Microsoft Intune中的新增功能 - 前几个月

2024 年 4 月 15 日当周

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Atom Edge by Arlanto Apps

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2024 年 4 月 1 日当周

设备管理

Intune 中的 Copilot 可在 Intune 管理中心 (公共预览版)

Intune 中的 Copilot 集成在 Intune 管理中心，可帮助你快速获取信息。 可以在 Intune 中使用 Copilot 执行以下任务：

✅ Copilot 可以帮助你管理设置和策略

• 有关设置的 Copilot 工具提示：向策略添加设置或查看现有策略中的设置时，会有一个新的 Copilot 工具提示。 选择工具提示时，你将获得基于Microsoft内容和建议的 AI 生成的指南。 可以查看每个设置的作用、设置的工作原理、任何建议的值以及设置是否在另一个策略中配置，等等。

• 策略摘要生成器：在现有策略上，可获取策略的 Copilot 摘要。 摘要描述了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。

✅ Copilot 显示设备详细信息，可帮助进行故障排除

• 有关设备的所有信息：在设备上，可以使用 Copilot 获取有关设备的关键信息，包括其属性、配置和状态信息。

• 设备比较：使用 Copilot 比较两个设备的硬件属性和设备配置。 此功能可帮助你确定配置相似的两台设备之间的不同之处，尤其是在进行故障排除时。

• 错误代码分析器：在设备视图中使用 Copilot 分析错误代码。 此功能可帮助你了解错误的含义并提供潜在的解决方法。

✅ Copilot for Security 中的Intune功能

Intune具有 Copilot for Security 门户中提供的功能。 SOC 分析师和 IT 管理员可以使用这些功能来获取有关策略、设备、组成员身份等的详细信息。 在单个设备上，可以获取Intune特有的更具体信息，例如符合性状态、设备类型等。

还可以让 Copilot 告诉你有关用户设备的信息，并快速获取关键信息的摘要。 例如，输出以Intune、设备 ID、注册日期、上次检查日期和符合性状态显示指向用户设备的链接。 如果你是 IT 管理员并正在查看用户，则此数据提供快速摘要。

作为正在调查可疑或可能遭到入侵的用户或设备的 SOC 分析师，注册日期和上次检查等信息可以帮助你做出明智的决策。

有关这些功能的详细信息，请参阅：

• Intune 中的 Microsoft Copilot
• 在 Copilot for Security 中访问Microsoft Intune数据

应用于：

• Android
• iOS/iPadOS
• macOS
• Windows

GCC 客户可以将远程帮助用于 Windows 和 Android 设备

Microsoft Intune Suite包括高级终结点管理和安全功能，包括远程帮助。

在 Windows 和已注册的 Android Enterprise 专用设备上，可以在美国政府 GCC 环境中使用远程帮助。

有关这些功能的详细信息，请参阅：

• 美国政府 GCC 服务说明Microsoft Intune
• 将 远程帮助 与 Microsoft Intune 配合使用

应用于：

• windows 10/11
• ARM64 设备上的 Windows 10/11
• Windows 365
• 注册为 Android Enterprise 专用设备的 Samsung 和 Zebra 设备

设备配置

OEM 的新 BIOS 设备配置文件

OEM 提供了新的 BIOS 配置和其他设置 设备配置策略。 管理员可以使用此新策略启用或禁用保护设备的不同 BIOS 功能。 在Intune设备配置策略中，添加 BIOS 配置文件，部署 Win32 应用，然后将策略分配给设备。

例如，管理员可以使用 Dell 命令工具 (打开 Dell 网站) 创建 BIOS 配置文件。 然后，将此文件添加到新的Intune策略。

有关此功能的详细信息，请参阅在 Microsoft Intune 中使用 Windows 设备上的 BIOS 配置文件。

适用对象

• Windows 10 及更高版本

2024 年 3 月 25 日 (服务版本 2403)

Microsoft Intune Suite

Endpoint Privilege Management 的新提升类型

终结点特权管理具有新的文件提升类型， 支持已批准。 Endpoint Privilege Management 是 Microsoft Intune Suite 的功能组件，也可用作独立Intune加载项。

支持批准的提升为默认提升响应和每个规则的提升类型提供了第三个选项。 与自动或用户确认不同，支持批准的提升请求需要Intune管理员管理哪些文件可以按具体情况提升运行。

借助支持批准的提升，用户可以请求审批，以提升自动规则或用户批准的规则未明确允许提升的应用程序。 这采用提升请求的形式，必须由可以批准或拒绝提升请求的Intune管理员进行评审。

请求获得批准后，系统会通知用户应用程序现在可以以提升身份运行，并且他们有 24 小时的时间在提升审批过期之前执行此操作。

应用于：

• Windows 10
• Windows 11

有关此新功能的详细信息，请参阅 支持批准的提升请求。

应用管理

个人拥有的 Android 设备上具有工作配置文件的托管 Google Play 应用的扩展功能

有一些新功能已扩展到工作配置文件设备。 以下功能以前仅在公司拥有的设备上可用：

• 适用于设备组的应用：可以使用Intune通过托管的 Google Play 商店向设备组提供应用。 以前，应用只能提供给用户组。

• 更新优先级设置：可以使用 Intune 在具有工作配置文件的设备上配置应用更新优先级。 若要了解有关此设置的详细信息，请参阅 更新托管的 Google Play 应用。

• 必需应用在托管 Google Play 中显示为可用：可以使用Intune通过托管的 Google Play 商店向用户提供所需的应用。 作为现有策略一部分的应用现在显示为可用。

这些新功能将在几个月内分阶段推出。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

声明性设备管理 (DDM) > 密码：

• 最大密码期限（天）
• 最小复杂字符数
• 需要字母数字密码

限制:

• 允许市场应用安装

macOS

声明性设备管理 (DDM) > 密码：

• 下一次身份验证时更改
• 自定义正则表达式
• 失败的尝试重置（以分钟为单位）
• 最大密码期限（天）
• 最小复杂字符数
• 需要字母数字密码

完整磁盘加密 > FileVault：

• 恢复密钥轮换（以月为单位）

Windows 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在Microsoft Intune管理中心，转到“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”以获取配置文件类型的平台>设置目录。

• 传递优化：

  • DO 禁止在 VPN 上下载缓存服务器 - 当设备使用 VPN 进行连接时，此设置会阻止从Microsoft连接的缓存服务器下载内容。 默认情况下，使用 VPN 连接时，允许设备从Microsoft连接缓存下载。

  • DO 将小时数设置为限制后台下载带宽 - 此设置指定最大后台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽，占可用下载带宽的百分比。

  • DO 将小时数设置为限制前台下载带宽 - 此设置指定最大前台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽，占可用下载带宽的百分比。

  • DO Vpn 关键字 - 此策略允许设置一个或多个用于识别 VPN 连接的关键字。

• 消息传送：

  • 允许消息同步 - 此策略设置允许将手机网络短信备份和还原到Microsoft的云服务。

• Microsoft Defender防病毒：

  • 指定扫描存档文件的最大深度
  • 指定要扫描的存档文件的最大大小

有关这些设置的详细信息，请参阅：

• 策略 CSP - DeliveryOptimization
• 策略 CSP - 消息传送
• 策略 CSP - ADMX_MicrosoftDefenderAntivirus

应用于：

• Windows 10 及更高版本

添加到 Windows 设备的防病毒策略的新存档文件扫描设置

我们已将以下两个设置添加到适用于Windows 10和Windows 11设备的终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件：

• 指定扫描存档文件的最大深度 - 此设置允许配置在扫描期间解压缩存档文件（如 .ZIP 或 .CAB）的最大目录深度级别。
• 指定要扫描的存档文件的最大大小 - 此设置允许配置扫描 .ZIP 或 .CAB 等存档文件的最大大小。 值表示文件大小（以 KB (KB) 为单位）。

使用防病毒策略，可以在Intune注册的设备和通过 Defender for Endpoint 安全设置管理方案管理的设备上管理这些设置。

设备管理设备>配置>创建新>策略>的设置目录中>也提供了这两种设置Windows 10以及用于配置文件类型 >Defender 的平台>设置目录的更高版本。

应用于：

• Windows 10
• Windows 11

汇报工作分配筛选器

可以使用Intune分配筛选器根据创建的规则分配策略。

现在，你可以：

• 对窗口 MAM 应用保护策略和应用配置策略使用托管应用分配筛选器。
• 按 平台以及 托管应用 或 托管设备 筛选器类型筛选现有分配筛选器。 当有多个筛选器时，此功能可更轻松地查找所创建的特定筛选器。

有关这些功能的详细信息，请参阅：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 适用于 Windows MAM 的数据保护

此功能适用于：

• 以下平台上的托管设备：

  • Android 设备管理员
  • Android Enterprise
  • Android (AOSP)
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• 以下平台上的托管应用：

  • Android
  • iOS/iPadOS
  • Windows

设备管理

新的符合性设置允许使用硬件支持的安全功能验证设备完整性

名为“ 使用硬件支持的安全功能检查强完整性 ”的新符合性设置允许使用硬件支持的密钥证明来验证设备完整性。 如果配置此设置，则会将强完整性证明添加到 Google Play 的完整性判断评估中。 设备必须满足设备完整性才能保持合规性。 Microsoft Intune将不支持此类完整性的设备标记为不符合检查。

此设置在“ 设备运行状况>Google Play 保护”下的 Android Enterprise 完全托管、专用和企业拥有的工作配置文件中可用。 仅当配置文件中的“播放完整性判断”策略设置为 “检查基本完整性” 或“ 检查基本完整性 & 设备完整性”时，它才可用。

应用于：

• Android Enterprise

有关详细信息，请参阅 设备符合性 - Google Play 保护。

Android 工作配置文件、个人设备的新符合性设置

现在，可以在不影响设备密码的情况下为工作配置文件密码添加符合性要求。 所有新的Microsoft Intune设置在“系统安全性>工作配置文件安全性”下的 Android Enterprise 个人拥有的工作配置文件中提供，其中包括：

• 需要密码才能解锁工作配置文件
• 密码还剩多少天到期
• 阻止重用的曾用密码数
• 最长经过多少分钟的非活动状态后需要提供密码
• 密码复杂性
• 所需密码类型
• 最短密码长度

如果工作配置文件密码不符合要求，公司门户将设备标记为不符合要求。 Intune符合性设置优先于Intune设备配置文件中的相应设置。 例如，合规性配置文件中的密码复杂性设置为 中等。 设备配置文件中的密码复杂性设置为 “高”。 Intune确定合规性策略的优先级并强制实施。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

有关详细信息，请参阅 合规性设置 - Android Enterprise。

用于加速非安全更新的 Windows 质量更新支持

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于：

• Windows 11设备

有关安装加速更新的详细信息，请参阅在 Microsoft Intune 中加快 Windows 质量更新。

引入远程操作以暂停配置刷新强制间隔

在 Windows 设置目录中，可以配置 配置刷新。 借助此功能，你可以设置 Windows 设备重新应用以前收到的策略设置的节奏，而无需设备检查Intune。 设备将根据以前收到的策略重播和重新强制实施设置，以最大程度地减少配置偏差的可能性。

为了支持此功能，添加了远程操作以允许暂停操作。 如果管理员需要在设备上进行更改或运行修正进行故障排除或维护，他们可以在指定时间段内从Intune发出暂停。 当期限过期时，将再次强制实施设置。

可以从设备摘要页访问“ 暂停配置刷新 ”远程操作。

有关更多信息，请参阅：

• 远程操作
• 暂停配置刷新远程操作

设备安全性

更新了 Windows 版本 23H2 的安全基线

现在可以为 Windows 版本 23H2 部署Intune安全基线。 此新基线基于 Microsoft 下载中心的安全合规性工具包和基线中组策略安全基线的版本 23H2，仅包括适用于通过 Intune 管理的设备的设置。 使用此更新的基线有助于维护 Windows 设备的最佳做法配置。

此基线使用设置目录中的统一设置平台。 它具有改进的用户界面和报告体验、与设置纹身相关的一致性和准确性改进，并且可以支持配置文件的分配筛选器。

使用Intune安全基线可帮助你快速将配置部署到 Windows 设备，这些配置符合 Microsoft 适用的安全团队的安全建议。 与所有基线一样，默认基线表示建议的配置，你可以修改这些配置以满足组织的要求。

应用于：

• Windows 10
• Windows 11

若要查看包含的新基线设置及其默认配置，请参阅 Windows MDM 安全基线版本 23H2。

使用 Podman 的无根实现托管Microsoft隧道

满足先决条件后，可以使用无根 Podman 容器来托管Microsoft Tunnel 服务器。 使用 Podman for Red Hat Enterprise Linux (RHEL) 8.8 或更高版本来托管 Microsoft Tunnel 时，此功能可用。

使用无根 Podman 容器时，mstunnel 服务在非特权服务用户下运行。 此实现有助于限制容器转义的影响。 若要使用无根 Podman 容器，必须使用修改的命令行启动隧道安装脚本。

有关此 Microsoft Tunnel 安装选项的详细信息，请参阅 使用无根 Podman 容器。

对Microsoft Defender for Endpoint Intune部署的改进

我们改进了并简化了使用Intune的终结点检测和响应 (EDR) 策略时将设备载入Microsoft Defender的体验、工作流和报告详细信息。 这些更改适用于由 Intune 和租户附加方案管理的 Windows 设备。 这些改进包括：

• 更改 EDR 节点、仪表板和报表，以提高 Defender EDR 部署编号的可见性。 请参阅 关于终结点检测和响应节点。

• 一个新的租户范围选项，用于部署预配置的 EDR 策略，以简化将 Defender for Endpoint 部署到适用的 Windows 设备。 请参阅 使用预配置的 EDR 策略。

• 对Intune终结点安全节点的“概述”页所做的更改。 这些更改提供托管设备上的 Defender for Endpoint 设备信号报告的综合视图。 请参阅 使用预配置的 EDR 策略。

这些更改适用于管理中心的终结点安全性、终结点检测和响应节点以及以下设备平台：

• Windows 10
• Windows 11

Windows 质量更新支持加快非安全更新

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于：

• Windows 11设备

有关安装加速更新的详细信息，请参阅在 Microsoft Intune 中加快 Windows 质量更新。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Cerby by Cerby, Inc.
• OfficeMail Go by 9Folders， Inc.
• DealCloud by Intapp， Inc.
• Intapp 2.0 由 Intapp， Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2024 年 3 月 3 日当周

设备注册

对Windows Hello 企业版的注册设置进行的基于角色的访问控制更改

我们在注册区域中为Windows Hello 企业版更新了基于角色的访问控制 (RBAC) 。 与Windows Hello 企业版相关的注册设置对于除Intune服务管理员之外的所有角色都是只读的。 Intune服务管理员可以创建和编辑Windows Hello 企业版注册设置。

有关详细信息，请参阅设备注册时Windows Hello中的基于角色的访问控制一文。

设备安全性

Windows Hello 企业版的新注册配置

Intune管理中心提供了新的Windows Hello 企业版注册设置“启用增强登录安全性”。 增强的登录安全性是一项Windows Hello功能，可防止恶意用户通过外部外围设备访问用户生物识别。

有关此设置的详细信息，请参阅创建Windows Hello 企业版策略。

不合规电子邮件通知支持的 HTML 格式

Intune现在支持所有平台的不合规电子邮件通知 HTML 格式设置。 可以使用支持的 HTML 标记向组织的邮件添加斜体、URL 链接和项目符号列表等格式。

有关详细信息，请参阅 创建通知消息模板。

2024 年 2 月 26 日当周

Microsoft Intune Suite

新建Microsoft 云 PKI服务

使用 Microsoft 云 PKI 服务简化和自动执行Intune托管设备的证书生命周期管理。 Microsoft 云 PKI是Microsoft Intune Suite的功能组件，也可用作独立Intune加载项。 基于云的服务为组织提供专用 PKI 基础结构，不需要本地服务器、连接器或硬件。 Microsoft 云 PKI自动颁发、续订和吊销支持 SCEP 证书设备配置文件的所有 OS 平台的证书。 颁发的证书可用于对 Wi-Fi、VPN 和其他支持基于证书的身份验证的服务进行基于证书的身份验证。 有关详细信息，请参阅Microsoft 云 PKI概述。

应用于：

• Windows
• Android
• iOS/iPadOS
• macOS

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Cinebody by Super 6 LLC

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2024 年 2 月 19 日 (服务版本 2402)

应用管理

Android 应用的更多应用配置权限

可以使用应用配置策略为 Android 应用配置六个新权限。 具体包括：

• 允许背景人体传感器数据
• 媒体视频 (阅读)
• 媒体图像 (读取)
• 媒体音频 (读取)
• 附近的 Wifi 设备
• 附近的设备

有关如何使用 Android 应用的应用配置策略的详细信息，请参阅 为托管 Android Enterprise 设备添加应用配置策略。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Bob HR by Hi Bob Ltd
• ePRINTit SAAS by ePRINTit USA LLC
• Microsoft公司Microsoft Copilot

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

更新到 Windows 上的 Intune 管理扩展

若要支持扩展功能和 bug 修复，请将 .NET Framework 4.7.2 或更高版本与 Windows 客户端上的 Intune 管理扩展配合使用。 如果 Windows 客户端继续使用早期版本的.NET Framework，Intune管理扩展将继续正常运行。 .NET Framework 4.7.2 自 2018 年 7 月 10 日起从 Windows 更新 提供，该Windows 10 1809 (RS5) 及更新中包含。 .NET Framework的多个版本可以在设备上共存。

应用于：

• Windows 10
• Windows 11

设备配置

在 Endpoint Privilege Management (EPM) 策略上使用分配筛选器

可以使用分配筛选器根据创建的规则分配策略。 使用筛选器可以缩小策略的分配范围，例如将具有特定 OS 版本或特定制造商的设备作为目标。

可以在终结点特权管理 (EPM) 策略上使用筛选器。

有关更多信息，请参阅：

• 在 Intune 中分配应用、策略和配置文件时使用筛选器
• Intune 中筛选器支持的平台、策略和应用类型列表

应用于：

• Windows 10
• Windows 11

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

• 限制

  • 允许实时语音邮件
  • 强制课堂无提示屏幕观察
  • 在擦除时强制保留 ESIM

macOS

• 完整磁盘加密 > 设置助手中的 FileVault> 强制启用
• 限制> 强制课堂无提示屏幕观察

有关更多信息，请参阅：

• 将 fileVault 磁盘加密用于 macOS 和 Intune
• 使用设置目录创建策略

导入最多 20 个自定义 ADMX 和 ADML 管理模板

可以在 Microsoft Intune 中导入自定义 ADMX 和 ADML 管理模板。 以前，最多可以导入 10 个文件。 现在，最多可以上传 20 个文件。

应用于：

• Windows 10
• Windows 11

有关此功能的详细信息，请参阅将自定义 ADMX 和 ADML 管理模板导入Microsoft Intune (公共预览版) 。

用于在 Android Enterprise 设备上更新 MAC 地址随机化的新设置

Android Enterprise 设备上有一个新的 MAC 地址随机化设置 (设备>管理设备>配置>>为平台>完全托管、专用和 Corporate-Owned 工作配置文件> Wi-Fi创建新策略>Android Enterprise，用于配置文件类型) 。

从 Android 10 开始，连接到网络时，设备会显示随机 MAC 地址，而不是物理 MAC 地址。 出于隐私原因，建议使用随机 MAC 地址，因为更难按 MAC 地址跟踪设备。 但是，随机 MAC 解决了依赖于静态 MAC 地址的中断功能，包括网络访问控制 (NAC) 。

选项包括：

• 使用设备默认值：Intune不会更改或更新此设置。 默认情况下，连接到网络时，设备会显示随机 MAC 地址，而不是物理 MAC 地址。 用户对设置所做的任何更新将保留。

• 使用随机 MAC：在设备上启用 MAC 地址随机化。 当设备连接到新网络时，设备会显示随机 MAC 地址，而不是物理 MAC 地址。 如果用户在其设备上更改此值，则会在下一Intune同步时重置为“使用随机 MAC”。

• 使用设备 MAC：强制设备显示其实际 Wi-Fi MAC 地址，而不是随机 MAC 地址。 此设置允许按其 MAC 地址跟踪设备。 仅在必要时使用此值，例如用于网络访问控制 (NAC) 支持。 如果用户在其设备上更改此值，则会在下一次同步Intune重置为“使用设备 MAC”。

应用于：

• Android 13 及更新版本

有关可配置的 Wi-Fi 设置的详细信息，请参阅在 Microsoft Intune 中添加 Android Enterprise 专用和完全托管设备的 Wi-Fi 设置。

在 Windows 设置目录中关闭Windows 中的 Copilot设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有一个新设置。 若要查看此设置，请在Microsoft Intune管理中心，转到“设备>管理设备>”“配置>创建新>策略>”“Windows”平台>的“设置目录”，了解配置文件类型。

• Windows AI > 关闭Windows 中的 Copilot (用户)

  • 如果启用此策略设置，则用户无法使用 Copilot。 任务栏上不会显示 Copilot 图标。
  • 如果禁用或未配置此策略设置，用户可以在可供他们使用时使用 Copilot。

此设置使用 策略 CSP - WindowsAI。

有关在 Intune 中配置设置目录策略（包括用户范围与设备范围）的详细信息，请参阅使用设置目录创建策略。

应用于：

• Windows 10 及更高版本

Windows Autopilot 自部署模式现已正式发布

Windows Autopilot 自部署模式现已正式发布，预览版已过期。 Windows Autopilot 自部署模式使你无需用户交互即可部署 Windows 设备。 设备连接到网络后，设备预配过程会自动启动：设备加入Microsoft Entra ID、注册Intune，并同步面向设备的所有基于设备的配置。 自部署模式可确保用户在应用所有基于设备的配置之前无法访问桌面。 OOBE 期间会显示 ESP) (注册状态页，以便用户可以跟踪部署的状态。 有关更多信息，请参阅：

• Windows Autopilot 自部署模式
• Intune中 Windows Autopilot 自部署模式的分步教程

此信息也发布在 Windows Autopilot：新增功能中。

预预配部署的 Windows Autopilot 现已正式发布

用于预预配部署的 Windows Autopilot 现已正式发布且已取消预览版。 组织使用 Windows Autopilot 进行预预配部署，这些组织希望确保设备在用户访问设备之前处于业务就绪状态。 通过预预配，管理员、合作伙伴或 OEM 可以从现成体验访问技术人员流， (OOBE) 并启动设备设置。 接下来，设备将发送给在用户阶段完成预配的用户。 预预配会提前提供大部分配置，以便最终用户可以更快地访问桌面。 有关更多信息，请参阅：

• 用于预预配部署的 Windows Autopilot。
• Windows Autopilot 的分步教程，用于预预配部署Microsoft Entra加入 Intune
• Windows Autopilot 的分步教程，用于预预配部署Microsoft Entra Intune 中的混合联接。

此信息也发布在 Windows Autopilot：新增功能中。

设备注册

用于在 Windows Autopilot 预预配期间安装所需应用的 ESP 设置

在 技术人员阶段仅失败所选阻止应用 设置现已正式发布，可在注册状态页 (ESP) 配置文件进行配置。 此设置仅显示在已选择 阻止应用的 ESP 配置文件中。

有关详细信息，请参阅“设置注册状态页”。

macOS 自动设备注册的新本地主帐户配置

为通过 Apple 自动设备注册在 Intune 中注册的 Mac 配置本地主帐户设置。 这些设置在运行 macOS 10.11 及更高版本的设备上受支持，在新的“ 帐户设置” 选项卡下的新的和现有的注册配置文件中可用。若要使此功能正常工作，必须使用用户设备相关性和以下身份验证方法之一配置注册配置文件：

• 具有新式身份验证的设置助手
• 设置助理 (旧版)

应用于：

• macOS 10.11 及更高版本

有关 macOS 帐户设置的详细信息，请参阅在 Intune 中创建 Apple 注册配置文件。

等待 macOS 自动设备注册的最终配置现已正式发布

await 最终配置现已正式发布，可在设置助手结束时启用锁定体验，以确保在设备上安装关键设备配置策略。 锁定体验适用于面向新注册配置文件和现有注册配置文件的设备，可通过以下身份验证方法之一进行注册：

• 具有新式身份验证的设置助手
• 设置助理 (旧版)
• 没有用户设备相关性

应用于：

• macOS 10.11 及更高版本

有关如何启用 await 最终配置的信息，请参阅 创建 Apple 注册配置文件。

设备管理

AOSP 设备大约每 15 分钟检查一次新任务和通知

在向 Android (AOSP) 管理注册的设备上，Intune大约每 15 分钟尝试检查一次新任务和通知。 若要使用此功能，设备必须使用 Intune 应用版本 24.02.4 或更高版本。

应用于：

• Android (AOSP)

有关更多信息，请参阅：

• 如何在没有 Google 移动服务的环境中使用Intune
• Intune 的策略刷新间隔

Microsoft Intune中政府云的新设备管理体验

在政府云中，Intune管理中心提供了新的设备管理体验。 “ 设备” 区域现在具有更一致的 UI，具有更强大的控件和改进的导航结构，因此你可以更快地找到所需的内容。

如果要在更新租户之前尝试新体验，请转到 “设备>概述”，选择“ 预览即将对设备进行的更改并提供反馈 通知”横幅，然后选择“ 立即试用”。

批量批准驱动程序

批量操作现在可用于 Windows 驱动程序更新策略。 通过批量操作，可以同时批准、暂停或拒绝多个驱动程序更新，从而节省时间和精力。

批量批准驱动程序时，还可以设置驱动程序可用于适用设备的日期，以便一起安装驱动程序。

应用于：

• Windows 10
• Windows 11

有关详细信息，请参阅 批量驱动程序更新。

已解决适用于业务的应用控制策略限制

以前记录的适用于企业应用控制策略 (WDAC) 的限制（将每台设备的活动策略数限制为 32 个）由 Windows 解决。 当设备上 活动超过 32 个策略时， 此问题涉及启动停止失败。

对于运行 Windows 10 1903 或更高版本且在 2024 年 3 月 12 日或之后发布的 Windows 安全更新的设备，此问题已得到解决。 旧版 Windows 预期会在将来的 Windows 安全更新中收到此修补程序。

应用于：

• Windows 10版本 1903 及更高版本

若要详细了解适用于Intune的应用控制企业版策略，请参阅使用适用于企业的 App Control 策略管理 Windows 设备的已批准应用和适用于 Microsoft Intune 的托管安装程序。

租户管理

自定义窗格支持排除组

“自定义”窗格现在支持在分配策略时选择要排除的组。 可以通过选择“租户管理>自定义”，在 Microsoft Intune 管理中心找到此设置。

有关详细信息，请参阅在 Microsoft Intune 中分配策略。

2024 年 1 月 29 日当周

Microsoft Intune Suite

Microsoft Intune 企业应用程序管理

企业应用程序管理提供了 Win32 应用程序的企业应用目录，这些应用程序可在 Intune 中轻松访问。 可以通过从企业应用程序目录中选择这些应用程序，将这些应用程序添加到租户。 将企业应用目录应用添加到 Intune 租户时，系统会自动提供默认安装、要求和检测设置。 也可以修改这些设置。 Intune Microsoft存储中托管企业应用目录应用。

有关更多信息，请参阅：

• 使用 Intune Suite 加载项功能
• Microsoft Intune 企业应用程序管理
• 将企业应用程序目录应用添加到 Microsoft Intune

Microsoft Intune 高级分析

Intune 高级分析提供组织中最终用户体验的全面可见性，并使用数据驱动的见解对其进行优化。 它包括设备查询、自定义设备范围的可见性、电池运行状况报告和用于排查设备问题的详细设备时间线，以及异常情况检测，以帮助识别设备资产中的潜在漏洞或风险。

• 电池运行状况报告

  电池运行状况报告提供对组织设备中电池运行状况及其对用户体验的影响的可见性。 此报表中的分数和见解旨在帮助 IT 管理员做出资产管理和购买决策，在平衡硬件成本的同时改善用户体验。

• 在单个设备上运行按需设备查询

  Intune可以快速获取有关设备状态的按需信息。 在所选设备上输入查询时，Intune实时运行查询。

  然后，返回的数据可用于响应安全威胁、对设备进行故障排除或做出业务决策。

  应用于：

  • Windows 设备

Intune 高级分析是Microsoft Intune Suite的一部分。 为了提高灵活性，这组新功能以及现有的高级分析功能现在也作为单个加载项提供，用于Microsoft包含Intune的订阅。

若要在租户或任何现有高级分析功能中使用设备查询和电池运行状况报告，必须具有以下任一功能的许可证：

• Intune 高级分析加载项
• Microsoft Intune Suite加载项

有关更多信息，请参阅：

• 使用 Intune Suite 加载项功能
• Microsoft Intune 高级分析
• 电池运行状况
• 设备查询

2024 年 1 月 22 日 (服务版本 2401)

应用管理

在托管 Mac 上安装最大大小为 8 GB 的 DMG 和 PKG 应用

增加了可以在托管 Mac 上使用 Intune 安装的 DMG 和 PKG 应用的大小限制。 新限制为 8 GB，适用于使用适用于 macOS 的 Microsoft Intune 管理代理安装 (DMG 和非托管 PKG) 的应用。

有关 DMG 和 PKG 应用的详细信息，请参阅将 macOS DMG 应用添加到Microsoft Intune和将非托管 macOS PKG 应用添加到Microsoft Intune。

Intune支持适用于 Surface Hub 设备的应用商店签名 LOB 应用

Intune现在支持将存储签名的 LOB 应用 (单个文件 .appx、.msix、 .appxbundle和 .msixbundle) 部署到 Surface Hub 设备。 通过对应用商店签名的 LOB 应用的支持，可以在停用适用于企业的 Microsoft Store后将脱机应用商店应用部署到 Surface Hub 设备。

将短信/彩信路由到特定应用

可以配置应用保护策略，以确定在从策略托管应用重定向后，最终用户打算发送短信/彩信时必须使用哪个短信/彩信应用。 当最终用户选择用于发送短信/彩信的号码时，应用保护设置用于重定向到配置的短信/彩信应用。 此功能与 将消息传递数据传输到 iOS/iPadOS 和 Android 平台相关，并应用于 iOS/iPadOS 和 Android 平台。

有关详细信息，请参阅 iOS 应用保护策略设置 和 Android 应用保护策略设置。

最终用户应用 PIN 重置

对于需要 PIN 才能访问的托管应用，允许的最终用户现在可以随时重置应用 PIN。 通过在 iOS/iPadOS 和 Android 应用保护策略中选择用于访问的 PIN，可以在 Intune 中要求应用 PIN。

有关应用保护策略的详细信息，请参阅应用保护策略概述。

最大应用包大小

付费客户将应用上传到Intune的最大包大小从 8 GB 更改为 30 GB。 试用租户仍限制为 8 GB。

有关详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

设备配置

在 Android Enterprise 设备上禁用位置的新设置

在 Android Enterprise 设备上，有一个新设置允许管理员控制位置 (设备>管理设备>配置>>创建新策略> Android Enterprise for platform Full Managed、Dedicated 和 Corporate-Owned Work Profile > Device Restrictions for profile type >General) ：>

• 位置： “阻止” 可禁用设备上的 “位置” 设置，并阻止用户将其打开。 禁用此设置后，依赖于设备位置的任何其他设置都会受到影响，包括 “定位设备 远程”操作。 设置为“未配置”（默认）时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许使用设备上的位置。

应用于：

• Android Enterprise

有关可配置的设置的详细信息，请参阅 Android Enterprise 设备设置列表，以允许或限制使用 Intune 的公司拥有的设备上的功能。

iOS/iPadOS 和 macOS 设备上的设置目录中托管软件更新的日期和时间选取器

使用设置目录，可以在 iOS/iPadOS 和 macOS 设备上强制实施托管更新，方法是输入日期和时间 (设备>管理设备>配置>>创建新策略> iOS/iPadOS 或 macOS 平台>配置文件类型声明性设备管理>软件更新) 的“设置目录”。>

以前，必须手动键入日期和时间。 现在，有一个日期和时间选取器用于 “目标本地日期时间 ”设置：

声明性设备管理 (DDM) > 软件更新：

• 目标本地日期时间

重要

如果在 2024 年 1 月版本之前使用此设置创建策略，则此值将显示 Invalid Date 此设置。 更新仍会正确安排，并使用最初配置的值，即使它显示 Invalid Date。

若要配置新的日期和时间，可以删除 Invalid Date 这些值，并使用日期时间选取器选择新的日期和时间。 或者，可以创建新策略。

应用于：

• iOS/iPadOS
• macOS

有关在 Intune 中配置托管软件更新的详细信息，请参阅使用设置目录配置托管软件更新。

设备管理

Microsoft Intune 中的新设备管理体验

我们正在Intune管理中心推出设备管理体验更新。 “ 设备” 区域现在具有更一致的 UI，具有更强大的控件和改进的导航结构，因此你可以更快地找到所需的内容。 新体验（以前为公共预览版）将在未来几周内逐步推出正式版。 在租户收到更新之前，公共预览体验将继续可用。

此新的管理中心体验的可用性因租户而异。 虽然少数人会立即看到此更新，但许多人可能几周内看不到新体验。 对于政府云，此体验的可用性估计在 2024 年 2 月下旬左右。

由于推出时间线，我们将尽快将文档更新为新体验，以帮助轻松过渡到新的管理中心布局。 在此转换期间，我们无法提供并排内容体验，并相信提供与新体验一致的文档可为更多客户带来更多价值。 如果要在更新租户之前尝试新体验并与文档过程保持一致，请转到 “设备>概述”，选择显示 “预览即将对设备进行的更改并提供反馈”的通知横幅，然后选择“ 立即试用”。

BlackBerry Protect Mobile 现在支持应用保护策略

现在，可以将Intune应用保护策略与由 Cylance AI) 提供支持的 BlackBerry 保护移动 (配合使用。 通过此更改，Intune支持 BlackBerry Protect Mobile 进行移动应用程序管理 (MAM) 未注册设备的方案。 此支持包括将风险评估与未注册设备的条件访问和条件启动设置配置结合使用。

在配置 CylancePROTECT Mobile 连接器 (以前是 BlackBerry Mobile) 时，现在可以选择选项来为 Android 和 iOS/iPadOS 设备启用应用保护策略评估。

有关详细信息，请参阅设置 BlackBerry 保护移动版和使用 Intune 创建移动威胁防御应用保护策略。

设备安全性

对由 Microsoft Defender for Endpoint 管理的设备Intune Defender 更新控制策略的支持

现在，可以从 Microsoft Intune 管理中心使用 Defender 更新控制 (防病毒策略的终结点安全策略) 通过Microsoft Defender for Endpoint安全设置管理功能管理的设备。

• Defender 更新控制 策略是终结点安全 防病毒策略的一部分。

使用 Windows 10、Windows 11 和 Windows Server 平台时，适用于以下各项：

• Windows 10
• Windows 11

提供此支持后，在 Defender for Endpoint 管理但未注册Intune时分配了此策略的设备现在将应用策略中的设置。 检查策略，确保只有你打算接收策略的设备才能获得该策略。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• PrinterOn Print by PrinterOn， Inc. (iOS/iPadOS)
• Intune 由 MFB Technologies， Inc. (iOS/iPadOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

监视设备的报表

在Intune中，可以查看所有设备监视报告的新列表。 可以通过选择“设备>监视器”在管理中心Microsoft Intune找到这些报表。 “ 监视 ”窗格提供与配置、符合性、注册和软件更新相关的报告。 此外，还可以查看其他报表，例如 “设备操作”。

有关详细信息，请参阅 Intune 报表。

导出的报表数据维护搜索结果

Intune现在可以在导出报表数据时维护报表搜索和筛选结果。 例如，使用 “不符合设备和设置” 报表时，将 OS 筛选器设置为“Windows”，然后搜索“电脑”，导出的数据将仅包含名称中带有“PC”的 Windows 设备。 直接调用 ExportJobs API 时，此功能也可用。

轻松上传Microsoft Tunnel 服务器的诊断日志

现在可以在 Intune 管理中心内单击一次，Intune为 Tunnel 网关服务器启用、收集和提交 8 小时的详细日志，以便Microsoft。 然后，可以在使用 Microsoft 时引用详细日志，以识别或解决 Tunnel 服务器的问题。

相比之下，详细日志的集合以前需要登录到服务器，运行手动任务和脚本来启用和收集详细日志，然后将其复制到可从中传输到Microsoft的位置。

若要查找此新功能，请在管理中心转到 “租户管理>”Microsoft“隧道网关> ”，选择服务器 > ，选择“ 日志 ”选项卡。在此选项卡上，是名为 “发送详细服务器日志 ”的新部分，其中标有“ 发送日志”按钮，以及显示已收集并提交到Microsoft的各种日志集的列表视图。

选择“ 发送日志 ”按钮时：

• Intune在收集详细日志之前捕获并提交当前服务器日志作为基线。
• 详细日志记录在级别 4 自动启用，并运行 8 小时，以提供时间来重现问题，以便在这些日志中进行捕获。
• 8 小时后，Intune提交详细日志，然后将服务器还原到其默认的详细级别 0 (0) ，以便正常操作。 如果以前将日志设置为在更高的详细级别运行，则可以在日志收集和上传完成后还原自定义详细级别。
• 每次Intune收集和提交日志时，都会更新按钮下方的列表视图。
• 按钮下方是过去日志提交的列表，其中显示了其详细级别和事件 ID，可在使用 Microsoft 引用一组特定的日志时使用。

有关此功能的详细信息，请参阅 轻松上传 Tunnel 服务器的诊断日志。

2023 年 12 月 11 日 (服务版本 2312)

应用管理

支持将非托管 PKG 类型应用程序添加到托管 macOS 设备现已正式发布

现在，可以使用适用于 macOS 设备的 Intune MDM 代理，将非托管 PKG 类型应用程序上传并部署到托管的 macOS 设备。 使用此功能可以部署自定义 PKG 安装程序，例如未签名的应用和组件包。 可以通过为应用类型选择“应用>macOS>添加>macOS 应用 (PKG) ”，在 Intune 管理中心添加 PKG 应用。

应用于：

• macOS

有关详细信息，请参阅将非托管 macOS PKG 应用添加到Microsoft Intune。 若要部署托管 PKG 类型应用，可以继续将 macOS 业务线 (LOB) 应用添加到Microsoft Intune。 有关适用于 macOS 设备的 Intune MDM 代理的详细信息，请参阅 macOS Microsoft Intune管理代理。

政府云环境和中国的 21 Vianet 中支持 Windows MAM

美国政府社区 (GCC) 、美国政府社区 (GCC) High 和国防部 (DoD) 环境中的客户租户现在可以使用 Windows MAM。 有关相关信息，请参阅在 GCC High 和 DoD 环境中使用 Intune 部署应用以及 Windows MAM 的数据保护。

此外，Windows MAM 适用于由世纪互联在中国运营的Intune。 有关详细信息，请参阅由世纪互联在中国运营的Intune。

设备配置

更新了 Microsoft Edge v117 的安全基线

我们发布了 Microsoft Edge Intune 安全基线版本 v117 的新版本。 此更新提供对最新设置的支持，因此你可以继续维护 Microsoft Edge 的最佳做法配置。

我们还更新了此基线的 参考文章 ，你可以在其中查看此基线版本包含的设置的默认配置。

设备管理

对不符合电子邮件通知中的变量的支持

使用变量对用户设备不符合要求时发送的电子邮件通知进行个性化设置。 模板中包含的变量（如 {{username}} 和 {{devicename}}）将替换为用户接收的电子邮件中的实际用户名或设备名称。 所有平台都支持变量。

有关详细信息和支持的变量列表，请参阅 创建通知消息模板。

更新了Microsoft Defender for Endpoint连接器的报表可视化效果

我们更新了 Microsoft Defender for Endpoint 连接器的报告可视化效果。 此 报表可视化效果 根据 Defender CSP 中的状态显示载入到 Defender for Endpoint 的设备计数，并直观地与使用条形图表示具有不同状态值的设备百分比的其他最近报表视图保持一致。

设备安全性

添加到 Windows 设备的防病毒策略中用于计划防病毒扫描的新设置

我们在适用于终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件中添加了两个设置，这些设置适用于Windows 10和Windows 11设备。 这两个设置协同工作，首先启用对设备防病毒扫描的随机开始时间的支持，然后定义随机扫描开始的时间范围。 由 Intune 管理的设备以及通过 Defender for Endpoint 安全设置管理方案管理的设备支持这些设置。

• RandomizeScheduleTaskTimes – 此设置允许对设备上的扫描开始时间进行随机化。
• SchedulerRandomizationTime – 使用此设置，可以设置随机开始时间的边界。

除了添加到 Microsoft Defender 防病毒配置文件之外，现在还可以从设置目录中获取这两种设置。

应用于：

• Windows 10
• Windows 11

Microsoft隧道支持 Android Enterprise 的 VPN 配置文件中的直接代理排除列表

Intune现在支持在为 Android 设备的 Microsoft Tunnel 配置 VPN 配置文件时配置代理排除列表。 使用排除列表，可以从代理设置中排除特定域，而无需使用代理自动配置 (PAC) 文件。 代理排除列表可用于 Microsoft Tunnel 和 适用于 MAM 的 Microsoft Tunnel。

在使用单个代理的环境中支持代理排除列表。 使用多个代理服务器时，排除列表不适用或不受支持，应继续使用 .PAC 文件。

应用于：

• Android Enterprise

Microsoft Tunnel 服务器运行状况指标来报告 TLS 证书吊销情况

我们为名为 TLS 证书吊销的 Microsoft Tunnel 添加了新的运行状况指标。 此新的运行状况指标通过访问联机证书状态协议（ (TLS 证书中定义的 OCSP) 或 CRL 地址）来报告隧道服务器 TLS 证书的状态。 可以通过导航到租户管理>MicrosoftTunnel 网关>运行状况状态，选择服务器，然后选择“服务器运行状况检查”选项卡，查看Microsoft Intune管理中心中所有运行状况检查的新检查的状态。

此指标作为现有 Tunnel 运行状况检查的一部分运行，并支持以下状态：

• 正常：不会吊销 TLs 证书
• 警告：如果 TLS 证书被吊销，则无法检查
• 不正常：TLS 证书已吊销，应更新

有关 TLS 证书吊销检查的详细信息，请参阅监视Microsoft隧道。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Akumina EXP by Akumina Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2023 年 11 月 27 日当周

应用管理

在适用于 Android 设备的 Microsoft 365 (Office) 中配置脱机缓存

在应用保护策略中将“保存到本地存储”设置设置为“已阻止”时，可以使用应用配置策略中的配置密钥来启用或禁用脱机缓存。 此设置仅适用于 Android 上的 Microsoft 365 (Office) 应用。

有关详细信息，请参阅 Microsoft 365 (Office) 中的数据保护设置 。

设备上的 Win32 应用宽限期设置

在部署了具有宽限期设置的 Win32 应用的设备上，没有管理权限的低权限用户现在可以与宽限期 UX 交互。 设备上的管理员继续能够与设备上的宽限期 UX 交互。

有关宽限期行为的详细信息，请参阅 设置 Win32 应用可用性和通知。

托管主屏幕应用配置添加

Microsoft托管主屏幕 (MHS) 现已更新为公共预览版，以改进核心工作流和用户体验。 除了一些用户界面更改外，还有一个新的顶部栏导航，管理员可以在其中配置要显示的设备标识属性。 此外，用户可以在顶部栏上请求权限时访问设置、登录/注销和查看通知。

可以添加更多设置来配置适用于 Android Enterprise 的 托管主屏幕 应用。 Intune现在支持 Android Enterprise 应用配置策略中的以下设置：

• 启用更新的用户体验
• 顶部栏主元素
• 顶部栏辅助元素
• 顶部栏用户名样式

有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

适用于 .NET MAUI 的 Intune APP SDK

使用适用于 .NET MAUI 的 Intune APP SDK，可以针对包含 .NET 多平台应用 UI 的Intune开发 Android 或 iOS 应用。 使用此框架开发的应用可以强制实施Intune移动应用程序管理。 有关 Android 上的 .NET MAUI 支持，请参阅 Intune适用于 .NET MAUI 的应用 SDK - Android。 有关 iOS 上的 .NET MAUI 支持，请参阅 Intune适用于 .NET MAUI 的应用 SDK - iOS。

2023 年 11 月 13 日 (服务版本 2311)

应用管理

在适用于 Android、Android AOSP 的应用中添加了新的宽限期状态

适用于 Android 的 Intune 公司门户 应用和适用于 Android AOSP 的 Microsoft Intune 应用现在对不符合合规性要求但仍在给定宽限期内的设备显示宽限期状态。 用户可以看到设备必须合规的日期，以及有关如何变得合规的说明。 如果用户未在给定日期前更新其设备，则设备将标记为不符合。

有关详细信息，请参阅以下文章：

• 配置符合性策略，其中包含针对非合规性的操作
• 在适用于 AOSP 的 Intune 应用中检查合规性
• 在适用于 Android 的 公司门户 中检查合规性

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>配置>”“创建>iOS/iPadOS 或 macOS for platform >设置目录”，了解配置文件类型。

iOS/iPadOS

托管设置：

• 数据漫游
• 个人热点
• 语音漫游 (已弃用) ：此设置在 iOS 16.0 中已弃用。 数据漫游是替换设置。

共享 iPad

托管设置：

• 诊断提交

macOS

> Microsoft Defender防病毒引擎：

• 启用被动模式 (弃用) ：此设置已弃用。 强制级别是替换设置。
• 启用实时保护 (已弃用) ：此设置已弃用。 强制级别是替换设置。
• 强制级别

Windows 设置目录中现在提供了用于管理适用于 Linux 的 Windows 子系统的设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

Windows 设置目录适用于 Linux 的 Windows 子系统 ( WSL) 有新设置。 通过这些设置，Intune与 WSL 集成，因此管理员可以自行管理 WSL 部署和 Linux 实例中的控件。

若要查找这些设置，请在Microsoft Intune管理中心转到“设备>配置>创建新>策略>Windows 10及更高版本”，了解配置文件类型的平台>设置目录。

适用于 Linux 的 Windows 子系统：

• 允许内核调试
• 允许自定义网络配置
• 允许自定义系统分发配置
• 允许内核命令行配置
• 允许自定义内核配置
• 允许 WSL1
• 允许适用于 Linux 的 Windows 子系统
• 允许适用于 Linux 的 Windows 子系统的收件箱版本
• 允许用户设置防火墙配置
• 允许嵌套虚拟化
• 允许直通磁盘装载
• 允许调试 shell

应用于：

• Windows 10
• Windows 11

设备注册

共享设备模式下的 iOS/iPadOS 设备的注册现已正式发布

现已正式发布，可在 Microsoft Intune 管理中心进行配置，为处于共享设备模式的 iOS/iPadOS 设备设置自动设备注册。 共享设备模式是Microsoft Entra的一项功能，使一线员工能够全天共享单个设备，并根据需要登录和注销。

有关详细信息，请参阅 在共享设备模式下为设备设置注册。

设备管理

管理中心中新设备体验的改进 (公共预览版)

我们对 Microsoft Intune 管理中心中的新设备体验进行了以下更改：

• 特定于平台的选项的更多入口点：从 “设备 ”导航菜单中访问平台页面。
• 监视报表的快速条目：选择指标卡的标题以转到相应的监视报告。
• 改进了导航菜单：我们重新添加了图标，以在导航时提供更多的颜色和上下文。

在Microsoft Intune管理中心中翻转开关，以在公共预览版中试用新体验，并分享你的反馈。

有关更多信息，请参阅：

• 新的Microsoft Intune设备体验 - Microsoft Tech Community
• 试用新设备体验 - Microsoft Learn

设备安全性

Linux 防病毒策略模板的其他设置

通过将以下设置添加到适用于 Linux 设备的Microsoft Defender防病毒模板，扩展了对 Linux 的支持：

• cloudblocklevel
• scanarhives
• scanafterdefinitionupdate
• maximumondemandscanthreads
• behaviormonitoring
• enablefilehashcomputation
• networkprotection
• enforcementlevel
• nonexecmountpolicy
• unmonitoredfilesystems

适用于 Linux 的 Microsoft Defender 防病毒模板支持由 Intune 管理的设备，以及仅通过 Defender for Endpoint 安全设置管理方案由 Defender 管理的设备。

更新了 Microsoft 365 应用版 for Enterprise 的安全基线

我们发布了适用于企业的 Microsoft 365 应用版 Intune 安全基线版本 2306 的新版本。

Microsoft 365 Office Apps 基线可帮助你快速将配置部署到 Office 应用，以满足 Microsoft 的 Office 和安全团队的安全建议。 与所有基线一样，默认基线表示建议的配置。 可以修改默认基线以满足组织的要求。

我们还更新了此基线的 参考文章 ，你可以在其中查看此基线版本包含的设置的默认配置。

弃用和替换 Linux 和 macOS 终结点安全防病毒策略中的两个设置

macOS 和 Linux 的防病毒配置文件Microsoft Defender防病毒引擎类别中有两个已弃用的设置。 这些配置文件作为Intune终结点安全防病毒策略的一部分提供。

对于每个平台，单个设置将替换两个已弃用的设置。 此新设置与Microsoft Defender for Endpoint管理设备配置的方式一致。

下面是两个已弃用的设置：

• 启用实时保护 现在显示为 启用实时保护 (弃用)
• 启用被动模式 现在显示为 启用被动模式 (弃用)

替换两个已弃用设置的新设置：

• 强制级别 - 默认情况下，强制级别设置为 “被动 ”，并支持 “实时 ”和“ 按需”选项。

每个平台的 Intune 设置目录中也提供了这些设置，其中旧设置也标记为已弃用，并替换为新设置。

进行此更改后，配置了任一 已弃用 设置的设备将继续应用该配置，直到新设置 “强制级别”将设备作为目标。 一旦成为强制级别的目标，弃用的设置将不再应用于设备。

在将来的更新中，将从防病毒配置文件和设置目录中删除已弃用的设置，以Intune。

注意

适用于 Linux 的更改现已推出。 macOS 设置标记为已弃用，但 强制级别 设置在 12 月之前不可用。

应用于：

• Linux
• macOS

Microsoft Defender防火墙配置文件重命名为 Windows 防火墙

为了与 Windows 中的防火墙品牌更改保持一致，我们将更新终结点安全防火墙策略Intune配置文件的名称。 在名称Microsoft Defender防火墙的配置文件中，我们将它替换为 Windows 防火墙。

以下平台具有受影响的配置文件，只有配置文件名称受此更改影响：

• Windows 10 及更高版本的 (ConfigMgr)
• Windows 10、Windows 11 和 Windows Server

用于管理 Windows Hyper-V 防火墙设置的 Windows 防火墙的终结点安全防火墙策略

我们向 Windows 防火墙配置文件添加了新设置， (以前Microsoft Defender防火墙) 终结点安全防火墙策略。 新设置可用于管理 Windows Hyper-V 设置。 若要配置新设置，请在 Microsoft Intune 管理中心，转到“终结点安全>防火墙>平台：Windows 10、Windows 11和 Windows Server> 配置文件：Windows 防火墙”。

以下设置将添加到 防火墙 类别：

• 目标 - 当 Target 设置为 适用于 Linux 的 Windows 子系统 时，以下子设置适用：
  • 启用公用网络防火墙
  • 启用专用网络防火墙
  • 允许主机策略合并
  • 启用域网络防火墙
  • 启用环回

应用于：

• Windows 10
• Windows 11

有关这些设置的详细信息，请参阅 具有高级安全性的 Windows 防火墙。

适用于 Windows Hyper-V 防火墙规则的新终结点安全防火墙策略配置文件

我们发布了名为 Windows Hyper-V 防火墙规则的新配置文件，可通过终结点安全防火墙策略的Windows 10、Windows 11和 Windows Server 平台路径找到该配置文件。 使用此配置文件可以管理适用于 Windows 上特定 Hyper-V 容器的防火墙设置和规则，包括适用于 Linux 的 Windows 子系统 (WSL) 和适用于 Android 的 Windows 子系统 (WSA) 等应用程序。

应用于：

• Windows 10
• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 嘿，Intune由公民公司。
• Microsoft Corporation (iOS) Microsoft Azure
• KeePassium Labs (iOS) 的 KeePassium for Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2023 年 11 月 6 日当周

应用管理

iOS 公司门户的最低版本更新

用户需要更新到 iOS 公司门户的 v5.2311.1。 如果启用了“使用App Store设备限制阻止安装应用”设置，则可能需要将更新推送到使用此设置的相关设备。 否则，无需执行任何操作。

如果你有支持人员，你可能希望让他们知道更新公司门户应用的提示。 大多数情况下，用户将应用更新设置为自动更新，因此他们无需执行任何操作即可收到更新的公司门户应用。 系统会提示具有早期应用版本的用户更新到最新的公司门户应用。

设备安全性

Defender for Endpoint 安全设置管理增强功能和对 Linux 和 macOS 的支持已正式发布

Defender for Endpoint 安全设置管理 选择加入公共预览版 中引入的改进现已正式发布。

通过此更改，安全设置管理的默认行为包括为选择加入预览版添加的所有行为 ， 而无需在 Microsoft Defender for Endpoint 中启用对预览功能的支持。 这包括 Linux 和 macOS 的以下终结点安全配置文件的正式发布和支持：

Linux：

• Microsoft Defender 防病毒
• Microsoft Defender 防病毒软件排除
• 终结点检测和响应

MacOS：

• Microsoft Defender 防病毒
• Microsoft Defender 防病毒软件排除
• 终结点检测和响应

有关详细信息，请参阅Intune文档中Microsoft Defender for Endpoint安全设置管理。

设备管理

功能更新和报表支持Windows 11策略

功能更新策略上的新设置使组织能够将Windows 11部署到有资格升级的设备，同时确保不符合升级条件的设备使用单个策略的最新Windows 10功能更新。 因此，管理员无需创建或管理符合条件的和不符合资格的设备组。

有关功能更新的详细信息，请参阅 Windows 10 及更高版本的功能更新。

2023 年 10 月 30 日当周

设备安全性

Microsoft Edge 中的严格隧道模式可用于 Android 和 iOS/iPadOS 设备上的适用于 MAM 的 Microsoft Tunnel

在 Intune 中，可以在 Android 和 iOS/iPadOS 设备上使用 适用于移动应用管理的 Microsoft Tunnel (MAM) 。 使用 MAM 隧道，未在 Intune) 中注册的非托管设备 (设备可以访问本地应用和资源。

有一个新的 严格隧道模式 功能，可以为 Microsoft Edge 配置。 当用户使用组织帐户登录 Microsoft Edge 时，如果未连接 VPN，则 严格隧道模式 会阻止 Internet 流量。 当 VPN 重新连接时，Internet 浏览将再次可用。

若要配置此功能，请创建Microsoft Edge 应用配置策略，并添加以下设置：

• 项：com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
• 值： True

应用于：

• Android Enterprise 版本 10 及更高版本
• iOS/iPadOS 版本 14 及更高版本

有关更多信息，请参阅：

• 用于移动应用程序管理的Microsoft隧道
• 适用于 MAM 的 Microsoft Tunnel - Android
• 适用于 MAM 的 Microsoft Tunnel - iOS/iPadOS

2023 年 10 月 23 日 (服务版本 2310)

应用管理

适用于 Android 公司门户 应用的用户的更新

如果用户启动低于 2021 年 11 月) (版本 5.0.5333.0 的 Android 公司门户 应用版本，他们将看到一条提示，鼓励他们更新 Android 公司门户 应用。 如果 Android 公司门户 版本较旧的用户尝试使用最新版本的 Authenticator 应用进行新设备注册，此过程可能会失败。 若要解决此行为，请更新 Android 公司门户 应用。

iOS 设备的最低 SDK 版本警告

iOS 设备上的 iOS 条件启动设置 的最小 SDK 版本 现在包括 警告 操作。 如果不满足最低 SDK 版本要求，此操作会警告最终用户。

有关详细信息，请参阅 iOS 应用保护策略设置。

Apple LOB 和应用商店应用的最低 OS

可以将最低操作系统配置为 Apple 业务线应用和 iOS/iPadOS 应用商店应用的最新 Apple OS 版本。 可以设置 Apple 应用的最低操作系统，如下所示：

• 适用于 iOS/iPadOS 业务线应用的 iOS/iPadOS 17.0
• 适用于 macOS 业务线应用的 macOS 14.0
• 适用于 iOS/iPadOS 应用商店应用的 iOS/iPadOS 17.0

应用于：

• iOS/iPadOS
• macOS

Android (AOSP) 支持业务线 (LOB) 应用

可以使用 “必需 ”和“卸载”组分配在 AOSP 设备上安装和 卸载 必需的 LOB 应用。

应用于：

• Android

若要详细了解如何管理 LOB 应用，请参阅将 Android 业务线应用添加到Microsoft Intune。

非托管 macOS PKG 应用的配置脚本

现在可以在非托管 macOS PKG 应用中配置预安装脚本和安装后脚本。 此功能比自定义 PKG 安装程序更灵活。 配置这些脚本是可选的，需要 macOS 设备的 Intune 代理 v2309.007 或更高版本。

有关将脚本添加到非托管 macOS PKG 应用的详细信息，请参阅 添加非托管 macOS PKG 应用。

设备配置

设置目录和管理模板中提供了 FSLogix 设置

设置目录和管理模板中提供了 FSLogix 设置 ， (ADMX) 进行配置。

以前，若要在 Windows 设备上配置 FSLogix 设置，请使用 Intune 中的 ADMX 导入功能导入这些设置。

应用于：

• Windows 10
• Windows 11

有关这些功能的详细信息，请参阅：

• 使用设置目录配置设置
• 使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
• 什么是 FSLogix？

在托管 Google Play 应用中使用委托的范围，这些应用在 Android Enterprise 设备上配置增强的权限

在托管 Google Play 应用中，可以使用委托的范围为应用授予增强的权限。

当应用包含委托范围时，可以在设备配置文件中配置以下设置 (设备>管理设备>配置>>创建新策略>Android Enterprise for platform >Full Managed、Dedicated 和 Corporate-Owned Work Profile>Device Restrictionsfor Profile type > Applications) ：

• 允许其他应用安装和管理证书：管理员可以为此权限选择多个应用。 向所选应用授予对证书安装和管理的访问权限。
• 允许此应用访问 Android 安全日志：管理员可以为此权限选择一个应用。 所选应用有权访问安全日志。
• 允许此应用访问 Android 网络活动日志：管理员可以为此权限选择一个应用。 所选应用有权访问网络活动日志。

若要使用这些设置，托管的 Google Play 应用必须使用委托的范围。

应用于：

• Android Enterprise 完全托管设备
• Android Enterprise 专用设备
• 具有工作配置文件的 Android Enterprise 公司拥有的设备

有关此功能的详细信息，请参阅：

• Android 的内置应用配置
• Android Enterprise 设备设置列表，用于允许或限制使用 Intune > 应用程序的公司拥有的设备上的功能

Samsung 终止了对 Android 设备管理员 (DA) 设备上的展台模式的支持

Samsung 将 Android 设备管理员上使用的 Samsung Knox 展台 API 标记为在 Knox 3.7 (Android 11) 中弃用。

虽然这些功能可能会继续工作，但不能保证它将继续工作。 三星不会修复可能出现的 bug。 有关 Samsung 对已弃用 API 的支持的详细信息，请参阅弃用 API 后提供哪种类型的支持？ (打开 Samsung 的网站) 。

相反，可以使用专用设备管理通过Intune来管理展台设备。

应用于：

• Android 设备管理员 (DA)

导入和导出设置目录策略

Intune设置目录列出了可以配置的所有设置，所有设置都位于一个位置， (设备>管理设备>配置>创建新>策略> 选择平台>“配置文件类型”，选择“设置目录) ”。

可以导入和导出设置目录策略：

• 若要导出现有策略，请选择配置文件>，选择省略号>“导出 JSON”。
• 若要导入以前导出的设置目录策略，请选择“ 创建>导入策略> ”，选择以前导出的 JSON 文件。

有关设置目录的详细信息，请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

注意

此功能将继续推出。可能需要几周后才能在租户中提供它。

用于阻止用户使用同一密码解锁设备以及使用工作配置文件访问 Android Enterprise 个人拥有设备上的工作配置文件的新设置

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，用户可以使用相同的密码解锁设备并访问工作配置文件。

有一个新设置，可以强制实施不同的密码来解锁设备并访问工作配置文件 (设备>管理设备>配置>创建新>策略>Android Enterprise>Personally Owned Work Profile for platform >Device Restrictions for profile for profile type) ：

• 设备和工作配置文件的一个锁： “阻止” 可阻止用户对设备和工作配置文件上的锁屏界面使用相同的密码。 最终用户需要输入设备密码才能解锁设备，并输入其工作配置文件密码才能访问其工作配置文件。 设置为“未配置” (默认) 时，Intune不会更改或更新此设置。 默认情况下，OS 可能允许用户使用单个密码访问其工作配置文件。

此设置是可选的，不会影响现有配置文件。

目前，如果工作配置文件密码不符合策略要求，则设备用户会看到通知。 设备未标记为不合规。 正在为工作配置文件创建单独的符合性策略，并将在未来版本中提供。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备 (BYOD)

有关可以在个人拥有的设备上配置工作配置文件的设置列表，请参阅 Android Enterprise 设备设置列表，以允许或限制使用Intune的个人拥有设备上的功能。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在Microsoft Intune管理中心，转到“设备>管理设备>”“配置>”“创建新>策略>”“macOS>设置目录”，了解配置文件类型。

隐私 > 隐私首选项策略控制：

• 系统策略应用数据

限制:

• 强制仅限设备上的听写

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设备注册

个人 iOS/iPadOS 设备使用 JIT 注册进行基于 Web 的设备注册

Intune支持基于 Web 的设备注册， (JIT) 通过 Apple 设备注册设置的个人设备注册。 JIT 注册减少了在整个注册体验中向用户显示的身份验证提示数，并跨设备建立 SSO。 Intune 公司门户的 Web 版本上进行注册，无需公司门户应用。 此外，此注册方法使没有托管 Apple ID 的员工和学生能够注册设备和访问批量购买的应用。

有关详细信息，请参阅 为 iOS 设置基于 Web 的设备注册。

设备管理

汇报Intune加载项页

“租户管理”下的“Intune加载项”页包括“你的加载项”、“所有加载项”和“功能”。 它提供了一个增强的视图来查看你的试用版或购买的许可证、你已授权在租户中使用的附加功能，以及支持Microsoft管理中心的新计费体验。

有关详细信息，请参阅使用 Intune Suite 加载项功能。

适用于 Android 的远程帮助现已正式发布

远程帮助正式适用于 Zebra 和 Samsung 的 Android Enterprise 专用设备。

借助远程帮助，IT 专业人员可以远程查看设备屏幕，并在有人参与和无人参与的情况下完全控制设备屏幕，从而快速高效地诊断和解决问题。

应用于：

• 由 Zebra 或 Samsung 制造的 Android Enterprise 专用设备

有关详细信息，请参阅 Android 上的远程帮助。

设备安全性

在设置目录中为 Apple 设备配置声明性软件更新和密码策略

可以使用 Apple 的声明性设备管理 (DDM) 配置来管理软件更新和密码， (设备>管理设备>配置>>为配置文件类型>声明性设备管理) 的平台设置目录创建新策略>iOS/iPadOS 或 macOS。>

有关 DDM 的详细信息，请参阅 Apple 的声明性设备管理 (DDM) (打开 Apple 网站) 。

DDM 允许在强制截止时间之前安装特定更新。 当设备处理整个软件更新生命周期时，DDM 的自治特性提供了改进的用户体验。 它提示用户更新可用，并下载、准备设备进行安装、& 安装更新。

在设置目录中，声明性 设备管理 > 软件更新中提供了以下声明性软件更新设置：

• 详细信息 URL：显示更新详细信息的网页 URL。 通常，此 URL 是由组织托管的网页，用户可以选择是否需要组织特定的更新帮助。
• 目标内部版本：将设备更新到的目标内部版本，例如 20A242。 生成版本可以包含补充版本标识符，例如 20A242a。 如果输入的内部版本与输入 的“目标 OS 版本” 值不一致，则 “目标 OS 版本” 值优先。
• 目标本地日期时间：指定何时强制安装软件更新的本地日期时间值。 如果用户在此时间之前未触发软件更新，则设备会强制安装它。
• 目标 OS 版本：将设备更新到的目标 OS 版本。 此值是 OS 版本号，如 16.1。 还可以包含补充版本标识符，例如 16.1.1。

有关此功能的详细信息，请参阅 使用设置目录管理软件更新。

在设置目录中，声明性设备管理>密码中提供了以下声明性密码设置：

• 自动设备锁定：输入系统自动锁定设备之前用户可以空闲的最长时间。
• 最大宽限期：输入用户无需密码即可解锁设备的最大时间段。
• 最大失败尝试次数：输入之前错误密码尝试的最大次数：
  • iOS/iPadOS 擦除设备
  • macOS 锁定设备
• 最小密码长度：输入密码必须具有的最小字符数。
• 密码重用限制：输入以前使用过的不能使用的密码数。
• 需要复杂密码：设置为 True 时，需要复杂密码。 复杂密码没有重复字符，也没有递增或递减字符，如 123 或 CBA。
• 设备上需要密码：设置为 True 时，用户必须设置密码才能访问设备。 如果未设置其他密码限制，则对密码的长度或质量没有任何要求。

应用于：

• iOS/iPadOS 17.0 及更高版本
• macOS 14.0 及更高版本

有关设置目录的信息，请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

Mvision Mobile 现在为 Trellix Mobile Security

Intune移动威胁防御合作伙伴Mvision Mobile 已过渡到 Trellix Mobile Security。 通过此更改，我们更新了文档和Intune管理中心 UI。 例如， Mvision Mobile 连接器 现在是 Trellix Mobile Security。 Mvision Mobile 连接器的现有安装也会更新到 Trellix Mobile Security。

如果对此更改有任何疑问，请联系 Trellix Mobile Security 代表。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 兄弟工业有限公司的BuddyBoard
• Microsoft公司Microsoft Loop

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

策略符合性和设置合规性的更新报告现已正式发布

以下设备符合性报告已公开预览版，现已正式发布：

• 策略符合性
• 设置合规性

此次正式发布后，两个报表的旧版本已从 Intune 管理中心停用，不再可用。

有关这些更改的详细信息，请参阅 上的 Intune 支持团队博客https://aka.ms/Intune/device_compl_report。

租户管理

Intune管理中心主页更新

Intune管理中心主页经过重新设计，具有全新的外观和更动态的内容。 “状态”部分已简化。 可以在聚焦部分中浏览Intune相关功能。 从Intune中获取更多内容部分提供了指向Intune社区和博客的链接，Intune客户成功。 此外，文档和培训部分提供了指向Intune新增功能、开发中的功能和更多培训的链接。 在Microsoft Intune管理中心，选择“主页”。

2023 年 10 月 16 日当周

租户管理

endpoint.microsoft.com URL 重定向到 intune.microsoft.com

此前，已宣布Microsoft Intune管理中心有一个新的 URL (https://intune.microsoft.com) 。

URL https://endpoint.microsoft.com 现在重定向到 https://intune.microsoft.com。

2023 年 9 月 18 日 (服务版本 2309)

应用管理

适用于 Windows 正式版的 MAM

现在可以在个人 Windows 设备上通过 Microsoft Edge 启用对组织数据的受保护 MAM 访问。 此功能使用以下功能：

• Intune应用程序配置策略 (ACP) 自定义 Microsoft Edge 中的组织用户体验
• Intune应用程序保护策略 (应用) 来保护组织数据并确保使用 Microsoft Edge 时客户端设备正常运行
• Windows 安全中心中心威胁防御与 Intune 应用集成，用于检测个人 Windows 设备上的本地运行状况威胁
• 应用程序保护条件访问：在通过 Microsoft Entra ID 授予受保护的服务访问权限之前，确保设备受保护且正常运行。

Intune适用于 Windows 的移动应用程序管理 (MAM) 适用于Windows 11版本 10.0.22621 (22H2) 或更高版本。 此功能包括对 Microsoft Intune (2309 版本) 、Microsoft Edge (v117 稳定分支及更高版本) 的支持更改，以及 Windows 安全中心 Center (v 1.0.2309.xxxxx 及更高版本) 。 应用保护条件访问以公共预览版提供。

主权云支持有望在将来推出。 有关详细信息，请参阅 windows 应用保护策略设置。

设备配置

未成功部署的 OEMConfig 配置文件不会显示为“挂起”

对于 Android Enterprise 设备，可以创建配置策略来配置 OEMConfig 应用 (设备>管理设备>配置>>为平台> OEM 配置创建新策略>Android Enterprise 配置文件类型) 。

以前，超过 350 KB 的 OEMConfig 配置文件显示“挂起”状态。 此行为已更改。 超过 350 KB 的 OEMConfig 配置文件不会部署到设备。 处于挂起状态的配置文件或大于 350 KB 的配置文件不会显示。 仅显示成功部署的配置文件。

此更改仅是 UI 更改。 不会对相应的Microsoft图形 API 进行更改。

若要在Intune管理中心监视配置文件挂起状态，请转到“设备>管理设备>”“配置>”“选择配置文件>设备状态”。

应用于：

• Android Enterprise

有关 OEM 配置的详细信息，请参阅在 Microsoft Intune 中使用和管理 OEMConfig 的 Android Enterprise 设备。

配置刷新设置位于 Windows 预览体验成员的设置目录中

在 Windows 设置目录中，可以配置 配置刷新。 借助此功能，你可以设置 Windows 设备重新应用以前收到的策略设置的节奏，而无需设备检查Intune。

配置刷新：

• 启用配置刷新
• 刷新节奏 (分钟)

应用于：

• Windows 11

有关设置目录的详细信息，请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

Apple 设置目录中现在提供托管设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

“托管设置”命令中的设置在“设置目录”中可用。 在Microsoft Intune管理中心中，可以在“设备>管理设备>”“配置>创建新>策略>”“iOS/iPadOS>设置”目录中查看配置文件类型的这些设置。

托管设置 > 应用分析：

• 已启用：如果为 true，则启用与应用开发人员共享应用分析。 如果为 false，则禁用共享应用分析。

应用于：

• 共享 iPad

托管设置 > 辅助功能设置：

• 启用加粗文本
• 已启用灰度
• 已启用“增加对比度”
• 启用“减少运动”
• 已启用降低透明度
• 文本大小
• 启用触摸调节
• 已启用 Voice Over
• 已启用缩放

托管设置 > 软件更新设置：

• 建议节奏：此值定义系统向用户提供软件更新的方式。

托管设置 > 时区：

• 时区：Internet 号码分配机构 (IANA) 时区数据库名称。

应用于：

• iOS/iPadOS

托管设置 > 蓝牙：

• 已启用：如果为 true，则启用蓝牙设置。 如果为 false，请禁用蓝牙设置。

托管设置 > MDM 选项：

• 受监督时允许的激活锁定：如果为 true，则当用户启用“查找我”时，受监督设备会向激活锁注册自身。

应用于：

• iOS/iPadOS
• macOS

有关这些设置的详细信息，请参阅 Apple 的开发人员网站。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有一个新设置。 若要查看此设置，请在Microsoft Intune管理中心，转到“设备>管理设备>”“配置>”“创建新>策略>”“macOS>设置目录”以获取配置文件类型。

> Microsoft Defender云提供的保护首选项：

• 云块级别

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

Intune与 Zebra 救生员空中服务集成已正式发布

Microsoft Intune支持与 Zebra Lifeguard 无线服务集成，这使你可以通过无线方式向注册Intune的合格 Zebra 设备提供 OS 更新和安全修补程序。 可以选择要部署的固件版本、设置计划以及错开更新下载和安装。 还可以针对何时发生更新设置最低电池电量、充电状态和网络条件要求。

此集成现已正式发布，适用于运行 Android 8 或更高版本的 Android Enterprise 专用和完全托管的 Zebra 设备。 它还需要 Zebra 帐户和Intune计划 2 或Microsoft Intune Suite。

以前，此功能以公共预览版提供，可供免费使用。 此版本正式发布后，此解决方案现在需要附加许可证以供使用。

有关许可详细信息，请参阅Intune加载项。

设备注册

使用工作配置文件注册 Android Enterprise 的完全托管和公司拥有的设备在注册过程中的 SSO 支持

Intune支持在 Android Enterprise 设备上使用工作配置文件完全托管或公司拥有的单一登录 (SSO) 。 在注册期间添加 SSO 后，注册其设备的最终用户只需使用其工作或学校帐户登录一次。

应用于：

• 具有工作配置文件的 Android Enterprise 公司拥有的设备
• Android Enterprise 完全托管设备

有关这些注册方法的详细信息，请参阅：

• 设置 Android Enterprise 公司拥有的工作配置文件设备的 Intune 注册
• 为 Android Enterprise 完全托管设备设置注册

设备管理

macOS 上的远程帮助简介

远程帮助 Web 应用允许用户连接到 macOS 设备并加入仅查看远程协助会话。

应用于：

• 11 大苏尔
• 12 蒙特利
• 13 文图拉

有关 macOS 上的远程帮助的详细信息，请参阅 远程帮助。

管理证书到期日期

管理证书过期日期作为 “设备” 工作负荷中的一列提供。 可以筛选管理证书的到期日期范围，还可以导出过期日期与筛选器匹配的设备列表。

可通过选择“设备所有设备>”在管理中心Microsoft Intune获取此信息。

Windows Defender 应用程序控制 (WDAC) 引用已更新为适用于企业的 App Control

Windows 将 Windows Defender 应用程序控制 (WDAC) 重命名为 适用于企业的应用控制。 通过此更改，Intune文档中的引用和Intune管理中心将更新，以反映此新名称。

Intune支持 iOS/iPadOS 15.x 作为最低版本

Apple 发布了 iOS/iPadOS 版本 17。 现在，Intune支持的最低版本是 iOS/iPadOS 15.x。

应用于：

• iOS/iPadOS

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况，其支持声明略有细微差别。 有关详细信息，请参阅 无用户设备的受支持与允许的 iOS/iPadOS 版本的支持声明。

政府租户对终结点安全性应用程序控制策略和托管安装程序的支持

我们已向以下主权云环境添加了对使用终结点安全性 应用程序控制策略和配置托管安装程序的支持：

• 美国政府云
• 世纪互联在中国

对应用程序控制策略和托管安装程序的支持最初 在 2023 年 6 月以预览版发布。 Intune 中的应用程序控制策略是 Defender 应用程序控制 (WDAC) 的实现。

设备安全性

Windows 365设备的终结点特权管理支持

现在可以使用 Endpoint Privilege Management 来管理Windows 365设备上的应用程序提升， (也称为云电脑) 。

此支持不包括 Azure 虚拟桌面。

Endpoint Privilege Management 的发布者提供的提升报告

我们发布了名为 “发布者提升报告 ”的新报表，用于 Endpoint Privilege Management (EPM) 。 使用此 新报表 ，可以查看所有托管和非托管提升，这些提升由提升的应用的发布者聚合。

可以在 Intune 管理中心的 EPM 报表节点中找到报表。 导航到 “终结点安全>终结点特权管理 ”，然后选择“ 报告 ”选项卡。

macOS 支持Intune终结点检测和响应的终结点安全策略

Intune终结点检测和响应的终结点安全策略 (EDR) 现在支持 macOS。 为了启用此支持，我们添加了 适用于 macOS 的新 EDR 模板配置文件。 将此配置文件用于通过 Intune 注册的 macOS 设备和通过 Defender for Endpoint 安全设置管理方案选择加入公共预览版管理的 macOS 设备。

适用于 macOS 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记” 类别的以下设置：

• 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。
• 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。

若要详细了解适用于 macOS 的 Defender for Endpoint 设置，请参阅 Defender 文档中的在 macOS 上设置Microsoft Defender for Endpoint首选项。

Linux 支持Intune终结点检测和响应的终结点安全策略

Intune终结点检测和响应的终结点安全策略 (EDR) 现在支持 Linux。 为了启用此支持，我们添加了 适用于 Linux 的新 EDR 模板配置文件。 将此配置文件用于注册Intune的 Linux 设备和通过 Defender for Endpoint 安全设置管理方案的选择加入公共预览版管理的 Linux 设备。

适用于 Linux 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记 ”类别的以下设置：

• 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。
• 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。

若要详细了解适用于 Linux 的 Defender for Endpoint 设置，请参阅 Defender 文档中的 Set preferences for Microsoft Defender for Endpoint on Linux。

监视和疑难解答

更新了 Windows 10 及更高版本的更新通道的报告

Windows 10 及更高版本的更新通道的报告已更新为使用Intune改进的报告基础结构。 这些更改与其他Intune功能引入的类似改进一致。

对于 Windows 10 及更高版本的更新通道报表的此更改，在 Intune 管理中心中选择更新通道策略时，没有用于“概述”、“管理”或“监视”选项的左窗格导航。 相反，策略视图会打开一个窗格，其中包含以下策略详细信息：

• Essentials - 包括策略名称、创建和修改日期以及更多详细信息。
• 设备和用户检查状态 - 此视图是默认报表视图，包括：
  • 此策略的设备状态的高级概述，以及用于打开更全面的报表视图的 “查看报告 ”按钮。
  • 分配给策略的设备返回的不同设备状态值的简化表示形式和计数。 简化条形图和图表取代了以前的报告表示形式中显示的圆环图。
• 另外两个报表磁贴，用于打开更多报表。 这些磁贴包括：
  • 设备分配状态 – 此报告与以前的设备状态和用户状态报告（不再可用）合并了相同的信息。 但是，通过此更改，基于用户名的透视和钻取不再可用。
  • 按设置状态 – 此新报表提供与默认设置配置不同的每个设置的成功指标，从而提供可能未成功部署到组织的设置的新见解。
• 属性 - 查看策略的每个配置页的详细信息，包括 编辑 每个区域配置文件详细信息的选项。

有关Windows 10及更高版本更新通道的报告的详细信息，请参阅针对Microsoft Intune Windows 更新报表一文中的针对Windows 10的更新通道和更高版本的策略的报告。

基于角色的访问权限

更新 UpdateEnrollment 的范围

随着 新角色 UpdateEnrollment 的引入， UpdateOnboarding 的范围将得到更新。

自定义和内置角色的 UpdateOnboarding 设置已修改为仅管理或更改 Android Enterprise 绑定，以托管 Google Play 和其他帐户范围的配置。 任何使用 UpdateOnboarding 的内置角色现在都将包含 UpdateEnrollmentProfiles 。

资源名称正在从 Android for work 更新到 Android Enterprise。

有关详细信息，请参阅 Microsoft Intune 的基于角色的访问控制 (RBAC)。

2023 年 9 月 11 日当周

设备配置

远程帮助上的远程启动简介

借助远程启动，帮助程序可以通过向用户的设备发送通知，从Intune在帮助者和用户的设备上无缝启动远程帮助。 此功能允许支持人员和共享者快速连接到会话，而无需交换会话代码。

应用于：

• windows 10/11

有关详细信息，请参阅 远程帮助。

2023 年 9 月 4 日当周

设备管理

Microsoft Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Microsoft Intune已于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持， (GMS) 。 在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。

如果当前使用设备管理员管理，建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。

有关详细信息，请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。

2023 年 8 月 28 日当周

设备配置

Windows 和 Android 支持 SCEP 和 PFX 证书配置文件的 4096 位密钥大小

Intune适用于 Windows 和 Android 设备的 SCEP 证书配置文件和 PKCS 证书配置文件现在支持密钥大小 (位) 4096。 此密钥大小可用于选择编辑的新配置文件和现有配置文件。

• SCEP 配置文件始终包含 密钥大小 (位) 设置，现在支持 4096 作为可用的配置选项。
• PKCS 配置文件不包括直接 设置的密钥大小 (位) 。 相反，管理员必须 修改证书颁发机构上的证书模板 ，以将 “最小密钥大小 ”设置为 4096。

如果使用第三方证书颁发机构 (CA) ，则可能需要联系供应商以获取有关实现 4096 位密钥大小的帮助。

更新或部署新的证书配置文件以利用此新密钥大小时，建议使用交错部署方法。 此方法有助于避免同时在大量设备上产生对新证书的过度需求。

使用此更新时，请注意 Windows 设备上的以下限制：

• 仅 软件密钥存储提供程序 (KSP) 支持 4096 位密钥存储。 以下项不支持存储此大小的密钥：
  • 硬件 TPM (受信任的平台模块) 。 解决方法是使用软件 KSP 进行密钥存储。
  • Windows Hello 企业版。 目前没有解决方法。

租户管理

多个管理员审批的访问策略现已正式发布

多个管理员审批的访问策略已推出公共预览版，现已正式发布。 使用这些策略，可以保护资源（例如应用部署），方法是要求对部署的任何更改在应用该更改之前，由资源 审批者 中的一组用户之一批准。

有关详细信息，请参阅 使用访问策略要求多个管理批准。

2023 年 8 月 21 日 (服务版本 2308)

应用管理

托管主屏幕提示最终用户授予确切的警报权限

托管主屏幕使用确切的警报权限执行以下操作：

• 在设备上处于非活动状态的设定时间后自动注销用户
• 在设定的处于非活动状态的时间段后启动屏幕保护程序
• 在用户退出展台模式的某个时间段后自动重新启动 MHS

对于运行 Android 14 及更高版本的设备，默认情况下，将拒绝确切的警报权限。 为了确保关键用户功能不受影响，系统会在首次启动托管主屏幕时提示最终用户授予确切的警报权限。 有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用和 Android 开发人员文档。

托管主屏幕通知

对于运行面向 API 级别 33 的 Android 13 或更高版本的 Android 设备，默认情况下，应用程序无权发送通知。 在以前版本的 托管主屏幕中，当管理员启用了自动重新启动托管主屏幕时，会显示一条通知，提醒用户重新启动。 为了适应对通知权限的更改，在管理员启用了自动重新启动托管主屏幕的情况下，应用程序现在将显示一条 Toast 消息，提醒用户重新启动。 托管主屏幕能够自动授予此通知的权限，因此管理员配置托管主屏幕以适应 API 级别 33 的通知权限更改，无需进行更改。 有关 Android 13 (API 级别 33) 通知消息的详细信息，请参阅 Android 开发人员文档。 有关托管主屏幕的详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

新的 macOS Web 剪辑应用类型

在 Intune 中，最终用户可以将 Web 应用固定到 macOS 设备上的扩展坞 (应用>macOS>添加>macOS Web 剪辑) 。

应用于：

• macOS

有关可配置的设置的详细信息，请参阅将 Web 应用添加到Microsoft Intune。

Win32 应用可配置安装时间

在 Intune 中，可以设置可配置的安装时间来部署 Win32 应用。 此时间以分钟为单位。 如果应用安装时间长于设置的安装时间，则系统将无法安装应用。 最大超时值为 1440 分钟 (1 天) 。 有关 Win32 应用的详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

Samsung Knox 条件启动检查

可以在 Samsung Knox 设备上添加更多设备运行状况泄露检测。 在新的 Intune 应用保护策略中使用条件启动检查，可以要求在兼容的 Samsung 设备上执行硬件级设备篡改检测和设备证明。 有关详细信息，请参阅 Microsoft Intune 中 Android 应用保护策略设置的条件启动部分中的 Samsung Knox 设备证明设置。

设备配置

android 公共预览版中的远程帮助

远程帮助以公共预览版的形式提供，适用于 Zebra 和 Samsung 的 Android Enterprise 专用设备。 借助远程帮助，IT 专业人员可以远程查看设备屏幕，并在有人参与和无人参与的情况下完全控制设备屏幕，从而快速高效地诊断和解决问题。

应用于：

• 由 Zebra 或 Samsung 制造的 Android Enterprise 专用设备

有关详细信息，请参阅 Android 上的远程帮助。

组策略分析已正式发布

组策略分析已正式发布 (GA) 。 使用组策略分析分析本地组策略对象 (GPO) 将其迁移到Intune策略设置。

应用于：

• Windows 11
• Windows 10

有关组策略分析的详细信息，请参阅在 Microsoft Intune 中使用组策略分析分析本地 GPO。

Apple 设置目录中提供的新 SSO、登录、限制、密码和篡改防护设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在Microsoft Intune管理中心中，转到“设备>管理设备>”“配置>创建新>策略>”“iOS/iPadOS”或“macOS>设置目录”以获取配置文件类型。

iOS/iPadOS 17.0 及更高版本

限制:

• 在 Mac 上允许 iPhone 小组件

macOS

> Microsoft Defender篡改防护：

• 进程的参数
• 进程路径
• 进程的签名标识符
• 进程的团队标识符
• 进程排除

macOS 13.0 及更高版本

认证 >Extensible 单一登录 (SSO) ：

• 帐户显示名称
• 其他组
• 管理员组
• 身份验证方法
• 授权权限
• 组
• 授权组
• 启用授权
• 启用登录时创建用户
• 登录频率
• 新建用户授权模式
• 帐户名
• 全名
• 令牌到用户的映射
• 用户授权模式
• 使用共享设备密钥

macOS 14.0 及更高版本

登录 > 登录窗口行为：

• 自动登录密码
• 自动登录用户名

限制:

• 允许 ARD 远程管理修改
• 允许蓝牙共享修改
• 允许云自由格式
• 允许文件共享修改
• 允许 Internet 共享修改
• 允许创建本地用户
• 允许打印机共享修改
• 允许远程 Apple 事件修改
• 允许启动磁盘修改
• 允许时间计算机备份

安全 > 密码：

• 密码内容说明
• 密码内容正则表达式

设备注册

具有新式身份验证的 iOS/iPadOS 设置助手的实时注册和合规性修正现已正式发布

恰好 (JIT) 注册和新式身份验证设置助手的合规性修正现已推出预览版，现已正式发布。 使用实时注册时，设备用户无需使用 公司门户 应用进行Microsoft Entra注册和合规性检查。 JIT 注册和合规性修正嵌入到用户的预配体验中，因此他们可以查看其符合性状态，并在尝试访问的工作应用中执行操作。 此外，这会跨设备建立单一登录。 有关如何设置 JIT 注册的详细信息，请参阅 设置实时注册。

正在等待 iOS/iPadOS 自动设备注册的最终配置现已正式发布

现在正式发布， 等待最终配置 可在设置助手结束时提供锁定体验，以确保在设备上安装关键设备配置策略。 锁定体验适用于面向新注册配置文件和现有注册配置文件的设备。 支持的设备包括:

• 使用新式身份验证使用设置助理注册的 iOS/iPadOS 13+ 设备
• 在没有用户关联的情况下注册的 iOS/iPadOS 13+ 设备
• 使用Microsoft Entra ID共享模式注册的 iOS/iPadOS 13+ 设备

此设置在设置助理中的现装自动设备注册体验期间应用一次。 设备用户不会再次体验它，除非他们重新注册其设备。 默认情况下，为新的注册配置文件启用等待最终配置。 有关如何启用等待最终配置的信息，请参阅 创建 Apple 注册配置文件。

设备管理

对 Android 通知权限提示行为的更改

我们更新了 Android 应用处理通知权限的方式，以与 Google 最近对 Android 平台所做的更改保持一致。 由于 Google 更改，向应用授予通知权限，如下所示：

• 在运行 Android 12 及更早版本的设备上：默认情况下，允许应用向用户发送通知。
• 在运行 Android 13 及更高版本的设备上：通知权限因应用目标 API 而异。
  • 面向 API 32 及更低版本的应用：Google 添加了通知权限提示，当用户打开应用时显示该提示。 管理应用仍然可以配置应用，以便自动向其授予通知权限。
  • 面向 API 33 及更高版本的应用：应用开发人员定义何时显示通知权限提示。 管理应用仍然可以配置应用，以便自动向其授予通知权限。

现在，应用面向 API 33，你和设备用户将看到以下更改：

• 用于工作配置文件管理的公司门户：用户在首次打开公司门户的个人实例中看到通知权限提示。 用户在 公司门户 的工作配置文件实例中看不到通知权限提示，因为工作配置文件中的公司门户自动允许通知权限。 用户可以在“设置”应用中将应用通知静音。
• 用于设备管理员管理的公司门户：用户在首次打开公司门户应用时看到通知权限提示。 用户可以在“设置”应用中调整应用通知设置。
• Microsoft Intune应用：对现有行为没有更改。 用户看不到提示，因为自动允许Microsoft Intune应用发送通知。 用户可以在“设置”应用中调整某些应用通知设置。
• Microsoft Intune适用于 AOSP 的应用：对现有行为没有更改。 用户看不到提示，因为自动允许Microsoft Intune应用发送通知。 用户无法在“设置”应用中调整应用通知设置。

设备安全性

用于部署 Defender 更新的 Defender 更新控件现已正式发布

用于管理Microsoft Defender更新设置的 Intune Endpoint 安全防病毒策略的 Defender 更新控件配置文件现已正式发布。 此配置文件可用于Windows 10、Windows 11和 Windows Server 平台。 在公共预览版中，此配置文件可用于Windows 10及更高版本的平台。

该配置文件包括用于设备和用户接收与每日安全智能更新、每月平台更新和每月引擎更新相关的 Defender 汇报推出发布通道的设置。

此配置文件包括以下设置，这些设置均直接从 Defender CSP - Windows 客户端管理获取。

• 引擎汇报通道
• 平台汇报通道
• 安全智能汇报通道

这些设置也可从Windows 10及更高版本的配置文件的设置目录中获取。

终结点特权管理的应用程序的提升报告

我们为 Endpoint Privilege Management (EPM) 的应用程序发布了名为 “提升报告 ”的新报告。 使用此 新报表 ，可以查看所有托管和非托管提升，这些提升由提升的应用程序聚合。 此报表可帮助你识别可能需要提升规则才能正常运行的应用程序，包括子进程规则。

可以在 Intune 管理中心的 EPM 报表节点中找到报表。 导航到 “终结点安全>终结点特权管理 ”，然后选择“ 报告 ”选项卡。

适用于 macOS 防病毒策略的新设置

macOS 设备的Microsoft Defender防病毒配置文件已更新为另外 9 个设置和 3 个新设置类别：

防病毒引擎 - 以下设置是此类别中的新增设置：

• 按需扫描的并行度 – 指定按需扫描的并行度。 此设置对应于用于执行扫描并影响 CPU 使用率的线程数，以及按需扫描的持续时间。
• 启用文件哈希计算 - 启用或禁用文件哈希计算功能。 启用此功能后，Windows Defender 会计算它扫描的文件的哈希。 此设置有助于提高自定义指示器匹配项的准确性。 但是，启用“启用文件哈希计算”可能会影响设备性能。
• 更新定义后运行扫描 - 指定在设备上下载新的安全智能更新后是否启动进程扫描。 启用此设置会在设备的正在运行的进程上触发防病毒扫描。
• 扫描存档文件 - 如果为 true，Defender 将解压缩存档并扫描其中的文件。 否则，将跳过存档内容，从而提高扫描性能。

网络保护 - 包含以下设置的新类别：

• 强制级别 – 配置此设置以指定是 禁用、 处于审核模式还是 强制实施网络保护。

防篡改 - 包含以下设置的新类别：

• 强制级别 - 指定是 禁用篡改保护、处于 审核模式还是 强制实施篡改保护。

用户界面首选项 - 包含以下设置的新类别：

• 控制对使用者版本的登录 - 指定用户是否可以登录到Microsoft Defender的使用者版本。
• 显示/隐藏状态菜单图标 – 指定状态菜单图标 (显示在屏幕右上角，) 是否隐藏。
• 用户发起的反馈 – 指定用户是否可以通过转到“帮助>发送反馈”向Microsoft提交反馈。

创建的新配置文件包括原始设置和新设置。 现有配置文件会自动更新以包含新设置，每个新设置都设置为“ 未配置 ”，直到你选择编辑该配置文件来更改它。

有关如何在企业组织中为 macOS 上的Microsoft Defender for Endpoint设置首选项的详细信息，请参阅在 macOS 上设置Microsoft Defender for Endpoint首选项。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Mackey LLC (iOS) 的 VerityRMS

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

CloudDesktop 日志现在随 Windows 诊断 数据一起收集

从 Windows 设备收集诊断Intune远程操作现在将数据包含在日志文件中。

日志文件：

• %temp%\CloudDesktop*.log

Intune终结点分析中的异常情况检测设备队列已正式发布

Intune终结点分析中的异常情况检测设备队列现已正式发布。

设备队列在与高严重性或中等严重性异常相关的设备中标识。 设备根据一个或多个共同因素（例如应用版本、驱动程序更新、OS 版本、设备模型）关联到组中。 相关组将包含详细视图，其中包含有关该组中所有受影响设备之间的常见因素的关键信息。 还可以查看当前受异常和“有风险”设备的细分。 “有风险”设备尚未显示异常症状。

有关详细信息，请参阅 终结点分析中的异常情况检测。

改进了 Endpoint Analytics 中设备时间线的用户体验

终结点分析中用于设备时间线的用户界面 (UI) 得到改进，并包括更高级的功能 (对排序、搜索、筛选和导出) 的支持。 在终结点分析中查看特定设备时间线时，可以按事件名称或详细信息进行搜索。 还可以筛选事件，选择设备上显示的事件的源和级别时间线并选择感兴趣的时间范围。

有关详细信息，请参阅增强的设备时间线。

符合性策略和报告的汇报

我们对Intune合规性策略和报告进行了多项改进。 通过这些更改，报表更符合设备配置文件和报表的使用体验。 我们更新了 合规性报告文档 ，以反映可用的合规性报告改进。

合规性报告改进包括：

• Linux 设备的符合性详细信息。
• 重新设计的报表是最新和简化的，更新的报表版本开始替换旧报表版本，这些版本将保留一段时间。
• 查看符合性策略时，没有左窗格导航。 相反，策略视图打开到一个窗格，该窗格默认为“监视”选项卡及其设备状态视图。
  • 此视图提供此策略的设备状态的高级概述，支持钻取以查看完整报告，以及同一策略的按设置状态视图。
  • 圆环图替换为分配了策略的设备返回的不同设备状态值的简化表示形式和计数。
  • 可以选择“属性”选项卡以查看策略详细信息，并查看和编辑其配置和分配。
  • 删除Essentials部分，这些详细信息显示在策略的“属性”选项卡中。
• 更新的状态报告支持按列排序、使用筛选器和搜索。 结合这些增强功能，可以透视报表以显示当时要查看的特定详细信息子集。 通过这些增强功能，我们删除了 用户状态 报告，因为它已变得多余。 现在，在查看默认设备状态报表时，可以通过在“用户主体名称”列上排序或在搜索框中搜索特定用户名来集中显示用户状态中提供的相同信息。
• 查看状态报表时，在钻取更深入的见解或详细信息时，Intune显示的设备计数现在在不同的报表视图之间保持一致。

有关这些更改的详细信息，请参阅 上的 Intune 支持团队博客https://aka.ms/Intune/device_compl_report。

2023 年 8 月 14 日当周

应用管理

使用“关闭应用商店应用程序”设置禁用最终用户对应用商店应用的访问，并允许托管Intune应用商店应用

在 Intune中，可以使用新的应用商店应用类型将应用商店应用部署到设备。

现在，可以使用 关闭应用商店应用程序 策略来禁用最终用户对应用商店应用的直接访问。 禁用后，最终用户仍可以从 Windows 公司门户 应用和Intune应用管理访问和安装应用商店应用。 如果要允许在Intune外部随机安装应用商店应用，请不要配置此策略。

前面的仅显示 Microsoft 应用商店应用策略中的专用存储不会阻止最终用户使用 Windows 程序包管理器 winget API 直接访问应用商店。 因此，如果目标是阻止在客户端设备上随机安装非托管应用商店应用程序，则建议使用 “关闭应用商店应用程序 ”策略。 不要使用 仅显示 Microsoft 应用商店应用策略中的专用存储 。 应用于：

• Windows 10 及更高版本

有关详细信息，请参阅将 Microsoft 应用商店应用添加到 Microsoft Intune。

2023 年 8 月 7 日当周

基于角色的访问控制

在资源 Android for work 下引入新的基于角色的访问控制 (RBAC) 权限

引入新的 RBAC 权限，用于在资源 Android for work 下Intune创建自定义角色。 权限 更新注册配置文件 允许管理员管理或更改用于注册设备的 AOSP 和 Android 企业设备所有者注册配置文件。

有关详细信息，请参阅 创建自定义角色。

2023 年 7 月 31 日当周

设备安全性

Intune终结点安全磁盘加密策略的新 BitLocker 配置文件

我们发布了为终结点安全磁盘加密策略创建新的 BitLocker 配置文件的新体验。 编辑以前创建的 BitLocker 策略的体验保持不变，你可以继续使用它们。 此更新仅适用于为 Windows 10 及更高版本平台创建的新 BitLocker 策略。

此更新是持续推出的终结点安全策略新配置文件的一部分，该配置文件从 2022 年 4 月开始。

应用管理

使用 Windows 公司门户卸载 Win32 和 Microsoft 应用商店应用

如果应用分配为可用并由最终用户按需安装，则最终用户可以使用 Windows 公司门户卸载 Win32 应用和Microsoft应用商店应用。 对于 Win32 应用，可以选择启用或禁用此功能， (默认) 。 对于Microsoft应用商店应用，此功能始终处于打开状态，可供最终用户使用。 如果最终用户可以卸载应用，则最终用户将能够为 Windows 公司门户中的应用选择“卸载”。 相关信息请参阅将应用添加到 Microsoft Intune。

2023 年 7 月 24 日 (服务版本 2307)

应用管理

Intune支持新的 Google Play Android 管理 API

已对托管 Google Play 公共应用在 Intune 中的管理方式进行了更改。 这些更改旨在支持 Google 的 Android 管理 API ， (打开 Google 的网站) 。

应用于：

• Android Enterprise

若要详细了解对管理员和用户体验的更改，请参阅支持提示：Intune移动到支持新的 Google Play Android 管理 API。

Android Enterprise 公司拥有的设备的应用报表

现在，可以查看一个报表，其中包含在设备上找到的所有应用，适用于 Android Enterprise 公司拥有的方案，包括系统应用。 通过选择“应用监视>发现的应用>”，可在管理中心Microsoft Intune获取此报告。 你将看到设备上检测到已安装的所有应用的应用程序名称和版本。 应用信息最长可能需要 24 小时才能填充报表。

有关相关信息，请参阅Intune发现的应用。

将非托管 PKG 类型应用程序添加到托管 macOS 设备 [公共预览版]

现在，可以使用适用于 macOS 设备的 Intune MDM 代理，将非托管 PKG 类型应用程序上传并部署到托管的 macOS 设备。 使用此功能可以部署自定义 PKG 安装程序，例如未签名的应用和组件包。 可以通过为应用类型选择“应用>macOS>添加>macOS 应用 (PKG) ”，在 Intune 管理中心添加 PKG 应用。

应用于：

• macOS

有关详细信息，请参阅将非托管 macOS PKG 应用添加到Microsoft Intune。 若要部署托管 PKG 类型应用，可以继续将 macOS 业务线 (LOB) 应用添加到Microsoft Intune。 有关适用于 macOS 设备的 Intune MDM 代理的详细信息，请参阅 macOS Microsoft Intune管理代理。

适用于 iOS/iPadOS Web 剪辑应用类型的新设置

在 Intune中，可以将 Web 应用固定到 iOS/iPadOS 设备 (应用>iOS/iPadOS>添加>iOS/iPadOS Web 剪辑) 。 添加 Web 剪辑时，有可用的新设置：

• 全屏：如果配置为 “是”，则会在不使用浏览器的情况下以全屏 Web 应用的形式启动 Web 剪辑。 没有 URL，也没有搜索栏，也没有书签。
• 忽略清单范围：如果配置为 “是”，全屏 Web 剪辑可以在不显示 Safari UI 的情况下导航到外部网站。 否则，当导航离开 Web 剪辑的 URL 时，将显示 Safari UI。 当 “全屏 ”设置为“ 否”时，此设置不起作用。 在 iOS 14 及更高版本中可用。
• 预编译：如果配置为 “是”，则阻止 Apple 的应用程序启动器 (SpringBoard) 向图标添加“shine”。
• 目标应用程序捆绑标识符：输入应用程序捆绑标识符，该标识符指定打开 URL 的应用程序。 在 iOS 14 及更高版本中可用。

应用于：

• iOS/iPadOS

有关详细信息，请参阅将 Web 应用添加到Microsoft Intune。

添加Windows PowerShell脚本时更改为默认设置

在 Intune 中，可以使用策略将Windows PowerShell脚本部署到 Windows 设备， (设备>脚本>添加>Windows 10及更高版本) 。 添加Windows PowerShell脚本时，会配置一些设置。 为了增加Intune的默认安全行为，以下设置的默认行为已更改：

• “使用登录凭据运行此脚本”设置默认为“是”。 以前，默认值为 “否”。
• “强制脚本签名检查”设置默认为“是”。 以前，默认值为 “否”。

此行为适用于添加的新脚本，不适用于现有脚本。

应用于：

• Windows 10 及更高版本（Windows 10 家庭版除外）

有关在 Intune 中使用Windows PowerShell脚本的详细信息，请参阅在 Intune 中的 Windows 10/11 设备上使用 PowerShell 脚本。

设备配置

添加了对范围标记的支持

现在，可以在公共预览版) 中使用 Zebra LifeGuard 无线集成 (创建部署时添加范围标记。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在Microsoft Intune管理中心，可以在设备>管理设备>配置>创建新>策略>macOS for 平台>配置文件类型的设置目录中看到这些设置。

Microsoft AutoUpdate (MAU) ：

• 当前频道 (每月)

> Microsoft Defender用户界面首选项：

• 控制对使用者版本的登录

Microsoft Office > Microsoft Outlook：

• 禁用 Do not send response

用户体验 > 停靠：

• MCX 扩展坞特殊文件夹

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

MAC 地址终结点的合规性检索服务支持

现在，我们已向合规性检索服务添加了 MAC 地址支持。

CR 服务的初始版本包括仅使用Intune设备 ID 的支持，目的是消除管理内部标识符（如序列号和 MAC 地址）的需要。 通过此更新，喜欢使用 MAC 地址而不是证书身份验证的组织可以在实现 CR 服务时继续这样做。

虽然此更新向 CR 服务添加了 MAC 地址支持，但我们建议将基于证书的身份验证与证书中包含的Intune设备 ID 一起使用。

有关 CR 服务作为 Intune 网络访问控制 (NAC) 服务的替代的信息，请参阅 Intune https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696博客。

Intune安全基线中的设置见解已正式发布

宣布在 Microsoft Intune 中正式发布“设置见解”。

设置见解功能增加了对设置的见解，让你对类似组织已成功采用的配置充满信心。 设置见解目前可用于安全基线。

导航到 “终结点安全性安全>基线”。 创建和编辑工作流时，这些见解可用于使用灯泡的所有设置。

设备安全性

对 Azure 虚拟桌面上的 Windows 的篡改防护支持

Intune现在支持使用终结点安全防病毒策略来管理 Azure 虚拟桌面多会话设备上的 Windows 的篡改防护。 对篡改防护的支持要求设备在应用启用篡改保护的策略之前加入到Microsoft Defender for Endpoint。

用于终结点特权管理的 EpmTools PowerShell 模块

EpmTools PowerShell 模块现在可用于 Intune Endpoint Privilege Management (EPM) 。 EpmTools 包括 Get-FileAttributes 等 cmdlet，可用于检索文件详细信息以帮助生成准确的提升规则，以及可用于排查或诊断 EPM 策略部署的其他 cmdlet。

有关详细信息，请参阅 EpmTools PowerShell 模块。

用于管理子进程的提升规则的终结点特权管理支持

使用 Intune Endpoint Privilege Management (EPM) 可以管理允许哪些文件和进程在 Windows 设备上以管理员身份运行。 现在，EPM 提升规则 支持新设置 “子进程行为”。

使用 子进程行为，规则可以管理托管进程创建的任何子进程的提升上下文。 选项包括：

• 允许托管进程创建的所有子进程始终作为提升进程运行。
• 仅当子进程与管理其父进程的规则匹配时，才允许其作为提升的进程运行。
• 拒绝所有子进程在提升的上下文中运行，在这种情况下，它们以标准用户身份运行。

Endpoint Privilege Management 作为Intune加载项提供。 有关详细信息，请参阅使用 Intune 套件加载项功能。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Dooray！ for Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

已更新的“设置符合性和策略符合性”的报告以公共预览版提供

我们发布了两份新报告作为公共预览版，用于Intune设备符合性。 可以在Intune管理中心的“报告>设备符合性>报告”选项卡中找到这些新的预览报表：

• 设置符合性 (预览版)
• 策略符合性 (预览版)

这两个报表都是现有报表的新实例，对旧版本进行了改进，包括：

• Linux 设置和设备的详细信息
• 支持排序、搜索、筛选、导出和分页视图
• 向下钻取报表以获取更深入的详细信息，这些详细信息将根据所选列进行筛选。
• 设备以一次表示。 此行为与原始报表形成鲜明对比，如果多个用户使用该设备，原始报表可能会多次对设备进行计数。

最终，设备>监视器管理中心中仍可用的旧报表版本将停用。

2023 年 7 月 10 日当周

应用管理

汇报到应用配置策略报告

作为我们不断改进Intune报告基础结构的一部分，有几个用户界面 (UI) 应用配置策略报告的更改。 UI 已更新为以下更改：

• 应用配置策略工作负荷的“概述”部分中没有“用户状态”磁贴或“不适用设备”磁贴。
• 应用配置策略工作负荷的“监视”部分没有用户安装状态报告。
• “应用配置策略”工作负荷的“监视”部分下的“设备安装状态报告”不再在“状态”列中显示“挂起”状态。

可以通过选择“应用>”“应用配置策略”，在管理中心Microsoft Intune配置策略报告。

2023 年 7 月 3 日当周

设备管理

Intune对 Android 13 上的 Zebra 设备的支持

Zebra 将在其设备上发布对 Android 13 的支持。 有关详细信息，请参阅 迁移到 Android 13 (打开 Zebra 网站) 。

• Android 13 上的临时问题

  Intune团队在 Zebra 设备上对 Android 13 进行了全面测试。 除设备管理员 (DA) 设备的以下两个临时问题外，一切都继续正常工作。

  对于运行 Android 13 且已注册 DA 管理的 Zebra 设备：

  1. 应用安装不会以无提示方式进行。 相反，如果用户允许通知) 请求允许应用安装的权限，公司门户应用 (会收到通知。 如果用户在出现提示时不接受应用安装，则不会安装该应用。 用户将在通知抽屉中收到永久通知，直到他们允许安装。

  2. 新的 MX 配置文件不适用于 Android 13 设备。 新注册的 Android 13 设备不会从 MX 配置文件接收配置。 以前应用于已注册设备的 MX 配置文件将继续应用。

  在 7 月晚些时候的更新中，这些问题将得到解决，并且行为将恢复到以前的方式。

• 将设备更新到 Android 13

  很快，你将能够使用 Intune 的 Zebra LifeGuard 无线集成将 Android Enterprise 专用和完全托管的设备更新到 Android 13。 有关详细信息，请参阅 Zebra LifeGuard 空中集成与 Microsoft Intune。

  在迁移到 Android 13 之前，请查看 迁移到 Android 13 (打开 Zebra 网站) 。

• 适用于 Android 13 上的 Zebra 设备的 OEMConfig

  Android 13 上的 Zebra 设备的 OEMConfig 需要使用 Zebra 的新 Zebra OEMConfig 提供支持的 MX OEMConfig 应用 (打开 Google Play 商店) 。 此新应用还可以在运行 Android 11 的 Zebra 设备上使用，但不能在早期版本上使用。

  有关此应用的详细信息，请转到 适用于 Android 11 及更高版本的新 Zebra OEMConfig 应用 博客文章。

  旧版 Zebra OEMConfig 应用 (打开 Google Play 商店，) 只能在运行 Android 11 及更早版本的 Zebra 设备上使用。

有关Intune Android 13 支持的更多常规信息，请转到对 Android 13 的 Day Zero 支持和Microsoft Intune博客文章。

设备安全性

Defender for Endpoint 安全设置管理增强功能，以及公共预览版中对 Linux 和 macOS 的支持

使用 Defender for Endpoint 安全设置管理，可以使用 Intune 的终结点安全策略来管理载入到 Defender for Endpoint 但未注册Intune的设备上的 Defender 安全设置。

现在，可以从Microsoft Defender门户中选择加入公共预览版，以访问此方案的多项增强功能：

• Intune的终结点安全策略在 中可见，可以从Microsoft Defender门户中进行管理。 这使安全管理员能够保留在 Defender 门户中以管理 Defender 和用于 Defender 安全设置管理的Intune终结点安全策略。

• 安全设置管理支持将Intune终结点安全防病毒策略部署到运行 Linux 和 macOS 的设备。

• 对于 Windows 设备，安全设置管理现在支持Windows 安全中心体验配置文件。

• 新的载入工作流消除了Microsoft Entra混合加入先决条件。 Microsoft Entra混合加入要求阻止许多 Windows 设备成功加入 Defender for Endpoint 安全设置管理。 通过此更改，这些设备现在可以完成注册并开始处理安全设置管理策略。

• Intune为无法完全注册Microsoft Entra ID的设备在 Microsoft Entra ID 中创建综合注册。 综合注册是在 Microsoft Entra ID 中创建的设备对象，使设备能够接收和报告Intune安全设置管理策略。 此外，如果具有合成注册的设备完全注册，则从Microsoft Entra ID中删除合成注册，以遵循完整注册。

如果未选择加入 Defender for Endpoint 公共预览版，则以前的行为将保持不变。 在这种情况下，虽然可以查看适用于 Linux 的防病毒配置文件，但不能将其部署为仅受 Defender 管理的设备支持。 同样，当前可用于注册Intune设备的 macOS 配置文件不能部署到 Defender 管理的设备。

应用于：

• Linux
• macOS
• Windows

2023 年 6 月 26 日当周

设备配置

Android (AOSP) 支持分配筛选器

Android (AOSP) 支持分配筛选器。 为 Android (AOSP) 创建筛选器时，可以使用以下属性：

• DeviceName
• 制造商
• 模型
• DeviceCategory
• oSVersion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

有关筛选器的详细信息，请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

应用于：

• Android

Windows 设备的按需修正

公共预览版中的新设备操作允许你在单个 Windows 设备上按需运行修正。 “ 运行修正 设备”操作允许你解决问题，而无需等待修正按其分配的计划运行。 还可以在设备的“监视”部分的“修正”下查看修正状态。

“运行修正设备”操作即将推出，可能需要几周时间才能到达所有客户。

有关详细信息，请参阅 修正。

设备管理

Intune 中的 Windows 驱动程序更新管理已正式发布

宣布在 Microsoft Intune 中正式发布 Windows 驱动程序更新管理。 使用驱动程序更新策略，可以查看已分配给策略的Windows 10和Windows 11设备的推荐和适用的驱动程序更新列表。 适用的驱动程序更新是可以更新设备驱动程序版本的驱动程序更新。 驱动程序更新策略自动更新，以在驱动程序制造商发布新更新时添加新更新，并删除不再应用于具有该策略的任何设备的旧驱动程序。

可以为以下两种审批方法之一配置更新策略：

• 使用 自动批准，由驱动程序制造商发布并添加到策略的每个新 建议 驱动程序都将自动批准部署到适用设备。 在设备上安装自动批准的更新之前，可以为自动审批设置的策略配置延迟期。 此延迟使你有时间查看驱动程序并在必要时暂停其部署。

• 通过手动审批，所有新的驱动程序更新都会自动添加到策略，但管理员必须在Windows 更新将其部署到设备之前显式批准每个更新。 手动批准更新时，可以选择Windows 更新开始将其部署到设备的日期。

为了帮助你管理驱动程序更新，请查看策略并拒绝不想安装的更新。 还可以无限期暂停任何已批准的更新，并重新提供暂停的更新以重启其部署。

此版本还包括 驱动程序更新报告 ，这些报告提供成功摘要、每个已批准的驱动程序的每个设备更新状态以及错误和故障排除信息。 还可以选择单个驱动程序更新，并在包含该驱动程序版本的所有策略中查看有关该更新的详细信息。

若要了解如何使用 Windows 驱动程序更新策略，请参阅使用 Microsoft Intune 管理 Windows 驱动程序更新的策略。

应用于：

• Windows 10
• Windows 11

2023 年 6 月 19 日 (服务版本 2306)

应用管理

MAM for Microsoft Edge 商业版 [预览版]

现在可以在个人 Windows 设备上通过 Microsoft Edge 启用对组织数据的受保护 MAM 访问。 此功能使用以下功能：

• Intune应用程序配置策略 (ACP) 自定义 Microsoft Edge 中的组织用户体验
• Intune应用程序保护策略 (应用) 来保护组织数据并确保使用 Microsoft Edge 时客户端设备正常运行
• Windows Defender 客户端威胁防御与 Intune 应用集成，用于检测个人 Windows 设备上的本地运行状况威胁
• 应用程序保护条件访问，以确保设备在通过Microsoft Entra ID授予受保护的服务访问权限之前受到保护且正常运行

有关详细信息，请参阅预览版：应用保护 Windows 的策略设置。

若要参与公共预览版， 请完成选择加入表单。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中提供了一个新设置。 在 Microsoft Intune 管理中心中，可以在设备>管理设备>配置>创建新>策略>iOS/iPadOS 或 macOS for 平台>配置文件类型的设置目录上看到这些设置。

iOS/iPadOS

联网 > 网络使用规则：

• SIM 规则

macOS

认证 >Extensible 单一登录 (SSO) ：

• 身份验证方法
• 拒绝的捆绑标识符
• 注册令牌

完整磁盘加密 > FileVault：

• 输出路径
• 用户名
• Password
• UseKeyChain

设备固件配置接口 (DFCI) 支持华硕设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在“Microsoft Intune管理中心”中，选择“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”以选择“平台>模板>”“设备固件配置接口”以获取配置文件类型。

某些运行 Windows 10/11 的华硕设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请参阅：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

在 Intune 中删除 Saaswedo Datalert 电信费用管理

在Intune，可以使用 Saaswedo 的 Datalert 电信费用管理来管理电信费用。 此功能已从 Intune 中删除。 此删除操作包括：

• 电信费用管理连接器

• 电信费用 RBAC 类别

  • 读取 权限
  • 更新 权限

有关 Saaswedo 的详细信息，请参阅 datalert 服务不可用 (打开 Saaswedo 的网站) 。

应用于：

• Android
• iOS/iPadOS

Intune安全基线中的设置见解

“设置”见解功能将见解添加到安全基线，让你对类似组织成功采用的配置充满信心。

导航到 “终结点安全性安全>基线”。 创建和编辑工作流时，这些见解以灯泡的形式提供。

设备管理

预览版中新的终结点安全应用程序控制策略

作为公共预览版，可以使用新的终结点安全策略类别“应用程序控制”。 终结点安全应用程序控制策略包括：

• 将 Intune 管理扩展设置为租户范围的托管安装程序的策略。 作为托管安装程序启用后，在启用托管安装程序) 到 Windows 设备后，通过 Intune (部署的应用被Intune标记为已安装。 使用应用程序控制策略管理要允许或阻止哪些应用在托管设备上运行时，此标记将非常有用。

• 作为 Defender 应用程序控制 (WDAC) 实现的应用程序控制策略。 使用终结点安全应用程序控制策略，可以轻松配置允许受信任的应用在托管设备上运行的策略。 受信任的应用由托管安装程序或从应用商店安装。 除了内置信任设置，这些策略还支持自定义 XML 进行应用程序控制，以便允许其他源运行其他应用以满足组织要求。

若要开始使用此新策略类型，请参阅使用应用程序控制策略管理 Windows 设备的已批准应用和适用于Microsoft Intune的托管安装程序

应用于：

• Windows 10
• Windows 11

终结点分析可用于政府云中的租户

在此版本中，终结点分析可用于政府云中的租户。

详细了解 终结点分析。

远程帮助中的会话内连接模式切换简介

在远程帮助中，你现在可以利用会话内连接模式切换功能。 此功能有助于在完全控制模式和仅视图模式之间轻松切换，从而提供灵活性和便利性。

有关远程帮助的详细信息，请参阅 远程帮助。

应用于：

• windows 10/11

设备安全性

终结点特权管理报表的更新

Intune的 Endpoint Privilege Management (EPM) 报表现在支持将完整的报告有效负载导出到 CSV 文件。 通过此更改，现在可以从Intune中的提升报表导出所有事件。

终结点特权管理现在可在顶级菜单上使用提升的访问权限选项运行，Windows 11

在Windows 11设备上，“使用提升的访问权限运行”的 Endpoint Privilege Management 选项现在作为顶级右键单击选项提供。 在此更改之前，标准用户需要选择“显示更多选项”，才能在Windows 11设备上查看“使用提升的访问权限运行”提示。

Endpoint Privilege Management 作为Intune加载项提供。 有关详细信息，请参阅使用 Intune 套件加载项功能。

应用于：

• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText， Inc. (iOS)
• MyQ Roger：OCR 扫描仪 PDF by MyQ spol。 s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile by Vbrick Systems

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Microsoft Intune故障排除窗格现已正式发布

Intune故障排除窗格现已正式发布。 它提供有关用户设备、策略、应用程序和状态的详细信息。 故障排除窗格包括以下信息：

• 策略、合规性和应用程序部署状态的摘要。
• 支持导出、筛选和排序所有报表。
• 支持通过排除策略和应用程序进行筛选。
• 支持筛选到用户的单个设备。
• 有关可用设备诊断和已禁用设备的详细信息。
• 有关三天或三天以上未签入服务的脱机设备的详细信息。

可以通过选择“故障排除 + 支持>故障排除”，在 Microsoft Intune 管理中心找到故障排除窗格。

更新了 Intune 中的“故障排除 + 支持”窗格

Intune管理中心的“故障排除 + 支持”窗格已通过将“角色和范围”报表合并为单个报表进行了更新。 此报表现在包括来自Intune和Microsoft Entra ID的所有相关角色和范围数据，从而提供更精简、更高效的体验。 有关相关信息，请参阅使用故障排除仪表板帮助公司用户。

下载移动应用诊断

现已正式发布，可在 Intune 管理中心访问用户提交的移动应用诊断，包括通过公司门户应用（包括 Windows、iOS、Android、Android AOSP 和 macOS）发送的应用日志。 此外，还可以通过 Microsoft Edge 检索应用保护日志。 有关详细信息，请参阅公司门户应用日志和使用适用于 iOS 和 Android 的 Microsoft Edge 访问托管应用日志。

2023 年 6 月 12 日当周

设备管理

适用于 Android 开源设备的 Microsoft Intune 支持来自宏达和 Pico 的新设备

适用于 Android 开放源代码 项目设备 (AOSP) 的 Microsoft Intune现在支持以下设备：

• HTC Vive XR Elite
• Pico Neo 3 Pro
• Pico 4

有关更多信息，请参阅：

• Microsoft Intune 支持的操作系统和浏览器

• Android 开源项目支持的设备

应用于：

• Android (AOSP)

应用管理

适用于企业的 Microsoft Store或适用于教育的 Microsoft Store

从适用于企业的 Microsoft Store或适用于教育的 Microsoft Store添加的应用不会部署到设备和用户。 应用在报告中显示为“不适用”。 已部署的应用不受影响。 使用 新的 Microsoft Store 应用 将Microsoft应用商店应用部署到设备或用户。 有关相关信息，请参阅计划更改：在适用于企业的 Microsoft Store应用不再部署和删除适用于企业的 Microsoft Store应用时，终止对适用于企业的 Microsoft Store和教育应用的支持。

有关详细信息，请参阅以下资源：

• 更新以Intune与 Windows 上的 Microsoft 应用商店集成
• 使用Intune迎接Microsoft商店的未来：分步指南
• 通过教育Intune拥抱Microsoft商店的未来：分步指南

2023 年 6 月 5 日当周

设备配置

Android Enterprise 11+ 设备可以使用 Zebra 的最新 OEMConfig 应用版本

在 Android Enterprise 设备上，可以使用 OEMConfig 在Microsoft Intune (>设备管理设备>配置>>为平台 > OEMConfig) 创建新策略>中添加、创建和自定义特定于 OEM 的设置。

有一个新的 Zebra OEMConfig 由 MX OEMConfig 应用提供支持 ，它更符合 Google 的标准。 此应用支持 Android Enterprise 11.0 及更新的设备。

旧 版 Zebra OEMConfig 应用继续支持 Android 11 及更早版本的设备。

在托管 Google Play 中，有两个版本的 Zebra OEMConfig 应用。 请务必选择适用于 Android 设备版本的正确应用。

有关 OEMConfig 和Intune的详细信息，请参阅在 Microsoft Intune 中使用和管理具有 OEMConfig 的 Android Enterprise 设备。

应用于：

• Android Enterprise 11.0 及更新版本

2023 年 5 月 29 日当周

设备管理

Intune UI 将 Windows Server 设备显示为不同于适用于Microsoft Defender for Endpoint安全管理的 Windows 客户端

为了支持Microsoft Defender for Endpoint安全管理 (MDE 安全配置) 方案，Intune现在将Microsoft Entra ID中的 Windows 设备区分为运行 Windows Server 的设备或 Windows（适用于运行 Windows Server 的设备）运行Windows 10或Windows 11。

通过此更改，可以改进MDE安全配置的策略目标。 例如，可以使用仅包含 Windows Server 设备的动态组，或者仅使用 (Windows 10/11) 的 Windows 客户端设备。

有关此更改的详细信息，请参阅Intune客户成功博客 Windows Server 设备现已在 Microsoft Intune、Microsoft Entra ID 和 Defender for Endpoint 中识别为新 OS。

租户管理

Windows 11的组织消息现已正式发布

使用组织消息向员工提供品牌化、个性化的行动号召。 从超过 25 条消息中进行选择，这些消息支持员工通过设备载入和生命周期管理，采用 15 种不同语言。 可以将消息分配给Microsoft Entra用户组。 它们显示在任务栏正上方、通知区域或运行Windows 11的设备上的“入门”应用中。 消息会根据在 Intune 中配置的频率继续显示或重新出现，直到用户访问自定义 URL 为止。

此版本中添加的其他特性和功能包括：

• 在第一条消息之前确认许可要求。
• 从八个新主题中为任务栏消息选择。
• 为消息提供自定义名称。
• 添加范围组和范围标记。
• 编辑计划邮件的详细信息。

作用域标记以前对组织消息不可用。 添加范围标记支持后，Intune将默认范围标记添加到 2023 年 6 月之前创建的每条消息。 想要访问这些邮件的管理员必须与具有相同标记的角色相关联。 有关可用功能和如何设置组织消息的详细信息，请参阅 组织消息概述。

2023 年 5 月 22 日 (服务版本 2305)

应用管理

更新到 macOS shell 脚本的最大运行时间限制

根据客户反馈，我们将更新适用于 macOS 的 Intune 代理 (版本 2305.019) ，以将最大脚本运行时间延长到 60 分钟。 以前，macOS 的 Intune 代理仅允许 shell 脚本运行长达 15 分钟，然后才能将脚本报告为失败。 macOS 2206.014 及更高版本的 Intune 代理支持 60 分钟的超时。

分配筛选器支持应用保护策略和应用配置策略

分配筛选器支持 MAM 应用保护策略和应用配置策略。 创建新筛选器时，可以使用以下属性微调 MAM 策略目标：

• 设备管理类型
• 设备制造商
• 设备型号
• 操作系统版本
• 应用程序版本
• MAM 客户端版本

重要

使用 设备类型 目标的所有新应用保护策略和编辑的应用保护策略都会替换为分配筛选器。

有关筛选器的详细信息，请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

更新 Intune 中的 MAM 报告

MAM 报告已经过简化和大修，现在使用Intune最新的报告基础结构。 这样做的好处包括提高数据准确性和即时更新。 可以通过选择“应用>监视器”，在Microsoft Intune管理中心找到这些简化的 MAM 报表。 所有可用的 MAM 数据都包含在新的应用保护状态报告和应用配置状态报告中。

全局安静时间应用策略设置

全局静默时间设置允许创建策略，以便为最终用户计划静默时间。 这些设置Microsoft iOS/iPadOS 和 Android 平台上的 Outlook 电子邮件和 Teams 通知自动静音。 这些策略可用于限制下班后收到的最终用户通知。 有关详细信息，请参阅 静默时间通知策略。

设备配置

在 远程帮助 中引入增强聊天

通过远程帮助引入增强聊天功能。 通过新的和增强的聊天，你可以维护所有消息的连续线程。 此聊天支持特殊字符和其他语言，包括中文和阿拉伯语。

有关远程帮助的详细信息，请参阅 远程帮助。

应用于：

• windows 10/11

远程帮助管理员可以引用审核日志会话

对于远程帮助，除了现有会话报告外，管理员现在还可以引用在 Intune 中创建的审核日志会话。 此功能使管理员能够引用过去的事件，以便对日志活动进行故障排除和分析。

有关远程帮助的详细信息，请参阅 远程帮助。

应用于：

• Windows 10
• Windows 11

使用设置目录在Windows 11设备上打开/关闭个人数据加密

设置目录包括数百个可以配置和部署到设备的设置。

在设置目录中，可以打开/关闭 个人数据加密 (PDE) 。 PDE 是 Windows 11 版本 22H2 中引入的一项安全功能，可为 Windows 提供更多加密功能。

PDE 不同于 BitLocker。 PDE 加密单个文件和内容，而不是整个卷和磁盘。 可以将 PDE 与其他加密方法（例如 BitLocker）配合使用。

有关设置目录的详细信息，请参阅：

• 使用设置目录以在 Windows、iOS/iPadOS 和 macOS 设备上配置设置
• 可以使用 Intune 中的设置目录完成的常见任务

此功能适用于：

• Windows 11

Visual Studio ADMX 设置位于设置目录和管理模板中

Visual Studio 设置包含在设置目录和管理模板 (ADMX) 中。 以前，若要在 Windows 设备上配置 Visual Studio 设置，请使用 ADMX 导入来导入这些设置。

有关这些策略类型的详细信息，请参阅：

• 使用设置目录配置设置
• 使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
• Visual Studio 管理模板 (ADMX)

应用于：

• Windows 10
• Windows 11

组策略分析支持范围标记

在组策略分析中，导入本地 GPO。 该工具会分析 GPO，并显示可在Intune中使用 (且不能) 的设置。

在 Intune 中导入 GPO XML 文件时，可以选择现有的范围标记。 如果未选择范围标记，则会自动选择 “默认 范围标记”。 以前，在导入 GPO 时，分配给你的范围标记会自动应用于 GPO。

只有该范围标记内的管理员才能看到导入的策略。 不在该范围标记中的管理员看不到导入的策略。

此外，其作用域标记内的管理员可以迁移他们有权查看的导入策略。 若要将导入的 GPO 迁移到设置目录策略，范围标记必须与导入的 GPO 相关联。 如果未关联范围标记，则无法迁移到设置目录策略。 如果未选择作用域标记，则会自动应用默认范围标记。

有关范围标记和组策略分析的详细信息，请参阅：

• 在 Microsoft Intune 中使用组策略分析分析本地 GPO
• 使用导入的 GPO 创建设置目录策略
• 针对分散 IT 使用基于角色的访问控制（RBAC）和范围标记

介绍Intune与 Zebra Lifeguard 空中服务 (公共预览版的集成)

Microsoft Intune现在以公共预览版提供，支持与 Zebra Lifeguard 无线服务集成，这使你可以通过无线方式向注册Intune的合格 Zebra 设备提供 OS 更新和安全修补程序。 可以选择要部署的固件版本、设置计划以及错开更新下载和安装。 还可以针对何时发生更新设置最低电池电量、充电状态和网络条件要求。

适用于运行 Android 8 或更高版本且需要 Zebra 帐户的 Android Enterprise 专用和完全托管 Zebra 设备。

具有工作配置文件的 Android Enterprise 个人拥有设备的新 Google 域允许列表设置

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，可以配置限制设备功能和设置的设置。

目前，有一个 “添加和删除帐户 ”设置，可允许将 Google 帐户添加到工作配置文件。 对于此设置，选择“ 允许所有帐户类型”时，还可以配置：

• Google 域允许列表：限制用户在工作配置文件中仅添加某些 Google 帐户域。 可以导入允许的域列表，或使用 格式将其添加到管理中心 contoso.com 。 默认情况下，如果留空，OS 可能允许在工作配置文件中添加所有 Google 域。

有关可配置的设置的详细信息，请参阅 Android Enterprise 设备设置列表，以允许或限制使用 Intune的个人拥有的设备的功能。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

将主动修正重命名为修正并移动到新位置

主动修正现在是“修正”，可从 “设备>修正”获取。 在下一Intune服务更新之前，仍可以在新位置和现有报表>终结点分析位置中找到修正。

新 设备体验预览版中当前不提供修正。

应用于：

• Windows 10
• Windows 11

现已在美国政府 GCC High 和 DoD Intune 中提供修正

(以前称为主动修正) 的修正现已在美国政府 GCC High 和 DoD 的 Microsoft Intune中提供。

应用于：

• Windows 10
• Windows 11

为 Windows 设备上的 VPN 配置文件创建入站和出站网络流量规则

注意

此设置将在未来版本中推出，可能是 2308 Intune 版本。

可以创建一个设备配置文件，用于将 VPN 连接部署到设备 (设备>管理设备>配置>创建新>策略>Windows 10以及更高版本的平台>模板>VPN 配置文件类型) 。

在此 VPN 连接中，可以使用 应用和流量规则 设置来创建网络流量规则。

可以配置新的 “方向 ”设置。 使用此设置可允许来自 VPN 连接的入站和出站流量：

• 出站 (默认) ：仅允许使用 VPN 流向外部网络/目标的流量。 入站流量被阻止进入 VPN。
• 入站：仅允许来自外部网络/源的流量使用 VPN 流动。 阻止出站流量进入 VPN。

有关可以配置的 VPN 设置（包括网络流量规则设置）的详细信息，请参阅使用 Intune 添加 VPN 连接的 Windows 设备设置。

应用于：

• Windows 10 及更高版本

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在Microsoft Intune管理中心，可以在设备>管理设备>配置>创建新>策略>macOS for 平台>配置文件类型的设置目录中看到这些设置。

> Microsoft Defender防病毒引擎：

• 在存档文件中扫描
• 启用文件哈希计算

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

适用于 macOS 的擦除设备操作和新的擦除行为设置

现在可以对 macOS 设备使用 擦除 设备操作，而不是 Erase。 还可以将 “清除行为” 设置配置为 “擦除 ”操作的一部分。

使用此新密钥可以控制具有 Apple Silicon 或 T2 安全芯片的 Mac 上的擦除回退行为。 若要查找此设置，请在“设备”操作区域中导航到“设备>按平台>macOS> [选择设备] >概述>擦除”。

有关“清除行为”设置的详细信息，请转到 Apple 的平台部署站点 擦除 Apple 设备 - Apple 支持。

应用于：

• macOS

设备注册

帐户驱动的 Apple 用户注册适用于 iOS/iPadOS 15+ 设备 (公共预览版)

Intune支持帐户驱动用户注册，这是适用于 iOS/iPadOS 15+ 设备的 Apple 用户注册的全新改进变体。 新选项现已提供公共预览版，它利用实时注册，无需在注册期间公司门户应用。 设备用户可以直接在“设置”应用中启动注册，从而获得更短、更高效的载入体验。 可以使用使用公司门户的现有基于配置文件的用户注册方法继续面向 iOS/iPadOS 设备。 运行 iOS/iPadOS 版本 14.8.1 及更早版本的设备不受此更新影响，可以继续使用现有方法。 有关详细信息，请参阅 设置帐户驱动的 Apple 用户注册。

设备安全性

Microsoft 365 Office 应用的新安全基线

我们发布了新的安全基线，可帮助你管理 M365 Office 应用的安全配置。 此新基线使用更新的模板和体验，该模板和体验使用Intune设置目录中的统一设置平台。 可以在 office) 的 Microsoft 365 应用版 企业基线设置 (查看新基线中的设置列表。

新的Intune安全基线格式使可用于Intune设置目录中的设置的表示形式保持一致。 这种一致性有助于解决过去设置名称和设置实现时可能产生冲突的问题。 新格式还改进了Intune管理中心中基线的报告体验。

Microsoft 365 Office Apps 基线可帮助你快速将配置部署到 Office 应用，以满足 Microsoft 的 Office 和安全团队的安全建议。 与所有基线一样，默认基线表示建议的配置。 可以修改默认基线以满足组织的要求。

若要了解详细信息，请参阅 安全基线概述。

应用于：

• Windows 10
• Windows 11

Microsoft Edge 版本 112 的安全基线更新

我们发布了 Microsoft Edge Intune 安全基线版本 112 的新版本。 除了为 Microsoft Edge 发布此新版本外，新基线还使用更新的模板体验，该体验使用 Intune 设置目录中的统一设置平台。 可以在 (版本 112 及更高版本Microsoft Edge 基线设置) 查看新基线中的设置列表。

新的Intune安全基线格式使可用于Intune设置目录中的设置的表示形式保持一致。 这种一致性有助于解决过去设置名称和设置实现时可能产生冲突的问题。 新格式还改进了Intune管理中心中基线的报告体验。

新的基线版本可用后，为 Microsoft Edge 创建的所有新配置文件都使用新的基线格式和版本。 当新版本成为默认基线版本时，可以继续使用以前为旧版 Microsoft Edge 创建的配置文件。 但是，无法为旧版 Microsoft Edge 创建新的配置文件。

若要了解详细信息，请参阅 安全基线概述。

应用于：

• Windows 10
• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 成就者公司
• Board.Vision for iPad by Trusted Services PTE。 有限公司。
• Global Relay Communications Inc. 的全球中继
• Incorta (BestBuy) 由 Incorta， Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon for Intune by Klaxoon (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2023 年 5 月 8 日当周

设备配置

设备固件配置接口 (DFCI) 支持 Dynabook 设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在“Microsoft Intune管理中心”中，选择“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”以选择“平台>模板>”“设备固件配置接口”以获取配置文件类型。

某些运行 Windows 10/11 的 Dynabook 设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请参阅：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

通过下载服务器对 Windows 电脑进行 eSIM 批量激活现已在设置目录中提供

现在可以使用设置目录对 Windows eSIM 电脑执行大规模配置。 使用配置文件配置 (SM-DP+) 下载服务器。

设备收到配置后，会自动下载 eSIM 配置文件。 有关详细信息，请参阅 下载服务器的 eSIM 配置。

应用于：

• Windows 11
• 支持 eSIM 的设备

2023 年 5 月 1 日当周

应用管理

macOS shell 脚本最大运行时间限制

我们修复了导致具有长时间运行的 shell 脚本的Intune租户无法报告回脚本运行状态的问题。 macOS Intune 代理停止运行时间超过 15 分钟的任何 macOS shell 脚本。 这些脚本报告为失败。 从 macOS Intune代理版本 2305.019 强制实施新行为。

适用于 macOS 的 DMG 应用安装

适用于 macOS 的 DMG 应用安装功能现已正式发布。 Intune支持 DMG 应用的必需和卸载分配类型。 适用于 macOS 的 Intune 代理用于部署 DMG 应用。

弃用适用于企业的 Microsoft Store和教育

适用于企业的 Microsoft Store连接器在Microsoft Intune管理中心不再可用。 从适用于企业的 Microsoft Store或适用于教育的 Microsoft Store添加的应用不会与Intune同步。 以前同步的应用将继续可用并部署到设备和用户。

现在还可以从Microsoft Intune管理中心的“应用”窗格中删除适用于企业的 Microsoft Store应用，以便在移动到新的 Microsoft 应用商店应用类型时清理环境。

有关相关信息，请参阅计划更改：在适用于企业的 Microsoft Store应用将不部署和删除适用于企业的 Microsoft Store应用时，终止对适用于企业的 Microsoft Store和教育应用的支持。

设备配置

远程帮助现在支持条件访问功能

管理员现在可以在为远程帮助设置策略和条件时利用条件访问功能。 例如，多重身份验证、安装安全更新以及锁定对特定区域或 IP 地址远程帮助的访问。

有关更多信息，请参阅：

• 条件访问
• 远程帮助

设备安全性

更新了终结点安全防病毒策略中Microsoft Defender的设置

我们已更新终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件中的可用设置。 可以在 Intune 管理中心中找到此配置文件，请参阅 Endpoint Security>防病毒>平台：Windows 10、Windows 11和 Windows Server>配置文件：Microsoft Defender防病毒。

• 已添加以下设置：

  • 按流量计费的连接汇报
  • 禁用 Tls 分析
  • 禁用 Http 分析
  • 禁用 Dns 分析
  • 禁用基于 Tcp 的 Dns 分析
  • 禁用 Ssh 分析
  • 平台汇报通道
  • 引擎汇报通道
  • 安全智能汇报通道
  • 允许网络保护下一级
  • 允许在 Win 服务器上处理数据报
  • 启用 Dns Sinkhole

  有关这些设置的详细信息，请参阅 Defender CSP。 还可以通过Intune设置目录获取新设置。

• 以下设置已弃用：

  • 允许入侵防护系统

  此设置现在显示，其中包含 “已弃用” 标记。 如果以前在设备上应用了此弃用的设置，则设置值将更新为 NotApplicable ，并且对设备没有影响。 如果在设备上配置了此设置，则对设备没有影响。

应用于：

• Windows 10
• Windows 11

2023 年 4 月 17 日 (服务版本 2304)

应用管理

对 iOS/iPadOS 和 macOS 设备上的 iCloud 应用备份和还原行为的更改

作为应用设置，可以选择“阻止 iOS/iPadOS 和 macOS 设备的 iCloud 应用备份 ”。 无法备份 iOS/iPadOS 上的托管App Store应用和业务线 (LOB) 应用，以及 macOS 设备上的托管App Store应用， (macOS LOB 应用不支持此功能，) 用户和设备许可的 VPP/非 VPP 应用。 此更新包括新的和现有的App Store/LOB 应用发送的 VPP 和没有 VPP，这些应用将添加到Intune并面向用户和设备。

阻止备份指定的托管应用可确保在注册设备并从备份中还原时，可以通过Intune正确部署这些应用。 如果管理员为其租户中的新应用或现有应用配置此新设置，则可以并且将为设备重新安装托管应用。 但是，Intune不允许备份它们。

此新设置通过修改应用的属性显示在管理中心Microsoft Intune。 对于现有应用，可以选择 “应用>iOS/iPadOS ”或 “macOS>”，选择“应用>属性> 分配 编辑”。 如果未设置组分配，请选择“ 添加组 ”以添加组。 修改 “VPN”、“ 删除设备时卸载”或 “以可移动方式安装”下的设置。 然后，选择“ 阻止 iCloud 应用备份”。 “ 阻止 iCloud 应用备份 ”设置用于阻止备份应用程序的应用数据。 设置为 “否 ”以允许 iCloud 备份应用。

有关详细信息，请参阅更改 iOS/iPadOS 和 macOS 设备上的应用程序备份和还原行为和将应用分配到具有Microsoft Intune的组。

阻止 Apple VPP 应用的自动更新

可以使用 “阻止 自动更新”设置，在每应用分配级别控制 Apple VPP 的自动更新行为。 Microsoft Intune管理中心提供此设置，方法是选择“应用>”iOS/iPadOS 或 macOS>选择批量购买计划应用>属性>分配>选择Microsoft Entra组>应用设置。

应用于：

• iOS/iPadOS
• macOS

设备配置

汇报 macOS 设置目录

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在Microsoft Intune管理中心，可以在设备>管理设备>配置>创建新>策略>macOS for 平台>配置文件类型的设置目录中看到这些设置。

新设置位于：

Microsoft自动更新 (MAU) > [目标应用]：

• 更新通道替代

以下设置已弃用：

Microsoft自动更新 (MAU) > [目标应用]：

• 频道名称 (已弃用)

隐私 > 隐私首选项策略控制 > 服务 > 侦听事件或屏幕捕获：

• Allowed

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到使用设置目录创建策略。

适用于 Apple 设备的 Microsoft Enterprise SSO 插件现已正式发布

在 Microsoft Intune 中，有一个 Microsoft Enterprise SSO 插件。 此插件为使用 Microsoft Entra ID 进行身份验证的 iOS/iPadOS 和 macOS 应用和网站提供单一登录 (SSO) 。

此插件现已正式发布 (GA) 。

有关在 Intune 中为 Apple 设备配置 Microsoft Enterprise SSO 插件的详细信息，请转到 Microsoft Intune Microsoft Enterprise SSO 插件。

应用于：

• iOS/iPadOS
• macOS

对受监督的 macOS 设备禁用激活锁定设备操作

现在，可以使用 Intune 中的“禁用激活锁定设备”操作绕过 Mac 设备上的激活锁定，而无需当前用户名或密码。 此新操作在 设备>平台>macOS> 选择列出的设备 >禁用激活锁之一中可用。

有关管理激活锁的详细信息，请参阅使用Intune绕过 iOS/iPadOS 激活锁或 Apple 网站上的激活锁 for iPhone、iPad 和 iPod touch - Apple 支持。

应用于：

• macOS 10.15 或更高版本

ServiceNow 集成现已正式发布 (GA)

现已正式发布，可以查看与在故障排除工作区中选择的用户关联的 ServiceNow 事件列表Intune。 此新功能可在 “故障排除 + 支持> ”下选择用户 >ServiceNow Incidents 下提供。 显示的事件具有与源事件的直接链接，并显示事件的关键信息。 列出的所有事件都会将事件中标识的“调用方”链接到选择了“故障排除”的用户。

有关详细信息，请转到 使用故障排除门户帮助公司用户。

支持管理员控制组织消息传递的更多权限

借助更多权限，管理员可以控制从组织消息创建和部署的内容的传递，以及从Microsoft向用户传递内容。

更新 组织消息控制组织邮件 的 RBAC 权限确定谁可以更改组织消息切换以允许或阻止Microsoft直接邮件。 此权限还会添加到 组织消息管理器 内置角色。

必须修改管理组织消息的现有自定义角色，才能添加此权限，以便用户修改此设置。

• 有关基于角色的访问控制 (RBAC) 的详细信息，请参阅包含Microsoft Intune的 RBAC。
• 有关组织邮件先决条件的详细信息，请参阅 组织邮件先决条件。

设备管理

ICMP 类型的终结点安全防火墙规则支持

现在，可以使用 IcmpTypesAndCodes 设置配置 Internet 控制消息协议 的入站和出站规则， (ICMP) 作为防火墙规则的一部分。 此设置在 Windows 10、Windows 11 和 Windows Server 平台的 Microsoft Defender 防火墙规则配置文件中可用。

应用于：

• Windows 11 及更高版本

使用公共预览版) (Intune策略管理 Windows LAPS

现在以公共预览版提供，使用 Microsoft Intune 帐户保护策略管理 Windows 本地管理员密码解决方案 (Windows LAPS) 。 若要开始，请参阅Intune对 Windows LAPS 的支持。

Windows LAPS 是一项 Windows 功能，可用于管理和备份已加入Microsoft Entra或已加入Windows Server Active Directory的设备上的本地管理员帐户的密码。

若要管理 LAPS，Intune配置内置于 Windows 设备的 Windows LAPS 配置服务提供程序 (CSP) 。 它优先于 Windows LAPS 配置的其他源，例如 GPO 或 Microsoft 旧版 LAPS 工具。 Intune管理 Windows LAPS 时可以使用的一些功能包括：

• 定义适用于设备上的本地管理员帐户的密码要求，例如复杂性和长度。
• 配置设备以按计划轮换其本地管理员帐户密码。 然后，在Microsoft Entra ID或本地 Active Directory中备份帐户和密码。
• 使用管理中心中的Intune设备操作，手动轮换帐户的密码。。
• 从Intune管理中心内查看帐户详细信息，例如帐户名称和密码。 此信息可帮助你恢复其他无法访问的设备。
• 使用Intune报告监视 LAPS 策略，以及设备上次手动或按计划轮换密码的时间。

应用于：

• Windows 10
• Windows 11

适用于 macOS 软件更新策略的新设置

macOS 软件更新策略现在包含以下设置，以帮助管理何时在设备上安装更新。 当 所有其他更新 更新类型配置为 以后安装时，这些设置可用：

• 最大用户延迟数：当 “所有其他更新” 更新类型配置为 “稍后安装”时，此设置允许指定用户在安装次要 OS 更新之前可以推迟该更新的最大次数。 系统每天提示用户一次。 适用于运行 macOS 12 及更高版本的设备。

• 优先级：当 “所有其他更新” 更新类型配置为 “稍后安装”时，此设置允许你为下载和准备次要 OS 更新的计划优先级指定 “低 ”或“ 高 ”值。 适用于运行 macOS 12.3 及更高版本的设备。

有关详细信息，请参阅使用Microsoft Intune策略管理 macOS 软件更新。

应用于：

• macOS

新合作伙伴门户页面简介

现在可以从合作伙伴门户页面管理 HP 或 Surface 设备上的硬件特定信息。

HP 链接将你带到 HP Connect，你可以在其中更新、配置和保护 HP 设备上的 BIOS。 Microsoft Surface链接可转到 Surface 管理门户，你可以在其中深入了解设备符合性、支持活动和保修范围。

若要访问“合作伙伴门户”页，必须启用“设备”窗格预览，然后导航到 “设备>合作伙伴门户”。

应用和驱动程序Windows 更新兼容性报告现已正式发布

以下Microsoft Intune Windows 更新兼容性报告已推出预览版，现已正式发布：

• Windows 功能更新设备就绪情况报告 - 此报告提供有关与所选 Windows 版本升级或更新相关的兼容性风险的每个设备信息。

• Windows 功能更新兼容性风险报告 - 此报表提供组织中所选 Windows 版本的主要兼容性风险的摘要视图。 可以使用此报告来了解哪些兼容性风险会影响组织中最多的设备。

这些报表可帮助你计划从 Windows 10 升级到 11，或用于安装最新的 Windows 功能更新。

设备安全性

Microsoft Intune Endpoint Privilege Management已正式发布

Microsoft Endpoint Privilege Management (EPM) 现已正式发布，不再处于预览状态。

使用 Endpoint Privilege Management，管理员可以设置策略，允许标准用户执行通常为管理员保留的任务。 为此，请为 自动 和 用户确认的 工作流配置策略，以提升所选应用或进程的运行时权限。 然后，将这些策略分配给没有管理员权限运行最终用户的用户或设备。 设备收到策略后，EPM 代表用户代理提升，允许他们提升已批准的应用程序，而无需完全管理员权限。 EPM 还包括内置见解和报告。

现在，EPM 已退出预览版，需要另一个许可证才能使用。 可以选择只添加 EPM 的独立许可证，也可以将 EPM 许可证作为Microsoft Intune Suite的一部分。 有关详细信息，请参阅使用 Intune 套件加载项功能。

虽然终结点特权管理现已正式发布，但 EPM 的报表 将转换为 预览版功能，并在从预览版中删除之前收到一些更多增强功能。

支持使用Intune防火墙规则策略标记 WDAC 应用程序 ID

Intune的Microsoft Defender防火墙规则配置文件（作为终结点安全防火墙策略的一部分提供）现在包括策略应用 ID 设置。 此设置在 MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP 中介绍，并支持指定 Windows Defender 应用程序控制 (WDAC) 应用程序 ID 标记。

借助此功能，可以将防火墙规则的范围限定为一个应用程序或一组应用程序，并依赖 WDAC 策略来定义这些应用程序。 通过使用标记链接到 WDAC 策略并依赖于 WDAC 策略，防火墙规则策略无需依赖绝对文件路径的防火墙规则选项，也不需要使用可降低规则安全性的可变文件路径。

使用此功能需要设置包含 AppId 标记的 WDAC 策略，然后可以在Intune Microsoft Defender防火墙规则中指定这些标记。

有关详细信息，请参阅 Windows Defender 应用程序控制文档中的以下文章：

• 关于 Windows 的应用程序控制
• WDAC 应用程序 ID (AppId) 标记指南

应用于：

• windows 10/11

Intune终结点安全攻击面减少策略的新应用和浏览器隔离配置文件

我们发布了为终结点安全攻击面减少策略创建新的 应用和浏览器隔离 配置文件的新体验。 编辑以前创建的应用和浏览器隔离策略的体验保持不变，你可以继续使用它们。 此更新仅适用于为 Windows 10 及更高版本平台创建的新应用和浏览器隔离策略。

此更新是持续推出的终结点安全策略新配置文件的一部分，该配置文件从 2022 年 4 月开始。

此外，新配置文件包括对它所包括设置的以下更改：

• 阻止来自非企业批准的站点的外部内容 - 此设置将从更新的配置文件中删除，因为它仅受 Microsoft Edge 旧版 支持。 Microsoft Edge 旧版支持已于 2021 年 3 月结束。 Microsoft 365 个应用告别 Internet Explorer 11，Windows 10日落Microsoft Edge 旧版 - Microsoft社区中心。

• 剪贴板文件类型 – 此设置将添加到更新的配置文件中，并确定可从主机复制到应用程序防护环境的内容类型，反之亦然。 可以在 WindowsDefenderApplicationGuard CSP 文档中的设置 /ClipboardFileType 中查看此新设置的 CSP。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• ixArma by INAX-APPS (iOS)
• myBLDNG by Bldng.ai (iOS)
• RICOH Spaces V2 by Ricoh Digital Services
• Firstup - Intune by Firstup， Inc. (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

基于角色的访问控制

新为组织邮件分配 (RBAC) 权限

为组织邮件分配 RBAC 权限确定谁可以将目标Microsoft Entra组分配给组织邮件。 若要访问 RBAC 权限，请登录到 Microsoft Intune 管理中心，然后转到“租户管理>角色”。

此权限还会添加到 组织消息管理器 内置角色。 必须修改管理组织消息的现有自定义角色，才能添加此权限，以便用户修改此设置。

• 有关基于角色的访问控制 (RBAC) 的详细信息，请参阅包含Microsoft Intune的 RBAC。
• 有关组织邮件先决条件的详细信息，请参阅 组织邮件先决条件。

租户管理

删除组织邮件

现在可以从Microsoft Intune中删除组织邮件。 删除邮件后，该邮件将从Intune中删除，并且不再显示在管理中心。 无论邮件状态如何，都可以随时删除该邮件。 删除活动邮件后，Intune会自动取消这些邮件。 有关详细信息，请参阅 删除组织邮件。

查看组织消息的审核日志

使用审核日志跟踪和监视Microsoft Intune中的组织消息事件。 若要访问日志，请登录到 Microsoft Intune 管理中心，然后转到“租户管理>审核日志”。 有关详细信息，请参阅Intune活动的审核日志。

2023 年 4 月 10 日当周

设备配置

Windows 10多会话 VM 的用户配置支持现已正式发布

你现在可以：

• 使用 设置目录 配置用户范围策略，并将其分配给用户组。
• 配置用户证书并将其分配给用户。
• 将 PowerShell 脚本配置为在用户上下文中安装并分配给用户。

应用于：

• Windows 10
• 在 Azure 公共云和Azure 政府云中创建的虚拟机

2023 年 4 月 3 日当周

设备配置

将 Google 帐户添加到具有工作配置文件的 Android Enterprise 个人拥有的设备

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，可以配置限制设备功能和设置的设置。 目前，有 一个“添加和删除帐户” 设置。 此设置可防止在工作配置文件中添加帐户，包括阻止 Google 帐户。

此设置已更改。 现在可以添加 Google 帐户。 “添加和删除帐户”设置选项包括：

• 阻止所有帐户类型：阻止用户在工作配置文件中手动添加或删除帐户。 例如，将 Gmail 应用部署到工作配置文件时，可以阻止用户在此工作配置文件中添加或删除帐户。

• 允许所有帐户类型：允许所有帐户，包括 Google 帐户。 这些 Google 帐户被阻止从 托管的 Google Play 商店安装应用。

  此设置需要：

  • 80970100或更高版本的 Google Play 应用版本

• 允许除默认) (Google 帐户以外的所有帐户类型：Intune不会更改或更新此设置。 默认情况下，OS 可能允许在工作配置文件中添加帐户。

有关可配置的设置的详细信息，请转到 Android Enterprise 设备设置列表，以使用 Intune 允许或限制个人拥有的设备上的功能。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

2023 年 3 月 27 日当周

应用管理

更新 macOS DMG 应用

现在可以更新使用 Intune 部署 (DMG) macOS 应用类型的应用。 若要编辑已在 Intune 中创建的 DMG 应用，请使用与原始 DMG 应用相同的捆绑标识符上传应用更新。 有关信息，请参阅将 macOS DMG 应用添加到 Microsoft Intune。

在预预配期间安装所需的应用

注册状态页 (ESP) 配置文件中提供了新的切换，允许你选择是否要在 Windows Autopilot 预预配技术人员阶段尝试安装所需的应用程序。 我们知道，在预预配期间需要安装尽可能多的应用程序，以减少最终用户的设置时间。 如果应用安装失败，ESP 将继续执行，ESP 配置文件中指定的应用除外。 若要启用此功能，需要编辑注册状态页配置文件，方法是在名为“技术人员阶段中仅失败所选应用”的新设置上选择“是”。 仅当已选择阻止应用时，才会显示此设置。 有关 ESP 的信息，请转到 设置注册状态页。

2023 年 3 月 20 日 (服务版本 2303)

应用管理

Win32 应用的更多最低操作系统版本

安装 Win32 应用时，Intune支持 Windows 10 和 11 个的最低操作系统版本。 在Microsoft Intune管理中心，选择“应用>”“Windows>添加>Windows 应用 (Win32) ”。 在“最低操作系统”旁边的“要求”选项卡中，选择一个可用的操作系统。 其他 OS 选项包括：

• Windows 10 21H2
• Windows 10 22H2
• Windows 11 21H2
• Windows 11 22H2

管理 VPP 应用不再需要托管应用权限

只能使用分配的移动应用权限查看和管理 VPP 应用 。 以前，需要 托管应用 权限才能查看和管理 VPP 应用。 此更改不适用于仍需要分配托管应用权限的教育版租户Intune。 有关Intune中权限的详细信息，请参阅自定义角色权限。

设备配置

macOS 设置目录中提供的新设置和设置选项

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在Microsoft Intune管理中心，可以在设备>管理设备>配置>创建新>策略>macOS for 平台>配置文件类型的设置目录中看到这些设置。

新设置包括：

> Microsoft Defender篡改防护：

• 强制级别

Microsoft Office > Microsoft OneDrive：

• 自动上传带宽百分比
• 自动且无提示地启用文件夹备份功能， (也称为“已知文件夹移动)
• 阻止应用下载仅联机文件
• 阻止外部同步
• 禁用自动登录
• 禁用下载 Toast
• 禁用个人帐户
• 禁用教程
• 重定向用户文件夹后，向用户显示通知
• 启用按需文件
• 为 Office 应用启用同步编辑
• 强制用户使用文件夹备份功能 (又称“已知文件夹移动)
• 隐藏停靠图标
• 忽略命名文件
• 在文件夹备份中包括 ~/桌面 (又名已知文件夹移动)
• 在文件夹备份中包括 ~/文档 (也称为已知文件夹移动)
• 在登录时打开
• 阻止用户使用文件夹备份功能 (也称为“已知文件夹移动)
• 提示用户启用文件夹备份功能 (又名已知文件夹移动)
• 设置最大下载吞吐量
• 设置最大上传吞吐量
• SharePoint 优先级
• SharePoint Server Front Door URL
• SharePoint Server 租户名称

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到使用设置目录创建策略。

添加自定义 Bash 脚本以配置 Linux 设备

在 Intune 中，可以添加现有 Bash 脚本来配置 Linux 设备 (设备>按平台>Linux>脚本) 。

创建此脚本策略时，可以设置脚本在 (用户或根) 中运行的上下文、脚本运行频率以及执行应重试的次数。

有关此功能的详细信息，请转到使用自定义 Bash 脚本在 Microsoft Intune 中配置 Linux 设备。

应用于：

• Linux Ubuntu 桌面

设备注册

支持 iOS/iPadOS 自动设备注册 (公共预览版)

现在，Intune以公共预览版提供，支持在符合条件的新 iOS/iPadOS 自动设备注册配置文件中使用名为 Await final configuration 的新设置。 此设置在设置助理中启用开箱即用的锁定体验。 在安装大多数Intune设备配置策略之前，它可以防止设备用户访问受限内容或更改设备上的设置。 可以在现有的自动设备注册配置文件中配置设置，也可以在新配置文件中配置设置， (设备>按平台>iOS/iPadOS>设备加入>注册>计划令牌>创建配置文件) 。 有关详细信息，请参阅 创建 Apple 注册配置文件。

新设置使Intune管理员能够控制设备到类别的映射

控制Intune 公司门户中设备类别提示的可见性。 现在可以向最终用户隐藏提示，并将设备到类别的映射保留给Intune管理员。 管理中心的 “租户管理>自定义>设备类别”下提供了新设置。 有关详细信息，请参阅 设备类别。

支持完全托管设备的多个注册配置文件和令牌

为 Android Enterprise 完全托管设备创建和管理多个注册配置文件和令牌。 借助这项新功能，现在可以使用 EnrollmentProfileName 动态设备属性自动将注册配置文件分配给完全托管的设备。 租户附带的注册令牌保留在默认配置文件中。 有关详细信息，请参阅设置 Android Enterprise 完全托管设备的Intune注册。

适用于 iPad 的新Microsoft Entra一线员工体验 (公共预览版)

此功能将于 4 月中旬开始向租户推出。

Intune现在支持使用 Apple 自动设备注册的 iPhone 和 iPad 的一线员工体验。 现在，可以通过零接触注册在Microsoft Entra ID共享模式下启用的设备。 有关如何为共享设备模式配置自动设备注册的详细信息，请参阅在Microsoft Entra共享设备模式下为设备设置注册。

应用于：

• iOS/iPadOS

设备管理

对日志配置的终结点安全防火墙策略支持

现在可以在 终结点安全防火墙策略 中配置设置，以配置防火墙日志记录选项。 这些设置可以在 Windows 10 及更高版本的平台的 Microsoft Defender 防火墙配置文件模板中找到，并且可用于该模板中的域、专用和公共配置文件。

以下是防火墙 配置服务提供程序 (CSP) 中的新设置：

• 启用日志成功Connections
• 日志文件路径
• 启用日志丢弃的数据包
• 启用日志忽略规则

应用于：

• Windows 11

移动宽带的终结点安全防火墙规则支持 (MBB)

终结点安全防火墙策略中的接口类型设置现在包括移动宽带选项。 接口类型在Microsoft Defender防火墙规则配置文件中提供，适用于支持 Windows 的所有平台。 有关此设置和选项的使用信息，请参阅 防火墙配置服务提供程序 (CSP) 。

应用于：

• Windows 10
• Windows 11

网络列表管理器设置的终结点安全防火墙策略支持

我们已向 终结点安全防火墙策略添加了一对网络列表管理器设置。 若要帮助确定Microsoft Entra设备何时位于或不在本地域子网中，可以使用网络列表管理器设置。 此信息可帮助正确应用防火墙规则。

以下设置位于名为“网络列表管理器”的新类别中，该类别在 Windows 10、Windows 11 和 Windows Server 平台的 Microsoft Defender 防火墙配置文件模板中提供：

• 允许的 Tls 身份验证终结点
• 配置的 Tls 身份验证网络名称

有关网络分类设置的信息，请参阅 NetworkListManager CSP。

应用于：

• Windows 10
• Windows 11

管理中心中的“设备”区域的改进 (公共预览版)

管理中心中的“设备”区域现在具有更一致的 UI，具有更强大的控件和改进的导航结构，以便你可以更快地找到所需的信息。 若要选择加入公共预览版并试用新体验，请转到 “设备” 并翻转页面顶部的开关。 改进包括：

• 一个新的以方案为中心的导航结构。
• 平台透视的新位置，用于创建更一致的导航模型。
• 缩短行程，帮助你更快地到达目的地。
• 监视和报告位于管理工作流中，使你无需离开工作流即可轻松访问关键指标和报表。
• 一种跨列表视图的一致方式，用于搜索、排序和筛选数据。

有关更新的 UI 的详细信息，请参阅在 Microsoft Intune 中试用新设备体验。

设备安全性

Microsoft Intune Endpoint Privilege Management (公共预览版)

作为公共预览版，现在可以使用 Microsoft Intune Endpoint Privilege Management。 使用 Endpoint Privilege Management，管理员可以设置策略，允许标准用户执行通常为管理员保留的任务。 可以在终结点安全>终结点特权管理Intune管理中心配置终结点特权管理。

使用公共预览版，可以为 自动 和 用户确认 的工作流配置策略，以提升所选应用或进程的运行时权限。 然后，将这些策略分配给没有管理员权限运行最终用户的用户或设备。 收到策略后，Endpoint Privilege Management 将代表用户代理提升，允许他们提升已批准的应用程序，而无需完全的管理员权限。 预览版还包括终结点特权管理的内置见解和报告。

若要了解如何激活公共预览版并使用 Endpoint Privilege Management 策略，请从将 Endpoint Privilege Management 与 Microsoft Intune 配合使用开始。 Endpoint Privilege Management 是 Intune Suite 产品/服务的一部分，在保持公共预览版时可以免费试用。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• EVALARM by GroupKom GmbH (iOS)
• ixArma by INAX-APPS (Android)
• 地震 |Intune由 Seismic Software， Inc.
• Microsoft (正式Microsoft Yammer) Microsoft Viva Engage

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Endpoint Privilege Management 的诊断数据收集

为了支持 Endpoint Privilege Management 的发布，我们更新了从 Windows 设备收集诊断，以包括以下数据，这些数据是从启用了 Endpoint Privilege Management 的设备收集的：

• 注册表项：

  • HKLM\SOFTWARE\Microsoft\EPMAgent

• 命令：

  • %windir%\system32\pnputil.exe /enum-drivers

• 日志文件：

  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

查看挂起和失败组织消息的状态

我们已向组织消息报告详细信息添加了另外两种状态，以便更轻松地在管理中心跟踪挂起和失败的消息。

• 挂起：消息尚未计划，目前正在进行中。
• 失败：由于服务错误，消息无法计划。

有关报告详细信息的信息，请参阅 查看组织邮件的报告详细信息。

与租户附加设备相关的更多报告信息

现在可以在 Endpoint Security 工作负载下的现有防病毒报告中查看租户附加设备的信息。 新列区分由 Intune 管理的设备与由 Configuration Manager 管理的设备。 选择“终结点安全性>防病毒”，可在管理中心Microsoft Intune获取此报告信息。

2023 年 3 月 13 日当周

设备管理

Meta Quest 2 和 Quest Pro 目前仅在美国) (Android 开源设备的Microsoft Intune处于开放 Beta 版中

适用于 Android 开放源代码 项目设备的 Microsoft Intune (AOSP) 已欢迎 Meta Quest 2 和 Quest Pro 进入美国市场的开放 Beta 版。

有关详细信息，请转到Microsoft Intune支持的操作系统和浏览器

应用于：

• Android (AOSP)

应用管理

适用于 Android 的 Intune 应用 SDK 的受信任的根证书管理

如果 Android 应用程序需要本地或专用证书颁发机构颁发的 SSL/TLS 证书来提供对内部网站和应用程序的安全访问，则适用于 Android 的 Intune App SDK 现在支持证书信任管理。 有关详细信息和示例，请参阅 受信任的根证书管理。

UWP 应用的系统上下文支持

除了用户上下文之外，还可以从 Microsoft 应用商店应用部署通用 Windows 平台 (UWP ) 应用， ( 系统上下文中的新) 。 如果在系统上下文中部署了预配 的.appx 应用，则会为登录的每个用户自动安装该应用。 如果单个最终用户卸载用户上下文应用，该应用仍显示为已安装，因为它仍处于预配状态。 此外，还必须为设备上的任何用户安装应用。 我们的一般建议是在部署应用时不要混合使用安装上下文。 Microsoft 应用商店应用中的 Win32 应用 (新) 已支持系统上下文。

2023 年 3 月 6 日当周

应用管理

将 Win32 应用部署到设备组

现在可以将具有 可用 意向的 Win32 应用部署到设备组。 有关详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

设备管理

Microsoft Intune管理中心的新 URL

Microsoft Intune管理中心有一个新 URL：https://intune.microsoft.com。 以前使用的 URL 将继续工作， https://endpoint.microsoft.com但会在 2023 年底重定向到新 URL。 建议执行以下操作，以避免Intune访问和自动脚本出现问题：

• 更新登录名或自动化以指向 https://intune.microsoft.com。
• 根据需要更新防火墙，以允许访问新 URL。
• 将新 URL 添加到收藏夹和书签。
• 通知支持人员并更新 IT 管理员文档。

租户管理

将 CMPivot 查询添加到收藏夹文件夹

可以将常用查询添加到 CMPivot 中的 收藏夹 文件夹。 CMPivot 允许你通过租户附加快速评估Configuration Manager管理的设备的状态并采取措施。 该功能与Configuration Manager控制台中已有的功能类似。 此添加有助于将所有最常用的查询保存在一个位置。 还可以向查询添加标记，以帮助搜索和查找查询。 保存在 Configuration Manager 控制台中的查询不会自动添加到收藏夹文件夹中。 需要创建新查询并将其添加到此文件夹。 有关 CMPivot 的详细信息，请参阅 租户附加：CMPivot 使用情况概述。

设备注册

注册状态页现在支持新的 Microsoft 应用商店应用

注册状态页 (ESP) 现在支持 Windows Autopilot 期间新的 Microsoft 存储应用程序。 此更新可更好地支持新的 Microsoft Store 体验，并且应从 Intune 2303 开始向所有租户推出。 有关相关信息，请参阅 设置注册状态页。

2023 年 2 月 27 日当周

设备配置

支持在 Android Enterprise 公司拥有的完全托管和 Android Enterprise 公司拥有的工作配置文件设备上定位设备

现在可以在 Android Enterprise 公司拥有的完全托管和 Android Enterprise 公司拥有的工作配置文件设备上使用“定位设备”。 借助此功能，管理员可以按需查找丢失或被盗的公司设备。

在 Microsoft Intune 管理中心中，需要使用设备配置文件 (> 设备管理设备>配置>创建新>策略>Android Enterprise for platform >Device Restrictions for profile type) 启用该功能。

在“查找完全托管和公司拥有的工作配置文件设备的设备”切换开关上选择“允许”，然后选择适用的组。 选择“设备”，然后选择“所有设备”时，找到“设备可用”。 从你管理的设备列表中，选择受支持的设备，然后选择 “定位设备 远程”操作。

有关使用Intune查找丢失或被盗设备的信息，请转到：

• 使用 Intune 定位丢失或被盗设备

应用于：

• Android Enterprise 公司拥有的完全托管
• Android Enterprise 公司拥有的专用设备
• Android Enterprise 公司拥有的工作配置文件

Intune加载项

Microsoft Intune Suite为Microsoft Intune提供任务关键型高级终结点管理和安全功能。

可以在Microsoft Intune管理中心的租户管理>Intune加载项下找到要Intune的加载项。

有关详细信息，请参阅使用 Intune Suite 加载项功能。

在“Intune故障排除”工作区中查看 ServiceNow 事件 (预览版)

在公共预览版中，可以查看与你在 Intune“故障排除”工作区中选择的用户关联的 ServiceNow 事件列表。 此新功能可在 “故障排除 + 支持> ”下选择用户 >ServiceNow Incidents 下提供。 显示的事件列表具有指向源事件的直接链接，并显示事件的关键信息。 列出的所有事件都会将事件中标识的“调用方”链接到选择了“故障排除”的用户。

有关详细信息，请转到 使用故障排除门户帮助公司用户。

设备安全性

适用于 MAM 的 Microsoft Tunnel现已正式发布

现已推出预览版并已正式发布，可以将 Microsoft Tunnel for Mobile Application Management 添加到租户。 MAM 隧道支持来自未注册 的 Android 和 iOS 设备的连接。 此解决方案为租户提供了一个轻型 VPN 解决方案，允许移动设备访问公司资源，同时遵循安全策略。

此外，适用于 iOS 的 MAM Tunnel 现在支持 Microsoft Edge。

以前，适用于 Android 和 iOS 的 MAM 的 Tunnel 以公共预览版提供，可供免费使用。 此版本正式发布后，此解决方案现在需要附加许可证以供使用。

有关许可详细信息，请参阅Intune加载项。

应用于：

• Android
• iOS

租户管理

组织消息现在支持自定义目标 URL

现在可以将任何自定义目标 URL 添加到任务栏、通知区域和“入门”应用中的组织消息。 此功能适用于Windows 11。 仍支持使用Microsoft Entra处于计划或活动状态的已注册域创建的消息。 有关详细信息，请参阅 创建组织消息。

2023 年 2 月 20 日 (服务版本 2302)

应用管理

作为 LOB 和应用商店应用的最低 OS 要求提供的最新 iOS/iPadOS 版本

可以将 iOS/iPadOS 16.0 指定为业务线和应用商店应用部署的最低操作系统。 通过选择“应用iOS/iPadOS> iOS应用商店应用>”或“业务线应用”，Microsoft Intune管理中心提供了此设置选项。 有关管理应用的详细信息，请参阅将应用添加到Microsoft Intune。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Egnyte for Intune by Egnyte

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备配置

Endpoint Manager 管理中心已重命名为 Intune 管理中心

Microsoft Endpoint Manager 管理中心现在称为“Microsoft Intune管理中心”。

筛选器的新“关联分配”选项卡

分配应用或策略时，可以使用不同的设备属性（如设备制造商、型号和所有权）筛选分配。 可以创建筛选器并将其与工作分配相关联。

创建筛选器后，会出现一个新的 “关联分配”选项卡。此选项卡显示所有策略分配、接收筛选器分配的组，以及筛选器是否使用 “排除” 或 “包括”：

1. 登录到 Microsoft Intune 管理中心。
2. 转到 “设备>”“组织设备>”“筛选器> ”，选择现有筛选器 >“关联分配”选项卡。

有关筛选器的详细信息，请转到：

• 在 Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Intune 中创建筛选器时的设备属性、运算符和规则编辑

iOS/iPadOS 模型信息中包含的大小和代系

可以在硬件设备详细信息中的 Model 属性中查看已注册的 iOS/iPadOS 设备的大小和代系。

转到 “设备 > ”“所有设备> ”选择列出的设备之一，然后选择“ 硬件 ”以打开其详细信息。 例如，iPad Pro 11 英寸 (第三代) 设备型号而不是 iPad Pro 3 的显示器。 有关详细信息，请转到：查看Intune中的设备详细信息

应用于：

• iOS/iPadOS

对受监督的 iOS/iPadOS 设备禁用激活锁定设备操作

可以使用 Intune 中的“禁用激活锁定设备”操作绕过 iOS/iPadOS 设备上的激活锁，而无需当前用户名或密码。

此新操作可在 “设备 > ”“iOS/iPadOS >”下选择列出的设备> 之一“禁用激活锁”。

有关管理激活锁的详细信息，请参阅使用Intune绕过 iOS/iPadOS 激活锁，或在 Apple 网站上访问适用于 iPhone、iPad 和 iPod touch 的激活锁 - Apple 支持。

应用于：

• iOS/iPadOS

允许临时企业功能控制在设置目录中可用

在本地组策略中，有 一个通过服务引入的“启用功能”（默认设置为关闭 ）。

在Intune中，此设置称为“允许临时企业功能控制”，可在“设置目录”中使用。 此服务会添加默认关闭的功能。 设置为 “允许”时，将启用并打开这些功能。

有关此功能的详细信息，请转到：

• AllowTemporaryEnterpriseFeatureControl 策略 CSP
• 博客：持续创新的商业控制

此策略设置启用的 Windows 功能应在 2023 年晚些时候发布。 Intune现在发布此策略设置，以增强你的认知和准备，这是在将来的Windows 11版本中使用此设置之前。

有关设置目录的详细信息，请转到 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

应用于：

• Windows 11

设备管理

设备控制支持打印机保护 (预览版)

在公共预览版中，攻击面减少策略的设备控制配置文件现在支持 打印机保护的可重用设置组。

Microsoft Defender for Endpoint设备控制打印机保护使你能够审核、允许或阻止打印机，无论在Intune中存在或不包含排除项。 它允许阻止用户通过非企业网络打印机或未经批准的 USB 打印机进行打印。 此功能为在家办公和远程工作场景添加了另一层安全和数据保护。

应用于：

• Windows 10
• Windows 11

支持删除通过安全管理为 Microsoft Defender for Endpoint 管理的过时设备

现在可以从 Microsoft Intune 管理中心内删除通过 Microsoft Defender for Endpoint 安全管理解决方案管理的设备。 查看设备的“概述”详细信息时，“删除”选项和其他设备管理选项一起显示。 若要查找此解决方案管理的设备，请在管理中心转到“设备>所有设备”，然后选择在“托管者”列中显示 MDEJoined 或 MDEManaged 的设备。

Apple 设置目录中提供的新设置和设置选项

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在 Microsoft Intune 管理中心中，可以在设备>管理设备>配置>创建新>策略>iOS/iPadOS 或 macOS for 平台>配置文件类型的设置目录上看到这些设置。

新设置包括：

登录 > 服务管理 - 托管登录项：

• 团队标识符

Microsoft Office > Microsoft Office：

• Office 激活Email地址

应用于：

• macOS

联网 > 域：

• 跨站点跟踪防护宽松域

应用于：

• iOS/iPadOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设备安全性

使用终结点安全防病毒策略管理Microsoft Defender更新行为 (预览版)

作为终结点安全防病毒策略的公共预览版的一部分，可以使用 Windows 10 及更高版本的平台的新配置文件 Defender 更新控件来管理Microsoft Defender的更新设置。 新配置文件包括推出发布通道的设置。 通过推出通道，设备和用户会收到与日常安全智能更新、每月平台更新和每月引擎更新相关的 Defender 汇报。

此配置文件包括以下设置，这些设置均直接从 Defender CSP - Windows 客户端管理获取。

• 引擎汇报通道
• 平台汇报通道
• 安全智能汇报通道

这些设置也可从Windows 10及更高版本的配置文件的设置目录中获取。

应用于：

• Windows 10
• Windows 11

2023 年 2 月 6 日当周

租户管理

应用建议和见解来丰富Configuration Manager站点运行状况和设备管理体验

现在可以使用 Microsoft Intune 管理中心查看Configuration Manager网站的建议和见解。 这些建议可帮助你改进站点运行状况和基础结构，并丰富设备管理体验。

建议包括：

• 如何简化基础结构
• 增强设备管理
• 提供设备见解
• 改善网站的运行状况

若要查看建议，请打开Microsoft Intune管理中心，转到租户管理>连接器和令牌>Microsoft终结点Configuration Manager，然后选择一个站点以查看该站点的建议。 选择后，“ 建议 ”选项卡将显示每个见解以及 “了解详细信息” 链接。 此链接将打开有关如何应用该建议的详细信息。

有关详细信息，请参阅启用Microsoft Intune租户附加 - Configuration Manager。

2023 年 1 月 30 日当周

设备管理

Android 开源设备的 Microsoft Intune上支持的 HTC Vive Focus 3

适用于 Android 开放源代码 项目设备的Microsoft Intune (AOSP) 现在支持HTC Vive Focus 3。

有关详细信息，请转到Microsoft Intune支持的操作系统和浏览器

应用于：

• Android (AOSP)

介绍远程帮助中对激光笔的支持

在远程帮助中，现在可以在 Windows 上提供帮助时使用激光笔。

有关远程帮助的详细信息，请转到远程帮助。

应用于：

• windows 10/11

2023 年 1 月 23 日 (服务版本 2301)

应用管理

配置是否在 Windows 公司门户中显示Configuration Manager应用

在Intune中，你可以选择是显示还是隐藏Configuration Manager应用显示在 Windows 公司门户中。 通过选择“租户管理>自定义”，此选项在管理中心Microsoft Intune可用。 在 “设置”旁边，选择“ 编辑”。 “显示或隐藏Configuration Manager应用程序”选项位于窗格的“应用源”部分中。 有关配置公司门户应用的相关信息，请参阅如何配置Intune 公司门户应用、公司门户网站和Intune应用。

阻止将网页固定到托管主屏幕应用

在使用 托管主屏幕 的 Android Enterprise 专用设备上，现在可以使用应用配置来配置托管主屏幕应用，以阻止将浏览器网页固定到托管主屏幕。 新 key 值为 block_pinning_browser_web_pages_to_MHS。 有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

设备管理

android 版Microsoft Intune应用中可见的宽限期状态

适用于 Android 的 Microsoft Intune 应用现在显示宽限期状态，以考虑不符合合规性要求但仍在其给定宽限期内的设备。 用户可以看到设备必须合规的日期，以及有关如何变得合规的说明。 如果他们未在给定日期前更新设备，则设备将标记为不符合。 有关详细信息，请参阅以下文档：

• 配置符合性策略，其中包含针对非合规性的操作
• 检查符合性状态

适用于 macOS 的软件更新策略现已正式发布

适用于 macOS 设备的软件更新策略现已正式发布。 此正式版适用于运行 macOS 12 (Monterey) 及更高版本的受监督设备。 正在对此功能进行改进。

有关详细信息，请参阅使用Microsoft Intune策略管理 macOS 软件更新。

Windows Autopilot 设备诊断

Windows Autopilot 诊断可从单个设备的 Autopilot 部署监视器或设备诊断监视器Microsoft Intune管理中心下载。

设备注册

注册通知现已正式发布

注册通知现已正式发布，并在 Windows、Apple 和 Android 设备上受支持。 只有用户驱动的注册方法才支持此功能。 有关详细信息，请参阅 设置注册通知。

在设置助理中跳过或显示“地址条款”窗格

配置Microsoft Intune以在 Apple 自动设备注册期间跳过或显示名为“地址条款”的新“设置助理”窗格。 “ 地址条款 ”允许 iOS/iPadOS 和 macOS 设备上的用户通过选择系统寻址方式（女性化、中性或男性化）来个性化其设备。 默认情况下，该窗格在注册期间可见，并且可用于所选语言。 可以在运行 iOS/iPadOS 16 及更高版本以及 macOS 13 及更高版本的设备上隐藏它。 有关 Intune 中支持的“设置助理”屏幕的详细信息，请参阅：

• Mac 的“设置助理”屏幕
• 适用于 iOS/iPadOS 的设置助手屏幕

设备安全性

Microsoft Tunnel for Mobile Application Management for iOS/iPadOS (Preview)

作为公共预览版，可以使用移动应用程序管理 (MAM) 到适用于 iOS/iPadOS 的 Microsoft Tunnel VPN 网关。 对于尚未注册到 Intune 的 iOS 设备的此预览版，这些未注册设备上的受支持应用可以在处理公司数据和资源时使用 Microsoft Tunnel 连接到组织。 此功能包括 VPN 网关对以下项的支持：

• 使用新式身份验证保护对本地应用和资源的访问
• 单一登录和条件访问

有关详细信息，请转到：

• Microsoft Tunnel for Mobile Application Management for iOS/iPadOS 管理员指南 (公共预览版)
• 适用于 MAM 的 Microsoft Tunnel iOS SDK 开发人员指南

应用于：

• iOS/iPadOS

针对Microsoft Defender for Endpoint的安全设置管理的攻击面减少策略支持

通过MDE安全配置方案管理的设备支持攻击面减少策略。 若要将此策略用于使用Microsoft Defender for Endpoint但未注册Intune的设备：

1. 在“终结点安全性”节点中，创建新的 攻击面减少 策略。
2. 选择“Windows 10”、“Windows 11”和“Windows Server”作为“平台”。
3. 为配置文件选择“攻击面减少规则”。

应用于：

• Windows 10
• Windows 11

SentinelOne - 新的移动威胁防御合作伙伴

现在，可以使用 SentinelOne 作为集成的移动威胁防御 (MTD) 合作伙伴Intune。 通过在 Intune 中配置 SentinelOne 连接器，可以使用基于合规性策略中风险评估的条件访问来控制移动设备对公司资源的访问。 SentinelOne 连接器还可以将风险级别发送到应用保护策略。

设备配置

设备固件配置接口 (DFCI) 支持 Fujitsu 设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置 (设备>管理设备>配置>创建新>策略>Windows 10以及更高版本的平台>模板>设备固件配置接口，用于配置文件类型) 。

某些运行 Windows 10/11 的 Fujitsu 设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

支持在运行 Android (AOSP) 的设备上执行批量设备操作

现在可以为运行 Android (AOSP) 的设备完成“批量设备操作”。 运行 Android (AOSP) 的设备支持的批量设备操作是删除、擦除和重启。

应用于：

• Android (AOSP)

更新了设置目录中 iOS/iPadOS 和 macOS 设置的说明

设置目录列出了可以配置的所有设置，所有设置都位于一个位置。 对于 iOS/iPadOS 和 macOS 设置，对于每个设置类别，将更新说明以包含更多详细信息。

有关设置目录的详细信息，请转到：

• 使用设置目录以在 Windows、iOS/iPadOS 和 macOS 设备上配置设置
• 可以使用 Intune 中的设置目录完成的常见任务

应用于：

• iOS/iPadOS
• macOS

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在 Microsoft Intune 管理中心中，可以在设备>管理设备>配置>创建新>策略>iOS/iPadOS 或 macOS for 平台>配置文件类型的设置目录上看到这些设置。

新设置包括：

帐户 > 订阅的日历：

• 帐户说明
• 帐户主机名
• 帐户密码
• 帐户使用 SSL
• 帐户用户名

应用于：

• iOS/iPadOS

联网 > 域：

• 跨站点跟踪防护宽松域

应用于：

• macOS

以下设置也位于"设置目录"中。 以前，它们仅在模板中可用：

文件保管库：

• 用户输入缺失信息

应用于：

• macOS

限制:

• 分级区域

应用于：

• iOS/iPadOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

按设备的Microsoft Entra联接类型 () deviceTrustType 筛选应用和策略分配

分配应用或策略时，可以使用不同的设备属性（如设备制造商、操作系统 SKU 等）筛选分配。

新的设备筛选器属性deviceTrustType可用于Windows 10及更高版本的设备。 使用此属性，可以根据Microsoft Entra联接类型筛选应用和策略分配。 这些值包括已联接Microsoft Entra、Microsoft Entra混合联接和已注册Microsoft Entra。

有关可使用的筛选器和设备属性的详细信息，请转到：

• 在 Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Intune 中创建筛选器时的设备属性、运算符和规则编辑

应用于：

• Windows 10 及更高版本

监视和疑难解答

在Microsoft Intune管理中心下载移动应用诊断 (公共预览版)

现在在公共预览版中，在管理中心访问用户提交的移动应用诊断，包括通过 android、Android (AOSP) 或 Windows 公司门户 公司门户 应用发送的应用日志，这些应用稍后将支持 iOS、macOS 和 Microsoft Edge for iOS。 有关访问移动应用诊断公司门户的详细信息，请参阅配置公司门户。

使用诊断文件进行 WinGet 故障排除

WinGet 是一个命令行工具，可用于在Windows 10和Windows 11设备上发现、安装、升级、删除和配置应用程序。 在 Intune 中使用 Win32 应用管理时，现在可以使用以下文件位置来帮助排查 WinGet 问题：

• %TEMP%\winget\defaultstate*.log
• Microsoft-Windows-AppXDeployment/Operational
• Microsoft-Windows-AppXDeploymentServer/Operational

Intune故障排除窗格更新

“Intune故障排除”窗格的新体验提供有关用户设备、策略、应用程序和状态的详细信息。 故障排除窗格包括以下信息：

• 策略、合规性和应用程序部署状态的摘要。
• 支持导出、筛选和排序所有报表。
• 支持通过排除策略和应用程序进行筛选。
• 支持筛选到用户的单个设备。
• 有关可用设备诊断和已禁用设备的详细信息。
• 有关三天或三天以上未签入服务的脱机设备的详细信息。

可以通过选择“故障排除 + 支持>故障排除”，在 Microsoft Intune 管理中心找到故障排除窗格。 若要在预览期间查看新体验，请选择“ 预览即将进行的故障排除”更改并提供反馈 以显示 “故障排除预览 ”窗格，然后选择“ 立即试用”。

没有符合性策略的设备的新报表 (预览版)

我们已将名为“设备没有符合性策略”的新报告添加到了可以通过Microsoft Intune管理中心的“报告”节点访问的设备符合性报告。 此报表以预览版提供，它使用较新的报告格式，可提供更多功能。

若要了解此新组织报告，请参阅 不合规策略的设备 (组织) 。

此报表的旧版本仍可通过管理中心的 “设备 > 监视器 ”页获得。 最终，旧版报表将停用，但目前仍可用。

服务运行状况需要管理关注的租户问题的消息

Microsoft Intune管理中心中的“服务运行状况和消息中心”页现在可以显示环境中需要操作的问题的消息。 这些消息是发送到租户的重要通信，用于提醒管理员环境中可能需要采取措施才能解决的问题。

可以通过转到“租户管理>租户状态”，然后选择“服务运行状况和消息中心”选项卡，在 Microsoft Intune 管理中心查看环境中需要操作的问题的消息。

有关管理中心的此页的详细信息，请参阅“Intune租户状态”页上的“查看租户详细信息”。

租户管理

改进了多个证书连接器的 UI 体验

我们已将分页控件添加到 “证书连接器” 视图，以帮助改进配置了超过 25 个证书连接器时的体验。 使用新控件，可以查看连接器记录的总数，并在查看证书连接器时轻松导航到特定页面。

若要查看证书连接器，请在Microsoft Intune管理中心，转到租户管理>连接器和令牌>证书连接器。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 由电压安全性提供的电压 SecureMail

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

脚本

在 Endpoint Analytics 中预览 PowerShell 脚本包内容

管理员现在可以查看 PowerShell 脚本内容的预览，以便进行主动修正。 内容显示在具有滚动功能的灰显框中。 管理员无法在预览中编辑脚本的内容。 在“Microsoft Intune管理中心”中，选择“报告>终结点分析>”“主动修正”。 有关详细信息，请参阅 用于主动修正的 PowerShell 脚本。

2023 年 1 月 16 日当周

应用管理

Win32 应用取代 GA

Win32 应用取代 GA 的功能集可用。 它添加了对在 ESP 期间具有取代性的应用的支持，还允许在同一应用子图中添加取代 & 依赖项关系。 有关详细信息，请参阅 Win32 应用取代改进。 有关 Win32 应用取代的信息，请参阅 添加 Win32 应用取代。

2023 年 1 月 9 日当周

设备配置

公司门户应用在具有工作配置文件的 Android Enterprise 12+ 个人拥有的设备上强制实施密码复杂性设置

在具有工作配置文件的 Android Enterprise 12+ 个人拥有的设备上，可以创建设置密码复杂性的合规性策略和/或设备配置文件。 从 2211 版本开始，此设置可在 Intune 管理中心中使用：

• 设备>管理设备>配置>创造>新策略>Android Enterprise for platform > Personally owned with a work profile >device restrictions for profile type >Password
• 设备>合规性策略>创建策略>Android Enterprise for platform > Personal-owned with a work profile

公司门户应用强制实施密码复杂性设置。

有关此设置以及可在个人拥有的设备上配置的工作配置文件的其他设置的详细信息，请转到：

• Intune中 Android Enterprise 的设备符合性设置
• Intune中 Android Enterprise 的设备限制设置列表

应用于：

• 具有工作配置文件的 Android Enterprise 12+ 个人拥有的设备

2022 年 12 月 19 日当周

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Appian Corporation (Android) Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2022 年 12 月 12 日 (服务版本 2212)

设备配置

远程帮助客户端应用包括用于在租户级别设置中禁用聊天功能的新选项

在 远程帮助 应用中，管理员可以从新的租户级别设置中禁用聊天功能。 打开禁用聊天功能会删除远程帮助应用中的聊天按钮。 可以在 Microsoft Intune 的租户管理下的“远程帮助设置”选项卡中找到此设置。

有关详细信息，请参阅为租户配置远程帮助。

适用于：Windows 10/11

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在Microsoft Intune管理中心，可以在设备>管理设备>配置>创建新>策略>macOS for 平台>配置文件类型的设置目录中看到这些设置。

新设置包括：

文件保管库 > 文件保管库选项：

• 阻止禁用 FV
• 阻止启用 FV

限制:

• 允许修改蓝牙

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

iOS、iPadOS 和 macOS 设备上的 SSO 扩展请求有默认设置

创建单一登录应用扩展配置文件时，需要配置一些设置。 以下设置对所有 SSO 扩展请求使用以下默认值：

• AppPrefixAllowList 密钥

  • macOS 默认值： com.microsoft.,com.apple.
  • iOS/iPadOS 默认值： com.apple.

• browser_sso_interaction_enabled 键

  • macOS 默认值： 1
  • iOS/iPadOS 默认值： 1

• disable_explicit_app_prompt 键

  • macOS 默认值： 1
  • iOS/iPadOS 默认值： 1

如果配置的值不是默认值，则配置的值将覆盖默认值。

例如，不配置 AppPrefixAllowList 密钥。 默认情况下， () com.microsoft. 的所有Microsoft应用以及 () com.apple. 的所有 Apple 应用在 macOS 设备上启用 SSO。 可以通过向列表添加其他前缀（例如 com.contoso.）来覆盖此行为。

有关企业 SSO 插件的详细信息，请转到在 Microsoft Intune 中的 iOS/iPadOS 和 macOS 设备上使用 Microsoft Enterprise SSO 插件。

应用于：

• iOS/iPadOS
• macOS

设备注册

Android Enterprise 专用设备的注册令牌生存期延长至 65 年

现在可以为 Android Enterprise 专用设备创建有效期长达 65 年的注册配置文件。 如果你有现有配置文件，注册令牌仍将在创建配置文件时选择的任何日期过期，但在续订期间，可以延长生存期。 有关创建注册配置文件的详细信息，请参阅为 Android Enterprise 专用设备设置Intune注册。

设备管理

更新 macOS 策略现在可用于所有受监督设备

macOS 设备的软件更新策略现在适用于所有 macOS 受监督的设备。 以前，只有通过自动设备注册 (ADE) 注册的设备才有资格接收更新。 有关为 macOS 配置更新策略的详细信息，请参阅使用Microsoft Intune策略管理 macOS 软件更新。

应用于：

• macOS

Windows 功能更新和加速质量更新的策略和报告现已正式发布

用于管理功能更新和质量更新 (加速更新) Windows 10及更高版本的策略和报表均已推出预览版，现已正式发布。

有关这些策略和报告的详细信息，请参阅：

• 功能更新策略
• 加快质量更新策略
• Windows 更新合规性报告

应用于：

• windows 10/11

2022 年 11 月 28 日当周

应用管理

Intune 中的Microsoft应用商店应用

现在可以在 Intune 中搜索、浏览、配置和部署 Microsoft 应用商店应用。 新的 Microsoft Store 应用类型是使用 Windows 程序包管理器实现的。 此应用类型具有扩展的应用目录，其中包括 UWP 应用和 Win32 应用。 此功能的推出预计将在 2022 年 12 月 2 日完成。 有关详细信息，请参阅将 Microsoft 应用商店应用添加到 Microsoft Intune。

租户管理

多个管理员审批 (公共预览版) 的访问策略

在公共预览版中，可以使用Intune访问策略来要求第二个管理员审批帐户在应用更改之前批准更改。 此功能称为多个管理员审批 (MAA) 。

创建访问策略来保护某种类型的资源，例如应用部署。 每个访问策略还包括一组用户，他们是策略保护的更改的 审批者 。 当资源（如应用部署配置）受到访问策略的保护时，对部署所做的任何更改（包括创建、删除或修改现有部署）将不适用，直到该访问策略的审批者组的成员评审并批准该更改。

审批者还可以拒绝请求。 请求更改的个人和审批者可以提供有关更改的备注，或者更改被批准或拒绝的原因。

以下资源支持访问策略：

• 应用 - 适用于 应用部署，但不适用于应用保护策略。
• 脚本 – 适用于将脚本部署到运行 macOS 或 Windows 的设备。

有关详细信息，请参阅 使用访问策略要求多个管理批准。

设备安全性

Microsoft Tunnel for Mobile Application Management for Android (Preview)

作为公共预览版，现在可以将 Microsoft Tunnel 与未注册的设备配合使用。 此功能称为 Microsoft Tunnel for Mobile Application Management (MAM) 。 此预览版支持 Android，并且无需对现有 Tunnel 基础结构进行任何更改，即可支持用于以下对象的 Tunnel VPN 网关：

• 使用新式身份验证保护对本地应用和资源的访问
• 单一登录和条件访问

若要使用 Tunnel MAM，未注册的设备必须安装Microsoft Edge、Microsoft Defender for Endpoint和公司门户。 然后，可以使用Microsoft Intune管理中心为未注册的设备配置以下配置文件：

• 托管应用的应用配置文件，用于在设备上配置Microsoft Defender以用作 Tunnel 客户端应用。
• 托管应用的第二个应用配置文件，用于配置 Microsoft Edge 以连接到 Tunnel。
• 用于启用自动启动Microsoft隧道连接的应用保护配置文件。

应用于：

• Android Enterprise

2022 年 11 月 14 日 (服务版本 2211)

应用管理

控制托管 Google Play 应用的显示

可以将托管 Google Play 应用分组到集合中，并控制在Intune中选择应用时集合的显示顺序。 还可以仅通过搜索使应用可见。 通过选择“应用所有应用>添加>托管 Google Play应用>”，Microsoft Intune管理中心提供此功能。 有关详细信息，请参阅直接在 Intune 管理中心中添加托管 Google Play 应用商店应用。

设备配置

具有工作配置文件的 Android Enterprise 12+ 个人拥有设备的新密码复杂性设置

在具有工作配置文件的 Android Enterprise 11 及更早版本的个人拥有设备上，可以设置以下密码设置：

• 设备>合规>Android Enterprise for platform >个人拥有的工作配置文件>系统安全性>必需密码类型， 最小密码长度
• 设备>管理设备>配置>Android Enterprise for platform >个人拥有的工作配置文件>设备限制>工作配置文件设置>必需密码类型， 最小密码长度
• 设备>管理设备>配置>Android Enterprise for Platform >个人拥有的工作配置文件>设备限制>需要密码>类型， 最小密码长度

Google 正在弃用工作配置文件的 Android 12+ 个人拥有设备的 “必需密码类型 ”和 “最小密码长度 ”设置，并将其替换为新的密码复杂性要求。 有关此更改的详细信息，请转到 Android 13 的天零支持。

新的 密码复杂性 设置具有以下选项：

• 无：Intune不会更改或更新此设置。 默认情况下，OS 可能不需要密码。
• 低：阻止重复 (4444) 或有序 (1234、4321、2468) 序列的模式或 PIN。
• 中：阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度、字母长度或字母数字长度必须至少为四个字符。
• 高：阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度必须至少为 8 个字符。 字母或字母数字长度必须至少为六个字符。

在 Android 12+ 上，如果当前在符合性策略或设备配置文件中使用 “必需密码类型 ”和 “最小密码长度 ”设置，则建议改用新的 “密码复杂性 ”设置。

如果继续使用 “所需密码类型 ”和 “最小密码长度 ”设置，并且未配置 “密码复杂性 ”设置，则运行 Android 12+ 的新设备可能默认为 “高 密码复杂性”。

有关这些设置的详细信息以及配置了已弃用设置的现有设备会发生什么情况，请转到：

• 具有工作配置文件的 Android Enterprise 个人拥有的设备 - 配置文件设置列表
• 具有工作配置文件的 Android Enterprise 个人拥有的设备 - 合规性策略设置列表

应用于：

• 具有工作配置文件的 Android Enterprise 12.0 及更新的个人拥有的设备

iOS/iPadOS 和 macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在 Microsoft Intune 管理中心中，可以在设备>管理设备>配置>创建新>策略>iOS/iPadOS 或 macOS for 平台>配置文件类型的设置目录上看到这些设置。

新设置包括：

联网 > DNS 设置：

• DNS 协议
• 服务器地址
• 服务器名称
• 服务器 URL
• 补充匹配域
• 按需规则
• 操作
• 操作参数
• DNS 域匹配
• DNS 服务器地址匹配
• 接口类型匹配
• SSID 匹配
• URL 字符串探测
• 禁止禁用

文件保管库：

• 推迟
• 延迟不要在用户注销时询问
• 在用户登录时延迟强制最大绕过尝试次数
• 启用
• 显示恢复密钥
• 使用恢复密钥

文件保管库 > 文件保管库恢复密钥托管：

• 设备密钥
• 位置

限制:

• 允许 Air Play 传入请求

应用于：

• macOS

蹼 > Web 内容筛选器：

• 允许列表书签
• 已启用自动筛选
• 拒绝列表 URL
• 筛选器浏览器
• 筛选器数据提供程序捆绑标识符
• 筛选器数据提供程序指定要求
• 筛选等级
• 筛选器数据包提供程序捆绑标识符
• 筛选器数据包提供程序指定要求
• 筛选数据包
• 筛选器套接字
• 筛选器类型
• 组织
• Password
• 允许的 URL
• 插件捆绑 ID
• 服务器地址
• 用户定义的名称
• 用户名
• 供应商配置

应用于：

• iOS/iPadOS
• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设备固件配置接口 (DFCI) 支持松下设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置 (设备>管理设备>配置>创建新>策略>Windows 10以及更高版本的平台>模板>设备固件配置接口，用于配置文件类型) 。

从 2022 年秋季开始，将针对 DFCI 启用运行 Windows 10/11 的新松下设备。 因此，管理员可以创建 DFCI 配置文件来管理 BIOS，然后将配置文件部署到这些松下设备。

请联系设备供应商或设备制造商，确保获得符合条件的设备。

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

使用设置目录在 macOS 设备上提供登录和后台项目管理支持

在 macOS 设备上，可以创建一个策略，当用户登录到其 macOS 设备时自动打开项目。 例如，可以打开应用、文档和文件夹。

在 Intune 中，设置目录包括“设备>管理设备>配置>创建新>策略>macOS”中的新服务管理设置，用于>配置文件类型“登录>服务管理”的>“设置目录”。 这些设置可以防止用户在其设备上禁用托管登录名和后台项。

有关设置目录的详细信息，请转到：

• 使用设置目录配置设置
• 可以使用设置目录完成的常见任务

应用于：

• macOS 13 及更新版本

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Varicent by Varicent US OpCo Corporation
• myBLDNG by Bldng.ai
• Stratospherix Ltd Intune企业文件
• ArcGIS Indoors for Intune by ESRI
• 会议按决策按决策 AS
• Idenprotect Go by Apply Mobile Ltd

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

查看 Microsoft Intune 管理中心中的云电脑连接运行状况检查和错误

现在可以在Microsoft Intune管理中心查看连接运行状况检查和错误，以帮助了解用户是否遇到连接问题。 还有一个故障排除工具，可帮助解决连接问题。 若要查看检查，请选择“设备>>Windows 365”Azure 网络连接>“在”概述“列表中选择>一个连接。

租户管理

为Windows 11 (公共预览版) 传递组织消息

使用Microsoft Intune向其设备上的员工传递重要消息和行动号召。 组织消息是预配置的消息，旨在改善远程和混合工作方案中的员工通信。 它们可用于帮助员工适应新角色、了解有关其组织的详细信息，以及随时了解新的更新和培训。 可以在任务栏正上方、通知区域或Windows 11设备上的“入门”应用中传递消息。

在公共预览版期间，可以：

• 从要分配给Microsoft Entra用户组的各种预配置的常见消息中进行选择。
• 添加组织的徽标。
• 在将设备用户重定向到特定位置的消息中包含自定义目标 URL。
• 以深色和浅色主题以 15 种受支持的语言预览消息。
• 计划传递窗口和消息频率。
• 跟踪消息的状态以及它们收到的查看和单击次数。 视图和单击数由消息聚合。
• 取消计划或活动消息。
• 在名为“组织消息管理器”的Intune中配置新的内置角色，该角色允许分配的管理员查看和配置邮件。

所有配置都需要在Microsoft Intune管理中心内完成。 Microsoft图形 API不能用于组织消息。 有关详细信息，请参阅 组织消息概述。

2022 年 11 月 7 日当周

应用管理

终止对 Windows 信息保护的支持

不注册的 Windows 信息保护 (WIP) 策略已被弃用。 如果不注册，则无法再创建新的 WIP 策略。 在 2022 年 12 月之前，可以修改现有策略，直到弃用 无注册 方案完成。 有关详细信息，请转到计划更改：终止对 Windows 信息保护的支持。

设备配置

Windows 11多会话 VM 的用户配置支持现已正式发布

你现在可以：

• 使用 设置目录 配置用户范围策略，并分配给用户组，包括 ADMX 引入的策略
• 配置用户证书并将其分配给用户
• 配置 PowerShell 脚本以在用户上下文中安装并分配给用户

应用于：

• Windows 11
• 在 Azure 公共云和Azure 政府云中创建的虚拟机

2022 年 10 月 31 日当周

应用管理

Intune的主要 MTD 服务应用保护策略设置

Intune现在支持Microsoft Defender for Endpoint和一个非移动威胁防御 (MTD) 连接器，以“打开”每个平台的应用保护策略评估。 此功能支持客户可能需要在Microsoft Defender for Endpoint和非Microsoft MTD 服务之间迁移的方案。 而且，他们不希望通过应用保护策略中的风险分数暂停保护。 在标题为“主要 MTD 服务”的条件启动运行状况检查下引入了一个新设置，以指定应为最终用户强制实施哪个服务。 有关详细信息，请参阅 Android 应用保护策略设置 和 iOS 应用保护策略设置。

2022 年 10 月 24 日 (服务版本 2210)

应用管理

将筛选器与托管设备的应用配置策略配合使用

在为托管设备部署应用配置策略时，可以使用筛选器来优化分配范围。 必须先使用适用于 iOS 和 Android 的任何可用属性 创建筛选器 。 然后，在Microsoft Intune管理中心，可以通过选择“应用>”“应用配置策略”“添加>托管设备”并转到“分配”页来分配托管应用配置策略>。 选择组后，可以通过选择筛选器并决定在 “包括 ”或“ 排除” 模式下使用它来优化策略的适用性。 有关筛选器的详细信息，请参阅在管理中心Microsoft Intune分配应用、策略和配置文件时使用筛选器。

设备配置

组策略分析在管理员导入组策略对象时自动应用分配给管理员的范围标记

在组策略分析中，可以导入本地 GPO，以查看支持基于云的 MDM 提供程序的策略设置，包括Microsoft Intune。 还可以看到任何已弃用的设置或设置不可用。

现在，当这些管理员将 GPO 导入到组策略分析中时，将自动应用分配给管理员的范围标记。

例如，管理员为其角色分配了 夏洛特、 伦敦或 波士顿 范围标记：

• 具有 Charlotte 作用域标记的管理员导入 GPO。
• Charlotte 范围标记会自动应用于导入的 GPO。
• 具有 Charlotte 范围标记的所有管理员都可以看到导入的对象。
• 仅具有 London 或 波士顿范围标记 的管理员无法看到 夏洛特 管理员导入的对象。

要使管理员查看分析或将导入的 GPO 迁移到Intune策略，这些管理员必须具有与执行导入的管理员相同的范围标记之一。

有关此类功能的详细信息，请参阅：

• 在 Microsoft Intune 中使用组策略分析分析本地 GPO
• 针对分散 IT 使用基于角色的访问控制（RBAC）和范围标记

应用于：

• Windows 11
• Windows 10

Microsoft Intune的新网络终结点

新的网络终结点已添加到我们的文档中，以适应添加到 Intune 服务的新 Azure 缩放单元 (ASU) 。 建议使用最新的 IP 地址列表更新防火墙规则，以确保Microsoft Intune的所有网络终结点都是最新的。

对于完整列表，请转到Microsoft Intune的网络终结点。

使用Windows 11 SE操作系统 SKU 筛选应用和组策略分配

分配应用或策略时，可以使用不同的设备属性（如设备制造商、操作系统 SKU 等）筛选分配。

提供了两个新的Windows 11 SE操作系统 SKU。 可以在分配筛选器中使用这些 SKU 来包括或排除Windows 11 SE设备，使其无法应用面向组的策略和应用程序。

有关可使用的筛选器和设备属性的详细信息，请转到：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Microsoft Intune 中创建筛选器时的设备属性、运算符和规则编辑

应用于：

• Windows 11 SE

iOS/iPadOS 和 macOS 设置目录中提供的新设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。

设置目录中提供了新设置。 在 Microsoft Intune 管理中心中，可以在设备>管理设备>配置>创建新>策略>iOS/iPadOS 或 macOS for 平台>配置文件类型的设置目录上看到这些设置。

新设置包括：

联网 > 手机网络：

• 启用XLAT464

应用于：

• iOS/iPadOS

隐私 > 隐私首选项策略控制：

• 系统策略应用捆绑包

应用于：

• macOS

限制:

• 允许快速安全响应安装
• 允许快速删除安全响应

应用于：

• iOS/iPadOS
• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

Windows 设备上的设备固件配置接口 (DFCI) 配置文件的新设置

可以创建一个 DFCI 配置文件，使 Windows OS 能够将管理命令从 Intune 传递到 UEFI (统一可扩展固件接口) (设备>管理设备>配置>>创建新策略>Windows 10及更高版本用于平台>模板>设备固件配置接口)

可以使用此功能来控制 BIOS 设置。 可以在 DFCI 策略中配置一些新设置：

• 相机：

  • 前置摄像头
  • 红外相机
  • 后置摄像头

• 收音机：

  • WWAN
  • NFC

• 端口

  • SD 卡

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 中使用 Windows 设备上的设备固件配置接口 (DFCI) 配置文件
• DFCI 配置文件设置列表

应用于：

• 受支持的 UEFI 上的 Windows 11
• 支持 UEFI 上的 Windows 10 RS5 (1809) 及更高版本

设备注册

具有新式身份验证的 iOS/iPadOS 设置助手支持实时注册 (公共预览版)

Intune支持实时 (JIT) 注册 iOS/iPadOS 注册方案，这些方案使用设置助理与新式身份验证。 JIT 注册减少了在整个预配体验中向用户显示的身份验证提示数，从而为他们提供更无缝的载入体验。 它无需使用 公司门户 应用进行Microsoft Entra注册和合规性检查，并跨设备建立单一登录。 JIT 注册以公共预览版提供，适用于通过 Apple 自动设备注册并运行 iOS/iPadOS 13.0 或更高版本的设备。 有关详细信息，请参阅 自动设备注册的身份验证方法。

设备管理

连接 Intune (公共预览版中的 Chrome OS 设备)

在 Microsoft Intune 管理中心查看在 Chrome OS 上运行的公司或学校拥有的设备。 现在，在公共预览版中，可以在 Google 管理员 控制台与 Microsoft Intune 管理中心之间建立连接。 有关 Chrome OS 终结点的设备信息会同步到Intune，可在设备清单列表中查看。 管理中心还提供基本的远程操作，例如重启、擦除和丢失模式。 有关如何设置连接的详细信息，请参阅 配置 Chrome Enterprise 连接器。

使用 Intune 管理 macOS 软件更新

现在，可以使用Intune策略来管理使用自动设备注册 (ADE) 注册的设备的 macOS 软件更新。 请参阅在 Intune 中管理 macOS 软件更新策略。

Intune支持以下 macOS 更新类型：

• 关键更新
• 固件更新
• 配置文件更新
• (OS、内置应用) 的所有其他更新

除了计划设备更新的时间外，还可以管理行为，例如：

• 下载并安装：下载或安装更新，具体取决于当前状态。
• 仅下载：下载软件更新而不安装。
• 立即安装：下载软件更新并触发重启倒计时通知。
• 仅通知：下载软件更新并通过App Store通知用户。
• 稍后安装：下载软件更新并在以后安装。
• 未配置：未对软件更新执行任何操作。

有关管理 macOS 软件更新的 Apple 信息，请参阅 Apple 平台部署文档中的管理 Apple 设备的软件更新 - Apple 支持 。 Apple 在 Apple 安全更新 - Apple 支持中维护安全更新列表。

从 Microsoft Intune 管理中心内取消预配 Jamf Pro

现在可以从 Microsoft Intune 管理中心取消预配 Jamf Pro 以Intune集成。 如果不再有权访问 Jamf Pro 控制台，此功能可能很有用，也可以通过该控制台取消预配集成。

此功能与在 Jamf Pro 控制台中断开 Jamf Pro 的连接类似。 因此，删除集成后，组织的 Mac 设备在 90 天后将从Intune中删除。

适用于在 iOS/iPadOS 上运行的单个设备的新硬件详细信息

选择“设备”>“所有设备”>“选择列出的设备之一”并打开其 硬件 详细信息。 以下新详细信息在各个设备的“ 硬件 ”窗格中提供：

• 电池电量：显示介于 0 和 100 之间的任意位置的设备的电池电量，如果无法确定电池电量，则默认为 null。 此功能适用于运行 iOS/iPadOS 5.0 及更高版本的设备。
• 常驻用户：显示共享 iPad 设备上的当前用户数，如果无法确定用户数，则默认为 null。 此功能适用于运行 iOS/iPadOS 13.4 及更高版本的设备。

有关详细信息，请转到使用Microsoft Intune查看设备详细信息。

适用对象

• iOS/iPadOS

在 $null 筛选器中使用值

将应用和策略分配给组时，可以使用筛选器根据创建的规则分配策略 (租户管理>筛选器>创建) 。 这些规则使用不同的设备属性，例如类别或注册配置文件。

现在，可以将 值与 和 -NotEquals 运算符一$null起使用-Equals。

例如，在以下方案中使用 $null 值：

• 你希望面向未将类别分配给设备的所有设备。
• 你希望面向没有向设备分配注册配置文件属性的设备。

有关可以创建的筛选器和规则的详细信息，请转到：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Microsoft Intune 中创建筛选器时的设备属性、运算符和规则编辑

应用于：

• Android 设备管理员
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10/11

设备安全性

设备控制配置文件中可移动存储的可重用设置组 (预览)

在公共预览版中，可以将 可重用的设置组 与攻击面减少策略 中的设备控制配置文件 结合使用。

设备控制配置文件的可重用组包括一组设置，这些设置支持管理可移动存储的读取、写入和执行访问权限。 常见方案的示例包括：

• 阻止写入和执行对所有项的访问，但允许特定的已批准的 USB
• 审核对所有的写入和执行访问权限，但阻止特定的未经批准的 USB
• 仅允许特定用户组访问共享电脑上的特定可移动存储

应用于：

• Windows 10 或更高版本

Microsoft Defender防火墙规则的可重用设置组 (预览)

在公共预览版中，可以使用可重用的设置组，这些设置可用于Microsoft Defender防火墙规则的配置文件。 可重用组是一次定义的远程 IP 地址和 FQDN 的集合，然后可与一个或多个防火墙规则配置文件一起使用。 无需在每个可能需要它们的单个配置文件中重新配置同一组 IP 地址。

可重用设置组的功能包括：

• 添加一个或多个远程 IP 地址。

• 添加一个或多个可自动解析为远程 IP 地址的 FQDN，或者在关闭组的自动解析时为一个或多个简单关键字添加 FQDN。

• 将每个设置组与一个或多个防火墙规则配置文件结合使用，不同的配置文件可以支持组的不同访问配置。

  例如，可以创建两个防火墙规则配置文件，这些配置文件引用相同的可重用设置组，并将每个配置文件分配给不同的设备组。 第一个配置文件可以阻止对可重用设置组中所有远程 IP 地址的访问，而第二个配置文件可以配置为允许访问。

• 对正在使用的设置组的编辑将自动应用于使用该组的所有防火墙规则配置文件。

基于每个规则的攻击面减少规则排除

现在可以 为攻击面减少规则策略配置每个规则排除项。 每个规则排除是通过新的每规则设置 ASR“仅按规则排除”来启用的。

创建或编辑攻击面减少规则策略并将支持排除的设置从默认的 “未配置” 更改为任何其他可用选项时，新的每设置排除选项将变为可用。 仅按规则排除的 ASR 设置实例的任何配置仅应用于该设置。

可以使用设置“仅攻击面减少排除项”来继续配置适用于设备上所有攻击 面减少规则的全局排除项。

应用于：

• windows 10/11

注意

ASR 策略不支持“ 仅按规则排除 ASR ”的合并功能，如果多个策略为同一设备冲突配置 了“仅按规则排除 ASR ”，则可能会导致策略冲突。 若要避免冲突，请将 “仅按规则排除 ASR”的配置 合并到单个 ASR 策略中。 我们正在研究在未来更新中为 仅按规则排除的 ASR 添加策略合并。

授予应用在 Android Enterprise 设备上以静默方式使用证书的权限

现在可以在注册为 完全托管、专用和 Corporate-Owned 工作配置文件的 Android Enterprise 设备上配置证书的无提示使用。

此功能在证书配置文件配置工作流中的新 “应用 ”页上可用，具体方法是将 “证书访问权限 ”设置为 “以静默方式授予”， (要求用户批准其他应用) 。 通过此配置，你随后选择的应用会以无提示方式使用该证书。 所有其他应用将继续使用默认行为，即需要用户批准。

此功能仅支持 Android Enterprise 完全托管、专用和 Corporate-Owned 工作配置文件的以下证书配置文件：

• 派生的凭据
• 导入的 PKCS
• PKCS
• SCEP

Microsoft Intune应用的应用内通知

Android 开源项目 (AOSP) 设备用户现在可以在 Microsoft Intune 应用中接收合规性通知。 此功能仅在基于 AOSP 用户的设备上可用。 有关详细信息，请参阅 AOSP 符合性通知。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• MyITOps， Ltd 为 Intune的 MyITOps
• MURAL - Tactivos， Inc 的视觉协作

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2022 年 10 月 17 日当周

应用管理

Android 设备上托管应用的增强应用选取器

Android 设备用户可以在 Intune 公司门户 应用中选择、查看和删除其默认应用选择。 公司门户安全地存储设备用户对托管应用的默认选择。 用户可以转到“设置”“默认应用>”“查看默认值”>，查看和删除公司门户应用中的选择。 此功能是托管应用的 Android 自定义应用选取器增强功能，托管应用是 Android MAM SDK 的一部分。 有关如何查看默认应用的详细信息，请参阅 查看和编辑默认应用。

2022 年 10 月 10 日当周

设备管理

Microsoft Endpoint Manager 品牌更改

从 2022 年 10 月 12 日开始，将不再使用 Microsoft Endpoint Manager 的名称。 今后，我们将基于云的统一终结点管理称为Microsoft Intune，将本地管理称为Microsoft Configuration Manager。 随着高级管理的推出，Microsoft Intune是我们Microsoft不断壮大的终结点管理解决方案产品系列的名称。 有关详细信息，请参阅终结点管理技术社区博客上的 官方公告 。 正在对文档进行更改，以删除 Microsoft Endpoint Manager。

有关详细信息，请参阅Intune文档。

Windows 公司门户中可见的宽限期状态

Windows 公司门户现在显示宽限期状态，以考虑不符合合规性要求但仍在给定宽限期内的设备。 将显示用户需要合规的日期以及如何合规的说明。 如果用户未在给定日期前更新其设备，则其设备状态将更改为不符合。 有关设置宽限期的详细信息，请参阅 配置符合性策略，并针对不符合 操作和 从设备详细信息页检查访问权限。

Microsoft Intune 中提供的 Linux 设备管理

Microsoft Intune现在支持对运行 Ubuntu Desktop 22.04 或 20.04 LTS 的设备进行 Linux 设备管理。 Intune管理员无需执行任何操作即可在 Microsoft Intune 管理中心中启用 Linux 注册。 Linux 用户可以自行 注册受支持的 Linux 设备 ，并使用 Microsoft Edge 浏览器在线访问公司资源。

在管理中心，可以：

• 在 Microsoft Edge 中强制实施条件访问策略。
• 创建 Linux 设备符合性策略 ，其中包含有关以下内容的规则：
  • 允许的分发
  • 自定义符合性
  • 设备加密
  • 密码策略
• 使用符合 POSIX 的 shell 脚本进行发现，并应用 JSON 文件来定义要使用的自定义设置的自定义符合性设置。

2022 年 10 月 3 日当周

设备安全性

不符合性警告消息包含链接

在 远程帮助 中，已向“查看设备符合性信息”通知添加了一个链接，它允许帮助者详细了解设备在Microsoft Intune中不符合的原因。

有关详细信息，请转到：

• Microsoft Intune 远程帮助

• 监视设备符合性

适用范围：Windows 10/11

2022 年 9 月 26 日当周

监视和疑难解答

在Microsoft Intune管理中心打开“帮助和支持”，而不会丢失上下文

现在?，可以使用Microsoft Intune管理中心中的图标打开帮助和支持会话，而不会丢失管理中心中的当前焦点节点。 图标 ? 始终位于管理中心标题栏的右上角。 此更改增加了访问 帮助和支持的另一种方法。

选择 时 ?，管理中心将在新的独立并排窗格中打开帮助和支持视图。 通过打开此单独窗格，你可以自由导航支持体验，而不会影响原始位置，并专注于管理中心。

2022 年 9 月 19 日当周 (服务版本 2209)

应用管理

Microsoft Intune的新应用类型

作为管理员，你可以创建和分配两种新类型的Intune应用：

• iOS/iPadOS Web 剪辑
• Windows Web 链接

这些新应用类型的工作方式与现有的 Web 链接 应用程序类型类似，但它们仅适用于其特定平台，而 Web 链接应用程序则适用于所有平台。 使用这些新应用类型，可以分配给组，也可以使用分配筛选器来限制分配范围。 此功能位于 Microsoft Intune 管理中心>“应用>所有应用>添加” 中。

设备管理

Microsoft Intune即将终止对Windows 8.1的支持

Microsoft Intune于 2022 年 10 月 21 日终止对运行 Windows 8.1 的设备的支持。 在此日期之后，将不再提供有助于保护运行Windows 8.1设备的技术支持和自动更新。 此外，由于业务线应用的旁加载方案仅适用于Windows 8.1设备，因此Intune不再支持Windows 8.1旁加载。 旁加载正在安装，然后运行或测试Microsoft应用商店未加密的应用。 在 Windows 10/11 中，“旁加载”只是将设备配置策略设置为包含“受信任的应用安装”。

工作分配中可见的组成员计数

在管理中心分配策略时，现在可以看到组中的用户和设备数。 拥有这两个计数有助于确定正确的组，并在应用工作分配之前了解分配的影响。

设备配置

向 Android Enterprise 设备添加自定义支持信息时的新锁屏界面消息

在 Android Enterprise 设备上，可以创建设备限制配置文件，该配置文件在设备上显示自定义支持消息 (设备>管理设备>配置>创建新>策略>Android Enterprise>完全托管、专用和公司拥有的工作配置文件 平台 >设备限制 配置文件类型 >自定义支持信息) 。

有一个新设置可以配置：

• 锁屏界面消息：添加设备锁屏界面上显示的消息。

配置 锁屏界面消息时，还可以使用以下设备令牌来显示特定于设备的信息：

• {{AADDeviceId}}：Microsoft Entra设备 ID
• {{AccountId}}：Intune租户 ID 或帐户 ID
• {{DeviceId}}：Intune设备 ID
• {{DeviceName}}：Intune设备名称
• {{domain}}：域名
• {{EASID}}：Exchange 活动同步 ID
• {{IMEI}}：设备的 IMEI
• {{mail}}：用户的Email地址
• {{MEID}}：设备的 MEID
• {{partialUPN}}：符号前的 @ UPN 前缀
• {{SerialNumber}}：设备序列号
• {{SerialNumberLast4Digits}}：设备序列号的最后四位数字
• {{UserId}}：Intune用户 ID
• {{UserName}}：用户名
• {{userPrincipalName}}：用户的 UPN

注意

变量不会在 UI 中验证，并且区分大小写。 因此，你可能会看到保存的配置文件输入不正确。 例如，如果输入 {{DeviceID}}，而不是 {{deviceid}} 或 {{DEVICEID}}，则显示文本字符串而不是设备的唯一 ID。 请务必输入正确的信息。 支持所有小写或所有大写变量，但不支持混合变量。

有关此设置的详细信息，请参阅使用 Intune 允许或限制功能的 Android Enterprise 设备设置。

应用于：

• Android 7.0 及更高版本
• Android Enterprise 公司拥有的完全托管
• Android Enterprise 公司拥有的专用设备
• Android Enterprise 公司拥有的工作配置文件

在 Windows 设备的设置目录中筛选用户范围或设备范围

创建设置目录策略时，可以使用“添加设置>”添加筛选器以基于 Windows OS 版本 (设备>管理设备>配置>创建新>策略>筛选设置Windows 10以及更高版本的配置文件>类型) 的平台设置目录。

添加筛选器时，还可以按用户范围或设备范围筛选设置。

有关设置目录的详细信息，请转到 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

应用于：

• Windows 10
• Windows 11

Android 开源项目 (AOSP) 平台已正式发布

(AOSP) 平台的 Android 开源项目上运行的企业自有设备的Microsoft Intune管理现已正式发布， (正式版) 。 此功能包括作为公共预览版的一部分提供的完整功能套件。

目前，Microsoft Intune仅支持适用于 RealWear 设备的新 Android (AOSP) 管理选项。

• 部署指南：在 Microsoft Intune 中管理 Android 设备
• 部署指南：在 Microsoft Intune 中注册 Android 设备

应用于：

• Android 开源项目 （AOSP）

设备固件配置接口 (DFCI) 现在支持 Acer 设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置 (设备>管理设备>配置>创建新>策略>Windows 10以及更高版本的平台>模板>设备固件配置接口，用于配置文件类型) 。

运行 Windows 10/11 的新 Acer 设备将在 2022 年晚些时候为 DFCI 启用。 因此，管理员可以创建 DFCI 配置文件来管理 BIOS，然后将配置文件部署到这些 Acer 设备。

请联系设备供应商或设备制造商，确保获得符合条件的设备。

有关 Intune 中的 DFCI 配置文件的详细信息，请转到使用设备固件配置接口 (Microsoft Intune 中的 Windows 设备上的 DFCI) 配置文件。

应用于：

• Windows 10
• Windows 11

iOS/iPadOS 和 macOS 设置目录中提供的新设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。

设置目录中提供了新的设置。 在Microsoft Intune管理中心，可以在设备>管理设备>配置>创建>iOS/iPadOS 或 macOS for platform >设置目录（用于配置文件类型）中查看这些设置。

新设置包括：

帐户 > LDAP：

• LDAP 帐户说明
• LDAP 帐户主机名
• LDAP 帐户密码
• LDAP 帐户使用 SSL
• LDAP 帐户用户名
• LDAP 搜索设置

应用于：

• iOS/iPadOS
• macOS

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

隐私 > 隐私首选项策略控制：

• 辅助功能
• 通讯簿
• Apple 事件
• 日历
• 照相机
• 文件提供程序状态
• 侦听事件
• 媒体库
• 麦克风
• Photos
• Post 事件
• Reminders
• 屏幕捕获
• 语音识别
• 系统策略所有文件
• 系统策略桌面文件夹
• 系统策略文档文件夹
• 系统策略下载文件夹
• 系统策略网络卷
• 系统策略可移动卷
• 系统策略 Sys 管理员文件

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设备注册

(公共预览版) 设置注册通知

注册通知通过电子邮件或推送通知通知设备用户在Microsoft Intune注册新设备时。 出于安全目的，可以使用注册通知。 他们可以通知用户并帮助他们报告注册错误的设备，或者在招聘或入职过程中与员工通信。 注册通知现可在公共预览版中试用，适用于 Windows、Apple 和 Android 设备。 只有用户驱动的注册方法才支持此功能。

设备安全性

将符合性策略分配给“所有设备”组

“ 所有设备 ”选项现在可用于 合规性策略 分配。 使用此选项，可以将符合性策略分配给组织中与策略平台匹配的所有已注册设备。 无需创建包含所有设备的Microsoft Entra组。

当包含 “所有设备 ”组时，可以排除单个设备组以进一步优化分配范围。

Trend Micro - 新的移动威胁防御合作伙伴

现在，可以使用 Trend Micro Mobile Security 即服务作为集成的移动威胁防御 (MTD) 合作伙伴与 Intune。 通过在 Intune 中配置 Trend MTD 连接器，可以使用基于风险评估的条件访问来控制移动设备对公司资源的访问。

有关更多信息，请参阅：

• 移动威胁防御与 Intune 集成

宽限期状态在 Intune 公司门户 网站上可见

Intune 公司门户网站现在显示宽限期状态，以考虑不符合合规性要求但仍在其给定宽限期内的设备。 将显示用户需要合规的日期以及如何合规的说明。 如果他们未在给定日期前更新其设备，则其状态将更改为不符合。 有关设置宽限期的详细信息，请参阅 配置符合性策略以及针对不符合操作的操作。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• RingCentral for Intune by RingCentral， Inc.
• MangoApps， Work from Anywhere by MangoSpring， Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2022 年 9 月 12 日当周

设备管理

Intune现在需要 iOS/iPadOS 14 及更高版本

随着苹果发布的 iOS/iPadOS 16，Microsoft Intune和Intune 公司门户现在将需要 iOS/iPadOS 14 及更高版本。 有关详细信息，请参阅 Intune 中支持的操作系统和浏览器。

Intune现在需要 macOS 11.6 及更高版本

随着苹果发布的 macOS 13 Ventura、Microsoft Intune、公司门户应用和Intune MDM 代理现在将需要 macOS 11.6 (Big Sur) 及更高版本。 有关详细信息，请参阅 Intune 中支持的操作系统和浏览器。

2022 年 9 月 5 日当周

设备管理

远程帮助版本：4.0.1.13 版本

远程帮助 4.0.1.13 引入了修补程序，以解决阻止用户同时打开多个会话的问题。 修复还解决了应用在没有焦点的情况下启动的问题，并阻止键盘导航和屏幕阅读器在启动时工作。

有关详细信息，请转到将远程帮助与Intune和Microsoft Intune配合使用。

2022 年 8 月 29 日当周

应用管理

更新了适用于 Android 的 Microsoft Intune App SDK

更新了适用于 Android 的 Intune App SDK 的开发人员指南。 更新后的指南提供了以下阶段：

• 规划集成
• MSAL 先决条件
• MAM 入门
• MAM 集成基础知识
• 多标识
• 应用配置
• 应用参与功能

有关详细信息，请参阅 Intune Android 应用 SDK。

2022 年 8 月 22 日当周

设备管理

对租户附加设备使用Intune基于角色的访问控制 (RBAC)

从 Microsoft Intune 管理中心与租户附加设备交互时，现在可以使用Intune基于角色的访问控制 (RBAC) 。 例如，使用 Intune 作为基于角色的访问控制颁发机构时，具有Intune技术支持操作员角色的用户不需要从Configuration Manager分配的安全角色或其他权限。 有关详细信息，请参阅Intune租户附加客户端的基于角色的访问控制。

2022 年 8 月 15 日 (服务版本 2208)

应用管理

Android 强生物识别更改检测

正在修改 Intune 中的 Android 指纹而不是 PIN 访问设置，该设置允许最终用户使用指纹身份验证而不是 PIN。 此更改允许要求最终用户设置强生物识别。 而且，如果检测到强生物识别的更改，可以要求最终用户 (应用) PIN 确认其应用保护策略。 可以通过选择“应用应用保护策略”“创建策略Android”>>，在Microsoft Intune管理中心找到Android 应用保护策略>。 有关详细信息，请参阅 Microsoft Intune 中的 Android 应用保护策略设置。

Microsoft Intune 应用中适用于 Android (AOSP) 的非合规性详细信息

Android (AOSP) 用户可以在 Microsoft Intune 应用中查看不符合的原因。 这些详细信息描述了设备被标记为不符合的原因。 对于注册为用户关联的 Android (AOSP) 设备的设备，可在设备详细信息页上获取此信息。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Nexis Newsdesk Mobile by LexisNexisNexis
• 我的门户由 MangoApps (Android)
• Re：Work Enterprise by 9Folders， Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备注册

从 Microsoft Intune 管理中心配置零接触注册

现在，可以从 Microsoft Intune 管理中心配置 Android 零接触注册。 此功能使你可以将零接触帐户链接到Intune、添加支持信息、配置启用零接触的设备以及自定义预配附加项。 有关如何从管理中心启用零接触的详细信息，请参阅 使用 Google Zero Touch 注册。

设备管理

Windows 10/11 设备符合性的自定义设置现已正式发布

对以下自定义功能的支持已正式发布：

• 使用 PowerShell 脚本为 Windows 设备创建自定义符合性策略设置。
• 创建自定义公司门户应用中显示的符合性规则和修正消息。

应用于：

• windows 10/11

查看 macOS shell 脚本和自定义属性的内容

将脚本上传到Intune后，可以查看 macOS shell 脚本和自定义属性的内容。 可以通过选择“设备>按平台>macOS”在管理中心Microsoft Intune查看 Shell 脚本和自定义属性。 有关详细信息，请参阅在 Intune 中使用 macOS 设备上的 shell 脚本。

适用于 Android (AOSP) 企业设备的重置密码远程操作

可以从 Microsoft Intune 管理中心为 Android 开源项目 (AOSP) 企业设备使用“重置密码”远程操作。

有关远程操作的信息，请参阅：

• 在 Intune 中重置或删除设备密码
• 使用 Intune 远程重启设备
• 使用Intune远程锁定设备

应用于：

• Android 开源项目 （AOSP）

设备配置

对 Android (AOSP) 设备的证书配置文件支持

现在，可以将简单证书注册协议 (SCEP) 证书配置文件 与运行 Android 开源项目 (AOSP) 平台的公司所有和无用户设备配合使用。

导入、创建和管理自定义 ADMX 和 ADML 管理模板

可以创建使用内置 ADMX 模板的设备配置策略。 在“Microsoft Intune管理中心”中，选择“设备>管理设备>”“配置>创建新>策略>”Windows 10“及更高版本”“平台>模板>”“管理模板”。

还可以将自定义和第三方/合作伙伴 ADMX 和 ADML 模板导入Intune管理中心。 导入后，可以创建设备配置策略、将策略分配给设备以及管理策略中的设置。

有关信息，请转到：

• 将自定义 ADMX 和 ADML 管理模板导入到 Intune
• 概述：使用 Windows 10/11 模板在 Microsoft Intune 中配置组策略设置。

应用于：

• Windows 11
• Windows 10

将 HTTP 代理添加到 Android Enterprise 上的 Wi-Fi 设备配置文件

在 Android Enterprise 设备上，可以使用基本和企业设置创建 Wi-Fi 设备配置文件。 在“Microsoft Intune管理中心”中，选择“设备>管理设备>”“配置>创建新>策略>”“Android Enterprise>完全托管”、“专用”和“Corporate-Owned 工作配置文件”（适用于平台 >Wi-Fi）。

创建配置文件时，可以使用 PAC 文件配置 HTTP 代理，也可以手动配置设置。 可以为组织中的每个 Wi-Fi 网络配置 HTTP 代理。

配置文件准备就绪后，可以将此配置文件部署到完全托管、专用和 Corporate-Owned 工作配置文件设备。

有关可配置的 Wi-Fi 设置的详细信息，请转到在 Microsoft Intune 中添加 Android Enterprise 专用和完全托管设备的 Wi-Fi 设置。

应用于：

• Android Enterprise 公司拥有的完全托管式专用工作配置文件

iOS/iPadOS 设置目录支持声明性设备管理 (DDM)

在使用 用户注册注册的 iOS/iPadOS 15+ 设备上，设置目录在配置设置时自动使用 Apple 的声明性设备管理 (DDM) 。

• 使用 DDM 不需要执行任何操作。 该功能内置于设置目录中。
• 对设置目录中的现有策略没有任何影响。
• 未启用 DDM 的 iOS/iPadOS 设备继续使用 Apple 的标准 MDM 协议。

有关详细信息，请转到：

• 满足声明性设备管理 (打开 Apple 网站)
• Microsoft简化了 Apple 更新Intune注册
• 使用设置目录以在 Windows、iOS/iPadOS 和 macOS 设备上配置设置

应用于：

• 使用 Apple 用户注册注册的 iOS/iPadOS 15 或更高版本设备

设置目录中提供的新 macOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录中提供了新设置。 在“Microsoft Intune管理中心”中，选择“设备>管理设备>”“配置>为平台>创建新>策略>macOS”配置文件类型的“设置目录”。

新设置包括：

Microsoft 自动更新：

• 当前频道
• 最终倒计时计时器的分钟数

限制:

• 允许通用控件

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

认证 >可扩展单一登录：

• 扩展数据
• 扩展标识符
• Hosts
• Realm
• 屏幕锁定行为
• 团队标识符
• 类型
• URL

认证 >Extensible 单一登录 > Extensible 单一登录 Kerberos：

• 扩展数据
• 允许自动登录
• 允许密码更改
• 凭据捆绑 ID ACL
• 凭据使用模式
• 自定义用户名标签
• 延迟用户设置
• 域领域映射
• 帮助文本
• 在捆绑 ID ACL 中包含 Kerberos 应用
• 在捆绑包 ID ACL 中包含托管应用
• 是默认领域
• 监视凭据缓存
• 仅执行 Kerberos
• 首选 KDC
• 主体名称
• 密码更改 URL
• 密码通知天数
• 密码 Req 复杂性
• 密码请求历史记录
• 密码请求长度
• Password Req Min Age
• 密码请求文本
• 需要 TLS for LDAP
• 要求用户状态
• 网站代码
• 同步本地密码
• 使用站点自动发现
• 扩展标识符
• Hosts
• Realm
• 团队标识符
• 类型

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

应用于：

• macOS

设置目录中的新 iOS/iPadOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录中提供了新的 iOS/iPadOS 设置。 在“Microsoft Intune管理中心”中，选择“设备>管理设备>”“配置>创建新>策略>iOS/iPadOS for platform>”配置文件类型的“设置目录”。 以前，这些设置仅在模板中可用：

认证 >可扩展单一登录：

• 扩展数据
• 扩展标识符
• Hosts
• Realm
• 屏幕锁定行为
• 团队标识符
• 类型
• URL

认证 >Extensible 单一登录 > Extensible 单一登录 Kerberos：

• 扩展数据
• 允许自动登录
• 凭据捆绑 ID ACL
• 域领域映射
• 帮助文本
• 在捆绑包 ID ACL 中包含托管应用
• 是默认领域
• 首选 KDC
• 主体名称
• 要求用户状态
• 网站代码
• 使用站点自动发现
• 扩展标识符
• Hosts
• Realm
• 团队标识符
• 类型

系统配置 > 锁屏界面消息：

• 资产标记信息
• 锁屏界面脚注

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

应用于：

• iOS/iPadOS

监视和疑难解答

新的不合规设备和设置报告

在 “报告>设备符合性>报告”中，有一个新的 “不符合设备和设置” 组织报告。 此报告：

• Lists每个不符合要求的设备。
• 对于每个不符合要求的设备，它会显示设备不符合的符合性策略设置。

有关此报表的详细信息，请转到 不合规设备和设置报告， (组织) 。

2022 年 8 月 1 日当周

设备安全性

禁止在 Microsoft Tunnel 网关服务器上使用 UDP 连接

现在，你可以禁止 Microsoft Tunnel 服务器使用 UDP。 禁止使用 UDP 后，VPN 服务器仅支持来自隧道客户端的 TCP 连接。 如果要仅支持使用 TCP 连接，设备必须将 作为 Microsoft 隧道客户端应用的 Microsoft Defender for Endpoint 的正式发布版本用作隧道客户端应用。

要禁用 UDP，请 创建或编辑 Microsoft 隧道网关的 服务器配置，并选中名为“禁用 UDP 连接”的新选项的复选框。

应用管理

适用于 Windows 批量应用安装的公司门户

Windows 公司门户现在允许用户选择多个应用并批量安装。 在 Windows 公司门户的“应用”选项卡中，选择页面右上角的多选视图按钮。 然后，选中需要安装的每个应用旁边的复选框。 接下来，选择“安装所选”按钮以开始安装。 所有所选应用同时安装，无需用户右键单击每个应用或导航到每个应用的页面。 有关详细信息，请参阅在设备上安装和共享应用和如何配置Intune 公司门户应用、公司门户网站和Intune应用。

2022 年 7 月 25 日当周（服务版本 2207）

设备管理

从 Microsoft Intune 应用启动 AOSP 设备的符合性检查

现在可以从 Microsoft Intune 应用为 AOSP 设备启动符合性检查。 转到“设备详细信息”。 此功能在通过 Microsoft Intune 应用注册为用户关联 (Android) AOSP 设备的设备上可用。

监视在 Mac 上的启动引导托管状态

在 Microsoft Intune 管理中心中监视已注册 Mac 的启动令牌托管状态。 Intune 中名为 Bootstrap 令牌托管 的新硬件属性报告是否已在 Intune 中托管启动令牌。 有关 macOS 的启动令牌支持的详细信息，请参阅 Bootstrap 令牌。

为 Android Enterprise 设备启用通用条件模式

对于 Android Enterprise 设备，可以使用新的设置 “通用条件”模式 来启用一组提升的安全标准，这些标准通常仅由高度敏感的组织（例如政府机构）使用。

应用于：

• Android 5.0 及更高版本
• Android Enterprise 公司拥有的完全托管
• Android Enterprise 公司拥有的专用设备
• Android Enterprise 公司拥有的工作配置文件

为 Android Enterprise - 完全托管、专用和公司拥有的工作配置文件 配置 设备限制 模板时，系统安全 类别中会找到新设置 “通用条件”模式。

接收 通用条件模式 设置为“要求”策略的设备，提升包含但不限于以下内容的安全组件：

• 蓝牙长期密钥的 AES-GCM 加密
• Wi-Fi 配置存储
• 阻止启动加载程序下载模式，软件更新的手动方法
• 强制对密钥删除进行附加密钥归零
• 阻止未经身份验证的蓝牙进行连接
• 要求 FOTA 更新具有 2048 位 RSA-PSS 签名

详细了解通用条件：

• commoncriteriaportal.org 中的 信息技术安全评估通用标准
• Android 管理 API 文档中的CommonCriteriaMode
• Knox 深入探讨：samsungknox.com 的常见条件模式

适用于在 iOS/iPadOS 和 macOS 上运行的各个设备的新硬件详细信息

在“Microsoft Intune管理中心”中，选择“设备>”“所有设备>”，选择列出的设备之一并打开“硬件详细信息”。 以下新详细信息可在单个设备的“硬件”窗格中找到：

• 产品名称：显示设备的产品名称，例如 iPad8,12。 适用于 iOS/iPadOS 和 macOS 设备。

有关详细信息，请参阅 使用 Microsoft Intune 查看设备详细信息。

应用于：

• iOS/iPadOS、macOS

远程帮助版本：4.0.1.12 版本

远程帮助 4.0.1.12 引入了各种修补程序，以解决未进行身份验证时出现的“稍后重试”消息。 修补程序还包括改进的自动更新功能。

有关详细信息，请参阅将 远程帮助 与 Intune 配合使用。

设备注册

Intune支持在 iOS/iPadOS 和 macOS 设置助理期间使用新式身份验证从另一台设备登录

通过自动设备注册 (ADE) 的用户现在可以通过从另一台设备登录来进行身份验证。 此选项适用于使用新式身份验证通过设置助理注册的 iOS/iPadOS 和 macOS 设备。 提示设备用户从另一台设备登录的屏幕嵌入到安装助理中，并在注册期间向他们显示。 有关用户登录过程的详细信息，请参阅[获取Intune 公司门户应用 (../user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device)。

检测和管理 Windows Autopilot 设备上的硬件更改

Microsoft Intune 现在将在检测到已注册 Autopilot 的设备上的硬件更改时通知你。 可以在管理中心查看和管理所有受影响的设备。 此外，你可以从 Windows Autopilot 中删除受影响的设备，然后再次注册它，以便考虑硬件更改。

设备配置

设置目录中的新 macOS Microsoft AutoUpdate (MAU) 设置

设置目录支持 Microsoft AutoUpdate (MAU) (设备管理设备的>>设置配置>>创建新策略>macOS 平台>配置文件类型) 设置目录。

现提供以下设置：

Microsoft 自动更新：

• 自动确认数据收集策略
• 强制更新前的天数
• 延迟更新
• 禁用 Office 预览体验成员资格
• 启用自动更新
• 启用更新检查
• 启用扩展日志记录
• 启动时注册应用
• 更新缓存服务器
• 更新频道
• 更新检查频率（分钟）
• 更新程序优化技术

这些设置可用于配置以下应用程序的首选项：

• 公司门户
• Microsoft 自动更新
• Microsoft Defender
• Microsoft Defender ATP
• Microsoft Edge
• Microsoft Edge Beta
• Microsoft Edge Canary
• Microsoft Edge Dev
• Microsoft Excel
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft 远程桌面
• Microsoft Teams
• Microsoft Word
• OneDrive
• Skype for Business

有关设置目录的详细信息，请转到：

• 可以使用 Intune 中的设置目录完成的任务
• 使用 Microsoft Intune 中的设置目录创建策略

有关可以配置的 Microsoft AutoUpdate 设置的详细信息，请转到：

• 使用首选项管理 Office for Mac 的隐私控制 - 部署 Office。
• 设置 Microsoft AutoUpdate 更新的截止时间

应用于：

• macOS

设置目录中的新 iOS/iPadOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录中提供了新的 iOS/iPadOS 设置， (设备>管理设备>配置>创建新>策略>iOS/iPadOS for 平台 >配置文件类型的设置目录) 。

新设置包括：

联网 > 手机网络：

• 允许的协议掩码
• 国内漫游中允许的协议掩码
• 漫游中允许的协议掩码
• 身份验证类型
• 名称
• Password
• 代理端口
• 代理服务器
• 用户名

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

用户体验 > 通知：

• 分组类型
• 预览类型
• 在 Car Play 中显示

印刷 > Air Print：

• 强制 TLS
• 端口

应用管理 > 应用锁定：

• 禁用自动锁定
• 禁用设备轮换
• 禁用响铃开关
• 禁用睡眠唤醒按钮
• 禁用触控
• 禁用音量按钮
• 启用辅助触控
• 启用反转颜色
• 启用单声道音频
• 启用朗读选择
• 启用语音控制
• 启用旁白
• 启用缩放
• 辅助触控
• 反转色
• 语音控制
• 旁白
• 缩放

联网 > 域：

• Safari 密码自动填充域

联网 > 网络使用规则：

• 应用程序规则
• 允许蜂窝数据
• 允许漫游蜂窝数据
• 应用标识符匹配项

限制:

• 允许帐户修改
• 允许活动延续
• 允许添加 Game Center 好友
• 允许隔空投送
• 允许无线打印
• 允许无线打印凭据存储
• 允许无线打印 iBeacon 发现
• 允许应用蜂窝数据修改
• 允许应用剪辑
• 允许应用安装
• 允许应用删除
• 允许 Apple 个性化广告
• 允许助理
• 允许助理用户生成的内容
• 允许助理在锁定时使用
• 允许自动更正
• 允许自动解锁
• 允许自动下载应用
• 允许修改蓝牙
• 允许书店
• 允许书店情色内容
• 允许照相机
• 允许修改蜂窝计划
• 允许聊天
• 允许云备份
• 允许云文档同步
• 允许云密钥链同步
• 允许云照片库
• 允许云专用中继
• 允许键盘连续路径
• 允许查找定义
• 允许修改设备名称
• 允许诊断提交
• 允许修改诊断提交
• 允许听写
• 允许启用限制
• 允许信任企业应用
• 允许企业簿备份
• 允许企业簿元数据同步
• 允许擦除内容和设置
• 允许 ESIM 修改
• 允许显式内容
• 允许文件网络驱动器访问
• 允许文件 USB 驱动器访问
• 允许查找我的设备
• 允许查找我的好友
• 允许查找我的好友修改
• 允许指纹解锁
• 允许指纹修改
• 允许 Game Center
• 允许漫游时提取全局后台
• 允许主机配对
• 允许在应用内购买
• 允许 iTunes
• 允许键盘快捷方式
• 允许列出的应用捆绑 ID
• 允许锁屏界面控制中心
• 允许锁屏界面通知视图
• 允许锁屏界面视图
• 允许邮件隐私保护
• 允许托管应用云同步
• 允许托管的写入非托管联系人
• 允许多人游戏
• 允许音乐服务
• 允许新闻
• 允许 NFC
• 允许修改通知
• 允许从托管到非托管打开
• 允许从非托管到托管打开
• 允许 OTAPKI 更新
• 允许配对监视
• 允许锁定时使用密码本
• 允许密码修改
• 允许密码自动填充
• 允许密码邻近请求
• 允许密码共享
• 允许个人热点修改
• 允许照片流
• 允许播客
• 允许键盘预测
• 允许对新设备进行邻近设置
• 允许无线电服务
• 允许远程屏幕观察
• 允许 Safari
• 允许屏幕截图
• 允许共享设备临时会话
• 允许共享流
• 允许拼写检查
• 允许聚焦 Internet 结果
• 允许删除系统应用
• 允许 UI 应用安装
• 允许 UI 配置文件安装
• 允许非托管读取托管联系人
• 允许未配对的外部启动恢复
• 允许不受信任的 TLS 提示
• 允许 USB 受限模式
• 允许视频会议
• 允许语音拨号
• 允许创建 VPN
• 允许壁纸修改
• 自治单应用模式允许的应用 ID
• 阻止的应用捆绑 ID
• 强制执行的软件更新延迟
• 强制空投非托管
• 强制空投传出请求配对密码
• 强制无线打印受信任的 TLS 要求
• 强制助手猥亵内容筛选器
• 强制在自动填充前进行身份验证
• 强制执行自动日期和时间
• 强制课堂自动加入班级
• 强制课堂请求权限离开班级
• 强制课堂取消提示的应用和设备锁定
• 强制延迟的软件更新
• 强制加密的备份
• 强制 iTunes 应用商店密码输入
• 强制限制广告跟踪
• 强制仅限设备上的听写
• 强制仅限设备上的转换
• 强制手表手腕检测
• 强制 WiFi 开机
• 仅强制 WiFi 连接到允许的网络
• 需要托管粘贴板
• Safari 接受 Cookie
• Safari 允许自动填充
• Safari 允许 JavaScript
• Safari 允许弹出窗口
• Safari 强制欺诈警告

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

应用于：

• iOS/iPadOS

设置目录中提供的新 macOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录中提供了新设置 (设备>管理设备>配置>创建新>策略>macOS for platform >配置文件类型的设置目录) 。

新设置包括：

系统配置 > 系统扩展：

• 可移动系统扩展

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

系统配置 > 系统扩展：

• 允许用户重写
• 允许的系统扩展类型
• 允许的系统扩展
• 允许的团队标识符

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

应用于：

• macOS

创建筛选器时预览设备中的新搜索功能

在 Microsoft Intune 管理中心，可以创建筛选器，然后在分配应用和策略时使用这些筛选器， (设备>组织设备>筛选器>创建) 。

创建筛选器时，可以选择 预览设备 以查看符合筛选条件的已注册设备列表。 在 预览版设备中，还可以使用设备名称、OS 版本、设备型号、设备制造商、主要用户的用户主体名称和设备 ID 搜索列表。

有关筛选器的详细信息，请转到在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

2022 年 7 月 18 日当周

设备管理

帮助调试 WMI 问题的新事件查看器

Intune收集诊断的远程操作已扩展，以收集有关 Windows Management Instrumentation (WMI) 应用问题的详细信息。

新的事件查看者包括：

• Microsoft-Windows-WMI-Activity/Operational
• Microsoft-Windows-WinRM/Operational

有关 Windows 设备诊断的详细信息，请参阅 从 Windows 设备收集诊断。

2022 年 7 月 4 日当周

设备管理

每个设备模型的终结点分析分数

终结点分析现在 按设备模型显示分数。 这些分数可帮助管理员在环境中跨设备模型的情况下确定用户体验。 所有终结点分析报表中均提供每个模型和每个设备的分数，包括 随处工作 报表。

监视和疑难解答

使用收集诊断来收集有关 Windows 加速更新的详细信息

Intune的远程操作收集诊断现在收集有关部署到设备的 Windows 加速更新的更多详细信息。 在排查加速更新问题时，可以使用此信息。

所收集的新详细信息包括：

• 文件：C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
• 注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate