Recursos na Versão Prévia Técnica 1706 para Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch de visualização técnica)

Este artigo apresenta os recursos que estão disponíveis na Versão Prévia Técnica para Configuration Manager, versão 1706. Você pode instalar essa versão para atualizar e adicionar novos recursos ao seu Configuration Manager site de visualização técnica. Antes de instalar essa versão da versão prévia técnica, examine a Versão Prévia Técnica para Configuration Manager se familiarizar com requisitos gerais e limitações para usar uma versão prévia técnica, como atualizar entre versões e como fornecer comentários sobre os recursos em uma versão prévia técnica.

Problemas conhecidos nesta versão prévia técnica:

  • Mover ponto de distribuição – as opções no console para mover um ponto de distribuição entre sites não podem ser usadas com essa versão devido ao limite de visualização técnica de um único site primário.

  • Configurações de conformidade do dispositivo – você pode ter um comportamento oposto ao usar as duas novas configurações de conformidade do dispositivo:

    • Bloquear depuração de USB no dispositivo

    • Bloquear aplicativos de fontes desconhecidas

      Por exemplo, se os administradores definirem Bloquear depuração USB no dispositivo como true, todos os dispositivos que não têm a depuração USB habilitada serão marcados como não compatíveis.

Veja a seguir novos recursos que você pode experimentar com esta versão.

Grupos de limites aprimorados para pontos de atualização de software

Esta versão inclui melhorias de como os pontos de atualização de software funcionam com grupos de limites. O seguinte resume o novo comportamento de fallback:

  • O fallback para pontos de atualização de software agora usa um tempo configurável para fallback para grupos de limites vizinhos, com um tempo mínimo de 120 minutos.

  • Independentemente da configuração de fallback, um cliente tenta alcançar o último ponto de atualização de software usado por 120 minutos. Depois de não alcançar esse servidor por 120 minutos, o cliente verifica seu pool de pontos de atualização de software disponíveis para que ele possa encontrar um novo.

    • Todos os pontos de atualização de software no grupo de limites atual do cliente são adicionados ao pool do cliente imediatamente.

    • Como um cliente tenta usar seu servidor original por 120 minutos antes de procurar um novo, nenhum servidor adicional é contatado até que duas horas tenham decorrido.

    • Se o fallback para um grupo vizinho estiver configurado por pelo menos 120 minutos, os pontos de atualização de software desse grupo de limites vizinho farão parte do pool de servidores disponíveis do cliente.

  • Depois de não atingir o servidor original por duas horas, o cliente muda para um ciclo mais curto para entrar em contato com um novo ponto de atualização de software.

    Isso significa que, se um cliente não se conectar com um novo servidor, ele selecionará rapidamente o próximo servidor em seu pool de servidores disponíveis e tentará entrar em contato com esse.

    • Esse ciclo continua até que o cliente se conecte a um ponto de atualização de software que pode usar.
    • Até que o cliente encontre um ponto de atualização de software, servidores adicionais são adicionados ao pool de servidores disponíveis quando o tempo de fallback para cada grupo de limites vizinho é atendido.

Para obter mais informações, consulte pontos de atualização de software no tópico Grupos de Limites para o Branch Atual.

Alta disponibilidade da função de servidor do site

A alta disponibilidade para a função de servidor do site é uma solução baseada em Configuration Manager para instalar um servidor de site primário adicional no modo Passivo. O servidor do site de modo passivo é além do servidor de site primário existente que está no modo Ativo . Um servidor de site de modo passivo está disponível para uso imediato, quando necessário.

Um servidor de site primário no modo passivo:

  • Usa o mesmo banco de dados do site que seu servidor de site ativo.
  • Recebe uma cópia da biblioteca de conteúdo dos servidores de site ativos, que é então mantida em sincronização.
  • Não grava dados no banco de dados do site desde que esteja no modo passivo.
  • Não dá suporte à instalação ou remoção de funções opcionais do sistema de sites desde que esteja no modo passivo.

Para tornar o servidor do site de modo passivo seu servidor de site de modo ativo, promova-o manualmente. Isso alterna o servidor de site ativo para ser o servidor de site passivo. As funções do sistema de site que estão disponíveis no servidor de modo ativo original permanecem disponíveis desde que esse computador esteja acessível. Somente a função de servidor do site é alternada entre o modo ativo e passivo.

Para instalar um servidor de site de modo passivo, use o Assistente Criar Servidor do Sistema de Site para configurar um novo servidor de site com um tipo de servidor de site primário e um modo passivo. Em seguida, o assistente executa Configuration Manager Instalação no servidor especificado para instalar o novo servidor de site no modo passivo. Após a conclusão da instalação, o servidor do site do modo ativo mantém o servidor do site de modo passivo e sua biblioteca de conteúdo em sincronização com as alterações ou configurações que você faz no servidor de site ativo.

Pré-requisitos e limitações

  • Há suporte para um único servidor de site no modo passivo em cada site primário.

  • O servidor de site no modo passivo pode ser local ou baseado em nuvem no Azure.

  • O modo ativo e os servidores de site de modo passivo devem estar no mesmo domínio.

  • Os servidores de site do modo ativo e passivo devem usar o mesmo banco de dados do site, que deve ser remoto dos computadores de cada servidor do site.

    • O SQL Server que hospeda o banco de dados pode usar uma instância padrão, uma instância nomeada, SQL Server Always On instância de cluster de failover ou um grupo de disponibilidade.

    • O servidor do site no modo passivo é configurado para usar o mesmo banco de dados do site que o servidor do site do modo ativo. No entanto, o servidor do site de modo passivo não usa esse banco de dados até que ele seja promovido ao modo ativo.

  • O computador que executará o servidor de site do modo passivo:

    • Deve atender aos pré-requisitos para instalar um site primário.

    • Instala usando arquivos de origem que correspondem à versão do servidor do site do modo ativo.

    • Não é possível ter uma função de sistema de site de qualquer site antes de instalar o site de modo passivo.

  • Os computadores do servidor de site do modo ativo e passivo podem executar diferentes sistemas operacionais ou versões do service pack, desde que ambos permaneçam com suporte na sua versão do Configuration Manager.

  • A promoção do servidor de site de modo passivo para o servidor de modo ativo é manual. Não há failover automático.

  • As funções do sistema de site só podem ser instaladas no servidor do site que está no modo ativo.

    • Um servidor de site no modo ativo dá suporte a todas as funções do sistema de site. Não é possível instalar funções do sistema de sites no servidor quando ele estiver no modo passivo.

    • As funções do sistema de sites que usam um banco de dados (como o ponto de relatório) devem ter esse banco de dados em um servidor remoto dos servidores do modo ativo e do site de modo passivo.

    • O SMS_Provider não é instalado no servidor do site no modo passivo. Como você deve se conectar a um SMS_Provider para que o site promova manualmente o servidor de site de modo passivo para o modo ativo, recomendamos instalar pelo menos uma instância adicional do provedor em um computador adicional.

Problema conhecido:
Com essa versão, Status para as seguintes condições aparece no console como valores numéricos em vez de texto legível:

  • 131071 – Falha na instalação do servidor de site
  • 720895 – Falha na desinstalação da função do servidor de site
  • 851967 – falha no failover

Adicionar um servidor de site no modo passivo

  1. No console, acesseSites deConfiguração> do Site de Administração> e inicie o Assistente de Adicionar Funções do Sistema de Site. Você também pode usar o Assistente para Criar Servidor do Sistema de Site.

  2. Na página Geral , especifique o servidor que hospedará o servidor do site de modo passivo. O servidor especificado não pode hospedar nenhuma funções do sistema de site antes de instalar um servidor de site no modo passivo.

  3. Na página Seleção de Função do Sistema , selecione apenas o servidor de site primário no modo passivo.

  4. Para concluir o assistente, você deve fornecer as seguintes informações usadas para executar a Instalação e instalar a função do servidor do site no servidor especificado:

    • Escolha copiar arquivos de instalação do servidor de site ativo para o novo servidor de site de modo passivo ou especifique um caminho para um local que contenha o conteúdo da pasta CD.Latest do servidor de site ativo.

    • Especifique o mesmo servidor de banco de dados do site e o nome do banco de dados usado pelo servidor do site do modo ativo.

  5. Configuration Manager instala o servidor do site no modo passivo no servidor especificado.

Para obter status de instalação detalhada, acesseSites deConfiguração> do Site de Administração>.

  • O status para o servidor do site no modo passivo é exibido como Instalação.

  • Selecione o servidor e clique em Mostrar Status para abrir o Status de Instalação do Servidor do Site para obter informações mais detalhadas.

Promover o servidor de site de modo passivo para o modo ativo

Quando você deseja alterar o servidor do site de modo passivo para o modo ativo, você o faz no painel Nós emSites deConfiguração> do Site de Administração>. Desde que você possa acessar uma instância do SMS_Provider, você pode acessar o site para fazer essa alteração.

  1. No painel Nós do console Configuration Manager, selecione o servidor do site no modo passivo e, em seguida, na Faixa de Opções, escolha Promover para ativo.

  2. O status simples para o servidor que você está promovendo exibe no painel Nós como Promovendo.

  3. Após a conclusão da promoção, a coluna Status mostra OK para o novo servidor de site do modo ativo e para o novo servidor de site do modo passivo .

  4. EmSites deConfiguração> de Site de Administração>, o nome do servidor de site primário agora exibe o nome do novo servidor do site do modo ativo. Para obter status detalhadas, acesse Monitoramento> doStatus do Servidor do Site.

    • A coluna Modo identifica qual servidor é Ativo ou Passivo.

    • Ao promover um servidor do modo passivo para o modo ativo, selecione o servidor de site que você está promovendo para ativo e escolha Mostrar Status na faixa de opções. Isso abre a janela Status de Promoção do Servidor do Site que exibe detalhes adicionais sobre o processo.

Quando um servidor de site no modo ativo muda para o modo passivo, apenas a função do sistema de site é tornada passiva. Todas as outras funções do sistema de sites instaladas nesse computador permanecem ativas e acessíveis aos clientes.

Monitoramento diário

Quando você tiver um site primário no modo passivo, monitore-o diariamente para garantir que ele permaneça em sincronização com o servidor do site do modo ativo e pronto para uso. Para fazer isso, acesse Monitoramento> doStatus do Servidor do Site. Aqui você pode exibir o modo ativo e os servidores do site de modo passivo.

A guia Resumo :

  • A coluna Modo identifica qual servidor é Ativo ou Passivo.
  • A coluna Status lista OK quando o servidor de modo passivo está em sincronização com o servidor de modo ativo.
  • Para exibir detalhes adicionais sobre o estado da sincronização de conteúdo, clique em Mostrar status do Estado de Sincronização de Conteúdo. Isso abre a guia Biblioteca de Conteúdo em que você pode tentar corrigir problemas de sincronização de conteúdo.

A guia Biblioteca de Conteúdo :

  • Exiba o Estado do conteúdo que sincroniza do servidor de site ativo para o servidor do site de modo passivo.
  • Você pode selecionar conteúdo com um Estado de Falha e, em seguida, escolher Sincronizar itens selecionados na Faixa de Opções. Esta ação tenta ressincronizar esse conteúdo da origem do conteúdo para o servidor do site de modo passivo. Durante a recuperação, o Estado é exibido como Em andamento e, quando está em sincronização, ele é exibido como Êxito.

Experimente!

Tente concluir as tarefas a seguir e, em seguida, envie-nos comentários da guia Home da Faixa de Opções para nos informar como ela funcionou:

  • Posso instalar um site primário no modo passivo.
  • Posso usar o console para promover o servidor de site de modo passivo para torná-lo o servidor de site do modo ativo e confirmar a alteração de status para ambos os servidores do site.

Incluir confiança para arquivos e pastas específicos em uma política do Device Guard

Nesta versão, adicionamos recursos adicionais ao gerenciamento de políticas do Device Guard

Agora, opcionalmente, você pode adicionar confiança para arquivos específicos para pastas em uma política do Device Guard. Isso permite:

  1. Superar problemas com comportamentos de instalador gerenciado
  2. Confiar em aplicativos de linha de negócios que não podem ser implantados com Configuration Manager
  3. Confiar em aplicativos incluídos em uma imagem de implantação do sistema operacional.

Experimente!

  1. Enquanto você estiver criando uma política do Device Guard, na guia Inclusões do assistente criar política do Device Guard, clique em Adicionar.
  2. Na caixa de diálogo Adicionar Arquivo Confiável ou Pasta , especifique informações sobre o arquivo ou pasta em que deseja confiar. Você pode especificar um caminho de arquivo ou pasta local ou conectar-se a um dispositivo remoto ao qual você tem permissão para se conectar e especificar um caminho de arquivo ou pasta nesse dispositivo.
  3. Conclua o assistente.

Ocultar o progresso da sequência de tarefas

Nesta versão, você pode controlar quando o progresso da sequência de tarefas é exibido para usuários finais usando uma nova variável. Na sequência de tarefas, use a etapa Definir Variável de Sequência de Tarefas para definir o valor da variável TSDisableProgressUI para ocultar ou exibir o progresso da sequência de tarefas. Você pode usar a etapa Definir Variável de Sequência de Tarefas várias vezes em uma sequência de tarefas para alterar o valor da variável. Isso permite ocultar ou exibir o progresso da sequência de tarefas em diferentes seções da sequência de tarefas.

Para ocultar o progresso da sequência de tarefas

No editor de sequência de tarefas, use a etapa Definir Variável de Sequência de Tarefas para definir o valor da variável TSDisableProgressUI como True para ocultar o progresso da sequência de tarefas.

Para exibir o progresso da sequência de tarefas

No editor de sequência de tarefas, use a etapa Definir Variável de Sequência de Tarefas para definir o valor da variável TSDisableProgressUI como False para exibir o progresso da sequência de tarefas.

Especificar um local de conteúdo diferente para instalar conteúdo e desinstalar conteúdo

No Configuration Manager hoje, você especifica o local de instalação que contém os arquivos de instalação de um aplicativo. Quando você especifica um local de instalação, isso também é usado como o local de desinstalação para o conteúdo do aplicativo. Com base em seus comentários, quando você quiser desinstalar um aplicativo implantado e o conteúdo do aplicativo não estiver no computador cliente, o cliente baixará todos os arquivos de instalação do aplicativo novamente antes que o aplicativo seja desinstalado. Para resolver esse problema, agora você pode especificar um local de conteúdo de instalação e um local de conteúdo opcional de desinstalação. Além disso, você pode optar por não especificar um local de conteúdo desinstalado.

Experimente!

  1. Nas propriedades do tipo de implantação de um aplicativo, clique na guia Conteúdo .
  2. Configure o local Instalar conteúdo normalmente.
  3. Para desinstalar configurações de conteúdo, escolha um dos seguintes:
    • O mesmo que instalar conteúdo – o mesmo local de conteúdo será usado independentemente de você estar instalando ou desinstalando o aplicativo.
    • Sem desinstalar conteúdo – escolha isso se você não quiser fornecer um local de conteúdo desinstalado para o aplicativo.
    • Diferente do conteúdo de instalação – escolha isso se você quiser especificar um local de conteúdo desinstalado diferente do local de instalação do conteúdo.
  4. Se você selecionou Diferente do conteúdo de instalação, navegue até ou insira o local do conteúdo do aplicativo que será usado para desinstalar o aplicativo.
  5. Clique em OK para fechar a caixa de diálogo propriedades do tipo de implantação.

Melhorias de acessibilidade

Esta versão prévia apresenta várias melhorias nos recursos de acessibilidade no console Configuration Manager. Eles incluem:

Novos atalhos de teclado para se mover pelo console:

  • Ctrl + M – define o foco no painel main (central).
  • Ctrl + T – define o foco para o nó superior no painel de navegação. Se o foco já estivesse nesse painel, o foco será definido como o último nó visitado.
  • Ctrl + I – define o foco para a barra de migalhas de pão, abaixo da faixa de opções.
  • Ctrl + L – define o foco para o campo Pesquisa , quando disponível.
  • Ctrl + D – define o foco para o painel de detalhes quando disponível.
  • Alt – As alterações se concentram dentro e fora da faixa de opções.

Melhorias gerais:

  • Navegação aprimorada no painel de navegação ao digitar as letras de um nome de nó.
  • A navegação do teclado pela exibição main e a faixa de opções agora são circulares.
  • A navegação do teclado no painel de detalhes agora é circular. Para retornar ao objeto ou painel anterior, use Ctrl + D e, em seguida, Shift + TAB.
  • Depois de atualizar uma exibição do Workspace, o foco é definido como o painel main desse workspace.
  • Corrigimos um problema para permitir que os leitores de tela anunciassem os nomes dos itens de lista.
  • Adicionaram nomes acessíveis para vários controles na página que permite que os leitores de tela anunciem informações importantes.

Alterações no Assistente dos Serviços do Azure para dar suporte à Preparação de Atualização

A partir dessa versão, use o Assistente dos Serviços do Azure para configurar uma conexão de Configuration Manager para Atualizar Preparação. O uso do assistente simplifica a configuração do conector usando um assistente comum para serviços relacionados do Azure.

Embora o método para configurar a conexão tenha sido alterado, os pré-requisitos para a conexão e como você usa a Preparação de Atualização permanecem inalterados.

Pré-requisitos para preparação para atualização

Os pré-requisitos para uma conexão com a Preparação de Atualização são inalterados daqueles detalhados para o Branch Atual do Configuration Manager. Eles são repetidos aqui por conveniência:

Pré-requisitos

  • Para adicionar a conexão, seu ambiente de Configuration Manager deve primeiro configurar um ponto de conexão de serviço em um modo online. Quando você adicionar a conexão ao seu ambiente, ele também instalará o Microsoft Monitoring Agent no computador que executa essa função de sistema de site.
  • Registre Configuration Manager como uma ferramenta de gerenciamento de "Aplicativo Web e/ou API Web" e obtenha a ID do cliente desse registro.
  • Crie uma chave do cliente para a ferramenta de gerenciamento registrada em Microsoft Entra ID.
  • No portal do Azure, forneça ao aplicativo Web registrado permissão para acessar o OMS.

Importante

Ao configurar a permissão para acessar o OMS, escolha a função Colaborador e atribua-a permissões ao grupo de recursos do aplicativo registrado.

Depois que os pré-requisitos forem configurados, você estará pronto para usar o Assistente para criar a conexão.

Usar o Assistente dos Serviços do Azure para configurar a Preparação de Atualização

  1. No console, acesseVisão geral> da administração>Serviços de Nuvem>Azure Services e escolha Configurar serviços do Azure na guia Início da faixa de opções para iniciar o Assistente dos Serviços do Azure.

  2. Na página Serviços do Azure , selecione o Conector de Preparação de Atualização e clique em Avançar.

  3. Na página Aplicativo , especifique seu ambiente do Azure (a visualização técnica dá suporte apenas à Nuvem Pública). Em seguida, clique em Importar para abrir a janela Importar Aplicativos .

  4. Na janela Importar Aplicativos, especifique detalhes para um aplicativo Web que já existe em sua ID de Microsoft Entra.

    • Forneça um nome amigável para o nome do locatário Microsoft Entra. Em seguida, especifique a ID do Locatário, Nome do Aplicativo, ID do Cliente, chave secreta para o aplicativo Web do Azure e o URI da ID do Aplicativo.
    • Clique em Verificar e, se tiver êxito, clique em OK para continuar.

  5. Na página Configuração , especifique a assinatura, o grupo de recursos e o Workspace do Windows Analytics que você deseja usar com essa conexão para Atualizar Preparação.

  6. Clique em Avançar para acessar a página Resumo e, em seguida, conclua o assistente para criar a conexão.

Novas configurações de cliente para serviços de nuvem

Nesta versão, adicionamos duas novas configurações de cliente ao Configuration Manager. Você os encontrará na seção Serviços de Nuvem. Essas configurações fornecem os seguintes recursos:

  • Controlar quais clientes Configuration Manager podem acessar um gateway de gerenciamento de nuvem configurado.
  • Registre automaticamente Windows 10 clientes do Configuration Manger ingressados no domínio com Microsoft Entra ID.

Essas novas configurações ajudam você a realizar os recursos descritos na versão prévia técnica do Configuration Manager 1705.

Antes de começar

Você deve ter instalado e configurado Microsoft Entra Conectar entre seu Active Directory local e seu locatário Microsoft Entra.

Se você remover a conexão, os dispositivos não serão não registrados, mas nenhum novo dispositivo será registrado.

Experimente!

  1. Configure as seguintes configurações de cliente (encontradas na seção Serviços de Nuvem) usando as informações em Como configurar as configurações do cliente.
    • Registre automaticamente novos dispositivos ingressados no domínio Windows 10 com Microsoft Entra ID – Definido como Sim (padrão) ou Não.
    • Permitir que os clientes usem um gateway de gerenciamento de nuvem – Definir como Sim (padrão) ou Não.
  2. Implante as configurações do cliente na coleção necessária de dispositivos.

Para confirmar se o dispositivo está ingressado em Microsoft Entra ID, execute o comandodsregcmd.exe /status em uma janela de prompt de comando. O campo AzureAdjoined nos resultados mostrará SIM se o dispositivo estiver Microsoft Entra ingressado.

Criar e executar scripts do PowerShell no console Configuration Manager

Em Configuration Manager, você pode implantar scripts em dispositivos cliente usando pacotes e programas. Nesta versão prévia técnica, adicionamos uma nova funcionalidade que permite que você tome as seguintes ações:

  • Importar scripts do PowerShell para Configuration Manager
  • Edite os scripts do console Configuration Manager (somente para scripts não assinados)
  • Marcar scripts como Aprovado ou Negado, para melhorar a segurança
  • Execute scripts em coleções de computadores cliente Windows e computadores Windows gerenciados localmente. Em vez disso, você não implanta scripts, eles são executados quase em tempo real em dispositivos cliente.
  • Examine os resultados retornados pelo script no console Configuration Manager.

Pré-requisitos

Para usar scripts, você deve ser membro da função de segurança apropriada do Configuration Manager.

  • Para importar e criar scripts – sua conta deve ter permissões Criar para Scripts SMS na função de segurança do Administrador Completo .
  • Para aprovar ou negar scripts - sua conta deve ter permissões de aprovação para scripts SMS na função de segurança do Administrador Completo .
  • Para executar scripts – sua conta deve ter permissões de Script de Execução para Coleções na função de segurança do Gerenciador de Configurações de Conformidade .

Para obter mais informações sobre Configuration Manager funções de segurança, confira Fundamentos da administração baseada em função.

Por padrão, os usuários não podem aprovar um script que tenham sido criados. Como os scripts são poderosos, versáteis e podem ser implantados em muitos dispositivos, introduzimos um novo conceito de fornecer a capacidade de separar as funções entre a pessoa que cria o script e a pessoa que aprova o script. Isso fornece um nível adicional de segurança contra a execução de um script sem supervisão. Você pode desativar essa aprovação secundária, para facilitar o teste, especialmente durante a versão de Visualização Técnica.

Para permitir que os usuários aprovem seus próprios scripts:

  1. No console Configuration Manager, clique em Administração.
  2. No workspace Administração , expanda Configuração do Site e clique em Sites.
  3. Na lista de sites, escolha seu site e, na guia Página Inicial , no grupo Sites , clique em Configurações de Hierarquia.
  4. Na guia Geral da caixa de diálogo Propriedades de Configurações de Hierarquia, desmarque a caixa de seleção Não permita que os autores de script aprovem seus próprios scripts.

Experimente!

Importar e editar um script

  1. No console Configuration Manager, clique em Biblioteca de Software.
  2. No workspace biblioteca de software , clique em Scripts.
  3. Na guia Página Inicial , no grupo Criar , clique em Criar Script.
  4. Na página Script do assistente Criar Script , configure o seguinte:
    • Nome do script – insira um nome para o script. Embora você possa criar vários scripts com o mesmo nome, isso dificultará a localização do script necessário no console Configuration Manager.
    • Linguagem de script – atualmente, há suporte apenas para scripts do PowerShell .
    • Importar – importar um script do PowerShell para o console. O script é exibido no campo Script .
    • Limpar – remove o script atual do campo Script .
    • Script – exibe o script importado no momento. Você pode editar o script neste campo conforme necessário.
  5. Conclua o assistente. O novo script é exibido na lista Script com um status de Aguardar aprovação. Antes de executar esse script em dispositivos cliente, você deve aprová-lo.

Aprovar ou negar um script

Antes de executar um script, ele precisa ser aprovado. Para aprovar um script:

  1. No console Configuration Manager, clique em Biblioteca de Software.
  2. No workspace biblioteca de software , clique em Scripts.
  3. Na lista Script , escolha o script que você deseja aprovar ou negar e, na guia Página Inicial , no grupo Script , clique em Aprovar/Negar.
  4. Na caixa de diálogo Aprovar ou negar script , Aprovar ou Negar o script e, opcionalmente, insira um comentário sobre sua decisão. Se você negar um script, ele não poderá ser executado em dispositivos cliente.
  5. Conclua o assistente. Na lista Script , você verá a alteração da coluna Estado de Aprovação dependendo da ação que você tomou.

Executar um script

Depois que um script for aprovado, ele pode ser executado em uma coleção escolhida.

  1. No console Configuration Manager, clique em Ativos e Conformidade.
  2. No workspace Ativos e Conformidade , clique em Coleções de Dispositivos.
  3. Na lista Coleções de Dispositivos , clique na coleção de dispositivos em que você deseja executar o script.
  4. Na guia Página Inicial , no grupo Todos os Sistemas , clique em Executar Script.
  5. Na página Script do assistente Executar Script , escolha um script na lista. Somente scripts aprovados são mostrados. Clique em Avançar e conclua o assistente.

Monitorar um script

Depois de executar um script para dispositivos cliente, use esse procedimento para monitorar o sucesso da operação.

  1. No console Configuration Manager, clique em Monitoramento.
  2. No workspace Monitoramento , clique em Resultados do Script.
  3. Na lista Resultados do Script , você exibe os resultados de cada script executado em dispositivos cliente. Um código de saída de script de 0, geralmente indica que o script foi executado com êxito.

Suporte de inicialização de rede PXE para IPv6

Agora você pode habilitar o suporte de inicialização de rede PXE para iPv6 para iniciar uma implantação do sistema operacional de sequência de tarefas. Ao usar essa configuração, os pontos de distribuição habilitados para PXE darão suporte a IPv4 e IPv6. Essa opção não requer WDS e interromperá o WDS se ele estiver presente.

Para habilitar o suporte de inicialização PXE para IPv6

Use o procedimento a seguir para habilitar a opção de suporte IPv6 para PXE.

  1. No console Configuration Manager, acesse Pontos deDistribuiçãode Visão Geral>de Administração> e clique em Propriedades para pontos de distribuição habilitados para PXE.
  2. Na guia PXE, selecioneSuporte IPv6 para habilitar o suporte IPv6 para PXE.

Gerenciar atualizações de driver do Microsoft Surface

Agora você pode usar Configuration Manager para gerenciar atualizações do driver do Microsoft Surface.

Pré-requisitos

Todos os pontos de atualização de software devem ser executados Windows Server 2016.

Experimente!

Tente concluir as tarefas a seguir e, em seguida, envie-nos comentários da guia Home da Faixa de Opções para nos informar como ela funcionou:

  1. Habilitar a sincronização para drivers do Microsoft Surface. Use o procedimento em Configurar classificação e produtos e selecioneIncluir drivers do Microsoft Surface e atualizações de firmware na guia Classificações para habilitar drivers do Surface.
  2. Sincronizar os drivers do Microsoft Surface.
  3. Implantar drivers sincronizados do Microsoft Surface

Configurar políticas de adiamento do Windows Update for Business

Agora você pode configurar políticas de adiamento para Windows 10 Atualizações de Recursos ou Atualizações de Qualidade para dispositivos Windows 10 gerenciados diretamente pelo Windows Update for Business. Você pode gerenciar as políticas de adiamento no novo nó Windows Update for Business Policies em Biblioteca>de Software Windows 10 Manutenção.

Pré-requisitos

Windows 10 dispositivos gerenciados pelo Windows Update for Business devem ter conectividade com a Internet.

Para criar uma política de adiamento do Windows Update for Business

  1. Na Biblioteca>de Software Windows 10 Manutenção>Windows Update para Políticas empresariais
  2. Na guia Página Inicial, no grupo Criar, selecione Criar Windows Update para Política de Negócios para abrir o Assistente criar Windows Update para Política de Negócios.
  3. Na página Geral , forneça um nome e uma descrição para a política.
  4. Na página Políticas de Adiamento, configure se deve adiar ou pausar o recurso Atualizações.
    Os Atualizações de recursos geralmente são novos recursos para Windows. Depois de configurar a configuração de nível de preparação do Branch, você poderá definir se, e por quanto tempo, deseja adiar o recebimento do Recurso Atualizações seguindo sua disponibilidade da Microsoft.
    • Nível de preparação do branch: defina o branch para o qual o dispositivo receberá atualizações do Windows (Branch Atual ou Branch Atual para Empresas).
    • Período de adiamento (dias): especifique o número de dias para os quais o recurso Atualizações será adiado. Você pode adiar o recebimento desses recursos Atualizações por um período de 180 dias a partir de sua versão.
    • Pausar recursos Atualizações começando: selecione se você deve pausar o recebimento de Atualizações de recursos por um período de até 60 dias a partir do momento em que você pausa as atualizações. Depois que os dias máximos tiverem passado, a funcionalidade de pausa expirará automaticamente e o dispositivo examinará o Windows Atualizações para obter atualizações aplicáveis. Depois dessa verificação, você poderá pausar as atualizações novamente. Você pode desmarcar o recurso Atualizações desmarcando a caixa de seleção.
  5. Escolha se deseja adiar ou pausar o Atualizações de qualidade.
    As Atualizações de qualidade geralmente são correções e melhorias na funcionalidade existente do Windows e normalmente são publicadas na primeira terça-feira de cada mês, embora possam ser lançadas a qualquer momento pela Microsoft. Você pode definir se, e por quanto tempo, deseja adiar o recebimento de Atualizações de qualidade seguindo sua disponibilidade.
    • Período de adiamento (dias): especifique o número de dias para os quais o recurso Atualizações será adiado. Você pode adiar o recebimento desses recursos Atualizações por um período de 180 dias a partir de sua versão.
    • Pausar o início do Atualizações de Qualidade: selecione se os dispositivos devem pausar o recebimento de Atualizações de qualidade por um período de até 35 dias a partir do momento em que você pausa as atualizações. Depois que os dias máximos tiverem passado, a funcionalidade de pausa expirará automaticamente e o dispositivo examinará o Windows Atualizações para obter atualizações aplicáveis. Depois dessa verificação, você poderá pausar as atualizações novamente. Você pode desmarcar o Atualizações de Qualidade desmarcando a caixa de seleção.
  6. Selecione Instalar atualizações de outros Produtos da Microsoft para habilitar a configuração de política de grupo que torna as configurações de adiamento aplicáveis ao Microsoft Update, bem como o Windows Atualizações.
  7. Selecione Incluir drivers com Windows Update para atualizar automaticamente drivers do Windows Atualizações. Se você limpar essa configuração, as atualizações de driver não serão baixadas do Windows Atualizações.
  8. Conclua o assistente para criar a nova política de adiamento.

Para implantar uma política de adiamento do Windows Update for Business

  1. Na Biblioteca>de Software Windows 10 Manutenção>Windows Update para Políticas empresariais
  2. Na guia Página Inicial, no grupo Implantação, selecione Implantar Windows Update para Política de Negócios.
  3. Defina as seguinte configurações:
    • Política de configuração a ser implantada: selecione a política Windows Update for Business que você gostaria de implantar.
    • Coleção: clique em Procurar para selecionar a coleção na qual você deseja implantar a política.
    • Corrigir regras não compatíveis quando houver suporte: selecione para corrigir automaticamente todas as regras que não são compatíveis com a WMI (Instrumentação de Gerenciamento do Windows), o registro, scripts e todas as configurações para dispositivos móveis registrados por Configuration Manager.
    • Permitir a correção fora da janela de manutenção: se uma janela de manutenção tiver sido configurada para a coleção à qual você está implantando a política, habilite essa opção para permitir que as configurações de conformidade corrijam o valor fora da janela de manutenção. Para obter mais informações sobre janelas de manutenção, consulte Como usar janelas de manutenção.
    • Gerar um alerta: configura um alerta gerado se a conformidade da linha de base de configuração for menor que uma porcentagem especificada por uma data e hora especificadas. Você também pode especificar se deseja que um alerta seja enviado ao System Center Operations Manager.
    • Atraso aleatório (horas): especifica uma janela de atraso para evitar o processamento excessivo no Serviço de Registro de Dispositivo de Rede. O valor padrão é de 64 horas.
    • Agendamento: especifique a agenda de avaliação de conformidade pela qual o perfil implantado é avaliado em computadores cliente. O agendamento pode ser um agendamento simples ou personalizado. O perfil é avaliado por computadores cliente quando o usuário faz logon.
  4. Conclua o assistente para implantar o perfil.

Suporte para autoridades de certificação Entrust

Configuration Manager agora dá suporte às autoridades de certificação Entrust; isso permite a entrega de certificados PFX para dispositivos registrados em Microsoft Intune.

Você pode configurar o Entrust como a autoridade de certificação ao adicionar uma função ponto de registro de certificado em Configuration Manager. Ao adicionar um novo perfil de certificado que emite certificados PFX, você pode selecionar uma autoridade de certificação Microsoft ou Entrust.

Problema conhecido: na versão prévia técnica de 1706, os certificados PFX não são emitidos para as autoridades de certificação da Microsoft. Isso não afeta certificados PFX importados ou perfis SCEP.

Suporte do Cisco (IPsec) para perfis VPN do iOS

Você pode criar um perfil vpn do iOS com o Cisco (IPsec) como o tipo de conexão. Para obter mais informações, confira Criar perfis de VPN.

Novas configurações de item de configuração do Windows

Nesta versão, adicionamos as seguintes novas configurações que você pode usar em itens de configuração do Windows:

Password

  • Criptografia de Dispositivo

Dispositivo

  • Modificação de configurações de região (somente área de trabalho)
  • Modificação de configurações de energia e sono
  • Modificação de configurações de idioma
  • Modificação de tempo do sistema
  • Modificação do nome do dispositivo

Repositório

  • Atualizar automaticamente aplicativos da loja
  • Usar somente o repositório privado
  • Armazenar o lançamento do aplicativo originado

Microsoft Edge

  • Bloquear o acesso a cerca de:sinalizadores
  • Substituição de prompt do SmartScreen
  • Substituição de prompt do SmartScreen para arquivos
  • Endereço IP de localhost do WebRTC
  • Mecanismo de pesquisa padrão
  • OpenSearch XML URL
  • Homepages (somente área de trabalho)

Para obter mais informações sobre as configurações de conformidade, consulte Garantir a conformidade do dispositivo.

Novas regras de política de conformidade do dispositivo

  • Tipo de senha necessário. Especifique se o usuário deve criar uma senha alfanumérica ou uma senha numérica. Para senhas alfanuméricas, você também especifica o número mínimo de conjuntos de caracteres que a senha deve ter. Os quatro conjuntos de caracteres são: minúsculas, letras maiúsculas, símbolos e números.

    Com suporte em:

    • Windows Phone 8+
    • Windows 8.1+
    • iOS 6 e posterior

  • Bloquear a depuração USB no dispositivo. Você não precisa configurar essas configurações, pois a depuração USB já está desabilitada em dispositivos Android for Work.

    Com suporte em:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Bloquear aplicativos de fontes desconhecidas. Exija que os dispositivos impeçam a instalação de aplicativos de fontes desconhecidas. Você não precisa configurar essa configuração como dispositivos Android for Work sempre restringem a instalação de fontes desconhecidas.

    Com suporte em:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Exigir verificação de ameaças em aplicativos. Essa configuração especifica que o recurso Verificar aplicativos está habilitado no dispositivo.

    Com suporte em:

    • Android 4.2 a 4.4
    • Samsung KNOX Standard 4.0+

Novas configurações de política de gerenciamento de aplicativos móveis

A partir desta versão, você pode usar três novas configurações de política de MAM (gerenciamento de aplicativos móveis):

  • Captura de tela de bloco (somente dispositivos Android): Especifica que os recursos de captura de tela do dispositivo são bloqueados ao usar este aplicativo.

  • Desabilitar a sincronização de contato: Impede que o aplicativo salve dados para o aplicativo de contatos nativo no dispositivo.

  • Desabilitar a impressão: Impede que o aplicativo imprima dados de trabalho ou de estudante.

Restrições de registro do Android e iOS

A partir dessa versão, os administradores agora podem especificar que os usuários não podem registrar dispositivos Android ou iOS pessoais em seu ambiente híbrido. Isso permite limitar os dispositivos registrados a dispositivos pré-declarados, de propriedade da empresa ou dispositivos iOS registrados apenas com o Programa de Registro de Dispositivo.

Experimente

  1. No console Configuration Manager no workspace Administração, acesse Serviços de Nuvem>Microsoft Intune Assinatura.
  2. Na guia Página Inicial no grupo Assinatura , escolha Configurar Plataformas e selecioneAndroid ou iOS.
  3. Selecione Bloquear dispositivos de propriedade pessoal.

Política de gerenciamento de aplicativos Android for Work para colar cópia

Atualizamos as descrições de configuração para itens de configuração do Android for Work para permitir o compartilhamento de dados entre o trabalho e o perfil pessoal.

Antes da visualização técnica de 1706 Novo nome de opção Comportamento
Impedir qualquer compartilhamento entre limites Restrições de compartilhamento padrão Trabalho pessoal: padrão (esperado para ser bloqueado em todas as versões)
Pessoal para o trabalho: padrão (permitido em 6.x+, bloqueado em 5.x)
Sem restrições Aplicativos no perfil pessoal podem lidar com solicitações de compartilhamento do perfil de trabalho Trabalho a pessoal: permitido
Pessoal para o trabalho: permitido
Aplicativos no perfil de trabalho podem lidar com solicitações de compartilhamento de perfil pessoal Aplicativos no perfil de trabalho podem lidar com solicitações de compartilhamento de perfil pessoal Trabalho pessoal: padrão
Pessoal para o trabalho: permitido
(Útil somente em 5.x em que o trabalho pessoal está bloqueado)

Nenhuma dessas opções impede diretamente o comportamento de colar cópia. Adicionamos uma configuração personalizada ao serviço e ao aplicativo Portal da Empresa em 1704 que pode ser configurada para impedir a cola de cópia. Isso pode ser definido por meio de URI personalizado.

  • OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • Tipo de valor: booliano

Definir DisallowCrossProfileCopyPaste como true impede o comportamento de colar cópia entre perfis pessoais e de trabalho do Android for Work.

Experimente

  1. No console Configuration Manager, selecione Ativos eVisão geral> de conformidade >Configurações de configuração de conformidade>.
  2. Escolha Criar para criar um novo item de configuração e especifique Nome e Android for Work.
  3. Nos grupos de configuração do dispositivo a serem configurados, selecione Perfil de Trabalho e escolha Avançar.
  4. Selecione o valor para Permitir o compartilhamento de dados entre perfis pessoais e de trabalho e, em seguida, conclua o assistente.

Avaliação do Atestado de Integridade do Dispositivo para políticas de conformidade para acesso condicional

A partir desta versão, você pode usar o Atestado de Integridade do Dispositivo status como uma regra de política de conformidade para acesso condicional aos recursos da empresa.

Experimente

Selecione uma regra de Atestado de Integridade do Dispositivo como parte de uma avaliação da política de conformidade.