通过

Microsoft Intune 新增功能

  • 项目

了解 Microsoft Intune 每周新增功能。

还可以阅读:

注意

每个 每月更新 可能需要长达三天才能推出,其顺序如下:

  • 第 1 天: 亚太 (APAC)
  • 第 2 天: 欧洲、中东和非洲 (EMEA)
  • 第 3 天: 北美
  • 第 4 天起: Intune for Government

某些功能将在几周内推出,并且可能不会在第一周内向所有客户提供。

有关即将推出的 Intune 功能版本的列表,请参阅正在开发的 Microsoft Intune

有关 Windows Autopilot 解决方案的新信息,请参阅:

可以使用 RSS 以在更新此页面时收到通知。 有关详细信息,请参 如何使用文档

2024 年 6 月 24 日当周

设备注册

为 Windows 添加公司设备标识符

Microsoft Intune 现在支持运行 Windows 11 版本 22H2 及更高版本的设备的公司设备标识符,以便在注册之前识别公司计算机。 注册符合型号、制造商和序列号条件的设备时,Microsoft Intune 会将其标记为公司设备并启用相应的管理功能。 有关详细信息,请参阅 添加公司标识符

2024 年 6 月 17 日 (服务版本 2406)

Microsoft Intune 套件

对 MSI 和 PowerShell 文件类型的终结点特权管理支持

Endpoint Privilege Management (EPM) 提升规则 现在除了支持以前支持的可执行文件外,还支持提升 Windows Installer 和 PowerShell 文件。 EPM 支持的新文件扩展名包括:

  • .msi
  • .ps1

有关使用 EPM 的信息,请参阅 Endpoint Privilege Management

在 Microsoft 云 PKI 属性中查看证书颁发机构密钥类型

管理中心提供了名为 CA 密钥 的新 Microsoft Cloud PKI 属性,并显示用于签名和加密的证书颁发机构密钥类型。 属性将显示以下值之一:

  • HSM:指示使用硬件安全模块支持的密钥。
  • SW:指示使用软件支持的密钥。

使用许可的 Intune 套件或云 PKI 独立加载项创建的证书颁发机构使用 HSM 签名和加密密钥。 在试用期间创建的证书颁发机构使用软件支持的签名和加密密钥。 有关 Microsoft Cloud PKI 的详细信息,请参阅 Microsoft Cloud PKI for Microsoft Intune 概述

应用管理

US GCC 和 GCC 对托管主屏幕的高支持

托管主屏幕 (MHS) 现在支持美国政府社区 (GCC) 、美国政府社区 (GCC) High 以及美国国防部 (DoD) 环境登录。 有关详细信息,请参阅 配置托管主屏幕Microsoft Intune for US Government GCC 服务说明

应用于:

  • Android Enterprise

托管应用报表的更新

托管应用报表现在提供有关特定设备的企业应用目录应用的详细信息。 有关此报表的详细信息,请参阅 托管应用报表

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅 使用设置目录创建策略

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到 “设备>配置>”“>创建新策略>iOS/iPadOSmacOS for platform >设置目录” ,了解配置文件类型。

iOS/iPadOS

限制:

  • 允许 Web 分发应用安装

系统配置 > 字体

  • 字体
  • 名称
macOS

隐私 > 隐私首选项策略控制

  • 蓝牙始终

应用于:

  • iOS/iPadOS
  • macOS

OS 版本选取器可用于使用设置目录配置托管 iOS/iPadOS DDM 软件更新

使用 Intune 设置目录,可以将 Apple 的声明性设备管理 (DDM) 功能配置为管理 iOS/iPadOS 设备上的软件更新。

使用设置目录配置托管软件更新策略时,可以:

  • 从 Apple 提供的更新列表中选择目标 OS 版本。
  • 如果需要,请手动输入目标 OS 版本。

有关在 Intune 中配置托管软件更新配置文件的详细信息,请参阅 使用设置目录配置托管软件更新

应用于:

  • iOS/iPadOS

Intune 管理中心 UI 更新,位于“设备按平台”>

在 Intune 管理中心,可以选择“ 设备>按平台”,并查看所选平台的策略选项。 这些特定于平台的页面已更新,并包括用于导航的选项卡。

有关 Intune 管理中心的演练,请参阅 教程:Intune 管理中心Microsoft演练

设备注册

Windows 注册平台限制的 RBAC 更改

我们已针对 Microsoft Intune 管理中心中的所有注册平台限制更新了基于角色的访问控制 (RBAC) 。 全局管理员和 Intune 服务管理员角色可以创建、编辑、删除和重新设置注册平台限制。 对于所有其他内置 Intune 角色,限制是只读的。

适用于:

  • Android
  • Apple
  • Windows 10/11

请务必了解以下更改:

  • 范围标记行为不会更改。 可以像往常一样应用和使用范围标记。
  • 如果分配的角色或权限当前阻止用户查看注册平台限制,则不会发生任何更改。 用户仍无法在管理中心查看注册平台限制。

有关详细信息,请参阅 创建设备平台限制

设备管理

在 Intune 管理中心中完成了将 Wandera 替换为 Jamf 的更新

我们已在 Microsoft Intune 管理中心完成了品牌重塑,以支持将 Wandera 替换为 Jamf。 这包括对移动威胁防御连接器名称(现在为 Jamf)的更新,以及对使用 Jamf 连接器所需的最低平台的更改:

  • Android 11 及更高版本
  • iOS/iPadOS 15.6 及更高版本

有关 Intune 支持的 Jamf 和其他移动威胁防御 (MTD) 供应商的信息,请参阅 移动威胁防御合作伙伴

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Atom Edge (iOS) by Arlanto GmbH
  • HP Inc. 的 HP Advance for Intune
  • IntraActive by Fellowmind
  • Microsoft Azure (Android) by Microsoft Corporation
  • Mobile Helix Link for Intune by Mobile Helix
  • VPSX Print for Intune by Levi, Ray & Shoup, Inc.

有关受保护应用的详细信息,请参阅 Microsoft Intune 保护的应用

监视和疑难解答

在适用于 iOS 和 macOS 的公司门户应用中查看 BitLocker 恢复密钥

最终用户可以在适用于 iOS 的公司门户应用和适用于 macOS 的公司门户应用中查看已注册 Windows 设备的 BitLocker 恢复密钥和已注册的 Mac 的 FileVault 恢复密钥。 如果最终用户被锁定在其公司计算机外,此功能将减少支持人员呼叫。 最终用户可以通过登录到公司门户应用并选择“获取恢复密钥”来访问已注册设备的 恢复密钥。 此体验类似于公司门户网站上的恢复过程,后者还允许最终用户查看恢复密钥。

可以通过在 Entra ID Microsoft 中配置 限制非管理员用户恢复其自有设备的 BitLocker 密钥 设置来阻止组织中的最终用户访问 BitLocker 恢复密钥。

应用于:

  • macOS
  • Windows 10/11

有关更多信息,请参阅:

基于角色的访问控制

用于 Intune 终结点安全性的新精细 RBAC 控件

我们已开始将基于角色的访问控制 (RBAC) 安全 基线 权限授予的终结点安全策略的权限替换为针对特定终结点安全任务的一系列更精细的权限。 此更改可帮助分配 Intune 管理员执行特定作业所需的特定权限,而不是依赖于内置的Endpoint Security Manager 角色或包含安全基线权限的自定义角色。 在此更改之前, 安全基线 权限授予所有终结点安全策略的权限。

以下新的 RBAC 权限可用于终结点安全工作负载:

  • 适用于企业的应用控制
  • 攻击面减少
  • 终结点检测和响应

每个新权限都支持相关策略的以下权限:

  • Assign
  • 创建
  • 删除
  • 阅读
  • 更新
  • 查看报表

每次向 Intune 添加终结点安全策略的新精细权限时,将从 安全基线 权限中删除这些相同的权限。 如果使用具有 安全基线权限的 自定义角色,则新的 RBAC 权限会自动分配给具有通过 安全基线 权限授予的相同权限的自定义角色。 此自动分配可确保管理员继续拥有与现在相同的权限。

有关当前 RBAC 权限和内置角色的详细信息,请参阅:

重要

在此版本中,某些租户中可能会暂时显示针对终结点安全策略的 防病毒 细化权限。 此权限未发布,不支持使用。 Intune 忽略 防病毒 权限的配置。 当 防病毒 可用作精细权限时,将在 Intune Microsoft 新增功能 一文中宣布其可用性。

2024 年 6 月 3 日当周

设备注册

设备的新注册时间分组功能

注册时间分组是在注册期间对设备进行分组的一种更快速的新方法。 配置后,Intune 会将设备添加到相应的组,而无需进行清单发现和动态成员身份评估。 若要设置注册时间分组,必须在每个注册配置文件中配置静态Microsoft Entra 安全组。 设备注册后,Intune 会将其添加到静态安全组,并提供分配的应用和策略。

此功能适用于通过 Windows Autopilot 设备准备注册的 Windows 11 设备。 有关详细信息,请参阅 Microsoft Intune 中的注册时间分组

2024 年 5 月 27 日当周

Microsoft Intune 套件

远程帮助的新主终结点

为了改进 Windows、Web 和 macOS 设备上的 远程帮助 体验,我们更新了远程帮助的主终结点:

  • 旧主终结点: https://remoteassistance.support.services.microsoft.com
  • 新建主终结点: https://remotehelp.microsoft.com

如果使用远程帮助并具有阻止新主终结点的防火墙规则,则管理员和用户在使用“删除帮助”时可能会遇到连接问题或中断。

若要在 Windows 设备上支持新的主终结点,请将远程帮助升级到版本 5.1.124.0。 Web 和 macOS 设备不需要更新版本的远程帮助即可使用新的主终结点。

应用于:

  • macOS 11、12、13 和 14
  • Windows 10/11
  • ARM64 设备上的 Windows 11
  • ARM64 设备上的 Windows 10
  • Windows 365

有关最新版远程帮助的信息,请参阅 2024 年 3 月 13 日条目, 了解远程帮助的新增功能。 有关远程帮助的 Intune 终结点的信息,请参阅 Microsoft Intune 的网络终结点中的远程帮助

设备管理

评估适用于 Linux 的 Windows 子系统 (公共预览版) 的合规性

现在,Microsoft Intune 支持对 Windows 主机设备上运行的适用于 Linux (WSL) 实例的符合性检查。

在此预览版中,可以创建自定义符合性脚本,用于评估 WSL 的所需分发和版本。 WSL 符合性结果包含在主机设备的总体符合性状态中。

应用于:

  • Windows 10
  • Windows 11

有关此功能的信息,请参阅 评估适用于 Linux 的 Windows 子系统的符合性 (公共预览版)

2024 年 5 月 20 日 (服务版本 2405)

设备配置

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

macOS 设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心,转到 “设备>管理设备>”“配置>”“>创建新策略>”“macOS for platform >”设置目录“ ,了解配置文件类型。

Microsoft AutoUpdate (MAU)

  • Microsoft Teams (工作或学校)
  • Microsoft Teams 经典版

Microsoft Defender > 功能

  • 使用数据丢失防护
  • 使用系统扩展

有关在 Intune 中配置设置目录配置文件的详细信息,请参阅 使用设置目录创建策略

应用于:

  • macOS

设备注册

暂存 Android 设备注册以减少最终用户的步骤

为了减少最终用户的注册时间,Microsoft Intune 支持 Android Enterprise 设备的设备暂存。 使用 设备暂存,可以暂存注册配置文件,并完成接收这些设备的辅助角色的所有相关注册步骤:

  • 公司拥有的完全托管设备
  • 具有工作配置文件的公司自有设备

当一线员工收到设备时,他们只需连接到 Wi-Fi 并登录到其工作帐户。 需要新的 设备暂存令牌 才能启用此功能。 有关详细信息,请参阅 设备暂存概述

设备管理

最终用户对已注册 Windows 设备的 BitLocker 恢复密钥的访问权限

最终用户现在可以从公司门户网站查看已注册 Windows 设备的 BitLocker 恢复密钥。 在最终用户被锁定在其公司计算机外时,此功能可以减少支持人员呼叫。 最终用户可以通过登录到公司门户网站并选择“显示恢复密钥”来访问已注册设备的 恢复密钥。 此体验类似于 MyAccount 网站,后者还允许最终用户查看恢复密钥。

可以通过配置 Entra ID 切换“ 限制非管理员用户恢复 BitLocker 密钥 (自己的设备) 来阻止组织中的最终用户访问 BitLocker 恢复密钥。

有关更多信息,请参阅:

新版本的 Windows 硬件证明报告

我们发布了新版本的 Windows 硬件证明报告,其中显示了设备运行状况证明所证明的设置值,并Microsoft适用于 Windows 10/11 的 Azure 证明。 Windows 硬件证明报表基于新的报告基础结构生成,并报告添加到 Azure 证明Microsoft的新设置。 可在管理中心的“报告设备符合性>报告>”下获取该报表

有关详细信息,请参阅 Intune 报表

以前在“设备监视器”>下提供的 Windows 运行状况证明报告已停用。

应用于:

  • Windows 10
  • Windows 11

监视设备删除操作

现在可以在 Intune 的 “设备操作” 报告中监视和跟踪设备删除操作。 可以确定设备删除操作的触发时间、启动者以及操作的状态。 设备删除操作的状态为已完成、挂起或失败。 此设备信息对于帮助维护合规性、确保安全性和简化审核过程非常有用。 可以通过选择“设备监视>设备>操作”,在 Microsoft Intune 管理中心中找到报表。

有关报表的详细信息,请参阅 Intune 报表

可选功能更新

功能更新现在可以作为 可选 更新提供给最终用户,并引入了 可选 功能更新。 最终用户将在 Windows 更新 设置页中看到更新,其显示方式与为使用者设备显示的方式相同。

最终用户可以轻松选择加入以试用下一个功能更新并提供反馈。 当需要将该功能作为 必需 更新推出时,管理员可以更改策略上的设置,并更新推出设置,以便将更新作为 必需 更新部署到尚未安装它的设备。

有关可选功能更新的详细信息,请参阅 Intune 中 Windows 10 及更高版本策略的功能更新

应用于:

  • Windows 10
  • Windows 11

设备安全性

更新了 Microsoft Defender for Endpoint 的安全基线

现在可以为 Microsoft Defender for Endpoint 部署 Intune 安全基线。 新基线 版本 24H1 使用“设置目录”中显示的统一设置平台,该平台具有改进的用户界面和报告体验、通过设置纹身实现的一致性和准确性改进,以及支持配置文件分配筛选器的新功能。

使用 Intune 安全基线 有助于维护 Windows 设备的最佳做法配置,并有助于将配置快速部署到 Windows 设备,这些配置符合Microsoft适用的安全团队的安全建议。

与所有基线一样,默认基线表示每个设置的建议配置,你可以修改这些配置以满足组织的要求。

应用于:

  • Windows 10
  • Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Fellow.app 由 Fellow Insights Inc
  • Unique AG 提供的唯一时刻

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 5 月 6 日当周

设备管理

Intune 和 macOS 公司门户应用支持平台 SSO (公共预览版)

在 Apple 设备上,可以使用 Microsoft Intune 和 Microsoft Enterprise SSO 插件为支持 Microsoft Entra 身份验证的应用和网站(包括 Microsoft 365)配置单一登录 (SSO) 。

在 macOS 设备上,平台 SSO 以公共预览版提供。 平台 SSO 允许配置不同的身份验证方法、简化用户的登录过程并减少他们需要记住的密码数,从而扩展 SSO 应用扩展。

平台 SSO 包含在公司门户应用版本 5.2404.0 及更新版本中。

有关平台 SSO 和入门的详细信息,请参阅:

应用于:

  • macOS 13 及更高版本

租户管理

自定义 Intune 管理中心体验

现在可以使用可折叠导航和收藏夹自定义 Intune 管理中心体验。 Microsoft Intune 管理中心的左侧导航菜单已更新,以支持展开和折叠菜单的每个子部分。 此外,还可以将管理中心页面设置为收藏夹。 此门户功能将于下周逐步推出。

默认情况下,菜单部分已展开。 可以通过选择右上角的 “设置” 齿轮图标来显示 门户设置来选择门户菜单行为。 然后,选择“ 外观 + 启动视图 ”,并将“ 服务”菜单行为 设置为 “折叠” 或“ 展开” 作为默认门户选项。 每个菜单部分都保留所选的展开或折叠状态。 此外,选择左侧导航上某个页面旁边的星形图标会将页面添加到菜单顶部附近的 “收藏夹 ”部分。

有关相关信息,请参阅 更改门户设置

2024 年 4 月 29 日当周

应用管理

托管主屏幕体验的更新

我们最近发布了并改进了托管主屏幕体验,现已正式发布。 应用经过重新设计,可改进整个应用程序的核心工作流。 更新后的设计提供了更可用、更受支持的体验。

发布后,我们不再投资以前的托管主屏幕工作流。 托管主屏幕的新功能和修补程序仅添加到新体验中。 在 2024 年 8 月期间,将自动为所有设备启用新体验。

有关详细信息,请参阅配置适用于 Android Enterprise 和 Android Enterprise 设备的Microsoft托管主屏幕应用设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能

要求最终用户输入 PIN 以恢复托管主屏幕上的活动

在 Intune 中,可以要求最终用户输入其会话 PIN,以便在设备在指定时间段内处于非活动状态后在托管主屏幕上恢复活动。 将“ 需要会话 PIN 之前的最短非活动时间 ”设置设置为最终用户必须输入其会话 PIN 之前设备处于非活动状态的秒数。

有关详细信息,请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用

托管主屏幕提供的设备 IPv4 和 IPv6 详细信息

现在,可从托管主屏幕应用的 “设备信息 ”页获取 IPv4 和 IPv6 连接详细信息。 有关详细信息,请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用

托管主屏幕登录支持的更新

托管主屏幕现在支持无域登录。 管理员可以配置域名,该域名将在登录时自动追加到用户名中。 此外,托管主屏幕支持在登录过程中向用户显示的自定义登录提示文本。

有关详细信息,请参阅配置适用于 Android Enterprise 和 Android Enterprise 设备的Microsoft托管主屏幕应用设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能

允许最终用户控制 Android Enterprise 设备自动轮换

在 Intune 中,现在可以在托管主屏幕应用中公开一个设置,该设置允许最终用户打开和关闭设备的自动旋转。 有关详细信息,请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用

允许最终用户调整 Android Enterprise 设备屏幕亮度

在 Intune 中,可以公开托管主屏幕应用中的设置,以调整 Android Enterprise 设备的屏幕亮度。 可以选择在应用中公开设置,以允许最终用户访问亮度滑块以调整设备屏幕亮度。 此外,可以公开设置,以允许最终用户切换自适应亮度。

有关详细信息,请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用

已从 Xamarin 迁移到 .NET MAUI

Xamarin.Forms 已发展成为 .NET 多平台应用 UI (MAUI) 。 现有 Xamarin 项目应迁移到 .NET MAUI。 有关将 Xamarin 项目升级到 .NET 的详细信息,请参阅 从 Xamarin 升级到 .NET & .NET MAUI 文档。

截至 2024 年 5 月 1 日,所有 Xamarin SDK(包括 Xamarin.Forms 和 Intune 应用 SDK Xamarin 绑定)的 Xamarin 支持已结束。 有关 Android 和 iOS 平台上的 Intune 支持,请参阅 Intune App SDK for .NET MAUI - AndroidMicrosoft Intune App SDK for MAUI.iOS

2024 年 4 月 22 日 (服务版本 2404)

应用管理

Win32 应用取代的自动更新可用

Win32 应用取代提供了取代部署为 自动更新意向的应用 的功能。 例如,如果将 Win32 应用 (应用 A) 部署为可用且由用户在其设备上安装,则可以创建一个新的 Win32 应用 (应用 B) ,以使用 自动更新取代应用 A。 从公司门户安装应用 A 的所有目标设备和用户将被应用 B 取代。此外,只有应用 B 显示在公司门户中。 可以在“分配”选项卡的“可用分配”下找到可用应用取代的自动更新功能。

有关应用取代的详细信息,请参阅 添加 Win32 应用取代

设备配置

当 OEMConfig 策略在 Android Enterprise 设备上超过 500 KB 时显示错误消息

在 Android Enterprise 设备上,可以使用 OEMConfig 设备配置文件添加、创建和/或自定义特定于 OEM 的设置。

创建超过 500 KB 的 OEMConfig 策略时,Intune 管理中心中会显示以下错误:

Profile is larger than 500KB. Adjust profile settings to decrease the size.

以前,超过 500 KB 的 OEMConfig 策略显示为挂起。

有关 OEMConfig 配置文件的详细信息,请参阅 在 Microsoft Intune 中通过 OEMConfig 使用和管理 Android Enterprise 设备

应用于:

  • Android Enterprise

设备安全性

用于处理防火墙规则的 Windows 防火墙 CSP 更改

Windows 更改了防火墙配置服务提供程序 (CSP) 从防火墙规则的原子块强制实施规则的方式。 设备上的 Windows 防火墙 CSP 通过 Intune 终结点安全防火墙策略实现防火墙规则设置。 CSP 行为的更改现在强制实施每个 Atomic 规则块中的防火墙规则的全有或全无应用程序。

  • 以前,设备上的 CSP 会通过原子规则块中的防火墙规则 - 一个规则 (或一次设置) ,目的是应用该 Atomic 块中的所有规则,或者不应用任何规则。 如果 CSP 遇到将块中的任何规则应用于设备的问题,CSP 不仅会停止该规则,还会停止处理后续规则,而不尝试应用这些规则。 但是,在规则失败之前成功应用的规则将继续应用于设备。 此行为可能导致在设备上部分部署防火墙规则,因为在规则应用失败之前应用的规则不会撤消。

  • 更改防火墙 CSP 后,当块中的任何规则未能应用于设备时,将回滚来自已成功应用的同一 Atomic 块中的所有规则。 此行为可确保实现所需的“全有或全无”行为,并防止从该块中部分部署防火墙规则。 例如,如果设备收到防火墙规则的 Atomic 块,该块具有无法应用的错误配置规则,或者具有与设备操作系统不兼容的规则,则 CSP 会从该块中失败所有规则,并且,它会回滚应用于该设备的任何规则。

此防火墙 CSP 行为更改适用于运行以下 Windows 版本或更高版本的设备:

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

有关 Windows 防火墙 CSP 如何使用原子块来包含防火墙规则的主题的详细信息,请参阅 Windows 文档中 防火墙 CSP 顶部附近的说明。

有关故障排除指南,请参阅 Intune 支持博客 如何跟踪和排查 Intune Endpoint Security Firewall 规则创建过程的问题

CrowdStrike - 新的移动威胁防御合作伙伴

我们已将 CrowdStrike Falcon 添加为与 Intune (MTD) 合作伙伴的集成移动威胁防御。 通过在 Intune 中配置 CrowdStrike 连接器,可以使用基于合规性策略中的风险评估的条件访问来控制移动设备对公司资源的访问。

在 Intune 2404 服务版本中,CrowdStrike 连接器现已在管理中心提供。 但是,在 CrowdStrike 发布支持 iOS 和 Android 设备所需的应用配置文件详细信息之前,它才可用。 配置文件详细信息预计将在 5 月第二周之后的某个时候公布。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Asana: Asana, Inc. 在一个地方工作。
  • Freshservice for Intune by Freshworks, Inc.
  • Kofax Power PDF Mobile by 布林自动化公司
  • Microsoft公司的远程桌面

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

监视和疑难解答

Windows 更新分发报告

Intune 中的 Windows 更新分发报表提供汇总报表。 此报告显示:

  • 每个质量更新级别的设备数。
  • Intune 托管设备(包括共同管理设备)中每次更新的覆盖率百分比。

可以在报表中进一步向下钻取每个质量更新,该更新基于 Windows 10/11 功能版本和更新状态聚合设备。

最后,管理员可以获取与前两个报表中显示的数字相聚合的设备列表,这些数字也可以导出并用于故障排除和分析以及适用于企业的 Windows 更新报表。

有关 Windows 更新分发报告的详细信息,请参阅 Intune 上的 Windows 更新报告

应用于:

  • Windows 10
  • Windows 11

Intune 支持 Microsoft 365 远程应用程序诊断

Microsoft 365 远程应用程序诊断允许 Intune 管理员直接从 Intune 控制台请求 Intune 应用保护日志和Microsoft 365 应用程序日志 ((如果适用) )。 可以通过选择“故障排除 + 支持>>排查选择用户>摘要>应用保护*”,在 Microsoft Intune 管理中心找到此报告。 此功能仅适用于 Intune 应用保护管理下的应用程序。 如果受支持,则会收集特定于应用程序的日志并将其存储在每个应用程序的专用存储解决方案中。

有关详细信息,请参阅 从 Intune 托管设备收集诊断

远程帮助支持完全控制 macOS 设备

远程帮助现在支持支持人员连接到用户设备并请求完全控制 macOS 设备。

有关更多信息,请参阅:

应用于:

  • macOS 12、13 和 14

2024 年 4 月 15 日当周

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Atom Edge by Arlanto Apps

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 4 月 1 日当周

设备管理

Intune 管理中心提供 Intune 中的 Copilot (公共预览版)

Intune 中的 Copilot 集成到 Intune 管理中心中,可帮助你快速获取信息。 可以在 Intune 中使用 Copilot 执行以下任务:

Copilot 可以帮助你管理设置和策略

  • 有关设置的 Copilot 工具提示:向策略添加设置或查看现有策略中的设置时,会有一个新的 Copilot 工具提示。 选择工具提示时,你将获得基于Microsoft内容和建议的 AI 生成的指南。 可以查看每个设置的作用、设置的工作原理、任何建议的值以及设置是否在另一个策略中配置,等等。

  • 策略摘要生成器:在现有策略上,可获取策略的 Copilot 摘要。 摘要介绍了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。

Copilot 显示设备详细信息,可帮助进行故障排除

  • 有关设备的所有信息:在设备上,可以使用 Copilot 获取有关设备的关键信息,包括其属性、配置和状态信息。

  • 设备比较:使用 Copilot 比较两个设备的硬件属性和设备配置。 此功能可帮助你确定配置相似的两台设备之间的不同之处,尤其是在进行故障排除时。

  • 错误代码分析器:在设备视图中使用 Copilot 分析错误代码。 此功能可帮助你了解错误的含义并提供潜在的解决方法。

Copilot for Security 中的 Intune 功能

Intune 具有 Copilot for Security 门户中提供的功能。 SOC 分析师和 IT 管理员可以使用这些功能来获取有关策略、设备、组成员身份等的详细信息。 在单个设备上,可以获取 Intune 特有的更具体信息,例如符合性状态、设备类型等。

还可以让 Copilot 告诉你有关用户设备的信息,并快速获取关键信息的摘要。 例如,输出显示指向 Intune 中用户设备的链接、设备 ID、注册日期、上次签入日期和符合性状态。 如果你是 IT 管理员并正在查看用户,则此数据提供快速摘要。

作为正在调查可疑或可能遭到入侵的用户或设备的 SOC 分析师,注册日期和上次签入等信息可以帮助你做出明智的决策。

有关这些功能的详细信息,请参阅:

应用于:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

GCC 客户可以使用适用于 Windows 和 Android 设备的远程帮助

Microsoft Intune 套件包括高级终结点管理和安全功能,包括远程帮助。

在 Windows 和已注册的 Android Enterprise 专用设备上,可以在美国政府 GCC 环境中使用远程帮助。

有关这些功能的详细信息,请参阅:

应用于:

  • windows 10/11
  • ARM64 设备上的 Windows 10/11
  • Windows 365
  • 注册为 Android Enterprise 专用设备的 Samsung 和 Zebra 设备

设备配置

OEM 的新 BIOS 设备配置文件

OEM 提供了新的 BIOS 配置和其他设置 设备配置策略。 管理员可以使用此新策略启用或禁用保护设备的不同 BIOS 功能。 在 Intune 设备配置策略中,添加 BIOS 配置文件,部署 Win32 应用,然后将策略分配给设备。

例如,管理员可以使用 Dell 命令工具 (打开 Dell 网站) 创建 BIOS 配置文件。 然后,将此文件添加到新的 Intune 策略。

有关此功能的详细信息,请参阅 在 Microsoft Intune 中使用 Windows 设备上的 BIOS 配置文件

适用对象

  • Windows 10 及更高版本

2024 年 3 月 25 日 (服务版本 2403)

Microsoft Intune 套件

Endpoint Privilege Management 的新提升类型

终结点特权管理具有新的文件提升类型, 支持已批准。 终结点特权管理是 Microsoft Intune 套件的功能组件,也可用作独立 Intune 加载项

支持批准的提升为默认提升响应和每个规则的提升类型提供了第三个选项。 与自动或用户确认不同,支持批准的提升请求需要 Intune 管理员管理哪些文件可以按具体情况作为提升运行。

借助支持批准的提升,用户可以请求审批,以提升自动规则或用户批准的规则未明确允许提升的应用程序。 这采用提升请求的形式,必须由可以批准或拒绝提升请求的 Intune 管理员评审。

请求获得批准后,系统会通知用户应用程序现在可以以提升身份运行,并且他们有 24 小时的时间在提升审批过期之前执行此操作。

应用于:

  • Windows 10
  • Windows 11

有关此新功能的详细信息,请参阅 支持批准的提升请求

应用管理

个人拥有的 Android 设备上具有工作配置文件的托管 Google Play 应用的扩展功能

有一些新功能已扩展到工作配置文件设备。 以下功能以前仅在公司拥有的设备上可用:

  • 设备组的可用应用:可以使用 Intune 通过托管的 Google Play 商店向设备组提供应用。 以前,应用只能提供给用户组。

  • 更新优先级设置:可以使用 Intune 在具有工作配置文件的设备上配置应用更新优先级。 若要了解有关此设置的详细信息,请参阅 更新托管的 Google Play 应用

  • 必需应用在托管 Google Play 中显示为可用:可以使用 Intune 通过托管的 Google Play 商店向用户提供所需的应用。 作为现有策略一部分的应用现在显示为可用。

这些新功能将在几个月内分阶段推出。

应用于:

  • Android Enterprise 个人拥有的工作配置文件设备

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅 使用设置目录创建策略

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到 “设备>管理设备>”“配置>”“>创建新策略>iOS/iPadOSmacOS ”平台 >配置文件类型的“设置目录 ”。

iOS/iPadOS

声明性设备管理 (DDM) > 密码

  • 最大密码期限(天)
  • 最小复杂字符数
  • 需要字母数字密码

限制:

  • 允许市场应用安装
macOS

声明性设备管理 (DDM) > 密码

  • 下一次身份验证时更改
  • 自定义正则表达式
  • 失败的尝试重置(以分钟为单位)
  • 最大密码期限(天)
  • 最小复杂字符数
  • 需要字母数字密码

完整磁盘加密 > FileVault

  • 恢复密钥轮换(以月为单位)

Windows 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到 “设备>管理设备>”“配置>”“创建新>策略>”“Windows 10 及更高版本 ”,了解配置文件类型的平台 >设置目录

  • 传递优化

    • DO 禁止在 VPN 上下载缓存服务器 - 当设备使用 VPN 进行连接时,此设置会阻止从Microsoft连接的缓存服务器下载内容。 默认情况下,使用 VPN 连接时,允许设备从Microsoft连接缓存下载。

    • DO 将小时数设置为限制后台下载带宽 - 此设置指定最大后台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽,占可用下载带宽的百分比。

    • DO 将小时数设置为限制前台下载带宽 - 此设置指定最大前台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽,占可用下载带宽的百分比。

    • DO Vpn 关键字 - 此策略允许设置一个或多个用于识别 VPN 连接的关键字。

  • 消息传送

    • 允许消息同步 - 此策略设置允许将手机网络短信备份和还原到Microsoft的云服务。

  • Microsoft Defender 防病毒

    • 指定扫描存档文件的最大深度
    • 指定要扫描的存档文件的最大大小

有关这些设置的详细信息,请参阅:

应用于:

  • Windows 10 及更高版本

添加到 Windows 设备的防病毒策略的新存档文件扫描设置

我们在适用于适用于 Windows 10 和 Windows 11 设备的终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件中添加了以下两个设置:

使用防病毒策略,可以在 Intune 注册的设备和通过 Defender for Endpoint 安全设置管理 方案管理的设备上管理这些设置。

设备管理设备>配置>创建新>策略>Windows 10 及更高版本的设置目录中>也提供了这两种设置,用于配置文件类型 >Defender 的平台>设置目录。

应用于:

  • Windows 10
  • Windows 11

对分配筛选器的更新

可以使用 Intune 分配筛选器 根据创建的规则分配策略。

现在,你可以:

  • 对窗口 MAM 应用保护策略和应用配置策略使用托管应用分配筛选器。
  • 平台以及 托管应用托管设备 筛选器类型筛选现有分配筛选器。 当有多个筛选器时,此功能可更轻松地查找所创建的特定筛选器。

有关这些功能的详细信息,请参阅:

此功能适用于:

  • 以下平台上的托管设备

    • Android 设备管理员
    • Android Enterprise
    • Android (AOSP)
    • iOS/iPadOS
    • macOS
    • windows 10/11

  • 以下平台上的托管应用

    • Android
    • iOS/iPadOS
    • Windows

设备管理

新的符合性设置允许使用硬件支持的安全功能验证设备完整性

名为“ 使用硬件支持的安全功能检查强完整性 ”的新符合性设置允许使用硬件支持的密钥证明来验证设备完整性。 如果配置此设置,则会将强完整性证明添加到 Google Play 的完整性判断评估中。 设备必须满足设备完整性才能保持合规性。 Microsoft Intune 将不支持此类完整性检查的设备标记为不符合。

此设置在“ 设备运行状况>Google Play 保护”下的 Android Enterprise 完全托管、专用和企业拥有的工作配置文件中可用。 仅当配置文件中的“播放完整性判断”策略设置为 “检查基本完整性” 或“ 检查基本完整性 & 设备完整性”时,它才可用。

应用于:

  • Android Enterprise

有关详细信息,请参阅 设备符合性 - Google Play 保护

Android 工作配置文件、个人设备的新符合性设置

现在,可以在不影响设备密码的情况下为工作配置文件密码添加符合性要求。 所有新的 Microsoft Intune 设置在 Android Enterprise 个人拥有的工作配置文件中的 “系统安全>工作配置文件安全性”下提供,其中包括:

  • 需要密码才能解锁工作配置文件
  • 密码还剩多少天到期
  • 阻止重用的曾用密码数
  • 最长经过多少分钟的非活动状态后需要提供密码
  • 密码复杂性
  • 所需密码类型
  • 最短密码长度

如果工作配置文件密码不符合要求,公司门户会将设备标记为不符合要求。 Intune 符合性设置优先于 Intune 设备配置文件中的相应设置。 例如,合规性配置文件中的密码复杂性设置为 中等。 设备配置文件中的密码复杂性设置为 “高”。 Intune 确定合规性策略的优先级并强制实施。

应用于:

  • Android Enterprise 个人拥有的工作配置文件设备

有关详细信息,请参阅 合规性设置 - Android Enterprise

用于加速非安全更新的 Windows 质量更新支持

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于:

  • Windows 11 设备

有关安装加速更新的详细信息,请参阅 在 Microsoft Intune 中加快 Windows 质量更新

引入远程操作以暂停配置刷新强制间隔

在 Windows 设置目录中,可以配置 配置刷新。 此功能使你可以设置 Windows 设备的节奏,以便重新应用以前收到的策略设置,而无需设备签入 Intune。 设备将根据以前收到的策略重播和重新强制实施设置,以最大程度地减少配置偏差的可能性。

为了支持此功能,添加了远程操作以允许暂停操作。 如果管理员需要在设备上进行更改或运行修正以进行故障排除或维护,他们可以在指定时间段内从 Intune 发出暂停。 当期限过期时,将再次强制实施设置。

可以从设备摘要页访问“ 暂停配置刷新 ”远程操作。

有关更多信息,请参阅:

设备安全性

更新了 Windows 版本 23H2 的安全基线

现在可以为 Windows 版本 23H2 部署 Intune 安全基线。 此新基线基于 Microsoft 下载中心的“安全性合规性工具包和基线”中找到的组策略安全基线版本 23H2,仅包括适用于通过 Intune 管理的设备的设置。 使用此更新的基线有助于维护 Windows 设备的最佳做法配置。

此基线使用设置目录中的统一设置平台。 它具有改进的用户界面和报告体验、与设置纹身相关的一致性和准确性改进,并且可以支持配置文件的分配筛选器。

使用 Intune 安全基线 可帮助你快速将配置部署到 Windows 设备,这些配置符合 Microsoft 适用的安全团队的安全建议。 与所有基线一样,默认基线表示建议的配置,你可以修改这些配置以满足组织的要求。

应用于:

  • Windows 10
  • Windows 11

若要查看包含的新基线设置及其默认配置,请参阅 Windows MDM 安全基线版本 23H2

使用 Podman 的无根实现托管Microsoft隧道

满足先决条件后,可以使用无根 Podman 容器来托管Microsoft Tunnel 服务器。 使用 Podman for Red Hat Enterprise Linux (RHEL) 8.8 或更高版本来托管 Microsoft Tunnel 时,此功能可用。

使用无根 Podman 容器时,mstunnel 服务在非特权服务用户下运行。 此实现有助于限制容器转义的影响。 若要使用无根 Podman 容器,必须使用修改的命令行启动隧道安装脚本。

有关此 Microsoft Tunnel 安装选项的详细信息,请参阅 使用无根 Podman 容器

对 Microsoft Defender for Endpoint 的 Intune 部署的改进

在使用 Intune 的终结点检测和响应 (EDR) 策略时,我们改进了将设备载入 Microsoft Defender 的体验、工作流和报告详细信息。 这些更改适用于由 Intune 和租户附加方案管理的 Windows 设备。 这些改进包括:

  • 更改 EDR 节点、仪表板和报表,以提高 Defender EDR 部署编号的可见性。 请参阅 关于终结点检测和响应节点

  • 一个新的租户范围选项,用于部署预配置的 EDR 策略,以简化将 Defender for Endpoint 部署到适用的 Windows 设备。 请参阅 使用预配置的 EDR 策略

  • 对终结点安全节点的 Intune 的“概述”页所做的更改。 这些更改提供托管设备上的 Defender for Endpoint 设备信号报告的综合视图。 请参阅 使用预配置的 EDR 策略

这些更改适用于管理中心的终结点安全性、终结点检测和响应节点以及以下设备平台:

  • Windows 10
  • Windows 11

Windows 质量更新支持加快非安全更新

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于:

  • Windows 11 设备

有关安装加速更新的详细信息,请参阅 在 Microsoft Intune 中加快 Windows 质量更新

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Cerby by Cerby, Inc.
  • OfficeMail Go by 9Folders, Inc.
  • DealCloud by Intapp, Inc.
  • Intapp 2.0 由 Intapp, Inc.

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 3 月 3 日当周

设备注册

Windows Hello 企业版注册设置的基于角色的访问控制更改

我们在 Windows Hello 企业版注册区域中更新了基于角色的访问控制 (RBAC) 。 与 Windows Hello 企业版相关的注册设置对于除 Intune 服务管理员之外的所有角色都是只读的。 Intune 服务管理员可以创建和编辑 Windows Hello 企业版注册设置。

有关详细信息,请参阅设备注册时 Windows Hello 中的基于角色的访问控制一文。

设备安全性

Windows Hello 企业版的新注册配置

Intune 管理中心提供了新的 Windows Hello 企业版注册设置 “启用增强登录安全性 ”。 增强的登录安全性是一项 Windows Hello 功能,可防止恶意用户通过外部外围设备访问用户生物识别。

有关此设置的详细信息,请参阅 创建 Windows Hello 企业版策略

不合规电子邮件通知中支持的 HTML 格式

Intune 现在支持所有平台的不合规电子邮件通知中的 HTML 格式设置。 可以使用支持的 HTML 标记向组织的邮件添加斜体、URL 链接和项目符号列表等格式。

有关详细信息,请参阅 创建通知消息模板

2024 年 2 月 26 日当周

Microsoft Intune 套件

新的 Microsoft 云 PKI 服务

使用 Microsoft 云 PKI 服务简化和自动化 Intune 托管设备的证书生命周期管理。 Microsoft云 PKI 是 Microsoft Intune 套件的功能组件,也可用作独立 Intune 加载项。 基于云的服务为组织提供专用 PKI 基础结构,不需要本地服务器、连接器或硬件。 Microsoft云 PKI 自动颁发、续订和吊销支持 SCEP 证书设备配置文件的所有 OS 平台的证书。 颁发的证书可用于对 Wi-Fi、VPN 和其他支持基于证书的身份验证的服务进行基于证书的身份验证。 有关详细信息,请参阅 Microsoft Cloud PKI 概述

应用于:

  • Windows
  • Android
  • iOS/iPadOS
  • macOS

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Cinebody by Super 6 LLC

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 2 月 19 日 (服务版本 2402)

应用管理

Android 应用的更多应用配置权限

可以使用应用配置策略为 Android 应用配置六个新权限。 具体包括:

  • 允许背景人体传感器数据
  • 媒体视频 (阅读)
  • 媒体图像 (读取)
  • 媒体音频 (读取)
  • 附近的 Wifi 设备
  • 附近的设备

有关如何使用 Android 应用的应用配置策略的详细信息,请参阅 为托管 Android Enterprise 设备添加应用配置策略

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Bob HR by Hi Bob Ltd
  • ePRINTit SAAS by ePRINTit USA LLC
  • Microsoft公司Microsoft Copilot

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

更新到 Windows 上的 Intune 管理扩展

若要支持扩展功能和 bug 修复,请将 .NET Framework 4.7.2 或更高版本与 Windows 客户端上的 Intune 管理扩展配合使用。 如果 Windows 客户端继续使用早期版本的 .NET Framework,Intune 管理扩展将继续正常运行。 自 2018 年 7 月 10 日起,Windows 更新提供 .NET Framework 4.7.2,它包含在 Windows 10 1809 (RS5) 及更新中。 多个版本的 .NET Framework 可以在设备上共存。

应用于:

  • Windows 10
  • Windows 11

设备配置

在 Endpoint Privilege Management (EPM) 策略上使用分配筛选器

可以使用分配筛选器根据创建的规则分配策略。 使用筛选器可以缩小策略的分配范围,例如将具有特定 OS 版本或特定制造商的设备作为目标。

可以在终结点特权管理 (EPM) 策略上使用筛选器。

有关更多信息,请参阅:

应用于:

  • Windows 10
  • Windows 11

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到 “设备>管理设备>”“配置>”“>创建新策略>iOS/iPadOSmacOS ”平台 >配置文件类型的“设置目录 ”。

iOS/iPadOS

  • 限制

    • 允许实时语音邮件
    • 强制课堂无提示屏幕观察
    • 在擦除时强制保留 ESIM
macOS
  • 完整磁盘加密 > 设置助手中的 FileVault> 强制启用
  • 限制> 强制课堂无提示屏幕观察

有关更多信息,请参阅:

导入最多 20 个自定义 ADMX 和 ADML 管理模板

可以在 Microsoft Intune 中导入自定义 ADMX 和 ADML 管理模板。 以前,最多可以导入 10 个文件。 现在,最多可以上传 20 个文件。

应用于:

  • Windows 10
  • Windows 11

有关此功能的详细信息,请参阅 将自定义 ADMX 和 ADML 管理模板导入 Microsoft Intune (公共预览版)

用于在 Android Enterprise 设备上更新 MAC 地址随机化的新设置

Android Enterprise 设备上有一个新的 MAC 地址随机化设置 (设备>管理设备>配置>>为平台>完全托管、专用和 Corporate-Owned 工作配置文件> Wi-Fi创建新策略>Android Enterprise,用于配置文件类型) 。

从 Android 10 开始,连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 出于隐私原因,建议使用随机 MAC 地址,因为更难按 MAC 地址跟踪设备。 但是,随机 MAC 解决了依赖于静态 MAC 地址的中断功能,包括网络访问控制 (NAC) 。

选项包括:

  • 使用设备默认值:Intune 不会更改或更新此设置。 默认情况下,连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 用户对设置所做的任何更新将保留。

  • 使用随机 MAC:在设备上启用 MAC 地址随机化。 当设备连接到新网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用随机 MAC ”。

  • 使用设备 MAC:强制设备显示其实际 Wi-Fi MAC 地址,而不是随机 MAC 地址。 此设置允许按其 MAC 地址跟踪设备。 仅在必要时使用此值,例如用于网络访问控制 (NAC) 支持。 如果用户在其设备上更改此值,则会在下一次 Intune 同步时重置为 “使用设备 MAC ”。

应用于:

  • Android 13 及更新版本

有关可配置的 Wi-Fi 设置的详细信息,请参阅 在 Microsoft Intune 中添加 Android Enterprise 专用和完全托管设备的 Wi-Fi 设置

在 Windows 设置目录中关闭 Windows 中的 Copilot 设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有一个新设置。 若要查看此设置,请在 Intune 管理中心Microsoft,转到 “设备>管理设备>”“配置>创建新>策略>”“Windows ”平台 >的“设置目录” ,了解配置文件类型。

  • Windows AI > 在 Windows (用户) 中关闭 Copilot

    • 如果启用此策略设置,则用户无法使用 Copilot。 任务栏上不会显示 Copilot 图标。
    • 如果禁用或未配置此策略设置,用户可以在可供他们使用时使用 Copilot。

此设置使用 策略 CSP - WindowsAI

有关在 Intune 中配置设置目录策略的详细信息(包括用户范围和设备范围),请参阅 使用设置目录创建策略

应用于:

  • Windows 10 及更高版本

Windows Autopilot 自部署模式现已正式发布

Windows Autopilot 自部署模式现已正式发布,预览版已过期。 Windows Autopilot 自部署模式使你无需用户交互即可部署 Windows 设备。 设备连接到网络后,设备预配过程会自动启动:设备加入Microsoft Entra ID,在 Intune 中注册,并同步面向设备的所有基于设备的配置。 自部署模式可确保用户在应用所有基于设备的配置之前无法访问桌面。 OOBE 期间会显示 ESP) (注册状态页,以便用户可以跟踪部署的状态。 有关更多信息,请参阅:

此信息也发布在 Windows Autopilot:新增功能中。

预预配部署的 Windows Autopilot 现已正式发布

用于预预配部署的 Windows Autopilot 现已正式发布且已取消预览版。 组织使用 Windows Autopilot 进行预预配部署,这些组织希望确保设备在用户访问设备之前处于业务就绪状态。 通过预预配,管理员、合作伙伴或 OEM 可以从现成体验访问技术人员流, (OOBE) 并启动设备设置。 接下来,设备将发送给在用户阶段完成预配的用户。 预预配会提前提供大部分配置,以便最终用户可以更快地访问桌面。 有关更多信息,请参阅:

此信息也发布在 Windows Autopilot:新增功能中。

设备注册

用于在 Windows Autopilot 预预配期间安装所需应用的 ESP 设置

技术人员阶段仅失败所选阻止应用 设置现已正式发布,可在注册状态页 (ESP) 配置文件进行配置。 此设置仅显示在已选择 阻止应用的 ESP 配置文件中。

有关详细信息,请参阅“设置注册状态页”。

macOS 自动设备注册的新本地主帐户配置

为通过 Apple 自动设备注册在 Intune 中注册的 Mac 配置本地主帐户设置。 这些设置在运行 macOS 10.11 及更高版本的设备上受支持,在新的“ 帐户设置” 选项卡下的新的和现有的注册配置文件中可用。若要使此功能正常工作,必须使用用户设备相关性和以下身份验证方法之一配置注册配置文件:

  • 具有新式身份验证的设置助手
  • 设置助理 (旧版)

应用于:

  • macOS 10.11 及更高版本

有关 macOS 帐户设置的详细信息,请参阅 在 Intune 中创建 Apple 注册配置文件

等待 macOS 自动设备注册的最终配置现已正式发布

await 最终配置现已正式发布,可在设置助手结束时启用锁定体验,以确保在设备上安装关键设备配置策略。 锁定体验适用于面向新注册配置文件和现有注册配置文件的设备,可通过以下身份验证方法之一进行注册:

  • 具有新式身份验证的设置助手
  • 设置助理 (旧版)
  • 没有用户设备相关性

应用于:

  • macOS 10.11 及更高版本

有关如何启用 await 最终配置的信息,请参阅 创建 Apple 注册配置文件

设备管理

AOSP 设备大约每 15 分钟检查一次新任务和通知

在向 Android (AOSP) 管理注册的设备上,Intune 大约每 15 分钟尝试检查一次新任务和通知。 若要使用此功能,设备必须使用 Intune 应用版本 24.02.4 或更高版本。

应用于:

  • Android (AOSP)

有关更多信息,请参阅:

Microsoft Intune 中政府云的新设备管理体验

在政府云中,Intune 管理中心提供了新的设备管理体验。 “ 设备” 区域现在具有更一致的 UI,具有更强大的控件和改进的导航结构,因此你可以更快地找到所需的内容。

如果要在更新租户之前尝试新体验,请转到 “设备>概述”,选择“ 预览即将对设备进行的更改并提供反馈 通知”横幅,然后选择“ 立即试用”。

批量批准驱动程序

批量操作现在可用于 Windows 驱动程序更新策略。 通过批量操作,可以同时批准、暂停或拒绝多个驱动程序更新,从而节省时间和精力。

批量批准驱动程序时,还可以设置驱动程序可用于适用设备的日期,以便一起安装驱动程序。

应用于:

  • Windows 10
  • Windows 11

有关详细信息,请参阅 批量驱动程序更新

已解决适用于业务的应用控制策略限制

以前记录的适用于企业应用控制策略 (WDAC) 的限制(将每台设备的活动策略数限制为 32 个)由 Windows 解决。 当设备上 活动超过 32 个策略时, 此问题涉及启动停止失败。

对于运行 Windows 10 1903 或更高版本且 Windows 安全更新在 2024 年 3 月 12 日或之后发布的设备,此问题已得到解决。 旧版 Windows 预期会在将来的 Windows 安全更新中收到此修补程序。

应用于:

  • Windows 10 版本 1903 及更高版本

若要详细了解 Intune 的适用于企业的应用控制策略,请参阅使用适用于 企业的应用控制策略管理 Windows 设备的已批准应用和适用于 Microsoft Intune 的托管安装程序

租户管理

自定义窗格支持排除组

“自定义”窗格现在支持在分配策略时选择要排除的组。 可以通过选择“租户管理>自定义,在 Intune 管理中心Microsoft找到此设置。

有关详细信息,请参阅 在 Microsoft Intune 中分配策略

2024 年 1 月 29 日当周

Microsoft Intune 套件

Microsoft Intune 企业应用程序管理

企业应用程序管理提供可在 Intune 中轻松访问的 Win32 应用程序的企业应用目录。 可以通过从企业应用程序目录中选择这些应用程序,将这些应用程序添加到租户。 将企业应用目录应用添加到 Intune 租户时,系统会自动提供默认安装、要求和检测设置。 也可以修改这些设置。 Intune 在 Microsoft 存储中托管企业应用目录应用。

有关更多信息,请参阅:

Microsoft Intune 高级分析

Intune 高级分析提供组织中最终用户体验的全面可见性,并使用数据驱动的见解对其进行优化。 它包括设备查询的近实时数据、自定义设备范围的可见性增强、电池运行状况报告和用于排查设备问题的详细设备时间线,以及异常情况检测,以帮助识别设备资产中的潜在漏洞或风险。

  • 电池运行状况报告

    电池运行状况报告提供对组织设备中电池运行状况及其对用户体验的影响的可见性。 此报表中的分数和见解旨在帮助 IT 管理员做出资产管理和购买决策,在平衡硬件成本的同时改善用户体验。

  • 在单个设备上运行按需设备查询

    Intune 允许你快速获取有关设备状态的按需信息。 在所选设备上输入查询时,Intune 会实时运行查询。

    然后,返回的数据可用于响应安全威胁、对设备进行故障排除或做出业务决策。

    应用于:

    • Windows 设备

Intune 高级分析是 Intune 套件Microsoft的一部分。 为了增加灵活性,这组新功能以及现有的高级分析功能现在也作为单个加载项提供,Microsoft包含 Intune 的订阅。

若要在租户或任何现有高级分析功能中使用设备查询和电池运行状况报告,必须具有以下任一项的许可证:

  • Intune 高级分析加载项
  • Microsoft Intune 套件加载项

有关更多信息,请参阅:

2024 年 1 月 22 日 (服务版本 2401)

应用管理

在托管 Mac 上安装最大大小为 8 GB 的 DMG 和 PKG 应用

增加了可在托管 Mac 上使用 Intune 安装的 DMG 和 PKG 应用的大小限制。 新限制为 8 GB,适用于使用适用于 macOS 的 Microsoft Intune 管理代理安装 (DMG 和非托管 PKG) 的应用。

有关 DMG 和 PKG 应用的详细信息,请参阅 将 macOS DMG 应用添加到 Microsoft Intune将非托管 macOS PKG 应用添加到 Microsoft Intune

适用于 Surface Hub 设备的 Microsoft Store 签名 LOB 应用的 Intune 支持

Intune 现在支持将应用商店签名的 LOB 应用 (单个文件 .appx.msix.appxbundle.msixbundle) 部署到 Surface Hub 设备。 通过对应用商店签名的 LOB 应用的支持,可以在适用于企业的 Microsoft 应用商店停用后将脱机应用商店应用部署到 Surface Hub 设备。

将短信/彩信路由到特定应用

可以配置应用保护策略,以确定在从策略托管应用重定向后,最终用户打算发送短信/彩信时必须使用哪个短信/彩信应用。 当最终用户选择用于发送短信/彩信的号码时,应用保护设置用于重定向到配置的短信/彩信应用。 此功能与 将消息传递数据传输到 iOS/iPadOS 和 Android 平台相关,并应用于 iOS/iPadOS 和 Android 平台。

有关详细信息,请参阅 iOS 应用保护策略设置Android 应用保护策略设置

最终用户应用 PIN 重置

对于需要 PIN 才能访问的托管应用,允许的最终用户现在可以随时重置应用 PIN。 可以通过在 iOS/iPadOS 和 Android 应用保护策略中选择 用于访问的 PIN, 在 Intune 中要求应用 PIN。

有关应用保护策略的详细信息,请参阅 应用保护策略概述

最大应用包大小

付费客户将应用上传到 Intune 的最大包大小从 8 GB 更改为 30 GB。 试用租户仍限制为 8 GB。

有关详细信息,请参阅 Microsoft Intune 中的 Win32 应用管理

设备配置

在 Android Enterprise 设备上禁用位置的新设置

在 Android Enterprise 设备上,有一个新设置允许管理员控制位置 (设备>管理设备>配置>>创建新策略> Android Enterprise for platform Full Managed、Dedicated 和 Corporate-Owned Work Profile > Device Restrictions for profile type >General) :>

  • 位置“阻止” 可禁用设备上的 “位置” 设置,并阻止用户将其打开。 禁用此设置后,依赖于设备位置的任何其他设置都会受到影响,包括 “定位设备 远程”操作。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用设备上的位置。

应用于:

  • Android Enterprise

有关可配置的设置的详细信息,请参阅 Android Enterprise 设备设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能

iOS/iPadOS 和 macOS 设备上的设置目录中托管软件更新的日期和时间选取器

使用设置目录,可以在 iOS/iPadOS 和 macOS 设备上强制实施托管更新,方法是输入日期和时间 (设备>管理设备>配置>>为配置文件类型>声明性设备管理>软件更新) 创建新策略>iOS/iPadOSmacOS 平台>设置目录

以前,必须手动键入日期和时间。 现在,有一个日期和时间选取器用于 “目标本地日期时间 ”设置:

声明性设备管理 (DDM) > 软件更新

  • 目标本地日期时间

重要

如果在 2024 年 1 月版本之前使用此设置创建策略,则此值将显示 Invalid Date 此设置。 更新仍会正确安排,并使用最初配置的值,即使它显示 Invalid Date

若要配置新的日期和时间,可以删除 Invalid Date 这些值,并使用日期时间选取器选择新的日期和时间。 或者,可以创建新策略。

应用于:

  • iOS/iPadOS
  • macOS

有关在 Intune 中配置托管软件更新的详细信息,请参阅 使用设置目录配置托管软件更新

设备管理

Microsoft Intune 中的新设备管理体验

我们将在 Intune 管理中心推出设备管理体验更新。 “ 设备” 区域现在具有更一致的 UI,具有更强大的控件和改进的导航结构,因此你可以更快地找到所需的内容。 新体验(以前为公共预览版)将在未来几周内逐步推出正式版。 在租户收到更新之前,公共预览体验将继续可用。

此新的管理中心体验的可用性因租户而异。 虽然少数人会立即看到此更新,但许多人可能几周内看不到新体验。 对于政府云,此体验的可用性估计在 2024 年 2 月下旬左右。

由于推出时间线,我们将尽快将文档更新为新体验,以帮助轻松过渡到新的管理中心布局。 在此转换期间,我们无法提供并排内容体验,并相信提供与新体验一致的文档可为更多客户带来更多价值。 如果要在更新租户之前尝试新体验并与文档过程保持一致,请转到 “设备>概述”,选择显示 “预览即将对设备进行的更改并提供反馈”的通知横幅,然后选择“ 立即试用”。

BlackBerry Protect Mobile 现在支持应用保护策略

现在可以将 Intune 应用保护策略与由 Cylance AI) 提供支持的 BlackBerry 保护移动 (配合使用。 通过此更改,Intune 支持 BlackBerry Protect Mobile 进行移动应用程序管理, (MAM) 未注册设备的方案。 此支持包括将风险评估与未注册设备的条件访问和条件启动设置配置结合使用。

在配置 CylancePROTECT Mobile 连接器 (以前为 BlackBerry Mobile) 时,现在可以选择选项来为 Android 和 iOS/iPadOS 设备启用 应用保护策略评估

有关详细信息,请参阅 设置 BlackBerry 保护移动版和使用 Intune 创建移动威胁防御应用保护策略

设备安全性

支持由 Microsoft Defender for Endpoint 管理的设备使用 Intune Defender 更新控制策略

现在,可以使用来自 Microsoft Intune 管理中心的 Defender 更新控制 (防病毒策略的终结点安全) 策略,以及通过 Microsoft Defender for Endpoint 安全设置管理功能 管理的设备。

  • Defender 更新控制 策略是终结点安全 防病毒策略的一部分。

当你使用 Windows 10、Windows 11 和 Windows Server 平台时,适用于以下内容:

  • Windows 10
  • Windows 11

提供此支持后,在 Defender for Endpoint 管理但未向 Intune 注册时分配此策略的设备现在将应用策略中的设置。 检查策略,确保只有你打算接收策略的设备才能获得该策略。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • PrinterOn Print by PrinterOn, Inc. (iOS/iPadOS)
  • MFB Technologies, Inc. (iOS/iPadOS)

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

监视和疑难解答

监视设备的报表

在 Intune 中,可以查看所有设备监视报告的新列表。 可以通过选择“设备>监视器”在 Intune 管理中心Microsoft找到这些报表。 “ 监视 ”窗格提供与配置、符合性、注册和软件更新相关的报告。 此外,还可以查看其他报表,例如 “设备操作”。

有关详细信息,请参阅 Intune 报表

导出的报表数据维护搜索结果

现在,Intune 可以在导出报表数据时维护报表搜索和筛选结果。 例如,使用 “不符合设备和设置” 报表时,将 OS 筛选器设置为“Windows”,然后搜索“电脑”,导出的数据将仅包含名称中带有“PC”的 Windows 设备。 直接调用 ExportJobs API 时,此功能也可用。

轻松上传Microsoft Tunnel 服务器的诊断日志

现在可以在 Intune 管理中心内单击一下,让 Intune 为 Tunnel 网关服务器启用、收集和提交 8 小时的详细日志,以Microsoft。 然后,可以在使用 Microsoft 时引用详细日志,以识别或解决 Tunnel 服务器的问题。

相比之下,详细日志的集合以前需要登录到服务器,运行手动任务和脚本来启用和收集详细日志,然后将其复制到可从中传输到Microsoft的位置。

若要查找此新功能,请在管理中心转到 “租户管理>”Microsoft“隧道网关> ”,选择服务器 > ,选择“ 日志 ”选项卡。在此选项卡上,是名为 “发送详细服务器日志 ”的新部分,其中标有“ 发送日志”按钮,以及显示已收集并提交到Microsoft的各种日志集的列表视图。

选择“ 发送日志 ”按钮时:

  • Intune 在收集详细日志之前捕获并提交当前服务器日志作为基线。
  • 详细日志记录在级别 4 自动启用,并运行 8 小时,以提供时间来重现问题,以便在这些日志中进行捕获。
  • 8 小时后,Intune 将提交详细日志,然后将服务器还原到其默认的详细级别 0 (0) ,以便正常操作。 如果以前将日志设置为在更高的详细级别运行,则可以在日志收集和上传完成后还原自定义详细级别。
  • 每次 Intune 收集和提交日志时,都会更新按钮下方的列表视图。
  • 按钮下方是过去日志提交的列表,其中显示了其详细级别和事件 ID,可在使用 Microsoft 引用一组特定的日志时使用。

有关此功能的详细信息,请参阅 轻松上传 Tunnel 服务器的诊断日志

新增功能存档

对于前几个月,请参阅 新增功能存档

通知

这些通知提供了重要信息,可以帮助你为未来的 Intune 更改和功能做好准备。

更改计划:Intune 正在迁移以支持 iOS/iPadOS 16 及更高版本

今年晚些时候,我们预计苹果将发布 iOS 18 和 iPadOS 18。 Microsoft Intune(包括 Intune 公司门户和 Intune 应用保护策略) (APP(也称为 MAM) )将在 iOS/iPadOS 18 发布后不久需要 iOS 16/iPadOS 16 及更高版本。

这对你或你的用户有何影响?

如果你正在管理 iOS/iPadOS 设备,则设备可能无法升级到 iOS 16/iPadOS 16) (支持的最低版本。

鉴于 iOS 16/iPadOS 16 及更高版本支持Microsoft 365 移动应用,这可能不会影响你。 你可能已经升级了 OS 或设备。

若要检查哪些设备支持 iOS 16 或 iPadOS 16 ((如果适用) ),请参阅以下 Apple 文档:

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况,其支持声明略有细微差别。 支持的最低操作系统版本将更改为 iOS 16/iPadOS 16,而允许的 OS 版本将更改为 iOS 13/iPadOS 13 及更高版本。 有关详细信息 ,请参阅此关于 ADE 无用户支持的声明

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备,请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备,请转到 “应用>监视>应用保护状态 ”,并使用 “平台平台版本 ”列进行筛选。

若要管理组织中支持的 OS 版本,可以为 MDM 和应用使用 Microsoft Intune 控件。 有关详细信息,请参阅 使用 Intune 管理操作系统版本。

更改计划:Intune 将在今年晚些时候转向支持 macOS 13 及更高版本

今年晚些时候,我们预计苹果将发布 macOS 15 红杉。 Microsoft Intune,公司门户应用和 Intune 移动设备管理代理将迁移到支持 macOS 13 及更高版本。 由于适用于 iOS 和 macOS 的公司门户应用是统一应用,因此此更改将在 macOS 15 发布后不久发生。 这不会影响现有的已注册设备。

这对你或你的用户有何影响?

如果当前或计划使用 Intune 管理 macOS 设备,则此更改仅影响你。 此更改可能不会影响你,因为你的用户可能已升级其 macOS 设备。 有关受支持的设备列表,请参阅 macOS Ventura 与这些计算机兼容

注意

当前在 macOS 12.x 或更低版本上注册的设备将继续保持注册状态,即使这些版本不再受支持。 如果新设备运行的是 macOS 12.x 或更低版本,则它们将无法注册。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列,以帮助确定组织中谁拥有运行 macOS 12.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。

更改计划:更新到 Intune 终结点以获取远程帮助

从 2024 年 5 月 30 日开始或不久之后,为了改进 Windows、Web 和 macOS 上的远程帮助体验,我们将远程帮助的主网络终结点从 https://remoteassistance.support.services.microsoft.com 更新为 https://remotehelp.microsoft.com

这对你或你的用户有何影响?

如果使用远程帮助,并且有不允许新终结点 https://remotehelp.microsoft.com的防火墙规则,则管理员和用户可能会遇到远程帮助的连接问题或中断。

此外,Windows 上的远程帮助应用需要更新到最新版本。 macOS 的远程帮助应用和远程帮助 Web 应用不需要执行任何操作。

如何准备?

更新防火墙规则以包括新的远程帮助终结点: https://remotehelp.microsoft.com。 对于 Windows 上的远程帮助,用户需要更新到 最新版本 (5.1.124.0) 。 大多数用户已选择加入自动更新,并且无需用户执行任何操作即可自动更新。 若要了解详细信息,请查看 安装和更新 Windows 远程帮助

其他信息:

更新到适用于 Android 的最新公司门户、适用于 iOS 的 Intune App SDK 和适用于 iOS 的 Intune 应用包装器

2024 年 6 月 1 日开始,我们将进行更新,以改进 Intune 移动应用程序管理 (MAM) 服务。 此更新需要将 iOS 包装的应用、iOS SDK 集成应用和适用于 Android 的公司门户更新到最新版本,以确保应用程序保持安全并顺利运行。

重要

如果不更新到最新版本,将阻止用户启动应用。

在此更改之前,对于需要更新Microsoft应用,当用户打开应用时,他们将收到一条阻止消息来更新应用。

请注意,Android 更新的方式,一旦设备上有一个具有更新 SDK 的Microsoft应用程序,并且公司门户更新到最新版本,Android 应用就会更新。 因此,此消息侧重于 iOS SDK/应用包装器更新。 建议始终将 Android 和 iOS 应用更新到最新的 SDK 或应用包装器,以确保应用继续顺利运行。

这对你或你的用户有何影响?

如果用户尚未更新到最新的Microsoft或第三方应用保护支持的应用,则会阻止他们启动其应用。 如果 iOS 业务线 (LOB) 使用 Intune 包装器或 Intune SDK 的应用程序,则必须使用包装器/SDK 版本 17.7.0 或更高版本,以免用户被阻止。

如何准备?

计划在 2024 年 6 月 1 日之前进行以下更改:

  • 使用旧版 Intune SDK 或包装器的任何 iOS 业务线 (LOB) 应用都必须更新到 v17.7.0 或更高版本。
  • 对于策略针对 iOS 应用的租户:
    • 通知用户需要升级到最新版本的 Microsoft 应用。 可以在 应用商店中找到最新版本的应用。 例如,可 在此处 找到最新版本的 Microsoft Teams,并 在此处Microsoft Outlook。
    • 此外,还可以选择启用以下 条件启动 设置:
      • 最小 OS 版本 设置,用于警告使用 iOS 15 或更早版本的用户,以便他们可以下载最新应用。
      • 在应用使用 17.7.0 之前的适用于 iOS 的 Intune SDK 时阻止用户的 最小 SDK 版本 设置。
      • 在较旧 Microsoft应用 上警告用户的最小应用版本设置。 请注意,此设置必须位于仅针对目标应用的策略中。
  • 对于策略针对 Android 应用的租户:
    • 通知用户需要升级到 公司门户 应用的最新版本 (v5.0.6198.0) 。
    • 此外,还可以选择启用以下 条件启动 设备条件设置:
      • 最小公司门户版本设置,用于警告使用早于 5.0.6198.0 的公司门户应用版本的用户。

更改计划:在 2024 年 5 月终止对 Intune 应用 SDK Xamarin 绑定的支持

随着 对 Xamarin 绑定的支持结束,Intune 将从 2024 年 5 月 1 日起终止对 Xamarin 应用和 Intune 应用 SDK Xamarin 绑定的支持。

这对你或你的用户有何影响?

如果你有使用 Xamarin 构建的 iOS 和/或 Android 应用,并使用 Intune 应用 SDK Xamarin 绑定启用应用保护策略,请将应用升级到 .NET MAUI。

如何准备?

将基于 Xamarin 的应用升级到 .NET MAUI。 有关 Xamarin 支持和升级应用的详细信息,请查看以下文档:

更改计划:使用 Microsoft Entra ID 注册的应用 ID 更新 PowerShell 脚本

去年,我们宣布了基于 Microsoft Graph SDK 的 PowerShell 模块 的新 Microsoft Intune GitHub 存储库 。 旧版 Microsoft Intune PowerShell 示例脚本 GitHub 存储库现在是只读的。 此外,在 2024 年 5 月,由于基于 Graph SDK 的 PowerShell 模块中更新了身份验证方法,将删除全局 Microsoft Intune PowerShell 应用程序 (基于客户端) ID 的身份验证方法。

这对你或你的用户有何影响?

如果使用 Intune PowerShell 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) ,则需要使用 Microsoft Entra ID 注册的应用程序 ID 更新脚本,以防止脚本中断。

如何准备?

通过以下方式更新 PowerShell 脚本:

  1. 在 Microsoft Entra 管理中心中创建新的应用注册。 有关详细说明,请阅读: 快速入门:向Microsoft标识平台注册应用程序
  2. 使用步骤 1 中创建的新应用程序 ID 更新包含 Intune 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) 的脚本。

有关详细的分步说明,请访问 powershell-intune-samples/更新应用注册 (github.com)

Intune 已于 2024 年 10 月支持 Android 10 及更高版本以使用基于用户的管理方法

2024 年 10 月,Intune 将转为支持 Android 10 及更高版本以使用基于用户的管理方法,其中包括:

  • Android Enterprise 个人拥有的工作配置文件
  • Android Enterprise 公司拥有的工作配置文件
  • Android Enterprise 完全托管设备
  • 基于用户的 Android 开源项目 (AOSP)
  • Android 设备管理员
  • 应用保护策略 (应用)
  • 托管应用 (ACP) 的应用配置策略

今后,我们将在 10 月终止对一个或两个版本的支持,直到仅支持 Android 的最新四个主要版本。 若要详细了解此更改,请阅读博客: Intune 在 2024 年 10 月开始支持 Android 10 及更高版本以使用基于用户的管理方法

注意

此更改不会影响 Android 设备管理 (专用和 AOSP 无用户) 和Microsoft Teams 认证的 Android 设备的无用户方法。

这对你或你的用户有何影响?

对于上面列出的基于用户的管理方法 () ,不支持运行 Android 9 或更低版本的 Android 设备。 对于不受支持的 Android OS 版本的设备:

  • 不会提供 Intune 技术支持。
  • Intune 不会对 Bug 或问题进行更改。
  • 不能保证新功能和现有功能正常工作。

虽然 Intune 不会阻止在不支持的 Android OS 版本上注册或管理设备,但无法保证功能,因此不建议使用。

如何准备?

如果适用,请通知支持人员此更新的支持声明。 以下管理员选项可用于帮助警告或阻止用户:

  • 为具有最低 OS 版本要求的应用配置 条件启动 设置,以警告和/或阻止用户。
  • 使用设备符合性策略并设置不合规操作,以向用户发送消息,然后再将其标记为不符合。
  • 设置 注册限制 以防止在运行旧版本的设备上注册。

有关详细信息,请查看: 使用 Microsoft Intune 管理操作系统版本

更改计划:基于 Web 的设备注册将成为 iOS/iPadOS 设备注册的默认方法

目前,创建 iOS/iPadOS 注册配置文件时,“使用公司门户进行设备注册”显示为默认方法。 在即将发布的服务版本中,在配置文件创建期间,默认方法将更改为“基于 Web 的设备注册”。 此外,对于 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。

注意

对于 Web 注册,需要部署单一登录 (SSO) 扩展策略,以启用实时 (JIT) 注册,有关详细信息,请查看: 在 Microsoft Intune 中设置实时注册

这对你或你的用户有何影响?

这是在创建新的 iOS/iPadOS 注册配置文件时用户界面的更新,以将“基于 Web 的设备注册”显示为默认方法,现有配置文件不受影响。 对于 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。

如何准备?

根据需要更新文档和用户指南。 如果当前通过公司门户使用设备注册,我们建议迁移到基于 Web 的设备注册并部署 SSO 扩展策略以启用 JIT 注册。

其他信息:

使用 Intune 应用 SDK 的包装 iOS 应用和 iOS 应用需要 Azure AD 应用注册

我们正在进行更新,以提高 Intune 移动应用程序管理 (MAM) 服务的安全性。 此更新要求在 2024 年 3 月 31 日之前向 Microsoft Entra ID (Azure Active Directory (Azure AD) ) 注册 iOS 包装应用和 SDK 集成应用,以继续接收 MAM 策略。

这对你或你的用户有何影响?

如果包装的应用或 SDK 集成应用未注册到 Azure AD,这些应用将无法连接到 MAM 服务来接收策略,并且用户无法访问未注册的应用。

如何准备?

在此更改之前,需要向 Azure AD 注册应用。 有关详细说明,请参阅下文。

  1. 按照以下说明将应用注册到 Azure AD: 向 Microsoft 标识平台注册应用程序
  2. 将自定义重定向 URL 添加到应用设置,如 此处所述。
  3. 为应用授予对 Intune MAM 服务的访问权限,有关说明,请参阅 此处
  4. 完成上述更改后, (MSAL) 为 Microsoft 身份验证库配置应用:
    1. 对于已包装的应用:使用 Intune 应用包装工具将 Azure AD 应用程序客户端 ID 添加到命令行参数中,如文档中所述: 使用 Intune 应用包装工具包装 iOS 应用 |Microsoft Learn -ac 和 -ar 是必需参数。 每个应用都需要一组唯一的这些参数。 -aa 仅适用于单租户应用程序。
    2. 有关 SDK 集成应用,请参阅 Microsoft Intune App SDK for iOS 开发人员指南 |Microsoft Learn。 ADALClientId 和 ADALRedirectUri/ADALRedirectScheme 现在是必需参数。 仅单租户应用程序需要 ADALAuthority。
  5. 部署应用。
  6. 验证上述步骤:
    1. 面向“com.microsoft.intune.mam.IntuneMAMOnly.RequireAADRegistration”应用程序配置策略,并将其设置为“已启用 - Intune 应用 SDK 托管应用的配置策略 - Microsoft Intune |Microsoft Learn
    2. 面向应用程序的应用保护策略。 启用 “用于访问的工作或学校帐户凭据”策略 ,并将“在 (分钟不活动) 后重新检查访问要求”设置设置为低值,例如 1。
  7. 然后在设备上启动应用程序,并验证登录 (在应用启动时每分钟都需要) 配置的参数成功发生。
  8. 请注意,如果在执行其他步骤之前仅执行步骤 6 和 #7,可能会在应用程序启动时被阻止。 如果某些参数不正确,你也会注意到相同的行为。
  9. 完成验证步骤后,可以撤消步骤 6 中所做的更改。

注意

Intune 很快需要使用 MAM 为 iOS 设备注册 Azure AD 设备。 如果已启用条件访问策略,则设备应已注册,并且不会注意到任何更改。 有关详细信息,请参阅 Microsoft Entra 已注册设备 - Microsoft Entra |Microsoft Learn

更改计划:将 Jamf macOS 设备从条件访问过渡到设备符合性

我们一直在与 Jamf 合作制定迁移计划,帮助客户将 macOS 设备从 Jamf Pro 的条件访问集成过渡到其设备符合性集成。 设备符合性集成使用较新的 Intune 合作伙伴合规性管理 API,它涉及比合作伙伴设备管理 API 更简单的设置,并将 macOS 设备与 Jamf Pro 管理的 iOS 设备置于同一 API 上。 2024 年 9 月 1 日之后,将不再支持基于 Jamf Pro 的条件访问功能的平台。

请注意,某些环境中的客户最初无法转换,有关详细信息和更新,请阅读博客: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性

这对你或你的用户有何影响?

如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成,请遵循 Jamf 记录的指南将设备迁移到设备符合性集成: 从 macOS 条件访问迁移到 macOS 设备符合性 – Jamf Pro 文档

设备符合性集成完成后,某些用户可能会看到一次性提示输入其Microsoft凭据。

如何准备?

如果适用,请按照 Jamf 提供的说明迁移 macOS 设备。 如果需要帮助,请联系 Jamf Customer Success。 有关详细信息和最新更新,请阅读博客文章: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性

更新到最新的 Intune App SDK 和适用于 iOS 的 Intune 应用包装器,以支持 iOS/iPadOS 17

若要支持即将发布的 iOS/iPadOS 17,请更新到最新版本的 Intune 应用 SDK 和适用于 iOS 的应用包装工具,以确保应用程序保持安全并顺利运行。 此外,对于使用条件访问授予“需要应用保护策略”的组织,用户应在升级到 iOS 17 之前将其应用更新到最新版本。 若要了解详细信息,请阅读博客: 使用 MAM 策略更新 Intune App SDK、Wrapper 和 iOS 应用以支持 iOS/iPadOS 17

更改计划:Intune 于 2024 年 12 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Google 已弃用 Android 设备管理员管理,继续删除管理功能,不再提供修复或改进。 由于这些更改,从 2024 年 12 月 31 日起,Intune 将在有权访问 Google 移动服务 (GMS) 的设备上终止对 Android 设备管理员管理的支持。 在此之前,我们支持在运行 Android 14 及更早版本的设备上管理设备管理员。 有关详细信息,请阅读博客: Microsoft Intune 终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

这对你或你的用户有何影响?

Intune 终止对 Android 设备管理员的支持后,有权访问 GMS 的设备将通过以下方式受到影响:

  1. 用户无法向 Android 设备管理员注册设备。
  2. Intune 不会对 Android 设备管理员管理进行更改或更新,例如 bug 修复、安全修复或修复,以解决新 Android 版本中的更改。
  3. Intune 技术支持将不再支持这些设备。

如何准备?

停止将设备注册到 Android 设备管理员,并将受影响的设备迁移到其他管理方法。 可以检查 Intune 报告,查看哪些设备或用户可能受到影响。 转到 “设备>所有设备 ”,将 OS 列筛选到 Android (设备管理员) 以查看设备列表。

阅读博客, Microsoft Intune 在具有 GMS 访问权限的设备上终止对 Android 设备管理员的支持,了解我们推荐的替代 Android 设备管理方法,以及有关无法访问 GMS 的设备的影响的信息。

更改计划:终止对适用于企业和教育应用的 Microsoft Store 的支持

2023 年 4 月,我们开始终止对 Intune 中适用于企业的 Microsoft 应用商店体验的支持。 这在几个阶段发生。 有关详细信息,请参阅: 在 Intune 中将适用于企业和教育的 Microsoft 应用商店添加到 Microsoft 应用商店

这对你或你的用户有何影响?

如果使用适用于企业和教育应用的 Microsoft 应用商店:

  1. 2023 年 4 月 30 日,Intune 将断开 Microsoft Store for Business 服务的连接。 Microsoft适用于企业和教育的应用商店应用将无法与 Intune 同步,连接器页面将从 Intune 管理中心中删除。
  2. 2023 年 6 月 15 日,Intune 将停止在设备上强制实施适用于企业和教育应用的联机和脱机 Microsoft Store。 下载的应用程序保留在设备上,但支持有限。 用户可能仍可以从其设备访问应用,但不会管理该应用。 保留现有的已同步 Intune 应用对象,以允许管理员查看已同步的应用及其分配。 此外,你将无法通过 Microsoft Graph API 同步MicrosoftStoreForBusinessApps 来同步应用,相关 API 属性将显示过时的数据。
  3. 2023 年 9 月 15 日,Microsoft适用于企业和教育的应用商店应用将从 Intune 管理中心中删除。 在有意删除之前,设备上的应用会一直保留。 Microsoft Graph API microsoftStoreForBusinessApp 大约一个月后将不再可用。

Microsoft商业和教育商店于 2021 年宣布停用。 Microsoft适用于企业的应用商店和教育版门户停用后,管理员将无法再管理从适用于企业和教育的 Microsoft Microsoft 应用商店门户同步或下载脱机内容的适用于企业的应用商店和教育应用列表。

如何准备?

建议通过 Intune 中新的 Microsoft 应用商店应用体验添加应用。 如果应用在 Microsoft Store 中不可用,则需要从供应商处检索应用包,并将其安装为业务线 (LOB) 应用或 Win32 应用。 有关说明,请阅读以下文章:

相关信息

更改计划:终止对 Windows 信息保护的支持

Microsoft Windows 宣布 终止对 Windows 信息保护 (WIP) 的支持。 Microsoft Intune 系列产品将停止将来在管理和部署 WIP 方面的投资。 除了限制未来投资外,我们还在 2022 日历年底删除了对 WIP 的支持,无需注册

这对你或你的用户有何影响?

如果已启用 WIP 策略,则应关闭或禁用这些策略。

如何准备?

建议禁用 WIP,以确保组织中的用户不会失去对受 WIP 策略保护的文档的访问权限。 阅读博客 支持提示:Windows 信息保护的终止支持指南 ,了解有关从设备中删除 WIP 的更多详细信息和选项。

更改计划: Intune 即将终止公司门户对不受支持的 Windows 版本的支持

对于受支持的 Windows 10 版本,Intune 遵循 Windows 10 生命周期。 我们现在取消了对现代支持策略之外的 Windows 版本相关 Windows 10 公司门户的支持。

这对你或你的用户有何影响?

由于 Microsoft 不再支持这些操作系统,因此此更改可能不会影响你。 你可能已经升级了 OS 或设备。 仅当你仍在管理不受支持的 Windows 10 版本时,此更改才会影响你。

此更改影响的 Windows 和公司门户版本包括:

  • Windows 10 版本 1507,公司门户版本 10.1.721.0
  • Windows 10 版本 1511,公司门户版本 10.1.1731.0
  • Windows 10 版本 1607,公司门户版本 10.3.5601.0
  • Windows 10 版本 1703,公司门户版本 10.3.5601.0
  • Windows 10 版本 1709,任何公司门户版本

我们不会卸载这些公司门户版本,但我们会将其从 Microsoft Store 中删除,并停止使用它们测试我们的服务版本。

如果继续使用不受支持的 Windows 10 版本,则用户将无法获得最新的安全更新、新功能、bug 修复、延迟改进、辅助功能改进和性能投资。 你将无法使用 System Center 配置服务器和 Intune 共同管理用户。

如何准备?

在 Microsoft Intune 管理中心,使用 “发现的应用” 功能查找具有这些版本的应用。 在用户设备上,公司门户版本显示在公司门户的 设置 页上。 更新到受支持的 Windows 和公司门户版本。