Microsoft Intune 的新功能 - 前幾個月

2024 年 4 月 15 日當周

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Atom Edge by Arlanto Apps

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2024 年 4 月 1 日當周

裝置管理

Intune 中的 Copilot 可在 Intune 系統管理中心 (公開預覽)

Intune 中的 Copilot 已整合到 Intune 系統管理中心，可協助您快速取得資訊。 您可以在 Intune 中使用 Copilot 進行下列工作：

✅ Copilot 可協助您管理設定和原則

• 設定的 Copilot 工具提示：當您將設定新增至原則或檢閱現有原則中的設定時，會有新的 Copilot 工具提示。 當您選取工具提示時，會根據Microsoft內容和建議來取得 AI 產生的指引。 您可以查看每個設定的用途、設定的運作方式、任何建議的值、設定是否在另一個原則中設定等等。

• 原則摘要工具：在現有原則上，您會取得原則的 Copilot 摘要。 摘要描述原則的作用、指派至原則的使用者和群組，以及原則中的設定。 這項功能可協助您了解原則及其設定對使用者和裝置的影響。

✅ Copilot 會顯示裝置詳細數據，並可協助進行疑難解答

• 裝置的相關信息：在裝置上，您可以使用 Copilot 來取得裝置的相關重要資訊，包括其屬性、組態和狀態資訊。

• 裝置比較：使用 Copilot 來比較兩個裝置的硬體屬性和裝置設定。 這項功能可協助您判斷兩個具有類似設定的裝置之間有何不同，特別是在疑難解答時。

• 錯誤碼分析器：在裝置檢視中使用 Copilot 來分析錯誤碼。 此功能可協助您瞭解錯誤的意義，並提供可能的解決方法。

✅ Intune 安全性 Copilot 中的功能

Intune 可在 Copilot for Security 入口網站中取得功能。 SOC 分析師和IT系統管理員可以使用這些功能來取得原則、裝置、群組成員資格等的詳細資訊。 在單一裝置上，您可以取得 Intune 特有的更具體資訊，例如合規性狀態、裝置類型等等。

您也可以要求 Copilot 告訴您使用者的裝置，並取得重要資訊的快速摘要。 例如，輸出會以 Intune、裝置標識碼、註冊日期、上次簽入日期和合規性狀態顯示使用者裝置的連結。 如果您是 IT 系統管理員並檢閱使用者，則此資料會提供快速摘要。

身為SOC分析師，調查可疑或可能遭入侵的使用者或裝置，註冊日期和上次簽入等資訊可協助您做出明智的決策。

如需這些功能的詳細資訊，請參閱：

• Intune 中的 Microsoft Copilot
• 在 Copilot for Security 中存取您的 Microsoft Intune 數據

適用於：

• Android
• iOS/iPadOS
• macOS
• Windows

GCC 客戶可以針對 Windows 和 Android 裝置使用 遠端說明

Microsoft Intune Suite 包含進階端點管理和安全性功能，包括 遠端說明。

在 Windows 和已註冊的 Android Enterprise 專用裝置上，您可以在美國政府 GCC 環境中使用遠端說明。

如需這些功能的詳細資訊，請參閱：

• 美國政府 GCC 服務描述的 Microsoft Intune
• 搭配使用 遠端說明 與 Microsoft Intune

適用於：

• Windows 10/11
• ARM64 裝置上的 Windows 10/11
• Windows 365
• 註冊為 Android Enterprise 專用裝置的 Samsung 和 Zebra 裝置

裝置設定

OEM 的新 BIOS 裝置組態配置檔

OEM 有新的 BIOS 組態和其他設定 裝置設定原則。 系統管理員可以使用此新原則來啟用或停用保護裝置的不同 BIOS 功能。 在 Intune 裝置設定原則中，您可以新增 BIOS 組態檔、部署 Win32 應用程式，然後將原則指派給您的裝置。

例如，系統管理員可以使用 Dell 命令工具 (開啟 Dell 的網站) 來建立 BIOS 組態檔。 然後，他們會將此檔案新增至新的 Intune 原則。

如需這項功能的詳細資訊，請參閱在 Microsoft Intune 中的 Windows 裝置上使用 BIOS 組態配置檔。

適用於

• Windows 10 和更新版本

2024 年 3 月 25 日當周 (Service 2403)

Microsoft Intune Suite

端點許可權管理的新提高許可權類型

端點許可權管理有新的檔案提升類型， 支援已核准。 端點許可權管理是 Microsoft Intune Suite 的功能元件，也可以作為獨立 Intune 附加元件使用。

支援核准的提高許可權可為您提供預設提高許可權回應和每個規則提高許可權類型的第三個選項。 不同於自動或使用者確認，支援核准的提高許可權要求需要 Intune 系統管理員來管理哪些檔案可以依案例提升許可權來執行。

透過支援核准的提升許可權，使用者可以要求核准，以提升自動或使用者核准規則未明確允許提高許可權的應用程式。 這會採用提高許可權要求的形式，該要求必須由可核准或拒絕提高許可權要求的 Intune 系統管理員檢閱。

當要求獲得核准時，使用者會收到通知，表示應用程式現在可以提升許可權執行，而且在提高許可權核准到期之前，使用者有24小時的時間可以執行此動作。

適用於：

• Windows 10
• Windows 11

如需這項新功能的詳細資訊，請 參閱支援已核准的提高許可權要求。

應用程式管理

在具有工作配置檔的個人擁有 Android 裝置上，受控 Google Play 應用程式的擴充功能

有擴充至工作配置檔裝置的新功能。 下列功能先前僅適用於公司擁有的裝置：

• 裝置群組的可用應用程式：您可以使用 Intune，透過受控Google Play 商店將應用程式提供給裝置群組。 先前，應用程式只能提供給使用者群組使用。

• 更新優先順序設定：您可以使用 Intune 在具有工作配置檔的裝置上設定應用程式更新優先順序。 若要深入瞭解此設定，請參閱 更新受控Google Play應用程式。

• 在受控 Google Play 中顯示的必要應用程式：您可以使用 Intune 讓使用者透過受控 Google Play 商店取得必要的應用程式。 屬於現有原則一部分的應用程式現在會顯示為可用。

這些新功能將在數個月內逐步推出。

適用於：

• 具有工作配置檔的Android Enterprise 個人擁有裝置

裝置設定

Apple 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。 如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

[設定目錄] 中有新的設定。 若要查看這些設定，請在 Microsoft Intune 系統管理中心，移至 [裝置>管理裝置>>] [設定][建立>適用於配置檔類型的平臺>設定目錄的新原則>iOS/iPadOS 或 macOS]。

iOS/iPadOS

(DDM) 密碼的宣告式 裝置管理>：

• 以天為單位的密碼存留期上限
• 最小複雜字元
• 需要英數位元密碼

限制：

• 允許 Marketplace 應用程式安裝

macOS

DDM) 密碼 (宣告式 裝置管理>：

• 在下一次驗證時變更
• 自訂 Regex
• 失敗的嘗試以分鐘為單位重設
• 以天為單位的密碼存留期上限
• 最小複雜字元
• 需要英數位元密碼

完整磁碟加密 > FileVault：

• 以月為單位的修復金鑰輪替

Windows 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中有新的設定。 若要查看這些設定，請在 Microsoft Intune 系統管理中心，移至 [裝置>管理裝置>>設定][建立>新原則>Windows 10 以及更新版本，以取得配置檔類型的平臺>設定目錄。

• 傳遞優化：

  • DO 不允許在 VPN 上下載快取伺服器 - 此設定會在裝置使用 VPN 連線時，封鎖從Microsoft連線快取伺服器下載。 根據預設，使用 VPN 連線時，允許從Microsoft連線快取下載裝置。

  • DO 設定時數限制背景下載頻寬 - 此設定會指定背景下載頻寬上限。 傳遞優化會在所有並行下載活動期間和上班時間以外使用此頻寬，以可用下載頻寬的百分比表示。

  • DO 設定時數限制前景下載頻寬 - 此設定會指定前景下載頻寬上限。 傳遞優化會在所有並行下載活動期間和上班時間以外使用此頻寬，以可用下載頻寬的百分比表示。

  • DO Vpn 關鍵詞 - 此原則可讓您設定一或多個用來辨識 VPN 連線的關鍵詞。

• 傳訊：

  • 允許訊息同步 - 此原則設定可讓您備份及還原行動數據文字訊息，以Microsoft的雲端服務。

• Microsoft Defender 防病毒軟體：

  • 指定掃描封存盤案的最大深度
  • 指定要掃描的封存盤案大小上限

如需這些設定的詳細資訊，請參閱：

• 原則 CSP - DeliveryOptimization
• 原則 CSP - 傳訊
• 原則 CSP - ADMX_MicrosoftDefenderAntivirus

適用於：

• Windows 10 和更新版本

新增至 Windows 裝置防病毒軟體原則的新封存盤案掃描設定

我們已將下列兩個設定新增至適用於 Windows 10 和 Windows 11 裝置之端點安全性防病毒軟體原則的 Microsoft Defender 防病毒軟體配置檔：

• 指定掃描封存盤案的最大深度 - 此設定可讓您設定在掃描期間解壓縮封存盤案的最大目錄深度層級，例如 .ZIP 或 .CAB。
• 指定要掃描的封存盤案大小上限 - 此設定可讓您設定封存盤案的大小上限，例如 .ZIP 或掃描的 .CAB。 值代表以 KB) (KB 為單位的檔案大小。

使用防病毒軟體原則，您可以在 Intune 註冊的裝置上，以及透過適用於端點的 Defender 安全性設定管理案例所管理的裝置上管理這些設定。

這兩個設定也可在 [裝置>管理裝置>>>>設定] 的 [設定] 目錄中取得 Windows 10 及更新版本，適用於配置檔類型 >Defender 的平台>設定目錄。

適用於：

• Windows 10
• Windows 11

指派篩選 匯報

您可以使用 Intune 指派篩選器，根據您建立的規則來指派原則。

現在，您可以：

• 針對視窗 MAM 應用程式保護原則和應用程式設定原則使用受控應用程式指派篩選。
• 依 [平臺] 和 [受控 應用程式 ] 或 [受管理的 裝置 ] 篩選類型，篩選您現有的指派篩選。 當您有許多篩選條件時，這項功能可讓您更輕鬆地尋找您建立的特定篩選條件。

如需這些功能的詳細資訊，請參閱：

• 在 Microsoft Intune 中指派應用程式、原則和設定檔時，請使用篩選條件
• Windows MAM 的數據保護

本功能適用於：

• 下列平臺上的受控裝置：

  • Android 裝置系統管理員
  • Android Enterprise
  • Android (AOSP)
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• 下列平臺上的 Managed 應用程式：

  • Android
  • iOS/iPadOS
  • Windows

裝置管理

新的合規性設定可讓您使用硬體支援的安全性功能來驗證裝置完整性

名為 [ 使用硬體支援的安全性功能檢查強式完整性 ] 的新合規性設定，可讓您使用硬體支援的密鑰證明來驗證裝置完整性。 如果您設定此設定，強完整性證明會新增至Google Play的完整性決策評估。 裝置必須符合裝置完整性，才能保持相容。 Microsoft Intune 將不支援此類型完整性檢查的裝置標示為不符合規範。

此設定可在 Android Enterprise 完全受控、專用和公司擁有的工作配置檔的配置檔中，於裝置健康>狀態 Google Play 保護下提供。 只有在配置檔中的播放完整性決策原則設定為 [檢查基本完整性 ] 或 [ 檢查基本完整性] & 裝置完整性時，它才會可供使用。

適用於：

• Android Enterprise

如需詳細資訊，請參閱 裝置合規性 - Google Play 保護。

Android 工作配置檔、個人裝置的新合規性設定

現在您可以新增工作配置文件密碼的合規性需求，而不會影響裝置密碼。 系統安全>性工作配置檔安全性下 Android Enterprise 個人擁有工作配置檔的合規性配置檔中提供所有新的 Microsoft Intune 設定，包括：

• 需要密碼才能解除鎖定工作配置檔
• 密碼到期前的天數
• 防止重複使用的先前密碼數目
• 在需要密碼之前，閑置最長分鐘數
• 密碼複雜度
• 必要的密碼類型
• 密碼最小長度

如果工作配置檔密碼不符合需求，公司入口網站 將裝置標示為不符合規範。 Intune 合規性設定優先於 Intune 裝置組態配置檔中的個別設定。 例如，合規性配置檔中的密碼複雜度會設定為 中型。 裝置組態配置檔中的密碼複雜度會設定為 高。 Intune 優先順序並強制執行合規性政策。

適用於：

• 具有工作配置檔的Android Enterprise 個人擁有裝置

如需詳細資訊，請參閱 合規性設定 - Android Enterprise。

加速非安全性更新的 Windows 品質更新支援

Windows 品質更新現在支援在需要比一般品質更新設定更快部署品質修正時，加速非安全性更新。

適用於：

• Windows 11 裝置

如需安裝加速更新的詳細資訊，請參閱加速 Microsoft Intune 中的 Windows 品質更新。

導入遠端動作以暫停設定重新整理強制間隔

在 Windows 設定目錄中，您可以設定組態重新 整理。 此功能可讓您設定 Windows 裝置重新套用先前收到的原則設定，而不需要裝置簽入 Intune。 裝置會根據先前收到的原則重新執行並重新強制執行設定，以將設定漂移的機會降到最低。

為了支援這項功能，會新增遠端動作以允許暫停運作。 如果系統管理員需要在裝置上進行變更或執行補救，以進行疑難解答或維護，他們可以從 Intune 發出暫停一段指定的期間。 當期間到期時，系統會再次強制執行設定。

您可以從裝置摘要頁面存取遠端動作 暫停設定重新 整理。

如需詳細資訊，請參閱：

• 遠端動作
• 暫停設定重新整理遠端動作

裝置安全性

已更新 Windows 23H2 版的安全性基準

您現在可以部署 Windows 23H2 版的 Intune 安全性基準。 這個新的基準是以 Microsoft 下載中心安全性合規性工具組和基準中找到的 群組原則 安全性基準 23H2 版為基礎，而且只包含適用於透過 Intune 管理之裝置的設定。 使用此更新的基準可協助您維護 Windows 裝置的最佳做法設定。

此基準會使用 [設定目錄] 中顯示的統一設定平臺。 它具有改良的使用者介面和報告體驗、與設定套用相關的一致性和精確度改善，而且可以支援配置檔的指派篩選。

使用 Intune 安全性基準可協助您將設定快速部署到 Windows 裝置，以符合Microsoft適用安全性小組的安全性建議。 如同所有基準，預設基準代表建議的設定，您可以修改這些設定以符合組織的需求。

適用於：

• Windows 10
• Windows 11

若要檢視包含其預設組態的新基準設定，請參閱 Windows MDM 安全性基準版本 23H2。

使用 Podman 的無根實作來裝載通道Microsoft

符合必要條件時，您可以使用無根 Podman 容器來裝載 Microsoft Tunnel 伺服器。 當您使用 Podman for Red Hat Enterprise Linux (RHEL) 8.8 版或更新版本來裝載 Microsoft Tunnel 時，即可使用此功能。

使用無根 Podman 容器時，mstunnel 服務會在非特殊許可權的服務用戶下執行。 此實作有助於限制容器逸出的影響。 若要使用無根 Podman 容器，您必須使用修改過的命令行來啟動通道安裝腳本。

如需此 Microsoft Tunnel 安裝選項的詳細資訊，請參 閱使用無根 Podman 容器。

適用於端點的 Microsoft Defender Intune部署的改善

我們已改善並簡化使用 Intune 端點偵測和回應 (EDR) 原則時，將裝置上線至 Microsoft Defender 的體驗、工作流程和報告詳細數據。 這些變更適用於 Intune和租使用者附加案例所管理的 Windows 裝置。 這些改善包括：

• 變更 EDR 節點、儀錶板和報表，以改善 Defender EDR 部署編號的可見性。 請參閱 關於端點偵測和響應節點。

• 新的全租用戶選項，可部署預先設定的 EDR 原則，以簡化適用於端點的 Defender 部署至適用的 Windows 裝置。 請參閱 使用預先設定的 EDR 原則。

• 變更 Intune 端點安全性節點的 [概觀] 頁面。 這些變更提供來自受控裝置上適用於端點的 Defender 的裝置訊號報告合併檢視。 請參閱 使用預先設定的 EDR 原則。

這些變更適用於系統管理中心的端點安全性和端點偵測和響應節點，以及下列裝置平臺：

• Windows 10
• Windows 11

Windows 品質更新支援加速非安全性更新

Windows 品質更新現在支援在需要比一般品質更新設定更快部署品質修正時，加速非安全性更新。

適用於：

• Windows 11 裝置

如需安裝加速更新的詳細資訊，請參閱加速 Microsoft Intune 中的 Windows 品質更新。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Cerby by Cerby， Inc.
• OfficeMail Go by 9Folders， Inc.
• DealCloud by Intapp， Inc.
• Intapp 2.0 by Intapp， Inc.

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2024 年 3 月 3 日當周

裝置註冊

Windows Hello 企業版 註冊設定的角色型訪問控制變更

我們已在 Windows Hello 企業版 的註冊區域中更新角色型訪問控制 (RBAC) 。 與 Windows Hello 企業版 相關的註冊設定，除了 Intune 服務管理員以外，所有角色都是只讀的。 Intune 服務管理員可以建立和編輯 Windows Hello 企業版 註冊設定。

如需詳細資訊，請參閱裝置註冊 Windows Hello 文章中的角色型訪問控制。

裝置安全性

Windows Hello 企業版 的新註冊組態

Intune 系統管理中心提供新的 Windows Hello 企業版 註冊設定 [啟用增強的登入安全性]。 增強的登入安全性是 Windows Hello 功能，可防止惡意使用者透過外部外圍設備存取使用者的生物特徵辨識。

如需此設定的詳細資訊，請參閱建立 Windows Hello 企業版 原則。

不相容電子郵件通知中支援的 HTML 格式設定

Intune 現在支援所有平臺的不相容電子郵件通知中的 HTML 格式設定。 您可以使用支援的 HTML 標籤，將斜體、URL 連結和點符清單等格式新增至組織的訊息。

如需詳細資訊，請 參閱建立通知訊息範本。

2024 年 2 月 26 日當周

Microsoft Intune Suite

新的 Microsoft 雲端 PKI 服務

使用 Microsoft 雲端 PKI 服務來簡化及自動化受 Intune 管理裝置的憑證生命週期管理。 Microsoft 雲端 PKI 是 Microsoft Intune Suite 的功能元件，也可以作為獨立 Intune 附加元件使用。 雲端式服務為您的組織提供專用的 PKI 基礎結構，而且不需要內部部署伺服器、連接器或硬體。 Microsoft 雲端 PKI 針對支援SCEP憑證裝置組態配置檔的所有操作系統平臺自動發出、更新和撤銷憑證。 核發的憑證可用於Wi-Fi、VPN和其他支持憑證式驗證的服務憑證式驗證。 如需詳細資訊，請參閱 Microsoft 雲端 PKI 概觀。

適用於：

• Windows
• Android
• iOS/iPadOS
• macOS

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• 由 Super 6 LLC 提供的 並排

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2024 年 2 月 19 日當周 (Service 2402)

應用程式管理

Android 應用程式的更多應用程式設定許可權

您可以使用應用程式設定原則，為 Android 應用程式設定六個新許可權。 這些是：

• 允許背景主體感測器數據
• 媒體視訊 (讀取)
• (讀取) 的媒體影像
• 媒體音訊 (讀取)
• 附近的 Wifi 裝置
• 附近的裝置

如需如何針對Android應用程式使用應用程式設定原則的詳細資訊，請參閱 為受控Android Enterprise裝置新增應用程式設定原則。

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Bob HR by Hi Bob Ltd
• ePRINTit SaaS by ePRINTit USA LLC
• Microsoft Corporation Microsoft Copilot

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

更新為 Windows 上的 Intune 管理延伸模組

若要支援擴充的功能和錯誤修正，請使用 .NET Framework 4.7.2 或更新版本搭配 Windows 用戶端上的 Intune 管理延伸模組。 如果 Windows 用戶端繼續使用舊版的 .NET Framework，Intune 管理延伸模組會繼續運作。 自 2018 年 7 月 10 日起，Windows Update 提供 .NET Framework 4.7.2，其包含在 Windows 10 1809 (RS5) 及更新版本中。 多個版本的 .NET Framework 可共存於裝置上。

適用於：

• Windows 10
• Windows 11

裝置設定

在端點許可權管理 (EPM) 原則上使用指派篩選

您可以使用指派篩選器，根據您建立的規則來指派原則。 篩選條件可讓您縮小原則的指派範圍，例如以具有特定操作系統版本或特定製造商的裝置為目標。

您可以在端點許可權管理 (EPM) 原則上使用篩選。

如需詳細資訊，請參閱：

• 在 Intune 中指派應用程式、原則和設定檔時，請使用篩選條件
• Intune 中篩選條件支援的平臺、原則和應用程式類型清單

適用於：

• Windows 10
• Windows 11

Apple 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中有新的設定。 若要查看這些設定，請在 Microsoft Intune 系統管理中心，移至[裝置>管理裝置>>設定][建立>適用於配置檔類型的平臺>設定目錄的新原則>iOS/iPadOS 或 macOS]。

iOS/iPadOS

• 限制

  • 允許即時語音信箱
  • 強制教室無提示屏幕觀察
  • 強制在清除時保留ESIM

macOS

• 完整磁碟加密 > 設定助理中的 FileVault> 強制啟用
• 限制> 強制教室無提示屏幕觀察

如需詳細資訊，請參閱：

• 搭配使用macOS的FileVault磁碟加密與 Intune
• 使用設定目錄建立原則

匯入最多 20 個自訂 ADMX 和 ADML 系統管理範本

您可以在 Microsoft Intune 中匯入自訂 ADMX 和 ADML 系統管理範本。 先前，您最多可以匯入 10 個檔案。 現在，您可以上傳最多 20 個檔案。

適用於：

• Windows 10
• Windows 11

如需這項功能的詳細資訊，請參閱將自定義ADMX和ADML系統管理範本匯入 Microsoft Intune (公開預覽) 。

在 Android Enterprise 裝置上更新 MAC 位址隨機化的新設定

在 Android Enterprise 裝置上有新的 MAC 位址隨機設定， (裝置>管理裝置>>設定建立>平臺完全受控、專用和 Corporate-Owned 工作設定檔>Wi-Fi的新>原則Android Enterprise，適用於配置檔類型) 。>

從 Android 10 開始，當連線到網路時，裝置會呈現隨機 MAC 位址，而不是實體 MAC 位址。 建議您使用隨機的 MAC 位址來提供隱私權，因為很難依其 MAC 位址追蹤裝置。 不過，隨機化 MAC 位址會中斷依賴靜態 MAC 位址的功能，包括網路存取控制 (NAC) 。

選項包括：

• 使用裝置預設值：Intune 不會變更或更新此設定。 根據預設，連線到網路時，裝置會呈現隨機 MAC 位址，而不是實體 MAC 位址。 用戶對設定所做的任何更新都會持續發生。

• 使用隨機 MAC：在裝置上啟用 MAC 位址隨機化。 當裝置連線到新的網路時，裝置會呈現隨機 MAC 位址，而不是實體 MAC 位址。 如果使用者在裝置上變更此值，則會重設為在下一個 Intune 同步處理時使用隨機 MAC。

• 使用裝置 MAC：強制裝置呈現其實際 Wi-Fi MAC 位址，而不是隨機 MAC 位址。 此設定可讓裝置依其 MAC 位址進行追蹤。 只有在必要時才使用此值，例如針對網路訪問控制 (NAC) 支援。 如果使用者變更其裝置上的此值，則會在下一個 Intune 同步處理時重設為 [使用裝置 MAC]。

適用於：

• Android 13 和更新版本

如需您可以設定之 Wi-Fi 設定的詳細資訊，請參閱在 Microsoft Intune 中新增 Android Enterprise 專用和完全受控裝置的 Wi-Fi 設定。

關閉 Windows 設定目錄中的 Copilot in Windows 設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中有新的設定。 若要查看此設定，請在 Microsoft Intune 系統管理中心，移至 [裝置>管理裝置>][>設定][建立>適用於配置檔類型的平臺>設定目錄的新>原則Windows]。

• Windows AI > 關閉 Copilot in Windows (使用者)

  • 如果您啟用此原則設定，使用者就無法使用 Copilot。 Copilot 圖示不會出現在任務列上。
  • 如果您停用或未設定此原則設定，用戶可以在可使用 Copilot 時使用 Copilot。

此設定會使用 原則 CSP - WindowsAI。

如需在 Intune 中設定設定目錄原則的詳細資訊，包括使用者範圍與裝置範圍，請參閱使用設定目錄建立原則。

適用於：

• Windows 10 和更新版本

Windows Autopilot 自我部署模式現已正式推出

Windows Autopilot 自我部署模式現已正式推出，且已不在預覽狀態。 Windows Autopilot 自我部署模式可讓您部署幾乎不需要用戶互動的 Windows 裝置。 一旦裝置連線到網路，裝置佈建程式就會自動啟動：裝置會加入 Microsoft Entra ID、註冊 Intune，以及同步所有以裝置為目標的裝置型設定。 自我部署模式可確保在套用所有裝置型設定之前，用戶無法存取桌面。 註冊狀態頁面 (ESP) 會在 OOBE 期間顯示，讓使用者可以追蹤部署的狀態。 如需詳細資訊，請參閱：

• Windows Autopilot 自我部署模式
• Windows Autopilot 自我部署模式的逐步教學課程，Intune

此資訊也會在 Windows Autopilot：新功能中發佈。

適用於預先布建部署的 Windows Autopilot 現已正式推出

適用於預先布建部署的 Windows Autopilot 現已正式推出，且已不在預覽狀態。 組織會使用 Windows Autopilot 進行預先布建的部署，這些組織想要在使用者存取裝置之前，確保裝置已做好商務準備。 透過預先布建，系統管理員、合作夥伴或 OEM 可以從全新體驗存取技術人員流程 (OOBE) 並開始裝置設定。 接下來，裝置會傳送給在用戶階段中完成布建的使用者。 預先布建會事先提供大部分的設定，讓終端使用者可以更快地進入桌面。 如需詳細資訊，請參閱：

• 適用於預先布建部署的 Windows Autopilot。
• 適用於預先布建部署的 Windows Autopilot 逐步教學課程 Microsoft Entra 加入 Intune
• Windows Autopilot 的逐步教學課程，適用於在 Intune 中預先布建的部署 Microsoft Entra 混合式聯結。

此資訊也會在 Windows Autopilot：新功能中發佈。

裝置註冊

在 Windows Autopilot 預先布建期間安裝必要應用程式的 ESP 設定

[ 僅限在技術人員階段中選取的封鎖應用程式失敗 ] 設定現在已可在註冊狀態頁面 (ESP) 配置檔中進行設定。 這個設定只會出現在已選取 封鎖應用程式 的 ESP 設定檔中。

如需詳細資訊，請參閱 設定註冊狀態頁面。

macOS 自動化裝置註冊的新本機主要帳戶設定

透過 Apple 自動化裝置註冊，設定在 Intune 中註冊 Mac 的本機主要帳戶設定。 在執行macOS 10.11和更新版本的裝置上支援這些設定，可在新的 [帳戶設定] 索引標籤底下，於新的和現有的註冊配置檔 中 取得。若要讓這項功能能夠運作，註冊配置檔必須設定使用者裝置親和性，以及下列其中一種驗證方法：

• 使用新式驗證設定助理
• 設定助理 (舊版)

適用於：

• macOS 10.11 和更新版本

如需macOS帳戶設定的詳細資訊，請參閱在 Intune 中建立Apple註冊配置檔。

macOS 自動化裝置註冊的等待最終設定現已正式推出

現在已正式推出， await 最終設定 可在設定助理結束時啟用鎖定體驗，以確保裝置上已安裝重要的裝置設定原則。 鎖定體驗適用於以新的和現有註冊配置檔為目標的裝置，並透過下列其中一種驗證方法進行註冊：

• 使用新式驗證設定助理
• 設定助理 (舊版)
• 沒有使用者裝置親和性

適用於：

• macOS 10.11 和更新版本

如需如何啟用 await 最終設定的相關信息，請參閱 建立 Apple 註冊配置檔。

裝置管理

AOSP 裝置大約每隔 15 分鐘檢查一次新的工作和通知

在向 Android (AOSP) 管理註冊的裝置上，Intune 大約每隔 15 分鐘嘗試檢查新的工作和通知。 若要使用這項功能，裝置必須使用 Intune 應用程式 24.02.4 版或更新版本。

適用於：

• Android (AOSP)

如需詳細資訊，請參閱：

• 如何在沒有Google行動服務的環境中使用 Intune
• Intune 中的原則重新整理間隔

Microsoft Intune 中政府雲端的新裝置管理體驗

在政府雲端中，Intune 系統管理中心有新的裝置管理體驗。 [ 裝置 ] 區域現在有更一致的 UI，具有更功能的控件和改良的導覽結構，讓您可以更快找到所需的專案。

如果您想要在更新租使用者之前嘗試新的體驗，請移至 [裝置>概觀]，選取 [預覽即將推出的裝置變更並提供意見反應通知] 橫幅，然後選取 [立即試用]。

大量核准驅動程式

大量動作現在適用於 Windows 驅動程式更新原則。 使用大量動作時，可以同時核准、暫停或拒絕多個驅動程式更新，以節省時間和精力。

當您大量核准驅動程式時，也可以設定驅動程式可供適用裝置使用的日期，讓驅動程式能夠一起安裝。

適用於：

• Windows 10
• Windows 11

如需詳細資訊，請 參閱大量驅動程式更新。

已解決商務用應用程控原則限制

Windows 會解決先前記載的商務用應用程控原則 (WDAC) 限制，將每部裝置的作用中原則數目限制為 32。 此問題牽涉到當裝置上 有超過 32 個原則處於作用中狀態時，可能的開機停止失敗 。

在 2024 年 3 月 12 日或之後發行 Windows 安全性更新 Windows 10 1903 或更新版本的裝置，已解決此問題。 較舊版本的 Windows 可能會預期在未來的 Windows 安全性更新中收到此修正程式。

適用於：

• Windows 10 1903 版和更新版本

若要深入瞭解適用於 Intune 的商務用應用程控原則，請參閱使用商務用應用程控原則和適用於 Microsoft Intune 的受控安裝程式來管理 Windows 裝置的已核准應用程式。

租使用者管理

排除群組的自定義窗格支援

[自定義] 窗格現在支援在指派原則時選取要排除的群組。 您可以選取 [租使用者管理自定義]，在 Microsoft Intune 系統管理>中心找到此設定。

如需詳細資訊，請參閱在 Microsoft Intune 中指派原則。

2024 年 1 月 29 日當周

Microsoft Intune Suite

Microsoft Intune 企業應用程式管理

企業應用程式管理 提供 Win32 應用程式的企業應用程式目錄，可在 Intune 中輕鬆存取。 您可以從企業應用程式類別目錄中選取這些應用程式，將這些應用程式新增至您的租使用者。 當您將企業應用程式類別目錄應用程式新增至 Intune 租使用者時，會自動提供預設安裝、需求和偵測設定。 您也可以修改這些設定。 Intune 會在Microsoft記憶體中裝載企業應用程式類別目錄應用程式。

如需詳細資訊，請參閱：

• 使用 Intune Suite 附加元件功能
• Microsoft Intune 企業應用程式管理
• 將企業應用程式類別目錄應用程式新增至 Microsoft Intune

Microsoft Intune 進階分析

Intune 進階分析 提供組織中用戶體驗的完整可見度，並使用數據驅動的深入解析加以優化。 它包含裝置查詢的近乎實時數據、透過自定義裝置範圍提高可見度、電池健康情況報告和詳細裝置時間軸，以針對裝置問題進行疑難解答，以及異常偵測，以協助識別裝置資產中的潛在弱點或風險。

• 電池健康情況報告

  電池健康情況報告可讓您了解組織裝置中的電池健康情況，以及其對用戶體驗的影響。 此報告中的分數和深入解析旨在協助IT系統管理員進行資產管理和購買決策，以改善用戶體驗，同時平衡硬體成本。

• 在單一裝置上執行隨選裝置查詢

  Intune 可讓您快速取得裝置狀態的隨選資訊。 當您在選取的裝置上輸入查詢時，Intune 即時執行查詢。

  然後，傳回的數據可用來回應安全性威脅、對裝置進行疑難解答，或進行商務決策。

  適用於：

  • Windows 裝置

Intune 進階分析 是 Microsoft Intune Suite 的一部分。 為了增加彈性，這組新的功能，連同現有的 進階分析 功能，現在也可作為包含 Intune 的Microsoft訂用帳戶的個別附加元件。

若要在租使用者或任何現有的 進階分析 功能中使用裝置查詢和電池健康情況報告，您必須擁有下列其中一項的授權：

• Intune 進階分析 附加元件
• Microsoft Intune Suite 附加元件

如需詳細資訊，請參閱：

• 使用 Intune Suite 附加元件功能
• Microsoft Intune 進階分析
• 電池健康情況
• 裝置查詢

2024 年 1 月 22 日當周 (Service 2401)

應用程式管理

在受控 Mac 上安裝大小上限為 8 GB 的 DMG 和 PKG 應用程式

已增加可在受控 Mac 上使用 Intune 安裝的 DMG 和 PKG 應用程式大小限制。 新的限制為 8 GB，適用於使用 macOS Microsoft Intune 管理代理程式安裝的 DMG 和非受控 PKG) (應用程式。

如需 DMG 和 PKG 應用程式的詳細資訊，請參閱將 macOS DMG 應用程式新增至 Microsoft Intune 和將非受控 macOS PKG 應用程式新增至 Microsoft Intune。

Intune Surface Hub 裝置的市集簽署 LOB 應用程式支援

Intune 現在支援將市集簽署的 LOB 應用程式部署 (單一檔案 .appx、.msix、 .appxbundle和 .msixbundle) 部署到 Surface Hub 裝置。 支援市集簽署的 LOB 應用程式可讓離線市集應用程式在停用 商務用 Microsoft Store 之後部署到 Surface Hub 裝置。

將 SMS/MMS 訊息路由傳送至特定應用程式

您可以設定應用程式保護原則，以判斷當終端使用者打算從受原則管理的應用程式重新導向之後傳送 SMS/MMS 訊息時，必須使用哪個 SMS/MMS 應用程式。 當使用者選取想要傳送SMS/MMS訊息的數位時，會使用應用程式保護設定來重新導向至已設定的SMS/MMS應用程式。 這項功能與將 傳訊數據傳輸至 設定有關，並同時適用於iOS/iPadOS和Android平臺。

如需詳細資訊，請參閱 iOS 應用程式保護原則設定 和 Android 應用程式保護原則設定。

用戶應用程式 PIN 重設

對於需要 PIN 才能存取的受控應用程式，允許的用戶現在可以隨時重設應用程式 PIN。 您可以選取 iOS/iPadOS 和 Android 應用程式保護原則中的 [PIN] 存取設定，以在 Intune 中要求應用程式 PIN。

如需應用程式保護原則的詳細資訊，請參閱 應用程式防護 原則概觀。

應用程式套件大小上限

針對付費客戶，將應用程式上傳至 Intune的套件大小上限從 8 GB 變更為 30 GB。 試用版租使用者仍然限製為8 GB。

如需詳細資訊，請參閱 Microsoft Intune 中的 Win32 應用程式管理。

裝置設定

停用 Android Enterprise 裝置上位置的新設定

在 Android Enterprise 裝置上，有一個新設定可讓系統管理員控制 [裝置>管理裝置>>>] 設定 (位置：針對配置檔類型 > [一般]) ，建立平臺 >[完全受控]、[專用] 和 [Corporate-Owned 工作配置檔>裝置限制]的新>原則Android Enterprise：

• 位置： [封鎖 ] 會停用裝置上的 [ 位置 ] 設定，並防止用戶開啟它。 停用此設定時，相依於裝置位置的任何其他設定都會受到影響，包括 尋找裝置 遠端動作。 當設為 [未設定] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許在裝置上使用位置。

適用於：

• Android Enterprise

如需您可以設定之設定的詳細資訊，請參閱 Android Enterprise 裝置設定清單，以允許或限制使用 Intune 之公司擁有裝置上的功能。

iOS/iPadOS 和 macOS 裝置上設定目錄中受控軟體更新的日期和時間選擇器

使用設定目錄，您可以在iOS/iPadOS和macOS裝置上強制執行受控更新，方法是輸入日期和時間 (裝置>管理裝置>>設定 針對設定檔類型>宣告式 > 裝置管理 軟體更新) 建立>平臺>設定目錄的新>原則iOS/iPadOS 或 macOS。

先前，您必須手動輸入日期和時間。 現在，[目標本機 日期時間 ] 設定有日期和時間選擇器：

宣告式 裝置管理 (DDM) > 軟體更新：

• 目標本機日期時間

重要事項

如果您在 2024 年 1 月發行之前使用此設定建立原則，則此設定會顯示 Invalid Date 值。 更新仍會正確排程，並使用您原本設定的值，即使其顯示 Invalid Date也一般。

若要設定新的日期和時間，您可以刪除 Invalid Date 值，並使用日期時間選擇器選取新的日期和時間。 或者，您可以建立新的原則。

適用於：

• iOS/iPadOS
• macOS

如需在 Intune 中設定受控軟體更新的詳細資訊，請參閱使用設定目錄來設定受控軟體更新。

裝置管理

Microsoft Intune 中的新裝置管理體驗

我們正在 Intune 系統管理中心推出裝置管理體驗的更新。 [ 裝置 ] 區域現在有更一致的 UI，具有更功能的控件和改良的導覽結構，讓您可以更快找到所需的專案。 先前處於公開預覽狀態的新體驗會在未來幾周逐漸推出，以供正式運作。 公用預覽體驗會繼續提供，直到您的租使用者收到更新為止。

此新系統管理中心體驗的可用性會因租用戶而異。 雖然有幾個人會立即看到此更新，但許多人可能在數周內看不到新的體驗。 針對政府雲端，此體驗的可用性估計在 2024 年 2 月底左右。

由於推出時程表，我們會儘快將檔更新為新的體驗，以協助簡化新系統管理中心配置的轉換。 在此轉換期間，我們無法提供並存內容體驗，並相信提供符合較新體驗的檔為更多客戶帶來更多價值。 如果您想要在更新租使用者之前試用新體驗並配合文件程式，請移至 [裝置>概觀]，選取通知橫幅以讀取 [預覽即將推出的裝置變更並提供意見反應]，然後選取 [立即試用]。

BlackBerry Protect Mobile 現在支援應用程式保護原則

您現在可以搭配使用 Intune 應用程式保護原則與由 Cylance AI) 支援的 BlackBerry Protect Mobile (。 透過這項變更，Intune 支援適用於行動應用程式管理的 BlackBerry Protect Mobile， (已取消註冊裝置的 MAM) 案例。 這項支援包括使用風險評估搭配條件式存取，以及針對未註冊裝置設定條件式啟動設定。

在先前的 BlackBerry Mobile) (設定 CylancePROTECT Mobile 連接器時，您現在可以選取選項來開啟 Android 和 iOS/iPadOS 裝置的 應用程式防護 原則評估。

如需詳細資訊，請參閱設定 BlackBerry Protect Mobile 和使用 Intune 建立 Mobile Threat Defense 應用程式保護原則。

裝置安全性

支援 Intune 由 適用於端點的 Microsoft Defender 管理之裝置的 Defender 更新控制原則

您現在可以使用來自 Microsoft Intune 系統管理中心的 Defender 更新控制 (防病毒軟體原則) 端點安全策略，搭配您透過 適用於端點的 Microsoft Defender 安全性設定管理功能管理的裝置。

• Defender 更新控制 原則是端點安全 性防病毒軟體原則的一部分。

當您使用 Windows 10、Windows 11 和 Windows Server 平臺時，適用於下列專案：

• Windows 10
• Windows 11

有了這項支援，在受適用於端點的 Defender 管理但未向 Intune 註冊時指派此原則的裝置，現在會套用原則中的設定。 檢查您的原則，確定只有您想要接收原則的裝置才會取得該原則。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• PrinterOn PrinterOn， Inc. (iOS/iPadOS)
• 對齊 MFB Technologies， Inc. (iOS/iPadOS) Intune

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

監視裝置的報告

在 Intune 中，您可以檢視所有裝置監視報告的新清單。 您可以選取 [裝置>監視器]，在系統管理中心 Microsoft Intune 找到這些報告。 [ 監視] 窗格提供與設定、合規性、註冊和軟體更新相關的報告。 此外，您還可以檢視其他報告，例如 裝置動作。

如需詳細資訊，請參閱 Intune 報表。

導出的報表數據會維護搜尋結果

Intune 現在可以在匯出報表數據時維護報表搜尋和篩選結果。 例如，當您使用 不符合規範的裝置和設定 報告，將OS篩選設定為 「Windows」，並搜尋 「PC」 時，導出的數據只會包含名稱中有 「PC」 的 Windows 裝置。 直接呼叫 API 時，也可以使用這項 ExportJobs 功能。

輕鬆上傳 Microsoft Tunnel 伺服器的診斷記錄

您現在可以在 Intune 系統管理中心內按兩下，讓 Intune 啟用、收集及提交八小時的詳細信息記錄，讓 Tunnel Gateway Server 能夠Microsoft。 接著，您可以在使用Microsoft來識別或解決 Tunnel 伺服器的問題時參考詳細信息記錄。

相反地，先前需要您登入伺服器的詳細信息記錄集合、執行手動工作和腳本以啟用和收集詳細資訊記錄，然後將它們複製到可將它們傳輸至Microsoft的位置。

若要尋找這項新功能，請在系統管理中心移至 [租用戶系統管理>Microsoft [通道閘道網關> ] 選取伺服器 > ，選取 [ 記錄] 索引卷 標。在此索引標籤上， 是名為 [傳送詳細資訊伺服器記錄 ] 的新區段，其按鈕標示為 [ 傳送記錄]，以及顯示已收集並提交至Microsoft之各種記錄集的清單檢視。

當您選取 [ 傳送記錄] 按鈕時：

• Intune 會先擷取並提交目前的伺服器記錄作為基準，再收集詳細信息記錄。
• 詳細信息記錄會在層級 4 自動啟用，並執行八小時，以提供時間來重現這些記錄中擷取的問題。
• 八小時后，Intune 提交詳細資訊記錄，然後將伺服器還原為其預設詳細資訊層級零 (0) ，以進行一般作業。 如果您先前將記錄設定為在較高的詳細資訊層級執行，您可以在記錄收集和上傳完成後還原自定義詳細資訊層級。
• 每次 Intune 收集和提交記錄時，都會更新按鈕下方的清單檢視。
• 按鈕下方是過去提交記錄的清單，其中顯示其詳細資訊層級，以及您可以在使用Microsoft來參考特定記錄集時使用的事件識別符。

如需這項功能的詳細資訊，請 參閱簡易上傳 Tunnel 伺服器的診斷記錄。

2023 年 12 月 11 日當周 (Service 2312)

應用程式管理

現在已正式推出將非受控 PKG 類型應用程式新增至受控 macOS 裝置的支援

您現在可以使用適用於 macOS 裝置的 Intune MDM 代理程式，將非受控 PKG 類型應用程式上傳及部署至受控 macOS 裝置。 此功能可讓您部署自定義 PKG 安裝程式，例如未簽署的應用程式和元件套件。 您可以在 Intune 系統管理中心新增 PKG 應用程式，方法是選取應用程式> macOS 新增>macOS>應用程式 (PKG) 應用程式類型。

適用於：

• macOS

如需詳細資訊，請參閱將非受控 macOS PKG 應用程式新增至 Microsoft Intune。 若要部署受控 PKG 類型應用程式，您可以繼續將 macOS 企業營運 (LOB) 應用程式新增至 Microsoft Intune。 如需適用於 macOS 裝置 Intune MDM 代理程式的詳細資訊，請參閱 macOS Microsoft Intune 管理代理程式。

中國政府雲端環境和 21 Vianet 中支援的 Windows MAM

美國政府社群 (GCC) 、美國政府社群 (GCC) High，以及美國國防部 (DoD) 環境中的客戶租用戶現在可以使用 Windows MAM。 如需相關信息，請參閱使用 GCC High 和 DoD 環境上的 Intune 部署應用程式和 Windows MAM 的數據保護。

此外，Windows MAM 適用於在中國由 21Vianet 營運 Intune。 如需詳細資訊，請參閱 Intune 在中國由 21Vianet 運作。

裝置設定

已更新 Microsoft Edge v117 的安全性基準

我們發行了適用於 Microsoft Edge 版本 v117 的新版本 Intune 安全性基準。 此更新提供最近設定的支援，讓您可以繼續維護 Microsoft Edge 的最佳做法組態。

我們也已更新此基準的 參考文章 ，您可以在其中檢視此基準版本所包含設定的預設組態。

裝置管理

支援不相容電子郵件通知中的變數

使用變數將用戶裝置變成不符合規範時傳送的電子郵件通知個人化。 範本中包含的變數，例如 {{username}} 和 {{devicename}}，會由使用者收到的電子郵件中的實際使用者名稱或裝置名稱取代。 所有平臺都支援變數。

如需詳細資訊和支援的變數清單，請參閱 建立通知訊息範本。

已更新 適用於端點的 Microsoft Defender 連接器的報表視覺效果

我們已更新 適用於端點的 Microsoft Defender 連接器的報告視覺效果。 此 報表視覺效果 會根據 Defender CSP 的狀態顯示已上線至適用於端點的 Defender 的裝置計數，並以可視化方式對齊其他最近使用列來代表具有不同狀態值之裝置百分比的報表檢視。

裝置安全性

排程新增至 Windows 裝置防病毒軟體原則之防病毒軟體掃描的新設定

我們已針對適用於 Windows 10 和 Windows 11 裝置的端點安全性防病毒軟體原則，將兩個設定新增至 Microsoft Defender 防病毒軟體配置檔。 這兩個設定會一起運作，以先支援裝置防病毒軟體掃描的隨機開始時間，然後定義隨機掃描開始的時間範圍。 這些設定支援由 Intune 所管理的裝置，以及透過適用於端點的 Defender 安全性設定管理案例所管理的裝置。

• RandomizeScheduleTaskTimes – 此設定可讓您隨機設定裝置上的掃描開始時間。
• SchedulerRandomizationTime – 使用此設定，您可以設定隨機開始時間的界限。

除了新增至 Microsoft Defender 防病毒軟體配置檔之外，這兩個設定現在都可從設定目錄取得。

適用於：

• Windows 10
• Windows 11

Microsoft Android Enterprise VPN 配置檔中直接 Proxy 排除列表的通道支援

Intune 現在支援設定適用於 Android 裝置之 Microsoft Tunnel 的 VPN 設定檔時，設定 Proxy 排除清單。 透過排除清單，您可以從 Proxy 設定中排除特定網域，而不需要使用 Proxy 自動設定 (PAC) 檔案。 Microsoft Tunnel 和 適用於 MAM 的 Microsoft Tunnel 都提供 Proxy 排除清單。

使用單一 Proxy 的環境支援 Proxy 排除清單。 當您使用多部 Proxy 伺服器時，排除清單不適用或不受支援，您應該繼續使用 .PAC 檔案。

適用於：

• Android Enterprise

Microsoft Tunnel 伺服器健康情況計量以報告 TLS 憑證撤銷

我們為名為 TLS 憑證撤銷的 Microsoft Tunnel 新增了健康情況計量。 這個新的健康情況計量會藉由存取 TLS 憑證中定義的在線憑證狀態通訊協定 (OCSP) 或 CRL 位址，來報告 Tunnel Servers TLS 憑證的狀態。 您可以流覽至 [租用戶系統管理>] Microsoft [通道閘道閘道關>健康狀態]，選取伺服器，然後選取該伺服器的 [健康情況檢查] 索引卷標，以檢視 Microsoft Intune 系統管理中心內所有健康情況檢查的這項新檢查狀態。

此計量會在現有的通道健康情況檢查中執行，並支援下列狀態：

• 狀況良好：TLS 憑證未撤銷
• 警告：無法檢查 TLS 憑證是否已撤銷
• 狀況不良：TLS 憑證已撤銷，應更新

如需 TLS 憑證撤銷檢查的詳細資訊，請參閱 監視Microsoft通道。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Akumina EXP by Akumina Inc.

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2023 年 11 月 27 日當周

應用程式管理

在 Android 裝置的 Microsoft 365 (Office) 中設定離線快取

當 [另存新檔至本機記憶體] 設定在應用程式保護原則中設定為 [封鎖] 時，您可以使用應用程式設定原則中的組態密鑰來啟用或停用離線快取。 此設定僅適用於 Android 上的 Microsoft 365 (Office) 應用程式。

如需詳細資訊，請 參閱 Microsoft 365 (Office) 中的數據保護設定 。

裝置上的 Win32 應用程式寬限期設定

在已部署具有寬限期設定的 Win32 應用程式裝置上，沒有系統管理許可權的低許可權用戶現在可以與寬限期 UX 互動。 裝置上的系統管理員可以繼續與裝置上的寬限期 UX 互動。

如需寬限期行為的詳細資訊，請 參閱設定 Win32 應用程式可用性和通知。

受控主畫面 應用程式組態新增專案

現在處於公開預覽狀態，Microsoft 受控主畫面 (MHS) 已更新，以改善核心工作流程和用戶體驗。 除了某些使用者介面變更之外，還有新的頂端列導覽，系統管理員可以在其中設定要顯示的裝置識別屬性。 此外，當頂端列上要求許可權時，用戶可以存取設定、登入/註銷，以及檢視通知。

您可以新增更多設定來設定 Android Enterprise 的 受控主畫面 應用程式。 Intune 現在支援 Android Enterprise 應用程式設定原則中的下列設定：

• 啟用更新的用戶體驗
• 頂端列主要元素
• 頂端列次要元素
• 頂端列用戶名稱樣式

如需詳細資訊，請參閱設定適用於Android Enterprise的 Microsoft 受控主畫面 應用程式。

Intune APP SDK for .NET MAUI

使用 Intune APP SDK for .NET MAUI，您可以針對包含 .NET 多平台應用程式 UI 的 Intune 開發 Android 或 iOS 應用程式。 使用此架構開發的應用程式可讓您強制執行 Intune 行動應用程式管理。 如需 Android 上的 .NET MAUI 支援，請參閱 Intune App SDK for .NET MAUI - Android。 如需 iOS 上的 .NET MAUI 支援，請參閱 Intune App SDK for .NET MAUI - iOS。

2023 年 11 月 13 日當周 (Service 2311)

應用程式管理

Android、Android AOSP 應用程式中新增的寬限期狀態

適用於 Android 的 Intune 公司入口網站 應用程式和適用於 Android AOSP 的 Microsoft Intune 應用程式現在會針對不符合合規性需求但仍在指定寬限期內的裝置顯示寬限期狀態。 使用者可以看到裝置必須符合規範的日期，以及如何符合規範的指示。 如果使用者未在指定日期前更新其裝置，則會將裝置標示為不符合規範。

如需詳細資訊，請參閱下列文章：

• 使用不符合規範的動作來設定合規性原則
• 檢查 AOSP Intune 應用程式中的合規性
• 檢查Android 公司入口網站合規性

裝置設定

Apple 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。 如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

[設定目錄] 中有新的設定。 若要查看這些設定，請在 Microsoft Intune 系統管理中心，移至 [裝置>>設定] [建立>iOS/iPadOS 或 macOS] 以取得設定檔類型的平台>設定目錄。

iOS/iPadOS

Managed 設定：

• 數據漫遊
• 個人熱點
• 語音漫遊 (已被取代的) ：此設定在iOS 16.0中已被取代。 數據漫遊是取代設定。

共用的 iPad

Managed 設定：

• 診斷提交

macOS

>Microsoft Defender 防病毒軟體引擎：

• 啟用被動模式 (已被取代) ：此設定已被取代。 強制層級是取代設定。
• 啟用 (已被取代的即時保護) ：此設定已被取代。 強制層級是取代設定。
• 強制層級

Windows 設定目錄現已提供管理 Windows 子系統 Linux 版 的設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

Windows 子系統 Linux 版 (WSL) 的 Windows 設定目錄有新的設定。 這些設定可讓 Intune 與 WSL 整合，讓系統管理員可以管理 WSL 和控件部署到 Linux 實例本身。

若要尋找這些設定，請在 Microsoft Intune 系統管理中心移至 [裝置>>設定][建立>新原則>Windows 10 及更新版本，以取得配置檔類型的平臺>設定目錄。

Windows 子系統 Linux 版：

• 允許核心偵錯
• 允許自定義網路設定
• 允許自定義系統散發組態
• 允許核心命令行設定
• 允許自定義核心設定
• 允許 WSL1
• 允許 Windows 子系統 Linux 版
• 允許適用於Linux的 Windows 子系統收件匣版本
• 允許用戶設定防火牆設定
• 允許巢狀虛擬化
• 允許傳遞磁碟掛接
• 允許偵錯殼層

適用於：

• Windows 10
• Windows 11

裝置註冊

共用裝置模式中的 iOS/iPadOS 裝置註冊現已正式推出

現在已可在 Microsoft Intune 系統管理中心進行設定，為處於共用裝置模式的 iOS/iPadOS 裝置設定自動裝置註冊。 共用裝置模式是一項 Microsoft Entra 功能，可讓您的一線員工全天共用單一裝置，並視需要登入和註銷。

如需詳細資訊， 請參閱在共用裝置模式中設定裝置的註冊。

裝置管理

系統管理中心內新裝置體驗 (公開預覽)

我們對 Microsoft Intune 系統管理中心的新裝置體驗進行了下列變更：

• 平臺特定選項的更多進入點：從 [ 裝置 ] 導覽功能表存取平臺頁面。
• 監視報告的快速入門：選取計量卡片的標題，以移至對應的監視報告。
• 改善的導覽功能表：我們已將圖示新增至 ，以在您流覽時提供更多色彩和內容。

在 Microsoft Intune 系統管理中心翻轉切換，以在處於公開預覽狀態時試用新體驗，並分享您的意見反應。

如需詳細資訊，請參閱：

• 新的 Microsoft Intune 裝置體驗 - Microsoft Tech Community
• 試用新的裝置體驗 - Microsoft Learn

裝置安全性

Linux 防病毒軟體原則範本的其他設定

我們將下列設定新增至適用於 Linux 裝置的 Microsoft Defender 防病毒軟體範本，藉此擴充對 Linux 的支援：

• cloudblocklevel
• scanarhives
• scanafterdefinitionupdate
• maximumondemandscanthreads
• behaviormonitoring
• enablefilehashcomputation
• networkprotection
• enforcementlevel
• nonexecmountpolicy
• unmonitoredfilesystems

適用於 Linux 的 Microsoft Defender 防病毒軟體範本支援由 Intune 管理的裝置，以及僅由 Defender 透過適用於端點的 Defender 安全性設定管理案例所管理的裝置。

已更新企業版 Microsoft 365 Apps的安全性基準

我們發行了企業版 2306 Microsoft 365 Apps 的新 Intune 安全性基準版本。

Microsoft 365 Office Apps 基準可協助您快速地將設定部署至 Office 應用程式，以符合 office 和安全性小組在 Microsoft 的安全性建議。 如同所有基準，預設基準代表建議的組態。 您可以修改預設基準，以符合組織的需求。

我們也已更新此基準的 參考文章 ，您可以在其中檢視此基準版本所包含設定的預設組態。

取代和取代 Linux 和 macOS 端點安全性防病毒軟體原則中找到的兩個設定

在 macOS 和 Linux Microsoft Defender 防病毒軟體設定檔的防病毒軟體引擎類別中有兩個已被取代的設定。 這些配置檔可作為 Intune 端點安全性防病毒軟體原則的一部分。

針對每個平臺，單一設定會取代兩個已被取代的設定。 這個新設定與 適用於端點的 Microsoft Defender 管理裝置組態的一致。

以下是兩個已被取代的設定：

• [啟用即時保護 ] 現在會顯示為 [ 啟用即時保護 (已被取代)
• 開啟被動模式 現在會顯示為 [啟用被動模式 (已被取代)

取代兩個已淘汰設定的新設定：

• 強制層級 - 根據預設，強制層級會設定為 被動 ，並支援 [即時 ] 和 [隨選] 選項。

這些設定也可從每個平臺的 Intune 設定目錄取得，其中舊的設定也會標示為已淘汰，並由新設定取代。

透過這項變更，已設定其中一個已 淘汰設定的 裝置將會繼續套用該設定，直到裝置成為新設定 [ 強制] 層級的目標為止。 一旦以強制等級為目標，已淘汰的設定就不會再套用至裝置。

在未來的 Intune 更新中，將會從防病毒軟體配置檔和設定目錄中移除已被取代的設定。

注意事項

Linux 的變更現已可供使用。 macOS 設定會標示為已淘汰，但 [ 強制層級 ] 設定要到 12 月才會提供。

適用於：

• Linux
• macOS

Microsoft Defender 防火牆配置檔重新命名為 Windows 防火牆

為了配合 Windows 中的防火牆商標變更，我們會更新端點安全性防火牆原則的 Intune 配置檔名稱。 在名稱中 Microsoft Defender 防火牆的配置檔中，我們會將它取代為 Windows 防火牆。

下列平臺有受影響的配置檔，只有配置檔名稱會受到這項變更影響：

• Windows 10 和更新版本 (ConfigMgr)
• Windows 10、Windows 11 和 Windows Server

Windows 防火牆的端點安全性防火牆原則，以管理 Windows Hyper-V 的防火牆設定

我們已將新設定新增至 Windows 防火牆配置檔， (先前 Microsoft Defender 端點安全性防火牆原則的防火牆) 。 新的設定可用來管理 Windows Hyper-V 設定。 若要設定新的設定，請在 Microsoft Intune 系統管理中心，移至 [端點安全>性防火牆>平臺：Windows 10、Windows 11 和 Windows Server> 配置檔：Windows 防火牆]。

下列設定會新增至 防火牆 類別：

• 目標 - 當 [目標] 設定為 [Windows 子系統 Linux 版 時，適用下列子設定：
  • 啟用公用網路防火牆
  • 啟用專用網防火牆
  • 允許主機原則合併
  • 啟用網域網路防火牆
  • 啟用回送

適用於：

• Windows 10
• Windows 11

如需這些設定的詳細資訊，請參閱 具有進階安全性的 Windows 防火牆。

適用於 Windows Hyper-V 防火牆規則的新端點安全性防火牆原則配置檔

我們發行了名為 Windows Hyper-V 防火牆規則的新配置檔，您可以透過端點安全性防火牆原則的 Windows 10、Windows 11 和 Windows Server 平台路徑找到。 使用此配置檔來管理適用於 Windows 上特定 Hyper-V 容器的防火牆設定和規則，包括 Windows 子系統 Linux 版 (WSL) 和 Windows 子系統 Android 版 (WSA) 等應用程式。

適用於：

• Windows 10
• Windows 11

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Hey DAN for Intune by Civicom， Inc.
• Microsoft Corporation (iOS) Microsoft Azure
• KeePassium Labs (iOS Intune 的 KeePassium)

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2023 年 11 月 6 日當周

應用程式管理

iOS 公司入口網站 的最低版本更新

用戶必須更新至 iOS 公司入口網站 的 v5.2311.1。 如果您啟用 [使用 App Store 裝置限制封鎖安裝應用程式] 設定，您可能需要將更新推送至使用此設定的相關裝置。 否則，不需要採取任何動作。

如果您有技術服務人員，您可能會想要讓他們知道更新 公司入口網站 應用程式的提示。 在大部分情況下，使用者會將應用程式更新設定為自動，因此他們會收到更新的 公司入口網站 應用程式，而不需要採取任何動作。 系統會提示具有舊版應用程式的使用者更新至最新的 公司入口網站 應用程式。

裝置安全性

適用於端點的 Defender 安全性設定管理增強功能，以及 Linux 和 macOS 的支援已正式推出

適用於端點的Defender安全性設定管理 選擇加入公開預覽 版中引進的改進功能現已正式推出。

透過這項變更，安全性設定管理的預設行為會包含針對選擇加入預覽新增的所有行為，而不需要在 適用於端點的 Microsoft Defender 中啟用預覽功能的支援。 這包括 Linux 和 macOS 的正式運作和支援下列端點安全性設定檔：

Linux:

• Microsoft Defender 防毒軟體
• Microsoft Defender 防毒軟體排除
• 端點偵測及回應

MacOS：

• Microsoft Defender 防毒軟體
• Microsoft Defender 防毒軟體排除
• 端點偵測及回應

如需詳細資訊，請參閱 Intune 檔中的 適用於端點的 Microsoft Defender 安全性設定管理。

裝置管理

功能更新和報告支援 Windows 11 原則

功能更新原則的新設定可讓組織將 Windows 11 部署到符合升級資格的裝置，同時確保不符合升級資格的裝置是使用單一原則的最新 Windows 10 功能更新。 因此，系統管理員不需要建立或管理合格和不符合資格的裝置群組。

如需功能更新的詳細資訊，請參閱 Windows 10 和更新版本的功能更新。

2023 年 10 月 30 日當周

裝置安全性

Microsoft Edge 中的 Strict Tunnel 模式適用於 Android 和 iOS/iPadOS 裝置上的 適用於 MAM 的 Microsoft Tunnel

在 Intune 中，您可以在 Android 和 iOS/iPadOS 裝置上使用 適用於行動應用程式管理的 Microsoft Tunnel (MAM) 。 透過 MAM 通道，未在 Intune 中註冊的非受控裝置 () 可以存取內部部署應用程式和資源。

您可以針對 Microsoft Edge 設定新的 Strict Tunnel Mode 功能。 當使用者使用組織帳戶登入 Microsoft Edge 時，如果 VPN 未連線，則 Strict Tunnel 模式 會封鎖因特網流量。 當 VPN 重新連線時，會再次提供因特網流覽。

若要設定此功能，請建立 Microsoft Edge 應用程式設定原則，並新增下列設定：

• 機碼：com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
• 值： True

適用於：

• Android Enterprise 第 10 版和更新版本
• iOS/iPadOS 14 版和更新版本

如需詳細資訊，請參閱：

• Microsoft行動應用程式管理的通道
• 適用於 MAM 的 Microsoft Tunnel - Android
• 適用於 MAM 的 Microsoft Tunnel - iOS/iPadOS

2023 年 10 月 23 日當周 (Service 2310)

應用程式管理

Android 公司入口網站 應用程式使用者的更新

如果使用者在 2021 年 11 月發行 5.0.5333.0 版 (下啟動 Android 公司入口網站 應用程式版本) ，他們會看到提示，鼓勵他們更新其 Android 公司入口網站 應用程式。 如果具有較舊 Android 公司入口網站 版本的用戶嘗試使用最新版的 Authenticator 應用程式註冊新的裝置，則程式可能會失敗。 若要解決此行為，請更新 Android 公司入口網站 應用程式。

iOS 裝置的最低 SDK 版本警告

iOS 裝置上 iOS 條件式啟動設定 的最小 SDK 版本 現在包含 警告 動作。 如果不符合最低 SDK 版本需求，此動作會警告使用者。

如需詳細資訊，請參閱 iOS 應用程式保護原則設定。

Apple LOB 和市集應用程式的最低 OS

您可以將最低作業系統設定為 Apple 企業營運應用程式和 iOS/iPadOS 市集應用程式的最新 Apple OS 版本。 您可以設定 Apple 應用程式的最低作業系統，如下所示：

• iOS/iPadOS 17.0 for iOS/iPadOS 企業營運應用程式
• macOS 14.0 for macOS 企業營運應用程式
• iOS/iPadOS 17.0 for iOS/iPadOS 市集應用程式

適用於：

• iOS/iPadOS
• macOS

Android (AOSP) 支援企業營運 (LOB) 應用程式

您可以使用必要和卸載群組指派，在 AOSP 裝置上安裝和卸載必要的 LOB 應用程式。

適用於：

• Android

若要深入瞭解如何管理 LOB 應用程式，請參閱將 Android 企業營運應用程式新增至 Microsoft Intune。

Unmanaged macOS PKG 應用程式的設定腳本

您現在可以在非受控 macOS PKG 應用程式中設定預安裝和安裝後腳本。 此功能可讓您比自定義 PKG 安裝程式更有彈性。 設定這些腳本是選擇性的，而且需要macOS裝置 v2309.007或更新版本的 Intune代理程式。

如需將腳本新增至 Unmanaged macOS PKG 應用程式的詳細資訊，請參閱 新增非受控 macOS PKG 應用程式。

裝置設定

FSLogix 設定可在 [設定目錄] 和 [系統管理範本] 中取得

FSLogix 設定可在 [設定目錄] 和 [系統管理範本] 中取得， (ADMX) 供您設定。

先前，若要在 Windows 裝置上設定 FSLogix 設定，您可以使用 Intune 中的 ADMX 匯入功能匯入這些設定。

適用於：

• Windows 10
• Windows 11

如需這些功能的詳細資訊，請參閱：

• 使用設定目錄來設定設定
• 使用 Windows 10/11 範本在 Microsoft Intune 中設定群組原則設定
• 什麼是 FSLogix？

在受控 Google Play 應用程式中使用委派的範圍，以在 Android Enterprise 裝置上設定增強的許可權

在受控 Google Play 應用程式中，您可以使用委派的範圍為應用程式提供增強的許可權。

當您的應用程式包含委派的範圍時，您可以在裝置組態設定檔中設定下列設定 (裝置>管理裝置>>設定建立>適用於平臺完全受控、專用和 Corporate-Owned 工作設定檔案>>裝置限制的新>原則應用程式) ：>

• 允許其他應用程式安裝和管理憑證：系統管理員可以為此許可權選取多個應用程式。 選取的應用程式會獲得憑證安裝和管理的存取權。
• 允許此應用程式存取 Android 安全性記錄：系統管理員可以為此許可權選取一個應用程式。 選取的應用程式會被授與安全性記錄的存取權。
• 允許此應用程式存取 Android 網路活動記錄：系統管理員可以為此許可權選取一個應用程式。 選取的應用程式會被授與網路活動記錄的存取權。

若要使用這些設定，您的受控 Google Play 應用程式必須使用委派的範圍。

適用於：

• Android Enterprise 完全受控裝置
• Android Enterprise 專用裝置
• 具有工作配置檔的 Android Enterprise 公司擁有裝置

如需這項功能的詳細資訊，請參閱：

• Android 的內建應用程式設定
• 使用 Intune 應用程式允許或限制公司擁有裝置上功能的 > Android Enterprise 裝置設定清單

Samsung 已終止在 Android 裝置系統管理員 (DA) 裝置上支援 kiosk 模式

Samsung 將 Android 裝置系統管理員上使用的 Samsung Knox kiosk API 標示為在 Knox 3.7 (Android 11) 中已被取代。

雖然功能可能會繼續運作，但不保證它會繼續運作。 Samsung 不會修正可能發生的錯誤。 如需 Samsung 支援已被取代 API 的詳細資訊，請參閱 API 淘汰之後會提供何種支援？ (開啟 Samsung 的網站) 。

相反地，您可以使用專用裝置管理 Intune 來管理 kiosk 裝置。

適用於：

• Android 裝置系統管理員 (DA)

匯入和匯出設定目錄原則

Intune 設定目錄會列出您可以設定的所有設定，而所有設定全都在一個位置 (裝置>管理裝置>>設定建立>新原則> 選取您的平臺> [配置檔類型]，選取 [設定目錄) ]。

您可以匯入與匯出設定目錄原則：

• 若要導出現有的原則，請選取配置檔 > ，選取省略號 [ >匯出 JSON]。
• 若要匯入先前導出的設定目錄原則，請選取 [ 建立>匯入原則> ] 選取先前導出的 JSON 檔案。

如需設定目錄的詳細資訊，請參閱 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定。

注意事項

這項功能會繼續推出。可能需要數周的時間才能在您的租使用者中使用。

新的設定，可封鎖使用者使用相同的密碼來解除鎖定裝置，並使用工作配置檔存取 Android Enterprise 個人擁有裝置上的工作設定檔

在具有工作配置檔的 Android Enterprise 個人擁有裝置上，使用者可以使用相同的密碼來解除鎖定裝置並存取工作配置檔。

有一個新設定可強制執行不同的密碼來解除鎖定裝置，並存取工作配置檔 (裝置>管理裝置>設定>建立>適用於配置檔類型之平臺>裝置限制的新原則>Android Enterprise>個人擁有工作配置檔) ：

• 裝置和工作配置檔的一個鎖定： [封鎖 ] 會防止使用者針對裝置和工作配置檔上的鎖定畫面使用相同的密碼。 使用者必須輸入裝置密碼才能解除鎖定裝置，並輸入其工作配置文件密碼，才能存取其工作配置檔。 當設為 [未設定] (預設) 時，Intune 不會變更或更新此設定。 根據預設，OS 可能會允許使用者使用單一密碼存取其工作配置檔。

此設定是選擇性的，不會影響現有的組態配置檔。

目前，如果工作配置文件密碼不符合原則需求，則裝置使用者會看到通知。 裝置未標示為不符合規範。 正在建立工作配置文件的個別合規性政策，並將在未來的版本中提供。

適用於：

• Android Enterprise 個人擁有的裝置，其工作配置檔 (BYOD)

如需您可以使用工作配置檔在個人擁有的裝置上設定的設定清單，請參閱 Android Enterprise 裝置設定清單，以允許或限制使用 Intune 的個人擁有裝置上的功能。

macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中有新的設定。 若要查看這些設定，請在 Microsoft Intune 系統管理中心，移至 [裝置>管理裝置>][>設定] [建立>新原則>macOS> 配置檔類型] 目錄。

隱私 > 隱私權喜好設定原則控制項：

• 系統原則應用程式數據

限制：

• 僅限裝置強制聽寫

適用於：

• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

裝置註冊

使用 JIT 註冊進行個人 iOS/iPadOS 裝置的 Web 型裝置註冊

Intune 支援透過Apple裝置註冊設定之個人裝置的即時 (JIT) 註冊的Web型裝置註冊。 JIT 註冊可減少在整個註冊體驗中向用戶顯示的驗證提示數目，並在整個裝置上建立 SSO。 註冊會在 Web 版本的 Intune 公司入口網站 上進行，而不需要 公司入口網站 應用程式。 此外，此註冊方法可讓沒有受控 Apple 標識符的員工和學生註冊裝置並存取大量採購的應用程式。

如需詳細資訊， 請參閱設定 iOS 的 Web 型裝置註冊。

裝置管理

匯報 至 Intune 附加元件頁面

[租使用者管理] 底下的 [Intune 附加元件] 頁面包含您的附加元件、所有附加元件和功能。 其提供試用或已購買授權的增強檢視、您在租使用者中使用的附加元件功能，以及Microsoft系統管理中心的新計費體驗支援。

如需詳細資訊，請參閱使用 Intune Suite 附加元件功能。

適用於 Android 的 遠端說明 現已正式推出

遠端說明 已正式推出，適用於 Zebra 和 Samsung 的 Android Enterprise Dedicated 裝置。

透過 遠端說明，IT 專業人員可以從遠端檢視裝置畫面，並在出席和自動案例中完全控制，以快速且有效率地診斷和解決問題。

適用於：

• Zebra 或 Samsung 所製造 Android Enterprise 專用裝置

如需詳細資訊，請參閱 Android 上的 遠端說明。

裝置安全性

在 [設定目錄] 中設定 Apple 裝置的宣告式軟體更新和密碼原則

您可以使用Apple的宣告式裝置管理 (DDM) 設定來管理軟體更新和密碼，方法是使用設定目錄 (> 裝置管理裝置>>設定建立>適用於配置檔類型>宣告式裝置管理) 之平臺>設定目錄的新>原則iOS/iPadOS 或 macOS。

如需 DDM 的詳細資訊，請 參閱 Apple 的宣告式裝置管理 (DDM) (開啟 Apple 的網站) 。

DDM 可讓您依強制期限安裝特定更新。 DDM 的自發性可在裝置處理整個軟體更新生命週期時，提供改良的用戶體驗。 它會提示使用者有可用的更新，也會下載、準備裝置以進行安裝，& 安裝更新。

在設定目錄中，宣告式 裝置管理 > 軟體更新提供下列宣告式軟體更新設定：

• 詳細數據 URL：顯示更新詳細數據的網頁 URL。 一般而言，此 URL 是由貴組織託管的網頁，用戶可以在需要組織特定的更新協助時加以選取。
• 目標組建版本：要將裝置更新為 的目標組建版本，例如 20A242。 組建版本可以包含補充版本識別碼，例如 20A242a。 如果您輸入的組建版本與您輸入 的目標OS版本 值不一致，則 目標OS版本 值優先。
• 目標本機日期時間：指定何時強制安裝軟體更新的本機日期時間值。 如果使用者在此時間之前未觸發軟體更新，則裝置會強制安裝它。
• 目標OS版本：要更新裝置的目標OS版本。 這個值是作業系統版本號碼，例如 16.1。 您也可以包含補充版本識別碼，例如 16.1.1。

如需這項功能的詳細資訊，請 參閱使用設定目錄管理軟體更新。

在設定目錄中，宣告式裝置管理>密碼提供下列宣告式密碼設定：

• 自動裝置鎖定：在系統自動鎖定裝置之前，輸入使用者可以閑置的最長時間。
• 寬限期上限：輸入使用者在不使用密碼的情況下解除鎖定裝置的期間上限。
• 失敗的嘗試次數上限：輸入之前錯誤密碼嘗試的次數上限：
  • iOS/iPadOS 抹除裝置
  • macOS 鎖定裝置
• 密碼長度下限：輸入密碼必須擁有的字元數下限。
• 密碼重複使用限制：輸入先前使用的密碼數目，這些密碼無法使用。
• 需要複雜密碼：當設定為 True 時，需要複雜的密碼。 複雜密碼沒有重複的字元，而且沒有增加或減少字元，例如 123 或 CBA。
• 裝置上需要密碼：當設定為 True 時，用戶必須設定密碼才能存取裝置。 如果您未設定其他密碼限制，則對密碼的長度或質量沒有任何需求。

適用於：

• iOS/iPadOS 17.0 和更新版本
• macOS 14.0 和更新版本

如需設定目錄的相關信息，請參閱 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定。

Mvision Mobile 現在是 Trellix Mobile Security

Intune Mobile Threat Defense合作夥伴MvisionMobile已轉換為Trellix Mobile Security。 透過這項變更，我們已更新檔和 Intune 系統管理中心 UI。 例如， Mvision Mobile 連接器 現在是 Trellix Mobile Security。 Mvision Mobile 連接器的現有安裝也會更新為 Trellix Mobile Security。

如果您對此變更有任何疑問，請連絡您的 Trellix Mobile Security 代表。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• 由 Industries Industries， LTD 所提供的閏地板
• Microsoft Loop 公司Microsoft

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

原則合規性和設定合規性的更新報告現已正式推出

下列裝置合規性報告已不公開預覽，現在已正式推出：

• 原則合規性
• 設定合規性

隨著這項移至正式運作，舊版的兩份報表已從 Intune 系統管理中心淘汰，且無法再使用。

如需這些變更的詳細資訊，請參閱 Intune 支援小組部落格。https://aka.ms/Intune/device_compl_report

租使用者管理

Intune 系統管理中心首頁更新

Intune 系統管理中心首頁已以全新外觀和更動態的內容重新設計。 [ 狀態 ] 區段已簡化。 您可以在 [焦點] 區段中探索 Intune 相關功能。 The Get more out of Intune section provides links to the Intune community and blog, and Intune customer success. Also, the Documentation and training section provides links to What's New in Intune, Feature in development, and more training. 在系統管理中心 Microsoft Intune，選取 [首頁]。

2023 年 10 月 16 日當周

租使用者管理

endpoint.microsoft.com URL 重新導向至 intune.microsoft.com

先前已宣佈 Microsoft Intune 系統管理中心有新的 URL () https://intune.microsoft.com 。

URL https://endpoint.microsoft.com 現在會重新導向至 https://intune.microsoft.com。

2023 年 9 月 18 日當周 (Service 2309)

應用程式管理

MAM for Windows 正式運作

您現在可以透過個人 Windows 裝置上的 Microsoft Edge，啟用受保護的 MAM 存取組織數據。 這項功能會使用下列功能：

• Intune 應用程式設定原則 (ACP) ，以自定義 Microsoft Edge 中的組織用戶體驗
• Intune 應用程式保護原則 (應用程式) 保護組織數據，並確保用戶端裝置在使用 Microsoft Edge 時狀況良好
• Windows 安全性 Center 威脅防禦與 Intune APP 整合，以偵測個人 Windows 裝置上的本機健康情況威脅
• 應用程式保護條件式存取，以確保裝置在透過 Microsoft Entra ID 授與受保護的服務存取權之前受到保護且狀況良好。

Intune 適用於 Windows 的行動應用程式管理 (MAM) 適用於 Windows 11，組建 10.0.22621 (22H2) 或更新版本。 此功能包含 Microsoft Intune (2309 版本) 、Microsoft Edge (v117 穩定分支和更新版本) 和 Windows 安全性 Center (1.0.2309.xxxxx 版和更新版本) 的支持變更。 應用程式保護條件式存取處於公開預覽狀態。

未來預期會有主權雲端支援。 如需詳細資訊，請參閱 windows 應用程式防護 原則設定。

裝置設定

未成功部署的 OEMConfig 設定檔不會顯示為「擱置中」

針對Android Enterprise 裝置，您可以建立設定原則，以設定 OEMConfig 應用程式 (裝置>管理裝置>>設定 針對設定檔類型) 建立>適用於平臺> OEMConfig的新>原則Android Enterprise。

先前，超過 350 KB 的 OEMConfig 設定檔會顯示「擱置中」狀態。 此行為已變更。 超過 350 KB 的 OEMConfig 設定檔不會部署到裝置。 處於擱置狀態的配置檔或大於 350 KB 的配置檔不會顯示。 只會顯示成功部署的配置檔。

這項變更僅限 UI 變更。 對應的 Microsoft Graph API 不會進行任何變更。

若要在 Intune 系統管理中心監視配置檔擱置狀態，請移至 [裝置>管理裝置>>設定] [選取配置檔>裝置狀態]。

適用於：

• Android Enterprise

如需 OEM 設定的詳細資訊，請參閱在 Microsoft Intune 中搭配 OEMConfig 使用及管理 Android Enterprise 裝置。

設定重新整理設定位於 Windows 測試人員的設定目錄中

在 [Windows 設定目錄] 中，您可以設定 [設定重新 整理]。 此功能可讓您設定 Windows 裝置重新套用先前收到的原則設定，而不需要裝置簽入 Intune。

設定重新整理：

• 啟用設定重新整理
• 重新整理 (分鐘)

適用於：

• Windows 11

如需設定目錄的詳細資訊，請參閱 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定。

受控設定現在可在 Apple 設定目錄中使用

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供 [受控設定] 命令內的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置>管理裝置>>設定] 中看到這些設定：建立>配置檔類型的新原則>iOS/iPadOS>設定目錄。

Managed 設定 > 應用程式分析：

• 已啟用：如果為 true，請啟用與應用程式開發人員共用應用程式分析。 如果為 false，則停用共用應用程式分析。

適用於：

• 共用的 iPad

Managed 設定 > 輔助功能設定：

• 已啟用粗體文字
• 已啟用灰階
• 啟用增加對比度
• 已啟用減少動作
• 降低透明度已啟用
• 文字大小
• 已啟用觸控設施
• 已啟用語音轉移
• 已啟用縮放

Managed 設定 > 軟體更新設定：

• 建議頻率：此值會定義系統如何向使用者呈現軟體更新。

Managed 設定 > 時區：

• 時區：因特網指派的數位授權單位 (IANA) 時區資料庫名稱。

適用於：

• iOS/iPadOS

Managed 設定 > 藍牙：

• 已啟用：如果為 true，請啟用藍牙設定。 如果為 false，請停用藍牙設定。

Managed 設定 > MDM 選項：

• 受監督時允許的啟用鎖定：如果為 true，當使用者啟用 [尋找我] 時，受監督的裝置會向啟用鎖定註冊本身。

適用於：

• iOS/iPadOS
• macOS

如需這些設定的詳細資訊，請參閱 Apple的開發人員網站。 如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中有新的設定。 若要查看此設定，請在 Microsoft Intune 系統管理中心中，移至 [裝置>管理裝置>>] [設定] [建立>新原則>macOS> 配置檔類型] 目錄。

Microsoft Defender 雲端>提供的保護喜好設定：

• 雲端封鎖層級

適用於：

• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

Intune 與 Zebra Lifeguard 無線服務的整合已正式推出

Microsoft Intune 支援與 Zebra Lifeguard 無線服務整合，可讓您透過無線方式將 OS 更新和安全性修補程式傳遞給已向 Intune 註冊的合格 Zebra 裝置。 您可以選取想要部署的韌體版本、設定排程，以及錯開更新下載和安裝。 您也可以設定更新發生時機的最小電池、充電狀態和網路條件需求。

此整合現在已正式適用於執行 Android 8 或更新版本的 Android Enterprise 專用和完全受控 Zebra 裝置。 它也需要 Zebra 帳戶和 Intune 方案 2 或 Microsoft Intune Suite。

先前，這項功能處於公開預覽狀態，且可供免費使用。 在此版本正式推出后，此解決方案現在需要附加元件授權才能使用。

如需授權詳細數據，請參閱 Intune 附加元件。

裝置註冊

使用工作配置檔註冊 Android Enterprise 完全受控和公司擁有裝置期間的 SSO 支援

Intune 支援在完全受控或公司擁有且具有工作配置檔的 Android Enterprise 裝置上，單一登錄 (SSO) 。 在註冊期間新增 SSO 之後，註冊其裝置的使用者只需要使用其公司或學校帳戶登入一次。

適用於：

• 具有工作配置檔的 Android Enterprise 公司擁有裝置
• Android Enterprise 完全受控

如需這些註冊方法的詳細資訊，請參閱：

• 使用工作配置檔設定 Android Enterprise 公司擁有裝置的 Intune 註冊
• 設定 Android Enterprise 完全受控裝置的註冊

裝置管理

macOS 上的 遠端說明 簡介

遠端說明 Web 應用程式可讓使用者連線到 macOS 裝置，並加入僅限檢視遠端協助會話。

適用於：

• 11 Big Sur
• 12 蒙地利
• 13 Ventura

如需macOS上 遠端說明的詳細資訊，請參閱 遠端說明。

管理憑證到期日

管理憑證到期日可做為 [裝置 ] 工作負載中的數據行。 您可以篩選管理憑證的到期日範圍，也可以匯出具有符合篩選條件之到期日之裝置的清單。

選取 [裝置所有裝置]，即可在 Microsoft Intune 系統管理中心>取得此資訊。

Windows Defender 應用程控 (WDAC) 參考已更新為商務用應用程控

Windows 已將 Windows Defender 應用程控 (WDAC) 重新命名 為商務用應用程控。 透過這項變更，Intune 檔和 Intune 系統管理中心中的參考會更新以反映這個新名稱。

Intune 支援 iOS/iPadOS 15.x 作為最低版本

Apple 發行了 iOS/iPadOS 第 17 版。 現在，Intune 支援的最低版本是iOS/iPadOS 15.x。

適用於：

• iOS/iPadOS

注意事項

透過自動裝置註冊 (ADE 註冊的無使用者 iOS 和 iPadOS 裝置，) 因為共用使用方式而具有稍微細微的支援語句。 如需詳細資訊，請參閱 無使用者裝置的支持與允許的 iOS/iPadOS 版本的支援聲明。

端點安全性應用程控原則和受管理安裝程式的政府租用戶支援

我們已將使用端點安全性 應用程控原則，以及設定受控安裝程序的支援新增至下列主權雲端環境：

• 美國政府雲端
• 中國 21Vianet

應用程控原則和受控安裝程式的支援最初於 2023 年 6 月預覽發行。 Intune 中的應用程控原則是Defender應用程控 (WDAC) 的實作。

裝置安全性

Windows 365裝置的端點許可權管理支援

您現在可以使用端點許可權管理來管理 Windows 365 裝置上的應用程式提高許可權， (也稱為雲端電腦) 。

此支援不包含 Azure 虛擬桌面。

由發行者針對端點許可權管理提高許可權報告

我們發行了名為「由發行者為端點許可權管理 (EPM) 提高許可權 報告 的新報表。 使用 此新報 表，您可以檢視所有受控和非受控提高許可權，這些提高許可權是由已提升許可權之應用程式的發行者匯總。

您會在 Intune 系統管理中心的 EPM 報表節點中找到報表。 流覽至 [端點安全>性端點許可權管理] ，然後選取 [ 報告] 索引 標籤。

macOS 支援端點偵測和回應的 Intune 端點安全策略

Intune 端點偵測和回應 (EDR) 的端點安全策略現在支援macOS。 為了啟用這項支持，我們新增了 macOS的新EDR範本配置檔。 透過適用於端點的Defender安全性設定管理案例選擇加入公開預覽版所管理的 Intune和macOS裝置，使用此設定檔搭配註冊的macOS裝置。

適用於 macOS 的 EDR 樣本包含適用於端點的 Defender 中 [裝置卷標 ] 類別的下列設定：

• 標記類型 – GROUP 標籤類型 – GROUP 標籤標，以指定的值標記裝置。 標籤會反映在裝置頁面的系統管理中心，並可用於篩選和分組裝置。
• tag 的值 - 每個標籤只能設定一個值。 卷標的類型是唯一的，不應該在相同的配置檔中重複。

若要深入瞭解適用於 macOS 的適用於端點的 Defender 設定，請參閱 Defender 檔中的設定 macOS 上 適用於端點的 Microsoft Defender 的喜好設定。

適用於端點偵測和回應 Intune 端點安全策略的 Linux 支援

Intune 端點偵測和回應 (EDR) 端點安全策略現在支援Linux。 為了啟用這項支援，我們新增了 適用於Linux的新EDR範本配置檔。 使用此配置檔搭配透過適用於端點的 Defender 安全性設定管理案例的加入公開預覽所管理 Intune 和 Linux 裝置註冊的 Linux 裝置。

適用於 Linux 的 EDR 範本包含適用於端點的 Defender 中 [裝置卷標 ] 類別的下列設定：

• tag 的值 - 每個標籤只能設定一個值。 卷標的類型是唯一的，不應該在相同的配置檔中重複。
• 標記類型 – GROUP 標籤類型 – GROUP 標籤標，以指定的值標記裝置。 標籤會反映在裝置頁面的系統管理中心，並可用於篩選和分組裝置。

您可以在 Defender 檔的設定 Linux 上 適用於端點的 Microsoft Defender 的喜好設定中，深入瞭解適用於 Linux 的適用於端點的 Defender 設定。

監視及疑難排解

更新 Windows 10 及更新版本更新通道的報告

Windows 10 和更新版本的更新通道報告已更新為使用 Intune 改善的報告基礎結構。 這些變更與針對其他 Intune 功能所引進的類似改善一致。

針對 Windows 10 和更新版本的更新通道報表進行這項變更時，當您在 Intune 系統管理中心選取更新通道原則時，[概觀]、[管理] 或 [監視] 選項沒有左窗格導覽。 相反地，原則檢視會開啟至包含下列原則詳細數據的單一窗格：

• Essentials – 包括原則名稱、建立和修改日期，以及更多詳細數據。
• 裝置和使用者簽入狀態 – 此檢視是預設報表檢視，包含：
  • 此原則的裝置狀態概觀，以及開啟更完整報表檢視的 [ 檢視報 表] 按鈕。
  • 由指派給原則的裝置所傳回之不同裝置狀態值的簡化表示法和計數。 簡化的條形圖和圖表會取代先前報告表示法中顯示的先前環圈圖。
• 另外兩個報表磚可開啟更多報表。 這些磚包括：
  • 裝置指派狀態 – 此報告結合了與先前的 [裝置狀態] 和 [用戶狀態報告] 相同的信息，這些資訊已無法再使用。 不過，有了這項變更，就無法再使用以使用者名稱為基礎的樞紐和鑽研。
  • 每個設定狀態 – 此新報告會針對每個設定提供與預設值不同的成功計量，讓您能夠深入瞭解哪些設定可能無法成功部署到您的組織。
• 屬性 – 檢視原則每個設定頁面的詳細數據，包括 編輯 每個區域配置檔詳細數據的選項。

如需 Windows 10 及更新版本更新通道報表的詳細資訊，請參閱 Microsoft Intune 的 Windows Update 報表一文中 Windows 10 更新通道的報告。

角色型存取

更新 UpdateEnrollment 的範圍

隨著新角色 UpdateEnrollment 的推出， UpdateOnboarding 的範圍隨即更新。

自定義和內建角色的 UpdateOnboarding 設定會修改為僅管理或變更受控 Google Play 和其他整個帳戶設定的 Android Enterprise 系結。 任何使用 UpdateOnboarding 的內建角色現在都會包含 UpdateEnrollmentProfiles 。

正在從 Android 將資源名稱更新 為 AndroidEnterprise。

如需詳細資訊，請參閱角色型訪問控制 (RBAC) 與 Microsoft Intune。

2023 年 9 月 11 日當週

裝置設定

遠端說明 上的遠端啟動簡介

透過遠端啟動，協助程式可以藉由將通知傳送至使用者的裝置，從 Intune 順暢地在協助程式和使用者的裝置上啟動 遠端說明。 此功能可讓技術服務人員和共用者快速連線到會話，而不需要交換會話程序代碼。

適用於：

• Windows 10/11

如需詳細資訊，請參閱 遠端說明。

2023 年 9 月 4 日當周

裝置管理

Microsoft Intune 2024 年 8 月終止在具有 GMS 存取權的裝置上對 Android 裝置系統管理員的支援

Microsoft Intune 於 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。

如果您目前使用裝置系統管理員管理，建議您在支持結束之前，切換至 Intune 中的另一個 Android 管理選項。

如需詳細資訊，請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。

2023 年 8 月 28 日當周

裝置設定

適用於 SCEP 和 PFX 憑證設定檔之 4096 位密鑰大小的 Windows 和 Android 支援

Intune Windows 和 Android 裝置的 SCEP 憑證配置檔和 PKCS 憑證設定檔現在支援金鑰大小 (位，) 為 4096。 此金鑰大小適用於您選擇編輯的新設定檔和現有設定檔。

• SCEP 配置檔一律包含 [金鑰大小 (位) 設定，現在支援 4096 作為可用的組態選項。
• PKCS 設定檔不會直接包含 金鑰大小 (位) 設定。 相反地，系統管理員必須 修改證書頒發機構單位的證書範本 ，將 密鑰大小下限 設定為 4096。

如果您使用第三方證書頒發機構單位 (CA) ，您可能需要連絡廠商以取得實作 4096 位密鑰大小的協助。

更新或部署新的憑證配置檔以利用這個新的金鑰大小時，建議您使用錯開的部署方法。 這種方法可協助避免同時在大量裝置上建立對新憑證的過度需求。

使用此更新時，請注意 Windows 裝置上的下列限制：

• 只有 軟體金鑰儲存提供者 (KSP) 才支援 4096 位金鑰記憶體。 下列項目不支援儲存此大小的金鑰：
  • 硬體 TPM (信賴平臺模組) 。 因應措施是使用軟體 KSP 來儲存金鑰。
  • Windows Hello 企業版。 目前沒有因應措施。

租使用者管理

多個系統管理員核准的存取原則現已正式推出

多個系統管理員核准的存取原則已不公開預覽，現在已正式推出。 透過這些原則，您可以在套用該變更之前，要求資源核 准者 群組的其中一個使用者核准部署的任何變更，以保護資源，例如應用程式部署。

如需詳細資訊，請 參閱使用存取原則來要求多個系統管理核准。

2023 年 8 月 21 日當周 (Service 2308)

應用程式管理

受控主畫面 使用者提示您授與確切的警示許可權

受控主畫面 使用確切的警示許可權來執行下列動作：

• 在裝置上設定的閑置時間後自動註銷使用者
• 在一段設定的閑置期間後啟動屏幕保護
• 當用戶結束 kiosk 模式時，在一段時間后自動重新啟動 MHS

對於執行 Android 14 和更新版本的裝置，預設會拒絕確切的警示許可權。 為了確保重要的使用者功能不會受到影響，系統會提示使用者在第一次啟動 受控主畫面 時授與確切的警示許可權。 如需詳細資訊，請參閱設定適用於Android Enterprise的 Microsoft 受控主畫面 應用程式和 Android 的開發人員檔。

受控主畫面 通知

針對執行以 API 層級 33 為目標之 Android 13 或更新版本的 Android 裝置，根據預設，應用程式沒有傳送通知的許可權。 在舊版 受控主畫面 中，當系統管理員啟用自動重新啟動 受控主畫面 時，會顯示通知來警示使用者重新啟動。 為了配合通知許可權的變更，在系統管理員已啟用自動重新啟動 受控主畫面 的情況下，應用程式現在會顯示快顯通知訊息，提醒使用者重新啟動。 受控主畫面 能夠自動授與此通知的許可權，因此，設定 受控主畫面 以配合 API 層級 33 的通知許可權變更，不需要變更。 如需 Android 13 (API 層級 33) 通知訊息的詳細資訊，請參閱 Android 開發人員檔。 如需 受控主畫面 的詳細資訊，請參閱設定 Android Enterprise 的 Microsoft 受控主畫面 應用程式。

新的 macOS Web 剪輯應用程式類型

在 Intune 中，終端使用者可以將 Web 應用程式釘選到 macOS 裝置上的 Dock， (Apps>macOS>新增>macOS 網頁剪輯) 。

適用於：

• macOS

如需您可以設定之設定的相關信息，請參閱將 Web 應用程式新增至 Microsoft Intune。

Win32 應用程式可設定安裝時間

在 Intune 中，您可以設定可設定的安裝時間來部署 Win32 應用程式。 此時間以分鐘為單位表示。 如果應用程式的安裝時間比設定的安裝時間長，系統將無法安裝應用程式。 超時值上限為 1 天) (1440 分鐘。 如需 Win32 應用程式的詳細資訊，請參閱 Microsoft Intune 中的 Win32 應用程式管理。

Samsung Knox 條件式啟動檢查

您可以在 Samsung Knox 裝置上新增更多裝置健康情況危害的偵測。 在新的 Intune 應用程式防護原則中使用條件式啟動檢查，您可以要求在相容的 Samsung 裝置上執行硬體層級裝置竄改偵測和裝置證明。 如需詳細資訊，請參閱 Microsoft Intune 中 Android 應用程式保護原則設定之條件式啟動一節中的 Samsung Knox 裝置證明設定。

裝置設定

公開預覽版 Android 的 遠端說明

遠端說明 適用於 Zebra 和 Samsung 的 Android Enterprise Dedicated 裝置公開預覽版。 透過 遠端說明，IT 專業人員可以從遠端檢視裝置畫面，並在出席和自動案例中完全控制，以快速且有效率地診斷和解決問題。

適用於：

• Zebra 或 Samsung 所製造 Android Enterprise 專用裝置

如需詳細資訊，請參閱 Android 上的 遠端說明。

群組原則 分析已正式推出

群組原則 分析已正式推出 (GA) 。 使用 群組原則 分析來分析內部部署組策略物件， (GPO) ，以將其移轉至 Intune 原則設定。

適用於：

• Windows 11
• Windows 10

如需 群組原則 分析的詳細資訊，請參閱在 Microsoft Intune 中使用 群組原則 分析來分析內部部署 GPO。

Apple 設定目錄中提供新的 SSO、登入、限制、密碼和竄改保護設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。 如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

[設定目錄] 中有新的設定。 若要查看這些設定，請在 Microsoft Intune 系統管理中心，移至 [裝置>管理裝置>>設定][建立>新原則>iOS/iPadOS 或 macOS> 配置檔類型]目錄。

iOS/iPadOS 17.0 和更新版本

限制：

• 允許 Mac 上的 iPhone 小工具

macOS

>Microsoft Defender 竄改保護：

• 進程的自變數
• 進程路徑
• 進程的簽署標識碼
• 進程的小組識別碼
• 處理程序排除

macOS 13.0 和更新版本

認證 >可延伸 單一登入 (SSO) ：

• 帳戶顯示名稱
• 其他 群組
• 系統管理員 群組
• 驗證方法
• 授權許可權
• Group
• 授權群組
• 啟用授權
• 啟用在登入時建立使用者
• 登入頻率
• 新增用戶授權模式
• 帳戶名稱
• 全名
• 令牌對用戶對應
• 用戶授權模式
• 使用共用裝置金鑰

macOS 14.0 和更新版本

登入 > 登入視窗行為：

• 自動登入密碼
• 自動登入用戶名稱

限制：

• 允許修改 ARD 遠端管理
• 允許藍牙共用修改
• 允許雲端手繪多邊形
• 允許檔案共用修改
• 允許因特網共用修改
• 允許建立本機使用者
• 允許印表機共用修改
• 允許修改遠端 Apple 事件
• 允許啟動磁碟修改
• 允許時間機器備份

安全 > 密碼：

• 密碼內容描述
• 密碼內容 Regex

裝置註冊

具有新式驗證的 iOS/iPadOS 設定助理的 Just-In-Time 註冊和合規性補救現已正式推出

JUST-In-Time (JIT) 具有新式驗證之設定助理的註冊和合規性補救現在已不在預覽狀態並正式推出。 使用 Just-In-Time 註冊時，裝置使用者不需要使用 公司入口網站 應用程式來進行 Microsoft Entra 註冊和合規性檢查。 JIT 註冊和合規性補救會內嵌到使用者的布建體驗中，因此他們可以檢視其合規性狀態，並在他們嘗試存取的工作應用程式內採取動作。 此外，這會在整個裝置上建立單一登錄。 如需如何設定 JIT 註冊的詳細資訊，請參閱 設定 Just in Time Registration。

等待 iOS/iPadOS 自動化裝置註冊的最終設定現已正式推出

現在已正式推出， 等待最終設定 可在設定助理結束時啟用鎖定體驗，以確保重要裝置設定原則會安裝在裝置上。 鎖定體驗適用於以新的和現有註冊配置檔為目標的裝置。 支援的裝置包括：

• 使用新式驗證向設定助理註冊的 iOS/iPadOS 13+ 裝置
• 未註冊用戶親和性的 iOS/iPadOS 13+ 裝置
• 使用 Microsoft Entra ID 共用模式註冊的 iOS/iPadOS 13+ 裝置

此設定會在安裝助理的全新自動化裝置註冊體驗期間套用一次。 除非裝置使用者重新註冊其裝置，否則不會再次遇到此問題。 新註冊配置文件預設會啟用等待最終設定。 如需如何啟用等待最終設定的資訊，請參閱 建立Apple註冊配置檔。

裝置管理

Android 通知許可權提示行為的變更

我們已更新 Android 應用程式處理通知許可權的方式，以配合 Google 最近對 Android 平臺所做的變更。 由於Google變更，通知許可權會授與應用程式，如下所示：

• 在執行 Android 12 和更早版本的裝置上：預設允許應用程式傳送通知給使用者。
• 在執行 Android 13 和更新版本的裝置上：通知許可權會根據應用程式的目標 API 而有所不同。
  • 以 API 32 和更低版本為目標的應用程式：Google 已新增當使用者開啟應用程式時出現的通知許可權提示。 管理應用程式仍然可以設定應用程式，使其自動獲得通知許可權。
  • 以 API 33 和更新版本為目標的應用程式：應用程式開發人員會定義通知許可權提示出現的時機。 管理應用程式仍然可以設定應用程式，使其自動獲得通知許可權。

現在，您和您的裝置使用者可以預期會看到下列變更，因為我們的應用程式是以 API 33 為目標：

• 公司入口網站 用於工作配置檔管理：使用者在第一次開啟時，會在 公司入口網站 的個人實例中看到通知許可權提示。 使用者在 公司入口網站 的工作配置檔實例中看不到通知許可權提示，因為工作配置檔中的 公司入口網站 會自動允許通知許可權。 使用者可以在 [設定] 應用程式中讓應用程式通知無聲。
• 公司入口網站 用於裝置系統管理員管理：使用者在第一次開啟 公司入口網站 應用程式時，會看到通知許可權提示。 使用者可以在 [設定] 應用程式中調整應用程式通知設定。
• Microsoft Intune 應用程式：現有行為沒有任何變更。 使用者不會看到提示，因為 Microsoft Intune 應用程式會自動允許通知。 用戶可以在 [設定] 應用程式中調整一些應用程式通知設定。
• Microsoft Intune AOSP 應用程式：現有行為沒有任何變更。 使用者不會看到提示，因為 Microsoft Intune 應用程式會自動允許通知。 用戶無法在 [設定] 應用程式中調整應用程式通知設定。

裝置安全性

適用於 Defender 部署更新的 Defender 更新控件現已正式推出

管理 Microsoft Defender 更新設定的 Intune 端點安全性防病毒軟體原則的配置檔 Defender 更新控件現已正式推出。 此配置檔適用於 Windows 10、Windows 11 和 Windows Server 平臺。 在公開預覽版中，此配置檔適用於 Windows 10 和更新版本的平臺。

配置檔包含首度發行通道的設定，裝置和使用者會收到與每日安全情報更新、每月平臺更新和每月引擎更新相關的 Defender 匯報。

此配置檔包含下列設定，這些設定全都直接取自 Defender CSP - Windows 用戶端管理。

• 引擎 匯報 通道
• 平臺 匯報 通道
• 安全性情報 匯報 通道

這些設定也可從 Windows 10 和更新版本配置檔的設定目錄取得。

端點許可權管理的應用程式提高許可權報告

我們已發行名為「 提高許可權報告」 的新報表，由適用於端點許可權管理的應用程式 (EPM) 。 使用 此新報 表，您可以檢視所有受控和非受控提高許可權，這些提高許可權是由提升許可權的應用程式匯總。 此報告可協助您識別可能需要提高許可權規則才能正常運作的應用程式，包括子進程的規則。

您會在 Intune 系統管理中心的 EPM 報表節點中找到報表。 流覽至 [端點安全>性端點許可權管理] ，然後選取 [ 報告] 索引 標籤。

macOS 防病毒軟體原則可用的新設定

macOS 裝置的 Microsoft Defender 防病毒軟體設定檔已更新為另外九個設定和三個新的設定類別：

防病毒軟體引擎 – 下列是此類別的新設定：

• 隨選掃描的平行處理原則程度 – 指定隨選掃描的平行處理原則程度。 此設定會對應至用來執行掃描並影響 CPU 使用量的線程數目，以及隨選掃描的持續時間。
• 啟用檔案哈希計算 – 啟用或停用檔案哈希計算功能。 啟用這項功能時，Windows Defender 會計算所掃描檔案的哈希。 此設定有助於改善自定義指標相符項目的精確度。 不過，啟用檔案哈希計算可能會影響裝置效能。
• 更新定義之後執行掃描 – 指定是否要在裝置上下載新的安全情報更新之後啟動進程掃描。 啟用此設定會在裝置的執行中進程上觸發防病毒軟體掃描。
• 在封存盤案內掃描 – 如果為 true，Defender 會解除封裝封存並掃描檔案。 否則會略過封存內容，以改善掃描效能。

網路保護 – 包含下列設定的新類別：

• 強制層級 – 設定此設定以指定是否停用、稽核模式或強制執行網路保護。

竄改保護 - 包含下列設定的新類別：

• 強制層級 - 指定是否 停用、稽 核模式或 強制執行竄改保護。

使用者介面喜好設定 – 包含下列設定的新類別：

• 控制對取用者版本的登入 - 指定使用者是否可以登入取用者版本的 Microsoft Defender。
• 顯示/隱藏狀態功能表圖示 – 指定 (顯示在畫面右上角的狀態功能表圖示) 是否隱藏。
• 使用者起始的意見反應 – 指定使用者是否可以前往 [ 協助>傳送意見反應]，將意見反應提交至Microsoft。

您建立的新設定檔包括原始設定和新的設定。 您現有的設定檔會自動更新以包含新的設定，且每個新設定都設定為 [ 在您選擇編輯該配置檔以變更它之前未設定]。

如需如何在企業組織中設定 macOS 上 適用於端點的 Microsoft Defender 喜好設定的詳細資訊，請參閱設定 macOS 上 適用於端點的 Microsoft Defender 的喜好設定。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• VerityRMS by Mackey LLC (iOS)

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

現在使用 Windows 診斷數據收集 CloudDesktop 記錄

從 Windows 裝置收集診斷的 Intune 遠端動作現在包含記錄檔中的數據。

紀錄檔：

• %temp%\CloudDesktop*.log

Intune 端點分析中的異常偵測裝置世代已正式推出

Intune 端點分析中的異常偵測裝置世代現已正式推出。

在與高或中嚴重性異常相關聯的裝置中識別裝置世代。 裝置會根據其共同的一或多個因素相互關聯成群組，例如應用程式版本、驅動程式更新、OS 版本、裝置型號。 相互關聯群組將包含詳細檢視，其中包含該群組中所有受影響裝置之間常見因素的重要資訊。 您也可以檢視目前受異常和「有風險」裝置影響的裝置明細。 「有風險」裝置尚未顯示異常的徵兆。

如需詳細資訊， 請參閱端點分析中的異常偵測。

改善端點分析中裝置時程表的用戶體驗

已改善端點分析中裝置時間軸的使用者介面 (UI) ，並包含更進階的功能， (支援排序、搜尋、篩選和導出) 。 在端點分析中檢視特定裝置時間軸時，您可以依事件名稱或詳細數據進行搜尋。 您也可以篩選事件，並選擇出現在裝置時間軸上的事件來源和層級，並選取感興趣的時間範圍。

如需詳細資訊，請 參閱增強裝置時間軸。

合規性原則和報告的 匯報

我們已對 Intune 合規性原則和報告進行數項改善。 透過這些變更，報告會更貼近裝置組態配置檔和報表的使用體驗。 我們已更新 合規性報告檔 ，以反映可用的合規性報告改善。

合規性報告改善包括：

• Linux 裝置的合規性詳細數據。
• 重新設計的報表是最新且簡化的報表，較新的報表版本會開始取代較舊的報表版本，這會持續提供一段時間。
• 檢視合規性原則時，沒有左窗格流覽。 相反地，原則檢視會開啟至預設為 [監視] 索引卷標及其 [裝置狀態] 檢視的單一窗格。
  • 此檢視提供此原則的裝置狀態概觀、支持鑽研以檢閱完整報告，以及相同原則的個別設定狀態檢視。
  • 環圈圖會以簡化的表示法和指派原則的裝置所傳回之不同裝置狀態值的計數取代。
  • 您可以選取 [屬性] 索引標籤來檢視原則詳細數據，以及檢閱和編輯其設定和指派。
  • 系統會移除 Essentials 區段，並在原則的 [屬性] 索引卷標中顯示這些詳細數據。
• 更新的狀態報告支援依數據行排序、使用篩選和搜尋。 結合這些增強功能，可讓您樞紐報表，以顯示您想要在該時間檢視的特定詳細數據子集。 透過這些增強功能，我們已移除 用戶狀態 報告，因為其已變成備援。 現在，檢視預設的裝置狀態報表時，您可以藉由排序 [用戶主體名稱] 資料行，或在搜尋方塊中搜尋特定用戶名稱，將報表焦點放在顯示 [用戶狀態] 中可用的相同資訊。
• 檢視狀態報告時，當您深入瞭解深入見解或詳細數據時，Intune 顯示的裝置計數現在會在不同的報表檢視之間保持一致。

如需這些變更的詳細資訊，請參閱 Intune 支援小組部落格：https://aka.ms/Intune/device_compl_report。

2023 年 8 月 14 日當周

應用程式管理

使用 [關閉市集應用程式] 設定來停用使用者對市集應用程式的存取，並允許受控 Intune 市集應用程式

在 Intune 中，您可以使用新的市集應用程式類型，將市集應用程式部署到您的裝置。

現在，您可以使用 關閉市集應用程式 原則來停用終端使用者對市集應用程式的直接存取。 停用時，終端使用者仍然可以從 Windows 公司入口網站 應用程式以及透過 Intune 應用程式管理來存取和安裝市集應用程式。 如果您想要在 Intune 外部允許隨機市集應用程式安裝，請勿設定此原則。

先前的 [僅在 Microsoft 市集] 應用程式原則中顯示私人市集，並不會防止終端使用者使用 Windows 封裝管理員 winget API 直接存取市集。 因此，如果您的目標是封鎖用戶端裝置上的隨機 Unmanaged Store 應用程式安裝，建議您使用 關閉市集應用程式 原則。 請勿使用 [ 只顯示 Microsoft 市集應用程式原則內的私人市集] 原則。 適用於：

• Windows 10 和更新版本

如需詳細資訊，請參閱將 Microsoft 市集應用程式新增至 Microsoft Intune。

2023 年 8 月 7 日當周

角色型存取控制

在資源 Android for work 下引進新的角色型訪問控制 (RBAC) 許可權

介紹新的 RBAC 許可權，以在 Android for work 資源下的 Intune 中建立自定義角色。 許可權 更新註冊配置檔 可讓系統管理員管理或變更用來註冊裝置的 AOSP 和 Android Enterprise 裝置擁有者註冊配置檔。

如需詳細資訊，請 參閱建立自定義角色。

2023 年 7 月 31 日當周

裝置安全性

適用於 Intune 端點安全性磁碟加密原則的新 BitLocker 配置檔

我們發行了新的體驗，為端點安全性磁碟加密原則建立新的 BitLocker 配置檔。 編輯您先前建立的 BitLocker 原則的體驗保持不變，您可以繼續使用它們。 此更新僅適用於您為 Windows 10 和更新版本平臺建立的新 BitLocker 原則。

此更新是從 2022 年 4 月開始持續推出端點安全策略新配置檔的一部分。

應用程式管理

使用 Windows 公司入口網站 卸載 Win32 和 Microsoft 市集應用程式

如果應用程式已指派為可用且由終端用戶視需要安裝，使用者可以使用Windows 公司入口網站 卸載 Win32 應用程式和Microsoft市集應用程式。 針對 Win32 應用程式，您可以選擇啟用或停用此功能， (預設會關閉) 。 針對Microsoft市集應用程式，此功能一律會開啟，並可供您的使用者使用。 如果使用者可以卸載應用程式，用戶將能夠在 Windows 公司入口網站 中選取應用程式的 [卸載]。 如需相關信息，請參閱將應用程式新增至 Microsoft Intune。

2023 年 7 月 24 日當周 (Service 2307)

應用程式管理

Intune 支援新的Google Play Android管理 API

已變更受控Google Play公用應用程式在 Intune中的管理方式。 這些變更是為了支援 Google的Android管理 API ， (開啟Google的網站) 。

適用於：

• Android Enterprise

若要深入了解系統管理員和用戶體驗的變更，請參閱支援提示：Intune 移至支援新的 Google Play Android 管理 API。

Android Enterprise 公司擁有裝置的應用程式報告

您現在可以檢視報表，其中包含在 Android Enterprise 公司擁有案例的裝置上找到的所有應用程式，包括系統應用程式。 此報告可在系統管理中心 Microsoft Intune 選取 [應用程式>監視器>探索到的應用程式]。 您會看到偵測到裝置上已安裝之所有應用程式的應用程式 名稱 和 版本 。 最多可能需要 24 小時的時間，應用程式資訊才會填入報表。

如需相關信息，請參閱 Intune 探索到的應用程式。

將非受控 PKG 類型應用程式新增至受控 macOS 裝置 [公開預覽]

您現在可以使用適用於 macOS 裝置的 Intune MDM 代理程式，將非受控 PKG 類型應用程式上傳及部署至受管理的 macOS 裝置。 此功能可讓您部署自定義 PKG 安裝程式，例如未簽署的應用程式和元件套件。 您可以在 Intune 系統管理中心新增 PKG 應用程式，方法是選取應用程式> macOS 新增>macOS>應用程式 (PKG) 應用程式類型。

適用於：

• macOS

如需詳細資訊，請參閱將非受控 macOS PKG 應用程式新增至 Microsoft Intune。 若要部署受控 PKG 類型應用程式，您可以繼續將 macOS 企業營運 (LOB) 應用程式新增至 Microsoft Intune。 如需適用於 macOS 裝置的 Intune MDM 代理程式的詳細資訊，請參閱 macOS Microsoft Intune 管理代理程式。

適用於 iOS/iPadOS Web 剪輯應用程式類型的新設定

在 Intune 中，您可以將 Web 應用程式釘選到 iOS/iPadOS 裝置 (應用程式>iOS/iPadOS>新增>iOS/iPadOS 網頁剪輯) 。 當您新增網頁剪輯時，有新的設定可供使用：

• 全螢幕：如果設定為 [ 是]，則啟動網頁剪輯作為全螢幕Web應用程式，而不需要瀏覽器。 沒有 URL 或搜尋列，也沒有書籤。
• 忽略指令清單範圍：如果設定為 [是]，全螢幕網頁剪輯可以流覽至外部網站，而不會顯示Safari UI。 否則，當您離開網頁剪輯的URL時，會出現Safari UI。 當 [全螢幕 ] 設定為 [ 否] 時，此設定沒有作用。 適用於 iOS 14 和更新版本。
• 預先編譯：如果設定為 [ 是]，則會防止 SpringBoard (的 Apple 應用程式啟動器) 在圖示中新增「閃亮」。
• 目標應用程式套件組合識別碼：輸入應用程式套件組合識別碼，指定開啟URL的應用程式。 適用於 iOS 14 和更新版本。

適用於：

• iOS/iPadOS

如需詳細資訊，請參閱將 Web 應用程式新增至 Microsoft Intune。

新增 Windows PowerShell 文稿時變更為預設設定

在 Intune 中，您可以使用原則將 Windows PowerShell 腳本部署到 Windows 裝置， (> 裝置腳本>新增>Windows 10 及更新版本) 。 當您新增 Windows PowerShell 文稿時，您會設定一些設定。 若要增加 Intune的預設安全行為，下列設定的預設行為已變更：

• [ 使用登入的認證執行此腳本 ] 設定預設為 [ 是]。 先前，預設值為 [否]。
• [ 強制執行腳本簽章檢查 ] 設定預設為 [ 是]。 先前，預設值為 [否]。

此行為適用於您新增的新文本，而非現有的腳本。

適用於：

• Windows 10 和更新版本 (不包括 Windows 10 家用版)

如需在 Intune 中使用 Windows PowerShell 腳本的詳細資訊，請參閱在 Intune 中的 Windows 10/11 裝置上使用PowerShell腳本。

裝置設定

已新增範圍標籤的支援

您現在可以在公開預覽) 中使用 Zebra LifeGuard 無線整合 (建立部署時新增範圍標籤。

macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置管理裝置>>>設定] 中看到這些設定：針對配置檔類型建立>平臺>設定目錄的新>原則macOS。

Microsoft AUTOUpdate (MAU) ：

• 目前通道 (每月)

>Microsoft Defender 使用者介面喜好設定：

• 控制對取用者版本的登入

Microsoft Office > Microsoft Outlook：

• 禁用 Do not send response

用戶體驗 > Dock：

• MCX 擴充特殊資料夾

適用於：

• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

MAC 位址端點的合規性擷取服務支援

我們現在已將 MAC 位址支援新增至合規性擷取服務。

CR 服務的初始版本包含僅使用 Intune 裝置標識碼的支援，其目的是不需要管理序號和 MAC 位址等內部識別碼。 透過這項更新，偏好使用 MAC 位址而非憑證驗證的組織可以在實作 CR 服務時繼續這麼做。

雖然此更新會將 MAC 位址支援新增至 CR 服務，但我們的建議是搭配憑證中包含的 Intune 裝置標識碼來使用憑證型驗證。

如需CR服務取代 Intune Network 存取控制 (NAC) 服務的相關信息，請參閱 Intune 部落格：https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696。

Intune 安全性基準內的設定深入解析已正式推出

宣佈在 Microsoft Intune 中正式推出 [設定深入解析]。

[設定深入解析] 功能可讓您對類似的組織成功採用的設定有信心。 設定深入解析目前適用於安全性基準。

流覽至 [端點安全>性基準]。 建立和編輯工作流程時，這些深入解析適用於所有具有燈泡的設定。

裝置安全性

Azure 虛擬桌面上的 Windows 竄改保護支援

Intune 現在支援使用端點安全性防病毒軟體原則來管理 Azure 虛擬桌面多重會話裝置上的 Windows 竄改保護。 若要支援竄改保護，裝置必須先上架以 適用於端點的 Microsoft Defender，才能套用啟用竄改保護的原則。

適用於端點許可權管理的 EpmTools PowerShell 模組

EpmTools PowerShell 模組現在可與 Intune 端點許可權管理 (EPM) 搭配使用。 EpmTools 包含 Get-FileAttributes 之類的 Cmdlet，可用來擷取檔案詳細數據，以協助建立精確的提升許可權規則，以及可用來疑難解答或診斷 EPM 原則部署的其他 Cmdlet。

如需詳細資訊，請參閱 EpmTools PowerShell 模組。

管理子進程提高許可權規則的端點許可權管理支援

透過 Intune 端點許可權管理 (EPM) 您可以管理哪些檔案和程式可以在 Windows 裝置上以系統管理員身分執行。 現在，EPM 提高許可權規則 支援新的設定 ，即子進程行為。

透過 子進程行為，您的規則可以管理受控進程所建立之任何子進程的提升許可權內容。 選項包括：

• 允許受控進程建立的所有子進程一律以提升許可權的方式執行。
• 只有在子進程符合管理其父進程的規則時，才允許子進程以提升許可權的方式執行。
• 拒絕所有子進程在提升許可權的內容中執行，在此情況下，它們會以標準使用者身分執行。

端點許可權管理可作為 Intune 附加元件。 如需詳細資訊，請參閱使用 Intune Suite 附加元件功能。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Dooray! for Intune

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

設定合規性和原則合規性的更新報告處於公開預覽狀態

我們發行了兩份新報告，作為 Intune 裝置合規性的公開預覽。 您可以在 Intune 系統管理中心的 [報告>裝置合規性>報告] 索引標籤中找到這些新的預覽報表：

• 設定合規性 (預覽)
• 原則合規性 (預覽)

這兩份報表都是現有報表的新實例，並提供舊版的改善，包括：

• Linux 設定和裝置的詳細數據
• 支援排序、搜尋、篩選、匯出和分頁檢視
• 向下切入報告以取得更深入的詳細數據，這些詳細數據會根據您選取的數據行進行篩選。
• 裝置會單次表示。 此行為與原始報告相反，如果有多位使用者使用該裝置，則可能會將裝置計數超過一次。

最後，仍可在裝置>監視器系統管理中心使用的舊版報表版本將會淘汰。

2023 年 7 月 10 日當周

應用程式管理

匯報 至應用程式設定原則報告

在我們持續努力改善 Intune 報表基礎結構時，應用程式設定原則報告的使用者介面 (UI) 變更。 UI 已更新為下列變更：

• 應用程式設定原則工作負載的 [概觀] 區段上沒有 [用戶狀態] 圖格或 [不適用的裝置] 圖格。
• 應用程式設定原則工作負載的 [監視] 區段上沒有使用者安裝狀態報告。
• [應用程式設定原則] 工作負載的 [監視] 區段下的 [裝置安裝狀態] 報告不會再在 [狀態] 資料行中顯示 [擱置中] 狀態。

您可以在系統管理中心 Microsoft Intune 設定原則報告，方法是選取 [應用程式>應用程式設定原則]。

2023 年 7 月 3 日當周

裝置管理

Intune Android 13 上 Zebra 裝置的支援

Zebra 將會在其裝置上發行 Android 13 的支援。 如需詳細資訊，請參閱 移轉至 Android 13 (會開啟 Zebra 的網站) 。

• Android 13 上的暫時性問題

  Intune 小組在 Zebra 裝置上徹底測試了 Android 13。 除了裝置系統管理員 (DA) 裝置的下列兩個暫時性問題之外，所有專案都會正常運作。

  針對執行 Android 13 並向 DA 管理註冊的 Zebra 裝置：

  1. 應用程式安裝不會以無訊息方式進行。 相反地，如果使用者允許通知) 要求允許應用程式安裝的許可權，則會從 公司入口網站 應用程式 (取得通知。 如果使用者在出現提示時不接受應用程式安裝，則不會安裝應用程式。 使用者會在通知隱藏式選單中持續通知，直到允許安裝為止。

  2. 新的 MX 配置檔不適用於 Android 13 裝置。 新註冊的 Android 13 裝置不會收到來自 MX 配置檔的設定。 先前套用至已註冊裝置的 MX 配置檔會繼續套用。

  在 7 月稍後即將推出的更新中，這些問題將會解決，且行為會回到先前的狀態。

• 將裝置更新為Android 13

  您很快就會能夠使用 Intune 的 Zebra LifeGuard 無線整合，將 Android Enterprise 專用且完全受控的裝置更新為 Android 13。 如需詳細資訊，請參閱 Zebra LifeGuard 與 Microsoft Intune 的無線整合。

  在您移轉至 Android 13 之前，請檢閱 移轉至 Android 13 (開啟 Zebra 的網站) 。

• Android 13 上 Zebra 裝置的 OEMConfig

  Android 13 上 Zebra 裝置的 OEMConfig 需要使用 Zebra 的新 Zebra OEMConfig 由 MX OEMConfig 應用程式提供技術支援 (開啟 Google Play 商店) 。 此新應用程式也可以在執行 Android 11 的 Zebra 裝置上使用，但無法在舊版上使用。

  如需此應用程式的詳細資訊，請移至 適用於 Android 11 和更新版本的 New Zebra OEMConfig 應用程式 部落格文章。

  舊 版 Zebra OEMConfig 應用程式 (開啟 Google Play 商店) 只能在執行 Android 11 和更早版本的 Zebra 裝置上使用。

如需 Intune Android 13 支援的一般資訊，請移至 Android 13 的日零支援與 Microsoft Intune 部落格文章。

裝置安全性

適用於端點的 Defender 安全性設定管理增強功能，並在公開預覽版中支援 Linux 和 macOS

透過適用於端點的 Defender 安全性設定管理，您可以使用 Intune 的端點安全策略，在已上線至適用於端點的 Defender 但未向 Intune 註冊的裝置上管理 Defender 安全性設定。

現在，您可以從 Microsoft Defender 入口網站中加入加入公開預覽版，以存取此案例的數個增強功能：

• Intune 的端點安全策略會顯示在 中，並可從 Microsoft Defender 入口網站中進行管理。 這可讓安全性系統管理員保留在Defender入口網站中，以管理Defender和適用於Defender安全性設定管理的 Intune端點安全策略。

• 安全性設定管理支援將 Intune 端點安全性防病毒軟體原則部署到執行 Linux 和 macOS 的裝置。

• 針對 Windows 裝置，安全性設定管理現在支援 Windows 安全性 體驗配置檔。

• 新的上線工作流程會移除 Microsoft Entra 混合式聯結必要條件。 Microsoft Entra 混合式聯結需求可防止許多 Windows 裝置成功上線至適用於端點的 Defender 安全性設定管理。 透過這項變更，這些裝置現在可以完成註冊，並開始處理安全性設定管理的原則。

• Intune 會針對無法向 Microsoft Entra ID 完全註冊的裝置，在 Microsoft Entra ID 中建立綜合註冊。 綜合註冊是在 Microsoft Entra ID 中建立的裝置物件，可讓裝置接收並回報安全性設定管理的 Intune 原則。 此外，如果具有綜合註冊的裝置完全註冊，則會從 Microsoft Entra ID 移除綜合註冊，以推斷為完整註冊。

如果您未加入適用於端點的Defender公開預覽版，則先前的行為會保留在原處。 在此情況下，雖然您可以檢視 Linux 的防病毒軟體配置檔，但您無法將其部署為僅支援由 Defender 管理的裝置。 同樣地，目前適用於向 Intune 註冊之裝置的macOS配置檔，也無法部署到Defender所管理的裝置。

適用於：

• Linux
• macOS
• Windows

2023 年 6 月 26 日當周

裝置設定

Android (AOSP) 支援指派篩選

Android (AOSP) 支援指派篩選。 當您建立 Android (AOSP) 的篩選時，您可以使用下列屬性：

• DeviceName
• 製造商
• Model
• DeviceCategory
• oSVersion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

如需篩選的詳細資訊，請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。

適用於：

• Android

Windows 裝置的隨選補救

處於公開預覽狀態的新裝置動作可讓您在單一 Windows 裝置上依需求執行補救。 [ 執行補救 裝置] 動作可讓您解決問題，而不需要等待補救依其指派的排程執行。 您也可以在裝置的 [監視] 區段的 [補救] 底下檢視補救狀態。

執行 補救 裝置動作即將推出，可能需要數周的時間才能觸及所有客戶。

如需詳細資訊，請參閱 補救。

裝置管理

Intune 中的 Windows 驅動程式更新管理已正式推出

宣佈在 Microsoft Intune 中正式推出 Windows 驅動程式更新管理。 使用驅動程式更新原則，您可以檢視建議且適用於指派給原則之 Windows 10 和 Windows 11 裝置的驅動程式更新清單。 適用的驅動程式更新是可更新裝置驅動程式版本的更新。 驅動程式更新原則會自動更新，以在驅動程式製造商發佈更新時新增更新，並移除不再套用至任何具有原則之裝置的舊版驅動程式。

您可以針對下列兩種核准方法之一設定更新原則：

• 透過 自動核准，由驅動程式製造商發佈並新增至原則的每個新 建議 驅動程式，都會自動核准部署至適用裝置。 針對自動核准所設定的原則可以在裝置上安裝自動核准的更新之前，設定延遲期間。 此延遲可讓您有時間檢閱驅動程式，並在必要時暫停其部署。

• 透過手動核准，所有新的驅動程式更新都會自動新增至原則，但系統管理員必須先明確核准每個更新，Windows Update 將它部署到裝置。 當您手動核准更新時，您會選擇 Windows Update 開始將它部署到裝置的日期。

為了協助您管理驅動程式更新，您可以檢閱原則並拒絕您不想安裝的更新。 您也可以無限期地暫停任何已核准的更新，並重新啟動暫停的更新以重新啟動其部署。

此版本也包含 提供 成功摘要、每個已核准驅動程式的每個裝置更新狀態，以及錯誤和疑難解答信息的驅動程式更新報告。 您也可以選取個別的驅動程式更新，並在包含該驅動程式版本的所有原則中檢視其相關詳細數據。

若要瞭解如何使用 Windows 驅動程式更新原則，請參閱使用 Microsoft Intune 管理 Windows 驅動程式更新的原則。

適用於：

• Windows 10
• Windows 11

2023 年 6 月 19 日當周 (Service 2306)

應用程式管理

MAM for 商務用 Microsoft Edge [預覽]

您現在可以透過個人 Windows 裝置上的 Microsoft Edge，啟用受保護的 MAM 存取組織數據。 這項功能會使用下列功能：

• Intune 應用程式設定原則 (ACP) ，以在 Microsoft Edge 中自定義組織用戶體驗
• Intune 應用程式保護原則 (APP) 來保護組織數據，並確保用戶端裝置在使用 Microsoft Edge 時狀況良好
• 與 Intune APP 整合的 Windows Defender 用戶端威脅防護，可偵測個人 Windows 裝置上的本機健康情況威脅
• 應用程式保護條件式存取，以確保裝置在透過 Microsoft Entra ID 授與受保護的服務存取權之前受到保護且狀況良好

如需詳細資訊，請參閱預覽：應用程式防護 Windows 的原則設定。

若要參與公開預覽， 請完成加入窗體。

裝置設定

Apple 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。 如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置>管理裝置>>設定] 中看到這些設定：建立>適用於配置檔類型的平臺>設定目錄的新原則>iOS/iPadOS 或 macOS。

iOS/iPadOS

聯網 > 網路使用規則：

• SIM 規則

macOS

認證 >可延伸 單一登入 (SSO) ：

• 驗證方法
• 拒絕套件組合標識碼
• 註冊令牌

完整磁碟加密 > FileVault：

• 輸出路徑
• 使用者名稱
• 密碼
• UseKeyChain

裝置韌體設定介面 (DFCI) 支援 Asus 裝置

針對 Windows 10/11 裝置，您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定。 在 Microsoft Intune 系統管理中心，針對配置檔類型選取 [裝置>管理裝置>>設定] [建立>新原則>Windows 10 及更新版本] 作為 [平台>範>本裝置韌體設定介面]。

某些執行 Windows 10/11 的 Asus 裝置已針對 DFCI 啟用。 請連絡您的裝置廠商或裝置製造商以取得合格的裝置。

如需 DFCI 設定檔的詳細資訊，請參閱：

• 在 windows 裝置上設定裝置韌體設定介面 (DFCI) 配置檔 Microsoft Intune
• 使用 Windows Autopilot 進行裝置韌體設定介面 (DFCI) 管理

適用於：

• Windows 10
• Windows 11

saaswedo Datalert 電信費用管理已在 Intune 中移除

在 Intune 中，您可以使用Saaswedo的 Datalert 電信費用管理來管理電信費用。 這項功能會從 Intune 中移除。 此移除包括：

• 電信費用管理連接器

• 電信費用 RBAC 類別

  • 讀取 許可權
  • 更新權 限

如需Saaswedo的詳細資訊， 請參閱 datalert服務無法使用 (開啟Saaswedo的網站) 。

適用於：

• Android
• iOS/iPadOS

Intune 安全性基準內的設定深入解析

[設定] 深入解析功能會將深入解析新增至安全性基準，讓您對類似組織成功採用的設定有信心。

流覽至 [端點安全>性基準]。 當您建立和編輯工作流程時，這些深入解析會以燈泡的形式提供給您。

裝置管理

預覽中的新端點安全性應用程控原則

作為公開預覽，您可以使用新的端點安全策略類別目錄應用程控。 端點安全性應用程控原則包括：

• 將 Intune 管理延伸模組設定為全租使用者受管理安裝程序的原則。 當您啟用為受管理的安裝程式時，在啟用受管理的安裝程式) 至 Windows 裝置之後，透過 Intune (部署的應用程式會標記為由 Intune 安裝。 當您使用應用程控原則來管理您想要允許或封鎖哪些應用程式在受管理的裝置上執行時，這個標籤會變得很有用。

• 應用程控原則，是 (WDAC) 的 Defender 應用程控實作。 使用端點安全性應用程控原則，您可以輕鬆地設定原則，以允許受信任的應用程式在受管理的裝置上執行。 受信任的應用程式是由受管理的安裝程式或從 App Store 安裝。 除了內建的信任設定之外，這些原則也支援自定義 XML 來控制應用程控，讓您可以允許其他來源的其他應用程式執行，以符合您的組織需求。

若要開始使用此新原則類型，請參閱使用應用程控原則管理 Windows 裝置核准的應用程式和適用於 Microsoft Intune 的受控安裝程式

適用於：

• Windows 10
• Windows 11

端點分析可供政府雲端中的租使用者使用

在此版本中，端點分析可供政府雲端中的租使用者使用。

深入瞭解 端點分析。

在 遠端說明 中引進會話內連線模式參數

在 遠端說明 中，您現在可以利用會話內連線模式切換功能。 這項功能可協助您輕鬆地在完全控制模式和僅限檢視模式之間轉換，並提供彈性和便利性。

如需 遠端說明 的詳細資訊，請參閱 遠端說明。

適用於：

• Windows 10/11

裝置安全性

更新為端點許可權管理報告

Intune 的端點許可權管理 (EPM) 報告現在支援將完整報告承載導出至 CSV 檔案。 透過這項變更，您現在可以從 Intune 中的提高許可權報表匯出所有事件。

端點許可權管理現在可在最上層功能表上使用提升許可權的存取選項來執行，以供 Windows 11

[以提升的存取權執行] 的 [端點許可權管理] 選項現在可在 Windows 11 裝置上以最上層的滑鼠右鍵按鍵按兩下選項提供。 在此變更之前，標準用戶必須選取 [顯示更多選項]，才能在 Windows 11 裝置上檢視 [以提升許可權的存取權執行] 提示。

端點許可權管理可作為 Intune 附加元件。 如需詳細資訊，請參閱使用 Intune Suite 附加元件功能。

適用於：

• Windows 11

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText， Inc. (iOS)
• MyQ 擴充：OCR 掃描器 PDF by MyQ spol。 s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile by Vbrick Systems

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

Microsoft Intune 疑難解答窗格現已正式推出

Intune 疑難解答窗格現已正式推出。 它提供使用者裝置、原則、應用程式和狀態的詳細數據。 疑難解答窗格包含下列資訊：

• 原則、合規性和應用程式部署狀態的摘要。
• 支援匯出、篩選和排序所有報表。
• 支持藉由排除原則和應用程式來篩選。
• 支援篩選至使用者的單一裝置。
• 可用裝置診斷和停用裝置的詳細數據。
• 離線裝置的詳細數據，這些裝置已存回服務三天以上。

您可以選取 [疑難解答 + 支援>疑難解答]，在系統管理中心 Microsoft Intune 找到 [疑難解答] 窗格。

已在 Intune 中更新疑難解答 + 支援窗格

Intune 系統管理中心的 [疑難解答 + 支援] 窗格已藉由將 [角色和範圍] 報表合併成單一報表來更新。 此報告現在包含來自 Intune 和 Microsoft Entra ID 的所有相關角色和範圍數據，提供更精簡且有效率的體驗。 如需相關信息，請 參閱使用疑難解答儀錶板來協助您公司的使用者。

下載行動應用程式診斷

現已正式推出，可在 Intune 系統管理中心存取使用者提交的行動應用程式診斷，包括透過 公司入口網站 應用程式傳送的應用程式記錄，包括 Windows、iOS、Android、Android AOSP 和 macOS。 此外，您可以透過 Microsoft Edge 擷取應用程式保護記錄。 如需詳細資訊，請參閱 公司入口網站 應用程式記錄和使用適用於iOS和Android的 Microsoft Edge 來存取受控應用程式記錄。

2023 年 6 月 12 日當周

裝置管理

Android 開放原始碼裝置的 Microsoft Intune 支援HTC和 Pico 的新裝置

Microsoft Intune AOSP) (Android 開放原始碼 項目裝置現在支援下列裝置：

• HTC Vive XR Elite
• Pico Neo 3 專業版
• Pico 4

如需詳細資訊，請參閱：

• Microsoft Intune 支援的作業系統和瀏覽器

• Android 開放原始碼專案支援的裝置

適用於：

• Android (AOSP)

應用程式管理

商務用 Microsoft Store 或 教育用 Microsoft Store

從 商務用 Microsoft Store 或 教育用 Microsoft Store 新增的應用程式不會部署到裝置和使用者。 應用程式在報表中顯示為「不適用」。 已部署的應用程式不會受到影響。 使用 新的 Microsoft 市集應用程式 ，將Microsoft市集應用程式部署到裝置或使用者。 如需相關信息，請參閱規劃變更：針對即將推出的日期終止 商務用 Microsoft Store 和教育應用程式的支持，當 商務用 Microsoft Store 應用程式將不再部署且 商務用 Microsoft Store 應用程式將會移除時。

如需詳細資訊，請參閱下列資源：

• 更新以 Intune 與 Windows 上的 Microsoft 市集整合
• 使用 Intune 來接受Microsoft市集的未來：逐步指南
• 透過教育用 Intune 來接受Microsoft市集的未來：逐步指南

2023 年 6 月 5 日當周

裝置設定

Android Enterprise 11+ 裝置可以使用 Zebra 的最新 OEMConfig 應用程式版本

在 Android Enterprise 裝置上，您可以使用 OEMConfig 在 Microsoft Intune 中新增、建立及自定義 OEM 特定設定 (裝置>管理裝置>>設定 為平臺 >OEMConfig) 建立>新原則>Android Enterprise。

有一個新的 Zebra OEMConfig 由 MX OEMConfig 應用程式提供技術支援，可更貼近 Google 的標準。 此應用程式支援Android Enterprise 11.0和更新版本的裝置。

舊 版的 Zebra OEMConfig 應用程式會繼續支援具有 Android 11 和更舊版本的裝置。

在受控Google Play中，有兩個版本的 Zebra OEMConfig 應用程式。 請務必選取適用於 Android 裝置版本的正確應用程式。

如需 OEMConfig 和 Intune 的詳細資訊，請參閱在 Microsoft Intune 中搭配 OEMConfig 使用和管理 Android Enterprise 裝置。

適用於：

• Android Enterprise 11.0 和更新版本

2023年5月29日當周

裝置管理

Intune UI 會針對適用於 適用於端點的 Microsoft Defender 案例的安全性管理，將 Windows Server 裝置顯示為不同於 Windows 用戶端

若要支援 適用於端點的 Microsoft Defender 安全性管理 (MDE 安全性設定) 案例，Intune 現在會將 Microsoft Entra ID 中的 Windows 裝置區分為執行 Windows Server 的裝置為 Windows Server，或將 Windows 區分為執行 Windows Server 的裝置Windows 10 或 Windows 11。

透過這項變更，您可以改善 MDE 安全性設定的原則目標。 例如，您可以使用僅包含 Windows Server 裝置的動態群組，或僅 (Windows 10/11) 的 Windows 用戶端裝置。

如需這項變更的詳細資訊，請參閱 Intune 客戶成功部落格 Windows Server 裝置現在已在 Microsoft Intune、Microsoft Entra ID 和適用於端點的 Defender 中辨識為新的操作系統。

租使用者管理

Windows 11 的組織訊息現已正式推出

使用組織訊息將品牌化的個人化行動呼叫傳遞給員工。 透過 15 種不同語言的裝置上線和生命週期管理，從支援員工的超過 25 則訊息中選取。 訊息可以指派給 Microsoft Entra 用戶群組。 它們會顯示在任務列的正上方、通知區域中，或在執行 Windows 11 之裝置上的 [開始使用] 應用程式中。 訊息會根據您在 Intune 中設定的頻率繼續出現或重新出現，直到使用者流覽自定義 URL 為止。

此版本中新增的其他功能包括：

• 在第一則訊息之前確認授權需求。
• 選擇任務列訊息的八個新主題。
• 為訊息提供自定義名稱。
• 新增範圍群組和範圍標籤。
• 編輯排程訊息的詳細數據。

組織訊息先前無法使用範圍標籤。 新增範圍標籤支援后，Intune 會將預設範圍標籤新增至2023年6月之前建立的每個訊息。 想要存取這些訊息的系統管理員必須與具有相同標籤的角色相關聯。 如需可用功能及如何設定組織訊息的詳細資訊，請參閱 組織訊息概觀。

2023 年 5 月 22 日當周 (Service 2305)

應用程式管理

更新為macOS殼層腳本運行時間上限

根據客戶的意見反應，我們會更新 macOS (2305.019 版的 Intune 代理程式，) 將腳本運行時間上限延長至 60 分鐘。 先前，適用於macOS的 Intune代理程式只允許殼層腳本執行最多15分鐘，再將腳本回報為失敗。 macOS 2206.014 和更新版本的 Intune 代理程序支援 60 分鐘的逾時。

指派篩選器支援應用程式保護原則和應用程式設定原則

指派篩選器支援 MAM 應用程式保護原則和應用程式設定原則。 當您建立新的篩選條件時，可以使用下列屬性微調 MAM 原則目標：

• 裝置管理類型
• 裝置製造商
• 裝置型號
• 作業系統版本
• 應用程式版本
• MAM 用戶端版本

重要事項

所有使用 裝置類型 目標的新應用程式保護原則和已編輯的應用程式保護原則，都會取代為指派篩選條件。

如需篩選的詳細資訊，請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。

更新至 Intune 中的 MAM 報告

MAM 報告已經過簡化和徹底修改，現在使用 Intune 的最新報告基礎結構。 其優點包括改善數據精確度和立即更新。 您可以選取 [應用程式>監視器]，在 Microsoft Intune 系統管理中心找到這些簡化的 MAM 報告。 您可以使用的所有 MAM 資料都包含在新的 應用程式防護 狀態報表和應用程式組態狀態報表中。

全域無訊息時間應用程式原則設定

全域無訊息時間設定可讓您建立原則，為終端使用者排程無訊息時間。 這些設定會Microsoft iOS/iPadOS 和 Android 平臺上的 Outlook 電子郵件和 Teams 通知自動設為靜音。 這些原則可用來限制在工作時間之後收到的使用者通知。 如需詳細資訊，請參閱 無訊息時間通知原則。

裝置設定

在 遠端說明 中導入增強式聊天

介紹與 遠端說明的增強式聊天。 使用全新和增強的聊天，您可以維護所有訊息的連續線程。 此聊天提供特殊字元和其他語言的支援，包括中文和阿拉伯文。

如需 遠端說明 的詳細資訊，請參閱 遠端說明。

適用於：

• Windows 10/11

遠端說明 系統管理員可以參考稽核記錄會話

針對 遠端說明，除了現有的會話報告之外，系統管理員現在還可以參考在 Intune 中建立的稽核記錄會話。 此功能可讓系統管理員參考過去的事件，以進行疑難解答和分析記錄活動。

如需 遠端說明 的詳細資訊，請參閱 遠端說明。

適用於：

• Windows 10
• Windows 11

使用設定目錄在 Windows 11 裝置上開啟/關閉個人資料加密

設定目錄包含數百個您可以設定及部署到裝置的設定。

在設定目錄中，您可以開啟/關閉 PDE) (個人資料加密 。 PDE 是 Windows 11 22H2 版中引進的安全性功能，可為 Windows 提供更多加密功能。

PDE 與 BitLocker 不同。 PDE 會加密個別檔案和內容，而不是整個磁碟區和磁碟。 您可以使用 PDE 搭配其他加密方法，例如 BitLocker。

如需設定目錄的詳細資訊，請參閱：

• 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定
• 您可以在 Intune 中使用 [設定目錄] 來完成的一般工作

本功能適用於：

• Windows 11

Visual Studio ADMX 設定位於 [設定目錄] 和 [系統管理範本] 中

Visual Studio 設定包含在 ADMX) (設定目錄和系統管理範本中。 先前，若要在 Windows 裝置上設定 Visual Studio 設定，您可以使用 ADMX 匯入匯入這些設定。

如需這些原則類型的詳細資訊，請參閱：

• 使用設定目錄來設定設定
• 使用 Windows 10/11 範本在 Microsoft Intune 中設定群組原則設定
• (ADMX) 的 Visual Studio 系統管理範本

適用於：

• Windows 10
• Windows 11

組策略分析支援範圍標籤

在 群組原則 分析中，您會匯入內部部署 GPO。 此工具會分析您的 GPO，並顯示可 (且無法) 用於 Intune 的設定。

當您在 Intune 中匯入 GPO XML 檔案時，您可以選取現有的範圍標籤。 如果您未選取範圍標籤，則會自動選取 [預設 範圍] 標籤。 先前，當您匯入 GPO 時，指派給您的範圍標籤會自動套用至 GPO。

只有該範圍標籤內的系統管理員才能看到匯入的原則。 不在該範圍標籤中的系統管理員看不到匯入的原則。

此外，在其範圍標籤內的系統管理員可以移轉他們有權查看的匯入原則。 若要將匯入的 GPO 移轉至設定目錄原則，範圍標籤必須與匯入的 GPO 相關聯。 如果範圍標籤沒有關聯，則無法移轉至 [設定目錄] 原則。 如果未選取範圍標籤，則會自動套用預設範圍標籤。

如需範圍標籤和 群組原則 分析的詳細資訊，請參閱：

• 在 Microsoft Intune 中使用 群組原則 分析來分析內部部署 GPO
• 使用匯入的 GPO 建立設定類別目錄原則
• 請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

介紹 Intune 與 Zebra Lifeguard 無線服務整合 (公開預覽)

現在可在公開預覽版中使用，Microsoft Intune 支援與 Zebra Lifeguard 無線服務整合，可讓您透過無線方式將 OS 更新和安全性修補程式傳遞給已向 Intune 註冊的合格 Zebra 裝置。 您可以選取想要部署的韌體版本、設定排程，以及錯開更新下載和安裝。 您也可以設定更新發生時機的最小電池、充電狀態和網路條件需求。

適用於執行 Android 8 或更新版本且需要具有 Zebra 帳戶的 Android Enterprise 專用和完全受控 Zebra 裝置。

具有工作配置檔之 Android Enterprise 個人擁有裝置的新 Google 網域允許清單設定

在具有工作配置檔的 Android Enterprise 個人擁有裝置上，您可以設定限制裝置功能和設定的設定。

目前有 [ 新增和移除帳戶 ] 設定，可允許將Google帳戶新增至工作配置檔。 針對此設定，當您選取[ 允許所有帳戶類型] 時，您也可以設定：

• Google 網域允許清單：限制使用者只在工作配置檔中新增特定 Google 帳戶網域。 您可以匯入允許的網域清單，或使用 contoso.com 格式將其新增至系統管理中心。 保留空白時，根據預設，OS 可能會允許在工作配置檔中新增所有 Google 網域。

如需您可以設定之設定的詳細資訊，請參閱 Android Enterprise 裝置設定清單，以使用 Intune 來允許或限制個人擁有裝置上的功能。

適用於：

• 具有工作配置檔的Android Enterprise 個人擁有裝置

將主動式補救重新命名為補救並移至新位置

主動式補救現在已進行補救，並可從 裝置>補救取得。 您仍然可以在新的位置和現有的報>表端點分析位置中找到補救，直到下一個 Intune 服務更新為止。

新的 裝置體驗預覽版目前無法使用補救。

適用於：

• Windows 10
• Windows 11

美國政府 GCC High 和 DoD 的 Intune 現已提供補救

美國政府 GCC High 和 DoD 的 Microsoft Intune 現已提供先前稱為主動式補救) 的補救 (。

適用於：

• Windows 10
• Windows 11

在 Windows 裝置上建立 VPN 設定檔的輸入和輸出網路流量規則

注意事項

此設定即將在未來的版本中推出，可能是 2308 Intune 版本。

您可以建立裝置組態配置檔，將 VPN 連線部署到裝置 (> 裝置管理裝置>>設定建立>新原則>Windows 10 及更新版本，以供配置檔類型) 的平台>範本>VPN 使用。

在此 VPN 連線中，您可以使用 [應用程式] 和 [流量規則 ] 設定來建立網路流量規則。

您可以設定新的 [方向 ] 設定。 使用此設定可允許來自 VPN 連線的輸入和輸出流量：

• 輸出 (預設) ：只允許使用 VPN 流向外部網路/目的地的流量。 輸入流量遭到封鎖，無法進入 VPN。
• 輸入：只允許來自外部網路/來源的流量使用 VPN 進行流動。 輸出流量遭到封鎖，無法進入 VPN。

如需您可以設定之 VPN 設定的詳細資訊，包括網路流量規則設定，請參閱使用 Intune 新增 VPN 連線的 Windows 裝置設定。

適用於：

• Windows 10 和更新版本

macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置管理裝置>>>] [設定] 中看到這些設定：針對配置檔類型建立>平臺>設定目錄的新>原則macOS。

>Microsoft Defender 防病毒軟體引擎：

• 在封存盤案內掃描
• 啟用檔案哈希計算

適用於：

• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

抹除適用於 macOS 的裝置動作和新的抹除行為設定

您現在可以使用 [抹除 裝置] 動作，而不是針對macOS裝置使用 [清除]。 您也可以在抹除動作中設定 [抹除行為] 設定。

這個新的金鑰可讓您控制具有 Apple Silicon 或 T2 安全性晶片之 Mac 上的抹除後援行為。 若要尋找此設定，請流覽至 [裝置>依據平臺>] macOS> [選取裝置] > [裝置] [裝置動作] 區域中的 [概觀>抹除]。

如需 [抹除行為] 設定的詳細資訊，請移至 Apple 的平臺部署網站 清除 Apple 裝置 - Apple 支援。

適用於：

• macOS

裝置註冊

適用於 iOS/iPadOS 15+ 裝置的帳戶驅動 Apple 用戶註冊， (公開預覽)

Intune 支援帳戶驅動的用戶註冊，這是iOS/iPadOS 15+ 裝置的Apple用戶註冊全新且改良的變化。 現在可供公開預覽，新選項會利用 Just-In-Time 註冊，這樣就不需要在註冊期間 公司入口網站 應用程式。 裝置使用者可以直接在 [設定] 應用程式中起始註冊，進而提供更短且更有效率的上線體驗。 您可以使用使用 公司入口網站 的現有配置檔型用戶註冊方法，繼續以 iOS/iPadOS 裝置為目標。 執行 iOS/iPadOS 14.8.1 版和更早版本的裝置不會受到此更新的影響，而且可以繼續使用現有的方法。 如需詳細資訊， 請參閱設定帳戶驅動的Apple用戶註冊。

裝置安全性

Microsoft 365 Office Apps 的新安全性基準

我們發行了新的安全性基準，可協助您管理 M365 Office Apps 的安全性設定。 這個新的基準會使用更新的範本和體驗，使用 Intune 設定目錄中所見的統一設定平臺。 您可以檢視新基準中的設定清單，Microsoft 365 Apps Office) (企業基準設定。

新的 Intune 安全性基準格式會對齊設定的呈現，這些設定可供 Intune 設定目錄中找到的設定使用。 此對齊有助於解決過去針對可能會造成衝突之設定的名稱和實作設定問題。 新格式也會改善 Intune 系統管理中心內基準的報告體驗。

Microsoft 365 Office Apps 基準可協助您快速地將設定部署至 Office 應用程式，以符合 office 和安全性小組在 Microsoft 的安全性建議。 如同所有基準，預設基準代表建議的組態。 您可以修改預設基準，以符合組織的需求。

若要深入瞭解，請參閱 安全性基準概觀。

適用於：

• Windows 10
• Windows 11

Microsoft Edge 112 版的安全性基準更新

我們發行了適用於 Microsoft Edge 版本 112 的新版本 Intune 安全性基準。 除了針對 Microsoft Edge 發行這個新版本之外，新基準還會使用更新的範本體驗，使用 Intune 設定目錄中所見的統一設定平臺。 您可以檢視新基準中的設定清單，網Microsoft Edge 基準設定 (版本 112 和更新版本) 。

新的 Intune 安全性基準格式會對齊設定的呈現，這些設定可供 Intune 設定目錄中找到的設定使用。 此對齊有助於解決過去針對可能會造成衝突之設定的名稱和實作設定問題。 新格式也會改善 Intune 系統管理中心內基準的報告體驗。

現在新的基準版本已可供使用，您為 Microsoft Edge 建立的所有新配置檔都會使用新的基準格式和版本。 雖然新版本會成為預設基準版本，但您可以繼續使用先前為舊版 Microsoft Edge 建立的配置檔。 但是，您無法為舊版的 Microsoft Edge 建立新的配置檔。

若要深入瞭解，請參閱 安全性基準概觀。

適用於：

• Windows 10
• Windows 11

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Achievers by Achievers Inc.
• Board.Vision for iPad by Trusted Services PTE。 有限公司。
• Global Relay by Global Relay Communications Inc.
• Incorta () by Incorta， Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon (iOS) Intune 的 Klaxoon

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2023 年 5 月 8 日當周

裝置設定

裝置韌體設定介面 (DFCI) 支援 Dynabook 裝置

針對 Windows 10/11 裝置，您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定。 在 Microsoft Intune 系統管理中心中，針對配置檔類型選取 [裝置>管理裝置>>設定] [建立>新原則>Windows 10 及更新版本] 作為 [平台>範>本裝置韌體設定介面]。

某些執行 Windows 10/11 的 Dynabook 裝置已針對 DFCI 啟用。 請連絡您的裝置廠商或裝置製造商以取得合格的裝置。

如需 DFCI 設定檔的詳細資訊，請參閱：

• 在 windows 裝置上設定裝置韌體設定介面 (DFCI) 配置檔 Microsoft Intune
• 使用 Windows Autopilot 進行裝置韌體設定介面 (DFCI) 管理

適用於：

• Windows 10
• Windows 11

透過下載伺服器對 Windows 計算機進行 eSIM 大量啟用現已可在 [設定目錄] 上取得

您現在可以使用 [設定目錄] 來大規模設定 Windows eSIM 計算機。 下載伺服器 (SM-DP+) 是使用組態配置檔來設定。

一旦裝置收到設定，它們就會自動下載 eSIM 配置檔。 如需詳細資訊，請參閱 下載伺服器的 eSIM 設定。

適用於：

• Windows 11
• 支援 eSIM 的裝置

2023年5月1日當周

應用程式管理

macOS 殼層腳本運行時間上限

我們已修正會導致 Intune 具有長時間執行殼層腳本的租用戶無法回報腳本執行狀態的問題。 macOS Intune 代理程式會停止任何運行時間超過 15 分鐘的 macOS 殼層腳本。 這些腳本會回報為失敗。 新的行為會從 macOS Intune 代理程式 2305.019 版強制執行。

適用於 macOS 的 DMG 應用程式安裝

適用於 macOS 的 DMG 應用程式安裝功能現已正式推出。 Intune 支援 DMG 應用程式的必要和卸載指派類型。 macOS 的 Intune 代理程式可用來部署 DMG 應用程式。

淘汰 商務用 Microsoft Store和教育版

Microsoft Intune 系統管理中心不再提供 商務用 Microsoft Store 連接器。 從 商務用 Microsoft Store 或 教育用 Microsoft Store 新增的應用程式不會與 Intune 同步。 先前同步處理的應用程式仍可繼續使用，並部署至裝置和使用者。

現在也可以從 Microsoft Intune 系統管理中心的 [應用程式] 窗格中刪除 商務用 Microsoft Store 應用程式，以便在移至新Microsoft市集應用程式類型時清除您的環境。

如需相關信息，請參閱規劃變更：當 商務用 Microsoft Store 應用程式不會部署及移除 商務用 Microsoft Store 應用程式時，針對即將推出的日期終止 商務用 Microsoft Store 和教育應用程式的支援。

裝置設定

遠端說明 現在支持條件式存取功能

系統管理員現在可以在設定 遠端說明 的原則和條件時，利用條件式存取功能。 例如，多重要素驗證、安裝安全性更新，以及鎖定特定區域或IP位址的 遠端說明存取。

如需詳細資訊，請參閱：

• 條件式存取
• 遠端說明

裝置安全性

已更新端點安全性防病毒軟體原則中 Microsoft Defender 的設定

我們已更新端點安全性防病毒軟體原則 Microsoft Defender 防病毒軟體配置檔中的可用設定。 您可以在端點安全>性防病毒>軟體平臺：Windows 10、Windows 11 和 Windows Server>Profile：Microsoft Defender 防病毒軟體的 Intune 系統管理中心找到此配置檔。

• 已新增下列設定：

  • 計量付費連線 匯報
  • 停用 Tls 剖析
  • 停用 Http 剖析
  • 停用 Dns 剖析
  • 停用透過 Tcp 剖析的 DNS
  • 停用 Ssh 剖析
  • 平臺 匯報 通道
  • 引擎 匯報 通道
  • 資訊安全情報 匯報 通道
  • 允許網路保護向下層級
  • 允許在 Win Server 上處理數據報
  • 啟用 Dns 接收洞

  如需這些設定的詳細資訊，請參閱 Defender CSP。 新的設定也可透過 Intune 設定目錄取得。

• 下列設定已被取代：

  • 允許入侵預防系統

  此設定現在會顯示為 [ 已淘汰] 標籤。 如果先前已在裝置上套用此已被取代的設定，則設定值會更新為 NotApplicable ，且不會影響裝置。 如果是在裝置上設定此設定，則不會影響裝置。

適用於：

• Windows 10
• Windows 11

2023 年 4 月 17 日當周 (Service 2304)

應用程式管理

iOS/iPadOS 和 macOS 裝置上 iCloud 應用程式備份和還原行為的變更

作為應用程式設定，您可以選取 [防止 iOS/iPadOS 和 macOS 裝置的 iCloud 應用程式備份 ]。 您無法備份 iOS/iPadOS 上的受控 App Store 應用程式和企業營運 (LOB) 應用程式，以及 macOS 裝置上的受控 App Store 應用程式， (macOS LOB 應用程式不支援此功能) ，適用於使用者和裝置授權的 VPP/非 VPP 應用程式。 此更新包含隨附和不含 VPP 傳送的全新和現有 App Store/LOB 應用程式，這些應用程式會新增至 Intune，並以使用者和裝置為目標。

防止備份指定的受控應用程式，可確保在裝置註冊並從備份還原時，可以透過 Intune 正確部署這些應用程式。 如果系統管理員為其租使用者中的新或現有應用程式設定這個新設定，則受控應用程式可以且將會針對裝置重新安裝。 但是，Intune 不允許備份它們。

此新設定會透過修改應用程式的屬性，出現在系統管理中心 Microsoft Intune。 針對現有的應用程式，您可以選取 [應用程式>iOS/iPadOS] 或 [macOS>] 選取應用程式> [屬性>指派編輯]。 如果未設定群組指派，請選取 [ 新增群組 ] 以新增群組。 修改 VPN 下的設定、 移除裝置時卸載，或 安裝為卸載式。 然後，選 取 [防止 iCloud 應用程式備份]。 [防止 iCloud 應用程式備份] 設定是用來防止備份應用程式的應用程式數據。 設定為 [否 ] 以允許 iCloud 備份應用程式。

如需詳細資訊，請參閱變更 iOS/iPadOS 和 macOS 裝置上的應用程式備份和還原行為，以及使用 Microsoft Intune 將應用程式指派給群組。

防止 Apple VPP 應用程式的自動更新

您可以使用 [防止自動更新] 設定，在每個應用程式指派層級控制Apple VPP 的自動更新 行為。 選取 [應用程式>iOS/iPadOS 或macOS>選取大量採購方案應用程式>>內容指派>][選取 Microsoft Entra群組>應用程式設定，即可在Microsoft Intune系統管理中心取得此設定。

適用於：

• iOS/iPadOS
• macOS

裝置設定

匯報 至 macOS 設定目錄

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置管理裝置>>>設定] 中看到這些設定：針對配置檔類型建立>平臺>設定目錄的新>原則macOS。

新的設定位於：

Microsoft AutoUpdate (MAU) > [目標應用程式]：

• 更新通道覆寫

下列設定已被取代：

Microsoft AutoUpdate (MAU) > [目標應用程式]：

• (已被取代的)

隱私 > 隱私權喜好設定原則控制 > 服務 > 接聽事件或螢幕擷取：

• 允許

適用於：

• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請移至使用設定目錄建立原則。

適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式現已正式推出

在 Microsoft Intune 中，有一個 Microsoft Enterprise SSO 外掛程式。 此外掛程式提供單一登錄 (SSO) 給使用 Microsoft Entra ID 進行驗證的 iOS/iPadOS 和 macOS 應用程式和網站。

此外掛程式現已正式推出 (GA) 。

如需在 Intune 中為 Apple 裝置設定 Microsoft Enterprise SSO 外掛程式的詳細資訊，請移至 Microsoft Enterprise SSO 外掛程式 Microsoft Intune。

適用於：

• iOS/iPadOS
• macOS

停用受監督 macOS 裝置的啟用鎖定裝置動作

您現在可以在 Intune 中使用 [停用啟用鎖定] 裝置動作，略過 Mac 裝置上的啟用鎖定，而不需要目前的使用者名稱或密碼。 此新動作可在 [裝置>依據平臺>] macOS> 選取其中一個列出的裝置 > [停用啟用鎖定] 中取得。

如需管理啟用鎖定的詳細資訊，請參閱使用 Intune 略過 iOS/iPadOS 啟用鎖定，或在 Apple 網站上的 iPhone、iPad 和 iPod 觸控啟用鎖定 - Apple 支援。

適用於：

• macOS 10.15 或更新版本

ServiceNow 整合現已正式推出 (GA)

現在已正式推出，您可以檢視與您在 [疑難解答] 工作區中選取之使用者相關聯的 ServiceNow 事件清單 Intune。 這項新功能可在 [ 疑難解答 + 支援]> 底下選取使用者 >ServiceNow 事件。 顯示的事件會直接連結回來源事件，並顯示事件的重要資訊。 列出的所有事件都會連結事件中識別的「來電者」，並選取用戶進行疑難解答。

如需詳細資訊，請移至 使用疑難解答入口網站來協助您公司的使用者。

支援系統管理員控制組織訊息傳遞的更多許可權

透過更多許可權，系統管理員可以控制從組織訊息建立和部署的內容傳遞，以及將內容從Microsoft傳遞給使用者。

組織訊息的 更新組織訊息控制 RBAC 許可權決定誰可以變更 [組織訊息] 切換來允許或封鎖Microsoft直接訊息。 此許可權也會新增至 組織訊息管理員 內建角色。

管理組織訊息的現有自定義角色必須經過修改，才能為使用者新增修改此設定的許可權。

• 如需角色型訪問控制 (RBAC) 的詳細資訊，請參閱具有 Microsoft Intune 的 RBAC。
• 如需組織訊息必要條件的詳細資訊，請參閱 組織訊息必要條件。

裝置管理

ICMP 類型的端點安全性防火牆規則支援

您現在可以使用 IcmpTypesAndCodes 設定來設定 因特網控制訊 息通訊協定的輸入和輸出規則， (ICMP) 作為防火牆規則的一部分。 此設定可在 Windows 10、Windows 11 和 Windows Server 平臺的 Microsoft Defender 防火牆規則配置檔中取得。

適用於：

• Windows 11 及更新版本

使用公開預覽 (Intune 原則管理 Windows LAPS)

現在可在公開預覽版中使用，請使用 Microsoft Intune 帳戶保護原則來管理 Windows 本機系統管理員密碼解決方案 (Windows LAPS) 。 若要開始使用，請參閱 Intune Windows LAPS 的支援。

Windows LAPS 是一項 Windows 功能，可讓您在 Microsoft Entra 加入或 Windows Server Active Directory 加入的裝置上管理和備份本機系統管理員帳戶的密碼。

若要管理 LAPS，Intune 設定 Windows LAPS 設定服務提供者 (內建於 Windows 裝置的 CSP) 。 其優先順序高於其他 Windows LAPS 設定來源，例如 GPO 或Microsoft舊版 LAPS 工具。 Intune 管理 Windows LAPS 時，您可以使用的一些功能包括：

• 定義密碼需求，例如套用至裝置上本機系統管理員帳戶的複雜度和長度。
• 設定裝置依排程輪替其本機系統管理員帳戶密碼。 此外，在您的 Microsoft Entra ID 或 內部部署的 Active Directory 中備份帳戶和密碼。
• 使用系統管理中心的 Intune 裝置動作，根據您自己的排程手動輪替帳戶的密碼。
• 從 Intune 系統管理中心內檢視帳戶詳細數據，例如帳戶名稱和密碼。 此資訊可協助您復原無法存取的裝置。
• 使用 Intune 報告來監視您的 LAPS 原則，以及裝置上次手動或依排程輪替密碼的時間。

適用於：

• Windows 10
• Windows 11

macOS 軟體更新原則可用的新設定

macOS 軟體更新原則現在包含下列設定，可協助管理在裝置上安裝更新的時機。 當 [ 所有其他更新] 更新 類型設定為 [ 稍後安裝] 時，即可使用這些設定：

• 最大使用者延遲：當 [所有其他更新] 更新 類型設定為 [ 稍後安裝] 時，此設定可讓您指定使用者在安裝次要操作系統更新之前可以延遲的次數上限。 系統會每天提示使用者一次。 適用於執行macOS 12和更新版本的裝置。

• 優先順序：當 所有其他更新更新 類型設定為 [稍後安裝] 時，此設定可讓您針對下載和準備次要OS更新的排程優先順序，指定 [低 ] 或 [ 高 ] 值。 適用於執行macOS 12.3和更新版本的裝置。

如需詳細資訊，請參閱使用 Microsoft Intune 原則來管理macOS軟體更新。

適用於：

• macOS

新合作夥伴入口網站頁面簡介

您現在可以從我們的合作夥伴入口網站頁面管理 HP 或 Surface 裝置上的硬體特定資訊。

HP 連結會帶您前往 HP Connect，您可以在其中更新、設定及保護 HP 裝置上的 BIOS。 Microsoft Surface連結會帶您前往 Surface 管理入口網站，您可以在其中取得裝置合規性、支援活動和保固涵蓋範圍的深入解析。

若要存取合作夥伴入口網站頁面，您必須啟用 [裝置] 窗格預覽，然後流覽至 [ 裝置>合作夥伴入口網站]。

Windows Update 應用程式和驅動程式的相容性報告現已正式推出

下列 Microsoft Intune Windows Update 相容性的報告已不在預覽狀態，且現已正式推出：

• Windows 功能更新裝置整備報告 - 此報告提供與所選 Windows 版本升級或更新相關聯之相容性風險的每個裝置資訊。

• Windows 功能更新相容性風險報告 - 此報告提供您組織中所選 Windows 版本之最高相容性風險的摘要檢視。 您可以使用此報告來瞭解哪些相容性風險會影響組織中最多數量的裝置。

這些報告可協助您規劃從 Windows 10 升級至 11，或安裝最新的 Windows 功能更新。

裝置安全性

Microsoft Intune 端點權限管理 已正式推出

Microsoft端點許可權管理 (EPM) 現已正式推出，不再處於預覽狀態。

透過 端點許可權管理，系統管理員可以設定原則，讓標準使用者執行通常保留給系統管理員的工作。 若要這樣做，您可以設定 自動 和 使用者確認 工作流程的原則，以提升您所選應用程式或進程的運行時間許可權。 然後，您會將這些原則指派給使用者或裝置，這些使用者或裝置具有沒有系統管理員許可權執行的使用者或裝置。 在裝置收到原則之後，EPM 會代表使用者代理提高許可權，讓他們能夠提高核准的應用程式，而不需要完整的系統管理員許可權。 EPM 也包含內建的深入解析和報告。

現在 EPM 已不在預覽狀態，它需要另一個授權才能使用。 您可以選擇只新增 EPM 的獨立授權，或將 EPM 授權作為 Microsoft Intune Suite 的一部分。 如需詳細資訊，請參閱使用 Intune 套件附加元件功能。

雖然端點許可權管理現已正式推出， 但 EPM 的報 表將會轉換為 預覽中的功能，並會在從預覽中移除之前收到更多增強功能。

使用 Intune 防火牆規則原則支援 WDAC 應用程式標識碼標記

Intune 的 Microsoft Defender 防火牆規則配置檔，可作為端點安全性防火牆原則的一部分，現在包含原則應用程式標識符設定。 此設定會在 MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP 中說明，並支援指定 Windows Defender 應用程控 (WDAC) 應用程式識別符卷標。

透過這項功能，您可以將防火牆規則的範圍設定為應用程式或應用程式群組，並依賴 WDAC 原則來定義這些應用程式。 藉由使用標籤來連結和依賴 WDAC 原則，防火牆規則原則就不需要依賴絕對檔案路徑的防火牆規則選項，或使用可降低規則安全性的變數檔案路徑。

若要使用這項功能，您必須備妥包含AppId標籤的WDAC原則，然後您可以在 Intune Microsoft Defender 防火牆規則中指定這些標籤。

如需詳細資訊，請參閱 Windows Defender 應用程控檔中的下列文章：

• 關於 Windows 的應用程控
• WDAC 應用程式識別碼 (AppId) 標記指南

適用於：

• Windows 10/11

適用於 Intune 端點安全性受攻擊面縮小原則的新應用程式和瀏覽器隔離配置檔

我們發行了新的體驗，為端點安全性受攻擊面縮小原則建立新的 應用程式和瀏覽器隔離 配置檔。 編輯您先前建立的應用程式和瀏覽器隔離原則的體驗保持不變，您可以繼續使用它們。 此更新僅適用於您為 Windows 10 和更新版本平臺建立的新應用程式和瀏覽器隔離原則。

此更新是從 2022 年 4 月開始持續推出端點安全策略新配置檔的一部分。

此外，新的配置檔包含其所包含設定的下列變更：

• 封鎖來自非企業核准網站的外部內容 - 這項設定會從更新的配置檔中移除，因為只有 舊版 Microsoft Edge 支援。 舊版 Microsoft Edge 支援已於 2021 年 3 月終止。 Microsoft 365 應用程式表示不在 Internet Explorer 11，Windows 10 舊版 Microsoft Edge Microsoft 社群中樞。

• 剪貼簿檔類型 – 此設定會新增至更新的配置檔，並決定可從主機複製到 應用程式防護 環境的內容類型，反之亦然。 您可以在 WindowsDefenderApplicationGuard CSP 檔 的 Settings/ClipboardFileType 檢視此新設定的 CSP。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• ixArma by INAX-APPS (iOS)
• myBLDNG by Bldng.ai (iOS)
• RICOH Spaces V2 by Ricoh Digital Services
• Firstup - Intune 由 firstup， Inc. (iOS)

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

角色型存取控制

新增為組織訊息指派 (RBAC) 許可權

為組織訊息指派 RBAC 許可權會決定誰可以將目標 Microsoft Entra 群組指派給組織訊息。 若要存取 RBAC 許可權，請登入 Microsoft Intune 系統管理中心，然後移至租用戶系統管理>角色。

此許可權也會新增至 組織訊息管理員 內建角色。 管理組織訊息的現有自定義角色必須經過修改，才能為使用者新增修改此設定的許可權。

• 如需角色型訪問控制 (RBAC) 的詳細資訊，請參閱具有 Microsoft Intune 的 RBAC。
• 如需組織訊息必要條件的詳細資訊，請參閱 組織訊息必要條件。

租使用者管理

刪除組織訊息

您現在可以從 Microsoft Intune 刪除組織訊息。 刪除訊息之後，該訊息會從 Intune 中移除，且不再出現在系統管理中心。 您可以隨時刪除訊息，不論訊息的狀態為何。 Intune 刪除作用中的訊息之後，會自動取消這些訊息。 如需詳細資訊，請 參閱刪除組織訊息。

檢閱組織訊息的稽核記錄

使用稽核記錄來追蹤和監視 Microsoft Intune 中的組織訊息事件。 若要存取記錄，請登入 Microsoft Intune 系統管理中心，然後移至租使用者管理>稽核記錄。 如需詳細資訊，請參閱稽核 Intune 活動記錄。

2023年4月10日當周

裝置設定

現在已正式推出 Windows 10 多重會話 VM 的使用者設定支援

您現在可以：

• 使用 [ 設定] 目錄 設定使用者範圍原則，並指派給使用者群組。
• 設定用戶憑證並指派給使用者。
• 設定 PowerShell 腳本以在使用者內容中安裝，並指派給使用者。

適用於：

• Windows 10
• 在 Azure 公用和 Azure Government 雲端中建立的虛擬機

2023年4月3日當周

裝置設定

使用工作配置檔將Google帳戶新增至Android Enterprise個人擁有的裝置

在具有工作配置檔的 Android Enterprise 個人擁有裝置上，您可以設定限制裝置功能和設定的設定。 目前有 [ 新增和移除帳戶] 設定。 此設定可防止在工作配置檔中新增帳戶，包括防止Google帳戶。

此設定已變更。 您現在可以新增Google帳戶。 [新增和移除帳戶] 設定選項如下：

• 封鎖所有帳戶類型：防止使用者在工作配置檔中手動新增或移除帳戶。 例如，當您將 Gmail 應用程式部署到工作設定檔時，可以防止使用者新增或移除此工作設定檔中的帳戶。

• 允許所有帳戶類型：允許所有帳戶，包括Google帳戶。 這些 Google 帳戶會遭到封鎖，無法從受控 Google Play 商店安裝應用程式。

  這個設定需要：

  • Google Play 應用程式版本80970100或更新版本

• 允許所有帳戶類型，但 Google 帳戶 (預設) ：Intune 不會變更或更新此設定。 根據預設，OS 可能會允許在工作配置檔中新增帳戶。

如需您可以設定之設定的詳細資訊，請移至 [Android Enterprise 裝置設定] 清單，以允許或限制使用 Intune 的個人擁有裝置上的功能。

適用於：

• 具有工作配置檔的Android Enterprise 個人擁有裝置

2023 年 3 月 27 日當周

應用程式管理

更新 macOS DMG 應用程式

您現在可以使用 Intune 部署 (DMG) 更新類型 macOS 應用程式的應用程式。 若要編輯已在 Intune 中建立的 DMG 應用程式，請使用與原始 DMG 應用程式相同的套件組合識別碼上傳應用程式更新。 如需相關信息，請參閱將macOS DMG應用程式新增至 Microsoft Intune。

在預先布建期間安裝必要的應用程式

註冊狀態頁面 (ESP) 配置檔中提供新的切換，可讓您選取是否要在 Windows Autopilot 預先布建技術人員階段期間嘗試安裝必要的應用程式。 我們瞭解需要在預先布建期間盡可能安裝多個應用程式，以縮短使用者設定時間。 如果應用程式安裝失敗，ESP 會繼續執行，但 ESP 配置檔中指定的應用程式除外。 若要啟用此函式，您必須選取 [只有技術人員階段中選取的應用程式失敗] 的新設定上的 [是]，以編輯註冊狀態頁面配置檔。 只有當您已選取封鎖應用程式時，才會出現此設定。 如需 ESP 的相關信息，請移至 設定註冊狀態頁面。

2023 年 3 月 20 日當周 (Service 2303)

應用程式管理

Win32 應用程式的更多最低 OS 版本

Intune 在安裝 Win32 應用程式時支援更多 Windows 10 和 11 的最低作業系統版本。 在 Microsoft Intune 系統管理中心中，選取 [應用程式>][Windows>新增>Windows 應用程式 (Win32) ]。 在 [最低作業系統] 旁的 [需求] 索引標籤中，選取其中一個可用的作業系統。 其他作業系統選項包括：

• Windows 10 21H2
• Windows 10 22H2
• Windows 11 21H2
• Windows 11 22H2

管理 VPP 應用程式不再需要受控應用程式許可權

您只能使用指派的行動應用程式許可權來檢視和管理 VPP 應用程式 。 先前需要受 控應用程式 許可權，才能檢視和管理 VPP 應用程式。 這項變更不適用於仍然需要指派受控應用程式許可權的教育 Intune 租使用者。 如需有關 Intune 許可權的詳細資訊，請參閱自定義角色許可權。

裝置設定

macOS 設定目錄中可用的新設定和設定選項

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置管理裝置>>>設定] 中看到這些設定：針對配置檔類型建立>平臺>設定目錄的新>原則macOS。

新的設定包括：

>Microsoft Defender 竄改保護：

• 強制層級

Microsoft Office > Microsoft OneDrive：

• 自動上傳頻寬百分比
• 自動且無訊息地啟用資料夾備份功能， (稱為已知資料夾移動)
• 封鎖應用程式，防止其下載僅能線上使用的檔案
• 封鎖外部同步處理
• 停用自動登入
• 停用下載快顯通知
• 停用個人帳戶
• 停用教學課程
• 重新導向使用者的資料夾之後，向用戶顯示通知
• 啟用檔案隨選
• 啟用 Office 應用程式的同時編輯
• 強制使用者使用資料夾備份功能 (也稱為已知資料夾移動)
• 隱藏停駐圖示
• 忽略具名檔案
• 在資料夾備份中包含 ~/Desktop (也稱為已知資料夾移動)
• 在資料夾備份中包含 ~/Documents (也稱為已知資料夾移動)
• 登入時開啟
• 防止使用者使用資料夾備份功能 (也稱為已知資料夾移動)
• 提示使用者啟用資料夾備份功能， (也稱為已知資料夾移動)
• 設定最大下載輸送量
• 設定最大上傳輸送量
• SharePoint 優先順序
• SharePoint Server Front Door URL
• SharePoint Server 租用戶名稱

適用於：

• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請移至使用設定目錄建立原則。

新增自定義 Bash 腳本以設定 Linux 裝置

在 Intune 中，您可以新增現有的 Bash 腳本，以透過平臺> Linux腳稿) (> 裝置設定Linux> 裝置。

當您建立此腳本原則時，可以設定腳本在 (使用者或根) 中執行的內容、腳本執行的頻率，以及應該重試的次數。

如需此功能的詳細資訊，請移至使用自定義Bash腳本在 Microsoft Intune 中設定Linux裝置。

適用於：

• Linux Ubuntu Desktops

裝置註冊

支援 iOS/iPadOS 自動化裝置註冊 (公開預覽版的等候最終組態設定)

現在處於公開預覽狀態，Intune 支援在合格的新和現有iOS/iPadOS自動化裝置註冊配置檔中，稱為Await 最終設定的新設定。 此設定可在設定助理中啟用現成的鎖定體驗。 它會防止裝置使用者存取受限制的內容或變更裝置上的設定，直到安裝大部分 Intune 裝置設定原則為止。 您可以在現有的自動化裝置註冊配置檔中設定設定，或在新的配置檔中 (裝置>依據平臺>iOS/iPadOS>裝置上>線註冊註冊>計劃令牌>建立配置檔) 。 如需詳細資訊，請 參閱建立Apple註冊配置檔。

新設定可讓 Intune 系統管理員控制裝置對類別的對應

控制裝置類別提示在 Intune 公司入口網站 中的可見性。 您現在可以隱藏終端使用者的提示，並將裝置對類別的對應保留到 Intune 系統管理員。 新的設定可在系統管理中心的 [租使用者管理>自定義>裝置類別] 底下取得。 如需詳細資訊，請參閱裝置類別。

支援完全受控裝置的多個註冊配置檔和令牌

建立和管理 Android Enterprise 完全受控裝置的多個註冊配置檔和令牌。 透過這項新功能，您現在可以使用 EnrollmentProfileName 動態裝置屬性，自動將註冊配置檔指派給完全受控的裝置。 租用戶隨附的註冊令牌會保留在預設配置檔中。 如需詳細資訊，請參閱設定 Android Enterprise 完全受控裝置的 Intune 註冊。

iPad (公開預覽) 的新 Microsoft Entra 一線員工體驗

這項功能會在 4 月中開始向租使用者推出。

Intune 現在支援使用Apple自動裝置註冊的iPhone和iPad的第一線工作者體驗。 您現在可以註冊透過零觸控在 Microsoft Entra ID 共用模式中啟用的裝置。 如需如何為共用裝置模式設定自動化裝置註冊的詳細資訊，請參閱在共用裝置模式 Microsoft Entra 設定裝置的註冊。

適用於：

• iOS/iPadOS

裝置管理

記錄組態的端點安全性防火牆原則支援

您現在可以在 端點安全性防火牆原則 中設定設定防火牆記錄選項。 您可以在 Windows 10 和更新版本平臺的 Microsoft Defender 防火牆配置檔範本中找到這些設定，並適用於該範本中的網域、私人和公用配置檔。

以下是新的設定，全都可在 防火牆設定服務提供者中找到 (CSP) ：

• 啟用記錄成功 Connections
• 記錄檔路徑
• 啟用記錄卸除封包
• 啟用記錄忽略規則

適用於：

• Windows 11

行動寬頻 (MBB) 的端點安全性防火牆規則支援

端點安全性防火牆原則中的 [介面類型] 設定現在包含行動寬頻的選項。 介面類型適用於支援 Windows 之所有平臺 Microsoft Defender 防火牆規則配置檔。 如需使用此設定和選項的資訊，請參閱 防火牆設定服務提供者 (CSP) 。

適用於：

• Windows 10
• Windows 11

網路清單管理員設定的端點安全性防火牆原則支援

我們已將一組網路清單管理員設定新增至 端點安全性防火牆原則。 若要協助判斷 Microsoft Entra 裝置位於或不在內部部署網域子網上，您可以使用網路清單管理員設定。 此資訊可協助防火牆規則正確套用。

下列設定位於名為 Network List Manager 的新類別中，可在 Windows 10、Windows 11 和 Windows Server 平臺的 Microsoft Defender 防火牆配置檔範本中取得：

• 允許的 Tls 驗證端點
• 已設定 TLS 驗證網路名稱

如需網路分類設定的相關信息，請參閱 NetworkListManager CSP。

適用於：

• Windows 10
• Windows 11

系統管理中心的 [裝置] 區域改善 (公開預覽)

系統管理中心的 [裝置] 區域現在具有更一致的UI，具有更功能的控件和改良的瀏覽結構，讓您可以更快找到所需的資訊。 若要加入公開預覽版並試用新體驗，請移至 [ 裝置 ] 並翻轉頁面頂端的切換。 改善還包括：

• 以案例為焦點的新導覽結構。
• 平台樞紐的新位置，可建立更一致的流覽模型。
• 縮短旅程，協助您更快到達目的地。
• 監視和報告位於管理工作流程內，可讓您輕鬆存取重要計量和報表，而不需要離開工作流程。
• 在清單檢視之間以一致的方式搜尋、排序和篩選數據。

如需更新之 UI 的詳細資訊，請參閱在 Microsoft Intune 中試用新的裝置體驗。

裝置安全性

Microsoft Intune 端點權限管理 (公開預覽)

作為公開預覽版，您現在可以使用 Microsoft Intune 端點權限管理。 透過端點許可權管理，系統管理員可以設定原則，讓標準使用者執行通常保留給系統管理員的工作。 端點許可權管理可以在端點安全>性端點許可權管理的 Intune 系統管理中心設定。

使用公開預覽版，您可以設定 自動 和 使用者確認 工作流程的原則，以提升您所選應用程式或進程的運行時間許可權。 然後，您會將這些原則指派給使用者或裝置，這些使用者或裝置具有沒有系統管理員許可權執行的使用者或裝置。 收到原則之後，端點許可權管理會代表使用者代理提高許可權，讓他們能夠提高核准的應用程式，而不需要完整的系統管理員許可權。 預覽也包含端點許可權管理的內建深入解析和報告。

若要瞭解如何啟用公開預覽並使用端點許可權管理原則，請從使用端點許可權管理與 Microsoft Intune 開始。 端點許可權管理是 Intune Suite 供應專案的一部分，可在保持公開預覽狀態時免費試用。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• EVALARM by GroupKom GmbH (iOS)
• ixArma by INAX-APPS (Android)
• Seismic |由 Seismic Software， Inc. Intune
• Microsoft Viva Engage Microsoft (正式Microsoft Yammer)

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

端點許可權管理的診斷數據收集

為了支援端點許可權管理的發行，我們已更新 從 Windows 裝置收集診斷 ，以包含下列數據，這些數據是從啟用端點許可權管理的裝置收集而來：

• 登入機碼：

  • HKLM\SOFTWARE\Microsoft\EPMAgent

• 命令：

  • %windir%\system32\pnputil.exe /enum-drivers

• 記錄檔：

  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

檢視擱置和失敗組織訊息的狀態

我們已在組織訊息報告詳細數據中新增兩個狀態，讓您更輕鬆地在系統管理中心追蹤擱置和失敗的訊息。

• 擱置中：訊息尚未排程且目前正在進行中。
• 失敗：訊息因為服務錯誤而無法排程。

如需報告詳細數據的相關信息，請 參閱檢視組織訊息的報告詳細數據。

更多與租用戶連結裝置相關的報告資訊

您現在可以在 [端點安全性] 工作負載下的現有防病毒軟體報告中，檢視租使用者附加裝置的資訊。 新的數據行會區分由 Intune 管理的裝置，以及由 Configuration Manager 管理的裝置。 選取 [端點安全>性防病毒軟體] 即可在 Microsoft Intune 系統管理中心取得此報告資訊。

2023 年 3 月 13 日當周

裝置管理

Meta Quest 2 和 Quest Pro 目前僅 (Android 開放原始碼裝置的 Microsoft Intune 上) 開放式 Beta

(AOSP) 的 Android 開放原始碼 項目裝置 Microsoft Intune 歡迎 Meta Quest 2 和 Quest Pro 進入美國市場的開放式 Beta。

如需詳細資訊，請移至 Microsoft Intune 支援的作業系統和瀏覽器

適用於：

• Android (AOSP)

應用程式管理

適用於 Intune App SDK for Android 的受信任跟證書管理

如果您的 Android 應用程式需要內部部署或私人證書頒發機構單位所簽發的 SSL/TLS 憑證，以提供內部網站和應用程式的安全存取權，Intune Android 版 App SDK 現在支援憑證信任管理。 如需詳細資訊和範例，請 參閱受信任的跟證書管理。

UWP 應用程式的系統內容支援

除了用戶內容之外，您還可以從 Microsoft 市集應用程式部署 通用 Windows 平台 (UWP) 應用程式， ( 系統內容中的新) 。 如果已布建 的.appx 應用程式部署在系統內容中，則會針對每個登入的使用者自動安裝應用程式。 如果個別使用者卸載使用者內容應用程式，應用程式仍會顯示為已安裝，因為它仍在布建中。 此外，裝置上的任何使用者不得已安裝應用程式。 我們的一般建議是在部署應用程式時不要混合安裝內容。 來自 Microsoft 市集應用程式的 Win32 應用程式 (新的) 已支援系統內容。

2023 年 3 月 6 日當周

應用程式管理

將 Win32 應用程式部署至裝置群組

您現在可以將具有 可用 意圖的 Win32 應用程式部署到裝置群組。 如需詳細資訊，請參閱 Microsoft Intune 中的 Win32 應用程式管理。

裝置管理

Microsoft Intune 系統管理中心的新 URL

Microsoft Intune 系統管理中心有新的URL：https://intune.microsoft.com。 先前使用的 URL https://endpoint.microsoft.com會繼續運作，但會在 2023 年底重新導向至新的 URL。 建議您採取下列動作，以避免 Intune 存取和自動化腳本發生問題：

• 更新登入或自動化以指向 https://intune.microsoft.com。
• 視需要更新防火牆，以允許存取新的URL。
• 將新的 URL 新增至您的最愛和書籤。
• 通知技術服務人員並更新IT系統管理員檔。

租使用者管理

將 CMPivot 查詢新增至 Favorites 資料夾

您可以將經常使用的查詢新增至 CMPivot 中的 Favorites 資料夾。 CMPivot 可讓您透過租使用者附加快速評估 Configuration Manager 所管理裝置的狀態，並採取動作。 此功能與 Configuration Manager 控制台中已有的功能類似。 此新增功能可協助您將所有最常用的查詢保留在一個位置。 您也可以將標籤新增至查詢，以協助搜尋和尋找查詢。 儲存在 Configuration Manager 控制台中的查詢不會自動新增至 [我的最愛] 資料夾。 您必須建立新的查詢，並將其新增至此資料夾。 如需 CMPivot 的詳細資訊，請參閱 租使用者附加：CMPivot 使用方式概觀。

裝置註冊

[註冊狀態] 頁面現在支援新的Microsoft市集應用程式

ESP) (註冊狀態頁面現在支援 Windows Autopilot 期間的新Microsoft儲存應用程式。 此更新可為新的 Microsoft Store 體驗提供更好的支援，而且應該從 Intune 2303 開始推出至所有租使用者。 如需相關信息， 請參閱設定註冊狀態頁面。

2023年2月27日當周

裝置設定

支援在 Android Enterprise 公司擁有的完全受控和 Android Enterprise 公司擁有的工作配置檔裝置上尋找裝置

您現在可以在 Android Enterprise 公司擁有的完全受控和 Android Enterprise 公司擁有的工作配置文件裝置上使用「尋找裝置」。 透過這項功能，系統管理員可以視需要尋找遺失或遭竊的公司裝置。

在 Microsoft Intune 系統管理中心，您必須使用裝置組態配置檔開啟此功能 (裝置>管理裝置>設定>建立>適用於配置檔類型之平臺>裝置限制的新>原則Android Enterprise) 。

選 取 [尋找完全受控和公司擁有之工作配置檔 裝置的裝置 ] 切換開關上的 [允許]，然後選取適用的群組。 當您選取[裝置]，然後選取 [所有裝置] 時，請找出可用的裝置。 從您管理的裝置清單中，選取支援的裝置，然後選擇 [尋找裝置 遠端] 動作。

如需使用 Intune 尋找遺失或遭竊裝置的相關信息，請移至：

• 使用 Intune 尋找遺失或遭竊的裝置

適用於：

• Android Enterprise 公司擁有完全受控
• Android Enterprise 公司擁有的專用裝置
• Android Enterprise 公司擁有的工作配置檔

Intune 附加元件

Microsoft Intune Suite 可將任務關鍵性的進階端點管理和安全性功能提供給 Microsoft Intune。

您可以在租使用者管理> Intune 附加元件下的 Microsoft Intune 系統管理中心找到要 Intune 的附加元件。

如需詳細資訊，請參閱使用 Intune 套件附加元件功能。

在預覽 (Intune 疑難解答工作區中檢視 ServiceNow 事件)

在公開預覽中，您可以檢視與您在 [疑難解答] 工作區中選取之使用者相關聯的 ServiceNow 事件清單 Intune。 這項新功能可在 [ 疑難解答 + 支援]> 底下選取使用者 >ServiceNow 事件。 顯示的事件清單會直接連結回來源事件，並顯示事件的重要資訊。 列出的所有事件都會連結事件中識別的「來電者」，並選取用戶進行疑難解答。

如需詳細資訊，請移至 使用疑難解答入口網站來協助您公司的使用者。

裝置安全性

適用於 MAM 的 Microsoft Tunnel 現已正式推出

現在已不在預覽狀態且正式推出，您可以將 Microsoft Tunnel for Mobile Application Management 新增至您的租使用者。 MAM 的通道支援來自未註冊 Android 和 iOS 裝置的 連線。 此解決方案為您的租使用者提供輕量型 VPN 解決方案，可讓行動裝置存取公司資源，同時遵守您的安全策略。

此外，適用於 iOS 的 MAM 通道現在支援 Microsoft Edge。

先前，適用於 Android 和 iOS 的 MAM 通道處於公開預覽狀態且可供免費使用。 在此版本正式推出后，此解決方案現在需要附加元件授權才能使用。

如需授權詳細數據，請參閱 Intune 附加元件。

適用於：

• Android
• iOS

租使用者管理

組織訊息現在支援自定義目的地 URL

您現在可以將任何自訂目的地 URL 新增至任務列、通知區域和開始使用應用程式中的組織訊息。 這項功能適用於 Windows 11。 仍支援使用 Microsoft Entra 已註冊網域建立且處於已排程或作用中狀態的訊息。 如需詳細資訊，請 參閱建立組織訊息。

2023 年 2 月 20 日當周 (Service 2302)

應用程式管理

可用的最新 iOS/iPadOS 版本作為 LOB 和市集應用程式的最低 OS 需求

您可以指定 iOS/iPadOS 16.0 作為企業營運和市集應用程式部署的最低作業系統。 選取 [應用程式>iOS/iPadOS>iOS 市集應用程式] 或 [企業營運應用程式]，即可在 Microsoft Intune 系統管理中心使用此設定選項。 如需管理應用程式的詳細資訊，請參閱將應用程式新增至 Microsoft Intune。

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Egnyte for Intune by Egnyte

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

裝置設定

端點管理員系統管理中心已重新命名為 Intune 系統管理中心

Microsoft端點管理員系統管理中心現在稱為 Microsoft Intune 系統管理中心。

篩選條件的新 [相關聯指派] 索引標籤

當您指派應用程式或原則時，您可以使用不同的裝置屬性來篩選指派，例如裝置製造商、型號和擁有權。 您可以建立篩選條件並與指派建立關聯。

建立篩選之後，會有新的 [相關聯的指派] 索引標籤。此索引標籤會顯示所有原則指派、接收篩選指派的群組，以及篩選條件是否使用 [排除 ] 或 [ 包含]：

1. 登入 Microsoft Intune 系統管理中心。
2. 移至 [ 裝置>][組織裝置>篩選]> [選取現有的篩選 >相關聯指派] 索引標籤。

如需篩選的詳細資訊，請移至：

• 在 Intune 中指派應用程式、原則和設定檔時，請使用篩選條件
• 在 Intune 中建立篩選時，裝置屬性、操作員和規則編輯

iOS/iPadOS 模型資訊中包含的大小和世代

您可以檢視已註冊 iOS/iPadOS 裝置的大小和世代，作為硬體裝置詳細數據中 Model 屬性的一部分。

移至 [ 裝置 > ][所有裝置]> 選取其中一個列出的裝置，然後選取 [ 硬體 ] 以開啟其詳細數據。 例如，iPad Pro 11 英吋 (第三代) 顯示裝置型號，而不是 iPad Pro 3。 如需詳細資訊，請移至：在 Intune 中查看裝置詳細數據

適用於：

• iOS/iPadOS

停用受監督 iOS/iPadOS 裝置的啟用鎖定裝置動作

您可以在 Intune 中使用停用啟用鎖定裝置動作，略過 iOS/iPadOS 裝置上的啟用鎖定，而不需要目前的使用者名稱或密碼。

此新動作可在 [裝置 > iOS/iPadOS>] 底下選取其中一個列出的裝置> [停用啟用鎖定]。

如需管理啟用鎖定的詳細資訊，請參閱使用 Intune 略過 iOS/iPadOS 啟用鎖定，或在 Apple 網站上的 iPhone、iPad 和 iPod 觸控啟用鎖定 - Apple 支援。

適用於：

• iOS/iPadOS

[設定目錄] 中提供 [允許暫時性企業功能控件]

在內部部署組策略中，默 認會關閉透過服務導入的啟用功能 。

在 Intune 中，此設定稱為[允許暫存企業功能控制]，可在 [設定目錄] 中取得。 此服務預設會新增關閉的功能。 當設定為 [允許] 時，會啟用並開啟這些功能。

如需這項功能的詳細資訊，請移至：

• AllowTemporaryEnterpriseFeatureControl 原則 CSP
• 部落格：持續創新的商業控制

此原則設定所啟用的 Windows 功能應於 2023 年稍後發行。 Intune 現在會為您的認知和準備釋出此原則設定，也就是需要將設定用於未來的 Windows 11 版本之前。

如需設定目錄的詳細資訊，請移至 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定。

適用於：

• Windows 11

裝置管理

印表機保護 (預覽) 的裝置控制支援

在公開預覽中，受攻擊面縮小原則的裝置控制配置文件現在支援 Printer Protection 的可重複使用設定群組。

適用於端點的 Microsoft Defender 裝置控制表機保護可讓您稽核、允許或防止印表機在 Intune 內排除。 它可讓您封鎖使用者透過非公司網路印表機或未經核准的USB印表機印表。 這項功能會為家庭和遠端工作案例的工作新增另一層安全性和數據保護。

適用於：

• Windows 10
• Windows 11

支援刪除透過適用於 適用於端點的 Microsoft Defender的安全性管理所管理的過時裝置

您現在可以從 Microsoft Intune 系統管理中心內，刪除透過安全性管理 適用於端點的 Microsoft Defender 解決方案管理的裝置。 當您檢視裝置的 [概觀] 詳細數據時，刪除選項會與其他裝置管理選項一起出現。 若要找出此解決方案所管理的裝置，請在系統管理中心移至> [裝置所有裝置]，然後選取在 [管理者] 資料行中顯示 MDEJoined 或 MDEManaged的裝置。

Apple 設定目錄中可用的新設定和設定選項

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置>管理裝置>>設定] 中看到這些設定：建立>配置檔類型的平臺設定目錄的新原則>iOS/iPadOS 或 macOS>。

新的設定包括：

登入 > 服務管理 - 受控登入專案：

• 小組標識碼

Microsoft Office > Microsoft Office：

• Office 啟用 Email 位址

適用於：

• macOS

聯網 > 網域：

• 跨網站追蹤防護寬鬆網域

適用於：

• iOS/iPadOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

裝置安全性

使用端點安全性防病毒軟體原則來管理預覽 (Microsoft Defender 更新行為)

作為端點安全性防病毒軟體原則公開預覽的一部分，您可以使用適用於 Windows 10 和更新平臺的新配置檔 Defender 更新控件來管理 Microsoft Defender 的更新設定。 新的配置檔包含推出發行通道的設定。 透過推出通道，裝置和使用者會收到與每日安全情報更新、每月平臺更新和每月引擎更新相關的Defender匯報。

此配置檔包含下列設定，這些設定全都直接取自 Defender CSP - Windows 用戶端管理。

• 引擎 匯報 通道
• 平臺 匯報 通道
• 資訊安全情報 匯報 通道

這些設定也可從 Windows 10 和更新版本配置檔的設定目錄取得。

適用於：

• Windows 10
• Windows 11

2023年2月6日當周

租使用者管理

套用建議和深入解析，以豐富 Configuration Manager 網站健康情況和裝置管理體驗

您現在可以使用 Microsoft Intune 系統管理中心來檢視 Configuration Manager 網站的建議和見解。 這些建議可協助您改善月臺健康情況和基礎結構，並豐富裝置管理體驗。

建議包括：

• 如何簡化基礎結構
• 增強裝置管理
• 提供裝置深入解析
• 改善網站的健康情況

若要檢視建議，請開啟 Microsoft Intune 系統管理中心，並移至 [端點 Configuration Manager Microsoft租用戶系統管理>連接器和令牌>]，然後選取網站以檢視該網站的建議。 選取之後，[ 建議] 索 引卷標會顯示每個深入解析，以及 [ 深入瞭解] 連結。 此連結會開啟如何套用該建議的詳細數據。

如需詳細資訊，請參閱啟用 Microsoft Intune 租使用者附加 - Configuration Manager。

2023 年 1 月 30 日當周

裝置管理

Android 開放原始碼裝置的 Microsoft Intune 支援 HTC Vive Focus 3

(AOSP) 的 Android 開放原始碼 項目裝置 Microsoft Intune 現在支援 HTC Vive Focus 3。

如需詳細資訊，請移至 Microsoft Intune 支援的作業系統和瀏覽器

適用於：

• Android (AOSP)

在 遠端說明 中引進雷射指標的支援

在 遠端說明 中，您現在可以在 Windows 上提供協助時使用雷射指標。

如需 遠端說明 的詳細資訊，請移至 遠端說明。

適用於：

• Windows 10/11

2023 年 1 月 23 日當周 (Service 2301)

應用程式管理

設定是否要在 Windows 公司入口網站 中顯示 Configuration Manager 應用程式

在 Intune 中，您可以選擇要顯示或隱藏 Configuration Manager 應用程式，以防止出現在 Windows 公司入口網站 中。 選取 [租使用者管理自定義]，即可在 Microsoft Intune 系統管理>中心使用此選項。 在 [ 設定] 旁，選取 [ 編輯]。 顯示或隱藏 Configuration Manager 應用程式的選項位於窗格的 [應用程式來源] 區段中。 如需設定 公司入口網站 應用程式的相關信息，請參閱如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式。

封鎖將網頁釘選到應用程式 受控主畫面

在使用 受控主畫面的 Android Enterprise 專用裝置上，您現在可以使用應用程式設定來設定 受控主畫面 應用程式，以封鎖將瀏覽器網頁釘選到 受控主畫面。 新的 key 值為 block_pinning_browser_web_pages_to_MHS。 如需詳細資訊，請參閱設定 Android Enterprise 的 Microsoft 受控主畫面 應用程式。

裝置管理

Android Microsoft Intune 應用程式中可見的寬限期狀態

適用於Android的 Microsoft Intune 應用程式現在會顯示寬限期狀態，以考慮不符合合規性需求但仍在其指定寬限期內的裝置。 使用者可以看到裝置必須符合規範的日期，以及如何符合規範的指示。 如果未在指定日期前更新裝置，則會將裝置標示為不符合規範。 如需詳細資訊，請參閱下列檔：

• 使用不符合規範的動作來設定合規性原則
• 檢查合規性狀態

macOS 的軟體更新原則現已正式推出

macOS 裝置的軟體更新原則現已正式推出。 此正式運作適用於執行 macOS 12 (Monterey) 及更新版本的受監督裝置。 這項功能正在進行改善。

如需詳細資訊，請參閱使用 Microsoft Intune 原則來管理macOS軟體更新。

Windows Autopilot 裝置診斷

您可以從 Autopilot 部署監視器或個別裝置的裝置診斷監視器，在 Microsoft Intune 系統管理中心下載 Windows Autopilot 診斷。

裝置註冊

註冊通知現已正式推出

註冊通知現已正式推出，並在 Windows、Apple 和 Android 裝置上受到支援。 只有用戶驅動的註冊方法才支援這項功能。 如需詳細資訊， 請參閱設定註冊通知。

略過或顯示設定助理中的 [位址條款] 窗格

設定 Microsoft Intune 在 Apple 自動化裝置註冊期間略過或顯示名為 [位址條款] 的新 [設定助理] 窗格。 [ 位址條款 ] 可讓 iOS/iPadOS 和 macOS 裝置上的使用者藉由選取系統處理裝置的方式來個人化其裝置：女性、中性或偽裝。 窗格預設會在註冊期間顯示，並可供選取語言使用。 您可以在執行 iOS/iPadOS 16 和更新版本，以及 macOS 13 和更新版本的裝置上隱藏它。 如需 Intune 中支持的設定助理畫面詳細資訊，請參閱：

• Mac 的設定助理畫面
• iOS/iPadOS 的設定助理畫面

裝置安全性

適用於 iOS/iPadOS (Preview) 的行動應用程式管理Microsoft通道

作為公開預覽版，您可以使用適用於 iOS/iPadOS Microsoft通道 VPN 閘道的行動應用程式管理 (MAM) 。 針對尚未向 Intune 註冊的 iOS 裝置使用此預覽版，這些未註冊裝置上支援的應用程式可以在使用公司數據和資源時，使用 Microsoft Tunnel 連線到您的組織。 此功能包含下列專案的 VPN 閘道支援：

• 使用新式驗證保護內部部署應用程式和資源的存取
• 單一登入和條件式存取

如需詳細資訊，請移至:

• 適用於 iOS/iPadOS 的行動應用程式管理Microsoft通道系統管理員指南 (公開預覽)
• 適用於 MAM 的 Microsoft Tunnel iOS SDK 開發人員指南

適用於：

• iOS/iPadOS

適用於 適用於端點的 Microsoft Defender的安全性設定管理受攻擊面縮小原則支援

透過 MDE 安全性設定案例管理的裝置支援受攻擊面縮小原則。 若要搭配使用 適用於端點的 Microsoft Defender 但未向 Intune 註冊的裝置使用此原則：

1. 在 [端點安全性] 節點中，建立新的 受攻擊面縮小 原則。
2. 選取 [Windows 10]、[Windows 11] 和 [Windows Server] 作為 [平臺]。
3. 選取配置檔的 [受攻擊面縮小規則]。

適用於：

• Windows 10
• Windows 11

SentinelOne – 新的行動威脅防禦合作夥伴

您現在可以使用 SentinelOne 作為與 Intune 整合的 Mobile Threat Defense (MTD) 合作夥伴。 藉由在 Intune 中設定 SentinelOne 連接器，您可以使用以合規性政策中的風險評估為基礎的條件式存取來控制行動裝置對公司資源的存取。 SentinelOne 連接器也可以將風險層級傳送至應用程式保護原則。

裝置設定

裝置韌體設定介面 (DFCI) 支援 Fujitsu 裝置

針對 Windows 10/11 裝置，您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定 (裝置>管理裝置>>設定建立>新原則>Windows 10 及更新版本，以供配置檔類型) 的平臺>範>本裝置韌體設定介面使用。

某些執行 Windows 10/11 的 Fujitsu 裝置已針對 DFCI 啟用。 請連絡您的裝置廠商或裝置製造商以取得合格的裝置。

如需 DFCI 設定檔的詳細資訊，請移至：

• 在 windows 裝置上設定裝置韌體設定介面 (DFCI) 配置檔 Microsoft Intune
• 使用 Windows Autopilot 進行裝置韌體設定介面 (DFCI) 管理

適用於：

• Windows 10
• Windows 11

在執行 Android (AOSP) 的裝置上支援大量裝置動作

您現在可以針對執行 Android (AOSP) 的裝置完成「大量裝置動作」。 在執行 Android (AOSP) 的裝置上支援的大量裝置動作為 [刪除]、[抹除] 和 [重新啟動]。

適用於：

• Android (AOSP)

已更新設定目錄中 iOS/iPadOS 和 macOS 設定的描述

設定目錄會列出您可以設定的所有設定，以及所有設定在一個位置。 針對 iOS/iPadOS 和 macOS 設定，會針對每個設定類別更新描述，以包含更詳細的資訊。

如需設定目錄的詳細資訊，請移至：

• 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定
• 您可以在 Intune 中使用 [設定目錄] 來完成的一般工作

適用於：

• iOS/iPadOS
• macOS

Apple 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置>管理裝置>>設定] 中看到這些設定：針對>配置檔類型建立新原則>iOS/iPadOS 或 macOS 平台>設定目錄。

新的設定包括：

帳戶 > 訂閱的行事曆：

• 帳戶描述
• 帳戶主機名
• 帳戶密碼
• 帳戶使用 SSL
• 帳戶用戶名稱

適用於：

• iOS/iPadOS

聯網 > 網域：

• 跨網站追蹤防護寬鬆網域

適用於：

• macOS

下列設定也位於 [設定目錄] 中。 之前，它們僅適用於範本：

檔案儲存庫：

• 使用者輸入遺漏資訊

適用於：

• macOS

限制：

• 評等區域

適用於：

• iOS/iPadOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

依裝置的 Microsoft Entra 聯結類型篩選應用程式和原則指派 (deviceTrustType)

當您指派應用程式或原則時，您可以使用不同的裝置屬性來篩選指派，例如裝置製造商、作業系統 SKU 等等。

新的裝置篩選屬性deviceTrustType適用於 Windows 10和更新版本的裝置。 使用此屬性，您可以根據 Microsoft Entra 聯結類型來篩選應用程式和原則指派。 這些值包括 Microsoft Entra 聯結、Microsoft Entra 混合式聯結，以及已註冊 Microsoft Entra。

如需篩選條件和您可以使用之裝置屬性的詳細資訊，請移至：

• 在 Intune 中指派應用程式、原則和設定檔時，請使用篩選條件
• 在 Intune 中建立篩選時，裝置屬性、操作員和規則編輯

適用於：

• Windows 10 和更新版本

監視及疑難排解

在 Microsoft Intune 系統管理中心下載行動應用程式診斷， (公開預覽)

現在處於公開預覽狀態，可在系統管理中心存取使用者提交的行動應用程式診斷，包括透過適用於Android的 公司入口網站 應用程式傳送的應用程式記錄、Android (AOSP) 或 Windows，且 iOS、macOS 和 Microsoft Edge 的支援將於日後推出。 如需存取 公司入口網站 行動應用程式診斷的詳細資訊，請參閱設定 公司入口網站。

使用診斷檔案進行 WinGet 疑難解答

WinGet 是命令行工具，可讓您探索、安裝、升級、移除及設定 Windows 10 和 Windows 11 裝置上的應用程式。 在 Intune 中使用 Win32 應用程式管理時，您現在可以使用下列檔案位置來協助針對 WinGet 進行疑難解答：

• %TEMP%\winget\defaultstate*.log
• Microsoft-Windows-AppXDeployment/Operational
• Microsoft-Windows-AppXDeploymentServer/Operational

Intune 疑難解答窗格更新

[Intune 疑難解答] 窗格的新體驗提供使用者裝置、原則、應用程式和狀態的詳細數據。 疑難解答窗格包含下列資訊：

• 原則、合規性和應用程式部署狀態的摘要。
• 支援匯出、篩選和排序所有報表。
• 支持藉由排除原則和應用程式來篩選。
• 支援篩選至使用者的單一裝置。
• 可用裝置診斷和停用裝置的詳細數據。
• 離線裝置的詳細數據，這些裝置已存回服務三天以上。

您可以選取 [疑難解答 + 支援>疑難解答]，在系統管理中心 Microsoft Intune 找到 [疑難解答] 窗格。 若要在預覽期間檢視新體驗，請選取 [預覽即將推出的疑難解答變更]，並提供意見反應 以顯示 [疑難解答預覽 ] 窗格，然後選取 [ 立即試用]。

不具合規性政策之裝置的新報告 (預覽)

我們已將名為 [沒有合規性原則的裝置] 的新報告新增至您可以透過 Microsoft Intune 系統管理中心的 [報告] 節點存取的裝置合規性報告。 此報表處於預覽狀態，使用較新的報告格式，可提供更多功能。

若要瞭解這個新的組織報告，請參閱 沒有合規性原則的裝置 (組織) 。

此報表的較舊版本仍可透過系統管理中心的 [ 裝置 > 監視器 ] 頁面取得。 最後，該較舊的報表版本將會淘汰，但目前仍可供使用。

服務健康情況 需要系統管理注意的租用戶問題訊息

Microsoft Intune 系統管理中心的 [服務健康情況 和訊息中心] 頁面現在可以顯示環境中需要採取行動的問題訊息。 這些訊息是傳送給租使用者的重要通訊，可警示系統管理員其環境中可能需要採取動作才能解決的問題。

您可以移至 [租用戶系統管理>租用戶狀態]，然後選取 [服務健康情況] 和 [訊息中心] 索引卷標，以在 Microsoft Intune 系統管理中心檢視環境中需要採取動作的問題訊息。

如需系統管理中心此頁面的詳細資訊，請參閱 Intune 租用戶狀態頁面上的檢視租用戶的詳細數據。

租使用者管理

改善多個憑證連接器的UI體驗

我們已將分頁控件新增至 [ 憑證連接器 ] 檢視，以協助改善您設定超過 25 個憑證連接器時的體驗。 使用新的控制件，您可以查看連接器記錄的總數，並在檢視憑證連接器時輕鬆流覽至特定頁面。

若要檢視憑證連接器，請在 Microsoft Intune 系統管理中心，移至租用戶系統管理>連接器和令牌>憑證連接器。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• 按電壓安全性的電壓 SecureMail

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

指令碼

在端點分析中預覽 PowerShell 腳本套件內容

系統管理員現在可以看到 PowerShell 腳本內容的預覽，以進行主動式補救。 內容會以灰色的現成方塊顯示，並具有捲動功能。 系統管理員無法在預覽中編輯腳本的內容。 在系統管理中心 Microsoft Intune，選取 [報告>端點分析>主動式補救]。 如需詳細資訊，請參閱 主動式補救的 PowerShell 腳本。

2023 年 1 月 16 日當周

應用程式管理

Win32 應用程式取代 GA

Win32 應用程式取代 GA 的功能集可供使用。 它新增對 ESP 期間取代應用程式的支援，也允許在相同的應用程式子圖形中新增取代 & 相依性關聯性。 如需詳細資訊，請參閱 Win32 應用程式取代改善。 如需 Win32 應用程式取代的相關信息，請參閱 新增 Win32 應用程式取代。

2023 年 1 月 9 日當周

裝置設定

公司入口網站 應用程式會在具有工作配置檔的 Android Enterprise 12+ 個人擁有裝置上強制執行密碼複雜度設定

在具有工作配置檔的 Android Enterprise 12+ 個人擁有裝置上，您可以建立合規性原則和/或裝置組態配置檔，以設定密碼複雜度。 從 2211 版開始，此設定可在 Intune 系統管理中心取得：

• 設備>管理裝置>配置>創造>新原則>Android Enterprise for platform > 個人擁有且工作配置檔配置檔 >的裝置限制 配置檔類型 >密碼
• 設備>合規性原則>建立原則>Android Enterprise for platform > 個人擁有工作配置檔

公司入口網站 應用程式會強制執行密碼複雜度設定。

如需此設定的詳細資訊，以及您可以在具有工作配置檔的個人擁有裝置上設定的其他設定，請移至：

• Intune 中Android Enterprise的裝置合規性設定
• Intune 中 Android Enterprise 的裝置限制設定清單

適用於：

• 具有工作配置檔的 Android Enterprise 12+ 個人擁有裝置

2022 年 12 月 19 日當周

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Appian Corporation (Android) 的 Appian for Intune

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2022 年 12 月 12 日當周 (Service 2212)

裝置設定

遠端說明 用戶端應用程式包含在租用戶層級設定中停用聊天功能的新選項

在 遠端說明 應用程式中，系統管理員可以從新的租用戶層級設定停用聊天功能。 開啟停用聊天功能會移除 遠端說明 應用程式中的聊天按鈕。 您可以在 Microsoft Intune 中租使用者管理下的 [遠端說明 設定] 索引標籤中找到此設定。

如需詳細資訊，請參閱設定租使用者的 遠端說明。

適用於：Windows 10/11

macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置管理裝置>>>設定] 中看到這些設定：針對配置檔類型建立>平臺>設定目錄的新>原則macOS。

新的設定包括：

檔案保存庫 > 檔案儲存庫選項：

• 禁止 FV 停用
• 禁止啟用 FV

限制：

• 允許藍牙修改

適用於：

• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

iOS、iPadOS 和 macOS 裝置上的 SSO 延伸模組要求有預設設定

當您建立單一登錄應用程式延伸模組組態設定檔時，您會設定一些設定。 下列設定會針對所有 SSO 擴充要求使用下列預設值：

• AppPrefixAllowList 機碼

  • macOS 預設值： com.microsoft.,com.apple.
  • iOS/iPadOS 預設值： com.apple.

• browser_sso_interaction_enabled 鍵

  • macOS 預設值： 1
  • iOS/iPadOS 預設值： 1

• disable_explicit_app_prompt 鍵

  • macOS 預設值： 1
  • iOS/iPadOS 預設值： 1

如果您設定預設值以外的值，則設定的值會覆寫預設值。

例如，您未設定 AppPrefixAllowList 金鑰。 根據預設，所有Microsoft應用程式 (com.microsoft.) 和所有Apple應用程式 (com.apple.) 都會在macOS裝置上啟用 SSO。 您可以將不同的前置詞新增至清單，例如 com.contoso.，以覆寫此行為。

如需企業 SSO 外掛程式的詳細資訊，請移至在 Microsoft Intune 中使用 iOS/iPadOS 和 macOS 裝置上的 Microsoft Enterprise SSO 外掛程式。

適用於：

• iOS/iPadOS
• macOS

裝置註冊

Android Enterprise 專用裝置的註冊令牌存留期增加到 65 年

現在您可以為 Android Enterprise 專用裝置建立最多 65 年的註冊配置檔。 如果您有現有的設定檔，註冊令牌仍會在您建立配置檔時所選擇的任何日期到期，但在更新期間，您可以延長存留期。 如需建立註冊配置檔的詳細資訊，請參閱設定 Android Enterprise 專用裝置的 Intune 註冊。

裝置管理

macOS 的更新原則現在適用於所有受監督的裝置

macOS 裝置的軟體更新原則現在適用於所有macOS受監督裝置。 先前，只有透過自動裝置註冊 (ADE) 註冊的裝置才有資格接收更新。 如需設定macOS更新原則的詳細資訊，請參閱使用 Microsoft Intune 原則來管理macOS軟體更新。

適用於：

• macOS

Windows 功能更新和加速品質更新的原則和報告現已正式推出

用於管理功能更新和品質更新的原則和報告， (Windows 10 和更新版本的加速更新) ，都已不在預覽狀態，現在已正式推出。

如需這些原則和報告的詳細資訊，請參閱：

• 功能更新原則
• 加速品質更新原則
• Windows Update 合規性報告

適用於：

• Windows 10/11

2022 年 11 月 28 日當周

應用程式管理

Microsoft在 Intune 中儲存應用程式

您現在可以在 Intune 內搜尋、瀏覽、設定及部署Microsoft市集應用程式。 新的 Microsoft 市集應用程式類型是使用 Windows 封裝管理員 來實作。 此應用程式類型具有擴充的應用程式目錄，其中包含 UWP 應用程式和 Win32 應用程式。 此功能的推出預計會在 2022 年 12 月 2 日完成。 如需詳細資訊，請參閱將Microsoft市集應用程式新增至 Microsoft Intune。

租使用者管理

多個系統管理員核准 (公開預覽) 的存取原則

在公開預覽版中，您可以使用 Intune 存取原則，要求第二個系統管理員核准帳戶在套用變更之前核准變更。 這項功能稱為多個系統管理員核准 (MAA) 。

您可以建立存取原則來保護資源類型，例如應用程式部署。 每個存取原則也包含一組使用者，這些用戶是原則所保護變更的 核准者 。 當像應用程式部署設定一樣的資源受到存取原則保護時，對部署所做的任何變更，包括建立、刪除或修改現有的部署，在該存取原則的核准者群組成員檢閱並核准該變更之前，都不會套用。

核准者也可以拒絕要求。 要求變更的個人和核准者可以提供變更的相關附注，或為何核准或拒絕變更。

下列資源支援存取原則：

• 應用程式 – 適用於 應用程式部署，但不適用於應用程式保護原則。
• 腳本 – 適用於將腳本部署至執行 macOS 或 Windows 的裝置。

如需詳細資訊，請 參閱使用存取原則來要求多個系統管理核准。

裝置安全性

適用於 Android (Preview) 的行動應用程式管理 Microsoft 通道

作為公開預覽版，您現在可以搭配未註冊的裝置使用 Microsoft Tunnel。 這項功能稱為 Microsoft Tunnel for Mobile Application Management (MAM) 。 此預覽版支援 Android，且不需變更現有的通道基礎結構，即可支援通道 VPN 閘道：

• 使用新式驗證保護內部部署應用程式和資源的存取
• 單一登入和條件式存取

若要使用 Tunnel MAM，未註冊的裝置必須安裝 Microsoft Edge、適用於端點的 Microsoft Defender 和 公司入口網站。 然後，您可以使用 Microsoft Intune 系統管理中心為未註冊的裝置設定下列配置檔：

• 受控應用程式的應用程式組態配置檔，可在裝置上設定 Microsoft Defender 以作為 Tunnel 用戶端應用程式。
• 第二個受控應用程式的應用程式組態配置檔，用來設定 Microsoft Edge 以連線到 Tunnel。
• 啟用Microsoft通道連線自動啟動的 應用程式防護 配置檔。

適用於：

• Android Enterprise

2022 年 11 月 14 日當周 (Service 2211)

應用程式管理

控制受控Google Play 應用程式的顯示

您可以將受控Google Play 應用程式分組為集合，並控制在選取 Intune 中的應用程式時顯示集合的順序。 您也可以讓應用程式只透過搜尋顯示。 選取 [應用程式>][所有應用程式>][新增>受控Google Play 應用程式]，即可在 Microsoft Intune 系統管理中心取得這項功能。 如需詳細資訊，請參閱直接在 Intune 系統管理中心新增受控Google Play 商店應用程式。

裝置設定

具有工作配置檔之 Android Enterprise 12+ 個人擁有裝置的新密碼複雜度設定

在具有工作配置檔的 Android Enterprise 11 和舊版個人擁有裝置上，您可以設定下列密碼設定：

• 設備>合規>Android Enterprise for platform >個人擁有的工作配置文件>系統安全性>必要密碼類型、 密碼長度下限
• 設備>管理裝置>配置>Android Enterprise for platform >個人擁有的工作配置檔>裝置限制>工作配置檔設定>必要的密碼類型， 密碼長度下限
• 設備>管理裝置>配置>Android Enterprise for platform >個人擁有的工作配置檔>裝置限制>密碼>必要密碼類型、 密碼長度下限

Google 即將取代 Android 12+ 個人擁有裝置的 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定，並以新的密碼複雜性需求取代這些裝置。 如需這項變更的詳細資訊，請移至 Android 13 的第零天支援。

新的 [密碼複雜度 ] 設定具有下列選項：

• 無：Intune 不會變更或更新此設定。 根據預設，OS 可能不需要密碼。
• 低：已封鎖重複 (4444) 或 (1234、4321、2468) 順序的模式或 PIN。
• 中：已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度、字母長度或英數位元長度必須至少為四個字元。
• 高：已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度必須至少為八個字元。 字母或英數位元長度必須至少為六個字元。

在 Android 12+ 上，如果您目前在合規性原則或裝置組態配置檔中使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定，則建議您改用新的 密碼複雜度 設定。

如果您繼續使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定，但未設定 [密碼複雜度 ] 設定，則執行 Android 12+ 的新裝置可能會預設為 [高 密碼複雜度]。

如需這些設定的詳細資訊，以及已設定已被取代設定的現有裝置會發生什麼情況，請移至：

• 具有工作配置檔的 Android Enterprise 個人擁有裝置 - 組態設定檔設定清單
• 具有工作配置檔的 Android Enterprise 個人擁有裝置 - 合規性政策設定清單

適用於：

• 具有工作配置檔的 Android Enterprise 12.0 和較新的個人擁有裝置

iOS/iPadOS 和 macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定，而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置>管理裝置>>設定] 中看到這些設定：針對>配置檔類型建立適用於平臺>設定目錄的新原則>iOS/iPadOS 或 macOS。

新的設定包括：

聯網 > DNS 設定：

• DNS 通訊協定
• 伺服器位址
• 伺服器名稱
• 伺服器 URL
• 補充比對網域
• 隨選規則
• 動作
• 動作參數
• DNS 網域比對
• DNS 伺服器位址相符
• 介面類型相符
• SSID 比對
• URL 字串探查
• 禁止停用

檔案儲存庫：

• 推遲
• 延遲不要在用戶註銷時詢問
• 延遲使用者登入時的強制最大略過嘗試
• 啟用
• 顯示修復金鑰
• 使用修復金鑰

檔案保存庫 > 檔案儲存庫修復金鑰委付：

• 裝置金鑰
• 位置

限制：

• 允許空中播放傳入要求

適用於：

• macOS

>蹼Web 內容篩選：

• 允許清單書籤
• 已啟用自動篩選
• 拒絕清單URL
• 篩選瀏覽器
• 篩選數據提供者套件組合識別碼
• 篩選數據提供者指定的需求
• 篩選等級
• 篩選封包提供者套件組合標識碼
• 篩選封包提供者指定的需求
• 篩選封包
• 篩選套接字
• 篩選器類型
• Organization
• 密碼
• 允許的 URL
• 外掛程式套件組合標識碼
• 伺服器位址
• 用戶定義名稱
• 使用者名稱
• 廠商設定

適用於：

• iOS/iPadOS
• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

裝置韌體設定介面 (DFCI) 支援Panasonic裝置

針對 Windows 10/11 裝置，您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定 (裝置>管理裝置>>設定建立>新原則>Windows 10 及更新版本，以供配置檔類型) 的平臺>範本>裝置韌體設定介面使用。

從 2022 年秋季開始，DFCI 會啟用執行 Windows 10/11 的新 Panasonic 裝置。 因此，系統管理員可以建立 DFCI 配置檔來管理 BIOS，然後將配置檔部署到這些 Panasonic 裝置。

請連絡您的裝置廠商或裝置製造商，以確保您取得合格的裝置。

如需 DFCI 設定檔的詳細資訊，請移至：

• 在 windows 裝置上設定裝置韌體設定介面 (DFCI) 配置檔 Microsoft Intune
• 使用 Windows Autopilot 進行裝置韌體設定介面 (DFCI) 管理

適用於：

• Windows 10
• Windows 11

使用設定目錄在macOS裝置上登入和背景專案管理支援

在macOS裝置上，您可以建立原則，在使用者登入其macOS裝置時自動開啟專案。 例如，您可以開啟應用程式、檔案和資料夾。

在 Intune 中，設定目錄包含 [裝置管理裝置>>>] 的 [服務管理] 設定針對配置檔類型>>登入服務管理的平臺>設定目錄建立>新>原則macOS 的新服務管理設定。 這些設定可防止使用者在其裝置上停用受控登入和背景專案。

如需設定目錄的詳細資訊，請移至：

• 使用設定目錄來設定設定
• 您可以使用 [設定目錄] 完成的一般工作

適用於：

• macOS 13 和更新版本

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Varicent US OpCo Corporation 的 Varicent
• myBLDNG by Bldng.ai
• Stratospherix Ltd 所 Intune 的企業檔案
• ESRI 所 Intune 的 ArcGIS 室內
• 依決策的會議 AS
• Idenprotect Go by Apply Mobile Ltd

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

檢閱 Microsoft Intune 系統管理中心的雲端計算機連線健康情況檢查和錯誤

您現在可以在 Microsoft Intune 系統管理中心檢閱連線健康情況檢查和錯誤，以協助您瞭解您的使用者是否遇到連線問題。 另外還有一個疑難解答工具，可協助解決連線問題。 若要查看檢查，請選取 [裝置>Windows 365>Azure 網络連線>] 選取 [概觀]清單>中的連線。

租使用者管理

提供 Windows 11 (公開預覽) 的組織訊息

使用 Microsoft Intune 將重要訊息和行動呼叫傳遞給其裝置上的員工。 組織訊息是預先設定的訊息，旨在改善遠端和混合式工作案例中的員工通訊。 他們可用來協助員工適應新角色、深入瞭解其組織，以及隨時掌握新的更新和訓練。 您可以在工作列上方、通知區域或 Windows 11 裝置上的入門應用程式中傳遞訊息。

在公開預覽期間，您可以：

• 從各種預先設定的常見訊息中選取，以指派給 Microsoft Entra 使用者群組。
• 新增您組織的標誌。
• 在將裝置使用者重新導向至特定位置的訊息中包含自定義目的地 URL。
• 以深色和淺色主題預覽 15 種支援語言的訊息。
• 排程傳遞視窗和訊息頻率。
• 追蹤訊息的狀態及其接收的檢視數目和按兩下次數。 檢視和點選會由訊息匯總。
• 取消排程或作用中的訊息。
• 在名為組織訊息管理員的 Intune 中設定新的內建角色，以允許指派的系統管理員檢視和設定訊息。

所有設定都必須在 Microsoft Intune 系統管理中心完成。 Microsoft 圖形 API 無法與組織訊息搭配使用。 如需詳細資訊，請參閱 組織訊息概觀。

2022 年 11 月 7 日當周

應用程式管理

終止對 Windows 資訊保護 的支援

沒有註冊的 Windows 資訊保護 (WIP) 原則已被取代。 您無法再在沒有註冊的情況下建立新的 WIP 原則。 在 2022 年 12 月之前，您可以修改現有的原則，直到 淘汰但未註冊 案例完成為止。 如需詳細資訊，請移至規劃變更：終止對 Windows 資訊保護 的支援。

裝置設定

Windows 11 多重會話 VM 的用戶設定支援現已正式推出

您現在可以：

• 使用 [ 設定] 目錄 設定使用者範圍原則，並指派給使用者群組，包括 ADMX 內嵌的原則
• 設定用戶憑證並指派給使用者
• 設定 PowerShell 腳本以在使用者內容中安裝，並指派給使用者

適用於：

• Windows 11
• 在 Azure 公用和 Azure Government 雲端中建立的虛擬機

2022 年 10 月 31 日當周

應用程式管理

適用於 Intune 的主要 MTD 服務應用程式保護原則設定

Intune 現在支援 適用於端點的 Microsoft Defender 和一個非Mobile Threat Defense (MTD) 連接器，以針對每個平臺的應用程式保護原則評估開啟。 此功能可讓客戶在 適用於端點的 Microsoft Defender 與非Microsoft MTD 服務之間進行移轉。 而且，他們不希望透過應用程式防護原則中的風險分數暫停保護。 已在標題為「主要 MTD 服務」的條件式啟動健康情況檢查下導入新的設定，以指定應為終端用戶強制執行哪項服務。 如需詳細資訊，請參閱 Android 應用程式保護原則設定 和 iOS 應用程式保護原則設定。

2022 年 10 月 24 日當周 (Service 2210)

應用程式管理

使用篩選條件搭配受控裝置的應用程式設定原則

您可以在部署受管理裝置的應用程式設定原則時，使用篩選來精簡指派範圍。 您必須先使用 iOS 和 Android 的任何可用屬性 來建立篩選 。 然後，在系統管理中心 Microsoft Intune，您可以選取 [應用程式>>] 設定原則 [新增>受控裝置] 並移至 [指派] 頁面，以指派受控應用程式設定原則。 選取群組之後，您可以選擇篩選，並決定在 [ 包含 ] 或 [ 排除 ] 模式中使用，以精簡原則的適用性。 如需篩選的相關信息，請參閱在系統管理中心指派應用程式、原則和配置檔時使用篩選 Microsoft Intune。

裝置設定

群組原則 分析會在系統管理員匯入 群組原則 物件時，自動套用指派給系統管理員的範圍標籤

在 群組原則 分析中，您可以匯入內部部署 GPO，以查看支援雲端式 MDM 提供者的原則設定，包括 Microsoft Intune。 您也可以看到任何已淘汰的設定或設定都無法使用。

現在，當這些系統管理員將 GPO 匯入至 群組原則 分析時，系統會自動套用指派給系統管理員的範圍標籤。

例如，系統管理員已指派 給其角色的London、 London或 Boston 範圍標籤：

• 具有 [並 行] 範圍標籤的系統管理員會匯入 GPO。
• [並行] 範圍標籤會自動套用至匯入的 GPO。
• 所有具有 [並 行] 範圍標籤的系統管理員都可以看到匯入的物件。
• 只有 倫敦 或只有 波士頓 範圍卷標的系統管理員，看不到 來自該身 分區管理員的匯入物件。

若要讓系統管理員查看分析，或將匯入的 GPO 移轉至 Intune 原則，這些系統管理員必須具有與執行匯入之系統管理員相同的其中一個範圍卷標。

如需這些功能的詳細資訊，請移至：

• 在 Microsoft Intune 中使用 群組原則 分析來分析內部部署 GPO
• 請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

適用於：

• Windows 11
• Windows 10

適用於 Microsoft Intune的新網路端點

新的網路端點已新增至我們的檔，以容納新增至 Intune 服務的新 Azure 縮放單位 (ASU) 。 建議您使用最新的IP位址清單來更新防火牆規則，以確保Microsoft Intune的所有網路端點都是最新狀態。

如需完整清單，請移至網路端點以取得 Microsoft Intune。

使用 Windows 11 SE 作業系統 SKU 篩選應用程式和組策略指派

當您指派應用程式或原則時，您可以使用不同的裝置屬性來篩選指派，例如裝置製造商、作業系統 SKU 等等。

有兩個新的 Windows 11 SE 操作系統 SKU 可供使用。 您可以在指派篩選中使用這些 SKU，以包含或排除 Windows 11 SE 裝置套用以群組為目標的原則和應用程式。

如需篩選條件和您可以使用之裝置屬性的詳細資訊，請移至：

• 在 Microsoft Intune 中指派應用程式、原則和設定檔時，請使用篩選條件
• 在 Microsoft Intune 中建立篩選時，裝置屬性、操作員和規則編輯

適用於：

• Windows 11 SE

iOS/iPadOS 和 macOS 設定目錄中可用的新設定

設定目錄會列出您可以在裝置原則中設定的所有設定，以及所有設定。

設定目錄中提供新的設定。 在 Microsoft Intune 系統管理中心，您可以在 [裝置>管理裝置>>設定] 中看到這些設定：建立>適用於配置檔類型的平臺>設定目錄的新原則>iOS/iPadOS 或 macOS。

新的設定包括：

聯網 > 行動資料：

• 啟用XLAT464

適用於：

• iOS/iPadOS

隱私 > 隱私權喜好設定原則控制項：

• 系統原則應用程式套件組合

適用於：

• macOS

限制：

• 允許快速安全性回應安裝
• 允許快速安全性回應移除

適用於：

• iOS/iPadOS
• macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

Windows 裝置上裝置韌體設定介面 (DFCI) 配置檔的新設定

您可以建立 DFCI 配置檔，讓 Windows 作業系統將管理命令從 Intune 傳遞至 UEFI (整合可擴展固件介面) (裝置>管理裝置>設定>建立>新原則>Windows 10 及更新版本的平台>範>本裝置韌體設定介面)

您可以使用這項功能來控制 BIOS 設定。 您可以在 DFCI 原則中設定新的設定：

• 相機：

  • 前端相機
  • 紅外線相機
  • 後方相機

• 收音機：

  • WWAN
  • NFC

• 連接埠

  • SD 記憶卡

如需 DFCI 設定檔的詳細資訊，請移至：

• 在 windows 裝置上使用裝置韌體設定介面 (DFCI) 配置檔 Microsoft Intune
• DFCI 設定檔設定清單

適用於：

• 在支援的 UEFI 上 Windows 11
• 在支援的 UEFI 上 Windows 10 RS5 (1809) 及更新版本

裝置註冊

具有新式驗證的 iOS/iPadOS 設定助理支援 Just in Time Registration (公開預覽)

Intune 支援使用設定助理進行新式驗證的 iOS/iPadOS 註冊案例， (JIT) 註冊。 JIT 註冊可減少在整個布建體驗中向用戶顯示的驗證提示數目，讓他們獲得更順暢的上線體驗。 它不需要讓 公司入口網站 應用程式進行 Microsoft Entra 註冊和合規性檢查，並在整個裝置上建立單一登錄。 JIT 註冊適用於透過Apple自動化裝置註冊並執行iOS/iPadOS 13.0或更新版本的裝置公開預覽版。 如需詳細資訊，請 參閱自動化裝置註冊的驗證方法。

裝置管理

將 Intune 中的 Chrome OS 裝置連線 (公開預覽)

在 Microsoft Intune 系統管理中心檢視在 Chrome OS 上執行的公司或學校擁有裝置。 現在在公開預覽版中，您可以在Google管理員主控台與 Microsoft Intune系統管理中心之間建立連線。 Chrome OS 端點的裝置資訊會同步至 Intune，並可在您的裝置清查清單中檢視。 系統管理中心也提供基本遠端動作，例如重新啟動、抹除和遺失模式。 如需如何設定連線的詳細資訊，請參閱設定 Chrome Enterprise 連接器。

使用 Intune 管理 macOS 軟體更新

您現在可以使用 Intune 原則來管理使用自動裝置註冊 (ADE) 註冊之裝置的 macOS 軟體更新。 請參閱在 Intune 中管理 macOS 軟體更新原則。

Intune 支援下列 macOS 更新類型：

• 重大更新
• 韌體更新
• 組態檔更新
• 所有其他更新 (操作系統、內建應用程式)

除了排程裝置更新時間之外，您還可以管理行為，例如：

• 下載並安裝：下載或安裝更新，視目前的狀態而定。
• 僅下載：下載軟體更新而不安裝。
• 立即安裝：下載軟體更新並觸發重新啟動倒數通知。
• 僅通知：下載軟體更新，並透過 App Store 通知使用者。
• 稍後安裝：下載軟體更新，稍後再安裝。
• 未設定：未對軟體更新採取任何動作。

如需 Apple 關於管理 macOS 軟體更新的資訊，請參閱 Apple 平臺部署檔中的 管理 Apple 裝置的軟體更新 - Apple 支援 。 Apple 會在 Apple 安全性更新 - Apple 支援服務維護安全性更新清單。

從 Microsoft Intune 系統管理中心取消布建 Jamf Pro

您現在可以取消布建 Jamf Pro，以從 Microsoft Intune 系統管理中心內 Intune 整合。 如果您無法再存取 Jamf Pro 控制台，此功能會很有用，您也可以透過該控制台取消布建整合。

此功能的運作方式類似於中斷 Jamf Pro 與 Jamf Pro 控制台內的連線。 因此，移除整合之後，組織的 Mac 裝置會在 90 天后從 Intune 中移除。

適用於在 iOS/iPadOS 上執行之個別裝置的新硬體詳細數據

選 取 [裝置>][所有裝置>] 選取其中一個列出的裝置 ，並開啟其 [ 硬體 詳細數據]。 您可以在個別裝置的 [ 硬體 ] 窗格中取得下列新詳細資料：

• 電池電量：顯示裝置的電池電量介於 0 到 100 之間，如果無法判斷電池電量，則預設為 Null。 此功能適用於執行 iOS/iPadOS 5.0 和更新版本的裝置。
• 常駐使用者：顯示目前共用 iPad 裝置上的用戶數目，如果無法判斷用戶數目，則預設為 Null。 此功能適用於執行 iOS/iPadOS 13.4 和更新版本的裝置。

如需詳細資訊，請移至使用 Microsoft Intune 檢視裝置詳細數據。

適用於

• iOS/iPadOS

$null在篩選中使用值

當您將應用程式和原則指派給群組時，您可以使用篩選條件，根據您建立 (租使用者管理>篩選>器建立) 規則來指派原則。 這些規則會使用不同的裝置屬性，例如類別或註冊配置檔。

現在，您可以使用 $null 值搭配 -Equals 和 -NotEquals 運算符。

例如，在下列案例中使用 $null 值：

• 您想要以未將類別指派給裝置的所有裝置為目標。
• 您想要以未將註冊配置檔屬性指派給裝置的裝置為目標。

如需篩選條件和您可以建立之規則的詳細資訊，請移至：

• 在 Microsoft Intune 中指派應用程式、原則和設定檔時，請使用篩選條件
• 在 Microsoft Intune 中建立篩選時，裝置屬性、操作員和規則編輯

適用於：

• Android 裝置系統管理員
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10/11

裝置安全性

裝置控制配置檔中可重複使用的卸載式記憶體設定群組， (預覽)

在公開預覽版中，您可以在受攻擊面縮小原則中搭配裝置控制配置檔使用可重複使用的設定群組。

裝置控制項設定檔的可重複使用群組包含一組設定，支援管理卸除式記憶體的 讀取、 寫入和 執行 存取權。 常見案例的範例包括：

• 防止所有專案的寫入和執行存取，但允許特定核准的USB
• 稽核所有未核准 USB 的寫入和執行存取權，但封鎖特定未核准的 USB
• 只允許特定使用者群組存取共享電腦上的特定抽取式儲存設備

適用於：

• Windows 10 或更新版本

Microsoft Defender 防火牆規則的可重複使用設定群組 (預覽)

在公開預覽中，您可以使用可重複使用的設定群組，這些設定可與 Microsoft Defender 防火牆規則的配置檔搭配使用。 可重複使用的群組是您定義一次的遠端 IP 位址和 FQDN 集合，然後可搭配一或多個防火牆規則配置檔使用。 您不需要在每個可能需要IP位址的個別設定檔中重新設定相同的IP位址群組。

可重複使用設定群組的功能包括：

• 新增一或多個遠端IP位址。

• 新增一或多個可自動解析至遠端 IP 位址的 FQDN，或在群組的自動解析關閉時，針對一或多個簡單關鍵詞新增。

• 使用每個設定群組搭配一或多個防火牆規則配置檔，而不同的配置檔可以支援群組的不同存取設定。

  例如，您可以建立兩個參考相同可重複使用設定群組的防火牆規則配置檔，並將每個配置檔指派給不同的裝置群組。 第一個配置檔可以封鎖對可重複使用設定群組中所有遠端IP位址的存取，而第二個配置檔可以設定為允許存取。

• 正在使用之設定群組的編輯會自動套用至使用該群組的所有防火牆規則配置檔。

依每個規則的受攻擊面縮小規則排除專案

您現在可以 針對受攻擊面縮小規則原則設定個別規則排除專案。 個別規則排除專案是透過新的個別規則設定 ASR 僅限每個規則排除項目來啟用。

當您建立或編輯受攻擊面縮小規則原則，並變更支持預設 [未 設定為任何其他可用選項] 排除範圍的設定時，新的個別設定排除選項就會變成可用。 該設定實例的任何設定只適用於 每個規則排除範圍的 ASR 實例，僅適用於該設定。

您可以使用 [ 僅限受攻擊面縮小排除] 設定，繼續設定適用於裝置上所有受攻擊面縮小規則的全域排除專案。

適用於：

• Windows 10/11

注意事項

ASR 原則不支援 僅限 ASR 依規則排除 範圍的合併功能，而且當針對相同裝置衝突設定僅 限 ASR 的 多個原則時，可能會產生原則衝突。 若要避免衝突，請將 僅限依規則排除的 ASR 組態合併成單一 ASR 原則。 我們正在調查在未來的更新中新增 僅限 ASR 依規則排除專案 的原則合併。

授與應用程式在Android Enterprise裝置上以無訊息方式使用憑證的許可權

您現在可以在註冊為 完全受控、專用和 Corporate-Owned 工作配置檔的 Android Enterprise 裝置上，設定憑證的無訊息使用。

此功能可在憑證設定檔設定工作流程的新 [ 應用程式 ] 頁面上取得，方法是將 [ 憑證存取權 ] 設定 為 [針對特定應用程式以無訊息方式授與]， (需要使用者核准其他應用程式) 。 使用此設定時，您接著選取的應用程式會以無訊息方式使用憑證。 所有其他應用程式都會繼續使用預設行為，也就是需要使用者核准。

此功能僅支援 Android Enterprise 完全受控、專用和 Corporate-Owned 工作設定檔的下列憑證設定檔：

• 衍生的認證
• 匯入的 PKCS
• PKCS
• SCEP

Microsoft Intune 應用程式的應用程式內通知

Android 開放原始碼專案 (AOSP) 裝置用戶現在可以在 Microsoft Intune 應用程式中收到合規性通知。 這項功能僅適用於 AOSP 使用者型裝置。 如需詳細資訊，請參閱 AOSP 合規性通知。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• MyITOps， Ltd 所 Intune 的 MyITOps
• MURAL - Tactivos、 Inc 的可視化共同作業

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2022 年 10 月 17 日當周

應用程式管理

Android 裝置上受控應用程式的增強應用程式選擇器

Android 裝置使用者可以在 Intune 公司入口網站 應用程式中選取、檢視及移除其預設應用程式選取專案。 公司入口網站 安全地儲存受控應用程式的裝置用戶預設選項。 使用者可以移至> [設定預設>應用程式] [查看預設值]，以在 公司入口網站 應用程式中檢視和移除其選取專案。 這項功能是受控應用程式的 Android 自定義應用程式選擇器增強功能，這是 Android MAM SDK 的一部分。 如需如何檢視默認應用程式的詳細資訊，請 參閱檢視和編輯默認應用程式。

2022 年 10 月 10 日當周

裝置管理

Microsoft端點管理員商標變更

自 2022 年 10 月 12 日起，將不再使用端點管理員Microsoft名稱。 接下來，我們將雲端式統一端點管理稱為 Microsoft Intune，並將內部部署管理稱為 Microsoft Configuration Manager。 隨著進階管理的推出，Microsoft Intune 是我們在 Microsoft 端點管理解決方案的成長產品系列名稱。 如需詳細資訊，請參閱端點管理技術社群部落格上 的官方公告 。 正在進行文件變更，以移除端點管理員Microsoft。

如需詳細資訊，請參閱 Intune 檔。

Windows 公司入口網站 中可見的寬限期狀態

Windows 公司入口網站 現在會顯示寬限期狀態，以考慮不符合合規性需求但仍在指定寬限期內的裝置。 使用者會看到必須符合規範的日期，以及如何符合規範的指示。 如果使用者未在指定日期前更新其裝置，則其裝置狀態會變更為不符合規範。 如需設定寬限期的詳細資訊， 請參閱使用不符合規範的動作設定合規性 原則和 從 [裝置詳細數據] 頁面檢查存取權。

Microsoft Intune 中提供的Linux裝置管理

Microsoft Intune 現在支持執行Ubuntu Desktop 22.04 或20.04 LTS之裝置的Linux裝置管理。 Intune 系統管理員不需要執行任何動作，即可在 Microsoft Intune 系統管理中心啟用Linux註冊。 Linux 使用者可以自行 註冊支援的Linux裝置 ，並使用 Microsoft Edge 瀏覽器在在線存取公司資源。

在系統管理中心，您可以：

• 在 Microsoft Edge 中強制執行條件式存取原則。
• 使用下列相關規則建立Linux裝置合規性政策：
  • 允許的散發套件
  • 自定義合規性
  • 裝置加密
  • 密碼原則
• 使用符合 POSIX 規範的殼層腳本套用自定義相容性設定以進行探索，並套用 JSON 檔案來定義您想要使用的自定義設定。

2022 年 10 月 3 日當周

裝置安全性

不符合規範的警告訊息包含連結

在 遠端說明 中，已將連結新增至不符合規範的警告通知 檢視裝置合規性資訊，並可讓協助程式深入瞭解為何裝置在 Microsoft Intune 中不符合規範。

如需詳細資訊，請移至:

• Microsoft Intune 遠端說明

• 監視裝置合規性

適用於：Windows 10/11

2022 年 9 月 26 日當周

監視及疑難排解

在 Microsoft Intune 系統管理中心開啟 [說明及支援]，而不會遺失您的內容

您現在可以使用 ? Microsoft Intune 系統管理中心的圖示來開啟說明及支持會話，而不會失去系統管理中心目前的焦點節點。 此 ? 圖示一律可在系統管理中心的標題列右上方取得。 這項變更會新增另一種方式來存取 說明和支援。

當您選取 ?時，系統管理中心會在新的和個別的並存窗格中開啟說明及支持檢視。 藉由開啟此個別窗格，您可以自由瀏覽支持體驗，而不會影響原始位置，並專注於系統管理中心。

2022 年 9 月 19 日當周 (Service 2209)

應用程式管理

適用於Microsoft Intune的新應用程式類型

身為系統管理員，您可以建立並指派兩種新類型的 Intune 應用程式：

• iOS/iPadOS 網頁剪輯
• Windows Web 連結

這些新的應用程式類型運作方式與現有的 Web 連結 應用程式類型類似，不過它們只適用於其特定平臺，而 Web 連結應用程式則適用於所有平臺。 透過這些新的應用程式類型，您可以指派給群組，也可以使用指派篩選條件來限制指派的範圍。 這項功能位於 Microsoft Intune 系統管理中心>應用程式>所有應用程式>新增中。

裝置管理

Microsoft Intune 終止對 Windows 8.1 的支援

Microsoft Intune 於 2022 年 10 月 21 日終止對執行 Windows 8.1 之裝置的支援。 在該日期之後，將無法再使用技術協助和自動更新來保護執行 Windows 8.1的裝置。 此外，由於企業營運應用程式的側載案例僅適用於 Windows 8.1 裝置，Intune 不再支援 Windows 8.1 側載。 側載正在安裝，然後執行或測試 Microsoft Store 未認證的應用程式。 在 Windows 10/11 中，「側載」只是將裝置設定原則設定為包含「受信任的應用程式安裝」。

指派中可見的群組成員計數

在系統管理中心指派原則時，您現在可以看到群組中的使用者和裝置數目。 擁有這兩個計數可協助您找出正確的群組，並瞭解指派在套用之前的影響。

裝置設定

將自定義支援資訊新增至Android Enterprise裝置時的新鎖定畫面訊息

在 Android Enterprise 裝置上，您可以建立裝置限制組態配置檔，以在裝置上顯示自定義支援訊息 (> 裝置管理裝置>>設定針對>設定檔類型>自定義支援資訊的平臺>裝置限制建立全新原則>Android Enterprise>完全受控、專用和公司擁有的工作配置檔 自定義支援資訊) 。

您可以設定新的設定：

• 鎖定畫面訊息：新增顯示在裝置鎖定畫面上的訊息。

當您設定 鎖定畫面訊息時，您也可以使用下列裝置令牌來顯示裝置特定資訊：

• {{AADDeviceId}}：Microsoft Entra 裝置識別碼
• {{AccountId}}：Intune 租使用者標識碼或帳戶標識碼
• {{DeviceId}}：Intune 裝置識別碼
• {{DeviceName}}：Intune 裝置名稱
• {{domain}}：功能變數名稱
• {{EASID}}：Exchange Active Sync ID
• {{IMEI}}：裝置的 IMEI
• {{mail}}：Email 用戶的位址
• {{MEID}}：裝置的對應
• {{partialUPN}}：符號前面的 @ UPN前置詞
• {{SerialNumber}}：裝置序號
• {{SerialNumberLast4Digits}}：裝置序號的最後四位數
• {{UserId}}：Intune 用戶識別碼
• {{UserName}}：使用者名
• {{userPrincipalName}}：使用者的UPN

注意事項

變數不會在 UI 中驗證，而且會區分大小寫。 因此，您可能會看到配置檔以不正確的輸入儲存。 例如，如果您輸入 {{DeviceID}}，而不是 {{deviceid}} 或 {{DEVICEID}}，則會顯示常值字串，而不是裝置的唯一標識符。 請務必輸入正確的資訊。 支援所有小寫或所有大寫變數，但不支援混合。

如需此設定的詳細資訊，請移至 Android Enterprise 裝置設定，以使用 Intune 來允許或限制功能。

適用於：

• Android 7.0 和更新版本
• Android Enterprise 公司擁有完全受控
• Android Enterprise 公司擁有的專用裝置
• Android Enterprise 公司擁有的工作配置檔

在 Windows 裝置的設定目錄中篩選用戶範圍或裝置範圍

當您建立設定目錄原則時，可以使用 [新增設定>][新增篩選] 根據Windows OS 版本篩選設定 (裝置>管理裝置>>設定建立>新原則>Windows 10 及更新版本，針對配置檔類型) 的平臺>設定目錄。

當您 新增篩選條件時，也可以依使用者範圍或裝置範圍篩選設定。

如需設定目錄的詳細資訊，請移至 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定。

適用於：

• Windows 10
• Windows 11

AOSP) 平臺 (Android 開放原始碼專案已正式推出

Microsoft Intune 在Android開放原始碼專案 (AOSP) 平臺上執行的公司擁有裝置管理，現在已在 GA) (正式推出。 此功能包含公開預覽中可用的完整功能套件。

目前，Microsoft Intune 僅支援 RealWear 裝置的新 Android (AOSP) 管理選項。

• 部署指南：在 Microsoft Intune 中管理 Android 裝置
• 部署指南: 在 Microsoft Intune 中註冊 Android 裝置

適用於：

• Android 開放原始碼專案 (AOSP)

裝置韌體設定介面 (DFCI) 現在支援 Acer 裝置

針對 Windows 10/11 裝置，您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定 (裝置>管理裝置>>設定建立>新原則>Windows 10 及更新版本，以供配置檔類型) 的平臺>範>本裝置韌體設定介面使用。

執行 Windows 10/11 的新 Acer 裝置將於 2022 年稍後針對 DFCI 啟用。 因此，系統管理員可以建立 DFCI 配置檔來管理 BIOS，然後將配置檔部署到這些 Acer 裝置。

請連絡您的裝置廠商或裝置製造商，以確保您取得合格的裝置。

如需有關 Intune 中 DFCI 設定檔的詳細資訊，請移至在 Microsoft Intune 中的 Windows 裝置上使用裝置韌體設定介面 (DFCI) 配置檔。

適用於：

• Windows 10
• Windows 11

iOS/iPadOS 和 macOS 設定目錄中可用的新設定

設定目錄會列出您可以在裝置原則中設定的所有設定，以及所有設定。

設定目錄中有新的設定可供使用。 在 Microsoft Intune 系統管理中心，您可以在 [裝置>管理裝置>>設定] 中看到這些設定：針對配置檔類型建立 >iOS/iPadOS 或 macOS 平台>設定目錄。

新的設定包括：

帳戶 > LDAP：

• LDAP 帳戶描述
• LDAP 帳戶主機名
• LDAP 帳戶密碼
• LDAP 帳戶使用 SSL
• LDAP 帳戶用戶名稱
• LDAP 搜尋設定

適用於：

• iOS/iPadOS
• macOS

下列設定也位於設定目錄中。 之前，它們僅適用於範本：

隱私 > 隱私權喜好設定原則控制項：

• 協助工具
• 通訊錄
• Apple 事件
• 行事曆
• 相機
• 檔案提供者目前狀態
• 接聽事件
• 媒體櫃
• 麥克風
• 照片
• Post 事件
• 提醒
• 螢幕擷
• 語音辨識
• 系統原則所有檔案
• 系統原則桌面資料夾
• 系統原則檔資料夾
• 系統原則下載資料夾
• 系統原則網路磁碟區
• 系統原則卸除式磁碟區
• 系統原則 Sys 管理員 檔案

適用於：

• macOS

如需在 Intune 中設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

裝置註冊

設定公開預覽 (註冊通知)

註冊通知會在 Microsoft Intune 中註冊新裝置時，透過電子郵件或推播通知通知裝置使用者。 基於安全性考慮，您可以使用註冊通知。 他們可以通知使用者，並協助他們回報在錯誤中註冊的裝置，或在僱用或上線程式期間與員工通訊。 註冊通知現在可在 Windows、Apple 和 Android 裝置的公開預覽版中試用。 只有用戶驅動的註冊方法才支援這項功能。

裝置安全性

將合規性原則指派給 [所有裝置] 群組

[ 所有裝置] 選項現在可供 合規性政策 指派使用。 使用此選項，您可以將合規性原則指派給組織中所有符合原則平臺的已註冊裝置。 您不需要建立包含所有裝置的 Microsoft Entra 群組。

當您包含 [所有裝置] 群組時，接著可以排除個別的裝置群組，以進一步精簡指派範圍。

Trend Micro – 新的行動威脅防禦合作夥伴

您現在可以使用 Trend Micro Mobile Security as a Service 作為整合式行動威脅防禦 (MTD) 與 Intune 合作。 藉由在 Intune 中設定 Trend MTD 連接器，您可以使用以風險評估為基礎的條件式存取來控制行動裝置對公司資源的存取。

如需詳細資訊，請參閱：

• 行動威脅防禦與 Intune整合

Intune 公司入口網站 網站上可見的寬限期狀態

Intune 公司入口網站 網站現在會顯示寬限期狀態，以考慮不符合合規性需求但仍在指定寬限期內的裝置。 使用者會看到必須符合規範的日期，以及如何符合規範的指示。 如果未在指定日期前更新裝置，其狀態會變更為不符合規範。 如需設定寬限期的詳細資訊，請參閱使用 不符合規範的動作設定合規性原則。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• RingCentral， Inc. for Intune 的 RingCentral
• MangoApps， Work from Anywhere by MangoSpring， Inc.

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2022 年 9 月 12 日當周

裝置管理

Intune 現在需要iOS/iPadOS 14和更新版本

隨著 Apple 的 iOS/iPadOS 16 版本，Microsoft Intune 和 Intune 公司入口網站 現在需要 iOS/iPadOS 14 和更新版本。 如需詳細資訊，請參閱 Intune 中支援的操作系統和瀏覽器。

Intune 現在需要macOS 11.6和更新版本

隨著 Apple 的 macOS 13 Ventura 發行，Microsoft Intune、公司入口網站 應用程式和 Intune MDM 代理程式現在需要 macOS 11.6 (Big Sur) 及更新版本。 如需詳細資訊，請參閱 Intune 中支援的操作系統和瀏覽器。

2022 年 9 月 5 日當周

裝置管理

遠端說明 版：4.0.1.13 版

透過 遠端說明 4.0.1.13，我們引進了修正程式來解決無法同時開啟多個會話的問題。 修正程式也解決了應用程式在沒有焦點的情況下啟動的問題，並防止鍵盤流覽和螢幕助讀程式進行啟動。

如需詳細資訊，請移至搭配 Intune 和 Microsoft Intune 使用 遠端說明。

2022 年 8 月 29 日當周

應用程式管理

已更新 Microsoft Intune App SDK for Android

Intune App SDK for Android 的開發人員指南已更新。 更新的指南提供下列階段：

• 規劃整合
• MSAL 必要條件
• 開始使用 MAM
• MAM 整合基本資訊
• 多重身分識別
• 應用程式設定
• 應用程式參與功能

如需詳細資訊，請參閱 Intune App SDK for Android。

2022 年 8 月 22 日當周

裝置管理

針對租用戶連結裝置使用 Intune 角色型訪問控制 (RBAC)

您現在可以在從 Microsoft Intune 系統管理中心與租用戶連結的裝置互動時，使用 Intune 角色型訪問控制 (RBAC) 。 例如，使用 Intune 作為角色型訪問控制授權單位時，具有 Intune 技術支援中心操作員角色的使用者不需要從 Configuration Manager 指派安全性角色或其他許可權。 如需詳細資訊，請參閱 Intune 租使用者附加用戶端的角色型訪問控制。

2022 年 8 月 15 日當周 (Service 2208)

應用程式管理

Android 強式生物特徵辨識變更偵測

Intune 中的Android指紋而非 PIN 存取設定，可讓使用者使用指紋驗證，而不是 PIN。 這項變更可讓您要求用戶設定強式生物特徵辨識。 此外，如果偵測到強式生物特徵辨識的變更，您可以要求使用者確認其應用程式保護原則 (APP) PIN。 您可以選>>取 [應用程式 應用程式防護 原則建立原則Android，在系統管理中心 Microsoft Intune 找到 Android 應用程式保護原則>。 如需詳細資訊，請參閱 Microsoft Intune 中的Android應用程式保護原則設定。

Microsoft Intune 應用程式中適用於 Android (AOSP) 的不相容詳細數據

Android (AOSP) 用戶可以在 Microsoft Intune 應用程式中檢視不符合規範的原因。 這些詳細數據說明為何將裝置標示為不符合規範。 針對註冊為使用者相關聯 Android (AOSP) 裝置的裝置，此資訊可在 [裝置詳細數據] 頁面上取得。

Intune 應用程式

適用於 Intune的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用：

• Nexis Newsdesk Mobile by LexisNexis
• My Portal by MangoApps (Android)
• Re：Work Enterprise by 9Folders， Inc.

如需受保護應用程式的詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

裝置註冊

從 Microsoft Intune 系統管理中心設定零觸控註冊

現在您可以從 Microsoft Intune 系統管理中心設定 Android 零觸控註冊。 此功能可讓您將零觸控帳戶連結至 Intune、新增支援資訊、設定啟用零觸控功能的裝置，以及自定義布建額外專案。 如需如何從系統管理中心啟用零觸控的詳細資訊，請參閱 使用Google Zero Touch 註冊。

裝置管理

Windows 10/11 裝置合規性的自定義設定現已正式推出

下列自定義功能的支援已正式推出：

• 使用 PowerShell 腳本建立 Windows 裝置的自定義合規性原則設定。
• 建立出現在 公司入口網站 應用程式中的自定義合規性規則和補救訊息。

適用於：

• Windows 10/11

檢視 macOS 殼層腳本和自定義屬性的內容

您可以在將腳本上傳至 Intune 之後，檢視macOS殼層腳本和自定義屬性的內容。 您可以選>取 [依平台>的裝置] macOS，在系統管理中心 Microsoft Intune 檢視 Shell 腳本和自定義屬性。 如需詳細資訊，請參閱在 Intune 中的macOS裝置上使用殼層腳本。

重設適用於 Android (AOSP) 公司裝置的密碼遠端動作

您可以從 Android 開放原始碼專案 (AOSP) 公司裝置的 Microsoft Intune 系統管理中心使用重設密碼遠端動作。

如需遠端動作的相關信息，請參閱：

• 在 Intune 中重設或移除裝置密碼
• 使用 Intune 從遠端重新啟動裝置
• 使用 Intune 從遠端鎖定裝置

適用於：

• Android 開放原始碼專案 (AOSP)

裝置設定

Android (AOSP) 裝置的憑證配置檔支援

您現在可以使用簡單憑證註冊通訊協定 (SCEP) 憑證配置檔 ，搭配執行 Android 開放原始碼專案 (AOSP) 平臺的公司擁有和無使用者裝置。

匯入、建立及管理自定義ADMX和ADML系統管理範本

您可以建立使用內建 ADMX 範本的裝置設定原則。 在 Microsoft Intune 系統管理中心，針對平台>範>本系統管理範本選取 [裝置>管理裝置>>設定] [建立>新>原則 Windows 10 及更新版本。

您也可以將自定義和第三方/合作夥伴 ADMX 和 ADML 範本匯入 Intune 系統管理中心。 匯入之後，您可以建立裝置設定原則、將原則指派給您的裝置，以及管理原則中的設定。

如需詳細資訊，請移至：

• 將自訂ADMX和ADML系統管理範本匯入 Intune
• 概觀：使用 Windows 10/11 範本在 Microsoft Intune 中設定組策略設定。

適用於：

• Windows 11
• Windows 10

在 Android Enterprise 上將 HTTP Proxy 新增至 Wi-Fi 裝置組態配置檔

在 Android Enterprise 裝置上，您可以使用基本和企業設定來建立 Wi-Fi 裝置組態配置檔。 在 [Microsoft Intune 系統管理中心] 中，選取 [裝置>管理裝置>>設定][建立>適用於平臺Wi-Fi的Android Enterprise>完全受控、專用和 Corporate-Owned 工作配置檔的新>原則>]。

當您建立配置檔時，可以使用 PAC 檔案設定 HTTP Proxy，或手動設定設定。 您可以為組織中的每個 Wi-Fi 網路設定 HTTP Proxy。

配置文件準備就緒時，您可以將此配置檔部署至完全受控、專用和 Corporate-Owned 工作配置檔裝置。

如需您可以設定之 Wi-Fi 設定的詳細資訊，請移至在 Microsoft Intune 中新增 Android Enterprise 專用和完全受控裝置的 Wi-Fi 設定。

適用於：

• Android Enterprise 完全受控、專用和 Corporate-Owned 工作配置檔

iOS/iPadOS 設定目錄支援宣告式裝置管理 (DDM)

在使用 使用者註冊註冊註冊的 iOS/iPadOS 15+ 裝置上，設定目錄會在設定設定時，自動使用 Apple 的宣告式裝置管理 (DDM) 。

• 使用 DDM 不需要採取任何動作。 此功能內建於設定目錄中。
• 不會影響設定目錄中的現有原則。
• 未啟用 DDM 的 iOS/iPadOS 裝置會繼續使用 Apple 的標準 MDM 通訊協定。

如需詳細資訊，請移至:

• 認識宣告式裝置管理 (開啟 Apple 的網站)
• Microsoft簡化 Apple 更新的 Intune 註冊
• 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定

適用於：

• 使用 Apple 使用者註冊註冊註冊的 iOS/iPadOS 15 或更新版本裝置

設定目錄中可用的新 macOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定，以及所有設定。 設定目錄中提供新的設定。 在 [Microsoft Intune 系統管理中心] 中，選取 [裝置>管理裝置>>] [設定][針對配置檔類型的平臺>設定目錄建立>新>原則macOS]。

新的設定包括：

Microsoft自動更新：

• 目前通道
• 最後倒數定時器的分鐘數

限制：

• 允許通用控制件

下列設定也位於設定目錄中。 之前，它們僅適用於範本：

認證 >可延伸 單一登入：

• 延伸模組數據
• 延伸模組識別碼
• Hosts
• Realm
• 屏幕鎖定行為
• 小組標識碼
• 類型
• URL

認證 >可延伸 單一登入 > 可延伸 單一登入 Kerberos：

• 延伸模組數據
• 允許自動登入
• 允許密碼變更
• 認證套件組合標識碼 ACL
• 認證使用模式
• 自定義使用者名稱標籤
• 延遲用戶設定
• 領域領域對應
• 說明文字
• 在套件組合標識碼 ACL 中包含 Kerberos 應用程式
• 在套件組合標識碼 ACL 中包含受控應用程式
• 為默認領域
• 監視認證快取
• 僅執行 Kerberos
• 慣用的 KDC
• 校長姓名
• 密碼變更URL
• 密碼通知天數
• 密碼重設複雜度
• 密碼重設歷程記錄
• 密碼重設長度
• 密碼重設最小壽命
• 密碼重設文字
• LDAP 需要 TLS
• 需要使用者目前狀態
• 月臺碼
• 同步本機密碼
• 使用網站自動探索
• 延伸模組識別碼
• Hosts
• Realm
• 小組標識碼
• 類型

如需在 Intune 中設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

適用於：

• macOS

設定目錄中的新 iOS/iPadOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定，以及所有設定。 設定目錄中有新的 iOS/iPadOS 設定可供使用。 在 [Microsoft Intune 系統管理中心] 中，選取 [裝置>管理裝置>>] [設定][建立>適用於配置檔類型的平臺>設定目錄的新原則>iOS/iPadOS]。 先前，這些設定僅適用於範本：

認證 >可延伸 單一登入：

• 延伸模組數據
• 延伸模組識別碼
• Hosts
• Realm
• 屏幕鎖定行為
• 小組標識碼
• 類型
• URL

認證 >可延伸 單一登入 > 可延伸 單一登入 Kerberos：

• 延伸模組數據
• 允許自動登入
• 認證套件組合標識碼 ACL
• 領域領域對應
• 說明文字
• 在套件組合標識碼 ACL 中包含受控應用程式
• 為默認領域
• 慣用的 KDC
• 校長姓名
• 需要使用者目前狀態
• 月臺碼
• 使用網站自動探索
• 延伸模組識別碼
• Hosts
• Realm
• 小組標識碼
• 類型

系統設定 > 鎖定畫面訊息：

• 資產標籤資訊
• 鎖定畫面腳注

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

適用於：

• iOS/iPadOS

監視及疑難排解

新的不符合規範的裝置和設定報告

在 [報告>裝置合規性>報告] 中，有新的 不符合規範的裝置和設定 組織報告。 此報告：

• 清單 每個不符合規範的裝置。
• 針對每個不符合規範的裝置，它會顯示裝置不符合規範的合規性原則設定。

如需此報告的詳細資訊，請移至 不符合規範的裝置和設定報告 (組織) 。

2022 年 8 月 1 日當周

裝置安全性

停用 Microsoft Tunnel 閘道伺服器上的 UDP 連線

您現在可以停用 Microsoft Tunnel 伺服器的 UDP 使用。 當您停用 UDP 時，VPN 伺服器僅支援來自通道用戶端的 TCP 連線。 若只要支援使用 TCP 連線，您的裝置必須使用正式推出的 適用於端點的 Microsoft Defender 版本作為 Microsoft Tunnel 用戶端應用程式作為通道用戶端應用程式。

若要停用 UDP，請建立或編輯 Microsoft Tunnel 閘道的伺服器組態，然後選取名為 [停用 UDP Connections] 新選項的複選框。

應用程式管理

適用於 Windows 大量應用程式安裝的 公司入口網站

適用於 Windows 的 公司入口網站 現在可讓使用者選取多個應用程式並大量安裝。 從 Windows 公司入口網站 的 [應用程式] 索引標籤，選取頁面右上角的 [多重選取檢視] 按鈕。 然後，選取您需要安裝之每個應用程式旁邊的複選框。 接下來，選取 [ 安裝選取的 ] 按鈕以開始安裝。 所有選取的應用程式都會同時安裝，而不需要使用者以滑鼠右鍵按下每個應用程式，或流覽至每個應用程式的頁面。 如需詳細資訊，請參閱在您的裝置上安裝和共用應用程式和如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式。

2022 年 7 月 25 日當周 (Service 2207)

裝置管理

從 Microsoft Intune 應用程式起始 AOSP 裝置的合規性檢查

您現在可以從 Microsoft Intune 應用程式起始 AOSP 裝置的合規性檢查。 移至 [裝置詳細數據]。 此功能適用於透過 Microsoft Intune 應用程式註冊為使用者相關聯 (Android) AOSP 裝置的裝置。

監視 Mac 上的啟動程式委付狀態

在 Microsoft Intune 系統管理中心監視已註冊 Mac 的啟動程式令牌委付狀態。 Intune 中名為 Bootstrap 令牌委付的新硬體屬性會報告啟動程式令牌是否已在 Intune 中委付。 如需macOS啟動程式令牌支援的詳細資訊，請參閱 啟動程式令牌。

啟用Android Enterprise裝置的通用準則模式

針對 Android Enterprise 裝置，您可以使用新的設定 [通用準則模式] 來啟用一組提升許可權的安全性標準，這些標準通常僅供高敏感性組織使用，例如政府機關。

適用於：

• Android 5.0 和更新版本
• Android Enterprise 公司擁有完全受控
• Android Enterprise 公司擁有的專用裝置
• Android Enterprise 公司擁有的工作配置檔

當您設定 Android Enterprise - 完全受控、專用和 Corporate-Owned 工作設定檔的裝置限制範本時，系統安全性類別中會找到新的設定 [通用準則模式]。

接收原則且 [ 通用準則] 模式 設定為 [ 需要] 的裝置，可提高包含但不限於下列安全性元件：

• 藍牙長期金鑰的 AES-GCM 加密
• Wi-Fi 組態存放區
• 封鎖開機載入器下載模式，這是軟體更新的手動方法
• 在刪除金鑰時強制執行額外的金鑰零化
• 防止未經驗證的藍牙連線
• 需要FOTA更新具有2048位 RSA-PSS 簽章

深入瞭解一般準則：

• 資訊安全性評估的一般準則 ，位於 commoncriteriaportal.org
• Android 管理 API 檔中的 CommonCriteriaMode
• Knox 深入探討：samsungknox.com 的常見準則模式

適用於在 iOS/iPadOS 和 macOS 上執行之個別裝置的新硬體詳細數據

在 Microsoft Intune 系統管理中心，選取 [裝置>][所有裝置>]選取其中一個列出的裝置，然後開啟其 [硬體詳細數據]。 您可以在個別裝置的 [ 硬體 ] 窗格中取得下列新詳細資料：

• 產品名稱：顯示裝置的產品名稱，例如 iPad8,12。 適用於 iOS/iPadOS 和 macOS 裝置。

如需詳細資訊，請參閱使用 Microsoft Intune 檢視裝置詳細數據。

適用於：

• iOS/iPadOS、macOS

遠端說明 版本：4.0.1.12 版

使用 遠端說明 4.0.1.12 時，引進了各種修正程式來解決未驗證時出現的「稍後再試一次」訊息。 修正程式也包含改良的自動更新功能。

如需詳細資訊，請參閱搭配 Intune 使用 遠端說明。

裝置註冊

Intune 支援在iOS/iPadOS和macOS設定助理期間使用新式驗證從另一個裝置登入

通過自動裝置註冊 (ADE) 的用戶現在可以透過從另一個裝置登入來進行驗證。 此選項適用於透過具有新式驗證的設定助理註冊的 iOS/iPadOS 和 macOS 裝置。 提示裝置使用者從另一個裝置登入的畫面會內嵌到設定助理中，並在註冊期間向他們顯示。 如需使用者登入程式的詳細資訊，請參閱 [取得 Intune 公司入口網站 應用程式 (。」/user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device) 。

偵測和管理 Windows Autopilot 裝置上的硬體變更

Microsoft Intune 現在會在偵測到 Autopilot 註冊裝置上的硬體變更時發出警示。 您可以在系統管理中心檢視和管理所有受影響的裝置。 此外，您可以從 Windows Autopilot 移除受影響的裝置，然後再次註冊它，以便考慮硬體變更。

裝置設定

新的 macOS Microsoft自動更新 (設定目錄中的 MAU) 設定

設定目錄支援Microsoft自動更新 (MAU 的設定) (裝置>管理裝置>設定> 針對設定檔類型) 的平台>設定目錄建立>新>原則macOS。

現在可以使用下列設定：

Microsoft自動更新：

• 自動認可數據收集原則
• 強制更新之前的天數
• 延後更新
• 停用 Office 測試人員成員資格
• 啟用 AutoUpdate
• 啟用更新檢查
• 啟用擴充記錄
• 啟動時註冊應用程式
• 更新快取伺服器
• 更新通道
• 更新檢查頻率 (分鐘)
• 更新程式優化技術

這些設定可用來設定下列應用程式的喜好設定：

• 公司入口網站
• Microsoft自動更新
• Microsoft Defender
• Microsoft Defender ATP
• Microsoft Edge
• Microsoft Edge Beta
• Microsoft Edge Canary
• Microsoft Edge Dev
• Microsoft Excel
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft 遠端桌面
• Microsoft Teams
• Microsoft Word
• OneDrive
• 商務用 Skype

如需設定目錄的詳細資訊，請移至：

• 您可以在 Intune 中使用 [設定目錄] 來完成的工作
• 在 Microsoft Intune 中使用設定目錄建立原則

如需可設定Microsoft自動更新設定的詳細資訊，請移至：

• 使用喜好設定來管理 Mac 版 Office 的隱私權控制 - 部署 Office。
• 設定來自 Microsoft 自動更新的更新期限

適用於：

• macOS

設定目錄中的新 iOS/iPadOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定，以及所有設定。 設定目錄中有新的 iOS/iPadOS 設定， (裝置>管理裝置>>設定建立>適用於配置檔類型之平臺>設定目錄的新原則>iOS/iPadOS) 。

新的設定包括：

聯網 > 行動資料：

• 允許的通訊協定遮罩
• 國內漫遊中允許的通訊協定遮罩
• 漫遊中允許的通訊協定遮罩
• 驗證類型
• 名稱
• 密碼
• Proxy 埠
• 代理伺服器
• 使用者名稱

下列設定也位於設定目錄中。 之前，它們僅適用於範本：

用戶體驗 > 通知：

• 群組類型
• 預覽類型
• 在汽車播放中顯示

印刷 > 空中列印：

• 強制 TLS
• 連接埠

應用程式管理 > 應用程式鎖定：

• 停用自動鎖定
• 停用裝置旋轉
• 停用響鈴開關
• 停用睡眠喚醒按鈕
• 停用觸控
• 停用音量按鈕
• 啟用輔助觸控
• 啟用反轉色彩
• 啟用Mono音訊
• 啟用讀出選取範圍
• 啟用語音控制
• 啟用語音轉移
• 啟用縮放
• 輔助觸控
• 反轉色彩
• 語音控制
• 語音結束
• 縮放

聯網 > 網域：

• Safari 密碼自動填滿網域

聯網 > 網路使用規則：

• 應用程式規則
• 允許行動數據
• 允許漫遊行動數據
• 應用程式識別碼相符專案

限制：

• 允許修改帳戶
• 允許活動接續
• 允許新增遊戲中心朋友
• 允許空中投車
• 允許空中列印
• 允許 Air Print 認證儲存
• 允許 Air Print iBeacon Discovery
• 允許修改應用程式行動數據
• 允許應用程式剪輯
• 允許應用程式安裝
• 允許移除應用程式
• 允許Apple個人化廣告
• 允許小幫手
• 允許助理用戶產生的內容
• 鎖定時允許助理
• 允許自動更正
• 允許自動解除鎖定
• 允許自動下載應用程式
• 允許藍牙修改
• 允許 Bookstore
• 允許 Bookstore Erotica
• 允許照相機
• 允許修改行動數據計劃
• 允許聊天
• 允許雲端備份
• 允許雲端檔案同步
• 允許雲端金鑰鏈同步
• 允許雲端相片媒體櫃
• 允許雲端私人轉送
• 允許連續路徑鍵盤
• 允許定義查閱
• 允許修改裝置名稱
• 允許診斷提交
• 允許修改診斷提交
• 允許聽寫
• 允許啟用限制
• 允許企業應用程式信任
• 允許企業書籍備份
• 允許企業書籍元數據同步
• 允許清除內容和設定
• 允許修改ESIM
• 允許明確內容
• 允許檔案網路驅動器機存取
• 允許檔案 USB 磁碟驅動器存取
• 允許尋找我的裝置
• 允許尋找朋友
• 允許尋找朋友修改
• 允許指紋解除鎖定
• 允許修改指紋
• 允許遊戲中心
• 漫遊時允許全域背景擷取
• 允許主機配對
• 在應用程式購買中允許
• 允許 iTunes
• 允許鍵盤快捷方式
• 允許列出的應用程式套件組合識別碼
• 允許鎖定畫面控制中心
• 允許鎖定畫面通知檢視
• 允許今天鎖定畫面檢視
• 允許郵件隱私權保護
• 允許 Managed Apps 雲端同步處理
• 允許 Managed 寫入 Unmanaged 聯繫人
• 允許多人遊戲
• 允許音樂服務
• 允許新聞
• 允許 NFC
• 允許修改通知
• 允許從 Managed 開啟至 Unmanaged
• 允許從 Unmanaged 開啟至受控
• 允許 OTAPKI 匯報
• 允許配對監看式
• 鎖定時允許 Passbook
• 允許修改密碼
• 允許密碼自動填滿
• 允許密碼鄰近性要求
• 允許密碼共用
• 允許個人熱點修改
• 允許相片 Stream
• 允許播客
• 允許預測性鍵盤
• 允許對新裝置進行鄰近設定
• 允許無線電服務
• 允許遠端螢幕觀察
• 允許Safari
• 允許螢幕快照
• 允許共用裝置暫存會話
• 允許共用 Stream
• 允許拼字檢查
• 允許焦點因特網結果
• 允許移除系統應用程式
• 允許 UI 應用程式安裝
• 允許安裝UI組態配置檔
• 允許 Unmanaged 讀取受控聯繫人
• 允許未配對的外部開機復原
• 允許不受信任的 TLS 提示
• 允許USB限制模式
• 允許視頻會議
• 允許語音撥號
• 允許建立 VPN
• 允許修改桌布
• 自主單一應用程式模式允許的應用程式標識碼
• 封鎖的應用程式套件組合標識碼
• 強制軟體更新延遲
• 強制空投 Unmanaged
• 強制 Air Play 傳出要求配對密碼
• 強制 Air Print 受信任的 TLS 需求
• 強制助理不雅內容篩選
• 自動填滿前強制驗證
• 強制自動日期和時間
• 強制教室自動加入班級
• 強制教室要求許可權離開班級
• 強制教室未受保護的應用程式和裝置鎖定
• 強制延遲軟體 匯報
• 強制加密備份
• 強制 iTunes Store 密碼輸入
• 強制限制廣告追蹤
• 僅限裝置強制聽寫
• 強制僅限裝置翻譯
• 強制監看監控偵測
• 強制開啟WiFi電源
• 僅強制WiFi使用允許的網路
• 需要 Managed Pasteboard
• Safari 接受 Cookie
• Safari 允許自動填寫
• Safari 允許 JavaScript
• Safari 允許快顯
• Safari 強制詐騙警告

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

適用於：

• iOS/iPadOS

設定目錄中可用的新 macOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定，以及所有設定。 [裝置管理裝置] [設定] (>>>> [平台設定] 目錄中的 [配置檔類型]) 的 [建立新原則>macOS>] 設定目錄中提供新的設定。

新的設定包括：

系統設定 > 系統延伸模組：

• 卸除式系統延伸模組

下列設定也位於設定目錄中。 之前，它們僅適用於範本：

系統設定 > 系統延伸模組：

• 允許使用者覆寫
• 允許的系統延伸模組類型
• 允許的系統延伸模組
• 允許的小組識別碼

如需在 Intune 中設定設定目錄設定檔的詳細資訊，請參閱使用設定目錄建立原則。

適用於：

• macOS

建立篩選器時預覽裝置中的新搜尋功能

在 Microsoft Intune 系統管理中心，您可以建立篩選，然後在指派應用程式和原則時使用這些篩選 (裝置>組織裝置>篩選>建立) 。

當您建立篩選時，您可以選取 [預覽裝置 ] 來查看符合篩選準則的已註冊裝置清單。 在 預覽裝置中，您也可以使用裝置名稱、OS 版本、裝置型號、裝置製造商、主要使用者的用戶主體名稱和裝置標識符來搜尋清單。

如需篩選的詳細資訊，請移至在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。

2022 年 7 月 18 日當周

裝置管理

協助偵錯 WMI 問題的新事件查看器

Intune 收集診斷的遠端動作已展開，以收集 Windows Management Instrumentation (WMI) 應用程式問題的詳細數據。

新的事件檢視器包括：

• Microsoft-Windows-WMI-Activity/Operational
• Microsoft-Windows-WinRM/Operational

如需 Windows 裝置診斷的詳細資訊，請參閱 從 Windows 裝置收集診斷。

2022 年 7 月 4 日當周

裝置管理

每個裝置型號的端點分析分數

端點分析現在會依 裝置型號顯示分數。 這些分數可協助系統管理員將環境中裝置型號的用戶體驗內容化。 所有端點分析報表都提供每個模型和每個裝置的分數，包括 隨處工作 報告。

監視及疑難排解

使用收集診斷來收集有關 Windows 加速更新的詳細數據

Intune 收集診斷的遠端動作現在會收集您部署至裝置之 Windows 加速更新的更多詳細數據。 這項資訊可在針對加速更新的問題進行疑難解答時使用。

收集的新詳細資料包括：

• 檔案： C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
• 登入機碼： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate