Configuration Managerの Technical Preview 1706 の機能

  • [アーティクル]

適用対象: Configuration Manager (テクニカル プレビュー ブランチ)

この記事では、Configuration Managerバージョン 1706 の Technical Preview で利用できる機能について説明します。 このバージョンをインストールして、新しい機能を更新し、Configuration Managerのテクニカル プレビュー サイトに追加できます。 このバージョンのテクニカル プレビューをインストールする前に、「Technical Preview for Configuration Manager」を参照して、技術プレビューの使用に関する一般的な要件と制限事項、バージョン間の更新方法、および技術プレビューの機能に関するフィードバックを提供する方法について理解しておいてください。

このテクニカル プレビューの既知の問題:

  • 配布ポイントの移動 - サイト間で配布ポイントを移動するコンソールのオプションは、1 つのプライマリ サイトの技術的なプレビュー制限のため、このリリースでは使用できません。

  • デバイス コンプライアンス設定 - 新しいデバイス コンプライアンス設定 の 2 つを使用すると、反対の動作が発生する可能性があります。

    • デバイスでの USB デバッグをブロックする

    • 提供元不明のアプリをブロックする

      たとえば、管理者が [デバイスでの USB デバッグをブロックする] をtrue に設定した場合、USB デバッグが有効になっていないすべてのデバイスは非準拠としてマークされます。

このバージョンで試すことができる新機能を次に示します。

ソフトウェアの更新ポイントの境界グループの改善

このリリースには、ソフトウェアの更新ポイントが境界グループと連携する方法の機能強化が含まれています。 新しいフォールバック動作の概要を次に示します。

  • ソフトウェア更新ポイントのフォールバックで、近隣境界グループへのフォールバックに構成可能な時間が使用されるようになりました。最小時間は 120 分です。

  • フォールバック構成とは無関係に、クライアントは 120 分間使用した最後のソフトウェア更新ポイントに到達しようとします。 そのサーバーに 120 分間到達できなかった後、クライアントは使用可能なソフトウェア更新ポイントのプールを確認して、新しい更新ポイントを見つけることができます。

    • クライアントの現在の境界グループ内のすべてのソフトウェア更新ポイントは、すぐにクライアントのプールに追加されます。

    • クライアントは、新しいサーバーを探す前に元のサーバーを 120 分間使用しようとするため、2 時間後まで追加のサーバーに接続されません。

    • 近隣グループへのフォールバックが少なくとも 120 分間構成されている場合、その近隣境界グループからのソフトウェア更新ポイントは、クライアントの使用可能なサーバー プールの一部になります。

  • 元のサーバーに 2 時間到達できなかった後、クライアントは新しいソフトウェアの更新ポイントに接続するための短いサイクルに切り替えます。

    つまり、クライアントが新しいサーバーとの接続に失敗した場合は、使用可能なサーバーのプールから次のサーバーをすばやく選択し、そのサーバーへの接続を試みます。

    • このサイクルは、クライアントが使用できるソフトウェアの更新ポイントに接続するまで続きます。
    • クライアントがソフトウェアの更新ポイントを見つけるまで、各近隣境界グループのフォールバック時間が満たされると、使用可能なサーバーのプールに追加のサーバーが追加されます。

詳細については、「Current Branch の境界グループ」トピックの 「ソフトウェアの更新ポイント 」を参照してください。

サイト サーバーの役割の高可用性

サイト サーバーの役割の高可用性は、パッシブ モードで追加のプライマリ サイト サーバーをインストールするためのConfiguration Manager ベースのソリューションです。 パッシブ モードのサイト サーバーは、 アクティブ モードの既存のプライマリ サイト サーバーに加えてです。 パッシブ モードのサイト サーバーは、必要に応じてすぐに使用できます。

パッシブ モードのプライマリ サイト サーバー:

  • アクティブなサイト サーバーと同じサイト データベースを使用します。
  • アクティブなサイト サーバー コンテンツ ライブラリのコピーを受け取り、同期された状態で保持されます。
  • パッシブ モードである限り、サイト データベースにデータを書き込むことはありません。
  • パッシブ モードである限り、オプションのサイト システムの役割のインストールまたは削除はサポートされません。

パッシブ モード サイト サーバーをアクティブ モード サイト サーバーにするには、手動で昇格させます。 これにより、アクティブ なサイト サーバーがパッシブ サイト サーバーに切り替わります。 元のアクティブ モード サーバーで使用できるサイト システムの役割は、そのコンピューターにアクセスできる限り使用できます。 サイト サーバーの役割のみがアクティブ モードとパッシブ モードの間で切り替えられます。

パッシブ モードのサイト サーバーをインストールするには、サイト システム サーバーの作成ウィザードを使用して、プライマリ サイト サーバーの種類とパッシブ モードを使用して新しいサイト サーバーを構成します。 その後、ウィザードは、指定したサーバー Configuration Managerセットアップを実行して、パッシブ モードで新しいサイト サーバーをインストールします。 インストールが完了すると、アクティブ モード サイト サーバーはパッシブ モード サイト サーバーとそのコンテンツ ライブラリを、アクティブ なサイト サーバーに加えた変更や構成と同期します。

前提条件と制限事項

  • パッシブ モードの 1 つのサイト サーバーは、各プライマリ サイトでサポートされています。

  • パッシブ モードのサイト サーバーは、Azure のオンプレミスまたはクラウドベースにすることができます。

  • アクティブ モードとパッシブ モードのサイト サーバーの両方が同じドメインに存在する必要があります。

  • アクティブ モードとパッシブ モードの両方のサイト サーバーは、同じサイト データベースを使用する必要があります。これは、各サイト サーバーのコンピューターからリモートである必要があります。

    • データベースをホストするSQL Serverは、既定のインスタンス 、名前付きインスタンス、SQL Server Always On フェールオーバー クラスター インスタンス、または可用性グループを使用できます。

    • パッシブ モードのサイト サーバーは、アクティブ モードのサイト サーバーと同じサイト データベースを使用するように構成されています。 ただし、パッシブ モード のサイト サーバーでは、アクティブ モードに昇格されるまで、そのデータベースは使用されません。

  • パッシブ モード サイト サーバーを実行するコンピューター:

    • プライマリ サイトをインストールするための前提条件を満たす必要があります。

    • アクティブ モード サイト サーバーのバージョンに一致するソース ファイルを使用してインストールします。

    • パッシブ モード サイトをインストールする前に、どのサイトからもサイト システムの役割を持つことはできません。

  • アクティブ モードとパッシブ モードのサイト サーバー コンピューターは、オペレーティング システムまたは Service Pack のバージョンが異なる場合でも、その両方がバージョンのConfiguration Managerでサポートされている限り実行できます。

  • パッシブ モード サイト サーバーからアクティブ モード サーバーへの昇格は手動で行います。 自動フェールオーバーはありません。

  • サイト システムの役割は、アクティブ モードのサイト サーバーにのみインストールできます。

    • アクティブ モードのサイト サーバーでは、すべてのサイト システムの役割がサポートされます。 パッシブ モードの場合、サーバーにサイト システムの役割をインストールすることはできません。

    • データベース (レポート ポイントなど) を使用するサイト システムの役割には、アクティブ モードとパッシブ モードの両方のサイト サーバーからリモートにあるサーバー上のデータベースが必要です。

    • SMS_Providerはパッシブ モードでサイト サーバーにインストールされません。 パッシブ モード サイト サーバーをアクティブ モードに手動で昇格させるには、サイトのSMS_Providerに接続する必要があるため、 プロバイダーの少なくとも 1 つの追加インスタンスを追加の コンピューターにインストールすることをお勧めします。

既知の問題:
このリリースでは、次の条件の 状態 が、読み取り可能なテキストではなく数値としてコンソールに表示されます。

  • 131071 – サイト サーバーのインストールに失敗しました
  • 720895 – サイト サーバーの役割のアンインストールに失敗しました
  • 851967 – フェールオーバーに失敗しました

パッシブ モードでサイト サーバーを追加する

  1. コンソールで [管理>サイトの構成サイト]> に移動し、サイト システムの役割の追加ウィザードを開始します。 サイト システム サーバーの作成ウィザードを使用することもできます。

  2. [ 全般 ] ページで、パッシブ モード サイト サーバーをホストするサーバーを指定します。 指定したサーバーは、パッシブ モードでサイト サーバーをインストールする前に、サイト システムの役割をホストできません。

  3. [ システムの役割の選択] ページ で、パッシブ モードのプライマリ サイト サーバーのみを選択します。

  4. ウィザードを完了するには、セットアップを実行し、指定したサーバーにサイト サーバーの役割をインストールするために使用する次の情報を指定する必要があります。

    • アクティブなサイト サーバーから新しいパッシブ モードのサイト サーバーにインストール ファイルをコピーするか、アクティブなサイト サーバーの CD.Latest フォルダーの内容を含む場所へのパスを指定します。

    • アクティブ モードのサイト サーバーで使用されるのと同じサイト データベース サーバーとデータベース名を指定します。

  5. Configuration Manager指定したサーバーにパッシブ モードでサイト サーバーをインストールします。

詳細なインストール状態については、「 管理>サイト構成>サイト」を参照してください。

  • パッシブ モードのサイト サーバーの状態は、[ インストール中] と表示されます。

  • サーバーを選択し、[ 状態の表示 ] をクリックして サイト サーバーのインストール状態 を開き、詳細を確認します。

パッシブ モードのサイト サーバーをアクティブ モードに昇格させる

パッシブ モードのサイト サーバーをアクティブ モードに変更する場合は、管理>サイト構成>サイトの [ノード] ウィンドウから変更します。 SMS_Providerのインスタンスにアクセスできる限り、サイトにアクセスしてこの変更を行うことができます。

  1. Configuration Manager コンソールの [ノード] ウィンドウで、パッシブ モードでサイト サーバーを選択し、リボンから [アクティブに昇格] を選択します。

  2. 昇格するサーバーの単純な 状態 は、[ ノード ] ウィンドウの [ 昇格] として表示されます。

  3. 昇格が完了すると、新しいアクティブ モード サイト サーバーと新しいパッシブ モード サイト サーバーの両方について、[状態] 列に [OK] が表示されます。

  4. [管理>サイト構成サイト]> で、プライマリ サイト サーバーの名前に新しいアクティブ モード サイト サーバーの名前が表示されるようになりました。 詳細な状態については、サイト サーバーの状態監視>に関するページを参照してください。

    • [モード] 列は、アクティブまたはパッシブのサーバーを識別します。

    • パッシブ モードからアクティブ モードへのサーバーの昇格中に、アクティブに昇格させるサイト サーバーを選択し、リボンから [状態の表示 ] を選択します。 これにより、プロセスに関する追加の詳細が表示される [ サイト サーバーの昇格状態] ウィンドウが開きます。

アクティブ モードのサイト サーバーがパッシブ モードに切り替わると、サイト システムの役割のみがパッシブになります。 そのコンピューターにインストールされている他のすべてのサイト システムの役割は、アクティブであり、クライアントからアクセスできます。

毎日の監視

パッシブ モードのプライマリ サイトがある場合は、アクティブ モードのサイト サーバーと同期し、使用する準備が整っていることを確認するために、毎日監視します。 これを行うには、[監視サイト サーバーの状態]> に移動します。 ここでは、アクティブ モードとパッシブ モードの両方のサイト サーバーを表示できます。

[ 概要 ] タブ:

  • [モード] 列は、アクティブまたはパッシブのサーバーを識別します。
  • パッシブ モード サーバーがアクティブ モード サーバーと同期している場合、[ 状態] 列に [OK] が一覧表示されます。
  • コンテンツ同期の状態に関する詳細を表示するには、[コンテンツ同期の状態] から [状態の表示 ] をクリックします。 [コンテンツ ライブラリ] タブが開き、コンテンツ同期の問題を解決できます。

[ コンテンツ ライブラリ ] タブ:

  • アクティブ なサイト サーバーからパッシブ モード のサイト サーバーに同期するコンテンツの 状態 を表示します。
  • [状態] が [失敗] のコンテンツを選択し、リボンから [ 選択した項目の同期 ] を選択できます。 このアクションは、コンテンツのソースからパッシブ モード のサイト サーバーにそのコンテンツを再同期しようとします。 回復中、状態は [進行中] と表示され、同期中は [成功] と表示されます。

ぜひ、お試しください。

次のタスクを完了し、リボンの [ホーム] タブからフィードバックを送信して、そのしくみをお知らせください。

  • パッシブ モードでプライマリ サイトをインストールできます。
  • コンソールを使用してパッシブ モード サイト サーバーを昇格してアクティブ モード サイト サーバーにし、両方のサイト サーバーの状態の変更を確認できます。

Device Guard ポリシーに特定のファイルとフォルダーの信頼を含める

このリリースでは、 Device Guard ポリシー管理にさらに機能を追加しました

必要に応じて、Device Guard ポリシー内のフォルダーの特定のファイルに対する信頼を追加できるようになりました。 これにより、次のことができます。

  1. マネージド インストーラーの動作に関する問題を解決する
  2. Configuration Managerで展開できない基幹業務アプリを信頼する
  3. オペレーティング システムの展開イメージに含まれているアプリを信頼します。

ぜひ、お試しください。

  1. Device Guard ポリシーの作成中に、Device Guard ポリシーの作成ウィザードの [包含] タブで、[ 追加] をクリックします。
  2. [ 信頼されたファイルまたはフォルダーの追加 ] ダイアログ ボックスで、信頼するファイルまたはフォルダーに関する情報を指定します。 ローカル ファイルまたはフォルダー パスを指定するか、接続するアクセス許可を持つリモート デバイスに接続し、そのデバイス上のファイルまたはフォルダー パスを指定できます。
  3. ウィザードを終了します。

タスク シーケンスの進行状況を非表示にする

このリリースでは、新しい変数を使用して、タスク シーケンスの進行状況をエンド ユーザーに表示するタイミングを制御できます。 タスク シーケンスで、[ タスク シーケンス変数の設定 ] ステップを使用して TSDisableProgressUI 変数の値を設定して、タスク シーケンスの進行状況を非表示または表示します。 タスク シーケンスの [タスク シーケンス変数の設定] ステップを複数回使用して、変数の値を変更できます。 これにより、タスク シーケンスのさまざまなセクションでタスク シーケンスの進行状況を非表示または表示できます。

タスク シーケンスの進行状況を非表示にするには

タスク シーケンス エディターで、[ タスク シーケンス変数の設定 ] ステップを使用して TSDisableProgressUI 変数の値を True に設定して、タスク シーケンスの進行状況を非表示にします。

タスク シーケンスの進行状況を表示するには

タスク シーケンス エディターで、[ タスク シーケンス変数の設定 ] ステップを使用して TSDisableProgressUI 変数の値を False に設定して、タスク シーケンスの進行状況を表示します。

コンテンツのインストールとコンテンツのアンインストールに別のコンテンツの場所を指定する

現在Configuration Managerでは、アプリのセットアップ ファイルを含むインストール場所を指定します。 インストール場所を指定すると、これはアプリケーション コンテンツのアンインストール場所としても使用されます。 フィードバックに基づいて、展開されたアプリケーションをアンインストールし、アプリ コンテンツがクライアント コンピューター上にない場合、クライアントは、アプリケーションがアンインストールされる前に、すべてのアプリセットアップ ファイルを再度ダウンロードします。 この問題を解決するために、インストール コンテンツの場所とオプションのアンインストール コンテンツの場所の両方を指定できるようになりました。 また、アンインストール コンテンツの場所を指定しないことを選択することもできます。

ぜひお試しください。

  1. アプリケーションの展開の種類のプロパティで、[ コンテンツ ] タブをクリックします。
  2. [ コンテンツのインストール] の場所 を通常どおりに構成します。
  3. [ コンテンツ設定のアンインストール] で、次のいずれかを選択します。
    • コンテンツのインストールと同じ - アプリケーションのインストールまたはアンインストールに関係なく、同じコンテンツの場所が使用されます。
    • アンインストール コンテンツなし - アプリケーションのアンインストール コンテンツの場所を指定しない場合は、これを選択します。
    • インストール コンテンツとは異なる - インストール コンテンツ の場所とは異なるアンインストール コンテンツの場所を指定する場合は、これを選択します。
  4. [コンテンツの インストールから異なる] を選択した場合は、アプリケーションのアンインストールに使用するアプリケーション コンテンツの場所を参照または入力します。
  5. [ OK] を クリックして、[展開の種類のプロパティ] ダイアログ ボックスを閉じます。

アクセシビリティの改善点

このプレビューでは、Configuration Manager コンソールのアクセシビリティ機能にいくつかの機能強化が導入されています。 たとえば、次の環境です。:

コンソールを移動するための新しいキーボード ショートカット:

  • Ctrl + M - メイン (中央) ウィンドウにフォーカスを設定します。
  • Ctrl + T - ナビゲーション ウィンドウの上部ノードにフォーカスを設定します。 フォーカスが既にそのウィンドウに存在する場合、フォーカスは最後にアクセスしたノードに設定されます。
  • Ctrl + I - リボンの下にある階層リンク バーにフォーカスを設定します。
  • Ctrl + L - 使用可能な場合は、[ 検索 ] フィールドにフォーカスを設定します。
  • Ctrl + D - 使用可能な場合は、詳細ウィンドウにフォーカスを設定します。
  • Alt – リボンのフォーカスを変更します。

一般的な機能強化:

  • ノード名の文字を入力するときのナビゲーション ウィンドウのナビゲーションが改善されました。
  • メイン ビューとリボンのキーボード ナビゲーションが円形になりました。
  • 詳細ウィンドウのキーボード ナビゲーションが円形になりました。 前のオブジェクトまたはウィンドウに戻すには、Ctrl + D、Shift + TAB キーを使用します。
  • ワークスペース ビューを更新すると、そのワークスペースのメイン ウィンドウにフォーカスが設定されます。
  • スクリーン リーダーがリスト アイテムの名前を読み上げられる問題を修正しました。
  • スクリーン リーダーが重要な情報を読み上げられる複数のコントロールのアクセシビリティ対応の名前をページに追加しました。

アップグレード準備をサポートするための Azure サービス ウィザードの変更

このリリース以降、Azure Services ウィザードを使用して、Configuration Managerからアップグレード準備への接続を構成します。 ウィザードを使用すると、関連する Azure サービスの共通ウィザードを使用してコネクタの構成が簡略化されます。

接続を構成する方法は変更されましたが、接続の前提条件とアップグレード準備の使用方法は変更されません。

アップグレード準備の前提条件

アップグレード準備への接続の前提条件は、Configuration Managerの Current Branch に関する詳細な前提条件とは変わりません。 便宜上、ここで繰り返されます。

前提条件

  • 接続を追加するには、Configuration Manager環境でまずオンライン モードサービス接続ポイントを構成する必要があります。 環境に接続を追加すると、このサイト システムの役割を実行しているコンピューターにも Microsoft Monitoring Agent がインストールされます。
  • Configuration Managerを "Web アプリケーションおよび/または Web API" 管理ツールとして登録し、この登録からクライアント ID を取得します。
  • 登録された管理ツールのクライアント キーを Microsoft Entra ID で作成します。
  • Azure portalで、登録されている Web アプリに OMS へのアクセス許可を付与します。

重要

OMS にアクセスするためのアクセス許可を構成するときは、必ず 共同作成者 ロールを選択し、登録されているアプリのリソース グループにアクセス許可を割り当てます。

前提条件を構成したら、ウィザードを使用して接続を作成する準備が整います。

Azure サービス ウィザードを使用してアップグレードの準備を構成する

  1. コンソールで、管理>の概要>Cloud Services>Azure Services に移動し、リボンの [ホーム] タブから [Azure サービスの構成] を選択して、Azure サービス ウィザードを開始します。

  2. [ Azure サービス ] ページで、[ アップグレード準備コネクタ] を選択し、[ 次へ] をクリックします。

  3. [ アプリ ] ページで、 Azure 環境 を指定します (テクニカル プレビューではパブリック クラウドのみがサポートされます)。 次に、[ インポート ] をクリックして [ アプリのインポート ] ウィンドウを開きます。

  4. [アプリのインポート] ウィンドウで、Microsoft Entra ID に既に存在する Web アプリの詳細を指定します。

    • Microsoft Entra テナント名のフレンドリ名を指定します。 次に、テナント ID、アプリケーション名、クライアント ID、Azure Web アプリの秘密鍵、アプリ ID URI を指定します。
    • [ 確認] をクリックし、成功した場合は [OK] を クリックして続行します。

  5. [ 構成 ] ページで、アップグレード準備にこの接続で使用するサブスクリプション、リソース グループ、および Windows Analytics ワークスペースを指定します。

  6. [ 次へ ] をクリックして [概要 ] ページに移動し、ウィザードを完了して接続を作成します。

クラウド サービスの新しいクライアント設定

このリリースでは、Configuration Managerに 2 つの新しいクライアント設定を追加しました。 これらは、[Cloud Services] セクションにあります。 これらの設定により、次の機能が提供されます。

  • 構成されたクラウド管理ゲートウェイにアクセスできるクライアントConfiguration Manager制御します。
  • ドメインに参加している Configuration Manger クライアントWindows 10 Microsoft Entra ID で自動的に登録します。

これらの新しい設定は、Configuration Manager 1705 Technical Preview で説明されている機能を実現するのに役立ちます。

始める前に

オンプレミスの Active DirectoryとMicrosoft Entra テナントの間Microsoft Entra接続をインストールして構成している必要があります。

接続を削除すると、デバイスは登録解除されませんが、新しいデバイスは登録されません。

ぜひ、お試しください。

  1. 「クライアント設定を構成する方法」の情報を使用して、次のクライアント設定 (Cloud Servicesにあります) セクションを構成します
    • Microsoft Entra ID を使用して、新しいドメイン参加済みデバイスWindows 10自動的に登録します 。[はい] (既定値)、または [いいえ] に設定します。
    • クライアントがクラウド管理ゲートウェイを使用できるようにする - [はい ] (既定値) または [いいえ] に設定します。
  2. クライアント設定をデバイスの必要なコレクションに展開します。

デバイスが Microsoft Entra ID に参加していることを確認するには、コマンド プロンプト ウィンドウで /statusdsregcmd.exe コマンドを実行します。 デバイスが参加している場合、結果の AzureAdjoined フィールドに YES が表示Microsoft Entra。

Configuration Manager コンソールから PowerShell スクリプトを作成して実行する

Configuration Managerでは、パッケージとプログラムを使用してクライアント デバイスにスクリプトを展開できます。 このテクニカル プレビューでは、次のアクションを実行できる新しい機能が追加されました。

  • PowerShell スクリプトをConfiguration Managerにインポートする
  • Configuration Manager コンソールからスクリプトを編集します (署名されていないスクリプトの場合のみ)
  • セキュリティを向上させるために、スクリプトを承認済みまたは拒否済みとしてマークする
  • Windows クライアント PC とオンプレミスのマネージド Windows PC のコレクションでスクリプトを実行します。 スクリプトはデプロイしません。代わりに、クライアント デバイスでほぼリアルタイムで実行されます。
  • Configuration Manager コンソールでスクリプトによって返された結果を調べます。

前提条件

スクリプトを使用するには、適切な Configuration Manager のセキュリティ ロールのメンバーである必要があります。

  • スクリプトをインポートして作成するには、アカウントに完全管理者セキュリティ ロールの SMS スクリプト作成アクセス許可が必要です。
  • スクリプトを承認または拒否するには、アカウントに完全管理者セキュリティ ロールの SMS スクリプト承認アクセス許可が必要です。
  • スクリプトを実行するにはコンプライアンス設定マネージャーのセキュリティ ロールのコレクションに対するスクリプトの実行アクセス許可がアカウントに必要です。

Configuration Managerセキュリティ ロールの詳細については、「ロールベースの管理の基礎」を参照してください。

既定では、ユーザーは作成したスクリプトを承認できません。 スクリプトは強力で汎用性が高く、多くのデバイスに展開できるため、スクリプトの作成者とスクリプトを承認するユーザーの間でロールを分離する機能を提供するという新しい概念が導入されました。 これにより、監視なしでスクリプトを実行する際のセキュリティが強化されます。 テストを容易にするために、特に Technical Preview リリース中に、このセカンダリ承認をオフにすることができます。

ユーザーが独自のスクリプトを承認できるようにするには:

  1. Configuration Manager コンソールで、[管理] をクリックします。
  2. [ 管理 ] ワークスペースで、[ サイトの構成] を展開し、[ サイト] をクリックします。
  3. サイトの一覧でサイトを選択し、[ ホーム ] タブの [ サイト ] グループで [ 階層の設定] をクリックします。
  4. [階層設定のプロパティ] ダイアログ ボックスの [全般] タブで、[スクリプト作成者が独自のスクリプトを承認できないようにする] チェック ボックスをオフにします。

ぜひ、お試しください。

スクリプトのインポートと編集

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。
  2. [ ソフトウェア ライブラリ ] ワークスペースで、[ スクリプト] をクリックします。
  3. [ ホーム ] タブの [ 作成 ] グループで、[ スクリプトの作成] をクリックします。
  4. スクリプトの作成ウィザードの [スクリプト] ページで、次の構成を行います。
    • [スクリプト名] - スクリプトの名前を入力します。 同じ名前の複数のスクリプトを作成できますが、これにより、Configuration Manager コンソールで必要なスクリプトを見つけるのが難しくなります。
    • スクリプト言語 - 現在、 PowerShell スクリプトのみがサポートされています。
    • インポート - PowerShell スクリプトをコンソールにインポートします。 [スクリプト] フィールドに スクリプト が表示されます。
    • [クリア ] - [スクリプト] フィールドから現在の スクリプト を削除します。
    • [スクリプト ] - 現在インポートされているスクリプトを表示します。 必要に応じて、このフィールドのスクリプトを編集できます。
  5. ウィザードを終了します。 新しいスクリプトが [ スクリプト ] の一覧に表示され、状態は [承認待ち] です。 このスクリプトをクライアント デバイスで実行するには、そのスクリプトを承認する必要があります。

スクリプトを承認または拒否する

スクリプトを実行する前に、そのスクリプトを承認する必要があります。 スクリプトを承認するには:

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。
  2. [ ソフトウェア ライブラリ ] ワークスペースで、[ スクリプト] をクリックします。
  3. [ スクリプト ] ボックスの一覧で、承認または拒否するスクリプトを選択し、[ ホーム ] タブの [ スクリプト ] グループで [ 承認/拒否] をクリックします。
  4. [ スクリプトの承認または拒否 ] ダイアログ ボックスの [ スクリプトの承認] または [拒否 ] で、必要に応じて決定に関するコメントを入力します。 スクリプトを拒否した場合、クライアント デバイスでスクリプトを実行することはできません。
  5. ウィザードを終了します。 [スクリプト] の一覧には、実行したアクションに応じて [承認状態] 列が変更されます。

スクリプトの実行

スクリプトが承認されると、選択したコレクションに対してスクリプトを実行できます。

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。
  2. [ 資産とコンプライアンス ] ワークスペースで、[ デバイス コレクション] をクリックします。
  3. [ デバイス コレクション ] の一覧で、スクリプトを実行するデバイスのコレクションをクリックします。
  4. [ ホーム ] タブの [ すべてのシステム ] グループで、[ スクリプトの実行] をクリックします。
  5. スクリプトの実行ウィザードの [スクリプト] ページで、一覧からスクリプトを選択します。 承認済みのスクリプトのみが表示されます。 [ 次へ] をクリックし、ウィザードを完了します。

スクリプトを監視する

クライアント デバイスにスクリプトを実行したら、この手順を使用して操作の成功を監視します。

  1. Configuration Manager コンソールで、[監視] をクリックします。
  2. [ 監視 ] ワークスペースで、[ スクリプトの結果] をクリックします。
  3. [ スクリプトの結果 ] ボックスの一覧には、クライアント デバイスで実行した各スクリプトの結果が表示されます。 スクリプト終了コード 0 は、通常、スクリプトが正常に実行されたことを示します。

IPv6 の PXE ネットワーク ブートのサポート

IPv6 の PXE ネットワーク ブート サポートを有効にして、タスク シーケンス オペレーティング システムの展開を開始できるようになりました。 この設定を使用すると、PXE 対応配布ポイントは IPv4 と IPv6 の両方をサポートします。 このオプションは WDS を必要とせず、WDS が存在する場合は停止します。

IPv6 の PXE ブート サポートを有効にするには

PXE の IPv6 サポートのオプションを有効にするには、次の手順に従います。

  1. Configuration Manager コンソールで、[管理>の概要>] 配布ポイントに移動し、[PXE 対応配布ポイントのプロパティ] をクリックします。
  2. [ PXE ] タブで、[ IPv6 のサポート ] を選択して、PXE の IPv6 サポートを有効にします。

Microsoft Surface ドライバーの更新プログラムを管理する

Configuration Managerを使用して Microsoft Surface ドライバーの更新プログラムを管理できるようになりました。

前提条件

すべてのソフトウェア更新ポイントは、Windows Server 2016実行する必要があります。

ぜひ、お試しください。

次のタスクを完了し、リボンの [ホーム] タブからフィードバックを送信して、そのしくみをお知らせください。

  1. Microsoft Surface ドライバーの同期を有効にします。 「分類と製品の構成」の手順を使用し、[分類] タブで [Microsoft Surface ドライバーとファームウェア更新プログラムを含める] を選択して Surface ドライバーを有効にします。
  2. Microsoft Surface ドライバーを同期します
  3. 同期された Microsoft Surface ドライバーを展開する

ビジネス遅延ポリシーのWindows Updateを構成する

Windows Update for Business によって直接管理されるWindows 10 デバイスのWindows 10機能更新または品質更新の遅延ポリシーを構成できるようになりました。 [ソフトウェア ライブラリ>]、[サービス] の下の [ビジネス ポリシーの新しいWindows Update] ノードでWindows 10遅延ポリシーを管理できます。

前提条件

Windows Update for Business によって管理されるWindows 10デバイスには、インターネット接続が必要です。

ビジネスの遅延ポリシーのWindows Updateを作成するには

  1. ソフトウェア ライブラリ>Windows 10ビジネス ポリシーのサービスWindows Update >
  2. [ホーム] タブの [作成] グループで、[ビジネス ポリシーのWindows Updateの作成] を選択して、ビジネス ポリシーのWindows Updateの作成ウィザードを開きます。
  3. [ 全般 ] ページで、ポリシーの名前と説明を指定します。
  4. [遅延ポリシー] ページで、機能更新を延期または一時停止するかどうかを構成します。
    機能更新は、一般に Windows の新機能です。 ブランチの準備レベルの設定を構成した後、Microsoft からの可用性に従って機能更新の受信を延期するかどうかを定義できます。
    • ブランチの準備レベル: デバイスが Windows 更新プログラム (Current Branch または Current Branch for Business) を受信するブランチを設定します。
    • 遅延期間 (日数): 機能更新を延期する日数を指定します。 これらの機能更新の受け取りは、リリースから 180 日間延期できます。
    • [機能の一時停止更新開始]: 更新プログラムを一時停止した時点から最大 60 日間、デバイスが機能更新を受信するのを一時停止するかどうかを選択します。 最大日数が経過すると、一時停止機能は自動的に期限切れになり、デバイスは Windows 更新で該当する更新プログラムをスキャンします。 このスキャンが終ったら、もう一度更新を一時停止することができます。 チェックボックスをオフにすると、機能更新の一時停止を解除できます。
  5. 品質更新を延期または一時停止するかどうかを選択します。
    品質更新は、一般的に既存の Windows 機能の修正と機能強化であり、通常は毎月第 1 火曜日に公開されますが、Microsoft はいつでもリリースできます。 提供状況に従って品質更新の受信を延期するかどうかを定義できます。
    • 遅延期間 (日数): 機能更新を延期する日数を指定します。 これらの機能更新の受け取りは、リリースから 180 日間延期できます。
    • [品質更新の一時停止の開始]: 更新プログラムの一時停止から最大 35 日間、品質更新の受信からデバイスを一時停止するかどうかを選択します。 最大日数が経過すると、一時停止機能は自動的に期限切れになり、デバイスは Windows 更新で該当する更新プログラムをスキャンします。 このスキャンが終ったら、もう一度更新を一時停止することができます。 [品質] 更新の一時停止を解除するには、チェック ボックスをオフにします。
  6. [他の Microsoft 製品から更新プログラムをインストールする] を選択して、Microsoft Update と Windows 更新に適用するグループ ポリシー設定を有効にします。
  7. [Windows Updateでドライバーを含める] を選択して、Windows 更新からドライバーを自動的に更新します。 この設定をオフにすると、ドライバーの更新プログラムは Windows 更新からダウンロードされません。
  8. ウィザードを完了して、新しい遅延ポリシーを作成します。

Windows Update for Business の遅延ポリシーを展開するには

  1. ソフトウェア ライブラリ>Windows 10ビジネス ポリシーのサービスWindows Update >
  2. [ホーム] タブの [展開] グループで、[ビジネス ポリシーのWindows Updateの展開] を選択します。
  3. 以下の設定を構成します。
    • 展開する構成ポリシー: 展開するビジネス ポリシーのWindows Updateを選択します。
    • コレクション: [ 参照 ] をクリックして、ポリシーを展開するコレクションを選択します。
    • サポートされている場合に非準拠ルールを修復する: [選択] を選択すると、Windows Management Instrumentation (WMI)、レジストリ、スクリプト、およびConfiguration Managerによって登録されているすべてのモバイル デバイスの設定に対応していないルールが自動的に修復されます。
    • メンテナンス期間外の修復を許可する: ポリシーを展開するコレクションに対してメンテナンス期間が構成されている場合は、このオプションを有効にして、コンプライアンス設定がメンテナンス期間外の値を修復できるようにします。 メンテナンス期間の詳細については、「メンテナンス期間 の使用方法」を参照してください。
    • アラートの生成: 構成基準のコンプライアンスが、指定した日付と時刻によって指定された割合より小さい場合に生成されるアラートを構成します。 また、System Center Operations Manager にアラートを送信するかどうかを指定することもできます。
    • ランダム遅延 (時間): ネットワーク デバイス登録サービスでの過剰な処理を回避するための遅延期間を指定します。 既定値は 64 時間です。
    • スケジュール: 展開されたプロファイルをクライアント コンピューターで評価するコンプライアンス評価スケジュールを指定します。 スケジュールは、単純なスケジュールまたはカスタム スケジュールのいずれかです。 プロファイルは、ユーザーがログオンしたときにクライアント コンピューターによって評価されます。
  4. ウィザードを完了してプロファイルを展開します。

Entrust 証明機関のサポート

Configuration Managerは、Entrust 証明機関をサポートするようになりました。これにより、Microsoft Intuneに登録されているデバイスへの PFX 証明書の配信が可能になります。

Configuration Managerで証明書登録ポイント ロールを追加するときに、証明機関として Entrust を構成できます。 PFX 証明書を発行する新しい証明書プロファイルを追加する場合は、Microsoft または Entrust 証明機関のいずれかを選択できます。

既知の問題: 1706 テクニカル プレビューでは、PFX 証明書は Microsoft 証明機関に対して発行されません。 これは、インポートされた PFX 証明書または SCEP プロファイルには影響しません。

iOS VPN プロファイルに対する Cisco (IPsec) のサポート

接続の種類として Cisco (IPsec) を使用して iOS VPN プロファイルを作成できます。 詳細については、「 VPN プロファイルの作成」を参照してください。

新しい Windows 構成項目の設定

このリリースでは、Windows 構成項目で使用できる次の新しい設定が追加されました。

Password

  • デバイスの暗号化

Device

  • リージョン設定の変更 (デスクトップのみ)
  • 電源とスリープの設定の変更
  • 言語設定の変更
  • システム時刻の変更
  • デバイス名の変更

ストア

  • ストアからアプリを自動更新する
  • プライベート ストアのみを使用する
  • ストアが開始したアプリの起動

Microsoft Edge

  • about:flags へのアクセスをブロックする
  • SmartScreen プロンプトのオーバーライド
  • ファイルの SmartScreen プロンプトのオーバーライド
  • WebRTC localhost IP アドレス
  • 既定の検索エンジン
  • OpenSearch XML URL
  • ホームページ (デスクトップのみ)

コンプライアンス設定の詳細については、「デバイスの コンプライアンスを確保する」を参照してください。

新しいデバイス コンプライアンス ポリシールール

  • 必須のパスワードの種類。 ユーザーが英数字パスワードまたは数値パスワードを作成する必要があるかどうかを指定します。 英数字パスワードの場合は、パスワードに必要な文字セットの最小数も指定します。 4 つの文字セットは、小文字、大文字、記号、数字です。

    サポート対象:

    • Windows Phone 8 以降
    • Windows 8.1+
    • iOS 6 以上

  • デバイスでの USB デバッグをブロックします。 Android for Work デバイスで USB デバッグが既に無効になっているので、この設定を構成する必要はありません。

    サポート対象:

    • Android 4.0 以降
    • Samsung KNOX Standard 4.0 以降

  • 不明なソースからのアプリをブロックします。 不明なソースからのアプリのインストールをデバイスで禁止する必要があります。 Android for Work デバイスでは、不明なソースからのインストールが常に制限されるため、この設定を構成する必要はありません。

    サポート対象:

    • Android 4.0 以降
    • Samsung KNOX Standard 4.0 以降

  • アプリで脅威スキャンを要求する。 この設定では、デバイスで [アプリの確認] 機能が有効になっていることを指定します。

    サポート対象:

    • Android 4.2 から 4.4
    • Samsung KNOX Standard 4.0 以降

新しいモバイル アプリケーション管理ポリシー設定

このリリース以降、次の 3 つの新しいモバイル アプリケーション管理 (MAM) ポリシー設定を使用できます。

  • 画面キャプチャをブロックする (Android デバイスのみ): このアプリを使用するときに、デバイスの画面キャプチャ機能がブロックされることを指定します。

  • 連絡先の同期を無効にする: アプリがデバイス上のネイティブの連絡先アプリにデータを保存できないようにします。

  • 印刷を無効にする: アプリが職場または学校のデータを印刷できないようにします。

Android と iOS の登録の制限

このリリース以降、管理者は、ユーザーが自分のハイブリッド環境に個人の Android または iOS デバイスを登録できないように指定できるようになりました。 これにより、登録済みデバイスを、事前宣言済みの会社所有のデバイスまたはデバイス登録プログラムにのみ登録されている iOS デバイスに制限できます。

試してみる

  1. [管理] ワークスペースのConfiguration Manager コンソールで、[Cloud Services>Microsoft Intune サブスクリプション] に移動します。
  2. [サブスクリプション] グループの [ホーム] タブで、[プラットフォームの構成] を選択し、[Android または iOS] を選択します。
  3. [ 個人所有のデバイスをブロックする] を選択します。

コピー/貼り付けの Android for Work アプリケーション管理ポリシー

仕事用プロファイル と個人用プロファイル間のデータ共有を許可するに関する Android for Work 構成項目の設定の説明が更新されました。

1706 以前のテクニカル プレビュー 新しいオプション名 動作
境界を越えた共有を禁止する 既定の共有制限 職場から個人へ: 既定値 (すべてのバージョンでブロックされることが予想されます)
個人用作業: 既定値 (6.x 以降では許可され、5.x ではブロック)
制限なし 個人用プロファイル内のアプリは、仕事用プロファイルからの共有要求を処理できます 職場から個人へ: 許可
個人から仕事へ: 許可
仕事用プロファイル内のアプリは、個人用プロファイルからの共有要求を処理できます 仕事用プロファイル内のアプリは、個人用プロファイルからの共有要求を処理できます 職場から個人へ: 既定値
個人から仕事へ: 許可
(個人用作業がブロックされている 5.x でのみ役立ちます)

これらのオプションのいずれも、コピー貼り付けの動作を直接妨げるものはありません。 1704 年にサービスと ポータル サイト アプリにカスタム設定を追加しました。この設定は、コピー アンド ペーストを防ぐために構成できます。 これは、カスタム URI を使用して設定できます。

  • OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • 値の種類: ブール値

DisallowCrossProfileCopyPaste を true に設定すると、Android for Work の個人用プロファイルと仕事用プロファイル間のコピー貼り付け動作が防止されます。

試してみる

  1. Configuration Manager コンソールで、[資産] と [コンプライアンスの概要>] [コンプライアンス>設定>] [構成項目] の順に選択します。
  2. [作成] を選択して新しい構成項目を作成し、[名前] と [Android for Work] を指定します。
  3. 構成するデバイス設定グループで、[ 仕事用プロファイル] を選択し、[ 次へ] を選択します。
  4. [ 仕事用プロファイルと個人用プロファイル間のデータ共有を許可する] の値を選択し、ウィザードを完了します。

条件付きアクセスのコンプライアンス ポリシーのデバイス正常性構成証明評価

このリリース以降、デバイス正常性構成証明の状態を、会社のリソースへの条件付きアクセスのコンプライアンス ポリシールールとして使用できます。

試してみる

コンプライアンス ポリシー評価の一部として、デバイス正常性構成証明規則を選択します。