バージョン 1706 のConfiguration Managerの新機能

Configuration Manager (現在のブランチ) に適用

Configuration Manager現在のブランチの更新プログラム 1706 は、バージョン 1606、1610、または 1702 を実行する以前にインストールされたサイトのコンソール内更新プログラムとして使用できます。

ヒント

新しいサイトをインストールするには、Configuration Managerのベースライン バージョンを使用する必要があります。

次の詳細情報をご確認ください:

• 新しいサイトのインストール
• サイトでの更新プログラムのインストール
• ベースラインと更新プログラムのバージョン

以降のセクションでは、バージョン 1706 のConfiguration Managerで導入された変更と新機能について詳しく説明します。

サイト インフラストラクチャ

Windows 10と Microsoft 365 の高速インストール ファイルに対するクライアント ピア キャッシュのサポート

このリリース以降、ピア キャッシュでは、Windows 10のコンテンツ 高速インストール ファイルと Microsoft 365 の更新ファイルの配布がサポートされています。 この変更をサポートするために他の構成は必要ありません。

データ ウェアハウスの更新

データ ウェアハウスはプレリリース機能ではなくなりました。 また、SQL Server Always On可用性グループとフェールオーバー クラスター インスタンスでのデータベースのサポートを含むように、前提条件を更新しました。 詳細については、「Data Warehouse サービス ポイント」を参照してください。

アクセシビリティの改善点

Configuration Manager コンソールのアクセシビリティにさらに改善が加えられた。 詳細については、「 アクセシビリティ機能」を参照してください。

SQL Server Always On可用性グループの機能強化

このリリースでは、Configuration Managerで使用するSQL Server Always On可用性グループで非同期コミット レプリカを使用できるようになりました。 つまり、可用性グループにレプリカを追加してオフサイト (リモート) バックアップとして使用し、ディザスター リカバリーシナリオで使用できます。

• Configuration Managerでは、非同期コミット レプリカを使用して同期レプリカを復旧できます。 これを行う方法については、「バックアップと回復」トピックの 「サイト データベースの回復オプション 」を参照してください。
• このリリースでは、サイト データベースとして非同期コミット レプリカを使用するためのフェールオーバーはサポートされていません。 詳細については、「 可用性グループを使用するための準備」を参照してください。

更新のリセット ツール

バージョン 1706 以降、Configuration Manager プライマリ サイトと中央管理サイトには、Configuration Manager Update Reset Tool CMUpdateReset.exeが含まれています。 このツールは、サポートされている現在のブランチの任意のバージョンで使用して、コンソール内の更新プログラムのダウンロードまたはレプリケートに問題がある場合の問題を解決します。 詳細については、「 リセット ツールの更新」を参照してください。

高 DPI コンソールのサポート

このリリースでは、高 DPI デバイス (Surface ブックなど) で表示するときに、Configuration Managerコンソールが UI のさまざまな部分をスケーリングして表示する方法に関する問題を修正する必要があります。

ソフトウェアの更新ポイントの境界グループの改善

このリリースには、ソフトウェアの更新ポイントが境界グループと連携する方法の機能強化が含まれています。 新しいフォールバック動作の概要を次に示します。

• ソフトウェア更新ポイントのフォールバックで、近隣境界グループへのフォールバックに構成可能な時間が使用されるようになりました。
• フォールバック構成とは無関係に、クライアントは 120 分間使用した最後のソフトウェア更新ポイントに到達しようとします。 そのサーバーに 120 分間到達できなかった後、クライアントは使用可能なソフトウェア更新ポイントのプールを確認して、新しい更新ポイントを見つけることができます。
• 元のサーバーに 2 時間到達できなかった後、クライアントは新しいソフトウェアの更新ポイントに接続するための短いサイクルに切り替えます。 つまり、クライアントが新しいサーバーとの接続に失敗した場合は、使用可能なサーバーのプールから次のサーバーをすばやく選択し、そのサーバーへの接続を試みます。

詳細については、「Current Branch の境界グループ」トピックの 「ソフトウェアの更新ポイント 」を参照してください。

Azure AD と Configuration Manager の統合

このリリースでは、Configuration Managerと Azure Active Directory (Azure AD) の統合が強化されました。 これらの機能強化により、Configuration Managerで使用する Azure サービスを構成する方法が合理化され、Azure AD を介して認証するクライアントとユーザーを管理するのに役立ちます。

強化された統合により、次の機能が可能になります。

• Azure Services ウィザード – このウィザードは、個々のワークフローを置き換えて、使用する次の Azure サービスをConfiguration Managerに設定する一般的な構成エクスペリエンスを提供します。

  • クラウド管理 Azure Active Directory (Azure AD) を使用してクライアントの認証を有効にします。 Azure AD ユーザー検出を構成することもできます。
  • Log Analytics コネクタ Azure Log Analytics に接続し、収集データを同期します。
  • アップグレードの準備 Upgrade Readiness に接続し、クライアントのアップグレード互換性データを表示します。
  • ビジネス向け Windows ストアWindows ストア for Business のオンライン ストアに接続し、Configuration Managerで展開できるorganization用のアプリを取得します。

  これを行うには、Azure サーバー Web アプリを使用して、Azure で新しいConfiguration Manager コンポーネントまたはサービスを設定するたびに入力するサブスクリプションと構成の詳細を指定します。 詳細については、「 Azure サービス ウィザード」を参照してください。

• Azure AD を使用して、インターネット上のクライアントを認証し、Configuration Manager サイトにアクセスします。 Azure AD は、クライアント認証証明書を構成して使用する必要性に代わるものになります。 これには、クラウド管理ゲートウェイ サイト システムの役割が必要です。 詳細については、「認証に Azure AD を使用してインターネットからConfiguration Manager クライアントをインストールして割り当てる」を参照してください。

• インターネット上にあるコンピューターにConfiguration Manager クライアントをインストールして管理します。 これには、クラウド管理ゲートウェイ サイト システムの役割を使用する必要があります。 詳細については、「認証に Azure AD を使用してインターネットからConfiguration Manager クライアントをインストールして割り当てる」を参照してください。

• Azure AD ユーザー検出を構成します。 Azure Services ウィザードを使用して、この新しい検出方法を構成します。 この新しいメソッドは、Azure AD に対してユーザー データを照会し、一緒に従来の検出データを使用できます。 完全同期と差分同期の両方がサポートされています。 詳細については、「 Azure AD ユーザー検出」を参照してください。

ピア キャッシュの機能強化

ピア キャッシュは、ネットワーク アクセス アカウントを使用してピアからのダウンロード要求を認証しなくなりました。 アカウントがクライアントによって必要なままである場合、これには 1 つの注意点があります。 これは、WinPE に起動し、ピア キャッシュ ソースからコンテンツにアクセスするクライアントの要件のままです。 詳細については、「 ピア キャッシュの要件と考慮事項」を参照してください。

コンプライアンス設定

Configuration Manager クライアントで管理されていないWindows 10デバイスの新しい構成設定

このリリースでは、Intune に登録されているか、Configuration Managerによってオンプレミスで管理されているWindows 10デバイスの新しい構成項目設定を追加しました。 設定は次のとおりです。

• Password
  • デバイスの暗号化
• デバイス
  • リージョン設定の変更 (デスクトップのみ)
  • 電源とスリープの設定の変更
  • 言語設定の変更
  • システム時刻の変更
  • デバイス名の変更
• Store
  • ストアからアプリを自動更新する
  • プライベート ストアのみを使用する
  • ストアが開始したアプリの起動
• Microsoft Edge
  • about:flags へのアクセスをブロックする
  • SmartScreen プロンプトのオーバーライド
  • ファイルの SmartScreen プロンプトのオーバーライド
  • WebRTC localhost IP アドレス
  • 既定の検索エンジン
  • OpenSearch XML URL
  • ホームページ (デスクトップのみ)

すべてのWindows 10設定の詳細については、「Configuration Manager クライアントなしで管理されているWindows 8.1デバイスとWindows 10 デバイスの構成項目を作成する方法」を参照してください。

新しいデバイス コンプライアンス ポリシールール

• 必須のパスワードの種類。 ユーザーが英数字パスワードまたは数値パスワードを作成する必要があるかどうかを指定します。 英数字パスワードの場合は、パスワードに必要な文字セットの最小数も指定します。 4 つの文字セットは、小文字、大文字、記号、数字です。

  サポート対象:

  • Windows Phone 8 以降
  • Windows 8.1+
  • iOS 6 以上
    
    

• デバイスでの USB デバッグをブロックします。 Android for Work デバイスで USB デバッグが既に無効になっているので、この設定を構成する必要はありません。

  サポート対象:

  • Android 4.0 以降
  • Samsung KNOX Standard 4.0 以降
    
    

• 不明なソースからのアプリをブロックします。 不明なソースからのアプリのインストールをデバイスで禁止する必要があります。 Android for Work デバイスでは、不明なソースからのインストールが常に制限されるため、この設定を構成する必要はありません。

  サポート対象:

  • Android 4.0 以降
  • Samsung KNOX Standard 4.0 以降
    
    

• アプリで脅威スキャンを要求する。 この設定では、デバイスで [アプリの確認] 機能が有効になっていることを指定します。

  サポート対象:

  • Android 4.2 から 4.4
  • Samsung KNOX Standard 4.0 以降

アプリケーション管理

Configuration Manager コンソールから PowerShell スクリプトを実行する

Configuration Managerでは、パッケージとプログラムを使用してクライアント デバイスにスクリプトを展開できます。 このリリースでは、次のアクションを実行できる新しい機能が追加されました。

• PowerShell スクリプトをConfiguration Managerにインポートする
• Configuration Manager コンソールからスクリプトを編集します (署名されていないスクリプトの場合のみ)
• セキュリティを向上させるために、スクリプトを承認済みまたは拒否済みとしてマークする
• Windows クライアント PC とオンプレミスのマネージド Windows PC のコレクションでスクリプトを実行します。 スクリプトはデプロイしません。代わりに、クライアント デバイスでほぼリアルタイムで実行されます。
• Configuration Manager コンソールでスクリプトによって返された結果を調べます。

詳細については、「Configuration Manager コンソールから PowerShell スクリプトを作成して実行する」を参照してください。

新しいモバイル アプリケーション管理ポリシー設定

このリリース以降、次の 3 つの新しいモバイル アプリケーション管理 (MAM) ポリシー設定を使用できます。

• 画面キャプチャをブロックする (Android デバイスのみ): このアプリを使用するときに、デバイスの画面キャプチャ機能がブロックされることを指定します。

オペレーティング システムの展開

ハードウェア インベントリによってセキュア ブート情報が収集される

ハードウェア インベントリでは、クライアントでセキュア ブートが有効になっているかどうかに関する情報が収集されるようになりました。 この情報は 、( バージョン 1702 で導入された) SMS_Firmware クラスに格納され、既定でハードウェア インベントリで有効になっています。 ハードウェア インベントリの詳細については、「ハードウェア インベントリを構成する方法」を参照してください。

折りたたみ可能なタスク シーケンス グループ

このバージョンでは、タスク シーケンス グループを展開および折りたたみる機能が導入されています。 個々のグループを展開または折りたたみ、またはすべてのグループを一度に展開または折りたたむことができます。

現在の Windows PE バージョンでブート イメージを再読み込みする

選択したブート イメージで [配布ポイントの更新] を実行すると、ブート イメージ内の (Windows ADK インストール ディレクトリから) 最新バージョンの Windows PE を再読み込みできるようになりました。 詳細については、「 ブート イメージを使用して配布ポイントを更新する」を参照してください。

ソフトウェア更新プログラム

Express Update のダウンロード時間の改善

このリリースでは、Express 更新のダウンロード時間が短縮されました。 詳細については、「Windows 10更新プログラムの高速インストール ファイルを管理する」を参照してください。

Microsoft Surface ドライバーの更新プログラムを管理する

Configuration Managerを使用して Microsoft Surface ドライバーの更新プログラムを管理できるようになりました。

前提条件

• すべてのソフトウェア更新ポイントは、Windows Server 2016実行する必要があります。
• これはプレリリース機能であり、これを有効にするにはオンにする必要があります。 詳細については、「 更新プログラムのプレリリース機能を使用する」を参照してください。

Surface ドライバーの更新プログラムを管理するには

1. Microsoft Surface ドライバーの同期を有効にします。 「分類と製品の構成」の手順を使用し、[分類] タブの [Microsoft Surface ドライバーとファームウェアの更新プログラムを含める] チェック ボックスをオンにして、Surface ドライバーを有効にします。
2. Microsoft Surface ドライバーを同期します。
3. 同期された Microsoft Surface ドライバーを展開する

ビジネス遅延ポリシーのWindows Updateを構成する

Windows Update for Business によって直接管理されるWindows 10 デバイスのWindows 10機能更新または品質更新の遅延ポリシーを構成できるようになりました。 [ソフトウェア ライブラリ>]、[サービス] の下の [ビジネス ポリシーの新しいWindows Update] ノードでWindows 10遅延ポリシーを管理できます。

詳細については、「Windows 10での Windows Update for Business との統合」を参照してください。

Microsoft 365 更新プログラムのユーザー通知の改善

クライアントが Microsoft 365 更新プログラムをインストールするときに Office クイック実行ユーザー エクスペリエンスを適用するための機能強化が行われました。 これには、ポップアップ通知とアプリ内通知、カウントダウン エクスペリエンスが含まれます。 詳細については、「Microsoft 365 更新プログラムの再起動動作とクライアント通知」を参照してください。

Reporting

Configuration Managerで Windows Analytics を使用する

Windows Analytics は、環境の現在の状態に関する分析情報を形成できる一連のソリューションです。 環境内のデバイスは、Windows テレメトリ データを報告します。 データには、Azure portalを介してアクセスできます。 アップグレード準備の場合、データはConfiguration Manager コンソールの監視ノードで直接使用できます。

モバイル デバイス管理

Android for Work 共有構成への更新

このリリースでは、[仕事用プロファイル設定] グループの [仕事用プロファイルと個人用プロファイル間のデータ共有を許可する] 設定の値が更新されました。 また、仕事用プロファイルと個人用プロファイル間のコピー 貼り付けをブロックするカスタム設定も追加しました。

Android と iOS の登録の制限

このリリースでは、ユーザーが個人の Android または iOS デバイスを登録できないことを指定できるようになりました。 新しいデバイス制限設定を使用すると、Android デバイスの登録を事前宣言されたデバイスに制限できます。 iOS デバイスの場合は、Apple のデバイス登録プログラム、Apple Configurator、または Intune デバイス登録マネージャー アカウントに登録されているデバイスを除くすべてのデバイスの登録をブロックできます。

デバイスを保護する

Device Guard ポリシーに特定のファイルとフォルダーの信頼を含める

このリリースでは、Device Guard ポリシー管理にさらに機能を追加しました。

必要に応じて、Device Guard ポリシー内のフォルダーの特定のファイルに対する信頼を追加できるようになりました。 これにより、次のことができます。

• マネージド インストーラーの動作に関する問題を解決する
• Configuration Managerで展開できない基幹業務アプリを信頼する
• オペレーティング システムの展開イメージに含まれる信頼アプリ

詳細については、「Configuration Managerを使用した Device Guard 管理」を参照してください。