Funzionalità in Technical Preview 1706 per Configuration Manager

  • Articolo

Si applica a: Configuration Manager (technical preview branch)

Questo articolo presenta le funzionalità disponibili nella Technical Preview per Configuration Manager versione 1706. È possibile installare questa versione per aggiornare e aggiungere nuove funzionalità al sito di Configuration Manager Technical Preview. Prima di installare questa versione della technical preview, vedere Technical Preview per Configuration Manager acquisire familiarità con i requisiti generali e le limitazioni per l'uso di una technical preview, come eseguire l'aggiornamento tra le versioni e come fornire commenti e suggerimenti sulle funzionalità in una technical preview.

Problemi noti in questa Technical Preview:

  • Sposta punto di distribuzione : le opzioni nella console per spostare un punto di distribuzione tra siti non possono essere usate con questa versione a causa del limite technical preview di un singolo sito primario.

  • Impostazioni di conformità del dispositivo : è possibile che si verifichi un comportamento opposto quando si usano le due nuove impostazioni di conformità del dispositivo:

    • Bloccare il debug USB nel dispositivo

    • Bloccare le app da origini sconosciute

      Ad esempio, se gli amministratori impostano Blocca debug USB nel dispositivo sutrue, tutti i dispositivi per cui non è abilitato il debug USB vengono contrassegnati come non conformi.

Di seguito sono riportate le nuove funzionalità che è possibile provare con questa versione.

Gruppi di limiti migliorati per i punti di aggiornamento software

Questa versione include miglioramenti per il funzionamento dei punti di aggiornamento software con i gruppi di limiti. Di seguito viene riepilogato il nuovo comportamento di fallback:

  • Il fallback per i punti di aggiornamento software usa ora un tempo configurabile per il fallback ai gruppi di limiti adiacenti, con un tempo minimo di 120 minuti.

  • Indipendentemente dalla configurazione di fallback, un client tenta di raggiungere l'ultimo punto di aggiornamento software usato per 120 minuti. Dopo aver mancato di raggiungere il server per 120 minuti, il client controlla quindi il pool di punti di aggiornamento software disponibili, in modo che possa trovarne uno nuovo.

    • Tutti i punti di aggiornamento software nel gruppo di limiti corrente del client vengono aggiunti immediatamente al pool del client.

    • Poiché un client tenta di usare il server originale per 120 minuti prima di cercarne uno nuovo, nessun server aggiuntivo viene contattato fino a quando non sono trascorsi due ore.

    • Se il fallback a un gruppo adiacente è configurato per un minimo di 120 minuti, i punti di aggiornamento software del gruppo di limiti adiacente faranno parte del pool di server disponibili del client.

  • Dopo aver mancato di raggiungere il server originale per due ore, il client passa a un ciclo più breve per contattare un nuovo punto di aggiornamento software.

    Ciò significa che se un client non riesce a connettersi a un nuovo server, seleziona rapidamente il server successivo dal pool di server disponibili e tenta di contattarlo.

    • Questo ciclo continua fino a quando il client non si connette a un punto di aggiornamento software che può usare.
    • Finché il client non trova un punto di aggiornamento software, vengono aggiunti altri server al pool di server disponibili quando viene soddisfatto il tempo di fallback per ogni gruppo di limiti adiacente.

Per altre informazioni, vedere Punti di aggiornamento software nell'argomento Gruppi di limiti per Current Branch.

Disponibilità elevata del ruolo del server del sito

La disponibilità elevata per il ruolo del server del sito è una soluzione basata su Configuration Manager per installare un server del sito primario aggiuntivo in modalità passiva. Il server del sito in modalità passiva si aggiunge al server del sito primario esistente in modalità attiva . Un server del sito in modalità passiva è disponibile per l'uso immediato, quando necessario.

Un server del sito primario in modalità passiva:

  • Usa lo stesso database del sito del server del sito attivo.
  • Riceve una copia della raccolta contenuto dei server del sito attivi, che viene quindi mantenuta sincronizzata.
  • Non scrive dati nel database del sito purché siano in modalità passiva.
  • Non supporta l'installazione o la rimozione di ruoli facoltativi del sistema del sito, purché sia in modalità passiva.

Per rendere il server del sito in modalità passiva il server del sito in modalità attiva, è necessario alzarlo di livello manualmente. In questo modo il server del sito attivo viene impostato come server del sito passivo. I ruoli del sistema del sito disponibili nel server in modalità attiva originale rimangono disponibili finché il computer è accessibile. Solo il ruolo del server del sito viene commutato tra la modalità attiva e quella passiva.

Per installare un server del sito in modalità passiva, usare la Creazione guidata server del sistema del sito per configurare un nuovo server del sito con un tipo di server del sito primario e una modalità passiva. La procedura guidata viene quindi eseguita Configuration Manager programma di installazione nel server specificato per installare il nuovo server del sito in modalità passiva. Al termine dell'installazione, il server del sito in modalità attiva mantiene il server del sito in modalità passiva e la relativa raccolta contenuto sincronizzati con le modifiche o le configurazioni apportate al server del sito attivo.

Prerequisiti e limitazioni

  • In ogni sito primario è supportato un singolo server del sito in modalità passiva.

  • Il server del sito in modalità passiva può essere locale o basato sul cloud in Azure.

  • Sia la modalità attiva che i server del sito in modalità passiva devono trovarsi nello stesso dominio.

  • Sia la modalità attiva che i server del sito in modalità passiva devono usare lo stesso database del sito, che deve essere remoto dai computer di ogni server del sito.

    • Il SQL Server che ospita il database può usare un'istanza predefinita, un'istanza denominata, SQL Server Always On'istanza del cluster di failover o un gruppo di disponibilità.

    • Il server del sito in modalità passiva è configurato per l'uso dello stesso database del sito del server del sito in modalità attiva. Tuttavia, il server del sito in modalità passiva non usa tale database fino a quando non viene promosso alla modalità attiva.

  • Il computer che eseguirà il server del sito in modalità passiva:

    • Deve soddisfare i prerequisiti per l'installazione di un sito primario.

    • Viene installato usando file di origine che corrispondono alla versione del server del sito in modalità attiva.

    • Non è possibile avere un ruolo del sistema del sito da un sito prima di installare il sito in modalità passiva.

  • I computer server del sito in modalità attiva e passiva possono eseguire diversi sistemi operativi o versioni del Service Pack, purché rimangano entrambi supportati dalla versione di Configuration Manager.

  • La promozione del server del sito in modalità passiva al server in modalità attiva è manuale. Non è disponibile alcun failover automatico.

  • I ruoli del sistema del sito possono essere installati solo nel server del sito in modalità attiva.

    • Un server del sito in modalità attiva supporta tutti i ruoli del sistema del sito. Non è possibile installare i ruoli del sistema del sito nel server quando è in modalità passiva.

    • I ruoli del sistema del sito che usano un database, ad esempio il punto di report, devono avere tale database in un server remoto dai server del sito in modalità attiva e passiva.

    • Il SMS_Provider non viene installato nel server del sito in modalità passiva. Poiché è necessario connettersi a un SMS_Provider affinché il sito promuovi manualmente il server del sito in modalità passiva alla modalità attiva, è consigliabile installare almeno un'istanza aggiuntiva del provider in un computer aggiuntivo.

Problema noto:
Con questa versione , lo stato per le condizioni seguenti viene visualizzato nella console come valori numerici anziché come testo leggibile:

  • 131071: installazione del server del sito non riuscita
  • 720895- Disinstallazione del ruolo del server del sito non riuscita
  • 851967 - Failover non riuscito

Aggiungere un server del sito in modalità passiva

  1. Nella console passare aSitidi configurazione> del sito di amministrazione> e avviare l'Aggiunta guidata ruoli del sistema del sito. È anche possibile usare la Creazione guidata server del sistema del sito.

  2. Nella pagina Generale specificare il server che ospiterà il server del sito in modalità passiva. Il server specificato non può ospitare ruoli del sistema del sito prima di installare un server del sito in modalità passiva.

  3. Nella pagina Selezione ruolo di sistema selezionare Solo server del sito primario in modalità passiva.

  4. Per completare la procedura guidata, è necessario specificare le informazioni seguenti usate per eseguire il programma di installazione e installare il ruolo del server del sito nel server specificato:

    • Scegliere di copiare i file di installazione dal server del sito attivo al nuovo server del sito in modalità passiva oppure specificare un percorso in un percorso contenente il contenuto della cartella CD.Latest del server del sito attivo.

    • Specificare lo stesso server di database del sito e lo stesso nome del database utilizzato dal server del sito in modalità attiva.

  5. Configuration Manager quindi installa il server del sito in modalità passiva nel server specificato.

Per informazioni dettagliate sullo stato di installazione, passare a Sitidi configurazione> del sitodiamministrazione>.

  • Lo stato del server del sito in modalità passiva viene visualizzato come Installazione.

  • Selezionare il server e quindi fare clic su Mostra stato per aprire Stato installazione server del sito per informazioni più dettagliate.

Alzare di livello il server del sito in modalità passiva alla modalità attiva

Quando si vuole impostare il server del sito in modalità passiva in modalità attiva, eseguire questa operazione dal riquadro Nodi in Sitidi configurazione> del sitodiamministrazione>. Finché è possibile accedere a un'istanza del SMS_Provider, è possibile accedere al sito per apportare questa modifica.

  1. Nel riquadro Nodi della console Configuration Manager selezionare il server del sito in modalità passiva e quindi nella barra multifunzione scegliere Alza di livello a attivo.

  2. Lo stato semplice per il server di cui si sta promuovendo viene visualizzato nel riquadro Nodi come Promozione.

  3. Al termine dell'innalzamento di livello, la colonna Stato mostra OK sia per il nuovo server del sito in modalità attiva che per il nuovo server del sito in modalità passiva .

  4. InSitidi configurazione> del sito di amministrazione> il nome del server del sito primario visualizza ora il nome del nuovo server del sito in modalità attiva. Per informazioni dettagliate sullo stato, passare a Monitoraggio>dello stato del server del sito.

    • La colonna Modalità identifica il server attivo o passivo.

    • Durante la promozione di un server dalla modalità passiva alla modalità attiva, selezionare il server del sito da alzare di livello ad attivo e quindi scegliere Mostra stato dalla barra multifunzione. Verrà visualizzata la finestra Stato promozione server sito che visualizza dettagli aggiuntivi sul processo.

Quando un server del sito in modalità attiva passa alla modalità passiva, solo il ruolo del sistema del sito viene reso passivo. Tutti gli altri ruoli del sistema del sito installati nel computer rimangono attivi e accessibili ai client.

Monitoraggio giornaliero

Quando si dispone di un sito primario in modalità passiva, monitorarlo quotidianamente per assicurarsi che rimanga sincronizzato con il server del sito in modalità attiva e pronto per l'uso. A tale scopo, passare a Monitoraggio>dello stato del server del sito. Qui è possibile visualizzare sia la modalità attiva che i server del sito in modalità passiva.

Scheda Riepilogo :

  • La colonna Modalità identifica il server attivo o passivo.
  • La colonna Stato elenca OK quando il server in modalità passiva è sincronizzato con il server in modalità attiva.
  • Per visualizzare altri dettagli sullo stato della sincronizzazione del contenuto, fare clic su Mostra stato dallo stato di sincronizzazione del contenuto. Verrà visualizzata la scheda Raccolta contenuto in cui è possibile provare a risolvere i problemi di sincronizzazione del contenuto.

Scheda Raccolta contenuto :

  • Visualizzare lo stato del contenuto sincronizzato dal server del sito attivo al server del sito in modalità passiva.
  • È possibile selezionare il contenuto con Stato non riuscito e quindi scegliere Sincronizza elementi selezionati dalla barra multifunzione. Questa azione tenta di risincronizzare il contenuto dall'origine del contenuto al server del sito in modalità passiva. Durante il ripristino, lo stato viene visualizzato come In corso e, quando è sincronizzato, viene visualizzato come Operazione riuscita.

Provali ora!

Provare a completare le attività seguenti e quindi inviare commenti e suggerimenti dalla scheda Home della barra multifunzione per segnalare il funzionamento:

  • È possibile installare un sito primario in modalità passiva.
  • È possibile usare la console per alzare di livello il server del sito in modalità passiva per renderlo il server del sito in modalità attiva e confermare la modifica dello stato per entrambi i server del sito.

Includere l'attendibilità per file e cartelle specifici in un criterio di Device Guard

In questa versione sono state aggiunte altre funzionalità alla gestione dei criteri di Device Guard

È ora possibile aggiungere facoltativamente l'attendibilità per file specifici per le cartelle in un criterio di Device Guard. In questo modo è possibile:

  1. Risolvere i problemi relativi ai comportamenti del programma di installazione gestito
  2. Considerare attendibili le app line-of-business che non possono essere distribuite con Configuration Manager
  3. Considerare attendibili le app incluse in un'immagine di distribuzione del sistema operativo.

Provali ora!

  1. Durante la creazione di un criterio di Device Guard, nella scheda Inclusioni della creazione guidata criteri di Device Guard fare clic su Aggiungi.
  2. Nella finestra di dialogo Aggiungi file attendibile o cartella specificare le informazioni sul file o sulla cartella da considerare attendibile. È possibile specificare un percorso di file o cartella locale oppure connettersi a un dispositivo remoto a cui si dispone dell'autorizzazione per connettersi e specificare un percorso di file o cartella nel dispositivo.
  3. Completare la procedura guidata.

Nascondere lo stato della sequenza di attività

In questa versione è possibile controllare quando lo stato di avanzamento della sequenza di attività viene visualizzato agli utenti finali usando una nuova variabile. Nella sequenza di attività usare il passaggio Imposta variabile della sequenza di attività per impostare il valore della variabile TSDisableProgressUI per nascondere o visualizzare lo stato di avanzamento della sequenza di attività. È possibile usare il passaggio Imposta variabile della sequenza di attività più volte in una sequenza di attività per modificare il valore della variabile. In questo modo è possibile nascondere o visualizzare lo stato di avanzamento della sequenza di attività in diverse sezioni della sequenza di attività.

Per nascondere lo stato della sequenza di attività

Nell'editor della sequenza di attività usare il passaggio Imposta variabile sequenza di attività per impostare il valore della variabile TSDisableProgressUIsu True per nascondere lo stato di avanzamento della sequenza di attività.

Per visualizzare lo stato della sequenza di attività

Nell'editor della sequenza di attività usare il passaggio Imposta variabile sequenza di attività per impostare il valore della variabile TSDisableProgressUIsu False per visualizzare lo stato di avanzamento della sequenza di attività.

Specificare un percorso di contenuto diverso per l'installazione del contenuto e la disinstallazione del contenuto

In Configuration Manager, specificare il percorso di installazione che contiene i file di installazione per un'app. Quando si specifica un percorso di installazione, viene usato anche come percorso di disinstallazione per il contenuto dell'applicazione. In base al feedback, quando si vuole disinstallare un'applicazione distribuita e il contenuto dell'app non si trova nel computer client, il client scaricherà nuovamente tutti i file di installazione dell'app prima che l'applicazione venga disinstallata. Per risolvere questo problema, è ora possibile specificare sia un percorso del contenuto di installazione che un percorso di contenuto di disinstallazione facoltativo. Inoltre, è possibile scegliere di non specificare un percorso del contenuto di disinstallazione.

Provalo!

  1. Nelle proprietà del tipo di distribuzione di un'applicazione fare clic sulla scheda Contenuto .
  2. Configurare il percorso di installazione del contenuto come di consueto.
  3. Per Disinstallare le impostazioni del contenuto, scegliere una delle opzioni seguenti:
    • Uguale al contenuto di installazione : verrà usato lo stesso percorso del contenuto, indipendentemente dal fatto che si stia installando o disinstallando l'applicazione.
    • Nessun contenuto di disinstallazione : scegliere questa opzione se non si vuole fornire un percorso del contenuto di disinstallazione per l'applicazione.
    • Diverso dal contenuto di installazione : scegliere questa opzione se si vuole specificare un percorso del contenuto di disinstallazione diverso dal percorso del contenuto di installazione.
  4. Se è stato selezionato Diverso dal contenuto di installazione, passare a o immettere il percorso del contenuto dell'applicazione che verrà usato per disinstallare l'applicazione.
  5. Fare clic su OK per chiudere la finestra di dialogo delle proprietà del tipo di distribuzione.

Miglioramenti all'accessibilità

Questa anteprima introduce diversi miglioramenti alle funzionalità di accessibilità nella console di Configuration Manager. tra cui:

Nuovi tasti di scelta rapida per spostarsi nella console:

  • CTRL+M: imposta lo stato attivo sul riquadro principale (centrale).
  • CTRL+T: imposta lo stato attivo sul nodo superiore nel riquadro di spostamento. Se lo stato attivo era già in quel riquadro, lo stato attivo viene impostato sull'ultimo nodo visitato.
  • CTRL + I - Imposta lo stato attivo sulla barra di navigazione, sotto la barra multifunzione.
  • CTRL+L: imposta lo stato attivo sul campo Cerca , se disponibile.
  • CTRL+D: imposta lo stato attivo sul riquadro dei dettagli, se disponibile.
  • Alt: modifica lo stato attivo all'interno e all'esterno della barra multifunzione.

Miglioramenti generali:

  • Spostamento migliorato nel riquadro di spostamento quando si digitano le lettere di un nome di nodo.
  • La navigazione tramite tastiera attraverso la visualizzazione principale e la barra multifunzione sono ora circolari.
  • La navigazione tramite tastiera nel riquadro dei dettagli è ora circolare. Per tornare all'oggetto o al riquadro precedente, usare CTRL + D, quindi MAIUSC + TAB.
  • Dopo aver aggiornato una visualizzazione Area di lavoro, lo stato attivo viene impostato sul riquadro principale dell'area di lavoro.
  • È stato risolto un problema per consentire alle utilità per la lettura dello schermo di annunciare i nomi degli elementi dell'elenco.
  • Sono stati aggiunti nomi accessibili per più controlli nella pagina che consentono alle utilità per la lettura dello schermo di annunciare informazioni importanti.

Modifiche alla Procedura guidata servizi di Azure per supportare l'idoneità per l'aggiornamento

A partire da questa versione, usare la Procedura guidata servizi di Azure per configurare una connessione da Configuration Manager a Preparazione aggiornamento. L'uso della procedura guidata semplifica la configurazione del connettore usando una procedura guidata comune per i servizi di Azure correlati.

Anche se il metodo per configurare la connessione è stato modificato, i prerequisiti per la connessione e il modo in cui si usa Preparazione aggiornamento rimangono invariati.

Prerequisiti per l'idoneità per l'aggiornamento

I prerequisiti per una connessione all'idoneità per l'aggiornamento sono invariati rispetto a quelli descritti in dettaglio per Current Branch of Configuration Manager. Vengono ripetuti qui per praticità:

Prerequisiti

  • Per aggiungere la connessione, l'ambiente Configuration Manager deve innanzitutto configurare un punto di connessione del servizio in modalità online. Quando si aggiunge la connessione all'ambiente, verrà installato anche Microsoft Monitoring Agent nel computer che esegue questo ruolo del sistema del sito.
  • Registrare Configuration Manager come strumento di gestione "Applicazione Web e/o API Web" e ottenere l'ID client da questa registrazione.
  • Creare una chiave client per lo strumento di gestione registrato nell Microsoft Entra ID.
  • Nel portale di Azure fornire all'app Web registrata l'autorizzazione per accedere a OMS.

Importante

Quando si configura l'autorizzazione per accedere a OMS, assicurarsi di scegliere il ruolo Collaboratore e assegnarle le autorizzazioni al gruppo di risorse dell'app registrata.

Dopo aver configurato i prerequisiti, è possibile usare la procedura guidata per creare la connessione.

Usare la Procedura guidata di Servizi di Azure per configurare l'idoneità per l'aggiornamento

  1. Nella console passare aPanoramica>dell'amministrazione> Servizi cloud >Servizi di Azure e quindi scegliere Configura servizi di Azure dalla scheda Home della barra multifunzione per avviare la Procedura guidata di Servizi di Azure.

  2. Nella pagina Servizi di Azure selezionare Upgrade Readiness Connector e quindi fare clic su Avanti.

  3. Nella pagina App specificare l'ambiente Azure (la technical preview supporta solo il cloud pubblico). Fare quindi clic su Importa per aprire la finestra Importa app .

  4. Nella finestra Importa app specificare i dettagli per un'app Web già esistente nell'ID Microsoft Entra.

    • Specificare un nome descrittivo per il nome del tenant Microsoft Entra. Specificare quindi l'ID tenant, il nome dell'applicazione, l'ID client, la chiave privata per l'app Web di Azure e l'URI dell'ID app.
    • Fare clic su Verifica e, in caso di esito positivo, fare clic su OK per continuare.

  5. Nella pagina Configurazione specificare la sottoscrizione, il gruppo di risorse e l'area di lavoro di Windows Analytics da usare con questa connessione a Preparazione aggiornamenti.

  6. Fare clic su Avanti per passare alla pagina Riepilogo e quindi completare la procedura guidata per creare la connessione.

Nuove impostazioni client per i servizi cloud

In questa versione sono state aggiunte due nuove impostazioni client a Configuration Manager. Questi sono disponibili nella sezione Servizi cloud. Queste impostazioni offrono le funzionalità seguenti:

  • Controllare quali Configuration Manager client possono accedere a un gateway di gestione cloud configurato.
  • Registrare automaticamente Windows 10 client Configuration Manger aggiunti al dominio con l'ID Microsoft Entra.

Queste nuove impostazioni consentono di eseguire le funzionalità descritte nella technical preview Configuration Manager 1705.

Prima di iniziare

È necessario aver installato e configurato Microsoft Entra Connettersi tra il Active Directory locale e il tenant Microsoft Entra.

Se si rimuove la connessione, i dispositivi non vengono non registrati, ma non verranno registrati nuovi dispositivi.

Provali ora!

  1. Configurare le impostazioni client seguenti (disponibili nella sezione Servizi cloud) usando le informazioni in Come configurare le impostazioni client.
    • Registrare automaticamente nuovi dispositivi aggiunti a un dominio Windows 10 con ID Microsoft Entra: impostare su (impostazione predefinita) o No.
    • Abilitare i client per l'uso di un gateway di gestione cloud : impostare su (impostazione predefinita) o No.
  2. Distribuire le impostazioni client nella raccolta di dispositivi necessaria.

Per verificare che il dispositivo sia aggiunto all'ID Microsoft Entra, eseguire il comando dsregcmd.exe /status in una finestra del prompt dei comandi. Il campo AzureAdjoined nei risultati mostrerà se il dispositivo è Microsoft Entra aggiunto.

Creare ed eseguire script di PowerShell dalla console di Configuration Manager

In Configuration Manager è possibile distribuire script ai dispositivi client usando pacchetti e programmi. In questa technical preview sono state aggiunte nuove funzionalità che consentono di eseguire le azioni seguenti:

  • Importare script di PowerShell in Configuration Manager
  • Modificare gli script dalla console di Configuration Manager (solo per gli script non firmati)
  • Contrassegnare gli script come approvati o negati per migliorare la sicurezza
  • Eseguire script in raccolte di PC client Windows e PC Windows gestiti in locale. Non si distribuiscono gli script, ma vengono eseguiti quasi in tempo reale nei dispositivi client.
  • Esaminare i risultati restituiti dallo script nella console di Configuration Manager.

Prerequisiti

Per usare gli script, l'utente deve essere membro del ruolo di sicurezza appropriato di Configuration Manager.

  • Per importare e creare script, l'account deve disporre delle autorizzazioni di creazione per gli script SMS nel ruolo di sicurezza Amministratore completo .
  • Per approvare o negare gli script: l'account deve disporre delle autorizzazioni di approvazione per gli script SMS nel ruolo di sicurezza Amministratore completo .
  • Per eseguire script : l'account deve disporre delle autorizzazioni Esegui script per le raccolte nel ruolo di sicurezza Gestione impostazioni di conformità .

Per altre informazioni sui ruoli di sicurezza Configuration Manager, vedere Nozioni fondamentali sull'amministrazione basata su ruoli.

Per impostazione predefinita, gli utenti non possono approvare uno script creato. Poiché gli script sono potenti, versatili e possono essere distribuiti in molti dispositivi, è stato introdotto un nuovo concetto che offre la possibilità di separare i ruoli tra la persona che crea lo script e la persona che approva lo script. In questo modo si garantisce un livello di sicurezza aggiuntivo rispetto all'esecuzione di uno script senza supervisione. È possibile disattivare questa approvazione secondaria per semplificare i test, in particolare durante la versione Technical Preview.

Per consentire agli utenti di approvare i propri script:

  1. Nella console Configuration Manager fare clic su Amministrazione.
  2. Nell'area di lavoro Amministrazione espandere Configurazione sito e quindi fare clic su Siti.
  3. Nell'elenco dei siti scegliere il sito e quindi, nel gruppo Siti della scheda Home, fare clic su Impostazioni gerarchia.
  4. Nella scheda Generale della finestra di dialogo Proprietà impostazioni gerarchia deselezionare la casella di controllo Non consentire agli autori di script di approvare i propri script.

Provali ora!

Importare e modificare uno script

  1. Nella console Configuration Manager fare clic su Raccolta software.
  2. Nell'area di lavoro Raccolta software fare clic su Script.
  3. Nel gruppo Crea della scheda Home fare clic su Crea script.
  4. Nella pagina Script della Creazione guidata script configurare quanto segue:
    • Nome script : immettere un nome per lo script. Anche se è possibile creare più script con lo stesso nome, ciò renderà più difficile trovare lo script necessario nella console di Configuration Manager.
    • Linguaggio di script : attualmente sono supportati solo gli script di PowerShell .
    • Importazione : importare uno script di PowerShell nella console. Lo script viene visualizzato nel campo Script .
    • Cancella : rimuove lo script corrente dal campo Script .
    • Script : visualizza lo script attualmente importato. È possibile modificare lo script in questo campo in base alle esigenze.
  5. Completare la procedura guidata. Il nuovo script viene visualizzato nell'elenco Script con stato In attesa di approvazione. Prima di poter eseguire questo script nei dispositivi client, è necessario approvarlo.

Approvare o negare uno script

Prima di poter eseguire uno script, è necessario approvarlo. Per approvare uno script:

  1. Nella console Configuration Manager fare clic su Raccolta software.
  2. Nell'area di lavoro Raccolta software fare clic su Script.
  3. Nell'elenco Script scegliere lo script da approvare o negare e quindi, nel gruppo Script della scheda Home, fare clic su Approva/Nega.
  4. Nella finestra di dialogo Approva o nega scriptapprovare o negare lo script e, facoltativamente, immettere un commento sulla decisione. Se si nega uno script, non può essere eseguito nei dispositivi client.
  5. Completare la procedura guidata. Nell'elenco Script verrà visualizzata la modifica della colonna Stato approvazione a seconda dell'azione eseguita.

Eseguire uno script

Una volta approvato, uno script può essere eseguito su una raccolta scelta.

  1. Nella console Configuration Manager fare clic su Asset e conformità.
  2. Nell'area di lavoro Asset e conformità fare clic su Raccolte dispositivi.
  3. Nell'elenco Raccolte dispositivi fare clic sulla raccolta di dispositivi in cui si vuole eseguire lo script.
  4. Nel gruppo Tutti i sistemi della scheda Home fare clic su Esegui script.
  5. Nella pagina Script della procedura guidata Esegui script scegliere uno script dall'elenco. Vengono visualizzati solo gli script approvati. Fare clic su Avanti e quindi completare la procedura guidata.

Monitorare uno script

Dopo aver eseguito uno script nei dispositivi client, usare questa procedura per monitorare l'esito positivo dell'operazione.

  1. Nella console Configuration Manager fare clic su Monitoraggio.
  2. Nell'area di lavoro Monitoraggio fare clic su Risultati script.
  3. Nell'elenco Risultati script vengono visualizzati i risultati per ogni script eseguito nei dispositivi client. Un codice di uscita dello script pari a 0 indica in genere che lo script è stato eseguito correttamente.

Supporto dell'avvio di rete PXE per IPv6

È ora possibile abilitare il supporto dell'avvio di rete PXE per IPv6 per avviare una distribuzione del sistema operativo della sequenza di attività. Quando si usa questa impostazione, i punti di distribuzione abilitati per PXE supporteranno sia IPv4 che IPv6. Questa opzione non richiede Servizi di distribuzione Windows e arresta WdS se è presente.

Per abilitare il supporto di avvio PXE per IPv6

Usare la procedura seguente per abilitare l'opzione per il supporto IPv6 per PXE.

  1. Nella console di Configuration Manager passare aPunti di distribuzionePanoramica>amministrazione> e fare clic su Proprietà per i punti di distribuzione abilitati per PXE.
  2. Nella scheda PXE selezionare Supporto IPv6 per abilitare il supporto IPv6 per PXE.

Gestire gli aggiornamenti dei driver di Microsoft Surface

È ora possibile usare Configuration Manager per gestire gli aggiornamenti dei driver di Microsoft Surface.

Prerequisiti

Tutti i punti di aggiornamento software devono essere eseguiti Windows Server 2016.

Provali ora!

Provare a completare le attività seguenti e quindi inviare commenti e suggerimenti dalla scheda Home della barra multifunzione per segnalare il funzionamento:

  1. Abilitare la sincronizzazione per i driver di Microsoft Surface. Usare la procedura descritta in Configurare la classificazione e i prodotti e selezionare Includi driver e aggiornamenti del firmware di Microsoft Surface nella scheda Classificazioni per abilitare i driver Surface.
  2. Sincronizzare i driver di Microsoft Surface.
  3. Distribuire i driver di Microsoft Surface sincronizzati

Configurare i criteri di differimento di Windows Update for Business

È ora possibile configurare i criteri di differimento per Windows 10 feature Aggiornamenti o quality Aggiornamenti per i dispositivi Windows 10 gestiti direttamente da Windows Update for Business. È possibile gestire i criteri di differimento nel nuovo nodo Windows Update per i criteri aziendali in Raccolta>software Windows 10 Manutenzione.

Prerequisiti

Windows 10 dispositivi gestiti da Windows Update per le aziende devono avere la connettività Internet.

Per creare un criterio di differimento Windows Update for Business

  1. In Raccolta> software Windows 10 Manutenzione>Windows Update per i criteri aziendali
  2. Nel gruppo Crea della scheda Home selezionare Crea Windows Update per i criteri aziendali per aprire la Creazione guidata criteri di Windows Update per le aziende.
  3. Nella pagina Generale specificare un nome e una descrizione per i criteri.
  4. Nella pagina Criteri di differimento configurare se rinviare o sospendere la Aggiornamenti di funzionalità.
    Le funzionalità Aggiornamenti sono in genere nuove funzionalità per Windows. Dopo aver configurato l'impostazione del livello di preparazione del ramo, è possibile definire se e per quanto tempo si desidera posticipare la ricezione della funzionalità Aggiornamenti seguendone la disponibilità da Microsoft.
    • Livello di preparazione del ramo: impostare il ramo per il quale il dispositivo riceverà gli aggiornamenti di Windows (Current Branch o Current Branch for Business).
    • Periodo di differimento (giorni): specificare il numero di giorni per i quali verrà posticipato il Aggiornamenti di funzionalità. È possibile rinviare la ricezione di queste Aggiornamenti di funzionalità per un periodo di 180 giorni dalla loro versione.
    • Sospendere l'avvio delle funzionalità Aggiornamenti: selezionare se sospendere la ricezione dei dispositivi da Aggiornamenti di funzionalità per un periodo fino a 60 giorni dal momento in cui si sospendono gli aggiornamenti. Al termine dei giorni massimi, la funzionalità di sospensione scadrà automaticamente e il dispositivo analizzerà Windows Aggiornamenti per gli aggiornamenti applicabili. Dopo questa analisi, è possibile sospendere nuovamente gli aggiornamenti. È possibile annullare l'analisi delle Aggiornamenti di funzionalità deselezionando la casella di controllo.
  5. Scegliere se rinviare o sospendere Aggiornamenti qualità.
    Le Aggiornamenti di qualità sono in genere correzioni e miglioramenti alle funzionalità di Windows esistenti e vengono in genere pubblicate il primo martedì di ogni mese, anche se possono essere rilasciate in qualsiasi momento da Microsoft. È possibile definire se e per quanto tempo si vuole posticipare la ricezione di Aggiornamenti qualità in base alla disponibilità.
    • Periodo di differimento (giorni): specificare il numero di giorni per i quali verrà posticipato il Aggiornamenti di funzionalità. È possibile rinviare la ricezione di queste Aggiornamenti di funzionalità per un periodo di 180 giorni dalla loro versione.
    • Sospendere l'avvio di Quality Aggiornamenti: selezionare se sospendere la ricezione di Aggiornamenti qualità da parte dei dispositivi per un periodo fino a 35 giorni dal momento in cui si sospendono gli aggiornamenti. Al termine dei giorni massimi, la funzionalità di sospensione scadrà automaticamente e il dispositivo analizzerà Windows Aggiornamenti per gli aggiornamenti applicabili. Dopo questa analisi, è possibile sospendere nuovamente gli aggiornamenti. È possibile annullare l'analisi della qualità Aggiornamenti deselezionando la casella di controllo.
  6. Selezionare Installa aggiornamenti da altri prodotti Microsoft per abilitare l'impostazione dei criteri di gruppo che rendono applicabili le impostazioni di rinvio a Microsoft Update, nonché Windows Aggiornamenti.
  7. Selezionare Includi driver con Windows Update per aggiornare automaticamente i driver da Windows Aggiornamenti. Se si deseleziona questa impostazione, gli aggiornamenti dei driver non vengono scaricati da Windows Aggiornamenti.
  8. Completare la procedura guidata per creare i nuovi criteri di rinvio.

Per distribuire un criterio di differimento Windows Update for Business

  1. In Raccolta> software Windows 10 Manutenzione>Windows Update per i criteri aziendali
  2. Nel gruppo Distribuzione della scheda Home selezionare Distribuisci Windows Update per i criteri aziendali.
  3. Configurare le seguenti impostazioni:
    • Criteri di configurazione da distribuire: selezionare i criteri Windows Update for Business che si desidera distribuire.
    • Raccolta: fare clic su Sfoglia per selezionare la raccolta in cui si desidera distribuire i criteri.
    • Correggere le regole non conformi se supportate: selezionare per correggere automaticamente tutte le regole non conformi per Strumentazione gestione Windows (WMI), il Registro di sistema, gli script e tutte le impostazioni per i dispositivi mobili registrati da Configuration Manager.
    • Consenti correzione all'esterno della finestra di manutenzione: se è stata configurata una finestra di manutenzione per la raccolta in cui si distribuiscono i criteri, abilitare questa opzione per consentire alle impostazioni di conformità di correggere il valore all'esterno della finestra di manutenzione. Per altre informazioni sulle finestre di manutenzione, vedere Come usare le finestre di manutenzione.
    • Generare un avviso: configura un avviso generato se la conformità della baseline di configurazione è inferiore a una percentuale specificata in base a una data e un'ora specificate. È anche possibile specificare se si vuole inviare un avviso a System Center Operations Manager.
    • Ritardo casuale (ore): specifica una finestra di ritardo per evitare un'elaborazione eccessiva nel servizio Registrazione dispositivi di rete. Il valore predefinito è 64 ore.
    • Pianificazione: specificare la pianificazione della valutazione della conformità in base alla quale il profilo distribuito viene valutato nei computer client. La pianificazione può essere semplice o personalizzata. Il profilo viene valutato dai computer client quando l'utente accede.
  4. Completare la procedura guidata per distribuire il profilo.

Supporto per le autorità di certificazione Entrust

Configuration Manager supporta ora le autorità di certificazione Entrust, che consentono il recapito di certificati PFX ai dispositivi registrati in Microsoft Intune.

È possibile configurare Entrust come autorità di certificazione quando si aggiunge un ruolo Punto di registrazione certificati in Configuration Manager. Quando si aggiunge un nuovo profilo certificato che emette certificati PFX, è possibile selezionare un'autorità di certificazione Microsoft o Entrust.

Problema noto: nella technical preview 1706 i certificati PFX non vengono rilasciati per le autorità di certificazione Microsoft. Ciò non influisce sui certificati PFX importati o sui profili SCEP.

Supporto di Cisco (IPsec) per i profili VPN iOS

È possibile creare un profilo VPN iOS con Cisco (IPsec) come tipo di connessione. Per altre informazioni, vedere Creare profili VPN.

Nuove impostazioni dell'elemento di configurazione di Windows

In questa versione sono state aggiunte le nuove impostazioni seguenti che è possibile usare negli elementi di configurazione di Windows:

Password

  • Crittografia del dispositivo

Dispositivo

  • Modifica delle impostazioni dell'area (solo desktop)
  • Modifica delle impostazioni di alimentazione e sospensione
  • Modifica delle impostazioni della lingua
  • Modifica dell'ora di sistema
  • Modifica del nome del dispositivo

Negozio

  • Aggiornare automaticamente le app dallo Store
  • Usare solo l'archivio privato
  • Avvio dell'app originata dallo Store

Microsoft Edge

  • Bloccare l'accesso a about:flags
  • Override del prompt smartscreen
  • Override del prompt smartscreen per i file
  • Indirizzo IP localhost WebRTC
  • Motore di ricerca predefinito
  • OpenSearch XML URL
  • Home page (solo desktop)

Per altre informazioni sulle impostazioni di conformità, vedere Verificare la conformità del dispositivo.

Nuove regole dei criteri di conformità dei dispositivi

  • Tipo di password obbligatorio. Specificare se l'utente deve creare una password alfanumerica o una password numerica. Per le password alfanumerica, specificare anche il numero minimo di set di caratteri che la password deve avere. I quattro set di caratteri sono: lettere minuscole, lettere maiuscole, simboli e numeri.

    Supportato in:

    • Windows Phone 8+
    • Windows 8.1+
    • iOS 6+

  • Blocca il debug USB nel dispositivo. Non è necessario configurare queste impostazioni perché il debug USB è già disabilitato nei dispositivi Android for Work.

    Supportato in:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Bloccare le app da origini sconosciute. Richiedere che i dispositivi impediscano l'installazione di app da origini sconosciute. Non è necessario configurare questa impostazione come dispositivi Android for Work per limitare sempre l'installazione da origini sconosciute.

    Supportato in:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Richiedere l'analisi delle minacce nelle app. Questa impostazione specifica che la funzionalità Verifica app è abilitata nel dispositivo.

    Supportato in:

    • Da Android 4.2 a 4.4
    • Samsung KNOX Standard 4.0+

Nuove impostazioni dei criteri di gestione delle applicazioni mobili

A partire da questa versione, è possibile usare tre nuove impostazioni dei criteri di gestione delle applicazioni mobili (MAM):

  • Blocca acquisizione dello schermo (solo dispositivi Android): Specifica che le funzionalità di acquisizione dello schermo del dispositivo vengono bloccate quando si usa questa app.

  • Disabilitare la sincronizzazione dei contatti: Impedisce all'app di salvare i dati nell'app Contatti nativa nel dispositivo.

  • Disabilitare la stampa: Impedisce all'app di stampare dati aziendali o dell'istituto di istruzione.

Restrizioni per la registrazione di Android e iOS

A partire da questa versione, gli amministratori possono ora specificare che gli utenti non possono registrare dispositivi Android o iOS personali nel proprio ambiente ibrido. In questo modo è possibile limitare i dispositivi registrati ai dispositivi pre-dichiarati di proprietà dell'azienda o ai dispositivi iOS registrati solo con il programma di registrazione dispositivi.

Procedura

  1. Nella console Configuration Manager nell'area di lavoro Amministrazione passare a sottoscrizione Servizi cloud>Microsoft Intune.
  2. Nella scheda Home del gruppo Sottoscrizione scegliere Configura piattaforme e quindi selezionare Android o iOS.
  3. Selezionare Blocca dispositivi di proprietà personale.

Criteri di gestione delle applicazioni Android for Work per copia-incolla

Sono state aggiornate le descrizioni delle impostazioni per gli elementi di configurazione di Android for Work per il profilo Consenti la condivisione dei dati tra lavoro e personale.

Prima della 1706 Technical Preview Nome nuova opzione Comportamento
Impedisci qualsiasi condivisione oltre i limiti Restrizioni di condivisione predefinite Da lavoro a personale: impostazione predefinita (che dovrebbe essere bloccata in tutte le versioni)
Personal-to-work: impostazione predefinita (consentita nella versione 6.x+, bloccata nella versione 5.x)
Nessuna restrizione Le app nel profilo personale possono gestire le richieste di condivisione dal profilo di lavoro Da lavoro a personale: Consentito
Personal-to-work: Consentito
Le app nel profilo di lavoro possono gestire le richieste di condivisione dal profilo personale Le app nel profilo di lavoro possono gestire le richieste di condivisione dal profilo personale Da lavoro a personale: impostazione predefinita
Personal-to-work: Consentito
(Utile solo nella versione 5.x in cui il personal-to-work è bloccato)

Nessuna di queste opzioni impedisce direttamente il comportamento copia-incolla. È stata aggiunta un'impostazione personalizzata al servizio e Portale aziendale'app nel 1704 che può essere configurata per impedire copia-incolla. Questo può essere impostato tramite URI personalizzato.

  • URI OMA: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • Tipo di valore: Boolean

L'impostazione di DisallowCrossProfileCopyPaste su true impedisce il comportamento di copia-incolla tra i profili personali e di lavoro di Android for Work.

Procedura

  1. Nella console Configuration Manager selezionare Asset eimpostazioni> di conformità > Impostazioni >di conformitàElementi di configurazione.
  2. Scegliere Crea per creare un nuovo elemento di configurazione e specificare Nome e Android for Work.
  3. Nell'impostazione del dispositivo i gruppi da configurare selezionare Profilo di lavoro e scegliere Avanti.
  4. Selezionare il valore Per consentire la condivisione dei dati tra i profili aziendali e personali e quindi completare la procedura guidata.

Valutazione dell'attestazione dell'integrità dei dispositivi per i criteri di conformità per l'accesso condizionale

A partire da questa versione è possibile usare lo stato di attestazione dell'integrità del dispositivo come regola dei criteri di conformità per l'accesso condizionale alle risorse aziendali.

Procedura

Selezionare una regola di attestazione dell'integrità del dispositivo come parte di una valutazione dei criteri di conformità.