Microsoft Intune 新增功能

了解 Microsoft Intune 每周新增功能。

还可以阅读：

• 重要声明
• 新增功能存档中的过去版本
• 有关如何发布 Intune 服务更新的信息

注意

每个 每月更新 可能需要长达三天才能推出，其顺序如下：

• 第 1 天: 亚太 (APAC)
• 第 2 天: 欧洲、中东和非洲 (EMEA)
• 第 3 天: 北美
• 第 4 天起: Intune for Government

某些功能将在几周内推出，并且可能不会在第一周内向所有客户提供。

有关即将推出的 Intune 功能版本的列表，请参阅正在开发的 Microsoft Intune。 有关 Autopilot 的新信息，请参阅 Windows Autopilot 新增功能。

可以使用 RSS 以在更新此页面时收到通知。 有关详细信息，请参 如何使用文档。

2023 年 11 月 27 日当周

应用管理

在适用于 Android 设备的 Microsoft 365 (Office) 中配置脱机缓存

在应用保护策略中将“保存到本地存储”设置设置为“已阻止”时，可以使用应用配置策略中的配置密钥来启用或禁用脱机缓存。 此设置仅适用于 Android 上的 Microsoft 365 (Office) 应用。 有关详细信息，请参阅 Microsoft 365 (Office) 中的数据保护设置 。

设备上的 Win32 应用宽限期设置

在已部署具有宽限期设置的 Win32 应用的设备上，具有非管理权限的低权限用户现在可以与宽限期 UX 交互。 设备上的管理员将继续能够与设备上的宽限期 UX 交互。 有关宽限期行为的详细信息，请参阅 设置 Win32 应用可用性和通知。

托管主屏幕应用配置添加

Microsoft 托管主屏幕 (MHS) 现已更新为公共预览版，以改进核心工作流和用户体验。 除了一些用户界面更改外，还有一个新的顶部栏导航，管理员可以在其中配置要显示的设备标识属性。 此外，用户可以在顶部栏上请求权限时访问设置、登录/注销和查看通知。

可以添加其他设置来配置适用于 Android Enterprise 的 托管主屏幕 应用。 Intune 现在支持 Android Enterprise 应用配置策略中的以下设置：

• 启用更新的用户体验
• 顶部栏主元素
• 顶部栏辅助元素
• 顶部栏用户名样式

有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

适用于 .NET MAUI 的 Intune APP SDK

使用适用于 .NET MAUI 的 Intune APP SDK，可以开发包含 .NET 多平台应用 UI 的适用于 Intune 的 Android 或 iOS 应用。 使用此框架开发的应用将允许强制 实施 Intune 移动应用程序管理。 有关 Android 上的 .NET MAUI 支持，请参阅 适用于 .NET MAUI 的 Intune App SDK - Android。 有关 iOS 上的 .NET MAUI 支持，请参阅 适用于 .NET MAUI 的 Intune App SDK - iOS

2023 年 11 月 13 日 (服务版本 2311)

应用管理

在适用于 Android、Android AOSP 的应用中添加了新的宽限期状态

适用于 Android 的 Intune 公司门户 应用和适用于 Android AOSP 的 Microsoft Intune 应用现在对不符合合规性要求但仍在给定宽限期内的设备显示宽限期状态。 用户可以看到设备必须符合的日期，以及有关如何变得合规的说明。 如果用户未在给定日期前更新其设备，则设备将标记为不符合。 有关详细信息，请参阅以下文档：

• 配置符合性策略，其中包含针对非合规性的操作
• 在适用于 AOSP 的 Intune 应用中检查合规性
• 在适用于 Android 的 公司门户 中检查合规性

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>配置文件”“>创建配置文件>iOS/iPadOS 或 macOS>设置目录”，了解配置文件类型。

托管设置：

• 数据漫游
• 个人热点
• 语音漫游 (已弃用) ：此设置在 iOS 16.0 中已弃用。 数据漫游是替换设置。

应用于：

• iOS/iPadOS

托管设置：

• 诊断提交

应用于：

• 共享 iPad

> Microsoft Defender防病毒引擎：

• 启用被动模式 (弃用) ：此设置已弃用。 强制级别是替换设置。
• 启用实时保护 (已弃用) ：此设置已弃用。 强制级别是替换设置。
• 强制级别

有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

Windows 设置目录中现在提供了用于管理适用于 Linux 的 Windows 子系统的设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

我们已将设置添加到 Windows 设置目录，适用于 Linux 的 Windows 子系统 ( WSL) 。 这些设置启用 Intune 与 WSL 的集成，因此管理员可以自行管理 WSL 部署和 Linux 实例中的控件。

若要查找这些设置，请在Microsoft Intune管理中心转到“设备>配置文件”“>创建新>策略>Windows 10及更高版本，了解配置文件类型的平台>设置目录。

适用于 Linux 的 Windows 子系统：

• 允许内核调试
• 允许自定义网络配置
• 允许自定义系统分发配置
• 允许内核命令行配置
• 允许自定义内核配置
• 允许 WSL1
• 允许适用于 Linux 的 Windows 子系统
• 允许适用于 Linux 的 Windows 子系统的收件箱版本
• 允许用户设置防火墙配置
• 允许嵌套虚拟化
• 允许直通磁盘装载
• 允许调试 shell

应用于：

• windows 10/11

设备注册

共享设备模式下的 iOS/iPadOS 设备的注册现已正式发布

现已正式发布，可在 Microsoft Intune 管理中心进行配置，为处于共享设备模式的 iOS/iPadOS 设备设置自动设备注册。 共享设备模式是Microsoft Entra的一项功能，使一线员工能够全天共享单个设备，并根据需要登录和注销。 有关详细信息，请参阅 在共享设备模式下为设备设置注册。

设备管理

管理中心中新设备体验的改进 (公共预览版)

我们已对 Microsoft Intune 管理中心中的新设备体验进行了以下更改：

• 特定于平台的选项的其他入口点：从 “设备 ”导航菜单访问平台页面。
• 监视报表的快速条目：选择指标卡的标题以转到相应的监视报告。
• 改进了导航菜单：我们重新添加了图标，以在导航时提供更多的颜色和上下文。

在Microsoft Intune管理中心中翻转开关，以在公共预览版中试用新体验，并分享你的反馈。 有关更多信息，请参阅：

• 新的Microsoft Intune设备体验 - Microsoft Tech Community
• 试用新设备体验 - Microsoft Learn

设备安全性

Linux 防病毒策略模板的其他设置

通过将以下设置添加到适用于 Linux 设备的 Microsoft Defender 防病毒模板，我们扩展了对 Linux 的支持：

• cloudblocklevel
• scanarhives
• scanafterdefinitionupdate
• maximumondemandscanthreads
• behaviormonitoring
• enablefilehashcomputation
• networkprotection
• enforcementlevel
• nonexecmountpolicy
• unmonitoredfilesystems

Intune 管理的设备以及通过 Defender for Endpoint 安全设置管理方案仅由 Defender 管理的设备支持适用于 Linux 的Microsoft Defender防病毒模板。

更新了 Microsoft 365 应用版 for Enterprise 的安全基线

我们发布了适用于 Microsoft 365 应用版 的 Intune 安全基线新版本（版本 2306）。

Microsoft 365 Office 应用基线可帮助你快速将配置部署到满足 Microsoft Office 和安全团队安全建议的 Office 应用。 与所有基线一样，默认基线表示建议的配置。 可以修改默认基线以满足组织的要求。

我们还更新了此基线的 参考文章 ，你可以在其中查看此基线版本包含的设置的默认配置。

弃用和替换 Linux 和 macOS 终结点安全防病毒策略中的两个设置

我们已弃用 macOS 和 Linux 的防病毒Microsoft Defender防病毒配置文件的防病毒引擎类别中找到的两个设置。 这些配置文件作为 Intune 终结点安全防病毒策略的一部分提供。

对于每个平台，两个已弃用的设置将替换为一个新设置，该设置与Microsoft Defender for Endpoint管理设备配置的方式一致。

下面是两个已弃用的设置：

• 启用实时保护 现在显示为 启用实时保护 (弃用)
• 启用被动模式 现在显示为 启用被动模式 (弃用)

替换两个已弃用设置的新设置：

• 强制级别 - 默认情况下，强制级别设置为 “被动 ”，并支持 “实时 ”和“ 按需”选项。

每个平台的 Intune 设置目录中 也提供了这些设置，其中旧设置也标记为已弃用，并替换为新设置。

进行此更改后，配置了任一 已弃用 设置的设备将继续应用该配置，直到新设置 “强制级别”将设备作为目标。 一旦成为强制级别的目标，弃用的设置将不再应用于设备。

在将来的 Intune 更新中，将从防病毒配置文件和设置目录中删除 已弃用 的设置。

注意

适用于 Linux 的更改现已推出。 macOS 设置标记为已弃用，但 强制级别 设置在 12 月之前不可用。

应用于：

• Linux
• macOS

Microsoft Defender防火墙配置文件重命名为 Windows 防火墙

为了适应 Windows 中的防火墙品牌更改，我们将更新终结点安全防火墙策略的 Intune 配置文件的名称。 在名称Microsoft Defender防火墙的配置文件中，我们将用 Windows 防火墙替换该防火墙。

以下平台具有受影响的配置文件，只有配置文件名称受此更改影响：

• Windows 10 及更高版本 (ConfigMgr)
• Windows 10、Windows 11 和 Windows Server

使用 Windows 防火墙的终结点安全防火墙策略管理 Windows Hyper-V 的防火墙设置

我们已将新设置添加到 Windows 防火墙配置文件， (以前Microsoft Defender防火墙) 终结点安全防火墙策略。 新设置可用于管理 Windows Hyper-V 设置。 若要配置新设置，请在 Microsoft Intune 管理中心，转到“终结点安全>防火墙>平台：Windows 10、Windows 11和 Windows Server> 配置文件：Windows 防火墙”。

以下设置已添加到 防火墙 类别：

• 目标 - 当 Target 设置为 适用于 Linux 的 Windows 子系统 时，以下子设置适用：
  • 启用公用网络防火墙
  • 启用专用网络防火墙
  • 允许主机策略合并
  • 启用域网络防火墙
  • 启用环回

有关这些设置的详细信息，请参阅 具有高级安全性的 Windows 防火墙。

应用于：

• windows 10/11

适用于 Windows Hyper-V 防火墙规则的新终结点安全防火墙策略配置文件

我们发布了名为 Windows Hyper-V 防火墙规则的新配置文件，你可以通过终结点安全防火墙策略的Windows 10、Windows 11和 Windows Server 平台路径找到该配置文件。 使用此配置文件可以管理适用于 Windows 上特定 Hyper-V 容器的防火墙设置和规则，包括适用于 Linux 的 Windows 子系统 (WSL) 和适用于 Android 的 Windows 子系统 (WSA) 等应用程序。

应用于：

• windows 10/11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 你好，Intune by Civicom， Inc.
• Microsoft Corporation (iOS) 的 Microsoft Azure
• KeePassium for Intune by KeePassium Labs (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2023 年 11 月 6 日当周

应用管理

iOS 公司门户的最低版本更新

用户需要更新到 iOS 公司门户的 v5.2311.1。 如果已启用 阻止使用 App Store 安装应用 设备限制设置，则可能需要向使用该设置的相关设备推送更新。 否则，无需执行任何操作。 如果你有支持人员，则可能需要让其了解更新公司门户应用的提示。 大多数情况下，用户将应用更新设置为自动更新，因此他们无需执行任何操作即可收到更新的公司门户应用。 系统将提示具有早期应用版本的用户更新到最新的公司门户应用。

设备安全性

Defender for Endpoint 安全设置管理增强功能和对 Linux 和 macOS 的支持已正式发布

Defender for Endpoint 安全设置管理 选择加入公共预览版 中引入的改进现已正式发布。

通过此更改，安全设置管理的默认行为包括为选择加入预览版添加的所有行为 ， 而无需在 Microsoft Defender for Endpoint 中启用对预览功能的支持。 这包括 Linux 和 macOS 的以下终结点安全配置文件的正式发布和支持：

设备管理

功能更新和报表支持Windows 11策略

功能更新策略上的新设置使组织能够将Windows 11部署到有资格升级的设备，同时确保不符合升级条件的设备使用单个策略的最新Windows 10功能更新。 因此，管理员无需创建或管理符合条件的和不符合条件的设备的组。

有关功能更新的详细信息，请转到Windows 10及更高版本的功能更新

Linux：

• Microsoft Defender 防病毒
• Microsoft Defender 防病毒软件排除
• 终结点检测和响应

MacOS：

• Microsoft Defender 防病毒
• Microsoft Defender 防病毒软件排除
• 终结点检测和响应

有关详细信息，请参阅 Intune 文档中Microsoft Defender for Endpoint安全设置管理。

2023 年 10 月 30 日当周

设备安全性

Microsoft Edge 中的严格隧道模式可用于 Android 和 iOS/iPadOS 设备上的适用于 MAM 的 Microsoft Tunnel

在 Intune 中，可以在 Android 和 iOS/iPadOS 设备上使用 适用于移动应用管理的 Microsoft Tunnel (MAM) 。 借助 MAM 隧道，未在 Intune) 中注册的非托管设备 (设备可以访问本地应用和资源。

可以为 Microsoft Edge 配置新的 严格隧道模式 功能。 当用户使用组织帐户登录 Microsoft Edge 时，如果未连接 VPN，则 严格隧道模式 会阻止 Internet 流量。 当 VPN 重新连接时，Internet 浏览将再次可用。

若要配置此功能，请创建 Microsoft Edge 应用配置策略，并添加以下设置：

• 项：com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
• 值： True

应用于：

• Android Enterprise 版本 10 及更高版本
• iOS/iPadOS 版本 14 及更高版本

有关详细信息，请转到：

• Microsoft Tunnel for Mobile Application Management
• 适用于 MAM 的 Microsoft Tunnel - Android
• 适用于 MAM 的 Microsoft Tunnel - iOS/iPadOS

2023 年 10 月 23 日 (服务版本 2310)

应用管理

适用于 Android 公司门户 应用的用户的更新

如果用户启动低于 2021 年 11 月) (版本 5.0.5333.0 的 Android 公司门户 应用版本，他们将看到一条提示，鼓励他们更新 Android 公司门户 应用。 如果 Android 公司门户 版本较旧的用户尝试使用最新版本的 Authenticator 应用进行新设备注册，此过程可能会失败。 若要解决此行为，请更新 Android 公司门户 应用。

iOS 设备的最低 SDK 版本警告

iOS 设备上的 iOS 条件启动设置 的最小 SDK 版本 现在包括 警告 操作。 如果不满足最低 SDK 版本要求，此操作将警告最终用户。 有关详细信息，请参阅 iOS 应用保护策略设置。

Apple LOB 和应用商店应用的最低 OS

可以将最低操作系统配置为 Apple 业务线应用和 iOS/iPadOS 应用商店应用的最新 Apple OS 版本。 可以设置 Apple 应用的最低操作系统，如下所示：

• 适用于 iOS/iPadOS 业务线应用的 iOS/iPadOS 17.0
• 适用于 macOS 业务线应用的 macOS 14.0
• 适用于 iOS/iPadOS 应用商店应用的 iOS/iPadOS 17.0

应用于：

• iOS/iPadOS
• macOS

Android (AOSP) 支持业务线 (LOB) 应用

可以使用 “必需 ”和“卸载”组分配在 AOSP 设备上安装和 卸载 必需的 LOB 应用。 若要详细了解如何管理 LOB 应用，请参阅将 Android 业务线应用添加到Microsoft Intune。

应用于：

• Android

非托管 macOS PKG 应用的配置脚本

现在可以在非托管 macOS PKG 应用中配置预安装脚本和安装后脚本。 此功能比自定义 PKG 安装程序更灵活。 配置这些脚本是可选的，需要适用于 macOS 设备的 Intune 代理 v2309.007 或更高版本。 有关将脚本添加到非托管 macOS PKG 应用的详细信息，请参阅 添加非托管 macOS PKG 应用。

设备配置

设置目录和管理模板中提供了 FSLogix 设置

设置目录和管理模板中提供了 FSLogix 设置 ， (ADMX) 进行配置。

以前，若要在 Windows 设备上配置 FSLogix 设置，请使用 Intune 中的 ADMX 导入功能导入这些设置。

有关此类功能的详细信息，请参阅：

• 使用设置目录配置设置
• 使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
• 什么是 FSLogix？

应用于：

• windows 10/11

在托管 Google Play 应用中使用委托的范围，这些应用在 Android Enterprise 设备上配置增强的权限

在托管 Google Play 应用中，可以使用委托的范围为应用授予增强的权限。

当应用包括委托的范围时，可以在设备配置文件中配置以下设置 (设备>配置文件>配置文件创建配置文件>Android Enterprise for platform >Full Managed、Dedicated 和 Corporate-Owned Work Profile>Device Restrictions for profile type >Applications) ：

• 允许其他应用安装和管理证书：管理员可以为此权限选择多个应用。 向所选应用授予对证书安装和管理的访问权限。
• 允许此应用访问 Android 安全日志：管理员可以为此权限选择一个应用。 所选应用有权访问安全日志。
• 允许此应用访问 Android 网络活动日志：管理员可以为此权限选择一个应用。 所选应用有权访问网络活动日志。

若要使用这些设置，托管的 Google Play 应用必须使用委托的范围。

有关此功能的详细信息，请转到：

• Android 的内置应用配置
• Android Enterprise 设备设置列表，用于允许或限制使用 Intune > 应用程序的公司拥有的设备上的功能

应用于：

• Android Enterprise 完全托管设备
• Android Enterprise 专用设备
• 具有工作配置文件的 Android Enterprise 公司拥有的设备

Samsung 终止了对 Android 设备管理员 (DA) 设备上的展台模式的支持

Samsung 将 Android 设备管理员上使用的 Samsung Knox 展台 API 标记为在 Knox 3.7 (Android 11) 中弃用。

虽然这些功能可能会继续工作，但不能保证它将继续工作。 三星不会修复可能出现的 bug。 有关 Samsung 对已弃用 API 的支持的详细信息，请转到弃用 API 后提供哪种类型的支持？ (打开 Samsung 的网站) 。

相反，可以使用专用设备管理通过 Intune 管理展台 设备。

应用于：

• Android 设备管理员 (DA)

导入和导出设置目录策略

Intune 设置目录 列出了可以配置的所有设置，所有设置都在一个位置 (设备>配置文件>创建新>策略> 选择 平台> For Profile，选择 “设置目录) ”。

可以导入和导出设置目录策略：

• 若要导出现有策略，请选择配置文件>，选择省略号>“导出 JSON”。
• 若要导入以前导出的设置目录策略，请选择“ 创建>导入策略> ”，选择以前导出的 JSON 文件。

有关设置目录的详细信息，请转到 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

注意

此功能将继续推出。可能需要几周后才能在租户中提供它。

用于阻止用户使用同一密码解锁设备以及使用工作配置文件访问 Android Enterprise 个人拥有设备上的工作配置文件的新设置

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，用户可以使用相同的密码解锁设备并访问工作配置文件。

有一个新设置，可以强制实施不同的密码来解锁设备并访问工作配置文件 (设备>配置文件>配置文件创建配置文件>Android Enterprise>个人拥有的工作配置文件 的平台 >设备限制 配置文件类型) ：

• 设备和工作配置文件的一个锁： “阻止” 可阻止用户对设备和工作配置文件上的锁屏界面使用相同的密码。 最终用户需要输入设备密码才能解锁设备，并输入其工作配置文件密码才能访问其工作配置文件。 设置为“ 未配置 ” (默认) 时，Intune 不会更改或更新此设置。 默认情况下，OS 可能允许用户使用单个密码访问其工作配置文件。

此设置是可选的，不会影响现有配置文件。

目前，如果工作配置文件密码不符合策略要求，则设备用户会看到通知。 设备未标记为不合规。 正在为工作配置文件创建单独的符合性策略，并将在未来版本中提供。

有关可以使用工作配置文件在个人拥有的设备上配置的设置列表，请转到 Android Enterprise 设备设置列表，以允许或限制使用 Intune 的个人拥有设备上的功能。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备 (BYOD)

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心，转到“设备>配置文件”“>创建配置文件>macOS>设置目录”，了解配置文件类型。

隐私 > 隐私首选项策略控制：

• 系统策略应用数据

限制:

• 强制仅限设备上的听写

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

设备注册

个人 iOS/iPadOS 设备使用 JIT 注册进行基于 Web 的设备注册

对于通过 Apple 设备注册设置的个人设备，Intune 支持实时 (JIT) 注册基于 Web 的设备注册。 JIT 注册减少了在整个注册体验中向用户显示的身份验证提示数，并跨设备建立 SSO。 Intune 公司门户的 Web 版本上进行注册，无需公司门户应用。 此外，此注册方法使没有托管 Apple ID 的员工和学生能够注册设备和访问批量购买的应用。 有关详细信息，请参阅 为 iOS 设置基于 Web 的设备注册。

设备管理

汇报 Intune 加载项页

租户管理下的 Intune 加载项页包括你的加载项、所有加载项和功能。 它提供了一个增强的视图来查看你的试用版或购买的许可证、你已授权在租户中使用的附加功能，以及 Microsoft 管理中心中对新计费体验的支持。

有关详细信息，请转到 使用 Intune Suite 加载项功能

适用于 Android 的远程帮助现已正式发布

远程帮助正式适用于 Zebra 和 Samsung 的 Android Enterprise 专用设备。

借助远程帮助，IT 专业人员可以远程查看设备屏幕，并在有人参与和无人参与的情况下完全控制设备屏幕，从而快速高效地诊断和解决问题。

应用于：

• 由 Zebra 或 Samsung 制造的 Android Enterprise 专用设备

有关详细信息，请参阅 Android 上的远程帮助。

设备安全性

在设置目录中为 Apple 设备配置声明性软件更新和密码策略

可以使用 Apple 的声明性设备管理 (DDM) 配置来管理软件更新和密码，该配置使用设置目录 (设备>配置文件>创建配置文件>iOS/iPadOS 或 macOS for platform >设置目录 ，用于配置文件类型 >声明性设备管理) 。

有关 DDM 的详细信息，请转到 Apple 的声明性设备管理 (DDM) (打开 Apple 网站) 。

DDM 允许在强制截止时间之前安装特定更新。 当设备处理整个软件更新生命周期时，DDM 的自治特性提供了改进的用户体验。 它提示用户更新可用，并下载、准备设备进行安装、 & 安装更新。

在设置目录中，声明性 设备管理 > 软件更新中提供了以下声明性软件更新设置：

• 详细信息 URL：显示更新详细信息的网页 URL。 通常，此 URL 是由组织托管的网页，用户可以选择是否需要组织特定的更新帮助。
• 目标内部版本：将设备更新到的目标内部版本，例如 20A242。 生成版本可以包含补充版本标识符，例如 20A242a。 如果输入的内部版本与输入 的“目标 OS 版本” 值不一致，则 “目标 OS 版本” 值优先。
• 目标本地日期时间：指定何时强制安装软件更新的本地日期时间值。 如果用户在此时间之前未触发软件更新，则设备会强制安装它。
• 目标 OS 版本：将设备更新到的目标 OS 版本。 此值是 OS 版本号，如 16.1。 还可以包含补充版本标识符，例如 16.1.1。

有关此功能的详细信息，请转到 使用设置目录管理声明性软件更新。

在设置目录中，声明性设备管理>密码中提供了以下声明性密码设置：

• 自动设备锁定：输入系统自动锁定设备之前用户可以空闲的最长时间。
• 最大宽限期：输入用户无需密码即可解锁设备的最大时间段。
• 最大失败尝试次数：输入之前错误密码尝试的最大次数：
  • iOS/iPadOS 擦除设备
  • macOS 锁定设备
• 最小密码长度：输入密码必须具有的最小字符数。
• 密码重用限制：输入以前使用过的不能使用的密码数。
• 需要复杂密码：设置为 True 时，需要复杂密码。 复杂密码没有重复字符，也没有递增或递减字符，如 123 或 CBA。
• 设备上需要密码：设置为 True 时，用户必须设置密码才能访问设备。 如果未设置其他密码限制，则对密码的长度或质量没有任何要求。

有关设置目录的信息，请转到 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

应用于：

• iOS/iPadOS 17.0 及更高版本
• macOS 14.0 及更高版本

Mvision Mobile 现在为 Trellix Mobile Security

Intune 移动威胁防御合作伙伴Mvision Mobile 已转换为 Trellix Mobile Security。 通过此更改，我们更新了文档和 Intune 管理中心 UI。 例如， Mvision Mobile 连接器 现在是 Trellix Mobile Security。 Mvision Mobile 连接器的现有安装也会更新到 Trellix Mobile Security。

如果对此更改有任何疑问，请联系 Trellix Mobile Security 代表。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 兄弟工业有限公司的BuddyBoard
• Microsoft Corporation Microsoft Loop

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

策略符合性和设置合规性的更新报告现已正式发布

以下设备符合性报告已公开预览版，现已正式发布：

• 策略符合性
• 设置合规性

在正式发布后，两个报表的旧版本已从 Intune 管理中心停用，不再可用。

有关这些更改的详细信息，请参阅 上的 https://aka.ms/Intune/device_compl_reportIntune 支持团队博客。

租户管理

Intune 管理中心主页更新

Intune 管理中心主页经过重新设计，具有全新的外观和更动态的内容。 “状态”部分已简化。 可以在 “聚焦 ”部分中浏览 Intune 相关功能。 “ 充分利用 Intune ”部分提供了指向 Intune 社区和博客以及 Intune 客户成功的链接。 此外， 文档和培训 部分提供了 指向 Intune 中的新增功能、 开发中的功能和更多培训的链接。 在Microsoft Intune管理中心，选择“主页”。

2023 年 10 月 16 日当周

租户管理

endpoint.microsoft.com URL 重定向到 intune.microsoft.com

此前，已宣布Microsoft Intune管理中心有一个新的 URL (https://intune.microsoft.com) 。

URL https://endpoint.microsoft.com 现在重定向到 https://intune.microsoft.com。

2023 年 9 月 18 日 (服务版本 2309)

应用管理

适用于 Windows 正式版的 MAM

现在，可以通过 Microsoft Edge 在个人 Windows 设备上启用对组织数据的受保护 MAM 访问。 此功能使用以下功能：

• Intune 应用程序配置策略 (ACP) 自定义 Microsoft Edge 中的组织用户体验
• Intune 应用程序保护策略 (应用) 来保护组织数据并确保使用 Microsoft Edge 时客户端设备正常运行
• Windows 安全中心中心威胁防御与 Intune 应用集成，用于检测个人 Windows 设备上的本地运行状况威胁
• 应用程序保护条件访问：在通过Microsoft Entra ID 授予受保护的服务访问权限之前，确保设备受保护且正常运行。

适用于 Windows 的 Intune 移动应用程序管理 (MAM) 适用于 Windows 11、内部版本 10.0.22621 (22H2) 或更高版本。 此功能包括Microsoft Intune (2309 版本) 、Microsoft Edge (v117 稳定分支及更高版本) 的支持更改，以及 Windows 安全中心 Center (v 1.0.2309.xxxxx 及更高版本) 。 应用保护条件访问以公共预览版提供。

主权云支持有望在将来推出。 有关详细信息，请参阅 windows 应用保护策略设置。

设备配置

未成功部署的 OEMConfig 配置文件不会显示为“挂起”

对于 Android Enterprise 设备，可以创建配置策略，以配置 OEMConfig 应用 (设备>配置文件>创建配置文件>Android Enterprise for platform >OEMConfig for profile type) 。

以前，超过 350 KB 的 OEMConfig 配置文件显示“挂起”状态。 此行为已更改。 超过 350 KB 的 OEMConfig 配置文件不会部署到设备。 处于挂起状态的配置文件或大于 350 KB 的配置文件不会显示。 仅显示成功部署的配置文件。

此更改仅是 UI 更改。 不会对相应的 Microsoft Graph API 进行更改。

若要在 Intune 管理中心中监视配置文件挂起状态，请转到 “设备>配置配置文件> ”“选择配置文件 >设备状态”。

有关 OEM 配置的详细信息，请转到在 Microsoft Intune 中使用和管理 OEMConfig 中的 Android Enterprise 设备。

应用于：

• Android Enterprise

配置刷新设置位于 Windows 预览体验成员的设置目录中

在 Windows 设置目录中，可以配置 配置刷新。 此功能使你可以设置 Windows 设备的节奏，以便重新应用以前收到的策略设置，而无需设备检查 Intune。

配置刷新：

• 启用配置刷新
• 刷新节奏 (分钟)

有关设置目录的详细信息，请转到 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

应用于：

• Windows 11

Apple 设置目录中现在提供托管设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

“托管设置”命令中的设置在“设置目录”中可用。 在 Microsoft Intune 管理中心，可以在设备>配置文件>创建配置文件>iOS/iPadOS>设置目录中查看这些设置。

托管设置 > 应用分析：

• 已启用：如果为 true，则启用与应用开发人员共享应用分析。 如果为 false，则禁用共享应用分析。

应用于：

• 共享 iPad

托管设置 > 辅助功能设置：

• 启用加粗文本
• 已启用灰度
• 已启用“增加对比度”
• 启用“减少运动”
• 已启用降低透明度
• 文本大小
• 启用触摸调节
• 已启用 Voice Over
• 已启用缩放

托管设置 > 软件更新设置：

• 建议节奏：此值定义系统向用户提供软件更新的方式。

托管设置 > 时区：

• 时区：Internet 号码分配机构 (IANA) 时区数据库名称。

应用于：

• iOS/iPadOS

托管设置 > 蓝牙：

• 已启用：如果为 true，则启用蓝牙设置。 如果为 false，请禁用蓝牙设置。

托管设置 > MDM 选项：

• 受监督时允许的激活锁定：如果为 true，则当用户启用“查找我”时，受监督设备会向激活锁注册自身。

应用于：

• iOS/iPadOS
• macOS

有关这些设置的详细信息，请转到 Apple 的开发人员网站。 有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有一个新设置。 若要查看此设置，请在 Microsoft Intune 管理中心，转到“设备>配置文件”>“创建配置文件>macOS>设置目录”，了解配置文件类型。

> Microsoft Defender云提供的保护首选项：

• 云块级别

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

Intune 与 Zebra 救生员空中服务集成已正式发布

Microsoft Intune支持与 Zebra Lifeguard 无线服务集成，这使你可以通过无线方式向已注册 Intune 的合格 Zebra 设备提供 OS 更新和安全修补程序。 可以选择要部署的固件版本、设置计划以及错开更新下载和安装。 还可以针对何时发生更新设置最低电池电量、充电状态和网络条件要求。

此集成现已正式发布，适用于运行 Android 8 或更高版本的 Android Enterprise 专用和完全托管的 Zebra 设备。 它还需要 Zebra 帐户和 Intune 计划 2 或 Microsoft Intune Suite。

以前，此功能以公共预览版提供，可供免费使用。 此版本正式发布后，此解决方案现在需要附加许可证以供使用。

有关许可详细信息，请参阅 Intune 加载项。

设备注册

使用工作配置文件注册 Android Enterprise 的完全托管和公司拥有的设备在注册过程中的 SSO 支持

Intune 支持在完全托管或公司拥有的工作配置文件的 Android Enterprise 设备上 (SSO) 单一登录。 在注册期间添加 SSO 后，注册其设备的最终用户只需使用其工作或学校帐户登录一次。

有关这些注册方法的详细信息，请转到：

• 设置 Android Enterprise 公司拥有的工作配置文件设备的 Intune 注册
• 为 Android Enterprise 完全托管设备设置注册

应用于：

• 具有工作配置文件的 Android Enterprise 公司拥有的设备
• Android Enterprise 完全托管设备

设备管理

macOS 上的远程帮助简介

远程帮助 Web 应用允许用户连接到 macOS 设备并加入仅查看远程协助会话。 有关 macOS 上的远程帮助的详细信息，请转到远程帮助。

应用于：

• 11 大苏尔

• 12 蒙特利

• 13 文图拉

管理证书到期日期

管理证书过期日期作为 “设备” 工作负荷中的一列提供。 可以筛选管理证书的到期日期范围，还可以导出过期日期与筛选器匹配的设备列表。 可通过选择“设备所有设备>”在管理中心Microsoft Intune获取此信息。

Windows Defender应用程序控制 (WDAC) 引用将更新为适用于企业的应用控制

Windows 已将 Windows Defender Application Control (WDAC) 重命名为适用于企业的应用控制。 进行此更改后，Intune 文档和 Intune 管理中心中的引用将更新以反映此新名称。

Intune 支持 iOS/iPadOS 15.x 作为最低版本

Apple 发布了 iOS/iPadOS 版本 17。 现在，Intune 支持的最低版本是 iOS/iPadOS 15.x。

有关此更改的详细信息，请转到 规划更改：Intune 正在迁移以支持 iOS/iPadOS 15 及更高版本。

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况，其支持声明略有细微差别。 有关详细信息，请转到 支持与无用户设备允许的 iOS/iPadOS 版本的支持声明。

应用于：

• iOS/iPadOS

政府租户对终结点安全性应用程序控制策略和托管安装程序的支持

我们已向以下主权云环境添加了对使用终结点安全性 应用程序控制策略和配置托管安装程序的支持：

• 美国政府云
• 世纪互联在中国

对应用程序控制策略和托管安装程序的支持最初 在 2023 年 6 月以预览版发布。 Intune 中的应用程序控制策略是 Defender 应用程序控制 (WDAC) 的实现。

设备安全性

Windows 365设备的终结点特权管理支持

现在可以使用 Endpoint Privilege Management 来管理Windows 365设备上的应用程序提升， (也称为云电脑) 。

此支持不包括 Azure 虚拟桌面。

Endpoint Privilege Management 的发布者提供的提升报告

我们发布了名为 “发布者提升报告 ”的新报表，用于 Endpoint Privilege Management (EPM) 。 使用此 新报表 ，可以查看所有托管和非托管提升，这些提升由提升的应用的发布者聚合。

可以在 Intune 管理中心的 EPM 报表节点中找到报表。 导航到 “终结点安全>终结点特权管理 ”，然后选择“ 报告 ”选项卡。

macOS 支持与用于终结点检测和响应的 Intune 终结点安全策略

适用于 终结点检测和响应 的 Intune 终结点安全策略 (EDR) 现在支持 macOS。 为了启用此支持，我们添加了 适用于 macOS 的新 EDR 模板配置文件。 将此配置文件用于通过 Intune 注册的 macOS 设备和通过 Defender for Endpoint 安全设置管理 方案的选择加入公共预览版管理的 macOS 设备。

适用于 macOS 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记” 类别的以下设置：

• 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。
• 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。

若要详细了解适用于 macOS 的 Defender for Endpoint 设置，请参阅 Defender 文档中的在 macOS 上设置Microsoft Defender for Endpoint首选项。

Linux 支持与用于终结点检测和响应的 Intune Endpoint 安全策略

用于 终结点检测和响应 的 Intune 终结点安全策略 (EDR) 现在支持 Linux。 为了启用此支持，我们添加了 适用于 Linux 的新 EDR 模板配置文件。 将此配置文件用于使用 Intune 注册的 Linux 设备和通过 Defender for Endpoint 安全设置管理 方案的选择加入公共预览版管理的 Linux 设备。

适用于 Linux 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记 ”类别的以下设置：

• 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。
• 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。

若要详细了解适用于 Linux 的 Defender for Endpoint 设置，请参阅 Defender 文档中的 Set preferences for Microsoft Defender for Endpoint on Linux。

监视和疑难解答

更新了 Windows 10 及更高版本的更新通道的报告

Windows 10 及更高版本的更新通道的报告已更新为使用 Intune 改进的报告基础结构。 这些更改与为其他 Intune 功能引入的类似改进一致。

对于 Windows 10 及更高版本的更新通道的报表的此更改，在 Intune 管理中心中选择更新通道策略时，没有用于“概述”、“管理”或“监视”选项的左窗格导航。 相反，策略视图会打开一个窗格，其中包含以下策略详细信息：

• 概要 - 包括策略名称、创建和修改日期以及更多详细信息。
• 设备和用户检查状态 - 此视图是默认报表视图，包括：
  • 此策略的设备状态的高级概述，以及用于打开更全面的报表视图的 “查看报告 ”按钮。
  • 分配给策略的设备返回的不同设备状态值的简化表示形式和计数。 简化条形图和图表取代了以前的报告表示形式中显示的圆环图。
• 另外两个报表磁贴，用于打开更多报表。 这些磁贴包括：
  • 设备分配状态 – 此报告与以前的设备状态和用户状态报告（不再可用）合并了相同的信息。 但是，通过此更改，基于用户名的透视和钻取不再可用。
  • 按设置状态 – 此新报表提供与默认设置配置不同的每个设置的成功指标，从而提供可能未成功部署到组织的设置的新见解。
• 属性 - 查看策略的每个配置页的详细信息，包括 编辑 每个区域配置文件详细信息的选项。

有关Windows 10及更高版本更新通道的报告的详细信息，请参阅针对Microsoft Intune Windows 更新报表一文中的针对Windows 10的更新通道和更高版本的策略的报告。

基于角色的访问权限

更新 UpdateEnrollment 的范围

随着 新角色 UpdateEnrollment 的引入， UpdateOnboarding 的范围将得到更新。

自定义和内置角色的 UpdateOnboarding 设置已修改为仅管理或更改 Android Enterprise 绑定，以托管 Google Play 和其他帐户范围的配置。 任何使用 UpdateOnboarding 的内置角色现在都将包含 UpdateEnrollmentProfiles 。

资源名称正在从 Android for work 更新到 Android Enterprise。

有关详细信息，请参阅 Microsoft Intune 的基于角色的访问控制 (RBAC)。

2023 年 9 月 11 日当周

设备配置

远程帮助上的远程启动简介

借助远程启动，帮助程序可以通过向用户的设备发送通知，从 Intune 在帮助者和用户的设备上无缝启动远程帮助。 此功能允许支持人员和共享者快速连接到会话，而无需交换会话代码。

有关详细信息，请转到远程帮助

应用于：

• windows 10/11

2023 年 9 月 4 日当周

设备管理

Microsoft Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Microsoft Intune已于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持， (GMS) 。 在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。

如果当前使用设备管理员管理，建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息，请阅读 在 GMS 设备上终止对 Android 设备管理员的支持。

2023 年 8 月 28 日当周

设备配置

Windows 和 Android 支持 SCEP 和 PFX 证书配置文件的 4096 位密钥大小

适用于 Windows 和 Android 设备的 Intune SCEP 证书配置文件 和 PKCS 证书配置文件 现在支持 密钥大小 (位) 4096。 此密钥大小可用于选择编辑的新配置文件和现有配置文件。

• SCEP 配置文件始终包含 密钥大小 (位) 设置，现在支持 4096 作为可用的配置选项。
• PKCS 配置文件不包括直接 设置的密钥大小 (位) 。 相反，管理员必须 修改证书颁发机构上的证书模板 ，以将 “最小密钥大小 ”设置为 4096。

如果使用第三方证书颁发机构 (CA) ，则可能需要联系供应商以获取有关实现 4096 位密钥大小的帮助。

更新或部署新的证书配置文件以利用此新密钥大小时，建议使用交错部署方法。 此方法有助于避免同时在大量设备上产生对新证书的过度需求。

使用此更新时，请注意 Windows 设备上的以下限制：

• 仅 软件密钥存储提供程序 (KSP) 支持 4096 位密钥存储。 以下项不支持存储此大小的密钥：
  • 硬件 TPM (受信任的平台模块) 。 解决方法是使用软件 KSP 进行密钥存储。
  • Windows Hello 企业版。 目前没有解决方法。

租户管理

多个管理员审批的访问策略现已正式发布

多个管理员审批的访问策略已推出公共预览版，现已正式发布。 使用这些策略，可以保护资源（例如应用部署），方法是要求对部署的任何更改在应用该更改之前，由资源 审批者 中的一组用户之一批准。

有关详细信息，请参阅 使用访问策略要求多个管理批准。

2023 年 8 月 21 日 (服务版本 2308)

应用管理

托管主屏幕提示最终用户授予确切的警报权限

托管主屏幕使用确切的警报权限执行以下操作：

• 在设备上处于非活动状态的设定时间后自动注销用户
• 在设定的处于非活动状态的时间段后启动屏幕保护程序
• 在用户退出展台模式的某个时间段后自动重新启动 MHS

对于运行 Android 14 及更高版本的设备，默认情况下，将拒绝确切的警报权限。 为了确保关键用户功能不受影响，系统会在首次启动托管主屏幕时提示最终用户授予确切的警报权限。 有关详细信息，请参阅配置适用于 Android 企业的 Microsoft 托管主屏幕 应用和 Android 开发人员文档。

托管主屏幕通知

对于运行面向 API 级别 33 的 Android 13 或更高版本的 Android 设备，默认情况下，应用程序无权发送通知。 在以前版本的 托管主屏幕中，当管理员启用了自动重新启动托管主屏幕时，会显示一条通知，提醒用户重新启动。 为了适应对通知权限的更改，在管理员启用了自动重新启动托管主屏幕的情况下，应用程序现在将显示一条 Toast 消息，提醒用户重新启动。 托管主屏幕能够自动授予此通知的权限，因此管理员配置托管主屏幕以适应 API 级别 33 的通知权限更改，无需进行更改。 有关 Android 13 (API 级别 33) 通知消息的详细信息，请参阅 Android 开发人员文档。 有关托管主屏幕的详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

新的 macOS Web 剪辑应用类型

在 Intune 中，最终用户可以将 Web 应用固定到 macOS 设备上的扩展坞 (应用>macOS>添加>macOS Web 剪辑) 。 有关可配置的设置的详细信息，请参阅将 Web 应用添加到Microsoft Intune。

应用于：

• macOS

Win32 应用可配置安装时间

在 Intune 中，可以设置可配置的安装时间来部署 Win32 应用。 此时间以分钟为单位。 如果应用安装时间长于设置的安装时间，则系统将无法安装应用。 最大超时值为 1440 分钟 (1 天) 。 有关 Win32 应用的详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

Samsung Knox 条件启动检查

可以在 Samsung Knox 设备上添加更多设备运行状况泄露检测。 使用新的 Intune 应用保护策略中的条件启动检查，可以要求在兼容的 Samsung 设备上执行硬件级设备篡改检测和设备证明。 有关详细信息，请参阅 Microsoft Intune 中 Android 应用保护策略设置的条件启动部分中的 Samsung Knox 设备证明设置。

设备配置

android 公共预览版中的远程帮助

远程帮助以公共预览版的形式提供，适用于 Zebra 和 Samsung 的 Android Enterprise 专用设备。 借助远程帮助，IT 专业人员可以远程查看设备屏幕，并在有人参与和无人参与的情况下完全控制设备屏幕，从而快速高效地诊断和解决问题。

应用于：

• 由 Zebra 或 Samsung 制造的 Android Enterprise 专用设备

有关详细信息，请转到 Android 上的远程帮助。

组策略分析已正式发布

组策略分析已正式发布 (GA) 。 使用组策略分析分析本地组策略对象 (GPO) 将其迁移到 Intune 策略设置。

有关组策略分析的详细信息，请转到在 Microsoft Intune 中使用组策略分析分析本地 GPO。

应用于：

• Windows 11
• Windows 10

Apple 设置目录中提供的新 SSO、登录、限制、密码和篡改防护设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>配置文件”“>创建配置文件>iOS/iPadOS 或 macOS>设置目录”，了解配置文件类型。

认证 >Extensible 单一登录 (SSO) ：

• 帐户显示名称
• 其他组
• 管理员组
• 身份验证方法
• 授权权限
• 组
• 授权组
• 启用授权
• 启用登录时创建用户
• 登录频率
• 新建用户授权模式
• 帐户名
• 全名
• 令牌到用户的映射
• 用户授权模式
• 使用共享设备密钥

应用于：

• macOS 13.0 及更高版本

登录 > 登录窗口：

• 自动登录密码
• 自动登录用户名

限制:

• 允许 ARD 远程管理修改
• 允许蓝牙共享修改
• 允许云自由格式
• 允许文件共享修改
• 允许 Internet 共享修改
• 允许创建本地用户
• 允许打印机共享修改
• 允许远程 Apple 事件修改
• 允许启动磁盘修改
• 允许时间计算机备份

安全 > 密码：

• 密码内容说明
• 密码内容正则表达式

应用于：

• macOS 14.0 及更高版本

限制:

• 在 Mac 上允许 iPhone 小组件

应用于：

• iOS/iPadOS 17.0 及更高版本

> Microsoft Defender篡改防护：

• 进程的参数
• 进程路径
• 进程的签名标识符
• 进程的团队标识符
• 进程排除

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

设备注册

具有新式身份验证的 iOS/iPadOS 设置助手的实时注册和合规性修正现已正式发布

恰好 (JIT) 注册和新式身份验证设置助手的合规性修正现已推出预览版，现已正式发布。 使用实时注册时，设备用户无需使用 公司门户 应用进行Microsoft Entra注册和合规性检查。 JIT 注册和合规性修正嵌入到用户的预配体验中，因此他们可以查看其符合性状态，并在尝试访问的工作应用中执行操作。 此外，这会跨设备建立单一登录。 有关如何设置 JIT 注册的详细信息，请参阅 设置实时注册。

正在等待 iOS/iPadOS 自动设备注册的最终配置现已正式发布

现在正式发布， 等待最终配置 可在设置助手结束时提供锁定体验，以确保在设备上安装关键设备配置策略。 锁定体验适用于面向新注册配置文件和现有注册配置文件的设备。 支持的设备包括:

• 使用新式身份验证使用设置助理注册的 iOS/iPadOS 13+ 设备
• 在没有用户关联的情况下注册的 iOS/iPadOS 13+ 设备
• 使用 Microsoft Entra ID 共享模式注册的 iOS/iPadOS 13+ 设备

此设置在设置助理中的现装自动设备注册体验期间应用一次。 设备用户不会再次体验它，除非他们重新注册其设备。 默认情况下，为新的注册配置文件启用等待最终配置。 有关如何启用等待最终配置的信息，请参阅 创建 Apple 注册配置文件。

设备管理

对 Android 通知权限提示行为的更改

我们更新了 Android 应用处理通知权限的方式，以与 Google 最近对 Android 平台所做的更改保持一致。 由于 Google 更改，向应用授予通知权限，如下所示：

• 在运行 Android 12 及更早版本的设备上：默认情况下，允许应用向用户发送通知。
• 在运行 Android 13 及更高版本的设备上：通知权限因应用目标 API 而异。
  • 面向 API 32 及更低版本的应用：Google 添加了通知权限提示，当用户打开应用时显示该提示。 管理应用仍然可以配置应用，以便自动向其授予通知权限。
  • 面向 API 33 及更高版本的应用：应用开发人员定义何时显示通知权限提示。 管理应用仍然可以配置应用，以便自动向其授予通知权限。

现在，应用面向 API 33，你和设备用户将看到以下更改：

• 用于工作配置文件管理的公司门户：用户在首次打开公司门户的个人实例中看到通知权限提示。 用户在 公司门户 的工作配置文件实例中看不到通知权限提示，因为工作配置文件中的公司门户自动允许通知权限。 用户可以在“设置”应用中将应用通知静音。
• 用于设备管理员管理的公司门户：用户在首次打开公司门户应用时看到通知权限提示。 用户可以在“设置”应用中调整应用通知设置。
• Microsoft Intune应用：对现有行为没有更改。 用户看不到提示，因为自动允许Microsoft Intune应用发送通知。 用户可以在“设置”应用中调整某些应用通知设置。
• Microsoft Intune适用于 AOSP 的应用：对现有行为没有更改。 用户看不到提示，因为自动允许Microsoft Intune应用发送通知。 用户无法在“设置”应用中调整应用通知设置。

设备安全性

用于部署 Defender 更新的 Defender 更新控件现已正式发布

用于管理Microsoft Defender更新设置的 Intune Endpoint 安全防病毒策略的 Defender 更新控件配置文件现已正式发布。 此配置文件可用于Windows 10、Windows 11和 Windows Server 平台。 在公共预览版中，此配置文件可用于Windows 10及更高版本的平台。

该配置文件包括用于设备和用户接收与每日安全智能更新、每月平台更新和每月引擎更新相关的 Defender 汇报推出发布通道的设置。

此配置文件包括以下设置，这些设置均直接从 Defender CSP - Windows 客户端管理获取。

• 引擎汇报通道
• 平台汇报通道
• 安全智能汇报通道

这些设置也可从Windows 10及更高版本的配置文件的设置目录中获取。

终结点特权管理的应用程序的提升报告

我们为 Endpoint Privilege Management (EPM) 的应用程序发布了名为 “提升报告 ”的新报告。 使用此 新报表 ，可以查看所有托管和非托管提升，这些提升由提升的应用程序聚合。 此报表可帮助你识别可能需要提升规则才能正常运行的应用程序，包括子进程规则。

可以在 Intune 管理中心的 EPM 报表节点中找到报表。 导航到 “终结点安全>终结点特权管理 ”，然后选择“ 报告 ”选项卡。

适用于 macOS 防病毒策略的新设置

macOS 设备的Microsoft Defender防病毒配置文件已更新为另外 9 个设置和 3 个新设置类别：

防病毒引擎 - 以下设置是此类别中的新增设置：

• 按需扫描的并行度 – 指定按需扫描的并行度。 此设置对应于用于执行扫描并影响 CPU 使用率的线程数，以及按需扫描的持续时间。
• 启用文件哈希计算 - 启用或禁用文件哈希计算功能。 启用此功能后，Windows Defender计算它扫描的文件的哈希。 此设置有助于提高自定义指示器匹配项的准确性。 但是，启用“启用文件哈希计算”可能会影响设备性能。
• 更新定义后运行扫描 - 指定在设备上下载新的安全智能更新后是否启动进程扫描。 启用此设置会在设备的正在运行的进程上触发防病毒扫描。
• 扫描存档文件 - 如果为 true，Defender 将解压缩存档并扫描其中的文件。 否则，将跳过存档内容，从而提高扫描性能。

网络保护 - 包含以下设置的新类别：

• 强制级别 – 配置此设置以指定是 禁用、 处于审核模式还是 强制实施网络保护。

防篡改 - 包含以下设置的新类别：

• 强制级别 - 指定是 禁用篡改保护、处于 审核模式还是 强制实施篡改保护。

用户界面首选项 - 包含以下设置的新类别：

• 控制对使用者版本的登录 - 指定用户是否可以登录到Microsoft Defender的使用者版本。
• 显示/隐藏状态菜单图标 – 指定状态菜单图标 (显示在屏幕右上角，) 是否隐藏。
• 用户发起的反馈 - 指定用户是否可以通过转到“帮助>发送反馈”向 Microsoft提交反馈。

创建的新配置文件包括原始设置和新设置。 现有配置文件会自动更新以包含新设置，每个新设置都设置为“ 未配置 ”，直到你选择编辑该配置文件来更改它。

有关如何在企业组织中为 macOS 上的Microsoft Defender for Endpoint设置首选项的详细信息，请参阅在 macOS 上设置Microsoft Defender for Endpoint首选项。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Mackey LLC (iOS) 的 VerityRMS

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

CloudDesktop 日志现在随 Windows 诊断 数据一起收集

用于从 Windows 设备收集诊断的 Intune 远程操作现在将数据包含在日志文件中。

日志文件：

• %temp%\CloudDesktop*.log

Intune 终结点分析中的异常情况检测设备队列已正式发布

Intune 终结点分析中的异常情况检测设备队列现已正式发布。

设备队列在与高严重性或中等严重性异常相关的设备中标识。 设备根据一个或多个共同因素（例如应用版本、驱动程序更新、OS 版本、设备模型）关联到组中。 相关组将包含详细视图，其中包含有关该组中所有受影响设备之间的常见因素的关键信息。 还可以查看当前受异常和“有风险”设备的细分。 “有风险”设备尚未显示异常症状。

有关详细信息，请转到 终结点分析中的异常情况检测。

改进了 Endpoint Analytics 中设备时间线的用户体验

终结点分析中用于设备时间线的用户界面 (UI) 得到改进，并包括更高级的功能 (对排序、搜索、筛选和导出) 的支持。 在终结点分析中查看特定设备时间线时，可以按事件名称或详细信息进行搜索。 还可以筛选事件，选择设备上显示的事件的源和级别时间线并选择感兴趣的时间范围。

有关详细信息，请转到增强的设备时间线。

符合性策略和报告的汇报

我们对 Intune 合规性策略和报表进行了多项改进。 通过这些更改，报表更符合设备配置文件和报表的使用体验。 我们更新了 合规性报告文档 ，以反映可用的合规性报告改进。

合规性报告改进包括：

• Linux 设备的符合性详细信息。
• 重新设计的报表是最新和简化的，更新的报表版本开始替换旧报表版本，这些版本将保留一段时间。
• 查看符合性策略时，没有左窗格导航。 相反，策略视图打开到一个窗格，该窗格默认为“监视”选项卡及其设备状态视图。
  • 此视图提供此策略的设备状态的高级概述，支持钻取以查看完整报告，以及同一策略的按设置状态视图。
  • 圆环图替换为分配了策略的设备返回的不同设备状态值的简化表示形式和计数。
  • 可以选择“属性”选项卡以查看策略详细信息，并查看和编辑其配置和分配。
  • 删除 “概要” 部分，这些详细信息显示在策略的“ 属性 ”选项卡中。
• 更新的状态报告支持按列排序、使用筛选器和搜索。 结合这些增强功能，可以透视报表以显示当时要查看的特定详细信息子集。 通过这些增强功能，我们删除了 用户状态 报告，因为它已变得多余。 现在，在查看默认设备状态报表时，可以通过在“用户主体名称”列上排序或在搜索框中搜索特定用户名来集中显示用户状态中提供的相同信息。
• 查看状态报告时，Intune 显示的设备计数现在在不同的报表视图之间保持一致，因为你钻取更深入的见解或详细信息。

有关这些更改的详细信息，请参阅 上的 https://aka.ms/Intune/device_compl_reportIntune 支持团队博客。

2023 年 8 月 14 日当周

应用管理

使用“关闭应用商店应用程序”设置禁用最终用户对应用商店应用的访问，并允许托管的 Intune 应用商店应用

在 Intune 中，可以使用新的 应用商店应用 类型将应用商店应用部署到设备。

现在，可以使用 关闭应用商店应用程序 策略来禁用最终用户对应用商店应用的直接访问。 禁用后，最终用户仍可以从 Windows 公司门户 应用和 Intune 应用管理访问和安装应用商店应用。 如果要允许在 Intune 外部随机安装应用商店应用，请不要配置此策略。

前面的“仅在 Microsoft Store 应用内显示专用应用商店”策略不会阻止最终用户使用 Windows 程序包管理器 winget API 直接访问应用商店。 因此，如果目标是阻止在客户端设备上随机安装非托管应用商店应用程序，则建议使用 “关闭应用商店应用程序 ”策略。 不要使用 “仅在 Microsoft Store 应用内显示专用应用商店”策略 。

有关详细信息，请转到将 Microsoft Store 应用添加到Microsoft Intune。

应用于：

• Windows 10 及更高版本

2023 年 8 月 7 日当周

基于角色的访问控制

在资源 Android for work 下引入新的基于角色的访问控制 (RBAC) 权限

引入新的 RBAC 权限 ，用于在资源 Android for work 下在 Intune 创建自定义角色。 权限 更新注册配置文件 允许管理员管理或更改用于注册设备的 AOSP 和 Android 企业设备所有者注册配置文件。

有关详细信息，请转到 创建自定义角色。

2023 年 7 月 31 日当周

设备安全性

适用于 Intune 终结点安全磁盘加密策略的新 BitLocker 配置文件

我们发布了为终结点安全磁盘加密策略创建新的 BitLocker 配置文件的新体验。 编辑以前创建的 BitLocker 策略的体验保持不变，你可以继续使用它们。 此更新仅适用于为 Windows 10 及更高版本平台创建的新 BitLocker 策略。

此更新是持续 推出的终结点安全策略新配置文件的一部分，该配置文件从 2022 年 4 月开始。

应用管理

使用 Windows 公司门户卸载 Win32 和 Microsoft Store 应用

如果应用分配为可用并由最终用户按需安装，则最终用户可以使用 Windows 公司门户卸载 Win32 应用和 Microsoft Store 应用。 对于 Win32 应用，可以选择启用或禁用此功能， (默认) 。 对于 Microsoft Store 应用，此功能始终处于打开状态，可供最终用户使用。 如果最终用户可以卸载应用，则最终用户将能够为 Windows 公司门户中的应用选择“卸载”。 相关信息请参阅将应用添加到 Microsoft Intune。

2023 年 7 月 24 日 (服务版本 2307)

应用管理

Intune 支持新的 Google Play Android 管理 API

对 Intune 中托管 Google Play 公共应用的管理方式进行了更改。 这些更改旨在支持 Google 的 Android 管理 API ， (打开 Google 的网站) 。

若要了解有关管理员和用户体验更改的详细信息，请转到 支持提示：Intune 迁移以支持新的 Google Play Android 管理 API。

应用于：

• Android Enterprise

Android Enterprise 公司拥有的设备的应用报表

现在，可以查看一个报表，其中包含在设备上找到的所有应用，适用于 Android Enterprise 公司拥有的方案，包括系统应用。 通过选择“应用监视>发现的应用>”，可在管理中心Microsoft Intune获取此报告。 你将看到设备上检测到已安装的所有应用的应用程序名称和版本。 应用信息最长可能需要 24 小时才能填充报表。 有关相关信息，请参阅 Intune 发现的应用。

将非托管 PKG 类型应用程序添加到托管 macOS 设备 [公共预览版]

现在，可以使用适用于 macOS 设备的 Intune MDM 代理将非托管 PKG 类型应用程序上传并部署到托管的 macOS 设备。 使用此功能可以部署自定义 PKG 安装程序，例如未签名的应用和组件包。 可以通过为应用类型选择 “应用>macOS>添加>macOS 应用 (PKG) ”，在 Intune 管理中心添加 PKG 应用。

有关详细信息，请参阅将非托管 macOS PKG 应用添加到Microsoft Intune。 若要部署托管 PKG 类型应用，可以继续将 macOS 业务线 (LOB) 应用添加到Microsoft Intune。 有关适用于 macOS 设备的 Intune MDM 代理的详细信息，请参阅 macOS Microsoft Intune管理代理。

应用于：

• macOS

适用于 iOS/iPadOS Web 剪辑应用类型的新设置

在 Intune 中，可以将 Web 应用固定到 iOS/iPadOS 设备 (应用>iOS/iPadOS>添加>iOS/iPadOS Web 剪辑) 。 添加 Web 剪辑时，有可用的新设置：

• 全屏：如果配置为 “是”，则会在不使用浏览器的情况下以全屏 Web 应用的形式启动 Web 剪辑。 没有 URL，也没有搜索栏，也没有书签。
• 忽略清单范围：如果配置为 “是”，全屏 Web 剪辑可以在不显示 Safari UI 的情况下导航到外部网站。 否则，当导航离开 Web 剪辑的 URL 时，将显示 Safari UI。 当 “全屏 ”设置为“ 否”时，此设置不起作用。 在 iOS 14 及更高版本中可用。
• 预编译：如果配置为 “是”，则阻止 Apple 的应用程序启动器 (SpringBoard) 向图标添加“shine”。
• 目标应用程序捆绑标识符：输入应用程序捆绑标识符，该标识符指定打开 URL 的应用程序。 在 iOS 14 及更高版本中可用。

有关详细信息，请转到将 Web 应用添加到Microsoft Intune。

应用于：

• iOS/iPadOS

添加Windows PowerShell脚本时更改为默认设置

在 Intune 中，可以使用策略将Windows PowerShell脚本部署到 Windows 设备， (设备>脚本>添加>Windows 10及更高版本) 。 添加Windows PowerShell脚本时，会配置一些设置。 为了提高 Intune 的默认安全行为，以下设置的默认行为已更改：

• “使用登录凭据运行此脚本”设置默认为“是”。 以前，默认值为 “否”。
• “强制脚本签名检查”设置默认为“是”。 以前，默认值为 “否”。

此行为适用于添加的新脚本，不适用于现有脚本。

有关在 Intune 中使用 Windows PowerShell 脚本的详细信息，请转到在 Intune 中的 Windows 10/11 设备上使用 PowerShell 脚本。

应用于：

• Windows 10 及更高版本（Windows 10 家庭版除外）

设备配置

添加了对范围标记的支持

现在，可以在公共预览版) 中使用 Zebra LifeGuard 无线集成 (创建部署时添加范围标记。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在 Microsoft Intune 管理中心中，可以在设备>配置文件>创建配置文件>macOS>设置目录中查看这些设置。

Microsoft AutoUpdate (MAU) ：

• 当前频道 (每月)

> Microsoft Defender用户界面首选项：

• 控制对使用者版本的登录

Microsoft Office > Microsoft Outlook：

• 禁用 Do not send response

用户体验 > 停靠：

• MCX 扩展坞特殊文件夹

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

MAC 地址终结点的合规性检索服务支持

现在，我们已向合规性检索服务添加了 MAC 地址支持。

CR 服务的初始版本支持仅使用 Intune 设备 ID，目的是消除管理内部标识符（如序列号和 MAC 地址）的需要。 通过此更新，喜欢使用 MAC 地址而不是证书身份验证的组织可以在实现 CR 服务时继续这样做。

虽然此更新向 CR 服务添加了 MAC 地址支持，但我们建议对证书中包含的 Intune 设备 ID 使用基于证书的身份验证。

有关 CR 服务作为 Intune 网络访问控制 (NAC) 服务的替代品的信息，请参阅 Intune 博客。https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696

Intune 安全基线中的设置见解已正式发布

宣布在 Microsoft Intune 中正式发布“设置见解”。

设置见解功能增加了对设置的见解，让你对类似组织已成功采用的配置充满信心。 设置见解目前可用于安全基线。

导航到 “终结点安全性安全>基线”。 创建和编辑工作流时，这些见解可用于使用灯泡的所有设置。

设备安全性

对 Azure 虚拟桌面上的 Windows 的篡改防护支持

Intune 现在支持使用终结点安全性 防病毒策略 来管理 Azure 虚拟桌面多会话设备上的 Windows 的篡改防护 。 对篡改防护的支持要求设备在应用启用篡改保护的策略之前加入到Microsoft Defender for Endpoint。

用于终结点特权管理的 EpmTools PowerShell 模块

EpmTools PowerShell 模块现在可用于 Intune Endpoint Privilege Management (EPM) 。 EpmTools 包括 Get-FileAttributes 等 cmdlet，可用于检索文件详细信息以帮助生成准确的提升规则，以及可用于排查或诊断 EPM 策略部署的其他 cmdlet。

有关详细信息，请参阅 EpmTools PowerShell 模块。

用于管理子进程的提升规则的终结点特权管理支持

使用 Intune Endpoint Privilege Management (EPM) 可以管理允许哪些文件和进程在 Windows 设备上 以管理员身份运行 。 现在，EPM 提升规则 支持新设置 “子进程行为”。

使用 子进程行为，规则可以管理托管进程创建的任何子进程的提升上下文。 选项包括：

• 允许托管进程创建的所有子进程始终作为提升进程运行。
• 仅当子进程与管理其父进程的规则匹配时，才允许其作为提升的进程运行。
• 拒绝所有子进程在提升的上下文中运行，在这种情况下，它们以标准用户身份运行。

终结点特权管理作为 Intune 加载项提供。 有关详细信息，请参阅 使用 Intune Suite 加载项功能。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 多莱！ for Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

已更新的“设置符合性和策略符合性”的报告以公共预览版提供

我们发布了两份新报告，作为 Intune 设备符合性的公共预览版。 可以在 Intune 管理中心的“报告>设备符合性>报告”选项卡中找到这些新的预览报表：

• 设置符合性 (预览版)
• 策略符合性 (预览版)

这两个报表都是现有报表的新实例，对旧版本进行了改进，包括：

• Linux 设置和设备的详细信息
• 支持排序、搜索、筛选、导出和分页视图
• 向下钻取报表以获取更深入的详细信息，这些详细信息将根据所选列进行筛选。
• 设备以一次表示。 此行为与原始报表形成鲜明对比，如果多个用户使用该设备，原始报表可能会多次对设备进行计数。

最终，设备>监视器管理中心中仍可用的旧报表版本将停用。

2023 年 7 月 10 日当周

应用管理

汇报到应用配置策略报告

作为我们不断改进 Intune 报告基础结构的一部分，有几个用户界面 (UI) 应用配置策略报告的更改。 UI 已更新为以下更改：

• 应用配置策略工作负荷的“概述”部分中没有“用户状态”磁贴或“不适用设备”磁贴。
• 应用配置策略工作负荷的“监视”部分没有用户安装状态报告。
• “应用配置策略”工作负荷的“监视”部分下的“设备安装状态报告”不再在“状态”列中显示“挂起”状态。

可以通过选择“应用>”“应用配置策略”，在管理中心Microsoft Intune配置策略报告。

2023 年 7 月 3 日当周

设备管理

Intune 支持 Android 13 上的 Zebra 设备

Zebra 将在其设备上发布对 Android 13 的支持。 有关详细信息，请参阅 迁移到 Android 13 (打开 Zebra 网站) 。

• Android 13 上的临时问题

  Intune 团队在 Zebra 设备上对 Android 13 进行了全面测试。 除设备管理员 (DA) 设备的以下两个临时问题外，一切都继续正常工作。

  对于运行 Android 13 且已注册 DA 管理的 Zebra 设备：

  1. 应用安装不会以无提示方式进行。 相反，如果用户允许通知) 请求允许应用安装的权限，公司门户应用 (会收到通知。 如果用户在出现提示时不接受应用安装，则不会安装该应用。 用户将在通知抽屉中收到永久通知，直到他们允许安装。

  2. 新的 MX 配置文件不适用于 Android 13 设备。 新注册的 Android 13 设备不会从 MX 配置文件接收配置。 以前应用于已注册设备的 MX 配置文件将继续应用。

  在 7 月晚些时候的更新中，这些问题将得到解决，并且行为将恢复到以前的方式。

• 将设备更新到 Android 13

  很快，你将能够使用 Intune 的 Zebra LifeGuard 无线集成将 Android Enterprise 专用和完全托管的设备更新到 Android 13。 有关详细信息，请转到 Zebra LifeGuard 空中集成与Microsoft Intune。

  在迁移到 Android 13 之前，请查看 迁移到 Android 13 (打开 Zebra 网站) 。

• 适用于 Android 13 上的 Zebra 设备的 OEMConfig

  Android 13 上的 Zebra 设备的 OEMConfig 需要使用 Zebra 的新 Zebra OEMConfig 提供支持的 MX OEMConfig 应用 (打开 Google Play 商店) 。 此新应用还可以在运行 Android 11 的 Zebra 设备上使用，但不能在早期版本上使用。

  有关此应用的详细信息，请转到 适用于 Android 11 及更高版本的新 Zebra OEMConfig 应用 博客文章。

  旧版 Zebra OEMConfig 应用 (打开 Google Play 商店，) 只能在运行 Android 11 及更早版本的 Zebra 设备上使用。

有关 Intune Android 13 支持的更多常规信息，请转到 Android 13 的 Day Zero 支持Microsoft Intune博客文章。

设备安全性

Defender for Endpoint 安全设置管理增强功能，以及公共预览版中对 Linux 和 macOS 的支持

借助 Defender for Endpoint 安全设置管理，可以使用 Intune 的终结点安全策略来管理载入到 Defender for Endpoint 但未注册 Intune 的设备上的 Defender 安全设置。

现在，可以从Microsoft Defender门户中选择加入公共预览版，以访问此方案的多项增强功能：

• Intune 的终结点安全策略在 中可见，可从 Microsoft Defender 门户中进行管理。 这使安全管理员能够保留在 Defender 门户中，以管理 Defender 和用于 Defender 安全设置管理的 Intune 终结点安全策略。

• 安全设置管理支持将 Intune 终结点安全防病毒策略部署到运行 Linux 和 macOS 的设备。

• 对于 Windows 设备，安全设置管理现在支持Windows 安全中心体验配置文件。

• 新的载入工作流消除了Microsoft Entra混合加入先决条件。 Microsoft Entra混合加入要求阻止许多 Windows 设备成功加入 Defender for Endpoint 安全设置管理。 通过此更改，这些设备现在可以完成注册并开始处理安全设置管理策略。

• Intune 在 Microsoft Entra ID 中为无法使用Microsoft Entra ID 进行完全注册的设备创建综合注册。 综合注册是在 Microsoft Entra ID 中创建的设备对象，使设备能够接收和报告 Intune 安全设置管理策略。 此外，如果具有合成注册的设备完全注册，则会从Microsoft Entra ID 中删除合成注册，以遵循完整注册。

如果未选择加入 Defender for Endpoint 公共预览版，则以前的行为将保持不变。 在这种情况下，虽然可以查看适用于 Linux 的防病毒配置文件，但不能将其部署为仅受 Defender 管理的设备支持。 同样，当前可用于注册 Intune 的设备的 macOS 配置文件不能部署到 Defender 管理的设备。

应用于：

• Linux
• macOS
• Windows

2023 年 6 月 26 日当周

设备配置

Android (AOSP) 支持分配筛选器

Android (AOSP) 支持分配筛选器。 为 Android (AOSP) 创建筛选器时，可以使用以下属性：

• DeviceName
• 制造商
• 模型
• DeviceCategory
• oSVersion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

有关筛选器的详细信息，请转到在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

应用于：

• Android

Windows 设备的按需修正

公共预览版中的新设备操作允许你在单个 Windows 设备上按需运行修正。 “ 运行修正 设备”操作允许你解决问题，而无需等待修正按其分配的计划运行。 还可以在设备的“监视”部分的“修正”下查看修正状态。

“运行修正设备”操作即将推出，可能需要几周时间才能到达所有客户。

有关详细信息，请转到：

• 修正

设备管理

Intune 中的 Windows 驱动程序更新管理已正式发布

宣布在 Microsoft Intune 中正式发布 Windows 驱动程序更新管理。 使用驱动程序更新策略，可以查看已分配给策略的Windows 10和Windows 11设备的推荐和适用的驱动程序更新列表。 适用的驱动程序更新是可以更新设备驱动程序版本的驱动程序更新。 驱动程序更新策略自动更新，以在驱动程序制造商发布新更新时添加新更新，并删除不再应用于具有该策略的任何设备的旧驱动程序。

可以为以下两种审批方法之一配置更新策略：

• 使用 自动批准，由驱动程序制造商发布并添加到策略的每个新 建议 驱动程序都将自动批准部署到适用设备。 在设备上安装自动批准的更新之前，可以为自动审批设置的策略配置延迟期。 此延迟使你有时间查看驱动程序并在必要时暂停其部署。

• 通过手动审批，所有新的驱动程序更新都会自动添加到策略，但管理员必须在Windows 更新将其部署到设备之前显式批准每个更新。 手动批准更新时，可以选择Windows 更新开始将其部署到设备的日期。

为了帮助你管理驱动程序更新，请查看策略并拒绝不想安装的更新。 还可以无限期暂停任何已批准的更新，并重新提供暂停的更新以重启其部署。

此版本还包括 驱动程序更新报告 ，这些报告提供成功摘要、每个已批准的驱动程序的每个设备更新状态以及错误和故障排除信息。 还可以选择单个驱动程序更新，并在包含该驱动程序版本的所有策略中查看有关该更新的详细信息。

若要了解如何使用 Windows 驱动程序更新策略，请参阅使用 Microsoft Intune 管理 Windows 驱动程序更新的策略。

应用于：

• Windows 10
• Windows 11

2023 年 6 月 19 日 (服务版本 2306)

应用管理

MAM for Microsoft Edge 商业版 [预览版]

现在，可以通过 Microsoft Edge 在个人 Windows 设备上启用对组织数据的受保护 MAM 访问。 此功能使用以下功能：

• Intune 应用程序配置策略 (ACP) 自定义 Microsoft Edge 中的组织用户体验
• Intune 应用程序保护策略 (应用) 来保护组织数据并确保使用 Microsoft Edge 时客户端设备正常运行
• Windows Defender客户端威胁防御与 Intune APP 集成，用于检测个人 Windows 设备上的本地运行状况威胁
• 应用程序保护条件访问，以确保设备在通过Microsoft Entra ID 授予受保护的服务访问权限之前受保护且正常运行

有关详细信息，请参阅预览版：应用保护 Windows 的策略设置。

若要参与公共预览版， 请完成选择加入表单。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在 Microsoft Intune 管理中心中，可以在设备>配置文件>创建配置文件>iOS/iPadOS 或 macOS for 平台>配置文件类型的设置目录上查看这些设置。

认证 >Extensible 单一登录 (SSO) ：

• 身份验证方法
• 拒绝的捆绑标识符
• 注册令牌

完整磁盘加密 > FileVault：

• 输出路径
• 用户名
• Password
• UseKeyChain

应用于：

• macOS

网络 > 网络使用规则：

• SIM 规则

应用于：

• iOS/iPadOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

设备固件配置接口 (DFCI) 支持华硕设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在“Microsoft Intune管理中心”中，选择“设备>配置文件>创建配置文件>Windows 10及更高版本”，为平台>模板>“设备固件配置接口”选择“配置文件类型”。

某些运行 Windows 10/11 的华硕设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

Intune 中删除 Saaswedo Datalert 电信费用管理

在 Intune 中，可以使用 Saaswedo 的 Datalert 电信费用管理来管理电信费用。 此功能将从 Intune 中删除。 此删除操作包括：

• 电信费用管理连接器

• 电信费用 RBAC 类别

  • 读取 权限
  • 更新 权限

有关 Saaswedo 的详细信息，请转到 datalert 服务不可用 ， (打开 Saaswedo 的网站) 。

应用于：

• Android
• iOS/iPadOS

Intune 安全基线中的设置见解

“设置”见解功能将见解添加到安全基线，让你对类似组织成功采用的配置充满信心。

导航到 “终结点安全性安全>基线”。 创建和编辑工作流时，这些见解以灯泡的形式提供。

设备管理

预览版中新的终结点安全应用程序控制策略

作为公共预览版，可以使用新的终结点安全策略类别“应用程序控制”。 终结点安全应用程序控制策略包括：

• 将 Intune 管理扩展设置为租户范围的托管安装程序的策略。 作为托管安装程序启用后，在启用托管安装程序) 到 Windows 设备后，通过 Intune (部署的应用将被 Intune 标记为已安装。 使用应用程序控制策略管理要允许或阻止哪些应用在托管设备上运行时，此标记将非常有用。

• 作为 Defender 应用程序控制 (WDAC) 实现的应用程序控制策略。 使用终结点安全应用程序控制策略，可以轻松配置允许受信任的应用在托管设备上运行的策略。 受信任的应用由托管安装程序或从应用商店安装。 除了内置信任设置，这些策略还支持自定义 XML 进行应用程序控制，以便允许其他源运行其他应用以满足组织要求。

若要开始使用此新策略类型，请参阅使用应用程序控制策略管理 Windows 设备的已批准应用和适用于Microsoft Intune的托管安装程序

应用于：

• Windows 10
• Windows 11

终结点分析可用于政府云中的租户

在此版本中，终结点分析可用于政府云中的租户。

详细了解 终结点分析。

远程帮助中的会话内连接模式切换简介

在远程帮助中，你现在可以利用会话内连接模式切换功能。 此功能有助于在完全控制模式和仅视图模式之间轻松切换，从而提供灵活性和便利性。

有关远程帮助的详细信息，请转到远程帮助。

应用于：

• windows 10/11

设备安全性

终结点特权管理报表的更新

Intune 的 Endpoint Privilege Management (EPM) 报表现在支持将完整的报告有效负载导出到 CSV 文件。 通过此更改，现在可以从 Intune 中的提升报表导出所有事件。

终结点特权管理现在可在顶级菜单上使用提升的访问权限选项运行，Windows 11

在Windows 11设备上，“使用提升的访问权限运行”的 Endpoint Privilege Management 选项现在作为顶级右键单击选项提供。 在此更改之前，标准用户需要选择“显示更多选项”，才能在Windows 11设备上查看“使用提升的访问权限运行”提示。

终结点特权管理 作为 Intune 加载项提供。 有关详细信息，请参阅 使用 Intune Suite 加载项功能。

应用于：

• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText， Inc. (iOS)
• MyQ Roger：OCR 扫描仪 PDF by MyQ spol。 s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile by Vbrick Systems

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Microsoft Intune故障排除窗格现已正式发布

Intune 故障排除窗格现已正式发布。 它提供有关用户设备、策略、应用程序和状态的详细信息。 故障排除窗格包括以下信息：

• 策略、合规性和应用程序部署状态的摘要。
• 支持导出、筛选和排序所有报表。
• 支持通过排除策略和应用程序进行筛选。
• 支持筛选到用户的单个设备。
• 有关可用设备诊断和已禁用设备的详细信息。
• 有关三天或三天以上未签入服务的脱机设备的详细信息。

可以通过选择“故障排除 + 支持>故障排除”，在 Microsoft Intune 管理中心找到故障排除窗格。

更新了 Intune 中的“故障排除 + 支持”窗格

通过将“角色和范围”报表合并为单个报表，更新了 Intune 管理中心中的“故障排除 + 支持”窗格。 此报表现在包括 Intune 和 Microsoft Entra ID 的所有相关角色和范围数据，从而提供更简化、更高效的体验。 有关相关信息，请参阅使用故障排除仪表板帮助公司用户。

下载移动应用诊断

现已正式发布，可在 Intune 管理中心访问用户提交的移动应用诊断，包括通过公司门户应用（包括 Windows、iOS、Android、Android AOSP 和 macOS）发送的应用日志。 此外，还可以通过 Microsoft Edge 检索应用保护日志。 有关详细信息，请参阅公司门户应用日志和使用适用于 iOS 和 Android 的 Microsoft Edge 访问托管应用日志。

2023 年 6 月 12 日当周

设备管理

适用于 Android 开源设备的 Microsoft Intune 支持来自宏达和 Pico 的新设备

适用于 Android 开放源代码 项目设备 (AOSP) 的 Microsoft Intune现在支持以下设备：

• HTC Vive XR Elite
• Pico Neo 3 Pro
• Pico 4

有关详细信息，请转到：

• Microsoft Intune 支持的操作系统和浏览器

• Android 开源项目支持的设备

应用于：

• Android (AOSP)

应用管理

适用于企业的 Microsoft Store或适用于教育的 Microsoft Store

从适用于企业的 Microsoft Store或适用于教育的 Microsoft Store添加的应用不会部署到设备和用户。 应用在报告中显示为“不适用”。 已部署的应用不受影响。 使用 新的 Microsoft Store 应用 将 Microsoft Store 应用部署到设备或用户。 有关相关信息，请参阅计划更改：在适用于企业的 Microsoft Store应用不再部署和删除适用于企业的 Microsoft Store应用时，终止对适用于企业的 Microsoft Store和教育应用的支持。

有关详细信息，请参阅以下资源：

• 更新到 Intune 与 Windows 上的 Microsoft Store 的集成
• 使用 Intune 拥抱 Microsoft Store 的未来：分步指南
• 通过 Intune for Education 拥抱 Microsoft Store 的未来：分步指南

2023 年 6 月 5 日当周

设备配置

Android Enterprise 11+ 设备可以使用 Zebra 的最新 OEMConfig 应用版本

在 Android Enterprise 设备上，可以使用 OEMConfig 在Microsoft Intune (设备>配置文件>中创建配置文件>Android Enterprise for platform >OEMConfig) 中添加、创建和自定义特定于 OEM 的设置。

有一个新的 Zebra OEMConfig 由 MX OEMConfig 应用提供支持 ，它更符合 Google 的标准。 此应用支持 Android Enterprise 11.0 及更新的设备。

旧 版 Zebra OEMConfig 应用继续支持 Android 11 及更早版本的设备。

在托管 Google Play 中，有两个版本的 Zebra OEMConfig 应用。 请务必选择适用于 Android 设备版本的正确应用。

有关 OEMConfig 和 Intune 的详细信息，请转到在 Microsoft Intune 中使用和管理具有 OEMConfig 的 Android Enterprise 设备。

应用于：

• Android Enterprise 11.0 及更新版本

2023 年 5 月 29 日当周

设备管理

Intune UI 将 Windows Server 设备显示为不同于适用于Microsoft Defender for Endpoint安全管理的 Windows 客户端

为了支持Microsoft Defender for Endpoint (MDE 安全配置) 方案的安全管理，Intune 现在将Microsoft Entra ID 中的 Windows 设备区分为运行 Windows Server 的设备，或作为 Windows（适用于运行 Windows 10 或 的设备）Windows 11。

通过此更改，可以改进 MDE 安全配置的策略目标。 例如，可以使用仅包含 Windows Server 设备的动态组，或者仅使用 (Windows 10/11) 的 Windows 客户端设备。

有关此更改的详细信息，请参阅 Intune 客户成功博客 Windows Server 设备现已在 Microsoft Intune 中识别为新 OS，Microsoft Entra ID 和 Defender for Endpoint 。

租户管理

Windows 11的组织消息现已正式发布

使用组织消息向员工提供品牌化、个性化的行动号召。 从超过 25 条消息中进行选择，这些消息支持员工通过设备载入和生命周期管理，采用 15 种不同语言。 可以将消息分配给Microsoft Entra用户组。 它们显示在任务栏正上方、通知区域或运行Windows 11的设备上的“入门”应用中。 消息会根据在 Intune 中配置的频率继续显示或重新出现，直到用户访问自定义 URL 为止。

此版本中添加的其他特性和功能包括：

• 在第一条消息之前确认许可要求。
• 从八个新主题中为任务栏消息选择。
• 为消息提供自定义名称。
• 添加范围组和范围标记。
• 编辑计划邮件的详细信息。

作用域标记以前对组织消息不可用。 通过添加范围标记支持，Intune 会将默认范围标记添加到 2023 年 6 月之前创建的每条消息。 想要访问这些邮件的管理员必须与具有相同标记的角色相关联。 有关可用功能和如何设置组织消息的详细信息，请参阅 组织消息概述。

2023 年 5 月 22 日 (服务版本 2305)

应用管理

更新到 macOS shell 脚本的最大运行时间限制

根据客户反馈，我们将更新适用于 macOS 的 Intune 代理 (版本 2305.019) ，以将最大脚本运行时间延长到 60 分钟。 以前，适用于 macOS 的 Intune 代理只允许 shell 脚本运行长达 15 分钟，然后才能将脚本报告为失败。 适用于 macOS 2206.014 及更高版本的 Intune 代理支持 60 分钟超时。

分配筛选器支持应用保护策略和应用配置策略

分配筛选器支持 MAM 应用保护策略和应用配置策略。 创建新筛选器时，可以使用以下属性微调 MAM 策略目标：

• 设备管理类型
• 设备制造商
• 设备型号
• 操作系统版本
• 应用程序版本
• MAM 客户端版本

重要

使用 设备类型 目标的所有新应用保护策略和编辑的应用保护策略都会替换为分配筛选器。

有关筛选器的详细信息，请转到在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

在 Intune 中更新 MAM 报告

MAM 报告已经过简化和彻底改革，现在使用 Intune 的最新报告基础结构。 这样做的好处包括提高数据准确性和即时更新。 可以通过选择“应用>监视器”，在Microsoft Intune管理中心找到这些简化的 MAM 报表。 所有可用的 MAM 数据都包含在新的应用保护状态报告和应用配置状态报告中。

全局安静时间应用策略设置

全局静默时间设置允许创建策略，以便为最终用户计划静默时间。 这些设置会自动将 iOS/iPadOS 和 Android 平台上的 Microsoft Outlook 电子邮件和 Teams 通知静音。 这些策略可用于限制下班后收到的最终用户通知。 有关详细信息，请参阅 静默时间通知策略。

设备配置

在 远程帮助 中引入增强聊天

通过远程帮助引入增强聊天功能。 通过新的和增强的聊天，你可以维护所有消息的连续线程。 此聊天支持特殊字符和其他语言，包括中文和阿拉伯语。

有关远程帮助的详细信息，请转到远程帮助。

应用于：

• windows 10/11

远程帮助管理员可以引用审核日志会话

对于远程帮助，除了现有会话报告外，管理员现在还可以引用在 Intune 中创建的审核日志会话。 此功能使管理员能够引用过去的事件，以便对日志活动进行故障排除和分析。

有关远程帮助的详细信息，请转到远程帮助。

应用于：

• Windows 10
• Windows 11

使用设置目录在Windows 11设备上打开/关闭个人数据加密

设置目录包括数百个可以配置和部署到设备的设置。

在设置目录中，可以打开/关闭 个人数据加密 (PDE) 。 PDE 是 Windows 11 版本 22H2 中引入的一项安全功能，可为 Windows 提供更多加密功能。

PDE 不同于 BitLocker。 PDE 加密单个文件和内容，而不是整个卷和磁盘。 可以将 PDE 与其他加密方法（例如 BitLocker）配合使用。

有关设置目录的详细信息，请转到：

• 使用设置目录以在 Windows、iOS/iPadOS 和 macOS 设备上配置设置
• 可以使用 Intune 中的设置目录完成的常见任务

此功能适用于：

• Windows 11

Visual Studio ADMX 设置位于设置目录和管理模板中

Visual Studio 设置包含在设置目录和管理模板 (ADMX) 中。 以前，若要在 Windows 设备上配置 Visual Studio 设置，请使用 ADMX 导入来导入这些设置。

有关这些策略类型的详细信息，请转到：

• 使用设置目录配置设置
• 使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
• Visual Studio 管理模板 (ADMX)

应用于：

• Windows 10
• Windows 11

组策略分析支持范围标记

在组策略分析中，导入本地 GPO。 该工具会分析 GPO，并显示可在 Intune 中使用 (且不能) 的设置。

在 Intune 中导入 GPO XML 文件时，可以选择现有的范围标记。 如果未选择范围标记，则会自动选择 “默认 范围标记”。 以前，在导入 GPO 时，分配给你的范围标记会自动应用于 GPO。

只有该范围标记内的管理员才能看到导入的策略。 不在该范围标记中的管理员看不到导入的策略。

此外，其作用域标记内的管理员可以迁移他们有权查看的导入策略。 若要将导入的 GPO 迁移到设置目录策略，范围标记必须与导入的 GPO 相关联。 如果未关联范围标记，则无法迁移到设置目录策略。 如果未选择作用域标记，则会自动应用默认范围标记。

有关范围标记和组策略分析的详细信息，请转到：

• 在 Microsoft Intune 中使用组策略分析分析本地 GPO
• 使用导入的 GPO 创建设置目录策略
• 针对分散 IT 使用基于角色的访问控制（RBAC）和范围标记

引入 Intune 与 Zebra Lifeguard 空中服务 (公共预览版)

Microsoft Intune现在以公共预览版提供，支持与 Zebra Lifeguard 无线服务集成，这使你可以通过无线方式向注册到 Intune 的合格 Zebra 设备提供 OS 更新和安全修补程序。 可以选择要部署的固件版本、设置计划以及错开更新下载和安装。 还可以针对何时发生更新设置最低电池电量、充电状态和网络条件要求。

适用于运行 Android 8 或更高版本且需要 Zebra 帐户的 Android Enterprise 专用和完全托管 Zebra 设备。

具有工作配置文件的 Android Enterprise 个人拥有设备的新 Google 域允许列表设置

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，可以配置限制设备功能和设置的设置。

目前，有一个 “添加和删除帐户 ”设置，可允许将 Google 帐户添加到工作配置文件。 对于此设置，选择“ 允许所有帐户类型”时，还可以配置：

• Google 域允许列表：限制用户在工作配置文件中仅添加某些 Google 帐户域。 可以导入允许的域列表，或使用 格式将其添加到管理中心 contoso.com 。 默认情况下，如果留空，OS 可能允许在工作配置文件中添加所有 Google 域。

有关可以配置的设置的详细信息，请转到 Android Enterprise 设备设置列表，以允许或限制使用 Intune 的个人拥有设备上的功能。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

将主动修正重命名为修正并移动到新位置

主动修正现在是“修正”，可从 “设备>修正”获取。 在下一个 Intune 服务更新之前，仍可以在新位置和现有 报表>终结点分析 位置中找到修正。

新 设备体验预览版中当前不提供修正。

应用于：

• Windows 10
• Windows 11

现已在 Intune 中为美国政府 GCC High 和 DoD 提供修正

(以前称为主动修正) 的修正现已在美国政府 GCC High 和 DoD 的 Microsoft Intune中提供。

应用于：

• Windows 10
• Windows 11

为 Windows 设备上的 VPN 配置文件创建入站和出站网络流量规则

注意

此设置将在未来版本中推出，可能是 2308 Intune 版本。

可以创建一个设备配置文件，用于将 VPN 连接部署到设备 (设备>配置文件>创建配置文件>Windows 10及更高版本用于平台>模板>VPN 的配置文件类型) 。

在此 VPN 连接中，可以使用 应用和流量规则 设置来创建网络流量规则。

可以配置新的 “方向 ”设置。 使用此设置可允许来自 VPN 连接的入站和出站流量：

• 出站 (默认) ：仅允许使用 VPN 流向外部网络/目标的流量。 入站流量被阻止进入 VPN。
• 入站：仅允许来自外部网络/源的流量使用 VPN 流动。 阻止出站流量进入 VPN。

有关可以配置的 VPN 设置（包括网络流量规则设置）的详细信息，请转到 使用 Intune 添加 VPN 连接的 Windows 设备设置。

应用于：

• Windows 10 及更高版本

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在 Microsoft Intune 管理中心中，可以在设备>配置文件>创建配置文件>macOS for platform >设置目录（用于配置文件类型）中查看这些设置。

> Microsoft Defender防病毒引擎：

• 在存档文件中扫描
• 启用文件哈希计算

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到 使用设置目录创建策略。

适用于 macOS 的擦除设备操作和新的擦除行为设置

现在可以对 macOS 设备使用 擦除 设备操作，而不是 Erase。 还可以将 “清除行为” 设置配置为 “擦除 ”操作的一部分。

使用此新密钥可以控制具有 Apple Silicon 或 T2 安全芯片的 Mac 上的擦除回退行为。 若要查找此设置，请导航到“设备”操作区域中的“设备>”macOS>[选择设备]>“概述>擦除”。

有关“清除行为”设置的详细信息，请转到 Apple 的平台部署站点 擦除 Apple 设备 - Apple 支持。

应用于：

• macOS

设备注册

帐户驱动的 Apple 用户注册适用于 iOS/iPadOS 15+ 设备 (公共预览版)

Intune 支持帐户驱动用户注册，这是适用于 iOS/iPadOS 15+ 设备的 Apple 用户注册的全新改进变体。 新选项现已提供公共预览版，它利用实时注册，无需在注册期间公司门户应用。 设备用户可以直接在“设置”应用中启动注册，从而获得更短、更高效的载入体验。 可以使用使用公司门户的现有基于配置文件的用户注册方法继续面向 iOS/iPadOS 设备。 运行 iOS/iPadOS 版本 14.8.1 及更早版本的设备不受此更新影响，可以继续使用现有方法。 有关详细信息，请参阅 设置帐户驱动的 Apple 用户注册。

设备安全性

Microsoft 365 Office 应用的新安全基线

我们发布了新的安全基线，可帮助你管理 M365 Office 应用的安全配置。 此新基线使用更新的模板和体验，该模板和体验使用 Intune 设置目录中的统一设置平台。 可以在 office) 的 Microsoft 365 应用版 企业基线设置 (查看新基线中的设置列表。

新的 Intune 安全基线格式使可用于 Intune 设置目录中的设置的表示形式保持一致。 这种一致性有助于解决过去设置名称和设置实现时可能产生冲突的问题。 新格式还改进了 Intune 管理中心中基线的报告体验。

Microsoft 365 Office 应用基线可帮助你快速将配置部署到满足 Microsoft Office 和安全团队安全建议的 Office 应用。 与所有基线一样，默认基线表示建议的配置。 可以修改默认基线以满足组织的要求。

若要了解详细信息，请参阅 安全基线概述。

应用于：

• Windows 10
• Windows 11

Microsoft Edge 版本 112 的安全基线更新

我们发布了适用于 Microsoft Edge 的 Intune 安全基线新版本版本 112。 除了为 Microsoft Edge 发布此新版本外，新基线还使用更新的模板体验，该体验使用 Intune 设置目录中的统一设置平台。 可以在 Microsoft Edge 基线设置中查看新基线中的设置列表 ， (版本 112 及更高版本) 。

新的 Intune 安全基线格式使可用于 Intune 设置目录中的设置的表示形式保持一致。 这种一致性有助于解决过去设置名称和设置实现时可能产生冲突的问题。 新格式还改进了 Intune 管理中心中基线的报告体验。

新的基线版本可用后，为 Microsoft Edge 创建的所有新配置文件都使用新的基线格式和版本。 当新版本成为默认基线版本时，你可以继续使用以前为旧版 Microsoft Edge 创建的配置文件。 但是，无法为旧版 Microsoft Edge 创建新的配置文件。

若要了解详细信息，请参阅 安全基线概述。

应用于：

• Windows 10
• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 成就者公司
• Board.Vision for iPad by Trusted Services PTE。 有限公司。
• Global Relay Communications Inc. 的全球中继
• Incorta (BestBuy) 由 Incorta， Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon for Intune by Klaxoon (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2023 年 5 月 8 日当周

设备配置

设备固件配置接口 (DFCI) 支持 Dynabook 设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在“Microsoft Intune管理中心”中，选择“设备>配置文件>创建配置文件>Windows 10及更高版本”，为平台>模板>“设备固件配置接口”选择“配置文件类型”。

某些运行 Windows 10/11 的 Dynabook 设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

通过下载服务器对 Windows 电脑进行 eSIM 批量激活现已在设置目录中提供

现在可以使用设置目录对 Windows eSIM 电脑执行大规模配置。 使用配置文件配置 (SM-DP+) 下载服务器。

设备收到配置后，会自动下载 eSIM 配置文件。 有关详细信息，请转到 下载服务器的 eSIM 配置。

应用于：

• Windows 11
• 支持 eSIM 的设备

2023 年 5 月 1 日当周

应用管理

macOS shell 脚本最大运行时间限制

我们修复了导致具有长时间运行的 shell 脚本的 Intune 租户无法报告脚本运行状态的问题。 macOS Intune 代理停止运行时间超过 15 分钟的任何 macOS shell 脚本。 这些脚本报告为失败。 从 macOS Intune 代理版本 2305.019 强制实施新行为。

适用于 macOS 的 DMG 应用安装

适用于 macOS 的 DMG 应用安装功能现已正式发布。 Intune 支持 DMG 应用的 必需 和 卸载 分配类型。 适用于 macOS 的 Intune 代理用于部署 DMG 应用。 有关相关信息，请参阅 将 DMG 类型应用程序部署到托管 macOS 设备。

弃用适用于企业的 Microsoft Store和教育

适用于企业的 Microsoft Store连接器在Microsoft Intune管理中心不再可用。 从 适用于企业的 Microsoft Store 或 适用于教育的 Microsoft Store 添加的应用不会与 Intune 同步。 以前同步的应用将继续可用并部署到设备和用户。

现在还可以从Microsoft Intune管理中心的“应用”窗格中删除适用于企业的 Microsoft Store应用，以便在移动到新的 Microsoft Store 应用类型时可以清理环境。

有关相关信息，请参阅计划更改：在适用于企业的 Microsoft Store应用将不部署和删除适用于企业的 Microsoft Store应用时，终止对适用于企业的 Microsoft Store和教育应用的支持。

设备配置

远程帮助现在支持条件访问功能

管理员现在可以在为远程帮助设置策略和条件时利用条件访问功能。 例如，多重身份验证、安装安全更新以及锁定对特定区域或 IP 地址远程帮助的访问。

有关详细信息，请转到：

• 条件访问
• 远程帮助

设备安全性

更新了终结点安全防病毒策略中Microsoft Defender的设置

我们已更新终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件中的可用设置。 可以在 Intune 管理中心中找到此配置文件：Endpoint security>防病毒>平台：Windows 10、Windows 11和 Windows Server>配置文件：Microsoft Defender防病毒。

• 已添加以下设置：

  • 按流量计费的连接汇报
  • 禁用 Tls 分析
  • 禁用 Http 分析
  • 禁用 Dns 分析
  • 禁用基于 Tcp 的 Dns 分析
  • 禁用 Ssh 分析
  • 平台汇报通道
  • 引擎汇报通道
  • 安全智能汇报通道
  • 允许网络保护下一级
  • 允许在 Win 服务器上处理数据报
  • 启用 Dns Sinkhole

  有关这些设置的详细信息，请参阅 Defender CSP。 还可以通过 Intune 设置目录获取新设置。

• 以下设置已弃用：

  • 允许入侵防护系统

  此设置现在显示，其中包含 “已弃用” 标记。 如果以前在设备上应用了此弃用的设置，则设置值将更新为 NotApplicable ，并且对设备没有影响。 如果在设备上配置了此设置，则对设备没有影响。

应用于：

• Windows 10
• Windows 11

新增功能存档

对于前几个月，请参阅 新增功能存档。

通知

这些通知提供了重要信息，可以帮助你为未来的 Intune 更改和功能做好准备。

使用 Intune 应用 SDK 的包装 iOS 应用和 iOS 应用需要 Azure AD 应用注册

我们正在进行更新，以提高 Intune 移动应用程序管理 (MAM) 服务的安全性。 此更新要求在 2024 年 3 月 31 日之前，将 iOS 包装的应用和 SDK 集成应用注册到 Microsoft Entra ID (以前的 Azure Active Directory (Azure AD) ) ，才能继续接收 MAM 策略。

这对你或你的用户有何影响?

如果包装的应用或 SDK 集成应用未注册到 Azure AD，这些应用将无法连接到 MAM 服务来接收策略，并且用户无法访问未注册的应用。

如何准备?

在此更改之前，需要向 Azure AD 注册应用。 有关详细说明，请参阅下文。

1. 按照以下说明将应用注册到 Azure AD：向 Microsoft 标识平台注册应用程序。
2. 将自定义重定向 URL 添加到应用设置，如 此处所述。
3. 为应用授予对 Intune MAM 服务的访问权限，有关说明，请参阅 此处。
4. 完成上述更改后， (MSAL) 为 Microsoft 身份验证库配置应用：
   1. 对于包装的应用：使用 Intune App Wrapping Tool将 Azure AD 应用程序客户端 ID 添加到命令行参数中，如文档中所述：使用 Intune App Wrapping Tool包装 iOS 应用 |Microsoft Learn -ac 和 -ar 是必需参数。 每个应用都需要一组唯一的这些参数。 -aa 仅适用于单租户应用程序。
   2. 有关 SDK 集成应用，请参阅Microsoft Intune适用于 iOS 的应用 SDK 开发人员指南 |Microsoft Learn。 ADALClientId 和 ADALRedirectUri/ADALRedirectScheme 现在是必需参数。 仅单租户应用程序需要 ADALAuthority。
5. 部署应用。
6. 验证上述步骤：
   1. 面向“com.microsoft.intune.mam.IntuneMAMOnly.RequireAADRegistration”应用程序配置策略，并将其设置为“已启用 - Intune 应用 SDK 托管应用的配置策略 - Microsoft Intune |Microsoft Learn
   2. 面向应用程序的应用保护策略。 启用 “用于访问的工作或学校帐户凭据”策略 ，并将“在 (分钟不活动) 后重新检查访问要求”设置设置为低数字，例如 1。
7. 然后在设备上启动应用程序，并验证登录 (在应用启动时每分钟都需要) 配置的参数成功发生。
8. 请注意，如果在执行其他步骤之前仅执行步骤 6 和 #7，可能会在应用程序启动时被阻止。 如果某些参数不正确，你也会注意到相同的行为。
9. 完成验证步骤后，可以撤消步骤 6 中所做的更改。

注意

Intune 很快需要使用 MAM 为 iOS 设备注册 Azure AD 设备。 如果启用了条件访问策略，则设备应已注册，并且不会注意到任何更改。 有关详细信息，请参阅Microsoft Entra已注册的设备 - Microsoft Entra |Microsoft Learn。

更改计划：将 Jamf macOS 设备从条件访问过渡到设备符合性

我们一直在与 Jamf 合作制定迁移计划，帮助客户将 macOS 设备从 Jamf Pro 的条件访问集成过渡到其设备符合性集成。 设备符合性集成使用较新的 Intune 合作伙伴合规性管理 API，它涉及比合作伙伴设备管理 API 更简单的设置，并将 macOS 设备与 Jamf Pro 管理的 iOS 设备置于同一 API 上。 2024 年 9 月 1 日之后，将不再支持基于 Jamf Pro 的条件访问功能的平台。

请注意，某些环境中的客户最初无法转换，有关详细信息和更新，请阅读博客： 支持提示：将 Jamf macOS 设备从条件访问过渡到设备符合性。

这对你或你的用户有何影响?

如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成，请遵循 Jamf 记录的指南将设备迁移到设备符合性集成： 从 macOS 条件访问迁移到 macOS 设备符合性 – Jamf Pro 文档。

设备符合性集成完成后，某些用户可能会看到一次性提示输入其 Microsoft 凭据。

如何准备?

如果适用，请按照 Jamf 提供的说明迁移 macOS 设备。 如果需要帮助，请联系 Jamf Customer Success。 有关详细信息和最新更新，请阅读博客文章： 支持提示：将 Jamf macOS 设备从条件访问过渡到设备符合性。

更新到最新的 Intune App SDK 和适用于 iOS 的 Intune 应用包装器，以支持 iOS/iPadOS 17

若要支持即将发布的 iOS/iPadOS 17 版本，请更新到最新版本的 Intune App SDK 和适用于 iOS 的 App Wrapping Tool，以确保应用程序保持安全并顺利运行。 此外，对于使用条件访问授予“需要应用保护策略”的组织，用户应在升级到 iOS 17 之前将其应用更新到最新版本。 若要了解详细信息，请阅读博客： 使用 MAM 策略更新 Intune App SDK、Wrapper 和 iOS 应用以支持 iOS/iPadOS 17。

更改计划：删除 Microsoft Graph Beta API Android LOB 应用属性“identityVersion”和“identityName”

通过 Intune 的 10 月 (2310) 服务版本，我们将从 Microsoft Graph Beta API 托管 AndroidLobApp 资源类型中删除 Android 业务线 (LOB) 应用属性“identityVersion”和“identityName”。 可以使用图形 API“versionCode”和“versionName”属性找到相同的数据。

这对你或你的用户有何影响?

如果使用 Android LOB 应用属性“identityVersion”和“identityName”实现自动化或报告，则需要更新为“versionName”和“versionCode”属性，以便 Graph 调用继续工作。

如何准备?

根据需要更新文档和报告。

更改计划：Intune 于 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Google 已弃用 Android 设备管理员管理，继续删除管理功能，不再提供修复或改进。 由于这些更改，Intune 将从 2024 年 8 月 30 日起终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理的支持。 在此之前，我们将在运行 Android 14 及更早版本的设备上支持设备管理员管理。 有关详细信息，请阅读博客：Microsoft Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持。

这对你或你的用户有何影响?

Intune 终止对 Android 设备管理员的支持后，有权访问 GMS 的设备将通过以下方式受到影响：

1. 用户无法向 Android 设备管理员注册设备。
2. Intune 不会对 Android 设备管理员管理进行更改或更新，例如 bug 修复、安全修复或修复，以解决新 Android 版本中的更改。
3. Intune 技术支持将不再支持这些设备。

如何准备?

停止将设备注册到 Android 设备管理员，并将受影响的设备迁移到其他管理方法。 可以检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 “设备>所有设备 ”，将 OS 列筛选到 Android (设备管理员) 以查看设备列表。

阅读博客，Microsoft Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持，了解我们推荐的替代 Android 设备管理方法，以及有关无法访问 GMS 的设备的影响的信息。

更改计划：Intune 正在迁移以支持 iOS/iPadOS 15 及更高版本

今年晚些时候，我们预计苹果将发布iOS 17。 Microsoft Intune（包括 Intune 公司门户 和 Intune 应用保护策略） (APP（也称为 MAM) ）将在 iOS 17 发布后不久要求 iOS 15/iPadOS 15 及更高版本。

这对你或你的用户有何影响?

如果你正在管理 iOS/iPadOS 设备，则可能是设备无法升级到 iOS/iPadOS 15) 支持的最低版本 (。

由于 iOS/iPadOS 15.0 及更高版本支持Office 365移动应用，因此此更改可能不会对你造成影响。 你可能已经升级了 OS 或设备。

若要检查哪些设备支持 iOS 15 或 iPadOS 15 (（如果适用) ），请参阅以下 Apple 文档：

• 支持的 iPhone 型号
• 支持的 iPad 型号

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况，其支持声明略有细微差别。 支持的最低操作系统版本将更改为 iOS 15/iPadOS 15，而允许的操作系统版本将更改为 iOS 12/iPadOS 12 及更高版本。 有关详细信息 ，请参阅此关于 ADE 无用户支持的声明 。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备，请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备，请转到“应用>监视器>应用保护状态”，并使用“平台和平台版本”列进行筛选。 请注意，当前存在一个已知问题，即应用保护状态报告中缺少多个列。 我们预计很快会得到修复。

若要管理组织中支持的 OS 版本，可以对 MDM 和 APP 使用Microsoft Intune控件。 有关详细信息，请参阅 使用 Intune 管理操作系统版本。

更改计划：Intune 将在今年晚些时候转向支持 macOS 12 及更高版本

今年晚些时候，我们预计苹果将发布 macOS 14 Sonoma。 Microsoft Intune，公司门户应用和 Intune 移动设备管理代理将迁移到支持 macOS 12 及更高版本。 由于适用于 iOS 和 macOS 的 公司门户 应用是统一应用，因此此更改将在 iOS/iPadOS 17 发布后不久发生。

这对你或你的用户有何影响?

如果当前或计划使用 Intune 管理 macOS 设备，则此更改仅影响你。 此更改可能不会影响你，因为你的用户可能已升级其 macOS 设备。 有关受支持的设备列表，请参阅 macOS Monterey 与这些计算机兼容。

注意

当前在 macOS 11.x 或更早版本上注册的设备将继续保持注册状态，即使这些版本不再受支持。 如果新设备正在运行 macOS 11.x 或更早版本，则它们将无法注册。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列，以帮助确定组织中谁拥有运行 macOS 11.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。

更改计划：终止对适用于企业的 Microsoft Store和教育应用的支持

2023 年 4 月，我们将开始终止对 Intune 中适用于企业的 Microsoft Store体验的支持。 这在几个阶段发生。 有关详细信息，请参阅：在 Intune 中将适用于企业的 Microsoft Store和教育应用添加到 Microsoft Store

这对你或你的用户有何影响?

如果使用 适用于企业的 Microsoft Store 和教育应用：

1. 2023 年 4 月 30 日，Intune 将断开适用于企业的 Microsoft Store服务。 适用于企业的 Microsoft Store和教育应用将无法与 Intune 同步，连接器页将从 Intune 管理中心中删除。
2. 2023 年 6 月 15 日，Intune 将停止在设备上强制实施联机和脱机适用于企业的 Microsoft Store和教育应用。 下载的应用程序保留在设备上，但支持有限。 用户可能仍可以从其设备访问应用，但不会管理该应用。 保留现有的已同步 Intune 应用对象，以允许管理员查看已同步的应用及其分配。 此外，你将无法通过 Microsoft 图形 API syncMicrosoftStoreForBusinessApps 同步应用，相关 API 属性将显示过时的数据。
3. 2023 年 9 月 15 日，适用于企业的 Microsoft Store和教育应用将从 Intune 管理中心中删除。 在有意删除之前，设备上的应用会一直保留。 Microsoft 图形 API microsoftStoreForBusinessApp 在大约一个月后将不再可用。

请注意，适用于企业的 Microsoft Store和教育已于 2021 年宣布停用。 适用于企业的 Microsoft Store和教育门户停用后，管理员将无法再管理从适用于企业的 Microsoft Store和教育门户同步或下载脱机内容的适用于企业的 Microsoft Store和教育应用列表。

如何准备?

建议通过 Intune 中的新 Microsoft Store 应用体验添加应用。 如果应用在 Microsoft Store 中不可用，则需要从供应商处检索应用包，并将其安装为业务线 (LOB) 应用或 Win32 应用。 有关说明，请阅读以下文章：

• 将 Microsoft Store 应用添加到 Microsoft Intune
• 将 Windows 业务线应用添加到 Microsoft Intune
• 在 Microsoft Intune 中添加、分配和监视 Win32 应用

相关信息

• 更新到 Intune 与 Windows 上的 Microsoft Store 的集成
• 解压缩终结点管理：Intune 中应用管理的未来

更改计划：终止对 Windows 信息保护的支持

Microsoft Windows 宣布终止对 Windows 信息保护 (WIP) 的支持。 Microsoft Intune产品系列将停止未来在管理和部署 WIP 方面的投资。 除了限制未来投资外，我们还在 2022 日历年底删除了对 WIP 的支持，无需注册 。

这对你或你的用户有何影响?

如果已启用 WIP 策略，则应关闭或禁用这些策略。

如何准备?

建议禁用 WIP，以确保组织中的用户不会失去对受 WIP 策略保护的文档的访问权限。 阅读博客支持提示：Windows 信息保护终止支持指南，了解有关从设备中删除 WIP 的更多详细信息和选项。

更改计划：终止对Windows 8.1的支持

Microsoft Intune将于 2022 年 10 月 21 日终止对运行 Windows 8.1 的设备的支持。 此外，业务线应用的旁加载关键方案将停止受支持，因为它仅适用于Windows 8.1设备。

Microsoft 强烈建议你迁移到受支持的 Windows 10 或 Windows 11 版本，以避免出现需要不再可用的服务或支持的情况。

这对你或你的用户有何影响?

如果要管理Windows 8.1设备，则应将这些设备升级到受支持的Windows 10或Windows 11版本。 对现有设备和策略没有影响，但是，如果新设备运行Windows 8.1，则无法注册新设备。

如何准备?

升级Windows 8.1设备（如果适用）。 若要确定哪些用户的设备正在运行Windows 8.1请导航到Microsoft Intune管理中心>“设备>”“Windows>设备”，并按 OS 进行筛选。

其他信息

• 使用 Intune 管理操作系统版本

更新Microsoft Intune的证书连接器

从 2022 年 6 月 1 日开始，低于版本 6.2101.13.0 的 Intune 证书连接器可能不再按预期工作，并停止连接到 Intune 服务。 有关证书连接器生命周期和支持的详细信息，请参阅证书连接器 for Microsoft Intune。

这对你或你的用户有何影响?

如果受到此更改的影响，请参阅消息中心MC393815。

如何准备?

下载、安装和配置最新的证书连接器。 有关详细信息，请参阅安装用于Microsoft Intune的证书连接器。

若要检查使用的证书连接器版本，请执行以下步骤：

1. 在运行 Intune 证书连接器的 Windows Server 上，启动“添加或删除程序”。
2. 将显示已安装的程序和应用程序的列表。
3. 查找与Microsoft Intune证书连接器相关的条目。 将有一个与连接器关联的“版本”。 请注意，旧连接器的名称可能会有所不同。

更改计划：Intune 即将在 2022 年 1 月开始支持 Android 8.0 及更高版本

Microsoft Intune 即将在 2022 年 1 月 7 日或不久后支持 Android 版本 8.0 (Oreo) 及更高版本的移动设备管理 (MDM) 注册设备。

这对你或你的用户有何影响?

2022 年 1 月 7 日之后，运行 Android 版本 7.x 或更早版本的 MDM 注册设备将不再接收 Android 公司门户 或 Intune 应用的更新。 已注册设备将继续应用 Intune 策略，但不再支持任何 Intune 方案。 从 2 月中旬开始，公司门户和 Intune 应用将不适用于运行 Android 7.x 及更低版本的设备;但是，如果在此更改之前安装了必要的应用，则不会阻止这些设备完成注册。 如果你拥有运行 Android 7.x 或更低版本的 MDM 注册设备，请将它们更新到 Android 版本 8.0 (Oreo) 或更高版本，或将其替换为运行 Android 版本 8.0 或更高版本的设备。

注意

Microsoft Teams 设备不受此公告影响，无论其 Android 操作系统版本如何，都将继续受到支持。

如何准备?

如果适用，请在受支持时通知支持人员这一即将发生的更改。 可以通过导航到“设备”>“所有设备”>“筛选器”来确定当前有多少设备正在运行 Android 7.x 或更低版本。 然后按操作系统筛选，并按操作系统版本排序。 有两个管理员选项可帮助通知用户或阻止注册。

下面介绍了如何向最终用户发出警告:

• 创建应用保护策略，并配置具有最低操作系统版本要求的条件启动，以警告用户。
• 利用 适用于 Android 设备管理员 或 Android Enterprise 的设备符合性策略，并设置不合规的操作，在将用户标记为不符合之前向用户发送电子邮件或推送通知。

以下是如何阻止运行低于 Android 8.0 版本的设备的方法：

• 创建应用保护策略，并配置具有最低操作系统版本要求的条件启动，以阻止用户访问应用。
• 利用适用于 Android 设备管理员或 Android Enterprise 的设备符合性策略，使运行 Android 7.x 或更早版本的设备不符合要求。
• 设置注册限制以阻止运行 Android 7.x 或更早版本的设备注册。

注意

运行 Android 9.0 及更高版本的设备支持 Intune 应用保护策略。 有关详细信息，请参阅 MC282986。

更改计划: Intune APP/MAM 即将开始支持 Android 9 及更高版本

随着 Android 12 的即将发布，适用于 Android 的 Intune 应用保护策略 (应用，也称为移动应用程序管理) 将于 2021 年 10 月 1 日转为支持 Android 9 (Pie) 及更高版本。 此更改将与 Android 上四个主要版本的 Office 移动应用支持保持一致。

根据你的反馈，我们已更新我们的支持声明。 我们正在尽力确保组织的安全并保护你的用户和设备，同时与 Microsoft 应用生命周期保持一致。

注意

此公告不会影响 Microsoft Teams Android 设备。 无论这些设备的 Android OS 版本如何，这些设备都将继续受到支持。

这对你或你的用户有何影响?

如果在运行 Android 版本 8.x 或更早版本的任何设备上使用应用保护策略 (APP)，或者决定注册运行 Android 版本 8.x 或更早版本的任何设备，则 APP 将不再支持这些设备。

应用策略将继续应用于运行 Android 6.x 到 Android 8.x 的设备。 但是，如果你在 Office 应用和应用上遇到问题，支持人员将请求你更新到受支持的 Office 版本以进行故障排除。 若要继续获得对应用的支持，请在 2021 年 10 月 1 日之前将设备更新到 Android 版本 9 (Pie) 或更高版本，或将其替换为 Android 版本 9.0 或更高版本上的设备。

如何准备?

如果适用，请通知支持人员此更新的支持声明。 你还有两个管理员选项来警告用户:

• 为有最低操作系统版本要求配置一个 应用条件启动设置，以警告用户。
• 对 Android 设备管理员 或 Android Enterprise 使用设备合规性策略。 设置 不符合规定的操作 以在将用户标记为不符合之前向用户发送消息。

升级到 Microsoft Intune 管理扩展

我们已发布对 Microsoft Intune 管理扩展的升级，以改进对 Windows 10 设备上的传输层安全性 (TLS) 错误的处理。

Microsoft Intune 管理扩展的新版本为 1.43.203.0。 Intune 会自动将早于 1.43.203.0 的所有扩展版本升级到此最新版本。 若要检查设备上的扩展版本，请在“应用&功能”下的程序列表中查看Microsoft Intune管理扩展的版本。

有关详细信息，请参阅 Microsoft 安全响应中心 中有关安全漏洞 CVE-2021-31980 的信息。

这对你或你的用户有何影响?

不需要执行任何操作。 客户端连接到该服务后，就会自动接收要升级的消息。

更新到终结点安全性防病毒 Windows 10 配置文件

我们做了一点小小的改动来改进适用于 Windows 10 的防病毒配置文件体验。 没有用户效果，因为此更改仅影响你将在 UI 中看到的内容。

这对你或你的用户有何影响?

以前，在为 Endpoint Security 防病毒策略配置 Windows 安全配置文件 时，大多数设置都有两个选项: 是 和 未配置。 这些设置现在包括 是、未配置，以及新选项 否。

以前设置为“未配置”的已配置设置仍继续为“未配置”。 创建新配置文件或编辑现有配置文件时，现在可以显式指定 否。

此外，设置“隐藏 Windows 安全应用中的病毒和威胁防护区域”有一个子设置“隐藏 Windows 安全应用中的勒索软件数据恢复选项”。 如果父设置设置为 “未配置” ，并且子设置设置为 “是”，则父设置和子设置都设置为 “未配置”。 编辑配置文件时，该更改将生效。

如何准备?

无需执行任何操作。 但是，你可能需要将此更改通知给支持人员。

更改计划: Intune 即将终止公司门户对不受支持的 Windows 版本的支持

对于受支持的 Windows 10 版本，Intune 遵循 Windows 10 生命周期。 我们现在取消了对现代支持策略之外的 Windows 版本相关 Windows 10 公司门户的支持。

这对你或你的用户有何影响?

由于 Microsoft 不再支持这些操作系统，因此此更改可能不会影响你。 你可能已经升级了 OS 或设备。 仅当仍在管理不受支持的Windows 10版本时，此更改才会影响你。

此更改影响的 Windows 和公司门户版本包括:

• Windows 10 版本 1507，公司门户版本 10.1.721.0
• Windows 10 版本 1511，公司门户版本 10.1.1731.0
• Windows 10 版本 1607，公司门户版本 10.3.5601.0
• Windows 10 版本 1703，公司门户版本 10.3.5601.0
• Windows 10 版本 1709，任何公司门户版本

我们不会卸载这些公司门户版本，但我们会将其从 Microsoft Store 中删除，并停止使用它们测试我们的服务版本。

如果继续使用不受支持的 Windows 10 版本，则用户将无法获得最新的安全更新、新功能、bug 修复、延迟改进、辅助功能改进和性能投资。 你将无法使用 System Center 配置服务器和 Intune 共同管理用户。

如何准备?

在Microsoft Intune管理中心，使用“发现的应用”功能查找具有这些版本的应用。 在用户设备上，公司门户版本显示在公司门户的 设置 页上。 更新到受支持的 Windows 和公司门户版本。