Capacidades na Pré-visualização Técnica 1606 para Gestor de Configuração

Aplica-se a: Gestor de Configuração (ramo de pré-visualização técnica)

Este artigo introduz as funcionalidades disponíveis na Pré-visualização Técnica para Gestor de Configuração, versão 1606. Pode instalar esta versão para atualizar e adicionar novas capacidades ao seu site de pré-visualização técnica do Gestor de Configuração. Antes de instalar esta versão da pré-visualização técnica, reveja o tópico introdutório, Antevisão Técnica para Gestor de Configuração,para se familiarizar com os requisitos gerais e limitações para a utilização de uma pré-visualização técnica, como atualizar entre versões e como fornecer feedback sobre as funcionalidades numa pré-visualização técnica.

Questões conhecidas nesta Pré-visualização Técnica:

• Quando atualizar a partir da Pré-visualização técnica 1604 a 1605 e, em seguida, para a versão 1606, a atualização pode falhar e um erro semelhante ao seguinte é registado no cmupdate.log:

  ERROR: Failed to execute SQL Server command:  ~ ~-- Create site boundary group ~IF  dbo.fnIsCasOrStandalonePrimary() = 1 ~BEGIN ~   PRINT N'Create site boundary group during upgrade' ~   EXEC dbo.spBuildDefaultBoundaryGroups @UserName = N'SYSTEM' ~END
  

  Se isto ocorrer, no nó de atualizações e manutenção clique em Verificar as atualizações e, em seguida, re-tentar a instalação da atualização.

  ---

Seguem-se novas funcionalidades que pode experimentar com esta versão.

Categorizar automaticamente os dispositivos em coleções

Pode criar categorias de dispositivos, que podem ser usadas para colocar automaticamente dispositivos em coleções de dispositivos quando estiver a utilizar o Gestor de Configuração com Microsoft Intune. Os utilizadores são então obrigados a escolher uma categoria de dispositivo quando matriculam um dispositivo no Intune. Pode ainda alterar a categoria de um dispositivo a partir da consola 'Gestor de Configuração'.

Importante: Esta capacidade funciona com o lançamento de junho de 2016 de Microsoft Intune. Certifique-se de que foi atualizado para esta versão antes de experimentar estes procedimentos.

Experimente!

Criar um conjunto de categorias de dispositivos

1. No espaço de trabalho ativos e de conformidade da consola Do Gestor de Configuração, expanda a visão geral e, em seguida, clique em Recolhas de Dispositivos.
2. No separador 'Casa', no grupo Categorias, clique em Gerir categorias de dispositivos.
3. Na caixa de diálogo 'Gerir categorias' de dispositivos, pode criar, editar ou remover categorias. Tente criar uma nova categoria.

Associar uma coleção com uma categoria de dispositivo

Quando associar uma coleção a uma categoria de dispositivo, todos os dispositivos na categoria especificar serão adicionados a essa coleção.

1. No diálogo Propriedades para uma recolha de dispositivos, clique em Adicionar Regra da Categoria de Dispositivo de Regra > .
2. Na caixa de diálogo regra de inscrição da categoria de dispositivo, selecione a categoria que será aplicada a todos os dispositivos da coleção.
3. Feche a caixa de diálogo de regras de associação de categoria de dispositivos create e a caixa de diálogo de propriedades de coleção.

Alterar a categoria de um dispositivo

1. No espaço de trabalho ativos e de conformidade da consola Do Gestor de Configuração, expanda a visão geral e, em seguida, clique em Dispositivos.
2. Selecione um dispositivo na lista de Dispositivos e, em seguida, no separador 'Casa', no grupo Dispositivo, clique na categoria De alteração.
3. Na caixa de diálogo de categoria de dispositivo de edição, escolha a categoria a aplicar a este dispositivo e, em seguida, clique em OK.

Período de carência de execução para implementações de aplicações e atualizações de software necessárias

Em alguns casos, poderá querer dar mais tempo aos utilizadores para instalarem as implementações de aplicações necessárias ou atualizações de software para além de quaisquer prazos configurados. Isto pode normalmente ser necessário quando um computador foi desligado por um longo período de tempo e precisa de instalar um grande número de aplicações ou atualizações. Por exemplo, se um utilizador final tiver acabado de regressar das férias, poderá ter de esperar muito tempo, uma vez que estão instaladas implementações de aplicações atrasadas. Para ajudar a resolver este problema, pode agora definir um período de carência de execução, implementando as definições do cliente do Gestor de Configuração para uma coleção.

Experimente!

Para configurar o período de carência, tome as seguintes ações:

1. Na página de Agente Informático das definições do cliente, configurar o novo período de graça da propriedade para execução após o prazo de implementação (horas) com um valor entre 1 e 120 horas.
2. Numa nova implementação de aplicação necessária, ou nas propriedades de uma implantação existente, na página de Agendamento, selecione a execução da caixa de verificação Delay enforcement desta implementação de acordo com as preferências do utilizador, até ao período de carência definido nas definições do cliente. Todas as implementações que tenham esta caixa de verificação selecionada e que sejam direcionadas para dispositivos para os quais também implementou a definição do cliente utilizarão o período de carência de execução.

Se configurar um período de carência de execução e selecionar a caixa de verificação, uma vez atingido o prazo de instalação da aplicação, será instalado na primeira janela não comercial que o utilizador configura até esse período de carência. No entanto, o utilizador ainda pode abrir o Software Center e instalar a aplicação a qualquer momento que pretenda. Uma vez expirado o período de carência, a aplicação reverte para o comportamento normal para implementações em atraso. Opções semelhantes foram adicionadas ao assistente de implementação de atualizações de software, assistente de regras de implementação automática e páginas de propriedades.

Utilizar o Gestor de Configuração como instalador gerido com a Proteção do Dispositivo

Device Guard é uma funcionalidade Windows 10 que utiliza funcionalidades de hardware e software para controlar rigorosamente o que é permitido ser executado no dispositivo.

Para obter mais informações, consulte Introdução à Proteção do Dispositivo.

Nesta versão, o Gestor de Configuração pode interoperar com a Device Guard e Windows AppLocker para que os ficheiros executáveis e DLL que são implantados com o Gestor de Configuração sejam automaticamente confiáveis à medida que provêm de um Instalador Gerido, o que significa que eles serão autorizados a executar no dispositivo alvo e outros softwares não serão autorizados a executar a menos que sejam explicitamente autorizados a executar por outras regras do AppLocker.

Atualmente, esta capacidade não é configurável a partir da consola Do Gestor de Configuração. Para configurar a apólice, é necessário configurar uma chave de registo em cada cliente e configurar Windows serviços no cliente. Uma vez feito isto, configuure o ficheiro de política appLocker. Depois de configurar o ficheiro de política, pode implantá-lo em qualquer dispositivo cliente compatível.

Como todas as políticas do AppLocker, as políticas com regras do Instalador Gerido podem ser executadas em dois modos:

• Modo de auditoria – As aplicações são impedidas de funcionar, mas quaisquer aplicações que teriam sido bloqueadas são reportadas num ficheiro de registo (Isto será suportado numa versão posterior do Gestor de Configuração).
• Execução ativada – As aplicações estão bloqueadas de funcionamento.

Para obter mais informações, veja os seguintes artigos:

• Introdução da Guarda de Dispositivos

• Planejamento e início do processo de implementação do Controlo de Aplicações Windows Defender

  Vários pontos de gestão de dispositivos para gestão de dispositivos móveis no local

  Com a Pré-visualização Técnica 1606, as - instalações mobile device Management (MDM) suportam uma nova capacidade na Windows 10 Atualização de Aniversário que configura automaticamente um dispositivo inscrito para ter mais de um ponto de gestão de dispositivos disponíveis para utilização. Esta capacidade permite que o dispositivo recue para outro ponto de gestão do dispositivo quando o que normalmente utiliza não está disponível. Esta capacidade funciona apenas para PCs com Windows 10 Atualização de Aniversário instalada.

Experimente!

1. Instale mais de um ponto de gestão do dispositivo na sua hierarquia.

2. Inscreva um dispositivo de atualização de Windows 10 aniversário para a - Gestão de Dispositivos Móveis nas instalações.

Para obter informações sobre como preparar o seu site e inscrever dispositivos para a - Gestão de Dispositivos Móveis nas instalações, consulte Gerir dispositivos móveis com infraestrutura no local.

Cloud Proxy Service para gerir clientes na Internet

O Cloud Proxy Service fornece uma forma simples de gerir os clientes do Gestor de Configuração na Internet. O serviço, que é implantado para Microsoft Azure e requer uma subscrição Azure, conecta-se à infraestrutura do Gestor de Configuração no local usando uma nova função chamada ponto de conector de procuração de nuvem. Uma vez completamente implantado e configurado, os clientes poderão aceder às funções do sistema de configuração do Gestor de Configuração no local, independentemente de estarem ligados à rede privada interna ou à Internet.

Utiliza a consola 'Gestor de Configuração' para implantar o serviço no Azure, adiciona a função de ponto de conector de procuração na nuvem e configura as funções do sistema do site para permitir o tráfego de procuração na nuvem. Atualmente, o Cloud Proxy Service apenas suporta as funções de ponto de gestão, ponto de distribuição e ponto de atualização de software.

Os certificados de cliente e a Camada de Tomada Segura (SSL) são necessários para autenticar computadores e encriptar comunicações entre as diferentes camadas do serviço. Os computadores clientes normalmente recebem um certificado de cliente através da aplicação da política de grupo. Para encriptar o tráfego entre clientes e servidor de sistema de site que hospeda as funções, é necessário criar um certificado SSL personalizado a partir da AC. Além destes dois tipos de certificados, também precisa de configurar um certificado de gestão no Azure que permite ao Gestor de Configuração implementar o Cloud Proxy Service.

Requisitos para serviço de procuração em nuvem em TP 1606

• Computadores clientes e o servidor do sistema de site que executa o ponto de conector de procuração de nuvem.
• Certificados SSL personalizados da AC interna - usados para encriptar a comunicação dos computadores clientes e autenticar a identidade do Serviço de Procuração de Nuvem.
• Subscrição Azure para serviços na nuvem.
• Certificado de gestão Azure - usado para autenticar Gestor de Configuração com Azure.

Limitações do Serviço de Procuração em Nuvem em TP 1606

• Suporta apenas os funções de ponto de gestão, ponto de distribuição e ponto de atualização de software.
• As políticas dos utilizadores não são suportadas.
• Não é possível ser utilizado com a Gestão de Dispositivos Móveis no Local no Gestor de Configuração.
• Só suportado na plataforma pública de nuvem do Azure.

Experimente!

O processo de implantação do Serviço de Procuração de Nuvem inclui os seguintes passos:

1. Crie e emita um certificado SSL personalizado para o Serviço de Procuração de Nuvem.
2. Exporte a raiz do certificado de cliente.
3. Faça o upload do certificado de gestão para a Azure.
4. Configurar o Serviço de Procuração de Nuvem na consola Do Gestor de Configuração.
5. Configure o site principal para utilizar a autenticação do certificado do cliente.
6. Adicione o ponto de conector de procuração de nuvem ao seu site.
7. Configure as funções do sistema de site para aceitar o tráfego de procuração em nuvem.

As secções seguintes fornecem mais informações para a conclusão destes passos.

Criar um certificado SSL personalizado

Pode criar um certificado SSL personalizado para o Serviço cloud Proxy da mesma forma que o faria para um ponto de distribuição baseado na nuvem. Siga as instruções para a implementação do Certificado de Serviço para Cloud-Based Pontos de Distribuição, mas faça as seguintes coisas de forma diferente:

• Ao configurar o novo modelo de certificado, dê permissões de Leitura e Inscrição ao grupo de segurança que criou para servidores Do Gestor de Configuração.

Exportar a raiz do certificado de cliente

A forma mais fácil de obter a raiz dos certificados de cliente utilizados na rede é abrir um certificado de cliente numa das máquinas de domínio que o tem e copiá-lo.

Nota

Os certificados do cliente são necessários em qualquer computador que pretenda gerir com o Serviço de Procuração de Nuvem e no servidor do sistema de site que hospeda o ponto de conector de procuração na nuvem. Se precisar de adicionar um certificado de cliente a qualquer uma destas máquinas, consulte a Implementação do Certificado de Cliente para Windows Computadores.

1. Na janela Executar, escreva mmc e prima Return.
2. No menu Ficheiro na consola de gestão, clique em Adicionar/Remover Snap-in....
3. Na caixa de diálogo 'Adicionar ou Remover Snap-ins's, clique em Certificados, clique em Adicionar >, clique na conta de Computador, clique em 'Seguinte', clique em Computador Local e clique em Terminar. Clique em OK para fechar a caixa de diálogo.
4. Aceda aos Certificados > Certificados pessoais de >.
5. Clique duas vezes no certificado de autenticação do cliente no computador, clique no separador Caminho de Certificação e clique duas vezes na autoridade raiz (no topo do caminho).
6. Clique no separador Detalhes e clique em Copiar para Arquivar....
7. Preencha o Assistente de Exportação de Certificados utilizando o formato de certificado predefinido. Tome nota do nome e localização do certificado de raiz que criar. Você vai precisar dele para configurar o Serviço de Procuração cloud em um passo posterior.

Faça o upload do certificado de gestão para a Azure

É necessário um certificado de gestão Azure para que o Gestor de Configuração aceda à API AZure e configuure o Serviço de Procuração em Nuvem. Para obter mais informações e instruções sobre como carregar um certificado de gestão, consulte os seguintes artigos na documentação do Azure:

• Certificates overview for Azure Cloud Services (Descrição geral dos certificados para os Serviços Cloud do Azure)
• Faça o upload de um Certificado de Gestão API de Gestão de AzureManagement .

Certifique-se de copiar o ID de assinatura associado ao certificado de gestão. Necessitará dele para configurar o Serviço de Procuração de Nuvem na consola Do Gestor de Configuração.

Configurar o Serviço de Procuração de Nuvem

1. Na consola 'Gestor de Configuração', aceda à Administração > Serviços de Cloud > Cloud Proxy Service.
2. Clique em Criar Serviço de Procuração em Nuvem.
3. No Create Cloud Proxy Service Wizard, insira o seu ID de subscrição Azure (copiado do portal de gestão Azure), clique em Browse e selecione o ficheiro de certificado utilizado para carregar como certificado de gestão Azure. Clique em Seguinte. Aguarde alguns momentos para que a consola se conecte ao Azure.
4. Preencha os detalhes adicionais no assistente:
   • Especifique a chave privada (ficheiro.pfx) que exportou a partir do certificado SSL personalizado.
   • Especificar o certificado de raiz exportado do certificado de cliente.
   • Especifique o mesmo nome de serviço FQDN que usou quando criou o novo modelo de certificado.
   • Limpe a caixa ao lado da Revogação do Certificado de Cliente (a menos que esteja publicando publicamente as suas informações de CRL).
   • Clique em Seguida quando terminar.
5. Reveja as definições e clique em Seguinte. O Gestor de Configuração começa a configurar o serviço. Quando o assistente estiver completo, pode clicar em Fechar, no entanto levará entre 5 a 15 minutos para prestar o serviço completamente em Azure. Verifique a coluna Status para o serviço de procuração de nuvem recém-configurado para determinar quando o serviço está pronto.

Configurar o site primário para a autenticação da certificação do cliente

1. Na consola 'Gestor de Configuração', aceda a Sites de configuração do site > > de administração.
2. Selecione o site principal para os clientes que pretende gerir através do Serviço cloud Proxy e clique em Propriedades.
3. No separador Comunicações de Computadores clientes da folha de propriedade do site primário, verifique a caixa ao lado do certificado de cliente PKI (autenticação do cliente) quando disponível.
4. Certifique-se de limpar a caixa ao lado dos Clientes verifique a lista de revogação do certificado (CRL) para sistemas de site. Esta opção só seria necessária se publicasse publicamente o seu CRL.
5. Clique em OK.

Adicione o ponto de conector de procuração de nuvem

O ponto de conector de procuração em nuvem é uma nova função do sistema de site para comunicar com o Serviço de Procuração de Nuvem. Para adicionar o ponto de conector de procuração de nuvem, siga as instruções em Adicionar as funções do sistema do site para o Gestor de Configuração.

Configure papéis para tráfego de procuração em nuvem

O passo final na criação do Cloud Proxy Service é configurar as funções do sistema do site para aceitar o tráfego de procuração em nuvem. Para o Tech Preview 1606, apenas os funções de ponto de gestão, ponto de distribuição e ponto de atualização de software são suportados para o Cloud Proxy Service. Deve configurar cada papel separadamente.

1. Na consola 'Gestor de Configuração', aceda à configuração do site > administração > servidores e funções do sistema de sítios.
2. Clique no servidor do sistema de site para a função que pretende configurar para o tráfego de procuração na nuvem.
3. Clique na função e, em seguida, clique em Propriedades.
4. Na folha de propriedades de função, em Conexões de Cliente, escolha HTTPS, consulte a caixa ao lado de Permitir o tráfego de procuração em nuvem do Gestor de Configuração cloud e, em seguida, clique em OK. Repita estes passos para os papéis restantes.

Verifique o estado de um cliente na Internet

Após o serviço e as funções estarem completamente configurados, os clientes internos terão a localização do Serviço de Procuração da Cloud no próximo pedido de localização. Os clientes com informações de localização atualizadas podem então comunicar com o Gestor de Configuração na Internet. O ciclo de votação dos pedidos de localização é a cada 24 horas. Se não quiser esperar pelo pedido de localização normalmente programado, pode forçar o pedido reiniciando o serviço de anfitrião do agente SMS (ccmexec.exe) no computador.

Depois de os clientes terem as novas informações de localização do Cloud Proxy Service, tente verificar o estado dos clientes que já não estão na rede privada interna, mas que têm acesso à Internet. Também pode monitorizar o tráfego no Cloud Proxy Service indo para a Administração > Serviços cloud > Cloud Proxy Service, selecionando o serviço no painel de listas e visualizando as informações de tráfego no painel de detalhes.

Gerir o Microsoft 365 agente cliente no Gestor de Configuração

A partir da pré-visualização técnica 1606, pode utilizar uma definição de agente cliente do Gestor de Configuração, em vez de política de grupo, para permitir que Microsoft 365 clientes recebam atualizações do Gestor de Configuração. Depois de configurar esta definição e implementar atualizações Microsoft 365, o agente cliente do Gestor de Configuração comunica com o Microsoft 365 agente cliente para descarregar Microsoft 365 atualizações a partir de um ponto de distribuição e instalá-las. O Gestor de Configuração também faz o inventário da definição do agente cliente.

Para obter mais informações, consulte Gerir Microsoft 365 Apps para Grandes Empresas atualizações.

Defina a definição do cliente do Gestor de Configuração para gerir o Office 365 agente cliente

1. Na consola Gestor de Configuração, clique em Definições do Cliente de > Visão Geral > da Administração .
2. Abra as definições adequadas do dispositivo para ativar o agente cliente. Para obter mais informações sobre as definições de clientes padrão e personalizados, consulte Como configurar as definições do cliente.
3. Clique em Atualizações de Software e selecione Sim para a gestão ativa da definição de Agente cliente Office 365.

A variável da sequência de tarefas OSDPreserveDriveLetter foi preterida

A variável da sequência de tarefas OSDPreserveDriveLetter determina se a sequência de tarefas utiliza ou não a letra de unidade capturada no ficheiro WIM de imagem do sistema operativo ao aplicar essa imagem num computador de destino.

• Esta variável de sequência de tarefa foi depreciada na Pré-visualização técnica 1606.

Durante uma implementação do sistema operativo, por padrão, Windows Configuração determina agora a melhor letra de acionamento a utilizar (normalmente C:). Se quiser especificar uma unidade diferente a utilizar, pode alterar a localização no passo da sequência de tarefas do Sistema Operativo. Vá ao Local de Seleção do local onde pretende aplicar esta definição do sistema operativo, selecione letra de unidade lógica específica e escolha a unidade que pretende utilizar. Deve haver uma unidade atribuída com a letra que escolher no computador de destino.

Alterações do Nó Atualizações e Manutenção

Com a pré-visualização técnica 1606 foram introduzidas várias alterações que se aplicam a Atualizações e Manutenção na consola Do Gestor de Configuração:

• Alteração do nome do nó:

  No espaço de trabalho de monitorização, o nó de estado de manutenção do site foi renomeado para Atualizações e Estado de Manutenção.

• Mais estado de instalação:

  Quando vê o estado de instalação da atualização de um site, a consola apresenta agora detalhes separados para as seguintes ações:

  • Download (Isto aplica-se apenas ao site de nível superior onde está instalada a função do sistema do site do ponto de ligação de serviço)
  • Replicação
  • Verificação de Pré-requisitos
  • Instalação

  Além disso, existem agora informações mais detalhadas para cada etapa, incluindo em que ficheiro de registo pode ver para mais informações.

• Nova opção para re-julgar falhas pré-requisitos:

  Tanto nos espaços de trabalho de Administração como em Monitorização, o nó de atualizações e manutenção inclui um novo botão na fita chamada Avisos pré-requisitos de ignorar .

  Quando instala atualizações sem utilizar a opção de ignorar avisos pré-requisitos (a partir do Assistente de Atualizações) e essa atualização para com um aviso de Estado de Pré-req, pode então selecionar avisos de pré-requisitos da fita para desencadear uma continuação automática dessa instalação de atualização que ignora os avisos pré-requisitos.

• Vista mais limpa das atualizações:

  Quando vê as Atualizações e o nó de Manutenção, vê agora apenas a atualização mais recentemente instalada e quaisquer novas atualizações que estejam disponíveis para instalar. Para ver as atualizações previamente instaladas, clique no novo botão Histórico que aparece na Fita.

• Opção renomeada para pré-produção:

  No nó de Atualizações e Manutenção, o botão que foi denominado Opções cliente passa agora a ser renomeado para Promover o Cliente de Pré-produção.