Configuration Manager 技术预览版 2002 中的功能
适用于:Configuration Manager (technical preview branch)
本文介绍 Configuration Manager 技术预览版 2002 中提供的功能。 安装此版本以更新技术预览网站并添加新功能。
在安装此更新之前,请查看 技术预览 文章。 本文使你熟悉使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供反馈。
以下部分介绍在此版本中试用的新功能:
在服务堆栈更新后评估软件更新
Configuration Manager 现在会检测服务堆栈更新 (SSU) 是否是安装多个更新的一部分。 检测到 SSU 时,会首先安装它。 安装 SSU 后,将运行软件更新评估周期来安装剩余的更新。 此更改允许在服务堆栈更新后安装依赖累积更新。 设备无需在安装之间重启,也无需创建额外的维护时段。 SSU 首先仅针对非用户启动的安装进行安装。 例如,如果用户从软件中心为多个更新启动安装,则可能不会先安装 SSU。
Microsoft断开连接的软件更新点的 365 更新
可以使用新工具将 Microsoft 365 更新从连接 Internet 的 WSUS 服务器导入到断开连接的 Configuration Manager 环境中。 以前,在断开连接的环境中导出和导入软件更新的元数据时,无法部署Microsoft 365 更新。 Microsoft 365 更新需要从 Office API 和 Office CDN 下载其他元数据,这对于断开连接的环境是无法实现的。
先决条件
- 运行至少 Windows Server 2012 的已连接 Internet 的 WSUS 服务器。
- WSUS 服务器需要连接到以下两个 Internet 终结点:
officecdn.microsoft.comconfig.office.com
- 将 OfflineUpdateExporter 工具及其依赖项复制到连接到 Internet 的 WSUS 服务器。
- 该工具及其依赖项位于 <ConfigMgrInstallDir>/tools/OfflineUpdateExporter 目录中。
- 运行该工具的用户必须是 WSUS 管理员 组的一部分。
- 为存储 Office 更新元数据和内容的目录应具有适当的访问控制列表 (ACL) 来保护文件。
- 此目录也必须为空。
- 应安全地移动从联机 WSUS 服务器到断开连接环境的数据。
- 查看 已知问题。
同步然后拒绝不需要Microsoft 365 更新
- 在连接到 Internet 的 WSUS 上,打开 WSUS 控制台。
- 依次选择“选项”、“产品和分类”。
- 在“产品”选项卡中,选择“Office 365 客户端”,然后在“分类”选项卡中选择“更新”。
- 转到 “同步” 并选择“ 立即同步” ,将Microsoft 365 更新获取到 WSUS。
- 同步完成后,拒绝不希望使用 Configuration Manager 部署的任何Microsoft 365 更新。 无需批准Microsoft 365 更新即可下载。
- 在 WSUS 中拒绝不需要的Microsoft 365 更新不会阻止在 WsusUtil.exe 导出期间导出它们,但会阻止 OfflineUpdateExporter 工具下载它们的内容。
- OfflineUpdateExporter 工具可为你下载Microsoft 365 更新。 如果要导出其他产品的更新,仍需要获得下载批准。
- 在 WSUS 中创建新的更新视图,以在 WSUS 中轻松查看和拒绝不需要的Microsoft 365 更新。
- 如果要批准其他产品更新进行下载和导出,请等待内容下载完成,然后运行 WsusUtil.exe 导出和复制 WSUSContent 文件夹的内容。 有关详细信息,请参阅 从断开连接的软件更新点同步软件更新
导出Microsoft 365 更新
将 OfflineUpdateExporter 文件夹从 Configuration Manager 复制到连接到 Internet 的 WSUS 服务器。
- 该工具及其依赖项位于 <ConfigMgrInstallDir>/tools/OfflineUpdateExporter 目录中。
在连接到 Internet 的 WSUS 服务器上的命令提示符下,使用以下用法运行该工具: OfflineUpdateExporter.exe -O -D <目标路径>
OfflineUpdateExporter 参数 说明 -O -Office。 指定用于导出更新的产品Microsoft 365 -D -Destination。 Destination 是必需参数,需要目标文件夹的整个路径。 -
OfflineUpdateExporter 工具执行以下操作:
- 连接到 WSUS
- 读取 WSUS 中的Microsoft 365 更新元数据
- 将Microsoft 365 更新所需的内容和任何其他元数据下载到目标文件夹
-
OfflineUpdateExporter 工具执行以下操作:
在连接到 Internet 的 WSUS 服务器上的命令提示符下,导航到包含 WsusUtil.exe 的文件夹。 默认情况下,该工具位于 %ProgramFiles%\Update Services\Tools 中。 例如,如果工具位于默认位置,请键入 cd %ProgramFiles%\Update Services\Tools。
- 如果使用 Windows Server 2012,请确保在 WSUS 服务器上安装了 KB2819484 。
- 运行 WsusUtil 工具的用户必须是服务器上的本地管理员组的成员。
键入以下命令,将软件更新元数据导出到 GZIP 文件:
WsusUtil.exe 导出packagename日志文件
例如:
WsusUtil.exe 导出 export.xml.gz export.log
将 export.xml.gz 文件复制到断开连接网络上的顶级 WSUS 服务器。
如果已批准对其他产品的更新,请将 WSUSContent 文件夹的内容复制到已断开连接的 WSUS 服务器的顶级 WSUSContent 文件夹。
将用于 OfflineUpdateExporter 的目标文件夹复制到断开连接网络上的顶级 Configuration Manager 站点服务器。
导入 Microsoft 365 更新
在断开连接的顶级 WSUS 服务器上,从在连接 Internet 的 WSUS 服务器上生成的 export.xml.gz 导入更新元数据。
例如:
WsusUtil.exe 导入 export.xml.gz import.log
默认情况下,WsusUtil.exe 工具位于 %ProgramFiles%\Update Services\Tools 中。
导入完成后,需要在断开连接的顶级 Configuration Manager 站点服务器上配置站点控制属性。 此配置更改将 Configuration Manager 指向 Microsoft 365 的内容。 若要更改属性的配置,请执行以下操作:
- 将 O365OflBaseUrlConfigured PowerShell 脚本 复制到已断开连接的顶级 Configuration Manager 站点服务器。
- 更改为
"D:\Office365updates\content"包含 OfflineUpdateExporter 生成的 Office 内容和元数据的复制目录的完整路径。 - 将脚本另存为
O365OflBaseUrlConfigured.ps1 - 在断开连接的顶级 Configuration Manager 站点服务器上提升的 PowerShell 窗口中,运行
.\O365OflBaseUrlConfigured.ps1。 - 在站点服务器上重启 SMS_Executive 服务。
在 Configuration Manager 控制台中,导航到 “管理>站点配置>站点”。
右键单击顶级站点,然后选择 “配置站点组件>软件更新点”。
在“ 分类 ”选项卡中,选择“ 更新”。 在“ 产品 ”选项卡中,选择“ Office 365 客户端”。
同步 Configuration Manager 的软件更新
同步完成后,使用正常过程部署Microsoft 365 更新。
已知问题
- 代理配置不是本机内置于该工具中。 如果在运行该工具的服务器上的“Internet 选项”中设置了代理,则从理论上讲,它将使用,并且应该正常工作。
- 在命令提示符下,运行
netsh winhttp show proxy以查看配置的代理。
- 在命令提示符下,运行
- 只有本地路径适用于 O365OflBaseUrlConfigured 属性。
- 目前,将下载所有Microsoft 365 种语言的内容。 每个更新可以包含大约 10 GB 的内容。
修改 O365OflBaseUrlConfigured 属性
# Name: O365OflBaseUrlConfigured.ps1
#
# Description: This sample sets the O365OflBaseUrlConfigured property for the SMS_WSUS_CONFIGURATION_MANAGER component on the top-level site.
# This script must be run on the disconnected top-level Configuration Manager site server
#
# Replace "D:\Office365updates\content" with the full path to the copied directory containing all the Office metadata and content generated by the OfflineUpdateExporter tool.
$PropertyValue = "D:\Office365updates\content"
# Don't change any of the lines below
$PropertyName = "O365OflBaseUrlConfigured"
# Get provider instance
$providerMachine = Get-WmiObject -namespace "root\sms" -class "SMS_ProviderLocation"
if($providerMachine -is [system.array])
{
$providerMachine=$providerMachine[0]
}
$SiteCode = $providerMachine.SiteCode
$component = gwmi -ComputerName $providerMachine.Machine -namespace root\sms\site_$SiteCode -query 'select comp.* from sms_sci_component comp join SMS_SCI_SiteDefinition sdef on sdef.SiteCode=comp.SiteCode where sdef.ParentSiteCode="" and comp.componentname="SMS_WSUS_CONFIGURATION_MANAGER"'
$properties = $component.props
Write-host "Updating $PropertyName property for site " $SiteCode
foreach ($property in $properties)
{
if ($property.propertyname -eq $PropertyName)
{
Write-host "Current value for $PropertyName is $($property.value2)"
$property.value2 = $PropertyValue
Write-host "Updating value for $PropertyName to $($property.value2)"
break
}
}
$component.props = $properties
$component.put()
业务流程组的改进
创建业务流程组以更好地控制将软件更新部署到设备。 使用业务流程组可以灵活地根据百分比、特定数字或显式顺序更新设备。 还可以在设备运行更新部署之前和之后运行 PowerShell 脚本。
业务流程组是“服务器组”功能的演变。 它们首次在 Configuration Manager 版本 1909 的技术预览版中引入。 我们在 技术预览版 2001 和 2001.2技术预览版中改进了业务流程组。 在此技术预览版中,我们已向业务流程组添加了以下改进:
- 清除业务流程组成员的状态(如*完成 或 失败),以便重新运行业务流程。
- 右键单击“业务流程组”成员,然后选择“ 重置业务流程组成员”。
- 启动一些基本操作 ,例如资源资源管理器 和为所选成员 启用详细日志记录 。
- 需要重启的更新现在适用于业务流程。
尝试一下!
尝试完成任务。 然后发送 反馈 ,其中包含你对该功能的看法。
先决条件
若要查看这些组的所有业务流程组和更新,你的帐户必须是 完全管理员。
启用 业务流程组 功能。 有关详细信息,请参阅 启用可选功能。
注意
启用 业务流程组时,站点将禁用 服务器组 功能。 此行为可避免这两个功能之间的任何冲突。
创建业务流程组
在 Configuration Manager 控制台中,转到 “资产和符合性” 工作区,然后选择“ 业务流程组” 节点。
在功能区中,选择“ 创建业务流程组 ”以打开 “创建业务流程组向导”。
在“ 常规 ”页上,为业务流程组提供 “名称” 和“ 说明”(可选)。 为以下项指定值:
- 业务流程组超时 (分钟) :所有组成员完成更新安装的时间限制。
- 业务流程组成员超时 (分钟) :组中单个设备完成更新安装的时间限制。
在“ 成员选择” 页上,首先指定 站点代码。 然后选择“ 添加 ”,将设备资源添加为此业务流程组的成员。 按名称搜索设备,然后添加它们。 还可以使用“ 在集合中搜索”将搜索筛选为单个集合。 将设备添加到所选资源列表后,选择 “确定 ”。
- 为组选择资源时,仅显示有效的客户端。 进行检查以验证站点代码、客户端是否已安装以及资源是否不重复。
在 “规则选择” 页上,选择以下选项之一:
允许同时更新计算机百分比,然后选择或输入此百分比的数字。 使用此设置可以灵活调整业务流程组的大小。 例如,业务流程组包含 50 个设备,将此值设置为 10。 在软件更新部署期间,Configuration Manager 允许五台设备同时运行部署。 如果稍后将业务流程组的大小增加到 100 个设备,则同时更新 10 台设备。
允许同时更新多个计算机,然后为此特定计数选择或输入一个数字。 使用此设置始终限制为特定数量的设备,无论业务流程组的总体大小如何。
指定维护顺序,然后按正确的顺序对所选资源进行排序。 使用此设置可以显式定义设备运行软件更新部署的顺序。
在 “PreScript ”页上,输入在部署运行 之前 在每个设备上运行的 PowerShell 脚本。 对于成功或重启成功,
3010脚本应返回值0。 指定 脚本超时 (秒) 值,如果脚本未在指定时间内完成,则脚本将失败。在 PostScript 页上,输入要在部署运行 后 在每个设备上运行的 PowerShell 脚本,并输入 脚本超时 (秒) 值。 否则,该行为与 PreScript 相同。
完成该向导。
可以使用组的属性更改现有业务流程组的设置。
若要删除业务流程组,请选择它,然后在功能区中选择“ 删除 ”。
查看业务流程组和成员
在 “资产和符合性” 工作区中,选择“ 业务流程组” 节点。 若要查看成员,请选择业务流程组,然后选择功能区中的“ 显示成员 ”。 有关节点的可用列的详细信息,请参阅 监视业务流程组和成员。
启动业务流程
-
将软件更新部署到 包含业务流程组成员的集合。
- 当组中的任何客户端尝试在截止时间或维护时段内安装任何软件更新时,业务流程将启动。 它针对整个组启动,并确保设备通过遵循业务流程组规则进行更新。
- 可以通过从“业务流程 组 ”节点中选择业务流程,然后从功能区或右键单击菜单中选择“ 启动业务流程” 来手动启动业务流程。
提示
- 业务流程组仅适用于软件更新部署。 它们不适用于其他部署。
- 可以右键单击业务流程组成员,然后选择“ 重置业务流程组成员”。 这允许重新运行业务流程。
监控
通过 Configuration Manager 控制台和 日志文件监视业务流程组和成员。
监视业务流程组
在 “资产和符合性” 工作区中,选择“ 业务流程组” 节点。 添加以下任一列以获取有关组的信息:
业务流程名称:业务流程组的名称。
站点代码:组的网站代码。
业务流程类型:是以下类型之一:
- 号码
- 百分比
- 序列
业务流程值:可以同时获取锁的成员数或成员的百分比。 仅当业务流程类型为“数字”或“百分比”时,才会填充业务流程值。
业务流程状态:业务流程期间正在进行。 未进行时空闲。
业务流程开始时间:业务流程启动的日期和时间。
当前序列号:指示组业务流程的哪个成员处于活动状态。 此数字对应于成员的 序列号 。
业务流程超时 (以分钟) :在创建组时,业务流程 组超时 () 在“ 常规 ”页上设置的值,或者在编辑组时设置“ 常规 ”选项卡。
业务流程组成员超时 (以分钟为单位) :创建 组时,业务流程组成员超时 () 在“ 常规 ”页上设置的值,或者在编辑组时设置“ 常规 ”选项卡。
业务流程组 ID:组的 ID,该 ID 用于日志和数据库中。
业务流程组唯一 ID:组的唯一 ID,唯一 ID 用于日志和数据库中。
监视业务流程组成员
在 “业务流程组 ”节点中,选择一个业务流程组。 在功能区中,选择“ 显示成员”。 可以查看组的成员及其业务流程状态。 添加以下任一列以获取有关成员的信息:
- 名称:业务流程组成员的设备名称
-
当前状态:提供成员设备的状态。
- 在 业务流程期间进行中。
- 正在等待:指示客户端正在等待其轮到其安装更新的锁。
- 业务流程 完成或未运行时空闲。
-
状态代码:可以右键单击“业务流程组”成员,然后选择“ 重置业务流程组成员”。 此重置允许重新运行业务流程。 状态包括:
- 空闲
- 正在等待,设备正在等待轮次
- 正在进行,正在安装更新
- 已失败
- 正在等待重启
-
锁定获取时间:客户端根据其策略请求锁。 客户端获取锁后,就会在客户端上触发业务流程。
- 上次报告状态时间:成员上次报告状态的时间。 - 序列号:客户端在用于安装更新的队列中的位置。
- 站点代码:成员的网站代码。
- 客户端活动:告知客户端是活动还是非活动。
- 主要用户 () :哪些用户是设备的主要用户。
- 客户端类型:客户端是哪种类型的设备。
- 当前登录用户:当前登录到设备的用户。
- OG ID:成员所属的业务流程组的 ID。
- OG 唯一 ID:成员所属的业务流程组的唯一 ID。
- 资源 ID:设备的资源 ID。
日志文件
在站点服务器上使用以下日志文件来帮助监视和故障排除:
站点服务器
- Policypv.log:显示站点将业务流程组定向到客户端。
- SMS_OrchestrationGroup.log:显示业务流程组的行为。
客户端
- MaintenanceCoordinator.log:显示锁获取、更新安装、前后脚本以及锁定发布过程。
- UpdateDeployment.log:显示更新安装过程。
- PolicyAgent.log:检查客户端是否在业务流程组中。
业务流程组已知问题
- 不要将计算机添加到多个业务流程组。
Microsoft Edge 管理的改进
现在可以创建设置为接收自动更新而不是禁用自动更新的 Microsoft Edge 应用程序。 此更改允许你选择使用 Configuration Manager 管理 Microsoft Edge 的更新,或者允许 Microsoft Edge 自动更新。 创建应用程序时,请在“Microsoft Edge 设置”页上选择“允许Microsoft Edge”自动更新最终用户设备上的客户端版本。
对 Microsoft Entra 发现和组同步的代理支持
站点系统的代理设置(包括身份验证)现在用于:
日志文件
- SMS_AZUREAD_DISCOVERY_AGENT.log
对 BitLocker 管理的改进
BitLocker 管理策略现在包括其他设置,包括固定驱动器和可移动驱动器的策略:
“设置”页上的全局策略设置:
- 防止重启时内存覆盖
- 验证智能卡证书使用规则符合性
- 组织唯一标识符
OS 驱动器 设置:
- 允许用于启动的增强 PINS
- 操作系统驱动器密码策略
- 在 BitLocker 恢复后重置平台验证数据
- 预启动恢复消息和 URL
- 加密策略强制设置
修复了驱动器 设置:
- 固定数据驱动器加密
- 拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限
- 允许从早期版本的 Windows 访问 BitLocker 固定数据驱动器
- 修复了数据驱动器密码策略
- 加密策略强制设置
可移动驱动器 设置:
- 可移动驱动器数据加密
- 拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限
- 允许访问不受 BitLocker 保护的受 BitLocker 保护的可移动驱动器
- 可移动驱动器密码策略
客户端管理 设置:
- 用户豁免策略
- 客户体验改善计划
有关这些设置的详细信息,请参阅 MBAM 文档。
BitLocker 管理已知问题
以下新设置在此技术预览版中不起作用:
- 固定驱动器设置:拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限
- 可移动驱动器设置:拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限
- 客户端管理策略:客户体验改善计划
BitLocker 报表在此版本中不起作用
任务序列进度的其他改进
根据社区的持续反馈,此版本包括对任务序列进度的进一步改进。 现在,总步骤计数不包括任务序列中的以下项:
组。 此项是其他步骤的容器,而不是步骤本身。
运行任务序列步骤的实例。 此步骤是其他步骤的容器,因此不再计数。
显式禁用的步骤。 禁用的步骤不会在任务序列期间运行,因此不再进行计数。
注意
已禁用组中的启用步骤仍包含在总计数中。
有关详细信息,请参阅以下文章:
对 ConfigMgr PXE 响应器的改进
ConfigMgr PXE 响应方现在向站点服务器发送状态消息。 此更改可更轻松地排查操作系统部署问题。
云管理网关的基于令牌的身份验证
此功能显示在技术预览版分支版本 2002 的 Configuration Manager 控制台的 新增功能 工作区中,但它随版本 2001.2 一起发布。 有关详细信息,请参阅 2001.2 功能。
一般已知问题
无法删除集合
在此版本的技术预览分支中,无法删除集合。
若要解决此问题,请使用以下 Configuration Manager PowerShell cmdlet 删除集合:
后续步骤
有关安装或更新技术预览分支的详细信息,请参阅 技术预览版。
有关 Configuration Manager 的不同分支的详细信息,请参阅 我应使用 Configuration Manager 的哪个分支?。