Technical Preview 1702 for Configuration Manager 中的功能

  • 项目

适用于:Configuration Manager (技术预览分支)

本文介绍 Configuration Manager Technical Preview 版本 1702 中提供的功能。 可以安装此版本,以更新Configuration Manager技术预览版站点并向其添加新功能。 安装此版本的技术预览版之前,请查看介绍性主题“适用于Configuration Manager的技术预览版”,以熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供有关技术预览版中功能的反馈。

以下是可使用此版本试用的新功能。

从Configuration Manager控制台发送反馈

此预览版在 Configuration Manager 控制台中引入了新的反馈选项。 “反馈”选项允许你通过Configuration Manager产品反馈网站直接向开发团队发送反馈。

可以找到 “反馈 ”选项:

  • 在功能区中,每个节点的“开始”选项卡最左侧。
    功能区
  • 右键单击控制台中的任何对象时。
    Righ-click 选项

选择“反馈”将打开浏览器,转到Configuration Manager产品反馈网站。

汇报和维护服务的更改

此预览版将介绍以下内容。

更简单的更新选项
下次基础结构符合两个或更多更新的条件时,只会下载最新的更新。 例如,如果当前站点版本比可用的最新版本旧两个或更多,则只会自动下载最新的更新版本。

可以选择下载并安装其他可用更新,即使它们不是最新版本。 但是,你将收到一条警告,指出更新已被更新替换为较新的更新。 若要下载 可供下载的更新,请在控制台中选择更新,然后单击“ 下载”。

改进了旧更新的清理
我们添加了自动清理功能,用于从站点服务器上的“EasySetupPayload”文件夹中删除不需要的下载。

对等缓存改进

从此版本开始,当对等缓存源计算机满足以下任何条件时,对等缓存源计算机将拒绝内容请求:

  • 处于低电池模式。
  • 请求内容时 CPU 负载超过 80%。
  • 磁盘 I/O 具有超过 10 的 AvgDiskQueueLength
  • 不再有可用的计算机连接。

使用 Configuration Manager SDK 时,可以使用对等源功能的客户端代理配置类配置这些设置, (SMS_WinPEPeerCacheConfig) 。

当计算机拒绝对内容的请求时,请求的计算机将继续在其可用内容源位置池中查找内容形式的备用源。

使用Microsoft Entra 域服务管理设备、用户和组

使用此技术预览版,可以管理已加入Microsoft Entra 域服务托管域的设备。 还可以使用各种Configuration Manager发现方法发现该域中的设备、用户和组。

技术预览版站点基础结构、客户端和Microsoft Entra 域服务域必须在 Azure 中运行。

设置Configuration Manager以使用Microsoft Entra ID

若要将Microsoft Entra ID 与 Configuration Manager 配合使用,需要满足以下条件:

  • Azure 订阅。
  • 使用 域服务 (DS) Microsoft Entra ID。
  • 在已加入Microsoft Entra ID 的 Azure VM 上运行的Configuration Manager站点。
  • Configuration Manager在同一Microsoft Entra环境中运行的客户端。

若要配置Microsoft Entra域服务,请参阅Microsoft Entra 域服务入门

发现资源

将Configuration Manager设置为在Microsoft Entra ID 中运行后,可以使用以下 Active Directory 发现方法搜索资源Microsoft Entra ID:

  • Active Directory 系统发现
  • Active Directory 用户发现
  • Active Directory 组发现

对于使用的每个方法,编辑 LDAP 查询以搜索Microsoft Entra OU 结构,而不是典型的本地 Active Directory容器。 这要求你定向查询以在 Azure 订阅中搜索 Active Directory。

以下示例使用 contoso.onmicrosoft.com 的Microsoft Entra ID:

  • 系统发现
    Microsoft Entra ID 将设备存储在 AADDC 计算机 OU 下。 配置以下项:

    • LDAP://OU=AADDC Computers,DC=contoso,DC=onmicrosoft,DC=com

  • 用户发现Microsoft Entra ID 将用户存储在 AADDC 用户 OU 下。 配置以下项:

    • LDAP://OU=AADDC Users,DC= contoso,DC=onmicrosoft,DC=com

  • 组发现
    Microsoft Entra ID 没有用于存储组的 OU。 请改用与系统或用户查询相同的常规结构,并将 LDAP 查询配置为指向包含要发现的组的 OU。

有关Microsoft Entra ID 的详细信息,请参阅以下内容:

条件访问设备符合性策略改进

当用户使用属于不合规应用列表的应用时,可以使用新的设备符合性策略规则来阻止对支持条件访问的公司资源。 添加无法安装的新合规规则 “应用”时,管理员可定义不合规的应用列表。 此规则要求管理员在将应用添加到不合规列表时输入应用 名称应用 ID应用发布者 (可选) 。 此设置仅适用于 iOS 和 Android 设备。

此外,这有助于组织通过不安全的应用减少数据泄漏,并防止通过某些应用过度使用数据。

试用

场景: 确定可能通过向公司外部发送公司数据而导致数据泄露的应用,或者导致数据消耗过多的应用,然后 创建条件访问设备符合性策略 ,将这些应用添加到不合规的应用列表中。 这将阻止访问支持条件访问的公司资源,直到用户可以删除阻止的应用。

反恶意软件客户端版本警报

从此预览版开始,如果超过 20% (默认) 托管客户端使用过期版本的反恶意软件客户端 ((即 Windows Defender 或 Endpoint Protection 客户端) ),Configuration Manager Endpoint Protection 会发出警报。

试用

确保使用客户端设置策略在所有桌面和服务器客户端上启用 Endpoint Protection。 现在,可以通过转到资产和符合性>概述>设备>“所有桌面”和“服务客户端”来查看反恶意软件客户端版本Endpoint Protection 部署状态。 若要检查警报,请在“监视”工作区中查看“警报”。 如果超过 20% 的托管客户端运行的是已过期版本的反恶意软件,则会显示“反恶意软件客户端版本已过时”警报。 此警报不会显示在“ 监视>概述 ”选项卡上。若要更新过期的反恶意软件客户端,请为反恶意软件客户端启用软件更新。

若要配置生成警报的百分比,请展开“ 监视>警报>所有警报”,双击“ 反恶意软件客户端过期 ”,并修改“ 如果具有过时版本的反恶意软件客户端的托管客户端的百分比超过选项,则引发警报 ”。

适用于企业的Windows 更新更新的合规性评估

现在可以配置符合性策略更新规则,以将 Windows 更新 for Business 评估结果包含在条件访问评估中。

重要

必须具有 Windows 10 Insider Preview 版本 15019 或更高版本,才能对 Windows 更新 for Business 更新使用合规性评估。

允许 Windows 更新 for Business 管理Windows 10更新

若要收集 Windows 更新 for Business 更新的符合性评估信息,请使用以下过程配置客户端代理设置,以显式允许 Windows 更新 for Business 管理Windows 10更新。

  1. 在Configuration Manager控制台中,转到“管理>客户端设置”。
  2. 在客户端设置的属性中,转到“软件汇报”,并为“使用 Windows 更新 for Business 设置管理Windows 10更新”选择“是”。

为业务评估Windows 更新创建符合性策略

  1. 在Configuration Manager控制台中,转到“资产和符合性设置>>”“合规性策略”。
  2. 单击“ 创建符合性策略 ”或选择要修改的现有合规性策略。
  3. 在“常规”页上,提供名称和说明,为使用 Configuration Manager 客户端管理的设备选择“符合性规则”,设置报告的不合规严重性,然后单击“下一步”。
  4. 在“支持的平台”页上,选择“Windows 10”,然后单击“下一步”。
  5. 在“规则”页上,单击“新建...”,然后在“条件”中选择“要求Windows 更新业务符合性”。 “值”设置自动设置为 True

新策略显示在“资产和符合性”工作区的“符合性策略”节点中。

部署符合性策略

  1. 在Configuration Manager控制台中,转到“资产和符合性合规性>设置”,然后单击“符合性策略”。
  2. 在“ 主页 ”选项卡上的“ 部署 ”组中,单击“ 部署”。
  3. 在“ 部署符合性策略 ”对话框中,单击“ 浏览 ”以选择要将策略部署到的用户集合。 此外,可以选择选项以在策略不符合时生成警报,还可以配置评估此策略的符合性计划。
  4. 完成后,单击“确定”

监视合规性策略

创建符合性策略后,可以在 Configuration Manager 控制台中监视合规性结果。 有关详细信息,请参阅 监视合规性策略

针对影响重大任务序列的软件中心设置和通知消息的改进

此版本包括对软件中心设置和通知消息的以下改进,适用于高影响部署任务序列:

  • 在任务序列的属性中,现在可以将任何任务序列(包括非操作系统任务序列)配置为高风险部署。 满足特定条件的任何任务序列都会自动定义为高影响。 有关详细信息,请参阅 管理高风险部署
  • 在任务序列的属性中,可以选择使用默认通知消息,或为影响重大的部署创建自己的自定义通知消息。
  • 在任务序列的属性中,可以配置软件中心属性,其中包括要求重启、任务序列的下载大小以及估计的运行时间。
  • 就地升级的默认高影响部署消息现在指出应用、数据和设置会自动迁移。 以前,任何操作系统安装的默认消息都指示所有应用、数据和设置都将丢失,而就地升级则并非如此。

将任务序列设置为影响重大的任务序列

使用以下过程将任务序列设置为高影响。

注意

满足特定条件的任何任务序列都会自动定义为高影响。 有关详细信息,请参阅 管理高风险部署

  1. 在Configuration Manager控制台中,转到“软件库>操作系统>”“任务序列”。
  2. 选择要编辑的任务序列,然后单击“ 属性”。
  3. 在“ 用户通知 ”选项卡上,选择“ 这是影响重大的任务序列”。

为高风险部署创建自定义通知

  1. 在Configuration Manager控制台中,转到“软件库>操作系统>”“任务序列”。

  2. 选择要编辑的任务序列,然后单击“ 属性”。

  3. 在“ 用户通知 ”选项卡上,选择“ 使用自定义文本”。

    注意

    仅当选择“ 这是影响重大”任务序列 时,才能设置用户通知文本。

  4. 为每个文本框配置以下设置 (最多 255 个字符) :

    用户通知标题文本:指定在软件中心用户通知上显示的蓝色文本。 例如,在默认用户通知中,此部分包含类似“确认要升级此计算机上的操作系统”的内容。

    用户通知消息文本:有三个文本框提供自定义通知的正文。

    • 第 1 个文本框:指定文本的main正文,通常包含用户的说明。 例如,在默认用户通知中,此部分包含类似“升级操作系统需要时间,并且你的计算机可能会重启多次”的内容。
    • 第二个文本框:指定文本main正文下的粗体文本。 例如,在默认用户通知中,此部分包含类似“此就地升级安装新操作系统并自动迁移应用、数据和设置”的内容。
    • 第三个文本框:指定粗体文本下的最后一行文本。 例如,在默认用户通知中,此部分包含类似“单击安装开始”。 否则,请单击“取消”。

    假设你在属性中配置以下自定义通知。

    任务序列属性的自定义通知

    当最终用户从软件中心打开安装时,将显示以下通知消息。

    任务序列的自定义通知 - 软件中心

配置软件中心属性

使用以下过程配置软件中心中显示的任务序列的详细信息。 这些详细信息仅供了解。

  1. 在Configuration Manager控制台中,转到“软件库>操作系统>”“任务序列”。
  2. 选择要编辑的任务序列,然后单击“ 属性”。
  3. 在“ 常规 ”选项卡上,软件中心的以下设置可用:
    • 需要重启:让用户知道安装期间是否需要重启。
    • 下载大小 (MB) :指定在任务序列的软件中心中显示的兆字节数。
    • 估计运行时间 (分钟) :指定在任务序列的软件中心中显示的估计运行时间(以分钟为单位)。

在安装应用程序之前检查是否正在运行的可执行文件

<部署类型的“部署类型名称>属性 ”对话框中的“安装行为”选项卡上,现在可以指定多个可执行文件之一,如果正在运行,这些文件将阻止部署类型的安装。 用户必须关闭正在运行的可执行文件 (,或者,在安装部署类型之前,可以自动关闭它,以便进行所需的) 。

试试吧。

  1. 在Configuration Manager部署类型的属性中,选择“安装行为”选项卡。
  2. 选择“添加”以添加要为其检查的一个或多个可执行文件名称。 还可以添加显示名称,使用户能够更轻松地识别列表中的应用程序。
  3. 如果部署的目的是必需的,则可以在部署软件向导中选择 “自动关闭在部署类型属性”对话框的“安装行为”选项卡上指定的任何正在运行的可执行文件

如果应用程序已部署为 “可用”,并且最终用户尝试安装应用程序,系统会提示他们关闭指定的所有正在运行的可执行文件,然后才能继续安装。

如果应用程序已部署为 “必需”,并且选择了“ 部署类型属性”对话框的“安装行为”选项卡上指定的任何正在运行的可执行文件 选项,则它们将看到一个对话框,告知他们在达到应用程序安装截止时间时,指定的可执行文件将自动关闭。 可以在 “客户端设置>”计算机代理中计划这些对话框。 如果不希望最终用户看到这些消息,请在部署属性的“用户体验”选项卡上选择“在软件中心隐藏”和所有通知

如果应用程序已部署为 “必需 ”,并且未选择“ 自动关闭在部署类型属性”对话框的“安装行为”选项卡上指定的任何正在运行的可执行文件 ,则如果一个或多个指定的应用程序正在运行,则应用的安装将失败。

创建支持 S MIME 的 PFX 证书

现在可以创建支持 S/MIME 的 PFX 证书配置文件并将其部署到用户。 然后,此证书可用于跨用户已注册的设备进行 S/MIME 加密和解密。

此外,现在可以指定多个证书颁发机构 (CA) 多个证书注册点站点系统角色,然后将哪些 CA 进程请求分配为证书配置文件的一部分。

对于 iOS 设备,可以将 PFX 证书配置文件关联到电子邮件配置文件并启用 S/MIME 加密。 然后,这会在 iOS 上的本机电子邮件客户端中启用 S/MIME,并将正确的 S/MIME 加密证书关联到该客户端。

有关Configuration Manager中的证书的详细信息,请参阅证书配置文件简介

适用于 iOS 设备的新符合性设置

我们添加了可在 iOS 设备的配置项目中使用的新设置。 这些设置以前存在于独立配置的 Microsoft Intune 中,现在在将 Intune 与 Configuration Manager 配合使用时可用。 如果需要有关这些设置的帮助,请参阅 Microsoft Intune 中的 iOS 策略设置

  • 将数据从托管应用同步到 iCloud
  • 移交以继续在其他设备上执行活动
  • iCloud 照片共享
  • iCloud 照片库
  • 信任新的企业应用作者
  • 允许用户仅从标记为“Erotica”的 iBook 存储下载内容 , (监督模式)
  • 强制配对的 Apple Watch 使用手腕检测
  • AirPlay 传出请求的密码
  • 仅) (监督模式修改帐户设置
  • 仅对受监督模式 (应用手机网络数据使用设置的更改)
  • ) (监督模式擦除所有内容和设置
  • 配置仅 (监督模式的设备限制)
  • 使用主机配对控制 iOS 设备只能与 (监督模式配对的设备)
  • 仅 (监督模式安装配置文件和证书)
  • 设备名称修改仅 (监督模式)
  • 仅) 监督模式 (密码修改
  • Apple Watch 配对 (监督模式仅)
  • 仅) 监督模式 (通知设置修改
  • 仅) 监督模式 (壁纸修改
  • 诊断提交设置修改仅 (监督模式)
  • 蓝牙修改 仅 (监督模式)
  • AirDrop (监督模式仅)
  • 仅使用 Siri (监督模式从 Internet 查询用户生成的内容)
  • Siri 脏话筛选器 (监督模式仅)
  • 聚焦搜索中仅 (监督模式下从 Internet 返回结果)
  • 仅 ( 监督模式Word定义查找)
  • 预测键盘 仅 (监督模式)
  • 仅) 监督模式 (自动更正
  • 键盘拼写检查 (监督模式仅)
  • 仅在监督模式下 (键盘快捷方式)
  • 使用 Apple Configurator 和 iTunes 安装应用仅 (监督模式)
  • 仅 (监督模式自动下载应用)
  • 仅 (监督模式更改“查找我的朋友”应用设置)
  • 仅 (监督模式访问 iBooks 存储)
  • 消息应用 仅 (监督模式)
  • 播客 仅 (监督模式)
  • Apple Music 仅 (监督模式)
  • iTunes Radio 仅 (监督模式)
  • Apple News 仅 (监督模式)
  • 游戏中心 仅 (监督模式)
  • 将 AirDrop 视为非托管目标

Android for Work 支持

从 Technical Preview 版本 1702 开始,可以将 Google 帐户绑定到混合 MDM 租户。 这样您就可以执行以下操作:

  • 支持的 Android 设备 注册为 Android for Work,在这些已注册的设备上创建工作配置文件
  • 在 Play for Work 应用商店中批准应用,将其与Configuration Manager控制台同步,然后将其部署到设备的工作配置文件
  • 创建和部署配置项目,为这些设备配置工作配置文件和密码设置
  • 为 Android for Work 设备创建和部署符合性策略项和资源访问配置文件,就像为 Android 设备创建和部署一样
  • 在 Android for Work 设备上执行选择性擦除

将设备注册为 Android for Work 时,会在 Intune 可以管理的设备上创建一个工作配置文件。 此工作配置文件与 Android 设备上的个人配置文件并存。 用户可以轻松地在工作配置文件应用和个人配置文件应用之间切换。 不能管理个人配置文件中的项目。 个人应用和数据保持非托管状态。 Configuration Manager完全控制工作配置文件及其内容,并且可以将其从设备中删除。

Android for Work 是一个独立于 Android 的平台,你需要决定对支持工作配置文件的 Android 设备使用哪种管理形式。

尝试一下!

以下部分介绍 Android for Work 管理。

启用 Android for Work 管理

  1. https://accounts.google.com/SignUp 创建一个 Google 帐户,用作 Android for Work 管理员帐户,该帐户将与此 Intune 租户的所有 Android for Work 管理任务相关联。 这可能是管理 Android 设备的管理员之间共享的 Google 帐户。 这是组织用于在 Play for Work 控制台中管理和发布应用的 Google 帐户。 你将使用此帐户在 Play for Work 应用商店中批准应用,因此请跟踪帐户名称和密码。
  2. 通过将 Google 帐户绑定到在 Configuration Manager 中管理的 Intune 租户来启用 Android 注册:
    1. 转到“管理>概述>云服务>Microsoft Intune订阅”,然后选择 Intune 订阅。
    2. 在功能区中,单击“ 配置平台>Android ”,并确保选中 “启用 Android 注册 ”。
    3. 在功能区中,单击“ 配置平台>Android for Work”。
    4. 在对话框中,单击 Intune 控制台中的“配置 Android for Work”。 Intune 控制台将在 Web 浏览器中打开。
    5. 使用 Intune 管理员凭据登录到 Intune 门户。
    6. 单击“ 配置 ”以打开 Google Play 的 Android for Work 网站。
    7. 在 Google 的登录页上,输入步骤 1 中的 Google 帐户凭据,然后提供公司信息。
  3. 返回到 Intune 门户时,Android for Work 已启用,并且 Android for Work 设备有三个注册选项:
    • 将所有设备作为 Android 管理 - (禁用) 所有 Android 设备(包括支持 Android for Work 的设备)都将注册为传统 Android 设备
    • 将支持的设备作为 Android for Work 管理 - (已启用) 支持 Android for Work 的所有设备都注册为 Android for Work 设备。 任何不支持 Android for Work 的 Android 设备都注册为传统的 Android 设备。
    • 仅以 Android for Work 为这些组中的用户管理受支持的设备 - (测试) 使你能够将 Android for Work 管理面向一组有限的用户。 只有注册支持 Android for Work 设备的所选组的成员才会注册为 Android for Work 设备。 所有其他设备都注册为 Android 设备。

注意

已知问题阻止 “仅作为 Android for Work”组中的用户管理受支持的设备 选项无法按预期工作。 指定Microsoft Entra组中的用户设备将注册为 Android 而不是 Android for Work。 若要测试 Android for Work,必须使用将 所有受支持的设备作为 Android for Work 管理

若要启用 Android for Work 注册,必须选择后两个选项之一。 “仅作为 Android for Work 管理这些组中用户支持的设备”选项要求首先设置Microsoft Entra安全组。

绑定完成后,你将在 Intune 门户中看到帐户名称和组织名称;此时,可以关闭这两个浏览器。

批准和部署 Android for Work 应用

按照以下步骤在 Play for Work 应用商店中批准应用,将其同步到Configuration Manager控制台,并将其部署到托管的 Android for Work 设备。 若要将应用部署到用户的工作配置文件,需要在 Play for Work 中批准应用,然后将应用与Configuration Manager控制台同步。

  1. 打开浏览器并转到: https://play.google.com/work
  2. 使用绑定到 Intune 租户的 Google 管理员帐户登录。
  3. 浏览要部署在环境中的应用,并为每个应用单击“ 批准 ”。
  4. 在Configuration Manager控制台中,转到“管理员>概述>云服务>Android for Work”,然后单击“同步”。
  5. 等待应用同步最多 10 分钟,然后转到 “软件库>概述>”“应用商店应用的应用程序管理>许可证信息”。
  6. 单击从 Play for Work 同步的应用,然后单击“ 创建应用程序”。
  7. 完成向导并单击“ 关闭”。
  8. 转到 “软件库>概述>”“应用程序管理>应用程序”,选择 Android for Work 应用,并照常部署。

若要将 Play for Work 应用与Configuration Manager同步,必须在 Play for Work 网站上批准至少一个应用。

注册 Android for Work 设备

注册 Android for Work 设备的方式与 Android 注册方式类似。 在移动设备上下载并运行适用于 Android 的 公司门户 应用。 在注册过程中,系统会提示你创建工作配置文件。 创建工作配置文件后,必须切换到公司门户的托管版本。 托管公司门户在右下角标记了一个小橙色公文包。

创建和部署配置项目

Android for Work 有两个用于配置项目的设置组:

  • Password
  • 工作配置文件

可以在工作配置文件之间配置内容共享,以及在运行 Android 6 或更高版本的设备上配置以下配置项目:

  • 请求特定权限的应用的行为
  • 工作配置文件中应用程序的通知是否在锁屏界面上可见

若要尝试此操作,请通过标准工作流创建配置项目,在“常规”页上选择“Android for Work”,并为每个设置组配置设置,将配置项目添加到基线,然后照常部署。 这些设置仅适用于注册为 Android for Work 的设备,不适用于注册为 Android 的设备。

执行选择性擦除

注册为 Android for Work 的设备只能选择性地擦除,因为你只管理工作配置文件。 这可以防止个人配置文件被擦除。 在 Android for Work 设备上执行选择性擦除会删除工作配置文件(包括所有应用和数据),并取消注册设备。

若要选择性地擦除 Android for Work 设备,请在 Configuration Manager 控制台中使用正常的选择性擦除过程

Android for Work 的已知问题

在 Android for Work 电子邮件配置文件中配置同步计划会导致它们无法部署 Android for Work 电子邮件配置文件的 ConfigMgr UI 中的一个选项是“计划”。 在其他平台上,这允许管理员配置将电子邮件和其他电子邮件帐户数据同步到部署到的移动设备的计划。 但是,它不适用于 Android for Work 电子邮件配置文件,并且选择“未配置”以外的任何选项将导致配置文件不会部署到任何设备。