Delen via

Mogelijkheden in Technical Preview 1706 voor Configuration Manager

  • Artikel

Van toepassing op: Configuration Manager (technical preview-vertakking)

In dit artikel worden de functies geïntroduceerd die beschikbaar zijn in de Technical Preview voor Configuration Manager versie 1706. U kunt deze versie installeren om uw Configuration Manager technical preview-site bij te werken en nieuwe mogelijkheden toe te voegen. Voordat u deze versie van de technical preview installeert, raadpleegt u Technical Preview voor Configuration Manager om vertrouwd te raken met de algemene vereisten en beperkingen voor het gebruik van een technical preview, het bijwerken tussen versies en het geven van feedback over de functies in een technical preview.

Bekende problemen in deze Technical Preview:

  • Distributiepunt verplaatsen : de opties in de console voor het verplaatsen van een distributiepunt tussen sites kunnen niet worden gebruikt met deze release vanwege de limiet voor de technische preview van één primaire site.

  • Instellingen voor apparaatnaleving : mogelijk ondervindt u tegenovergestelde gedrag bij het gebruik van de twee nieuwe instellingen voor apparaatnaleving:

    • USB-foutopsporing op apparaat blokkeren

    • Apps van onbekende bronnen blokkeren

      Als beheerders bijvoorbeeld USB-foutopsporing blokkeren op het apparaat instellen op true, worden alle apparaten waarop USB-foutopsporing niet is ingeschakeld gemarkeerd als niet-compatibel.

Hier volgen nieuwe functies die u kunt uitproberen met deze versie.

Verbeterde grensgroepen voor software-updatepunten

Deze release bevat verbeteringen voor de werking van software-updatepunten met grensgroepen. Hieronder ziet u een overzicht van het nieuwe terugvalgedrag:

  • Terugval voor software-updatepunten gebruikt nu een configureerbare tijd voor terugval naar aangrenzende grensgroepen, met een minimale tijd van 120 minuten.

  • Onafhankelijk van de terugvalconfiguratie probeert een client het laatste software-updatepunt te bereiken dat gedurende 120 minuten is gebruikt. Nadat deze server gedurende 120 minuten niet is bereikt, controleert de client vervolgens de groep beschikbare software-updatepunten, zodat deze een nieuwe kan vinden.

    • Alle software-updatepunten in de huidige grensgroep van de client worden onmiddellijk toegevoegd aan de groep van de client.

    • Omdat een client de oorspronkelijke server gedurende 120 minuten probeert te gebruiken voordat een nieuwe server wordt gezocht, worden er geen extra servers gecontacteerd totdat na twee uur zijn verstreken.

    • Als terugval naar een buurgroep minimaal 120 minuten is geconfigureerd, maken software-updatepunten van die buurgrensgroep deel uit van de groep beschikbare servers van de client.

  • Nadat de oorspronkelijke server twee uur niet is bereikt, schakelt de client over naar een kortere cyclus om contact op te nemen met een nieuw software-updatepunt.

    Dit betekent dat als een client geen verbinding kan maken met een nieuwe server, deze snel de volgende server selecteert in de groep beschikbare servers en probeert contact op te maken met die server.

    • Deze cyclus gaat door totdat de client verbinding maakt met een software-updatepunt dat deze kan gebruiken.
    • Totdat de client een software-updatepunt vindt, worden er extra servers toegevoegd aan de groep beschikbare servers wanneer de terugvaltijd voor elke grensgroep van de buren wordt bereikt.

Zie software-updatepunten in het onderwerp Grensgroepen voor de Huidige vertakking voor meer informatie.

Hoge beschikbaarheid van siteserverfunctie

Hoge beschikbaarheid voor de siteserverfunctie is een op Configuration Manager gebaseerde oplossing voor het installeren van een extra primaire siteserver in de passieve modus. De siteserver in de passieve modus is een aanvulling op de bestaande primaire siteserver die zich in de actieve modus bevindt. Een siteserver in de passieve modus is beschikbaar voor direct gebruik, indien nodig.

Een primaire siteserver in passieve modus:

  • Gebruikt dezelfde sitedatabase als uw actieve siteserver.
  • Ontvangt een kopie van de inhoudsbibliotheek van de actieve siteservers, die vervolgens gesynchroniseerd wordt gehouden.
  • Schrijft geen gegevens naar de sitedatabase zolang deze zich in de passieve modus bevinden.
  • Biedt geen ondersteuning voor installatie of verwijdering van optionele sitesysteemrollen, zolang deze zich in de passieve modus bevindt.

Als u van de siteserver voor de passieve modus de actieve modussiteserver wilt maken, moet u deze handmatig promoveren. Hiermee wordt de actieve siteserver omgeschakeld naar de passieve siteserver. De sitesysteemrollen die beschikbaar zijn op de oorspronkelijke actieve modusserver blijven beschikbaar zolang die computer toegankelijk is. Alleen de siteserverfunctie wordt overgeschakeld tussen de actieve en passieve modus.

Als u een siteserver in de passieve modus wilt installeren, gebruikt u de wizard Sitesysteemserver maken om een nieuwe siteserver te configureren met een type primaire siteserver en een passieve modus. De wizard voert vervolgens Configuration Manager Setup uit op de opgegeven server om de nieuwe siteserver in passieve modus te installeren. Nadat de installatie is voltooid, houdt de siteserver in de actieve modus de siteserver in de passieve modus en de inhoudsbibliotheek gesynchroniseerd met wijzigingen of configuraties die u aanbrengt op de actieve siteserver.

Vereisten en beperkingen

  • Op elke primaire site wordt één siteserver in de passieve modus ondersteund.

  • De siteserver in passieve modus kan on-premises of in de cloud zijn gebaseerd in Azure.

  • Zowel de actieve modus als de passieve modus siteservers moeten zich in hetzelfde domein bevinden.

  • Zowel de siteservers in de actieve modus als de passieve modus moeten dezelfde sitedatabase gebruiken, die op afstand van de computers van elke siteserver moet staan.

    • De SQL Server die als host fungeert voor de database, kan gebruikmaken van een standaardexemplaren, een exemplaar met de naam, SQL Server exemplaar van een AlwaysOn-failovercluster of een beschikbaarheidsgroep.

    • De siteserver in de passieve modus is geconfigureerd voor het gebruik van dezelfde sitedatabase als de siteserver in de actieve modus. De siteserver in de passieve modus gebruikt deze database echter pas nadat deze is gepromoveerd naar de actieve modus.

  • De computer waarop de siteserver in de passieve modus wordt uitgevoerd:

    • Moet voldoen aan de vereisten voor het installeren van een primaire site.

    • Installeert met behulp van bronbestanden die overeenkomen met de versie van de siteserver in de actieve modus.

    • Kan geen sitesysteemrol van een site hebben voordat de passieve-modussite wordt geïnstalleerd.

  • De actieve en passieve modus siteservercomputers kunnen verschillende besturingssystemen of servicepackversies uitvoeren, zolang ze beide ondersteund blijven door uw versie van Configuration Manager.

  • De promotie van de siteserver in de passieve modus naar de actieve-modusserver is handmatig. Er is geen automatische failover.

  • Sitesysteemrollen kunnen alleen worden geïnstalleerd op de siteserver die zich in de actieve modus bevindt.

    • Een siteserver in de actieve modus ondersteunt alle sitesysteemrollen. U kunt geen sitesysteemfuncties installeren op de server wanneer deze zich in de passieve modus bevindt.

    • Sitesysteemrollen die gebruikmaken van een database (zoals het rapportagepunt), moeten die database hebben op een server die zich op afstand bevindt van zowel de siteservers in de actieve modus als de passieve modus.

    • De SMS_Provider wordt niet geïnstalleerd op de siteserver in passieve modus. Omdat u verbinding moet maken met een SMS_Provider voor de site om de siteserver in de passieve modus handmatig naar de actieve modus te promoveren, raden we u aan ten minste één extra exemplaar van de provider op een extra computer te installeren.

Bekend probleem:
In deze release wordt status voor de volgende voorwaarden weergegeven in de console als numerieke waarden in plaats van leesbare tekst:

  • 131071 : de installatie van de siteserver is mislukt
  • 720895: verwijderen van siteserverfunctie is mislukt
  • 851967: failover is mislukt

Een siteserver toevoegen in passieve modus

  1. Ga in de console naar Beheer>siteconfiguratiesites> en start de wizard Sitesysteemrollen toevoegen. U kunt ook de wizard Sitesysteemserver maken gebruiken.

  2. Geef op de pagina Algemeen de server op die als host fungeert voor de siteserver in de passieve modus. De server die u opgeeft, kan geen sitesysteemrollen hosten voordat een siteserver in passieve modus wordt geïnstalleerd.

  3. Selecteer op de pagina Systeemrolselectie alleen Primaire siteserver in passieve modus.

  4. Als u de wizard wilt voltooien, moet u de volgende informatie opgeven die wordt gebruikt om Setup uit te voeren en de siteserverfunctie op de opgegeven server te installeren:

    • Kies of u installatiebestanden wilt kopiëren van de actieve siteserver naar de nieuwe siteserver in de passieve modus of geef een pad op naar een locatie die de inhoud van de map CD.Latest van de actieve siteserver bevat.

    • Geef dezelfde sitedatabaseserver en databasenaam op die worden gebruikt door de siteserver in de actieve modus.

  5. Configuration Manager installeert vervolgens de siteserver in de passieve modus op de opgegeven server.

Ga voor een gedetailleerde installatiestatus naar Beheersiteconfiguratiesites>>.

  • De status voor de siteserver in de passieve modus wordt weergegeven als Installeren.

  • Selecteer de server en klik vervolgens op Status weergeven om de installatiestatus van de siteserver te openen voor meer gedetailleerde informatie.

De siteserver in de passieve modus promoveren naar de actieve modus

Als u de siteserver in de passieve modus wilt wijzigen in de actieve modus, doet u dit vanuit het deelvenster Knooppunten inSiteconfiguratiesites voor>beheer>. Zolang u toegang hebt tot een exemplaar van de SMS_Provider, hebt u toegang tot de site om deze wijziging aan te brengen.

  1. Selecteer in het deelvenster Knooppunten van de Configuration Manager-console de siteserver in passieve modus en kies vervolgens op het lint de optie Promoveren naar actief.

  2. De eenvoudige status voor de server die u promoot, wordt in het deelvenster Knooppunten weergegeven als Promoten.

  3. Nadat de promotie is voltooid, wordt in de kolom StatusOK weergegeven voor zowel de nieuwe siteserver in de actieve modus als voor de nieuwe siteserver voor passieve modus.

  4. InBeheersiteconfiguratiesites>> geeft de naam van de primaire siteserver nu de naam van de nieuwe siteserver in actieve modus weer. Ga voor een gedetailleerde status naar Status van siteserver bewaken>.

    • De kolom Modus geeft aan welke server Actief of Passief is.

    • Terwijl u een server promoveren van de passieve modus naar de actieve modus, selecteert u de siteserver die u promoot naar actief en kiest u vervolgens Status weergeven op het lint. Hiermee opent u het venster Promotiestatus van siteserver met aanvullende details over het proces.

Wanneer een siteserver in de actieve modus overschakelt naar de passieve modus, wordt alleen de sitesysteemrol passief gemaakt. Alle andere sitesysteemrollen die op die computer zijn geïnstalleerd, blijven actief en toegankelijk voor clients.

Dagelijkse bewaking

Wanneer u een primaire site in de passieve modus hebt, controleert u deze dagelijks om ervoor te zorgen dat deze gesynchroniseerd blijft met de siteserver in de actieve modus en klaar is voor gebruik. Ga hiervoor naar Status van siteserver bewaken>. Hier kunt u zowel de siteservers in de actieve modus als de passieve modus bekijken.

Het tabblad Samenvatting :

  • De kolom Modus geeft aan welke server Actief of Passief is.
  • In de kolom Status wordt OK weergegeven wanneer de server voor passieve modus is gesynchroniseerd met de server voor actieve modus.
  • Als u meer informatie wilt weergeven over de status van inhoudssynchronisatie, klikt u op Status van inhoudssynchronisatie weergeven . Hiermee opent u het tabblad Inhoudsbibliotheek, waar u kunt proberen problemen met inhoudssynchronisatie op te lossen.

Het tabblad Inhoudsbibliotheek :

  • Bekijk de status voor inhoud die wordt gesynchroniseerd van de actieve siteserver naar de siteserver in de passieve modus.
  • U kunt inhoud selecteren met de status Mislukt en vervolgens Geselecteerde items synchroniseren kiezen op het lint. Met deze actie wordt geprobeerd die inhoud opnieuw te synchroniseren van de bron van de inhoud naar de siteserver in de passieve modus. Tijdens het herstel wordt de status weergegeven als Wordt uitgevoerd en wanneer deze gesynchroniseerd is, wordt deze weergegeven als Geslaagd.

Probeer het uit!

Voer de volgende taken uit en stuur ons feedback vanaf het tabblad Start van het lint om ons te laten weten hoe het werkte:

  • Ik kan een primaire site in de passieve modus installeren.
  • Ik kan de console gebruiken om de siteserver in de passieve modus te promoten, zodat deze de siteserver in de actieve modus wordt en de wijziging van de status voor beide siteservers wordt bevestigd.

Vertrouwensrelatie opnemen voor specifieke bestanden en mappen in een Device Guard-beleid

In deze release hebben we meer mogelijkheden toegevoegd aan Device Guard-beleidsbeheer

U kunt nu optioneel vertrouwensrelaties toevoegen voor specifieke bestanden voor mappen in een Device Guard-beleid. Hiermee kunt u het volgende doen:

  1. Problemen met het gedrag van beheerde installatieprogramma's oplossen
  2. Line-Of-Business-apps vertrouwen die niet kunnen worden geïmplementeerd met Configuration Manager
  3. Vertrouw apps die zijn opgenomen in een installatiekopieën van een besturingssysteemimplementatie.

Probeer het uit!

  1. Terwijl u een Device Guard-beleid maakt, klikt u op het tabblad Insluitingen van de wizard Device Guard-beleid maken op Toevoegen.
  2. Geef in het dialoogvenster Vertrouwd bestand of map toevoegen informatie op over het bestand of de map die u wilt vertrouwen. U kunt een lokaal bestands- of mappad opgeven of verbinding maken met een extern apparaat waarmee u verbinding kunt maken en een bestands- of mappad op dat apparaat opgeven.
  3. Voltooi de wizard.

Takenreeksvoortgang verbergen

In deze release kunt u bepalen wanneer de voortgang van de takenreeks wordt weergegeven aan eindgebruikers met behulp van een nieuwe variabele. Gebruik in uw takenreeks de stap Takenreeksvariabele instellen om de waarde voor de TSDisableProgressUI-variabele in te stellen om de voortgang van de takenreeks te verbergen of weer te geven. U kunt de stap Takenreeksvariabele instellen meerdere keren in een takenreeks gebruiken om de waarde voor de variabele te wijzigen. Hiermee kunt u de voortgang van de takenreeks in verschillende secties van de takenreeks verbergen of weergeven.

Takenreeksvoortgang verbergen

Gebruik in de takenreekseditor de stap Takenreeksvariabele instellen om de waarde van de TSDisableProgressUI-variabele in te stellen op True om de voortgang van de takenreeks te verbergen.

De voortgang van takenreeksen weergeven

Gebruik in de takenreekseditor de stap Takenreeksvariabele instellen om de waarde van de TSDisableProgressUI-variabele in te stellen op Onwaar om de voortgang van de takenreeks weer te geven.

Een andere inhoudslocatie opgeven voor het installeren en verwijderen van inhoud

In Configuration Manager vandaag geeft u de installatielocatie op die de installatiebestanden voor een app bevat. Wanneer u een installatielocatie opgeeft, wordt deze ook gebruikt als de verwijderingslocatie voor de inhoud van de toepassing. Op basis van uw feedback, als u een geïmplementeerde toepassing wilt verwijderen en de app-inhoud zich niet op de clientcomputer bevindt, downloadt de client alle installatiebestanden van de app opnieuw voordat de toepassing wordt verwijderd. Om dit probleem op te lossen, kunt u nu zowel een locatie voor installatie-inhoud als een optionele locatie voor verwijdering van inhoud opgeven. Daarnaast kunt u ervoor kiezen om geen locatie voor het verwijderen van inhoud op te geven.

Probeer het uit!

  1. Klik in de eigenschappen van het implementatietype van een toepassing op het tabblad Inhoud .
  2. Configureer de locatie Inhoud installeren zoals normaal.
  3. Kies een van de volgende opties voor instellingen voor het verwijderen van inhoud:
    • Hetzelfde als installatie-inhoud : dezelfde inhoudslocatie wordt gebruikt, ongeacht of u de toepassing installeert of verwijdert.
    • Geen inhoud verwijderen : kies deze optie als u geen locatie voor verwijderingsinhoud voor de toepassing wilt opgeven.
    • Anders dan installatie-inhoud : kies deze optie als u een locatie voor het verwijderen van inhoud wilt opgeven die verschilt van de locatie van de installatie-inhoud.
  4. Als u Anders dan installatie-inhoud hebt geselecteerd, bladert u naar of voert u de locatie in van de toepassingsinhoud die wordt gebruikt om de toepassing te verwijderen.
  5. Klik op OK om het dialoogvenster Eigenschappen van het implementatietype te sluiten.

Toegankelijkheidsverbeteringen

Deze preview introduceert verschillende verbeteringen in de toegankelijkheidsfuncties in de Configuration Manager-console. Deze omvatten:

Nieuwe sneltoetsen om door de console te navigeren:

  • Ctrl + M : hiermee stelt u de focus in op het hoofddeelvenster (centraal).
  • Ctrl + T: hiermee stelt u de focus in op het bovenste knooppunt in het navigatiedeelvenster. Als de focus zich al in dat deelvenster bevond, wordt de focus ingesteld op het laatste knooppunt dat u hebt bezocht.
  • Ctrl + I : hiermee stelt u de focus in op de breadcrumb-balk, onder het lint.
  • Ctrl + L: hiermee stelt u de focus in op het zoekveld, indien beschikbaar.
  • Ctrl + D: hiermee stelt u de focus in op het detailvenster, indien beschikbaar.
  • Alt: hiermee wijzigt u de focus van en naar het lint.

Algemene verbeteringen:

  • Verbeterde navigatie in het navigatiedeelvenster wanneer u de letters van een knooppuntnaam typt.
  • Toetsenbordnavigatie door de hoofdweergave en het lint zijn nu rond.
  • Toetsenbordnavigatie in het detailvenster is nu circulair. Als u wilt terugkeren naar het vorige object of deelvenster, gebruikt u Ctrl + D en vervolgens Shift + TAB.
  • Nadat de werkruimteweergave is vernieuwd, wordt de focus ingesteld op het hoofdvenster van die werkruimte.
  • Er is een probleem opgelost waarbij schermlezers de namen van lijstitems kunnen aankondigen.
  • Er zijn toegankelijke namen toegevoegd voor meerdere besturingselementen op de pagina waarmee schermlezers belangrijke informatie kunnen aankondigen.

Wijzigingen in de wizard Azure-services ter ondersteuning van upgradegereedheid

Vanaf deze release gebruikt u de wizard Azure-services om een verbinding te configureren van Configuration Manager naar upgradegereedheid. Het gebruik van de wizard vereenvoudigt de configuratie van de connector door gebruik te maken van een algemene wizard voor gerelateerde Azure-services.

Hoewel de methode voor het configureren van de verbinding is gewijzigd, blijven de vereisten voor de verbinding en hoe u upgradegereedheid gebruikt, ongewijzigd.

Vereisten voor upgradegereedheid

De vereisten voor een verbinding met upgradegereedheid zijn ongewijzigd ten opzichte van de vereisten voor de Huidige vertakking van Configuration Manager. Ze worden hier voor het gemak herhaald:

Vereisten

  • Als u de verbinding wilt toevoegen, moet uw Configuration Manager-omgeving eerst een serviceverbindingspunt configureren in een onlinemodus. Wanneer u de verbinding aan uw omgeving toevoegt, wordt ook de Microsoft Monitoring Agent geïnstalleerd op de computer waarop deze sitesysteemrol wordt uitgevoerd.
  • Registreer Configuration Manager als beheerhulpprogramma voor webtoepassing en/of web-API en haal de client-id op uit deze registratie.
  • Maak een clientsleutel voor het geregistreerde beheerprogramma in Microsoft Entra-id.
  • Geef in de Azure Portal de geregistreerde web-app toestemming voor toegang tot OMS.

Belangrijk

Wanneer u machtigingen configureert voor toegang tot OMS, moet u de rol Inzender kiezen en deze machtigingen toewijzen aan de resourcegroep van de geregistreerde app.

Nadat de vereisten zijn geconfigureerd, kunt u de wizard gebruiken om de verbinding te maken.

De wizard Azure-services gebruiken om gereedheid voor upgraden te configureren

  1. Ga in de console naar Beheeroverzicht>>Cloud Services>Azure Services en kies vervolgens Azure Services configureren op het tabblad Start van het lint om de wizard Azure-services te starten.

  2. Selecteer op de pagina Azure-services de Upgrade Readiness Connector en klik vervolgens op Volgende.

  3. Geef op de pagina App uw Azure-omgeving op (de technische preview ondersteunt alleen de openbare cloud). Klik vervolgens op Importeren om het venster Apps importeren te openen .

  4. Geef in het venster Apps importeren details op voor een web-app die al bestaat in uw Microsoft Entra-id.

    • Geef een beschrijvende naam op voor de naam van de Microsoft Entra tenant. Geef vervolgens de tenant-id, toepassingsnaam, client-id, geheime sleutel voor de Azure-web-app en de app-id-URI op.
    • Klik op Controleren en klik op OK om door te gaan.

  5. Geef op de pagina Configuratie het abonnement, de resourcegroep en de Windows Analytics-werkruimte op die u wilt gebruiken voor deze verbinding voor upgradegereedheid.

  6. Klik op Volgende om naar de pagina Samenvatting te gaan en voltooi vervolgens de wizard om de verbinding te maken.

Nieuwe clientinstellingen voor cloudservices

In deze release hebben we twee nieuwe clientinstellingen toegevoegd aan Configuration Manager. U vindt deze in de sectie Cloud Services. Deze instellingen bieden u de volgende mogelijkheden:

  • Bepalen welke Configuration Manager clients toegang hebben tot een geconfigureerde cloudbeheergateway.
  • Registreer Windows 10 configuration manager-clients die lid zijn van een domein automatisch met Microsoft Entra-id.

Met deze nieuwe instellingen kunt u de mogelijkheden bereiken die worden beschreven in de Configuration Manager 1705 Technical Preview.

Voordat u van start gaat

U moet Microsoft Entra Connect tussen uw on-premises Active Directory en uw Microsoft Entra tenant hebben geïnstalleerd en geconfigureerd.

Als u de verbinding verwijdert, worden apparaten niet ongedaan gemaakt, maar worden er geen nieuwe apparaten geregistreerd.

Probeer het uit!

  1. Configureer de volgende clientinstellingen (te vinden in de sectie Cloud Services) met behulp van de informatie in Clientinstellingen configureren.
    • Registreer automatisch nieuwe Windows 10 apparaten die lid zijn van een domein met Microsoft Entra-id: ingesteld op Ja (standaard) of Nee.
    • Clients in staat stellen een cloudbeheergateway te gebruiken : stel in op Ja (standaard) of Nee.
  2. Implementeer de clientinstellingen in de vereiste verzameling apparaten.

Als u wilt controleren of het apparaat is gekoppeld aan Microsoft Entra-id, voert u de opdracht uitdsregcmd.exe /status in een opdrachtpromptvenster. In het veld AzureAdjoined in de resultaten wordt JA weergegeven als het apparaat Microsoft Entra lid is.

PowerShell-scripts maken en uitvoeren vanuit de Configuration Manager-console

In Configuration Manager kunt u scripts implementeren op clientapparaten met behulp van pakketten en programma's. In deze technical preview hebben we nieuwe functionaliteit toegevoegd waarmee u de volgende acties kunt uitvoeren:

  • PowerShell-scripts importeren in Configuration Manager
  • Bewerk de scripts vanuit de Configuration Manager-console (alleen voor niet-ondertekende scripts)
  • Scripts markeren als Goedgekeurd of Geweigerd om de beveiliging te verbeteren
  • Scripts uitvoeren op verzamelingen Windows-client-pc's en on-premises beheerde Windows-pc's. U implementeert geen scripts, maar ze worden in bijna realtime uitgevoerd op clientapparaten.
  • Bekijk de resultaten die door het script worden geretourneerd in de Configuration Manager-console.

Vereisten

Als u scripts wilt gebruiken, moet u lid zijn van de juiste Configuration Manager beveiligingsrol.

  • Als u scripts wilt importeren en schrijven, moet uw account machtigingen hebben voor sms-scripts met de beveiligingsrol Volledige beheerder .
  • Scripts goedkeuren of weigeren: uw account moet goedkeuringsmachtigingen hebben voor SMS-scripts in de beveiligingsrol Volledige beheerder.
  • Als u scripts wilt uitvoeren : uw account moet de machtigingen Script uitvoeren hebben voor verzamelingen in de beveiligingsrol Beheerder van compliance-instellingen .

Zie Basisprincipes van op rollen gebaseerd beheer voor meer informatie over Configuration Manager beveiligingsrollen.

Standaard kunnen gebruikers een script dat ze hebben geschreven niet goedkeuren. Omdat scripts krachtig en veelzijdig zijn en op veel apparaten kunnen worden geïmplementeerd, hebben we een nieuw concept geïntroduceerd om de rollen te scheiden tussen de persoon die het script opstuurt en de persoon die het script goedkeurt. Dit biedt extra beveiligingsniveau tegen het uitvoeren van een script zonder toezicht. U kunt deze secundaire goedkeuring uitschakelen om het testen te vereenvoudigen, met name tijdens de release van Technical Preview.

Gebruikers toestaan hun eigen scripts goed te keuren:

  1. Klik in de Configuration Manager-console op Beheer.
  2. Vouw in de werkruimte Beheerde optie Siteconfiguratie uit en klik vervolgens op Sites.
  3. Kies uw site in de lijst met sites en klik vervolgens op het tabblad Start in de groep Sites op Hiërarchie-instellingen.
  4. Schakel op het tabblad Algemeen van het dialoogvenster Eigenschappen van hiërarchie-instellingen het selectievakje Scriptauteurs niet toestaan hun eigen scripts goed te keuren uit.

Probeer het uit!

Een script importeren en bewerken

  1. Klik in de Configuration Manager-console op Softwarebibliotheek.
  2. Klik in de werkruimte Softwarebibliotheek op Scripts.
  3. Klik op het tabblad Start in de groep Maken op Script maken.
  4. Configureer op de pagina Script van de wizard Script maken het volgende:
    • Scriptnaam : voer een naam in voor het script. Hoewel u meerdere scripts met dezelfde naam kunt maken, wordt het voor u moeilijker om het script te vinden dat u nodig hebt in de Configuration Manager-console.
    • Scripttaal : momenteel worden alleen PowerShell-scripts ondersteund.
    • Importeren : importeer een PowerShell-script in de console. Het script wordt weergegeven in het veld Script .
    • Wissen : hiermee verwijdert u het huidige script uit het veld Script .
    • Script : geeft het momenteel geïmporteerde script weer. U kunt het script in dit veld zo nodig bewerken.
  5. Voltooi de wizard. Het nieuwe script wordt weergegeven in de lijst Script met de status Wachten op goedkeuring. Voordat u dit script op clientapparaten kunt uitvoeren, moet u het goedkeuren.

Een script goedkeuren of weigeren

Voordat u een script kunt uitvoeren, moet het zijn goedgekeurd. Een script goedkeuren:

  1. Klik in de Configuration Manager-console op Softwarebibliotheek.
  2. Klik in de werkruimte Softwarebibliotheek op Scripts.
  3. Kies in de lijst Script het script dat u wilt goedkeuren of weigeren en klik vervolgens op het tabblad Start in de groep Script op Goedkeuren/weigeren.
  4. Voer in het dialoogvenster Script goedkeuren of weigeren het script goed of weigeren in en geef eventueel een opmerking over uw beslissing op. Als u een script weigert, kan het niet worden uitgevoerd op clientapparaten.
  5. Voltooi de wizard. In de lijst Script ziet u dat de kolom Goedkeuringsstatus wordt gewijzigd, afhankelijk van de actie die u hebt uitgevoerd.

Een script uitvoeren

Zodra een script is goedgekeurd, kan het worden uitgevoerd op basis van een verzameling die u kiest.

  1. Klik in de Configuration Manager-console op Activa en naleving.
  2. Klik in de werkruimte Activa en naleving op Apparaatverzamelingen.
  3. Klik in de lijst Apparaatverzamelingen op de verzameling apparaten waarop u het script wilt uitvoeren.
  4. Klik op het tabblad Start in de groep Alle systemen op Script uitvoeren.
  5. Kies op de pagina Script van de wizard Script uitvoeren een script in de lijst. Alleen goedgekeurde scripts worden weergegeven. Klik op Volgende en voltooi de wizard.

Een script bewaken

Nadat u een script hebt uitgevoerd voor clientapparaten, gebruikt u deze procedure om het succes van de bewerking te controleren.

  1. Klik in de Configuration Manager-console op Bewaking.
  2. Klik in de werkruimte Bewaking op Scriptresultaten.
  3. In de lijst Scriptresultaten ziet u de resultaten voor elk script dat u hebt uitgevoerd op clientapparaten. Een afsluitcode voor het script 0 geeft over het algemeen aan dat het script is uitgevoerd.

PXE-ondersteuning voor opstarten via het netwerk voor IPv6

U kunt nu ondersteuning voor PXE-netwerk opstarten voor IPv6 inschakelen om een takenreeks te starten voor de implementatie van een besturingssysteem. Wanneer u deze instelling gebruikt, ondersteunen distributiepunten met PXE zowel IPv4 als IPv6. Voor deze optie is geen WDS vereist en wordt WDS gestopt als deze aanwezig is.

PXE-opstartondersteuning voor IPv6 inschakelen

Gebruik de volgende procedure om de optie voor IPv6-ondersteuning voor PXE in te schakelen.

  1. Ga in de Configuration Manager-console naarBeheeroverzicht>>Distributiepunten en klik op Eigenschappen voor distributiepunten met PXE-functionaliteit.
  2. Selecteer op het tabblad PXEde optie IPv6 ondersteunen om IPv6-ondersteuning voor PXE in te schakelen.

Updates van Microsoft Surface-stuurprogramma's beheren

Je kunt nu Configuration Manager gebruiken om updates van Microsoft Surface-stuurprogramma's te beheren.

Vereisten

Alle software-updatepunten moeten Windows Server 2016 worden uitgevoerd.

Probeer het uit!

Voer de volgende taken uit en stuur ons feedback vanaf het tabblad Start van het lint om ons te laten weten hoe het werkte:

  1. Synchronisatie inschakelen voor Microsoft Surface-stuurprogramma's. Gebruik de procedure in Classificatie en producten configureren en selecteer Microsoft Surface-stuurprogramma's en firmware-updates opnemen op het tabblad Classificaties om Surface-stuurprogramma's in te schakelen.
  2. Synchroniseer de Microsoft Surface-stuurprogramma's.
  3. Gesynchroniseerde Microsoft Surface-stuurprogramma's implementeren

Uitstelbeleid voor Windows Update voor Bedrijven configureren

U kunt nu uitstelbeleid configureren voor Windows 10 functie- Updates of kwaliteits-Updates voor Windows 10 apparaten die rechtstreeks worden beheerd door Windows Update voor Bedrijven. U kunt het uitstelbeleid beheren in het nieuwe knooppunt Windows Update voor bedrijfsbeleid onder Softwarebibliotheek>Windows 10 Servicing.

Vereisten

Windows 10 apparaten die worden beheerd door Windows Update voor Bedrijven, moeten een internetverbinding hebben.

Een uitstelbeleid voor Windows Update voor Bedrijven maken

  1. In Softwarebibliotheek>Windows 10 Servicing>Windows Update voor bedrijfsbeleid
  2. Selecteer op het tabblad Start in de groep Maken de optie Maken Windows Update voor bedrijfsbeleid om de wizard Windows Update voor Bedrijfsbeleid maken te openen.
  3. Geef op de pagina Algemeen een naam en beschrijving op voor het beleid.
  4. Configureer op de pagina Uitstelbeleid of u functie-Updates wilt uitstellen of onderbreken.
    Functie-Updates zijn over het algemeen nieuwe functies voor Windows. Nadat u de instelling gereedheidsniveau voor vertakking hebt geconfigureerd, kunt u definiëren of en voor hoelang u het ontvangen van functie-Updates wilt uitstellen na hun beschikbaarheid van Microsoft.
    • Niveau van vertakkingsgereedheid: stel de vertakking in waarvoor het apparaat Windows-updates ontvangt (Current Branch of Current Branch for Business).
    • Uitstelperiode (dagen): geef het aantal dagen op waarvoor Functie-Updates wordt uitgesteld. U kunt het ontvangen van deze functie-Updates 180 dagen na de release uitstellen.
    • Functies onderbreken Updates starten: selecteer of u apparaten wilt onderbreken voor het ontvangen van functie-Updates gedurende een periode van maximaal 60 dagen vanaf het moment dat u de updates onderbreekt. Nadat de maximale dagen zijn verstreken, verloopt de onderbrekingsfunctionaliteit automatisch en scant het apparaat Windows Updates op toepasselijke updates. Na deze scan kunt u de updates opnieuw onderbreken. U kunt functie-Updates ongedaan maken door het selectievakje uit te schakelen.
  5. Kies of u kwaliteits Updates wilt uitstellen of onderbreken.
    Kwaliteits-Updates zijn over het algemeen oplossingen en verbeteringen van de bestaande Windows-functionaliteit en worden doorgaans de eerste dinsdag van elke maand gepubliceerd, maar kunnen op elk gewenst moment door Microsoft worden uitgebracht. U kunt instellen of en hoe lang u het ontvangen van kwaliteits-Updates wilt uitstellen na hun beschikbaarheid.
    • Uitstelperiode (dagen): geef het aantal dagen op waarvoor Functie-Updates wordt uitgesteld. U kunt het ontvangen van deze functie-Updates 180 dagen na de release uitstellen.
    • Kwaliteit onderbreken Updates starten: geef aan of apparaten de ontvangst van Updates voor een periode van maximaal 35 dagen vanaf het moment dat u de updates onderbreekt, wilt onderbreken. Nadat de maximale dagen zijn verstreken, verloopt de onderbrekingsfunctionaliteit automatisch en scant het apparaat Windows Updates op toepasselijke updates. Na deze scan kunt u de updates opnieuw onderbreken. U kunt kwaliteits-Updates ongedaan maken door het selectievakje uit te schakelen.
  6. Selecteer Updates van andere Microsoft-producten installeren om de groepsbeleidsinstelling in te schakelen waarmee uitstelinstellingen van toepassing zijn op Microsoft Update en Windows Updates.
  7. Selecteer Stuurprogramma's opnemen met Windows Update om stuurprogramma's automatisch bij te werken vanuit Windows Updates. Als u deze instelling wist, worden stuurprogramma-updates niet gedownload van Windows Updates.
  8. Voltooi de wizard om het nieuwe uitstelbeleid te maken.

Een uitstelbeleid voor Windows Update voor Bedrijven implementeren

  1. In Softwarebibliotheek>Windows 10 Servicing>Windows Update voor bedrijfsbeleid
  2. Selecteer op het tabblad Start in de groep Implementatie de optie Implementeren Windows Update voor bedrijfsbeleid.
  3. Configureer de volgende instellingen:
    • Te implementeren configuratiebeleid: selecteer het Windows Update voor Bedrijven-beleid dat u wilt implementeren.
    • Verzameling: klik op Bladeren om de verzameling te selecteren waarin u het beleid wilt implementeren.
    • Niet-compatibele regels herstellen wanneer deze worden ondersteund: selecteer deze optie om regels die niet compatibel zijn met Windows Management Instrumentation (WMI), het register, scripts en alle instellingen voor mobiele apparaten die zijn geregistreerd door Configuration Manager automatisch te herstellen.
    • Herstel buiten het onderhoudsvenster toestaan: als er een onderhoudsvenster is geconfigureerd voor de verzameling waarvoor u het beleid implementeert, schakelt u deze optie in om nalevingsinstellingen de waarde buiten het onderhoudsvenster te laten herstellen. Zie Onderhoudsvensters gebruiken voor meer informatie over onderhoudsvensters.
    • Een waarschuwing genereren: hiermee configureert u een waarschuwing die wordt gegenereerd als de naleving van de configuratiebasislijn op een opgegeven datum en tijd kleiner is dan een opgegeven percentage. U kunt ook opgeven of u een waarschuwing wilt verzenden naar System Center Operations Manager.
    • Willekeurige vertraging (uren): hiermee geeft u een vertragingsvenster op om overmatige verwerking op de registratieservice voor netwerkapparaten te voorkomen. De standaardwaarde is 64 uur.
    • Planning: geef het nalevingsevaluatieschema op waarmee het geïmplementeerde profiel wordt geëvalueerd op clientcomputers. De planning kan een eenvoudige of een aangepaste planning zijn. Het profiel wordt geëvalueerd door clientcomputers wanneer de gebruiker zich aanmeldt.
  4. Voltooi de wizard om het profiel te implementeren.

Ondersteuning voor Entrust-certificeringsinstanties

Configuration Manager ondersteunt nu Entrust-certificeringsinstanties. Hierdoor kunnen PFX-certificaten worden geleverd aan apparaten die zijn ingeschreven bij Microsoft Intune.

U kunt Entrust configureren als de certificeringsinstantie wanneer u een rol certificaatregistratiepunt toevoegt in Configuration Manager. Wanneer u een nieuw certificaatprofiel toevoegt dat PFX-certificaten uitgeeft, kunt u een Microsoft- of Entrust-certificeringsinstantie selecteren.

Bekend probleem: In de 1706 Technical Preview worden PFX-certificaten niet uitgegeven voor Microsoft-certificeringsinstanties. Dit is niet van invloed op geïmporteerde PFX-certificaten of SCEP-profielen.

Cisco-ondersteuning (IPsec) voor iOS VPN-profielen

U kunt een iOS VPN-profiel maken met Cisco (IPsec) als verbindingstype. Zie VPN-profielen maken voor meer informatie.

Instellingen voor nieuwe Windows-configuratie-items

In deze release hebben we de volgende nieuwe instellingen toegevoegd die u kunt gebruiken in Windows-configuratie-items:

Wachtwoord

  • Apparaatversleuteling

Apparaat

  • Regio-instellingen wijzigen (alleen bureaublad)
  • Aanpassing van energie- en slaapstandinstellingen
  • Taalinstellingen wijzigen
  • Wijziging van systeemtijd
  • Apparaatnaam wijzigen

Winkel

  • Apps uit de Store automatisch bijwerken
  • Alleen privéopslag gebruiken
  • Door store afkomstige app starten

Microsoft Edge

  • Toegang tot about:flags blokkeren
  • SmartScreen-prompt overschrijven
  • SmartScreen-prompt overschrijven voor bestanden
  • WEBRTC localhost IP-adres
  • Standaardzoekprogramma
  • OPENSearch XML-URL
  • Startpagina's (alleen desktop)

Zie Naleving van apparaten controleren voor meer informatie over nalevingsinstellingen.

Nieuwe nalevingsbeleidsregels voor apparaten

  • Vereist wachtwoordtype. Geef op of de gebruiker een alfanumeriek wachtwoord of een numeriek wachtwoord moet maken. Voor alfanumerieke wachtwoorden geeft u ook het minimale aantal tekensets op dat het wachtwoord moet hebben. De vier tekensets zijn: Kleine letters, hoofdletters, symbolen en cijfers.

    Ondersteund op:

    • Windows Phone 8+
    • Windows 8.1+
    • iOS 6+

  • USB-foutopsporing op het apparaat blokkeren. U hoeft deze instellingen niet te configureren omdat USB-foutopsporing al is uitgeschakeld op Android for Work-apparaten.

    Ondersteund op:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Apps van onbekende bronnen blokkeren. Vereisen dat apparaten de installatie van apps van onbekende bronnen verhinderen. U hoeft deze instelling niet te configureren, omdat Android for Work-apparaten altijd installatie van onbekende bronnen beperken.

    Ondersteund op:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Bedreigingsscan vereisen voor apps. Deze instelling geeft aan dat de functie Apps controleren is ingeschakeld op het apparaat.

    Ondersteund op:

    • Android 4.2 tot en met 4.4
    • Samsung KNOX Standard 4.0+

Nieuwe beleidsinstellingen voor Mobile Application Management

Vanaf deze release kunt u drie nieuwe MAM-beleidsinstellingen (Mobile Application Management) gebruiken:

  • Schermopname blokkeren (alleen Android-apparaten): Hiermee geeft u op dat de mogelijkheden voor schermopname van het apparaat worden geblokkeerd bij het gebruik van deze app.

  • Synchronisatie van contactpersonen uitschakelen: Hiermee voorkomt u dat de app gegevens opslaat in de systeemeigen app Contactpersonen op het apparaat.

  • Afdrukken uitschakelen: Hiermee voorkomt u dat de app werk- of schoolgegevens kan afdrukken.

Inschrijvingsbeperkingen voor Android en iOS

Vanaf deze release kunnen beheerders nu opgeven dat gebruikers geen persoonlijke Android- of iOS-apparaten kunnen inschrijven in hun hybride omgeving. Hiermee kunt u ingeschreven apparaten beperken tot vooraf aangegeven apparaten in bedrijfseigendom of iOS-apparaten die zijn ingeschreven bij het Device Enrollment Program.

Probeer het uit

  1. Ga in de Configuration Manager-console in de werkruimte Beheer naar Cloud Services>Microsoft Intune Abonnement.
  2. Kies op het tabblad Start in de groep Abonnementde optie Platforms configureren en selecteer vervolgens Android of iOS.
  3. Selecteer Apparaten in persoonlijk eigendom blokkeren.

Android for Work-toepassingsbeheerbeleid voor kopiëren en plakken

We hebben de instellingsbeschrijvingen voor configuratie-items voor Android for Work bijgewerkt voor het profiel Gegevens delen tussen werk en persoonlijk toestaan.

Vóór 1706 Technical Preview Nieuwe optienaam Gedrag
Delen over grenzen heen voorkomen Standaardbeperkingen voor delen Werk-naar-persoonlijk: standaard (wordt naar verwachting geblokkeerd voor alle versies)
Personal-to-work: Standaard (toegestaan op 6.x+, geblokkeerd op 5.x)
Geen beperkingen Apps in persoonlijk profiel kunnen aanvragen voor delen van een werkprofiel verwerken Werk-naar-persoonlijk: toegestaan
Persoonlijk naar werk: toegestaan
Apps in werkprofiel kunnen aanvragen voor delen van een persoonlijk profiel verwerken Apps in werkprofiel kunnen aanvragen voor delen van een persoonlijk profiel verwerken Werk-naar-persoonlijk: standaard
Persoonlijk naar werk: toegestaan
(Alleen nuttig op 5.x waar persoonlijk-naar-werk is geblokkeerd)

Geen van deze opties verhindert rechtstreeks het gedrag van kopiëren en plakken. We hebben in 1704 een aangepaste instelling toegevoegd aan de service en Bedrijfsportal-app die kan worden geconfigureerd om kopiëren en plakken te voorkomen. Dit kan worden ingesteld via een aangepaste URI.

  • OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • Waardetype: Booleaanse waarde

Als u DisallowCrossProfileCopyPaste instelt op true, voorkomt u kopieer-plakgedrag tussen persoonlijke en werkprofielen van Android for Work.

Probeer het uit

  1. Selecteer in de Configuration Manager-console de optie Activa en nalevingsoverzicht>>Nalevingsinstellingen>Configuratie-items.
  2. Kies Maken om een nieuw configuratie-item te maken en geef Naam en Android for Work op.
  3. Selecteer werkprofiel in de apparaatinstellingsgroepen die u wilt configureren en kies Volgende.
  4. Selecteer de waarde voor Het delen van gegevens tussen werk- en persoonlijke profielen toestaan en voltooi vervolgens de wizard.

Evaluatie van apparaatstatusverklaring voor nalevingsbeleid voor voorwaardelijke toegang

Vanaf deze release kunt u Status van apparaatstatus gebruiken als nalevingsbeleidsregel voor voorwaardelijke toegang tot bedrijfsresources.

Probeer het uit

Selecteer een apparaatstatusverklaringsregel als onderdeel van een evaluatie van het nalevingsbeleid.