如何在 Configuration Manager 中管理用戶端

  • 發行項

適用於:Configuration Manager (目前的分支)

當 Configuration Manager 用戶端安裝在裝置上並成功指派給月臺時,您會在 [裝置] 節點的 [資產與相容性] 工作區中,以及 [裝置集合] 節點的一或多個集合中看到裝置。 選取裝置或集合,然後執行管理作業。 不過,還有其他方法可管理用戶端,其中可能涉及控制台中的其他工作區,或控制台外部的工作。

注意事項

如果您安裝 Configuration Manager 用戶端,但尚未成功指派給月臺,它可能不會顯示在控制台中。 在用戶端指派給網站之後,更新集合成員資格,然後重新整理主控台檢視。

未安裝 Configuration Manager 用戶端時,裝置也可以顯示在控制台中。 如果月台發現裝置,但未安裝及指派用戶端,就會發生此行為。

使用 Exchange Server 連接器內部部署 MDM 管理的行動裝置不會安裝 Configuration Manager 用戶端。

若要從主控台管理裝置,請使用 [裝置] 節點中的 [客戶端] 資料行來判斷是否已安裝用戶端。

從 [裝置] 節點管理客戶

視裝置類型而定,其中有些選項可能無法使用。

  1. 在 Configuration Manager 控制台中,移至 [資產與兼容性] 工作區,然後選取 [裝置] 節點。

  2. 選取一或多個裝置,然後從功能區中選取其中一個用戶端管理工作。 您也可以以滑鼠右鍵按兩下裝置。

匯入使用者裝置親和性

設定使用者與裝置之間的關聯,以便有效率地將軟體部署給使用者。

如需詳細資訊,請 參閱使用使用者裝置親和性連結使用者和裝置

匯入計算機資訊

啟動 [匯入計算機資訊精靈],將新的計算機資訊匯入 Configuration Manager 資料庫。 您可以使用檔案匯入多部計算機,或指定單一計算機的資訊。

新增選取的專案

提供下列選項:

  • 將選取的專案新增至現有的裝置集合:開啟 [ 選取集合 ] 對話方塊。 選取您要新增此裝置的集合。 裝置會使用 直接 成員資格規則包含在此集合中。

  • 將選取的專案新增至新的裝置集合:開啟 [ 建立裝置集合 精靈],您可以在其中建立新的集合。 選取的集合會使用 直接 成員資格規則包含在此集合中。

如需詳細資訊,請 參閱如何建立集合

安裝用戶端

開啟 [安裝用戶端精靈]。 此精靈會使用用戶端推入安裝,在選取的裝置上安裝或重新安裝 Configuration Manager 用戶端。

提示

有許多不同的方式可以安裝 Configuration Manager 用戶端。 雖然用戶端推送精靈從控制台提供方便的用戶端安裝方法,但此方法有許多相依性,不適用於所有環境。 如需相依性的詳細資訊,請參閱 將用戶端部署至 Windows 計算機的必要條件。 如需其他用戶端安裝方法的詳細資訊,請參閱 用戶端安裝方法

如需詳細資訊,請參閱如何使用用戶端推入來安裝 Configuration Manager 用戶端

執行腳本

開啟 [ 執行腳本 精靈],在選取的裝置上執行 PowerShell 腳本。

如需詳細資訊,請 參閱建立和執行 PowerShell 腳本

安裝應用程式

將應用程式即時安裝到裝置。 這項功能有助於減少每個應用程式的個別集合需求。

從 2111 版開始,選取應用程式 群組的 [安裝應用程式群 組] 動作。

如需詳細資訊,請 參閱安裝裝置的應用程式

重新指派網站

將一或多個用戶端重新指派給階層中的另一個主要月臺,包括受管理的行動裝置。 您可以個別重新指派用戶端,或選取多個用戶端以大量重新指派用戶端。

用戶端設定 - 結果客戶端設定

當您將多個客戶端設定部署到相同的裝置時,設定的優先順序和組合會很複雜。 使用此選項來檢視部署至此裝置的用戶端設定結果集。

如需詳細資訊,請參閱 如何設定客戶端設定

Start

核准

當用戶端使用 HTTP 和自我簽署憑證與站台系統通訊時,您必須核准這些用戶端,才能將它們識別為受信任的電腦。 根據預設,月臺設定會自動核准來自相同 Active Directory 樹系、受信任樹系和已連線 Microsoft Entra 租使用者的用戶端。 此預設行為表示您不需要手動核准每個用戶端。 從您信任的不受信任樹系,以及您信任的任何其他未經核准的計算機,手動核准工作組計算機或用戶端。

重要事項

雖然某些管理功能可能適用於未核准的用戶端,但這是不支援的 Configuration Manager 案例。

您不需要核准一律使用 HTTPS 與站台系統通訊的用戶端,或使用 HTTP 與月台系統通訊時使用 PKI 憑證的用戶端。 這些用戶端會使用 PKI 憑證來建立信任。

封鎖或解除封鎖

封鎖您不再信任的用戶端。 封鎖會防止用戶端接收原則,並防止站台系統與客戶端通訊。

重要事項

封鎖用戶端只會防止用戶端與月台系統 Configuration Manager 通訊。 它不會防止與其他裝置通訊。 當用戶端使用 HTTP 而非 HTTPS 與站台系統通訊時,會有一些安全性限制。

您也可以解除封鎖已封鎖的用戶端。

如需詳細資訊,請 參閱決定是否要封鎖用戶端

清除必要的 PXE 部署

您可以清除指派給 Configuration Manager 集合或計算機的最後一個 PXE 部署狀態,以重新部署必要的 PXE 部署。 此動作會重設該部署的狀態,並重新安裝最新的必要部署。

如需詳細資訊,請 參閱使用 PXE 透過網路部署 Windows

用戶端通知

如需詳細資訊,請參閱 用戶端通知

Endpoint Protection

如需詳細資訊,請參閱 用戶端通知

編輯主要使用者

檢視過去 90 天內此裝置的使用者,或指定此裝置的主要使用者。

如需詳細資訊,請 參閱使用使用者裝置親和性連結使用者和裝置

抹除行動裝置

您可以抹除支援抹除命令的行動裝置。 此動作會永久移除行動裝置上的所有數據,包括個人設定和個人資料。 一般而言,此動作會將行動裝置重設回原廠預設值。 抹除不再受信任的行動裝置。 例如,如果裝置遺失或遭竊。

提示

如需行動裝置如何處理遠端抹除命令的詳細資訊,請查看製造商的檔。

在行動裝置收到抹除命令之前,通常會有延遲:

  • 如果行動裝置由 Configuration Manager 註冊,用戶端會在下載其客戶端原則時收到 命令。

  • 如果行動裝置是由 Exchange Server 連接器所管理,則會在與 Exchange 同步處理時收到命令。

若要監視裝置何時收到抹除命令,請使用 [ 抹除狀態] 數據 行。 在裝置將抹除通知傳送至 Configuration Manager 之前,您可以取消抹除命令。

淘汰行動裝置

只有內部部署 MDM 註冊的行動裝置才支援 [淘汰 ] 選項。

如需詳細資訊,請參閱 使用遠端抹除、遠端鎖定或密碼重設來協助保護您的數據

變更擁有權

如果裝置未加入網域,且未安裝 Configuration Manager 用戶端,請使用此選項將擁有權變更為 [公司] 或 [個人]

您可以在應用程式需求中使用此值來控制部署,以及控制從用戶裝置收集多少清查。

您可能需要以滑鼠右鍵按兩下任何資料行標題並選擇它,以將 [ 裝置擁有者 ] 資料行新增至檢視。

刪除

警告

如果您想要卸載 Configuration Manager 用戶端或從集合中移除用戶端,請勿刪除用戶端。

[刪除] 動作會手動從 Configuration Manager 資料庫中移除客戶端記錄。 請只使用此動作來針對問題進行疑難解答。 如果您刪除物件,但用戶端仍已安裝並與月台通訊,活動訊號探索會重新建立客戶端記錄。 雖然用戶端歷程記錄和任何先前的關聯都會遺失,但會在 Configuration Manager 控制台中重新出現。

注意事項

當您刪除由 Configuration Manager 註冊的行動裝置用戶端時,此動作也會撤銷核發的 PKI 憑證。 管理點接著會拒絕此憑證,即使 IIS 未檢查 CRL) (證書吊銷清單。

當您刪除這些用戶端時,不會撤銷行動裝置舊版用戶端上的憑證。

若要卸載用戶端,請參閱卸載 Configuration Manager 用戶端

若要將用戶端指派給新的主要月臺,請參閱 如何將用戶端指派給月臺

若要從集合中移除用戶端,請重新設定集合屬性。 如需詳細資訊,請 參閱如何管理集合

重新整理

使用資料庫中的最新數據重新整理主控台檢視。 例如,如果裝置出現在探索的清單中,但未顯示為已安裝。 安裝客戶端並確定用戶端已指派給月臺之後,請選取 [ 重新整理]

屬性

檢視以客戶端為目標的探索數據和部署。

切換至 [ 變數] 索 引標籤,以設定工作順序用來將OS部署至裝置的變數。 如需詳細資訊,請 參閱建立裝置和集合的工作順序變數

從 2111 版開始,切換至 [ 自定義屬性 ] 索引標籤,以手動設定裝置上的自定義屬性以進行報告或建立集合。 如需詳細資訊,請參閱 裝置的自定義屬性

[裝置集合] 節點管理用戶端

[裝置 ] 節點 中的裝置也可在集合上使用許多可用的工作。 主控台會自動將作業套用至集合中所有符合資格的裝置。 整個集合上的這個動作會產生更多網路封包,並增加月台伺服器上的CPU使用量。

執行集合層級工作之前,請先考慮下列問題。 啟動之後,您就無法從主控台停止工作。

  • 集合中有多少部裝置?
  • 裝置是否透過低頻寬網路連線連線?
  • 此工作需要為所有裝置完成多少時間?

如需詳細資訊,請 參閱如何管理集合

重新啟動用戶端

使用 Configuration Manager 主控台來識別需要重新啟動的用戶端。 然後使用用戶端通知動作來重新啟動它們。

提示

啟用自動用戶端升級,讓您的用戶端以較少的投入時間保持最新狀態。 如需詳細資訊,請 參閱關於自動客戶端升級

若要識別擱置重新啟動的裝置,請移至 Configuration Manager 控制台中的 [資產與相容性] 工作區,然後選取 [裝置] 節點。 然後, 在名為Pending Restart的新數據行中,於詳細資料窗格中檢視每個裝置的狀態。 每個裝置都有下列一或多個值:

  • :沒有擱置重新啟動
  • Configuration Manager:此值來自 RebootCoordinator.log (用戶端重新啟動協調器元件)
  • 檔案重新命名:此值來自 Windows 回報擱置的檔案重新命名作業 (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, PendingFileRenameOperations)
  • Windows Update:此值來自 Windows Update 代理程式,報告一或多個更新需要擱置重新啟動, (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired)
  • 新增或移除功能:此值來自 Windows 元件型服務,報告新增或移除 Windows 功能需要重新啟動 (HKLM\Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\Reboot Pending)

建立用戶端通知以重新啟動裝置

  1. 在主控台的 [裝置集合 ] 節點 中,選取您想要在集合內重新啟動的裝置。
  2. 在功能區中,選取 [ 用戶端通知],然後選取 [ 重新啟動]。 隨即開啟重新啟動的相關信息視窗。 選取 [確定 ] 以確認重新啟動要求。

當用戶端收到通知時,會開啟 軟體中心 通知視窗,通知使用者重新啟動。 根據預設,重新啟動會在 90 分鐘後發生。 您可以藉由設定 客戶端設定來修改重新啟動時間。 重新啟動行為的設定位於預設設定的 [ 計算機重新啟動 ] 索引標籤上。

設定客戶端內容快取

用戶端快取會儲存用戶端安裝應用程式和程式時的暫存盤。 軟體更新也會使用用戶端快取,但一律會嘗試下載至快取,無論大小設定為何。 當您手動安裝用戶端、使用用戶端推入安裝或安裝之後,設定快取設定,例如大小和位置。

如需詳細資訊, 請參閱設定用戶端內容快取

卸載用戶端

您可以使用CCMSetup.exe搭配 /Uninstall 屬性,從電腦卸載 Configuration Manager 客戶端軟體。 從命令提示字元在個別計算機上執行 CCMSetup.exe,或部署封裝以卸載計算機集合的用戶端。

注意事項

您無法從行動裝置卸載 Configuration Manager 用戶端。 如果您必須從行動裝置移除 Configuration Manager 用戶端,則必須抹除裝置,這會刪除行動裝置上的所有數據。

  1. 以系統管理員身分開啟 Windows 命令提示字元。 將資料夾變更為 CCMSetup.exe 所在的位置,例如: cd %windir%\ccmsetup

  2. 執行下列命令:CCMSetup.exe /uninstall

提示

卸載程式不會在螢幕上顯示任何結果。 若要確認用戶端已成功卸載,請參閱下列記錄檔: %windir%\ccmsetup\logs\CCMSetup.log

如果您需要等候卸載程式完成,再執行其他動作, Wait-Process CCMSetup 請在PowerShell中執行。 此命令可以暫停腳本,直到 CCMSetup 程式完成為止。

從 2111 版開始,當您卸載用戶端時,如果用戶端存在,它也會移除用戶端啟動程式,ccmsetup.msi。

管理衝突的記錄

Configuration Manager 使用硬體標識碼來嘗試識別可能重複的用戶端,並警示您衝突的記錄。 例如,如果您重新安裝計算機,硬體標識符會相同,但 Configuration Manager 使用的 GUID 可能會變更。

Configuration Manager 使用計算機帳戶的 Windows 驗證 或來自受信任來源的 PKI 憑證,自動解決衝突。 當 Configuration Manager 無法解決重複硬體標識符的衝突時,階層設定會決定行為。

變更管理衝突記錄的階層設定

  1. 在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。

  2. 在功能區中,選取 [ 階層設定]

  3. 切換至 [ 用戶端核准和衝突記錄] 索引 標籤,然後選取下列其中一個選項:

    • 自動解決衝突的記錄
    • 手動解決衝突的記錄

手動解決衝突的記錄

  1. 在 Configuration Manager 控制台中,移至 [監視] 工作區,展開 [系統狀態],然後選取 [衝突的記錄] 節點。

  2. 選取一或多個衝突的記錄,然後選擇 [ 衝突記錄]

  3. 選取下列其中一個選項:

    • 合併:結合新偵測到的記錄與現有的客戶端記錄。

    • 新增:為衝突的客戶端記錄建立新記錄。

    • 封鎖:為衝突的客戶端記錄建立新記錄,但將其標示為已封鎖。

管理重複的硬體識別碼

您可以針對 PXE 開機和客戶端註冊提供 Configuration Manager 忽略的硬體識別碼清單。 此清單有助於解決兩個常見問題:

  1. 許多新裝置不包含乙太網路上線埠。 技術人員會使用 USB 對乙太網路適配卡來建立有線連線,以供操作系統部署之用。 這些適配卡通常會因為成本和一般可用性而共用。 月臺會使用此適配卡的 MAC 位址來識別裝置。 因此,如果每個部署之間沒有其他系統管理員動作,重複使用配接器就會產生問題。 若要在此案例中重複使用配接器,請排除其 MAC 位址。

  2. 雖然SMBIOS屬性應該是唯一的,但某些特殊硬體裝置具有重複的標識碼。 排除這個重複的標識碼,並依賴每個裝置的唯一 MAC 位址。

使用下列程式來新增要忽略 Configuration Manager 的硬體識別碼:

  1. 在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。

  2. 在功能區的 [ 常用] 索引標籤上,選擇 [ 月臺] 群組中的 [ 階層設定]

  3. 切換至 [用戶端核准和衝突記錄] 索引標籤。若要新增硬體識別碼,請選擇 [重複硬體標識符] 區段中的 [新增]。

適用於重複硬體識別碼的PowerShell

您可以使用下列 PowerShell Cmdlet,將重複硬體識別碼的管理自動化:

啟動原則擷取

Configuration Manager 用戶端會依您設定為客戶端設定的排程下載其客戶端原則。 您也可以從客戶端啟動隨選原則擷取。 例如,針對疑難解答或測試情況。

使用用戶端通知啟動客戶端原則擷取

  1. 在 Configuration Manager 控制台中,移至 [資產與兼容性] 工作區,然後選取 [裝置]

  2. 選取您要下載原則的裝置。 在功能區的 [ 首頁 ] 索引標籤上,選取 [ 裝置 ] 群組中的 [ 用戶端通知],然後選擇 [ 下載計算機原則]

    注意事項

    您也可以使用用戶端通知來啟動集合中所有裝置的原則擷取。

從 Configuration Manager用戶端控制面板開始擷取客戶端原則

  1. 開啟電腦上的 Configuration Manager 控制面板。

  2. 切換至 [ 動作] 索引標籤 。選取 [機器原則擷取 & 評估週期 ] 以啟動計算機原則,然後選取 [ 立即執行]

  3. 選取 [確定 ] 以確認提示。

  4. 針對任何其他動作重複上述步驟。 例如, 用戶原則擷取 & 使用者用戶端設定的評估週期。

使用支援中心用戶端工具開始擷取客戶端原則

使用支援中心用戶端工具來要求和檢視客戶端原則。 如需詳細資訊,請參閱 支援中心參考

依腳本啟動客戶端原則擷取

  1. 開啟文本編輯器,例如記事本或 Windows PowerShell ISE。

  2. 將下列範例 PowerShell 程式代碼 複製並插入檔案中:

    $trigger = "{00000000-0000-0000-0000-000000000021}"
Invoke-WmiMethod -Namespace root\ccm -Class sms_client -Name TriggerSchedule $trigger

    提示

    如需排程標識碼的詳細資訊,請參閱 訊息標識碼

  3. 使用擴展名儲存盤案 .ps1

  4. 在客戶端上執行腳本。

後續步驟

設定客戶端的內容快取

用戶端通知