分享方式:


Technical Preview 1706 for Configuration Manager 中的功能

適用于:Configuration Manager (Technical Preview 分支)

本文介紹 Technical Preview for Configuration Manager 1706 版中可用的功能。 您可以安裝此版本來更新新功能,並將新功能新增至Configuration Manager Technical Preview 網站。 安裝此版本的技術預覽版之前,請檢閱Technical Preview for Configuration Manager,以熟悉使用 Technical Preview 的一般需求和限制、如何在版本之間更新,以及如何提供 Technical Preview 中功能的意見反應。

此 Technical Preview 中的已知問題:

  • 移動發佈點 - 主控台中在月臺之間移動發佈點的選項無法與此版本搭配使用,因為單一主要月臺的技術預覽限制。

  • 裝置合規性設定 - 使用兩個新的裝置合規性設定時,您可能會遇到相反的行為:

    • 封鎖裝置上的 USB 偵錯

    • 封鎖來自未知來源的應用程式

      例如,如果系統管理員將 裝置上的 [封鎖 USB 偵 錯] 設定為 true,則所有未啟用 USB 偵錯的裝置都會標示為不符合規範。

以下是您可以使用此版本試用的新功能。

已改善軟體更新點的界限群組

此版本包含軟體更新點如何與界限群組搭配運作的改善。 下列摘要說明新的後援行為:

  • 軟體更新點的後援現在會針對後援至鄰近界限群組使用可設定的時間,最短時間為 120 分鐘。

  • 與後援設定無關,用戶端會嘗試連線到最後一個軟體更新點,其使用時間為 120 分鐘。 在無法連線到該伺服器 120 分鐘後,用戶端接著會檢查其可用軟體更新點的集區,以便找到新的更新點。

    • 用戶端目前界限群組中的所有軟體更新點都會立即新增至用戶端的集區。

    • 由於用戶端會先嘗試使用其原始伺服器 120 分鐘,然後再尋找新的伺服器,所以在經過兩個小時之後,才會連絡其他伺服器。

    • 如果將後援設定為最少 120 分鐘,則來自該鄰近界限群組的軟體更新點會是用戶端可用伺服器集區的一部分。

  • 在無法連線到其原始伺服器兩個小時之後,用戶端會切換到較短的週期來連絡新的軟體更新點。

    這表示如果用戶端無法與新的伺服器連線,它會從可用伺服器的集區中快速選取下一部伺服器,並嘗試連絡該伺服器。

    • 此迴圈會繼續進行,直到用戶端連線到可使用的軟體更新點為止。
    • 在用戶端找到軟體更新點之前,符合每個鄰近界限群組的後援時間時,會將其他伺服器新增至可用伺服器的集區。

如需詳細資訊,請參閱最新分支的界限群組主題中的 軟體更新點

月臺伺服器角色高可用性

月臺伺服器角色的高可用性是以Configuration Manager為基礎的解決方案,可在被動模式中安裝其他主要月臺伺服器。 被動模式月臺伺服器是目前處於 主動 模式的主要月臺伺服器之外。 被動模式月臺伺服器可視需要立即使用。

被動模式的主要月臺伺服器:

  • 使用與使用中月臺伺服器相同的月臺資料庫。
  • 接收使用中月臺伺服器內容庫的複本,然後保持同步。
  • 只要資料處於被動模式,就不會將資料寫入月臺資料庫。
  • 不支援安裝或移除選擇性月臺系統角色,只要其處於被動模式即可。

若要讓被動模式月臺伺服器成為主動模式月臺伺服器,您可以手動加以升級。 這會將主動月臺伺服器切換為被動月臺伺服器。 只要電腦可供存取,原始作用中模式伺服器上可用的月臺系統角色仍可使用。 只有月臺伺服器角色會在主動和被動模式之間切換。

若要安裝被動模式月臺伺服器,您可以使用 [ 建立月臺系統伺服器 精靈] 來設定具有 [ 主要月臺伺服器 類型] 和 [ 被動模式] 的新月臺伺服器。 精靈接著會在指定的伺服器上執行Configuration Manager安裝程式,以被動模式安裝新的月臺伺服器。 安裝完成之後,主動模式月臺伺服器會讓被動模式月臺伺服器及其內容庫與您對主動月臺伺服器所做的變更或設定保持同步。

必要條件和限制

  • 每個主要月臺都支援被動模式的單一月臺伺服器。

  • 被動模式的月臺伺服器可以是內部部署或 Azure 中的雲端式伺服器。

  • 主動模式和被動模式月臺伺服器都必須位於相同的網域中。

  • 主動模式和被動模式月臺伺服器都必須使用相同的月臺資料庫,該資料庫必須與每個月臺伺服器的電腦位於遠端。

    • 裝載資料庫的SQL Server可以使用預設實例、具名實例、SQL Server Always On容錯移轉叢集實例或可用性群組。

    • 被動模式的月臺伺服器設定為使用與主動模式月臺伺服器相同的月臺資料庫。 不過,被動模式月臺伺服器在升級為主動模式之前,不會使用該資料庫。

  • 將執行被動模式月臺伺服器的電腦:

    • 必須符合 安裝主要月臺的必要條件

    • 使用符合使用中模式月臺伺服器版本的來源檔案進行安裝。

    • 安裝被動模式月臺之前,不能有來自任何月臺的月臺系統角色。

  • 主動模式和被動模式月臺伺服器電腦可以執行不同的作業系統或 Service Pack 版本,只要兩者都受到您的Configuration Manager版本支援。

  • 被動模式月臺伺服器升級為主動模式伺服器是手動的。 沒有自動容錯移轉。

  • 月臺系統角色只能安裝在處於使用中模式的月臺伺服器上。

    • 使用中模式的月臺伺服器支援所有月臺系統角色。 當伺服器處於被動模式時,您無法在伺服器上安裝月臺系統角色。

    • 使用資料庫 (如報告點) 的月臺系統角色,必須在主動模式和被動模式月臺伺服器的遠端伺服器上擁有該資料庫。

    • SMS_Provider不會以被動模式安裝在月臺伺服器上。 因為您必須連線到月臺的SMS_Provider,才能手動將被動模式月臺伺服器升階為主動模式,因此建議您 在其他電腦上至少安裝一個額外的提供者 實例。

已知問題
在此版本中,下列條件的 狀態 會在主控台中顯示為數值,而不是可讀取的文字:

  • 131071 – 月臺伺服器安裝失敗
  • 720895 – 月臺伺服器角色卸載失敗
  • 851967 – 容錯移轉失敗

在被動模式中新增月臺伺服器

  1. 在主控台中,移至 [系統管理>網站設定>網站],然後啟動[新增月臺系統角色精靈]。 您也可以使用 [建立月臺系統伺服器精靈]

  2. 在 [ 一般] 頁面上,指定將裝載被動模式月臺伺服器的伺服器。 在被動模式下安裝月臺伺服器之前,您指定的伺服器無法裝載任何月臺系統角色。

  3. 在 [ 系統角色選取] 頁面上,只選取 被動模式的主要月臺伺服器

  4. 若要完成精靈,您必須提供下列資訊,以用來執行安裝程式,並在指定的伺服器上安裝月臺伺服器角色:

    • 選擇將安裝檔案從主動月臺伺服器複製到新的被動模式月臺伺服器,或指定包含使用中月臺伺服器 CD.Latest 資料夾內容的位置路徑。

    • 指定與使用中模式月臺伺服器所使用的相同月臺資料庫伺服器和資料庫名稱。

  5. Configuration Manager然後在指定的伺服器上以被動模式安裝月臺伺服器。

如需詳細的安裝狀態,請移至[系統管理>網站設定>網站]

  • 被動模式的月臺伺服器狀態會顯示為 [正在安裝]

  • 選取伺服器,然後按一下 [顯示狀態 ] 以開啟 [月臺伺服器安裝狀態 ] 以取得詳細資訊。

將被動模式月臺伺服器升階為主動模式

當您想要將被動模式月臺伺服器變更為主動模式時,您可以從 [系統管理>網站設定網站> ] 的 [節點] 窗格進行。 只要您可以存取SMS_Provider的實例,就可以存取網站來進行這項變更。

  1. 在 [Configuration Manager 主控台的 [節點] 窗格中,選取被動模式的月臺伺服器,然後從功能區中選擇 [升級為主動]

  2. 您要升級之伺服器的簡單 [狀態 ] 會在 [ 節點 ] 窗格中顯示為 [ 正在升級]

  3. 升級完成之後,新的主動模式月臺伺服器和新的被動模式月臺伺服器的[狀態] 資料行都會顯示 [確定]。

  4. [系統管理>網站設定>台] 中,主要月臺伺服器的名稱現在會顯示新主動模式月臺伺服器的名稱。 如需詳細狀態,請移至[監視>月臺伺服器狀態]

    • [模式] 資料行會識別哪個伺服器為主動被動

    • 將伺服器從被動模式升級為主動模式時,請選取您要升級為主動的月臺伺服器,然後從功能區選擇 [ 顯示狀態 ]。 這會開啟 [月臺伺服器升級狀態 ] 視窗,其中會顯示程式的其他詳細資料。

當主動模式中的月臺伺服器切換到被動模式時,只有月臺系統角色會變成被動。 安裝在該電腦上的所有其他月臺系統角色都會保持作用中,並可供用戶端存取。

每日監視

當您有被動模式的主要月臺時,請每天監視它,以確保它與主動模式月臺伺服器保持同步,並準備好使用。 若要這樣做,請移至[監視>月臺伺服器狀態]。 您可以在這裡檢視主動模式和被動模式月臺伺服器。

[ 摘要] 索引 標籤:

  • [模式] 資料行會識別哪個伺服器為主動或被動。
  • 當被動模式伺服器與主動模式伺服器同步時, [狀態 ] 資料行會列出 [ 確定 ]。
  • 若要檢視內容同步處理狀態的其他詳細資料,請按一下 [顯示內容同步 狀態的狀態 ]。 這會開啟 [內容庫] 索引標籤,您可以在其中嘗試修正內容同步問題。

[ 內容庫] 索引 標籤:

  • 檢視從主動月臺伺服器同步至被動模式月臺伺服器之內容的 [狀態 ]。
  • 您可以選取狀態為 [ 失敗] 的內容,然後選擇 [從功能區 同步選取的專案 ]。 此動作會嘗試將該內容從內容的來源重新同步處理至被動模式月臺伺服器。 在復原期間,[狀態] 會顯示為 [ 進行中],而當同步處理時,會顯示為 [成功]

試試看!

嘗試完成下列工作, 然後從功能 區的 [ 常用 ] 索引標籤傳送意見反應給我們,讓我們知道其運作方式:

  • 我可以在被動模式中安裝主要月臺。
  • 我可以使用 主控台來升級被動模式月臺伺服器,使其成為主動模式月臺伺服器,並確認這兩部月臺伺服器的狀態變更。

在 Device Guard 原則中包含特定檔案和資料夾的信任

在此版本中,我們已將進一步的功能新增至 Device Guard 原則管理

您現在可以選擇性地為 Device Guard 原則中的資料夾新增特定檔案的信任。 這可讓您:

  1. 克服 Managed 安裝程式列為的問題
  2. 信任無法使用 Configuration Manager 部署的企業營運應用程式
  3. 信任包含在操作系統部署映像中的應用程式。

試試看!

  1. 當您建立 Device Guard 原則時,請在 [建立 Device Guard 原則精靈] 的 [包含] 索引標籤上,按一下 [ 新增]
  2. 在 [ 新增信任的檔案或資料夾 ] 對話方塊中,指定您想要信任之檔案或資料夾的相關資訊。 您可以指定本機檔案或資料夾路徑,或連線到您有權連線的遠端裝置,並在該裝置上指定檔案或資料夾路徑。
  3. 完成精靈。

隱藏工作順序進度

在此版本中,您可以使用新的變數來控制工作順序進度對使用者顯示的時機。 在您的工作順序中,使用 [設定工作順序變數 ] 步驟來設定 TSDisableProgressUI 變數的值,以隱藏或顯示工作順序進度。 您可以在工作順序中多次使用 [設定工作順序變數] 步驟來變更變數的值。 這可讓您在工作順序的不同區段中隱藏或顯示工作順序進度。

隱藏工作順序進度

在工作順序編輯器中,使用 [設定工作順序變數 ] 步驟,將 TSDisableProgressUI 變數的值設定為 True ,以隱藏工作順序進度。

顯示工作順序進度

在工作順序編輯器中,使用 [設定工作順序變數 ] 步驟,將 TSDisableProgressUI 變數的值設定為 False ,以顯示工作順序進度。

指定安裝內容和卸載內容的不同內容位置

在目前Configuration Manager中,您會指定包含應用程式安裝程式檔案的安裝位置。 當您指定安裝位置時,這也會作為應用程式內容的卸載位置。 根據您的意見反應,當您想要卸載已部署的應用程式,且應用程式內容不在用戶端電腦上時,用戶端會在卸載應用程式之前再次下載所有應用程式安裝檔案。 若要解決此問題,您現在可以同時指定安裝內容位置和選擇性卸載內容位置。 此外,您可以選擇不指定卸載內容位置。

試試看!

  1. 在應用程式的部署類型屬性中,按一下 [ 內容] 索引 標籤。
  2. 如常設定 安裝內容位置
  3. 針對 [卸載內容設定],選擇下列其中一項:
    • 與安裝內容相同 - 不論您是要安裝還是卸載應用程式,都會使用相同的內容位置。
    • 不卸載內容 - 如果您不想提供應用程式的卸載內容位置,請選擇此專案。
    • 與安裝內容不同 - 如果您想要指定與安裝內容位置不同的卸載內容位置,請選擇此選項。
  4. 如果您選取 [ 不同于安裝內容],請流覽至 ,或輸入將用來卸載應用程式的應用程式內容位置。
  5. 按一下 [確定 ] 關閉 [部署類型屬性] 對話方塊。

協助工具增強功能

此預覽版針對 Configuration Manager 主控台中的協助工具功能引進了數項改善。 包括:

在主控台中移動的新鍵盤快速鍵:

  • Ctrl + M - 設定主要 (中央) 窗格的焦點。
  • Ctrl + T - 將焦點設定為流覽窗格中的頂端節點。 如果焦點已在該窗格中,則焦點會設定為您造訪的最後一個節點。
  • Ctrl + I - 將焦點設定為功能區下方的階層連結列。
  • Ctrl + L - 可使用時,將焦點設定為 [搜尋] 字 段。
  • Ctrl + D - 可使用時,將焦點設定為詳細資料窗格。
  • Alt – 變更功能區中和功能區外的焦點。

一般改善:

  • 當您輸入節點名稱的字母時,已改善流覽窗格中的流覽。
  • 透過主檢視和功能區的鍵盤導覽現在是圓形的。
  • 詳細資料窗格中的鍵盤導覽現在是圓形的。 若要返回上一個物件或窗格,請使用 Ctrl + D,然後使用 Shift + TAB。
  • 重新整理工作區檢視之後,焦點會設定為該工作區的主要窗格。
  • 已修正讓螢幕助讀程式宣告清單專案名稱的問題。
  • 新增頁面上多個控制項的可存取名稱,讓螢幕助讀程式可以宣告重要資訊。

Azure 服務精靈的變更以支援升級整備程度

從此版本開始,使用 Azure 服務精靈來設定從 Configuration Manager 到更新整備小幫手的連線。 使用精靈可簡化連接器的設定,方法是使用相關 Azure 服務的通用精靈。

雖然設定連線的方法已變更,但連線的必要條件以及您使用升級整備程度的方式保持不變。

升級整備程度的必要條件

升級整備小幫手連線的必要條件,與最新分支Configuration Manager所詳述的必要條件並不會變更。 為了方便起見,這裡會重複這些專案:

必要條件

  • 若要新增連線,您的Configuration Manager環境必須先在線上模式中設定服務連接點。 當您將連線新增至環境時,它也會在執行此月臺系統角色的電腦上安裝 Microsoft Monitoring Agent。
  • 將Configuration Manager註冊為「Web 應用程式和/或 Web API」管理工具,並從此註冊取得用戶端標識符。
  • 在 Microsoft Entra 識別碼中建立已註冊管理工具的用戶端金鑰。
  • 在Azure 入口網站中,為已註冊的 Web 應用程式提供存取 OMS 的許可權。

重要事項

設定存取 OMS 的許可權時,請務必選擇 參與者角色, 並將許可權指派給已註冊應用程式的資源群組。

設定必要條件之後,您就可以使用精靈來建立連線。

使用 Azure 服務精靈設定升級整備

  1. 在主控台中,移至 [系統管理>概觀>雲端服務>Azure 服務],然後從功能區的 [常用] 索引標籤選擇 [設定Azure服務],以啟動[Azure 服務精靈]

  2. 在 [ Azure 服務] 頁面上,選取 [升級整備連接器],然後按 [ 下一步]

  3. 在 [ 應用程式] 頁面上,指定您的 Azure 環境 (Technical Preview 僅支援公用雲端) 。 然後,按一下 [ 匯入 ] 以開啟 [ 匯入應用程式] 視窗。

  4. 在 [匯入應用程式]視窗中,指定已存在於您Microsoft Entra識別碼中的 Web 應用程式詳細資料。

    • 提供Microsoft Entra租使用者名稱的易記名稱。 然後,指定租使用者識別碼、應用程式名稱、用戶端識別碼、Azure Web 應用程式的秘密金鑰,以及應用程式識別碼 URI。
    • 按一下 [驗證],如果成功,請按一下 [ 確定 ] 繼續。
  5. 在 [ 組態] 頁面上,指定您要與此連線搭配升級整備的訂用帳戶、資源群組和 Windows Analytics 工作區。

  6. [下一步 ] 移至 [ 摘要 ] 頁面,然後完成精靈以建立連線。

雲端服務的新用戶端設定

在此版本中,我們已將兩個新的用戶端設定新增至Configuration Manager。 您會在 [雲端服務] 區段中找到這些專案。 這些設定提供下列功能:

  • 控制哪些Configuration Manager用戶端可以存取已設定的雲端管理閘道。
  • 使用Microsoft Entra識別碼自動註冊Windows 10已加入網域的 Configuration Manger 用戶端。

這些新設定可協助您完成Configuration Manager 1705 Technical Preview中所述的功能。

開始之前

您必須已安裝並設定Microsoft Entra內部部署的 Active Directory與Microsoft Entra租使用者之間的連線。

如果您移除連線,裝置不會取消註冊,但不會註冊任何新的裝置。

試試看!

  1. 使用如何設定用戶端設定中的資訊, (在 雲端服務) 一節中找到下列用戶端設定
    • 使用 Windows 10 Microsoft Entra識別碼自動註冊已加入網域的新裝置– 設定為 [] (預設) 或[否]
    • 讓用戶端使用雲端管理閘道 – 設定為 [ ] (預設) 或 [否]
  2. 將用戶端設定部署至所需的裝置集合。

若要確認裝置已加入Microsoft Entra識別碼,請在命令提示字元視窗中dsregcmd.exe /status執行命令。 如果裝置Microsoft Entra加入,結果中的[AzureAdjoined] 欄位會顯示 []。

從 Configuration Manager 主控台建立和執行 PowerShell 腳本

在Configuration Manager中,您可以使用套件和程式將腳本部署到用戶端裝置。 在此 Technical Preview 中,我們新增了可讓您採取下列動作的新功能:

  • 將 PowerShell 腳本匯入至 Configuration Manager
  • 僅針對未簽署的腳本,從 Configuration Manager 主控台 (編輯腳本)
  • 將腳本標示為已核准或拒絕,以改善安全性
  • 在 Windows 用戶端電腦集合和內部部署的 Windows 電腦集合上執行腳本。 您不會部署腳本,而是在用戶端裝置上以近乎即時的方式執行腳本。
  • 檢查腳本在 Configuration Manager 主控台中傳回的結果。

必要條件

若要使用腳本,您必須是適當Configuration Manager安全性角色的成員。

  • 若要匯入及撰寫腳本- 您的帳戶必須具有「系統高版權管理員」安全性角色的SMS 腳本建立許可權。
  • 若要核准或拒絕腳本- 您的帳戶必須具有「系統高版權管理員」安全性角色中SMS 腳本的核准許可權。
  • 若要執行腳本- 您的帳戶必須具有合規性設定管理員安全性角色中集合的執行腳本許可權。

如需Configuration Manager安全性角色的詳細資訊,請參閱角色型系統管理的基本概念

根據預設,使用者無法核准他們所撰寫的腳本。 由於腳本功能強大、多功能,而且可以部署到許多裝置,因此我們引進了一個新概念,可讓您在撰寫腳本的人員與核准腳本的人員之間分隔角色。 這可提供額外的安全性層級,防止在沒有監督的情況下執行腳本。 您可以關閉此次要核准,以方便測試,特別是在 Technical Preview 版本期間。

若要允許使用者核准自己的腳本:

  1. 在Configuration Manager主控台中,按一下 [系統管理]
  2. 在 [ 系統管理] 工作區中,展開 [ 月臺設定],然後按一下 [ 月臺]
  3. 在網站清單中,選擇您的網站,然後在 [ 首頁 ] 索引標籤的 [ 月臺 ] 群組中,按一下 [ 階層設定]
  4. 在 [階層設定屬性] 對話方塊的 [一般] 索引標籤上,清除 [不允許腳本作者核准自己的腳本]核取方塊。

試試看!

匯入和編輯腳本

  1. 在Configuration Manager主控台中,按一下 [軟體程式庫]
  2. 在 [ 軟體程式庫] 工作區中,按一下 [腳本]
  3. 在 [ 首頁] 索引標籤的 [ 建立] 群組中,按一下 [ 建立腳本]
  4. 在 [建立腳本精靈] 的 [腳本] 頁面上,設定下列專案:
    • 腳本名稱 - 輸入腳本的名稱。 雖然您可以使用相同的名稱建立多個腳本,但這會讓您更難在 Configuration Manager 主控台中找到所需的腳本。
    • 指令碼語言 - 目前僅支援 PowerShell 腳本。
    • 匯入 - 將 PowerShell 腳本匯入主控台。 腳本會顯示在 [ 腳本] 欄位中。
    • 清除 - 從 [腳本] 欄位移除目前的 腳本
    • 腳本 - 顯示目前匯入的腳本。 您可以視需要編輯此欄位中的腳本。
  5. 完成精靈。 新的腳本會顯示在 [腳本 ] 清單中,狀態 為 [等候核准]。 您必須先核准此腳本,才能在用戶端裝置上執行此腳本。

核准或拒絕腳本

您必須先核准腳本,才能執行腳本。 若要核准腳本:

  1. 在Configuration Manager主控台中,按一下 [軟體程式庫]
  2. 在 [ 軟體程式庫] 工作區中,按一下 [腳本]
  3. [腳本] 清單中,選擇您想要核准或拒絕的腳本,然後在 [ 首頁 ] 索引標籤的 [腳本 ] 群組中,按一下 [ 核准/拒絕]
  4. 在 [ 核准或拒絕腳本 ] 對話方塊中,核 拒絕 腳本,並選擇性地輸入有關您決策的批註。 如果您拒絕腳本,則無法在用戶端裝置上執行。
  5. 完成精靈。 在 [腳本] 清單中,您會看到 [ 核准狀態 ] 資料行變更,視您採取的動作而定。

執行腳本

一旦腳本獲得核准,就可以針對您選擇的集合執行。

  1. 在Configuration Manager主控台中,按一下 [資產與合規性]
  2. 在 [ 資產與相容性] 工作區中,按一下 [ 裝置集合]
  3. 在 [ 裝置集合] 清單中 ,按一下您要執行腳本的裝置集合。
  4. 在 [ 首頁] 索引標籤的 [ 所有系統] 群組中,按一下 [ 執行腳本]
  5. 在 [執行 腳本 精靈] 的 [ 腳本 ] 頁面上,從清單中選擇腳本。 只會顯示核准的腳本。 按 [下一步],然後完成精靈。

監視腳本

對用戶端裝置執行腳本之後,請使用此程式來監視作業是否成功。

  1. 在Configuration Manager主控台中,按一下 [監視]
  2. 在 [ 監視] 工作區中,按一下 [腳本結果]
  3. 在 [ 腳本結果 ] 清單中,您會檢視您在用戶端裝置上執行之每個腳本的結果。 腳本結束代碼 為 0,通常表示腳本已成功執行。

IPv6 的 PXE 網路開機支援

您現在可以啟用 IPv6 的 PXE 網路開機支援,以啟動工作順序作業系統部署。 當您使用此設定時,已啟用 PXE 的發佈點將支援 IPv4 和 IPv6。 此選項不需要 WDS,如果 WDS 存在,則會停止 WDS。

啟用 IPv6 的 PXE 開機支援

使用下列程式來啟用 PXE 的 IPv6 支援選項。

  1. 在Configuration Manager主控台中,移至 [系統管理>概觀>發佈點],然後按一下啟用 PXE 之發佈點的 [屬性]。
  2. [PXE] 索引 標籤上,選取 [支援 IPv6 ] 以啟用 PXE 的 IPv6 支援。

管理 Microsoft Surface 驅動程式更新

您現在可以使用Configuration Manager來管理 Microsoft Surface 驅動程式更新。

必要條件

所有軟體更新點都必須執行Windows Server 2016。

試試看!

嘗試完成下列工作, 然後從功能 區的 [ 常用 ] 索引標籤傳送意見反應給我們,讓我們知道其運作方式:

  1. 啟用 Microsoft Surface 驅動程式的同步處理。 使用設定分類和產品中的程式,然後選取 [分類] 索引標籤上的[包含 Microsoft Surface 驅動程式和韌體更新] 以啟用 Surface 驅動程式。
  2. 同步處理 Microsoft Surface 驅動程式
  3. 部署同步處理的 Microsoft Surface 驅動程式

設定商務用Windows Update延遲原則

您現在可以為Windows 10功能匯報或商務用Windows Update直接管理的Windows 10裝置設定品質匯報的延遲原則。 您可以在 [軟體> 程式庫Windows 10服務] 下的新[商務Windows Update原則] 節點中管理延遲原則

必要條件

Windows 10商務用Windows Update所管理的裝置必須具備網際網路連線能力。

建立商務用Windows Update延遲原則

  1. 軟體程式庫>中Windows 10服務>Windows Update商務原則
  2. 在 [首頁]索引標籤的 [建立]群組中,選取 [建立商務Windows Update原則] 以開啟 [建立商務Windows Update原則精靈]。
  3. 在 [一 般] 頁面上,提供原則的名稱和描述。
  4. 在 [延遲原則] 頁面上,設定是否要延遲或暫停功能匯報。
    功能匯報通常是 Windows 的新功能。 設定分支整備層級設定之後,您可以接著定義是否要延遲接收 Feature 匯報,並將其從 Microsoft 延後多久。
    • 分支整備層級:設定裝置將在最新分支或最新商務分支) (接收 Windows 更新的分支。
    • 延遲期間 (天) :指定功能匯報將延遲的天數。 您可以延遲接收這些功能匯報的發行 180 天。
    • 暫停功能匯報開始:選取是否要暫停裝置接收功能匯報最多 60 天后暫停更新。 超過天數上限之後,暫停功能會自動到期,且裝置會掃描 Windows 匯報是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除核取方塊來取消暫停功能匯報。
  5. 選擇要延遲或暫停品質匯報。
    品質匯報通常是現有 Windows 功能的修正和改進,通常會在每個月的第一個星期二發佈,不過 Microsoft 隨時都可以發行。 您可以定義是否要延遲接收品質匯報,並在其可用性之後延遲多久。
    • 延遲期間 (天) :指定功能匯報將延遲的天數。 您可以延遲接收這些功能匯報的發行 180 天。
    • 暫停品質匯報開始:選取是否要暫停裝置接收品質匯報最多 35 天,從您暫停更新的時間起。 超過天數上限之後,暫停功能會自動到期,且裝置會掃描 Windows 匯報是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除核取方塊來取消暫停品質匯報。
  6. 選取[從其他 Microsoft 產品安裝更新] 以啟用群組原則設定,讓延遲設定適用于 Microsoft Update 以及 Windows 匯報。
  7. 選取[包含具有Windows Update的驅動程式],以自動從 Windows 匯報更新驅動程式。 如果您清除此設定,就不會從 Windows 匯報下載驅動程式更新。
  8. 完成精靈以建立新的延遲原則。

若要部署商務用Windows Update延遲原則

  1. 軟體程式庫>中Windows 10服務>Windows Update商務原則
  2. 在 [首頁]索引標籤的 [部署] 群組中,選取 [部署商務Windows Update原則]
  3. 進行下列設定:
    • 要部署的設定原則:選取您想要部署的商務Windows Update原則。
    • 集合:按一下 [流覽 ] 以選取您要部署原則的集合。
    • 支援時補救不符合規範的規則:選取此選項可自動補救任何不符合 Windows Management Instrumentation 規範的規則 (WMI) 、登錄、腳本,以及Configuration Manager註冊之行動裝置的所有設定。
    • 允許在維護期間以外進行補救:如果已針對您要部署原則的集合設定維護時段,請啟用此選項,讓合規性設定補救維護期間以外的值。 如需維護期間的詳細資訊,請參閱 如何使用維護時段
    • 產生警示:設定設定基準合規性低於指定日期和時間指定百分比時產生的警示。 您也可以指定是否要將警示傳送至 System Center Operations Manager。
    • 隨機延遲 (小時) :指定延遲時間範圍,以避免在網路裝置註冊服務上進行過度處理。 預設值為 64 小時。
    • 排程:指定在用戶端電腦上評估已部署設定檔的合規性評估排程。 排程可以是簡單或自訂排程。 當使用者登入時,用戶端電腦會評估設定檔。
  4. 完成精靈以部署設定檔。

支援 Entrust 憑證授權單位單位

Configuration Manager現在支援 Entrust 憑證授權單位單位;這可讓 PFX 憑證傳遞至註冊到 Microsoft Intune 的裝置。

您可以在Configuration Manager中新增憑證登錄點角色時,將 Entrust 設定為憑證授權單位單位。 新增發行 PFX 憑證的新憑證設定檔時,您可以選取 Microsoft 或 Entrust 憑證授權單位單位。

已知問題:在 1706 Technical Preview 中,不會為 Microsoft 憑證授權單位單位發行 PFX 憑證。 這不會影響匯入的 PFX 憑證或 SCEP 設定檔。

iOS VPN 設定檔的 Cisco (IPsec) 支援

您可以使用 Cisco (IPsec) 作為連線類型來建立 iOS VPN 設定檔。 如需詳細資訊,請 參閱建立 VPN 設定檔

新的 Windows 組態專案設定

在此版本中,我們新增了您可以在 Windows 設定專案中使用的下列新設定:

密碼

  • 裝置加密

裝置

  • 僅限桌面 (修改區域設定)
  • 修改電源和睡眠設定
  • 修改語言設定
  • 系統時間修改
  • 修改裝置名稱

儲存區

  • 從市集自動更新應用程式
  • 僅使用私人市集
  • 市集原始應用程式啟動

Microsoft Edge

  • 封鎖對 about:flags 的存取
  • SmartScreen 提示覆寫
  • 檔案的 SmartScreen 提示覆寫
  • WebRTC localhost IP 位址
  • 預設搜尋引擎
  • OpenSearch XML URL
  • 僅限桌面 (首頁)

如需合規性設定的詳細資訊,請 參閱確保裝置合規性

新的裝置合規性政策規則

  • 必要的密碼類型。 指定使用者是否必須建立英數位元密碼或數值密碼。 針對英數位元密碼,您也可以指定密碼必須擁有的字元集數目下限。 這四個字元集為:小寫、大寫字母、符號和數位。

    支援于:

    • Windows Phone 8+
    • Windows 8.1+
    • iOS 6+

  • 封鎖裝置上的 USB 偵錯。 您不需要設定此設定,因為 Android for Work 裝置上已停用 USB 偵錯。

    支援于:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • 封鎖來自未知來源的應用程式。 裝置必須防止從未知來源安裝應用程式。 您不需要設定此設定,因為 Android for Work 裝置一律會限制來自未知來源的安裝。

    支援于:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • 需要對應用程式進行威脅掃描。 此設定會指定在裝置上啟用 [驗證應用程式] 功能。

    支援于:

    • Android 4.2 到 4.4
    • Samsung KNOX Standard 4.0+

新的行動應用程式管理原則設定

從此版本開始,您可以使用三個新的行動應用程式管理 (MAM) 原則設定:

  • 僅限) (Android 裝置的螢幕擷取畫面: 指定使用此應用程式時,會封鎖裝置的螢幕擷取功能。

  • 停用連絡人同步處理: 防止應用程式將資料儲存至裝置上的原生連絡人應用程式。

  • 停用列印: 防止應用程式列印公司或學校資料。

Android 和 iOS 註冊限制

從此版本開始,系統管理員現在可以指定使用者無法在其混合式環境中註冊個人 Android 或 iOS 裝置。 這可讓您將已註冊的裝置限制為預先宣告的公司擁有裝置,或僅向裝置註冊計畫註冊的 iOS 裝置。

進行測試

  1. 在 [系統管理] 工作區的 Configuration Manager 主控台中,移至[雲端服務>Microsoft Intune訂用帳戶]
  2. 在 [訂用帳戶] 群組的 [首頁] 索引標籤上,選擇 [設定平臺],然後選取[Android] 或[iOS]
  3. 取 [封鎖個人擁有的裝置]

複製貼上的 Android for Work 應用程式管理原則

我們已針對 [ 允許在工作和個人設定檔之間共用資料] 更新 Android for Work 設定專案的設定描述。

1706 Technical Preview 之前 新選項名稱 行為
防止跨界限共用 預設共用限制 工作對個人:預設 (預期會在所有版本上封鎖)
個人對工作:6.x+ 允許的預設 (,在 5.x 上封鎖)
沒有限制 個人設定檔中的應用程式可以處理來自工作設定檔的共用要求 工作對個人:允許
個人對工作:允許
工作設定檔中的應用程式可以處理來自個人設定檔的共用要求 工作設定檔中的應用程式可以處理來自個人設定檔的共用要求 工作對個人:預設值
個人對工作:允許
(只有在 5.x 上才有用,其中會封鎖個人對工作)

這些選項都無法直接防止複製貼上行為。 我們在 1704 中將自訂設定新增至服務和公司入口網站應用程式,可設定為防止複製貼上。 這可以透過自訂 URI 來設定。

  • OMA-URI:./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • 實數值型別:布林值

將 DisallowCrossProfileCopyPaste 設定為 true 可防止 Android for Work 個人設定檔與工作設定檔之間的複製貼上行為。

進行測試

  1. 在Configuration Manager主控台中,選取[資產與合規性概觀>合規性> 設定 >] [組態專案]
  2. 選擇 [建立 ] 以建立新的設定專案,並指定 [名稱 ] 和 [Android for Work]
  3. 在要設定的裝置設定群組中,選取 [ 工作設定檔],然後選擇 [ 下一步]
  4. 選取 [ 允許在工作和個人設定檔之間共用資料] 的值,然後完成精靈。

條件式存取合規性原則的裝置健康情況證明評估

從此版本開始,您可以使用裝置健康情況證明狀態作為公司資源條件式存取的合規性原則規則。

進行測試

選取裝置健康情況證明規則作為合規性政策評估的一部分。