Technical Preview 1706 for Configuration Manager 中的功能
适用于:Configuration Manager (技术预览分支)
本文介绍 Configuration Manager Technical Preview 版本 1706 中提供的功能。 可以安装此版本,以更新Configuration Manager技术预览版站点并向其添加新功能。 在安装此版本的技术预览版之前,请查看 technical Preview for Configuration Manager,以熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供有关技术预览版中功能的反馈。
此 Technical Preview 中的已知问题:
移动分发点 - 由于单个主站点的技术预览版限制,此版本无法使用控制台中用于在站点之间移动分发点的选项。
设备符合性设置 - 使用两个新设备符合性设置时,可能会遇到相反的行为:
在设备上阻止进行 USB 调试
阻止来自未知源的应用
例如,如果管理员将 “阻止设备上的 USB 调试 ”设置为 true,则所有未启用 USB 调试的设备都会标记为不符合。
以下是可使用此版本试用的新功能。
改进了软件更新点的边界组
此版本包括软件更新点与边界组配合使用方式的改进。 下面总结了新的回退行为:
软件更新点的回退现在使用可配置的时间回退到相邻边界组,最短时间为 120 分钟。
与回退配置无关,客户端尝试访问它使用的最后一个软件更新点 120 分钟。 在 120 分钟无法访问该服务器后,客户端随后会检查其可用软件更新点池,以便找到新的软件更新点。
客户端当前边界组中的所有软件更新点都会立即添加到客户端的池中。
由于客户端在寻求新服务器之前尝试使用其原始服务器 120 分钟,因此在经过两个小时之前,不会联系其他服务器。
如果对相邻组的回退配置为至少 120 分钟,则来自该相邻边界组的软件更新点将成为客户端可用服务器池的一部分。
在两小时未能到达其原始服务器后,客户端切换到较短的周期来联系新的软件更新点。
这意味着,如果客户端无法与新服务器连接,它会从其可用服务器池中快速选择下一个服务器,并尝试联系该服务器。
- 此循环一直持续到客户端连接到它可以使用的软件更新点。
- 在客户端找到软件更新点之前,当满足每个相邻边界组的回退时间时,会将其他服务器添加到可用服务器的池中。
有关详细信息,请参阅 Current Branch 的边界组主题中的 软件更新点 。
站点服务器角色高可用性
站点服务器角色的高可用性是基于Configuration Manager的解决方案,用于在被动模式下安装其他主站点服务器。 被动模式站点服务器是现有处于 主动 模式的主站点服务器的补充。 被动模式站点服务器可在需要时立即使用。
处于被动模式的主站点服务器:
- 使用与活动站点服务器相同的站点数据库。
- 接收活动站点服务器内容库的副本,该内容库随后保持同步。
- 只要站点数据库处于被动模式,就不会将数据写入站点数据库。
- 如果站点系统角色处于被动模式,则不支持安装或删除可选站点系统角色。
若要使被动模式站点服务器成为主动模式站点服务器,请手动升级它。 这会将活动站点服务器切换为被动站点服务器。 只要该计算机可访问,原始活动模式服务器上可用的站点系统角色就一直可用。 只有站点服务器角色在主动模式和被动模式之间切换。
若要安装被动模式站点服务器,请使用创建站点系统服务器向导配置具有主站点服务器类型和被动模式的新站点服务器。 然后,该向导在指定的服务器上运行Configuration Manager安装程序,以在被动模式下安装新的站点服务器。 安装完成后,主动模式站点服务器会将被动模式站点服务器及其内容库与你对活动站点服务器所做的更改或配置保持同步。
先决条件和限制
每个主站点都支持处于被动模式的单个站点服务器。
处于被动模式的站点服务器可以是本地服务器,也可以是 Azure 中的基于云的服务器。
主动模式和被动模式站点服务器必须位于同一域中。
主动模式和被动模式站点服务器必须使用相同的站点数据库,该数据库必须远离每个站点服务器的计算机。
托管数据库的SQL Server可以使用默认实例、命名实例、SQL Server Always On故障转移群集实例或可用性组。
被动模式下的站点服务器配置为使用与主动模式站点服务器相同的站点数据库。 但是,被动模式站点服务器在升级到主动模式之前不会使用该数据库。
将运行被动模式站点服务器的计算机:
必须满足 安装主站点的先决条件。
使用与活动模式站点服务器版本匹配的源文件进行安装。
在安装被动模式站点之前,不能具有任何站点的站点系统角色。
主动和被动模式站点服务器计算机可以运行不同的操作系统或 Service Pack 版本,只要两者仍受Configuration Manager版本的支持。
手动将被动模式站点服务器提升为主动模式服务器。 没有自动故障转移。
站点系统角色只能安装在处于活动模式的站点服务器上。
处于活动模式的站点服务器支持所有站点系统角色。 当服务器处于被动模式时,不能在服务器上安装站点系统角色。
使用数据库 ((如报告点) )的站点系统角色必须在远离主动模式和被动模式站点服务器的服务器上具有该数据库。
SMS_Provider不会以被动模式安装在站点服务器上。 由于必须连接到站点SMS_Provider才能手动将被动模式站点服务器提升为主动模式,因此我们建议在附加计算机上安装 至少一个提供程序的其他实例 。
已知问题:
在此版本中,控制台中以下条件 的“状态” 显示为数值而不是可读文本:
- 131071 – 站点服务器安装失败
- 720895 – 站点服务器角色卸载失败
- 851967 – 故障转移失败
在被动模式下添加站点服务器
在控制台中,转到 “管理>站点配置>站点” ,并启动 “添加站点系统角色向导”。 还可以使用 “创建站点系统服务器向导”。
在“ 常规 ”页上,指定将托管被动模式站点服务器的服务器。 在被动模式下安装站点服务器之前,指定的服务器无法托管任何站点系统角色。
在“ 系统角色选择” 页上,仅选择 处于被动模式的主站点服务器。
若要完成向导,必须提供以下信息,用于在指定的服务器上运行安装程序和安装站点服务器角色:
选择将安装文件从活动站点服务器复制到新的被动模式站点服务器,或指定包含活动站点服务器的 CD.Latest 文件夹内容的位置的路径。
指定活动模式站点服务器使用的相同站点数据库服务器和数据库名称。
然后,Configuration Manager在指定的服务器上以被动模式安装站点服务器。
有关详细的安装状态,请转到 管理>站点配置>站点。
处于被动模式的站点服务器的状态显示为 “正在安装”。
选择服务器,然后单击“ 显示状态 ”以打开 “站点服务器安装状态” 以获取更多详细信息。
将被动模式站点服务器提升为主动模式
如果要将被动模式站点服务器更改为主动模式,请在“管理>站点配置>站点”中的“节点”窗格中执行此操作。 只要可以访问SMS_Provider的实例,就可以访问站点进行此更改。
在Configuration Manager控制台的“节点”窗格中,选择处于被动模式的站点服务器,然后从功能区中选择“提升为活动”。
正在升级的服务器的简单 “状态” 在 “节点 ”窗格中显示为“ 正在升级”。
升级完成后,对于新的主动模式站点服务器和新被动模式站点服务器,“状态”列将显示“确定”。
在 “管理>站点配置>站点”中,主站点服务器的名称现在显示新的 活动 模式站点服务器的名称。 有关详细状态,请转到 监视>站点服务器状态。
“模式”列标识哪个服务器是主动服务器还是被动服务器。
将服务器从被动模式提升为主动模式时,请选择要提升为活动的站点服务器,然后从功能区中选择“ 显示状态 ”。 这会打开 “站点服务器升级状态” 窗口,其中显示有关该过程的其他详细信息。
当处于主动模式的站点服务器切换到被动模式时,只有站点系统角色会成为被动角色。 安装在该计算机上的所有其他站点系统角色将保持活动状态,并且可供客户端访问。
每日监视
如果主站点处于被动模式,请每天对其进行监视,以确保它与主动模式站点服务器保持同步,并可供使用。 为此,请转到 监视>站点服务器状态。 可在此处查看主动模式和被动模式站点服务器。
“ 摘要 ”选项卡:
- “模式”列标识哪个服务器是主动服务器还是被动服务器。
- 当被动模式服务器与主动模式服务器同步时, “状态” 列列出 “正常 ”。
- 若要查看有关内容同步状态的其他详细信息,请单击“内容同步 状态 ”中的“显示状态”。 这会打开“内容库”选项卡,你可以在其中尝试修复内容同步问题。
“ 内容库 ”选项卡:
- 查看从活动站点服务器同步到被动模式站点服务器的内容 的状态 。
- 可以选择状态为 “失败”的内容,然后从功能区中选择 “同步所选项目 ”。 此操作尝试将该内容从内容的源重新同步到被动模式站点服务器。 在恢复期间,“状态”显示为“ 正在进行”,同步时显示为 “成功”。
尝试一下!
尝试完成以下任务,然后从功能区的“开始”选项卡向我们发送反馈,让我们知道它是如何工作的:
- 可以在被动模式下安装主站点。
- 我可以使用控制台升级被动模式站点服务器,使其成为主动模式站点服务器,并确认这两个站点服务器的状态更改。
在 Device Guard 策略中包含对特定文件和文件夹的信任
在此版本中,我们已向 Device Guard 策略管理添加了更多功能
现在可以选择为 Device Guard 策略中的文件夹添加特定文件的信任。 这允许你:
- 克服托管安装程序行为的问题
- 信任无法使用 Configuration Manager 部署的业务线应用
- 信任操作系统部署映像中包含的应用。
尝试一下!
- 创建 Device Guard 策略时,在“创建 Device Guard 策略向导”的“包含”选项卡上,单击“ 添加”。
- 在“ 添加受信任的文件或文件夹 ”对话框中,指定要信任的文件或文件夹的相关信息。 可以指定本地文件或文件夹路径,也可以连接到有权连接到的远程设备,并在该设备上指定文件或文件夹路径。
- 完成该向导。
隐藏任务序列进度
在此版本中,可以使用新变量控制何时向最终用户显示任务序列进度。 在任务序列中,使用 “设置任务序列变量” 步骤设置 TSDisableProgressUI 变量的值,以隐藏或显示任务序列进度。 可以在任务序列中多次使用“设置任务序列变量”步骤来更改变量的值。 这使你可以在任务序列的不同部分中隐藏或显示任务序列进度。
隐藏任务序列进度
在任务序列编辑器中,使用 “设置任务序列变量” 步骤将 TSDisableProgressUI 变量的值设置为 True 以隐藏任务序列进度。
显示任务序列进度
在任务序列编辑器中,使用 “设置任务序列变量” 步骤将 TSDisableProgressUI 变量的值设置为 False 以显示任务序列进度。
为安装内容和卸载内容指定其他内容位置
在今天的 Configuration Manager 中,指定包含应用的安装程序文件的安装位置。 指定安装位置时,此位置也用作应用程序内容的卸载位置。 根据你的反馈,如果想要卸载已部署的应用程序,并且应用内容不在客户端计算机上,则客户端将在卸载应用程序之前再次下载所有应用安装文件。 若要解决此问题,现在可以指定安装内容位置和可选的卸载内容位置。 此外,可以选择不指定卸载内容位置。
试试吧!
- 在应用程序的部署类型属性中,单击“ 内容 ”选项卡。
- 按正常方式配置 “安装内容位置 ”。
- 对于 “卸载内容设置”,请选择以下选项之一:
- 与安装内容相同 - 无论你是安装还是卸载应用程序,都将使用相同的内容位置。
- 无卸载内容 - 如果不想为应用程序提供卸载内容位置,请选择此选项。
- 不同于安装内容 - 如果要指定与安装内容位置不同的卸载内容位置,请选择此选项。
- 如果选择了 “不同于安装内容”,请浏览到或输入将用于卸载应用程序的应用程序内容的位置。
- 单击“ 确定” 关闭部署类型属性对话框。
辅助功能改进
此预览版对 Configuration Manager 控制台中的辅助功能进行了多项改进。 包括:
用于在控制台中移动的新键盘快捷方式:
- Ctrl + M - 在main (中心) 窗格上设置焦点。
- Ctrl + T - 将焦点设置为导航窗格中的顶部节点。 如果焦点已在该窗格中,焦点将设置为你访问的最后一个节点。
- Ctrl + I - 将焦点设置为功能区下方的痕迹导航条。
- Ctrl + L - 将焦点设置为 “搜索 ”字段(如果可用)。
- Ctrl + D - 将焦点设置为详细信息窗格(如果可用)。
- Alt - 更改焦点在功能区内和功能区外。
常规改进:
- 改进了键入节点名称字母时导航窗格中的导航。
- 通过main视图和功能区的键盘导航现在是圆形的。
- 详细信息窗格中的键盘导航现在为圆形。 若要返回到上一个对象或窗格,请使用 Ctrl + D,然后使用 Shift + Tab。
- 刷新工作区视图后,焦点将设置为该工作区的main窗格。
- 修复了使屏幕阅读器能够读出列表项名称的问题。
- 在页面上为多个控件添加了辅助名称,使屏幕阅读器能够朗读重要信息。
对 Azure 服务向导的更改以支持升级准备情况
从此版本开始,使用 Azure 服务向导配置从 Configuration Manager 到升级就绪情况的连接。 向导的使用通过使用相关 Azure 服务的通用向导来简化连接器的配置。
尽管配置连接的方法已更改,但连接的先决条件以及升级就绪情况的使用方式保持不变。
升级准备情况的先决条件
连接到升级就绪情况的先决条件与 Configuration Manager Current Branch 的详细先决条件没有变化。 为了方便起见,此处将重复它们:
先决条件
- 若要添加连接,Configuration Manager环境必须首先在联机模式下配置服务连接点。 将连接添加到环境时,它还会在运行此站点系统角色的计算机上安装 Microsoft Monitoring Agent。
- 将Configuration Manager注册为“Web 应用程序和/或 Web API”管理工具,并从此注册中获取客户端 ID。
- 使用 Microsoft Entra ID 为已注册的管理工具创建客户端密钥。
- 在Azure 门户中,为已注册的 Web 应用提供访问 OMS 的权限。
重要
配置访问 OMS 的权限时,请务必选择 “参与者” 角色,并将其分配给已注册应用的资源组的权限。
配置先决条件后,即可使用向导创建连接。
使用 Azure 服务向导配置升级就绪情况
在控制台中,转到“管理>概述>云服务>Azure 服务”,然后从功能区的“主页”选项卡中选择“配置 Azure 服务”,以启动 Azure 服务向导。
在 “Azure 服务 ”页上,选择“ 升级就绪性连接器”,然后单击“ 下一步”。
在 “应用 ”页上,指定 Azure 环境 , (技术预览版仅支持公有云) 。 然后,单击“ 导入 ”打开“ 导入应用” 窗口。
在“导入应用”窗口中,指定已存在于Microsoft Entra ID 中的 Web 应用的详细信息。
- 为Microsoft Entra租户名称提供友好名称。 然后,指定 Azure Web 应用的租户 ID、应用程序名称、客户端 ID、密钥和应用 ID URI。
- 单击“ 验证”,如果成功,请单击“ 确定 ”继续。
在 “配置 ”页上,指定要用于此连接的订阅、资源组和 Windows Analytics 工作区,以升级就绪情况。
单击“ 下一步 ”转到 “摘要 ”页,然后完成向导以创建连接。
云服务的新客户端设置
在此版本中,我们已向 Configuration Manager 添加了两个新的客户端设置。 可以在云服务部分找到这些内容。 这些设置提供以下功能:
- 控制哪些Configuration Manager客户端可以访问配置的云管理网关。
- 使用Microsoft Entra ID 自动注册Windows 10已加入域的配置管理器客户端。
这些新设置可帮助你完成 Configuration Manager 1705 Technical Preview 中所述的功能。
准备工作
必须在本地 Active Directory和Microsoft Entra租户之间安装并配置Microsoft Entra连接。
如果删除连接,则设备不会取消注册,但不会注册任何新设备。
尝试一下!
- 使用如何配置客户端设置中的信息, (云服务) 部分中找到配置以下客户端设置。
- 使用 Windows 10 Microsoft Entra ID 自动注册已加入域的新设备 - 设置为“是 (默认) ”或“否”。
- 允许客户端使用云管理网关 – 设置为“ 是 ” (默认) “或” 否”。
- 将客户端设置部署到所需的设备集合。
若要确认设备已加入Microsoft Entra ID,请在命令提示符窗口中 dsregcmd.exe /status 运行命令。 如果设备已Microsoft Entra联接,则结果中的 AzureAdjoined 字段将显示“是”。
从 Configuration Manager 控制台创建并运行 PowerShell 脚本
在 Configuration Manager 中,可以使用包和程序将脚本部署到客户端设备。 在此技术预览版中,我们添加了可让你执行以下操作的新功能:
- 将 PowerShell 脚本导入到Configuration Manager
- 从 Configuration Manager 控制台 (编辑仅针对未签名脚本的脚本)
- 将脚本标记为“已批准”或“已拒绝”,以提高安全性
- 在 Windows 客户端电脑和本地托管 Windows 电脑的集合上运行脚本。 你不会部署脚本,而是在客户端设备上近乎实时地运行脚本。
- 在 Configuration Manager 控制台中检查脚本返回的结果。
先决条件
要使用这些脚本,你必须是相应 Configuration Manager 安全角色的成员。
- 若要导入和创作脚本 - 帐户必须具有“完全管理员”安全角色中的 SMS 脚本的“创建”权限。
- 若要批准或拒绝脚本 - 你的帐户必须具有“完全管理员”安全角色中的“短信脚本”的“批准”权限。
- 若要运行脚本 - 帐户必须具有合规性设置管理器安全角色中集合的运行脚本权限。
有关Configuration Manager安全角色的详细信息,请参阅基于角色的管理基础知识。
默认情况下,用户无法批准他们创作的脚本。 由于脚本功能强大、用途广泛,并且可以部署到许多设备,因此我们引入了一个新概念,即提供在脚本作者和批准脚本的人员之间分离角色的功能。 这提供了额外的安全级别,防止在没有监督的情况下运行脚本。 为了便于测试,可以关闭此辅助审批,尤其是在 Technical Preview 发布期间。
若要允许用户批准自己的脚本,请执行以下操作:
- 在Configuration Manager控制台中,单击“管理”。
- 在 “管理 ”工作区中,展开“ 站点配置”,然后单击“ 站点”。
- 在网站列表中,选择你的网站,然后在“ 主页 ”选项卡上的“ 网站 ”组中,单击“ 层次结构设置”。
- 在“层次结构设置属性”对话框的“常规”选项卡上,清除复选框“不允许脚本作者批准自己的脚本”。
尝试一下!
导入和编辑脚本
- 在Configuration Manager控制台中,单击“软件库”。
- 在 “软件库 ”工作区中,单击“ 脚本”。
- 在“ 开始 ”选项卡上的“ 创建 ”组中,单击“ 创建脚本”。
- 在“创建 脚本 ”向导的 “脚本” 页上,配置以下内容:
- 脚本名称 - 输入脚本的名称。 虽然可以使用相同的名称创建多个脚本,但这会使你在Configuration Manager控制台中找到所需的脚本更加困难。
- 脚本语言 - 目前仅支持 PowerShell 脚本。
- 导入 - 将 PowerShell 脚本导入控制台。 脚本显示在 “脚本” 字段中。
- Clear - 从“脚本”字段中删除当前 脚本 。
- 脚本 - 显示当前导入的脚本。 可以根据需要编辑此字段中的脚本。
- 完成该向导。 新脚本显示在 “脚本 ”列表中,状态为 “正在等待审批”。 在客户端设备上运行此脚本之前,必须对其进行批准。
批准或拒绝脚本
必须先批准脚本,然后才能运行脚本。 若要批准脚本,请执行以下操作:
- 在Configuration Manager控制台中,单击“软件库”。
- 在 “软件库 ”工作区中,单击“ 脚本”。
- 在 “脚本 ”列表中,选择要批准或拒绝的脚本,然后在“ 开始 ”选项卡上的“ 脚本 ”组中,单击“ 批准/拒绝”。
- 在“ 批准或拒绝脚本 ”对话框中, 批准或 拒绝 脚本,并选择性地输入有关决策的注释。 如果拒绝脚本,则无法在客户端设备上运行该脚本。
- 完成该向导。 在 “脚本 ”列表中,你将看到“ 审批状态 ”列的更改,具体取决于你执行的操作。
运行脚本
脚本获得批准后,可以针对所选集合运行该脚本。
- 在Configuration Manager控制台中,单击“资产和符合性”。
- 在 “资产和符合性” 工作区中,单击“ 设备集合”。
- 在 “设备集合” 列表中,单击要运行脚本的设备集合。
- 在“ 主页 ”选项卡上的“ 所有系统” 组中,单击“ 运行脚本”。
- 在“运行脚本”向导的“脚本”页上,从列表中选择一个脚本。 仅显示已批准的脚本。 单击“ 下一步”,然后完成向导。
监视脚本
在客户端设备运行脚本后,请使用此过程监视操作是否成功。
- 在Configuration Manager控制台中,单击“监视”。
- 在 “监视 ”工作区中,单击“ 脚本结果”。
- 在 “脚本结果” 列表中,可以查看在客户端设备上运行的每个脚本的结果。 脚本退出代码 为 0,通常表示脚本已成功运行。
对 IPv6 的 PXE 网络启动支持
现在可以启用对 IPv6 的 PXE 网络启动支持,以启动任务序列操作系统部署。 使用此设置时,已启用 PXE 的分发点将同时支持 IPv4 和 IPv6。 此选项不需要 WDS,并且将停止 WDS(如果存在)。
启用对 IPv6 的 PXE 启动支持
使用以下过程启用 PXE 的 IPv6 支持选项。
- 在Configuration Manager控制台中,转到“管理>概述>分发点”,并单击“已启用 PXE 的分发点的属性”。
- 在“ PXE ”选项卡上,选择“ 支持 IPv6” ,为 PXE 启用 IPv6 支持。
管理 Microsoft Surface 驱动程序更新
现在可以使用 Configuration Manager 来管理 Microsoft Surface 驱动程序更新。
先决条件
所有软件更新点都必须Windows Server 2016运行。
尝试一下!
尝试完成以下任务,然后从功能区的“开始”选项卡向我们发送反馈,让我们知道它是如何工作的:
- 为 Microsoft Surface 驱动程序启用同步。 使用配置分类和产品中的过程,然后在“分类”选项卡上选择“包括 Microsoft Surface 驱动程序和固件更新”以启用 Surface 驱动程序。
- 同步 Microsoft Surface 驱动程序。
- 部署同步的 Microsoft Surface 驱动程序
为 Business 配置Windows 更新延迟策略
现在可以为由 Windows 更新 for Business 直接管理的Windows 10设备配置Windows 10功能汇报或质量汇报延迟策略。 可以在“软件库>Windows 10服务”下的“业务策略新Windows 更新”节点中管理延迟策略。
先决条件
Windows 10由 Windows 更新 for Business 管理的设备必须具有 Internet 连接。
创建适用于企业的Windows 更新延迟策略
- 在软件库中>Windows 10服务>Windows 更新业务策略
- 在“主页”选项卡上的“创建”组中,选择“创建业务策略Windows 更新”,打开“创建业务策略Windows 更新向导”。
- 在“ 常规 ”页上,提供策略的名称和说明。
- 在“延迟策略”页上,配置是延迟还是暂停功能汇报。
功能汇报通常是 Windows 的新功能。 配置分支就绪级别设置后,可以定义是否要延迟接收功能汇报 Microsoft 提供的功能,以及延迟多长时间。- 分支就绪级别:设置设备将接收 Windows 更新的分支, (Current Branch 或 Current Branch for Business) 。
- 延迟期 (天) :指定功能汇报延迟的天数。 可以从发布后 180 天内延迟接收这些功能汇报。
- 暂停功能汇报开始:选择是否暂停设备接收功能汇报,从暂停更新起最多 60 天。 最长天数过后,暂停功能将自动过期,设备将扫描 Windows 汇报以查找适用的更新。 在此扫描之后,你可以再次暂停更新。 可以通过清除复选框来取消暂停功能汇报。
- 选择是延迟还是暂停质量汇报。
质量汇报通常是对现有 Windows 功能的修复和改进,通常在每个月的第一个星期二发布,但 Microsoft 可以随时发布。 可以定义是否以及要延迟接收质量汇报遵循其可用性的时间。- 延迟期 (天) :指定功能汇报延迟的天数。 可以从发布后 180 天内延迟接收这些功能汇报。
- 暂停质量汇报开始:选择是否暂停设备接收质量汇报,从暂停更新开始最多 35 天。 最长天数过后,暂停功能将自动过期,设备将扫描 Windows 汇报以查找适用的更新。 在此扫描之后,你可以再次暂停更新。 可以通过清除复选框来取消暂停质量汇报。
- 选择“安装来自其他 Microsoft 产品的更新”,以启用组策略设置,使延迟设置适用于 Microsoft 更新以及 Windows 汇报。
- 选择“包含具有Windows 更新的驱动程序”,以从 Windows 汇报自动更新驱动程序。 如果清除此设置,则不会从 Windows 汇报下载驱动程序更新。
- 完成向导以创建新的延迟策略。
部署适用于企业的Windows 更新延迟策略
- 在软件库中>Windows 10服务>Windows 更新业务策略
- 在“主页”选项卡上的“部署”组中,选择“部署业务策略Windows 更新”。
- 配置以下设置:
- 要部署的配置策略:选择要部署的 Windows 更新 for Business 策略。
- 集合:单击“ 浏览 ”以选择要在其中部署策略的集合。
- 在支持时修正非符合性规则:选择此选项可自动修正 Windows Management Instrumentation (WMI) 、注册表、脚本以及由 Configuration Manager 注册的移动设备的所有设置不符合的任何规则。
- 允许在维护时段外进行修正:如果已为要部署策略的集合配置了维护时段,请启用此选项,让符合性设置在维护时段外修正值。 有关维护时段的详细信息,请参阅 如何使用维护时段。
- 生成警报:配置在配置基线符合性低于指定日期和时间的指定百分比时生成的警报。 还可以指定是否要将警报发送到 System Center Operations Manager。
- 随机延迟 (小时) :指定延迟时段以避免网络设备注册服务上的过度处理。 默认值为 64 小时。
- 计划:指定在客户端计算机上评估部署的配置文件所依据的符合性评估计划。 计划可以是简单计划,也可以是自定义计划。 当用户登录时,客户端计算机会评估配置文件。
- 完成向导以部署配置文件。
对委托证书颁发机构的支持
Configuration Manager现在支持 Entrust 证书颁发机构;这允许将 PFX 证书传递到注册到 Microsoft Intune 的设备。
在 Configuration Manager 中添加证书注册点角色时,可以将 Entrust 配置为证书颁发机构。 添加颁发 PFX 证书的新证书配置文件时,可以选择 Microsoft 或 Entrust 证书颁发机构。
已知问题:在 1706 技术预览版中,不会为 Microsoft 证书颁发机构颁发 PFX 证书。 这不会影响导入的 PFX 证书或 SCEP 配置文件。
Cisco (IPsec) iOS VPN 配置文件支持
可以使用 Cisco (IPsec) 作为连接类型来创建 iOS VPN 配置文件。 有关详细信息,请参阅 创建 VPN 配置文件。
新的 Windows 配置项目设置
在此版本中,我们添加了可在 Windows 配置项目中使用的以下新设置:
Password
- 设备加密
设备
- 仅限桌面) (区域设置修改
- 电源和睡眠设置修改
- 语言设置修改
- 系统时间修改
- 设备名称修改
应用商店
- 从应用商店自动更新应用
- 仅使用专用存储
- 应用商店发起的应用启动
Microsoft Edge
- 阻止访问 about:flags
- SmartScreen 提示重写
- SmartScreen 提示替代文件
- WebRTC localhost IP 地址
- 默认搜索引擎
- OpenSearch XML URL
- 主页 (仅桌面)
有关符合性设置的详细信息,请参阅 确保设备符合性。
新的设备符合性策略规则
所需的密码类型。 指定用户必须创建字母数字密码还是数字密码。 对于字母数字密码,还可以指定密码必须具有的最小字符集数。 这四个字符集是:小写字母、大写字母、符号和数字。
支持在:
- Windows Phone 8+
- Windows 8.1+
- iOS 6+
阻止设备上的 USB 调试。 无需配置此设置,因为 USB 调试已在 Android for Work 设备上禁用。
支持在:
- Android 4.0+
- Samsung KNOX Standard 4.0+
阻止来自未知源的应用。 要求设备阻止安装来自未知来源的应用。 无需将此设置配置为 Android for Work 设备始终限制来自未知源的安装。
支持在:
- Android 4.0+
- Samsung KNOX Standard 4.0+
要求对应用进行威胁扫描。 此设置指定是否在设备上启用“验证应用”功能。
支持在:
- Android 4.2 到 4.4
- Samsung KNOX Standard 4.0+
新的移动应用程序管理策略设置
从此版本开始,可以使用三个新的移动应用程序管理 (MAM) 策略设置:
仅) 阻止 (Android 设备的屏幕捕获: 指定使用此应用时阻止设备的屏幕捕获功能。
禁用联系人同步: 防止应用将数据保存到设备上的本机“联系人”应用。
禁用打印: 阻止应用打印工作或学校数据。
Android 和 iOS 注册限制
从此版本开始,管理员现在可以指定用户不能在其混合环境中注册 Android 或 iOS 个人设备。 这允许将注册的设备限制为预声明、公司拥有的设备或仅通过设备注册计划注册的 iOS 设备。
试用
- 在“管理”工作区的Configuration Manager控制台中,转到“云服务>Microsoft Intune订阅”。
- 在“订阅”组中的“主页”选项卡上,选择“配置平台”,然后选择“Android 或 iOS”。
- 选择 “阻止个人拥有的设备”。
用于复制粘贴的 Android for Work 应用程序管理策略
我们更新了 “允许工作和个人配置文件之间数据共享”的 Android for Work 配置项目的设置说明。
| 1706 技术预览版之前 | 新选项名称 | 行为 |
|---|---|---|
| 防止任何跨边界共享 | 默认共享限制 | 工作到个人:所有版本) 上预期都会阻止默认 ( 个人到工作:6.x+ 上允许的默认 (,在 5.x) 上阻止 |
| 无限制 | 个人配置文件中的应用可以处理来自工作配置文件的共享请求 | 工作到个人:允许 个人到工作:允许 |
| 工作配置文件中的应用可以处理来自个人配置文件的共享请求 | 工作配置文件中的应用可以处理来自个人配置文件的共享请求 | 工作到个人:默认 个人到工作:允许 (仅在阻止个人到工作的 5.x) |
这些选项都不能直接阻止复制粘贴行为。 我们在 1704 中向服务和公司门户应用添加了一个自定义设置,该设置可配置为防止复制粘贴。 这可以通过自定义 URI 进行设置。
- OMA-URI:./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
- 值类型:布尔值
将 DisallowCrossProfileCopyPaste 设置为 true 可防止 Android for Work 个人配置文件和工作配置文件之间的复制粘贴行为。
试用
- 在Configuration Manager控制台中,选择“资产”和“符合性>概述>”“符合性设置>配置项目”。
- 选择 “创建” 以创建新的配置项目,并指定 “名称” 和 “Android for Work”。
- 在要配置的设备设置组中,选择“ 工作配置文件”,然后选择“ 下一步”。
- 选择“ 允许工作配置文件和个人配置文件之间的数据共享”值,然后完成向导。
设备运行状况证明评估条件访问的符合性策略
从此版本开始,可以使用设备运行状况证明状态作为对公司资源进行条件访问的符合性策略规则。
试用
选择设备运行状况证明规则作为合规性策略评估的一部分。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈