Configuration Manager技术预览版 2009 中的功能
适用于:Configuration Manager (技术预览分支)
本文介绍 Configuration Manager 版本 2009 的技术预览版中提供的功能。 安装此版本以更新技术预览网站并添加新功能。
在安装此更新之前,请查看 技术预览 文章。 本文使你熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供反馈。
以下部分介绍在此版本中试用的新功能:
具有虚拟机规模集的云管理网关
根据你的反馈,云管理网关 (CMG) 部署现在使用 Azure 中的虚拟机规模集。 此更改引入了对 Azure 云解决方案提供商 (CSP) 订阅的支持。
除以下方面外,CMG 的配置、操作和功能保持不变:
新的先决条件是在 Azure 订阅中注册以下资源提供程序:
- Microsoft.KeyVault
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Compute
有关详细信息,请参阅 Azure 资源提供程序和类型。
在 Configuration Manager 控制台中创建 CMG 时,部署云服务的默认选项是作为虚拟机规模集。 如有必要,仍可以选择“经典) (云服务”,以使用现有的 Azure 资源管理器部署。
对于虚拟机规模集的 CMG 部署,服务名称不同。 此名称来自 CMG 服务器身份验证证书。
使用以前的 Azure 资源管理器 部署选项时,服务名称位于 cloudapp.net 域中。 例如, GraniteFalls.CloudApp.Net。
对于虚拟机规模集,服务名称使用 cloudapp.azure.com 域和区域。 例如,GraniteFalls.EastUS.CloudApp.Azure.Com 美国东部 Azure 区域中的部署。
CMG 连接点仅通过 HTTPS 与 Azure 中的虚拟机规模集通信。 它不需要 TCP-TLS 端口 10140-10155 来生成 CMG 通信通道。
如果已有使用 Azure 资源管理器 的现有 CMG 部署,则无需重新部署服务。 这种新的部署方法主要是为了支持 CSP 客户使用 CMG。 如果确实要重新部署服务以利用新体系结构,由于服务名称更改,则需要进行配置更改:
如果为自己的域名颁发 CMG 服务器身份验证证书,请更新 DNS 中的 CNAME 记录。 例如,证书使用 GraniteFalls.Contoso.Com。 首先使用相同的证书部署新服务。 准备好切换时,将 CNAME 更改为指向虚拟机规模集。 例如,将 GraniteFalls.Contoso.Com 的 CNAME 映射更改为 GraniteFalls.EastUS.CloudApp.Azure.Com。
如果使用来自第三方提供商的 CMG 服务器身份验证证书,则他们在 cloudapp.net 域中颁发了证书。 需要获取新服务域的新证书。 例如, GraniteFalls.EastUS.CloudApp.Azure.Com。 使用新证书创建新服务,并添加第二个 CMG 连接点。 然后等待至少一天,再删除旧 CMG 并删除原始 CMG 连接点。 如果客户端已关闭或没有 Internet 连接,则可能需要等待更长时间。
有关云管理网关的更多常规信息,请参阅 CMG 概述。
虚拟机规模集的 CMG 预览限制
此版本当前不支持以下 CMG 配置:
Azure 美国政府云
强制实施 TLS 1.2
对远程控制的改进
此版本将继续改进技术预览版 1906 中首次引入的远程控制功能。 现在可以连接到具有联机状态的任何Configuration Manager客户端。
以下先决条件现在适用:
在客户端设置的 “远程工具” 组中:
启用远程控制
将用户添加为允许的远程控制查看器。
有关详细信息,请参阅 关于客户端设置 - 远程工具。
Configuration Manager客户端要求:
将客户端更新到最新版本。
客户端状态需要联机。
如果客户端基于 Internet,请使用 云管理网关 (CMG) 。
重要
Configuration Manager技术预览版分支版本 2112 中删除了此功能。 有关详细信息,请参阅 新的远程协助工具。
注意
远程控制现在支持所有可用的客户端身份验证方法。 例如,基于 Internet 的客户端可能使用以下方法之一进行身份验证:
- 有效的 PKI 客户端证书
- Microsoft Entra ID
- 基于令牌的身份验证
这些要求并非远程控制所独有。 如果正确配置客户端以与具有增强 HTTP 的 CMG、HTTPS 管理点或站点通信,则它们已使用受支持的身份验证方法。
有关如何使用远程控制的详细信息,请参阅 版本 1906 中的说明。
启动远程控制会话时,对于以下任一方案,请选择 通过 CMG 或 HTTPS MP 进行连接 的选项:
- CMG
- HTTPS 管理点
- 增强的 HTTP 站点
输入完全限定的域名 (FQDN) 适用服务。 例如:
- CMG:
granitefalls.cloudapp.net - HTTPS 管理点:
mp1.contoso.com
- CMG:
如果指定 CMG,则允许的查看器和目标客户端设备需要连接到 Internet。 即使它们位于内部网络上,也需要此连接。
使用启动媒体通过 CMG 部署 OS
从当前分支版本 2006 开始,云管理网关 (CMG) 支持从软件中心启动任务序列时使用启动映像运行任务序列。 在此版本中,现在可以使用启动媒体来重置通过 CMG 连接的基于 Internet 的设备映像。 此方案有助于更好地支持远程工作者。 如果 Windows 无法启动以便用户可以访问软件中心,你现在可以向他们发送 U 盘来重新安装 Windows。
通过 CMG 启动媒体的先决条件
对于任务序列中引用的所有内容,请将其分发到已启用内容的 CMG 或云分发点。 有关详细信息,请参阅 分发内容。
在 云服务 组中启用以下客户端设置:
- 允许访问云分发点
- 允许客户端使用云管理网关
配置 “应用网络设置” 任务序列步骤以加入工作组。 在任务序列期间,设备无法加入本地 Active Directory域。 它无法连接到域控制器以加入域。
将任务序列部署到集合时,请配置以下设置:
- 用户体验页: 允许任务序列在 Internet 上为客户端运行
- 部署设置页:可用于包含媒体的选项。
- 分发点页,部署选项: 运行中的任务序列在需要时在本地下载内容。 有关详细信息,请参阅 部署选项。
确保设备在任务序列运行时具有恒定的 Internet 连接。 Windows PE 不支持无线网络,因此设备需要有线网络连接。
尝试一下!
尝试完成任务。 然后发送 反馈 ,其中包含你对该功能的看法。
启动可启动媒体的创建任务序列媒体向导。 有关详细信息,请参阅 创建可启动媒体。 使用以下步骤修改标准过程:
在向导的“ 媒体管理 ”页上,选择 基于 Internet 的媒体的选项。
在“ 安全性 ”页上,设置强密码以保护此媒体。
在 “启动映像 ”页上,选择此启动媒体要使用的 云管理网关 。
使用此媒体启动连接 Internet 的设备时,它会与指定的 CMG 通信。 启动媒体通过 CMG 下载任务序列部署的策略。 任务序列运行时,它会通过 Internet 下载任何其他内容和策略。
任务序列运行后,客户端使用基于令牌的身份验证。
查看集合关系
根据反馈,现在可以以图形格式查看集合之间的依赖关系。 它显示限制、包括和排除关系。
如果要更改或删除集合,请查看关系以了解建议的更改的影响。 在创建部署之前,请查看可能影响部署的任何包含或排除关系的潜在目标集合。
尝试一下!
尝试完成任务。 然后发送 反馈 ,其中包含你对该功能的看法。
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备集合”节点。
选择集合,然后在功能区中选择“ 查看关系”。 在“main”页上:
若要查看与父集合的关系,请选择“ 依赖项”。
若要查看与子集合的关系,请选择“从属”。
例如,如果选择“ 所有系统” 集合以查看其关系,则 依赖项 节点将为 0 ,因为它没有父集合。
使用以下提示导航关系查看器:
选择集合名称旁边的加 (
+) 或减 (-) 图标以展开或折叠节点的成员。集合名称后面的括号中的数字是关系数。 如果数字为 0,则该集合是该关系树中的最终节点或叶节点。
集合之间的线条的样式和颜色决定了关系类型:
如果将鼠标悬停在特定行上,工具提示会显示关系类型。
当树的宽度大于窗口时,请使用向右或向左的绿色箭头查看更多内容。
当关系树的节点大于可用空间时,选择“ 更多 ”,将视图更改为仅该节点。
若要导航到上一个视图,请选择右上角的 “后退” 箭头。 选择“开始”图标以返回到main页。
使用右上角的 “搜索 ”框在当前树视图中查找集合。
使用右下角的 导航器 在树周围缩放和平移。 还可以打印当前视图。
在同一远程子网上使用对等客户端在部署截止时间唤醒计算机
lan (WoL) 唤醒始终在复杂的子网网络中造成问题。 良好的网络最佳做法可减少广播域的大小,以缓解广播流量对网络产生不利影响的风险。 限制网络广播的最常见方法是不允许在子网之间路由广播数据包。 另一个选项是启用子网定向广播,但大多数组织不允许幻数据包遍历内部路由器。
在版本 1810 中, 引入对等唤醒 允许管理员按需使用客户端通知通道唤醒设备或设备集合。 克服服务器与客户端位于同一广播域中的需要。
这一最新改进允许Configuration Manager站点使用相同的客户端通知通道在部署截止时间唤醒设备。 站点使用客户端通知通道在目标设备 () 的最后已知子网中查找联机计算机,并指示联机客户端为目标设备发出 WoL 数据包,而不是直接发出幻数据包的站点服务器。
尝试一下!
尝试完成任务。 然后发送 反馈 ,其中包含你对该功能的看法。
在站点级别,启用 LAN 唤醒。
- 转到 “管理 > 站点配置 > 站点”。
- 右键单击站点,然后选择 “属性”。
- 在“ LAN 唤醒 ”选项卡上,选择“ 为此站点启用 LAN 唤醒”。
验证是否已启用电源管理客户端设置下的“允许网络唤醒”。
使用“发送唤醒包”选项和“截止时间”将应用程序部署为“必需”。
对控制台内通知的改进
现在,控制台内通知具有更新的外观。 通知更具可读性,操作链接更易于查找。 此外,将显示通知的期限,以帮助你查找最新信息。 如果关闭或推迟通知,该操作现在对跨主机的用户是永久性的。
右键单击或选择 ... 通知以执行以下操作之一:
- 翻译文本:为文本启动必应在线翻译。
- 复制文本:将通知文本复制到剪贴板。
- 暂停:在指定持续时间内暂停通知:
- 一小时
- 一天
- 一周
- 一个月
- 消除:消除通知。
若要查看通知的这些改进,请将 Configuration Manager 控制台更新到最新版本。
不再接收更新的设备通知
为了帮助你管理环境中的安全风险,你将在控制台中收到有关已超过支持结束日期且不再有资格接收安全更新的操作系统的设备通知。 此外,添加了新的 Management Insights 规则,用于检测 Windows 7、Windows Server 2008 和 Windows Server 2008 R2,而不使用扩展安全性汇报 (ESU) 。
客户端设备上安装了以下操作系统的环境会收到通知:
- Windows 7、 Windows Server 2008 (非 Azure) 和 Windows Server 2008 R2 (没有 ESU 的非 Azure) 。
- 超过支持终止日期的 Windows 10 Semi-Annual 频道版本。
选择有关其中任一通知的详细信息,可转到 Management Insights 中的所有见解。 从以下选项中进行选择以供审阅:
对于Windows 10客户端,请查看“简化管理”组中的“将客户端更新为受支持的Windows 10版本”规则。 该规则显示运行Windows 10版本的客户端,这些版本不再受支持或将在未来三个月内终止服务。
对于没有扩展安全性的 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 汇报 (ESU) ,请查看安全组中的新规则更新运行 Windows 7 和 Windows Server 2008 的客户端。 该规则显示运行 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 且不再接收安全更新的客户端。
改进了非管理员帐户的 Windows Server 重启体验
对于运行 Windows Server 的设备上的低权限用户,默认情况下,不会向其分配重启 Windows 的用户权限。 将部署定向到此设备时,此用户无法手动重启。 例如,他们无法重启 Windows 以安装软件更新。
从此版本开始,现在可以根据需要控制此行为。 在客户端设置 的计算机重启 组中,启用以下设置: 当部署需要重启时,允许低权限用户重启运行 Windows Server 的设备。
重要
允许低权限用户重启服务器可能会影响其他用户或服务。
有关客户端设置的详细信息,请参阅 如何配置客户端设置。
对 OS 部署的改进
此版本包括对 OS 部署的以下改进:
将站点更新到版本 2009 后,Configuration Manager控制台将显示所有现有任务序列的大小(以 KB 为单位)。 以前,控制台显示现有任务序列的大小为 0 ,仅在修改任务序列时更新。
它解决了具有多个内容库驱动器的已启用 PXE 的分发点上的启动映像元数据的 bug。 此 bug 可能会导致客户端无法通过 TFTP 下载启动映像。
后续步骤
有关安装或更新技术预览分支的详细信息,请参阅 技术预览版。
有关Configuration Manager的不同分支的详细信息,请参阅我应使用Configuration Manager的哪个分支?。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈