Возможности Technical Preview 1706 для Configuration Manager

Область применения: Configuration Manager (ветвь technical preview)

В этой статье представлены функции, доступные в Technical Preview для Configuration Manager версии 1706. Эту версию можно установить, чтобы обновить и добавить новые возможности на сайт Configuration Manager technical preview. Перед установкой этой версии technical preview ознакомьтесь с Technical Preview для Configuration Manager, чтобы ознакомиться с общими требованиями и ограничениями для использования технической предварительной версии, способами обновления между версиями и предоставления отзывов о функциях в технической предварительной версии.

Известные проблемы в этой технической предварительной версии:

• Перемещение точки распространения . Параметры перемещения точки распространения между сайтами в консоли не могут использоваться в этом выпуске из-за ограничения technical preview для одного первичного сайта.

• Параметры соответствия устройств . При использовании двух новых параметров соответствия устройств может возникнуть противоположное поведение:

  • Блокировать отладку по USB на устройстве

  • Блокировать приложения из неизвестных источников

    Например, если администраторы присвоили параметру Блокировать отладку USB на устройствезначение true, все устройства, на которых не включена отладка по USB, будут помечены как несоответствующие.

Ниже приведены новые возможности, которые можно опробовать в этой версии.

Улучшенные группы границ для точек обновления программного обеспечения

Этот выпуск включает улучшения работы точек обновления программного обеспечения с группами границ. Ниже приводится сводка нового резервного поведения.

• Резервный вариант для точек обновления программного обеспечения теперь использует настраиваемое время для отката в соседние группы границ с минимальным временем 120 минут.

• Независимо от резервной конфигурации клиент пытается достичь последней точки обновления программного обеспечения, которую он использовал в течение 120 минут. После того как не удалось связаться с этим сервером в течение 120 минут, клиент проверяет пул доступных точек обновления программного обеспечения, чтобы найти новую.

  • Все точки обновления программного обеспечения в текущей группе границ клиента немедленно добавляются в пул клиента.

  • Так как клиент пытается использовать свой исходный сервер в течение 120 минут перед поиском нового сервера, дополнительные серверы не обращаются к другим серверам до истечения двух часов.

  • Если откат в соседнюю группу настроен не менее 120 минут, точки обновления программного обеспечения из этой соседней группы границ будут частью пула доступных серверов клиента.

• После того как не удалось связаться с исходным сервером в течение двух часов, клиент переключается на более короткий цикл для связи с новой точкой обновления программного обеспечения.

  Это означает, что если клиенту не удается подключиться к новому серверу, он быстро выбирает следующий сервер из пула доступных серверов и пытается связаться с ним.

  • Этот цикл продолжается до тех пор, пока клиент не подключится к точке обновления программного обеспечения, которая может использоваться.
  • Пока клиент не найдет точку обновления программного обеспечения, дополнительные серверы добавляются в пул доступных серверов при достижении резервного времени для каждой соседней группы границ.

Дополнительные сведения см. в разделе Точки обновления программного обеспечения в разделе Группы границ для Current Branch.

Высокий уровень доступности роли сервера сайта

Высокий уровень доступности для роли сервера сайта — это решение на основе Configuration Manager для установки дополнительного сервера первичного сайта в пассивном режиме. Сервер сайта в пассивном режиме является дополнением к существующему серверу первичного сайта, который находится в активном режиме. Сервер сайта в пассивном режиме доступен для немедленного использования при необходимости.

Сервер первичного сайта в пассивном режиме:

• Использует ту же базу данных сайта, что и активный сервер сайта.
• Получает копию библиотеки содержимого активных серверов сайта, которая затем сохраняется в синхронизированном режиме.
• Не записывает данные в базу данных сайта, пока она находится в пассивном режиме.
• Не поддерживает установку или удаление дополнительных ролей системы сайта, если она находится в пассивном режиме.

Чтобы сделать сервер сайта в пассивном режиме сервером сайта в активном режиме, необходимо вручную повысить его уровень. При этом активный сервер сайта переключится на пассивный сервер сайта. Роли системы сайта, доступные на исходном сервере активного режима, остаются доступными до тех пор, пока этот компьютер доступен. Только роль сервера сайта переключается между активным и пассивным режимами.

Чтобы установить сервер сайта в пассивном режиме, используйте мастер создания сервера системы сайта , чтобы настроить новый сервер сайта с типом сервера первичного сайта и режимом пассивного. Затем мастер запускает программу установки Configuration Manager на указанном сервере, чтобы установить новый сервер сайта в пассивном режиме. После завершения установки сервер сайта в активном режиме синхронизирует сервер сайта в пассивном режиме и его библиотеку содержимого с изменениями или конфигурациями, которые вы вносите на активный сервер сайта.

Предварительные требования и ограничения

• Один сервер сайта в пассивном режиме поддерживается на каждом первичном сайте.

• Сервер сайта в пассивном режиме может быть локальным или облачным в Azure.

• Серверы сайта в активном и пассивном режиме должны находиться в одном домене.

• Серверы сайта в активном и пассивном режиме должны использовать одну и ту же базу данных сайта, которая должна быть удаленной от компьютеров каждого сервера сайта.

  • SQL Server, на котором размещается база данных, может использовать экземпляр по умолчанию, именованный экземпляр, SQL Server Always On экземпляр отказоустойчивого кластера или группу доступности.

  • Сервер сайта в пассивном режиме настроен для использования той же базы данных сайта, что и сервер сайта в активном режиме. Однако сервер сайта в пассивном режиме не использует базу данных до тех пор, пока она не перейдет в активный режим.

• Компьютер, на который будет запущен сервер сайта в пассивном режиме:

  • Должен соответствовать предварительным требованиям для установки первичного сайта.

  • Выполняет установку с использованием исходных файлов, соответствующих версии сервера сайта в активном режиме.

  • Невозможно иметь роль системы сайта с любого сайта до установки сайта в пассивном режиме.

• Компьютеры сервера сайта в активном и пассивном режиме могут работать под управлением разных операционных систем или версий пакетов обновления, при условии, что они оба поддерживаются вашей версией Configuration Manager.

• Переход сервера сайта в пассивном режиме на сервер в активном режиме выполняется вручную. Автоматическая отработка отказа отсутствует.

• Роли системы сайта можно установить только на сервере сайта, который находится в активном режиме.

  • Сервер сайта в активном режиме поддерживает все роли системы сайта. Невозможно установить роли системы сайта на сервере, если он находится в пассивном режиме.

  • Роли системы сайта, использующие базу данных (например, точку отчетности), должны иметь такую базу данных на сервере, удаленном от серверов сайта в активном и пассивном режиме.

  • SMS_Provider не устанавливается на сервере сайта в пассивном режиме. Так как необходимо подключиться к SMS_Provider, чтобы сайт вручную повысил уровень пассивного режима сервера сайта до активного режима, рекомендуется установить по крайней мере один дополнительный экземпляр поставщика на дополнительный компьютер.

Известная проблема:
В этом выпуске состояние для следующих условий отображается в консоли в виде числовых значений вместо удобочитаемого текста:

• 131071 — сбой установки сервера сайта
• 720895 — сбой удаления роли сервера сайта
• 851967 — сбой отработки отказа

Добавление сервера сайта в пассивном режиме

1. В консоли перейдите в раздел Администрирование>сайтовконфигурации> сайта и запустите мастер добавления ролей системы сайта. Вы также можете использовать мастер создания сервера системы сайта.

2. На странице Общие укажите сервер, на котором будет размещаться сервер сайта в пассивном режиме. Указанный сервер не может размещать роли системы сайта перед установкой сервера сайта в пассивном режиме.

3. На странице Выбор системной роли выберите только сервер первичного сайта в пассивном режиме.

4. Чтобы завершить работу мастера, необходимо указать следующие сведения, которые используются для запуска программы установки и установки роли сервера сайта на указанном сервере:

   • Выберите копирование установочных файлов с активного сервера сайта на новый сервер сайта в пассивном режиме или укажите путь к расположению, которое содержит содержимое папки CD.Latest активного сервера сайта.

   • Укажите тот же сервер базы данных сайта и имя базы данных, которые используются сервером сайта в активном режиме.

5. Configuration Manager затем устанавливает сервер сайта в пассивном режиме на указанном сервере.

Подробные сведения о состоянии установки см. в разделе Администрирование>сайтовконфигурации> сайта.

• Состояние сервера сайта в пассивном режиме отображается как Установка.

• Выберите сервер и нажмите кнопку Показать состояние , чтобы открыть Состояние установки сервера сайта для получения более подробных сведений.

Повышение уровня пассивного режима сервера сайта до активного режима

Если вы хотите изменить пассивный режим сервера сайта на активный режим, это можно сделать на панели Узлы в разделе Администрирование>сайтовконфигурации> сайта. Пока вы можете получить доступ к экземпляру SMS_Provider, вы можете получить доступ к сайту, чтобы внести это изменение.

1. В области Узлы консоли Configuration Manager выберите сервер сайта в пассивном режиме, а затем на ленте выберите Повысить до активного.

2. Простое состояние для сервера, который вы продвигаете, отображается в области Узлы как Повышение.

3. После завершения повышения в столбце Состояние отображается ОК как для нового сервера сайта в активном режиме, так и для нового сервера сайта в пассивном режиме.

4. В разделе Администрирование> сайтовконфигурации>сайта имя сервера первичного сайта теперь отображает имя нового сервера сайта в активном режиме. Подробные сведения о состоянии см. в разделе Мониторинг>состояния сервера сайта.

   • Столбец Режим определяет, какой сервер является активным или пассивным.

   • При переходе сервера из пассивного режима в активный выберите сервер сайта, который вы рекламируете, до активного, а затем выберите Показать состояние на ленте. Откроется окно Состояние повышения уровня сервера сайта , в котором отображаются дополнительные сведения о процессе.

Когда сервер сайта в активном режиме переходит в пассивный режим, только роль системы сайта становится пассивной. Все остальные роли системы сайта, установленные на этом компьютере, остаются активными и доступными для клиентов.

Ежедневный мониторинг

Если основной сайт находится в пассивном режиме, ежедневно отслеживайте его, чтобы он оставался синхронизированным с сервером сайта в активном режиме и готов к использованию. Для этого перейдите в раздел Мониторинг>состояния сервера сайта. Здесь можно просмотреть серверы сайта в активном и пассивном режиме.

Вкладка Сводка:

• Столбец Режим определяет, какой сервер является активным или пассивным.
• В столбце Состояние указано ОК , если сервер пассивного режима синхронизирован с сервером активного режима.
• Чтобы просмотреть дополнительные сведения о состоянии синхронизации содержимого, щелкните Показать состояние в разделе Состояние синхронизации содержимого. Откроется вкладка Библиотека содержимого, где можно попытаться устранить проблемы с синхронизацией содержимого.

Вкладка Библиотека содержимого:

• Просмотрите состояние для содержимого, которое синхронизируется с активного сервера сайта с сервером сайта в пассивном режиме.
• Вы можете выбрать содержимое с состоянием Сбой, а затем выбрать Синхронизировать выбранные элементы на ленте. Это действие пытается повторно выполнить синхронизацию содержимого из источника содержимого на сервер сайта в пассивном режиме. Во время восстановления состояние отображается как Выполняется, а при синхронизации отображается как Успешно.

Попробуйте!

Попробуйте выполнить следующие задачи, а затем отправьте нам отзыв на вкладке Главная на ленте, чтобы сообщить нам, как это работает:

• Я могу установить первичный сайт в пассивном режиме.
• С помощью консоли можно повысить уровень сервера сайта в пассивном режиме, чтобы сделать его сервером сайта в активном режиме, и подтвердить изменение состояния для обоих серверов сайта.

Включение доверия для определенных файлов и папок в политику Device Guard

В этом выпуске мы добавили дополнительные возможности для управления политиками Device Guard .

Теперь вы можете при необходимости добавить доверие для определенных файлов для папок в политике Device Guard. Это позволяет:

1. Преодоление проблем с поведением управляемого установщика
2. Доверять бизнес-приложениям, которые не могут быть развернуты с помощью Configuration Manager
3. Доверять приложениям, включенным в образ развертывания операционной системы.

Попробуйте!

1. При создании политики Device Guard на вкладке Включения мастера создания политики Device Guard нажмите кнопку Добавить.
2. В диалоговом окне Добавление доверенного файла или папки укажите сведения о файле или папке, которым требуется доверять. Можно либо указать локальный путь к файлу или папке, либо подключиться к удаленному устройству, к которому у вас есть разрешение на подключение, и указать путь к файлу или папке на этом устройстве.
3. Завершите работу мастера.

Скрыть ход выполнения последовательности задач

В этом выпуске можно управлять отображением хода выполнения последовательности задач для конечных пользователей с помощью новой переменной. В последовательности задач используйте шаг Задать переменную последовательности задач , чтобы задать значение переменной TSDisableProgressUI , чтобы скрыть или отобразить ход выполнения последовательности задач. Шаг Задать переменную последовательности задач можно использовать несколько раз в последовательности задач, чтобы изменить значение переменной. Это позволяет скрывать или отображать ход выполнения последовательности задач в разных разделах последовательности задач.

Скрытие хода выполнения последовательности задач

В редакторе последовательности задач используйте шаг Задать переменную последовательности задач , чтобы задать для переменной TSDisableProgressUI значение True , чтобы скрыть ход выполнения последовательности задач.

Отображение хода выполнения последовательности задач

В редакторе последовательности задач используйте шаг Задать переменную последовательности задач , чтобы задать для переменной TSDisableProgressUI значение False , чтобы отобразить ход выполнения последовательности задач.

Указание другого расположения содержимого для установки и удаления содержимого

В Configuration Manager сегодня вы указываете расположение установки, содержащее файлы установки для приложения. При указании расположения установки оно также используется в качестве расположения удаления для содержимого приложения. Если вы хотите удалить развернутое приложение и содержимое приложения не находится на клиентском компьютере, клиент снова скачивает все файлы установки приложения, прежде чем будет удалено приложение. Чтобы решить эту проблему, теперь можно указать расположение содержимого установки и дополнительное расположение содержимого удаления. Кроме того, вы можете не указывать расположение содержимого удаления.

Попробуйте!

1. В свойствах типа развертывания приложения перейдите на вкладку Содержимое .
2. Настройте расположение содержимого установки в обычном режиме.
3. В разделе Удалить параметры содержимого выберите один из следующих вариантов:
   • То же самое, что и установка содержимого . Одно и то же расположение содержимого будет использоваться независимо от того, выполняется ли установка или удаление приложения.
   • Не удалять содержимое . Выберите этот вариант, если вы не хотите предоставлять расположение содержимого удаления для приложения.
   • Отличается от содержимого установки . Выберите этот вариант, если вы хотите указать расположение содержимого удаления, отличающееся от расположения содержимого установки.
4. Если выбрано значение Отличается от содержимого установки, перейдите по адресу или введите расположение содержимого приложения, которое будет использоваться для удаления приложения.
5. Нажмите кнопку ОК , чтобы закрыть диалоговое окно свойств типа развертывания.

Улучшения специальных возможностей

В этой предварительной версии представлено несколько улучшений специальных возможностей в консоли Configuration Manager. В том числе:

Новые сочетания клавиш для перемещения по консоли:

• CTRL+M — задает фокус на main (центральной) области.
• CTRL+T — фокус на верхнем узле в области навигации. Если фокус уже был в этой области, фокус устанавливается на последний посещенный узел.
• CTRL+I — задает фокус на панель навигации под лентой.
• CTRL+L — фокус устанавливается в поле Поиска , если доступно.
• CTRL+D — задает фокус на область сведений, если она доступна.
• Alt — изменение фокуса на ленте и с нее.

Общие улучшения:

• Улучшена навигация в области навигации при вводе букв имени узла.
• Навигация с помощью клавиатуры по представлению main и ленте теперь является циклической.
• Навигация с помощью клавиатуры в области сведений теперь является циклической. Чтобы вернуться к предыдущему объекту или области, используйте клавиши CTRL+D, а затем SHIFT+TAB.
• После обновления представления рабочей области фокус будет установлен на main области этой рабочей области.
• Исправлена проблема, из-за которой средства чтения с экрана могли объявлять имена элементов списка.
• Добавлены специальные имена для нескольких элементов управления на странице, которые позволяют средствам чтения с экрана объявлять важную информацию.

Изменения в мастере служб Azure для поддержки готовности к обновлению

Начиная с этого выпуска, используйте мастер служб Azure для настройки подключения от Configuration Manager до готовности к обновлению. Использование мастера упрощает настройку соединителя с помощью общего мастера для связанных служб Azure.

Несмотря на то, что метод настройки подключения изменился, предварительные требования к подключению и способ использования проверки готовности к обновлению остаются неизменными.

Предварительные требования для готовности к обновлению

Предварительные требования для подключения к готовности к обновлению не изменяются по сравнению с указанными в разделе Current Branch of Configuration Manager. Они повторяются здесь для удобства:

Необходимые компоненты

• Чтобы добавить подключение, среда Configuration Manager должна сначала настроить точку подключения службы в интерактивном режиме. При добавлении подключения к среде также устанавливается агент Microsoft Monitoring Agent на компьютере, на котором выполняется роль системы сайта.
• Зарегистрируйте Configuration Manager как средство управления "Веб-приложение и(или) веб-API" и получите идентификатор клиента из этой регистрации.
• Создайте ключ клиента для зарегистрированного средства управления в Microsoft Entra id.
• В портал Azure предоставьте зарегистрированным веб-приложению разрешение на доступ к OMS.

Важно!

При настройке разрешения на доступ к OMS обязательно выберите роль Участник и назначьте ей разрешения группе ресурсов зарегистрированного приложения.

После настройки необходимых компонентов вы можете использовать мастер для создания подключения.

Настройка готовности к обновлению с помощью мастера служб Azure

1. В консоли перейдите в разделОбзор>администрирования>Облачные службы>Службы Azure, а затем выберите Настроить службы Azure на вкладке Главная на ленте, чтобы запустить мастер служб Azure.

2. На странице Службы Azure выберите Соединитель готовности к обновлению и нажмите кнопку Далее.

3. На странице Приложение укажите среду Azure (техническая предварительная версия поддерживает только общедоступное облако). Затем нажмите кнопку Импорт , чтобы открыть окно Импорт приложений .

4. В окне Импорт приложений укажите сведения о веб-приложении, которое уже существует в идентификаторе Microsoft Entra.

   • Укажите понятное имя для Microsoft Entra имени клиента. Затем укажите идентификатор клиента, имя приложения, идентификатор клиента, секретный ключ для веб-приложения Azure и URI идентификатора приложения.
   • Нажмите кнопку Проверить, а в случае успешного выполнения нажмите кнопку ОК , чтобы продолжить.

5. На странице Конфигурация укажите подписку, группу ресурсов и рабочую область Windows Analytics, которые вы хотите использовать с этим подключением, чтобы обновить готовность.

6. Нажмите кнопку Далее , чтобы перейти на страницу Сводка , а затем завершите работу мастера, чтобы создать подключение.

Новые параметры клиента для облачных служб

В этом выпуске мы добавили два новых параметра клиента в Configuration Manager. Их можно найти в разделе Облачные службы. Эти параметры предоставляют следующие возможности:

• Управление доступом к настроенным шлюзам управления облачными клиентами Configuration Manager.
• Автоматическая регистрация Windows 10 присоединенных к домену клиентов диспетчера конфигурации с идентификатором Microsoft Entra.

Эти новые параметры помогают реализовать возможности, описанные в Configuration Manager 1705 Technical Preview.

Перед началом работы

Необходимо установить и настроить Microsoft Entra Подключение между локальная служба Active Directory и клиентом Microsoft Entra.

При удалении подключения устройства не будут зарегистрированы, но новые устройства не будут зарегистрированы.

Попробуйте!

1. Настройте следующие параметры клиента (см. раздел Облачные службы), используя сведения из раздела Настройка параметров клиента.
   • Автоматическая регистрация новых Windows 10 присоединенных к домену устройств с идентификатором Microsoft Entra — задайте значение Да (по умолчанию) или Нет.
   • Разрешить клиентам использовать шлюз управления облаком — задайте значение Да (по умолчанию) или Нет.
2. Разверните параметры клиента в требуемой коллекции устройств.

Чтобы убедиться, что устройство присоединено к идентификатору Microsoft Entra, выполните команду dsregcmd.exe /status в окне командной строки. В поле AzureAdjoined в результатах отобразится значение ДА, если устройство Microsoft Entra присоединено.

Создание и запуск сценариев PowerShell из консоли Configuration Manager

В Configuration Manager можно развертывать скрипты на клиентских устройствах с помощью пакетов и программ. В этой технической предварительной версии мы добавили новые функции, которые позволяют выполнять следующие действия:

• Импорт скриптов PowerShell в Configuration Manager
• Изменение скриптов в консоли Configuration Manager (только для неподписанных скриптов)
• Пометка скриптов как утвержденных или запрещенных для повышения безопасности
• Выполнение скриптов на коллекциях клиентских компьютеров Windows и локальных управляемых компьютерах с Windows. Скрипты не развертываются, вместо этого они выполняются почти в реальном времени на клиентских устройствах.
• Проверьте результаты, возвращаемые скриптом в консоли Configuration Manager.

Предварительные требования

Чтобы использовать сценарии, необходимо быть членом соответствующей роли безопасности Configuration Manager.

• Для импорта и создания скриптов ваша учетная запись должна иметь разрешения на созданиескриптов SMS в роли безопасности "Полный администратор ".
• Чтобы утвердить или запретить скрипты . Ваша учетная запись должна иметь разрешения утвердитьскрипты SMS в роли безопасности "Полный администратор ".
• Для выполнения скриптов ваша учетная запись должна иметь разрешения на выполнение скрипта для коллекций в роли безопасности диспетчера параметров соответствия .

Дополнительные сведения о Configuration Manager ролях безопасности см. в статье Основы ролевого администрирования.

По умолчанию пользователи не могут утвердить сценарий, который они создали. Так как скрипты являются мощными, универсальными и могут быть развернуты на многих устройствах, мы ввели новую концепцию предоставления возможности разделения ролей между человеком, создающим скрипт, и пользователем, утверждающим скрипт. Это обеспечивает дополнительный уровень безопасности при выполнении скрипта без надзора. Вы можете отключить это вторичное утверждение, чтобы упростить тестирование, особенно во время выпуска Technical Preview.

Чтобы разрешить пользователям утверждать собственные скрипты, выполните приведенные ниже действия.

1. В консоли Configuration Manager щелкните Администрирование.
2. В рабочей области Администрирование разверните узел Конфигурация сайта, а затем щелкните Сайты.
3. В списке сайтов выберите свой сайт, а затем на вкладке Главная в группе Сайты щелкните Параметры иерархии.
4. На вкладке Общие диалогового окна Свойства параметров иерархии снимите флажок Не разрешать авторам скриптов утверждать собственные скрипты.

Попробуйте!

Импорт и изменение скрипта

1. В консоли Configuration Manager щелкните Библиотека программного обеспечения.
2. В рабочей области Библиотека программного обеспечения щелкните Скрипты.
3. На вкладке Главная в группе Создать щелкните Создать скрипт.
4. На странице Скрипт мастера создания скриптов настройте следующее:
   • Имя скрипта — введите имя скрипта. Хотя можно создать несколько скриптов с одинаковым именем, это усложнит поиск нужного скрипта в консоли Configuration Manager.
   • Язык сценариев . В настоящее время поддерживаются только скрипты PowerShell .
   • Импорт — импорт скрипта PowerShell в консоль. Скрипт отображается в поле Скрипт .
   • Очистить — удаляет текущий скрипт из поля Скрипт .
   • Скрипт — отображает импортированный скрипт. Скрипт в этом поле можно изменить при необходимости.
5. Завершите работу мастера. Новый скрипт отображается в списке Скрипт с состоянием Ожидание утверждения. Перед запуском этого скрипта на клиентских устройствах необходимо утвердить его.

Утверждение или отклонение скрипта

Перед запуском скрипта он должен быть утвержден. Чтобы утвердить скрипт, выполните приведенные ниже действия.

1. В консоли Configuration Manager щелкните Библиотека программного обеспечения.
2. В рабочей области Библиотека программного обеспечения щелкните Скрипты.
3. В списке Скрипт выберите сценарий, который требуется утвердить или отклонить, а затем на вкладке Главная в группе Скрипт нажмите кнопку Утвердить или отклонить.
4. В диалоговом окне Утверждение или отклонение скрипта выберите Утвердить или Отклонить скрипт и при необходимости введите комментарий о своем решении. Если вы отклоните скрипт, он не может быть запущен на клиентских устройствах.
5. Завершите работу мастера. В списке Скрипт столбец Состояние утверждения изменится в зависимости от выполняемого действия.

Запуск сценария

После утверждения скрипта его можно запустить в выбранной коллекции.

1. В консоли Configuration Manager щелкните Активы и соответствие.
2. В рабочей области Активы и соответствие щелкните Коллекции устройств.
3. В списке Коллекции устройств щелкните коллекцию устройств, на которых требуется запустить скрипт.
4. На вкладке Главная в группе Все системы щелкните Запустить скрипт.
5. На странице Скрипт мастера выполнения скриптов выберите скрипт из списка. Отображаются только утвержденные скрипты. Нажмите кнопку Далее, а затем завершите работу мастера.

Мониторинг скрипта

После запуска скрипта на клиентских устройствах используйте эту процедуру, чтобы отслеживать успешность операции.

1. В консоли Configuration Manager щелкните Мониторинг.
2. В рабочей области Мониторинг щелкните Результаты скрипта.
3. В списке Результаты скрипта отображаются результаты для каждого скрипта, запущенного на клиентских устройствах. Код выхода скрипта 0, как правило, указывает на успешное выполнение скрипта.

Поддержка сетевой загрузки PXE для IPv6

Теперь вы можете включить поддержку сетевой загрузки PXE для IPv6, чтобы запустить развертывание операционной системы последовательности задач. При использовании этого параметра точки распространения с поддержкой PXE будут поддерживать IPv4 и IPv6. Этот параметр не требует WDS и остановит WDS, если он присутствует.

Включение поддержки загрузки PXE для IPv6

Используйте следующую процедуру, чтобы включить параметр поддержки IPv6 для PXE.

1. В консоли Configuration Manager перейдите в раздел Администрирование>Обзор>точек распространения и щелкните Свойства для точек распространения с поддержкой PXE.
2. На вкладке PXE выберите Поддержка IPv6 , чтобы включить поддержку IPv6 для PXE.

Управление обновлениями драйверов Microsoft Surface

Теперь вы можете использовать Configuration Manager для управления обновлениями драйверов Microsoft Surface.

Предварительные требования

Все точки обновления программного обеспечения должны выполняться Windows Server 2016.

Попробуйте!

Попробуйте выполнить следующие задачи, а затем отправьте нам отзыв на вкладке Главная на ленте, чтобы сообщить нам, как это работает:

1. Включите синхронизацию для драйверов Microsoft Surface. Используйте процедуру в разделе Настройка классификации и продуктов и выберите Включить драйверы Microsoft Surface и обновления встроенного ПО на вкладке Классификации , чтобы включить драйверы Surface.
2. Синхронизация драйверов Microsoft Surface.
3. Развертывание синхронизированных драйверов Microsoft Surface

Настройка политик отсрочки клиентский компонент Центра обновления Windows для бизнеса

Теперь можно настроить политики отсрочки для Обновления компонентов Windows 10 или Обновления качества для Windows 10 устройств, управляемых непосредственно клиентский компонент Центра обновления Windows для бизнеса. Вы можете управлять политиками отсрочки в новом узле клиентский компонент Центра обновления Windows для бизнес-политик в разделе Библиотека> программного обеспечения Windows 10 Обслуживание.

Предварительные требования

Windows 10 устройства, управляемые клиентский компонент Центра обновления Windows для бизнеса, должны иметь подключение к Интернету.

Создание политики отсрочки клиентский компонент Центра обновления Windows для бизнеса

1. В библиотеке> программного обеспечения Windows 10 обслуживание>клиентский компонент Центра обновления Windows для бизнес-политик
2. На вкладке Главная в группе Создать выберите Создать клиентский компонент Центра обновления Windows для бизнес-политики, чтобы открыть мастер создания клиентский компонент Центра обновления Windows для бизнеса.
3. На странице Общие укажите имя и описание политики.
4. На странице Политики отсрочки настройте, следует ли отложить или приостановить Обновления компонентов.
   Обновления функций обычно являются новыми функциями для Windows. После настройки уровня готовности ветви можно определить, следует ли и на какой срок отложить получение Обновления компонентов после их доступности от корпорации Майкрософт.
   • Уровень готовности ветви. Задайте ветвь, для которой устройство будет получать обновления Windows (Current Branch или Current Branch for Business).
   • Период отсрочки (в днях): укажите количество дней, в течение которого Обновления компонента будет отложена. Вы можете отложить получение этих Обновления компонентов на 180 дней с момента их выпуска.
   • Приостановка функций Обновления запуска. Выберите, следует ли приостановить получение Обновления компонентов устройствами на период до 60 дней с момента приостановки обновлений. По истечении максимального числа дней функция приостановки автоматически истечет, и устройство будет проверять Windows Обновления на наличие соответствующих обновлений. После этой проверки вы можете снова приостановить обновления. Вы можете отменить Обновления компонента, снимите флажок.
5. Выберите, следует ли отложить или приостановить Обновления качества.
   Обновления качества обычно являются исправлениями и улучшениями существующих функций Windows и обычно публикуются в первый вторник каждого месяца, хотя могут быть выпущены в любое время корпорацией Майкрософт. Вы можете определить, если и на какой срок вы хотите отложить получение Обновления качества после их доступности.
   • Период отсрочки (в днях): укажите количество дней, в течение которого Обновления компонента будет отложена. Вы можете отложить получение этих Обновления компонентов на 180 дней с момента их выпуска.
   • Приостановить запуск Обновления качества. Выберите, следует ли приостановить получение Обновления качества устройствами на период до 35 дней с момента приостановки обновлений. По истечении максимального числа дней функция приостановки автоматически истечет, и устройство будет проверять Windows Обновления на наличие соответствующих обновлений. После этой проверки вы можете снова приостановить обновления. Вы можете отменить Обновления качества, снимите флажок.
6. Выберите Установить обновления из других продуктов Майкрософт, чтобы включить параметр групповой политики, который делает параметры отсрочки применимыми к Центру обновления Майкрософт, а также к Windows Обновления.
7. Выберите Включить драйверы с клиентский компонент Центра обновления Windows, чтобы автоматически обновлять драйверы из Windows Обновления. Если этот параметр снят, обновления драйверов не загружаются из Windows Обновления.
8. Завершите работу мастера, чтобы создать новую политику отсрочки.

Развертывание политики отсрочки клиентский компонент Центра обновления Windows для бизнеса

1. В библиотеке> программного обеспечения Windows 10 обслуживание>клиентский компонент Центра обновления Windows для бизнес-политик
2. На вкладке Главная в группе Развертывание выберите Развернуть политику клиентский компонент Центра обновления Windows для бизнеса.
3. Настройте указанные ниже параметры.
   • Политика конфигурации для развертывания. Выберите политику клиентский компонент Центра обновления Windows для бизнеса, которую вы хотите развернуть.
   • Коллекция: нажмите кнопку Обзор , чтобы выбрать коллекцию, в которой требуется развернуть политику.
   • Исправление несоответствующих правил при их поддержке. Выберите, чтобы автоматически исправлять все правила, которые не отвечают требованиям для инструментария управления Windows (WMI), реестра, скриптов и всех параметров для мобильных устройств, зарегистрированных Configuration Manager.
   • Разрешить исправление за пределами периода обслуживания. Если для коллекции, в которой развертывается политика, настроен период обслуживания, включите этот параметр, чтобы параметры соответствия могли исправлять значение за пределами периода обслуживания. Дополнительные сведения о периодах обслуживания см. в статье Использование периодов обслуживания.
   • Создать оповещение. Настраивает оповещение, которое создается, если соответствие базовых показателей конфигурации меньше указанного процента к указанной дате и времени. Вы также можете указать, нужно ли отправлять оповещение в System Center Operations Manager.
   • Случайная задержка (часы): указывает окно задержки, чтобы избежать чрезмерной обработки в службе регистрации сетевых устройств. Значение по умолчанию — 64 часа.
   • Расписание. Укажите расписание оценки соответствия, по которому развернутый профиль оценивается на клиентских компьютерах. Расписание может быть простым или пользовательским. Профиль оценивается клиентскими компьютерами, когда пользователь входит в систему.
4. Завершите работу мастера, чтобы развернуть профиль.

Поддержка центров сертификации Entrust

Configuration Manager теперь поддерживает доверенные центры сертификации. Это позволяет отправлять сертификаты PFX на устройства, зарегистрированные в Microsoft Intune.

Вы можете настроить Entrust в качестве центра сертификации при добавлении роли точки регистрации сертификатов в Configuration Manager. При добавлении нового профиля сертификата, который выдает PFX-сертификаты, можно выбрать центр сертификации Майкрософт или Entrust.

Известная проблема. В технической предварительной версии 1706 сертификаты PFX не выдаются центрам сертификации Майкрософт. Это не влияет на импортированные PFX-сертификаты или профили SCEP.

Поддержка Cisco (IPsec) для профилей VPN iOS

Вы можете создать профиль VPN iOS с Cisco (IPsec) в качестве типа подключения. Дополнительные сведения см. в статье Создание профилей VPN.

Параметры нового элемента конфигурации Windows

В этом выпуске мы добавили следующие новые параметры, которые можно использовать в элементах конфигурации Windows:

Пароль

• Шифрование устройства

Устройство

• Изменение параметров региона (только для рабочего стола)
• Изменение параметров питания и спящего режима
• Изменение языковых параметров
• Изменение системного времени
• Изменение имени устройства

Магазин

• Автоматическое обновление приложений из Магазина
• Использовать только частный магазин
• Запуск приложения, инициированного Магазином

Microsoft Edge

• Блокировка доступа к about:flags
• Переопределение запроса SmartScreen
• Переопределение запросов SmartScreen для файлов
• IP-адрес локального узла WebRTC
• Поисковая система по умолчанию
• URL-адрес XML OpenSearch
• Домашние страницы (только для настольных компьютеров)

Дополнительные сведения о параметрах соответствия см. в разделе Обеспечение соответствия устройств.

Новые правила политики соответствия устройств

• Обязательный тип пароля. Укажите, должен ли пользователь создать буквенно-цифровой или цифровой пароль. Для буквенно-цифровых паролей также необходимо указать минимальное количество наборов символов, которые должны иметь пароль. Четыре набора символов: нижний регистр, прописные буквы, символы и цифры.

  Поддерживается в:

  • Windows Phone 8+
  • Windows 8.1+
  • iOS 6+
    
    

• Блокировать отладку ЧЕРЕЗ USB на устройстве. Вам не нужно настраивать эти параметры, так как отладка USB уже отключена на устройствах Android for Work.

  Поддерживается в:

  • Android 4.0 и более поздних версий
  • Samsung KNOX Standard 4.0+
    
    

• Блокировать приложения из неизвестных источников. Требовать, чтобы устройства запрещали установку приложений из неизвестных источников. Вам не нужно настраивать этот параметр, так как устройства Android for Work всегда ограничивают установку из неизвестных источников.

  Поддерживается в:

  • Android 4.0 и более поздних версий
  • Samsung KNOX Standard 4.0+
    
    

• Требовать проверку на угрозы в приложениях. Этот параметр указывает, что на устройстве включена функция "Проверка приложений".

  Поддерживается в:

  • Android 4.2–4.4
  • Samsung KNOX Standard 4.0+

Новые параметры политики управления мобильными приложениями

Начиная с этого выпуска, вы можете использовать три новых параметра политики управления мобильными приложениями (MAM):

• Блокировать захват экрана (только для устройств Android): Указывает, что возможности захвата экрана устройства блокируются при использовании этого приложения.

• Отключить синхронизацию контактов: Запрещает приложению сохранять данные в собственном приложении "Контакты" на устройстве.

• Отключить печать: Запрещает приложению печать рабочих или учебных данных.

Ограничения регистрации в Android и iOS

Начиная с этого выпуска, администраторы могут указать, что пользователи не могут регистрировать личные устройства Android или iOS в гибридной среде. Это позволяет ограничить зарегистрированные устройства только предварительно объявленными устройствами, принадлежащими компании или устройствами iOS, зарегистрированными в рамках программы регистрации устройств.

Проверка

1. В консоли Configuration Manager рабочей области Администрирование выберите Облачные службы>Microsoft Intune Подписка.
2. На вкладке Главная в группе Подписка выберите Настроить платформы , а затем — Android или iOS.
3. Выберите Блокировать личные устройства.

Политика управления приложениями Android for Work для копирования и вставки

Мы обновили описания параметров для элементов конфигурации Android for Work для разрешения совместного использования данных между рабочим и личным профилем.

До версии 1706 Technical Preview	Новое имя параметра	Поведение
Предотвращение общего доступа через границы	Ограничения общего доступа по умолчанию	"От работы к личному": по умолчанию (ожидается, что он будет заблокирован во всех версиях) Personal-to-work: default (разрешено в версии 6.x и выше, заблокировано в 5.x)
Нет ограничений	Приложения в личном профиле могут обрабатывать запросы на общий доступ из рабочего профиля	От работы к личному: разрешено Личная работа: разрешено
Приложения в рабочем профиле могут обрабатывать запросы на общий доступ из личного профиля	Приложения в рабочем профиле могут обрабатывать запросы на общий доступ из личного профиля	От работы к личному: по умолчанию Личная работа: разрешено (Полезно только в версии 5.x, где заблокировано подключение "личные к работе")

Ни один из этих параметров напрямую не препятствует поведению копирования и вставки. Мы добавили настраиваемый параметр в службу и приложение Корпоративный портал в 1704, который можно настроить для предотвращения копирования и вставки. Это можно задать с помощью пользовательского URI.

• OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
• Тип значения: логическое значение

Если параметру DisallowCrossProfileCopyPaste присвоено значение true, запрещается поведение копирования и вставки между личным и рабочим профилями Android for Work.

Проверка

1. В консоли Configuration Manager выберите Активы и соответствие>Обзор>параметров> соответствияэлементы конфигурации.
2. Нажмите кнопку Создать , чтобы создать новый элемент конфигурации, а затем укажите Имя и Android for Work.
3. В группах параметров устройства, которые требуется настроить, выберите Рабочий профиль и нажмите кнопку Далее.
4. Выберите значение Для параметра Разрешить общий доступ к данным между рабочими и личными профилями, а затем завершите работу мастера.

Оценка работоспособности устройств для политик соответствия требованиям для условного доступа

Начиная с этого выпуска вы можете использовать состояние аттестации работоспособности устройства в качестве правила политики соответствия для условного доступа к ресурсам компании.

Проверка

Выберите правило аттестации работоспособности устройств в рамках оценки политики соответствия требованиям.