Configuration Manager 技术预览版 2002.2 中的功能
适用于:Configuration Manager (technical preview branch)
本文介绍 Configuration Manager 技术预览版 2002.2 中提供的功能。 安装此版本以更新技术预览网站并添加新功能。
在安装此更新之前,请查看 技术预览 文章。 本文使你熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供反馈。
以下部分介绍在此版本中试用的新功能:
Microsoft Intune 租户附加:设备同步和设备操作
Microsoft Intune 系列产品是用于管理所有设备的集成解决方案。 Microsoft将 Configuration Manager 和 Intune 合并到名为 Microsoft Intune 管理中心的单个控制台中。 从此版本开始,可以将 Configuration Manager 设备上传到云服务,并从管理中心的“ 设备” 边栏选项卡中执行操作。
先决条件
- 应用此更改时用于登录的 全局管理员 帐户。 有关详细信息,请参阅 Microsoft Entra 管理员角色。
- 载入会在 Microsoft Entra 租户中创建第三方应用和第一方服务主体。
- Azure 公有云环境。
- 触发设备操作的用户帐户具有以下先决条件:
- 已使用 Microsoft Entra 用户发现发现
- 已通过 Active Directory 用户发现发现
- Configuration Manager 中 Collections 对象类下的“通知资源”权限。
- 从管理>概述>更新和维护>功能启用此预发布功能。
Internet 终结点
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
日志文件
使用以下位于服务连接点上的日志:
- CMGatewaySyncUploadWorker.log
- CMGatewayNotificationWorker.log
已知问题
载入后,需要重启SMS_EXECUTIVE服务。 服务重启是一次性操作,仅适用于此技术预览版。
尝试一下!
尝试完成任务。 然后发送 反馈 ,其中包含你对该功能的看法。
启用设备上传
- 如果当前已启用共同管理, 请编辑共同管理属性 以启用设备上传。
- 如果未启用共同管理, 请使用 配置共同管理 向导 启用设备上传。
- 你可以上传设备,而无需启用自动注册以共同管理或将工作负载切换到 Intune。
- 将上传 Configuration Manager 管理的所有“客户端”列为“是”的设备。 如果需要,你可以限制上载到单个设备集合。
编辑共同管理属性以启用设备上传
如果当前已启用共同管理,请按照以下说明编辑共同管理属性以启用设备上传:
在 Configuration Manager 管理控制台中,转到 “管理>概述>云服务>共同管理”。
右键单击共同管理设置,然后选择 “属性”。
在 配置上传 选项卡中,选择 上传到 Microsoft Endpoint Manager 管理中心。 单击“应用”。
- 设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 如果需要,你可以限制上载到单个设备集合。
提示时请使用 全局管理员 帐户登录。
单击“ 是 ”接受 “创建Microsoft Entra 应用程序 ”通知。 此操作预配服务主体并创建Microsoft Entra 应用程序注册以方便同步。
完成更改后,单击“ 确定 ”退出共同管理属性。
使用配置共同管理向导启用设备上传
如果未启用共同管理,请使用 配置共同管理 向导来启用设备上传。 你可以上传设备,而无需启用自动注册以共同管理或将工作负载切换到 Intune。 按照以下说明启用设备上传:
在 Configuration Manager 管理控制台中,转到 “管理>概述>云服务>共同管理”。
在功能区中,单击“ 配置共同管理 ”以打开向导。
在租户载入页面上,选择适用于你的环境的 AzurePublicCloud。 不支持 Azure 政府云。
单击“ 登录”。 使用 全局管理员 帐户登录。
确保在租户上载页面上选择上传到 Microsoft Endpoint Manager 管理中心选项。
- 如果不想要立即启用共同管理,请确保未选中 为共同管理启用自动客户端注册 选项。 如果要启用共同管理,请选中该选项。
- 如果启用共同管理和设备上传,向导中就会包含更多需要完成的页面。 有关详细信息,请参阅 启用共同管理。
单击“ 下一步 ”,然后单击“ 是 ”接受 “创建Microsoft Entra 应用程序 ”通知。 此操作预配服务主体并创建Microsoft Entra 应用程序注册以方便同步。
在配置上载页面上,为由 Microsoft Endpoint Configuration Manager 管理的所有设备选择推荐的设备上传设置。 如果需要,你可以限制上载到单个设备集合。
单击“ 摘要 ”查看所选内容,然后单击“ 下一步”。
向导完成后,单击“ 关闭”。
查看上传并执行设备操作
查看日志
- 从 <ConfigMgr install directory>\Logs 打开CMGatewaySyncUploadWorker.log。
- 下一次同步时间由类似于
Next run time will be at approximately: 02/28/2020 16:35:31
的日志条目标记。 - 对于设备上传,查找类似于
Batching N records
的日志条目。 N 是上传到云的设备数。 - 每 15 分钟上传一次更改。 上传更改后,客户端更改可能需要 5 到 10 分钟才能显示在 Microsoft Intune 管理中心。
执行设备操作
在浏览器中,导航到“
https://intune.microsoft.com
”。单击设备以加载其 “概述 ”页。
单击以下任一操作:
- 同步计算机策略
- 同步用户策略
- 应用评估周期
用于正确 HTTPS 配置的管理见解规则
此版本包括其他 管理见解 规则,可帮助你配置站点以添加安全 HTTPS 通信:
没有正确 HTTPS 配置的网站:此规则列出了层次结构中未正确配置 HTTPS 的网站。 此配置可防止站点将 集合成员身份结果同步到 entra 组Microsoft。 这可能会导致 Azure AD Sync 无法上传所有设备。 这些客户端的管理可能无法正常工作。
未上传到Microsoft Entra ID 的设备:此规则列出未上传到 Microsoft Entra ID 的设备,因为站点未正确配置 HTTPS。
对于任一规则,请配置 增强型 HTTP,或为 HTTPS 启用至少一个管理点。 如果之前已为站点配置了 HTTPS 通信,则不会显示这些规则。
对 BitLocker 管理的改进
在 Configuration Manager Current Branch 版本 1910 中,若要集成 BitLocker 恢复服务,必须启用 HTTPS 管理点。 需要 HTTPS 连接来加密从 Configuration Manager 客户端到管理点的网络上的恢复密钥。 对于许多客户来说,为 HTTPS 配置管理点和所有客户端可能具有挑战性。
从此版本开始,HTTPS 要求适用于托管恢复服务的 IIS 网站,而不是整个管理点角色。 此更改放宽了证书要求,并且仍会加密传输中的恢复密钥。
现在,管理点的 “客户端连接 ”属性可以是 HTTP 或 HTTPS。 如果为 HTTP 配置了管理点,则支持 BitLocker 恢复服务:
获取服务器身份验证证书。 将证书绑定到托管 BitLocker 恢复服务的管理点上的 IIS 网站。
将客户端配置为信任服务器身份验证证书。 可通过两种方法实现此信任:
使用来自公共和全局受信任的证书提供程序的证书。 Windows 客户端包括受信任的根证书颁发机构 (CA) 这些提供程序。 通过使用其中一个提供程序颁发的服务器身份验证证书,客户端应自动信任它。
使用 CA 从组织的公钥基础结构颁发的证书 (PKI) 。 大多数 PKI 实现将受信任的根 CA 添加到 Windows 客户端。 例如,将 Active Directory 证书服务与组策略配合使用。 如果从客户端不自动信任的 CA 颁发服务器身份验证证书,请将 CA 受信任的根证书添加到客户端。
提示
唯一需要与恢复服务通信的客户端是那些计划使用 BitLocker 管理策略并包含 客户端管理 规则 的客户端。
在客户端上,使用 BitLockerManagementHandler.log 对此连接进行故障排除。 对于与恢复服务的连接,日志显示客户端正在使用的 URL。 找到以 开头的 Checking for Recovery Service at
条目。
对 ARM64 设备的支持的改进
此版本改进了对具有 ARM64 处理器的设备的支持。 所有 Windows 10 (ARM64) 平台现已在以下对象的受支持操作系统版本列表中提供:
- 配置项目支持的平台
- 应用程序部署类型要求
- 包计划要求
- 任务序列高级属性
注意
如果之前选择了顶级 Windows 10 平台,此操作会自动选择 所有 Windows 10 (64 位) 和 所有 Windows 10 (32 位) 。 不会自动选择此新平台。 如果要添加 所有 Windows 10 (ARM64) ,请手动在列表中将其选中。
有关 Configuration Manager 对 ARM64 设备的支持的详细信息,请参阅 ARM64 上的 Windows 10。
在所有子文件夹中搜索配置项目和配置基线
与以前版本中的改进类似,现在可以使用“配置项目”和“配置基线”节点中的“所有子文件夹搜索”选项。
支持 64 位 macOS Catalina
Configuration Manager 现在支持 64 位 macOS Catalina 版本 10.15。 有关详细信息,请参阅 客户端和设备受支持的 OS 版本。
还可以使用 Microsoft Intune 来管理 macOS 设备。 有关详细信息,请参阅 部署指南:在 Microsoft Intune 中管理 macOS 设备。
将本地站点扩展和迁移到 Azure Microsoft的改进
将本地站点扩展并迁移到Microsoft Azure 现在支持在单个 Azure 虚拟机上预配多个站点系统角色。 可以在完成初始 Azure 虚拟机部署后添加站点系统角色。 若要向现有虚拟机添加新角色,请执行以下步骤:
- 在 “Azure 中的部署 ”选项卡上,单击状态为“ 已完成 ”的虚拟机部署。
- 单击“ 新建 ”按钮,向虚拟机添加其他角色。
Microsoft Configuration Manager 云功能
当 Microsoft Intune 管理中心或其他附加的云服务中提供用于本地 Configuration Manager 安装的新基于云的功能时,现在可以在 Configuration Manager 控制台中选择加入这些新功能。 有关在 Configuration Manager 控制台中启用功能的详细信息,请参阅 从更新中启用可选功能。
后续步骤
有关安装或更新技术预览分支的详细信息,请参阅 技术预览版。
有关 Configuration Manager 的不同分支的详细信息,请参阅 我应使用 Configuration Manager 的哪个分支?。