适用于:Configuration Manager (技术预览分支)
本文介绍 technical Preview for Configuration Manager 版本 1705 中提供的功能。 可以安装此版本,以更新Configuration Manager技术预览版站点并向其添加新功能。 在安装此版本的技术预览版之前,请查看 technical Preview for Configuration Manager,以熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供有关技术预览版中功能的反馈。
此 Technical Preview 中的已知问题:
- Operations Manager 套件连接器不会升级。 从配置了 OMS 连接器的以前版本的 Technical Preview 升级时,该连接器不会升级,并且不再在控制台中可用。 升级后,必须使用 Azure 服务向导 并重新建立与 OMS 工作区的连接。
- Surface 驱动程序不会成功同步。 尽管技术预览版的 Configuration Manager 控制台的新增功能中列出了对 Surface 驱动程序的支持,但此功能尚未按预期工作。
- 无法为 Business 延迟策略创建Windows 更新。 尽管在技术预览版的 Configuration Manager 控制台中的新增功能中列出了配置延迟策略的功能,但向导不会打开,你也无法配置任何策略。
以下是可使用此版本试用的新功能。
更新重置工具
可以使用 Configuration Manager 更新重置工具 (CMUpdateReset.exe)修复控制台中更新下载或复制出现问题时出现的问题。 此工具包含在 Technical Preview 版本 1705 中。 在 \cd.latest\SMSSETUP\TOOLS 文件夹中安装预览版后,可以在技术预览网站的站点服务器上找到它。
可以将此工具与 Technical Preview 版本 1606 或更高版本配合使用。 提供这种向后支持,以便该工具可用于一系列技术预览更新方案,而无需等待下一个技术预览版可用。
当控制台内更新尚未安装且处于失败状态时,可以使用此工具。 失败状态可能意味着更新下载仍在进行中,但会停滞并且花费的时间过长,可能比你以前对类似大小的更新包的预期要长几个小时。 将更新复制到子主站点也可能失败。
运行该工具时,它会针对指定的更新运行。 默认情况下,该工具不会删除已成功安装或下载的更新。
先决条件
用于运行该工具的帐户需要以下权限:
- 对管理中心站点的站点数据库以及层次结构中每个主站点的读取和写入权限。 若要设置这些权限,可以将用户帐户添加为 db_datawriter 的成员,并在每个站点的 Configuration Manager 数据库中db_datareader固定数据库角色。 该工具不与辅助站点交互。
- 层次结构的顶级站点上的本地管理员。
- 承载服务连接点的计算机上的本地管理员。
你将需要要重置的更新包的 GUID。 获取 GUID:
- 在控制台中,转到“管理>汇报和服务”,然后在显示窗格中,右键单击其中一列的标题 (“状态) ”,然后选择“包 Guid”。 这会将该列添加到显示中,并且该列显示更新包 GUID。
提示
若要复制 GUID,请选择要重置的更新包的行,然后使用 Ctrl+C 复制该行。 如果将复制的选定内容粘贴到文本编辑器中,则可以在运行该工具时仅复制用作命令行参数的 GUID。
运行工具
该工具必须在层次结构的顶级站点上运行。
运行该工具时,使用命令行参数来指定层次结构顶层站点上的SQL Server、站点数据库名称以及要重置的更新包的 GUID。 然后,该工具根据更新状态标识它需要访问的其他服务器。
如果更新包处于 下载后 状态,则该工具不会清理包。 作为一个选项,可以使用强制删除参数强制删除成功下载的更新 (请参阅本主题后面的命令行参数) 。
工具运行后:
- 如果删除了包,请重启顶层站点SMS_Executive服务,然后检查更新以再次下载包。
- 如果未删除包,则无需执行任何作,因为更新将重新初始化并重启复制或安装。
命令行参数:
| 参数 | 说明 |
|---|---|
| -S <顶层站点SQL Server的 FQDN> |
必需 必须指定托管层次结构顶层站点的站点数据库的SQL Server的 FQDN。 |
| -D <数据库名称> |
必需 必须指定顶层站点数据库的名称。 |
| -P <包 GUID> |
必需 必须为要重置的更新包指定 GUID。 |
| -I <SQL Server实例名称> |
可选 使用此标识承载站点数据库的 SQL Server 实例。 |
| -FDELETE |
可选 使用它可强制删除已成功下载的更新包。 |
例子: 在典型方案中,需要重置有下载问题的更新。 SERVER1.FABRIKAM.COM SQL Server FQDN ,站点数据库 CM_XYZ,包 GUID 为 61F16B3C-F1F6-4F9F-8647-2A524B0C802C。 运行: CMUpdateReset.exe -S server1.fabrikam.com -D CM_XYZ -P 61F16B3C-F1F6-4F9F-8647-2A524B0C802C
在更极端的情况下,需要强制删除有问题的更新包。 SERVER1.FABRIKAM.COM SQL Server FQDN ,站点数据库 CM_XYZ,包 GUID 为 61F16B3C-F1F6-4F9F-8647-2A524B0C802C。 运行: CMUpdateReset.exe -FDELETE -S server1.fabrikam.com -D CM_XYZ -P 61F16B3C-F1F6-4F9F-8647-2A524B0C802C
使用 Technical Preview 测试该工具
可以将此工具与 Technical Preview 版本 1606 或更高版本配合使用。 提供这种向后支持,以便该工具可用于大量技术预览版更新方案,而无需等待下一个技术预览版可用。
在该更新完成其先决条件检查之前,对技术预览版的更新包运行该工具。 已完成的先决条件检查状态由管理>汇报和维护中包的以下状态之一标识:
- 先决条件检查已通过
- 先决条件检查传递并出现警告
- 先决条件检查失败
高 DPI 控制台支持
在此版本中,当在高 DPI 设备上查看时,Configuration Manager控制台如何缩放和显示 UI 的不同部分 ((如 Surface 书籍) )应得到修复。
对等缓存改进
从此技术预览版开始,对等缓存 不再使用网络访问帐户 对来自对等方的下载请求进行身份验证。
SQL Server Always On可用性组的改进
在此版本中,现在可以在用于Configuration Manager的SQL Server Always On可用性组中使用异步提交副本。 这意味着可以将其他副本添加到可用性组,以用作异地 (远程) 备份,然后在灾难恢复方案中使用这些副本。
Configuration Manager支持使用异步提交副本 (replica) 恢复同步副本 (replica) 。 有关如何完成此作的信息,请参阅备份和恢复主题中的 站点数据库恢复选项 。
此版本不支持故障转移以使用异步提交副本 (replica) 作为站点数据库。
警告
由于Configuration Manager不会验证异步提交副本 (replica) 的状态以确认它是最新的,并且根据设计,这种副本 (replica) 可能不同步,因此使用异步提交副本 (replica) 因为站点数据库可能会使站点和数据的完整性面临风险。
可以在可用性组中使用与所用 SQL Server 版本支持的副本数量和类型相同的副本。 (以前的支持仅限于两个同步提交副本。)
配置异步提交副本 (replica)
若要将异步副本 (replica) 添加到用于 Configuration Manager 的可用性组,无需运行配置同步副本 (replica) 所需的配置脚本。 (这是因为不支持将该异步副本 (replica) 用作站点数据库。) 有关详细信息,请参阅将辅助副本 (replica) 添加到可用性组。
使用异步副本 (replica) 恢复站点
在使用异步副本 (replica) 恢复站点数据库之前,必须停止活动主站点以防止对站点数据库进行其他写入。 停止站点后,可以使用异步副本 (replica) 代替使用手动恢复的数据库。
若要停止站点,可以使用 层次结构维护工具来 停止站点服务器上的关键服务。 使用命令行: Preinst.exe /stopsite
停止站点相当于在站点服务器上停止站点组件管理器服务 (sitecomp) 后跟SMS_Executive服务。
改进了Microsoft 365 更新的用户通知
对客户端安装 Microsoft 365 更新时利用 Office 即点即用用户体验进行了改进。 这包括弹出窗口和应用内通知,以及倒计时体验。 在此版本之前,当向客户端发送Microsoft 365 更新时,打开的 Office 应用程序会自动关闭,而不会发出警告。 此更新后,Office 应用程序将不再意外关闭。
先决条件
此更新适用于Microsoft 365 企业应用版客户端。
已知问题
当客户端首次评估Microsoft 365 更新分配,并且更新的截止时间是过去、立即计划的或计划在 30 分钟内的,Microsoft 365 用户体验可能会不一致。 例如,客户端可能会收到更新的 30 分钟倒计时对话框,但实际强制执行可能在倒计时结束之前开始。 若要避免此行为,请考虑以下事项:
- 部署Microsoft 365 更新,截止时间比当前时间提前 60 分钟以上。
- 在集合的非营业时间内配置维护时段,或在部署上配置强制宽限期。
尝试一下!
尝试完成以下任务,然后从功能区的“开始”选项卡向我们发送反馈,让我们知道它是如何工作的:
- 将 Microsoft 365 更新部署到客户端,最后期限设置为至少比当前时间提前 60 分钟的时间。 观察客户端上的新行为。
配置和部署 Windows Defender 应用程序防护策略
Windows Defender 应用程序防护是一项新的 Windows 功能,它通过在作系统其他部分无法访问的安全隔离容器中打开不受信任的网站来帮助保护用户。 在此技术预览版中,我们添加了使用配置Configuration Manager合规性设置配置此功能的支持,然后将其部署到集合。 此功能将在 64 位版本的 Windows 10 创意者更新中以预览版的形式发布。 若要立即测试此功能,必须使用此更新的预览版本。
准备工作
若要创建和部署 Windows Defender 应用程序防护策略,必须使用网络隔离策略配置部署策略的Windows 10设备。 有关详细信息,请参阅稍后引用的博客文章。 此功能仅适用于当前Windows 10预览体验成员版本。 若要对其进行测试,客户端必须运行最新的Windows 10预览体验成员内部版本。
尝试一下!
确保已阅读博客文章,了解有关 Windows Defender 应用程序防护的基础知识。
若要创建策略并浏览可用设置,请执行以下作:
- 在Configuration Manager控制台中,选择“资产和符合性”。
- 在“资产和符合性”工作区中,选择“概述>Endpoint Protection>Windows Defender 应用程序防护”。
- 在“主页”选项卡的“创建”组中,单击“创建 Windows Defender 应用程序防护策略”。
- 使用博客文章作为参考,可以浏览和配置可用设置以试用该功能。
- 完成后,完成向导,并将策略部署到一个或多个Windows 10设备。
进一步阅读
若要详细了解 Windows Defender 应用程序防护,请参阅此博客文章。 此外,若要详细了解 Windows Defender 应用程序防护独立模式,请参阅此博客文章。
用于Microsoft Entra ID和云管理的新功能
在此版本中,可以将云服务配置为使用Microsoft Entra ID来支持以下方案:
- 从 Internet 手动安装 Configuration Manager 客户端,并将其分配给Configuration Manager站点。
- 使用 Intune 将 Configuration Manager 客户端部署到 Internet 上的设备。
优点
使用云服务和Microsoft Entra ID无需使用客户端身份验证证书。
可以在网站中发现Microsoft Entra用户在集合和其他Configuration Manager作中使用。
准备工作
- 必须具有Microsoft Entra租户。
- 设备必须运行Windows 10并Microsoft Entra加入。 除了加入Microsoft Entra) 之外,客户端还可以加入域。
- 除了管理点站点系统角色 的现有先决条件 外,还必须确保在承载此站点系统角色的计算机上启用 ASP.NET 4.5 (和使用此) 自动选择的任何其他选项。
- 若要使用 Microsoft Intune 部署 Configuration Manager 客户端,
- 必须有一个工作Intune租户 (Configuration Manager,Intune不需要) 连接。
- 在 Intune 中,你已创建并部署了一个包含 Configuration Manager 客户端的应用。 有关如何执行此作的详细信息,请参阅如何安装客户端以Intune MDM 管理的 Windows 设备。
- 使用Configuration Manager部署客户端:
- 必须至少为 HTTPS 模式配置一个管理点。
- 必须设置云管理网关。
设置云管理网关
设置云管理网关,使客户端无需使用证书即可从 Internet 访问Configuration Manager站点。
可在以下主题中找到有关如何执行此作的帮助:
在 Configuration Manager 云服务 中设置 Azure 服务应用
这将Configuration Manager站点连接到Microsoft Entra ID,并且是本部分中所有其他作的先决条件。 为此:
在Configuration Manager控制台的“管理”工作区中,展开“云服务”,然后单击“Azure 服务”。
在“ 主页 ”选项卡上的“ Azure 服务 ”组中,单击“ 配置 Azure 服务”。
在 Azure 服务向导的“Azure 服务”页上,选择“云管理”以允许客户端使用Microsoft Entra ID向层次结构进行身份验证。
在向导的“ 常规 ”页上,指定 Azure 服务的名称和说明。
在向导的“ 应用 ”页上,从列表中选择 Azure 环境,然后单击“ 浏览 ”以选择将用于配置 Azure 服务的服务器和客户端应用:
- 在 “服务器应用 ”窗口中,选择要使用的服务器应用,然后单击“ 确定”。 服务器应用是包含 Azure 帐户配置(包括租户 ID、客户端 ID 和客户端密钥)的 Azure Web 应用。 如果没有可用的服务器应用,请使用以下选项之一:
- 创建:若要创建新的服务器应用,请单击“ 创建”。 为应用和租户提供友好名称。 然后,登录到 Azure 后,Configuration Manager在 Azure 中创建 Web 应用,包括用于 Web 应用的客户端 ID 和密钥。 稍后,可以从Azure 门户查看这些内容。
- 导入:若要使用 Azure 订阅中已存在的 Web 应用,请单击“ 导入”。 为应用和租户提供友好名称,然后指定租户 ID、客户端 ID 和要Configuration Manager使用的 Azure Web 应用的密钥。 验证信息后,单击“ 确定 ”继续。 此选项目前在此技术预览版中不可用。
- 对客户端应用重复相同的过程。
使用应用程序导入时,需要授予 “读取目录数据 ”应用程序权限,才能在门户中设置正确的权限。 如果使用“应用程序创建”,则权限会自动与应用程序一起创建,但仍需要在Azure 门户中向应用程序授予许可。
- 在 “服务器应用 ”窗口中,选择要使用的服务器应用,然后单击“ 确定”。 服务器应用是包含 Azure 帐户配置(包括租户 ID、客户端 ID 和客户端密钥)的 Azure Web 应用。 如果没有可用的服务器应用,请使用以下选项之一:
在向导的“发现”页上,可以选择启用Microsoft Entra用户发现,然后单击“设置”。 在“Microsoft Entra用户发现设置”对话框中,为何时发生发现配置计划。 还可以启用增量发现,以仅检查Microsoft Entra ID中的新帐户或更改的帐户。
完成该向导。
此时,已将Configuration Manager站点连接到Microsoft Entra ID。
从 Internet 安装 CM 客户端
在开始之前,请确保客户端安装源文件本地存储在要安装客户端的设备上。 然后,按照如何使用以下安装命令行 将客户端部署到 Windows 计算机 中的说明 (将示例中的值替换为自己的值) :
ccmsetup.exe /NoCrlCheck /Source:C:\CLIENT CCMHOSTNAME=SCCMPROXYCONTOSO。CLOUDAPP.NET/CCM_Proxy_ServerAuth/72457598037527932 SMSSiteCode=HEC AADTENANTID=780433B5-E05E-4B7D-BFD1-E8013911E543 AADTENANTNAME=contoso AADCLIENTAPPID=<GUID> AADRESOURCEURI=https://contososerver
- /NoCrlCheck:如果管理点或云管理网关使用非公共服务器证书,则客户端可能无法访问 CRL 位置。
- /Source:本地文件夹:客户端安装文件的位置。
- CCMHOSTNAME:Internet 管理点的名称。 可以通过从托管客户端上的命令提示符运行 gwmi -namespace root\ccm\locationservices -class SMS_ActiveMPCandidate 来找到此内容。
- SMSMP:查找管理点的名称 - 此名称可以在 Intranet 上。
- SMSSiteCode:Configuration Manager站点的站点代码。
- AADTENANTID、AADTENANTNAME:链接到Configuration Manager Microsoft Entra租户的 ID 和名称。 可以通过在已加入Microsoft Entra的设备上从命令提示符运行 dsregcmd.exe /status 来找到此消息。
- AADCLIENTAPPID:Microsoft Entra客户端应用 ID。 有关发现此问题的帮助,请参阅使用门户创建可以访问资源的Microsoft Entra应用程序和服务主体。
- AADResourceUri:已载入Microsoft Entra服务器应用的标识符 URI。
使用 Azure 服务向导配置到 OMS 的连接
从 1705 技术预览版开始,使用 Azure 服务向导配置从 Configuration Manager 到 Operations Management Suite (OMS) 云服务的连接。 向导将替换以前的工作流来配置此连接。
该向导用于为Configuration Manager配置云服务,例如 OMS、适用于企业的 Windows 应用商店 (WSfB) 和Microsoft Entra ID。
Configuration Manager连接到 OMS 以获取 Log Analytics 或升级就绪情况等功能。
OMS 连接器的先决条件
配置到 OMS 连接的先决条件与 Current Branch 版本 1702 中所述的先决条件保持不变。 此处将重复该信息:
向 OMS 提供Configuration Manager权限。
必须安装安装在服务连接点上的 OMS Microsoft Monitoring Agent 以及 OMS 连接器。 必须将代理和 OMS 连接器配置为使用相同的 OMS 工作区。 若要安装代理,请参阅 OMS 文档中 的下载并安装代理 。
安装连接器和代理后,必须将 OMS 配置为使用Configuration Manager数据。 为此,请在 OMS 门户中导入Configuration Manager集合。
使用 Azure 服务向导配置与 OMS 的连接
在控制台中,转到“管理>概述>云服务>Azure 服务”,然后从功能区的“主页”选项卡中选择“配置 Azure 服务”,以启动 Azure 服务向导。
在 “Azure 服务 ”页上,选择“Operation Management Suite”云服务。 提供 Azure 服务名称 的友好名称和可选说明,然后单击“ 下一步”。
在 “应用 ”页上,指定 Azure 环境, (技术预览版仅支持公有云) 。 然后,单击“ 浏览 ”打开“服务器应用”窗口。
选择 Web 应用:
- 导入:若要使用 Azure 订阅中已存在的 Web 应用,请单击“ 导入”。 为应用和租户提供友好名称,然后指定租户 ID、客户端 ID 和要Configuration Manager使用的 Azure Web 应用的密钥。 验证信息后,单击“确定”继续。
注意
使用此预览版配置 OMS 时,OMS 仅支持 Web 应用的 导入 函数。 不支持创建新的 Web 应用。 同样,不能为 OMS 重用现有应用。
如果成功完成所有其他过程,则 “OMS 连接配置” 屏幕上的信息将自动显示在此页上。 应显示 Azure 订阅、 Azure 资源组和 Operations Management Suite 工作区的连接设置信息。
向导使用输入的信息连接到 OMS 服务。 选择要与 OMS 同步的设备集合,然后单击“ 添加”。
在 “摘要” 屏幕上验证连接设置,然后选择“ 下一步”。 “ 进度” 屏幕显示连接状态,然后应 为“完成”。
向导完成后,Configuration Manager控制台显示已将 Operation Management Suite 配置为云服务类型。