einem persönlichen Profil verarbeiten Work-to-Personal: Standard
Personal-to-Work: Zulässig
(Nur nützlich in Version 5.x, wenn personal-to-work blockiert ist)

Keine dieser Optionen verhindert direkt das Kopier-/Einfügeverhalten. Wir haben dem Dienst und Unternehmensportal App in 1704 eine benutzerdefinierte Einstellung hinzugefügt, die konfiguriert werden kann, um das Kopieren und Einfügen zu verhindern. Dies kann über einen benutzerdefinierten URI festgelegt werden.

  • OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • Werttyp: Boolean

Wenn DisallowCrossProfileCopyPaste auf true festgelegt wird, wird das Kopieren und Einfügen zwischen persönlichen Android for Work- und Arbeitsprofilen verhindert.

Probieren Sie es aus

  1. Wählen Sie in der Configuration Manager-Konsole Bestand und Kompatibilität>Übersicht>Kompatibilitätseinstellungen>Konfigurationselemente aus.
  2. Wählen Sie Erstellen aus, um ein neues Konfigurationselement zu erstellen, und geben Sie Name und Android for Work an.
  3. Wählen Sie in den zu konfigurierenden Geräteeinstellungsgruppen die Option Arbeitsprofil und dann Weiter aus.
  4. Wählen Sie den Wert für Datenfreigabe zwischen Arbeits- und persönlichen Profilen zulassen aus, und schließen Sie dann den Assistenten ab.

Bewertung des Geräteintegritätsnachweises für Konformitätsrichtlinien für bedingten Zugriff

Ab diesem Release können Sie device health attestation status als Konformitätsrichtlinienregel für den bedingten Zugriff auf Unternehmensressourcen verwenden.

Probieren Sie es aus

Wählen Sie im Rahmen einer Konformitätsrichtlinienbewertung eine Regel zum Nachweis der Geräteintegrität aus.