Funcionalidades de Technical Preview 1706 para Configuration Manager
Se aplica a: Configuration Manager (rama technical preview)
En este artículo se presentan las características disponibles en Technical Preview para Configuration Manager, versión 1706. Puede instalar esta versión para actualizar y agregar nuevas funcionalidades al sitio de Configuration Manager technical preview. Antes de instalar esta versión de technical preview, revise Technical Preview para obtener Configuration Manager para familiarizarse con los requisitos generales y las limitaciones para usar una versión preliminar técnica, cómo actualizar entre versiones y cómo proporcionar comentarios sobre las características en una versión preliminar técnica.
Problemas conocidos en esta versión preliminar técnica:
Mover punto de distribución : las opciones de la consola para mover un punto de distribución entre sitios no se pueden usar con esta versión debido al límite de technical preview de un único sitio primario.
Configuración de cumplimiento de dispositivos: puede experimentar un comportamiento opuesto al usar los dos nuevos valores de cumplimiento de dispositivos:
Bloquear depuración USB en el dispositivo
Bloquear aplicaciones de orígenes desconocidos
Por ejemplo, si los administradores establecen Bloquear depuración USB en el dispositivo entrue, todos los dispositivos que no tienen habilitada la depuración USB se marcan como no compatibles.
Las siguientes son nuevas características que puede probar con esta versión.
Grupos de límites mejorados para puntos de actualización de software
Esta versión incluye mejoras para el funcionamiento de los puntos de actualización de software con grupos de límites. A continuación se resume el nuevo comportamiento de reserva:
La reserva de puntos de actualización de software ahora usa un tiempo configurable para la reserva a grupos de límites vecinos, con un tiempo mínimo de 120 minutos.
Independientemente de la configuración de reserva, un cliente intenta alcanzar el último punto de actualización de software que usó durante 120 minutos. Después de no llegar a ese servidor durante 120 minutos, el cliente comprueba su grupo de puntos de actualización de software disponibles, para que pueda encontrar uno nuevo.
Todos los puntos de actualización de software del grupo de límites actual del cliente se agregan inmediatamente al grupo del cliente.
Dado que un cliente intenta usar su servidor original durante 120 minutos antes de buscar uno nuevo, no se pone en contacto con ningún servidor adicional hasta que transcurren dos horas.
Si la reserva a un grupo vecino está configurada durante un mínimo de 120 minutos, los puntos de actualización de software de ese grupo de límites vecino formarán parte del grupo de servidores disponibles del cliente.
Después de no llegar a su servidor original durante dos horas, el cliente cambia a un ciclo más corto para ponerse en contacto con un nuevo punto de actualización de software.
Esto significa que si un cliente no se puede conectar con un nuevo servidor, selecciona rápidamente el siguiente servidor de su grupo de servidores disponibles e intenta ponerse en contacto con él.
- Este ciclo continúa hasta que el cliente se conecta a un punto de actualización de software que puede usar.
- Hasta que el cliente encuentre un punto de actualización de software, se agregan servidores adicionales al grupo de servidores disponibles cuando se cumple el tiempo de reserva de cada grupo de límites vecino.
Para obtener más información, vea puntos de actualización de software en el tema Grupos de límites de la rama actual.
Alta disponibilidad del rol de servidor de sitio
La alta disponibilidad para el rol de servidor de sitio es una solución basada en Configuration Manager para instalar un servidor de sitio principal adicional en modo pasivo. El servidor de sitio en modo pasivo se suma al servidor de sitio primario existente que está en modo activo . Un servidor de sitio en modo pasivo está disponible para su uso inmediato, cuando sea necesario.
Un servidor de sitio principal en modo pasivo:
- Usa la misma base de datos de sitio que el servidor de sitio activo.
- Recibe una copia de la biblioteca de contenido de los servidores de sitio activos, que luego se mantiene sincronizada.
- No escribe datos en la base de datos del sitio mientras esté en modo pasivo.
- No admite la instalación o eliminación de roles opcionales de sistema de sitio siempre que esté en modo pasivo.
Para que el servidor de sitio en modo pasivo sea el servidor de sitio en modo activo, puede promoverlo manualmente. Esto cambia el servidor de sitio activo para que sea el servidor de sitio pasivo. Los roles de sistema de sitio que están disponibles en el servidor de modo activo original permanecen disponibles siempre que se pueda acceder a ese equipo. Solo el rol de servidor de sitio se cambia entre el modo activo y pasivo.
Para instalar un servidor de sitio en modo pasivo, use el Asistente para crear servidor de sistema de sitio para configurar un nuevo servidor de sitio con un tipo de servidor de sitio principal y un modo pasivo. A continuación, el asistente ejecuta Configuration Manager programa de instalación en el servidor especificado para instalar el nuevo servidor de sitio en modo pasivo. Una vez completada la instalación, el servidor de sitio en modo activo mantiene sincronizado el servidor de sitio en modo pasivo y su biblioteca de contenido con los cambios o configuraciones que realice en el servidor de sitio activo.
Requisitos previos y limitaciones
Se admite un único servidor de sitio en modo pasivo en cada sitio primario.
El servidor de sitio en modo pasivo puede ser local o basado en la nube en Azure.
Tanto el modo activo como los servidores de sitio en modo pasivo deben estar en el mismo dominio.
Tanto el modo activo como los servidores de sitio en modo pasivo deben usar la misma base de datos de sitio, que debe ser remota desde los equipos de cada servidor de sitio.
El SQL Server que hospeda la base de datos puede usar una instancia predeterminada, una instancia con nombre, SQL Server Always On instancia de clúster de conmutación por error o un grupo de disponibilidad.
El servidor de sitio en modo pasivo está configurado para usar la misma base de datos de sitio que el servidor de sitio en modo activo. Sin embargo, el servidor de sitio en modo pasivo no usa esa base de datos hasta que se promueve al modo activo.
Equipo que ejecutará el servidor de sitio en modo pasivo:
Debe cumplir los requisitos previos para instalar un sitio primario.
Se instala mediante archivos de origen que coinciden con la versión del servidor de sitio en modo activo.
No se puede tener un rol de sistema de sitio desde ningún sitio antes de instalar el sitio en modo pasivo.
Los equipos de servidor de sitio en modo activo y pasivo pueden ejecutar diferentes sistemas operativos o versiones de Service Pack, siempre y cuando ambos sigan siendo compatibles con la versión de Configuration Manager.
La promoción del servidor de sitio en modo pasivo al servidor en modo activo es manual. No hay conmutación por error automática.
Los roles de sistema de sitio solo se pueden instalar en el servidor de sitio que está en modo activo.
Un servidor de sitio en modo activo admite todos los roles de sistema de sitio. No se pueden instalar roles de sistema de sitio en el servidor cuando está en modo pasivo.
Los roles de sistema de sitio que usan una base de datos (como el punto de informes) deben tener esa base de datos en un servidor que sea remoto tanto del modo activo como de los servidores de sitio en modo pasivo.
El SMS_Provider no se instala en el servidor de sitio en modo pasivo. Dado que debe conectarse a un SMS_Provider para que el sitio promueva manualmente el servidor de sitio en modo pasivo al modo activo, se recomienda instalar al menos una instancia adicional del proveedor en un equipo adicional.
Problema conocido:
Con esta versión, el estado de las siguientes condiciones aparece en la consola como valores numéricos en lugar de texto legible:
- 131071: error de instalación del servidor de sitio
- 720895: error de desinstalación de roles de servidor de sitio
- 851967: error de conmutación por error
Adición de un servidor de sitio en modo pasivo
En la consola, vaya aSitios deconfiguración del sitiode administración>> e inicie el Asistente para agregar roles de sistema de sitio. También puede usar el Asistente para crear servidor de sistema de sitio.
En la página General , especifique el servidor que hospedará el servidor de sitio en modo pasivo. El servidor especificado no puede hospedar ningún rol de sistema de sitio antes de instalar un servidor de sitio en modo pasivo.
En la página Selección de roles del sistema , seleccione solo Servidor de sitio principal en modo pasivo.
Para completar el asistente, debe proporcionar la siguiente información que se usa para ejecutar el programa de instalación e instalar el rol de servidor de sitio en el servidor especificado:
Elija copiar los archivos de instalación del servidor de sitio activo al nuevo servidor de sitio en modo pasivo o especifique una ruta de acceso a una ubicación que contenga el contenido de la carpeta CD.Latest del servidor de sitio activo.
Especifique el mismo servidor de base de datos de sitio y el mismo nombre de base de datos que el servidor de sitio en modo activo.
Configuration Manager, a continuación, instala el servidor de sitio en modo pasivo en el servidor especificado.
Para obtener un estado de instalación detallado, vaya aSitios deconfiguración del sitiode administración>>.
El estado del servidor de sitio en modo pasivo se muestra como Instalación.
Seleccione el servidor y, a continuación, haga clic en Mostrar estado para abrir Estado de instalación del servidor de sitio para obtener información más detallada.
Promover el servidor de sitio en modo pasivo al modo activo
Cuando quiera cambiar el servidor de sitio en modo pasivo al modo activo, hágalo desde el panel Nodos deSitios deconfiguración del sitiode administración>>. Siempre que pueda acceder a una instancia de la SMS_Provider, puede acceder al sitio para realizar este cambio.
En el panel Nodos de la consola de Configuration Manager, seleccione el servidor de sitio en modo pasivo y, a continuación, en la cinta de opciones, elija Promover a activo.
El estado simple del servidor que está promoviendo se muestra en el panel Nodos como Promoción.
Una vez completada la promoción, la columna Estado muestra Aceptar tanto para el nuevo servidor de sitio de modo activo como para el nuevo servidor de sitio en modo pasivo .
EnSitios deconfiguración> del sitio de administración>, el nombre del servidor de sitio principal ahora muestra el nombre del nuevo servidor de sitio en modo activo. Para obtener un estado detallado, vaya a Estado delservidor de sitiode supervisión>.
La columna Modo identifica qué servidor es activo o pasivo.
Al promover un servidor del modo pasivo al modo activo, seleccione el servidor de sitio al que va a promocionar y, a continuación, elija Mostrar estado en la cinta de opciones. Se abrirá la ventana Estado de promoción del servidor de sitio que muestra detalles adicionales sobre el proceso.
Cuando un servidor de sitio en modo activo cambia al modo pasivo, solo el rol de sistema de sitio se convierte en pasivo. Todos los demás roles de sistema de sitio instalados en ese equipo permanecen activos y accesibles para los clientes.
Supervisión diaria
Cuando tenga un sitio primario en modo pasivo, superviselo diariamente para asegurarse de que permanece sincronizado con el servidor de sitio en modo activo y listo para su uso. Para ello, vaya a Estado delservidor de sitiode supervisión>. Aquí puede ver tanto los servidores de sitio en modo activo como pasivo.
La pestaña Resumen :
- La columna Modo identifica qué servidor es activo o pasivo.
- En la columna Estado se muestra Aceptar cuando el servidor en modo pasivo está sincronizado con el servidor en modo activo.
- Para ver detalles adicionales sobre el estado de sincronización de contenido, haga clic en Mostrar estado desde el estado de sincronización de contenido. Se abre la pestaña Biblioteca de contenido, donde puede intentar corregir problemas de sincronización de contenido.
Pestaña Biblioteca de contenido :
- Vea el estado del contenido que se sincroniza desde el servidor de sitio activo con el servidor de sitio en modo pasivo.
- Puede seleccionar contenido con un estado de error y, a continuación, elegir Sincronizar elementos seleccionados en la cinta de opciones. Esta acción intenta volver a sincronizar ese contenido desde el origen del contenido al servidor de sitio en modo pasivo. Durante la recuperación, el estado se muestra como En curso y, cuando está sincronizado, se muestra como Correcto.
¡Pruébelo!
Intente completar las siguientes tareas y, a continuación, envíenos comentarios desde la pestaña Inicio de la cinta de opciones para que sepamos cómo ha funcionado:
- Puedo instalar un sitio primario en modo pasivo.
- Puedo usar la consola para promover el servidor de sitio en modo pasivo para convertirlo en el servidor de sitio en modo activo y confirmar el cambio de estado de ambos servidores de sitio.
Incluir confianza para archivos y carpetas específicos en una directiva de Device Guard
En esta versión, hemos agregado más funcionalidades a la administración de directivas de Device Guard .
Ahora, opcionalmente, puede agregar confianza para archivos específicos para carpetas en una directiva de Device Guard. Esto le permite:
- Solucionar problemas con los comportamientos del instalador administrado
- Confiar en aplicaciones de línea de negocio que no se pueden implementar con Configuration Manager
- Aplicaciones de confianza que se incluyen en una imagen de implementación del sistema operativo.
¡Pruébelo!
- Mientras crea una directiva de Device Guard, en la pestaña Inclusiones del Asistente para crear directivas de Device Guard, haga clic en Agregar.
- En el cuadro de diálogo Agregar archivo o carpeta de confianza , especifique información sobre el archivo o carpeta en el que desea confiar. Puede especificar una ruta de acceso de archivo o carpeta local o conectarse a un dispositivo remoto al que tenga permiso para conectarse y especificar una ruta de acceso de archivo o carpeta en ese dispositivo.
- Complete el asistente.
Ocultar el progreso de la secuencia de tareas
En esta versión, puede controlar cuándo se muestra el progreso de la secuencia de tareas a los usuarios finales mediante una nueva variable. En la secuencia de tareas, use el paso Establecer variable de secuencia de tareas para establecer el valor de la variable TSDisableProgressUI para ocultar o mostrar el progreso de la secuencia de tareas. Puede usar el paso Establecer variable de secuencia de tareas varias veces en una secuencia de tareas para cambiar el valor de la variable. Esto le permite ocultar o mostrar el progreso de la secuencia de tareas en diferentes secciones de la secuencia de tareas.
Para ocultar el progreso de la secuencia de tareas
En el editor de secuencia de tareas, use el paso Establecer variable de secuencia de tareas para establecer el valor de la variable TSDisableProgressUI en True para ocultar el progreso de la secuencia de tareas.
Para mostrar el progreso de la secuencia de tareas
En el editor de secuencia de tareas, use el paso Establecer variable de secuencia de tareas para establecer el valor de la variable TSDisableProgressUI en False para mostrar el progreso de la secuencia de tareas.
Especificar una ubicación de contenido diferente para instalar contenido y desinstalar contenido
En Configuration Manager de hoy, especifique la ubicación de instalación que contiene los archivos de instalación de una aplicación. Cuando se especifica una ubicación de instalación, también se usa como ubicación de desinstalación para el contenido de la aplicación. En función de los comentarios, cuando quiera desinstalar una aplicación implementada y el contenido de la aplicación no esté en el equipo cliente, el cliente descargará de nuevo todos los archivos de configuración de la aplicación antes de desinstalar la aplicación. Para solucionar este problema, ahora puede especificar una ubicación de contenido de instalación y una ubicación de contenido de desinstalación opcional. Además, puede elegir no especificar una ubicación de contenido de desinstalación.
¡Pruébelo!
- En las propiedades de tipo de implementación de una aplicación, haga clic en la pestaña Contenido .
- Configure la ubicación del contenido de instalación como normal.
- En Desinstalar la configuración de contenido, elija una de las siguientes opciones:
- Igual que el contenido de instalación : se usará la misma ubicación de contenido independientemente de si va a instalar o desinstalar la aplicación.
- Sin contenido de desinstalación : elija esta opción si no desea proporcionar una ubicación de contenido de desinstalación para la aplicación.
- Diferente del contenido de instalación : elija esta opción si desea especificar una ubicación de contenido de desinstalación diferente de la ubicación del contenido de instalación.
- Si seleccionó Diferente del contenido de instalación, vaya a o escriba la ubicación del contenido de la aplicación que se usará para desinstalar la aplicación.
- Haga clic en Aceptar para cerrar el cuadro de diálogo de propiedades del tipo de implementación.
Mejoras de accesibilidad
En esta versión preliminar se presentan varias mejoras en las características de accesibilidad de la consola de Configuration Manager. Entre las que se incluyen:
Nuevos métodos abreviados de teclado para moverse por la consola:
- Ctrl + M: establece el foco en el panel principal (central).
- Ctrl + T: establece el foco en el nodo superior del panel de navegación. Si el foco ya estaba en ese panel, el foco se establece en el último nodo que visitó.
- Ctrl + I: establece el foco en la barra de ruta de navegación, debajo de la cinta de opciones.
- Ctrl + L: establece el foco en el campo Buscar , cuando esté disponible.
- Ctrl + D: establece el foco en el panel de detalles, cuando esté disponible.
- Alt: cambia el foco dentro y fuera de la cinta de opciones.
Mejoras generales:
- Navegación mejorada en el panel de navegación al escribir las letras de un nombre de nodo.
- La navegación por el teclado a través de la vista principal y la cinta de opciones ahora son circulares.
- La navegación por teclado en el panel de detalles ahora es circular. Para volver al objeto o panel anterior, use Ctrl + D y, a continuación, Mayús + TAB.
- Después de actualizar una vista área de trabajo, el foco se establece en el panel principal de ese área de trabajo.
- Se ha corregido un problema que permite a los lectores de pantalla anunciar los nombres de los elementos de lista.
- Se han agregado nombres accesibles para varios controles en la página que permiten a los lectores de pantalla anunciar información importante.
Cambios en el Asistente para servicios de Azure para admitir la preparación para la actualización
A partir de esta versión, use el Asistente para servicios de Azure para configurar una conexión de Configuration Manager a Upgrade Readiness. El uso del asistente simplifica la configuración del conector mediante un asistente común para los servicios de Azure relacionados.
Aunque el método para configurar la conexión ha cambiado, los requisitos previos para la conexión y cómo se usa Upgrade Readiness permanecen sin cambios.
Requisitos previos para la preparación de la actualización
Los requisitos previos para una conexión a Upgrade Readiness no se modifican con respecto a los detallados para la rama actual de Configuration Manager. Se repiten aquí para mayor comodidad:
Requisitos previos
- Para agregar la conexión, el entorno de Configuration Manager debe configurar primero un punto de conexión de servicio en un modo en línea. Al agregar la conexión a su entorno, también instalará Microsoft Monitoring Agent en la máquina que ejecuta este rol de sistema de sitio.
- Registre Configuration Manager como una herramienta de administración de "Aplicación web o API web" y obtenga el identificador de cliente de este registro.
- Cree una clave de cliente para la herramienta de administración registrada en Microsoft Entra identificador.
- En el Azure Portal, proporcione a la aplicación web registrada permiso para acceder a OMS.
Importante
Al configurar el permiso para acceder a OMS, asegúrese de elegir el rol Colaborador y asignarle permisos al grupo de recursos de la aplicación registrada.
Una vez configurados los requisitos previos, está listo para usar el Asistente para crear la conexión.
Uso del Asistente para servicios de Azure para configurar la preparación de actualización
En la consola, vaya aIntroducción> a la administración>Cloud Services>Azure Services y, a continuación, elija Configurar servicios de Azure en la pestaña Inicio de la cinta de opciones para iniciar el Asistente para servicios de Azure.
En la página Servicios de Azure , seleccione el conector upgrade readiness y, a continuación, haga clic en Siguiente.
En la página Aplicación , especifique el entorno de Azure (la versión preliminar técnica solo admite la nube pública). A continuación, haga clic en Importar para abrir la ventana Importar aplicaciones .
En la ventana Importar aplicaciones, especifique los detalles de una aplicación web que ya existe en el identificador de Microsoft Entra.
- Proporcione un nombre descriptivo para el nombre del inquilino de Microsoft Entra. A continuación, especifique el identificador de inquilino, el nombre de la aplicación, el identificador de cliente, la clave secreta para la aplicación web de Azure y el URI del identificador de aplicación.
- Haga clic en Comprobar y, si se ejecuta correctamente, haga clic en Aceptar para continuar.
En la página Configuración , especifique la suscripción, el grupo de recursos y el área de trabajo de Windows Analytics que desea usar con esta conexión a Upgrade Readiness.
Haga clic en Siguiente para ir a la página Resumen y, a continuación, complete el asistente para crear la conexión.
Nueva configuración de cliente para servicios en la nube
En esta versión, hemos agregado dos nuevas opciones de configuración de cliente a Configuration Manager. Los encontrará en la sección Cloud Services. Esta configuración le ofrece las siguientes funcionalidades:
- Controle qué Configuration Manager clientes pueden acceder a una puerta de enlace de administración en la nube configurada.
- Registre automáticamente Windows 10 clientes de Configuration Manger unidos a un dominio con Microsoft Entra identificador.
Esta nueva configuración le ayuda a realizar las funcionalidades descritas en la versión preliminar técnica de Configuration Manager 1705.
Antes de empezar
Debe haber instalado y configurado Microsoft Entra Conectar entre el Active Directory local y el inquilino de Microsoft Entra.
Si quita la conexión, los dispositivos no están sin registrar, pero no se registrarán nuevos dispositivos.
¡Pruébelo!
- Configure las siguientes opciones de cliente (que se encuentran en la sección Cloud Services) con la información de Configuración del cliente.
- Registrar automáticamente nuevos dispositivos unidos a Windows 10 dominio con Microsoft Entra id. : establezca en Sí (valor predeterminado) o En No.
- Permitir que los clientes usen una puerta de enlace de administración en la nube : establezca en Sí (valor predeterminado) o No.
- Implemente la configuración de cliente en la colección necesaria de dispositivos.
Para confirmar que el dispositivo está unido a Microsoft Entra identificador, ejecute el comando dsregcmd.exe /status en una ventana del símbolo del sistema. El campo AzureAdjoined de los resultados mostrará SÍ si el dispositivo está Microsoft Entra unido.
Creación y ejecución de scripts de PowerShell desde la consola de Configuration Manager
En Configuration Manager, puede implementar scripts en dispositivos cliente mediante paquetes y programas. En esta versión preliminar técnica, hemos agregado una nueva funcionalidad que le permite realizar las siguientes acciones:
- Importación de scripts de PowerShell a Configuration Manager
- Editar los scripts desde la consola de Configuration Manager (solo para scripts sin signo)
- Marcar scripts como Aprobados o Denegados, para mejorar la seguridad
- Ejecute scripts en colecciones de equipos cliente windows y equipos Windows administrados localmente. En su lugar, no implementa scripts, sino que se ejecutan casi en tiempo real en dispositivos cliente.
- Examine los resultados devueltos por el script en la consola de Configuration Manager.
Requisitos previos
Para utilizar scripts, debe ser miembro del rol de seguridad de Configuration Manager adecuado.
- Para importar y crear scripts: su cuenta debe tener permisos de creación para scripts SMS en el rol de seguridad Administrador completo .
- Para aprobar o denegar scripts: la cuenta debe tener permisos de aprobación para scripts SMS en el rol de seguridad Administrador completo .
- Para ejecutar scripts : la cuenta debe tener permisos ejecutar script para colecciones en el rol de seguridad Administrador de configuración de cumplimiento.
Para obtener más información sobre Configuration Manager roles de seguridad, vea Aspectos básicos de la administración basada en roles.
De forma predeterminada, los usuarios no pueden aprobar un script que hayan creado. Dado que los scripts son eficaces, versátiles y se pueden implementar en muchos dispositivos, hemos introducido un nuevo concepto de proporcionar la capacidad de separar los roles entre la persona que crea el script y la persona que aprueba el script. Esto proporciona un nivel adicional de seguridad frente a la ejecución de un script sin supervisión. Puede desactivar esta aprobación secundaria para facilitar las pruebas, especialmente durante la versión technical preview.
Para permitir que los usuarios aprueben sus propios scripts:
- En la consola de Configuration Manager, haga clic en Administración.
- En el área de trabajo Administración , expanda Configuración del sitioy, a continuación, haga clic en Sitios.
- En la lista de sitios, elija el sitio y, a continuación, en la pestaña Inicio , en el grupo Sitios , haga clic en Configuración de jerarquía.
- En la pestaña General del cuadro de diálogo Propiedades de configuración de jerarquía, desactive la casilla No permitir que los autores de scripts aprueben sus propios scripts.
¡Pruébelo!
Importación y edición de un script
- En la consola de Configuration Manager, haga clic en Biblioteca de software.
- En el área de trabajo Biblioteca de software , haga clic en Scripts.
- En la pestaña Inicio , en el grupo Crear , haga clic en Crear script.
- En la página Script del Asistente para crear scripts , configure lo siguiente:
- Nombre del script : escriba un nombre para el script. Aunque puede crear varios scripts con el mismo nombre, esto dificultará la búsqueda del script que necesita en la consola de Configuration Manager.
- Lenguaje de script : actualmente, solo se admiten scripts de PowerShell .
- Importar : importe un script de PowerShell en la consola. El script se muestra en el campo Script .
- Borrar : quita el script actual del campo Script .
- Script : muestra el script importado actualmente. Puede editar el script en este campo según sea necesario.
- Complete el asistente. El nuevo script se muestra en la lista Script con el estado Esperando aprobación. Para poder ejecutar este script en dispositivos cliente, debe aprobarlo.
Aprobar o denegar un script
Para poder ejecutar un script, debe aprobarse. Para aprobar un script:
- En la consola de Configuration Manager, haga clic en Biblioteca de software.
- En el área de trabajo Biblioteca de software , haga clic en Scripts.
- En la lista Script , elija el script que desea aprobar o denegar y, a continuación, en la pestaña Inicio , en el grupo Script , haga clic en Aprobar o denegar.
- En el cuadro de diálogo Aprobar o denegar script , Apruebe o Deniegue el script y, opcionalmente, escriba un comentario sobre su decisión. Si deniega un script, no se puede ejecutar en dispositivos cliente.
- Complete el asistente. En la lista Script , verá que la columna Estado de aprobación cambia en función de la acción que haya realizado.
Ejecutar un script
Una vez aprobado un script, se puede ejecutar en una colección que elija.
- En la consola de Configuration Manager, haga clic en Activos y compatibilidad.
- En el área de trabajo Activos y compatibilidad , haga clic en Recopilaciones de dispositivos.
- En la lista Recopilaciones de dispositivos, haga clic en la colección de dispositivos en los que desea ejecutar el script.
- En la pestaña Inicio , en el grupo Todos los sistemas , haga clic en Ejecutar script.
- En la página Script del Asistente para ejecutar script , elija un script de la lista. Solo se muestran los scripts aprobados. Haga clic en Siguiente y, a continuación, complete el asistente.
Supervisión de un script
Después de ejecutar un script en los dispositivos cliente, use este procedimiento para supervisar el éxito de la operación.
- En la consola de Configuration Manager, haga clic en Supervisión.
- En el área de trabajo Supervisión , haga clic en Resultados de script.
- En la lista Resultados del script , verá los resultados de cada script que ejecutó en los dispositivos cliente. Un código de salida de script de 0, generalmente indica que el script se ejecutó correctamente.
Compatibilidad con el arranque de red PXE para IPv6
Ahora puede habilitar la compatibilidad de arranque de red PXE para IPv6 para iniciar una implementación del sistema operativo de secuencia de tareas. Cuando se usa esta configuración, los puntos de distribución habilitados para PXE admitirán IPv4 e IPv6. Esta opción no requiere WDS y detendrá WDS si está presente.
Para habilitar la compatibilidad con el arranque PXE para IPv6
Use el procedimiento siguiente para habilitar la opción de compatibilidad con IPv6 para PXE.
- En la consola de Configuration Manager, vaya aPuntos de distribuciónde información general> de administración> y haga clic en Propiedades para los puntos de distribución habilitados para PXE.
- En la pestaña PXE , seleccione Support IPv6 (Compatibilidad con IPv6 ) para habilitar la compatibilidad con IPv6 para PXE.
Administración de actualizaciones de controladores de Microsoft Surface
Ahora puedes usar Configuration Manager para administrar las actualizaciones de controladores de Microsoft Surface.
Requisitos previos
Todos los puntos de actualización de software deben ejecutarse Windows Server 2016.
¡Pruébelo!
Intente completar las siguientes tareas y, a continuación, envíenos comentarios desde la pestaña Inicio de la cinta de opciones para que sepamos cómo ha funcionado:
- Habilita la sincronización de controladores de Microsoft Surface. Usa el procedimiento configurar la clasificación y los productos y selecciona Incluir controladores y actualizaciones de firmware de Microsoft Surface en la pestaña Clasificaciones para habilitar los controladores surface.
- Sincronice los controladores de Microsoft Surface.
- Implementación de controladores de Microsoft Surface sincronizados
Configuración de directivas de aplazamiento de Windows Update para empresas
Ahora puede configurar directivas de aplazamiento para Windows 10 Novedades de características o Novedades de calidad para Windows 10 dispositivos administrados directamente por Windows Update for Business. Puede administrar las directivas de aplazamiento en el nuevo nodo Windows Update para directivas empresariales en Biblioteca> de software Windows 10 Mantenimiento.
Requisitos previos
Windows 10 dispositivos administrados por Windows Update para empresas deben tener conectividad a Internet.
Para crear una directiva de aplazamiento de Windows Update para empresas
- En biblioteca> de software Windows 10 mantenimiento>Windows Update directivas para empresas
- En la pestaña Inicio, en el grupo Crear, seleccione Crear Windows Update para directivas empresariales para abrir el Asistente para crear Windows Update para directivas empresariales.
- En la página General , proporcione un nombre y una descripción para la directiva.
- En la página Directivas de aplazamiento, configure si se va a aplazar o pausar la Novedades de características.
Las Novedades de características suelen ser características nuevas para Windows. Después de configurar la configuración nivel de preparación de rama, puede definir si, y durante cuánto tiempo, desea aplazar la recepción de Novedades de características después de su disponibilidad de Microsoft.- Nivel de preparación de rama: establezca la rama para la que el dispositivo recibirá actualizaciones de Windows (Rama actual o Rama actual para empresas).
- Período de aplazamiento (días): especifique el número de días para los que se aplazará la Novedades de características. Puede aplazar la recepción de estos Novedades de características durante un período de 180 días desde su lanzamiento.
- Pausar características Novedades inicio: seleccione si quiere pausar que los dispositivos reciban Novedades de características durante un período de hasta 60 días a partir del momento en que pausa las actualizaciones. Una vez transcurridos los días máximos, la funcionalidad de pausa expirará automáticamente y el dispositivo examinará windows Novedades en busca de actualizaciones aplicables. Luego de este escaneo, puede volver a pausar las actualizaciones. Puede desactivar la característica Novedades desactivando la casilla .
- Elija si desea aplazar o pausar la Novedades de calidad.
Los Novedades de calidad suelen ser correcciones y mejoras en la funcionalidad existente de Windows y normalmente se publican el primer martes de cada mes, aunque Microsoft puede publicarla en cualquier momento. Puede definir si, y durante cuánto tiempo, desea aplazar la recepción de Novedades de calidad después de su disponibilidad.- Período de aplazamiento (días): especifique el número de días para los que se aplazará la Novedades de características. Puede aplazar la recepción de estos Novedades de características durante un período de 180 días desde su lanzamiento.
- Pausar la calidad Novedades inicio: seleccione si quiere pausar la recepción de Novedades de calidad de los dispositivos durante un período de hasta 35 días a partir del momento en que pausa las actualizaciones. Una vez transcurridos los días máximos, la funcionalidad de pausa expirará automáticamente y el dispositivo examinará windows Novedades en busca de actualizaciones aplicables. Luego de este escaneo, puede volver a pausar las actualizaciones. Puede desactivar la Novedades de calidad desactivando la casilla .
- Seleccione Instalar actualizaciones de otros productos de Microsoft para habilitar la configuración de directiva de grupo que hace que la configuración de aplazamiento sea aplicable a Microsoft Update, así como a Windows Novedades.
- Seleccione Incluir controladores con Windows Update para actualizar automáticamente los controladores de Windows Novedades. Si desactiva esta configuración, las actualizaciones de controladores no se descargan de Windows Novedades.
- Complete el asistente para crear la nueva directiva de aplazamiento.
Para implementar una directiva de aplazamiento de Windows Update para empresas
- En biblioteca> de software Windows 10 mantenimiento>Windows Update directivas para empresas
- En la pestaña Inicio, en el grupo Implementación, seleccione Implementar Windows Update para directiva empresarial.
- Configure las siguientes opciones:
- Directiva de configuración que se va a implementar: seleccione la directiva de Windows Update para empresas que desea implementar.
- Colección: haga clic en Examinar para seleccionar la colección donde desea implementar la directiva.
- Corregir reglas no compatibles cuando se admitan: seleccione esta opción para corregir automáticamente las reglas que no son compatibles con instrumental de administración de Windows (WMI), el registro, los scripts y toda la configuración de los dispositivos móviles inscritos por Configuration Manager.
- Permitir corrección fuera de la ventana de mantenimiento: si se ha configurado una ventana de mantenimiento para la recopilación en la que va a implementar la directiva, habilite esta opción para permitir que la configuración de cumplimiento corrija el valor fuera de la ventana de mantenimiento. Para obtener más información sobre las ventanas de mantenimiento, vea Uso de ventanas de mantenimiento.
- Generar una alerta: configura una alerta que se genera si el cumplimiento de la línea base de configuración es menor que un porcentaje especificado por una fecha y hora especificadas. También puede especificar si desea que se envíe una alerta a System Center Operations Manager.
- Retraso aleatorio (horas): especifica una ventana de retraso para evitar un procesamiento excesivo en el servicio de inscripción de dispositivos de red. El valor predeterminado es 64 horas.
- Programación: especifique la programación de evaluación de cumplimiento por la que se evalúa el perfil implementado en los equipos cliente. La programación puede ser simple o personalizada. Los equipos cliente evalúan el perfil cuando el usuario inicia sesión.
- Complete el asistente para implementar el perfil.
Compatibilidad con entidades de certificación de Entrust
Configuration Manager ahora admite entidades de certificación de encomienda; esto permite la entrega de certificados PFX a los dispositivos inscritos en Microsoft Intune.
Puede configurar Entrust como entidad de certificación al agregar un rol de punto de registro de certificado en Configuration Manager. Al agregar un nuevo perfil de certificado que emite certificados PFX, puede seleccionar una entidad de certificación Microsoft o Entrust.
Problema conocido: en la versión preliminar técnica 1706, los certificados PFX no se emiten para las entidades de certificación de Microsoft. Esto no afecta a los certificados PFX importados ni a los perfiles SCEP.
Compatibilidad de Cisco (IPsec) con perfiles de VPN de iOS
Puede crear un perfil de VPN de iOS con Cisco (IPsec) como tipo de conexión. Para obtener más información, consulte Creación de perfiles de VPN.
Nueva configuración del elemento de configuración de Windows
En esta versión, hemos agregado las siguientes opciones nuevas que puede usar en los elementos de configuración de Windows:
Password
- Cifrado de dispositivos
Dispositivo
- Modificación de la configuración de la región (solo escritorio)
- Modificación de la configuración de encendido y suspensión
- Modificación de la configuración de idioma
- Modificación de la hora del sistema
- Modificación del nombre del dispositivo
Tienda
- Actualización automática de aplicaciones desde la tienda
- Uso solo de la tienda privada
- Inicio de la aplicación originada en la Tienda
Microsoft Edge
- Bloquear el acceso a about:flags
- Invalidación del símbolo del sistema de SmartScreen
- Invalidación del símbolo del sistema de SmartScreen para archivos
- Dirección IP del host local de WebRTC
- Motor de búsqueda predeterminado
- OpenSearch XML URL
- Páginas principales (solo escritorio)
Para obtener más información sobre la configuración de cumplimiento, consulte Garantizar el cumplimiento de dispositivos.
Nuevas reglas de directiva de cumplimiento de dispositivos
Tipo de contraseña requerido. Especifique si el usuario debe crear una contraseña alfanumérica o una contraseña numérica. En el caso de las contraseñas alfanuméricas, también se especifica el número mínimo de conjuntos de caracteres que debe tener la contraseña. Los cuatro conjuntos de caracteres son: minúsculas, letras mayúsculas, símbolos y números.
Compatible con:
- Windows Phone 8+
- Windows 8.1+
- iOS 6+
Bloquee la depuración USB en el dispositivo. No es necesario configurar esta configuración, ya que la depuración USB ya está deshabilitada en dispositivos Android for Work.
Compatible con:
- Android 4.0+
- Samsung KNOX Standard 4.0+
Bloquear aplicaciones de orígenes desconocidos. Requerir que los dispositivos impidan la instalación de aplicaciones desde orígenes desconocidos. No es necesario configurar esta opción, ya que los dispositivos Android for Work siempre restringen la instalación desde orígenes desconocidos.
Compatible con:
- Android 4.0+
- Samsung KNOX Standard 4.0+
Requerir examen de amenazas en aplicaciones. Esta configuración especifica que la característica Comprobar aplicaciones está habilitada en el dispositivo.
Compatible con:
- Android 4.2 a 4.4
- Samsung KNOX Standard 4.0+
Nueva configuración de directiva de administración de aplicaciones móviles
A partir de esta versión, puede usar tres nuevas configuraciones de directiva de administración de aplicaciones móviles (MAM):
Captura de pantalla de bloqueo (solo dispositivos Android): Especifica que las funcionalidades de captura de pantalla del dispositivo se bloquean al usar esta aplicación.
Deshabilitar la sincronización de contactos: Impide que la aplicación guarde datos en la aplicación contactos nativa del dispositivo.
Deshabilitar impresión: Impide que la aplicación imprima datos profesionales o educativos.
Restricciones de inscripción de Android e iOS
A partir de esta versión, los administradores ahora pueden especificar que los usuarios no puedan inscribir dispositivos Android o iOS personales en su entorno híbrido. Esto le permite limitar los dispositivos inscritos a dispositivos declarados previamente, propiedad de la empresa o dispositivos iOS inscritos solo con el Programa de inscripción de dispositivos.
Pruébelo
- En la consola de Configuration Manager del área de trabajo Administración, vaya a Cloud Services>Microsoft Intune Suscripción.
- En la pestaña Inicio del grupo Suscripción , elija Configurar plataformas y, a continuación, seleccione Android o iOS.
- Seleccione Bloquear dispositivos de propiedad personal.
Directiva de administración de aplicaciones de Android for Work para copiar y pegar
Hemos actualizado las descripciones de configuración de los elementos de configuración de Android for Work para permitir el uso compartido de datos entre el perfil personal y el trabajo.
Antes de 1706 Technical Preview | Nuevo nombre de opción | Comportamiento |
---|---|---|
Impedir el uso compartido entre límites | Restricciones de uso compartido predeterminadas | Trabajo a personal: predeterminado (se espera que se bloquee en todas las versiones) Personal-to-work: predeterminado (permitido en 6.x+, bloqueado en 5.x) |
Sin restricciones | Las aplicaciones del perfil personal pueden controlar las solicitudes de uso compartido desde el perfil de trabajo | Trabajo a personal: permitido Personal-to-work: Permitido |
Las aplicaciones en el perfil de trabajo pueden controlar las solicitudes de uso compartido desde el perfil personal | Las aplicaciones en el perfil de trabajo pueden controlar las solicitudes de uso compartido desde el perfil personal | Trabajo a personal: predeterminado Personal-to-work: Permitido (Solo es útil en la versión 5.x en la que se bloquea el trabajo personal) |
Ninguna de estas opciones impide directamente el comportamiento de copiar y pegar. Agregamos una configuración personalizada al servicio y Portal de empresa aplicación en 1704 que se puede configurar para evitar copiar y pegar. Esto se puede establecer a través de un URI personalizado.
- OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
- Tipo de valor: Boolean
Al establecer DisallowCrossProfileCopyPaste en true, se evita el comportamiento de copiar y pegar entre perfiles personales y de trabajo de Android for Work.
Pruébelo
- En la consola de Configuration Manager, seleccione Activos einformación general> decumplimiento> Configuraciónde configuración>.
- Elija Crear para crear un nuevo elemento de configuración y especifique Nombre y Android for Work.
- En los grupos de configuración de dispositivos que se van a configurar, seleccione Perfil de trabajo y elija Siguiente.
- Seleccione el valor Permitir el uso compartido de datos entre perfiles profesionales y personales y, a continuación, complete el asistente.
Evaluación de atestación de estado del dispositivo para directivas de cumplimiento para el acceso condicional
A partir de esta versión, puede usar el estado de atestación de estado de dispositivo como regla de directiva de cumplimiento para el acceso condicional a los recursos de la empresa.
Pruébelo
Seleccione una regla de atestación de estado del dispositivo como parte de una evaluación de directivas de cumplimiento.