Compartilhar via

Capacidades no Technical Preview 1706 para Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (ramo de pré-visualização técnica)

Este artigo apresenta as funcionalidades disponíveis no Technical Preview para Configuration Manager, versão 1706. Pode instalar esta versão para atualizar e adicionar novas capacidades ao seu site de pré-visualização técnica Configuration Manager. Antes de instalar esta versão da pré-visualização técnica, reveja Technical Preview para Configuration Manager familiarize-se com requisitos gerais e limitações para utilizar uma pré-visualização técnica, como atualizar entre versões e como fornecer feedback sobre as funcionalidades numa pré-visualização técnica.

Problemas Conhecidos nesta Pré-visualização Técnica:

  • Mover ponto de distribuição – as opções na consola para mover um ponto de distribuição entre sites não podem ser utilizadas com esta versão devido ao limite de pré-visualização técnica de um único site primário.

  • Definições de conformidade do dispositivo – poderá deparar-se com um comportamento oposto ao utilizar as duas novas definições de conformidade do dispositivo:

    • Bloquear depuração de USB no dispositivo

    • Bloquear aplicativos de fontes desconhecidas

      Por exemplo, se os administradores definirem Bloquear depuração USB no dispositivo como verdadeiro, todos os dispositivos que não têm a depuração USB ativada são marcados como não conformes.

Seguem-se novas funcionalidades que pode experimentar com esta versão.

Grupos de limites melhorados para pontos de atualização de software

Esta versão inclui melhoramentos na forma como os pontos de atualização de software funcionam com grupos de limites. O seguinte resume o novo comportamento de contingência:

  • A contingência dos pontos de atualização de software utiliza agora um tempo configurável para contingência para grupos de limites vizinhos, com um tempo mínimo de 120 minutos.

  • Independentemente da configuração de contingência, um cliente tenta alcançar o último ponto de atualização de software que utilizou durante 120 minutos. Depois de não conseguir aceder a esse servidor durante 120 minutos, o cliente verifica o conjunto de pontos de atualização de software disponíveis, para que possa encontrar um novo.

    • Todos os pontos de atualização de software no grupo de limites atual do cliente são adicionados imediatamente ao conjunto do cliente.

    • Uma vez que um cliente tenta utilizar o servidor original durante 120 minutos antes de procurar um novo, não são contactados servidores adicionais até que tenham decorrido duas horas.

    • Se a contingência para um grupo vizinho estiver configurada durante um mínimo de 120 minutos, os pontos de atualização de software desse grupo de limites vizinhos farão parte do conjunto de servidores disponíveis do cliente.

  • Depois de não conseguir aceder ao servidor original durante duas horas, o cliente muda para um ciclo mais curto para contactar um novo ponto de atualização de software.

    Isto significa que, se um cliente não conseguir estabelecer ligação com um novo servidor, seleciona rapidamente o servidor seguinte a partir do respetivo conjunto de servidores disponíveis e tenta contactá-lo.

    • Este ciclo continua até que o cliente se ligue a um ponto de atualização de software que possa utilizar.
    • Até que o cliente encontre um ponto de atualização de software, os servidores adicionais são adicionados ao conjunto de servidores disponíveis quando o tempo de contingência de cada grupo de limites vizinho é cumprido.

Para obter mais informações, veja pontos de atualização de software no tópico Grupos limite do Current Branch.

Elevada disponibilidade da função de servidor do site

A elevada disponibilidade para a função de servidor do site é uma solução baseada em Configuration Manager para instalar um servidor de site primário adicional no modo Passivo. O servidor do site do modo passivo é adicional ao servidor do site primário existente que está no modo Ativo . Um servidor de site de modo passivo está disponível para utilização imediata, quando necessário.

Um servidor de site primário no modo passivo:

  • Utiliza a mesma base de dados do site que o servidor do site ativo.
  • Recebe uma cópia da biblioteca de conteúdos dos servidores de sites ativos, que é então mantida sincronizada.
  • Não escreve dados na base de dados do site, desde que estejam no modo passivo.
  • Não suporta a instalação ou remoção de funções opcionais do sistema de sites, desde que estejam no modo passivo.

Para tornar o servidor do site do modo passivo no servidor do site do modo ativo, promova-o manualmente. Isto muda o servidor do site ativo para ser o servidor passivo do site. As funções do sistema de sites que estão disponíveis no servidor de modo ativo original permanecem disponíveis enquanto esse computador estiver acessível. Apenas a função de servidor do site é alternada entre o modo ativo e passivo.

Para instalar um servidor de site de modo passivo, utilize o Assistente para Criar Servidor do Sistema de Sites para configurar um novo servidor de site com um Tipo de Servidor de site primário e um Modo passivo. Em seguida, o assistente executa Configuration Manager Configuração no servidor especificado para instalar o novo servidor do site no modo passivo. Após a conclusão da instalação, o servidor do site do modo ativo mantém o servidor do site do modo passivo e a respetiva biblioteca de conteúdos sincronizadas com as alterações ou configurações que efetua ao servidor do site ativo.

Pré-requisitos e limitações

  • Um único servidor de site no modo passivo é suportado em cada site primário.

  • O servidor do site no modo passivo pode ser baseado no local ou na cloud no Azure.

  • Tanto o modo ativo como os servidores de site do modo passivo têm de estar no mesmo domínio.

  • Tanto o modo ativo como os servidores de site do modo passivo têm de utilizar a mesma base de dados do site, que tem de ser remota dos computadores de cada servidor do site.

    • O SQL Server que aloja a base de dados pode utilizar uma instância predefinida, uma instância nomeada, SQL Server Always On instância de cluster de ativação pós-falha ou um grupo de disponibilidade.

    • O servidor do site no modo passivo está configurado para utilizar a mesma base de dados do site que o servidor do site do modo ativo. No entanto, o servidor do site do modo passivo só utiliza essa base de dados depois de ser promovida para o modo ativo.

  • O computador que irá executar o servidor do site do modo passivo:

    • Tem de cumprir os pré-requisitos para instalar um site primário.

    • Instala através de ficheiros de origem que correspondem à versão do servidor do site do modo ativo.

    • Não é possível ter uma função de sistema de sites a partir de qualquer site antes de instalar o site de modo passivo.

  • Os computadores do servidor do site do modo ativo e passivo podem executar diferentes sistemas operativos ou versões de service pack, desde que ambos permaneçam suportados pela sua versão do Configuration Manager.

  • A promoção do servidor do site do modo passivo para o servidor de modo ativo é manual. Não existe ativação pós-falha automática.

  • As funções do sistema de sites só podem ser instaladas no servidor do site que está no modo ativo.

    • Um servidor de site no modo ativo suporta todas as funções do sistema de sites. Não é possível instalar funções do sistema de sites no servidor quando está em modo passivo.

    • As funções do sistema de sites que utilizam uma base de dados (como o ponto de relatório) têm de ter essa base de dados num servidor remoto dos servidores de site do modo ativo e passivo.

    • O SMS_Provider não é instalado no servidor do site no modo passivo. Uma vez que tem de se ligar a um SMS_Provider para que o site promova manualmente o servidor do site do modo passivo para o modo ativo, recomendamos que instale pelo menos uma instância adicional do fornecedor num computador adicional.

Problema Conhecido:
Com esta versão, o Estado das seguintes condições aparece na consola como valores numéricos em vez de texto legível:

  • 131071 – Falha na instalação do servidor do site
  • 720895 – Falha na desinstalação da função de servidor do site
  • 851967 – Falha na ativação pós-falha

Adicionar um servidor de site no modo passivo

  1. Na consola, aceda aSites deConfiguração do Sitede Administração>> e inicie o Assistente para Adicionar Funções do Sistema de Sites. Também pode utilizar o Assistente para Criar Servidor do Sistema de Sites.

  2. Na página Geral , especifique o servidor que irá alojar o servidor do site do modo passivo. O servidor que especificar não pode alojar quaisquer funções do sistema de sites antes de instalar um servidor do site no modo passivo.

  3. Na página Seleção de Função de Sistema , selecione Apenas Servidor de site primário no modo passivo.

  4. Para concluir o assistente, tem de fornecer as seguintes informações que são utilizadas para executar a Configuração e instalar a função de servidor do site no servidor especificado:

    • Opte por copiar ficheiros de instalação do servidor do site ativo para o novo servidor do site do modo passivo ou especifique um caminho para uma localização que contenha o conteúdo da pasta CD.Latest do servidor do site ativo.

    • Especifique o mesmo servidor de base de dados do site e o nome da base de dados utilizados pelo servidor do site do modo ativo.

  5. Configuration Manager, em seguida, instala o servidor do site no modo passivo no servidor especificado.

Para obter status de instalação detalhada, aceda aSites deConfiguração do Sitede Administração>>.

  • O status para o servidor do site no modo passivo é apresentado como Instalação.

  • Selecione o servidor e, em seguida, clique em Mostrar Estado para abrir o Estado de Instalação do Servidor do Site para obter informações mais detalhadas.

Promover o servidor de site do modo passivo para o modo ativo

Quando pretender alterar o servidor do site do modo passivo para o modo ativo, fá-lo a partir do painel Nós emSites deConfiguração do Sitede Administração>>. Desde que possa aceder a uma instância do SMS_Provider, pode aceder ao site para efetuar esta alteração.

  1. No painel Nós da consola do Configuration Manager, selecione o servidor do site no modo passivo e, em seguida, no Friso, selecione Promover para ativo.

  2. O Estado simples do servidor que está a promover é apresentado no painel Nós como A Promover.

  3. Após a conclusão da promoção, a coluna Estado mostra OK para o novo servidor do site do Modo ativo e para o novo servidor de site do modo passivo .

  4. EmSites deConfiguração do Sitede Administração>>, o nome do servidor do site primário apresenta agora o nome do novo servidor do site do Modo ativo. Para obter status detalhadas, aceda a Monitorizar> oEstado do Servidor do Site.

    • A coluna Modo identifica que servidor é Ativo ou Passivo.

    • Ao promover um servidor do modo passivo para o modo ativo, selecione o servidor do site que está a promover para ativo e, em seguida, selecione Mostrar Estado no friso. Esta ação abre a janela Estado da Promoção do Servidor do Site que apresenta detalhes adicionais sobre o processo.

Quando um servidor de site no modo ativo muda para o modo passivo, apenas a função do sistema de sites é tornada passiva. Todas as outras funções do sistema de sites instaladas nesse computador permanecem ativas e acessíveis aos clientes.

Monitorização diária

Quando tiver um site primário no modo passivo, monitorize-o diariamente para garantir que permanece sincronizado com o servidor do site do modo ativo e pronto a utilizar. Para tal, aceda a Monitorizar> oEstado do Servidor do Site. Aqui, pode ver o modo ativo e os servidores de site do modo passivo.

O separador Resumo :

  • A coluna Modo identifica que servidor é Ativo ou Passivo.
  • A coluna Estado indica OK quando o servidor de modo passivo está sincronizado com o servidor de modo ativo.
  • Para ver detalhes adicionais sobre o estado da sincronização de conteúdos, clique em Mostrar status a partir do Estado da Sincronização de Conteúdo. Esta ação abre o separador Biblioteca de Conteúdos onde pode tentar corrigir problemas de sincronização de conteúdos.

O separador Biblioteca de Conteúdos :

  • Veja o Estado do conteúdo que é sincronizado do servidor do site ativo com o servidor do site do modo passivo.
  • Pode selecionar conteúdo com um Estado de Falha e, em seguida, selecionar Sincronizar itens selecionados no Friso. Esta ação tenta ressincronizar esse conteúdo da origem do conteúdo para o servidor do site do modo passivo. Durante a recuperação, o Estado é apresentado como Em curso e, quando está sincronizado, é apresentado como Êxito.

Experimente!

Tente concluir as seguintes tarefas e, em seguida, envie-nos Feedback a partir do separador Base do Friso para nos informar sobre como funcionou:

  • Posso instalar um site primário no modo passivo.
  • Posso utilizar a consola do para promover o servidor do site do modo passivo para torná-lo no servidor do site do modo ativo e confirmar a alteração de status para ambos os servidores do site.

Incluir fidedignidade para ficheiros e pastas específicos numa política do Device Guard

Nesta versão, adicionámos mais capacidades à gestão de políticas do Device Guard

Agora, opcionalmente, pode adicionar confiança a ficheiros específicos para pastas numa política do Device Guard. Isto permite-lhe:

  1. Superar problemas com comportamentos do instalador gerido
  2. Confiar em aplicações de linha de negócio que não podem ser implementadas com Configuration Manager
  3. Confiar nas aplicações incluídas numa imagem de implementação do sistema operativo.

Experimente!

  1. Enquanto estiver a criar uma política do Device Guard, no separador Inclusãos do assistente criar política do Device Guard, clique em Adicionar.
  2. Na caixa de diálogo Adicionar Ficheiro ou Pasta Fidedigno , especifique informações sobre o ficheiro ou pasta em que pretende confiar. Pode especificar um caminho de ficheiro ou pasta local ou ligar a um dispositivo remoto ao qual tem permissão para se ligar e especificar um caminho de ficheiro ou pasta nesse dispositivo.
  3. Conclua o assistente.

Ocultar o progresso da sequência de tarefas

Nesta versão, pode controlar quando o progresso da sequência de tarefas é apresentado aos utilizadores finais através de uma nova variável. Na sequência de tarefas, utilize o passo Definir Variável de Sequência de Tarefas para definir o valor da variável TSDisableProgressUI para ocultar ou apresentar o progresso da sequência de tarefas. Pode utilizar o passo Definir Variável de Sequência de Tarefas várias vezes numa sequência de tarefas para alterar o valor da variável. Isto permite-lhe ocultar ou apresentar o progresso da sequência de tarefas em diferentes secções da sequência de tarefas.

Para ocultar o progresso da sequência de tarefas

No editor de sequência de tarefas, utilize o passo Definir Variável de Sequência de Tarefas para definir o valor da variável TSDisableProgressUI como Verdadeiro para ocultar o progresso da sequência de tarefas.

Para apresentar o progresso da sequência de tarefas

No editor de sequência de tarefas, utilize o passo Definir Variável de Sequência de Tarefas para definir o valor da variável TSDisableProgressUI como Falso para apresentar o progresso da sequência de tarefas.

Especificar uma localização de conteúdo diferente para instalar conteúdo e desinstalar conteúdo

No Configuration Manager de hoje, especifique a localização de instalação que contém os ficheiros de configuração de uma aplicação. Quando especifica uma localização de instalação, esta também é utilizada como a localização de desinstalação do conteúdo da aplicação. Com base nos seus comentários, quando pretender desinstalar uma aplicação implementada e o conteúdo da aplicação não estiver no computador cliente, o cliente transferirá novamente todos os ficheiros de configuração da aplicação antes de a aplicação ser desinstalada. Para resolver este problema, pode agora especificar uma localização de conteúdo de instalação e uma localização de conteúdo de desinstalação opcional. Além disso, pode optar por não especificar uma localização de conteúdo de desinstalação.

Experimente!

  1. Nas propriedades do tipo de implementação de uma aplicação, clique no separador Conteúdo .
  2. Configure a localização instalar conteúdo normalmente.
  3. Para Desinstalar definições de conteúdo, escolha uma das seguintes opções:
    • O mesmo que instalar conteúdo – será utilizada a mesma localização de conteúdo, independentemente de estar a instalar ou desinstalar a aplicação.
    • Sem conteúdo de desinstalação – selecione esta opção se não quiser fornecer uma localização de conteúdo de desinstalação para a aplicação.
    • Diferente do conteúdo de instalação – selecione esta opção se pretender especificar uma localização de conteúdo desinstalação diferente da localização do conteúdo de instalação.
  4. Se tiver selecionado Diferente do conteúdo de instalação, navegue para ou introduza a localização do conteúdo da aplicação que será utilizado para desinstalar a aplicação.
  5. Clique em OK para fechar a caixa de diálogo propriedades do tipo de implementação.

Melhorias de acessibilidade

Esta pré-visualização apresenta várias melhorias nas funcionalidades de acessibilidade na consola do Configuration Manager. Eles incluem:

Novos atalhos de teclado para se deslocar na consola:

  • Ctrl + M – define o foco no painel main (central).
  • Ctrl + T – define o foco para o nó superior no painel de navegação. Se o foco já estava nesse painel, o foco está definido para o último nó que visitou.
  • Ctrl + I - Define o foco para a barra de trilhos, abaixo do friso.
  • Ctrl + L - Define o foco para o campo Procurar , quando disponível.
  • Ctrl + D - Define o foco para o painel de detalhes, quando disponível.
  • Alt – altera o foco dentro e fora do friso.

Melhorias gerais:

  • Navegação melhorada no painel de navegação quando escreve as letras de um nome de nó.
  • A navegação por teclado na vista main e o friso são agora circulares.
  • A navegação do teclado no painel de detalhes é agora circular. Para regressar ao objeto ou painel anterior, utilize Ctrl + D e, em seguida, Shift + TECLA DE TABULAÇÃO.
  • Depois de atualizar uma vista área de trabalho, o foco é definido para o painel main dessa área de trabalho.
  • Foi corrigido um problema para permitir que os leitores de ecrã anunciassem os nomes dos itens de lista.
  • Foram adicionados nomes acessíveis para vários controlos na página que permitem aos leitores de ecrã anunciar informações importantes.

Alterações ao Assistente dos Serviços do Azure para suportar a Preparação da Atualização

A partir desta versão, utilize o Assistente dos Serviços do Azure para configurar uma ligação do Configuration Manager à Preparação da Atualização. A utilização do assistente simplifica a configuração do conector através de um assistente comum para serviços do Azure relacionados.

Embora o método para configurar a ligação tenha sido alterado, os pré-requisitos para a ligação e a forma como utiliza a Preparação da Atualização permanecem inalterados.

Pré-requisitos para a Preparação da Atualização

Os pré-requisitos para uma ligação à Preparação da Atualização não são alterados em relação aos detalhados para o Current Branch of Configuration Manager. Repetem-se aqui por conveniência:

Pré-requisitos

  • Para adicionar a ligação, o ambiente Configuration Manager tem de configurar primeiro um ponto de ligação de serviço num modo online. Quando adiciona a ligação ao seu ambiente, também instala o Microsoft Monitoring Agent no computador que executa esta função do sistema de sites.
  • Registe Configuration Manager como uma ferramenta de gestão de "Aplicação Web e/ou API Web" e obtenha o ID de cliente deste registo.
  • Crie uma chave de cliente para a ferramenta de gestão registada no Microsoft Entra ID.
  • No portal do Azure, forneça a aplicação Web registada com permissão para aceder ao OMS.

Importante

Ao configurar a permissão para aceder ao OMS, certifique-se de que escolhe a função Contribuidor e atribui permissões ao grupo de recursos da aplicação registada.

Depois de configurar os pré-requisitos, está pronto para utilizar o Assistente para criar a ligação.

Utilizar o Assistente dos Serviços do Azure para configurar a Preparação da Atualização

  1. Na consola do , aceda aDescrição Geral> da Administração>Serviços de Nuvem>Serviços do Azure e, em seguida, selecione Configurar Serviços do Azure no separador Base do friso para iniciar o Assistente de Serviços do Azure.

  2. Na página Serviços do Azure , selecione o Conector de Preparação de Atualizações e, em seguida, clique em Seguinte.

  3. Na página Aplicação , especifique o ambiente do Azure (a pré-visualização técnica suporta apenas a Cloud Pública). Em seguida, clique em Importar para abrir a janela Importar Aplicações .

  4. Na janela Importar Aplicações, especifique os detalhes de uma aplicação Web que já existe no seu Microsoft Entra ID.

    • Forneça um nome amigável para o Nome do inquilino Microsoft Entra. Em seguida, especifique o ID do Inquilino, o Nome da Aplicação, o ID do Cliente, a chave secreta da aplicação Web do Azure e o URI do ID da Aplicação.
    • Clique em Verificar e, se tiver êxito, clique em OK para continuar.

  5. Na página Configuração , especifique a subscrição, o grupo de recursos e a Área de Trabalho do Windows Analytics que pretende utilizar com esta ligação à Preparação da Atualização.

  6. Clique em Seguinte para aceder à página Resumo e, em seguida, conclua o assistente para criar a ligação.

Novas definições de cliente para serviços cloud

Nesta versão, adicionámos duas novas definições de cliente ao Configuration Manager. Irá encontrá-los na secção Serviços de Nuvem. Estas definições dão-lhe as seguintes capacidades:

  • Controlar que clientes Configuration Manager podem aceder a um gateway de gestão da cloud configurado.
  • Registe automaticamente Windows 10 clientes do Configuration Manger associados a um domínio com Microsoft Entra ID.

Estas novas definições ajudam-no a cumprir as capacidades descritas no Configuration Manager 1705 Technical Preview.

Antes de começar

Tem de ter instalado e configurado o Microsoft Entra Ligar entre o Active Directory local e o inquilino do Microsoft Entra.

Se remover a ligação, os dispositivos não são não registados, mas não serão registados novos dispositivos.

Experimente!

  1. Configure as seguintes definições de cliente (encontradas na secção Serviços de Nuvem) com as informações em Como configurar as definições do cliente.
    • Registar automaticamente novos dispositivos associados a Windows 10 domínio com Microsoft Entra ID – Defina como Sim (predefinição) ou Não.
    • Permitir que os clientes utilizem um gateway de gestão da cloud – defina como Sim (predefinição) ou Não.
  2. Implemente as definições de cliente na coleção necessária de dispositivos.

Para confirmar que o dispositivo está associado ao Microsoft Entra ID, execute o comando dsregcmd.exe /status numa janela da linha de comandos. O campo AzureAdjoined nos resultados mostrará SIM se o dispositivo estiver Microsoft Entra associado.

Criar e executar scripts do PowerShell a partir da consola do Configuration Manager

No Configuration Manager, pode implementar scripts em dispositivos cliente através de pacotes e programas. Nesta pré-visualização técnica, adicionámos novas funcionalidades que lhe permitem efetuar as seguintes ações:

  • Importar Scripts do PowerShell para Configuration Manager
  • Editar os scripts a partir da consola do Configuration Manager (apenas para scripts não assinados)
  • Marcar scripts como Aprovados ou Negados para melhorar a segurança
  • Execute scripts em coleções de PCs cliente Windows e PCs Windows geridos no local. Em vez disso, não implementa scripts, estes são executados quase em tempo real em dispositivos cliente.
  • Examine os resultados devolvidos pelo script na consola do Configuration Manager.

Pré-requisitos

Para usar scripts, você deve ser membro da função de segurança apropriada do Configuration Manager.

  • Para importar e criar scripts – a sua conta tem de ter permissões criar para Scripts de SMS na função de segurança Administrador Completo .
  • Para aprovar ou negar scripts – a sua conta tem de ter permissões de Aprovação para Scripts DE SMS na função de segurança Administrador Completo .
  • Para executar scripts – a sua conta tem de ter permissões de Run Script para Coleções na função de segurança Gestor de Definições de Compatibilidade .

Para obter mais informações sobre Configuration Manager funções de segurança, veja Noções básicas da administração baseada em funções.

Por predefinição, os utilizadores não podem aprovar um script que tenham criado. Uma vez que os scripts são poderosos, versáteis e podem ser implementados em muitos dispositivos, introduzimos um novo conceito de fornecimento da capacidade de separar as funções entre a pessoa que cria o script e a pessoa que aprova o script. Isto proporciona um nível adicional de segurança contra a execução de um script sem supervisão. Pode desativar esta aprovação secundária, para facilitar os testes, especialmente durante a versão do Technical Preview.

Para permitir que os utilizadores aprovem os seus próprios scripts:

  1. Na consola do Configuration Manager, clique em Administração.
  2. Na área de trabalho Administração , expanda Configuração do Site e, em seguida, clique em Sites.
  3. Na lista de sites, selecione o seu site e, em seguida, no separador Base , no grupo Sites , clique em Definições da Hierarquia.
  4. No separador Geral da caixa de diálogo Propriedades das Definições da Hierarquia, desmarque a caixa de verificação Não permitir que os autores de script aprovem os seus próprios scripts.

Experimente!

Importar e editar um script

  1. Na consola do Configuration Manager, clique em Biblioteca de Software.
  2. Na área de trabalho Biblioteca de Software , clique em Scripts.
  3. No separador Base , no grupo Criar , clique em Criar Script.
  4. Na página Script do assistente Criar Script , configure o seguinte:
    • Nome do Script – introduza um nome para o script. Embora possa criar vários scripts com o mesmo nome, isto irá dificultar a localização do script de que precisa na consola do Configuration Manager.
    • Linguagem de script – atualmente, apenas são suportados scripts do PowerShell .
    • Importar – importe um script do PowerShell para a consola do . O script é apresentado no campo Script .
    • Limpar – remove o script atual do campo Script .
    • Script – apresenta o script atualmente importado. Pode editar o script neste campo conforme necessário.
  5. Conclua o assistente. O novo script é apresentado na lista Script com uma status de A aguardar aprovação. Antes de poder executar este script em dispositivos cliente, tem de aprová-lo.

Aprovar ou negar um script

Antes de poder executar um script, este tem de ser aprovado. Para aprovar um script:

  1. Na consola do Configuration Manager, clique em Biblioteca de Software.
  2. Na área de trabalho Biblioteca de Software , clique em Scripts.
  3. Na lista Script , selecione o script que pretende aprovar ou negar e, em seguida, no separador Base , no grupo Script , clique em Aprovar/Negar.
  4. Na caixa de diálogo Aprovar ou negar script , Aprove ou Negue o script e, opcionalmente, introduza um comentário sobre a sua decisão. Se negar um script, não pode ser executado em dispositivos cliente.
  5. Conclua o assistente. Na lista Script , verá a alteração da coluna Estado de Aprovação consoante a ação que tomou.

Executar um script

Depois de um script ser aprovado, pode ser executado numa coleção que escolher.

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.
  2. Na área de trabalho Ativos e Compatibilidade , clique em Coleções de Dispositivos.
  3. Na lista Coleções de Dispositivos , clique na coleção de dispositivos em que pretende executar o script.
  4. No separador Base , no grupo Todos os Sistemas , clique em Executar Script.
  5. Na página Script do assistente Executar Script , selecione um script na lista. Só são apresentados scripts aprovados. Clique em Seguinte e, em seguida, conclua o assistente.

Monitorizar um script

Depois de executar um script para dispositivos cliente, utilize este procedimento para monitorizar o êxito da operação.

  1. Na consola Configuration Manager, clique em Monitorização.
  2. Na área de trabalho Monitorização , clique em Resultados do Script.
  3. Na lista Resultados do Script , pode ver os resultados de cada script que executou em dispositivos cliente. Um código de saída de script de 0 indica geralmente que o script foi executado com êxito.

Suporte de arranque de rede PXE para IPv6

Agora, pode ativar o suporte de arranque de rede PXE para IPv6 para iniciar uma implementação do sistema operativo de sequência de tarefas. Quando utiliza esta definição, os pontos de distribuição preparados para PXE suportarão IPv4 e IPv6. Esta opção não requer WDS e irá parar o WDS se estiver presente.

Para ativar o suporte de arranque PXE para IPv6

Utilize o procedimento seguinte para ativar a opção de suporte IPv6 para PXE.

  1. Na consola Configuration Manager, aceda aPontos de Distribuição de DescriçãoGeral> da Administração> e clique em Propriedades para pontos de distribuição preparados para PXE.
  2. No separador PXE, selecioneSuporte IPv6 para ativar o suporte IPv6 para PXE.

Gerir atualizações de controladores do Microsoft Surface

Agora pode utilizar Configuration Manager para gerir as atualizações do controlador Microsoft Surface.

Pré-requisitos

Todos os pontos de atualização de software têm de ser executados Windows Server 2016.

Experimente!

Tente concluir as seguintes tarefas e, em seguida, envie-nos Feedback a partir do separador Base do Friso para nos informar sobre como funcionou:

  1. Ativar a Sincronização para controladores do Microsoft Surface. Utilize o procedimento em Configurar classificação e produtos e selecioneIncluir controladores e atualizações de firmware do Microsoft Surface no separador Classificações para ativar os controladores do Surface.
  2. Sincronize os controladores do Microsoft Surface.
  3. Implementar controladores sincronizados do Microsoft Surface

Configurar políticas de diferimento do Windows Update para Empresas

Agora, pode configurar políticas de diferimento para Windows 10 Atualizações de Funcionalidades ou Atualizações de Qualidade para dispositivos Windows 10 geridos diretamente pelo Windows Update para Empresas. Pode gerir as políticas de diferimento no novo nó Windows Update para Políticas de Negócio em Biblioteca> de Software Windows 10 Manutenção.

Pré-requisitos

Windows 10 dispositivos geridos pelo Windows Update para Empresas têm de ter conectividade à Internet.

Para criar uma política de diferimento do Windows Update para Empresas

  1. Na Biblioteca> de Software Windows 10 Servicing>Windows Update for Business Policies
  2. No separador Base, no grupo Criar, selecione Criar Windows Update para a Política de Negócio para abrir o Assistente para Criar Windows Update para Políticas de Negócio.
  3. Na página Geral , forneça um nome e uma descrição para a política.
  4. Na página Políticas de Diferimento, configure se pretende diferir ou colocar em pausa a funcionalidade Atualizações.
    Geralmente, as Atualizações de funcionalidades são novas funcionalidades para o Windows. Depois de configurar a definição de nível de preparação do Ramo, pode definir se, e durante quanto tempo, gostaria de adiar a receção da Funcionalidade Atualizações a seguir à disponibilidade da Microsoft.
    • Nível de preparação do ramo: defina o ramo para o qual o dispositivo irá receber atualizações do Windows (Current Branch ou Current Branch for Business).
    • Período de diferimento (dias): especifique o número de dias para o qual a funcionalidade Atualizações será diferida. Pode adiar a receção destas Atualizações de Funcionalidades durante um período de 180 dias a partir do respetivo lançamento.
    • Colocar funcionalidades em pausa Atualizações a iniciar: selecione se pretende interromper a receção de Atualizações de Funcionalidades durante um período de até 60 dias a partir do momento em que colocar as atualizações em pausa. Após o máximo de dias, a funcionalidade de pausa expirará automaticamente e o dispositivo analisará o Windows Atualizações para obter as atualizações aplicáveis. Depois dessa verificação, você poderá pausar as atualizações novamente. Pode anular o Atualizações de Funcionalidades desmarcando a caixa de verificação.
  5. Escolha se pretende diferir ou colocar em pausa Atualizações de Qualidade.
    Os Atualizações de qualidade são geralmente correções e melhorias na funcionalidade windows existente e são normalmente publicadas na primeira terça-feira de cada mês, embora possam ser lançadas a qualquer momento pela Microsoft. Pode definir se, e durante quanto tempo, gostaria de diferir a receção de qualidade Atualizações a seguir à respetiva disponibilidade.
    • Período de diferimento (dias): especifique o número de dias para o qual a funcionalidade Atualizações será diferida. Pode adiar a receção destas Atualizações de Funcionalidades durante um período de 180 dias a partir do respetivo lançamento.
    • Colocar em pausa a qualidade Atualizações a iniciar: selecione se pretende colocar os dispositivos em pausa a partir da receção de Atualizações de Qualidade durante um período de até 35 dias a partir do momento em que colocar as atualizações em pausa. Após o máximo de dias, a funcionalidade de pausa expirará automaticamente e o dispositivo analisará o Windows Atualizações para obter as atualizações aplicáveis. Depois dessa verificação, você poderá pausar as atualizações novamente. Pode anular o Atualizações de Qualidade ao desmarcar a caixa de verificação.
  6. Selecione Instalar atualizações de outros Produtos Microsoft para ativar a definição de política de grupo que torna as definições de diferimento aplicáveis ao Microsoft Update, bem como o Windows Atualizações.
  7. Selecione Incluir controladores com Windows Update para atualizar automaticamente os controladores do Windows Atualizações. Se desmarcar esta definição, as atualizações do controlador não serão transferidas do Windows Atualizações.
  8. Conclua o assistente para criar a nova política de diferimento.

Para implementar uma política de diferimento do Windows Update para Empresas

  1. Na Biblioteca> de Software Windows 10 Servicing>Windows Update for Business Policies
  2. No separador Base, no grupo Implementação, selecione Implementar Windows Update política para empresas.
  3. Defina as seguinte configurações:
    • Política de configuração a implementar: selecione a política Windows Update para Empresas que pretende implementar.
    • Coleção: clique em Procurar para selecionar a coleção onde pretende implementar a política.
    • Remediar regras incompatíveis quando suportado: selecione para remediar automaticamente quaisquer regras que não estejam em conformidade com o Windows Management Instrumentation (WMI), o registo, os scripts e todas as definições para dispositivos móveis inscritos pelo Configuration Manager.
    • Permitir remediação fora da janela de manutenção: se tiver sido configurada uma janela de manutenção para a coleção para a qual está a implementar a política, ative esta opção para permitir que as definições de conformidade remediam o valor fora da janela de manutenção. Para obter mais informações sobre janelas de manutenção, consulte Como utilizar janelas de manutenção.
    • Gerar um alerta: configura um alerta que é gerado se a compatibilidade da linha de base de configuração for inferior a uma percentagem especificada por uma data e hora especificadas. Também pode especificar se pretende que um alerta seja enviado para o System Center Operations Manager.
    • Atraso aleatório (horas): especifica uma janela de atraso para evitar o processamento excessivo no Serviço de Inscrição de Dispositivos de Rede. O valor predefinido é 64 horas.
    • Agenda: especifique a agenda de avaliação de compatibilidade através da qual o perfil implementado é avaliado em computadores cliente. A agenda pode ser simples ou personalizada. O perfil é avaliado pelos computadores cliente quando o utilizador inicia sessão.
  4. Conclua o assistente para implementar o perfil.

Suporte para autoridades de certificação Responsáveis

Configuration Manager agora suporta as autoridades de certificação Entrust; isto permite a entrega de certificados PFX para dispositivos inscritos no Microsoft Intune.

Pode configurar a função Confiar como autoridade de certificação ao adicionar uma função de Ponto de Registo de Certificados no Configuration Manager. Ao adicionar um novo perfil de certificado que emite certificados PFX, pode selecionar uma autoridade de certificação Microsoft ou Confiar.

Problema conhecido: na pré-visualização técnica 1706, os certificados PFX não são emitidos para as autoridades de certificação da Microsoft. Isto não afeta os certificados PFX importados ou os perfis SCEP.

Suporte da Cisco (IPsec) para perfis VPN iOS

Pode criar um perfil VPN do iOS com o Cisco (IPsec) como o tipo de ligação. Para obter mais informações, veja Criar perfis VPN.

Novas definições do item de configuração do Windows

Nesta versão, adicionámos as seguintes novas definições que pode utilizar nos itens de configuração do Windows:

Senha

  • Encriptação de Dispositivos

Dispositivo

  • Modificação das definições de região (apenas no ambiente de trabalho)
  • Modificação das definições de energia e suspensão
  • Modificação das definições de idioma
  • Modificação da hora do sistema
  • Modificação do nome do dispositivo

Armazenar

  • Atualizar aplicações automaticamente a partir da loja
  • Utilizar apenas a loja privada
  • Lançamento da aplicação com origem na Loja

Microsoft Edge

  • Bloquear o acesso a about:flags
  • Substituição da linha de comandos do SmartScreen
  • Substituição de pedidos do SmartScreen para ficheiros
  • Endereço IP do localhost do WebRTC
  • Motor de busca predefinido
  • OpenSearch XML URL
  • Home pages (apenas para ambiente de trabalho)

Para obter mais informações sobre as definições de compatibilidade, veja Garantir a conformidade do dispositivo.

Novas regras de política de conformidade de dispositivos

  • Tipo de palavra-passe obrigatório. Especifique se o utilizador tem de criar uma palavra-passe alfanumérica ou numérica. Para palavras-passe alfanuméricas, também especifica o número mínimo de conjuntos de carateres que a palavra-passe tem de ter. Os quatro conjuntos de carateres são: Minúsculas, letras maiúsculas, símbolos e números.

    Suportado em:

    • Windows Phone 8+
    • Windows 8.1+
    • iOS 6 e posterior

  • Bloquear a depuração USB no dispositivo. Não tem de configurar estas definições, uma vez que a depuração USB já está desativada em dispositivos Android for Work.

    Suportado em:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Bloquear aplicações de origens desconhecidas. Exigir que os dispositivos impeçam a instalação de aplicações de origens desconhecidas. Não tem de configurar esta definição, uma vez que os dispositivos Android for Work restringem sempre a instalação de origens desconhecidas.

    Suportado em:

    • Android 4.0+
    • Samsung KNOX Standard 4.0+

  • Exigir análise de ameaças nas aplicações. Esta definição especifica que a funcionalidade Verificar aplicações está ativada no dispositivo.

    Suportado em:

    • Android 4.2 a 4.4
    • Samsung KNOX Standard 4.0+

Novas definições de política de gestão de aplicações móveis

A partir desta versão, pode utilizar três novas definições de política de gestão de aplicações móveis (MAM):

  • Bloquear captura de ecrã (apenas dispositivos Android): Especifica que as capacidades de captura de ecrã do dispositivo são bloqueadas ao utilizar esta aplicação.

  • Desativar a sincronização de contactos: Impede que a aplicação guarde dados na aplicação Contactos nativa no dispositivo.

  • Desativar a impressão: Impede que a aplicação imprima dados escolares ou profissionais.

Restrições de inscrição para Android e iOS

A partir desta versão, os administradores podem agora especificar que os utilizadores não podem inscrever dispositivos Android ou iOS pessoais no respetivo ambiente híbrido. Isto permite-lhe limitar os dispositivos inscritos a dispositivos pré-declarados, pertencentes à empresa ou dispositivos iOS inscritos apenas com o Programa de Inscrição de Dispositivos.

Experimente

  1. Na consola do Configuration Manager na área de trabalho Administração, aceda a Serviços de Nuvem>Microsoft Intune Subscrição.
  2. No separador Base no grupo Subscrição , selecione Configurar Plataformas e, em seguida, selecione Android ou iOS.
  3. Selecione Bloquear dispositivos pessoais.

Política de gestão de aplicações do Android for Work para copiar/colar

Atualizámos as descrições das definições dos itens de configuração do Android for Work para Permitir a partilha de dados entre o perfil profissional e pessoal.

Antes do 1706 Technical Preview Nome da nova opção Comportamento
Impedir qualquer partilha entre limites Restrições de partilha predefinidas Trabalho a pessoal: predefinição (espera-se que esteja bloqueada em todas as versões)
Pessoal para o trabalho: predefinição (permitido em 6.x+, bloqueado em 5.x)
Sem restrições As aplicações no perfil pessoal podem processar pedidos de partilha a partir do perfil de trabalho Trabalho a pessoal: permitido
Pessoal para o trabalho: permitido
As aplicações no perfil de trabalho podem processar pedidos de partilha a partir de um perfil pessoal As aplicações no perfil de trabalho podem processar pedidos de partilha a partir de um perfil pessoal Trabalho-para-pessoal: Predefinição
Pessoal para o trabalho: permitido
(Só é útil na versão 5.x em que o trabalho pessoal está bloqueado)

Nenhuma destas opções impede diretamente o comportamento de copiar e colar. Adicionámos uma definição personalizada ao serviço e Portal da Empresa aplicação no 1704 que pode ser configurada para impedir a colagem de cópia. Isto pode ser definido através do URI personalizado.

  • OMA-URI: ./Vendor/MSFT/WorkProfile/DisallowCrossProfileCopyPaste
  • Tipo de valor: Booleano

Definir DisallowCrossProfileCopyPaste como verdadeiro impede o comportamento de copiar e colar entre perfis pessoais e de trabalho do Android for Work.

Experimente

  1. Na consola do Configuration Manager, selecione Ativos e Definições deCompatibilidade>>Definições de Compatibilidade Definições> deconfiguração.
  2. Selecione Criar para criar um novo item de configuração e especifique Nome e Android for Work.
  3. Nos grupos de definições do dispositivo a configurar, selecione Perfil de Trabalho e selecione Seguinte.
  4. Selecione o valor para Permitir a partilha de dados entre perfis pessoais e profissionais e, em seguida, conclua o assistente.

Avaliação do Atestado de Estado de Funcionamento do Dispositivo para políticas de conformidade para Acesso Condicional

A partir desta versão, pode utilizar o Atestado de Estado de Funcionamento do Dispositivo status como uma regra de política de conformidade para o Acesso Condicional aos recursos da empresa.

Experimente

Selecione uma regra de Atestado de Estado de Funcionamento do Dispositivo como parte de uma avaliação da política de conformidade.