Technical Preview 1709 for Configuration Manager 中的功能

适用于：Configuration Manager (技术预览分支)

本文介绍 Configuration Manager Technical Preview 版本 1709 中提供的功能。 可以安装此版本，以更新Configuration Manager技术预览版站点并向其添加新功能。 在安装此版本的技术预览版之前，请查看 technical Preview for Configuration Manager，以熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供有关技术预览版中功能的反馈。

此 Technical Preview 中的已知问题：

• 如果站点服务器处于被动模式，则更新到预览版 1709 会失败。 运行预览版 1706、1707 或 1708 并且 主站点服务器处于被动模式时，必须先卸载被动模式站点服务器，然后才能成功将预览站点更新到版本 1709。 站点运行版本 1709 后，可以重新安装被动模式站点服务器。

  若要卸载被动模式站点服务器，请执行以下操作：

  1. 在控制台中，转到 “管理>概述>”“站点配置>服务器和站点系统角色”，然后选择被动模式站点服务器。
  2. 在“ 站点系统角色 ”窗格中，右键单击“ 站点服务器 角色”，然后选择“ 删除角色”。
  3. 右键单击被动模式站点服务器，然后选择 “删除”。
  4. 站点服务器卸载后，在活动主站点服务器上重启服务 CONFIGURATION_MANAGER_UPDATE。

以下是可使用此版本试用的新功能。

改进了 Configuration Manager 控制台中的 VPN 配置文件体验

在此版本中，我们更新了 VPN 配置文件向导和属性页，以显示适用于所选平台的设置。 具体来说：

• 每个平台都有自己的工作流，这意味着新的 VPN 配置文件仅包含平台支持的设置。
• “ 支持的平台” 页现在显示在“ 常规 ”页之后。 现在，在设置属性值之前选择平台。
• 当平台设置为 Android、Android for Work 或 Windows Phone 8.1 时，不需要“支持的平台”页，也不会显示。
• 基于客户端的Configuration Manager工作流已与混合移动设备 (MDM) 基于客户端的Windows 10工作流相结合;它们支持相同的设置。
• 每个平台工作流仅包括适用于该工作流的设置。 例如，Android 工作流包含适用于 Android 的设置;适用于 iOS 或Windows 10 移动版的设置不再显示在 Android 工作流中。
• 对于Windows 8.1设备，Configuration Manager管理的设置会明确标记。
• “自动 VPN”页已过时，已删除。

这些更改适用于新的 VPN 配置文件。

为了最大程度地降低兼容性风险，现有 VPN 配置文件保持不变。 编辑现有配置文件时，设置将显示为创建配置文件时的设置。

尝试一下！

使用常规过程创建新的 VPN 配置文件。 请注意，VPN 配置文件向导选项的第一页已更改。

1. 转到 “资产和符合性>概述”>“符合性设置>”“公司资源访问>VPN 配置文件” ，然后选择“ 创建 VPN 配置文件”。

2. 在“ 常规 ”页上输入名称，并在“ 指定要创建的 VPN 配置文件类型”下选择以下选项之一：

   • Windows 10
   • Windows 8.1
   • Windows Phone 8.1
   • iOS 和 macOS
   • Android
   • Android for Work

3. 如果选择Windows 8.1，还可以选择“创建新配置文件”或“从文件导入”。

4. 完成向导以完成配置文件的创建。

选择不同的平台时，请注意，仅显示与所选平台相关的设置。

Windows 10 设备的共同管理

许多客户希望管理Windows 10设备的方式与使用基于云的简化的低成本解决方案管理移动设备的方式相同。 但是，从传统管理向现代管理过渡可能具有挑战性。 从Windows 10版本 1607 (也称为周年更新) 开始，你可以加入Windows 10设备，以同时本地 Active Directory (AD) 和基于云的Microsoft Entra ID (混合Microsoft Entra ID) . 共同管理利用了这一改进，使你能够同时使用Configuration Manager和Intune来管理Windows 10设备。 这是一种解决方案，它提供了从传统管理到现代管理的桥梁，并提供了使用分阶段方法进行转换的途径。

先决条件

在启用共同管理之前，必须满足以下先决条件。 现有Configuration Manager客户端和不是客户端的设备有一般先决条件和不同的先决条件。

已知问题

创建共同管理策略后，无法编辑该策略。 若要更改策略，请将其删除，然后使用所需的设置重新创建它。

一般先决条件

以下是启用共同管理的一般先决条件：

• Configuration Manager版本 1709 的技术预览版

• Microsoft Entra ID

• 所有用户的 EMS 或 Intune 许可证

• Intune中的Intune订阅 (MDM 机构设置为 Intune)

  注意

  如果混合 MDM 环境 (Intune 与Configuration Manager) 集成，则无法启用共同管理。

现有Configuration Manager客户端的其他先决条件

• Windows 10版本 1709 (Fall Creators Update) 及更高版本
• Microsoft Entra混合联接 (加入 AD 和 Microsoft Entra ID)

新Windows 10设备的其他先决条件

• Windows 10版本 1709 (Fall Creators Update) 及更高版本
• Configuration Manager 中的云管理网关

可以切换到Intune的工作负荷

启用共同管理后，Configuration Manager 将继续管理所有工作负载。 确定准备就绪后，可以Intune开始管理可用的工作负载。 在此版本中，可以Intune管理以下工作负载。

合规性策略

合规性策略定义了设备被条件访问策略视为合规所必须要遵循的规则和设置。 还可以使用符合性策略来独立于条件访问来监视和修正设备的合规性问题。

适用于企业的 Windows 更新 策略

借助适用于企业的 Windows 更新策略，可以为 Windows 10 设备的 Windows 10 功能更新或质量更新配置延迟策略，这些设备由适用于企业的 Windows 更新直接管理。 有关详细信息，请参阅配置 Windows 更新 for Business 延迟策略。

Azure 上的 Intune 中适用于共同托管设备的远程操作

启用Windows 10设备共同管理后，可以通过 Azure 上的Intune执行以下远程操作：

• 恢复出厂设置
• 选择性擦除
• 删除设备
• 重启设备
• 全新启动

准备 Intune 进行共同管理

在将工作负载从Configuration Manager切换到Intune之前，请在Intune中创建所需的配置文件和策略，以确保设备继续受到保护。 可以根据Configuration Manager中的对象在 Intune 中创建对象。 或者，如果当前策略基于旧式或传统管理，则可能需要退后一步，重新思考新式管理所需的策略和配置文件。 使用以下资源创建策略和配置文件。

• 适用于企业的 Windows 更新 策略
• 设备配置文件

共同管理的体系结构概述

下图提供了共同管理的体系结构概述，以及它如何适用于现有配置和Intune基础结构。

启用共同管理的方案

可为在 Microsoft Intune 和现有 Windows 10 Configuration Manager 客户端中注册的 Windows 10 设备启用共同管理。 这两种方案都会导致Windows 10设备同时由Configuration Manager和Intune管理，并加入 AD 和 Microsoft Entra ID。

在 Intune 中注册的设备

在 Intune 中注册Windows 10设备时，可以在设备上安装 Configuration Manager 客户端， (使用特定的命令行参数) 准备客户端进行共同管理。 然后，从 Configuration Manager 控制台启用共同管理，开始将特定工作负载移动到特定Windows 10设备的Intune。

对于尚未在 Intune 中注册的Windows 10设备，可以使用 Azure 中的自动注册来注册设备。 对于新的Windows 10设备，可以使用 Windows Autopilot 配置全新体验 (OOBE) ，其中包括在 Intune 中注册设备的自动注册。

Configuration Manager 客户端

Windows 10 Configuration Manager客户端的设备时，可以从 Configuration Manager 控制台注册这些设备并启用共同管理。 Configuration Manager根据Microsoft Entra租户信息触发自动注册到 Intune。

准备Windows 10设备进行共同管理

可以在已加入 AD 和 Microsoft Entra ID、在 Intune 和 Configuration Manager 中注册的客户端Windows 10设备上启用共同管理。 对于新的Windows 10设备，对于已在 Intune 中注册的设备，请先安装 Configuration Manager 客户端，然后才能共同管理它们。 对于已Configuration Manager客户端的Windows 10设备，可以使用Intune注册设备，并在Configuration Manager控制台中启用共同管理。

用于安装Configuration Manager客户端的命令行

在 Intune 中为尚未Configuration Manager客户端Windows 10设备创建应用。 在后续部分中创建应用时，请使用以下命令行：

ccmsetup.msi CCMSETUPCMD=“/mp：<云管理网关相互身份验证终结点>的 URL/ CCMHOSTNAME=<云管理网关相互身份验证终结点>的 URL SmsSiteCode=<Sitecode> SMSMP=https：//<FQDN of MP> AADTENANTID=<Microsoft Entra租户 ID> AADTENANTNAME=<租户名称> AADCLIENTAPPID=<Server AppIDMicrosoft Entra集成>AADRESOURCEURI=https：//<Resource ID>”

例如，如果具有以下值：

• 云管理网关相互身份验证终结点的 URL： https://contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100

  注意

  使用 vProxy_Roles SQL 视图中的 MutualAuthPath 值作为云管理网关相互身份验证终结点值的 URL。

• 管理点的 FQDN (MP) ： sccmmp.corp.contoso.com

• 站点代码：PS1

• Microsoft Entra租户 ID：72F988BF-86F1-41AF-91AB-2D7CD011XXXX

• Microsoft Entra租户名称：contoso

• Microsoft Entra客户端应用 ID：bef323b3-042f-41a6-907a-f9faf0d1XXXX

• Microsoft Entra资源 ID URI：ConfigMgrServer

  注意

  将 vSMS_AAD_Application_Ex SQL 视图中的 IdentifierUri 值用于Microsoft Entra资源 ID URI 值。

可以使用以下命令行：

ccmsetup.msi CCMSETUPCMD=“/mp：https://contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100 CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72057594037928100 SMSSiteCode=PS1 SMSMP=https://sccmmp.corp.contoso.com AADTENANTID=72F988BF-86F1-41AF-41AF-1 91AB-2D7CD011XXXX AADTENANTNAME=contoso AADCLIENTAPPID=bef323b3-042f-41a6-907a-f9faf0d1XXXX AADRESOURCEURI=https://ConfigMgrServer"

提示

可以使用以下步骤查找站点的命令行参数：

1. 在Configuration Manager控制台中，转到“管理>概述>云服务>Co-management”。
2. 在“主页”选项卡上的“管理”组中，选择 “配置共同管理 ”以打开“共同管理载入向导”。
3. 在“订阅”页上，单击“登录”并登录到Intune租户，然后单击“下一步”。
4. 在“启用”页上，单击“Intune注册的设备”部分中的“复制”，将命令行复制到剪贴板，然后保存命令行以在创建应用过程中使用。
5. 单击“ 取消 ”退出向导。

新Windows 10设备

对于新的Windows 10设备，可以使用 Autopilot 服务配置现成的体验，其中包括将设备加入 AD 和Microsoft Entra ID，以及在 Intune 中注册设备。 然后，在 Intune 中创建应用以部署 Configuration Manager 客户端。

1. 为新的Windows 10设备启用 Autopilot。 有关详细信息，请参阅 Windows Autopilot 概述。
2. 在 Microsoft Entra ID 中配置自动注册，以便设备自动注册到Intune。 有关详细信息，请参阅为Microsoft Intune注册 Windows 设备。
3. 使用 Configuration Manager 客户端包在 Intune 中创建应用，并将应用部署到要共同管理的Windows 10设备。 完成使用 Microsoft Entra ID 从 Internet 安装客户端的步骤时，请使用命令行安装 Configuration Manager 客户端。

Windows 10未在 Intune 或 Configuration Manager 客户端中注册的设备

对于未在 Intune 中注册或具有 Configuration Manager 客户端的Windows 10设备，可以使用自动注册在 Intune 中注册设备。 然后，在 Intune 中创建应用以部署 Configuration Manager 客户端。

1. 在 Microsoft Entra ID 中配置自动注册，以便设备自动注册到Intune。 有关详细信息，请参阅为Microsoft Intune注册 Windows 设备。
2. 使用 Configuration Manager 客户端包在 Intune 中创建应用，并将应用部署到要共同管理的Windows 10设备。 完成使用 Microsoft Entra ID 从 Internet 安装客户端的步骤时，请使用命令行安装 Configuration Manager 客户端。

Intune 中注册的 Windows 10 设备

对于已在 Intune 中注册的Windows 10设备，请在 Intune 中创建应用以部署 Configuration Manager 客户端。 完成使用 Microsoft Entra ID 从 Internet 安装客户端的步骤时，请使用命令行安装 Configuration Manager 客户端。

将配置服务器工作负载切换到 Intune

在上一部分中，你为共同管理准备了Windows 10设备。 这些设备现在已加入 AD 和 Microsoft Entra ID，它们已在 Intune 中注册，并且具有 Configuration Manager 客户端。 你可能仍有Windows 10设备已加入 AD 并具有Configuration Manager客户端，但未加入Microsoft Entra ID或注册到Intune。 以下过程提供了启用共同管理、准备其余Windows 10设备 (Configuration Manager 客户端的步骤，而无需Intune注册) 进行共同管理，并允许你开始将特定Configuration Manager工作负荷切换到Intune。

1. 在Configuration Manager控制台中，转到“管理>概述>云服务>Co-management”。
2. 在“主页”选项卡上的“管理”组中，选择 “配置共同管理 ”以打开“共同管理载入向导”。
3. 在“订阅”页上，单击“登录”并登录到Intune租户，然后单击“下一步”。
4. 在“暂存”页上，配置以下设置，然后单击“ 下一步”：
   • 试点组：试点组包含所选的一个或多个集合。 将此组用作分阶段推出共同管理的一部分。 可以从小型测试集合开始，然后在向更多用户和设备推出共同管理时，将更多集合添加到试点组。 可以随时从共同管理属性更改试点组中的集合。
   • 生产：选择此设置时，将启用所有受支持的Windows 10设备进行共同管理。 使用一个或多个集合配置 排除组 。 将属于此组中任何集合的成员的设备排除在使用共同管理之外。
5. 在“启用”页上，选择“试点”或“所有 (，具体取决于你在”暂存“页上配置的设置，) 启用Intune自动注册，然后单击”下一步”。 选择“试点”时，只有属于试点组的 Configuration Manager 客户端会自动注册Intune。 这允许对部分客户端启用共同管理，以最初测试共同管理，并使用分阶段方法推出共同管理。
6. 在“工作负荷”页上，选择是否切换Configuration Manager由Intune管理的工作负荷，然后单击“下一步”。 使用滑块选择是将工作负荷切换到试点组，还是针对所有Windows 10客户端 (，具体取决于在“暂存”页上配置的设置) 。
7. 若要启用共同管理，请完成向导。

另请参阅

有关安装或更新技术预览分支的信息，请参阅适用于Configuration Manager的技术预览版。