Microsoft Intune 的新功能 - 前幾個月

2023 年 7 月 10 日當周

應用程式管理

匯報 至應用程式設定原則報告

在我們持續努力改善 Intune 報告基礎結構時,應用程式設定原則報告的使用者介面 (UI) 變更。 UI 已更新為下列變更:

  • 應用程式設定原則工作負載的 [概觀] 區段上沒有 [用戶狀態] 圖格或 [不適用的裝置] 圖
  • 應用程式設定原則工作負載的 [監視] 區段上沒有使用者安裝狀態報告。
  • [應用程式設定原則] 工作負載的 [監視] 區段下的 [裝置安裝狀態] 報告不會再在 [狀態] 資料行中顯示 [擱置中] 狀態

您可以在系統管理中心 Microsoft Intune 設定原則報告,方法是選取 [應用程式>應用程式設定原則]

2023 年 7 月 3 日當周

裝置管理

Android 13 上 Zebra 裝置的 Intune 支援

Zebra 將會在其裝置上發行 Android 13 的支援。 如需詳細資訊,請參閱 移轉至 Android 13 (會開啟 Zebra 的網站) 。

  • Android 13 上的暫時性問題

    Intune 小組已在 Zebra 裝置上徹底測試 Android 13。 除了裝置系統管理員 (DA) 裝置的下列兩個暫時性問題之外,所有專案都會正常運作。

    針對執行 Android 13 並向 DA 管理註冊的 Zebra 裝置:

    1. 應用程式安裝不會以無訊息方式進行。 相反地,如果使用者允許通知) 要求允許應用程式安裝的許可權,則會從 公司入口網站 應用程式 (取得通知。 如果使用者在出現提示時不接受應用程式安裝,則不會安裝應用程式。 使用者會在通知隱藏式選單中持續通知,直到允許安裝為止。

    2. 新的 MX 配置檔不適用於 Android 13 裝置。 新註冊的 Android 13 裝置不會收到來自 MX 配置檔的設定。 先前套用至已註冊裝置的 MX 配置檔會繼續套用。

    在 7 月稍後即將推出的更新中,這些問題將會解決,且行為會回到先前的狀態。

  • 將裝置更新為Android 13

    您很快就會能夠使用 Intune 的 Zebra LifeGuard 無線整合,將 Android Enterprise 專用且完全受控的裝置更新為 Android 13。 如需詳細資訊,請參閱 Zebra LifeGuard 與 Microsoft Intune 的無線整合

    在您移轉至 Android 13 之前,請檢閱 移轉至 Android 13 (開啟 Zebra 的網站) 。

  • Android 13 上 Zebra 裝置的 OEMConfig

    Android 13 上 Zebra 裝置的 OEMConfig 需要使用 Zebra 的新 Zebra OEMConfig 由 MX OEMConfig 應用程式提供技術支援 (開啟 Google Play 商店) 。 此新應用程式也可以在執行 Android 11 的 Zebra 裝置上使用,但無法在舊版上使用。

    如需此應用程式的詳細資訊,請移至 適用於 Android 11 和更新版本的 New Zebra OEMConfig 應用程式 部落格文章。

    版 Zebra OEMConfig 應用程式 (開啟 Google Play 商店) 只能在執行 Android 11 和更早版本的 Zebra 裝置上使用。

如需 Intune Android 13 支援的一般資訊,請移至 Android 13 的日零支援與 Microsoft Intune 部落格文章。

裝置安全性

適用於端點的 Defender 安全性設定管理增強功能,並在公開預覽版中支援 Linux 和 macOS

透過 適用於端點的 Defender 安全性設定管理,您可以使用 Intune 的端點安全策略,在已上線至適用於端點的 Defender 但未向 Intune 註冊的裝置上管理 Defender 安全性設定。

現在,您可以從 Microsoft Defender 入口網站中加入加入公開預覽,以存取此案例的數個增強功能:

  • Intune 的端點安全策略會顯示在 中,並可從 Microsoft Defender 入口網站內進行管理。 這可讓安全性系統管理員保留在Defender入口網站中,以管理Defender和適用於Defender安全性設定管理的 Intune 端點安全策略。

  • 安全性設定管理支援將 Intune 端點安全性防病毒軟體原則部署到執行 Linux 和 macOS 的裝置。

  • 針對 Windows 裝置,安全性設定管理現在支援 Windows 安全性 體驗配置檔。

  • 新的上線工作流程會移除 Microsoft Entra 混合式聯結必要條件。 Microsoft Entra 混合式聯結需求防止許多 Windows 裝置成功上線至適用於端點的 Defender 安全性設定管理。 透過這項變更,這些裝置現在可以完成註冊,並開始處理安全性設定管理的原則。

  • Intune 會針對無法向 Microsoft Entra ID 完全註冊的裝置,在 Microsoft Entra ID 中建立綜合註冊。 綜合註冊是在 Microsoft Entra ID 中建立的裝置物件,可讓裝置接收並回報 Intune 安全性設定管理的原則。 此外,如果具有綜合註冊的裝置完全註冊,則會從 Microsoft Entra ID 移除綜合註冊,以推斷為完整註冊。

如果您未加入適用於端點的Defender公開預覽版,則先前的行為會保留在原處。 在此情況下,雖然您可以檢視 Linux 的防病毒軟體配置檔,但您無法將其部署為僅支援由 Defender 管理的裝置。 同樣地,目前適用於向 Intune 註冊之裝置使用的 macOS 配置檔,也無法部署到 Defender 所管理的裝置。

適用於:

  • Linux
  • macOS
  • Windows

2023 年 6 月 26 日當周

裝置設定

Android (AOSP) 支援指派篩選

Android (AOSP) 支援指派篩選。 當您建立 Android (AOSP) 的篩選時,您可以使用下列屬性:

  • DeviceName
  • 製造商
  • Model
  • DeviceCategory
  • oSVersion
  • IsRooted
  • DeviceOwnership
  • EnrollmentProfileName

如需篩選的詳細資訊,請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選

適用於:

  • Android

Windows 裝置的隨選補救

處於公開預覽狀態的新裝置動作可讓您在單一 Windows 裝置上依需求執行補救。 [ 執行補救 裝置] 動作可讓您解決問題,而不需要等待補救依其指派的排程執行。 您也可以在裝置的 [監視] 區段的 [補救] 底下檢視補救狀態。

執行 補救 裝置動作即將推出,可能需要數周的時間才能觸及所有客戶。

如需詳細資訊,請參閱 補救

裝置管理

Intune 中的 Windows 驅動程式更新管理已正式推出

宣佈在 Microsoft Intune 中正式推出 Windows 驅動程式更新管理。 使用驅動程式更新原則,您可以檢視建議且適用於指派給原則之 Windows 10 和 Windows 11 裝置的驅動程式更新清單。 適用的驅動程式更新是可更新裝置驅動程式版本的更新。 驅動程式更新原則會自動更新,以在驅動程式製造商發佈更新時新增更新,並移除不再套用至任何具有原則之裝置的舊版驅動程式。

您可以針對下列兩種核准方法之一設定更新原則:

  • 透過 自動核准,由驅動程式製造商發佈並新增至原則的每個新 建議 驅動程式,都會自動核准部署至適用裝置。 針對自動核准所設定的原則可以在裝置上安裝自動核准的更新之前,設定延遲期間。 此延遲可讓您有時間檢閱驅動程式,並在必要時暫停其部署。

  • 透過手動核准,所有新的驅動程式更新都會自動新增至原則,但系統管理員必須先明確核准每個更新,Windows Update 將它部署到裝置。 當您手動核准更新時,您會選擇 Windows Update 開始將其部署到裝置的日期。

為了協助您管理驅動程式更新,您可以檢閱原則並拒絕您不想安裝的更新。 您也可以無限期地暫停任何已核准的更新,並重新啟動暫停的更新以重新啟動其部署。

此版本也包含 提供 成功摘要、每個已核准驅動程式的每個裝置更新狀態,以及錯誤和疑難解答信息的驅動程式更新報告。 您也可以選取個別的驅動程式更新,並在包含該驅動程式版本的所有原則中檢視其相關詳細數據。

若要瞭解如何使用 Windows 驅動程式更新原則,請參閱使用 Microsoft Intune 管理 Windows 驅動程式更新的原則

適用於:

  • Windows 10
  • Windows 11

2023 年 6 月 19 日當周 (Service 2306)

應用程式管理

MAM for 商務用 Microsoft Edge [預覽]

您現在可以在個人 Windows 裝置上透過 Microsoft Edge 啟用受保護的 MAM 存取組織數據。 這項功能會使用下列功能:

  • Intune 應用程式設定原則 (ACP) ,以在 Microsoft Edge 中自定義組織用戶體驗
  • Intune 應用程式保護原則 (APP) 來保護組織數據,並確保用戶端裝置在使用 Microsoft Edge 時狀況良好
  • Windows Defender 與 Intune APP 整合的用戶端威脅防禦,以偵測個人 Windows 裝置上的本機健康情況威脅
  • 應用程式保護條件式存取,以確保裝置在透過 Microsoft Entra ID 授與受保護的服務存取權之前受到保護且狀況良好

如需詳細資訊,請參閱預覽:應用程式防護 Windows 的原則設定

若要參與公開預覽, 請完成加入窗體

裝置設定

Apple 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。 如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

[設定目錄] 中提供新的設定。 在Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立iOS/iPadOS] 或 [適用於配置檔類型的平臺>設定目錄的 macOS] 中看到這些設定。

iOS/iPadOS

網路 > 網路使用規則

  • SIM 規則
macOS

認證 >可延伸 單一登入 (SSO)

  • 驗證方法
  • 拒絕套件組合標識碼
  • 註冊令牌

完整磁碟加密 > FileVault

  • 輸出路徑
  • 使用者名稱
  • 密碼
  • UseKeyChain

裝置韌體設定介面 (DFCI) 支援 Asus 裝置

針對 Windows 10/11 裝置,您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定。 在 Microsoft Intune 系統管理中心中,針對設定檔類型的平臺> [範本>裝置>>韌體設定介面] 選取 [裝置設定建立>Windows 10 及更新版本]。

某些執行 Windows 10/11 的 Asus 裝置已針對 DFCI 啟用。 請連絡您的裝置廠商或裝置製造商以取得合格的裝置。

如需 DFCI 設定檔的詳細資訊,請參閱:

適用於:

  • Windows 10
  • Windows 11

Intune 中已移除Saaswedo Datalert電信費用管理

在 Intune 中,您可以使用 Saaswedo 的 Datalert 電信費用管理來管理電信費用。 此功能已從 Intune 中移除。 此移除包括:

  • 電信費用管理連接器

  • 電信費用 RBAC 類別

    • 讀取 許可權
    • 更新權

如需Saaswedo的詳細資訊, 請參閱 datalert服務無法使用 (開啟Saaswedo的網站) 。

適用於:

  • Android
  • iOS/iPadOS

Intune 安全性基準內的設定深入解析

[設定] 深入解析功能會將深入解析新增至安全性基準,讓您對類似組織成功採用的設定有信心。

流覽至 [端點安全>性基準]。 當您建立和編輯工作流程時,這些深入解析會以燈泡的形式提供給您。

裝置管理

預覽中的新端點安全性應用程控原則

作為公開預覽,您可以使用新的端點安全策略類別目錄應用程控。 端點安全性應用程控原則包括:

  • 將 Intune 管理延伸模組設定為全租使用者受控安裝程序的原則。 當您啟用為受控安裝程式時,您在啟用受控安裝程式) 至 Windows 裝置之後,透過 Intune (部署的應用程式會標記為由 Intune 安裝。 當您使用應用程控原則來管理您想要允許或封鎖哪些應用程式在受管理的裝置上執行時,這個標籤會變得很有用。

  • 應用程控原則,是 (WDAC) 的 Defender 應用程控實作。 使用端點安全性應用程控原則,您可以輕鬆地設定原則,以允許受信任的應用程式在受管理的裝置上執行。 受信任的應用程式是由受管理的安裝程式或從 App Store 安裝。 除了內建的信任設定之外,這些原則也支援自定義 XML 來控制應用程控,讓您可以允許其他來源的其他應用程式執行,以符合您的組織需求。

若要開始使用此新原則類型,請參閱使用應用程控原則管理 Windows 裝置核准的應用程式和適用於 Microsoft Intune 的受管理安裝程式

適用於:

  • Windows 10
  • Windows 11

端點分析可供政府雲端中的租使用者使用

在此版本中,端點分析可供政府雲端中的租使用者使用。

深入瞭解 端點分析

在 遠端說明 中引進會話內連線模式參數

在 遠端說明 中,您現在可以利用會話內連線模式切換功能。 這項功能可協助您輕鬆地在完全控制模式和僅限檢視模式之間轉換,並提供彈性和便利性。

如需 遠端說明 的詳細資訊,請參閱 遠端說明

適用於:

  • Windows 10/11

裝置安全性

更新為端點許可權管理報告

Intune 的端點許可權管理 (EPM) 報告現在支援將完整報告承載匯出至 CSV 檔案。 透過這項變更,您現在可以在 Intune 中從提高許可權報告匯出所有事件。

端點許可權管理現在可在最上層功能表上使用提升許可權的存取選項來執行,以供 Windows 11

[以提升的存取權執行] 的 [端點許可權管理] 選項現在可在 Windows 11 裝置上作為最上層的滑鼠右鍵選項。 在此變更之前,需要標準用戶選取 [顯示更多選項],以在 Windows 11 裝置上檢視 [以提升許可權的存取權執行] 提示。

端點許可權管理 可作為 Intune 附加元件使用。 如需詳細資訊,請 參閱使用 Intune Suite 附加元件功能

適用於:

  • Windows 11

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Idenprotect Go by Apply Mobile Ltd (Android)
  • LiquidText by LiquidText, Inc. (iOS)
  • MyQ 擴充:OCR 掃描器 PDF by MyQ spol。 s r.o.
  • CiiMS GO by Online Intelligence (Pty) Ltd
  • Vbrick Mobile by Vbrick Systems

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

Microsoft Intune 疑難解答窗格現已正式推出

Intune 疑難解答窗格現已正式推出。 它提供使用者裝置、原則、應用程式和狀態的詳細數據。 疑難解答窗格包含下列資訊:

  • 原則、合規性和應用程式部署狀態的摘要。
  • 支援匯出、篩選和排序所有報表。
  • 支持藉由排除原則和應用程式來篩選。
  • 支援篩選至使用者的單一裝置。
  • 可用裝置診斷和停用裝置的詳細數據。
  • 離線裝置的詳細數據,這些裝置已存回服務三天以上。

您可以選取 [疑難解答 + 支援>疑難解答],在系統管理中心 Microsoft Intune 找到 [疑難解答] 窗格。

Intune 中已更新的疑難解答 + 支援窗格

Intune 系統管理中心的 [疑難解答 + 支援 ] 窗格已藉由將 [角色和範圍 ] 報表合併成單一報表來更新。 此報表現在包含來自 Intune 和 Microsoft Entra ID 的所有相關角色和範圍數據,提供更精簡且有效率的體驗。 如需相關信息,請 參閱使用疑難解答儀錶板來協助您公司的使用者

下載行動應用程式診斷

現在已正式推出,可在 Intune 系統管理中心存取使用者提交的行動應用程式診斷,包括透過 公司入口網站 應用程式傳送的應用程式記錄,包括 Windows、iOS、Android、Android AOSP 和 macOS。 此外,您可以透過 Microsoft Edge 擷取應用程式保護記錄。 如需詳細資訊,請參閱 公司入口網站 應用程式記錄使用適用於iOS和Android的 Microsoft Edge 來存取受控應用程式記錄

2023 年 6 月 12 日當周

裝置管理

Android 開放原始碼裝置的 Microsoft Intune 支援來自HTC和 Pico 的新裝置

Microsoft Intune Android 開放原始碼 項目裝置 (AOSP) 現在支援下列裝置:

  • HTC Vive XR Elite
  • Pico Neo 3 專業版
  • Pico 4

如需詳細資訊,請參閱:

適用於:

  • Android (AOSP)

應用程式管理

商務用 Microsoft Store 或 教育用 Microsoft Store

從 商務用 Microsoft Store 或 教育用 Microsoft Store 新增的應用程式不會部署到裝置和使用者。 應用程式在報表中顯示為「不適用」。 已部署的應用程式不會受到影響。 使用 新的 Microsoft Store 應用程式 ,將 Microsoft Store 應用程式部署到裝置或使用者。 如需相關信息,請參閱規劃變更:針對即將推出的日期終止對 商務用 Microsoft Store 和教育應用程式的支援,商務用 Microsoft Store 應用程式將不再部署,且將移除 商務用 Microsoft Store 應用程式。

如需詳細資訊,請參閱下列資源:

2023 年 6 月 5 日當周

裝置設定

Android Enterprise 11+ 裝置可以使用 Zebra 的最新 OEMConfig 應用程式版本

在 Android Enterprise 裝置上,您可以使用 OEMConfig 在 Microsoft Intune (>> 裝置設定中新增、建立及自定義 OEM 特定設定建立>適用於平臺 >OEMConfig) 的 Android Enterprise

有一個新的 Zebra OEMConfig 由 MX OEMConfig 應用程式提供技術支援,可更貼近 Google 的標準。 此應用程式支援Android Enterprise 11.0和更新版本的裝置。

版的 Zebra OEMConfig 應用程式會繼續支援具有 Android 11 和更舊版本的裝置。

在受控Google Play中,有兩個版本的 Zebra OEMConfig 應用程式。 請務必選取適用於 Android 裝置版本的正確應用程式。

如需 OEMConfig 和 Intune 的詳細資訊,請參閱在 Microsoft Intune 中搭配 OEMConfig 使用及管理 Android Enterprise 裝置

適用於:

  • Android Enterprise 11.0 和更新版本

2023年5月29日當周

裝置管理

Intune UI 會針對適用於 適用於端點的 Microsoft Defender 案例的安全性管理,將 Windows Server 裝置顯示為不同於 Windows 用戶端

為了支援 適用於端點的 Microsoft Defender 的安全性管理 ( MDE 安全性設定) 案例,Intune 現在會將 Microsoft Entra ID 中的 Windows 裝置區分為執行 Windows Server 的裝置為 Windows Server或將 Windows 區分為執行 Windows 10 或Windows 11。

透過這項變更,您可以改善 MDE 安全性設定的原則目標。 例如,您可以使用僅包含 Windows Server 裝置的動態群組,或僅包含 Windows 用戶端裝置 (Windows 10/11) 。

如需這項變更的詳細資訊,請參閱 Intune 客戶成功部落格 Windows Server 裝置現在已在 Microsoft Intune、Microsoft Entra ID 和適用於端點的 Defender 中辨識為新的操作系統

租使用者管理

Windows 11 的組織訊息現已正式推出

使用組織訊息將品牌化的個人化行動呼叫傳遞給員工。 透過 15 種不同語言的裝置上線和生命週期管理,從支援員工的超過 25 則訊息中選取。 訊息可以指派給 Microsoft Entra 用戶群組。 它們會顯示在任務列的正上方、通知區域中,或在執行 Windows 11 之裝置上的 [開始使用] 應用程式中。 訊息會根據您在 Intune 中設定的頻率繼續出現或重新出現,直到使用者流覽自定義 URL 為止。

此版本中新增的其他功能包括:

  • 在第一則訊息之前確認授權需求。
  • 選擇任務列訊息的八個新主題。
  • 為訊息提供自定義名稱。
  • 新增範圍群組和範圍標籤。
  • 編輯排程訊息的詳細數據。

組織訊息先前無法使用範圍標籤。 新增範圍標籤支援后,Intune 會將預設範圍標籤新增至 2023 年 6 月之前建立的每個訊息。 想要存取這些訊息的系統管理員必須與具有相同標籤的角色相關聯。 如需可用功能及如何設定組織訊息的詳細資訊,請參閱 組織訊息概觀

2023 年 5 月 22 日當周 (Service 2305)

應用程式管理

更新為macOS殼層腳本運行時間上限

根據客戶的意見反應,我們會更新適用於macOS的Intune代理程式 (版本2305.019) ,以將腳本運行時間上限延長至60分鐘。 先前,適用於macOS的Intune代理程式只允許殼層腳本執行最多15分鐘,再將腳本回報為失敗。 適用於 macOS 2206.014 和更新版本的 Intune 代理程式支援 60 分鐘的逾時。

指派篩選器支援應用程式保護原則和應用程式設定原則

指派篩選器支援 MAM 應用程式保護原則和應用程式設定原則。 當您建立新的篩選條件時,可以使用下列屬性微調 MAM 原則目標:

  • 裝置管理類型
  • 裝置製造商
  • 裝置型號
  • 作業系統版本
  • 應用程式版本
  • MAM 用戶端版本

重要事項

所有使用 裝置類型 目標的新應用程式保護原則和已編輯的應用程式保護原則,都會取代為指派篩選條件。

如需篩選的詳細資訊,請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選

在 Intune 中更新 MAM 報告

MAM 報告已經過簡化和徹底修改,現在使用 Intune 的最新報告基礎結構。 其優點包括改善數據精確度和立即更新。 您可以選取 [應用程式>監視器],在 Microsoft Intune 系統管理中心找到這些簡化的 MAM 報告。 所有可供您使用的 MAM 數據都包含在新的 應用程式防護 狀態報表和應用程式組態狀態報表中。

全域無訊息時間應用程式原則設定

全域無訊息時間設定可讓您建立原則,為終端使用者排程無訊息時間。 這些設定會自動將 iOS/iPadOS 和 Android 平臺上的 Microsoft Outlook 電子郵件和 Teams 通知設為靜音。 這些原則可用來限制在工作時間之後收到的使用者通知。 如需詳細資訊,請參閱 無訊息時間通知原則

裝置設定

在 遠端說明 中導入增強式聊天

介紹與 遠端說明的增強式聊天。 使用全新和增強的聊天,您可以維護所有訊息的連續線程。 此聊天提供特殊字元和其他語言的支援,包括中文和阿拉伯文。

如需 遠端說明 的詳細資訊,請參閱 遠端說明

適用於:

  • Windows 10/11

遠端說明 系統管理員可以參考稽核記錄會話

針對 遠端說明,除了現有的會話報告之外,系統管理員現在還可以參考在Intune中建立的稽核記錄會話。 此功能可讓系統管理員參考過去的事件,以進行疑難解答和分析記錄活動。

如需 遠端說明 的詳細資訊,請參閱 遠端說明

適用於:

  • Windows 10
  • Windows 11

使用設定目錄在 Windows 11 裝置上開啟/關閉個人資料加密

設定目錄包含數百個您可以設定及部署到裝置的設定。

在設定目錄中,您可以開啟/關閉 PDE) (個人資料加密 。 PDE 是 Windows 11 22H2 版中引進的安全性功能,可為 Windows 提供更多加密功能。

PDE 與 BitLocker 不同。 PDE 會加密個別檔案和內容,而不是整個磁碟區和磁碟。 您可以使用 PDE 搭配其他加密方法,例如 BitLocker。

如需設定目錄的詳細資訊,請參閱:

本功能適用於:

  • Windows 11

Visual Studio ADMX 設定位於 [設定目錄] 和 [系統管理範本] 中

Visual Studio 設定包含在 ADMX) (設定目錄和系統管理範本中。 先前,若要在 Windows 裝置上設定 Visual Studio 設定,您可以使用 ADMX 匯入匯入這些設定。

如需這些原則類型的詳細資訊,請參閱:

適用於:

  • Windows 10
  • Windows 11

組策略分析支援範圍標籤

在 群組原則 分析中,您會匯入內部部署 GPO。 此工具會分析您的 GPO,並顯示可以在 Intune 中 (且無法) 使用的設定。

當您在 Intune 中匯入 GPO XML 檔案時,可以選取現有的範圍標籤。 如果您未選取範圍標籤,則會自動選取 [預設 範圍] 標籤。 先前,當您匯入 GPO 時,指派給您的範圍標籤會自動套用至 GPO。

只有該範圍標籤內的系統管理員才能看到匯入的原則。 不在該範圍標籤中的系統管理員看不到匯入的原則。

此外,在其範圍標籤內的系統管理員可以移轉他們有權查看的匯入原則。 若要將匯入的 GPO 移轉至設定目錄原則,範圍標籤必須與匯入的 GPO 相關聯。 如果範圍標籤沒有關聯,則無法移轉至 [設定目錄] 原則。 如果未選取範圍標籤,則會自動套用預設範圍標籤。

如需範圍標籤和 群組原則 分析的詳細資訊,請參閱:

介紹 Intune 與 Zebra Lifeguard 無線服務整合 (公開預覽)

現在可在公開預覽版中使用,Microsoft Intune 支援與 Zebra Lifeguard 無線服務整合,可讓您透過無線方式將 OS 更新和安全性修補程式傳遞給已向 Intune 註冊的合格 Zebra 裝置。 您可以選取想要部署的韌體版本、設定排程,以及錯開更新下載和安裝。 您也可以設定更新發生時機的最小電池、充電狀態和網路條件需求。

適用於執行 Android 8 或更新版本且需要具有 Zebra 帳戶的 Android Enterprise 專用和完全受控 Zebra 裝置。

具有工作配置檔之 Android Enterprise 個人擁有裝置的新 Google 網域允許清單設定

在具有工作配置檔的 Android Enterprise 個人擁有裝置上,您可以設定限制裝置功能和設定的設定。

目前有 [ 新增和移除帳戶 ] 設定,可允許將Google帳戶新增至工作配置檔。 針對此設定,當您選取[ 允許所有帳戶類型] 時,您也可以設定:

  • Google 網域允許清單:限制使用者只在工作配置檔中新增特定 Google 帳戶網域。 您可以匯入允許的網域清單,或使用 contoso.com 格式將其新增至系統管理中心。 保留空白時,根據預設,OS 可能會允許在工作配置檔中新增所有 Google 網域。

如需您可以設定之設定的詳細資訊,請參閱 使用 Intune 在個人擁有的裝置上允許或限制功能的 Android Enterprise 裝置設定清單

適用於:

  • 具有工作配置檔的Android Enterprise 個人擁有裝置

將主動式補救重新命名為補救並移至新位置

主動式補救現在已進行補救,並可從 裝置>補救取得。 您仍然可以在新的位置和現有的>表端點分析位置中找到補救,直到下一次 Intune 服務更新為止。

新的 裝置體驗預覽版目前無法使用補救。

適用於:

  • Windows 10
  • Windows 11

適用於美國政府 GCC High 和 DoD 的 Intune 現已提供補救

美國政府 GCC High 和 DoD 的 Microsoft Intune 現已提供先前稱為主動式補救) 的補救 (。

適用於:

  • Windows 10
  • Windows 11

在 Windows 裝置上建立 VPN 設定檔的輸入和輸出網路流量規則

注意事項

此設定即將在未來的版本中推出,可能是 2308 Intune 版本。

您可以建立裝置組態配置檔,將 VPN 連線部署到裝置 (>> 裝置組態建立>Windows 10 及更新版本,以供配置檔類型) 的平台>>本VPN 使用。

在此 VPN 連線中,您可以使用 [應用程式] 和 [流量規則 ] 設定來建立網路流量規則。

您可以設定新的 [方向 ] 設定。 使用此設定可允許來自 VPN 連線的輸入和輸出流量:

  • 輸出 (預設) :只允許使用 VPN 流向外部網路/目的地的流量。 輸入流量遭到封鎖,無法進入 VPN。
  • 輸入:只允許來自外部網路/來源的流量使用 VPN 進行流動。 輸出流量遭到封鎖,無法進入 VPN。

如需您可以設定之 VPN 設定的詳細資訊,包括網路流量規則設定,請參閱 使用 Intune 新增 VPN 連線的 Windows 裝置設定

適用於:

  • Windows 10 和更新版本

macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立macOS] 中看到配置檔類型的平台>設定目錄中的這些設定。

>Microsoft Defender 防病毒軟體引擎

  • 在封存盤案內掃描
  • 啟用檔案哈希計算

適用於:

  • macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

抹除適用於 macOS 的裝置動作和新的抹除行為設定

您現在可以使用 [抹除 裝置] 動作,而不是針對macOS裝置使用 [清除]。 您也可以在抹動作中設定 [抹除行為] 設定。

這個新的金鑰可讓您控制具有 Apple Silicon 或 T2 安全性晶片之 Mac 上的抹除後援行為。 若要尋找此設定,請流覽至 [裝置>] macOS> [選取裝置] > [裝置] [裝置動作] 區域中的 [概觀>抹除]。

如需 [抹除行為] 設定的詳細資訊,請移至 Apple 的平臺部署網站 清除 Apple 裝置 - Apple 支援

適用於:

  • macOS

裝置註冊

適用於 iOS/iPadOS 15+ 裝置的帳戶驅動 Apple 用戶註冊, (公開預覽)

Intune 支援帳戶驅動的用戶註冊,這是iOS/iPadOS 15+ 裝置的Apple用戶註冊全新且改良的變化。 現在可供公開預覽,新選項會利用 Just-In-Time 註冊,這樣就不需要在註冊期間 公司入口網站 應用程式。 裝置使用者可以直接在 [設定] 應用程式中起始註冊,進而提供更短且更有效率的上線體驗。 您可以使用使用 公司入口網站 的現有配置檔型用戶註冊方法,繼續以 iOS/iPadOS 裝置為目標。 執行 iOS/iPadOS 14.8.1 版和更早版本的裝置不會受到此更新的影響,而且可以繼續使用現有的方法。 如需詳細資訊, 請參閱設定帳戶驅動的Apple用戶註冊

裝置安全性

Microsoft 365 Office Apps 的新安全性基準

我們發行了新的安全性基準,可協助您管理 M365 Office Apps 的安全性設定。 這個新的基準會使用更新的範本和體驗,使用 Intune 設定目錄中所見的統一設定平臺。 您可以檢視新基準中的設定清單,網 Microsoft 365 Apps Office) (企業基準設定

新的 Intune 安全性基準格式會對齊 Intune 設定目錄中所找到設定可用的設定呈現。 此對齊有助於解決過去針對可能會造成衝突之設定的名稱和實作設定問題。 新格式也會改善 Intune 系統管理中心內基準的報告體驗。

Microsoft 365 Office Apps 基準可協助您將設定快速部署到 Office Apps,以符合 Office 和安全性小組在 Microsoft 的安全性建議。 如同所有基準,預設基準代表建議的組態。 您可以修改預設基準,以符合組織的需求。

若要深入瞭解,請參閱 安全性基準概觀

適用於:

  • Windows 10
  • Windows 11

Microsoft Edge 112 版的安全性基準更新

我們發行了適用於 Microsoft Edge 版本 112 的新版 Intune 安全性基準。 除了為 Microsoft Edge 發行這個新版本之外,新的基準還會使用更新的範本體驗,使用 Intune 設定目錄中顯示的統一設定平臺。 您可以在 Microsoft Edge 基準設定 (版本 112 和更新版本) 檢視新基準中的設定清單。

新的 Intune 安全性基準格式會對齊 Intune 設定目錄中所找到設定可用的設定呈現。 此對齊有助於解決過去針對可能會造成衝突之設定的名稱和實作設定問題。 新格式也會改善 Intune 系統管理中心內基準的報告體驗。

現在新的基準版本已可供使用,您為 Microsoft Edge 建立的所有新配置檔都會使用新的基準格式和版本。 雖然新版本會成為預設基準版本,但您可以繼續使用先前為舊版 Microsoft Edge 建立的配置檔。 但是,您無法為這些舊版的 Microsoft Edge 建立新的配置檔。

若要深入瞭解,請參閱 安全性基準概觀

適用於:

  • Windows 10
  • Windows 11

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Achievers by Achievers Inc.
  • Board.Vision for iPad by Trusted Services PTE。 有限公司。
  • Global Relay by Global Relay Communications Inc.
  • Incorta () by Incorta, Inc. (iOS)
  • Island Enterprise Browser by Island (iOS)
  • Klaxoon for Intune 的 Klaxoon (iOS)

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

2023 年 5 月 8 日當周

裝置設定

裝置韌體設定介面 (DFCI) 支援 Dynabook 裝置

針對 Windows 10/11 裝置,您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定。 在 Microsoft Intune 系統管理中心中,針對設定檔類型的平臺> [範本>裝置>>韌體設定介面] 選取 [裝置設定建立>Windows 10 及更新版本]。

某些執行 Windows 10/11 的 Dynabook 裝置已針對 DFCI 啟用。 請連絡您的裝置廠商或裝置製造商以取得合格的裝置。

如需 DFCI 設定檔的詳細資訊,請參閱:

適用於:

  • Windows 10
  • Windows 11

透過下載伺服器對 Windows 計算機進行 eSIM 大量啟用現已可在 [設定目錄] 上取得

您現在可以使用 [設定目錄] 來大規模設定 Windows eSIM 計算機。 下載伺服器 (SM-DP+) 是使用組態配置檔來設定。

一旦裝置收到設定,它們就會自動下載 eSIM 配置檔。 如需詳細資訊,請參閱 下載伺服器的 eSIM 設定。

適用於:

  • Windows 11
  • 支援 eSIM 的裝置

2023年5月1日當周

應用程式管理

macOS 殼層腳本運行時間上限

我們已修正會導致具有長時間執行殼層腳本的 Intune 租使用者無法回報腳本執行狀態的問題。 macOS Intune 代理程式會停止任何運行時間超過 15 分鐘的 macOS 殼層腳本。 這些腳本會回報為失敗。 新的行為會從 macOS Intune 代理程式 2305.019 版強制執行。

適用於 macOS 的 DMG 應用程式安裝

適用於 macOS 的 DMG 應用程式安裝功能現已正式推出。 Intune 支援 DMG 應用程式 的必要卸載 指派類型。 適用於 macOS 的 Intune 代理程式可用來部署 DMG 應用程式。 如需相關信息,請 參閱將 DMG 類型應用程式部署至受控 macOS 裝置

淘汰 商務用 Microsoft Store和教育版

Microsoft Intune 系統管理中心不再提供 商務用 Microsoft Store 連接器。 從 商務用 Microsoft Store 或 教育用 Microsoft Store 新增的應用程式不會與 Intune 同步。 先前同步處理的應用程式仍可繼續使用,並部署至裝置和使用者。

現在也可以從 Microsoft Intune 系統管理中心的 [應用程式] 窗格中刪除 商務用 Microsoft Store 應用程式,以便在移至新的 Microsoft Store 應用程式類型時清除環境。

如需相關信息,請參閱規劃變更:當 商務用 Microsoft Store 應用程式不會部署及移除 商務用 Microsoft Store 應用程式時,終止對 商務用 Microsoft Store 和教育應用程式的支援。

裝置設定

遠端說明 現在支持條件式存取功能

系統管理員現在可以在設定 遠端說明 的原則和條件時,利用條件式存取功能。 例如,多重要素驗證、安裝安全性更新,以及鎖定特定區域或IP位址 遠端說明的存取權。

如需詳細資訊,請參閱:

裝置安全性

已更新端點安全性防病毒軟體原則中 Microsoft Defender 的設定

我們已更新端點安全性防病毒軟體原則 Microsoft Defender 防病毒軟體配置檔中的可用設定。 您可以在 Intune 系統管理中心的端點安全>性防病毒>軟體平臺:Windows 10、Windows 11 和 Windows Server>Profile:Microsoft Defender 防病毒軟體找到此設定檔。

  • 已新增下列設定

    • 計量付費連線 匯報
    • 停用 Tls 剖析
    • 停用 Http 剖析
    • 停用 Dns 剖析
    • 停用透過 Tcp 剖析的 DNS
    • 停用 Ssh 剖析
    • 平臺 匯報 通道
    • 引擎 匯報 通道
    • 安全性情報 匯報 通道
    • 允許網路保護向下層級
    • 允許在 Win Server 上處理數據報
    • 啟用 Dns 接收洞

    如需這些設定的詳細資訊,請參閱 Defender CSP。 新的設定也可透過 Intune 設定目錄取得。

  • 下列設定已被取代

    • 允許入侵預防系統

    此設定現在會顯示為 [ 已淘汰] 標籤。 如果先前已在裝置上套用此已被取代的設定,則設定值會更新為 NotApplicable ,且不會影響裝置。 如果是在裝置上設定此設定,則不會影響裝置。

適用於:

  • Windows 10
  • Windows 11

2023 年 4 月 17 日當周 (Service 2304)

應用程式管理

iOS/iPadOS 和 macOS 裝置上 iCloud 應用程式備份和還原行為的變更

作為應用程式設定,您可以選取 [防止 iOS/iPadOS 和 macOS 裝置的 iCloud 應用程式備份 ]。 您無法備份 iOS/iPadOS 上的受控 App Store 應用程式和企業營運 (LOB) 應用程式,以及 macOS 裝置上的受控 App Store 應用程式, (macOS LOB 應用程式不支援這項功能) ,適用於使用者和裝置授權的 VPP/非 VPP 應用程式。 此更新包含隨附和不含 VPP 傳送的全新和現有 App Store/LOB 應用程式,這些應用程式會新增至 Intune,並以使用者和裝置為目標。

防止備份指定的受控應用程式,可確保在裝置註冊並從備份還原時,可以透過 Intune 正確部署這些應用程式。 如果系統管理員為其租使用者中的新或現有應用程式設定這個新設定,則受控應用程式可以且將會針對裝置重新安裝。 但是,Intune 不允許備份它們。

此新設定會透過修改應用程式的屬性,出現在系統管理中心 Microsoft Intune。 針對現有的應用程式,您可以選取 [應用程式>iOS/iPadOS] 或 [macOS>] 選取應用程式> [屬性>指派編輯]。 如果未設定群組指派,請選取 [ 新增群組 ] 以新增群組。 修改 VPN 下的設定、 移除裝置時卸載,或 安裝為卸載式。 然後,選 取 [防止 iCloud 應用程式備份][防止 iCloud 應用程式備份] 設定是用來防止備份應用程式的應用程式數據。 設定為 [否 ] 以允許 iCloud 備份應用程式。

如需詳細資訊,請參閱變更 iOS/iPadOS 和 macOS 裝置上的應用程式備份和還原行為,以及使用 Microsoft Intune 將應用程式指派給群組

防止 Apple VPP 應用程式的自動更新

您可以使用 [防止自動更新] 設定,在每個應用程式指派層級控制Apple VPP 的自動更新 行為。 選取 [應用程式>iOS/iPadOSmacOS>選取大量採購方案應用程式>>內容指>][選取 Microsoft Entra群組>應用程式設定,即可在Microsoft Intune系統管理中心取得此設定

適用於:

  • iOS/iPadOS
  • macOS

裝置設定

匯報 至 macOS 設定目錄

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立macOS] 中看到配置檔類型的平台>設定目錄中的這些設定。

新的設定位於:

Microsoft AutoUpdate (MAU) > [目標應用程式]

  • 更新通道覆寫

下列設定已被取代:

Microsoft AutoUpdate (MAU) > [目標應用程式]

  • (已被取代的)

隱私 > 隱私權喜好設定原則控制 > 服務 > 接聽事件或螢幕擷取

  • 已允許

適用於:

  • macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請移至 使用設定目錄建立原則

適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式現已正式推出

在 Microsoft Intune 中,有一個 Microsoft Enterprise SSO 外掛程式。 此外掛程式會針對使用 Microsoft Entra ID 進行驗證的 iOS/iPadOS 和 macOS 應用程式和網站,提供單一登錄 (SSO) 。

此外掛程式現已正式推出 (GA) 。

如需在 Intune 中為 Apple 裝置設定 Microsoft Enterprise SSO 外掛程式的詳細資訊,請移至 Microsoft Enterprise SSO 外掛程式 Microsoft Intune

適用於:

  • iOS/iPadOS
  • macOS

停用受監督 macOS 裝置的啟用鎖定裝置動作

您現在可以在 Intune 中使用 [停用啟 用鎖定 裝置] 動作,略過 Mac 裝置上的啟用鎖定,而不需要目前的使用者名稱或密碼。 [裝置>] macOS> 選取其中一個列出的裝置 > [停用啟用鎖定],即可使用這個新動作。

如需管理啟用鎖定的詳細資訊,請參閱使用 Intune 略過 iOS/iPadOS 啟用鎖定 ,或在 Apple 網站上的 iPhone、iPad 和 iPod 觸控啟用鎖定 - Apple 支援

適用於:

  • macOS 10.15 或更新版本

ServiceNow 整合現已正式推出 (GA)

現在已正式推出,您可以檢視與您在 Intune 疑難解答工作區中選取之使用者相關聯的 ServiceNow 事件清單。 這項新功能可在 [ 疑難解答 + 支援]> 底下選取使用者 >ServiceNow 事件。 顯示的事件會直接連結回來源事件,並顯示事件的重要資訊。 列出的所有事件都會連結事件中識別的「來電者」,並選取用戶進行疑難解答。

如需詳細資訊,請移至 使用疑難解答入口網站來協助您公司的使用者

支援系統管理員控制組織訊息傳遞的更多許可權

透過更多許可權,系統管理員可以控制從組織訊息建立和部署的內容傳遞,以及將內容從 Microsoft 傳遞給使用者。

組織訊息的 更新組織訊息控制 RBAC 許可權決定誰可以變更 [組織訊息] 切換以允許或封鎖 Microsoft 直接訊息。 此許可權也會新增至 組織訊息管理員 內建角色。

管理組織訊息的現有自定義角色必須經過修改,才能為使用者新增修改此設定的許可權。

裝置管理

ICMP 類型的端點安全性防火牆規則支援

您現在可以使用 IcmpTypesAndCodes 設定來設定 因特網控制訊 息通訊協定的輸入和輸出規則, (ICMP) 作為防火牆規則的一部分。 此設定可在 Windows 10、Windows 11 和 Windows Server 平臺的 Microsoft Defender 防火牆規則配置檔中取得。

適用於:

  • Windows 11 及更新版本

使用 Intune 原則管理 Windows LAPS (公開預覽)

現在可在公開預覽版中使用,請使用 Microsoft Intune 帳戶保護原則來管理 Windows 本機系統管理員密碼解決方案 (Windows LAPS) 。 若要開始使用,請參閱 Windows LAPS 的 Intune 支援

Windows LAPS 是一項 Windows 功能,可讓您在 Microsoft Entra 加入或 Windows Server Active Directory 加入的裝置上管理和備份本機系統管理員帳戶的密碼。

為了管理 LAPS,Intune 會設定 Windows LAPS 設定服務提供者 (內建於 Windows 裝置的 CSP) 。 其優先順序高於其他 Windows LAPS 設定來源,例如 GPO 或 Microsoft 舊版 LAPS 工具。 當 Intune 管理 Windows LAPS 時,您可以使用的一些功能包括:

  • 定義密碼需求,例如套用至裝置上本機系統管理員帳戶的複雜度和長度。
  • 設定裝置依排程輪替其本機系統管理員帳戶密碼。 此外,在您的 Microsoft Entra ID 或 內部部署的 Active Directory 中備份帳戶和密碼。
  • 使用系統管理中心的 Intune 裝置動作,根據您自己的排程手動輪替帳戶的密碼。
  • 從 Intune 系統管理中心內檢視帳戶詳細數據,例如帳戶名稱和密碼。 此資訊可協助您復原無法存取的裝置。
  • 使用 Intune 報告來監視您的 LAPS 原則,以及裝置上次手動或依排程輪替密碼的時間。

適用於:

  • Windows 10
  • Windows 11

macOS 軟體更新原則可用的新設定

macOS 軟體更新原則現在包含下列設定,可協助管理在裝置上安裝更新的時機。 當 [ 所有其他更新] 更新 類型設定為 [ 稍後安裝] 時,即可使用這些設定:

  • 最大使用者延遲:當 [所有其他更新] 更新 類型設定為 [ 稍後安裝] 時,此設定可讓您指定使用者在安裝次要操作系統更新之前可以延遲的次數上限。 系統會每天提示使用者一次。 適用於執行macOS 12和更新版本的裝置。

  • 優先順序:當 所有其他更新更新 類型設定為 [稍後安裝] 時,此設定可讓您針對下載和準備次要OS更新的排程優先順序,指定 [低 ] 或 [ ] 值。 適用於執行macOS 12.3和更新版本的裝置。

如需詳細資訊,請參閱使用 Microsoft Intune 原則來管理macOS軟體更新

適用於:

  • macOS

新合作夥伴入口網站頁面簡介

您現在可以從我們的合作夥伴入口網站頁面管理 HP 或 Surface 裝置上的硬體特定資訊。

HP 連結會帶您前往 HP Connect,您可以在其中更新、設定及保護 HP 裝置上的 BIOS。 Microsoft Surface 連結會帶您前往 Surface 管理入口網站,您可以在其中取得裝置合規性、支援活動和保固涵蓋範圍的深入解析。

若要存取合作夥伴入口網站頁面,您必須啟用 [裝置] 窗格預覽,然後流覽至 [ 裝置>合作夥伴入口網站]

Windows Update 應用程式和驅動程式的相容性報告現已正式推出

下列 Microsoft Intune Windows Update 相容性的報告已不在預覽狀態,且現已正式推出:

  • Windows 功能更新裝置整備報告 - 此報告提供與所選 Windows 版本升級或更新相關聯之相容性風險的每個裝置資訊。

  • Windows 功能更新相容性風險報告 - 此報告提供您組織中所選 Windows 版本之最高相容性風險的摘要檢視。 您可以使用此報告來瞭解哪些相容性風險會影響組織中最多數量的裝置。

這些報告可協助您規劃從 Windows 10 升級至 11,或安裝最新的 Windows 功能更新。

裝置安全性

Microsoft Intune 端點權限管理 已正式推出

Microsoft 端點許可權管理 (EPM) 現已正式推出,不再處於預覽狀態。

透過 端點許可權管理,系統管理員可以設定原則,讓標準使用者執行通常保留給系統管理員的工作。 若要這樣做,您可以設定 自動使用者確認 工作流程的原則,以提升您所選應用程式或進程的運行時間許可權。 然後,您會將這些原則指派給使用者或裝置,這些使用者或裝置具有沒有系統管理員許可權執行的使用者或裝置。 在裝置收到原則之後,EPM 會代表使用者代理提高許可權,讓他們能夠提高核准的應用程式,而不需要完整的系統管理員許可權。 EPM 也包含內建的深入解析和報告。

現在 EPM 已不在預覽狀態,它需要另一個授權才能使用。 您可以選擇只新增 EPM 的獨立授權,或將 EPM 授權作為 Microsoft Intune Suite 的一部分。 如需詳細資訊,請 參閱使用 Intune Suite 附加元件功能

雖然端點許可權管理現已正式推出, 但 EPM 的報 表將會轉換為 預覽中的功能,並會在從預覽中移除之前收到更多增強功能。

支援使用 Intune 防火牆規則原則標記 WDAC 應用程式識別碼

Intune 的 Microsoft Defender 防火牆規則配置檔,可作為端點安全性防火牆原則的一部分,現在包含原則應用程式標識符設定。 此設定會在 MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP 中說明,並支援指定 Windows Defender 應用程控 (WDAC) 應用程式標識符標籤。

透過這項功能,您可以將防火牆規則的範圍設定為應用程式或應用程式群組,並依賴 WDAC 原則來定義這些應用程式。 藉由使用標籤來連結和依賴 WDAC 原則,防火牆規則原則就不需要依賴絕對檔案路徑的防火牆規則選項,或使用可降低規則安全性的變數檔案路徑。

若要使用這項功能,您必須備妥包含AppId標籤的 WDAC 原則,然後您可以在 Intune Microsoft Defender 防火牆規則中指定這些標籤。

如需詳細資訊,請參閱 Windows Defender 應用程控檔中的下列文章:

適用於:

  • Windows 10/11

Intune 端點安全性受攻擊面縮小原則的新應用程式和瀏覽器隔離配置檔

我們發行了新的體驗,為端點安全性受攻擊面縮小原則建立新的 應用程式和瀏覽器隔離 配置檔。 編輯您先前建立的應用程式和瀏覽器隔離原則的體驗保持不變,您可以繼續使用它們。 此更新僅適用於您為 Windows 10 和更新版本平臺建立的新應用程式和瀏覽器隔離原則。

此更新是從 2022 年 4 月開始持續 推出端點安全策略新配置檔的一部分。

此外,新的配置檔包含其所包含設定的下列變更:

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • ixArma by INAX-APPS (iOS)
  • myBLDNG by Bldng.ai (iOS)
  • RICOH Spaces V2 by Ricoh Digital Services
  • Firstup - Intune by Firstup, Inc. (iOS)

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

角色型存取控制

新增為組織訊息指派 (RBAC) 許可權

為組織訊息指派 RBAC 許可權會決定誰可以將目標 Microsoft Entra 群組指派給組織訊息。 若要存取 RBAC 許可權,請登入 Microsoft Intune 系統管理中心,然後移至租用戶系統管理>角色

此許可權也會新增至 組織訊息管理員 內建角色。 管理組織訊息的現有自定義角色必須經過修改,才能為使用者新增修改此設定的許可權。

租使用者管理

刪除組織訊息

您現在可以從 Microsoft Intune 刪除組織訊息。 刪除訊息之後,訊息會從 Intune 中移除,且不再出現在系統管理中心。 您可以隨時刪除訊息,不論訊息的狀態為何。 Intune 會在您刪除作用中的訊息之後自動取消。 如需詳細資訊,請 參閱刪除組織訊息

檢閱組織訊息的稽核記錄

使用稽核記錄來追蹤和監視 Microsoft Intune 中的組織訊息事件。 若要存取記錄,請登入 Microsoft Intune 系統管理中心,然後移至租使用者管理>稽核記錄。 如需詳細資訊,請參閱 Intune 活動的稽核記錄

2023年4月10日當周

裝置設定

現在已正式推出 Windows 10 多重會話 VM 的使用者設定支援

您現在可以:

  • 使用 [ 設定] 目錄 設定使用者範圍原則,並指派給使用者群組。
  • 設定用戶憑證並指派給使用者。
  • 設定 PowerShell 腳本以在使用者內容中安裝,並指派給使用者。

適用於:

2023年4月3日當周

裝置設定

使用工作配置檔將Google帳戶新增至Android Enterprise個人擁有的裝置

在具有工作配置檔的 Android Enterprise 個人擁有裝置上,您可以設定限制裝置功能和設定的設定。 目前有 [ 新增和移除帳戶] 設定。 此設定可防止在工作配置檔中新增帳戶,包括防止Google帳戶。

此設定已變更。 您現在可以新增Google帳戶。 [新增和移除帳戶] 設定選項如下:

  • 封鎖所有帳戶類型:防止使用者在工作配置檔中手動新增或移除帳戶。 例如,當您將 Gmail 應用程式部署到工作設定檔時,可以防止使用者新增或移除此工作設定檔中的帳戶。

  • 允許所有帳戶類型:允許所有帳戶,包括Google帳戶。 這些 Google 帳戶會遭到封鎖,無法從受控 Google Play 商店安裝應用程式。

    這個設定需要:

    • Google Play 應用程式版本80970100或更新版本
  • 允許所有帳戶類型,但 Google 帳戶 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在工作配置檔中新增帳戶。

如需您可以設定之設定的詳細資訊,請移至 [Android Enterprise 裝置設定] 清單,以允許或限制使用 Intune 的個人擁有裝置上的功能

適用於:

  • 具有工作配置檔的Android Enterprise 個人擁有裝置

2023 年 3 月 27 日當周

應用程式管理

更新 macOS DMG 應用程式

您現在可以使用 Intune 部署 (DMG) 更新類型 macOS 應用程式的應用程式 。 若要編輯已在 Intune 中建立的 DMG 應用程式,請使用與原始 DMG 應用程式相同的套件組合識別碼上傳應用程式更新。 如需相關信息,請參閱將macOS DMG應用程式新增至 Microsoft Intune

在預先布建期間安裝必要的應用程式

註冊狀態頁面 (ESP) 配置檔中提供新的切換,可讓您選取是否要在 Windows Autopilot 預先布建技術人員階段期間嘗試安裝必要的應用程式。 我們瞭解需要在預先布建期間盡可能安裝多個應用程式,以縮短使用者設定時間。 如果應用程式安裝失敗,ESP 會繼續執行,但 ESP 配置檔中指定的應用程式除外。 若要啟用此函式,您必須選取 [只有技術人員階段中選取的應用程式失敗] 的新設定上的 [],以編輯註冊狀態頁面配置檔。 只有當您已選取封鎖應用程式時,才會出現此設定。 如需 ESP 的相關信息,請移至 設定註冊狀態頁面

2023 年 3 月 20 日當周 (Service 2303)

應用程式管理

Win32 應用程式的更多最低 OS 版本

在安裝 Win32 應用程式時,Intune 支援更多適用於 Windows 10 和 11 的最低作業系統版本。 在 Microsoft Intune 系統管理中心內,選取 [應用程式>][Windows>新增>Windows 應用程式 (Win32) ]。 在 [最低作業系統] 旁的 [需求] 索引標籤中,選取其中一個可用的作業系統。 其他作業系統選項包括:

  • Windows 10 21H2
  • Windows 10 22H2
  • Windows 11 21H2
  • Windows 11 22H2

管理 VPP 應用程式不再需要受控應用程式許可權

您只能使用指派的行動應用程式許可權來檢視和管理 VPP 應用程式 。 先前需要受 控應用程式 許可權,才能檢視和管理 VPP 應用程式。 這項變更不適用於仍然需要指派受控應用程式許可權的 Intune 教育 租使用者。 如需 Intune 中許可權的詳細資訊,請參閱 自定義角色許可權

裝置設定

macOS 設定目錄中可用的新設定和設定選項

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立macOS] 中看到配置檔類型的平台>設定目錄中的這些設定。

新的設定包括:

>Microsoft Defender 竄改保護

  • 強制層級

Microsoft Office > Microsoft OneDrive

  • 自動上傳頻寬百分比
  • 自動且無訊息地啟用資料夾備份功能, (稱為已知資料夾移動)
  • 封鎖應用程式,防止其下載僅能線上使用的檔案
  • 封鎖外部同步處理
  • 停用自動登入
  • 停用下載快顯通知
  • 停用個人帳戶
  • 停用教學課程
  • 重新導向使用者的資料夾之後,向用戶顯示通知
  • 啟用檔案隨選
  • 啟用 Office 應用程式的同時編輯
  • 強制使用者使用資料夾備份功能 (也稱為已知資料夾移動)
  • 隱藏停駐圖示
  • 忽略具名檔案
  • 在資料夾備份中包含 ~/Desktop (也稱為已知資料夾移動)
  • 在資料夾備份中包含 ~/Documents (也稱為已知資料夾移動)
  • 登入時開啟
  • 防止使用者使用資料夾備份功能 (也稱為已知資料夾移動)
  • 提示使用者啟用資料夾備份功能, (也稱為已知資料夾移動)
  • 設定最大下載輸送量
  • 設定最大上傳輸送量
  • SharePoint 優先順序
  • SharePoint Server Front Door URL
  • SharePoint Server 租用戶名稱

適用於:

  • macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請移至 使用設定目錄建立原則

新增自定義 Bash 腳本以設定 Linux 裝置

在 Intune 中,您可以新增現有的 Bash 腳本,以 (裝置 Linux 設定腳本) > 設定Linux> 裝置。

當您建立此腳本原則時,可以設定腳本在 (使用者或根) 中執行的內容、腳本執行的頻率,以及應該重試的次數。

如需這項功能的詳細資訊,請移至使用自定義Bash腳本在 Microsoft Intune 中設定Linux裝置

適用於:

  • Linux Ubuntu Desktops

裝置註冊

支援 iOS/iPadOS 自動化裝置註冊 (公開預覽版的等候最終組態設定)

現在處於公開預覽狀態,Intune 在合格的新和現有的iOS/iPadOS自動化裝置註冊配置檔中,支援稱為 Await 最終 設定的新設定。 此設定可在設定助理中啟用現成的鎖定體驗。 它會防止裝置使用者存取受限制的內容或變更裝置上的設定,直到安裝大部分的 Intune 裝置設定原則為止。 您可以在現有的自動化裝置註冊配置檔中,或在裝置iOS/iPadOS iOS/iPadOS>註冊>計劃令牌>建立配置檔 () > 的新配置檔中設定設定。 如需詳細資訊,請 參閱建立Apple註冊配置檔

新設定可讓 Intune 系統管理員控制裝置對類別的對應

控制裝置類別提示在 Intune 公司入口網站 中的可見度。 您現在可以隱藏終端使用者的提示,並將裝置對類別對應保留到 Intune 系統管理員。 新的設定可在系統管理中心的 [租使用者管理>自定義>裝置類別] 底下取得。 如需詳細資訊,請參閱裝置類別。

支援完全受控裝置的多個註冊配置檔和令牌

建立和管理 Android Enterprise 完全受控裝置的多個註冊配置檔和令牌。 透過這項新功能,您現在可以使用 EnrollmentProfileName 動態裝置屬性,自動將註冊配置檔指派給完全受控的裝置。 租用戶隨附的註冊令牌會保留在預設配置檔中。 如需詳細資訊, 請參閱設定 Android Enterprise 完全受控裝置的 Intune 註冊

iPad (公開預覽版的新 Microsoft Entra 一線員工體驗)

這項功能會在 4 月中開始向租使用者推出。

Intune 現在支援使用 Apple 自動化裝置註冊的 iPhone 和 iPad 的一線員工體驗。 您現在可以註冊透過零觸控在 Microsoft Entra ID 共用模式中啟用的裝置。 如需如何為共用裝置模式設定自動化裝置註冊的詳細資訊,請參閱在共用裝置模式 Microsoft Entra 設定裝置註冊。

適用於:

  • iOS/iPadOS

裝置管理

記錄組態的端點安全性防火牆原則支援

您現在可以在 端點安全性防火牆原則 中設定設定防火牆記錄選項。 您可以在 Windows 10 更新版本平臺的 Microsoft Defender 防火牆配置檔範本中找到這些設定,並適用於該範本中的網域私人用配置檔。

以下是新的設定,全都可在 防火牆設定服務提供者中找到 (CSP)

  • 啟用記錄成功 Connections
  • 記錄檔路徑
  • 啟用記錄卸除封包
  • 啟用記錄忽略規則

適用於:

  • Windows 11

行動寬頻 (MBB) 的端點安全性防火牆規則支援

端點安全性防火牆原則中的 [介面類型] 設定現在包含行動寬頻的選項。 介面類型適用於支援 Windows 的所有平臺 Microsoft Defender 防火牆規則配置檔。 如需使用此設定和選項的資訊,請參閱 防火牆設定服務提供者 (CSP)

適用於:

  • Windows 10
  • Windows 11

網路清單管理員設定的端點安全性防火牆原則支援

我們已將一組網路清單管理員設定新增至 端點安全性防火牆原則。 若要協助判斷 Microsoft Entra 裝置位於或不在內部部署網域子網上,您可以使用網路清單管理員設定。 此資訊可協助防火牆規則正確套用。

下列設定位於名為 Network List Manager 的新類別中,可在 Windows 10、Windows 11 和 Windows Server 平臺的 Microsoft Defender 防火牆配置檔範本中取得:

  • 允許的 Tls 驗證端點
  • 已設定 TLS 驗證網路名稱

如需網路分類設定的相關信息,請參閱 NetworkListManager CSP

適用於:

  • Windows 10
  • Windows 11

系統管理中心的 [裝置] 區域改善 (公開預覽)

系統管理中心的 [裝置] 區域現在具有更一致的UI,具有更功能的控件和改良的瀏覽結構,讓您可以更快找到所需的資訊。 若要加入公開預覽版並試用新體驗,請移至 [ 裝置 ] 並翻轉頁面頂端的切換。 改善還包括:

  • 以案例為焦點的新導覽結構。
  • 平台樞紐的新位置,可建立更一致的流覽模型。
  • 縮短旅程,協助您更快到達目的地。
  • 監視和報告位於管理工作流程內,可讓您輕鬆存取重要計量和報表,而不需要離開工作流程。
  • 在清單檢視之間以一致的方式搜尋、排序和篩選數據。

如需更新之 UI 的詳細資訊,請參閱在 Microsoft Intune 中試用新的裝置體驗

裝置安全性

Microsoft Intune 端點權限管理 (公開預覽)

作為公開預覽版,您現在可以使用 Microsoft Intune 端點權限管理。 透過端點許可權管理,系統管理員可以設定原則,讓標準使用者執行通常保留給系統管理員的工作。 端點許可權管理可以在 Intune 系統管理中心的端點安全>性端點許可權管理中設定。

使用公開預覽版,您可以設定 自動使用者確認 工作流程的原則,以提升您所選應用程式或進程的運行時間許可權。 然後,您會將這些原則指派給使用者或裝置,這些使用者或裝置具有沒有系統管理員許可權執行的使用者或裝置。 收到原則之後,端點許可權管理會代表使用者代理提高許可權,讓他們能夠提高核准的應用程式,而不需要完整的系統管理員許可權。 預覽也包含端點許可權管理的內建深入解析和報告。

若要瞭解如何啟用公開預覽並使用端點許可權管理原則,請從使用端點許可權管理與 Microsoft Intune 開始。 端點許可權管理是 Intune 套件 供應專案的一部分,可在保持公開預覽狀態時免費試用。

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • EVALARM by GroupKom GmbH (iOS)
  • ixArma by INAX-APPS (Android)
  • Seismic |Intune by Seismic Software, Inc.
  • 由 Microsoft (正式 Microsoft Viva Engage Microsoft Yammer)

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

端點許可權管理的診斷數據收集

為了支援端點許可權管理的發行,我們已更新 從 Windows 裝置收集診斷 ,以包含下列數據,這些數據是從啟用端點許可權管理的裝置收集而來:

  • 登入機碼:

    • HKLM\SOFTWARE\Microsoft\EPMAgent
  • 命令:

    • %windir%\system32\pnputil.exe /enum-drivers
  • 記錄檔:

    • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
    • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

檢視擱置和失敗組織訊息的狀態

我們已在組織訊息報告詳細數據中新增兩個狀態,讓您更輕鬆地在系統管理中心追蹤擱置和失敗的訊息。

  • 擱置中:訊息尚未排程且目前正在進行中。
  • 失敗:訊息因為服務錯誤而無法排程。

如需報告詳細數據的相關信息,請 參閱檢視組織訊息的報告詳細數據

您現在可以在 [端點安全性] 工作負載下的現有防病毒軟體報告中,檢視租使用者附加裝置的資訊。 新的數據行會區分由 Intune 管理的裝置和由 Configuration Manager 管理的裝置。 選取 [端點安全>性防病毒軟體] 即可在 Microsoft Intune 系統管理中心取得此報告資訊。

2023 年 3 月 13 日當周

裝置管理

Meta Quest 2 和 Quest Pro 現在僅) Android 開放原始碼裝置的 Microsoft Intune 上使用開放式 Beta (美國

(AOSP) 的 Android 開放原始碼 項目裝置 Microsoft Intune 歡迎 Meta Quest 2 和 Quest Pro 進入美國市場的開放式 Beta。

如需詳細資訊,請移至 Microsoft Intune 支援的作業系統和瀏覽器

適用於:

  • Android (AOSP)

應用程式管理

適用於 Android 的 Intune App SDK 受信任跟證書管理

如果您的 Android 應用程式需要內部部署或私人證書頒發機構單位所簽發的 SSL/TLS 憑證,以提供內部網站和應用程式的安全存取權,則 Intune App SDK for Android 現在支持憑證信任管理。 如需詳細資訊和範例,請 參閱受信任的跟證書管理

UWP 應用程式的系統內容支援

除了用戶內容之外,您還可以從 Microsoft Store 應用程式部署 通用 Windows 平台 (UWP) 應用程式, (系統內容中的新) 。 如果已布建 的.appx 應用程式部署在系統內容中,則會針對每個登入的使用者自動安裝應用程式。 如果個別使用者卸載使用者內容應用程式,應用程式仍會顯示為已安裝,因為它仍在布建中。 此外,裝置上的任何使用者不得已安裝應用程式。 我們的一般建議是在部署應用程式時不要混合安裝內容。 來自 Microsoft Store 應用程式的 Win32 應用程式 (新的) 已支援系統內容。

2023 年 3 月 6 日當周

應用程式管理

將 Win32 應用程式部署至裝置群組

您現在可以將具有 可用 意圖的 Win32 應用程式部署到裝置群組。 如需詳細資訊,請參閱 Microsoft Intune 中的 Win32 應用程式管理

裝置管理

Microsoft Intune 系統管理中心的新 URL

Microsoft Intune 系統管理中心有新的URL:https://intune.microsoft.com。 先前使用的 URL https://endpoint.microsoft.com會繼續運作,但會在 2023 年底重新導向至新的 URL。 建議您採取下列動作,以避免 Intune 存取和自動化腳本發生問題:

  • 更新登入或自動化以指向 https://intune.microsoft.com
  • 視需要更新防火牆,以允許存取新的URL。
  • 將新的 URL 新增至您的最愛和書籤。
  • 通知技術服務人員並更新IT系統管理員檔。

租使用者管理

將 CMPivot 查詢新增至 Favorites 資料夾

您可以將經常使用的查詢新增至 CMPivot 中的 Favorites 資料夾。 CMPivot 可讓您透過租使用者附加快速評估 Configuration Manager 所管理裝置的狀態,並採取動作。 此功能與 Configuration Manager 控制台中已有的功能類似。 此新增功能可協助您將所有最常用的查詢保留在一個位置。 您也可以將標籤新增至查詢,以協助搜尋和尋找查詢。 儲存在 Configuration Manager 控制台中的查詢不會自動新增至 [我的最愛] 資料夾。 您必須建立新的查詢,並將其新增至此資料夾。 如需 CMPivot 的詳細資訊,請參閱 租使用者附加:CMPivot 使用方式概觀

裝置註冊

註冊狀態頁面現在支援新的 Microsoft Store 應用程式

ESP) (註冊狀態頁面現在支援 Windows Autopilot 期間的新 Microsoft Store 應用程式。 此更新可讓您更有效地支援新的 Microsoft Store 體驗,並應從 Intune 2303 開始推出至所有租使用者。 如需相關信息, 請參閱設定註冊狀態頁面

2023年2月27日當周

裝置設定

支援在 Android Enterprise 公司擁有的完全受控和 Android Enterprise 公司擁有的工作配置檔裝置上尋找裝置

您現在可以在 Android Enterprise 公司擁有的完全受控和 Android Enterprise 公司擁有的工作配置文件裝置上使用「尋找裝置」。 透過這項功能,系統管理員可以視需要尋找遺失或遭竊的公司裝置。

Microsoft Intune 系統管理中心,您必須使用裝置組態配置檔開啟此功能, (>> 裝置設定建立>適用於配置檔類型之平臺>裝置限制Android Enterprise) 。

[尋找完全受控和公司擁有之工作配置檔 裝置的裝置 ] 切換開關上的 [允許],然後選取適用的群組。 當您選取[裝置],然後選取 [所有裝置] 時,請找出可用的裝置。 從您管理的裝置清單中,選取支援的裝置,然後選擇 [尋找裝置 遠端] 動作。

如需使用 Intune 尋找遺失或遭竊裝置的相關信息,請移至:

適用於:

  • Android Enterprise 公司擁有完全受控
  • Android Enterprise 公司擁有的專用裝置
  • Android Enterprise 公司擁有的工作配置檔

Intune 附加元件

Microsoft Intune Suite 可將任務關鍵性的進階端點管理和安全性功能提供給 Microsoft Intune。

您可以在租使用者管理> Intune 附加元件下的 Microsoft Intune 系統管理中心找到Intune 的附加元件

如需詳細資訊,請 參閱使用 Intune Suite 附加元件功能

在 Intune 疑難解答工作區中檢視 ServiceNow 事件 (預覽)

在公開預覽中,您可以檢視與您在 Intune 疑難解答工作區中選取之使用者相關聯的 ServiceNow 事件清單。 這項新功能可在 [ 疑難解答 + 支援]> 底下選取使用者 >ServiceNow 事件。 顯示的事件清單會直接連結回來源事件,並顯示事件的重要資訊。 列出的所有事件都會連結事件中識別的「來電者」,並選取用戶進行疑難解答。

如需詳細資訊,請移至 使用疑難解答入口網站來協助您公司的使用者

裝置安全性

適用於 MAM 的 Microsoft Tunnel 現已正式推出

現在已不在預覽狀態且正式推出,您可以將 適用於行動應用程式管理的 Microsoft Tunnel 新增至您的租使用者。 MAM 的通道支援來自未註冊 AndroidiOS 裝置的 連線。 此解決方案為您的租使用者提供輕量型 VPN 解決方案,可讓行動裝置存取公司資源,同時遵守您的安全策略。

此外,適用於 iOS 的 MAM 通道現在支援 Microsoft Edge。

先前,適用於 Android 和 iOS 的 MAM 通道處於公開預覽狀態且可供免費使用。 在此版本正式推出后,此解決方案現在需要附加元件授權才能使用。

如需授權詳細數據,請參閱 Intune 附加元件

適用於:

  • Android
  • iOS

租使用者管理

組織訊息現在支援自定義目的地 URL

您現在可以將任何自訂目的地 URL 新增至任務列、通知區域和開始使用應用程式中的組織訊息。 這項功能適用於 Windows 11。 仍支援使用 Microsoft Entra 已註冊網域建立且處於已排程或作用中狀態的訊息。 如需詳細資訊,請 參閱建立組織訊息

2023 年 2 月 20 日當周 (Service 2302)

應用程式管理

可用的最新 iOS/iPadOS 版本作為 LOB 和市集應用程式的最低 OS 需求

您可以指定 iOS/iPadOS 16.0 作為企業營運和市集應用程式部署的最低作業系統。 選取應用程式>iOS/iPadOS>iOS 市集應用程式或企業營運應用程式,即可在 Microsoft Intune 系統管理中心使用此設定選項。 如需管理應用程式的詳細資訊,請參閱將應用程式新增至 Microsoft Intune

適用於 Intune 的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Egnyte for Intune by Egnyte

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

裝置設定

端點管理員系統管理中心已重新命名為 Intune 系統管理中心

Microsoft 端點管理員系統管理中心現在稱為 Microsoft Intune 系統管理中心

篩選條件的新 [相關聯指派] 索引標籤

當您指派應用程式或原則時,您可以使用不同的裝置屬性來篩選指派,例如裝置製造商、型號和擁有權。 您可以建立篩選條件並與指派建立關聯。

建立篩選之後,會有新的 [相關聯的指派] 索引標籤。此索引標籤會顯示所有原則指派、接收篩選指派的群組,以及篩選條件是否使用 [排除 ] 或 [ 包含]

  1. 登入 Microsoft Intune 系統管理中心。
  2. 移至 [裝置>篩選]> [選取現有的篩選 >相關聯指派] 索引標籤

如需篩選的詳細資訊,請移至:

iOS/iPadOS 模型資訊中包含的大小和世代

您可以檢視已註冊 iOS/iPadOS 裝置的大小和世代,作為硬體裝置詳細數據Model 屬性的一部分。

移至 [ 裝置 > ][所有裝置]> 選取其中一個列出的裝置,然後選取 [ 硬體 ] 以開啟其詳細數據。 例如,iPad Pro 11 英吋 (第三代) 顯示裝置型號,而不是 iPad Pro 3。 如需詳細資訊,請移至: 在 Intune 中查看裝置詳細數據

適用於:

  • iOS/iPadOS

停用受監督 iOS/iPadOS 裝置的啟用鎖定裝置動作

您可以在 Intune 中使用 [停用啟 用鎖定 裝置] 動作,略過 iOS/iPadOS 裝置上的啟用鎖定,而不需要目前的使用者名稱或密碼。

此新動作可在 [裝置 > iOS/iPadOS>] 底下選取其中一個列出的裝置> [停用啟用鎖定]

如需管理啟用鎖定的詳細資訊,請參閱使用 Intune 略過 iOS/iPadOS 啟用鎖定 ,或在 Apple 網站上的 iPhone、iPad 和 iPod 觸控啟用鎖定 - Apple 支援。

適用於:

  • iOS/iPadOS

[設定目錄] 中提供 [允許暫時性企業功能控件]

在內部部署組策略中,默 認會關閉透過服務導入的啟用功能

在 Intune 中,此設定稱為 [允許暫存企業功能控制] ,可在 [設定目錄] 中取得。 此服務預設會新增關閉的功能。 當設定為 [允許] 時,會啟用並開啟這些功能。

如需這項功能的詳細資訊,請移至:

此原則設定所啟用的 Windows 功能應於 2023 年稍後發行。 Intune 現在會針對您的認知和準備來發行此原則設定,這是未來 Windows 11 版本使用此設定之前。

如需設定目錄的詳細資訊,請移至 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定

適用於:

  • Windows 11

裝置管理

印表機保護 (預覽) 的裝置控制支援

在公開預覽中,受攻擊面縮小原則的裝置控制配置文件現在支援 Printer Protection 的可重複使用設定群組

適用於端點的 Microsoft Defender 裝置控制表機保護可讓您稽核、允許或防止在 Intune 中排除或不含排除的印表機。 它可讓您封鎖使用者透過非公司網路印表機或未經核准的USB印表機印表。 這項功能會為家庭和遠端工作案例的工作新增另一層安全性和數據保護。

適用於:

  • Windows 10
  • Windows 11

支援刪除透過適用於 適用於端點的 Microsoft Defender的安全性管理所管理的過時裝置

您現在可以從 Microsoft Intune 系統管理中心內刪除透過安全性管理 適用於端點的 Microsoft Defender 解決方案管理的裝置。 當您檢視裝置的 [概觀] 詳細數據時,刪除選項會與其他裝置管理選項一起出現。 若要找出此解決方案所管理的裝置,請在系統管理中心移至> [裝置所有裝置],然後選取在 [管理者] 資料行中顯示 MDEJoinedMDEManaged裝置。

Apple 設定目錄中可用的新設定和設定選項

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在Microsoft Intune 系統管理中心,您可以在 [裝置>>>設定建立iOS/iPadOS] 或 [適用於配置檔類型的平台>設定目錄的 macOS] 中看到這些設定。

新的設定包括:

登入 > 服務管理 - 受控登入專案

  • 小組標識碼

Microsoft Office > Microsoft Office

  • Office 啟用 Email 位址

適用於:

  • macOS

網路 > 網域

  • 跨網站追蹤防護寬鬆網域

適用於:

  • iOS/iPadOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

裝置安全性

使用端點安全性防病毒軟體原則來管理預覽 (Microsoft Defender 更新行為)

作為端點安全性防病毒軟體原則公開預覽的一部分,您可以使用適用於 Windows 10 和更新平臺的新配置檔 Defender 更新控件來管理 Microsoft Defender 的更新設定。 新的配置檔包含推出發行通道的設定。 透過推出通道,裝置和使用者會收到與每日安全情報更新、每月平臺更新和每月引擎更新相關的Defender匯報。

此配置檔包含下列設定,這些設定全都直接取自 Defender CSP - Windows 用戶端管理

  • 引擎 匯報 通道
  • 平臺 匯報 通道
  • 安全性情報 匯報 通道

這些設定也可從 Windows 10 和更新版本配置檔的設定目錄取得。

適用於:

  • Windows 10
  • Windows 11

2023年2月6日當周

租使用者管理

套用建議和深入解析,以豐富 Configuration Manager 網站健康情況和裝置管理體驗

您現在可以使用 Microsoft Intune 系統管理中心來檢視 Configuration Manager 網站的建議和見解。 這些建議可協助您改善月臺健康情況和基礎結構,並豐富裝置管理體驗。

建議包括:

  • 如何簡化基礎結構
  • 增強裝置管理
  • 提供裝置深入解析
  • 改善網站的健康情況

若要檢視建議,請開啟 Microsoft Intune 系統管理中心,並移至租用戶系統管理>連接器和令牌>Microsoft 端點 Configuration Manager,然後選取網站以檢視該網站的建議。 選取之後,[ 建議] 索 引卷標會顯示每個深入解析,以及 [ 深入瞭解] 連結。 此連結會開啟如何套用該建議的詳細數據。

如需詳細資訊,請參閱啟用 Microsoft Intune 租使用者附加 - Configuration Manager

2023 年 1 月 30 日當周

裝置管理

Android 開放原始碼裝置的 Microsoft Intune 支援 HTC Vive Focus 3

(AOSP) 的 Android 開放原始碼 項目裝置 Microsoft Intune 現在支援 HTC Vive Focus 3。

如需詳細資訊,請移至 Microsoft Intune 支援的作業系統和瀏覽器

適用於:

  • Android (AOSP)

在 遠端說明 中引進雷射指標的支援

在 遠端說明 中,您現在可以在 Windows 上提供協助時使用雷射指標。

如需 遠端說明 的詳細資訊,請移至 遠端說明

適用於:

  • Windows 10/11

2023 年 1 月 23 日當周 (Service 2301)

應用程式管理

設定是否要在 Windows 公司入口網站 中顯示 Configuration Manager 應用程式

在 Intune 中,您可以選擇是否要顯示或隱藏 Configuration Manager 應用程式,以防止出現在 Windows 公司入口網站 中。 選取 [租用戶系統管理自定義],即可在 Microsoft Intune 系統管理>中心使用此選項。 在 [ 設定] 旁,選取 [ 編輯]顯示隱藏 Configuration Manager 應用程式的選項位於窗格的 [應用程式來源] 區段中。 如需設定 公司入口網站 應用程式的相關信息,請參閱如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

封鎖將網頁釘選到應用程式 受控主畫面

在使用 受控主畫面的 Android Enterprise 專用裝置上,您現在可以使用應用程式設定來設定 受控主畫面 應用程式,以封鎖將瀏覽器網頁釘選到 受控主畫面。 新的 key 值為 block_pinning_browser_web_pages_to_MHS。 如需詳細資訊,請參閱設定適用於Android Enterprise的 Microsoft 受控主畫面 應用程式

裝置管理

Android Microsoft Intune 應用程式中可見的寬限期狀態

適用於Android的 Microsoft Intune 應用程式現在會顯示寬限期狀態,以考慮不符合合規性需求但仍在指定寬限期內的裝置。 使用者可以看到裝置必須符合規範的日期,以及如何符合規範的指示。 如果未在指定日期前更新裝置,則會將裝置標示為不符合規範。 如需詳細資訊,請參閱下列檔:

macOS 的軟體更新原則現已正式推出

macOS 裝置的軟體更新原則現已正式推出。 此正式運作適用於執行 macOS 12 (Monterey) 及更新版本的受監督裝置。 這項功能正在進行改善。

如需詳細資訊,請參閱使用 Microsoft Intune 原則來管理macOS軟體更新

Windows Autopilot 裝置診斷

您可以從 Autopilot 部署監視器或個別裝置的裝置診斷監視器,在 Microsoft Intune 系統管理中心下載 Windows Autopilot 診斷。

裝置註冊

註冊通知現已正式推出

註冊通知現已正式推出,並在 Windows、Apple 和 Android 裝置上受到支援。 只有用戶驅動的註冊方法才支援這項功能。 如需詳細資訊, 請參閱設定註冊通知

略過或顯示設定助理中的 [位址條款] 窗格

設定 Microsoft Intune 在 Apple 自動化裝置註冊期間略過或顯示名為 [位址條款] 的新 [設定助理] 窗格。 [ 位址條款 ] 可讓 iOS/iPadOS 和 macOS 裝置上的使用者藉由選取系統處理裝置的方式來個人化其裝置:女性、中性或偽裝。 窗格預設會在註冊期間顯示,並可供選取語言使用。 您可以在執行 iOS/iPadOS 16 和更新版本,以及 macOS 13 和更新版本的裝置上隱藏它。 如需 Intune 中支援之設定助理畫面的詳細資訊,請參閱:

裝置安全性

適用於 iOS/iPadOS 行動應用程式管理的 Microsoft Tunnel (預覽)

作為公開預覽版,您可以使用行動應用程式管理 (MAM) 至 iOS/iPadOS 的 Microsoft Tunnel VPN 閘道。 針對尚未向 Intune 註冊的 iOS 裝置使用此預覽版,這些未註冊裝置上支援的應用程式可以在使用公司數據和資源時,使用 Microsoft Tunnel 連線到您的組織。 此功能包含下列專案的 VPN 閘道支援:

  • 使用新式驗證保護內部部署應用程式和資源的存取
  • 單一登入和條件式存取

如需詳細資訊,請移至:

適用於:

  • iOS/iPadOS

適用於 適用於端點的 Microsoft Defender的安全性設定管理受攻擊面縮小原則支援

透過 MDE 安全性設定 案例管理的裝置支援受攻擊面縮小原則。 若要搭配使用 適用於端點的 Microsoft Defender 但未向 Intune 註冊的裝置使用此原則:

  1. 在 [端點安全性] 節點中,建立新的 受攻擊面縮小 原則。
  2. 取 [Windows 10]、[Windows 11] 和 [Windows Server] 作為 [平臺]
  3. 選取配置檔[受攻擊面縮小規則]。

適用於:

  • Windows 10
  • Windows 11

SentinelOne – 新的行動威脅防禦合作夥伴

您現在可以使用 SentinelOne 作為整合式 Mobile Threat Defense (MTD) 與 Intune 的合作夥伴。 藉由在 Intune 中設定 SentinelOne 連接器,您可以使用以合規性政策中的風險評估為基礎的條件式存取,來控制行動裝置對公司資源的存取。 SentinelOne 連接器也可以將風險層級傳送至應用程式保護原則。

裝置設定

裝置韌體設定介面 (DFCI) 支援 Fujitsu 裝置

針對 Windows 10/11 裝置,您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定 (>> 裝置組態建立>Windows 10 及更新版本,以供配置檔類型) 的平臺>>本裝置韌體設定介面使用。

某些執行 Windows 10/11 的 Fujitsu 裝置已針對 DFCI 啟用。 請連絡您的裝置廠商或裝置製造商以取得合格的裝置。

如需 DFCI 設定檔的詳細資訊,請移至:

適用於:

  • Windows 10
  • Windows 11

在執行 Android (AOSP) 的裝置上支援大量裝置動作

您現在可以針對執行 Android (AOSP) 的裝置完成「大量裝置動作」。 在執行 Android (AOSP) 的裝置上支援的大量裝置動作為 [刪除]、[抹除] 和 [重新啟動]。

適用於:

  • Android (AOSP)

已更新設定目錄中 iOS/iPadOS 和 macOS 設定的描述

設定目錄會列出您可以設定的所有設定,以及所有設定在一個位置。 針對 iOS/iPadOS 和 macOS 設定,會針對每個設定類別更新描述,以包含更詳細的資訊。

如需設定目錄的詳細資訊,請移至:

適用於:

  • iOS/iPadOS
  • macOS

Apple 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立iOS/iPadOS] 或 [適用於配置檔類型的平臺>設定目錄的 macOS] 看到這些設定。

新的設定包括:

帳戶 > 訂閱的行事曆

  • 帳戶描述
  • 帳戶主機名
  • 帳戶密碼
  • 帳戶使用 SSL
  • 帳戶用戶名稱

適用於:

  • iOS/iPadOS

網路 > 網域

  • 跨網站追蹤防護寬鬆網域

適用於:

  • macOS

下列設定也位於 [設定目錄] 中。 之前,它們僅適用於範本:

檔案儲存庫

  • 使用者輸入遺漏資訊

適用於:

  • macOS

限制

  • 評等區域

適用於:

  • iOS/iPadOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

依裝置的 Microsoft Entra 聯結類型篩選應用程式和原則指派 (deviceTrustType)

當您指派應用程式或原則時,您可以使用不同的裝置屬性來篩選指派,例如裝置製造商、作業系統 SKU 等等。

新的裝置篩選屬性deviceTrustType適用於 Windows 10和更新版本的裝置。 使用此屬性,您可以根據 Microsoft Entra 聯結類型來篩選應用程式和原則指派。 這些值包括 Microsoft Entra 聯結Microsoft Entra 混合式聯結,以及已註冊 Microsoft Entra

如需篩選條件和您可以使用之裝置屬性的詳細資訊,請移至:

適用於:

  • Windows 10 和更新版本

監視及疑難排解

在 Microsoft Intune 系統管理中心下載行動應用程式診斷, (公開預覽)

現在處於公開預覽狀態,可在系統管理中心存取使用者提交的行動應用程式診斷,包括透過適用於Android的 公司入口網站 應用程式傳送的應用程式記錄、Android (AOSP) 或 Windows,且 iOS、macOS 和 Microsoft Edge for iOS 的支援將於稍後推出。 如需存取 公司入口網站 行動應用程式診斷的詳細資訊,請參閱設定 公司入口網站

使用診斷檔案進行 WinGet 疑難解答

WinGet 是命令行工具,可讓您探索、安裝、升級、移除及設定 Windows 10 和 Windows 11 裝置上的應用程式。 在 Intune 中使用 Win32 應用程式管理時,您現在可以使用下列檔案位置來協助疑難解答 WinGet:

  • %TEMP%\winget\defaultstate*.log
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational

Intune 疑難解答窗格更新

Intune [疑難解答] 窗格的新體驗提供使用者裝置、原則、應用程式和狀態的詳細數據。 疑難解答窗格包含下列資訊:

  • 原則、合規性和應用程式部署狀態的摘要。
  • 支援匯出、篩選和排序所有報表。
  • 支持藉由排除原則和應用程式來篩選。
  • 支援篩選至使用者的單一裝置。
  • 可用裝置診斷和停用裝置的詳細數據。
  • 離線裝置的詳細數據,這些裝置已存回服務三天以上。

您可以選取 [疑難解答 + 支援>疑難解答],在系統管理中心 Microsoft Intune 找到 [疑難解答] 窗格。 若要在預覽期間檢視新體驗,請選取 [預覽即將推出的疑難解答變更],並提供意見反應 以顯示 [疑難解答預覽 ] 窗格,然後選取 [ 立即試用]

不具合規性政策之裝置的新報告 (預覽)

我們已將名為 [沒有合規性原則的裝置] 的新報告新增至您可以透過 Microsoft Intune 系統管理中心的 [報告] 節點存取的裝置合規性報告。 此報表處於預覽狀態,使用較新的報告格式,可提供更多功能。

若要瞭解這個新的組織報告,請參閱 沒有合規性原則的裝置 (組織)

此報表的較舊版本仍可透過系統管理中心的 [ 裝置 > 監視器 ] 頁面取得。 最後,該較舊的報表版本將會淘汰,但目前仍可供使用。

服務健康情況 需要系統管理注意的租用戶問題訊息

Microsoft Intune 系統管理中心的 [服務健康情況 和訊息中心] 頁面現在可以顯示環境中需要採取動作的問題訊息。 這些訊息是傳送給租使用者的重要通訊,可警示系統管理員其環境中可能需要採取動作才能解決的問題。

您可以移至 [租用戶系統管理>租用戶狀態],然後選取 [服務健康情況] 和 [訊息中心] 索引卷標,以在 Microsoft Intune 系統管理中心檢視環境中需要採取動作的問題訊息。

如需系統管理中心此頁面的詳細資訊,請參 閱 Intune 租用戶狀態頁面上的檢視租使用者的詳細數據

租使用者管理

改善多個憑證連接器的UI體驗

我們已將分頁控件新增至 [ 憑證連接器 ] 檢視,以協助改善您設定超過 25 個憑證連接器時的體驗。 使用新的控制件,您可以查看連接器記錄的總數,並在檢視憑證連接器時輕鬆流覽至特定頁面。

若要檢視憑證連接器,請在 Microsoft Intune 系統管理中心,移至租用戶系統管理>連接器和令牌憑證>連接器

Intune 應用程式

適用於 Intune 的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • 按電壓安全性的電壓 SecureMail

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

指令碼

在端點分析中預覽 PowerShell 腳本套件內容

系統管理員現在可以看到 PowerShell 腳本內容的預覽,以進行主動式補救。 內容會以灰色的現成方塊顯示,並具有捲動功能。 系統管理員無法在預覽中編輯腳本的內容。 在系統管理中心 Microsoft Intune,選取 [報告>端點分析>主動式補救]。 如需詳細資訊,請參閱 主動式補救的 PowerShell 腳本

2023 年 1 月 16 日當周

應用程式管理

Win32 應用程式取代 GA

Win32 應用程式取代 GA 的功能集可供使用。 它新增對 ESP 期間取代應用程式的支援,也允許在相同的應用程式子圖形中新增取代 & 相依性關聯性。 如需詳細資訊,請參閱 Win32 應用程式取代改善。 如需 Win32 應用程式取代的相關信息,請參閱 新增 Win32 應用程式取代

2023 年 1 月 9 日當周

裝置設定

公司入口網站 應用程式會在具有工作配置檔的 Android Enterprise 12+ 個人擁有裝置上強制執行密碼複雜度設定

在具有工作配置檔的 Android Enterprise 12+ 個人擁有裝置上,您可以建立合規性原則和/或裝置組態配置檔,以設定密碼複雜度。 從 2211 版開始,此設定可在 Intune 系統管理中心取得:

  • 設備>配置>創建>Android Enterprise for platform > 個人擁有工作配置檔
  • 設備>合規性原則>建立原則>Android Enterprise for platform > 個人擁有工作配置檔

公司入口網站 應用程式會強制執行密碼複雜度設定。

如需此設定的詳細資訊,以及您可以在具有工作配置檔的個人擁有裝置上設定的其他設定,請移至:

適用於:

  • 具有工作配置檔的 Android Enterprise 12+ 個人擁有裝置

2022 年 12 月 19 日當周

Intune 應用程式

適用於 Intune 的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Appian Corporation (Android) 的適用於 Intune 的 Appian

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

2022 年 12 月 12 日當周 (Service 2212)

裝置設定

遠端說明 用戶端應用程式包含在租用戶層級設定中停用聊天功能的新選項

在 遠端說明 應用程式中,系統管理員可以從新的租用戶層級設定停用聊天功能。 開啟停用聊天功能會移除 遠端說明 應用程式中的聊天按鈕。 您可以在 Microsoft Intune 中租使用者管理下的 [遠端說明 設定] 索引標籤中找到此設定。

如需詳細資訊,請參閱設定租使用者的 遠端說明

適用於:Windows 10/11

macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在 Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立macOS] 中看到配置檔類型的平台>設定目錄中的這些設定。

新的設定包括:

檔案保存庫 > 檔案儲存庫選項

  • 禁止 FV 停用
  • 禁止啟用 FV

限制

  • 允許藍牙修改

適用於:

  • macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

iOS、iPadOS 和 macOS 裝置上的 SSO 延伸模組要求有預設設定

當您建立單一登錄應用程式延伸模組組態設定檔時,您會設定一些設定。 下列設定會針對所有 SSO 擴充要求使用下列預設值:

  • AppPrefixAllowList 機碼

    • macOS 預設值: com.microsoft.,com.apple.
    • iOS/iPadOS 預設值: com.apple.
  • browser_sso_interaction_enabled

    • macOS 預設值: 1
    • iOS/iPadOS 預設值: 1
  • disable_explicit_app_prompt

    • macOS 預設值: 1
    • iOS/iPadOS 預設值: 1

如果您設定預設值以外的值,則設定的值會覆寫預設值。

例如,您未設定 AppPrefixAllowList 金鑰。 根據預設,所有 Microsoft 應用程式 (com.microsoft.) 和所有 Apple 應用程式 (com.apple.) 都會在 macOS 裝置上啟用 SSO。 您可以將不同的前置詞新增至清單,例如 com.contoso.,以覆寫此行為。

如需企業 SSO 外掛程式的詳細資訊,請移至在 Microsoft Intune 中使用 iOS/iPadOS 和 macOS 裝置上的 Microsoft Enterprise SSO 外掛程式

適用於:

  • iOS/iPadOS
  • macOS

裝置註冊

Android Enterprise 專用裝置的註冊令牌存留期增加到 65 年

現在您可以為 Android Enterprise 專用裝置建立最多 65 年的註冊配置檔。 如果您有現有的設定檔,註冊令牌仍會在您建立配置檔時所選擇的任何日期到期,但在更新期間,您可以延長存留期。 如需建立註冊配置檔的詳細資訊,請參閱 設定 Android Enterprise 專用裝置的 Intune 註冊

裝置管理

macOS 的更新原則現在適用於所有受監督的裝置

macOS 裝置的軟體更新原則現在適用於所有macOS受監督裝置。 先前,只有透過自動裝置註冊 (ADE) 註冊的裝置才有資格接收更新。 如需設定macOS更新原則的詳細資訊,請參閱使用 Microsoft Intune 原則來管理macOS軟體更新

適用於:

  • macOS

Windows 功能更新和加速品質更新的原則和報告現已正式推出

用於管理功能更新和品質更新的原則和報告 (Windows 10 和更新版本的加速更新) 都已不在預覽狀態,現在已正式推出。

如需這些原則和報告的詳細資訊,請參閱:

適用於:

  • Windows 10/11

2022 年 11 月 28 日當周

應用程式管理

Intune 中的 Microsoft Store 應用程式

您現在可以在 Intune 內搜尋、瀏覽、設定及部署 Microsoft Store 應用程式。 新的 Microsoft Store 應用程式類型是使用 Windows 封裝管理員 實作。 此應用程式類型具有擴充的應用程式目錄,其中包含 UWP 應用程式和 Win32 應用程式。 此功能的推出預計會在 2022 年 12 月 2 日完成。 如需詳細資訊,請參閱將 Microsoft Store 應用程式新增至 Microsoft Intune

租使用者管理

多個系統管理員核准 (公開預覽) 的存取原則

在公開預覽版中,您可以使用 Intune 存 取原則 ,要求第二個系統管理員核准帳戶在套用變更之前核准變更。 這項功能稱為多個系統管理員核准 (MAA) 。

您可以建立存取原則來保護資源類型,例如應用程式部署。 每個存取原則也包含一組使用者,這些用戶是原則所保護變更的 核准者 。 當像應用程式部署設定一樣的資源受到存取原則保護時,對部署所做的任何變更,包括建立、刪除或修改現有的部署,在該存取原則的核准者群組成員檢閱並核准該變更之前,都不會套用。

核准者也可以拒絕要求。 要求變更的個人和核准者可以提供變更的相關附注,或為何核准或拒絕變更。

下列資源支援存取原則:

  • 應用程式 – 適用於 應用程式部署,但不適用於應用程式保護原則。
  • 腳本 – 適用於將腳本部署至執行 macOSWindows 的裝置。

如需詳細資訊,請 參閱使用存取原則來要求多個系統管理核准

裝置安全性

適用於 Android 行動應用程式管理的 Microsoft Tunnel (預覽)

作為公開預覽版,您現在可以搭配未註冊的裝置使用 Microsoft Tunnel。 這項功能稱為 行動應用程式管理的 Microsoft Tunnel (MAM) 。 此預覽版支援 Android,且不需變更現有的通道基礎結構,即可支援通道 VPN 閘道:

  • 使用新式驗證保護內部部署應用程式和資源的存取
  • 單一登入和條件式存取

若要使用 Tunnel MAM,未註冊的裝置必須安裝 Microsoft Edge、適用於端點的 Microsoft Defender 和 公司入口網站。 然後,您可以使用 Microsoft Intune 系統管理中心為未註冊的裝置設定下列配置檔:

  • 受控應用程式的應用程式組態配置檔,可在裝置上設定 Microsoft Defender 以作為 Tunnel 用戶端應用程式。
  • 受控應用程式的第二個應用程式組態配置檔,用來設定 Microsoft Edge 以連線到 Tunnel。
  • 啟用 Microsoft Tunnel 連線自動啟動的 應用程式防護 設定檔。

適用於:

  • Android Enterprise

2022 年 11 月 14 日當周 (Service 2211)

應用程式管理

控制受控Google Play 應用程式的顯示

您可以將受控 Google Play 應用程式群組到集合中,並控制在 Intune 中選取應用程式時顯示集合的順序。 您也可以讓應用程式只透過搜尋顯示。 選取 [應用程式>] [所有應用程式>] [新增>受控Google Play 應用程式],即可在 Microsoft Intune 系統管理中心取得這項功能。 如需詳細資訊,請 參閱直接在 Intune 系統管理中心新增受控 Google Play 市集應用程式

裝置設定

具有工作配置檔之 Android Enterprise 12+ 個人擁有裝置的新密碼複雜度設定

在具有工作配置檔的 Android Enterprise 11 和舊版個人擁有裝置上,您可以設定下列密碼設定:

  • 設備>合 規>Android Enterprise for platform >個人擁有的工作配置文件>系統安全性>必要密碼類型密碼長度下限
  • 設備>配置>Android Enterprise for platform >個人擁有的工作配置檔>裝置限制>工作配置檔設定>必要的密碼類型密碼長度下限
  • 設備>配置>Android Enterprise for platform >個人擁有的工作配置檔>裝置限制>密碼>必要密碼類型密碼長度下限

Google 即將取代 Android 12+ 個人擁有裝置的 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定,並以新的密碼複雜性需求取代這些裝置。 如需這項變更的詳細資訊,請移至 Android 13 的第零天支援

新的 [密碼複雜度 ] 設定具有下列選項:

  • :Intune 不會變更或更新此設定。 根據預設,OS 可能不需要密碼。
  • :已封鎖重複 (4444) 或 (1234、4321、2468) 順序的模式或 PIN。
  • :已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度、字母長度或英數位元長度必須至少為四個字元。
  • :已封鎖重複 (4444) 或 (1234、4321、2468) 順序排序的 PIN。 長度必須至少為八個字元。 字母或英數位元長度必須至少為六個字元。

在 Android 12+ 上,如果您目前在合規性原則或裝置組態配置檔中使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定,則建議您改用新的 密碼複雜度 設定。

如果您繼續使用 [必要密碼類型 ] 和 [ 密碼長度下限 ] 設定,但未設定 [密碼複雜度 ] 設定,則執行 Android 12+ 的新裝置可能會預設為 [高 密碼複雜度]。

如需這些設定的詳細資訊,以及已設定已被取代設定的現有裝置會發生什麼情況,請移至:

適用於:

  • 具有工作配置檔的 Android Enterprise 12.0 和較新的個人擁有裝置

iOS/iPadOS 和 macOS 設定目錄中可用的新設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。

[設定目錄] 中提供新的設定。 在Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立iOS/iPadOS] 或 [適用於配置檔類型的平臺>設定目錄的 macOS] 看到這些設定。

新的設定包括:

網路 > DNS 設定

  • DNS 通訊協定
  • 伺服器位址
  • 伺服器名稱
  • 伺服器 URL
  • 補充比對網域
  • 隨選規則
  • 動作
  • 動作參數
  • DNS 網域比對
  • DNS 伺服器位址相符
  • 介面類型相符
  • SSID 比對
  • URL 字串探查
  • 禁止停用

檔案儲存庫

  • 推遲
  • 延遲不要在用戶註銷時詢問
  • 延遲使用者登入時的強制最大略過嘗試
  • 啟用
  • 顯示修復金鑰
  • 使用修復金鑰

檔案保存庫 > 檔案儲存庫修復金鑰委付

  • 裝置金鑰
  • 位置

限制

  • 允許空中播放傳入要求

適用於:

  • macOS

Web > Web 內容篩選

  • 允許清單書籤
  • 已啟用自動篩選
  • 拒絕清單URL
  • 篩選瀏覽器
  • 篩選數據提供者套件組合識別碼
  • 篩選數據提供者指定的需求
  • 篩選等級
  • 篩選封包提供者套件組合標識碼
  • 篩選封包提供者指定的需求
  • 篩選封包
  • 篩選套接字
  • 篩選器類型
  • Organization
  • 密碼
  • 允許的 URL
  • 外掛程式套件組合標識碼
  • 伺服器位址
  • 用戶定義名稱
  • 使用者名稱
  • 廠商設定

適用於:

  • iOS/iPadOS
  • macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

裝置韌體設定介面 (DFCI) 支援Panasonic裝置

針對 Windows 10/11 裝置,您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定>> (裝置組態建立>Windows 10 及更新版本,以供配置檔類型) 的平臺>範本>裝置韌體設定介面使用。

從 2022 年秋季開始,DFCI 已啟用執行 Windows 10/11 的新 Panasonic 裝置。 因此,系統管理員可以建立 DFCI 配置檔來管理 BIOS,然後將配置檔部署到這些 Panasonic 裝置。

請連絡您的裝置廠商或裝置製造商,以確保您取得合格的裝置。

如需 DFCI 設定檔的詳細資訊,請移至:

適用於:

  • Windows 10
  • Windows 11

使用設定目錄在macOS裝置上登入和背景專案管理支援

在macOS裝置上,您可以建立原則,在使用者登入其macOS裝置時自動開啟專案。 例如,您可以開啟應用程式、檔案和資料夾。

在 Intune 中,設定目錄包含新的服務管理設定,位於裝置>>組態建立>macOS for platform >Settings catalog>Login>Service Management。 這些設定可防止使用者在其裝置上停用受控登入和背景專案。

如需設定目錄的詳細資訊,請移至:

適用於:

  • macOS 13 和更新版本

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Varicent US OpCo Corporation 的 Varicent
  • myBLDNG by Bldng.ai
  • 適用於 Intune 的 Enterprise Files by Stratospherix Ltd
  • ArcGIS Indoors for Intune by ESRI
  • 依決策的會議 AS
  • Idenprotect Go by Apply Mobile Ltd

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

檢閱 Microsoft Intune 系統管理中心的雲端計算機連線健康情況檢查和錯誤

您現在可以在 Microsoft Intune 系統管理中心檢閱連線健康情況檢查和錯誤,以協助您瞭解您的使用者是否遇到連線問題。 另外還有一個疑難解答工具,可協助解決連線問題。 若要查看檢查,請選取 [裝置>Windows 365>Azure 網络連線>],選取 [概觀]清單>中的連線。

租使用者管理

傳遞 Windows 11 (公開預覽) 的組織訊息

使用 Microsoft Intune 將重要訊息和行動呼叫傳遞給其裝置上的員工。 組織訊息是預先設定的訊息,旨在改善遠端和混合式工作案例中的員工通訊。 他們可用來協助員工適應新角色、深入瞭解其組織,以及隨時掌握新的更新和訓練。 您可以在工作列上方、通知區域或 Windows 11 裝置上的入門應用程式中傳遞訊息。

在公開預覽期間,您可以:

  • 從要指派給 Microsoft Entra 用戶群組的各種預先設定的常見訊息中選取。
  • 新增您組織的標誌。
  • 在將裝置使用者重新導向至特定位置的訊息中包含自定義目的地 URL。
  • 以深色和淺色主題預覽 15 種支援語言的訊息。
  • 排程傳遞視窗和訊息頻率。
  • 追蹤訊息的狀態及其接收的檢視數目和按兩下次數。 檢視和點選會由訊息匯總。
  • 取消排程或作用中的訊息。
  • 在 Intune 中設定稱為 組織訊息管理員的新內建角色,以允許指派的系統管理員檢視和設定訊息。

所有設定都必須在 Microsoft Intune 系統管理中心完成。 Microsoft 圖形 API 無法與組織訊息搭配使用。 如需詳細資訊,請參閱 組織訊息概觀

2022 年 11 月 7 日當周

應用程式管理

終止對 Windows 資訊保護 的支援

沒有註冊的 Windows 資訊保護 (WIP) 原則已被取代。 您無法再在沒有註冊的情況下建立新的 WIP 原則。 在 2022 年 12 月之前,您可以修改現有的原則,直到 淘汰但未註冊 案例完成為止。 如需詳細資訊,請移至規劃變更:終止對 Windows 資訊保護 的支援

裝置設定

Windows 11 多重會話 VM 的用戶設定支援現已正式推出

您現在可以:

  • 使用 [ 設定] 目錄 設定使用者範圍原則,並指派給使用者群組,包括 ADMX 內嵌的原則
  • 設定用戶憑證並指派給使用者
  • 設定 PowerShell 腳本以在使用者內容中安裝,並指派給使用者

適用於:

2022 年 10 月 31 日當周

應用程式管理

Intune 的主要 MTD 服務應用程式保護原則設定

Intune 現在支援 適用於端點的 Microsoft Defender 和一個非Mobile Threat Defense (MTD) 連接器,以針對每個平臺的應用程式防護原則評估開啟。 此功能可讓客戶在 適用於端點的 Microsoft Defender 與非 Microsoft MTD 服務之間進行移轉。 而且,他們不希望透過應用程式防護原則中的風險分數暫停保護。 已在標題為「主要 MTD 服務」的條件式啟動健康情況檢查下導入新的設定,以指定應為終端用戶強制執行哪項服務。 如需詳細資訊,請參閱 Android 應用程式保護原則設定iOS 應用程式保護原則設定

2022 年 10 月 24 日當周 (Service 2210)

應用程式管理

使用篩選條件搭配受控裝置的應用程式設定原則

您可以在部署受管理裝置的應用程式設定原則時,使用篩選來精簡指派範圍。 您必須先使用 iOS 和 Android 的任何可用屬性 來建立篩選 。 然後,在系統管理中心 Microsoft Intune,您可以選取 [應用程式>]> 設定原則 [新增>受控裝置] 並移至 [指派] 頁面,以指派受控應用程式設定原則。 選取群組之後,您可以選擇篩選,並決定在 [ 包含 ] 或 [ 排除 ] 模式中使用,以精簡原則的適用性。 如需篩選的相關信息,請參閱在系統管理中心指派應用程式、原則和配置檔時使用篩選 Microsoft Intune

裝置設定

群組原則 分析會在系統管理員匯入 群組原則 物件時,自動套用指派給系統管理員的範圍標籤

在 群組原則 分析中,您可以匯入內部部署 GPO,以查看支援雲端式 MDM 提供者的原則設定,包括 Microsoft Intune。 您也可以看到任何已淘汰的設定或設定都無法使用。

現在,當這些系統管理員將 GPO 匯入至 群組原則 分析時,系統會自動套用指派給系統管理員的範圍標籤。

例如,系統管理員已指派 給其角色的LondonLondonBoston 範圍標籤:

  • 具有 [並 行] 範圍標籤的系統管理員會匯入 GPO。
  • [並行] 範圍標籤會自動套用至匯入的 GPO。
  • 所有具有 [並 行] 範圍標籤的系統管理員都可以看到匯入的物件。
  • 只有 倫敦 或只有 波士頓 範圍卷標的系統管理員,看不到 來自該身 分區管理員的匯入物件。

若要讓系統管理員查看分析或將匯入的 GPO 移轉至 Intune 原則,這些系統管理員必須具有與執行匯入之系統管理員相同的其中一個範圍卷標。

如需這些功能的詳細資訊,請移至:

適用於:

  • Windows 11
  • Windows 10

適用於 Microsoft Intune的新網路端點

新的網路端點已新增至我們的檔,以容納新增至 Intune 服務的新 Azure 縮放單位 (ASU) 。 建議您使用最新的IP位址清單來更新防火牆規則,以確保Microsoft Intune的所有網路端點都是最新狀態。

如需完整清單,請移至網路端點以取得 Microsoft Intune

使用 Windows 11 SE 作業系統 SKU 篩選應用程式和組策略指派

當您指派應用程式或原則時,您可以使用不同的裝置屬性來篩選指派,例如裝置製造商、作業系統 SKU 等等。

有兩個新的 Windows 11 SE 操作系統 SKU 可供使用。 您可以在指派篩選中使用這些 SKU,以包含或排除 Windows 11 SE 裝置套用以群組為目標的原則和應用程式。

如需篩選條件和您可以使用之裝置屬性的詳細資訊,請移至:

適用於:

  • Windows 11 SE

iOS/iPadOS 和 macOS 設定目錄中可用的新設定

設定目錄會列出您可以在裝置原則中設定的所有設定,以及所有設定。

設定目錄中提供新的設定。 在 Microsoft Intune 系統管理中心,您可以在 [裝置>>>設定建立iOS/iPadOS] 或 [適用於配置檔類型的平台>設定目錄的 macOS] 中看到這些設定。

新的設定包括:

網路 > 行動資料

  • 啟用XLAT464

適用於:

  • iOS/iPadOS

隱私 > 隱私權喜好設定原則控制項

  • 系統原則應用程式套件組合

適用於:

  • macOS

限制

  • 允許快速安全性回應安裝
  • 允許快速安全性回應移除

適用於:

  • iOS/iPadOS
  • macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

Windows 裝置上裝置韌體設定介面 (DFCI) 配置檔的新設定

您可以建立 DFCI 配置檔,讓 Windows OS 將管理命令從 Intune 傳遞至 UEFI (整合可擴展固件介面) (裝置>>組態建立>Windows 10 及更新版本,以供平臺>範本>裝置韌體設定介面)

您可以使用這項功能來控制 BIOS 設定。 您可以在 DFCI 原則中設定新的設定:

  • 相機:

    • 前端相機
    • 紅外線相機
    • 後方相機
  • 收音機:

    • WWAN
    • Nfc
  • 連接埠

    • SD 記憶卡

如需 DFCI 設定檔的詳細資訊,請移至:

適用於:

  • 在支援的 UEFI 上 Windows 11
  • 在支援的 UEFI 上 Windows 10 RS5 (1809) 及更新版本

裝置註冊

具有新式驗證的 iOS/iPadOS 設定助理支援 Just in Time Registration (公開預覽)

Intune 支援使用設定助理進行新式驗證的 iOS/iPadOS 註冊案例, (JIT) 註冊。 JIT 註冊可減少在整個布建體驗中向用戶顯示的驗證提示數目,讓他們獲得更順暢的上線體驗。 它不需要讓 公司入口網站 應用程式進行 Microsoft Entra 註冊和合規性檢查,並在整個裝置上建立單一登錄。 JIT 註冊適用於透過Apple自動化裝置註冊並執行iOS/iPadOS 13.0或更新版本的裝置公開預覽版。 如需詳細資訊,請 參閱自動化裝置註冊的驗證方法

裝置管理

將 Intune 中的 Chrome OS 裝置連線 (公開預覽)

在 Microsoft Intune 系統管理中心檢視在 Chrome OS 上執行的公司或學校擁有裝置。 現在在公開預覽版中,您可以在Google管理員主控台與 Microsoft Intune系統管理中心之間建立連線。 Chrome OS 端點的裝置資訊會同步至 Intune,並可在您的裝置清查清單中檢視。 系統管理中心也提供基本遠端動作,例如重新啟動、抹除和遺失模式。 如需如何設定連線的詳細資訊,請參閱設定 Chrome Enterprise 連接器

使用 Intune 管理 macOS 軟體更新

您現在可以使用 Intune 原則來管理使用自動裝置註冊 (ADE) 註冊之裝置的 macOS 軟體更新。 請 參閱在 Intune 中管理 macOS 軟體更新原則

Intune 支援下列 macOS 更新類型:

  • 重大更新
  • 韌體更新
  • 組態檔更新
  • 所有其他更新 (操作系統、內建應用程式)

除了排程裝置更新時間之外,您還可以管理行為,例如:

  • 下載並安裝:下載或安裝更新,視目前的狀態而定。
  • 僅下載:下載軟體更新而不安裝。
  • 立即安裝:下載軟體更新並觸發重新啟動倒數通知。
  • 僅通知:下載軟體更新,並透過 App Store 通知使用者。
  • 稍後安裝:下載軟體更新,稍後再安裝。
  • 未設定:未對軟體更新採取任何動作。

如需 Apple 關於管理 macOS 軟體更新的資訊,請參閱 Apple 平臺部署檔中的 管理 Apple 裝置的軟體更新 - Apple 支援 。 Apple 會在 Apple 安全性更新 - Apple 支援服務維護安全性更新清單。

從 Microsoft Intune 系統管理中心取消布建 Jamf Pro

您現在可以在 Microsoft Intune 系統管理中心內取消布建 Jamf Pro 與 Intune 整合。 如果您無法再存取 Jamf Pro 控制台,此功能會很有用,您也可以透過該控制台取消布建整合。

此功能的運作方式類似於中斷 Jamf Pro 與 Jamf Pro 控制台內的連線。 因此,移除整合之後,組織的 Mac 裝置會在 90 天后從 Intune 中移除。

適用於在 iOS/iPadOS 上執行之個別裝置的新硬體詳細數據

取 [裝置>][所有裝置>] 選取其中一個列出的裝置 ,並開啟其 [ 硬體 詳細數據]。 您可以在個別裝置的 [ 硬體 ] 窗格中取得下列新詳細資料:

  • 電池電量:顯示裝置的電池電量介於 0 到 100 之間,如果無法判斷電池電量,則預設為 Null。 此功能適用於執行 iOS/iPadOS 5.0 和更新版本的裝置。
  • 常駐使用者:顯示目前共用 iPad 裝置上的用戶數目,如果無法判斷用戶數目,則預設為 Null。 此功能適用於執行 iOS/iPadOS 13.4 和更新版本的裝置。

如需詳細資訊,請移至使用 Microsoft Intune 檢視裝置詳細數據

適用於

  • iOS/iPadOS

$null在篩選中使用值

當您將應用程式和原則指派給群組時,您可以使用篩選條件,根據您建立 (租使用者管理>篩選>器建立) 規則來指派原則。 這些規則會使用不同的裝置屬性,例如類別或註冊配置檔。

現在,您可以使用 $null 值搭配 -Equals-NotEquals 運算符。

例如,在下列案例中使用 $null 值:

  • 您想要以未將類別指派給裝置的所有裝置為目標。
  • 您想要以未將註冊配置檔屬性指派給裝置的裝置為目標。

如需篩選條件和您可以建立之規則的詳細資訊,請移至:

適用於:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

裝置安全性

裝置控制配置檔中可重複使用的卸載式記憶體設定群組, (預覽)

在公開預覽版中,您可以在受攻擊面縮小原則中搭配裝置控制配置檔使用可重複使用的設定群組

裝置控制項設定檔的可重複使用群組包含一組設定,支援管理卸除式記憶體的 取、 入和 執行 存取權。 常見案例的範例包括:

  • 防止所有專案的寫入和執行存取,但允許特定核准的USB
  • 稽核所有未核准 USB 的寫入和執行存取權,但封鎖特定未核准的 USB
  • 只允許特定使用者群組存取共享電腦上的特定抽取式儲存設備

適用於:

  • Windows 10 或更新版本

Microsoft Defender 防火牆規則的可重複使用設定群組 (預覽)

在公開預覽中,您可以使用可重複使用的設定群組,這些設定可與 Microsoft Defender 防火牆規則的配置檔搭配使用。 可重複使用的群組是您定義一次的遠端 IP 位址和 FQDN 集合,然後可搭配一或多個防火牆規則配置檔使用。 您不需要在每個可能需要IP位址的個別設定檔中重新設定相同的IP位址群組。

可重複使用設定群組的功能包括:

  • 新增一或多個遠端IP位址。

  • 新增一或多個可自動解析至遠端 IP 位址的 FQDN,或在群組的自動解析關閉時,針對一或多個簡單關鍵詞新增。

  • 使用每個設定群組搭配一或多個防火牆規則配置檔,而不同的配置檔可以支援群組的不同存取設定。

    例如,您可以建立兩個參考相同可重複使用設定群組的防火牆規則配置檔,並將每個配置檔指派給不同的裝置群組。 第一個配置檔可以封鎖對可重複使用設定群組中所有遠端IP位址的存取,而第二個配置檔可以設定為允許存取。

  • 正在使用之設定群組的編輯會自動套用至使用該群組的所有防火牆規則配置檔。

依每個規則的受攻擊面縮小規則排除專案

您現在可以 針對受攻擊面縮小規則原則設定個別規則排除專案。 個別規則排除專案是透過新的個別規則設定 ASR 僅限每個規則排除項目來啟用。

當您建立或編輯受攻擊面縮小規則原則,並變更支持預設 [未 設定為任何其他可用選項] 排除範圍的設定時,新的個別設定排除選項就會變成可用。 該設定實例的任何設定只適用於 每個規則排除範圍的 ASR 實例,僅適用於該設定。

您可以使用 [ 僅限受攻擊面縮小排除] 設定,繼續設定適用於裝置上所有受攻擊面縮小規則的全域排除專案。

適用於:

  • Windows 10/11

注意事項

ASR 原則不支援僅 限 ASR 依規則排除 範圍的合併功能,而且當針對相同裝置衝突設定僅 限 ASR 的 多個原則時,可能會產生原則衝突。 若要避免衝突,請將 僅限依規則排除的 ASR 組態合併成單一 ASR 原則。 我們正在調查在未來的更新中新增 僅限 ASR 依規則排除專案 的原則合併。

授與應用程式在Android Enterprise裝置上以無訊息方式使用憑證的許可權

您現在可以在註冊為 完全受控、專用和 Corporate-Owned 工作配置檔的 Android Enterprise 裝置上,設定憑證的無訊息使用。

此功能可在憑證設定檔設定工作流程的新 [ 應用程式 ] 頁面上取得,方法是將 [ 憑證存取權 ] 設定 為 [針對特定應用程式以無訊息方式授與], (需要使用者核准其他應用程式) 。 使用此設定時,您接著選取的應用程式會以無訊息方式使用憑證。 所有其他應用程式都會繼續使用預設行為,也就是需要使用者核准。

此功能僅支援 Android Enterprise 完全受控、專用和 Corporate-Owned 工作設定檔的下列憑證設定檔:

Microsoft Intune 應用程式的應用程式內通知

Android 開放原始碼專案 (AOSP) 裝置用戶現在可以在 Microsoft Intune 應用程式中收到合規性通知。 這項功能僅適用於 AOSP 使用者型裝置。 如需詳細資訊,請參閱 AOSP 合規性通知

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • MyITOps, Ltd 的 MyITOps for Intune
  • MURAL - Tactivos、 Inc 的可視化共同作業

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

2022 年 10 月 17 日當周

應用程式管理

Android 裝置上受控應用程式的增強應用程式選擇器

Android 裝置使用者可以在 Intune 公司入口網站 應用程式中選取、檢視及移除其預設應用程式選取專案。 公司入口網站 安全地儲存受控應用程式的裝置用戶預設選項。 使用者可以移至> [設定預設>應用程式] [查看預設值],以在 公司入口網站 應用程式中檢視和移除其選取專案。 這項功能是受控應用程式的 Android 自定義應用程式選擇器增強功能,這是 Android MAM SDK 的一部分。 如需如何檢視默認應用程式的詳細資訊,請 參閱檢視和編輯默認應用程式

2022 年 10 月 10 日當周

裝置管理

Microsoft 端點管理員商標變更

自 2022 年 10 月 12 日起,將不再使用 Microsoft 端點管理員名稱。 接下來,我們將雲端式統一端點管理稱為 Microsoft Intune,並將內部部署管理稱為 Microsoft Configuration Manager。 隨著進階管理的推出,Microsoft Intune 是我們在 Microsoft 端點管理解決方案中成長的產品系列名稱。 如需詳細資訊,請參閱端點管理技術社群部落格上 的官方公告 。 正在進行文件變更,以移除 Microsoft 端點管理員。

如需詳細資訊,請參閱 Intune 檔

Windows 公司入口網站 中可見的寬限期狀態

Windows 公司入口網站 現在會顯示寬限期狀態,以考慮不符合合規性需求但仍在指定寬限期內的裝置。 使用者會看到必須符合規範的日期,以及如何符合規範的指示。 如果使用者未在指定日期前更新其裝置,則其裝置狀態會變更為不符合規範。 如需設定寬限期的詳細資訊, 請參閱使用不符合規範的動作設定合規性 原則和 從 [裝置詳細數據] 頁面檢查存取權

Microsoft Intune 中提供的Linux裝置管理

Microsoft Intune 現在支持執行Ubuntu Desktop 22.04 或20.04 LTS之裝置的Linux裝置管理。 Intune 系統管理員不需要執行任何動作,即可在 Microsoft Intune 系統管理中心啟用 Linux 註冊。 Linux 使用者可以自行 註冊支援的Linux裝置 ,並使用 Microsoft Edge 瀏覽器在在線存取公司資源。

在系統管理中心,您可以:

  • 在 Microsoft Edge 中強制執行條件式存取原則。
  • 使用下列相關規則建立Linux裝置合規性政策:
    • 允許的散發套件
    • 自定義合規性
    • 裝置加密
    • 密碼原則
  • 使用符合 POSIX 規範的殼層腳本套用自定義相容性設定以進行探索,並套用 JSON 檔案來定義您想要使用的自定義設定。

2022 年 10 月 3 日當周

裝置安全性

在 遠端說明 中,已將連結新增至不符合規範的警告通知檢視裝置合規性資訊,並可讓協助程式深入瞭解為何裝置不符合 Microsoft Intune 規範。

如需詳細資訊,請移至:

適用於:Windows 10/11

2022 年 9 月 26 日當周

監視及疑難排解

在 Microsoft Intune 系統管理中心開啟 [說明及支援],而不會遺失您的內容

您現在可以使用 ? Microsoft Intune 系統管理中心的圖示來開啟說明及支持會話,而不會失去系統管理中心目前的焦點節點。 此 ? 圖示一律可在系統管理中心的標題列右上方取得。 這項變更會新增另一種方式來存取 說明和支援

當您選取 ?時,系統管理中心會在新的和個別的並存窗格中開啟說明及支持檢視。 藉由開啟此個別窗格,您可以自由瀏覽支持體驗,而不會影響原始位置,並專注於系統管理中心。

2022 年 9 月 19 日當周 (Service 2209)

應用程式管理

適用於Microsoft Intune的新應用程式類型

身為系統管理員,您可以建立並指派兩種新類型的 Intune 應用程式:

  • iOS/iPadOS 網頁剪輯
  • Windows Web 連結

這些新的應用程式類型運作方式與現有的 Web 連結 應用程式類型類似,不過它們只適用於其特定平臺,而 Web 連結應用程式則適用於所有平臺。 透過這些新的應用程式類型,您可以指派給群組,也可以使用指派篩選條件來限制指派的範圍。 這項功能位於 Microsoft Intune 系統管理中心>應用程式>所有應用程式>新增中

裝置管理

Microsoft Intune 終止對 Windows 8.1 的支援

Microsoft Intune 於 2022 年 10 月 21 日終止對執行 Windows 8.1 之裝置的支援。 在該日期之後,將不再提供技術協助和自動更新,以協助保護執行 Windows 8.1的裝置。 此外,由於企業營運應用程式的側載案例僅適用於 Windows 8.1 裝置,因此 Intune 不再支援 Windows 8.1 側載。 側載正在安裝,然後執行或測試 Microsoft Store 未認證的應用程式。 在 Windows 10/11 中,「側載」只是將裝置設定原則設定為包含「受信任的應用程式安裝」。 如需詳細資訊,請參閱規劃變更:終止對 Windows 8.1 的支援

指派中可見的群組成員計數

在系統管理中心指派原則時,您現在可以看到群組中的使用者和裝置數目。 擁有這兩個計數可協助您找出正確的群組,並瞭解指派在套用之前的影響。

裝置設定

將自定義支援資訊新增至Android Enterprise裝置時的新鎖定畫面訊息

在 Android Enterprise 裝置上,您可以建立裝置限制組態配置檔,以在裝置上顯示自定義支援訊息 (>> 裝置組態建立>Android Enterprise>完全受控、專用和公司擁有的工作配置檔,以供配置檔類型>自定義支援資訊) 的平臺>裝置限制

您可以設定新的設定:

  • 鎖定畫面訊息:新增顯示在裝置鎖定畫面上的訊息。

當您設定 鎖定畫面訊息時,您也可以使用下列裝置令牌來顯示裝置特定資訊:

  • {{AADDeviceId}}:Microsoft Entra 裝置識別碼
  • {{AccountId}}:Intune 租使用者標識碼或帳戶標識碼
  • {{DeviceId}}:Intune 裝置標識碼
  • {{DeviceName}}:Intune 裝置名稱
  • {{domain}}:功能變數名稱
  • {{EASID}}:Exchange Active Sync ID
  • {{IMEI}}:裝置的 IMEI
  • {{mail}}:Email 用戶的位址
  • {{MEID}}:裝置的對應
  • {{partialUPN}}:符號前面的 @ UPN前置詞
  • {{SerialNumber}}:裝置序號
  • {{SerialNumberLast4Digits}}:裝置序號的最後四位數
  • {{UserId}}:Intune 用戶標識碼
  • {{UserName}}:用戶名稱
  • {{userPrincipalName}}:使用者的UPN

注意事項

變數不會在 UI 中驗證,而且會區分大小寫。 因此,您可能會看到配置檔以不正確的輸入儲存。 例如,如果您輸入 {{DeviceID}},而不是 {{deviceid}}{{DEVICEID}},則會顯示常值字串,而不是裝置的唯一標識符。 請務必輸入正確的資訊。 支援所有小寫或所有大寫變數,但不支援混合。

如需此設定的詳細資訊,請移至 Android Enterprise 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • Android 7.0 和更新版本
  • Android Enterprise 公司擁有完全受控
  • Android Enterprise 公司擁有的專用裝置
  • Android Enterprise 公司擁有的工作配置檔

在 Windows 裝置的設定目錄中篩選用戶範圍或裝置範圍

當您建立設定類別目錄原則時,您可以使用 [新增設定>][新增篩選],根據 Windows OS 版本 (>> 裝置組態建立>Windows 10 及更新版本,針對配置檔類型) 的平臺>設定目錄篩選設定。

當您 新增篩選條件時,也可以依使用者範圍或裝置範圍篩選設定。

如需設定目錄的詳細資訊,請移至 使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定

適用於:

  • Windows 10
  • Windows 11

AOSP) 平臺 (Android 開放原始碼專案已正式推出

Microsoft Intune 管理在Android開放原始碼專案 (AOSP) 平臺上執行的公司擁有裝置,現在已在 GA) (正式推出。 此功能包含公開預覽中可用的完整功能套件。

目前,Microsoft Intune 僅支援 RealWear 裝置的新 Android (AOSP) 管理選項。

適用於:

  • Android 開放原始碼專案 (AOSP)

裝置韌體設定介面 (DFCI) 現在支援 Acer 裝置

針對 Windows 10/11 裝置,您可以建立 DFCI 配置檔來管理 UEFI (BIOS) 設定>> (裝置組態建立>Windows 10 及更新版本,以供配置檔類型) 的平臺>範本>裝置韌體設定介面使用。

執行 Windows 10/11 的新 Acer 裝置將於 2022 年稍後針對 DFCI 啟用。 因此,系統管理員可以建立 DFCI 配置檔來管理 BIOS,然後將配置檔部署到這些 Acer 裝置。

請連絡您的裝置廠商或裝置製造商,以確保您取得合格的裝置。

如需 Intune 中 DFCI 設定檔的詳細資訊,請移至在 Microsoft Intune 中使用 Windows 裝置上的裝置韌體設定介面 (DFCI) 配置檔

適用於:

  • Windows 10
  • Windows 11

iOS/iPadOS 和 macOS 設定目錄中可用的新設定

設定目錄會列出您可以在裝置原則中設定的所有設定,以及所有設定。

設定目錄中有新的設定可供使用。 在Microsoft Intune 系統管理中心,您可以在 [裝置>>>組態建立iOS/iPadOS] 或 [適用於配置檔類型的平臺>設定目錄的 macOS] 中看到這些設定。

新的設定包括:

帳戶 > LDAP

  • LDAP 帳戶描述
  • LDAP 帳戶主機名
  • LDAP 帳戶密碼
  • LDAP 帳戶使用 SSL
  • LDAP 帳戶用戶名稱
  • LDAP 搜尋設定

適用於:

  • iOS/iPadOS
  • macOS

下列設定也位於設定目錄中。 之前,它們僅適用於範本:

隱私 > 隱私權喜好設定原則控制項

  • 協助工具
  • 通訊錄
  • Apple 事件
  • 行事曆
  • 相機
  • 檔案提供者目前狀態
  • 接聽事件
  • 媒體櫃
  • 麥克風
  • 照片
  • Post 事件
  • 提醒
  • 螢幕擷
  • 語音辨識
  • 系統原則所有檔案
  • 系統原則桌面資料夾
  • 系統原則檔資料夾
  • 系統原則下載資料夾
  • 系統原則網路磁碟區
  • 系統原則卸除式磁碟區
  • 系統原則 Sys 管理員 檔案

適用於:

  • macOS

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

裝置註冊

設定公開預覽 (註冊通知)

註冊通知會在已在 Microsoft Intune 中註冊新裝置時,透過電子郵件或推播通知通知裝置使用者。 基於安全性考慮,您可以使用註冊通知。 他們可以通知使用者,並協助他們回報在錯誤中註冊的裝置,或在僱用或上線程式期間與員工通訊。 註冊通知現在可在 Windows、Apple 和 Android 裝置的公開預覽版中試用。 只有用戶驅動的註冊方法才支援這項功能。

裝置安全性

將合規性原則指派給 [所有裝置] 群組

[ 所有裝置] 選項現在可供 合規性政策 指派使用。 使用此選項,您可以將合規性原則指派給組織中所有符合原則平臺的已註冊裝置。 您不需要建立包含所有裝置的 Microsoft Entra 群組。

當您包含 [所有裝置] 群組時,接著可以排除個別的裝置群組,以進一步精簡指派範圍。

Trend Micro – 新的行動威脅防禦合作夥伴

您現在可以使用 Trend Micro Mobile Security as a Service 作為整合式行動威脅防禦 (MTD) 與 Intune 合作。 藉由在 Intune 中設定 Trend MTD 連接器,您可以使用以風險評估為基礎的條件式存取來控制行動裝置對公司資源的存取。

如需詳細資訊,請參閱:

Intune 公司入口網站 網站上可見的寬限期狀態

Intune 公司入口網站 網站現在會顯示寬限期狀態,以考慮不符合合規性需求但仍在指定寬限期內的裝置。 使用者會看到必須符合規範的日期,以及如何符合規範的指示。 如果未在指定日期前更新裝置,其狀態會變更為不符合規範。 如需設定寬限期的詳細資訊,請參閱使用 不符合規範的動作設定合規性原則

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • RingCentral for Intune by RingCentral, Inc.
  • MangoApps, Work from Anywhere by MangoSpring, Inc.

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

2022 年 9 月 12 日當周

裝置管理

Intune 現在需要 iOS/iPadOS 14 和更新版本

在 Apple 的 iOS/iPadOS 16 版本中,Microsoft Intune 和 Intune 公司入口網站 現在需要 iOS/iPadOS 14 和更新版本。 如需詳細資訊,請參閱 Intune 中支援的作業系統和瀏覽器

Intune 現在需要macOS 11.6和更新版本

隨著 Apple 的 macOS 13 Ventura 發行,Microsoft Intune、公司入口網站 應用程式和 Intune MDM 代理程式現在需要 macOS 11.6 (Big Sur) 及更新版本。 如需詳細資訊,請參閱 Intune 中支援的作業系統和瀏覽器

2022 年 9 月 5 日當周

裝置管理

遠端說明 版:4.0.1.13 版

使用 遠端說明 4.0.1.13 時,已引進修正程式來解決導致人員無法同時開啟多個會話的問題。 修正程式也解決了應用程式在沒有焦點的情況下啟動的問題,並防止鍵盤流覽和螢幕助讀程式進行啟動。

如需詳細資訊,請移至搭配 Intune 使用 遠端說明 和 Microsoft Intune

2022 年 8 月 29 日當周

應用程式管理

已更新 Microsoft Intune App SDK for Android

適用於 Android 的 Intune App SDK 開發人員指南已更新。 更新的指南提供下列階段:

  • 規劃整合
  • MSAL 必要條件
  • 開始使用 MAM
  • MAM 整合基本資訊
  • 多重身分識別
  • 應用程式設定
  • 應用程式參與功能

如需詳細資訊,請參閱 Intune App SDK for Android

2022 年 8 月 22 日當周

裝置管理

針對租用戶連結裝置使用 Intune 角色型存取控制 (RBAC)

您現在可以在從 Microsoft Intune 系統管理中心與租用戶連結的裝置互動時,使用 Intune 角色型訪問控制 (RBAC) 。 例如,使用 Intune 作為角色型訪問控制授權單位時,具有 Intune 技術支援中心操作員角色的使用者不需要從 Configuration Manager 指派安全性角色或其他許可權。 如需詳細資訊,請參閱 租用戶連結用戶端的 Intune 角色型訪問控制

2022 年 8 月 15 日當周 (Service 2208)

應用程式管理

Android 強式生物特徵辨識變更偵測

Intune 中的 Android 指紋而非 PIN 存取 設定,可讓使用者使用 指紋驗證 ,而不是 PIN。 這項變更可讓您要求用戶設定強式生物特徵辨識。 此外,如果偵測到強式生物特徵辨識的變更,您可以要求使用者確認其應用程式保護原則 (APP) PIN。 您可以>>>取 [應用程式 應用程式防護 原則建立原則 Android,在 Microsoft Intune 系統管理中心找到Android 應用程式保護原則。 如需詳細資訊,請參閱 Microsoft Intune 中的Android應用程式保護原則設定

Microsoft Intune 應用程式中適用於 Android (AOSP) 的不相容詳細數據

Android (AOSP) 用戶可以在 Microsoft Intune 應用程式中檢視不符合規範的原因。 這些詳細數據說明為何將裝置標示為不符合規範。 針對註冊為使用者相關聯 Android (AOSP) 裝置的裝置,此資訊可在 [裝置詳細數據] 頁面上取得。

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Nexis Newsdesk Mobile by LexisNexis
  • My Portal by MangoApps (Android)
  • Re:Work Enterprise by 9Folders, Inc.

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

裝置註冊

從 Microsoft Intune 系統管理中心設定零觸控註冊

現在您可以從 Microsoft Intune 系統管理中心設定 Android 零觸控註冊。 此功能可讓您將零觸控帳戶連結至 Intune、新增支援資訊、設定啟用零觸控功能的裝置,以及自定義布建額外專案。 如需如何從系統管理中心啟用零觸控的詳細資訊,請參閱 使用Google Zero Touch 註冊

裝置管理

Windows 10/11 裝置合規性的自定義設定現已正式推出

下列自定義功能的支援已正式推出:

  • 使用 PowerShell 腳本建立 Windows 裝置的自定義合規性原則設定
  • 建立出現在 公司入口網站 應用程式中的自定義合規性規則和補救訊息。

適用於:

  • Windows 10/11

檢視 macOS 殼層腳本和自定義屬性的內容

您可以在將腳本上傳至 Intune 之後,檢視 macOS 殼層腳本和自定義屬性的內容。 您可以選取 [裝置>] macOS,在系統管理中心 Microsoft Intune 檢視 Shell 腳本自定義屬性。 如需詳細資訊,請 參閱在 Intune 中的 macOS 裝置上使用殼層腳本

重設適用於 Android (AOSP) 公司裝置的密碼遠端動作

您可以從 Android 開放原始碼專案 Microsoft Intune 系統管理中心使用重設密碼遠端動作, (AOSP) 公司裝置。

如需遠端動作的相關信息,請參閱:

適用於:

  • Android 開放原始碼專案 (AOSP)

裝置設定

Android (AOSP) 裝置的憑證配置檔支援

您現在可以使用簡單憑證註冊通訊協定 (SCEP) 憑證配置檔 ,搭配執行 Android 開放原始碼專案 (AOSP) 平臺的公司擁有和無使用者裝置。

匯入、建立及管理自定義ADMX和ADML系統管理範本

您可以建立使用內建 ADMX 範本的裝置設定原則。 在 Microsoft Intune 系統管理中心,針對平台>>本系統管理範本選取 [裝置>>設定建立>Windows 10 及更新版本]

您也可以將自定義和第三方/合作夥伴 ADMX 和 ADML 範本匯入 Intune 系統管理中心。 匯入之後,您可以建立裝置設定原則、將原則指派給您的裝置,以及管理原則中的設定。

如需詳細資訊,請移至:

適用於:

  • Windows 11
  • Windows 10

在 Android Enterprise 上將 HTTP Proxy 新增至 Wi-Fi 裝置組態配置檔

在 Android Enterprise 裝置上,您可以使用基本和企業設定來建立 Wi-Fi 裝置組態配置檔。 在 Microsoft Intune 系統管理中心,選取 [裝置>>設定] [建立>Android Enterprise>完全受控、專用且 Corporate-Owned 平臺 >Wi-Fi 的工作配置檔]。

當您建立配置檔時,可以使用 PAC 檔案設定 HTTP Proxy,或手動設定設定。 您可以為組織中的每個 Wi-Fi 網路設定 HTTP Proxy。

配置文件準備就緒時,您可以將此配置檔部署至完全受控、專用和 Corporate-Owned 工作配置檔裝置。

如需您可以設定之 Wi-Fi 設定的詳細資訊,請移至在 Microsoft Intune 中新增 Android Enterprise 專用和完全受控裝置的 Wi-Fi 設定

適用於:

  • Android Enterprise 完全受控、專用和 Corporate-Owned 工作配置檔

iOS/iPadOS 設定目錄支援宣告式裝置管理 (DDM)

在使用 使用者註冊註冊註冊的 iOS/iPadOS 15+ 裝置上,設定目錄會在設定設定時,自動使用 Apple 的宣告式裝置管理 (DDM) 。

  • 使用 DDM 不需要採取任何動作。 此功能內建於設定目錄中。
  • 不會影響設定目錄中的現有原則。
  • 未啟用 DDM 的 iOS/iPadOS 裝置會繼續使用 Apple 的標準 MDM 通訊協定。

如需詳細資訊,請移至:

適用於:

  • 使用 Apple 使用者註冊註冊註冊的 iOS/iPadOS 15 或更新版本裝置

設定目錄中可用的新 macOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定,以及所有設定。 設定目錄中提供新的設定。 在 Microsoft Intune 系統管理中心,針對配置檔類型選取 [裝置>>設定] [建立>macOS] 作為平台>設定目錄

新的設定包括:

Microsoft Auto Update

  • 目前通道
  • 最後倒數定時器的分鐘數

限制

  • 允許通用控制件

下列設定也位於設定目錄中。 之前,它們僅適用於範本:

認證 >可延伸 單一登入

  • 延伸模組數據
  • 延伸模組識別碼
  • Hosts
  • Realm
  • 屏幕鎖定行為
  • 小組標識碼
  • 類型
  • URL

認證 >可延伸 單一登入 > 可延伸 單一登入 Kerberos

  • 延伸模組數據
  • 允許自動登入
  • 允許密碼變更
  • 認證套件組合標識碼 ACL
  • 認證使用模式
  • 自定義使用者名稱標籤
  • 延遲用戶設定
  • 領域領域對應
  • 說明文字
  • 在套件組合標識碼 ACL 中包含 Kerberos 應用程式
  • 在套件組合標識碼 ACL 中包含受控應用程式
  • 為默認領域
  • 監視認證快取
  • 僅執行 Kerberos
  • 慣用的 KDC
  • 校長姓名
  • 密碼變更URL
  • 密碼通知天數
  • 密碼重設複雜度
  • 密碼重設歷程記錄
  • 密碼重設長度
  • 密碼重設最小壽命
  • 密碼重設文字
  • LDAP 需要 TLS
  • 需要使用者目前狀態
  • 月臺碼
  • 同步本機密碼
  • 使用網站自動探索
  • 延伸模組識別碼
  • Hosts
  • Realm
  • 小組標識碼
  • 類型

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

適用於:

  • macOS

設定目錄中的新 iOS/iPadOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定,以及所有設定。 設定目錄中有新的 iOS/iPadOS 設定可供使用。 在 Microsoft Intune 系統管理中心,針對配置檔類型選取 [裝置>>設定] [建立>iOS/iPadOS] 作為平臺>設定目錄。 先前,這些設定僅適用於範本:

認證 >可延伸 單一登入

  • 延伸模組數據
  • 延伸模組識別碼
  • Hosts
  • Realm
  • 屏幕鎖定行為
  • 小組標識碼
  • 類型
  • URL

認證 >可延伸 單一登入 > 可延伸 單一登入 Kerberos

  • 延伸模組數據
  • 允許自動登入
  • 認證套件組合標識碼 ACL
  • 領域領域對應
  • 說明文字
  • 在套件組合標識碼 ACL 中包含受控應用程式
  • 為默認領域
  • 慣用的 KDC
  • 校長姓名
  • 需要使用者目前狀態
  • 月臺碼
  • 使用網站自動探索
  • 延伸模組識別碼
  • Hosts
  • Realm
  • 小組標識碼
  • 類型

系統設定 > 鎖定畫面訊息

  • 資產標籤資訊
  • 鎖定畫面腳注

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

適用於:

  • iOS/iPadOS

監視及疑難排解

新的不符合規範的裝置和設定報告

[報告>裝置合規性>報告] 中,有新的 不符合規範的裝置和設定 組織報告。 此報告:

  • 清單 每個不符合規範的裝置。
  • 針對每個不符合規範的裝置,它會顯示裝置不符合規範的合規性原則設定。

如需此報告的詳細資訊,請移至 不符合規範的裝置和設定報告 (組織)

2022 年 8 月 1 日當周

裝置安全性

停用 Microsoft Tunnel 閘道伺服器上的 UDP 連線

您現在可以停用 Microsoft Tunnel 伺服器的 UDP 使用。 當您停用 UDP 時,VPN 伺服器僅支援來自通道用戶端的 TCP 連線。 若只要支援使用 TCP 連線,您的裝置必須使用正式運作的 適用於端點的 Microsoft Defender 版本作為 Microsoft Tunnel 用戶端應用程式作為通道用戶端應用程式。

若要停用 UDP,請建立或編輯 Microsoft Tunnel 閘道的伺服器組態,然後選取名為 [停用 UDP Connections 的新選項複選框。

應用程式管理

適用於 Windows 大量應用程式安裝的 公司入口網站

適用於 Windows 的 公司入口網站 現在可讓使用者選取多個應用程式並大量安裝。 從 Windows 公司入口網站 的 [應用程式] 索引標籤,選取頁面右上角的 [多重選取檢視] 按鈕。 然後,選取您需要安裝之每個應用程式旁邊的複選框。 接下來,選取 [ 安裝選取的 ] 按鈕以開始安裝。 所有選取的應用程式都會同時安裝,而不需要使用者以滑鼠右鍵按下每個應用程式,或流覽至每個應用程式的頁面。 如需詳細資訊,請參閱在您的裝置上安裝和共用應用程式如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

2022 年 7 月 25 日當周 (Service 2207)

裝置管理

從 Microsoft Intune 應用程式起始 AOSP 裝置的合規性檢查

您現在可以從 Microsoft Intune 應用程式起始 AOSP 裝置的合規性檢查。 移至 [裝置詳細數據]。 此功能適用於透過 Microsoft Intune 應用程式註冊為使用者相關聯 (Android) AOSP 裝置的裝置。

監視 Mac 上的啟動程式委付狀態

在 Microsoft Intune 系統管理中心監視已註冊 Mac 的啟動程式令牌委付狀態。 Intune 中名為 Bootstrap 令牌委付的新硬體屬性會報告 Intune 中是否已委付啟動程式令牌。 如需macOS啟動程式令牌支援的詳細資訊,請參閱 啟動程式令牌

啟用Android Enterprise裝置的通用準則模式

針對 Android Enterprise 裝置,您可以使用新的設定 [通用準則模式] 來啟用一組提升許可權的安全性標準,這些標準通常僅供高敏感性組織使用,例如政府機關。

適用於:

  • Android 5.0 和更新版本
  • Android Enterprise 公司擁有完全受控
  • Android Enterprise 公司擁有的專用裝置
  • Android Enterprise 公司擁有的工作配置檔

當您設定 Android Enterprise - 完全受控、專用和 Corporate-Owned 工作設定檔裝置限制範本時,系統安全性類別中會找到新的設定 [通用準則模式]。

接收原則且 [ 通用準則] 模式 設定為 [ 需要] 的裝置,可提高包含但不限於下列安全性元件:

  • 藍牙長期金鑰的 AES-GCM 加密
  • Wi-Fi 組態存放區
  • 封鎖開機載入器下載模式,這是軟體更新的手動方法
  • 在刪除金鑰時強制執行額外的金鑰零化
  • 防止未經驗證的藍牙連線
  • 需要FOTA更新具有2048位 RSA-PSS 簽章

深入瞭解一般準則:

適用於在 iOS/iPadOS 和 macOS 上執行之個別裝置的新硬體詳細數據

Microsoft Intune 系統管理中心,選取 [裝置>][所有裝置>]選取其中一個列出的裝置,並開啟其 [硬體詳細數據]。 您可以在個別裝置的 [ 硬體 ] 窗格中取得下列新詳細資料:

  • 產品名稱:顯示裝置的產品名稱,例如 iPad8,12。 適用於 iOS/iPadOS 和 macOS 裝置。

如需詳細資訊,請參閱使用 Microsoft Intune 檢視裝置詳細數據

適用於:

  • iOS/iPadOS、macOS

遠端說明 版本:4.0.1.12 版

使用 遠端說明 4.0.1.12,引進了各種修正程式來解決未驗證時出現的「稍後再試一次」訊息。 修正程式也包含改良的自動更新功能。

如需詳細資訊,請參閱搭配 Intune 使用 遠端說明

裝置註冊

Intune 支援在 iOS/iPadOS 和 macOS 設定助理期間使用新式驗證從另一個裝置登入

通過自動裝置註冊 (ADE) 的用戶現在可以透過從另一個裝置登入來進行驗證。 此選項適用於透過具有新式驗證的設定助理註冊的 iOS/iPadOS 和 macOS 裝置。 提示裝置使用者從另一個裝置登入的畫面會內嵌到設定助理中,並在註冊期間向他們顯示。 如需使用者登入程式的詳細資訊,請參閱 [取得 Intune 公司入口網站 應用程式 (。」/user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device) 。

偵測和管理 Windows Autopilot 裝置上的硬體變更

Microsoft Intune 現在會在偵測到 Autopilot 註冊裝置上的硬體變更時發出警示。 您可以在系統管理中心檢視和管理所有受影響的裝置。 此外,您可以從 Windows Autopilot 移除受影響的裝置,然後再次註冊它,以便考慮硬體變更。

裝置設定

設定目錄中的新 macOS Microsoft AutoUpdate (MAU) 設定

設定目錄支援 Microsoft AutoUpdate (MAU 的設定) (裝置>>組態建立>適用於設定檔類型) 平台>設定目錄macOS

現在可以使用下列設定:

Microsoft Auto Update

  • 自動認可數據收集原則
  • 強制更新之前的天數
  • 延後更新
  • 停用 Office 測試人員成員資格
  • 啟用 AutoUpdate
  • 啟用更新檢查
  • 啟用擴充記錄
  • 啟動時註冊應用程式
  • 更新快取伺服器
  • 更新通道
  • 更新檢查頻率 (分鐘)
  • 更新程式優化技術

這些設定可用來設定下列應用程式的喜好設定:

  • 公司入口網站
  • Microsoft Auto Update
  • Microsoft Defender
  • Microsoft Defender ATP
  • Microsoft Edge
  • Microsoft Edge Beta
  • Microsoft Edge Canary
  • Microsoft Edge Dev
  • Microsoft Excel
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft 遠端桌面
  • Microsoft Teams
  • Microsoft Word
  • OneDrive
  • 商務用 Skype

如需設定目錄的詳細資訊,請移至:

如需您可以設定之 Microsoft AutoUpdate 設定的詳細資訊,請移至:

適用於:

  • macOS

設定目錄中的新 iOS/iPadOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定,以及所有設定。 設定目錄中有新的 iOS/iPadOS 設定, (裝置>>組態建立>適用於配置檔類型的平臺>設定目錄iOS/iPadOS) 。

新的設定包括:

網路 > 行動資料

  • 允許的通訊協定遮罩
  • 國內漫遊中允許的通訊協定遮罩
  • 漫遊中允許的通訊協定遮罩
  • 驗證類型
  • 名稱
  • 密碼
  • Proxy 埠
  • Proxy 伺服器
  • 使用者名稱

下列設定也位於設定目錄中。 之前,它們僅適用於範本:

用戶體驗 > 通知

  • 群組類型
  • 預覽類型
  • 在汽車播放中顯示

印刷 > 空中列印

  • 強制 TLS
  • 連接埠

應用程式管理 > 應用程式鎖定

  • 停用自動鎖定
  • 停用裝置旋轉
  • 停用響鈴開關
  • 停用睡眠喚醒按鈕
  • 停用觸控
  • 停用音量按鈕
  • 啟用輔助觸控
  • 啟用反轉色彩
  • 啟用Mono音訊
  • 啟用讀出選取範圍
  • 啟用語音控制
  • 啟用語音轉移
  • 啟用縮放
  • 輔助觸控
  • 反轉色彩
  • 語音控制
  • 語音結束
  • 縮放

網路 > 網域

  • Safari 密碼自動填滿網域

網路 > 網路使用規則

  • 應用程式規則
  • 允許行動數據
  • 允許漫遊行動數據
  • 應用程式識別碼相符專案

限制

  • 允許修改帳戶
  • 允許活動接續
  • 允許新增遊戲中心朋友
  • 允許空中投車
  • 允許空中列印
  • 允許 Air Print 認證儲存
  • 允許 Air Print iBeacon Discovery
  • 允許修改應用程式行動數據
  • 允許應用程式剪輯
  • 允許應用程式安裝
  • 允許移除應用程式
  • 允許Apple個人化廣告
  • 允許小幫手
  • 允許助理用戶產生的內容
  • 鎖定時允許助理
  • 允許自動更正
  • 允許自動解除鎖定
  • 允許自動下載應用程式
  • 允許藍牙修改
  • 允許 Bookstore
  • 允許 Bookstore Erotica
  • 允許照相機
  • 允許修改行動數據計劃
  • 允許聊天
  • 允許雲端備份
  • 允許雲端檔案同步
  • 允許雲端金鑰鏈同步
  • 允許雲端相片媒體櫃
  • 允許雲端私人轉送
  • 允許連續路徑鍵盤
  • 允許定義查閱
  • 允許修改裝置名稱
  • 允許診斷提交
  • 允許修改診斷提交
  • 允許聽寫
  • 允許啟用限制
  • 允許企業應用程式信任
  • 允許企業書籍備份
  • 允許企業書籍元數據同步
  • 允許清除內容和設定
  • 允許修改ESIM
  • 允許明確內容
  • 允許檔案網路驅動器機存取
  • 允許檔案 USB 磁碟驅動器存取
  • 允許尋找我的裝置
  • 允許尋找朋友
  • 允許尋找朋友修改
  • 允許指紋解除鎖定
  • 允許修改指紋
  • 允許遊戲中心
  • 漫遊時允許全域背景擷取
  • 允許主機配對
  • 在應用程式購買中允許
  • 允許 iTunes
  • 允許鍵盤快捷方式
  • 允許列出的應用程式套件組合識別碼
  • 允許鎖定畫面控制中心
  • 允許鎖定畫面通知檢視
  • 允許今天鎖定畫面檢視
  • 允許郵件隱私權保護
  • 允許 Managed Apps 雲端同步處理
  • 允許 Managed 寫入 Unmanaged 聯繫人
  • 允許多人遊戲
  • 允許音樂服務
  • 允許新聞
  • 允許 NFC
  • 允許修改通知
  • 允許從 Managed 開啟至 Unmanaged
  • 允許從 Unmanaged 開啟至受控
  • 允許 OTAPKI 匯報
  • 允許配對監看式
  • 鎖定時允許 Passbook
  • 允許修改密碼
  • 允許密碼自動填滿
  • 允許密碼鄰近性要求
  • 允許密碼共用
  • 允許個人熱點修改
  • 允許相片 Stream
  • 允許播客
  • 允許預測性鍵盤
  • 允許對新裝置進行鄰近設定
  • 允許無線電服務
  • 允許遠端螢幕觀察
  • 允許Safari
  • 允許螢幕快照
  • 允許共用裝置暫存會話
  • 允許共用 Stream
  • 允許拼字檢查
  • 允許焦點因特網結果
  • 允許移除系統應用程式
  • 允許 UI 應用程式安裝
  • 允許安裝UI組態配置檔
  • 允許 Unmanaged 讀取受控聯繫人
  • 允許未配對的外部開機復原
  • 允許不受信任的 TLS 提示
  • 允許USB限制模式
  • 允許視頻會議
  • 允許語音撥號
  • 允許建立 VPN
  • 允許修改桌布
  • 自主單一應用程式模式允許的應用程式標識碼
  • 封鎖的應用程式套件組合標識碼
  • 強制軟體更新延遲
  • 強制空投 Unmanaged
  • 強制 Air Play 傳出要求配對密碼
  • 強制 Air Print 受信任的 TLS 需求
  • 強制助理不雅內容篩選
  • 自動填滿前強制驗證
  • 強制自動日期和時間
  • 強制教室自動加入班級
  • 強制教室要求許可權離開班級
  • 強制教室未受保護的應用程式和裝置鎖定
  • 強制延遲軟體 匯報
  • 強制加密備份
  • 強制 iTunes Store 密碼輸入
  • 強制限制廣告追蹤
  • 僅限裝置強制聽寫
  • 強制僅限裝置翻譯
  • 強制監看監控偵測
  • 強制開啟WiFi電源
  • 僅強制WiFi使用允許的網路
  • 需要 Managed Pasteboard
  • Safari 接受 Cookie
  • Safari 允許自動填寫
  • Safari 允許 JavaScript
  • Safari 允許快顯
  • Safari 強制詐騙警告

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

適用於:

  • iOS/iPadOS

設定目錄中可用的新 macOS 設定

設定目錄會列出您可以在裝置原則中設定的所有設定,以及所有設定。 在設定檔類型) 的 [裝置設定建立macOS] 平台>設定目錄 (>>> 設定目錄中提供新的設定。

新的設定包括:

系統設定 > 系統延伸模組

  • 卸除式系統延伸模組

下列設定也位於設定目錄中。 之前,它們僅適用於範本:

系統設定 > 系統延伸模組

  • 允許使用者覆寫
  • 允許的系統延伸模組類型
  • 允許的系統延伸模組
  • 允許的小組識別碼

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

適用於:

  • macOS

建立篩選器時預覽裝置中的新搜尋功能

系統管理中心 Microsoft Intune,您可以建立篩選,然後在裝置篩選器建立) 指派應用程式和原則時使用這些篩選器 (>>。

當您建立篩選時,您可以選取 [預覽裝置 ] 來查看符合篩選準則的已註冊裝置清單。 在 預覽裝置中,您也可以使用裝置名稱、OS 版本、裝置型號、裝置製造商、主要使用者的用戶主體名稱和裝置標識符來搜尋清單。

如需篩選的詳細資訊,請移至在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選

2022 年 7 月 18 日當周

裝置管理

協助偵錯 WMI 問題的新事件查看器

已擴充 Intune 收集 診斷 的遠端動作,以收集有關 Windows Management Instrumentation (WMI) 應用程式問題的詳細數據。

新的事件檢視器包括:

  • Microsoft-Windows-WMI-Activity/Operational
  • Microsoft-Windows-WinRM/Operational

如需 Windows 裝置診斷的詳細資訊,請參閱 從 Windows 裝置收集診斷

2022 年 7 月 4 日當周

裝置管理

每個裝置型號的端點分析分數

端點分析現在會依 裝置型號顯示分數。 這些分數可協助系統管理員將環境中裝置型號的用戶體驗內容化。 所有端點分析報表都提供每個模型和每個裝置的分數,包括 隨處工作 報告。

監視及疑難排解

使用收集診斷來收集有關 Windows 加速更新的詳細數據

Intune 收集 診斷 的遠端動作現在會收集您部署至裝置 之 Windows 加速更新的 更多詳細數據。 這項資訊可在針對加速更新的問題進行疑難解答時使用。

收集的新詳細資料包括:

  • 檔案: C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
  • 登入機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate

2022 年 6 月 27 日當周 (Service 2206)

應用程式管理

適用於 Web 公司入口網站 的企業意見反應原則

意見反應設定現在可透過 Microsoft 365 Apps 系統管理中心來處理目前登入使用者的 Microsoft 365 企業意見反應原則。 這些設定可用來判斷是否可以啟用或必須停用 Web 公司入口網站 中使用者的意見反應。 如需詳細資訊,請參閱設定 公司入口網站 和 Microsoft Intune 應用程式的意見反應設定

Android Enterprise 專用裝置和 Android (AOSP) 裝置的應用程式保護原則

使用 Microsoft Entra ID 共用模式和 Android (AOSP) 裝置註冊的 Intune 受控 Android Enterprise 專用裝置,現在可以接收應用程式保護原則,而且可以與其他 Android 裝置類型分開設定目標。 如需詳細資訊,請參閱使用 Intune 將受管理的 Google Play 應用程式新增至 Android Enterprise 裝置。 如需 Android Enterprise 專用裝置和 Android (AOSP) 的詳細資訊,請參閱 Android Enterprise 專用裝置

裝置安全性

指派端點安全性管理員系統管理員角色的使用者可以修改Mobile Threat Defense 連接器設定

我們已更新內建 Endpoint Security Manager 系統管理員角色的許可權。 角色現在已將Mobile Threat Defense 類別的 [修改] 權限設定為 [是]。 透過這項變更,獲指派此角色的使用者有權變更您租使用者的 Mobile Threat Defense 連接器 (MTD 連接器) 設定。 先前,此許可權已設定為 [否]

如果您錯過上述有關這項未來變更的通知,現在是檢閱為租使用者指派 Endpoint Security Manager 角色的使用者的好時機。 如果有任何專案不應具有編輯 MTD 連接器設定的許可權,請更新其角色許可權,或建立只包含 Mobile Threat Defense 取許可權的自定義角色

檢視內建 端點安全性管理員角色的完整許可權清單。

已改善Android Enterprise完全受控裝置的憑證配置檔支援

我們已改善 Android Enterprise 完全受控 (裝置擁有者) 裝置的 PKCSSCEP 憑證配置文件支援。 您現在可以使用 Intune 裝置標識符變數 CN={{DeviceID}},作為這些裝置憑證中 SAN) (主體別名。

裝置設定

Android (AOSP) 裝置的憑證配置檔支援

您現在可以搭配執行 Android 開放原始碼專案 (AOSP) 平臺的公司擁有和無使用者裝置使用下列 憑證設定檔

  • 受信任的憑證配置檔
  • PKCS 憑證配置檔

Windows 10/11 裝置上 DFCI 配置檔的新設定

在 Windows 10/11 裝置上,您可以建立裝置韌體設定介面 (DFCI) 配置檔 (>> 裝置組態建立>Windows 10 及更新版本,以供配置檔類型) 的平臺>範本>裝置韌體設定介面使用。

DFCI 配置檔可讓 Intune 使用 DFCI 韌體層,將管理命令傳遞至 UEFI (整合可擴展固件介面) 。 此韌體層可讓設定對惡意攻擊更具復原能力。 DFCI 也會將受控設定呈現灰色,以限制使用者對 BIOS 的控制。

您可以設定新的設定:

  • 麥克風和喇叭

    • 麥克風
  • 無線電:

    • 藍牙
    • Wi-Fi
    • USB 類型 A
  • 喚醒設定

    • 網路喚醒
    • 電源喚醒

如需詳細資訊,請參閱下列資源:

適用於:

  • Windows 10/11

將自定義支援資訊新增至Android Enterprise裝置

在 Android Enterprise 裝置上,您可以建立裝置限制組態配置檔,以管理裝置設定 (>> 裝置設定建立>Android Enterprise>完全受控、專用和公司擁有的工作配置檔,以供配置>檔類型裝置限制的配置檔類型>自定義支援資訊) 。

您可以設定新的設定:

  • 簡短支援訊息:當使用者嘗試變更受控設定時,您可以在系統對話框視窗中新增顯示給使用者的簡短訊息。
  • 長支援訊息:您可以新增長訊息,如設定安全>>裝置管理應用程式>裝置原則中所示。

根據預設,系統會顯示 OEM 預設訊息。 當您部署自定義訊息時,也會部署 Intune 預設訊息。 如果您未輸入裝置默認語言的自定義訊息,則會顯示 Intune 預設訊息。

例如,您會部署英文和法文的自定義訊息。 使用者將裝置的預設語言變更為西班牙文。 由於您未將自定義訊息部署至西班牙文,因此會顯示 Intune 預設訊息。

Intune 預設訊息會轉譯為端點管理員系統管理中心 (設定>語言 + 區域) 中的所有語言。 [ 語言 ] 設定值會決定 Intune 所使用的預設語言。 根據預設,它會設定為 英文

在原則中,您可以自定義下列語言的訊息:

  • 捷克文
  • 德文
  • 英文 (美國)
  • 西班牙文 (西班牙)
  • 法文 (法國)
  • 匈牙利文
  • 印尼文
  • 義大利文
  • 日文
  • 韓文
  • 荷蘭文
  • 波蘭文
  • 葡萄牙文 (巴西)
  • 葡萄牙文 (葡萄牙)
  • 俄文
  • 瑞典文
  • 土耳其文
  • 簡體中文
  • 繁體中文

如需這些設定和您可以設定之其他設定的詳細資訊,請移至 使用Intune允許或限制功能的Android Enterprise裝置設定

適用於:

  • Android 7.0 和更新版本
  • Android Enterprise 公司擁有完全受控 (COBO)
  • Android Enterprise 公司擁有的專用裝置 (COSU)
  • Android Enterprise 公司擁有的工作配置檔 (COPE)

建立 Wi-Fi 配置檔並部署至 Android AOSP 裝置

您會建立 Wi-Fi 配置檔,並將其部署到 Android AOSP 裝置。

如需這些設定的詳細資訊,請移至在 Microsoft Intune 中新增 Android (AOSP) 裝置的 Wi-Fi 設定

適用於:

  • Android (AOSP)

設定目錄已正式推出 (適用於 Windows 和 macOS 裝置的 GA)

設定目錄已正式推出 (GA) 。 如需詳細資訊,請移至:

適用於:

  • macOS
  • Windows 10/11

組策略分析中的移轉功能支援主權雲端

使用 群組原則 分析,您可以匯入內部部署 GPO,並使用這些 GPO 建立設定目錄原則。 先前,主權雲端不支援此移轉功能。

主權雲端現在支援移轉功能。

如需這些功能的詳細資訊,請移至:

iOS/iPadOS 平台位於設定目錄中

設定目錄會列出您可以在裝置原則中設定的所有設定,以及所有設定。 iOS/iPadOS 平臺和一些設定現在可在配置檔類型) 的>>> [裝置設定建立iOS/iPadOS for platform >Settings 目錄] (設定目錄中取得。

新的設定包括:

帳戶 > Caldav

  • 卡片 DAV 帳戶描述
  • 卡片 DAV 主機名
  • 卡片 DAV 密碼
  • 卡片 DAV 埠
  • 卡片 DAV 主體 URL
  • 卡片 DAV 使用 SSL
  • 卡片 DAV 用戶名稱

帳戶 > Carddav

  • 卡片 DAV 帳戶描述
  • 卡片 DAV 主機名
  • 卡片 DAV 密碼
  • 卡片 DAV 埠
  • 卡片 DAV 主體 URL
  • 卡片 DAV 使用 SSL
  • 卡片 DAV 用戶名稱

AirPlay

  • 允許清單

  • 密碼

  • 設定檔案移除密碼

  • 拿掉密碼

代理 > 全域 HTTP Proxy

  • 允許 Proxy Captive 登入
  • 允許 Proxy PAC 後援
  • Proxy PAC URL
  • Proxy 密碼
  • Proxy 伺服器
  • Proxy 伺服器埠
  • Proxy 類型
  • Proxy 用戶名稱

下列設定也位於 [設定目錄] 中。 之前,它們僅適用於範本:

網路 > 網域

  • Email 網域

印刷 > 空中列印

  • 印表機
  • IP 位址
  • 資源路徑

限制

  • 允許活動接續
  • 允許新增遊戲中心朋友
  • 允許空中投車
  • 允許自動解除鎖定
  • 允許照相機
  • 允許雲端檔案同步
  • 允許雲端金鑰鏈同步
  • 允許雲端相片媒體櫃
  • 允許雲端私人轉送
  • 允許診斷提交
  • 允許聽寫
  • 允許清除內容和設定
  • 允許指紋解除鎖定
  • 允許遊戲中心
  • 允許多人遊戲
  • 允許音樂服務
  • 允許修改密碼
  • 允許密碼自動填滿
  • 允許密碼鄰近性要求
  • 允許密碼共用
  • 允許遠端螢幕觀察
  • 允許螢幕快照
  • 允許焦點因特網結果
  • 允許修改桌布
  • 強制軟體更新延遲
  • 強制教室自動加入班級
  • 強制教室要求許可權離開班級
  • 強制教室未受保護的應用程式和裝置鎖定
  • 強制延遲軟體 匯報
  • Safari 允許自動填寫

安全 > 密碼

  • 允許簡單密碼
  • 強制 PIN
  • 失敗的嘗試次數上限
  • 寬限期上限
  • 最大閑置
  • 以天為單位的 PIN 存留期上限
  • 最小複雜字元
  • 最小長度
  • PIN 歷程記錄
  • 需要英數位元密碼

用戶體驗 > 通知

  • 警示類型
  • 已啟用徽章
  • 套件組合標識碼
  • 已啟用重大警示
  • 已啟用通知
  • 在鎖定畫面中顯示
  • 顯示在通知中心
  • 音效已啟用

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

適用於:

  • iOS/iPadOS

在 Windows 裝置的有線網路裝置組態配置檔中使用 TEAP 驗證

在 Windows 裝置上,您可以建立有線網路裝置組態配置檔,以支援可延伸驗證通訊協定 (EAP) (裝置>>組態建立>Windows 10 及更新版本,以供配置檔類型) 的平臺>範本>有線網路使用。

當您建立配置檔時,可以使用 Tunnel Extensible Authentication Protocol (TEAP) 。

如需有線網路的詳細資訊,請移至在 Microsoft Intune 中的macOS和 Windows 裝置上新增和使用有線網路設定

適用於:

  • Windows 11
  • Windows 10

使用密碼、PIN 或模式在設定時間之後,將 Android Enterprise 公司擁有的工作設定檔 () 裝置上的工作設定檔解除鎖定

在 Android Enterprise 裝置上,您可以建立裝置限制組態配置檔,以管理裝置設定 (>> 裝置設定建立>Android Enterprise>完全受控、專用和公司擁有的工作配置檔,以進行配置檔類型) 的平臺>裝置限制

在 Android Enterprise COPE 裝置上,您可以設定 [工作設定檔密碼>需要解除鎖定頻率 ] 設定。 使用此設定來選取使用者需要多久的時間,才能使用強身份驗證方法解除鎖定工作配置檔。

如需此設定的詳細資訊,請移至 Android Enterprise 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • Android 8.0 和更新版本
  • Android Enterprise 公司擁有的工作配置檔 (COPE)

設定目錄中的新 macOS 設定

[設定目錄] 具有新的 macOS 設定,您可以設定 (裝置>>設定建立>適用於配置檔類型之平台>設定目錄macOS) :

帳戶 > Caldav

  • Cal DAV 帳戶描述
  • Cal DAV 主機名
  • Cal DAV 密碼
  • Cal DAV 埠
  • Cal DAV 主體 URL
  • Cal DAV 使用 SSL
  • Cal DAV 用戶名稱

帳戶 > Carddav

  • 卡片 DAV 帳戶描述
  • 卡片 DAV 主機名
  • 卡片 DAV 密碼
  • 卡片 DAV 埠
  • 卡片 DAV 主體 URL
  • 卡片 DAV 使用 SSL
  • 卡片 DAV 用戶名稱

用戶體驗 > Dock

  • 允許停駐修正覆寫
  • 自動隱藏
  • 自動隱藏不可變
  • 內容不可變
  • 按兩下行為
  • 按兩下行為不可變
  • 大型
  • 啟動動畫
  • 啟動動畫不可變
  • 放大
  • 縮放大小不可變
  • 放大固定
  • MCX 擴充特殊資料夾
  • 最小化效果
  • 最小化不可變效果
  • 最小化為應用程式不可變
  • 最小化為應用程式
  • Orientation
  • 持續性應用程式
  • 永續性其他
  • 位置不可變
  • 顯示不可變的指標
  • 顯示進程指標
  • 顯示最近專案
  • 顯示最近專案不可變
  • 大小不可變
  • 靜態應用程式
  • 僅限靜態
  • 靜態其他
  • 磚大小
  • 視窗索引標籤
  • 視窗索引標籤固定

系統設定 > 能源節約

  • 桌面電源
  • 桌面排程
  • 在待命時終結 FV 金鑰
  • 膝上型電腦電池電源
  • 膝上型計算機電源
  • 睡眠停用

系統設定 > 系統記錄

  • 啟用私人數據

系統設定 > 時間伺服器

  • 時間伺服器
  • 時區

下列設定也位於 [設定目錄] 中。 之前,它們僅適用於範本:

安全 > 密碼

  • 允許簡單密碼
  • 在下一次驗證時變更
  • 強制 PIN
  • 失敗的嘗試次數上限
  • 寬限期上限
  • 最大閑置
  • 以天為單位的 PIN 存留期上限
  • 最小複雜字元
  • 最小長度
  • 登入重設失敗前的分鐘數
  • PIN 歷程記錄
  • 需要英數位元密碼

使用 [設定] 目錄建立的原則與使用範本建立的原則之間沒有任何衝突解決方式。 在 [設定目錄] 中建立新原則時,請確定沒有任何與您目前的原則衝突的設定。

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱在 Microsoft Intune 中使用設定目錄建立原則

適用於:

  • macOS

macOS 設定目錄中的新 Microsoft Office 和 Microsoft Outlook 喜好設定

[設定目錄] 支援 Microsoft Office 和 Microsoft Outlook (裝置>>組態針對配置檔類型) 的平台>設定目錄建立>macOS 的喜好設定。

下列為可用的設定:

Microsoft Office > Microsoft Office

  • 允許分析使用者內容的體驗和功能
  • 允許下載使用者內容的體驗和功能
  • 允許宏修改 Visual Basic 專案
  • 允許選擇性的連線體驗
  • 允許 Visual Basic 宏使用系統 API
  • 背景輔助功能檢查
  • 預設為本機檔案以供開啟 - 儲存
  • 診斷數據層級
  • 停用雲端字型
  • 停用第三方存放區載入宏目錄
  • 停用使用者問卷
  • 啟用自動登入
  • 防止所有 Visual Basic 宏執行
  • 防止 Visual Basic 宏使用外部動態連結庫
  • 防止 Visual Basic 宏使用舊版 MacScript
  • 防止 Visual Basic 宏使用管道進行通訊
  • 在應用程式啟動時顯示範本庫
  • 顯示新功能對話框
  • Visual Basic 宏策略

Microsoft Office > Microsoft Outlook

  • 允許 S - 沒有相符電子郵件位址的 MIME 憑證
  • 允許 Email網域
  • 預設功能變數名稱
  • 默認天氣位置
  • 停用 [不可轉寄] 選項
  • 停用天氣位置的自動更新
  • 停用電子郵件簽章
  • 停用導出至 OLM 檔案
  • 停用從 OLM 和 PST 檔案匯入
  • 停用垃圾郵件設定
  • 停用 Microsoft 365 加密選項
  • 停用 Microsoft Teams 會議支援
  • 停用 S - MIME
  • 停用 商務用 Skype 會議支援
  • 下載內嵌影像
  • 啟用新 Outlook
  • 在 [我的計算機] 資料夾上隱藏
  • 在工作窗格中隱藏 [開始使用 Outlook] 控件
  • 隱藏 [個人化新 Outlook] 對話框
  • 設定考慮 S - MIME 憑證的順序
  • 設定主題
  • 指定一周的第一天
  • 信任 Office 365 自動探索重新導向
  • 使用網域型自動探索,而不是 Office 365

如需設定目錄的詳細資訊,請移至:

如需您可以設定之 Microsoft Office 和 Outlook 設定的詳細資訊,請移至:

適用於:

  • macOS

裝置管理

遠端重新啟動並關閉macOS裝置

您可以使用裝置動作從遠端重新啟動或關閉macOS裝置。 這些裝置動作適用於執行 macOS 10.13 和更新版本的裝置。

如需詳細資訊,請參閱使用 Microsoft Intune 重新啟動裝置

Android (AOSP) 公司裝置的更多遠端動作

針對 Android 開放原始碼專案 (AOSP) 公司裝置,您很快就會從 Microsoft Intune 系統管理中心使用更多遠端動作 - 重新啟動和遠端鎖定。

如需這些功能的相關信息,請參閱:

適用於:

  • Android 開放原始碼專案 (AOSP)

Windows 11 多重會話 VM 的用戶設定支援處於公開預覽狀態

您可以:

  • 使用 [ 設定] 目錄 設定使用者範圍原則,並指派給使用者群組
  • 設定用戶憑證並指派給使用者
  • 設定 PowerShell 腳本以在使用者內容中安裝,並指派給使用者

適用於:

  • Windows 11

注意事項

Windows 10 多重會話組建的用戶支援將於今年稍後推出。

如需詳細資訊,請移至搭配使用 Azure 虛擬桌面多重會話與 Microsoft Intune

檢視受控裝置的群組成員資格

在 Intune 的 [裝置] 工作負載的 [監視] 區段中,您可以檢視受控裝置所有 Microsoft Entra 群組的群組成員資格。 您可以登入 Microsoft 端點管理員系統管理中心,然後選取 [裝置>][所有裝置>] 選取裝置>群組成員資格,以選取 [群組成員資格]。 如需詳細資訊,請參閱 裝置群組成員資格報告

改善的憑證報告詳細數據

我們已變更當您檢視裝置和憑證配置檔的憑證詳細數據時,Intune 所顯示的內容。 若要檢視報告,請在 Microsoft 端點管理員系統管理中心移至 [>裝置監視>憑證>]

透過改良的報告檢視,Intune 會顯示下列資訊:

  • 有效的憑證
  • 過去30天內撤銷的憑證
  • 過去 30 天內過期的憑證

報表不再顯示無效或已不在裝置上的憑證詳細數據。

裝置註冊

在macOS裝置上利用啟動程式令牌

先前處於公開預覽狀態的啟動程式令牌支持現在已正式提供給所有 Microsoft Intune 客戶,包括 GCC High 和 Microsoft Azure Government Cloud 租使用者。 Intune 支援在執行macOS 10.15版或更新版本的已註冊裝置上使用啟動程式令牌。

啟動程式令牌可讓非系統管理員使用者提高 MDM 許可權,並代表 IT 系統管理員執行特定的軟體功能。下列項目支援啟動程式令牌:

  • Intune 中 (受監督的裝置,這是所有使用者核准的註冊)
  • 透過Apple自動化裝置註冊在Intune中註冊的裝置

如需啟動程式令牌如何與 Intune 搭配運作的詳細資訊,請參閱 設定 macOS 裝置的註冊

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Condeco by Condeco Limited
  • RICOH Spaces byRicoh Digital Services

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

2022 年 6 月 13 日當周

裝置安全性

Red Hat Enterprise Linux 8.6 的 Microsoft Tunnel 支援

您現在可以使用 Red Hat Enterprise Linux (RHEL) 8.6 搭配 Microsoft Tunnel。 除了 RHEL 8.5 支援所需的需求之外,沒有其他需求。

如同 RHEL 8.5,您可以使用 整備工具 (mst-readiness) 來檢查 Linux 核心中是否有ip_tables模組。 根據預設,RHEL 8.6 不會載入ip_tables模組。

對於未載入模組的Linux伺服器,我們提供了立即載入模組,以及設定Linux伺服器在開機時自動載入它們的 指示

2022 年 6 月 6 日當周

應用程式管理

透過應用程式保護原則的相片庫數據傳輸支援

您現在可以選取將 相片媒體櫃 納入為支援的應用程式記憶體服務。 從 [允許使用者從選取的服務開啟數據] 或 [允許使用者將數據儲存至 Intune 內選取的服務] 設定中選取 [相片媒體櫃],您可以允許受管理的帳戶允許連傳出數據到其裝置的相片庫,以及允許其在 iOS 和 Android 平臺上的受控應用程式。 在 Microsoft Intune 系統管理中心,選取 [應用程式>應用程式防護>原則建立原則]。 選擇 [iOS/iPadOS][Android]。 此設定可作為 數據保護 步驟的一部分,且特別適用於 受原則管理的應用程式。 如需詳細資訊,請 參閱數據保護

UI 改善顯示 Android 註冊可供使用,但並非必要

我們已更新 Android 應用程式 公司入口網站 中的圖示,讓使用者更容易辨識何時可以使用裝置註冊,但不需要。 新的圖示會出現在裝置註冊可用性設定為 [可用] 的情況下,系統管理中心內沒有提示, (租用戶系統管理員>自定義>建立編輯>原則設定) 。

變更包括:

  • 在 [裝置] 畫面上,使用者將不會再在未註冊的裝置旁看到紅色驚歎號。
  • 在 [裝置詳細數據] 畫面上,使用者將不會再看到註冊訊息旁的紅色驚歎號。 相反地,他們會看到 i) 圖示 (資訊。

若要檢視變更的螢幕快照,請參閱 Intune 使用者應用程式的 UI 更新

裝置管理

Windows Update 應用程式和驅動程式的相容性報告 (公開預覽)

在公開預覽版中,現在有兩個 Windows Update 相容性報告可協助您準備 Windows 升級或更新。 這些報告會填滿目前由 電腦分析 所涵蓋的間距,排定在 2022 年 11 月 30 日淘汰

使用這些報告可協助您規劃從 Windows 10 升級至 11 或安裝最新的 Windows 功能更新:

  • Windows 功能更新裝置整備報告 (預覽) - 此報告提供與所選 Windows 版本升級或更新相關聯之相容性風險的每個裝置資訊。
  • Windows 功能更新相容性風險報告 (預覽) - 此報告提供您組織中所選 Windows 版本之最高相容性風險的摘要檢視。 您可以使用此報告來瞭解哪些相容性風險會影響組織中最多數量的裝置。

這些報告會在下一周推出給租使用者。 如果您尚未看到它們,請在一天左右再次回來查看。 若要瞭解必要條件、授權,以及這些報表可用的資訊,請參閱 Windows Update 相容性報告

2022 年 5 月 30 日當周 (Service 2205)

應用程式管理

iOS 公司入口網站 最低必要版本

自 2022 年 6 月 1 日起,iOS 公司入口網站 應用程式的最低支援版本為 v5.2205。 如果您的使用者執行 v5.2204 或更早版本,系統會在登入時提示他們更新。 如果您已啟用 [使用 App Store 裝置限制封鎖安裝應用程式] 設定,您可能需要將更新推送至使用此設定的相關裝置。 否則,不需要採取任何動作。 如果您有技術服務人員,請讓他們知道更新 公司入口網站 應用程式的提示。 在大部分情況下,使用者會將應用程式更新設定為自動,因此他們會收到更新的 公司入口網站 應用程式,而不需要採取任何動作。 如需詳細資訊,請參閱 Intune 公司入口網站

當裝置擁有權從個人變更為公司時,會自動傳送推播通知

針對 iOS/iPad 和 Android 裝置,當裝置的 擁有權類型從個人變更為公司時,現在會自動傳送推播通知。 通知會透過裝置上的 公司入口網站 應用程式推送。

透過這項變更,我們已移除先前用來管理此通知行為的 公司入口網站 組態設定。

iOS/iPadOS 通知需要 3 月 公司入口網站 或更新版本

在 Intune 的 2205 年 5 月 () 版服務版本中,我們已對 iOS/iPadOS 通知進行服務端更新,要求使用者將 3 月 公司入口網站 應用程式 (5.2203.0 版) 或更新版本。 如果您使用的功能可能會產生 iOS/iPadOS 公司入口網站 推播通知,您必須確定您的使用者更新 iOS/iPadOS 公司入口網站 以繼續接收推播通知。 功能沒有其他變更。 如需詳細資訊,請參閱更新 公司入口網站 應用程式

藉由上傳 PKG 類型的安裝程式檔案來部署 macOS LOB 應用程式現已正式推出

您現在可以將 PKG 類型的安裝程式檔案上傳至 Intune,以部署 macOS 企業營運 (LOB) 應用程式。 這項功能已不公開預覽,現在已正式推出。

若要從 Microsoft Intune 系統管理中心新增 macOS LOB 應用程式,請選取 [應用程式>macOS>新增>企業營運應用程式]。 此外,不再需要macOS的App Wrapping Tool來部署macOS LOB應用程式。 如需詳細資訊,請參閱如何將macOS企業營運 (LOB) 應用程式新增至 Microsoft Intune

改善 [Managed Apps] 窗格上的報表體驗

[ 受控應用程式] 窗格已更新,可更清楚地顯示裝置的受控應用程式詳細數據。 您可以切換主要使用者和其他裝置使用者的受控應用程式詳細數據,或顯示裝置的應用程式詳細數據,而不需要任何使用者。 一開始載入報表時,會使用裝置的主要用戶來顯示產生的應用程式詳細數據,如果沒有主要使用者,則會顯示。 如需詳細資訊,請參閱 ManagedApps報告

MSfB 授權和 Apple VPP 授權

從使用者移除 Intune 授權將不再撤銷透過 商務用 Microsoft Store 或 Apple VPP 授與的應用程式授權。 如需詳細資訊,請參閱如何使用 Microsoft Intune、撤銷 iOS 應用程式授權和 Microsoft Intune 授權從 商務用 Microsoft Store 管理大量採購的應用程式

未授權用戶的報告

當使用者未獲授權時,Intune 將不再從所有 Intune 報表中移除使用者。 在使用者從 Microsoft Entra ID 刪除之前,Intune 會繼續在最常見的案例中回報使用者。 如需報告的相關信息,請參閱 Intune 報告

裝置安全性

Intune 端點安全性受攻擊面縮小原則的新裝置控制配置檔

在 2022 年 4 月開始持續 推出端點安全策略的新配置檔中,我們發行了適用於 Intune 中端點安全性 之受攻擊面縮小 原則的新裝置控制配置檔範本。 此設定檔會取代 Windows 10 更新版本平臺上一個相同名稱的配置檔。

使用此取代,就只能建立新配置文件的實例。 不過,您先前建立的任何使用舊配置文件結構的配置檔仍可供使用、編輯和部署。

新的裝置控制設定檔:

  • 包含原始配置檔中可用的所有設定。
  • 介紹舊版配置檔中無法使用的五個新設定。

這五個新設定著重於卸載式裝置,例如 USB 裝置:

裝置設定

使用密碼、PIN 或模式在設定時間后解除鎖定 Android Enterprise 裝置

在 Android Enterprise 裝置上,您可以建立裝置限制組態配置檔,以管理裝置設定 (>> 裝置設定建立>Android Enterprise>完全受控、專用和公司擁有的工作配置檔,以進行配置檔類型) 的平臺>裝置限制

[裝置密碼 ] 和 [ 工作配置文件密碼] 中,有新的 [ 必要解除鎖定頻率 ] 設定。 選取用戶必須使用強身份驗證方法 (密碼、PIN 或模式) 來解除鎖定裝置的時間長度。 選項包括:

  • 上次釘選、密碼或模式解除鎖定后的 24 小時:螢幕會在使用者上次使用強身份驗證方法來解除鎖定裝置或工作配置檔之後 24 小時鎖定。
  • 裝置預設 (預設) :使用裝置的默認時間鎖定螢幕。

2.3.4. 進階密碼管理 (會開啟 Android 的網站)

如需您可以設定的設定清單,請移至 Android Enterprise 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • Android 8.0 和更新版本
  • Android Enterprise 公司擁有完全受控 (COBO)
  • Android Enterprise 公司擁有的專用裝置 (COSU)
  • Android Enterprise 公司擁有的工作配置檔 (COPE)

使用 [設定目錄] 在 Windows 11 裝置上建立通用列印原則

許多組織會使用 通用列印將其印表機基礎結構移至雲端。

在 Intune 系統管理中心,您可以使用 [設定目錄] 來建立通用列印原則 (>> 裝置組態建立>Windows 10 及更新版本,以針對配置檔類型 >Printer 布建) 的平臺>設定目錄。 當您部署原則時,使用者會從已註冊的通用印表機清單中選取印表機。

如需詳細資訊,請移至在 Microsoft Intune 中建立通用列印原則

適用於:

  • Windows 11

設定目錄中的新 macOS 設定

[設定目錄] 具有新的 macOS 設定,您可以設定 (裝置>>設定建立>適用於配置檔類型之平台>設定目錄macOS) :

帳戶 > 帳戶

  • 停用來賓帳戶
  • 啟用來賓帳戶

網路 > 防火牆

  • 允許已簽署
  • 允許已簽署的應用程式
  • 啟用記錄
  • 記錄選項

父代控件 > 父代控件的時間限制

  • 已啟用系列控制件
  • 時間限制

代理 > 網路 Proxy 設定

  • Proxy
  • 例外狀況清單
  • 允許後援
  • FTP 啟用
  • FTP 被動
  • FTP 埠
  • FTP Proxy
  • Gopher 啟用
  • Gopher 埠
  • Gopher Proxy
  • HTTP 啟用
  • HTTP 埠
  • HTTP Proxy
  • HTTPS 啟用
  • HTTPS 埠
  • HTTPS Proxy
  • Proxy 自動設定啟用
  • Proxy 自動設定 URL 字串
  • 允許 Proxy Captive 登入
  • RTSP 啟用
  • RTSP 埠
  • RTSP Proxy
  • 已啟用SOCKS
  • SOCKS 埠整數
  • SOCKS Proxy

安全 > 智慧卡

  • 允許智慧卡
  • 檢查憑證信任
  • 強制使用智慧卡
  • 每位使用者一張卡片
  • 令牌移除動作
  • 使用者配對

軟體更新

  • 允許發行前版本安裝
  • 已啟用自動檢查
  • 自動下載
  • 自動安裝應用程式 匯報
  • 自動安裝 Mac OS 匯報
  • 設定數據安裝
  • 重大更新安裝
  • 限制軟體更新需要 管理員 安裝

用戶體驗 > 螢幕保護使用者

  • 空閒時間
  • 模組名稱
  • 模組路徑

使用 [設定] 目錄建立的原則與使用範本建立的原則之間沒有任何衝突解決方式。 在 [設定目錄] 中建立新原則時,請確定沒有任何與您目前的原則衝突的設定。

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱在 Microsoft Intune 中使用設定目錄建立原則

適用於:

  • macOS

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • F2 Manager Intune by cBrain A/S
  • F2 Touch Intune (Android) by cBrain A/S
  • Microsoft 清單 (Microsoft 所) 的 Android
  • Microsoft Lens - PDF Scanner by Microsoft
  • 由力心公司所產生的工作面板
  • 透過 Provectus Technologies GmbH 保護聯繫人
  • My Portal by MangoApps by MangoSpring Inc

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

裝置管理

租用戶連結裝置的軟體更新頁面

租使用者連結裝置有新的 [軟體更新 ] 頁面。 此頁面會顯示裝置上軟體更新的狀態。 您可以檢閱哪些更新已成功安裝、失敗,且已指派但尚未安裝。 使用更新狀態的時間戳可協助進行疑難解答。 如需詳細資訊,請參閱 租用戶連結:系統管理中心的軟體更新

適用於端點的 Microsoft Defender iOS/iPadOS 上的應用程式同步支援

您必須先加入 適用於端點的 Microsoft Defender 預覽版,才能使用此功能。 若要加入加入,請連絡 mdatpmobile@microsoft.com

當您使用 適用於端點的 Microsoft Defender 作為Mobile Threat Defense 應用程式時,您可以設定適用於端點的Defender,從iOS/iPadOS裝置向 Intune 要求應用程式清查數據。 現在可以使用下列兩個設定:

  • 啟用 iOS 裝置的應用程式同步處理:設定為 [開啟] 可讓 適用於端點的 Microsoft Defender 從 Intune 要求 iOS 應用程式的元數據,以供威脅分析之用。 iOS 裝置必須已註冊 MDM,且會在裝置簽入期間提供更新的應用程式數據。

  • 在個人擁有的 iOS/iPadOS 裝置上傳送完整的應用程式清查數據:此設定可控制應用程式清查數據。 當適用於端點的 Defender 同步處理應用程式資料並要求應用程式清查清單時,Intune 會與 適用於端點的 Microsoft Defender 共用此資料。

    當設定為 [開啟] 時,適用於端點的Defender可以向Intune要求個人擁有iOS/iPadOS裝置的應用程式清單。 此清單包含透過 Intune 部署的非受控應用程式和應用程式。

    當設定為 [關閉] 時,不會提供 Unmanaged 應用程式的相關數據。 Intune 會共用透過 Intune 部署之應用程式的數據。

支援在 Android Enterprise 公司擁有的工作配置檔裝置上淘汰

您現在可以在 Microsoft Intune 系統管理中心使用淘汰系統管理動作,從 Android Enterprise 公司擁有的工作配置檔裝置移除工作配置檔,包括所有公司應用程式、數據和原則。 移至 [Intune 系統管理中心>裝置 ] 窗格 [ >所有裝置> ],然後選取您要淘汰的裝置名稱,然後選取 [ 淘汰]

當您選取 [ 淘汰] 時,裝置會從 Intune 管理取消註冊。 不過,與您個人配置檔相關聯的所有數據和應用程式在裝置上都會保持不變。 如需詳細資訊,請參閱使用 Microsoft Intune 淘汰或抹除裝置

裝置註冊

Apple 自動化裝置註冊的註冊配置檔改善

先前在 Intune 公開預覽版中發行的兩個設定助理略過窗格現在已正式推出,可在 Intune 中使用。 這些畫面通常會在 Apple Automated Device Enrollment (ADE) 期間出現在設定助理中。 您可以在 Intune 中設定註冊設定檔時,設定螢幕可見度。 在裝置註冊配置檔的 [ 設定 助理] 索引標籤下,可以使用 Intune 支援的畫面設定。新的略過窗格如下:

  • 窗格名稱: 開始使用

    • 適用於 iOS/iPadOS 13 和更新版本。
    • 此窗格預設會顯示在 ADE 期間的設定助理中。
  • 窗格名稱: 使用Apple Watch自動解除鎖定

    • 適用於macOS 12和更新版本。
    • 此窗格預設會顯示在 ADE 期間的設定助理中。

公開預覽版本的功能沒有任何變更。

從 Windows Autopilot 註冊共同管理

您可以在 Intune 中設定裝置註冊,以啟用在 Windows Autopilot 程式期間發生的共同管理。 此行為會以協調的方式在 Configuration Manager 和 Intune 之間引導工作負載授權。

如果裝置是以 Autopilot 註冊狀態頁面 (ESP) 原則為目標,裝置將會等候 Configuration Manager。 Configuration Manager 客戶端會安裝、向月臺註冊,並套用生產環境共同管理原則。 然後 Autopilot ESP 會繼續進行。

如需詳細資訊,請 參閱如何註冊以使用 Autopilot 共同管理

2022 年 5 月 9 日當周

裝置安全性

適用於端點的Defender安全性管理已正式推出

Microsoft Intune 和 適用於端點的 Microsoft Defender (MDE) 小組很高興宣佈適用於端點的 Defender 安全性設定管理正式推出。 在此正式運作過程中,防病毒軟體、端點偵測和回應以及防火牆規則的支援現已正式推出。 此正式運作適用於 Windows Server 2012 R2 和更新版本,以及 Windows 10 和 Windows 11 用戶端。 未來將會支援預覽容量中的其他平臺和配置檔。

如需詳細資訊,請參閱使用 Microsoft Intune 管理裝置上的 適用於端點的 Microsoft Defender

裝置管理

對 遠端說明 提高許可權的增強功能

啟動工作階段時,將不再指派提高許可權。 提高許可權現在只會在要求存取) 時,才套用 JIT (。 當您選取工具列上的按鈕時,會要求存取權。 指派提高許可權時,已修改共用者的註銷行為,如下所示:

  • 如果系統管理員 (協助程式) 結束 遠端說明 工作階段,則不會將使用者 (共用) 註銷。
  • 如果共用者嘗試結束會話,系統會提示他們如果繼續,將會將其註銷。
  • 如果共用者是其裝置上的本機系統管理員,協助程式將無法使用存取 UAC 提示選項,因為他們可以引導共用者在其自己的配置檔下執行提升許可權的動作。 如需 遠端說明 的詳細資訊,請參閱使用 遠端說明

2022 年 5 月 2 日當周

應用程式管理

更新受控Google Play應用程式的優先順序

您可以在具有工作配置檔的專用、完全受控或公司擁有的 Android Enterprise 裝置上,設定受控 Google Play 應用程式的更新優先順序。 藉由選取 [延遲 ] 作為 [更新優先順序 ] 應用程式設定,裝置會在偵測到新版本的應用程式之後等候 90 天,然後再安裝應用程式更新。 如需詳細資訊,請參閱使用 Intune 將受管理的 Google Play 應用程式新增至 Android Enterprise 裝置

2022 年 4 月 25 日當周 (Service 2204)

應用程式管理

更新的應用程式設定原則清單

已在 Intune 中修改 應用程式設定原則 清單。 此清單將不再包含 [ 已指派 ] 資料行。 若要檢視是否已指派應用程式設定原則,請流覽至 [Microsoft Intune 系統管理中心>應用程式>設定原則>] 選取原則>[內容]

Android 裝置的密碼複雜度

Intune 中的 [需要裝置鎖定 ] 設定已擴充為包含 (低複雜度中複雜度高複雜度) 值。 如果裝置鎖定不符合最低密碼需求,您可以 警告抹除數據,或 封鎖 終端使用者存取受控應用程式中的受控帳戶。 這項功能以在Android 11+ 上運作的裝置為目標。 對於在 Android 11 和更早版本上運作的裝置,將複雜度值設定為 [低]、[ ] 或 [ ] 會預設為低 複雜度的預期行為。 如需詳細資訊,請參閱 Microsoft Intune 中的Android應用程式保護原則設定。 管理

Win32 應用程式記錄收集的改善

透過 Intune 管理延伸模組收集 Win32 應用程式記錄已移至 Windows 10 裝置診斷平臺,將收集記錄的時間從 1-2 小時縮短為 15 分鐘。 我們也已將記錄檔大小從 60 mb 增加到 250 mb。 除了效能改善,應用程式記錄也可在每個 裝置的裝置診斷監視 動作和受控應用程式監視器下取得。 如需如何收集診斷的資訊,請參閱 從 Windows 裝置收集診斷使用 Intune 對 Win32 應用程式安裝進行疑難解答

裝置管理

Windows 10和 Windows 11 企業版 工作階段已正式推出

除了現有的功能之外,您現在還可以:

  • 當您選取 [平臺] Windows 10、[Windows 11] 和 [Windows Server] 時,請在 [端點安全性] 下設定配置檔。
  • 管理 Windows 10 和 Windows 11 企業版 在美國政府社群中 Azure Government 雲端中建立的多重會話 VM (GCC) High 和 DoD。

如需詳細資訊,請參閱 Windows 10/11 企業版多重會話遠端桌面

Microsoft Intune 應用程式中的Android (AOSP) 使用者可用的裝置動作

AOSP 裝置用戶現在可以在 Microsoft Intune 應用程式中重新命名其已註冊的裝置。 此功能適用於在 Intune 中註冊為使用者相關聯的裝置 (Android) AOSP 裝置。 如需 Android (AOSP) 管理的詳細資訊,請參閱 設定 Android (AOSP) 公司擁有之使用者相關聯裝置的 Intune 註冊

支援 Android 公司擁有的工作配置檔上的音訊警示,以及 COBO 和) 裝置完全受控 (

您現在可以使用裝置動作 播放遺失的裝置音效 ,在裝置上觸發警示音效,以協助找出遺失或遭竊的 Android Enterprise 公司擁有的工作配置檔和完全受控的裝置。 如需詳細資訊,請 參閱尋找遺失或遭竊的裝置

裝置註冊

Apple 自動化裝置註冊 (公開預覽版的新註冊配置檔設定)

我們新增了兩個新的設定助理設定,您可以搭配Apple自動化裝置註冊使用。 每個設定都會控制註冊期間顯示之 [設定助理] 窗格的可見性。 [設定助理] 窗格預設會在註冊期間顯示,因此如果您想要隱藏設定,則必須調整 Microsoft Intune 中的設定。

新的設定助理設定如下:

  • 開始使用 (預覽) :在註冊期間顯示或隱藏 [開始使用] 窗格。 適用於執行 iOS/iPadOS 13 和更新版本的裝置。
  • 使用 Apple Watch (預覽版自動解除鎖定) :在註冊期間使用 Apple Watch 窗格顯示或隱藏 [解除鎖定您的 Mac]。 針對執行macOS 12和更新版本的裝置。

若要設定自動裝置註冊的設定助理設定,請在 Microsoft Intune 中建立 iOS/iPadOS 註冊設定檔macOS 註冊設定檔

裝置安全性

適用於端點的 Microsoft Defender 作為iOS的通道用戶端應用程式現已正式推出

在 iOS/iPadOS 上使用支援 Microsoft Tunnel 的 適用於端點的 Microsoft Defender 現在已不在預覽狀態,且已正式推出。 正式推出後,適用於 iOS 的適用於端點的 Defender 應用程式的新版本可從 App Store 下載和部署。 如果您已使用預覽版本作為iOS版 Tunnel 用戶端應用程式,建議您儘快升級至適用於iOS的最新適用於端點的Defender應用程式,以獲得最新更新和修正的優點。

自 2022 年 8 月 30 日起,連線類型名為 Microsoft Tunnel

在此版本中,在 6 月底之前,獨立 Tunnel 用戶端應用程式和適用於端點的 Defender 預覽版作為 iOS 的 Tunnel 用戶端應用程式都會被取代,並從支援中卸除。 在該淘汰之後,獨立 Tunnel 用戶端應用程式將不再運作,且不再支持開啟與 Microsoft Tunnel 的連線。

如果您仍在使用適用於 iOS 的獨立通道應用程式,請規劃移轉至 適用於端點的 Microsoft Defender 應用程式。 在獨立應用程式的支援結束之前移轉,且其連線到 Tunnel 的支援停止運作。

受攻擊面縮小規則配置檔

租用戶連結裝置 (ConfigMgr) 配置檔的受攻擊面縮小規則 現在處於公開預覽狀態。 如需詳細資訊,請參閱 租使用者附加:建立和部署受攻擊面縮小原則

裝置設定

端點安全性配置檔支持篩選

使用篩選器時,有一些新功能:

  • 當您建立 Windows 裝置的裝置組態設定檔時,每個原則報告會顯示 [ 裝置和使用者簽入狀態 ] 中的報告資訊 ([裝置>設定> ] 選取現有的原則) 。

    當您選 取 [檢視報表] 時,報表會有 [ 指派篩選 ] 數據行。 使用此數據行來判斷篩選是否已成功套用至您的原則。

  • 端點安全策略支持篩選。 因此,當您指派端點安全策略時,您可以使用篩選條件,根據您建立的規則來指派原則。

  • 當您建立新的端點安全策略時,它會自動使用 新的裝置組態配置文件報告。 當您查看個別原則報表時,它也會有 [指派篩選條件] 數據行 (裝置>>設定 選取現有的端點安全策略>檢視報告) 。 使用此數據行來判斷篩選是否已成功套用至您的原則。

如需篩選的詳細資訊,請參閱:

適用於:

  • 所有平臺

不適用於:

  • 系統管理範本 (Windows 10/11)
  • 裝置韌體設定介面 (DFCI) (Windows 10/11)
  • OEMConfig (Android Enterprise)

使用匯入的 GPO 搭配 群組原則 分析來建立設定目錄原則

使用 群組原則 分析,您可以匯入內部部署 GPO,並查看 Microsoft Intune 中支援的設定。 它還顯示任何已過時的設定,或 MDM 提供者無法使用的設定。

當分析執行時,您會看到已準備好進行移轉的設定。 有一個 [移轉 ] 選項會使用您匯入的設定來建立設定目錄設定檔。 然後,您可以將此設定檔指派給您的群組。

如需詳細資訊,請移至在 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則

適用於:

  • Windows 11
  • Windows 10

適用於 Windows 裝置的新有線網路裝置組態配置檔

針對配置檔類型為) 的平台>>本有線網路, (裝置組態建立>Windows 10 及更新版本,Windows 10/11 裝置>>有新的有線網路裝置組態配置檔。

使用此設定檔來設定常見的有線網路設定,包括驗證、EAP 類型、伺服器信任等等。 如需您可以設定之設定的詳細資訊,請移至在 Microsoft Intune 中新增 Windows 裝置的有線網路設定

適用於:

  • Windows 11
  • Windows 10

系統管理範本和設定目錄中的「ADMX_」原則 CSP 設定適用於 Windows 專業版

開頭為「ADMX_」 的 Windows 原則 CSP 設定 適用於執行 Windows Professional 版本的 Windows 裝置。 先前,這些設定在執行 Windows Professional 版本的裝置上會顯示為 [不適用 ]。

您可以使用系統管理範本和設定目錄,在原則中設定這些「ADMX_」設定,並將原則部署到裝置 (>> 裝置組態建立>Windows 10 及更新版本的平台>>本設定目錄系統管理範本或配置檔類型) 。

若要使用這組「ADMX_」設定,必須在您的 Windows 10/11 裝置上安裝下列更新:

若要深入瞭解這些功能,請移至:

若要查看支援 Windows Professional 版本的所有 ADMX 設定清單,請移至 Windows 原則 CSP 設定。 任何以 「ADMX_」 開頭的設定都支援 Windows Professional 版本。

適用於:

  • Windows 11
  • Windows 10

設定目錄中的新 macOS 設定

[設定目錄] 具有新的 macOS 設定,您可以設定 (裝置>>設定建立>適用於配置檔類型之平台>設定目錄macOS) :

帳戶 > 行動帳戶

  • 要求安全令牌驗證略過
  • 在登入時建立
  • 到期刪除未使用的秒數
  • 建立時警告
  • 在建立允許時警告永不允許

應用程式管理 > 自發性單一應用程式模式

  • 套件組合標識碼
  • 小組標識碼

應用程式管理 > NS 延伸模組管理

  • 允許的擴充功能
  • 拒絕的擴充點
  • 拒絕的擴充功能

App Store

  • 停用軟體更新通知
  • 僅限市集軟體更新
  • restrict-store-disable-app-adoption

認證 > 目錄服務

  • AD 允許多網域驗證
  • AD 允許多網域驗證旗標
  • AD 在登入時建立行動帳戶
  • AD 在登入旗標上建立行動帳戶
  • AD 預設用戶殼層
  • AD 預設使用者殼層旗標
  • AD 網域 管理員 組清單
  • AD 網域 管理員 組清單旗標
  • AD Force Home Local
  • AD 強制首頁本機旗標
  • AD 對應 GGID 屬性
  • AD 對應 GGID 屬性旗標
  • AD 對應 GID 屬性
  • AD 地圖 GID 屬性旗標
  • AD 對應 UID 屬性
  • AD 對應 UID 屬性旗標
  • AD 掛接樣式
  • AD 命名空間
  • AD 命名空間旗標
  • AD 組織單位
  • AD 封包加密
  • AD 封包加密旗標
  • AD 封包符號
  • AD 封包符號旗標
  • AD 慣用 DC 伺服器
  • AD 慣用DC伺服器旗標
  • AD 限制 DDNS
  • AD 限制 DDNS 旗標
  • AD 信任變更傳遞間隔天數
  • AD 信任變更傳遞間隔天旗標
  • AD 使用 Windows UNC 路徑
  • AD 使用 Windows UNC 路徑旗標
  • AD 在建立MA旗標之前警告使用者
  • 用戶端識別碼
  • 說明
  • 密碼
  • 使用者名稱

認證 > 識別

  • 提示
  • 提示訊息

登入 > 登入視窗登入專案

  • 停用登入項目隱藏

媒體管理光碟消耗

  • 燒錄支援

父代控件 > 父代控制應用程式限制

  • 已啟用系列控制件

父代控件 > 父代控件內容篩選

  • 允許清單已啟用
  • 篩選允許清單
  • 篩選封鎖清單
  • 網站允許清單
  • 地址
  • 頁面標題
  • 使用內容篩選

父代控件 > 父代控件字典

  • 父代控件

父代控件 > 父代控制項遊戲中心

  • 允許修改 GK 功能帳戶

系統設定 > 檔案提供者

  • 允許Managed檔案提供者要求屬性

系統設定 > 螢幕保護

  • 要求密碼
  • 要求密碼延遲
  • 登入視窗空閒時間
  • 登入視窗模組路徑

用戶體驗 > 尋找工具

  • 禁止燒錄
  • 禁止連線至
  • 禁止退出
  • 禁止移至資料夾
  • 在桌面上顯示外部硬碟
  • 在桌面上顯示硬碟
  • 在桌面上顯示掛接的伺服器
  • 在桌面上顯示卸載式媒體
  • 在空的垃圾桶上發出警告

用戶體驗 > Managed 功能表額外功能

  • 機場
  • 電池
  • 藍牙
  • 時鐘
  • CPU
  • 延遲秒數
  • 顯示
  • 彈出
  • 傳真
  • HomeSync
  • Ichat
  • 筆跡
  • Irda
  • 等候秒數上限
  • PCCard
  • Ppp
  • PPPoE
  • 遠端桌面
  • 腳本功能表
  • 空格
  • 同步處理
  • 文字輸入
  • TimeMachine
  • 通用存取
  • 使用者
  • 卷冊
  • VPN
  • WWAN

用戶體驗 > 通知

  • 警示類型
  • 已啟用徽章
  • 已啟用重大警示
  • 已啟用通知
  • 在鎖定畫面中顯示
  • 顯示在通知中心
  • 音效已啟用

用戶體驗 > 時間機器

  • 自動備份
  • 備份所有磁碟區
  • 備份大小 MB
  • 備份略過系統
  • 基底路徑
  • 行動備份
  • 略過路徑

Xsan

  • San Auth 方法

Xsan > Xsan 喜好設定

  • 拒絕 DLC
  • 拒絕掛接
  • 僅掛接
  • 偏好 DLC
  • 使用 DLC

下列設定也位於 [設定目錄] 中。 之前,它們僅適用於範本:

應用程式管理 > 相關聯的網域

  • 啟用直接下載

網路 > 內容快取

  • 允許快取刪除
  • 允許個人快取
  • 允許 共用快取
  • 自動啟用
  • 自動啟用系結快取
  • 快取限制
  • 數據路徑
  • 拒絕系結快取
  • 顯示警示
  • 保持醒著
  • 接聽範圍
  • 僅接聽範圍
  • 與同儕和家長接聽
  • 僅限本機子網
  • 記錄用戶端身分識別
  • 父選取原則
  • 家長
  • 對等篩選範圍
  • 對等接聽範圍
  • 僅限對等本機子網
  • 連接埠
  • 公用範圍

限制

  • 允許活動接續
  • 允許新增遊戲中心朋友
  • 允許空中投車
  • 允許自動解除鎖定
  • 允許照相機
  • 允許雲端通訊錄
  • 允許雲端書籤
  • 允許雲端行事曆
  • 允許雲端桌面和檔
  • 允許雲端檔案同步
  • 允許雲端金鑰鏈同步
  • 允許 Cloud Mail
  • 允許雲端附注
  • 允許雲端相片媒體櫃
  • 允許雲端私人轉送
  • 允許雲端提醒
  • 允許內容快取
  • 允許診斷提交
  • 允許聽寫
  • 允許清除內容和設定
  • 允許指紋解除鎖定
  • 允許遊戲中心
  • 允許 iTunes 檔案共用
  • 允許多人遊戲
  • 允許音樂服務
  • 允許修改密碼
  • 允許密碼自動填滿
  • 允許密碼鄰近性要求
  • 允許密碼共用
  • 允許遠端螢幕觀察
  • 允許螢幕快照
  • 允許焦點因特網結果
  • 允許修改桌布
  • 強制指紋逾時
  • 強制軟體更新延遲
  • 強制軟體更新主要 OS 延遲安裝延遲
  • 強制軟體更新次要 OS 延遲安裝延遲
  • 強制軟體更新非 OS 延遲安裝延遲
  • 強制教室自動加入班級
  • 強制教室要求許可權離開班級
  • 強制教室未受保護的應用程式和裝置鎖定
  • 強制延遲 App Software 匯報
  • 強制延遲主要軟體 匯報
  • 強制延遲軟體 匯報
  • Safari 允許自動填寫

使用 [設定] 目錄建立的原則與使用範本建立的原則之間沒有任何衝突解決方式。 在 [設定目錄] 中建立新原則時,請確定沒有任何與您目前的原則衝突的設定。

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱在 Microsoft Intune 中使用設定目錄建立原則

適用於:

  • macOS

2022 年 4 月

應用程式管理

將受管理 macOS 裝置上的 DMG 類型應用程式卸載 (公開預覽)

您可以使用卸載指派類型,從 Microsoft Intune 移除受管理 macOS 裝置上的 DMG 類型應用程式。 您可以>取 [應用程式] macOS macOS 應用程式 (,在系統管理中心 Microsoft Intune 找到macOS> DMG應用程式。DMG) 。 如需詳細資訊,請參閱將macOS DMG應用程式新增至 Microsoft Intune

裝置管理

更新裝置診斷資料夾結構

Intune 現在會以更新的格式導出 Windows 裝置診斷數據 。 使用更新的格式時,所收集的記錄會命名為符合所收集的數據,而收集多個檔案時,就會建立資料夾。 使用舊版格式時,zip 檔案會使用編號資料夾的一般結構,而這些資料夾無法識別其內容。

若要利用此診斷記錄更新,裝置必須安裝下列其中一個更新:

  • Windows 11 - KB5011563
  • Windows 10 - KB5011543

這些更新可在 2022 年 4 月 12 日透過 Windows 匯報 取得。

Microsoft Intune 進階附加元件

Microsoft Intune 引進新的集中式體驗,以協助IT系統管理員識別進階附加元件功能。 您可以針對另一個可供 Microsoft Intune 使用的授權成本新增這些功能。 第一個進階附加元件 遠端說明。

您可以在 Intune 的 [租使用者管理>進階附加元件] 下找到進階附加元件。 [ 摘要] 刀鋒視窗會顯示所有已發行的進階附加元件、簡短描述,以及附加元件的狀態。 您可以將每個附加元件的狀態檢視為 [作用 中] 或 [可供試用或購買]。 進階附加元件功能可供全域和計費系統管理員用來開始試用或購買進階附加元件的授權。

如需進階附加元件的詳細資訊,請 參閱搭配 Intune 使用進階附加元件功能

裝置安全性

端點安全策略的新配置檔範本和設定結構

我們已開始發行使用設定格式的新 端點安全性配置檔範本 ,如設定目錄中所示。 每個新的配置檔範本都包含與取代較舊配置檔相同的設定,同時帶來下列改善:

  • 設定名稱符合 Windows CSP 名稱:在大部分情況下,新配置檔中的每個設定名稱都與設定所設定的 CSP 名稱相符。 不過,在 Intune UI 中,我們已將空格新增至該名稱,讓設定名稱更容易閱讀。 例如,Intune UI 中名為 [ 允許 USB 連線 ] 的設定會設定名為 AllowUSBConnection 的 CSP。

  • 設定選項會與 Windows CSP 的選項一致:設定選項現在會直接對齊 Windows CSP 所描述和支援的選項,並新增一個選項。 此外,我們已包含 [未設定] 選項。 當設定設定為 [未設定] 時,該 Intune 配置檔不會主動管理該設定。 當配置文件變更為從 [未設定] 設定的作用中組態開始時,Intune 會停止在裝置上強制執行該設定的設定。

  • 設定指引取自 Windows CSP:Intune UI 中所找到設定的相關信息是直接從 Windows CSP 內容取得,深入瞭解鏈接會開啟相關 CSP 的檔,或包含該 CSP 的內容頁面。 CSP 會定義和管理設定行為。

當原則類型有新的平臺和配置檔範本可用時,將無法再使用相同名稱的舊版配置檔來建立新的配置檔。 相反地,新的配置檔必須使用新的配置檔和設定格式。 最後,您的舊配置檔將會支援轉換成新的配置檔格式。 在該轉換可供使用之前,您仍然可以使用、編輯和部署現有的配置檔。

下列設定檔範本現在以新的設定格式提供:

原則類型 平台 配置檔 (範本) 名稱
防毒軟體 Windows 10、Windows 11 和 Windows Server Windows 安全性 體驗
防毒軟體 Windows 10、Windows 11 和 Windows Server Windows Defender 防毒軟體
防毒軟體 Windows 10、Windows 11 和 Windows Server Windows Defender 防病毒軟體排除專案
防火牆 Windows 10、Windows 11 和 Windows Server Microsoft Defender 防火牆
防火牆 Windows 10、Windows 11 和 Windows Server Microsoft Defender 防火牆規則
端點偵測及回應 Windows 10、Windows 11 和 Windows Server 端點偵測及回應
受攻擊面縮小 Windows 10和更新版本 受攻擊面縮小規則
受攻擊面縮小 Windows 10和更新版本 入侵防護

2022 年 3 月

應用程式管理

適用於 Intune 的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • INtune by Inkscreen LLC 的 CAPTOR™

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

iOS/iPadOS 通知需要 3 月 公司入口網站 更新

如果您使用的功能可能會產生 iOS/iPadOS 公司入口網站 推播通知,您會想要確保您的使用者在 2022 年 3 月或 4 月更新 iOS/iPadOS 公司入口網站。 功能沒有其他變更。 我們將在 Intune 的 2205 年 5 月 () 服務版本中,對 iOS/iPadOS 通知進行服務端更新。 公司入口網站 更新會在服務變更之前發行,因此大部分的使用者都已經有更新的應用程式,且不會受到影響。 不過,您應該通知使用者這項變更,以確保所有用戶都繼續收到貴組織所傳送的推播通知。 如需詳細資訊,請參閱更新 公司入口網站 應用程式

公司入口網站和 Microsoft Intune 應用程式的意見反應設定

提供意見反應設定,以透過 Microsoft 365 Apps 系統管理中心處理目前登入使用者的 Microsoft 365 企業意見反應原則。 這些設定可用來判斷是否可以啟用或必須停用使用者的意見反應。 這項功能適用於 Intune 公司入口網站和 Microsoft Intune 應用程式。 如需詳細資訊,請參閱設定 公司入口網站 和 Microsoft Intune 應用程式的意見反應設定

在公開預覽版 (上傳 PKG 類型的安裝程式檔案,以部署 macOS LOB 應用程式)

您現在可以上傳 PKG 類型的安裝程式檔案,並將其部署為 macOS 企業營運應用程式。 您可以從系統管理中心 Microsoft Intune 新增 macOS LOB 應用程式,方法是選取 [應用程式>] macOS>[新增>企業營運應用程式]。 如需 macOS LOB 應用程式的詳細資訊,請參閱如何將 macOS 企業營運應用程式新增至 Microsoft Intune

使用 Android 12L OS 時的應用程式 UI

Android 12L OS 包含新功能,其設計目的是要改善大型和折疊雙螢幕裝置上的 Android 12 體驗。 Intune 應用程式現在支援Android雙螢幕裝置上的Android 12L OS。

使用應用程式顯示Android Enterprise裝置序號 受控主畫面

在使用 受控主畫面 的 Android Enterprise 專用裝置上,客戶現在可以使用應用程式組態來設定 受控主畫面 應用程式,以在所有支援的操作系統版本上顯示該裝置的序號, (8 和更新版本) 。 如需 受控主畫面 應用程式的相關信息,請參閱設定適用於Android Enterprise的 Microsoft 受控主畫面 應用程式

裝置管理

請參閱 Android Enterprise 裝置上的 IPv4 位址和 Wi-Fi 子網標識碼

客戶可以檢視 Android Enterprise 公司擁有的完全受控、專用和工作配置檔裝置所報告的 IPv4 位址和 Wi-Fi 子網標識碼。

Android (AOSP) 用戶可以在 Intune 應用程式中檢視所有裝置

AOSP 裝置用戶現在可以在 Microsoft Intune 應用程式中檢視其受控裝置和裝置屬性的清單。 此功能適用於在 Intune 中註冊為使用者相關聯的裝置 (Android) AOSP 裝置。

針對 iOS/iPadOS 大量更新 eSim 行動數據計劃 (公開預覽)

您現在可以執行大量裝置動作 (裝置>大量裝置動作>更新行動數據) ,以在支援它的 iOS/iPadOS 裝置上遠端啟用或更新行動數據計劃。 此功能目前處於公開預覽階段。 如需詳細資訊,請 參閱使用大量裝置動作

大量抹除 iOS/iPadOS 裝置時保留行動數據計劃

當您執行大量裝置動作 (裝置>大量裝置動作>抹除) 以從 Intune 遠端抹除 iOS/iPadOS 裝置時,將會保留裝置上的任何行動數據計劃。 不過,如果您想要移除裝置的數據計劃,則可以在抹除裝置時選取複選框並移除行動數據計劃。 如需詳細資訊,請 參閱使用大量裝置動作

凍結安裝 Android Enterprise 公司擁有裝置的系統更新

對於執行 9.0 版和更新版本的 Android Enterprise 公司擁有裝置,您可以設定凍結期間,在此期間不會安裝系統或安全性更新。

若要設定凍結,請使用 Intune 裝置限制配置檔來設定一或多個每年可以重複的區塊。 每個區塊最多可以有90天,但您在允許安裝系統更新的凍結期間之間至少必須有60天。

如需設定凍結期間的相關信息,請參閱在Android Enterprise裝置設定中凍結 系統更新的期間以允許或限制使用Intune的功能

如需實作凍結之 Android 需求的資訊,請參閱 Google 開發人員檔中的 FreezePeriod

裝置安全性

租使用者附加:防病毒軟體配置檔

端點安全性 Microsoft Defender 防病毒軟體配置檔現已正式推出。 如需詳細資訊,請參閱 租使用者附加:從系統管理中心建立和部署防病毒軟體原則

監視及疑難排解

AppxPackaging 事件查看器是收集診斷的一部分

Intune 收集 診斷 的遠端動作會從 Windows 裝置收集更多詳細數據。   (裝置>Windows>選取 Windows 裝置>收集診斷)

新的詳細數據包括 Microsoft-Windows-AppxPackaging/Operational 事件檢視器 和下列 Office 記錄檔,以協助針對 Office 安裝問題進行疑難解答:

%windir%\temp\%computername%*.log
%windir%\temp\officeclicktorun*.log

裝置設定

裝置組態配置檔的新報告體驗

現在已有裝置組態配置檔的新報告體驗。 此報告體驗不包括 (ADMX) 的 Windows 系統管理範本、具有 OEMConfig 的 Android Enterprise 裝置,以及 (DFCI) 配置檔類型的裝置韌體設定介面。

我們會繼續更新 Intune 的報表體驗,以增強一致性、精確度、組織和數據表示法,為 Intune 的每個原則報告提供整體的「面向」功能。 新體驗會更新每個原則概觀頁面,以從環圈圖轉移到更順暢的概觀圖表,以在裝置/用戶簽入時快速更新。

每個原則檢視有三份可用的報告:

  • 裝置和使用者簽入狀態 - 此報告結合了先前分割成個別裝置狀態和用戶狀態報告的資訊。 此報告會顯示裝置組態配置檔的裝置和使用者簽入清單,以及簽入狀態和上次簽入時間。 當您開啟報表時,匯總圖表會保留在頁面頂端,而且數據會與清單數據一致。 使用篩選資料行來檢視指派篩選條件選項。
  • 裝置指派狀態 - 此報告會從裝置組態配置文件顯示指派裝置的最新狀態數據。 Intune 報告將包含擱置狀態資訊。
  • 每個設定狀態 - 此報表會顯示裝置組態配置檔中位於細微設定層級 的 [成功]、[ 衝突]、[ 錯誤 ] 狀態的裝置和使用者簽入摘要。 此報表使用我們提供給其他報表的相同一致性和效能更新和導覽工具。

有更多向下鑽研可供使用,而且每個報表都支援更多指派篩選器。 如需每個報告的詳細資訊,請參閱 Intune 報告

Google Chrome 設定位於 [設定目錄] 和 [系統管理範本] 中

Google Chrome 設定包含在 ADMX) (設定目錄和系統管理範本中。 先前,若要在 Windows 裝置上設定 Google Chrome 設定,您已建立自定義 OMA-URI 裝置設定原則。

如需這些原則類型的詳細資訊,請參閱:

適用於:

  • Windows 10/11

設定目錄中的新 macOS 設定

[設定目錄] 具有新的 macOS 設定,您可以設定 (裝置>>設定建立>適用於配置檔類型之平台>設定目錄macOS) :

用戶體驗 > 輔助功能

  • 關閉檢視遠方點
  • 已啟用關閉檢視快速鍵
  • 接近點的關閉檢視
  • 關閉檢視捲動滾輪切換
  • 關閉檢視 Smooth Images
  • Contrast
  • 快閃畫面
  • 滑鼠驅動程式
  • 滑鼠驅動程式游標大小
  • 滑鼠驅動程式忽略追蹤板
  • 滑鼠驅動程式初始延遲
  • 滑鼠驅動程式速度上限
  • 慢速金鑰
  • 慢速按鍵嗶聲開啟
  • 慢速金鑰延遲
  • 立體聲做為Mono
  • 黏性按鍵
  • 修飾詞上的黏黏鍵哓聲
  • 黏性按鍵顯示視窗
  • 關閉金鑰的語音結束
  • 黑色白色

空中播放

  • 允許清單
  • 密碼

用戶體驗>桌面:

  • 覆寫圖片路徑

偏好 > 全域喜好設定

  • 自動註銷延遲
  • 已啟用多個工作階段

印刷 > 列印

  • 需要 管理員 才能在本機印

安全 > 安全性喜好設定

  • 不允許防火牆 UI
  • 不允許鎖定訊息UI
  • 不允許密碼重設UI

偏好 > 系統喜好設定

  • 停用的喜好設定窗格
  • 啟用的喜好設定窗格

偏好 > 使用者喜好設定

  • 停用使用雲端密碼

下列設定也位於 [設定目錄] 中。 之前,它們僅適用於範本:

印刷 > 空中列印

  • IP 位址
  • 資源路徑

網路 > 防火牆

  • 允許
  • 套件組合標識碼
  • 封鎖所有傳入
  • 啟用防火牆
  • 啟用隱形模式

登入 > 登入專案

  • 隱藏

登入 > 登入視窗行為

  • 管理員 主機資訊
  • 允許清單
  • 拒絕清單
  • 停用主控台存取
  • 停用螢幕鎖定立即
  • 隱藏 管理員使用者
  • 隱藏本機使用者
  • 包含網路使用者
  • 登入時停用註銷
  • 登入視窗文字
  • 登入時已停用電源
  • 已停用重新啟動
  • 登入時已停用重新啟動
  • 顯示完整名稱
  • 顯示其他已管理的使用者
  • 已停用關機
  • 在登入時關閉停用
  • 睡眠停用

系統原則 > 系統原則控制

  • 允許識別的開發人員
  • 啟用評定

系統原則>系統原則受控

  • 停用覆寫

使用 [設定] 目錄建立的原則與使用範本建立的原則之間沒有任何衝突解決方式。 在 [設定目錄] 中建立新原則時,請確定沒有任何與您目前的原則衝突的設定。

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱在 Microsoft Intune 中使用設定目錄建立原則

適用於:

  • macOS

裝置註冊

在已註冊的macOS裝置上使用啟動載入令牌 (公開預覽)

Intune 現在支援在執行 macOS 10.15 版或更新版本的已註冊裝置上使用啟動程式令牌。 啟動程式令牌可讓非系統管理員使用者提高 MDM 許可權,並代表 IT 系統管理員執行特定的軟體功能。下列項目支援權杖:

  • Intune 中 (受監督的裝置,這是所有使用者核准的註冊)
  • 透過Apple自動化裝置註冊在Intune中註冊的裝置

啟動程式令牌會在 2022 年 3 月 26 日開始運作,而且可能需要較長的時間才能開始在所有租用戶中運作。

如需啟動程式令牌如何與 Intune 搭配運作的詳細資訊,請參閱 設定 macOS 裝置的註冊

註冊執行Apple晶片的macOS虛擬機

使用適用於 macOS 的 公司入口網站 應用程式,註冊在 Apple 晶片上執行的虛擬機。 Intune 僅支援使用 macOS 虛擬機進行測試。 如需在 Intune 中註冊虛擬機的詳細資訊,請參閱 設定 macOS 裝置的註冊

角色型存取控制

Android (AOSP) 將支援範圍標籤和 RBAC 設定

當您建立 Android (AOSP) 的原則時,您可以使用角色型存取控制 (RBAC) 和範圍卷標。

如需這些功能的詳細資訊,請參閱:

適用於:

  • Android 開放原始碼專案 (AOSP)

2022 年 2 月

應用程式管理

公司入口網站 應用程式中的進階記錄設定

[啟用進階記錄] 設定適用於 iOS/iPadOS 和 macOS 的 Intune 公司入口網站 應用程式版本 v5.2202 和更新版本。 裝置用戶可以啟用或停用裝置上的進階記錄。 開啟進階記錄,詳細的記錄報告會傳送給 Microsoft 以針對問題進行疑難解答。 根據預設,[ 啟用進階記錄 ] 設定將會關閉。 除非其組織的IT系統管理員另有指示,否則裝置使用者應該關閉此設定。如需詳細資訊,請參閱與 Microsoft 共用 公司入口網站 使用方式數據管理 macOS 的 公司入口網站 喜好設定

裝置設定

Apple 自動化裝置註冊的行動電話數據計劃

在 ADE) (設定自動裝置註冊時,作為 iOS/iPadOS 註冊設定檔的一部分,您現在可以設定裝置來啟用行動數據。 設定此選項會傳送命令,以啟用貴組織已啟用 eSim 之行動資料裝置的行動資料計畫。 您的電信業者必須先為您的裝置布建啟用,才能使用此命令來啟用數據計畫。 此設定適用於執行 iOS/iPadOS 13.0 和更新版本且正在向 ADE 註冊的裝置。 如需詳細資訊,請參閱 使用Apple的自動裝置註冊自動註冊iOS/iPadOS裝置

裝置管理

支援 Android 專用 (COSU) 裝置上的音訊警示

您現在可以使用 播放遺失的裝置音效 裝置動作,在裝置上觸發警示音效,以協助找出遺失或遭竊的 Android Enterprise 專用裝置。 如需詳細資訊,請 參閱尋找遺失或遭竊的裝置

在 iOS/iPadOS 裝置上建立隨選 VPN 裝置設定原則時的 UI 更新

您可以為 iOS/iPadOS 裝置建立隨選 VPN 連線 (裝置>>設定建立>適用於平臺 >VPNiOS/iPadOS,以進行設定檔類型>自動 VPN>隨選 VPN) 。

UI 會更新為更接近Apple的技術命名。 若要查看您可以設定的隨選 VPN 設定,請移至 iOS 和 iPadOS 裝置上的自動 VPN 設定

適用於:

  • iOS/iPadOS

在 Android Enterprise 上,使用企業 Wi-Fi 配置檔上的 [自動連線] 設定

在 Android Enterprise 裝置上,您可以建立包含通用企業 Wi-Fi 設定的 Wi-Fi 配置檔, (>> 裝置組態建立>適用於平臺>完全受控、專用且 Corporate-Owned 工作配置檔Wi-FiAndroid Enterprise,適用於 Wi-Fi 類型) 的配置檔>類型 > Enterprise。

您可以設定 Connect 自動 設定,當裝置在範圍內時,自動連線到 Wi-Fi 網路。

若要查看您可以設定的設定,請移至 新增 Android Enterprise 專用和完全受控裝置的 Wi-Fi 設定

適用於:

  • Android Enterprise 公司擁有完全受控 (COBO)
  • Android Enterprise 公司擁有的專用裝置 (COSU)

群組原則 分析移轉整備報告中已被取代的狀態會自動重新評估您的 GPO

使用 群組原則 Analytics,您可以匯入 群組原則 物件 (GPO) ,以查看 MDM 提供者中支援的設定,包括 Microsoft Intune。 它還顯示任何已過時的設定,或 MDM 提供者無法使用的設定。

Intune產品小組會更新對應邏輯。 更新發生時,會自動重新評估已淘汰的設定。 先前,您必須重新匯入 GPO。

如需 群組原則 分析和報告的詳細資訊,請參閱在 Microsoft Intune 中使用 群組原則 分析, (GPO) 分析您的內部部署組策略物件

適用於:

  • Windows 11
  • Windows 10

建立 Android (AOSP) 使用者相關聯裝置的使用規定

要求 Android (AOSP) 使用者在註冊其裝置之前,先在 Intune 公司入口網站 應用程式中接受您的條款和條件。 這項功能僅適用於公司擁有的使用者相關聯裝置。 如需在 Intune 中建立使用規定的詳細資訊,請參 閱使用者存取的條款及條件

對 Microsoft Intune 或 Microsoft Intune 註冊雲端應用程式強制執行 Microsoft Entra 使用規定

使用 Microsoft Intune 雲端應用程式和/或 Microsoft Intune 註冊雲端應用程式來強制執行條件式存取,Microsoft Entra 自動裝置註冊期間,iOS 和 iPadOS 裝置上的使用規定接受原則。 當您選取 [設定助理搭配新式驗證] 作為驗證方法時,即可使用這項功能。 這兩個雲端應用程式現在都可確保用戶在註冊期間和/或 公司入口網站 登入期間接受使用規定,如果您的條件式存取原則需要的話。

設定目錄中的新 macOS 設定

[ 設定目錄 ] 會列出您可以在裝置原則中設定的所有設定,而且全部位於一個位置。 當您建立設定類別目錄原則時,有新的設定可供macOS裝置使用, (>> 裝置組態建立>適用於配置檔類型) 的平臺>設定目錄macOS

新的設定包括:

  • > 網域 Email 網域

  • 列印列印 > :

    • 允許本機印表機
    • 默認印表機
      • 裝置 URI
      • 顯示名稱
    • 頁尾字型名稱
    • 頁尾字型大小
    • 列印頁尾
    • 列印 MAC 位址
    • 需要 管理員 才能新增印表機
    • 只顯示Managed印表機
    • 使用者印表機清單
      • 裝置 URI
      • 顯示名稱
      • 位置
      • Model
      • PPD URL
      • 印表機已鎖定
  • 配置檔移除密碼 > 移除密碼

  • 全域 HTTP Proxy:

    • 允許 Proxy Captive 登入
    • 允許 Proxy PAC 後援
    • Proxy PAC URL
    • Proxy 密碼
    • Proxy 伺服器
    • Proxy 伺服器埠
    • Proxy 類型
    • Proxy 用戶名稱

如需在 Intune 中設定設定目錄設定檔的詳細資訊,請參閱 使用設定目錄建立原則

裝置安全性

Red Hat Enterprise Linux 8.5 的 Microsoft Tunnel 支援

您現在可以使用 Red Hat Enterprise Linux (RHEL) 8.5 搭配 Microsoft Tunnel

為了支援 RHEL 8.5,我們也更新了 整備工具 (mst-readiness) ,並針對 Linux 核心中ip_tables模組是否存在進行新的檢查。 根據預設,RHEL 8.5 不會載入ip_tables模組。

對於未載入模組的Linux伺服器,我們提供了立即載入模組,以及設定Linux伺服器在開機時自動載入它們的 指示

Mobile Threat Defense 合作夥伴 Zimperium 現在可在 GCC High 租使用者中使用

Zimperium 現在是美國 GCC High 環境中的 Mobile Threat Defense (MTD) 合作夥伴。

透過這項支援,您可以在 GCC High 租使用者中啟用的 MTD 連接器清單中找到適用於 Zimperium 的 Intune 連接器。

GCC High 環境是較受管制的環境,只有 GCC High 環境所支援之 MTD 合作夥伴的連接器才可在其中使用。 如需 GCC High 租使用者中支援的詳細資訊,Microsoft Intune 適用於美國政府 GCC High 和 DoD 服務的說明

管理 Intune 傳送給第三方 MTD 合作夥伴之 iOS/iPadOS 裝置的應用程式清查數據

您現在可以設定 Intune 傳送給您所選第三方 Mobile Threat Defense (MTD) 合作夥伴的個人擁有 iOS/iPadOS 裝置的應用程式清查數據類型。

若要控制應用程式清查數據,請在合作夥伴的Mobile Threat Defense 連接器上,將下列設定設定為 MDM 合規性原則設定的一部分:

  • 在個人擁有的 iOS/iPadOS 裝置上傳送完整的應用程式清查數據

    此設定的選項包括:

    • 開啟 - 如果您的 MTD 合作夥伴同步處理應用程式數據,並從 Intune 要求 iOS/iPadOS 應用程式清單,則該清單會包含非受控應用程式 (未透過 Intune 部署的應用程式) 和透過 Intune 部署的應用程式。 此行為是目前的行為。
    • 關閉 - 將不會提供 Unmanaged 應用程式的相關數據,而且 MTD 合作夥伴只會收到有關透過 Intune 部署之應用程式的詳細數據。

對於公司裝置,受控和非受控應用程式的相關數據會繼續包含在 MTD 廠商對應用程式數據的要求中。

監視及疑難排解

遠端說明 正在 Microsoft Intune 系統管理中心移動

Microsoft Intune 系統管理中心的 [遠端說明] 頁面已移動,且其現在可直接在 [租使用者管理] 底下使用,而不是 [連接器和令牌]。 如需 遠端說明 的詳細資訊,請參閱使用 遠端說明

2022 年 1 月

應用程式管理

將 DMG 類型應用程式部署到受控 macOS 裝置

您可以使用必要的指派類型,從 Microsoft Intune 將 DMG 類型應用程式上傳並部署至受控 Mac。 DMG 是 Apple 磁碟映像檔案的擴展名。 DMG 類型應用程式是使用適用於 macOS 的 Microsoft Intune MDM 代理程式來部署。 您可以從 Microsoft Intune 系統管理中心新增 DMG 應用程式,方法是選取 [應用程式>] macOS[新增>macOS > 應用程式] (DMG) 。 如需詳細資訊,請參閱將macOS DMG應用程式新增至 Microsoft Intune

裝置管理

在建立 Windows VPN 設定檔時選擇使用者或裝置範圍

您可以為設定 VPN 設定的 Windows 裝置建立 VPN 設定檔 (>> 裝置組態建立>Windows 10 及更新版本,以用於設定檔) 的平台>>本VPN

當您建立設定檔時,請使用 [ 搭配使用者/裝置範圍使用此 VPN 配置檔 ] 設定,將設定檔套用至使用者範圍或裝置範圍:

  • 用戶範圍:VPN 配置檔會安裝在裝置上的用戶帳戶內。
  • 裝置範圍:VPN 配置檔會安裝在裝置內容中,並套用至裝置上的所有使用者。

現有的 VPN 設定檔將套用至其現有範圍,且不受這項變更影響。 所有 VPN 設定檔都會安裝在用戶範圍中,但已啟用裝置通道的配置檔 除外 ,這需要裝置範圍。

如需您目前可設定之 VPN 設定的詳細資訊,請參閱 使用 Intune 新增 VPN 連線的 Windows 裝置設定

適用於:

  • Windows 11
  • Windows 10

篩選條件已正式推出 (GA)

您可以使用篩選條件,在工作負載指派中包含或排除裝置, (如原則和應用程式,) 根據不同的裝置屬性。 篩選器現已正式推出 (GA) 。

如需篩選的詳細資訊,請 參閱在指派應用程式、原則和配置檔時使用篩選

Android Enterprise 裝置的自動裝置清除規則支援

Intune 支援建立規則,以自動移除看似非使用中、過時或沒有回應的裝置。 您現在可以將這些清除規則與先前不支援的 Android Enterprise 裝置搭配使用。 現在支援下列規則:

  • Android Enterprise 完全受控
  • Android Enterprise Dedicated
  • 使用工作配置檔的 Android Enterprise Corporate-Owned

若要深入瞭解清除規則,請參閱 使用清除規則自動刪除裝置

使用收集診斷,透過 Intune 遠端動作從 Windows 365 裝置收集更多詳細資料

Intune 收集診斷的遠端動作現在會從 Windows 365 (Coud-PC) 裝置收集更多詳細數據。 Windows 365 裝置的新詳細資料包含下列登錄資料:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\WebRTC Redirector
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Teams\

如需 Windows 365 裝置所支援遠端動作的相關信息,請參閱遠端管理 Windows 365 裝置

租使用者附加功能已正式推出 (GA)

下列 租使用者附加 功能現已正式推出:

  • 用戶端詳細資料
  • 應用程式
  • 裝置時間表
  • 資源總管
  • CMPivot
  • 指令碼
  • BitLocker 修復金鑰
  • 集合

部署前預覽篩選的裝置清單

現在,當您在 Microsoft Intune 中建立或編輯篩選時,您可以預覽已篩選的裝置清單。 新檢視不需要套用測試篩選器,因為您可以立即預覽篩選器對裝置的影響,並調整篩選規則以達到所需的結果。 如需在 Microsoft Intune 中使用篩選的詳細資訊,請參閱建立篩選

裝置安全性

iOS/iPadOS 適用於端點的 Microsoft Defender 應用程式中 Tunnel 用戶端功能的公開預覽

iOS/iPadOS 的 Microsoft Tunnel 用戶端功能正在移轉至 適用於端點的 Microsoft Defender 應用程式。 透過此預覽,您可以開始使用預覽版的 適用於端點的 Microsoft Defender 作為支援裝置的通道應用程式。 現有的 Tunnel 用戶端仍可供使用,但最終會淘汰,而改用適用於端點的 Defender 應用程式。

此公開預覽適用於:

  • iOS/iPadOS

在此預覽版中,您會從 Apple App Store 下載預覽版的 適用於端點的 Microsoft Defender,然後將支援的裝置從獨立通道用戶端應用程式移轉至預覽應用程式。 如需詳細資訊,請參閱移轉至 適用於端點的 Microsoft Defender 應用程式

新的帳戶保護原則,可在公開預覽的裝置上設定本機群組中的使用者

在公開預覽版中,您可以使用 Intune 帳戶保護原則的新配置檔來管理 Windows 10 和 11 個裝置上內建本機群組的成員資格。

每個 Windows 裝置都隨附一組內建的本機群組。 每個本機群組都包含一組在該群組內具有許可權的使用者。 使用新的本機使用者群組成員資格 (端點安全性帳戶保護原則的預覽) 配置檔,您可以管理哪些使用者是這些本機群組的成員。

若要設定本機群組成員資格,您可以選取要修改的內建本機帳戶,然後選擇要在群組中新增、移除或取代為其他用戶的使用者。 每個接收原則的裝置都會更新這些本機群組的成員資格。 修改每個裝置上的群組成員資格是使用原則 CSP - LocalUsersAndGroups 來完成。

若要深入瞭解,請 參閱管理 Windows 裝置上的本機群組

腳本/開發人員

Intune Data Warehouse 更新

實體applicationInventory已從 Intune Data Warehouse 中移除。 新的數據集現在可在UI和Intune的匯出API中使用。 如需詳細資訊,請參閱 使用圖形 API 匯出 Intune 報表

2021 年 12 月

應用程式管理

適用於 Microsoft 受控主畫面 應用程式的更多工作階段 PIN 限制

適用於 Android Enterprise 的 受控主畫面 應用程式現在可以對使用者的會話 PIN 強制執行更多限制。 具體而言,受控主畫面 現在提供:

  • 定義會話 PIN 長度下限的能力。
  • 定義用戶必須先成功輸入其會話 PIN 的嘗試次數上限,才能從 受控主畫面 註銷。
  • 定義複雜度值的能力,可限制使用者建立重複 (444) 或 (123、321、246) 模式排序的 PIN。

如需詳細資訊,請參閱使用 Intune 設定適用於 Android EnterpriseAndroid Enterprise 裝置設定的 Microsoft 受控主畫面 應用程式,以允許或限制功能

裝置設定

查看裝置組態配置檔中發生錯誤或衝突之配置檔數目的新選項

在 Intune 系統管理中心,有新的 [X 原則有錯誤或衝突] 選項。 當您選取此選項時,會自動移至 [裝置>監視器指>派失敗 ] 報告。 此報告可協助您針對錯誤和衝突進行疑難解答。

Intune 系統管理中心的下列位置提供此新選項:

  • 首頁
  • 儀表板

如需詳細資訊,請參閱監視 Microsoft Intune 中的裝置配置檔指派失敗報告

適用於:

  • Windows 11
  • Windows 10

iOS/iPadOS 和 macOS 裝置的新逾時和封鎖 iCloud 私人轉送設定

在 iOS/iPadOS 和 macOS 裝置上,您可以建立裝置限制原則來管理裝置上的功能 (>> 裝置設定建立>iOS/iPadOSmacOS,以進行平臺>裝置限制) 。

有新的設定:

  • iOS/iPadOS:
    • 封鎖 iCloud 私人轉送:在受監督的裝置上,此設定可防止使用者使用 iCloud 私人轉送 (開啟 Apple 的網站) 。
  • macOS
    • 封鎖 iCloud 私人轉送:在受監督的裝置上,此設定可防止使用者使用 iCloud 私人轉送 (開啟 Apple 的網站) 。
    • 逾時:使用者可以使用觸控標識符來解除鎖定其裝置,例如指紋。 使用此設定可要求使用者在閑置一段時間后輸入密碼。 默認的閑置期間為 48 小時。 閑置 48 小時後,裝置會提示輸入密碼,而不是 Touch ID。

適用於:

  • iOS/iPadOS 15 和更新版本
  • macOS 12 和更新版本

Android Enterprise 公司擁有且具有工作配置檔之裝置的新裝置限制設定

在 Android Enterprise 裝置上,您可以設定控制裝置上功能的設定, (>> 裝置設定建立>適用於配置檔類型>一) 之平台>裝置限制Android Enterprise

對於具有工作配置檔的 Android Enterprise 公司擁有裝置,有新的設定:

  • 搜尋工作連絡人,並在個人配置檔中顯示工作聯繫人來電者標識碼
  • 在工作和個人配置檔之間複製並貼上
  • 工作和個人配置檔之間的數據共用

如需您目前可設定之設定的詳細資訊,請參閱 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

適用於:

  • Android Enterprise 公司擁有的工作配置檔 (COPE)

美國政府 GCC High 和 DoD 支援設定目錄

設定目錄可在美國政府 GCC High 和 DoD 上取得及支援。

如需設定目錄及其功能的詳細資訊,請參閱 使用設定目錄在 Windows 和 macOS 裝置上設定設定

適用於:

  • macOS
  • Windows 11
  • Windows 10

針對 Android Enterprise 完全受控、專用和公司擁有的工作配置檔裝置,在 Wi-Fi 配置檔中輸入憑證通用名稱

在 Android Enterprise 裝置上,您可以建立 Wi-Fi 配置檔,以針對配置檔類型) 設定 (>>> 裝置設定建立平臺>完全受控、專用和 Corporate-Owned 工作配置檔>Wi-Fi 的企業 Wi-Fi 設定。

當您選取 [企業] 時,會有新的 Radius伺服器名稱 設定。 此設定是在客戶端驗證期間,Radius Server 向 Wi-Fi 存取點呈現的憑證中所使用的 DNS 名稱。 例如,輸入 Contoso.comuk.contoso.comjp.contoso.com

如果您有多個Radius伺服器在其完整功能變數名稱中具有相同的 DNS 後綴,則只能輸入後綴。 例如,您可以輸入 contoso.com

當您輸入此值時,用戶裝置可以略過連線到 Wi-Fi 網路時有時會顯示的動態信任對話方塊。

您需要知道的事項:

  • 以 Android 11 或更新版本為目標的新 Wi-Fi 設定檔可能需要設定此設定。 否則,裝置可能不會連線到您的 Wi-Fi 網路。

如需您目前可設定之設定的詳細資訊,請參閱 Android Enterprise 完全受控、專用和 Corporate-Owned 工作設定檔 Wi-Fi 設定

適用於:

  • Android Enterprise 公司擁有的工作配置檔 (COPE)
  • Android Enterprise 公司擁有完全受控 (COBO)
  • (COSU) 的 Android Enterprise 專用裝置

Windows 裝置上適用於 Microsoft Edge 96、97 和 Microsoft Edge 更新程式的新系統管理範本設定

在 Intune 中,您可以使用系統管理範本 (裝置組態建立> Windows 10 及更新版本設定 Microsoft Edge 設定>>,以供設定檔類型) 的平臺>>本系統管理範本使用。

Microsoft Edge 96、97 和 Microsoft Edge 更新程式有新的系統管理範本設定,包括 目標通道覆寫 支援。 使用目標通道覆寫,讓使用者取得可使用 群組原則 或透過 Intune 設定的擴充穩定發行週期選項。

如需詳細資訊,請參閱:

適用於:

  • Windows 11
  • Windows 10
  • Microsoft Edge

裝置註冊

將裝置類型篩選套用至 Windows 和 Apple 註冊限制原則 (預覽)

使用 註冊限制 中的新指派篩選條件,根據裝置類型來包含或排除裝置。 例如,您可以套用 operatingsystemSKU 指派篩選條件,允許個人裝置,同時封鎖執行 Windows 10 家用版 的裝置。 篩選條件可以套用至 Windows、macOS 和 iOS 註冊原則,Android 支援將於稍後推出。 篩選也會啟用註冊限制的新設定體驗。 如需如何建立篩選的詳細資訊,請參閱 建立篩選。 如需搭配註冊限制使用篩選的詳細資訊,請參閱 設定註冊限制

在 Windows 註冊狀態頁面配置檔指派上使用篩選

篩選條件可讓您根據不同的裝置屬性,在原則或應用程式指派中包含或排除裝置。 當您建立 ESP) 設定檔 (註冊狀態頁面時,您可以在指派設定檔時使用篩選。 [ 所有使用者 ] 和 [ 所有裝置 ] 指派選項也可供使用。 在 Microsoft Intune 系統管理中心,選取 [裝置>註冊裝置>註冊狀態頁面>建立]。 如需篩選的詳細資訊,請 參閱在指派應用程式、原則和配置檔時使用篩選。 如需 ESP 設定檔的詳細資訊,請 參閱設定註冊狀態頁面

裝置管理

從系統管理中心內啟動 遠端說明

您現在可以從 Microsoft Intune 系統管理中心內啟動 遠端說明。 若要這樣做,請在系統管理中心移至 [ 所有裝置 ],然後選取需要協助的裝置。 然後選取 [新增 遠端說明 會話],其可從裝置檢視頂端的遠端動作列取得。

端點分析篩選

您現在可以 將篩選條件新 增至 端點分析報告中的數據 表。 使用篩選可讓您探索環境中的趨勢,或找出潛在問題。

使用篩選在系統管理中心指派端點分析主動式補救腳本 - 公開預覽

在 Intune 系統管理中心,您可以建立篩選,然後在指派應用程式和原則時使用這些篩選。 您可以使用篩選來指派下列原則:

如需篩選的詳細資訊,請 參閱在指派應用程式、原則和配置檔時使用篩選

適用於:

  • Windows 11
  • Windows 10

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Groupdolists by Centrallo LLC

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式

BlackBerry – 新的行動威脅防禦合作夥伴

您現在可以使用 Cylance AI) 提供的 BlackBerry Protect Mobile ( ,作為與 Intune (MTD) 合作夥伴的整合式行動威脅防禦。 藉由在 Intune 中連線 BlackBerry Protect Mobile MTD 連接器,您可以使用以風險評估為基礎的條件式存取來控制行動裝置對公司資源的存取。

如需詳細資訊,請參閱:

監視及疑難排解

適用於 Windows 10 診斷的新事件查看器

我們已將新的事件查看器新增至 Windows 裝置診斷,稱為具有進階 安全性/防火牆的 Microsoft-Windows-Windows 防火牆。 事件查看器可協助您針對防火牆問題進行疑難解答。 如需 Windows 裝置診斷的詳細資訊,請參閱 從 Windows 裝置收集診斷

公司入口網站 網站中的裝置合規性狀態

終端使用者可以更輕鬆地從 公司入口網站 網站查看其裝置的合規性狀態。 終端使用者可以流覽至 公司入口網站 網站,然後選取 [裝置] 頁面以查看裝置狀態。 裝置的狀態會是 [可以存取公司資源]、 [檢查存取權] 或 [無法存取公司資源]。 如需詳細資訊,請參閱從 公司入口網站 網站管理應用程式如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

2021 年 11 月

應用程式管理

啟用受控Google Play 應用程式的應用程式更新優先順序

您可以使用工作配置檔 Android Enterprise 裝置,在專用、完全受控且公司擁有的受控 Google Play 應用程式上設定更新優先順序。 選取 [高優先順序 ] 以在開發人員發佈更新后立即更新應用程式,不論裝置上的收費狀態、Wi-Fi 功能或用戶活動為何。 如需詳細資訊,請參閱使用 Intune 將受管理的 Google Play 應用程式新增至 Android Enterprise 裝置

清除使用共用裝置模式註冊的 Android Enterprise 專用裝置會話之間的應用程式數據 (公開預覽)

使用 Intune,您可以選擇清除尚未與共用裝置模式整合之應用程式的應用程式數據,以確保登入會話之間的用戶隱私權。 使用者必須從已與 Microsoft Entra 共用裝置模式整合的應用程式起始註銷,IT 指定的應用程式才能清除其數據。 此功能適用於在Android 9或更新版本上以共用裝置模式註冊的Android Enterprise專用裝置。

匯出基礎探索到的應用程式清單數據

除了匯出摘要探索到的應用程式清單數據之外,您還可以匯出更廣泛的基礎數據。 目前的摘要匯出體驗提供摘要的匯總數據,但新的體驗也會提供原始數據。 原始數據匯出會提供整個數據集,用來建立摘要匯總報表。 原始數據是針對該裝置探索到的每個裝置和每個應用程式的清單。 這項功能已新增至 Intune 控制台,以取代 Intune Data Warehouse 應用程式清查數據集。 在 [Microsoft Intune 系統管理中心] 中,選取 [應用程式>監視探索>到的應用程式>出] 以顯示匯出選項。 如需詳細資訊,請參閱 Intune 探索到的應用程式使用圖形 API 匯出 Intune 報表

顯示平臺特定應用程式清單時的篩選改善

在 Microsoft Intune 系統管理中心顯示平臺特定應用程式清單時,已改善篩選條件。 之前,瀏覽至平臺特定應用程式清單時,您無法在清單上使用 應用程式類型 篩選。 透過這項變更,您可以套用篩選 (包括應用程式 類型指派狀態 篩選器,) 平臺特定的應用程式清單上。 如需詳細資訊,請參閱 Intune 報告

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • PenPoint by Pen-Link, Ltd.

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

Win32 應用程式取代和相依性關聯性的新 RBAC 許可權

已新增新的 Microsoft Intune 許可權,以建立和編輯 Win32 應用程式與其他應用程式的取代和相依性關聯性。 選取 [關聯],即可在 [ 行動應用程式] 類別下取得權 。 從 2202 服務版本開始,Intune 系統管理員在 Microsoft Intune 系統管理中心建立或編輯 Win32 應用程式時,需要此許可權才能新增取代和相依性應用程式。 若要在系統管理中心 Microsoft Intune 找到此許可權,請選擇 [租用戶系統管理>角色>][所有角色>建立]。 此權限已新增至下列內建角色:

  • 應用程式管理員
  • 學校系統管理員

如需詳細資訊,請 參閱在 Intune 中建立自定義角色

裝置 安裝狀態 報表中不再顯示不適用的狀態專案

根據選取的應用程式, 裝置安裝狀態 報告會提供所選應用程式的裝置和狀態資訊清單。 與裝置相關的應用程式安裝詳細數據包括 UPN平臺版本狀態狀態詳細數據上次簽入。 如果裝置的平臺與應用程式的平臺不同,而不是針對專案的 [狀態] 詳細數據顯示 [不適用],則不會再提供該專案。 例如,如果已選取 Android 應用程式,且應用程式是以 iOS 裝置為目標,而不是提供 不適用 的裝置狀態值,則該專案的裝置狀態將不會顯示在 [ 裝置安裝狀態 ] 報告中。 若要尋找此報告,請在系統管理中心 Microsoft Intune 選取 [應用程式>][所有應用程式>][選取應用程式>裝置安裝狀態]。 如需詳細資訊,請參閱操作 ) (應用程式的裝置安裝狀態報告

Edge 95 和 Edge 更新程式的新 ADMX 設定

Edge 95 和 Edge 更新程式的新 ADMX 設定已新增至系統管理範本。 這些設定包含「目標通道覆寫」的支援,可讓客戶在任何時間點使用 群組原則 或透過 Intune 選擇加入擴充穩定發行週期選項。 在系統管理中心 Microsoft Intune,選取 [裝置>>設定建立]。 然後,選取 [平臺>Windows 10 及更新版本] 和 [配置檔>>本] [系統管理範本]。 如需詳細資訊,請參閱 Microsoft Edge 通道概觀Microsoft Edge 瀏覽器原則檔在 Microsoft Intune 中設定 Microsoft Edge 原則設定

我們已將新的隱私權同意畫面新增至 Android 公司入口網站,以符合某些應用程式市集的隱私權需求,例如中國中的應用程式市集。 人員 第一次從這些商店安裝 公司入口網站 會在安裝期間看到新的畫面。 畫面會說明 Microsoft 收集的資訊,以及其使用方式。 人員必須先同意條款,才能使用應用程式。 在此版本之前安裝 公司入口網站 的使用者將不會看到新的畫面。

更新自定義通知的 Android 公司入口網站 和 Intune 應用程式

我們已針對 Intune 2111 年 11 月 () 服務版本的自定義通知進行服務端更新。 為了獲得最佳的用戶體驗,自定義通知會要求使用者更新至 2021 年 10 月發行的 Android 公司入口網站 (5.0.5291.0 版,) 或 Android Intune 應用程式 (2021 年 9 月發行的版本 2021.09.04) 。 如果使用者未在 Intune 的 2111 年 11 月 (2111) 版服務發行之前更新,且已傳送自定義通知,則會收到更新應用程式以檢視通知的通知。 更新應用程式之後,他們會在應用程式的 [通知] 區段中看到您的組織所傳送的訊息。 如需詳細資訊,請 參閱在 Intune 中傳送自定義通知

裝置管理

每個裝置評分的端點分析

端點分析中的每個裝置分數現在已不在預覽狀態且正式推出。 每個裝置分數可協助您識別可能會影響用戶體驗的裝置。 檢閱每個裝置的分數,可協助您在呼叫技術支持人員之前,先找出並解決用戶問題。

保護保留現在會顯示在功能更新失敗報告中

當裝置因為保護保留而無法安裝 Windows 更新時,您可以在 Microsoft Intune 系統管理中心>功能更新失敗報告中檢視有關該保留的詳細數據。

具有保護保留的裝置會顯示為在報告中發生錯誤的裝置。 當您檢視這類裝置的詳細數據時,[ 警示訊 息] 資料行會顯示 [ 保護保留],而 [ 部署錯誤碼 ] 資料行會顯示保護保留的標識符。

Microsoft 偶爾會保留保護措施,以在已知該裝置上偵測到某個項目導致更新後體驗不佳時,封鎖在裝置上安裝更新。 例如,軟體或驅動程式是放置保護措施的常見原因。 保留會保持就緒狀態,直到基礎問題解決,且更新可以安全安裝為止。

若要深入瞭解主動式保護保留和其解決方式的期望,請移至 Windows 版本健康情況儀錶板,網格 https://aka.ms/WindowsReleaseHealth為 。

管理發行前版本組建之 Windows 匯報 的改善

我們已改善使用更新通道進行 Windows 10 和更新版本的體驗,以管理發行前版本組建的 Windows 更新。 改善包括:

  • 在更新通道的 [更新通道設定] 頁面上,啟用發行前版本組建是 的新控件。 使用此設定來設定指派的裝置,以更新為發行前版本組建。 您可以選取下列發行前版本組建清單:

    • 搶先版通道
    • 開發人員通道
    • Windows 測試人員 - 版本預覽

    如需發行前版本組建的詳細資訊,請參閱 Windows 測試人員 網站。

  • 針對 Windows 10 和更新版本原則指派更新通道的裝置,在 Autopilot 期間將不再變更 ManagePreviewBuilds 設定。 當此設定在 Autopilot 期間變更時,會強制另一個裝置重新啟動。

使用更新通道進行 Windows 10 和更新版本,以升級至 Windows 11

針對 Windows 10 和更新版本,有更新通道的新設定。 此設定可將符合資格的裝置從 Windows 10 升級至 Windows 11:

  • 將 Windows 10 裝置升級至最新 Windows 11 版本:根據預設,此設定會設定為 [否]。 當設定為 [是] 時,符合資格的 Windows 10 裝置,可將此原則更新更新為最新的 Windows 11 組建。

    當設定為 [是] 時,Intune 會顯示一個資訊方塊,確認藉由部署此設定,您接受升級裝置的 Microsoft 授權條款。 資訊方塊也包含 Microsoft 授權條款的連結。

如需更新通道的詳細資訊,請參閱更新通道以取得 Windows 10 及更新版本

已從 UI 中移除 iOS/iPadOS 的停用啟用鎖定遠端裝置動作

Intune 不再提供停 用啟用鎖定 的遠端裝置動作。 您可以略過啟用鎖定,如使用 Intune 在受監督的 iOS/iPadOS 裝置上停用啟用鎖定中所述。

因為停用 iOS/iPadOS 啟用鎖定 功能的動作未如預期般運作,所以會移除此遠端動作。

安全性基準的 匯報

我們有一組 安全性基準的更新,可新增下列設定:

  • Windows 10 和更新版本 (的安全性基準適用於 Windows 10 和 Windows 11) 新的基準版本為 2021 年 11 月,並將 Microsoft 瀏覽器中使用的掃描腳本新增至 Microsoft Defender 類別。 此基準沒有其他變更。

  • Windows 365 安全性基準 (預覽) 新的基準版本為 2110 版,並新增下列兩個設定,但不進行其他變更:

    • Microsoft 瀏覽器中使用的掃描腳本會新增至 Microsoft Defender 類別。
    • 啟用竄改保護以防止停用 Microsoft Defender 會新增至 Windows 安全性,這是使用此基準版本新增的新類別。

規劃將 基準更新 為最新版本。 若要瞭解版本之間的變更,請參閱 比較基準版本 以瞭解如何匯出顯示變更的 .CSV 檔案。

針對公開預覽 (Windows 10/11 裝置使用裝置合規性的自定義設定)

作為公開預覽,Windows 10 和 Windows 11 裝置的裝置合規性政策支援將自定義設定新增至裝置合規性政策。 自定義設定的結果會顯示在 Microsoft Intune 系統管理中心,以及其他合規性政策詳細數據。

若要使用自定義設定,您可以建立下列專案並將其新增至系統管理中心,以啟用自定義合規性設定:

  • JSON 檔案 – JSON 檔案會詳細說明自定義設定及其合規性值。 JSON 也包含您提供給使用者的資訊,說明如何在不符合規範時補救設定。
  • PowerShell 腳本 – PowerShell 腳本會部署到其執行所在的裝置,以判斷 JSON 檔案中定義的設定狀態,並將它們回報給 Intune。

準備好 JSON 和腳本之後,您就可以建立包含自定義設定的標準合規性原則。 您可以 在名為自定義合規性的新合規性設定類別中找到包含自定義設定的選項。

若要深入瞭解,包括的範例。JSON 和 PowerShell 腳本,請參閱 自定義合規性設定

適用於 Windows 10 及更新版本的功能更新的新排程選項

我們新增了三個首度發行選項,以支援改善從適用於 Windows 10 和更新版本的功能更新原則更新的排程,以供您的裝置安裝。 這些新選項包括:

  • 儘快提供更新 - 提供更新沒有任何延遲,這是先前的行為。
  • 在特定日期提供更新 - 使用此選項,您可以選取 Windows Update 接收此原則的裝置提供此更新的第一天。
  • 逐漸提供更新 - 使用此選項時,Windows Update 將接收此原則的裝置分成不同的群組,這些群組會根據開始群組時間、結束群組時間和群組之間的等候天數來計算。 接著,Windows Update 會一次一個地為這些群組提供更新,直到提供更新的最後一個群組為止。 此程式有助於將更新的可用性分散到您設定的時間。 相較於同時提供更新給所有裝置,它可以減少對網路的影響。

如需詳細資訊,包括漸進式可用性的詳細數據,請參閱 Windows 匯報 的推出選項

Microsoft Intune 系統管理中心提供 Windows 裝置的新詳細數據

現在會收集 Windows 10 和 Windows 11 裝置的下列詳細數據,並可在 Microsoft Intune 系統管理中心的 [裝置詳細數據] 窗格上檢視:

  • 系統管理 BIOS 版本
  • TPM 製造商版本
  • TPM 製造商標識碼

當您從 [所有裝置] 窗格出詳細數據時,也會包含這些詳細數據。

共用 iPad 的設定現已正式推出

四個共用的 iPad 設定現在已不在預覽狀態,且在建立 Apple 註冊配置檔時已正式推出。 這些設定會在自動裝置註冊期間套用 (ADE) 。

針對共用 iPad 模式中的 iPadOS 14.5 和更新版本:

  • 只需要共用 iPad 暫存設定:設定裝置,讓使用者只看到來賓版本的登入體驗,而且必須以來賓使用者身分登入。 他們無法使用受控 Apple ID 登入。
  • 暫存會話註銷之前,閑置的秒數上限:如果在指定的時間之後沒有任何活動,暫存會話會自動註銷。
  • 在使用者會話註銷之前,閑置的秒數上限:如果在指定的時間之後沒有任何活動,用戶會話會自動註銷。

針對共用 iPad 模式中的 iPadOS 13.0 和更新版本:

  • 共用 iPad 需要密碼之前,螢幕鎖定後的秒數上限:如果螢幕鎖定超過此時間量,則需要裝置密碼才能解除鎖定裝置。

如需以共用 iPad 模式設定裝置的詳細資訊,請參閱 建立 Apple 註冊設定檔

複製設定目錄設定檔

設定目錄設定檔現在支援重複。 若要建立現有配置檔的複本,請選取 [ 重複]。 複本包含與原始配置檔相同的設定組態和範圍標籤,但未附加任何指派。 如需設定目錄的詳細資訊,請參閱 使用設定目錄在 Windows 和 macOS 裝置上設定設定

從任何地方工作報表

處工作報告已取代端點分析的建議軟體報告。 隨 處工作 報告包含 Windows、雲端管理、雲端身分識別和雲端布建的計量。 如需詳細資訊,請 參閱隨處工作報表一 文。

Android 裝置系統管理員已淘汰的位置

在 2021 年 10 月,針對註冊為 Android 裝置系統管理員的裝置,在裝置合規性政策中使用位置的支援已被取代。 使用位置通常稱為網路隔離。

對於 Android 裝置系統管理員而言,依賴網路柵欄功能的原則和相依性已無法再運作。 如先前所宣布,我們正重新構想網路隔離的支援。 當有詳細資訊可用時,將會共用更多資訊。

裝置安全性

檢視租用戶連結裝置的 BitLocker 修復金鑰

您現在可以在 Microsoft Intune 系統管理中心檢視租用戶連結裝置的 BitLocker 修復金鑰。 復原金鑰會繼續儲存在內部部署,以供租用戶連結的裝置使用,但系統管理中心的可見度旨在協助系統管理中心內的技術服務人員案例。

若要檢視金鑰,您的 Intune 帳戶必須具有 Intune RBAC 許可權,才能檢視 BitLocker 金鑰,而且必須與具有集合角色 Configuration Manager 相關內部部署許可權的內部部署使用者相關聯,並具有讀取 BitLocker 修復密鑰許可權的許可權

具有正確許可權的使用者可以透過移至 [ 裝置>] [Windows 裝置>] 選取裝置>修復金鑰來檢視金鑰。

Configuration Manager 執行 2107 版或更新版本的網站支援這項功能。 針對執行 2107 版的月臺,您必須安裝更新匯總,以支援已加入 Microsoft Entra 裝置。 如需詳細資訊,請 參閱 KB11121541

新增至設定目錄的 BitLocker 設定

我們已將 9 個先前僅在 群組原則 (GP) 中使用的 BitLocker 設定新增至 Microsoft Intune 設定目錄。 若要存取這些設定,請移至 [裝置>設定],併為執行 Windows 10 及更新版本的裝置建立設定目錄配置檔。 然後在設定目錄中搜尋 BitLocker ,以檢視與 BitLocker 相關的所有設定。 如需設定目錄的詳細資訊,請參閱 使用設定目錄建立原則。 新增的設定包括:

  • 為您的組織提供唯一標識碼
  • 在固定數據磁碟驅動器上強制執行磁碟驅動器加密類型
  • 允許符合 InstantGo 或 HSTI 規範的裝置退出宣告預先啟動 PIN
  • 允許增強型 PIN 以啟動
  • 不允許標準使用者變更 PIN 或密碼
  • 啟用需要在平板上預先啟動鍵盤輸入的 BitLocker 驗證
  • 在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型
  • 控制卸除式磁碟驅動器上的 BitLocker 使用
  • 在抽取式數據磁碟驅動器上強制執行磁碟驅動器加密類型

使用適用於端點的Defender進行安全性管理 (公開預覽)

這項功能處於公開預覽狀態,將在未來幾周逐步推出給租使用者。 您可以在 Microsoft Intune 系統管理中心和 適用於端點的 Microsoft Defender 中顯示相關的切換時,確認您的租使用者已收到這項功能。

適用於端點的 Microsoft Defender 的安全性管理是新的設定通道。 使用此通道來管理未註冊 Microsoft Intune 之裝置上 適用於端點的 Microsoft Defender (MDE) 的安全性設定。 在此案例中,它是裝置上的適用於端點的 Defender,可擷取、強制執行和報告您從 Microsoft Intune 部署的適用於端點的 Defender 原則。 裝置已加入您的 Microsoft Entra ID,而且也會顯示在 Microsoft Intune 系統管理中心,以及您使用 Intune 和 Configuration Manager 管理的其他裝置。

如需詳細資訊,請參閱使用 Microsoft Intune 管理裝置上的 適用於端點的 Microsoft Defender

監視及疑難排解

遠端說明 應用程式可作為公開預覽

作為公開預覽版,您可以使用 遠端說明 應用程式搭配您的 Intune 租使用者。 透過 遠端說明,直接向 Azure Active 進行驗證的使用者可以從遠端協助其他人,方法是連接裝置之間的 遠端說明 工作話。

透過 Intune 角色型存取控制所管理 遠端說明 中的許可權,您可以控制:

  • 誰有許可權可協助其他人
  • 他們可以在協助其他人時採取的動作

遠端說明 的功能包括:

  • 為您的租用戶啟用 遠端說明 –如果您選擇開啟 遠端說明,則會在全租用戶中啟用其使用。
  • 需要組織登入 - 若要使用 遠端說明,協助程式和共用者都必須使用您組織的 Microsoft Entra 帳戶登入。
  • 搭配未註冊的裝置使用 遠端說明 – 您可以選擇允許未向 Intune 註冊的裝置提供協助。
  • 合規性警告 - 連線到裝置之前,如果協助程式不符合其指派的原則,則會看到該裝置的不符合規範警告。 此警告不會封鎖存取,但會提供在會話期間使用敏感數據風險的透明度,例如系統管理認證。
  • 角色型訪問控制 – 系統管理員可以設定 RBAC 規則,以決定協助程式的存取範圍,以及他們在提供協助時可採取的動作。
  • 提高許可權 - 必要時,具有正確 RBAC 許可權的協助程式可以與共用者電腦上的 UAC 提示互動,以輸入認證。
  • 監視作用中 遠端說明 會話,並檢視過去會話的詳細數據 – 在 Microsoft Intune 系統管理中心,您可以檢視報表,其中包含誰協助誰、在哪個裝置上,以及多久時間的詳細數據。 您也會找到作用中工作階段的詳細資料。

這項功能將於下一周推出,且應該很快就會可供您的租使用者使用。 如需詳細資訊,請參閱使用 遠端說明

MDM 支援在 群組原則 分析工具中自動重新整理數據

現在,每當 Microsoft 對 Intune 中的對應進行變更時,GP 分析工具中的 [MDM 支援 ] 資料行就會自動更新以反映變更。 自動化是與先前行為相較的改進,需要您將 群組原則 物件重新匯入 (GPO) 以重新整理數據。 如需 群組原則 分析的詳細資訊,請參閱使用 群組原則 分析

2021 年 10 月

應用程式管理

您可以透過應用程式保護原則 (應用程式) 設定,為iOS/IPadOS 應用程式設定受控通用連結和通用連結豁免。 受控通用連結可讓 HTTP/s 鏈接開啟至已註冊的 APP 受保護應用程式,而不是受保護的瀏覽器。 通用連結豁免可讓 HTTP/s 鏈接開啟至已註冊未受保護的應用程式,而不是受保護的瀏覽器。 如需詳細資訊,請 參閱數據傳輸通用連結

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Appian Corporation 的適用於 Intune 的 Appian
  • SpaceConnect Pty Ltd 的 Space Connect
  • AssetScan For Intune by Align

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

Android 個人擁有和公司擁有工作配置檔的連線應用程式支援

您現在可以允許使用者針對支援的應用程式開啟連線應用程式體驗。 此應用程式組態設定可讓使用者跨工作和個人應用程式實例連線應用程式資訊。 在 Microsoft Intune 系統管理中心,選擇 [應用程式>應用程式設定原則>][新增>受控裝置]。 如需詳細資訊,請 參閱為受控 Android Enterprise 裝置新增應用程式設定原則

改善在 Android 公司入口網站 應用程式中儲存記錄時的流程

在 Android 公司入口網站 應用程式中,當使用者下載 Android 公司入口網站 記錄的複本時,他們現在可以選擇要儲存記錄檔的資料夾。 若要儲存 Android 公司入口網站 記錄,用戶可以選取 [設定>診斷記錄]> [儲存記錄]

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • iAnnotate for Intune/O365 by Branchfire, Inc.
  • Intune by Intellect Automation International Pty Limited 的儀錶流程
  • HowNow by Wonderush Limited

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

裝置註冊

使用者指派

上周我們在 Autopilot 的使用者註冊期間變更了驗證體驗。 這項變更會影響所有 Autopilot 部署,其中使用者會在完成註冊之前指派給特定裝置。

一次性自我部署和預先布建

我們已變更 Windows Autopilot 自我部署模式和預先布建模式體驗,並在裝置重複使用程式中新增刪除裝置記錄的步驟。 這項變更會影響 Autopilot 配置檔設定為自我部署或預先布建模式的所有 Windows Autopilot 部署。 這項變更只會在裝置重複使用或重設並嘗試重新部署時影響裝置。 如需詳細資訊,請參閱 更新 Windows Autopilot 的登錄和部署體驗

裝置管理

拿掉特定 Android Enterprise 裝置上的 Wi-Fi MAC 位址

Intune 將不再針對新註冊的個人擁有工作配置檔裝置,以及由執行 Android 9 和更新版本的裝置系統管理員所管理的裝置顯示 Wi-Fi MAC 位址。 Google 要求所有應用程式更新在 2021 年 11 月前以 API 30 為目標。 透過這項變更,Android 會防止應用程式收集裝置所使用的 MAC 位址。 如需詳細資訊,請參閱 硬體裝置詳細數據

使用功能 匯報 將裝置升級至 Windows 11

您可以使用 Windows 10 和更新版本原則的功能更新,將符合 Windows 11 最低需求的裝置升級為 Windows 11。 只要設定新功能更新原則,指定可用的 Windows 11 版本,就如同您想要部署的功能更新一樣簡單。

如需詳細資訊,請參閱將裝置升級至 Windows 11

Windows 11 硬體整備深入解析

端點分析中的隨處工作報告現在提供 Windows 11 硬體整備深入解析。 您可以快速判斷有多少已註冊的裝置符合 Windows 11 的最低系統需求,以及哪些需求是組織內最熱門的阻礙。 深入瞭解 Windows 11 硬體整備狀態的裝置層級檢視。 如需詳細資訊,請參閱 Windows 11 硬體整備。

在 Microsoft Intune 中介紹 Microsoft Surface 管理入口網站

由於我們持續致力於為商業客戶帶來最佳的體驗,我們與整個 Microsoft 的小組合作,以簡化 Surface 管理 Microsoft Intune 內的單一檢視。

如果您領導具有數千個裝置的大型組織,或管理小型企業的IT,您可以深入瞭解所有Surface裝置的健康情況。 在此入口網站中,您也可以監視裝置保固和支援要求。 Microsoft Surface 管理入口網站現在可供美國客戶使用,稍後會在全球推出。 如需 Microsoft Surface 和新管理入口網站的最新資訊,請遵循 Surface IT 專業人員部落格

封鎖或允許Android Enterprise公司擁有之工作配置檔裝置的個人應用程式

在裝置設定中,您可以建立將在裝置上封鎖或允許的個人應用程式清單。 您可以選擇將設定保留為未設定,或在個人設定檔中建立已封鎖或允許的應用程式清單。 選取 [裝置>][Android> 組態配置檔>>][建立新原則],即可在 Microsoft Intune 系統管理中心取得此設定。 如需 Android Enterprise 公司擁有之工作設定檔裝置設定的相關信息,請參閱 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

在 iOS/iPadOS 和 macOS 上設定 Kerberos 單一登錄擴充功能時的新設定

在 iOS/iPadOS 和 macOS 裝置上設定 Kerberos SSO 擴充功能時,有新的裝置功能設定可供使用。 在 Microsoft Intune 系統管理中心中,選擇 [裝置>iOS/iPadOS] 或 [macOS> 組態設定檔>建立>新原則>] 選取 [配置檔>的裝置功能][單一登錄應用程式延伸>模組 Kerberos] 作為 [SSO 應用程式延伸模組類型]。 如需詳細資訊,請參閱 Intune 中的 iOS/iPadOS 裝置功能設定macOS 裝置功能設定

公開預覽中四個新的共用 iPad 註冊設定

Intune 中有四個新的共用 iPad 設定可供公開預覽。 這些設定會在自動裝置註冊時套用。

針對共用 iPad 模式中的 iPadOS 14.5 和更新版本:
- 只需要共用 iPad 暫存設定:設定裝置,讓使用者只看到來賓版本的登入體驗,而且必須以來賓使用者身分登入。 他們無法使用受控 Apple ID 登入。 - 在暫存會話註銷之前,閑置的秒數上限:如果在指定的時間之後沒有任何活動,暫存會話會自動註銷。- 在使用者會話註銷之前,閑置的秒數上限:如果在指定的時間之後沒有任何活動,用戶會話會自動註銷。

針對共用 iPad 模式中的 iPadOS 13.0 和更新版本:
- 共用 iPad 需要密碼之前,螢幕鎖定後的秒數上限:如果螢幕鎖定超過此時間量,則需要裝置密碼才能解除鎖定裝置。

適用於公司裝置的 Android (AOSP) 管理簡介

您可以使用 Microsoft Intune 來管理在 Android 開放原始碼專案 (AOSP) 平台上執行的公司擁有裝置。 Microsoft Intune 目前僅支援 RealWear 裝置的新 Android (AOSP) 管理選項。 管理功能包括:

  • 將裝置布建為使用者相關聯的裝置或共享裝置。
  • 部署裝置組態和合規性配置檔。

如需如何設定 Android (AOSP) 管理的詳細資訊,請參閱 註冊 Android 裝置

裝置安全性

Windows Autopilot 註冊流程的 MFA 變更

為了改善 Microsoft Entra ID的基準安全性,我們在裝置註冊期間變更了多重要素驗證 (MFA) 的 Microsoft Entra 行為。 先前,如果使用者已完成 MFA 作為其裝置註冊的一部分,則 MFA 宣告會在註冊完成後轉移到用戶狀態。 接下來,在註冊之後不會保留 MFA 宣告,而且系統會提示使用者針對原則要求 MFA 的任何應用程式重做 MFA。 如需詳細資訊,請參閱 註冊流程的 Windows Autopilot MFA 變更

管理 Windows 10 企業版 多重會話 VM 的 Windows 10 安全性更新

您現在可以使用設定目錄來管理 Windows Enterprise 多重工作階段 VM 品質 (安全性) 更新的 Windows Update 設定。 若要尋找設定,您可以在設定目錄中搭配使用多重工作階段 VM:

  1. 為使用設定目錄的 Windows 10 建立裝置設定原則,並設定企業多重會話的 [設定] 篩選器。

  2. 接下來,展開 [商務用 Windows Update] 類別,以從多重會話 VM 可用的更新設定中選取。

設定包括:

2021 年 9 月

應用程式管理

可供更好的目標應用程式保護原則使用的新應用程式類別

我們已藉由建立可讓您更輕鬆且快速地以應用程式保護原則為目標的應用程式類別,來改善 Microsoft Intune的 UX。 這些類別為 [所有公用應用程式]、[ Microsoft 應用程式] 和 [ 核心 Microsoft 應用程式]。 建立目標應用程式保護原則之後,您可以選取 [ 檢視目標應用程式清單], 以檢視受此原則影響的應用程式清單。 由於支援新的應用程式,我們會動態更新這些類別以適當地包含這些應用程式,而您的原則將會自動套用至您所選類別中的所有應用程式。 如有需要,您也可以繼續以個別應用程式的原則為目標。 如需詳細資訊,請參閱如何建立和指派應用程式保護原則和使用Intune建立和部署 Windows 資訊保護 (WIP) 原則

同步 iOS/iPadOS/macOS 公司入口網站 版本

iOS/iPadOS 公司入口網站 和 macOS 公司入口網站 的版本會同步至下一個版本的 5.2019 版。 接下來,iOS/iPadOS 和 macOS 公司入口網站 應用程式將具有相同的版本號碼。 如需詳細資訊,請參閱如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

裝置設定

適用於內建應用程式的新 iOS 裝置限制設定,文件檢視

您可以在 iOS 裝置上設定兩個新的裝置限制設定, (裝置>iOS/iPadOS>組態設定檔>建立>新原則,然後針對 Intune 中的配置檔) 選取 [裝置限制]。

  • 封鎖 Siri 進行翻譯 (內建應用程式) :停用與 Siri 伺服器的連線,讓使用者無法使用 Siri 翻譯文字。 適用於 iOS 和 iPadOS 15 版和更新版本。
  • 允許受管理的開啟 (App Store、檔檢視、遊戲) 影響複製/貼上:根據您設定的封鎖在非受控應用程式中檢視公司檔的方式強制執行複製/貼上限制,以及封鎖在公司應用程式中檢視非公司檔

如需 Intune 中 iOS 裝置限制設定檔的詳細資訊,請參閱 使用 Intune 允許或限制功能的 iOS 和 iPadOS 裝置設定

新的 macOS 裝置限制設定會封鎖使用者清除裝置上的所有內容和設定

有新的 macOS 裝置限制設定可 (裝置>macOS> 組態配置檔>建立>新原則>,然後針對 Intune 中的配置檔) 選取 [範本>裝置限制]。

封鎖使用者清除裝置上的所有內容和設定 (一般) :停用受監督裝置上的重設選項,讓使用者無法將其裝置重設為原廠設定。

如需 Intune 中 macOS 裝置限制設定檔的詳細資訊,請參閱 使用 Intune 允許或限制功能的 macOS 裝置設定

適用於:

  • macOS 12 版和更新版本

macOS 的新軟體更新限制設定

設定 macOS 裝置限制設定檔時,有五個新的軟體更新設定 (裝置>macOS>組態設定檔>建立>新原則> ,然後針對 Intune 中的設定檔) 選取 [ 範本>裝置限制 ]。

  • 延遲軟體更新 (一般) :防止使用者在延遲期間之前看到特定類型的新發行更新。 延遲軟體更新不會停止或變更排程的更新。 您可以延遲的軟體更新類型包括: 主要OS軟體更新次要作業系統軟體更新非OS軟體更新,或這三種更新的任何組合。
  • 延遲軟體更新的預設可見性 (一般) :將所有軟體更新的預設可見度延遲最多 90 天。 在延遲期間之後,使用者將可使用更新。 此值的優先順序高於預設可見性值。 適用於macOS 10.13.4版和更新版本。
  • 重大OS軟體更新的延遲可見性 (一般) :將主要OS軟體更新的可見度延遲最多90天。 在延遲期間之後,使用者將可使用更新。 此值的優先順序高於預設可見性值。 適用於macOS 11.3版和更新版本。
  • 次要 OS 軟體更新的延遲可見性 (一般) :將次要 OS 軟體更新的可見度延遲最多 90 天。 在延遲期間之後,使用者將可使用更新。 此值的優先順序高於預設可見性值。 適用於macOS 11.3版和更新版本。
  • 一般) (非 OS 軟體更新的延遲可見度:延遲非 OS 軟體更新 (的可見性,例如 Safari 更新) 最多 90 天。 在延遲期間之後,使用者將可使用更新。 此值的優先順序高於預設可見性值。 適用於macOS 11.0版和更新版本。

如需 Intune 中 macOS 裝置限制設定檔的詳細資訊,請參閱 使用 Intune 允許或限制功能的 macOS 裝置設定

Android Enterprise 的新裝置限制設定:開發人員設定

Android Enterprise 裝置有新的裝置限制設定, (裝置>Android Enterprise> 組態配置檔>建立>新原則,並在 Intune 中選取配置檔) 的 [裝置限制]。

  • 開發人員設定:當設定為 [允許] 時,使用者可以存取其裝置上的開發人員設定。 根據預設,它會設定為 [未設定]。 適用於完全受控、專用和公司擁有的工作配置檔裝置。

如需 Android Enterprise 裝置限制配置檔的詳細資訊,請參閱 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

新的裝置限制設定可防止與配對的藍牙裝置共用工作配置文件聯繫人

公司擁有之工作配置檔裝置的新裝置限制設定可防止使用者與配對的藍牙裝置共用其工作配置檔聯繫人,例如汽車或行動裝置。 若要設定此設定,請移至 [裝置>>設定] [建立>Android Enterprise] 以取得配置檔的平臺 >[裝置限制]。

  • 設定名稱: 透過藍牙 (工作設定檔層級)
  • 設定切換:
  • 封鎖:封鎖使用者透過藍牙共用工作配置文件聯繫人。
  • 未設定:不會在裝置上強制執行任何限制,因此使用者可能能夠透過藍牙共用其工作配置文件聯繫人。

裝置管理

Intune 現在支援 iOS/iPadOS 13 和更新版本

Microsoft Intune,包括 Intune 公司入口網站 和 Intune 應用程式保護原則現在需要 iOS/iPadOS 13 和更新版本

Intune 現在支援 macOS 10.15 和更新版本

Intune 註冊和 公司入口網站 現在支援macOS 10.15和更新版本。 不支援舊版。

新的 Android 裝置篩選選項

您現在可以在 Intune 的 [所有裝置] 列表中依 OS 篩選時,選擇下列 Android 註冊類型:

  • Android (個人擁有的工作配置檔)
  • Android (公司擁有的工作配置檔)
  • Android (完全受控)
  • Android (專用)
  • Android (裝置系統管理員)

Microsoft Intune 系統管理中心中,選取 [所有>裝置] 並檢視特定 Android 註冊類型的 [OS] 數據行。 如需 Android 註冊類型的詳細資訊,請參閱 Intune 報告

原則集的設定目錄原則

除了以範本為基礎的配置檔之外,您還可以根據 [ 設定] 目錄 將配置檔新增至原則集合。 [ 設定] 目錄 是您可以設定的所有設定清單。 若要在系統管理中心 Microsoft Intune 建立原則集合,請選取 [裝置>原則集合>原則>合建立]。 如需詳細資訊, 請參閱使用原則集合將管理物件的集合分組 ,以及 使用設定目錄在 Windows 和 macOS 裝置上設定設定

設定 Android Enterprise 專用裝置的 受控主畫面 登入設定

您現在可以使用使用共用裝置模式註冊的 Android Enterprise 專用裝置,在裝置設定中設定 受控主畫面 Microsoft Entra 登入設定。 您不再需要針對這些設定使用應用程式組態。 如需詳細資訊,請參閱設定適用於Android Enterprise的 Microsoft 受控主畫面 應用程式

使用功能 匯報 將裝置升級至 Windows 11

您可以使用 Windows 10 和更新版本原則的功能更新,將符合 Windows 11 最低需求的裝置升級為 Windows 11。 只要設定新功能更新原則來指定可用的 Windows 11 版本,就如同您想要部署的功能更新一樣簡單。

使用收集診斷遠端動作作為 Windows 裝置的大量裝置動作

我們已將 收集診斷遠端動作 新增為您可以針對 Windows 裝置執行的大量裝置動作 。 作為 Windows 裝置的大量裝置動作 ,請使用 收集診斷 ,一次最多從 25 部裝置收集 Windows 裝置記錄,而不會中斷裝置使用者。

支援在 Android Enterprise 專用裝置上尋找裝置遠端動作

您可以使用 [尋找裝置 遠端] 動作,取得在線遺失或遭竊Android Enterprise專用裝置的目前位置。 如果您嘗試找出目前離線的裝置,則會改為看到其最後一個已知位置,但是,只有當該裝置在過去七天內能夠使用 Intune 簽入時。

如需詳細資訊,請 參閱尋找遺失或遭竊的裝置

Android Enterprise 專用裝置支援重新命名遠端動作

您現在可以在 Android Enterprise 專用裝置上使用 重新命名 遠端動作。 您可以個別和大量地重新命名裝置。 當您使用大量重新命名動作時,裝置名稱必須包含可新增隨機數或裝置序號的變數。

如需詳細資訊,請參閱 在 Intune 中重新命名裝置

新增 Microsoft Entra 裝置標識碼和 Intune 裝置識別碼搜尋參數

在 [所有裝置] 中>搜尋裝置時,您現在可以 Microsoft Entra 裝置標識碼或 Intune 裝置識別碼進行搜尋。 如需 Intune 中可用裝置詳細資料的清單,請參閱使用 Microsoft Intune 檢視裝置詳細數據

裝置安全性

租用戶連結:端點安全策略的裝置狀態

您可以檢閱租用戶附加裝置的端點安全性原則狀態。 您可以針對租用戶附加用戶端的所有端點安全性原則類型,存取 [裝置狀態] 頁面。 如需詳細資訊,請參閱端點安全策略類型的 裝置狀態

Configuration Manager 租使用者附加的受攻擊面縮小配置檔

我們為受攻擊面縮小原則新增了兩個端點安全性配置檔,您可以搭配您使用 Configuration Manager 租使用者附加來管理的裝置使用。 這些配置檔處於預覽狀態,並管理與您用於 Intune 管理之裝置的類似具名配置檔相同的設定。 當您為 Windows 10 和更新版本的 ConfigMgr) 平台設定受攻擊面縮小原則時 (,會發現這些新的配置檔。

租使用者附加的新設定檔:

  • 惡意探索保護 (ConfigMgr) (預覽) - 惡意探索保護有助於防範使用惡意探索來感染裝置和散佈的惡意代碼。 惡意探索保護包含許多可套用至作業系統或個別應用程式的緩和措施。
  • Web 保護 (ConfigMgr) (預覽) - 適用於端點的 Microsoft Defender 中的 Web 保護會使用網路保護來保護您的電腦免於遭受 Web 威脅。 Web 保護會在沒有 Web Proxy 的情況下停止 Web 威脅,而且可以在機器不在或內部部署時保護它們。 Web 保護會停止存取網路釣魚網站、惡意代碼向量、惡意探索網站、不受信任或低信譽的網站,以及您已在自定義指標清單中封鎖的網站。

已擴充租用戶連結裝置 Windows Defender 資訊安全中心的支援

我們已更新端點安全性防病毒軟體原則中 (預覽) 配置檔的 Windows 安全性 體驗,以針對您使用 Configuration Manager 租用戶連結管理的裝置支援更多設定。

先前,此配置檔僅限於租用戶連結裝置的竄改保護。 更新的配置檔現在包含 Windows Defender 資訊安全中心的設定。 您可以 使用這些新設定 來管理已使用 Intune 受管理裝置之類似具名配置檔管理之租使用者連結裝置的相同詳細數據。

如需此配置檔的詳細資訊,請參閱 端點安全性防病毒軟體原則

Intune 應用程式

來自 iOS/iPadOS 公司入口網站 應用程式的通知

來自 iOS/iPadOS 公司入口網站 應用程式的通知現在會使用預設 Apple 音效傳遞至裝置,而不是以無訊息方式傳遞。 若要從 iOS/iPadOS 公司入口網站 應用程式關閉通知音效,請選取 [設定>通知>][編譯入口網站],然後選取 [音效] 切換。 如需詳細資訊,請參閱 公司入口網站 應用程式通知。

監視及疑難排解

以裝置設定為焦點的組織報告

我們已發行新的 裝置設定 組織報告。 此報告會取代在 [裝置監視器] 下 Microsoft Intune 系統管理中心找到>的現有 [指派狀態報告]。 [ 裝置組態 ] 報告可讓您在租用戶中產生配置檔清單,其中的裝置處於成功、錯誤、衝突或不適用的狀態。 您可以使用設定檔類型、OS 和狀態的篩選。 傳回的結果會提供搜尋、排序、篩選、分頁和導出功能。 除了裝置設定詳細數據之外,此報告還會提供資源存取詳細數據,以及新的設定類別目錄配置檔詳細數據。 如需詳細資訊,請參閱 Intune 報告

已更新 Microsoft Intune 系統管理中心的支持體驗

適用於 Intune 和共同管理支援流程,我們已更新 Microsoft Intune 系統管理中心的改良支持體驗。 新的體驗會引導您發出特定的疑難解答深入解析和網頁型解決方案,讓您更快獲得解決方式。

若要深入瞭解這項變更,請參閱 支援部落格文章

保護保留現在會顯示在功能更新失敗報告中

當裝置因為保護保留而無法安裝 Windows 更新時,您可以在 Microsoft Intune 系統管理中心>功能更新失敗報告中檢視有關該保留的詳細數據。

具有保護保留的裝置會顯示為在報告中發生錯誤的裝置。 當您檢視這類裝置的詳細數據時,[ 警示訊 息] 資料行會顯示 [ 保護保留],而 [ 部署錯誤碼 ] 資料行會顯示保護保留的標識符。

Microsoft 偶爾會保留保護措施,以在已知該裝置上偵測到某個項目導致更新後體驗不佳時,封鎖在裝置上安裝更新。 例如,軟體或驅動程式是放置保護措施的常見原因。 保留會保持就緒狀態,直到基礎問題解決,且更新可以安全安裝為止。

若要深入瞭解主動式保護保留和其解決方式的期望,請移至 Windows 版本健康情況儀錶板,網格 https://aka.ms/WindowsReleaseHealth為 。

更新指派失敗作業報告

安全性基準 和端點安全性配置檔已新增至現有的指 派失敗 報告。 配置檔類型是使用具有篩選能力的原則 類型 數據行來區分。 角色型訪問控制 (RBAC) 許可權已套用至報表,以篩選系統管理員可以看到的原則集合。 這些 RBAC 許可權包括安全性基準許可權、裝置組態許可權和裝置合規性原則許可權。 此報告會顯示指定設定檔處於錯誤和衝突狀態的裝置數目。 您可以向下切入這些裝置或使用者的詳細清單,以及設定詳細數據。 您可以在系統管理中心 Microsoft Intune 找到指派失敗報告,方法是選取 [裝置>監視器],或選取 [端點安全>性監視器]。 如需詳細資訊,請參閱 作業) (指派失敗報告

2021 年 8 月

Windows 365 現已正式推出

Windows 365 是 Microsoft 的新服務,會自動為您的終端使用者建立雲端電腦。 雲端電腦是新的混合式個人運算類別,使用雲端和存取裝置的功能來提供完整且個人化的 Windows 虛擬機。 系統管理員可以使用 Microsoft Intune 來定義為每個使用者的雲端電腦布建的組態和應用程式。 終端使用者可以從任何裝置和任何位置存取其雲端電腦。 Windows 365 將終端使用者的雲端計算機和數據儲存在雲端,而不是裝置上,以提供安全的體驗。

如需 Windows 365 的詳細資訊,請參閱 Windows 365

如需如何管理組織中 Windows 365 的檔,請參閱 Windows 365 檔

應用程式管理

裝置篩選評估報告現在包含指派應用程式的篩選結果

如果您使用篩選條件將應用程式指派為可用,您現在可以在裝置上使用篩選評估報告來判斷應用程式是否已可供安裝。 您可以在 [裝置所有裝置] 下方看到每個裝置的此報告,選取裝置>篩選評估 (預覽) 。>>

適用於:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

條件式啟動原則的另一個 Android SafetyNet 評估類型支援

條件式啟動現在支援 SafetyNet 裝置證明的子設定。 如果您在條件式啟動時選取 [ SafetyNet 裝置證明 ],您可以指定使用特定的 SafetyNet 評估類型。 此評估類型是硬體支援的金鑰。 硬體支援的金鑰作為評估類型存在,將表示裝置的完整性更高。 不支援硬體支援密鑰的裝置,如果以此設定為目標,MAM 原則將會封鎖這些裝置。 如需 SafetyNet 評估和硬體支援金鑰支援的詳細資訊,請參閱 Android 開發人員檔中的 評估類型 。 如需 Android 條件式啟動設定的詳細資訊,請參閱 條件式啟動

更新 iOS 和 Android 裝置的 Outlook S/MIME 設定

您現在可以啟用 Outlook S/MIME 設定,在使用受控應用程式選項時,一律在 iOS 和 Android 裝置上簽署和/或一律加密。 使用受控應用程式時,您可以在系統管理中心 Microsoft Intune 找到此設定,方法是選取 [應用程式>應用程式設定原則]。 此外,您可以針對受控應用程式和受管理裝置,在iOS和Android裝置上新增LDAP (輕量型目錄存取通訊協定) URL。 如需詳細資訊,請參閱適用於 Microsoft Intune 的應用程式設定原則

受控Google Play應用程式的範圍標籤

範圍標籤會決定具有特定許可權的系統管理員可以在 Intune 中檢視的物件。 Intune 中大部分新建立的專案都採用建立者的範圍標籤。 此案例不適用於受控 Google Play 商店應用程式。 您現在可以選擇性地指派範圍卷標,以套用至受控 Google Play 連接器窗格上所有新同步的 受控 Google Play 應用程式。 選擇的範圍標籤只會套用至新的受控 Google Play 應用程式,不適用於已在租使用者中核准的受控 Google Play 應用程式。 如需詳細資訊,請參閱 使用 Intune 將受控 Google Play 應用程式新增至 Android Enterprise 裝置使用角色型存取控制 (分散式 IT 的 RBAC) 和範圍卷標

macOS LOB 應用程式的內容將會顯示在 Intune 中

Intune 現在可以在控制台中顯示 macOS LOB 應用程式的內容 (.intunemac 檔案) 。 您可以在新增 macOS LOB 應用程式時,於 Intune 控制台中檢閱和編輯從 .intunemac 檔案擷取的應用程式偵測詳細數據。 上傳 PKG 檔案時,將會自動建立偵測規則。 在 [Microsoft Intune 系統管理中心] 中,選取 [應用程式>所有應用程式>新增]。 繼續選取企業營運應用程式類型和包含檔案的.intunemac應用程式套件檔案。 如需詳細資訊,請參閱如何將macOS企業營運 (LOB) 應用程式新增至 Microsoft Intune

應用程式管理

macOS 裝置的 Intune 公司入口網站 現在是通用應用程式

當您下載 macOS 裝置 2.18.2107 版和更新版本的 Intune 公司入口網站 時,它會安裝在 Apple Silicon Mac 上以原生方式執行的新通用應用程式版本。 相同的應用程式會在 Intel Mac 電腦上安裝 x64 版本的應用程式。 如需詳細資訊,請參閱新增macOS應用程式的 公司入口網站

裝置設定

適用於 Microsoft Intune 的新版憑證連接器

我們發行了適用於 Microsoft Intune 的新版憑證連接器 6.2108.18.0 版。 此更新包括:

  • 在系統管理中心正確顯示目前連接器狀態的修正 Microsoft Intune。
  • 修正以正確回報傳遞 SCEP 憑證的失敗。

如需憑證連接器的詳細資訊,包括連接器版本和更新的清單,請參閱適用於 Microsoft Intune 的憑證連接器

在 Windows 10/11 裝置上的 DFCI 組態配置檔上使用篩選

在 Intune 中,您可以根據不同的屬性,建立篩選條件來鎖定裝置。 當您建立裝置韌體設定介面 (DFCI) 配置檔時,您可以在指派配置檔時使用篩選條件。

適用於:

  • 在支援的 UEFI 上 Windows 11
  • 在支援的 UEFI 上 Windows 10 RS5 (1809) 和更新版本

macOS 裝置上自定義裝置組態配置檔的新部署通道設定

建立 macOS 裝置的自定義裝置限制原則時,有一個新的部署通道設定可 (>> 裝置設定建立>macOS 的平台>>本自定義配置檔) 。

使用 [部署通道 ] 設定,將組態配置檔部署至使用者通道或裝置通道。 如果您將設定檔傳送至錯誤的通道,則部署可能會失敗。 如需在裝置配置檔或使用者配置檔中使用承載的詳細資訊,請參閱 配置檔特定承載密鑰 (開啟 Apple 開發人員網站) 。

如需 Intune 中自定義 macOS 設定檔的詳細資訊,請 參閱使用 macOS 裝置的自定義設定

適用於:

  • macOS

使用 iOS/iPadOS 14.5 裝置和更新版本的組態設定檔設定所設定的 Wi-Fi 網路

為 iOS/iPadOS 裝置建立裝置限制原則時, (裝置組態建立>iOS/iPadOS平臺>裝置限制配置檔) 提供新的設定>>:

  • 要求裝置使用透過組態配置檔設定的 Wi-Fi 網路:設定為 [是 ] 要求裝置只能使用透過組態配置檔設定的 Wi-Fi 網络。

若要查看您目前可設定的設定,請移至 iOS 和 iPadOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • iOS/iPadOS 14.5 和更新版本

新的 macOS 裝置組態設定檔設定,並變更為 iOS/iPadOS 設定名稱

您可以在 macOS 10.13 裝置和更新的 (>> 裝置設定 上設定新的設定針對>設定檔類型建立macOS> 平台>本裝置限制) :

  • 封鎖新增遊戲中心朋友 (App Store、文件檢視、遊戲) :防止使用者將朋友新增至遊戲中心。
  • 封鎖遊戲中心 (App Store、文件檢視、遊戲) :停用遊戲中心,遊戲中心圖示會從主畫面中移除。
  • 封鎖遊戲中心 (App Store、檔檢視、遊戲) 中的多人遊戲:使用遊戲中心時防止多人遊戲。
  • 封鎖修改桌布 (一般) :防止變更桌布。

若要查看您目前可設定的設定,請移至 macOS裝置設定以允許或限制功能

此外,iOS/iPadOS 封鎖多人遊戲設定名稱會變更為 [遊戲中心] 中的 [封鎖多人遊戲], ([裝置>>設定][建立>iOS/iPadOS],以取得配置檔類型) 的平臺>裝置限制

如需此設定的詳細資訊,請移至 iOS 和 iPadOS 裝置設定以允許或限制功能

適用於:

  • iOS/iPadOS
  • macOS 10.13 和更新版本

更多 iOS/iPadOS 主畫面版面配置方格大小選項

在 iOS/iPadOS 裝置上,您可以在主畫面上設定網格線大小 (裝置>>組態建立>iOS/iPadOS,以取得設定檔>主畫面配置) 的平台>裝置功能。 例如,您可以將網格線大小設定為 4 欄 x 5 列。

格線大小會有更多選項:

  • 4 欄 x 5 列
  • 4 欄 x 6 列
  • 5 欄 x 6 列

若要查看您目前可設定的首頁畫面配置設定,請移至 裝置設定,以在Intune中使用常見的iOS/iPadOS 功能

適用於:

  • iOS/iPadOS

在具有工作配置檔的 Android Enterprise 個人擁有裝置上,將證書伺服器名稱新增至企業 Wi-Fi 配置檔

在 Android 裝置上,您可以使用憑證式驗證,在個人裝置上使用 Wi-Fi 網路,並搭配工作配置檔 (裝置>設定>建立>平臺>個人擁有的工作配置檔>Wi-Fi) 的 Android Enterprise

當您使用 Enterprise Wi-Fi 類型,並選取 EAP 類型時,會有新的 憑證伺服器名稱 設定。 使用此設定可新增憑證所使用的證書伺服器功能變數名稱清單。 例如,輸入 srv.contoso.com

在 Android 11 和更新版本的裝置上,如果您使用 Enterprise Wi-Fi 類型,則 必須 新增證書伺服器名稱。 如果您未新增證書伺服器名稱,使用者將會有連線問題。

如需您可以在 Android Enterprise 裝置上設定之 Wi-Fi 設定的詳細資訊,請參閱在 Microsoft Intune 中新增 Android Enterprise 專用和完全受控裝置的 Wi-Fi 設定

適用於:

  • 具有工作配置檔的Android Enterprise 個人擁有裝置

裝置註冊

Apple Setup Assistant 的新式驗證方法已不在自動化裝置註冊的預覽狀態

Apple Setup Assistant 的新式驗證方法現在已不在預覽狀態,且已正式可供自動化裝置註冊使用。

如需如何在 iOS/iPadOS 裝置上使用此驗證方法的資訊,請參閱 使用 Apple 的自動裝置註冊來自動註冊 iOS/iPadOS 裝置

如需如何在 macOS 裝置上使用此驗證方法的資訊,請參閱使用 Apple Business Manager 或 Apple School Manager 自動註冊 macOS 裝置

裝置管理

每個裝置評分的端點分析

為了協助您識別可能會影響用戶體驗的裝置, 端點分析會 顯示每個裝置的一些分數。 檢閱每個裝置的分數,可協助您在呼叫技術支持人員之前,先找出並解決用戶問題。 您可以依每個裝置的端點分析、啟動效能和應用程式可靠性分數來顯示和排序。 如需詳細資訊,請 參閱每個裝置分數

將 Windows Hello 企業版 新增至 Windows 10 診斷

我們已將適用於 Windows Hello 企業版 的操作 事件檢視器 中的資訊新增至針對 Windows 10 裝置診斷所收集的數據。 請參閱 收集的數據

裝置安全性

macOS 上 適用於端點的 Microsoft Defender 設定目錄中的設定變更

我們已將八個新設定新增至 Intune 設定目錄,以管理 macOS 上的 適用於端點的 Microsoft Defender。

在設定目錄的下列四個類別下,會找到新的設定,如下所示。 如需這些設定的相關信息,請參閱mac上 適用於端點的 Microsoft Defender 檔中的設定macOS上 適用於端點的 Microsoft Defender的喜好設定。

  • Microsoft Defender - 防病毒軟體引擎

    • 不允許的威脅動作
    • 排除合併
    • 掃描歷程記錄大小
    • 掃描結果保留期
    • 威脅類型設定合併
  • Microsoft Defender - 雲端提供的保護喜好設定

    • 自動安全情報更新
  • Microsoft Defender - 使用者介面喜好設定

    • 使用者起始的意見反應
  • Microsoft Defender - 網路保護 - 此類別是目錄中 適用於端點的 Microsoft Defender 的新類別:

    • 強制層級

確認通道閘道閘道伺服器可以從 Microsoft Intune 系統管理中心記憶體取您的內部網路

我們已將功能新增至 Microsoft Intune 系統管理中心,以確認您的 Tunnel 閘道伺服器可以存取您的內部網路,而不需要有人直接存取伺服器。 若要啟用這項功能,您將在每個通道閘道閘道網站的屬性中, 設定稱為 URL 的新選項,以進行內部網路存取檢查

將 URL 從內部網路新增至通道閘道台之後,該站台中的每個伺服器會定期嘗試存取它,然後報告結果。

此內部網路存取檢查的狀態會回報為伺服器 [健康情況檢查] 索引卷標上的 [內部網路輔助功能]。此檢查的狀態值包括:

  • 狀況良好 - 伺服器可以存取網站屬性中指定的 URL。
  • 狀況不良 - 伺服器無法存取網站屬性中指定的 URL。
  • 未知 - 當您尚未在網站屬性中設定 URL,而且不會影響網站的整體狀態時,就會出現此狀態。

您的伺服器必須升級至最新版的通道閘道閘道軟體,這項功能才能運作。

適用於Android Enterprise個人擁有工作配置檔之SafetyNet硬體支援金鑰證明的合規性設定

我們已新增 Android Enterprise 個人擁有工作配置檔裝置的新裝置合規性設定[必要的 SafetyNet 評估類型] (。。/protect/compliance-policy-create-android-for-work.md#google-play-protect---for-個人擁有的工作配置檔) 。 當您將 SafetyNet 裝置證明設定為 [檢查基本完整性] 或 [檢查經認證的裝置的基本完整性] 之後,此新設定就會變成可用 &。 新的設定:

必要的 SafetyNet 評估類型

  • 未設定 (基本評估) 的預設 值 – 此設定為預設設定。
  • 硬體支援的金鑰 – 要求硬體支援的金鑰證明用於 SafetyNet 評估。 不支援硬體支援密鑰證明的裝置會標示為不符合規範。

如需 SafetyNet 以及哪些裝置支援硬體支援金鑰證明的詳細資訊,請參閱 Android 版 SafetyNet 檔中的 評估類型

Intune 應用程式

適用於 Intune 的新受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • F2 Touch Intune by cBrain A/S

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

在 Windows 用戶端裝置上使用組策略分析時,匯出 GPO XML 檔案大小增加到 4 MB

在 Microsoft Intune 中,您可以使用組策略分析來分析內部部署 GPO,並判斷 GPO 在雲端中的轉譯方式。 若要使用這項功能,您可以將 GPO 匯出為 XML 檔案。 XML 檔案大小已從 750 KB 增加到 4 MB。

如需使用組策略分析的詳細資訊,請參閱在 Microsoft Intune 中使用 群組原則 分析, (GPO) 分析您的內部部署組策略物件。

適用於:

  • Windows 11
  • Windows 10

裝置設定報告已更新

所有裝置組態和端點安全性配置檔現在都會合併成一份報表。 您可以在新的單一報表中檢視套用至裝置的所有原則,其中包含改良的數據。 例如, 您可以在新的 [ 原則類型] 字段中看到配置檔類型的區別。 此外,選取原則會提供套用至裝置的設定和裝置狀態的詳細數據。 已套用角色型訪問控制 (RBAC) 許可權,以根據您的許可權篩選配置檔清單。 在 Intune 系統管理中心中,您將選取 [ 裝置>][所有裝置>] 選取裝置裝置>設定 ,以在可用時查看此報告。 如需詳細資訊,請參閱 Microsoft Intune 報表

Intune 防病毒軟體報告的新詳細數據

我們已將兩個新的詳細數據行新增至 Windows 10 狀況不良的端點報告和防病毒軟體代理程序狀態報告。

新的詳細資料包括:

  • MDE 上線狀態 - (HealthState/OnboardingState) 識別裝置上 適用於端點的 Microsoft Defender 代理程式是否存在。
  • MDE Sense 執行狀態 - (HealthState/SenseIsRunning) 報告裝置上 適用於端點的 Microsoft Defender 健康情況感測器的運作狀態。

如需這些設定的詳細資訊,請參閱 WindowsAdvancedThreatProtection CSP

自定義 Microsoft Tunnel 閘道伺服器的健康情況狀態閾值

您現在可以 自定義閾值 ,以決定 Microsoft Tunnel 閘道數個計量的健康情況狀態。

健康狀態計量具有預設值,可判斷狀態報告為 狀況良好警告狀況不良。 當您自定義計量時,您會變更計量狀態的效能需求。 您可以自訂下列計量:

  • CPU 使用量
  • 記憶體使用量
  • 磁碟空間使用量
  • 延遲

當您變更閾值時,變更會套用至租使用者中的所有 Tunnel 伺服器。 您也可以選取一個選項,將所有計量重設為預設值。

更新閾值之後,[ 健康情況檢查 ] 索引卷標中的值會自動更新,以根據更新的閾值反映狀態。

您可以透過圖表的形式,檢視數個 Microsoft Tunnel 閘道健康情況計量 的健康情況狀態趨勢 。 健康情況狀態趨勢圖表適用於您從 [ 健康情況狀態 ] 頁面選取的個別伺服器。

支援趨勢圖的計量包括:

  • 連線
  • CPU 使用量
  • 磁碟空間使用量
  • 記憶體使用量
  • 平均延遲
  • 輸送量

2021 年 7 月

裝置設定

已針對註冊為商務用共用 iPad 的 iPadOS 裝置改善原則支援 (公開預覽)

我們已新增對 共用 iPad for Business 使用者指派裝置設定原則的支援。

透過這項變更,主畫面版面配置和指派給使用者群組的大部分裝置限制等設定會套用至共用 iPad 裝置,而來自已指派使用者群組的使用者則會在裝置上作用中

適用於 Microsoft Intune 的憑證連接器結合了個別的憑證連接器

我們已發行適用於 Microsoft Intune的憑證連接器。 這個新的連接器會取代 SCEP 和 PKCS 的個別憑證連接器使用,並包含下列功能:

  • 設定連接器的每個實體,以支援下列一或多個功能:
    • SCEP
    • PKCS
    • PFX 匯入的憑證
    • 證書撤銷
  • 使用一般的 Active Directory 帳戶或連接器服務的系統帳戶。
  • 根據您的租使用者位置,選取 [政府與商業環境]。
  • 不需要選取客戶端憑證,以便與 NDES 進行 SCEP 整合。
  • 自動更新至最新版的連接器。 也支援手動更新此連接器。
  • 改善的記錄。

先前的連接器仍處於支持狀態,但無法再下載。 如果您需要安裝或重新安裝連接器,請安裝適用於 Microsoft Intune 的新憑證連接器。

公開預覽版 (Windows Autopilot 診斷頁面)

註冊狀態頁面上的可用設定會從 [允許使用者收集有關安裝錯誤的記錄] 更新為 [開啟記錄收集和診斷] 頁面,讓終端使用者支援 Windows Autopilot 診斷頁面,Windows 11 中提供。 如需詳細資訊,請 參閱 Windows Autopilot 的新功能

裝置管理

使用篩選在 Intune 系統管理中心指派 Windows 用戶端更新通道 - 公開預覽

在 Intune 系統管理中心,您可以建立篩選,然後在指派應用程式和原則時使用這些篩選。

指派 Windows 用戶端更新通道原則時,您可以使用 Windows Windows 10 更新通道) (>> 篩選器。 您可以根據裝置屬性篩選取得更新通道原則的裝置,例如操作系統版本、裝置製造商等等。 建立篩選之後,請在指派更新通道原則時使用篩選。

適用於:

  • Windows 11
  • Windows 10

收集移至正式運作的診斷遠程動作

收集診斷遠端動作可讓您從公司裝置收集診斷,而不會中斷或等候使用者。 收集的診斷包括 MDM、Autopilot、事件查看器、登錄機碼、Configuration Manager 客戶端、網路和其他重大疑難解答診斷。 如需詳細資訊,請參閱 從 Windows 裝置收集診斷

Microsoft HoloLens 的 Autopilot 支援現已正式推出

如需詳細資訊,請參閱適用於 HoloLens 2 的 Windows Autopilot

裝置安全性

從任何地方工作報表

端點分析 從任何地方都有名為 Work 的新報 。 隨 處工作 報告是 建議軟體 報告的演進。 新報告包含 Windows 10、雲端管理、雲端身分識別和雲端布建的計量。 如需詳細資訊,請 參閱隨處工作報表一 文。

macOS 上 適用於端點的 Microsoft Defender 的設定目錄支援

我們已將管理 macOS 上 適用於端點的 Microsoft Defender 的設定新增至 Intune 設定目錄,以在 macOS 上設定 適用於端點的 Microsoft Defender。

新的設定可以在設定目錄中的下列四個類別下找到,如下所示。 如需這些設定的相關信息,請參閱 Mac 上 適用於端點的 Microsoft Defender 檔中的設定 macOS 上 適用於端點的 Microsoft Defender 的喜好設定。

Microsoft Defender - 防病毒軟體引擎

  • 允許的威脅
  • 啟用被動模式
  • 啟用即時保護
  • 掃描排除專案
  • 威脅類型設定

Microsoft Defender - 雲端提供的保護喜好設定

  • 診斷收集層級
  • 啟用 - 停用自動提交範例
  • 啟用 - 停用雲端提供的保護

Microsoft Defender - EDR 喜好設定

  • 裝置標籤
  • 啟用 - 停用早期預覽

Microsoft Defender - 使用者介面喜好設定

  • 顯示 - 隱藏狀態選單圖示

Intune 應用程式

適用於 macOS 的 SSO 應用程式延伸模組畫面 公司入口網站 改善

我們已改善 Intune 公司入口網站 驗證畫面,提示 macOS 使用者使用單一登錄 (SSO) 登入其帳戶。 使用者現在可以:

  • 請參閱要求 SSO 的應用程式。
  • 選取 [ 不要再要求我 退出未來的 SSO 要求]。
  • 移至 [公司入口網站 >喜好設定] 並取消選取 [不要要求我使用此帳戶的單一登錄登入],以選擇重新加入 SSO 要求。

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • 適用於 Intune 的 Webex by Cisco Systems, Inc.
  • LumApps for Intune by LumApps
  • ArchXtract (由 CEGB CO., Ltd.) 的 MDM。

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

2021 年 6 月

應用程式管理

Android 公司入口網站 應用程式和 Intune 應用程式現在包含葡萄牙葡萄牙文支援

Android 公司入口網站 應用程式和 Android Intune 應用程式現在支援來自葡萄牙的葡萄牙文 (語言代碼 pt-PT) 。 Intune 已支援來自巴西的葡萄牙文。

檢視 Managed 應用程式狀態的改善

我們已針對 Intune 顯示 已部署至使用者或裝置之受控應用程式的狀態資訊,新增了一些改善。

Intune 現在只會顯示您要檢視之裝置平臺專屬的應用程式。 我們也引進了Android和 Windows 平臺的效能增強功能和更多支援。

已更新 Apple VPP 應用程式的預設授權類型

當您在 VPP) 應用程式 (建立 Apple 大量採購方案的新指派時,預設授權類型現在是 裝置。 現有的指派仍保持不變。 如需 Apple VPP 應用程式的詳細資訊,請參閱如何使用 Microsoft Intune 管理透過 Apple Business Manager 購買的 iOS 和 macOS 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Hitachi Solutions, Ltd. 的機密檔案查看器。
  • AventX Mobile Work Orders by STR Software
  • Slack Technologies, Inc. 的 Slack for Intune
  • microsoft Dynamics 365 Sales
  • LeapXpert Limited for Intune 的 Leap Work
  • iManage Work 10 For Intune by iManage, LLC
  • Microsoft Whiteboard by Microsoft (Android 版本)

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

裝置設定

在 iOS/iPadOS 裝置上的 Safari 中管理 Cookie 和跨網站追蹤

為 iOS/iPadOS 裝置建立裝置限制原則時,您可以在 Safari 應用程式中管理 Cookie (裝置>>設定建立>iOS/iPadOS,以取得設定檔>內建應用程式) 的平臺>裝置限制

Safari Cookie 設定已更新,以協助管理 Cookie 和跨網站追蹤。 如需此設定的詳細資訊,請參閱 適用於 iOS/iPadOS 裝置的內建應用程式

適用於:

  • iOS/iPadOS 第 4 版和更新版本

裝置註冊

在公司 Android 註冊期間自動啟用瀏覽器存取

在下列裝置的新註冊期間,現在會自動開啟瀏覽器存取:

  • 向共用裝置模式註冊 Microsoft Entra Android Enterprise 專用裝置
  • Android Enterprise 完全受控裝置
  • Android Enterprise 公司擁有的工作配置文件裝置

符合規範的裝置可以使用瀏覽器來存取受條件式存取保護的資源。

這項變更不會影響已註冊的裝置。

具有工作配置檔之 Android Enterprise 公司擁有裝置的 Intune 支援

具有工作配置檔之 Android Enterprise 公司擁有裝置的 Intune 支援現已正式推出。 如需詳細資訊,請 參閱使用工作配置檔宣佈 Android Enterprise 公司擁有的裝置正式運作

裝置管理

使用設定目錄組態配置檔的篩選條件,以及風險分數和威脅等級合規性政策設定

當您使用 篩選來 指派原則時,您可以.

  • 使用使用 風險分數威脅 等級設定之合規性原則的篩選。
  • 在使用設定 類別目錄 設定檔類型的組態配置檔上使用篩選。

如需您可以執行之動作的詳細資訊,請 參閱篩選所支援的平臺、原則和應用程式類型清單

適用於:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

建立Android Enterprise 的篩選時,請使用 EnrollmentProfileName 屬性

在 Intune 中,您可以根據不同的屬性來建立以裝置為目標 的篩選 條件,包括裝置名稱、製造商等等。 在 iOS/iPadOS 和 Windows 10/11 裝置上,您可以使用註冊設定檔名稱建立篩選。 註冊配置檔名稱屬性適用於Android Enterprise裝置。

若要查看您可以設定的篩選屬性,請在 建立篩選時移至 [裝置屬性]、[運算符] 和 [規則編輯]

適用於:

  • Android Enterprise

新的 iOS/iPadOS 遠端動作可讓您更新 eSIM 行動數據計劃 (公開預覽)

新的 更新行動資料計劃 (預覽) 動作可讓您在支援它的 iOS/iPadOS 裝置上遠端啟用 eSIM 行動數據計劃。 此功能目前處於公開預覽階段。 如需詳細資訊,請 參閱更新行動數據計劃

租使用者附加:下線

雖然我們知道客戶透過啟用租使用者附加來獲得極大的價值,但在某些情況下,您可能需要將階層脫機。 例如,您可能需要在已移除內部部署環境的災害復原案例之後脫機。 若要從 Microsoft Intune 系統管理中心移除您的 Configuration Manager 階層,請依序選取 [租用戶系統管理]、[連接器和令牌] 和 [Microsoft 端點 Configuration Manager]。 選擇您想要下架的網站名稱,然後選取 [ 刪除]。 如需詳細資訊,請參閱啟用租用戶附加

裝置安全性

Android 上的 Microsoft Tunnel 適用於端點的 Microsoft Defender 已不在預覽狀態

在 Android 上支援 Microsoft Tunnel 功能的 適用於端點的 Microsoft Defender 應用程式現在已無法預覽,且已正式推出。 透過這項變更:

  • 您不再需要選擇使用端點 Defender 作為 Android 的通道應用程式。
  • 適用於 Android 的獨立應用程式現在已被取代,將於 2022 年 1 月 31 日終止支援時從 Google App Store 中移除。

規劃下載並使用適用於 Android 的 Microsoft Tunnel 應用程式的更新 適用於端點的 Microsoft Defender 應用程式。 如果您參與預覽版,請使用 Google Play 商店的新版適用於端點的 Defender 來更新您的裝置。 如果您仍然使用獨立通道應用程式,請先規劃移轉至 適用於端點的 Microsoft Defender 應用程式,再終止對獨立應用程式的支援。

適用於 iOS 的獨立通道應用程式仍處於預覽狀態。

監視及疑難排解

主動式補救的導出選項

主動式補救 是腳本套件,可在用戶發現問題之前,先偵測並修正用戶裝置上的常見支持問題。 為了協助您輕鬆地分析傳回的輸出,已新增 [ 出] 選項,可讓您將輸出儲存為 .csv 檔案。 如需詳細資訊,請參閱 主動式補救

更新的憑證報告

顯示目前使用中裝置憑證的 憑證 報表已更新,以包含更好的功能來搜尋、分頁、排序和導出報表。 在 [Microsoft Intune 系統管理中心] 中,選取 [裝置監視>憑證>]。 如需 Intune 中報表的詳細資訊,請參閱 Intune 報告

2021 年 5 月

應用程式管理

改善 Android 和 iOS/iPadOS 使用者的條件式存取傳訊

Microsoft Entra ID 已更新 [條件式存取] 畫面上的文字,以更清楚地向使用者說明存取和設定需求。 Android 和 iOS/iPadOS 用戶嘗試從未在 Intune 管理中註冊的裝置存取公司資源時,會看到此畫面。 如需這項變更的詳細資訊,請參閱 Microsoft Entra ID 的新功能

新磚提供的應用程式安裝失敗計數

[ 首頁]、 [儀錶板] 和 [ 應用程式概觀 ] 窗格現在會提供更新的磚,以顯示租使用者的應用程式安裝失敗次數。 在 Microsoft Intune 系統管理中心,選取 [首頁] 以檢視 [首頁] 窗格,或選取 [儀錶板] 以檢視 [儀錶板] 窗格。 選 取 [應用程式>概觀 ] 以檢視 [ 應用程式概觀 ] 窗格。 如需詳細資訊,請參閱 Intune 報告

裝置設定

設定目錄中的每個設定狀態報告

當您建立設定類別目錄設定檔時,您可以查看每個狀態中的裝置數目,包括成功、衝突和錯誤 (裝置>>組態選取原則) 。 此報表包含 Per 設定狀態 ::

  • 顯示受特定設定影響的裝置總數。
  • 具有可搜尋、排序、篩選、匯出和移至下一頁/上一頁的控件。

如需設定目錄的詳細資訊,請 參閱使用設定目錄在 Windows 和 macOS 裝置上設定設定

iOS/iPadOS 14.5 裝置和更新版本的新設定

為iOS/iPadOS裝置建立裝置限制原則時, (裝置組態建立>iOS/iPadOS,針對配置檔) 的平臺>裝置限制提供新的>>設定:

  • 封鎖 Apple Watch 自動解除鎖定:設定為 [是 ] 可封鎖使用者使用 Apple Watch 解除鎖定其裝置。
  • 允許使用者使用未配對的裝置將裝置開機到恢復模式:設定為 [是 ] 可讓使用者使用未配對的裝置開機到復原。
  • 封鎖 Siri 聽寫:設定為 [是 ] 可停用對 Siri 伺服器的連線,讓使用者無法使用 Siri 來指定文字。

若要查看這些設定,請移至 iOS 和 iPadOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • iOS/iPadOS 14.5 和更新版本

裝置管理

已終止在具有工作配置檔的 Android Enterprise 公司擁有裝置上重新啟動遠端動作的支援

公司擁有且具有工作配置檔的裝置上重新 啟動 遠端動作的支援已結束。 已從具有工作配置檔的公司擁有裝置的 [裝置] 頁面中移除 [重新啟動] 按鈕。 如果您嘗試使用大量裝置動作重新啟動裝置,公司擁有的工作配置檔裝置將不會重新啟動,而且這些裝置動作會標示為 「不支援」。 大量裝置動作中包含的其他裝置類型將會如常重新啟動該動作。

Windows 10/11 企業版多重會話支援 (公開預覽)

Windows 10/11 企業版多重會話是 Azure 上 Azure 虛擬桌面專屬的新遠端桌面會話主機,可允許多個並行使用者會話。 這項功能可為使用者提供熟悉的 Windows 用戶端體驗,而 IT 可以受益於多重會話的成本優勢,並使用現有的每位使用者 Microsoft 365 授權。

Microsoft Intune 可讓您使用裝置型設定來管理多重會話遠端桌面,例如共用、無使用者的 Windows 用戶端。 您現在可以在 Intune 中自動註冊 Microsoft Entra 混合式聯結的 VM,並以 OS 範圍原則和應用程式為目標。

您可以:

  • 使用 Azure 上 Azure 虛擬桌面專屬的 Windows 10/11 企業版多重會話 SKU 來裝載多個並行使用者會話。
  • 使用裝置型設定管理多重會話遠端桌面,例如共用、無使用者 Windows 10/11 企業版用戶端。
  • 在 Intune 中自動註冊 Microsoft Entra 混合式聯結的虛擬機,並以裝置範圍原則和應用程式作為目標。

如需詳細資訊,請參閱 Windows 10/11 企業版多重會話遠端桌面

在 Intune 系統管理中心使用篩選來指派原則

將應用程式或原則指派給群組時,可以使用新的 [篩選 ] 選項。 若要建立篩選,請移至:

  • 設備>過濾器>創建
  • 應用程式>過濾器>創建
  • 租使用者管理>過濾器>創建

您可以使用裝置屬性來篩選受影響裝置的範圍。 例如,您可以篩選 OS 版本、裝置製造商等等。 建立篩選之後,您可以在指派原則或配置檔時使用篩選。

如需詳細資訊,請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選

適用於:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

使用 Intune 原則加速安裝 Windows 10/11 安全性更新

在公開預覽版中,您可以使用 Intune 的 Windows 10 品質更新原則,將最新的 Windows 10/11 安全性更新安裝到您使用 Intune 管理的裝置。

當您加速更新時,裝置可以儘快開始下載和安裝更新,而不需要等待裝置簽入更新。 除了加速安裝更新之外,使用此原則會讓您現有的更新部署原則和程式保持不變。

若要協助監視加速更新,您可以使用下列選項:

裝置安全性

Windows 安全性 體驗配置檔支援三狀態設定

針對 Windows 10 裝置,我們已將端點安全性防病毒軟體原則 Windows 安全性 體驗配置檔中的雙狀態設定更新為三狀態設定。

配置檔中大部分的設定先前僅支援 [ ] 和 [ 未設定] 兩個選項。 接下來,這些相同的設定現在包含 [是]、[ 未設定] 和 [ 否] 的新選項。

  • 針對現有的配置檔,設定為 [未設定 ] 的設定會維持為 [未設定]。 當您建立新的設定檔或編輯現有的設定檔時,您現在可以選擇明確指定 [否]

此外,下列資訊也適用於 [Windows 安全性 應用程式] 設定中的 [隱藏病毒和威脅防護] 區域設定,以及其子系 [在 Windows 安全性 應用程式設定中隱藏勒索軟體數據復原] 選項

  • 如果父設定 (隱藏病毒和威脅防護區域) 設定為 [未設定] ,且子設定已設定為 [ ],則父系和子系設定會設定為 [ 未設定]

新的 Microsoft Tunnel 閘道版本

我們發行了 新版 的 Microsoft Tunnel 閘道。 其中包含下列變更:

  • 次要錯誤修正。
  • 具有所有相依性之安全性更新的映像更新。

對於設定為自動更新的月臺,通道閘道閘道伺服器會自動更新為新版本。 對於設定為手動更新的網站,您必須核准更新。

適用於政府雲端的 Jamf 受控 macOS 裝置上的條件式存取現已可供使用

您現在可以使用 Intune 的合規性引擎來評估適用於政府雲端的 Jamf 受控 macOS 裝置。 若要這樣做,請啟用 Jamf 的合規性連接器。 如需詳細資訊,請參閱 整合 Jamf Pro 與 Intune 以符合規範

Microsoft Tunnel 閘道的變更

我們本月會針對 Microsoft Tunnel 閘道宣佈一組更新:

  • Microsoft Tunnel 閘道現已正式推出
    在此服務版本中, Microsoft Tunnel 閘道 現在已不在預覽狀態,且已正式推出。 雖然 Microsoft Tunnel 閘道伺服器元件已超出預覽狀態,但下列 Microsoft Tunnel 用戶端應用程式仍處於預覽狀態:

    • 適用於 Android 的 Microsoft Tunnel 獨立應用程式
    • 適用於 iOS 的 Microsoft Tunnel 獨立應用程式
    • 支援適用於 Android 的 Microsoft Tunnel 適用於端點的 Microsoft Defender
  • 適用於 Android 的 Microsoft Tunnel 適用於端點的 Microsoft Defender VPN 設定檔中的自訂設定支援

    當您使用 適用於端點的 Microsoft Defender 作為適用於 Android 的 Microsoft Tunnel 用戶端應用程式,以及作為 MTD) 應用程式 (行動威脅防護時,您現在可以在適用於 Microsoft Tunnel 的 VPN 配置檔中使用自定義設定來設定 適用於端點的 Microsoft Defender。

    在此案例中,使用自定義設定在 VPN 設定檔中設定 適用於端點的 Microsoft Defender,就不需要為 適用於端點的 Microsoft Defender 部署個別的應用程式組態設定檔。

    針對下列平臺,您可以選擇使用 VPN 設定檔中的自訂設定,或使用個別的應用程式組態設定檔進行 適用於端點的 Microsoft Defender:

    • Android Enterprise 完全受控
    • Android Enterprise Corporate-Owned 工作配置檔

    不過,針對Android Enterprise 個人擁有的工作配置檔, 請只 使用具有自定義設定的 VPN 設定檔。 收到個別應用程式組態配置檔以供 適用於端點的 Microsoft Defender 和 Microsoft Tunnel VPN 配置檔的個人擁有工作配置檔裝置可能無法連線到 Microsoft Tunnel。

監視及疑難排解

提供應用程式安裝狀態的新作業報告

新的 應用程式安裝狀態 報告會提供應用程式清單,其中包含版本和安裝詳細數據。 應用程式安裝詳細數據會包含為清單中的個別數據行。 此外,安裝詳細數據會提供裝置和使用者的應用程式安裝和失敗總計。 您也可以排序和搜尋此報表。 在 [Microsoft Intune 系統管理中心] 中,選取 [應用程式>監視器>應用程式安裝狀態]。 如需 Intune 中報表的詳細資訊,請參閱 Intune 報告

提供以裝置為基礎的應用程式安裝狀態的新作業報告

根據選取的應用程式,新的 裝置安裝狀態 報告會提供與特定應用程式相關的裝置和狀態資訊清單。 與裝置相關的應用程式安裝詳細數據包括 UPN平臺版本狀態狀態詳細數據上次簽入。 您也可以排序、篩選及搜尋此報表。 在 [Microsoft Intune 系統管理中心] 中,選取 [應用程式>][所有應用程式>][選取應用程式>裝置安裝狀態]。 如需 Intune 中報表的詳細資訊,請參閱 Intune 報告

新的作業報告,提供以用戶為基礎的應用程式安裝狀態

根據選取的應用程式,新的 使用者安裝狀態 報告會提供與特定應用程式相關的使用者和狀態資訊清單。 與使用者相關的應用程式安裝詳細數據包括 名稱UPN失敗安裝擱置未安裝不適用。 您也可以排序、篩選及搜尋此報表。 在 Microsoft Intune 系統管理中心,選取 [應用程式>][所有應用程式>][選取應用程式>使用者安裝狀態]。 如需 Intune 中報表的詳細資訊,請參閱 Intune 報告

使用 v1.0 或 beta 圖形 API 匯出 Intune 報表

Intune 報告導出 API 現在可在 Graph v1.0 中使用,並可繼續在 Graph Beta 中使用。 如需詳細資訊,請參閱 Intune 報表使用圖形 API 匯出 Intune 報表

指令碼

Android 開放原始碼專案裝置支援的新屬性值

IntuneAosp 舉現在支援 managementAgentType 屬性值。 這個 ManagementAgentTypeID 屬性的值為 2048。 它代表 Intune 的 MDM for AOSP (Android 開放原始碼專案) 裝置所管理的裝置類型。 如需詳細資訊,請參閱 Intune Data Warehouse API 的 beta 區段中的 managementAgentType

2021 年 4 月

應用程式管理

iOS 版 公司入口網站 中更新的隱私權畫面

我們已在 公司入口網站 隱私權畫面中新增更多文字,以釐清 公司入口網站 如何使用收集的數據。 它可確保使用者所收集的數據只會用來驗證裝置是否符合其組織的原則。

裝置指派必要應用程式的安裝狀態

從 Windows 公司入口網站 或 公司入口網站 網站的 [已安裝的應用程式] 頁面,終端使用者可以檢視裝置指派必要應用程式的安裝狀態和詳細數據。 除了使用者指派必要應用程式的安裝狀態和詳細數據之外,還會提供這項功能。 如需 公司入口網站 的詳細資訊,請參閱如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

控制台中顯示的 Win32 應用程式版本

Win32 應用程式的版本現在會顯示在 Microsoft Intune 系統管理中心。 應用程式版本會在 [ 所有應用程式] 清單中提供,您可以在其中依 Win32 應用程式進行篩選,然後選取選擇性 版本數據行 。 在 [Microsoft Intune 系統管理中心] 中,選取 [應用程式>所有應用程式>>數據行版本],以在應用程式清單中顯示應用程式版本。 如需詳細資訊,請參閱 Microsoft Intune 中的 Win32 應用程式管理

iOS 裝置上應用程式條件式啟動的作業系統版本設定上限

使用 Intune 應用程式保護原則,您可以新增新的條件式啟動設定,以確保終端使用者不會使用任何發行前版本或 Beta OS 組建來存取 iOS 裝置上的工作或學校帳戶數據。 此設定可確保使用者在iOS裝置上主動使用新的OS功能之前,可以先審查所有作業系統版本。 在 Microsoft Intune 系統管理中心,選取 [應用程式>應用程式防護 原則]。 如需詳細資訊,請 參閱如何建立和指派應用程式保護原則

裝置設定

使用 Apple Setup Assistant (公開預覽版的新式驗證方法)

建立自動化裝置註冊配置檔時,您現在可以選擇新的驗證方法: 使用新式驗證設定助理。 此方法提供設定助理的所有安全性,但可避免讓使用者停滯在裝置上,而無法在裝置上安裝 公司入口網站 的問題。 用戶必須使用 Microsoft Entra 多重要素驗證在安裝程式 助理 畫面期間進行驗證。 若要存取受條件式存取保護的公司資源,這項功能需要在 公司入口網站 應用程式中 Microsoft Entra 登入後登入。 正確的 公司入口網站 版本會自動傳送為 iOS/iPadOS 裝置的必要應用程式。 針對 macOS,以下是在裝置上取得 公司入口網站 的選項 - 新增 macOS 應用程式的 公司入口網站

註冊會在使用者登陸主畫面後完成,而且使用者可以自由使用裝置來取得不受條件式存取保護的資源。 當使用者在安裝畫面之後登陸主畫面時,就會建立用戶親和性。 不過,在 公司入口網站 登入之前,裝置不會向 Microsoft Entra ID 完全註冊。 在 公司入口網站 登入之前,裝置不會顯示在 Microsoft Entra 系統管理中心 中指定使用者的裝置清單中。 如果租用戶已針對這些裝置或用戶開啟多重要素驗證,系統會要求使用者在安裝助理期間完成多重要素驗證。 不需要多重要素驗證,但可視需要在條件式存取內使用此驗證方法。

此方法有下列選項可安裝 公司入口網站:

  • 針對 iOS/iPadOS:針對 iOS/iPadOS 選擇此流程時,[安裝 公司入口網站] 設定將不存在。 當使用者移至主畫面時,公司入口網站 應用程式將會是裝置上具有正確應用程式設定原則的必要應用程式。 若要存取受條件式存取保護的資源並完全 Microsoft Entra 註冊,用戶必須在註冊之後,使用 Microsoft Entra 認證登入 公司入口網站 應用程式。
  • 針對macOS:用戶必須登入 公司入口網站,才能完成 Microsoft Entra 註冊,並取得受條件式存取保護之資源的存取權。 終端使用者在登陸首頁之後,將不會鎖定 公司入口網站 應用程式。 但是,必須有另一個登入 公司入口網站 應用程式,才能存取公司資源並符合規範。 如需詳細資訊,請參閱新增macOS公司入口網站 應用程式

如需如何在 iOS/iPadOS 裝置上使用此驗證方法的資訊,請參閱 使用 Apple 的自動裝置註冊來自動註冊 iOS/iPadOS 裝置

如需如何在 macOS 裝置上使用此驗證方法的資訊,請參閱使用 Apple Business Manager 或 Apple School Manager 自動註冊 macOS 裝置

已更新 Android Enterprise 裝置的 OEMConfig 原則報告

在 Android Enterprise 裝置上,您可以建立 OEMConfig 原則來新增、建立及自定義 OEM 特定設定。 現在,原則報告已更新,以在使用者、裝置和原則中的每個設定上顯示成功。

如需詳細資訊,請參閱在 Microsoft Intune 中透過 OEMConfig 使用和管理 Android 企業版裝置

適用於:

  • Android Enterprise

在執行 14.2 和更新版本的 iOS/iPadOS 裝置上停用 NFC 配對

在受監督的 iOS/iPadOS 裝置上,您可以建立裝置限制配置檔,以停用 NFC (裝置>>組態建立>iOS/iPadOS 的平臺>裝置限制配置檔>連線裝置>停用近距離欄位通訊 (NFC) ) 。 當您停用此功能時,它會防止裝置與其他已啟用NFC的裝置配對,並停用NFC。

若要查看此設定,請移至 iOS 和 iPadOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • iOS/iPadOS 14.2 和更新版本

裝置管理

尋找 Windows 用戶端裝置的裝置遠端動作

您現在可以使用新的尋找裝置遠端動作來取得裝置的地理位置。 支援的裝置包括:

  • Windows 11
  • Windows 10 版本 20H2 (10.0.19042.789) 或更新版本
  • Windows 10 版本 2004 (10.0.19041.789) 或更新版本
  • Windows 10 版本 1909 (10.0.18363.1350) 或更新版本
  • Windows 10 版本 1809 (10.0.17763.1728) 或更新版本

若要查看新的動作,請登入 Microsoft Intune 系統管理中心,然後選擇 [裝置>][Windows> 選擇裝置][尋找裝置>]。

此動作的運作方式與 Apple 裝置目前的 [ 尋找裝置] 動作 (類似,但不會包含任何遺失模式功能) 。

裝置上必須啟用位置服務,此遠端動作才能運作。 如果 Intune 無法擷取裝置的位置,且使用者已在裝置設定中設定預設位置,則會顯示預設位置。

Microsoft Intune 終止對 Android 5.x 的支援

Microsoft Intune 不再支援Android 5.x裝置。

支持顯示公司 Android Enterprise 裝置的電話號碼

對於使用工作配置檔 (專用、完全受控和完全管理的公司 Android Enterprise 裝置) ,相關聯的裝置電話號碼現在會顯示在 Microsoft Intune 系統管理中心。 如果多個數位與裝置相關聯,則只會顯示一個數位。

iOS/iPadOS 裝置的 EID 屬性支援

eSIM 識別碼 (EID) 是內嵌 SIM (eSIM) 的唯一識別符。 EID 屬性現在會出現在 iOS/iPadOS 裝置的硬體詳細數據頁面上。

布建共用裝置 Microsoft Entra Intune 支援

使用 Microsoft Authenticator 自動設定為 Microsoft Entra 共用裝置模式佈建 Android Enterprise 專用裝置的能力現已正式推出。 如需如何使用此註冊類型的詳細資訊,請參閱 設定Android Enterprise專用裝置的Intune註冊

檢視功能更新配置檔的支持結束詳細數據

為了協助您針對使用 Intune 部署的 Windows 10 功能更新規劃終止服務,Microsoft Intune 系統管理中心的功能 匯報 配置檔有新的資訊數據行。

第一個新數據行會顯示狀態。 此狀態會識別配置檔中的更新何時接近或已到達其終止服務的時間。 第二個數據行會顯示該服務結束日期。 當更新到達其服務結束時,它就不會再部署到裝置,而且可以從Intune中移除原則。

新的資料列與詳細資料包括:

  • 支援 – 此資料列會顯示功能更新的狀態:

    • 支援 – 發佈支援更新。
    • 支持結束 – 更新是在服務結束日期的兩個月內。
    • 不支援 – 更新已到達服務結束日期,已不再支援。
  • 支援結束日期 – 此資料列會顯示設定檔中功能更新的服務結束日期。

如需 Windows 10 版本服務結束日期的相關信息,請參閱 Windows 版本健康情況檔中的 Windows 10 版本資訊

裝置安全性

使用防病毒軟體配置檔來防止或允許合併裝置上的防病毒軟體排除清單

您現在可以將 Defender 本機系統管理員合併設定為 Microsoft Defender 防病毒軟體設定檔中的設定,以封鎖合併 Windows 10 裝置上 Microsoft Defender 防病毒軟體的本機排除清單。

Microsoft Defender 防病毒軟體的排除清單可以在本機裝置上設定,並由Intune防病毒軟體原則指定:

  • 合併排除清單時,本機定義的排除專案會與 Intune 的排除項目合併。
  • 封鎖合併時,只有原則的排除專案才會在裝置上生效。

如需此設定和相關設定的詳細資訊,請參閱 Microsoft Defender 防病毒軟體排除專案]

改善 Surface Duo 裝置上的條件式存取流程

我們已簡化 Surface Duo 裝置上的條件式存取流程。 這些變更會自動發生,且不需要系統管理員進行任何組態更新。 (端點安全>性條件式存取)

在 Duo 裝置上:

  • 當條件式存取封鎖對資源的存取時,用戶現在會重新導向至裝置上預安裝的 公司入口網站 應用程式。 先前,它們已傳送至 公司入口網站 應用程式的 Google Play 商店清單。
  • 對於註冊為個人擁有工作配置檔的裝置,當用戶嘗試使用其工作認證登入個人版的應用程式時,它們現在會傳送至顯示指引訊息之 公司入口網站 的工作版本。 之前,用戶已傳送至個人版 公司入口網站 應用程式的Google Play商店清單。 他們必須重新啟用個人 公司入口網站 應用程式,才能查看指引訊息。

設定套用至通道閘道閘道伺服器升級的選項

我們新增了可協助您管理 Microsoft Tunnel 閘道伺服器升級的選項。 新選項適用於 Sites 組態,並包含:

  • 為每個通道月臺設定 維護期間 。 此視窗會定義指派給該網站的通道伺服器何時可以開始升級。

  • 設定 伺服器升級類型,以決定站臺上的所有伺服器如何繼續升級。 您可以在以下項之間進行選擇:

    • 自動 - 站臺上的所有伺服器都會在新伺服器版本可用之後,儘快升級。
    • 手動 - 只有在系統管理員明確選擇允許升級之後,站臺上的伺服器才會升級。
  • [ 健康情況檢查] 索引標籤 現在會顯示伺服器軟體版本的狀態,以協助您瞭解通道伺服器軟體何時過期。 狀態包括:

    • 狀況良好 - 最新軟體版本的最新版本。
    • 警告 - 一個版本後置
    • 狀況不良 - 後置兩個或多個版本

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Omnipresence Go by Omnipresence Technologies, Inc.
  • 建置機器人,Inc.
  • M-Files Corporation 的 Intune M-Files

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

監視及疑難排解

用來篩選新作業報表數據的新UI

新的作業報表現在將支援新的UI來新增資料篩選。 新的篩選條件提供改善的體驗,以協助配量、精簡及檢視報表數據。 如需 Intune 中報表的詳細資訊,請參閱 Intune 報告

端點分析中的 Windows 重新啟動頻率報告已正式推出

端點分析 啟動效能 目前為 IT 提供深入解析,以測量及優化計算機開機時間。 不過,重新啟動頻率可能會對用戶體驗造成影響,因為因為藍色螢幕而每天重新啟動的裝置,即使開機時間很快,用戶體驗也會很差。 我們現在已在組織內包含重新啟動頻率的報告,以協助您找出有問題的裝置。 如需詳細資訊,請參閱 端點分析中的重新啟動頻率

2021 年 3 月

應用程式管理

適用於 macOS 裝置的 Intune 管理代理程式現在是通用應用程式

當您從 Microsoft Intune 部署 macOS 裝置的殼層腳本或自定義屬性時,它會部署在 Apple Silicon Mac 計算機上以原生方式執行的新通用版 Intune 管理代理程式應用程式。 相同的部署會在 Intel Mac 電腦上安裝 x64 版本的應用程式。 Rosetta 2 必須在 Apple Silicon Mac 上執行 x64 (Intel) 版應用程式。 若要在 Apple Silicon Mac 上自動安裝 Rosetta 2,您可以在 Intune 中部署殼層腳本。 如需詳細資訊,請參閱 macOS Microsoft Intune 管理代理程式

macOS 裝置的 Microsoft 365 Apps 現在是通用應用程式

當您從 Microsoft Intune 部署 macOS 裝置的 Microsoft 365 Apps 時,它現在會部署在 Apple Silicon Mac 上以原生方式執行的新通用應用程式版本。 相同的部署會在執行 macOS 10.14 和更新版本的 Intel Mac 上安裝 x64 版本的應用程式。 若要新增 macOS 的 Microsoft 365 Apps,請在 Microsoft Intune 系統管理中心>[所有應用程式新增] >中新增應用程式>。 在 [應用程式類型] 清單的 [Microsoft 365 Apps] 下選取 [macOS]。 如需詳細資訊,請參閱使用 Microsoft Intune 將 Microsoft 365 指派給 macOS 裝置

Microsoft Launcher 應用程式的更多設定金鑰

您現在可以在 Android Enterprise 公司擁有完全受控裝置上設定 Microsoft Launcher 的資料夾組態設定。 藉由使用應用程式設定原則和組態索引鍵值,您可以設定資料夾圖形、開啟至全螢幕的資料夾,以及資料夾捲動方向的值。 此外,除了放置應用程式和 Web 連結之外,您還可以將資料夾放置在主畫面上。 此外,您可以選擇允許終端使用者修改應用程式內的資料夾樣式值。 如需 Microsoft Launcher 的詳細資訊,請參閱使用 Intune 設定適用於 Android Enterprise 的 Microsoft Launcher

在 Intune 中支援 Win32 應用程式取代

我們已在 Intune 中啟用應用程式取代的公開預覽。 您現在可以在應用程式之間建立取代關聯性,這可讓您使用相同應用程式的較新版本或完全不同的 Win32 應用程式來更新和取代現有的 Win32 應用程式。 如需詳細資訊,請參閱 Win32 應用程式取代

Android 裝置上應用程式條件式啟動的操作系統版本設定上限

使用 Intune 應用程式保護原則,您可以新增新的條件式啟動設定,以確保終端使用者不會使用任何發行前版本或 Beta OS 組建來存取 Android 裝置上的工作或學校帳戶數據。 此設定可確保使用者在 Android 裝置上主動使用新的 OS 功能之前,可以先審查所有 OS 版本。 在 Microsoft Intune 系統管理中心,此設定位於應用程式>應用程式防護 原則中。 如需詳細資訊,請 參閱如何建立和指派應用程式保護原則

裝置設定

新版的 PFX 憑證連接器

我們發行了新版的 PFX 憑證連接器 6.2101.16.0 版。 此更新新增了 PFX 建立流程的改善,以防止裝載連接器的內部部署伺服器上的憑證要求檔案重複。

如需憑證連接器的詳細資訊,包括這兩個憑證連接器的連接器版本清單,請參閱 憑證連接器

使用 Cisco AnyConnect 作為 Windows 10/11 和 Windows Holographic for Business 的 VPN 連線類型

您可以使用 Cisco AnyConnect 作為連線類型建立 VPN 配置檔 (>> 裝置組態建立>Windows 10 及更新版本,以用於設定檔 >Cisco AnyConnect 的平臺 >VPN,) 不需要使用自定義設定檔。

此原則會使用 Microsoft Store 中提供的 Cisco AnyConnect 應用程式。 它不會使用 Cisco AnyConnect 傳統型應用程式。

如需 Intune 中 VPN 設定檔的詳細資訊,請參閱 建立 VPN 配置檔以連線到 VPN 伺服器

適用於:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

在 Windows 10/11 裝置上,以單一應用程式 kiosk 模式執行 Microsoft Edge 87 版和更新版本

在 Windows 用戶端裝置上,您會將裝置設定為執行一個應用程式的 kiosk,或執行許多應用程式 (>> 裝置組態建立>Windows 10 及更新版本的平臺>>本Kiosk) 。 當您選取單一應用程式模式時,您可以:

  • 執行 Microsoft Edge 87 版和更新版本。
  • 取 [新增 Microsoft Edge 舊版瀏覽器 ] 以執行 Microsoft Edge 77 版和更新版本。

如需有關您可以在 kiosk 模式中設定之設定的詳細資訊,請參閱 Windows 用戶端裝置的 Kiosk 設定

適用於:

  • 在單一應用程式 kiosk 模式中 Windows 11
  • 在單一應用程式 kiosk 模式中 Windows 10
  • Microsoft Edge 87 版和更新版本
  • Microsoft Edge 77 版和更舊版本

系統管理範本可在 [設定目錄] 中取得,並具有更多設定

在 Intune 中,您可以使用系統管理範本來建立原則 (>> 裝置組態建立>Windows 10 及更新版本,以用於配置檔) 的平台>系統管理範本

在 [設定類別目錄] 中,系統管理範本也可供使用,並且在 [裝置>>>組態建立] (有更多設定 Windows 10 及更新版本用於配置檔) 的平台>設定目錄

在此版本中,系統管理員可以設定僅存在於內部部署組策略中,且無法在雲端式 MDM 中使用的其他設定。 這些設定適用於 Windows 測試人員 用戶端端點組建,而且可能會回溯至市場內 Windows 版本,例如 1909、2004 或 2010。

如果您想要建立系統管理範本,並使用 Windows 公開的所有可用設定,請使用 [設定目錄]。

如需詳細資訊,請參閱:

適用於:

  • Windows 11
  • Windows 10

macOS 的設定目錄中會移除更多 Microsoft Edge 設定和設定類別

在macOS裝置上,您可以使用 [設定目錄] 來設定 Microsoft Edge 77 版和更新版本的 (裝置>設定>建立>適用於平臺>設定目錄macOS) 。

在此版本中:

  • 新增更多 Microsoft Edge 設定。
  • 暫時移除設定類別。 若要尋找特定設定,請使用 [Microsoft Edge - 所有 ] 類別,或搜尋設定名稱。 如需設定清單,請參閱 Microsoft Edge - 原則

如需設定目錄的詳細資訊,請參閱 使用設定目錄來設定設定

適用於:

  • macOS
  • Microsoft Edge

雲端設定中的 Windows 10/11 可作為引導式案例

雲端設定中的 Windows 10/11 是 Microsoft 建議的裝置設定,適用於 Windows 10/11。 雲端設定中的 Windows 10/11 已針對雲端進行優化,並專為具有焦點工作流程需求的用戶而設計。

有一個引導式案例會自動新增應用程式,並建立在雲端設定中設定 Windows 10/11 裝置的原則。

如需詳細資訊,請參閱雲端設定中 Windows 10/11 的引導式案例

適用於:

  • Windows 11
  • Windows 10

裝置註冊

註冊計劃令牌的同步狀態

已移除 [ 註冊計劃令牌 ] 窗格上所列自動化裝置註冊令牌的同步狀態,以將混淆降至最低。 每個令牌信息會繼續顯示。 註冊計劃令牌可用來管理使用 Apple Business Manager 和 Apple School Manager 的自動裝置註冊。 在 Microsoft Intune 系統管理中心,您可以選取 [裝置> iOS/iPadOSiOS/iPadOS 註冊>計劃令牌] 來尋找iOS/>iPadOS 裝置的令牌清單。 若要尋找 macOS 裝置的令牌清單,請選取 [ 裝置>macOS macOS>註冊註冊>計劃令牌]。 如需詳細資訊,請 參閱自動註冊 iOS/iPadOS 裝置自動註冊 macOS 裝置

裝置管理

先前,我們建議您不要超過每個自動裝置註冊的 60,000 個 iOS/iPadOS 或 macOS 裝置 (ADE) 令牌。 此建議的限制現在會增加到每個令牌 200,000 個裝置。 如需 ADE 令牌的詳細資訊,請參閱 使用 Apple 的自動裝置註冊來自動註冊 iOS/iPadOS 裝置

更新 [所有裝置] 檢視和 [導出] 報表中的數據行名稱

為了正確反映數據行中的數據,我們已將 [所有裝置] 檢視中的數據行名稱和 [匯出] 報表更新為 [主要使用者 UPN]、[ 主要使用者電子郵件位址] 和 [ 主要使用者] 顯示名稱

Internet Explorer 11 終止支援

Intune 將於 2021 年 3 月 31 日終止對 管理員 入口網站 Web 應用程式 UI 的 Internet Explorer 11 系統管理員存取支援。 在該時間之前移至Edge或其他 支援的瀏覽器 ,以管理您在 Azure 上建置的任何 Microsoft 服務。

收集診斷遠程動作

新的遠端動作 [收集診斷] 可讓您從公司裝置收集記錄,而不會中斷或等候使用者。 收集的記錄包括 MDM、Autopilot、事件查看器、金鑰、Configuration Manager 用戶端、網路和其他重大疑難解答記錄。 如需詳細資訊,請參閱 從 Windows 裝置收集診斷

匯出裝置數據的新選項

匯出裝置資料時可使用下列新選項:

  • 只在導出的檔案中包含選取的數據行。
  • 在導出的檔案中包含所有清查數據。 若要查看這些選項,請移至 Microsoft Intune 系統管理中心>裝置>所有裝置>導出]

裝置安全性

在 Android Enterprise 裝置之 SCEP 和 PKCS 憑證配置文件的主體和 SAN 中使用變數 CN={{UserPrincipalName}}

您現在可以在 PKCS 憑證配置檔的主體或 SAN 中使用 User 屬性 CN={{UserPrincipalName}} 變數,或針對 Android 裝置使用 SCEP 憑證配置檔。 此支援需要裝置具有使用者,例如註冊為:

  • Android Enterprise 完全受控
  • Android Enterprise 個人擁有的工作配置檔

沒有使用者關聯的裝置不支援用戶屬性,例如已註冊為 Android Enterprise 專用的裝置。 例如,當裝置上沒有使用者時,主旨或 SAN 中使用的 CN={{UserPrincipalName}} 設定檔無法取得使用者主體名稱。

在 Android 和 iOS 上使用適用於端點的 Defender 應用程式保護原則

您現在可以在執行 Android 或 iOS 之裝置的應用程式保護原則中使用 適用於端點的 Microsoft Defender

  • 設定 MAM 條件式啟動原則,以在 iOS 裝置和 Android 裝置上包含來自 適用於端點的 Microsoft Defender 的最大允許威脅等級訊號。
  • 根據裝置是否符合預期的威脅層級,選擇 [封鎖存取 ] 或 [ 抹除數據 ]。

設定後,系統會提示終端使用者從適用的應用程式市集安裝和設定 適用於端點的 Microsoft Defender 應用程式。 必要條件是,您必須設定 適用於端點的 Microsoft Defender 連接器,並切換開關以將風險數據傳送至您的應用程式保護原則。 如需詳細資訊,請參閱 應用程式防護 原則概觀在 Microsoft Intune 中使用 適用於端點的 Microsoft Defender

設定受攻擊面縮小規則,以封鎖惡意代碼透過WMI取得持續性

您現在可以設定名為 「透過 WMI 事件訂閱封鎖持續性 」的規則,作為端點安全性中 受攻擊面縮小規則 配置檔的一部分。

此規則可防範惡意程式碼濫用 WMI,以獲得裝置上的持續性。 無檔案威脅會採用各種策略來保持隱藏,以避免在檔案系統中顯示,以及取得定期執行控制。 某些威脅可能會濫用 WMI 存放庫和事件模型來保持隱藏。

當設定為端點安全的攻擊面縮小原則設定時,可以使用下列選項:

  • 未設定 (預設) – 設定會回到 Windows 預設值,該預設值已關閉且不會封鎖持續性。
  • 封鎖 – 封鎖透過 WMI 的持續性。
  • 稽核 – 評估啟用此規則 (設定為 [封鎖) , 會對您的組織產生何種影響。
  • 停用 - 關閉此規則。 不會封鎖持續性。

此規則不支援 [警告 ] 選項,也可作為 [設定] 目錄中的 [裝置組 態] 設定

Microsoft Tunnel 的更新

我們發行了 新版 的 Microsoft Tunnel 閘道,其中包含下列變更:

  • 各種錯誤修正和增強功能。

Tunnel 閘道伺服器會自動更新為新版本。

Microsoft Tunnel 閘道伺服器的健康情況狀態詳細數據

我們已新增在 Microsoft Intune 系統管理中心內查看 Tunnel 閘道伺服器詳細健康狀態資訊的能力。

在新的 [ 健康情況檢查 ] 索引標籤上,您會看到下列資訊:

  • 上次簽入 - 伺服器上次使用 Intune 簽入的時間。
  • 目前連線的數目 - 上次簽入時的作用中聯機數目
  • 輸送量 - 在上次簽入時周遊 的 NIC 每秒 MB 數。
  • CPU 使用量 - 平均 CPU 使用量。
  • 記憶體使用量 - 平均記憶體使用量。
  • 延遲 - IP 封包周遊 NIC 的平均時間。
  • TLS 憑證到期狀態和到期前的天數 - 保護通道之用戶端對伺服器通訊的 TLS 憑證持續有效的時間長度。

適用於 Android 的 適用於端點的 Microsoft Defender 應用程式中的 Tunnel 用戶端功能公開預覽

如 Ignite 所宣佈,Microsoft Tunnel 用戶端功能正在移轉至 適用於端點的 Microsoft Defender 應用程式。 在此預覽版中,您可以開始使用預覽版的 適用於端點的 Microsoft Defender 作為支援裝置的通道應用程式。 現有的 Tunnel 用戶端仍可供使用,但最終會淘汰,而改用適用於端點的 Defender 應用程式。

此公開預覽適用於:

  • Android Enterprise
    • 完全受控
    • 公司擁有的工作配置檔
    • 個人擁有的工作配置檔

在此預覽版中,您必須選擇加入以存取預覽版的 適用於端點的 Microsoft Defender,然後將支援的裝置從獨立通道用戶端應用程式移轉至預覽應用程式。 如需詳細資訊,請參閱移轉至 適用於端點的 Microsoft Defender 應用程式

Intune 應用程式

Microsoft Launcher 設定金鑰

針對完全受控的 Android Enterprise 裝置,適用於 Intune 的 Microsoft Launcher 應用程式現在提供更多自定義功能。 在 Launcher 中,您可以設定一組顯示的應用程式和 Web 連結,以及這些應用程式和 Web 連結的順序。 應用程式組態的顯示應用程式清單和位置 (順序) 已合併在一起,以簡化主畫面自定義。 如需詳細資訊, 請參閱設定 Microsoft Launcher

適用於 macOS 裝置的 Microsoft Edge 將會是通用應用程式

當您從 Microsoft Intune 部署適用於 macOS 裝置的 Microsoft Edge 應用程式時,它現在會部署在 Apple Silicon Mac 上以原生方式執行的新通用應用程式版本。 相同的部署會在 Intel Mac 上安裝 x64 版本的應用程式。 若要新增適用於 macOS 的 Microsoft Edge,請在 Microsoft Intune 系統管理中心>新增所有>應用程式>Microsoft Edge 版本 77 和更新版本下的 [應用程式類型] 清單中,選取 [macOS]。 如需詳細資訊,請參閱使用 Microsoft Intune 將 Microsoft Edge 新增至 macOS 裝置

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • FleetSafer by Cogosense Technology Inc.
  • Senses by Mazrica Inc.
  • Fuze Mobile for Intune by Fuze, Inc.
  • MultiLine for Intune by Movius Interactive Corporation

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

改善 iOS/iPadOS 公司入口網站 應用程式中的通知體驗

公司入口網站 應用程式現在可以從 Microsoft Intune 系統管理中心儲存並顯示傳送給使用者 iOS/iPadOS 裝置的推播通知。 選擇接收 公司入口網站 推播通知的使用者,可以在 公司入口網站 的 [通知] 索引標籤中,檢視和管理您傳送給其裝置的自定義預存郵件。 如需詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

公司入口網站 網站改善負載效能

為了改善頁面載入效能,應用程式圖示現在會以批次方式載入。 使用者在造訪 公司入口網站 網站時,可能會看到某些應用程式的佔位元圖示。 相關圖示會在稍後載入。 如需 公司入口網站 的詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式從 公司入口網站 網站管理應用程式

監視及疑難排解

Microsoft 採用分數中的端點分析

Microsoft 採用分數中有新的端點分析頁面,可與 Microsoft Intune 以外的其他角色共用組織層級深入解析。 瞭解您的裝置如何為用戶的體驗做出貢獻,對於讓使用者達成其目標至關重要。 如需詳細資訊,請參閱 Microsoft 採用分數中的端點分析

端點分析應用程式可靠性報告

端點分析中提供新的 應用程式可靠性 報告。 此報告可讓您深入了解電腦上傳統型應用程式的潛在問題。 您可以快速識別影響用戶生產力的熱門應用程式,並查看這些應用程式的匯總應用程式使用量和應用程式失敗計量。 您可以深入瞭解特定裝置,並檢視應用程式可靠性事件的時間軸,以進行疑難解答。 此報告預期會在 2021 年 3 月公開預覽中提供。 如需詳細資訊,請參閱 端點分析應用程式可靠性

在端點分析中 (預覽) 重新啟動頻率

端點分析 啟動效能 目前為 IT 提供深入解析,以測量及優化計算機開機時間。 不過,重新啟動頻率可能會對用戶體驗造成影響,因為因為藍色螢幕而每天重新啟動的裝置,即使開機時間很快,用戶體驗也會很差。 我們現在已在組織內包含重新啟動頻率的預覽報告,以協助您識別有問題的裝置。 如需詳細資訊,請 參閱端點分析中的重新啟動頻率 (預覽)

角色型存取控制

Microsoft Tunnel 閘道的角色型訪問許可權更新

為了協助控制誰有權管理 Microsoft Tunnel,我們已將 Microsoft Tunnel 閘道 新增為 Intune 角色型存取控制的新許可權群組。 這個新群組包含下列權限:

  • 建立 - 設定 Microsoft Tunnel 閘道伺服器、伺服器組態和月臺。
  • 更新 (修改) - 更新 Microsoft Tunnel 閘道伺服器、伺服器組態和月臺。
  • 刪除 - 刪除 Microsoft Tunnel 閘道伺服器、伺服器組態和月臺。
  • 取 - 檢視 Microsoft Tunnel 閘道伺服器、伺服器組態和月臺。

根據預設,Intune 系統管理員和 Microsoft Entra 系統管理員具有這些許可權。 您也可以將這些許可權新增至您為 Intune 租使用者 建立的自定義角色

Intune for Government 和 21Vianet 自定義原則的範圍卷標支援

您現在可以將範圍標籤指派給適用於政府用 Intune 的自定義原則,以及由 21Vianet 營運的 Intune。 若要這樣做,請移至 Microsoft Intune 系統管理中心>租用戶系統管理>自定義],您會在其中看到 [範圍卷標] 組態選項。

腳本

使用圖形 API 匯出本地化的 Intune 報表數據

您現在可以指定使用 Microsoft Intune 報表匯出 API 匯出的報表數據只能包含本地化數據行,或是當地語系化和非當地語系化的數據行。 默認會針對大部分報表選取本地化和非本地化的數據行選項,這會防止中斷性變更。 如需報表的相關信息,請參閱使用 Graph API 匯出 Intune 報表和使用 圖形 API 的 Intune 報表和屬性

2021 年 2 月

應用程式管理

終端使用者可以從 Windows 公司入口網站 重新啟動應用程式安裝

使用 Windows 公司入口網站,如果進度似乎已停止或凍結,終端使用者可以重新啟動應用程式安裝。 如果應用程式安裝進度在兩小時內未變更,則允許這項功能。 如需詳細資訊,請參閱將應用程式新增至 Microsoft Intune

設定必要的 iOS/iPadOS 應用程式是否可移動

您現在可以設定使用者是否將必要的 iOS/iPadOS 應用程式安裝為抽取式應用程式。 此新設定適用於 iOS 市集、LOB 和內建應用程式。 您可以選取 [應用程式>iOS/iPadOS> 新增],在 Microsoft Intune 系統管理中心找到此設定。 設定應用程式指派時,您可以選取 [ 安裝為卸除式]。 默認值為 [是],這表示應用程式是可移動的。 iOS 14 上現有的必要安裝已更新為預設 (卸除式) 設定值。 如需 iOS/iPadOS 應用程式的詳細資訊,請參閱 Microsoft Intune 應用程式管理。

共用 iPad 裝置上支援的企業營運應用程式

您現在可以將企業營運 (LOB) 應用程式部署到共用 iPad 裝置。 企業營運應用程式必須視需要從 Microsoft Intune 系統管理中心指派給包含共用 iPad 裝置的裝置群組。 在 [Microsoft Intune 系統管理中心] 中,選取 [應用程式>所有應用程式>新增]。 如需詳細資訊,請參閱將 iOS/iPadOS 企業營運應用程式新增至 Microsoft Intune

Microsoft 端點 Configuration Manager 連接器

Microsoft Configuration Manager的連接器現在會顯示在系統管理中心。 若要檢閱連接器,請移至租用戶系統管理>連接器和令牌>Microsoft 端點 Configuration Manager。 選取執行 2006 版或更新版本的 Configuration Manager 階層,以顯示詳細資訊。

裝置設定

Google 的合規性畫面會自動顯示在以 kiosk 模式執行的 Android Enterprise 9.0+ 專用裝置上

在 Intune 中,您可以在 Android Enterprise 裝置上建立裝置設定密碼原則和裝置合規性密碼原則。

當您建立原則時,以 kiosk 模式執行的 Android Enterprise 專用裝置會自動使用 Google 的合規性畫面。 這些畫面會引導用戶設定符合您原則規則的密碼。

如需建立密碼和 kiosk 原則的詳細資訊,請參閱:

適用於:

  • kiosk 模式中的 Android Enterprise 9 和更新版本

新版的 PFX 憑證連接器

我們發行了新版的 PFX 憑證連接器 6.2101.13.0 版。 這個新的連接器版本新增 PFX 連接器 記錄的改善

  • 事件記錄檔的新位置,記錄細分為 管理員、作業 & 偵錯
  • 管理員 & 作業記錄預設為 50 MB - 已啟用自動封存。
  • PKCS 匯入、PKCS 建立和撤銷的 EventID。

如需憑證連接器的詳細資訊,包括這兩個憑證連接器的連接器版本清單,請參閱 憑證連接器

新版的 PFX 憑證連接器

我們發行了新版的 PFX 憑證連接器 6.2009.2.0 版。 這個新的連接器版本:

  • 改善連接器的升級,以保存執行連接器服務的帳戶。

如需憑證連接器的詳細資訊,包括這兩個憑證連接器的連接器版本清單,請參閱 憑證連接器

使用裝置設定來建立資料夾,並在 受控主畫面 上設定網格線大小

在 Android Enterprise 專用裝置上,您可以設定 受控主畫面 設定 (>> 裝置設定建立>平臺完全受控、專用且 Corporate-Owned 工作設定檔>裝置限制Android Enterprise,以進行配置檔>裝置體驗) 。>

在多應用程式 kiosk 模式中使用 受控主畫面 時,會有自定義應用程式設定設定。 使用此設定,您可以:

  • 建立資料夾、將應用程式新增至這些資料夾,並將資料夾放在 受控主畫面 上。 您不需要訂購資料夾。

  • 選擇是否要在 受控主畫面 上訂購應用程式和資料夾。 如果您訂購,您也可以:

    • 設定格線大小。
    • 將應用程式和資料夾新增至網格線上的不同位置。

先前,您必須使用 應用程式設定原則

如需詳細資訊,請參閱 Android Enterprise專用裝置裝置體驗設定

適用於:

  • Android Enterprise 專用裝置

使用設定目錄在macOS裝置上設定 Microsoft Edge 瀏覽器

目前在 macOS 裝置上,您可以使用.plist喜好設定檔案來設定 Microsoft Edge 瀏覽器 (>> 裝置組態建立>適用於設定檔) 的平臺>喜好設定檔案的 macOS

有更新的UI可設定 Microsoft Edge 瀏覽器:裝置>>設定建立>macOS 以供配置檔的平台>設定目錄使用。 選取您想要的 Microsoft Edge 設定,然後進行設定。 在您的設定檔中,您也可以新增設定,或移除現有的設定。

若要查看您可以設定的設定清單,請移至 Microsoft Edge - 原則。 請確定macOS已列為支持的平臺。 如果設定目錄中無法使用某些設定,則建議您只繼續使用喜好設定檔案。

如需詳細資訊,請參閱:

若要檢視您已設定的原則,請開啟 Microsoft Edge,然後移至 edge://policy

適用於:

  • macOS 上的 Microsoft Edge 瀏覽器版本 77 和更新版本

使用 NetMotion Mobility 作為 Android Enterprise 裝置的 VPN 連線類型

當您建立 VPN 配置文件時,NetMotion Mobility 可作為 Android Enterprise 的 VPN 連線類型:

  • 設備>配置>創建>Android Enterprise>完全受控、專用和 Corporate-Owned 工作配置檔>適用於連線類型之配置檔 >NetMotion MobilityVPN
  • 設備>配置>創建>Android Enterprise>個人擁有的工作配置檔>適用於連線類型之配置檔 >NetMotion MobilityVPN

如需 Intune 中 VPN 設定檔的詳細資訊,請參閱 建立 VPN 配置檔以連線到 VPN 伺服器

適用於:

  • Android Enterprise 個人擁有的工作配置檔
  • Android Enterprise 完全受控、專用和 Corporate-Owned 工作配置檔

建立 macOS 和 Windows 用戶端裝置的裝置組態設定檔時的設定目錄和範本

建立適用於macOS和 Windows 10/11裝置的裝置組態配置檔時,有UI更新 (裝置>>組態建立>macOSWindows 10更新版本,以供平臺) 使用。

設定檔案會顯示 [設定] 目錄範本

  • 設定目錄:使用此選項可從頭開始,然後從可用設定的連結庫中選取您想要的設定。 針對macOS,設定目錄包含設定 Microsoft Edge 77 版和更新版本的設定。 Windows 用戶端的設定目錄包含許多現有的設定,以及新的設定,全都位於一個位置。
  • 範本:使用此選項來設定所有現有的配置檔,例如裝置限制、裝置功能、VPN、Wi-Fi 等等。

這項變更只是 UI 變更,不會影響現有的配置檔。

如需詳細資訊, 請參閱設定目錄

適用於:

  • macOS
  • Windows 11
  • Windows 10

受監督 iOS/iPadOS 裝置上的主畫面版面配置更新

在 iOS/iPadOS 裝置上,您可以設定主畫面配置 (裝置>>設定建立>iOS/iPadOS 的平臺>裝置功能設定>主畫面設定) 。 在 Intune 中,主畫面版面配置功能已更新:

- 主畫面版面配置有新的設計。 這項功能可讓系統管理員即時查看應用程式和應用程式圖示在頁面、擴充座和資料夾內的外觀。 在此新設計工具中新增應用程式時,您無法新增個別的頁面。 但是,當您將九個或多個應用程式新增至資料夾時,這些應用程式會自動移至下一個頁面。 現有的原則不會受到影響,而且不需要變更。 設定值會傳輸至新的UI,而不會產生任何負面影響。 裝置上的設定行為相同。 - 將 web 連結 (Web 應用程式) 新增至頁面或停駐。 請務必只新增網頁連結的特定 URL 一次。 現有的原則不會受到影響,而且不需要變更。

如需您可以設定之設定的詳細資訊,包括主畫面配置,請參閱 iOS/iPadOS 裝置設定,以在 Intune 中使用常見的 iOS/iPadOS 功能

適用於:

  • iOS/iPadOS 受監督裝置

限制 Apple 在 iOS/iPadOS 裝置上的個人化廣告

在 iOS/iPadOS 裝置上,您可以設定 Apple 的個人化廣告。 啟用時,個人化廣告會在 App Store、Apple News 和股票應用程式中受到限制, (裝置>設定>建立>iOS/iPadOS 平臺>裝置限制配置檔>一般>限制 Apple 個人化廣告) 。

此設定只會影響個人化廣告。 設定此設定會將 \[設定隱私>>\] \[Apple Advertising\] 設為 \[關閉\]。 它不會影響 App Store、Apple News 和股票應用程式中的非個人化廣告。 如需 Apple 廣告原則的詳細資訊,請 參閱 Apple Advertising & Privacy (開啟 Apple 的網站) 。

若要查看您可以在 Intune 中設定的目前設定,請移至 iOS 和 iPadOS 裝置設定以允許或限制功能

適用於:

  • iOS/iPadOS 14.0 和更新版本、使用裝置註冊或自動裝置註冊註冊的裝置

系統管理範本包含 Microsoft Edge 版本 88 的新原則

您可以設定及部署適用於 Microsoft Edge 88 版的新 ADMX 設定。 若要查看新的原則,請移至 Microsoft Edge 版本資訊

如需 Intune 中這項功能的詳細資訊,請參閱設定 Microsoft Edge 原則設定

適用於:

  • Windows 11
  • Windows 10

電子郵件通知中針對不符合規範的地區設定支援

合規性原則現在支援 通知訊息範本 ,其中包含不同地區設定的個別訊息。 對於多種語言的支援不再需要您為每個地區設定建立個別的範本和原則。

當您在範本中設定地區設定特定訊息時,不符合規範的用戶會根據其 Microsoft 365 慣用語言收到適當的當地語系化電子郵件通知訊息。 您也會將範本中的一個當地語系化訊息指定為 預設 訊息。 當範本未包含其地區設定的特定訊息時,預設訊息會傳送給尚未設定慣用語言的使用者。

裝置註冊

隱藏 Apple Automated Device Enrollment Setup Assistant 的更多畫面

您現在可以將自動裝置註冊 (ADE) 設定檔設定為隱藏 iOS/iPadOS 14.0+ 和 macOS 11+ 裝置的這些設定助理畫面:

  • 還原已完成,適用於 iOS/iPadOS 14.0+。
  • iOS/iPadOS 14.0+ 的軟體更新已完成。
  • 輔助功能適用於macOS 11+ (mac裝置必須連線到乙太網路) 。

裝置管理

將裝置安全策略從 基本行動性和安全性 移轉至 Intune

原則移轉工具可讓您將 基本行動性和安全性 (先前用於 Office 365 的 MDM 或 Office MDM) 部署的行動 裝置管理 (MDM) 裝置安全策略永久移至標準 Intune MDM 組態配置檔和合規性原則。 使用此工具將會停用所有未來在裝置安全策略中建立和編輯 基本行動性和安全性 原則。

若要使用此工具,您必須:

  • 已購買 (但尚未為 基本行動性和安全性 管理之裝置的所有使用者指派) Intune 授權。
  • 如果您已購買 Intune 教育版訂用帳戶,請連絡支持人員以檢查其資格。

如需詳細資訊,請參閱將行動裝置管理從 基本行動性和安全性 移轉至 Intune

公司擁有之 Windows 裝置的 [屬性] 頁面上的子網標識碼和 IP 位址

子網標識碼和IP位址現在會顯示在公司擁有之 Windows 裝置的 [ 屬性 ] 頁面上。 若要查看它們,請移至 Intune 系統管理中心>[裝置>][所有裝置> ] 選擇公司擁有的 Windows 裝置 >屬性

裝置安全性

Intune 對 Microsoft Defender 應用程式防護 的支持現在包含隔離的 Windows 環境

當您在 Intune 應用程式中設定 [開啟 應用程式防護] 和 [端點安全性攻擊面縮小] 原則中的瀏覽器隔離設定檔時,您可以在啟用 應用程式防護 時從下列選項中選擇:

  • Microsoft Edge - 先前可用
  • 隔離的 - Windows 環境此更新的新功能
  • Microsoft Edge隔離的 - Windows 環境透過此更新新增

在這裡版本之前,設定名為 [開啟 Edge (選項的 應用程式防護)

此設定的新選項會擴充 應用程式防護 支援,而不只是Edge的URL。 您現在可以啟用 應用程式防護 來協助保護裝置,方法是在硬體隔離的 Windows VM 環境中開啟潛在威脅, (容器) 。 例如,若支持隔離的 Windows 環境,應用程式防護 可以在隔離的 Windows VM 中開啟不受信任的 Office 檔。

透過這項變更:

受攻擊面縮小原則中的新 應用程式防護 設定

我們已將兩個新的設定新增至 Intune 的端點安全性受攻擊面縮小原則的應用程式和瀏覽器隔離配置檔:

  • 應用程式防護 允許相機和麥克風存取 – 透過 應用程式防護 應用程式存取裝置相機和麥克風來管理存取權。
  • 應用程式防護 允許從使用者的裝置使用跟證書授權單位 – 當您指定一或多個跟證書指紋時,相符的憑證會傳輸到 Microsoft Defender 應用程式防護 容器。

如需詳細資訊,請參閱 應用程式和瀏覽器隔離的設定

安全性基準的 匯報

我們有適用於下列 安全性基準的新版本:

更新的基準版本可支援最近的設定,以協助您維護個別產品小組所建議的最佳做法設定。

若要瞭解版本之間的變更,請參閱 比較基準版本 以瞭解如何匯出顯示變更的 .CSV 檔案。

端點安全性防火牆報告

我們已在端點安全性中新增兩份專用於防火牆原則的新報告:

  • Windows 10 端點安全性節點中找到已關閉防火牆的 MDM 裝置,並顯示已關閉防火牆的 Windows 10 裝置清單。 此報告會依裝置名稱、裝置標識碼、使用者資訊和防火牆狀態來識別每個裝置。
  • Windows 10 MDM 防火牆狀態是在 [報告] 節點中找到的組織報告,其中列出 Windows 10 裝置的防火牆狀態。 此報表會顯示狀態資訊,包括是否已啟用、停用、限制或暫時停用防火牆。

Defender 防病毒軟體報告的摘要檢視

我們已更新在 Microsoft Intune 系統管理中心的 [報告] 節點中找到的 Microsoft Defender 防病毒軟體報告檢視。 現在,當您在 [報告] 節點中選取 [Microsoft Defender 防病毒軟體] 時,您會看到 [摘要] 索引卷標的默認檢視,以及 [報告] 的第二個索引標。 [ 報告] 索引標籤可讓您找到先前可用 的防病毒軟體代理程式狀態偵測到的惡意代碼 組織報告。

新的 [摘要] 索引 標籤會顯示下列資訊:

  • 顯示防病毒軟體報告的匯總詳細數據。
  • 包含 [ 重新整理 ] 選項,可更新每個防病毒軟體狀態中的裝置計數。
  • 反映與防 病毒軟體代理程序狀態組織 報告中所找到的相同數據,該報告現在可從 [ 報告] 索 引標籤取。

應用程式防護 更多Mobile Threat Defense合作夥伴在Android和iOS/iPadOS上的原則支援

在 2019 年 10 月,Intune 應用程式保護原則新增了使用 Microsoft 威脅防禦合作夥伴數據的功能。

透過此更新,我們將此支援擴充至下列合作夥伴,以使用應用程式保護原則,根據裝置的健康情況封鎖或選擇性地抹除使用者的公司數據:

  • Android、iOS 和 iPadOS 上的 McAfee MVision Mobile

如需詳細資訊,請 參閱使用 Intune 建立 Mobile Threat Defense 應用程式保護原則

SCEP 和 PKCS 配置檔的憑證有效期間增加

Intune 現在支援簡單憑證註冊通訊協議的憑證配置檔中最多 24 個月的憑證有效期間, (SCEP) 和公鑰密碼編譯標準 (PKCS) 。 這項變更是從前一個支援期間增加到最多 12 個月。

這項支援適用於 Windows 和 Android。 iOS/iPadOS 和 macOS 會忽略憑證有效期間。

監視及疑難排解

新的共同管理資格組織報告

共同管理資格報告提供可共同管理之裝置的資格評估。 共同管理可讓您同時使用 Configuration Manager 和 Microsoft Intune 來管理 Windows 10 裝置。 您可以選取 [報告雲端鏈接的裝置>報告] 索引標籤 >[共同管理資格],在 Microsoft Intune 系統管理中心>檢視此報告的摘要。 如需相關報表資訊,請參閱 Intune 報表

新的共同管理工作負載組織報告

共同管理的工作負載報告會提供目前共同管理之裝置的報告。 共同管理可讓您同時使用 Configuration Manager 和 Microsoft Intune 來管理 Windows 10 裝置。 您可以選取 [報告>雲端鏈接的裝置>報表] 索引標籤> [共同管理的工作負載],在 Microsoft Intune 系統管理中心檢視此報告。 如需詳細資訊,請參閱 Intune 報告

Log Analytics 包含裝置詳細數據記錄

Intune 裝置詳細數據記錄現已可供使用。 在系統管理中心 Microsoft Intune,選取 [報告>記錄分析]。 您可以將一組裝置詳細數據相互關聯,以建置自定義查詢和 Azure 活頁簿。 如需詳細資訊,請 參閱 Azure 監視器整合報告 (專家)

角色型存取控制

註冊狀態頁面的範圍標籤支援

您現在可以將範圍標籤指派給註冊狀態頁面,因此只有您定義的角色可以看到它。 如需詳細資訊,請 參閱建立註冊狀態頁面配置檔並指派給群組

指令碼

更多 Data Warehouse beta 屬性

現在可以使用 Intune Data Warehouse beta API 取得更多屬性。 下列屬性會透過Beta API中的 裝置 實體公開:

  • SubnetAddressV4Wifi - IPV4 的子網位址 Wi-Fi 連線。
  • IpAddressV4Wifi - IPV4 的IP位址 Wi-Fi 連線。

如需詳細資訊,請參閱 Microsoft Intune Data Warehouse API。

2021 年 1 月

應用程式管理

iOS、macOS 和 Web 公司入口網站 的應用程式圖示更新

我們已更新 iOS、macOS 和 Web 公司入口網站 的應用程式圖示。 Windows 公司入口網站 也會使用此圖示。 終端使用者會在其裝置的應用程式啟動器和主畫面、Apple 的 App Store 中,以及 公司入口網站 應用程式內的體驗中看到新的圖示。

個人擁有工作配置檔中的 Android Enterprise 系統應用程式支援

您現在可以將 Android Enterprise 系統應用程式部署到 Android Enterprise 個人擁有的工作設定檔裝置。 系統應用程式是不會出現在受控 Google Play 商店中的應用程式,而且通常會預安裝在裝置上。 部署系統應用程式之後,您將無法卸載、隱藏或移除系統應用程式。 如需系統應用程式的相關信息,請參閱將Android Enterprise系統應用程式新增至 Microsoft Intune

刪除相依性關聯性的 Win32 應用程式

如果 Win32 應用程式處於相依性關聯性,則無法移除新增至 Intune 的應用程式。 只有在移除相依性關聯性之後,才能刪除這些應用程式。 這項需求會同時套用至相依性關聯性中的父應用程式和子應用程式。 此外,這項需求可確保正確強制執行相依性,而且相依性行為更容易預測。 如需詳細資訊,請參閱 Microsoft Intune 中的 Win32 應用程式管理

自定義原則的範圍標籤支援

您現在可以將範圍標籤指派給自訂原則。 若要這樣做,請移至 Microsoft Intune 系統管理中心>租用戶系統管理>自定義],您會在其中看到 [範圍卷標] 組態選項。 這項功能現在適用於 Intune 政府版或由 21Vianet 營運的 Intune。

在 Android 工作設定檔註冊期間自動啟用瀏覽器存取

在新的 Android Enterprise 個人擁有工作設定檔註冊期間,現在會在裝置上自動啟用瀏覽器存取。 透過這項變更,符合規範的裝置可以使用瀏覽器來存取受條件式存取保護的資源,而不需要採取其他動作。 在此變更之前,用戶必須啟動 公司入口網站,然後選取 [設定>啟用瀏覽器存取>啟用]

這項變更不會影響已註冊的裝置。

Win32 應用程式下載進度列

下載 Win32 應用程式時,終端用戶現在會在 Windows 公司入口網站 中看到進度列。 這項功能可協助客戶進一步瞭解應用程式安裝進度。

更新為 Android 應用程式 公司入口網站 圖示

我們已更新 Android 應用程式 公司入口網站 圖示,為裝置使用者建立更現代化的外觀和風格。 若要查看新圖標的外觀,請移至Google Play上的 Intune 公司入口網站 清單

裝置設定

Microsoft Tunnel 現在支援 Red Hat Enterprise Linux 8

您現在可以使用 Red Hat Enterprise Linux (RHEL) 8 搭配 Microsoft Tunnel。 若要使用 RHEL 8,您不需要採取任何動作。 已將支援新增至 Docker 容器,這會自動更新。 此外,此更新也會隱藏一些無關的記錄。

新版的 PFX 憑證連接器

我們發行了新版的 PFX 憑證連接器 6.2009.1.9 版。 這個新的連接器版本:

  • 改善連接器憑證的更新。

如需憑證連接器的詳細資訊,包括這兩個憑證連接器的連接器版本清單,請參閱 憑證連接器

監視及疑難排解

使用 圖形 API 導出 Intune 報表時更新

當您使用 exportJobs 圖形 API 匯出 Intune 報表,而不選取裝置報表的任何數據行時,您會收到預設的數據行集。 為了減少混淆,我們已從預設數據行集移除數據行。 移除的資料行為 PhoneNumberE164Format_ComputedComplianceState_OSOSDescription。 如果您需要這些數據行,這些數據行仍可供選取,但僅明確且預設為非。 如果您已針對裝置導出的預設數據行建置自動化,而且自動化使用這些數據行的任何一個,則必須重構您的進程,以明確選取這些數據行和任何其他相關數據行。 如需詳細資訊,請參閱 使用圖形 API 匯出 Intune 報表

2020 年 12 月

Intune 應用程式

新推出的 Intune 受保護應用程式

下列受保護的應用程式現在可供 Microsoft Intune 使用:

  • Dynamics 365 Remote Assist
  • Box - 雲端內容管理
  • STid 行動裝置識別碼
  • FactSet 3.0
  • Notate for Intune
  • 現場服務 (Dynamics 365)

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

2020 年 11 月

應用程式管理

Android 公司入口網站 中工作配置檔傳訊的改善

我們已更新 Android 公司入口網站 中的傳訊,以更有效地介紹和說明工作配置檔的運作方式。 新的訊息隨即出現:

  • 工作配置檔設定流程之後:使用者會看到新的資訊畫面,說明要在哪裡尋找工作應用程式,以及說明文件的連結。
  • 當使用者不小心在個人配置檔中重新啟用 公司入口網站 應用程式時:我們重新設計螢幕 (您的裝置現在有僅供工作的配置檔) ,其中包含更清楚的說明和新的圖例,可引導使用者前往其工作應用程式,並提供說明檔的連結。
  • 在 [ 說明 ] 頁面上:在 [ 常見問題 ] 區段中,有新的鏈接可協助說明如何設定工作配置檔和尋找應用程式的檔。

PowerShell 腳本會在應用程式之前執行,並減少逾時

PowerShell 腳本有一些更新:

  • Microsoft Intune 管理延伸模組執行流程會先還原為處理PowerShell腳本,然後再執行 Win32 應用程式。
  • 若要解決註冊狀態頁面 (ESP) 逾時問題,PowerShell 腳本會在 30 分鐘後逾時。 先前,它們會在 60 分鐘後逾時。

如需詳細資訊,請參閱 在 Intune 的 Windows 10 裝置上使用 PowerShell 指令碼

裝置設定

適用於 Android Enterprise 專用裝置的電源功能表、狀態列通知和更嚴格的設定

在執行單一或多應用程式 kiosk 模式的 Intune 註冊 Android Enterprise 專用裝置上,您可以.

  • 限制電源功能表、系統錯誤警告,以及存取 [設定] 應用程式。
  • 選擇使用者是否可以看到首頁和概觀按鈕和通知。

若要設定這些設定,請建立裝置限制組態配置檔:>>裝置設定建立>適用於平臺>完全受控、專用和公司擁有工作配置檔>的Android Enterprise 裝置限制>一般

如需這些設定的詳細資訊,以及您可以設定的其他設定,請移至 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

適用於:

  • Android Enterprise 專用裝置

iOS/iPadOS 裝置上應用程式通知的新顯示預覽設定

在 iOS/iPadOS 裝置上,有一個 [顯示預覽] 設定 ([裝置>>設定][建立>iOS/iPadOS] 以取得設定檔>應用程式通知) 的平台>裝置功能。 使用此設定來選擇裝置上顯示最近的應用程式通知預覽。

如需應用程式通知設定及其他可設定之設定的詳細資訊,請參閱 使用常用iOS/iPadOS 功能的裝置設定

使用適用於 iOS 的 Microsoft Tunnel 的隨選規則

Microsoft Tunnel 現在支援 iOS/iPad 裝置的隨選規則。 使用隨選規則時,您可以指定在符合特定 FQDN 或 IP 位址的條件時使用 VPN。

若要使用 Microsoft Tunnel 設定 iOS/iPadOS 的隨選規則,請在裝置設定原則中設定 iOS/iPadOS 的 VPN 配置檔。 在 [配置檔組態 設定 ] 頁面上,選取 [Microsoft Tunnel ] 作為 [連線類型 ],然後您可以存取設定隨 選 VPN 規則

如需您可以設定的隨選 VPN 規則相關信息,請參閱 自動 VPN 設定

適用於:

  • iOS/iPadOS

Windows 10 和更新裝置上 Wi-Fi 配置檔的更多驗證設定

在執行 Windows 10 和更新 (裝置組態建立>的裝置上 Wi-Fi 配置檔的新設定和>>功能 Windows 10 及更新版本,適用於適用於配置檔 >Enterprise) 的平臺 >Wi-Fi

  • 驗證模式:驗證使用者、裝置或使用來賓驗證。

  • 在每次登入時記住認證:強制使用者在每次連線到 VPN 時輸入認證。 或者,快取認證,讓使用者只輸入其認證一次。

  • 更細微地控制驗證行為,包括:

    • 驗證期間
    • 驗證重試延遲期間
    • 開始期間
    • 最大 EAPOL-Start 訊息
    • 驗證失敗數目上限
  • 針對裝置和使用者驗證使用個別的 VLAN:使用單一登錄時,Wi-Fi 配置檔可以根據使用者的認證使用不同的虛擬 LAN。 您的 Wi-Fi 伺服器必須支援這項功能。

若要查看這些設定,以及您可以設定的所有設定,請移至在 Intune 中新增 Windows 10 和更新版本裝置的 Wi-Fi 設定

適用於:

  • Windows 10和更新版本

裝置管理

個人擁有的工作配置檔術語

為了避免混淆, 工作配置檔 Android Enterprise 管理案例的詞彙將會變更為整個 Intune 檔和使用者介面中的「具有工作配置檔的個人擁有裝置」或 個人擁有的工作配置檔 。 這項變更會將其與「公司擁有的工作配置檔」區分 () 管理案例。

適用於 HoloLens 2 (預覽版的 Windows Autopilot)

適用於 HoloLens 2 裝置的 Windows Autopilot 現在處於公開預覽狀態。 系統管理員不再需要註冊其租用戶以進行正式發行前小眾測試。 如需使用適用於 HoloLens 的 Autopilot 的詳細資訊,請參閱適用於 HoloLens 2 的 Windows Autopilot

結束對 iOS 11 的支援

Intune 註冊和 公司入口網站 現在支援 iOS 12 版和更新版本。 不支援舊版,但會繼續接收原則。

終止對macOS 10.12的支援

由於macOS Big Sur 已發行,因此 Intune 註冊和 公司入口網站 現在支援macOS 10.13版和更新版本。 不支援舊版。

裝置安全性

端點安全性裝置控制配置檔的新設定

我們已將新的設定 [封鎖抽取式記憶體的寫入存取權 ] 新增至端點安全性中受攻擊面縮小原則的 裝置控制配置檔 。 當設定為 [是] 時,會封鎖卸除式記憶體的寫入存取權。

受攻擊面縮小規則配置檔中設定的改善

我們已更新 受攻擊面縮小規則配置檔中適用設定的選項,這是端點證券受攻擊面縮小原則的一部分。

我們已將設定之間的一致性帶入現有的選項,例如 [停用 ] 和 [ 啟用],並新增了新的選項 [ 警告]

  • 警告 - 在執行 Windows 10 1809 版或更新版本的裝置上,裝置使用者會收到可略過設定的訊息。 例如,在設定 [禁止 Adobe 讀取器建立子進程] 時,[ 警告 ] 選項會向用戶顯示略過該區塊的選項,並允許 Adobe Reader 建立子進程。 在執行舊版 Windows 10 的裝置上,此規則會強制執行行為,而不需選擇略過它。

端點安全性受攻擊面縮小原則的裝置控制配置檔中USB裝置標識碼的原則合併支援

我們已針對端點安全性受攻擊面縮小原則,將USB裝置標識碼的原則 合併 支援新增至 裝置控制 配置檔。 系統會針對原則合併評估 來自裝置控制 項設定檔的下列設定:

  • 允許依裝置識別碼安裝硬體裝置
  • 依裝置標識碼封鎖硬體裝置安裝
  • 依安裝類別允許硬體裝置安裝
  • 依安裝類別封鎖硬體裝置安裝
  • 允許依裝置實例標識碼安裝硬體裝置
  • 依裝置實例標識碼封鎖硬體裝置安裝

原則合併適用於套用至裝置之不同配置檔的每個設定組態。 它不包含不同設定之間的評估,即使兩個設定密切相關也一樣。

如需合併專案的更詳細範例,以及如何合併並套用每個支援設定的允許和封鎖清單,請參閱裝置控制項設定檔 設定的原則合併

改善端點安全性的防病毒軟體狀態作業報告

我們已將新的詳細數據新增至 Windows Defender 防病毒軟體的防病毒軟體狀態作業報告,這是端點安全策略報告。

下列資訊的新資料行將適用於每個裝置:

  • 產品狀態 – 裝置上 Windows Defender 狀態。
  • 竄改保護 – 是否啟用或停用竄改保護。
  • 虛擬機 – 裝置是虛擬機或實體裝置。

已改善受攻擊面縮小規則的規則合併

受攻擊面縮小規則現在支援從不同原則合併設定的新行為,以建立每個裝置的原則超集。 只會合並未發生衝突的設定,而發生衝突的設定不會新增至規則的超集。 先前,如果兩個原則包含單一設定的衝突,這兩個原則都會標示為發生衝突,而且不會部署來自任一配置檔的設定。

受攻擊面縮小規則合併行為如下:

  • 下列設定檔中的受攻擊面縮小規則會針對套用規則的每個裝置進行評估:
    • 裝置>設定原則 > 端點保護配置檔 > Microsoft Defender 惡意探索防護>攻擊面縮小。
    • 端點安全 > 性受攻擊面縮小原則 >受攻擊面縮小規則
    • 端點安全>性>基準 適用於端點的 Microsoft Defender 基準>受攻擊面縮小規則
  • 不會發生衝突的設定會新增至裝置的原則超集。
  • 當兩個或多個原則的設定發生衝突時,衝突的設定不會新增至合併的原則。 不會衝突的設定會新增至套用至裝置的超集原則。
  • 只會保留衝突設定的組態。

MVISION Mobile – 新的 Mobile Threat Defense 合作夥伴

您可以根據 MVISION Mobile 所進行的風險評估,使用條件式存取來控制行動裝置對公司資源的存取,MVISION Mobile 是來自 McAfee 且與 Microsoft Intune 整合的 Mobile Threat Defense 解決方案。

監視及疑難排解

新的 Intune 作業報告可協助針對組態配置文件問題進行疑難解答

公開預覽中提供新的 指派失敗 作業報告,以協助針對已設為裝置目標的組態配置檔進行錯誤和衝突的疑難解答。 此報告會顯示租使用者的組態配置檔清單,以及處於錯誤或衝突狀態的裝置數目。 使用這項資訊,您可以向下切入至配置檔,以查看與配置檔相關之失敗狀態的裝置和使用者清單。 此外,您也可以進一步向下切入,以檢視與失敗原因相關的設定和設定詳細數據清單。 您可以篩選、排序及搜尋整個報表中的所有記錄。 在 Microsoft Intune 系統管理中心,您可以選取 [裝置>監視器>指派失敗] (預覽) 來找到此報告。 如需 Intune 中報表的詳細資訊,請參閱 Intune 報告

報告 Azure 虛擬桌面 VM 的更新

下列設定在原則報告中標示為 不適用

  • BitLocker 設定
  • 裝置加密
  • Defender 應用程式防護 設定
  • Defender 竄改保護
  • Wi-Fi 設定檔

不符合規範的原則報告可協助針對發生錯誤或不符合規範的裝置進行疑難解答

在預覽版中,新的 不符合規範原則 報告是一份作業報告,可用來協助針對以裝置為目標的合規性原則進行錯誤和衝突的疑難解答。 [不符合規範的原則] 報告會顯示一份合規性政策清單,其中包含一或多個發生錯誤的裝置,或處於不符合原則規範的狀態。

使用此報告來:

  • 檢視裝置相容性原則與處於不符合規範或錯誤狀態的裝置,然後鑽研以檢視處於失敗狀態的裝置和用戶清單。
  • 進一步向下切入以查看造成失敗的設定和設定資訊清單。
  • 篩選、排序及搜尋報表中的所有記錄。 我們已將分頁控件和改善的導出功能新增至 csv 檔案。
  • 識別問題發生時機,並簡化疑難解答。

如需監視裝置合規性的詳細資訊,請 參閱監視 Intune 裝置合規性原則

2020 年 10 月

應用程式管理

當註冊設定為無法使用時,會隱藏需要註冊的應用程式

針對裝置註冊設定設為 [無法使用] 的使用者,使用 [可供註冊的裝置使用] 和 [必要] 意圖指派的應用程式不會顯示在 公司入口網站 中。 這項變更僅適用於從未註冊的裝置檢視 公司入口網站 應用程式或網站,包括具有 MAM 受控應用程式的未註冊裝置。 無論裝置註冊設定的值為何,從已註冊的裝置檢視 公司入口網站 的使用者仍然可以看到應用程式。 如需詳細資訊,請參閱 裝置註冊設定選項

iOS 公司入口網站 隱私權訊息自定義的改善

您現在能夠在 iOS 公司入口網站 中自定義隱私權傳訊。 除了先前支援自定義組織看不到的內容之外,您還可以自定義貴組織可以在iOS 公司入口網站 中向使用者顯示的隱私權訊息中看到的內容。 若要支援這項功能,裝置至少必須執行 公司入口網站 4.11 版,才能查看可看到內容的自定義傳訊。 選取 [>使用者管理] [自定義],即可在 Microsoft Intune 系統管理中心取得此功能。 如需詳細資訊,請參閱 公司入口網站 隱私權訊息。

在 COPE 裝置上 (MAM) 的 Android 應用程式保護原則

新新增的行動應用程式管理 (MAM) 支援可在 Android Enterprise 公司擁有的裝置上啟用 Android 應用程式保護原則,並 (COPE) 。 如需應用程式保護原則的詳細資訊,請參閱 應用程式防護 原則概觀

Android 裝置的最大 公司入口網站 版本存留期

您可以將 Android 裝置 公司入口網站 應用程式版本的存留期限制設定為天數上限。 此設定可確保終端使用者在) 天數內 (特定範圍的 公司入口網站 應用程式發行。 當不符合裝置的設定時,會觸發此設定的選取動作。 動作包括 封鎖存取抹除數據警告。 您可以選取 [應用程式>> 應用程式防護 原則建立原則,在 Microsoft Intune 系統管理中心找到此設定。 在 [ 條件式啟動] 步驟的 [裝置條件] 區段中,將提供 [ (天) 最大 公司入口網站 版本存留期] 設定。 如需詳細資訊,請參閱 Android 應用程式保護原則設定 - 條件式啟動

Mac LOB 應用程式將支援為 macOS 11 和更新版本上的受控應用程式

Intune 支援可針對部署至 macOS 11 和更新版本的 mac 企業營運 (LOB) 應用程式設定的安裝為受 控應用程式屬性 。 當此設定開啟時,Mac LOB 應用程式會在支援的裝置上安裝為受控應用程式, (macOS 11 和更新版本) 。 您可以在支援的裝置上使用 卸載 指派類型來移除受管理的企業營運應用程式, (macOS 11 和更新版本) 。 此外,移除 MDM 設定檔會從裝置移除所有受控應用程式。 在 [Microsoft Intune 系統管理中心] 中,選取 [應用程式>macOS>新增]。 如需新增應用程式的詳細資訊,請參閱將應用程式新增至 Microsoft Intune

啟用 Outlook S/MIME 電子郵件一律簽署或加密

當您在 iOS/iPadOS 和 Android Enterprise 裝置的應用程式設定下建立 Outlook 電子郵件設置檔時,可以讓 Outlook S/MIME 電子郵件一律簽署或加密。 當您在建立 Outlook 應用程式設定原則時選擇 [受 管理的裝置 ] 時,即可使用此設定。 您可以選取 [應用程式>>] 設定原則 [新增>受控裝置],在系統管理中心 Microsoft Intune 找到此設定。 如需詳細資訊,請參閱適用於 Microsoft Intune 的應用程式設定原則

WPJ) 裝置的工作場所加入 (Win32 應用程式支援

現有的 Win32 應用程式支援在 WPJ) 裝置 (加入工作場所。 WPJ 裝置上先前不支援的 PowerShell 腳本現在可以部署到 WPJ 裝置。 具體而言,裝置內容 PowerShell 腳本可在 WPJ 裝置上運作,但會忽略用戶內容 PowerShell 腳本,這是設計上。 WPJ 裝置上會忽略用戶內容腳本,且不會回報給 Microsoft Intune 主控台。 如需PowerShell的詳細資訊,請參閱在Intune中 Windows 10裝置上使用PowerShell腳本

裝置設定

裝置韌體設定介面 (DFCI) 已正式推出

DFCI 是 UEFI) 架構 (開放原始碼整合可延伸韌體介面。 它可讓您使用 Microsoft Intune 安全地管理 Windows Autopilot 裝置的 UEFI (BIOS) 設定。 它也會限制使用者對韌體設定的控制。

不同於傳統的 UEFI 管理,DFCI 不需要管理第三方解決方案。 它也會使用雲端管理的 Microsoft Intune 來提供零觸控韌體管理。 DFCI 也會存取現有的 Windows Autopilot 裝置資訊以進行授權。

如需這項功能的詳細資訊,請 參閱在 Intune 中的 Windows 裝置上使用 DFCI 配置檔

重要事項

Intune 系統管理中心的 DFCI 原則報告未如預期般運作。 所有原則都回報「擱置中」狀態。 此行為已修正。

在 Android Enterprise 基本 Wi-Fi 設定檔上使用 [自動連線] 設定

在 Android Enterprise 裝置上,您可以建立包含一般 Wi-Fi 設定的基本 Wi-Fi 配置檔,例如連線名稱。 您可以設定 Connect 自動 設定,當裝置在範圍內時,自動連線到 Wi-Fi 網路。

若要查看這些設定,請移至 新增 Android Enterprise 專用和完全受控裝置的 Wi-Fi 設定

適用於:

  • Android Enterprise 完全受控、專用和 Corporate-Owned 工作配置檔

使用相關聯的網域,在 macOS 裝置上新增用戶體驗和新的 [啟用直接下載] 設定

當您在macOS裝置上建立相關聯的網域組態配置檔時,用戶體驗會更新 (裝置>>設定建立>適用於配置檔>相關聯網域macOS平臺>裝置功能) 。 您仍然會輸入您的應用程式識別碼和網域。

在使用使用者核准的裝置註冊或自動裝置註冊註冊的macOS 11+ 受監督裝置上,您可以使用 [啟用直接下載 ] 設定。 啟用直接下載可讓您直接從裝置下載網域數據,而不是透過內容傳遞網路下載 (CDN) 。

如需詳細資訊,請參閱 macOS裝置上的相關聯網域

適用於:

  • macOS 11+ (受監督)

macOS 裝置上的新鎖定密碼設定

當您建立macOS密碼設定檔 (>> 裝置組態建立>macOS的平臺>裝置限制設定檔>密碼) 時,可以使用新的設定:

  • 允許的登入嘗試次數上限:用戶在裝置將其鎖定之前,可以嘗試連續登入的次數上限為 2-11。 將此值設定為較高的數位。 不建議將此值設定為 2 或 3,因為錯誤很常見。

    適用於所有註冊類型。

  • 鎖定持續時間:選擇鎖定持續多久,以分鐘為單位。 在裝置鎖定期間,登入畫面處於非作用中狀態,且用戶無法登入。 鎖定持續時間結束時,用戶可以再次登入。 若要使用此設定,請設定 [允許登入嘗試次數上限 ] 設定。

    適用於macOS 10.10和更新版本,以及所有註冊類型。

若要查看這些設定,請移至 macOS密碼裝置限制

適用於:

  • macOS

Android Enterprise 裝置上的必要密碼類型預設設定正在變更

在 Android Enterprise 裝置上,您可以建立裝置密碼配置檔,以設定 [裝置設定] (>>> [為平臺>建立Android Enterprise] [完全受控]、[專用] 和 [Corporate-Owned 工作配置檔>裝置限制>裝置密碼) 所需的密碼類型

[ 必要密碼類型 ] 設定預設值會從 [數值 ] 變更為 [裝置預設值]

現有的配置檔不會受到影響。 新的設定檔會自動使用 裝置預設值

選取 [ 裝置預設 值] 時,大部分的裝置都不需要密碼。 如果您想要要求使用者在其裝置上設定密碼,請將 [ 必要密碼類型 ] 設定為比 裝置預設值更安全的設定。

若要查看您可以限制的設定,請移至 Android Enterprise 裝置設定以允許或限制功能

適用於:

  • Android Enterprise

設定 macOS Microsoft Enterprise SSO 外掛程式

重要事項

在macOS上,Microsoft Entra SSO 擴充功能會列在 Intune 使用者介面中,但無法如預期般運作。 這項功能現在已正常運作,並可在公開預覽中使用。

Microsoft Entra小組已建立重新導向單一登錄 (SSO) 應用程式延伸模組。 此應用程式延伸模組可讓 macOS 10.15+ 使用者存取支援 Apple SSO 功能的 Microsoft 應用程式、組織應用程式和網站。 它會使用 Microsoft Entra ID 進行驗證,並使用單一登錄。

使用 Microsoft Enterprise SSO 外掛程式版本,您可以在 Intune 中使用新的 Microsoft Entra 應用程式擴充功能類型來設定 SSO 擴充功能 (裝置>>設定建立>適用於平臺>的macOS裝置功能設定檔>單一登錄應用程式延伸模組 SSO 應用程式延伸>模組類型>Microsoft Entra ID) 。

若要使用 Microsoft Entra SSO 應用程式延伸模組類型取得 SSO,使用者必須安裝並登入其 macOS 裝置上的 公司入口網站 應用程式。

如需 macOS SSO 應用程式延伸模組的詳細資訊,請參閱 單一登錄應用程式延伸模組

適用於:

  • macOS 10.15 和更新版本

Android 裝置系統管理員的裝置限制配置檔中的密碼設定變更

最近我們新增了密碼複雜度,作為適用於 Android 裝置系統管理員裝置合規性原則和裝置限制的新設定。 我們現在已針對這兩種原則類型的設定新增更多UI變更,以協助Intune適應Android 10版和更新版本中的密碼變更。 這些變更有助於確保密碼的設定會如預期般繼續套用至裝置。

您會發現這兩種原則類型的密碼設定 Intune UI 有下列變更,這不會影響現有的設定檔:

  • 設定會重新組織成根據設定套用至哪些裝置版本的區段,例如Android 9和更早版本,或Android 10和更新版本。
  • 匯報 至 UI 中的標籤和範例文字。
  • 數值字母順序或英 數位元來釐清 PIN 參考。

適用於:

  • Android 裝置系統管理員

新版的 PFX 憑證連接器

我們發行了新版的 PFX 憑證連接器 6.2008.60.612 版。 這個新的連接器版本:

  • 修正 PKCS 憑證傳遞至 Android Enterprise 完全受控裝置的問題。 此問題需要密碼編譯密鑰儲存提供者 (KSP) 成為舊版提供者。 您現在也可以使用密碼編譯新一代 (CNG) 金鑰儲存提供者。
  • PFX 憑證連接器的 [CA 帳戶 ] 索引標籤變更:您指定的 [用戶名稱] 和 [密碼 (認證) 現在用來簽發憑證和撤銷憑證。 這些認證先前僅用於證書吊銷。

如需憑證連接器的詳細資訊,包括這兩個憑證連接器的連接器版本清單,請參閱 憑證連接器

裝置註冊

布建共用裝置 Microsoft Entra Intune 支援

使用 Intune,您現在可以使用 Microsoft Authenticator 自動設定為共用裝置模式 Microsoft Entra 布建 Android Enterprise 專用裝置。 如需如何使用此註冊類型的詳細資訊,請參閱 設定Android Enterprise專用裝置的Intune註冊

新的和更新的規劃、設定和註冊部署指南

系統會重寫現有的規劃和移轉指南,並以新的指引進行更新。 另外還有一些新的部署指南著重於 Intune 設定,以及 Android、iOS/iPadOS、macOS 和 Windows 裝置的註冊。

如需詳細資訊,請移至 Microsoft Intune 規劃指南部署指南:設定或移至 Microsoft Intune,以及部署指引:在 Microsoft Intune 中註冊裝置

裝置安全性

Microsoft Tunnel 的更新

我們發行了 新版 的 Microsoft Tunnel 閘道,其中包含下列變更:

Tunnel 閘道伺服器會自動更新為新版本。

應用程式防護 更多合作夥伴在Android和iOS/iPadOS上的原則支援

在 2019 年 10 月,Intune 應用程式保護原則新增了使用 Microsoft 威脅防禦合作夥伴數據的功能。

透過此更新,我們將這項支援擴充到下列兩個合作夥伴,以使用應用程式保護原則,根據裝置的健康情況封鎖或選擇性地抹除使用者的公司數據:

  • Check Point Android、iOS 和 iPadOS 上的 Sandblast
  • Android、iOS 和 iPadOS 上的 Symantec 端點安全

如需詳細資訊,請 參閱使用 Intune 建立 Mobile Threat Defense 應用程式保護原則

Intune 安全性工作包含來自 #D6FBC2459F2D947C682F8D3EB8100A896 TVM 設定錯誤的詳細數據

Microsoft Intune 安全性工作現在會回報,並提供威脅弱點管理 (TVM) 所發現之錯誤設定的補救詳細數據。 向 Intune 回報的錯誤設定僅限於可提供補救指引的問題。

TVM 是 適用於端點的 Microsoft Defender 的一部分。 在此更新之前,TVM 的詳細數據僅包含應用程式的詳細數據和補救步驟。

當您檢視安全性工作時,您會發現名為 [補救類型 ] 的新數據行可識別問題類型:

  • 應用程式 – 易受攻擊的應用程式和補救步驟。 此更新之前的安全性工作已提供此問題類型。
  • 組態 – TVM 中的新詳細數據類別,可識別錯誤的設定,並提供可協助您進行補救的步驟。

如需安全性工作的詳細資訊,請參閱使用 Intune 來補救 適用於端點的 Microsoft Defender 識別的弱點

租用戶連結裝置的端點安全性防火牆原則

作為公開預覽版,您可以將防火牆的端點安全策略部署到您使用 Configuration Manager 管理的裝置。 此案例需要您在支援的 Configuration Manager 版本與 Intune 訂用帳戶之間設定租用戶連結。

執行 Windows 10 和更新版本的裝置支援租用戶連結裝置的防火牆原則,且要求您的環境使用控制台內 Hotfix KB4578605執行最新分支 2006Configuration Manager

如需詳細資訊,請參閱 Intune 端點安全策略 支援租使用者附加的需求。

擴充的設定,以透過封鎖和允許清單管理硬體裝置安裝

在屬於端點安全性受攻擊面縮小原則裝置控制配置檔中,我們修改並擴充了管理硬體裝置安裝的設定。 您現在會找到使用裝置識別碼、安裝類別和實例識別碼來定義封鎖清單和分隔允許清單的設定。 現在可以使用下列六個設定:

  • 允許依裝置識別碼安裝硬體裝置
  • 依裝置標識碼封鎖硬體裝置安裝
  • 依安裝類別允許硬體裝置安裝
  • 依安裝類別封鎖硬體裝置安裝
  • 允許依裝置實例標識碼安裝硬體裝置
  • 依裝置實例標識碼封鎖硬體裝置安裝

這些設定都支援 [ ]、[ ] 和 [ 未設定] 選項。 當您設定 [ ] 時,接著可以定義該設定的區塊或允許清單。 在裝置上,允許清單中指定的硬體可以安裝或更新。 不過,如果在封鎖清單上指定了相同的硬體,則區塊會覆寫允許清單,並防止安裝或更新硬體。

端點安全性防火牆規則的改善

我們已進行數項變更,以改善在端點安全性防火牆原則的 Microsoft Defender 防火牆規則配置檔中設定防火牆規則的體驗。

改善還包括:

  • 改善UI中的版面配置,包括用來組織檢視的區段標頭。
  • 增加描述欄位的欄元限制。
  • IP 位址項目的驗證。
  • IP 位址清單的排序。
  • 當您從IP位址清單中清除專案時,選取 所有 位址的選項。

在 iOS 的合規性政策中使用 適用於端點的 Microsoft Defender

作為公開預覽版,您現在可以使用 Intune 裝置合規性政策將 iOS 裝置上線以 適用於端點的 Microsoft Defender

在您將已註冊的 iOS/iPadOS 裝置上線之後,iOS 的合規性原則可以使用來自 Microsoft Defender 的威脅層級訊號。 這些訊號與您可用於Android和 Windows 10裝置的訊號相同。

適用於 iOS 的 Defender 應用程式應該在年底前從公開預覽版移至正式推出。

端點安全性防病毒軟體原則的安全性體驗配置檔現在有三種狀態選項

我們已在端點安全性防病毒軟體原則的 Windows 安全性 體驗配置檔中新增設定的第三個設定狀態。 此更新適用於 Windows 10 和更新版本) 的 Windows 安全性 體驗

例如,其中先前提供的設定 [未設定] 和 [ ],如果平台支援,您現在可以選取 [ 否]

Edge 安全性基準的更新版本

我們已將 Edge 的新安全性基準 新增至 Intune:2020 年 9 月 (Edge 85 版和更新版本) 。

更新的基準版本可支援最近的設定,以協助您維護個別產品小組所建議的最佳做法設定。

若要瞭解版本之間的變更,請參閱 比較基準版本 以瞭解如何匯出顯示變更的 .CSV 檔案。

新的 Microsoft Tunnel 版本

我們發行了 新版 的 Microsoft Tunnel 閘道。 新版本包含下列變更:

  • Microsoft Tunnel 現在會以 syslog 格式將操作和監視詳細數據記錄到 Linux 伺服器記錄。 當您在通道伺服器上執行命令行時,journalctl -t可以檢視 Microsoft Tunnel 系統記錄
  • 各種錯誤修正。

監視及疑難排解

新 Windows 10 功能更新失敗報告

功能更新失敗操作報告會針對以 Windows 10 功能更新原則為目標,並嘗試更新的裝置,提供失敗詳細數據。 在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>監視器>功能更新失敗] 以檢視此報告。 如需詳細資訊,請參閱 功能更新失敗報告

匯報 至防病毒軟體報告

防病毒軟體代理程式狀態報告偵測到的惡意代碼報告都已更新。 這些報表現在會顯示數據視覺效果,並提供更多信息數據行, (SignatureUpdateOverdueMalwareIDdisplayNameInitialDetectionDateTime) 。 此外,遠端動作也會包含在防病毒軟體代理程式狀態報告中。 如需詳細資訊,請參閱 防病毒軟體代理程序狀態報告偵測到的惡意代碼報告

已更新 Microsoft Intune的說明及支援

[說明及支援] 體驗會使用機器學習來顯示解決方案、診斷和深入解析,以協助您解決問題。 我們已使用全新、更容易流覽、一致的UX體驗,更新 Microsoft Intune系統管理中心的 [說明及支援] 頁面。 新的UX現在已在控制台的所有刀鋒視窗中推出,並可協助我們取得您更相關的說明。

您現在會從系統管理中心內找到下列雲端式供應專案的 更新和合併支援體驗

  • Intune
  • Configuration Manager
  • 共同管理
  • Microsoft 受管理的電腦

指令碼

在 Intune 疑難解答窗格中檢視 PowerShell 腳本

您現在可以在 [疑難解答] 窗格中檢視指派的 PowerShell 腳本。 PowerShell 腳本提供 Windows 10 用戶端與 Intune 的通訊,以執行企業管理工作,例如進階裝置設定和疑難解答。 如需詳細資訊,請參閱 在 Intune 的 Windows 10 裝置上使用 PowerShell 指令碼

使用受控 Mac 上的殼層腳本收集自訂裝置或用戶屬性

您可以建立自定義屬性配置檔,讓您能夠使用殼層腳本從受控 macOS 裝置收集自定義屬性。 您可以選取 [裝置]macOS> [自定義屬性],在 Microsoft Intune 系統管理中心>找到這項功能。 如需詳細資訊,請 參閱在 Intune 中的 macOS 裝置上使用殼層腳本

2020 年 9 月

應用程式管理

已改善Android 公司入口網站中的工作配置檔傳訊

先前標題為「您已完成!」的 公司入口網站 畫面已更新,以更清楚地說明工作配置檔管理的運作方式。 使用者在完成工作配置檔註冊之後,如果已在個人配置檔中重新啟用 公司入口網站,就會看到此畫面。 在某些 Android OS 版本的工作設定檔註冊期間,他們也可能會看到此畫面,如使用 Android 工作設定檔註冊說明檔中所示。

Windows 公司入口網站 中 Microsoft Entra 企業版和 Office Online 應用程式的整合傳遞

在 2006 版中,我們宣佈在 公司入口網站 網站中整合傳遞 Microsoft Entra Enterprise 和 Office Online 應用程式。 Windows 公司入口網站 支援這項功能。 在 Intune 的 [自定義] 窗格中,選取 [隱藏] 或 [在 Windows 公司入口網站 中顯示 Microsoft Entra Enterprise 應用程式Office Online 應用程式]。 每個終端用戶都會從所選的 Microsoft 服務看到其整個應用程式類別目錄。 根據預設,每個應用程式來源都會設定為 [隱藏]。 在 [Microsoft Intune 系統管理中心] 中,選取 [租用戶系統管理>自定義] 以尋找此組態設定。 如需詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

具有 RTF 文字的 Windows 公司入口網站 應用程式描述

使用 Markdown,您現在可以在 Windows 公司入口網站 中使用 RTF 顯示應用程式描述。 如需 公司入口網站 的詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

應用程式防護 原則可讓系統管理員設定傳入組織數據位置

您現在可以控制哪些信任的數據源可以開啟組織檔。 類似於 [儲存 組織數據應用程式保護原則的複本 ] 選項,您可以定義信任的傳入資料位置。 這項功能與下列應用程式保護原則設定有關:

  • 儲存組織數據的複本
  • 將數據開啟至組織檔
  • 允許使用者從選取的服務開啟數據

[Microsoft Intune 系統管理中心] 中,選取 [應用程式>應用程式防護>原則建立原則]。 若要使用這項功能,Intune 原則管理的應用程式必須實作此控件的支援。 如需詳細資訊,請參閱 iOS 應用程式保護原則設定Android 應用程式保護原則設定

裝置設定

COPE 預覽更新:針對具有工作配置檔的 Android Enterprise 公司擁有裝置建立工作配置檔密碼需求的新設定

新的設定現在可讓系統管理員針對具有工作配置檔的 Android Enterprise 公司擁有裝置,設定工作設定檔密碼的需求:

  • 必要的密碼類型
  • 密碼最小長度
  • 密碼到期前的天數
  • 用戶可以重複使用密碼之前所需的密碼數目
  • 抹除裝置之前登入失敗次數

如需詳細資訊,請參閱 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

COPE 預覽更新:使用工作配置檔為 Android Enterprise 公司擁有的裝置設定個人設定檔的新設定

對於具有工作配置檔的 Android Enterprise 公司擁有的裝置,您可以設定的新設定僅適用於個人設定檔 (>> 裝置設定建立>平臺完全受控、專用和 Corporate-Owned 工作設定檔>的Android Enterprise 配置檔>個人設定檔的裝置限制) :>

  • 相機:使用此設定可在個人使用期間封鎖相機的存取。
  • 螢幕擷取:使用此設定可在個人使用期間封鎖螢幕擷取。
  • 允許使用者從個人設定檔中的未知來源啟用應用程式安裝:使用此設定可讓使用者在個人配置檔中安裝來自未知來源的應用程式。

適用於:

  • 具有工作配置檔、個人啟用裝置的 Android Enterprise 公司擁有裝置。

若要查看您可以設定的所有設定,請移至 Android Enterprise 裝置設定以允許或限制功能

使用 群組原則 分析來分析內部部署 GPO

[裝置>群組原則 分析] 中,您可以在 Intune 系統管理中心) (GPO 匯入組策略物件。 當您匯入時,Intune 會自動分析 GPO,並顯示在 Intune 中具有對等設定的原則。 它也會顯示已淘汰或不再支援的 GPO。 如需更深入的資訊,請移至>表組策略>分析移轉整備報告。

如需這項功能的詳細資訊,請參閱 群組原則 分析。

適用於:

  • Windows 10和更新版本

封鎖 iOS/iPadOS 上的應用程式剪輯,以及延遲 macOS 裝置上的非 OS 軟體更新

當您在 iOS/iPadOS 和 macOS 裝置上建立裝置限制配置檔時,有一些新的設定:

iOS/iPadOS 14.0+ 封鎖應用程式剪輯

  • 適用於 iOS/iPadOS 14.0 和更新版本。
  • 裝置必須使用裝置註冊或自動裝置註冊註冊, (受監督的裝置) 。
  • [封鎖應用程式剪輯] 設定會封鎖受管理裝置上的應用程式剪輯 (裝置>>組態針對配置檔>一) 的平臺>裝置限制建立>iOS/iPadOS。 封鎖時,用戶無法新增任何應用程式剪輯,並移除現有的應用程式剪輯。

macOS 11+ 延遲軟體更新

  • 適用於macOS 11和更新版本。 在受監督的 macOS 裝置上,裝置必須具有使用者核准的裝置註冊,或透過自動裝置註冊進行註冊。
  • 現有的延遲軟體更新設定現在可以延遲操作系統和非OS更新 (裝置>>組態建立>macOS的平臺>裝置限制配置檔>一般) 。 軟體 更新的現有 [延遲可見度 ] 設定適用於 OS 和非 OS 更新。 延遲非 OS 軟體更新不會影響排程的更新。
  • 現有原則的行為不會變更、影響或刪除。 現有的原則會自動移轉至具有相同組態的新設定。

若要查看您可以設定的裝置限制設定,請參閱 iOS/iPadOSmacOS

在 iOS/iPadOS 和 macOS 裝置上使用個別應用程式 VPN 或隨選 VPN 的新設定

您可以在裝置設定中>>設定自動 VPN 設定檔建立>iOS/iPadOSmacOS,以用於設定檔>自動 VPN 的平臺 >VPN。 您可以設定新的個別應用程式 VPN 設定:

  • 防止使用者停用自動 VPN:建立自動 個別應用程式 VPN隨選 VPN 連線時,您可以強制使用者讓自動 VPN 保持啟用並執行。
  • 相關聯的網域:建立自動 個別應用程式 VPN 連線時,您可以在 VPN 配置檔中新增相關聯的網域,以自動啟動 VPN 連線。 如需相關聯網域的詳細資訊,請參閱 相關聯的網域
  • 排除的網域:建立自動 個別應用程式 VPN 連線時,您可以新增可在個別應用程式 VPN 連線時略過 VPN 連線的網域。

若要查看這些設定,以及您可以設定的其他設定,請移至 iOS/iPadOS VPN 設定macOS VPN 設定

針對 iOS/iPadOS 裝置設定每個應用程式的虛擬專用網 (VPN)

適用於:

  • iOS/iPadOS 14 和更新版本
  • macOS Big Sur (macOS 11)

設定 iOS/iPadOS 裝置上 IKEv2 VPN 連線的最大傳輸單位

從 iOS/iPadOS 14 和更新版本的裝置開始,您可以在使用 IKEv2 VPN 連線時,設定自定義傳輸單元 (MTU) , (> 裝置組態>建立>適用於平臺 >VPNiOS/iPadOS,以配置檔 >IKEv2 作為連線類型) 。

如需此設定的詳細資訊,以及您可以設定的其他設定,請參閱 IKEv2 設定

適用於:

  • iOS/iPadOS 14 和更新版本

iOS/iPadOS 裝置上電子郵件設置檔的個別帳戶 VPN 連線

從 iOS/iPadOS 14 開始,原生郵件應用程式的電子郵件流量可以根據使用者使用的帳戶,透過 VPN 路由傳送。 在 Intune 中,您可以針對每個帳戶的 VPN 設定設定 VPN 設定檔, (裝置>>組態建立>iOS/iPadOS 以進行平臺 >Email,以) 設定檔 >Exchange ActiveSync 電子郵件設置

此功能可讓您選取要用於帳戶型 VPN 連線的個別應用程式 VPN 設定檔。 當使用者在郵件應用程式中使用其組織帳戶時,每個應用程式的 VPN 聯機會自動開啟。

若要查看此設定和您可以設定的其他設定,請移至 新增iOS和iPadOS裝置的電子郵件設置

適用於:

  • iOS/iPadOS 14 和更新版本

在 iOS/iPadOS 裝置上的 Wi-Fi 網路上停用 MAC 位址隨機化

從 iOS/iPadOS 14 開始,根據預設,裝置會在連線到網路時呈現隨機 MAC 位址,而不是實體 MAC 位址。 基於隱私權,建議使用此行為,因為很難依其 MAC 位址追蹤裝置。 這項功能也會中斷依賴靜態 MAC 位址的功能,包括網路訪問控制 (NAC) 。

您可以在 Wi-Fi 配置檔中停用每個網路的 MAC 位址隨機化, (裝置>>組態建立>適用於平臺 Wi-FiiOS/iPadOS,>以進行設定檔 >BasicEnterprise for Wi-Fi 類型) 。

若要查看此設定,以及您可以設定的其他設定,請移至 新增iOS和iPadOS裝置的 Wi-Fi 設定

適用於:

  • iOS/iPadOS 14 和更新版本

裝置控制項配置檔的新設定

我們已針對執行 Windows 10 或更新版本的裝置,將一組設定新增至受攻擊面縮小原則的裝置控制配置檔

  • 卸除式儲存裝置
  • 僅限 HoloLens (USB 連線)

受攻擊面縮小 原則是 Intune 中端點安全 性的一部分。

裝置註冊

註冊狀態頁面顯示重要的 kiosk 原則

您現在可以在註冊狀態頁面上看到追蹤的下列原則

  • 受指派的存取權
  • Kiosk 瀏覽器設定
  • Edge 瀏覽器設定

目前不會追蹤所有其他 kiosk 原則。

裝置管理

支援 Zebra 裝置的 PowerPrecision 和 PowerPrecision+ 電池

在裝置的硬體詳細數據頁面上,您現在可以看到下列有關使用PowerPrecision和PowerPrecision+ 電池之 Zebra 裝置的資訊:

  • 由 Zebra (PowerPrecision+ 電池所決定的健康狀態評等只會)
  • 已取用的完整收費週期數目
  • 上次在裝置中找到電池的上次簽入日期
  • 上次在裝置中找到的電池組序號

COPE 預覽更新:使用工作配置檔重設 Android Enterprise 公司擁有裝置的工作配置檔密碼

您現在可以在具有工作配置檔的 Android Enterprise 公司擁有裝置上重設工作設定檔密碼。 如需詳細資訊,請 參閱重設密碼

重新命名 Microsoft Entra 加入的共同管理裝置

您現在可以重新命名 Microsoft Entra 加入的共同管理裝置。 如需詳細資訊,請參閱 在 Intune 中重新命名裝置

租使用者附加:系統管理中心的裝置時程表

當 Configuration Manager 透過租使用者附加將裝置同步至 Microsoft Intune 時,您可以看到事件的時間軸。 此時間表會顯示裝置上過去的活動,可協助疑難排解問題。 如需詳細資訊,請參閱 租使用者附加:系統管理中心的裝置時程表

租用戶鏈接:系統管理中心的資源總管

從 Microsoft Intune 系統管理中心,您可以使用資源總管來檢視已上傳 Configuration Manager 裝置的硬體清查。 如需詳細資訊,請參閱 租用戶連結:系統管理中心的資源總管

租使用者附加:來自系統管理中心的 CMPivot

將 CMPivot 的功能帶入 Microsoft Intune 系統管理中心。 允許 Helpdesk 等其他角色針對個別的 ConfigMgr 受控裝置,從雲端起始實時查詢,並將結果傳回系統管理中心。 這項功能提供 CMPivot 的傳統優點。 它可讓IT系統管理員和其他指定的人員快速評估裝置在其環境中的狀態並採取動作。

如需系統管理中心的 CMPivot 詳細資訊,請參閱 CMPivot 必要條件CMPivot 概觀CMPivot 範例腳本

租使用者附加:從系統管理中心執行腳本

將 Configuration Manager 內部部署執行腳本功能的功能帶入 Microsoft Intune 系統管理中心。 允許 Helpdesk 等其他角色即時針對個別 Configuration Manager 管理的裝置,從雲端執行 PowerShell 腳本。 這項功能提供 PowerShell 腳本的所有傳統優點,這些腳本已由 Configuration Manager 系統管理員定義並核准至此新環境。 如需詳細資訊,請參閱 租使用者附加:從系統管理中心執行腳本

預覽中租用戶連結裝置的竄改保護原則

在預覽版中,我們已將新的配置檔新增至 Intune 端點安全性防病毒軟體原則,可用來管理租使用者連結裝置上的竄改保護Windows 安全性 體驗 (預覽)

當您建立新的防病毒軟體原則時,會在 Windows 10 和 Windows Server (ConfigMgr) 平臺下找到新的配置檔。

您必須先設定 Configuration Manager 租用戶連結,並與 Intune 同步處理裝置,才能搭配租使用者連結裝置使用 Intune 端點安全策略。

也請注意使用並支援使用 Intune 原則進行竄改保護所需的特定 必要 條件。

裝置安全性

預覽版 Microsoft Tunnel 閘道 VPN 解決方案

您現在可以部署 Microsoft Tunnel 閘道 ,以從遠端訪問 iOS 和 Android Enterprise 上的內部部署資源, (完全受控、Corporate-Owned 工作設定檔、工作設定檔) 裝置。

Microsoft Tunnel 支援使用新式驗證的個別應用程式和完整裝置 VPN、分割通道和條件式存取功能。 通道可以支援多部閘道伺服器,以達到生產整備的高可用性。

Android 裝置的生物識別驗證支援

新的 Android 裝置會利用一組比指紋更多樣化的生物特徵辨識。 當 OEM 實作非指紋生物特徵辨識的支援時,終端使用者可能會使用此功能來安全存取和獲得更好的體驗。 在 2009 版的 Intune 中,您可以根據 Android 裝置支援的內容,允許終端使用者使用指紋或臉部解除鎖定。 您可以設定是否可以使用指紋以外的所有生物特徵辨識類型來進行驗證。 如需詳細資訊,請參閱 Android 裝置 應用程式防護 體驗

裝置端點安全性設定中的新詳細數據

您現在可以在裝置 端點安全性設定中檢視裝置的更多詳細數據。 當您鑽研以檢視已部署至裝置之原則的狀態詳細數據時,您現在會找到下列設定:

  • UPN (用戶主體名稱) :UPN 會識別將哪個端點安全性配置檔指派給裝置上的指定使用者。 這項資訊有助於區分裝置上的多個使用者,以及指派給裝置之配置檔或基準的多個專案。

如需詳細資訊,請參閱 解決安全性基準的衝突

已擴充端點安全性角色的 RBAC 許可權

Intune 的 端點安全性管理員 角色具有更多 角色型訪問控制 (遠端工作的 RBAC) 權

此角色會授與 Microsoft Intune 系統管理中心的存取權。 管理安全性與合規性功能的個人可以使用此功能,包括安全性基準、裝置合規性、條件式存取和 適用於端點的 Microsoft Defender。

遠端工作的新許可權包括:

  • 立即重新啟動
  • 遠端鎖定
  • 輪替 BitLockerKeys (預覽)
  • 輪替 FileVault 金鑰
  • 同步裝置
  • Microsoft Defender
  • 起始組態管理員動作

若要檢視任何 Intune RBAC 角色的完整許可權集,請移至 [ (租用戶系統管理員>Intune 角色>] 選取角色>許可權) 。

安全性基準的 匯報

我們有適用於下列 安全性基準的新版本:

更新的基準版本可支援最近的設定,以協助您維護個別產品小組所建議的最佳做法設定。

若要瞭解版本之間的變更,請參閱 比較基準版本 以瞭解如何匯出顯示變更的 .CSV 檔案。

使用端點安全性設定詳細數據來識別裝置的原則衝突來源

為了協助解決衝突,您現在可以鑽研安全性基準配置檔,以檢視所選裝置的 端點安全 性設定。 然後,您可以選取顯示 [衝突 ] 或 [ 錯誤] 的設定。 繼續進一步鑽研,以檢視包含屬於衝突一部分之配置檔和原則的詳細數據清單。

如果您接著選取衝突來源的原則,Intune 會開啟該原則 [概觀] 窗格,您可以在其中檢閱或修改原則設定。

當您鑽研安全性基準時,可以將下列原則類型識別為衝突來源:

  • 裝置設定原則
  • 端點安全策略

如需詳細資訊,請參閱 解決安全性基準的衝突

支援 iOS 和 macOS 裝置上金鑰大小為 4096 的憑證

當您為 iOS/iPadOS 或 macOS 裝置設定 SCEP 憑證 設定檔時,您現在可以指定 密鑰大小 (位) 為 4096 位。

Intune 支援下列平臺的 4096 位金鑰:

  • iOS 14 及更新版本
  • macOS 11 和更新版本

若要設定 SCEP 憑證設定檔,請參閱 建立 SCEP 憑證配置檔

Android 11 淘汰將受信任的跟證書部署到裝置系統管理員註冊的裝置

從 Android 11 開始,受信任的跟證書無法在註冊為 Android 裝置系統管理員的裝置上安裝受信任的跟證書。 這項限制不會影響 Samsung Knox 裝置。 對於非 Samsung 裝置,用戶必須在裝置上手動安裝受信任的跟證書。

在裝置上手動安裝受信任的跟證書之後,您可以使用 SCEP 將憑證布建到裝置。 您仍然必須建立 受信任的憑證 原則並將其部署至裝置,並將該原則連結至 SCEP 憑證 配置檔。

  • 如果受信任的跟證書位於裝置上,則可以成功安裝 SCEP 憑證配置檔。
  • 如果在裝置上找不到受信任的憑證,SCEP 憑證配置檔將會失敗。

如需詳細資訊,請 參閱 Android 裝置系統管理員的信任憑證配置檔

端點安全性防火牆原則中更多設定的三狀態選項

我們已在端點安全性防火牆原則中為 Windows 10 新增第三個設定狀態。

下列設定已更新:

  • 具狀態檔傳輸通訊協定 (FTP) 現在支援 [未設定]、[ 允許] 和 [停 用]
  • 要求密鑰模組只忽略其不支援的驗證套件 ,現在支援 [未設定]、[ 已啟用] 和 [已 停用]

改善Android Enterprise的憑證部署

我們已改善在註冊為完全受控、專用和 Corporate-Owned 工作配置檔的Android Enterprise裝置上,使用 Outlook 的 S/MIME 憑證 進行加密和簽署的支援。 先前,使用 S/MIME 需要裝置使用者允許存取。 現在,您可以使用 S/MIME 憑證,而不需要用戶互動。

若要將 S/MIME 憑證部署到支援的 Android 裝置,請使用 PKCS 匯入的憑證配置檔SCEP 憑證設定檔 進行裝置設定。 建立 Android Enterprise 的設定檔,然後從 [完全受控]、[專用] 和 [Corporate-Owned 工作配置檔] 類別中選取 [PKCS 匯入的憑證]。

已改善安全性基準報告中的狀態詳細數據

我們已開始改善 安全性基準的許多狀態詳細數據。 檢視您已部署之基準版本的相關信息時,您現在會看到更有意義且詳細的狀態。

具體而言,當您選取基準、選取 [版本],然後選取該基準的實例時,初始 [概觀] 會顯示下列資訊:

  • 安全性基準狀態 圖表 - 此圖表現在會顯示下列狀態詳細資料:
    • 符合預設基準 – 此狀態會取代 [符合基準 ],並識別裝置設定符合預設 (未修改) 基準設定。
    • 符合自訂設定 – 此狀態會在裝置設定符合您 (自定義) 和部署的基準時識別。
    • 設定錯誤 – 此狀態是代表裝置三個狀態條件的匯總: 錯誤擱置衝突。 這些不同的狀態可從其他檢視取得,如下所述。
    • 不適用 - 此狀態代表無法接收原則的裝置。 例如,原則會更新最新版 Windows 的特定設定,但裝置會執行舊版 (不支援該設定的舊版) 版本。
  • 依類別分類的安全性基準狀態 - 此檢視是依類別顯示裝置狀態的清單檢視。 可用的數據行會鏡像大部分 的安全性基準狀態 圖表,但為了取代 設定錯誤,您會看到構成設定錯誤之狀態的三個數據行:
    • 錯誤:此原則無法套用。 訊息通常會顯示錯誤碼並連結到說明。
    • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱。
    • 擱置中:裝置尚未簽入 Intune 以接收原則。

裝置系統管理員已註冊裝置的 Android 10 和更新版本密碼複雜性新設定

為了在註冊為 Android 裝置系統管理員的裝置上支援 Android 10 和更新版本的新選項,我們已將稱為 密碼複雜性 的新設定新增至 裝置合規性 原則和 裝置限制 原則。 您可以使用這個新設定來管理密碼強度的 量值 ,而密碼強度會影響密碼類型、長度和品質。

密碼複雜度不適用於 Samsung Knox 裝置。 在這些裝置上,密碼長度和類型設定會覆寫密碼複雜度。

密碼複雜度支援下列選項:

  • - 無密碼
  • - 密碼符合下列其中一項:
    • 模式
    • 具有重複 (4444) 或排序 (1234、4321、2468) 序列的 PIN
  • - 密碼滿足下列其中一項:
    • 不重複 (4444) 或排序 (1234、4321、2468) 序列的 PIN,長度至少為 4
    • 字母,長度至少 4
    • 英數位元,長度至少 4
  • - 密碼滿足下列其中一項:
    • 沒有重複 (4444) 或排序 (1234、4321、2468) 序列的 PIN,長度至少為 8
    • 字母,長度至少 6
    • 英數位元,長度至少為6

此新設定仍為進行中的工作。 在 2020 年 10 月底,密碼複雜度會在裝置上生效。

如果您將 [密碼複雜度 ] 設定為 [無] 以外的其他設定,則也必須設定另一個設定。 其他設定可確保使用不符合複雜性需求之密碼的使用者收到更新其密碼的警告。

  • 裝置合規性:將 [ 需要密碼以解除鎖定行動裝置 ] 設定為 [ 需要]
  • 裝置限制:將 [密碼] 設定為 [需要]

如果您未將另一個設定設定為 [需要],則具有弱式密碼的使用者將不會收到警告。

監視及疑難排解

端點分析已正式推出

端點分析旨在改善使用者生產力,並透過提供使用者體驗的見解來降低 IT 支援成本。 這些深入解析可讓 IT 透過主動式支援來優化用戶體驗,並藉由評估使用者對組態變更的影響來偵測用戶體驗的回歸。 如需詳細資訊,請參閱 端點分析

作業報告中所列裝置的大量動作

在 Microsoft Intune 安全性下推出的新防病毒軟體報告中,Windows 10 偵測到的惡意代碼作業報告會提供適用於報表內所選裝置的大量動作。 動作包括 重新啟動快速掃描完整掃描。 如需詳細資訊,請參閱 Windows 10 偵測到的惡意代碼報告

使用圖形 API 匯出 Intune 報表

所有已移轉至 Intune 報告基礎結構的報表,都可以從單一最上層匯出 API 匯出。 如需詳細資訊,請參閱 使用圖形 API 匯出 Intune 報表

Windows 10 和更新版本的全新和改良 Microsoft Defender 防病毒軟體報告

我們將在 Microsoft Intune 中的 Windows 10 上新增四份 Microsoft Defender 防病毒軟體的新報告。 這些報告包括:

  • 兩個作業報告,Windows 10 狀況不良的端點,Windows 10 偵測到惡意代碼。 在 Microsoft Intune 系統管理中心,選取 [端點安全>性防病毒軟體]
  • 兩份組織報告: 防病毒軟體代理程序狀態偵測到的惡意代碼。 在系統管理中心 Microsoft Intune,選取 [報告>Microsoft Defender 防病毒軟體]

如需詳細資訊,請參閱 Intune 報告管理 Microsoft Intune 中的端點安全性

新 Windows 10 功能更新報告

Windows 10 功能更新報告提供以 Windows 10 功能更新原則為目標之裝置的整體合規性檢視。 在 Microsoft Intune 系統管理中心,選取 [報告>Windows 更新] 以檢視此報告的摘要。 若要查看特定原則的報告,請從 Windows 更新 工作負載選取 [ 報表 ] 索引標籤,然後開啟 [Windows 功能更新報告]。 如需詳細資訊,請參閱 Windows 10 功能更新

2020年 8月

應用程式管理

刪除 Apple VPP 令牌之前撤銷的相關聯授權

當您在 Microsoft Intune 中刪除Apple VPP令牌時,所有與該令牌相關聯的 Intune 指派授權都會在刪除前自動撤銷。

Android 應用程式中更新裝置設定頁面的改進 公司入口網站 以顯示描述

在 Android 裝置上的 公司入口網站 應用程式中,[更新裝置設定] 頁面會列出需要更新以符合規範的設定。 用戶展開問題以查看詳細資訊,並查看 [ 解決 ] 按鈕。

此用戶體驗已獲得改善。 列出的設定預設會展開以顯示描述,並在適用時顯示 [ 解析 ] 按鈕。 先前,預設會折迭問題。 這個新的預設行為會減少點選次數,讓使用者可以更快速地解決問題。

公司入口網站 會新增 Configuration Manager 應用程式支援

公司入口網站 現在支援 Configuration Manager 應用程式。 這項功能可讓終端使用者在共同管理的客戶 公司入口網站 中看到 Configuration Manager 和 Intune 部署的應用程式。 這個新版本的 公司入口網站 會針對所有共同管理的客戶顯示 Configuration Manager 部署的應用程式。 這項支援可協助系統管理員合併其不同的使用者入口網站體驗。 如需詳細資訊,請參閱在共同管理的裝置上使用 公司入口網站 應用程式

裝置設定

使用 NetMotion 作為 iOS/iPadOS 和 macOS 裝置的 VPN 連線類型

當您建立 VPN 設定檔時,NetMotion 會以 VPN 連線類型提供, (>> 裝置組態建立>iOS/iPadOSmacOS,以供平臺 >VPN 使用,以配置檔 >NetMotion 作為連線類型) 。

如需 Intune 中 VPN 設定檔的詳細資訊,請參閱 建立 VPN 配置檔以連線到 VPN 伺服器

適用於:

  • iOS/iPadOS
  • macOS

適用於 Windows 10 Wi-Fi 設定檔的更多受保護可延伸驗證通訊協定 (PEAP) 選項

在 Windows 10 裝置上,您可以使用可延伸驗證通訊協定 (EAP) 來建立 Wi-Fi 配置檔,以驗證 Wi-Fi 連線>> (裝置組態建立>Windows 10 及更新版本,以供適用於配置檔 >Enterprise) 的平臺 >Wi-Fi 使用。

當您選取 [受保護的 EAP (PEAP) 時,有新的設定可供使用:

  • 在PEAP階段1中執行伺服器驗證:在PEAP交涉階段1中,憑證驗證會驗證伺服器。
    • 停用PEAP階段1中伺服器驗證的使用者提示:在PEAP交涉階段1中,不會顯示要求授權受信任證書頒發機構單位的新PEAP伺服器的使用者提示。
  • 需要密碼編譯系結:防止連線到PEAP交涉期間未使用密碼編譯的PEAP伺服器。

若要查看您可以設定的設定,請移至新增 Windows 10 和更新版本裝置的 Wi-Fi 設定

適用於:

  • Windows 10和更新版本

防止使用者使用臉部和鳶尾花掃描將Android Enterprise工作配置檔裝置解除鎖定

您現在可以防止使用者在裝置層級或工作配置檔層級使用臉部或鳶尾花掃描來解除鎖定其工作配置檔管理的裝置。 此功能可在 [裝置>>設定] [建立>Android Enterprise for platform >Work 配置檔>] [配置檔裝置限制] 的 [>工作配置檔設定] 和 [密碼] 區段中設定。

如需詳細資訊,請參閱 使用 Intune 在個人擁有的裝置上允許或限制功能的 Android Enterprise 裝置設定

適用於:

  • Android Enterprise 工作配置檔

透過 Microsoft Enterprise SSO 外掛程式在更多 iOS/iPadOS 應用程式上使用 SSO 應用程式延伸模組

適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式可以與所有支援 SSO 應用程式延伸模組的應用程式搭配使用。 在 Intune 中,此功能表示外掛程式適用於未使用 Microsoft 驗證連結庫的行動 iOS/iPadOS 應用程式, (適用於 Apple 裝置的 MSAL) 。 應用程式不需要使用 MSAL,但必須使用 Microsoft Entra 端點進行驗證。

若要將 iOS/iPadOS 應用程式設定為搭配外掛程式使用 SSO,請在 iOS/iPadOS 組態設定檔中新增應用程式套件組合識別碼 (>> 裝置設定建立>適用於平台裝置功能的裝置>功能設定檔>單一登錄應用程式延伸>模組 Microsoft Entra ID 適用於 SSO 應用程式延伸模組類型>應用程式套件組合識別符) 。

若要查看您可以設定的目前 SSO 應用程式延伸模組設定,請移至 單一登錄應用程式延伸模組

適用於:

  • iOS/iPadOS

PFX 憑證連接器的新版本和 PKCS 憑證配置檔支援的變更

我們發行了新版的 PFX 憑證連接器 6.2008.60.607 版。 這個新的連接器版本:

  • 支援所有支持平臺上的 PKCS 憑證配置檔,但 Windows 8.1

    我們已合併 PFX 憑證連接器中的所有 PCKS 支援。 因此,如果您未在環境中使用 SCEP,而且不針對其他意圖使用 NDES,則可以移除 Microsoft 憑證連接器,並從您的環境中卸載 NDES。

  • 由於 Microsoft 憑證連接器尚未移除功能,因此您可以繼續使用它們來支援 PKCS 憑證配置檔。

  • 支援 Outlook S/MIME 的憑證撤銷

  • 需要 .NET Framework 4.7.2

如需憑證連接器的詳細資訊,包括這兩個憑證連接器的連接器版本清單,請參閱 憑證連接器

裝置管理

租使用者附加:從系統管理中心安裝應用程式

您現在可以從 Microsoft Intune 系統管理中心,即時起始租用戶連結裝置的應用程式安裝。 如需詳細資訊,請參閱 租使用者附加:從系統管理中心安裝應用程式

裝置安全性

將端點安全性防病毒軟體原則部署到租用戶連結的裝置 (預覽)

預覽版中,您可以將防病毒軟體的端點安全策略部署到您使用 Configuration Manager 管理的裝置。 此案例需要您在支援的 Configuration Manager 版本與 Intune 訂用帳戶之間設定租用戶連結。 支援下列版本的 Configuration Manager:

  • Configuration Manager 最新分支 2006

如需詳細資訊,請參閱 [Intune 端點安全策略的需求] (。。/protect/tenant-attach-intune.md# requirements-for-intune-endpoint-security-policies) 支援租使用者附加。

端點安全性防病毒軟體原則排除項目的變更

我們引進了兩項變更,用於管理您設定為端點安全性防病毒軟體原則一部分的 Microsoft Defender 防病毒軟體排除清單。 這些變更可協助您避免不同原則之間的衝突,並解決可能存在於您先前部署原則中的排除清單衝突。

這兩項變更都適用於下列 Microsoft Defender 防病毒軟體設定服務提供者 (CSP) 的原則設定:

  • Defender/ExcludedPaths
  • Defender/ExcludedExtensions
  • Defender/ExcludedProcesses

變更如下:

  • 新的配置檔類型:Microsoft Defender 防病毒軟體排除專案 - 針對 Windows 10 和更新版本使用這個新的配置檔類型,以定義只著重於防病毒軟體排除項目的原則。 此配置檔可將排除清單與其他原則組態分開,以協助簡化排除清單的管理。

    您可以設定的排除專案包括 Defender 程式擴展名,以及您不想 Microsoft Defender 掃描的檔案資料夾

  • 原則合併 – Intune 現在會將您在個別配置檔中定義的排除清單合併成單一排除清單,以套用至每個裝置或使用者。 例如,如果您以具有三個不同原則的用戶為目標,則這三個原則的排除清單會合併成 Microsoft Defender 防病毒軟體排除專案的單一超集,然後套用至該使用者。

匯入和匯出 Windows 防火牆規則的位址範圍清單

我們已新增使用 .csv 檔案匯入或出位址範圍清單的支援,以匯入或匯出端點安全性防火牆原則中 Microsoft Defender 防火牆規則配置檔。 下列 Windows 防火牆規則設定現在支援匯入和匯出:

  • 本機位址範圍
  • 遠端位址範圍

我們也改善了本機和遠端位址範圍項目的驗證,以協助防止重複或無效的專案。

如需這些設定的詳細資訊,請參閱 Microsoft Defender 防火牆規則的設定

從第三方 MDM 提供者設定裝置合規性狀態

Intune 現在支援 第三方 MDM 解決方案作為裝置合規性詳細數據的來源。 此第三方合規性數據可用來透過與 Microsoft Intune 整合,在iOS和Android上強制執行 Microsoft 365 應用程式的條件式存取原則。 Intune 會評估第三方提供者的合規性詳細數據,以判斷裝置是否受信任,然後在 Microsoft Entra ID 中設定條件式存取屬性。 您將繼續從 Microsoft Intune 系統管理中心或 Microsoft Entra 系統管理中心 內建立 Microsoft Entra 條件式存取原則。

此版本支援下列第三方 MDM 提供者作為公開預覽:

  • VMware 工作區 ONE UEM (先前稱為 AirWatch)

這項更新會向全球客戶推出。 您應該會在下一周內看到這項功能。

Intune 應用程式

自訂品牌影像現在會顯示在 Windows 公司入口網站 設定檔頁面中

身為 Microsoft Intune 系統管理員,您可以將自定義品牌映射上傳至 Intune。 此影像會在 Windows 公司入口網站 應用程式的使用者配置檔頁面上顯示為背景影像。 如需詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

2020 年 7 月

應用程式管理

在 Android 上更新 公司入口網站 和 Intune 應用程式中的裝置圖示

我們已更新 Android 裝置上 公司入口網站 和 Intune 應用程式中的裝置圖示,以建立更現代化的外觀和風格,並配合 Microsoft Fluent Design 系統。 如需詳細資訊,請參閱 iOS/iPadOS 和 macOS 公司入口網站 應用程式中的圖示更新

Exchange On-Premises Connector 支援

從 2007 年 (7 月) 版開始,Intune 會從 Intune 服務移除 Exchange 內部部署連接器功能的支援。 具有作用中連接器的現有客戶目前可以繼續使用目前的功能。 沒有作用中連接器的新客戶和現有客戶將無法再從 Intune 建立新的連接器或管理 Exchange ActiveSync (EAS) 裝置。 針對這些客戶,Microsoft 建議使用 Exchange 混合式新式驗證 (HMA) 來保護 Exchange 內部部署的存取權。 HMA 會啟用 Intune 應用程式保護原則 (也稱為 MAM) 和透過 Outlook Mobile for Exchange 內部部署的條件式存取。

iOS 和 Android 裝置上 Outlook 的 S/MIME 而不註冊

您現在可以使用受控應用程式的應用程式設定原則,為iOS和Android裝置上的 Outlook 啟用 S/MIME。 無論裝置註冊狀態為何,這項功能都允許原則傳遞。 在系統管理中心 Microsoft Intune,選取 [應用程式>應用程式設定原則>][新增>Managed 應用程式]。 此外,您可以選擇是否允許使用者在 Outlook 中變更此設定。 不過,若要自動將 S/MIME 憑證部署至 iOS 和 Android 版 Outlook,則必須註冊裝置。 如需 S/MIME 的一般資訊,請參閱 在 Intune 中簽署和加密電子郵件的 S/MIME 概觀。 如需 Outlook 組態設定的詳細資訊,請參閱 Microsoft Outlook 組態設定和 為未註冊裝置的受控應用程式新增應用程式設定原則。 如需 iOS 版 Outlook 和 Android S/MIME 資訊,請參閱 S/MIME 案例組態密鑰 - S/MIME 設定

裝置設定

適用於 Windows 10 和更新裝置的新 VPN 設定

當您使用 IKEv2 連線類型建立 VPN 設定檔時,您可以針對設定檔>基底 VPN 的平臺>VPN 設定 (>> 裝置組態建立>Windows 10 及更新版本) 的新設定:

  • 裝置通道:允許裝置自動連線到 VPN,而不需要任何用戶互動,包括使用者登入。 此功能需要您啟用 Always On,並使用計算機憑證作為驗證方法。
  • 密碼編譯套件設定:設定用來保護 IKE 和子安全性關聯的演算法,這可讓您比對客戶端和伺服器設定。

若要查看您可以設定的設定,請移至 Windows 裝置設定,以使用 Intune 新增 VPN 連線

適用於:

  • Windows 10和更新版本

在 Android Enterprise 裝置上的裝置限制配置檔中設定更多 Microsoft Launcher 設定, (COBO)

在 Android Enterprise 完全受控裝置上,您可以使用裝置限制配置檔來設定更多 Microsoft Launcher 設定 (>> 裝置設定建立>僅>限裝置擁有者平臺>的 Android Enterprise裝置限制>裝置體驗>完全受控) 。

若要查看這些設定,請移至 Android Enterprise 裝置設定以允許或限制功能

您也可以使用應用程式組態 設定檔來設定 Microsoft Launcher 設定。

適用於:

  • Android Enterprise 裝置擁有者完全受控裝置 (COBO)

Android Enterprise 裝置擁有者專用裝置上 受控主畫面 的新功能 (COSU)

在 Android Enterprise 裝置上,系統管理員可以使用裝置組態配置檔,使用多應用程式 kiosk 模式自定義專用裝置上的 受控主畫面 (裝置>設定>建立>適用於平臺>的Android Enterprise 裝置擁有者僅>限裝置限制配置檔>裝置體驗>專用裝置>多應用程式) .

具體而言,您可以:

  • 自定義圖示、變更螢幕方向,以及在徽章圖示上顯示應用程式通知
  • 隱藏 [Managed 設定] 快捷方式
  • 更輕鬆地存取偵錯功能表
  • 建立允許的 Wi-Fi 網路清單
  • 更輕鬆地存取裝置資訊

如需詳細資訊,請參閱 允許或限制功能的Android Enterprise裝置設定此部落格

適用於:

  • Android Enterprise 裝置擁有者、專用裝置 (COSU)

針對 Microsoft Edge 84 更新的系統管理範本

適用於 Microsoft Edge 的 ADMX 設定已更新。 終端用戶現在可以設定及部署Edge 84中新增的新ADMX設定。 如需詳細資訊,請參閱 Edge 84版本資訊

裝置註冊

iOS 公司入口網站 將支援 Apple 的自動裝置註冊,而不需要使用者親和性

使用 Apple 的自動裝置註冊註冊的裝置現在支援 iOS 公司入口網站,而不需要指派的使用者。 終端使用者可以登入 iOS 公司入口網站,以在未註冊裝置親和性的 iOS/iPadOS 裝置上,將自己建立為主要使用者。 如需自動裝置註冊的詳細資訊,請參閱 使用Apple的自動裝置註冊自動註冊iOS/iPadOS裝置

公司擁有、個人啟用的裝置 (預覽)

Intune 現在支援具有作業系統版本 Android 8 和更新版本之工作配置檔的 Android Enterprise 公司擁有裝置。 具有工作配置檔的公司擁有裝置是 Android Enterprise 解決方案集中的其中一個公司管理案例。 此案例適用於適用於公司和個人用途的單一用戶裝置。 這個公司擁有的個人 () 案例提供:

  • 工作和個人配置檔容器化
  • 系統管理員的裝置層級控制
  • 保證使用者的個人資料和應用程式會保持私人

第一個公開預覽版本將包含將包含在正式發行版中的功能子集。 將會以滾動為基礎新增更多功能。 將在第一個預覽中提供的功能包括:

  • 註冊:系統管理員可以使用未過期的唯一令牌來建立多個註冊配置檔。 裝置註冊可以透過 NFC、令牌專案、QR 代碼、Zero Touch 或 Knox Mobile Enrollment 來完成。
  • 裝置設定:現有完全受控和專用裝置設定的子集。
  • 裝置合規性:目前適用於完全受控裝置的合規性原則。
  • 裝置動作:刪除裝置 (原廠重設) 、重新啟動裝置,以及鎖定裝置。
  • 應用程式管理:應用程式指派、應用程式設定和相關聯的報告功能
  • 條件式存取

如需公司擁有且工作配置檔預覽的詳細資訊,請參閱 支援部落格

裝置管理

租使用者附加:系統管理中心的 ConfigMgr 用戶端詳細數據 (預覽)

您現在可以在 Microsoft Intune 系統管理中心查看 ConfigMgr 用戶端詳細數據,包括集合、界限群組成員資格,以及特定裝置的即時客戶端資訊。 如需詳細資訊,請參閱 租用戶連結:系統管理中心的 ConfigMgr 用戶端詳細數據 (預覽)

匯報 macOS 裝置的遠端鎖定動作

macOS 裝置遠端鎖定動作的變更包括:

  • 復原釘選會在刪除 (之前顯示 30 天,而不是) 7 天。
  • 如果系統管理員已開啟第二個瀏覽器,並嘗試從不同的索引卷標或瀏覽器再次觸發命令,Intune 會讓命令通過。 但報告狀態會設定為失敗,而不是產生新的針腳。
  • 如果上一個命令仍在擱置中,或裝置尚未簽入,則不允許系統管理員發出另一個遠端鎖定命令。 這些變更的設計目的是要防止在多個遠端鎖定命令之後覆寫正確的針腳。

裝置動作報告會區分抹除和受保護的抹除

[裝置動作] 報告現在會區分抹除和受保護的抹除動作。 若要查看報告,請移至 [其他) ] 底下的 [Microsoft Intune 系統管理中心>裝置>監視>裝置動作 (] 。

裝置安全性

Microsoft Defender 防火牆規則移轉工具預覽

作為公開預覽版,我們正在使用PowerShell型工具來移轉 Microsoft Defender 防火牆規則。 當您安裝並執行工具時,它會自動建立 Intune 的端點安全性防火牆規則原則。 這些規則是以 Windows 10 用戶端的目前設定為基礎。 如需詳細資訊,請參閱 端點安全性防火牆規則移轉工具概觀

將租使用者附加裝置上線至 適用於端點的 Microsoft Defender的端點偵測和響應原則已正式推出

作為 Intune 中端點安全性的一部分,EDR (端點偵測和回應) 原則可與 Configuration Manager 所管理的裝置搭配使用

若要使用 EDR 原則搭配來自支援版本 Configuration Manager 的裝置,請設定租使用者附加以進行 Configuration Manager。 完成租使用者附加設定之後,您可以將 EDR 原則部署到由 Configuration Manager 管理的裝置上線以 適用於端點的 Microsoft Defender。

端點安全性受攻擊面縮小原則的裝置控制配置檔中提供藍牙設定

我們已將管理 Windows 10 裝置上藍牙的設定新增至端點安全性受攻擊面縮小原則裝置控制配置檔。 這些設定與裝置設定的裝置限制配置檔中提供的設定相同。

使用 Windows 10 裝置的端點安全性防病毒軟體原則來管理定義更新的來源位置

Windows 10 裝置的端點安全性防病毒軟體原則 匯報 類別有新的設定。 這些設定可協助您管理裝置取得更新定義的方式:

  • 定義用於下載定義更新的檔案共用
  • 定義下載定義更新的來源順序

使用新的設定,您可以新增 UNC 檔案共享作為定義更新的下載來源位置,並定義連絡不同來源位置的順序。

改善的安全性基準節點

我們進行了一些變更,以改善 Microsoft Intune 系統管理中心內安全性基準節點的可用性。 現在,當您鑽研 至 [端點安全>性基準 ],然後選取像是 [MDM 安全性基準] 的安全性基準類型時,您會看到 [ 配置檔] 窗格。 在 [配置檔] 窗格中,您會檢視您為該基準類型建立的配置檔。 主控台先前會顯示 [概觀] 窗格,其中包含匯總數據匯總,但不一定符合個別配置檔報表中找到的詳細數據。

未變更,您可以從 [配置檔] 窗格中選取要鑽研的配置檔,以檢視 [ 監視] 底下可用的配置檔屬性和各種報表。 同樣地,在 [配置檔] 的相同層級中,您仍然可以選取 [ 版本 ] 來檢視您已部署之配置檔類型的各種版本。 當您鑽研至版本時,您也會取得報表的存取權,類似於配置檔報表。

Windows 的衍生認證支援

您現在可以搭配 Windows 裝置使用衍生認證。 此功能擴充了 iOS/iPadOS 和 Android 的現有支援,並適用於相同的衍生認證提供者:

  • 委託
  • 說情
  • DISA Purebred

對物件的支援包括使用衍生認證來驗證 Wi-Fi 或 VPN 配置檔。 針對 Windows 裝置,衍生認證是從您所使用之衍生認證提供者所提供的用戶端應用程式發出。

管理裝置使用者加密而非 Intune 所加密裝置的 FileVault 加密

Intune 現在可以 假設管理由裝置使用者加密的 macOS 裝置上的 FileVault 磁碟加密,而不是由 Intune 原則加密。 此案例需要:

  • 從 Intune 接收磁碟加密原則的裝置,可啟用 FileVault。
  • 使用 公司入口網站 網站將加密裝置的個人修復金鑰上傳至 Intune 的裝置使用者。 若要上傳金鑰,他們會為加密的macOS裝置選取 [市集修復金鑰 ] 選項。

用戶上傳其修復金鑰之後,Intune 會輪替金鑰以確認密鑰有效。 Intune 現在可以像使用原則直接加密裝置一樣來管理密鑰和加密。 如果使用者需要復原其裝置,他們可以從下列位置使用任何裝置來存取修復密鑰:

  • 公司入口網站 網站
  • 適用於 iOS/iPadOS 的公司入口網站應用程式
  • 適用於 Android 的公司入口網站應用程式
  • Intune 應用程式

在 macOS FileVault 磁碟加密期間向裝置使用者隱藏個人修復密鑰

當您使用端點安全策略來設定 macOS FileVault 磁碟加密時,請使用 [隱藏修復金鑰 ] 設定來防止在裝置加密時向裝置使用者顯示 個人修復密鑰 。 藉由在加密期間隱藏金鑰,您可以協助保護其安全,因為使用者在等候裝置加密時將無法將其寫下。

稍後,如果需要復原,使用者可以使用任何裝置,透過選項來檢視其個人修復密鑰:

  • Intune 公司入口網站 網站
  • iOS/iPadOS 公司入口網站 應用程式
  • Android 公司入口網站 應用程式
  • Intune 應用程式

改善裝置的安全性基準詳細數據檢視

現在您可以鑽研裝置的詳細數據,以檢視適用於裝置之安全性基準的設定詳細數據。 這些設定會出現在簡單、一般清單中,其中包括設定類別、設定名稱和狀態。 如需詳細資訊,請 參閱檢視每個裝置的端點安全性設定

監視及疑難排解

裝置合規性記錄現在使用英文

Intune DeviceComplianceOrg 記錄先前只有 ComplianceState、OwnerType 和 DeviceHealthThreatLevel 的列舉。 現在,這些記錄在數據行中有英文資訊。

Power BI 合規性報告範本 V2.0

Power BI 範本應用程式可讓 Power BI 合作夥伴以很少或不撰寫程式代碼的方式建置 Power BI 應用程式,並將其部署至任何 Power BI 客戶。 系統管理員可以將Power BI合規性報告範本的版本從V1.0更新為 V2.0。 V2.0 包含改良的設計,以及顯示為範本一部分之計算和數據的變更。 如需詳細資訊,請參閱使用Power BI 連線到 Data Warehouse更新範本應用程式。 此外,請參閱使用 Intune Data Warehouse 宣佈 Power BI 合規性報告新版本的部落格文章。

角色型存取控制

指派配置檔和更新配置檔許可權變更

針對自動化裝置註冊流程的指派配置檔和更新配置檔,角色型訪問控制許可權已變更:

指派配置檔:具有此許可權的系統管理員也可以將配置檔指派給令牌,並將預設配置檔指派給自動裝置註冊的令牌。

更新配置檔:具有此許可權的系統管理員只能針對自動裝置註冊更新現有的配置檔。

若要查看這些角色,請移至 Microsoft Intune 系統管理中心>租用戶系統管理>角色>所有角色>建立>>限角色

腳本

Data Warehouse v1.0 屬性

您可以使用 Intune Data Warehouse v1.0 來取得更多屬性。 下列屬性現在會透過 裝置 實體公開:

  • ethernetMacAddress - 此裝置的唯一網路識別碼。
  • office365Version - 裝置上安裝的 Microsoft 365 版本。

下列屬性現在會透過 devicePropertyHistories 實體公開:

  • physicalMemoryInBytes - 以位元組為單位的物理記憶體。
  • totalStorageSpaceInBytes - 記憶體容量總計,以位元組為單位。

如需詳細資訊,請參閱 Microsoft Intune Data Warehouse API

2020 年 6 月

應用程式管理

適用於Managed應用程式的電信資料傳輸保護

在受保護的應用程式中偵測到超連結電話號碼時,Intune 會檢查指派的應用程式保護原則是否允許將號碼傳輸至撥號程式應用程式。 從受原則管理的應用程式起始時,您可以選擇如何處理這種類型的內容傳輸。 在 Microsoft Intune 中建立應用程式保護原則時,請從 [將組織數據傳送至其他應用程式] 中選取受控應用程式選項,然後從 [傳輸電信數據] 中選取選項。 如需此數據保護設定的詳細資訊,請參閱 Microsoft Intune 中的Android應用程式保護原則設定和iOS應用程式保護原則設定

Windows 公司入口網站 中 Microsoft Entra 企業版和 Office Online 應用程式的整合傳遞

在 Intune 的 [自定義] 窗格中,您可以選取 [隱藏] 或 [顯示公司入口網站 中的 Microsoft Entra Enterprise 應用程式Office Online 應用程式]。 每個用戶都會從所選的 Microsoft 服務看到其整個應用程式類別目錄。 根據預設,每個應用程式來源都會設定為 [隱藏]。 這項功能會先在 公司入口網站 網站中生效,並預期 Windows 公司入口網站 支援。 在 [Microsoft Intune 系統管理中心] 中,選取 [租用戶系統管理>自定義] 以尋找此組態設定。 如需詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

改善macOS註冊體驗的 公司入口網站

macOS 註冊體驗的 公司入口網站 具有更簡單的註冊程式,可更貼近 iOS 註冊體驗的 公司入口網站。 裝置使用者會看到:

  • 更順位的使用者介面。
  • 改良的註冊檢查清單。
  • 更清楚說明如何註冊其裝置。
  • 改善的疑難解答選項。

如需 公司入口網站 的詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

iOS/iPadOS 和 macOS 公司入口網站的 [裝置] 頁面改善

我們已變更 [公司入口網站 裝置] 頁面,以改善 iOS/iPadOS 和 Mac 使用者的應用程式體驗。 除了建立更新式的外觀和風格之外,我們還會在具有已定義區段標頭的單一數據行下重新組織裝置詳細數據,讓使用者更容易查看其裝置狀態。 我們也為裝置不符合規範的使用者新增了更清楚的傳訊和疑難解答步驟。 如需 公司入口網站 的詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式。 若要手動同步裝置,請參閱 手動同步處理您的 iOS 裝置

iOS/iPadOS 公司入口網站 應用程式的雲端設定

iOS/iPadOS 公司入口網站 的新端設定可讓使用者將其驗證重新導向至您組織的適當雲端。 根據預設,設定會設定為 [自動],這會將驗證導向使用者裝置自動偵測到的雲端。 如果您的組織驗證必須重新導向至雲端,而不是自動偵測到公用或政府) 等 (的雲端,您的使用者可以選取 [設定] 應用程式 >公司入口網站>Cloud 來手動選取適當的雲端。 只有當使用者從另一部裝置登入且裝置未自動偵測到適當的雲端時,才應該從 [自動] 變更雲端設定。

重複的Apple VPP令牌

具有相同令 牌位置 的 Apple VPP 令牌現在會標 示為重複 ,而且可以在移除重複的令牌時再次同步處理。 您仍能為標記為「重複」的權杖指派及撤銷授權。 不過,一旦令牌標示為重複,新應用程式和購買書籍的授權可能不會反映。 若要尋找您租使用者的Apple VPP令牌,請從 Microsoft Intune系統管理中心,選取 [租用戶系統管理>連接器和令牌>][Apple VPP 令牌]。 如需 VPP 令牌的詳細資訊,請參閱如何使用 Microsoft Intune 管理透過 Apple 大量採購方案購買的 iOS 和 macOS 應用程式

匯報 iOS/iPadOS 公司入口網站 中的資訊畫面

iOS/iPadOS 公司入口網站 中的資訊畫面已更新,以更清楚地說明系統管理員可以在裝置上看到和執行的動作。 這些說明僅與公司擁有的裝置有關。 只有文字已更新,系統管理員在用戶裝置上可看到或執行的內容未實際修改。 若要查看更新的畫面,請移至 Intune 使用者應用程式的 UI 更新

已更新 Android APP 條件式啟動終端用戶體驗

Android 公司入口網站 的 2006 版有以 2005 版更新為基礎的變更。 在 2005 年,我們推出更新,其中由應用程式保護原則發出警告、封鎖或抹除的 Android 裝置使用者會看到完整頁面訊息,描述警告、封鎖或抹除的原因,以及補救問題的步驟。 在 2006 年,第一次指派應用程式保護原則的 Android 應用程式使用者將會透過引導式流程來補救導致其應用程式存取遭到封鎖的問題。

新推出的 Intune 受保護應用程式

現在可以使用下列受保護的應用程式:

  • BlueJeans 影片會議
  • 適用於 Intune 的 Cisco Jabber
  • 適用於 Intune 的 Tableau Mobile
  • Intune 為 ZERO

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

裝置設定

在macOS裝置上的 Wi-Fi 設定檔中新增多個EAP-TLS驗證跟證書

在 macOS 裝置上,您可以建立 Wi-Fi 設定檔,然後選取 [可延伸的驗證通訊協定] ([EAP) 驗證類型], ([裝置>>設定] [建立>適用於平臺 >Wi-FimacOS],將配置檔 >Wi-Fi 類型設定為 [企業) ]。

當您將 EAP 類型 設定為 EAP-TLSEAP-TTLSPEAP 驗證時,您可以新增多個跟證書。 先前,您只能新增一個跟證書。

如需您可以設定之設定的詳細資訊,請參閱在 Microsoft Intune 中新增macOS裝置的 Wi-Fi 設定

適用於:

  • macOS

在 Windows 10 和更新的裝置上搭配使用 PKCS 憑證與 Wi-Fi 配置檔

您可以使用 SCEP 憑證來驗證 Windows Wi-Fi 配置檔 (>> 裝置組態建立>Windows 10 及更新版本,以針對企業版 EAP 類型>>) 的平臺> Wi-Fi 進行驗證。 現在,您可以搭配 Windows Wi-Fi 設定檔使用 PKCS 憑證。 此功能可讓使用者使用租使用者中新的或現有的 PKCS 憑證設定檔來驗證 Wi-Fi 設定檔。

如需您可以設定之 Wi-Fi 設定的詳細資訊,請參閱在 Intune 中新增 Windows 10 和更新版本裝置的 Wi-Fi 設定

適用於:

  • Windows 10和更新版本

macOS 裝置的有線網路裝置組態配置檔

有新的 macOS 裝置組態設定檔可供使用,可設定有線網路 (裝置>>組態建立>適用於平臺>有線網路macOS 以進行配置檔) 。 使用此功能來建立 802.1x 配置檔來管理有線網路,並將這些有線網路部署到 macOS 裝置。

如需這項功能的詳細資訊,請參閱 macOS 裝置上的有線網路

適用於:

  • macOS

使用 Microsoft Launcher 作為完全受控 Android Enterprise 裝置的預設啟動器

在 Android Enterprise 裝置擁有者裝置上,您可以將 Microsoft Launcher 設定為完全受控裝置的預設啟動器, (裝置>>設定建立>平台>裝置擁有>者的Android Enterprise 裝置限制設定檔>裝置體驗) 。 若要設定所有其他 Microsoft Launcher 設定,請使用 應用程式設定原則

此外,還有其他一些UI更新,包括已重新命名為裝置體驗專用裝置

若要查看您可以限制的所有設定,請參閱 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

適用於:

  • Android Enterprise 裝置擁有者完全受控裝置 (COBO)

使用自發性單一應用程式模式設定,將iOS 公司入口網站 應用程式設定為登入/註銷應用程式

在 iOS/iPadOS 裝置上,您可以將應用程式設定為在 ASAM) (自發單一應用程式模式中執行。 現在,公司入口網站 應用程式支援 ASAM,而且可以設定為「登入/註銷」應用程式。 在此模式中,用戶必須登入 公司入口網站 應用程式,才能在裝置上使用其他應用程式和主畫面按鈕。 當他們註銷 公司入口網站 應用程式時,裝置會回到單一應用程式模式,並鎖定 公司入口網站 應用程式。

若要將 公司入口網站 設定為在 ASAM 中,請移至 [裝置>>設定] [建立>iOS/iPadOS] 以取得設定檔>自發性單一應用程式模式的平臺>裝置限制

如需詳細資訊,請 參閱 ASAM) (自發單一應用程式模式 單一應用程式模式 (開啟 Apple 的網站) 。

適用於:

  • iOS/iPadOS

在macOS裝置上設定內容快取

在macOS裝置上,您可以建立組態配置檔,以設定內容快取 (裝置>>組態建立>macOS以取得配置檔) 的平臺>裝置功能。 使用這些設定來刪除快取、允許共用快取、設定磁碟上的快取限制等等。

如需內容快取的詳細資訊,請參閱 ContentCaching (開啟 Apple 的網站) 。

若要查看您可以設定的設定,請移至 Intune 中的 macOS 裝置功能設定

適用於:

  • macOS

新增架構設定,並在 Android Enterprise 上使用 OEMConfig 搜尋現有的架構設定

在 Intune 中,您可以使用 OEMConfig 來管理 Android Enterprise 裝置上的設定, (裝置>>設定建立>適用於配置檔) 之平臺 >OEMConfigAndroid Enterprise。 當您使用組 態設計工具時,會顯示應用程式架構中的屬性。 現在,在設定 設計工具中,您可以:

  • 將新的設定新增至應用程式架構。
  • 在應用程式架構中搜尋新的和現有的設定。

如需 Intune 中 OEMConfig 設定檔的詳細資訊,請參閱在 Microsoft Intune 中搭配 OEMConfig 使用及管理 Android Enterprise 裝置

適用於:

  • Android Enterprise

封鎖共用 iPad 裝置上的共用 iPad 暫存工作階段

在 Intune 中,有新的 [封鎖共用 iPad 暫存會話] 設定會封鎖共用 iPad 裝置上的暫存會話 (>> 裝置組態針對配置檔類型>共用 iPad) 的平臺>裝置限制建立 >iOS/iPadOS 啟用時,終端用戶無法使用來賓帳戶。 他們必須使用其 Managed Apple ID 和密碼登入裝置。

如需詳細資訊,請參閱 允許或限制功能的 iOS 和 iPadOS 裝置設定

適用於:

  • 執行 iOS/iPadOS 13.4 和更新版本的共用 iPad 裝置

裝置註冊

攜帶您自己的裝置可以使用 VPN 來部署

新的 Autopilot 配置檔略過網域連線能力檢查切換可讓您使用自己的第三方/合作夥伴 Win32 VPN 用戶端部署 Microsoft Entra 混合式加入裝置,而不需要存取公司網路。 若要查看新的切換,請移至 Microsoft Intune 系統管理中心>裝置>Windows>註冊>部署配置檔>建立配置檔>全新體驗 (OOBE)

註冊狀態頁面配置檔可以設定為裝置群組

先前,ESP) 配置檔 (註冊狀態頁面只能以使用者群組為目標。 現在您也可以將它們設定為目標裝置群組。 如需詳細資訊, 請參閱設定註冊狀態頁面

自動化裝置註冊同步處理錯誤

iOS/iPadOS 和 macOS 裝置將會回報新錯誤,包括

  • 電話號碼中的字元無效,如果該欄位是空的,則為 。
  • 配置檔的組態名稱無效或空白。
  • 無效/過期的數據指標值,如果找不到資料指標,則為 。
  • 已拒絕或過期的令牌。
  • 部門欄位是空的,或長度太長。
  • Apple 找不到設定檔,而且需要建立新的配置檔。
  • 已移除的 Apple Business Manager 裝置計數將會新增至概觀頁面,您會在其中看到裝置的狀態。

商務用共用 iPad

您可以使用 Intune 和 Apple Business Manager 輕鬆且安全地設定共用 iPad,讓多位員工可以共用裝置。 Apple 的 共用 iPad 可為多位使用者提供個人化體驗,同時保留用戶數據。 使用受控 Apple ID,用戶可以在登入其組織中的任何共用 iPad 之後,存取其應用程式、數據和設定。 共用 iPad 可與同盟身分識別搭配使用。

若要查看此功能,請移至 Microsoft Intune 系統管理中心>裝置>iOS iOS>註冊註冊>計劃令牌>選擇令牌>配置檔>建立配置檔>iOS。 在 [ 管理設定] 頁面上,選取 [ 不使用使用者親和性註冊 ],您會看到 [ 共用 iPad ] 選項。

需要:iPadOS 13.4 和更新版本。 此版本新增了共用 iPad 的暫時工作階段支援,讓使用者可以存取沒有受控 Apple ID 的裝置。 註銷時,裝置會清除所有用戶數據,讓裝置立即準備好可供使用,而不需要裝置抹除。

Apple 自動裝置註冊的已更新使用者介面

使用者介面已更新為將Apple的裝置註冊計劃取代為自動裝置註冊,以反映Apple術語。

裝置管理

適用於macOS的裝置遠端鎖定釘選

macOS 裝置遠端鎖定針腳的可用性已從 7 天增加到 30 天。

變更共同管理裝置上的主要使用者

您可以為共同管理的 Windows 裝置變更裝置的主要使用者。 如需如何尋找和變更它的詳細資訊,請 參閱尋找 Intune 裝置的主要使用者。 此功能將在未來幾周逐步推出。

設定 Intune 主要使用者也會設定 Microsoft Entra 擁有者屬性

這項新功能會在新註冊的 Microsoft Entra 混合式聯結裝置上自動設定擁有者屬性,同時設定 Intune 主要使用者。 如需主要使用者的詳細資訊,請 參閱尋找 Intune 裝置的主要使用者

此行為是註冊程序的變更,僅適用於新註冊的裝置。 針對現有的 Microsoft Entra 混合式聯結裝置,您必須手動更新 Microsoft Entra 擁有者屬性。 若要更新,您可以使用 變更主要使用者功能腳本

當 Windows 10 裝置 Microsoft Entra 混合式加入時,裝置的第一個用戶會成為 Intune 中的主要使用者。 目前,使用者未設定在相對應的 Microsoft Entra 裝置物件上。 此行為會在比較來自 Microsoft Entra 系統管理中心的擁有者屬性與 Microsoft Intune 系統管理中心的主要用戶屬性時,造成不一致。 Microsoft Entra 擁有者屬性可用來保護對 BitLocker 修復金鑰的存取。 屬性不會填入 Microsoft Entra 混合式聯結裝置上。 這項限制可防止設定 BitLocker 復原的自助 Microsoft Entra ID。 這項即將推出的功能可解決這項限制。

裝置安全性

在 macOS 裝置的 FileVault 2 加密期間隱藏使用者的修復密鑰

我們已將新的設定新增至macOS Endpoint Protection 樣本內的FileVault類別:隱藏修復密鑰。 此設定會在 FileVault 2 加密期間隱藏使用者的個人金鑰。

若要檢視加密 macOS 裝置的個人修復金鑰,裝置使用者可以移至下列任何位置,然後選 取 macOS 裝置的 [取得修復金鑰 ]:

  • iOS/iPadOS 公司入口網站應用程式
  • Intune 應用程式
  • 公司入口網站
  • Android 公司入口網站應用程式

支援使用 Android 版 Outlook 完全受控的 S/MIME 簽署和加密憑證

您現在可以在執行 Android Enterprise 完全受控的裝置上,使用憑證搭配 Outlook 進行 S/MIME 簽署和加密。

這項功能會擴充上個月針對其他 Android 版本新增的支援, (支援使用 Android) 上的 Outlook 進行 S/MIME 簽署和加密憑證。 您可以使用 SCEP 和 PKCS 匯入的憑證設定檔來布建這些憑證。

如需這項支持的詳細資訊,請參閱 Exchange 檔 中的 iOS 和 Android 版 Outlook 中的敏感度標籤和保護

當您設定通知訊息範本以傳送不符合規範的電子郵件通知時,請使用新設定 公司入口網站 網站連結],自動包含您 公司入口網站 網站的連結。 當設定為 [啟用] 時,收到以此範本為基礎的電子郵件的不符合規範裝置的使用者可以使用連結來開啟網站,以深入了解為何其裝置不符合規範。

在Android的合規性政策中使用 適用於端點的 Microsoft Defender

您現在可以使用 Intune 將 Android 裝置上線至適用於端點的 Microsoft。 在您的已註冊裝置上線之後,Android 的合規性原則可以使用來自 適用於端點的 Microsoft Defender的威脅層級訊號。 這些訊號與您先前可用於 Windows 10 裝置的訊號相同。

設定適用於 Android 裝置的適用於端點的 Defender Web 保護

當您針對 Android 裝置使用 適用於端點的 Microsoft Defender 時,您可以設定 適用於端點的 Microsoft Defender Web 保護來停用網路釣魚掃描功能,或防止掃描使用 VPN。

視 Android 裝置向 Intune 註冊的方式而定,有下列選項可供使用:

  • Android 裝置系統管理員 - 使用自定義 OMA-URI 設定來停用 Web 保護功能,或只停用掃描期間的 VPN 使用。
  • Android Enterprise 工作設定檔 - 使用應用程式組態設定檔和設定設計工具來停用所有 Web 保護功能。

授權

系統管理員不再需要 Intune 授權來存取 Microsoft Intune 系統管理中心

您現在可以設定全租使用者切換,以移除系統管理員存取 Intune 系統管理中心和查詢圖形 API 的 Intune 授權需求。 拿掉授權需求之後,您就永遠無法恢復授權需求。

注意事項

某些動作,包括 Teamviewer 連接器流程,仍然需要 Intune 授權才能完成。

監視及疑難排解

使用端點分析來改善用戶生產力並降低IT支援成本

在下一周,此功能將會推出。端點分析旨在藉由提供用戶體驗的深入解析,來提升用戶生產力並降低IT支援成本。 見解可讓 IT 利用主動式支援來最佳化使用者體驗,並透過評估設定變更對使用者的影響來偵測使用者體驗的迴歸。 如需詳細資訊,請參閱 端點分析預覽

使用腳本套件主動補救用戶裝置問題

您可以在終端使用者裝置上建立並執行腳本套件,以主動找出並修正組織中最常遇到的支持問題。 部署腳本套件可協助您減少支援呼叫。 選擇建立您自己的腳本套件,或部署我們在環境中撰寫並使用的其中一個腳本套件,以減少支援票證。 Intune 可讓您查看已部署腳本套件的狀態,以及監視偵測和補救結果。 在系統管理中心 Microsoft Intune,選取 [報告>端點分析>主動式補救]。 如需詳細資訊,請參閱 主動式補救

指令碼

macOS 裝置上的Shell腳本可用性

適用於 macOS 裝置的 Shell 腳本現在可供政府雲端及中國客戶使用。 如需殼層腳本的詳細資訊,請 參閱在 Intune 中的 macOS 裝置上使用殼層腳本

2020 年 5 月

應用程式管理

ARM64 裝置上的 Windows 32 位 (x86) 應用程式

部署為可供ARM64裝置使用的Windows 32位 (x86) 應用程式現在會顯示在 公司入口網站 中。 如需 Windows 32 位應用程式的詳細資訊,請參閱 Win32 應用程式管理

Windows 公司入口網站 應用程式圖示

Windows 公司入口網站 應用程式的圖示已更新。 如需 公司入口網站 的詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

更新 iOS/iPadOS 和 macOS 公司入口網站 應用程式中的圖示

我們已更新 公司入口網站 中的圖示,以建立雙螢幕裝置支援且與 Microsoft Fluent Design 系統 一致的更新式外觀和風格。 若要查看更新的圖示,請移至 Intune 使用者應用程式的 UI 更新

在 公司入口網站 中自定義自助裝置動作

您可以自訂可在 公司入口網站 應用程式和網站中向用戶顯示的可用自助裝置動作。 若要協助防止非預期的裝置動作,您可以選取 [>使用者管理自定義] 來設定 公司入口網站 應用程式的這些設定。 您可以使用下列動作:

  • 在公司 Windows 裝置上隱藏 [移除 ] 按鈕。
  • 在公司 Windows 裝置上隱藏 [重設 ] 按鈕。
  • 在公司 iOS 裝置上隱藏 [重設 ] 按鈕。
  • 在公司 iOS 裝置上隱藏 [移除 ] 按鈕。 如需詳細資訊,請參閱來自 公司入口網站 的使用者自助裝置動作

自動更新 VPP 可用的應用程式

當 VPP 令牌啟用自動應用程式 匯報 時,發行為 VPP (VPP) 可用應用程式的應用程式會自動更新。 先前,VPP 可用的應用程式不會自動更新。 相反地,用戶必須移至 公司入口網站,並在有較新的版本可用時重新安裝應用程式。 必要的應用程式會繼續支援自動更新。

Android 公司入口網站 用戶體驗

在 2005 版的 Android 公司入口網站 中,由應用程式保護原則發出警告、封鎖或抹除的 Android 裝置使用者將會看到新的用戶體驗。 使用者會看到完整的頁面訊息,描述警告、封鎖或抹除的原因,以及補救問題的步驟,而不是目前的對話體驗。 如需詳細資訊,請參閱 Android 裝置的 應用程式防護 體驗Microsoft Intune 中的 Android 應用程式保護原則設定

支援macOS公司入口網站中的多個帳戶

macOS 裝置上的 公司入口網站 現在會快取使用者帳戶,讓登入變得更容易。 使用者不再需要在每次啟動應用程式時登入 公司入口網站。 此外,如果快取多個用戶帳戶,公司入口網站 會顯示帳戶選擇器,讓使用者不需要輸入其用戶名稱。

新提供的受保護應用程式

現在可以使用下列受保護的應用程式:

  • Board Papers
  • Breezy for Intune
  • 適用於 Intune 的 Hearsay Relate
  • Intune 的ISEC7 Mobile Exchange委派
  • 適用於 Intune 的 Lexmark
  • Meetio Enterprise
  • Microsoft Whiteboard
  • 現在®行動裝置 - Intune
  • Qlik Sense Mobile
  • ServiceNow® 代理程序 - Intune
  • ServiceNow® 上線 - Intune
  • Smartcrypt for Intune
  • 適用於 Intune 的 Tact
  • 零 - 適用於律師的電子郵件

如需受保護應用程式的詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。

從 公司入口網站 搜尋 Intune 檔

您現在可以直接從 macOS 應用程式的 公司入口網站 搜尋 Intune 檔。 在功能表欄中,選取 [ 說明>搜尋 ],然後輸入搜尋的關鍵詞,以快速尋找問題的解答。

公司入口網站 Android 指南使用者在工作配置檔註冊后取得應用程式

我們已改善 公司入口網站 中的應用程式內指引,讓使用者更容易找到並安裝應用程式。 註冊工作配置檔管理之後,使用者會收到一則訊息,說明如何在受徽章版本的 Google Play 中尋找建議的應用程式。 使用 Android 設定檔註冊裝置 的最後一個步驟已更新,以顯示新的訊息。 使用者也會在左側的 [公司入口網站] 隱藏式選單中看到新的 [取得應用程式] 連結。 為了讓這些全新且改良的體驗能夠使用,已移除 [應用程式] 索 引標籤。 若要查看更新的畫面,請移至 Intune 使用者應用程式的 UI 更新

裝置設定

Zebra Technologies 裝置的 OEMConfig 支援改善

Intune 完全支援 Zebra OEMConfig 提供的所有功能。 使用 Android Enterprise 和 OEMConfig 管理 Zebra Technologies 裝置的客戶可以將多個 OEMConfig 配置檔部署到一個裝置。 客戶也可以檢視有關 Zebra OEMConfig 配置文件狀態的豐富報告。

如需詳細資訊,請參閱在 Microsoft Intune 中將多個 OEMConfig 配置檔部署至 Zebra 裝置

其他 OEM 的 OEMConfig 行為沒有任何變更。

適用於:

  • Android Enterprise
  • 支援 OEMConfig 的 Zebra Technologies 裝置。 如需支援的特定詳細數據,請連絡 Zebra。

在 macOS 裝置上設定系統擴充功能

在macOS裝置上,您可以建立核心擴充功能配置檔,以在用於配置檔) 的平臺>核心擴充功能 (裝置>>設定macOS 核心層級設定設定。 Apple 最終會取代核心延伸模組,並在未來版本中以系統延伸模組取代它們。

系統延伸模組會在用戶空間中執行,而且無法存取核心。 目標是提高安全性並提供更多使用者控制,同時限制核心層級的攻擊。 核心延伸模組和系統延伸模組都可讓使用者安裝應用程式延伸模組,以擴充操作系統的原生功能。

在 Intune 中,您可以針對配置檔) 的平台>系統擴充功能, (裝置>>設定macOS 設定核心延伸模組和系統充功能。 核心延伸模組適用於 10.13.2 和更新版本。 系統延伸模組適用於 10.15 和更新版本。 從 macOS 10.15 到 macOS 10.15.4,核心延伸模組和系統延伸模組可以並存執行。

若要瞭解macOS裝置上的這些擴充功能,請參閱 新增macOS擴充功能

適用於:

  • macOS 10.15 和更新版本

在 macOS 裝置上設定應用程式和處理隱私權喜好設定

隨著 macOS Catalina 10.15 的發行,Apple 新增了新的安全性和隱私權增強功能。 根據預設,應用程式和進程無法在未經使用者同意的情況下存取特定數據。 如果使用者未提供同意,應用程式和程式可能無法運作。 Intune 正在新增設定的支援,讓IT系統管理員在執行macOS 10.14和更新版本的裝置上,代表用戶允許或不允許數據存取同意。 這些設定可確保應用程式和程序繼續正常運作,並減少提示數目。

如需您可以管理之設定的詳細資訊,請參閱 macOS 隱私權喜好設定

適用於:

  • macOS 10.14 和更新版本

裝置註冊

註冊限制支援範圍標籤

您現在可以將範圍標籤指派給註冊限制。 若要這樣做,請移至 Microsoft Intune 系統管理中心>裝置>註冊限制>建立限制。 建立任一種限制類型,您會看到 [ 範圍卷標] 頁面。 如需詳細資訊,請 參閱設定註冊限制

HoloLens 2 裝置的 Autopilot 支援

Windows Autopilot 現在支援 HoloLens 2 裝置。 如需使用適用於 HoloLens 的 Autopilot 的詳細資訊,請參閱適用於 HoloLens 2 的 Windows Autopilot

裝置管理

針對 iOS 大量使用同步遠端動作

您現在可以一次在最多 100 個 iOS 裝置上使用同步遠端動作。 若要查看此功能,請移至 Microsoft Intune 系統管理中心>裝置>所有裝置>大量裝置動作

自動化裝置同步間隔縮短為12小時

針對 Apple 的自動裝置註冊,Intune 與 Apple Business Manager 之間的自動裝置同步間隔已從 24 小時縮短為 12 小時。 如需同步處理的詳細資訊,請 參閱同步管理的裝置

裝置安全性

Android 裝置上 DISA Purebred 的衍生認證支援

您現在可以使用 DISA Purebred 作為 Android Enterprise 完全受控裝置上的 衍生認證 提供者。 支援包括擷取 DISA Purebred 的衍生認證。 您可以使用衍生認證來進行應用程式驗證、Wi-Fi、VPN 或 S/MIME 簽署和/或加密與支援它的應用程式。

傳送推播通知作為不符合規範的動作

您現在可以設定不符合 規範的動作 ,以在使用者的裝置不符合合規性政策的條件時,將推播通知傳送給使用者。 新的動作是 將推播通知傳送給使用者,並支援 Android 和 iOS 裝置。

當使用者在其裝置上選取推播通知時,公司入口網站 或 Intune 應用程式隨即開啟,以顯示為何不相容的詳細數據。

端點安全性內容和新功能

Intune 端點安全 性的檔現已推出。 在 Microsoft Intune 系統管理中心的端點安全性節點中,您可以.

  • 建立焦點安全策略並部署到受控裝置
  • 設定與 適用於端點的 Microsoft Defender的整合,以及管理安全性工作,有助於補救適用於端點的 Defender 小組所識別有風險的裝置風險
  • 設定安全性基準
  • 管理裝置合規性和條件式存取原則
  • 針對客戶端連結設定 Configuration Manager 時,請從 Intune 和 Configuration Manager 檢視所有裝置的合規性狀態。

除了內容的可用性之外,以下是本月 Endpoint Security 的新功能:

  • 端點安全策略已超出預覽狀態 ,現在已準備好在生產環境中使用,如 同正式運作,但有兩個例外:

    • 在新的公開預覽版中,您可以使用 Windows 10 防火牆原則的 Microsoft Defender 防火牆規則配置檔。 使用此設定檔的每個實例,您最多可以設定 150 個防火牆規則來補充 Microsoft Defender 防火牆配置檔。
    • 帳戶保護安全策略仍為預覽狀態。
  • 您現在可以 建立重複的端點安全策略。 重複專案會保留原始原則的設定組態,但會取得新名稱。 然後,在您編輯新的原則實例以新增群組之前,新的原則實例不會包含對群組的任何指派。 您可以複製下列原則:

    • 防毒軟體
    • 磁碟加密
    • 防火牆
    • 端點偵測及回應
    • 受攻擊面縮小
    • 帳戶防護
  • 您現在可以 建立重複的安全性基準。 重複專案會保留原始基準的設定組態,但取得新名稱。 在您編輯新的基準實例以新增基準實例之前,新的基準實例不會包含任何群組指派。

  • 有新的端點安全性防病毒軟體原則報告可供使用:Windows 10 狀況不良的端點。 此報表是您可以在檢視端點安全性防病毒軟體原則時選取的新頁面。 此報表會顯示 MDM 管理 Windows 10 裝置的防病毒軟體狀態。

支援在 Android 上使用 Outlook 簽署和加密憑證的 S/MIME

您現在可以使用憑證搭配 Android 上的 Outlook 進行 S/MIME 簽署和加密。 透過這項支援,您可以使用 SCEP、PKCS 和 PKCS 匯入的憑證配置檔來布建這些憑證。 支援下列 Android 平臺:

  • Android Enterprise 工作配置檔
  • Android 裝置系統管理員

即將推出對 Android Enterprise 完全受控裝置的支援。

如需這項支持的詳細資訊,請參閱 Exchange 檔 中的 iOS 和 Android 版 Outlook 中的敏感度標籤和保護

使用端點偵測和響應原則將裝置上線至適用於端點的 Defender

針對端點偵測和回應使用端點安全策略 (EDR) ,以將裝置上線並設定為部署 適用於端點的 Microsoft Defender。 EDR 支援由 Intune (MDM) 管理之 Windows 裝置的原則,以及由 Configuration Manager 管理之 Windows 裝置的個別原則。

若要針對 Configuration Manager 裝置使用原則,您必須設定 Configuration Manager 以支援 EDR 原則。 設定包括:

  • 為您的 Configuration Manager 設定 租使用者附加
  • 安裝適用於 Configuration Manager 的主控台內更新,以啟用 EDR 原則的支援。 此更新僅適用於已啟用 租使用者附加的階層。
  • 將您的裝置集合從階層同步至 Microsoft Intune 系統管理中心。

監視及疑難排解

裝置報告 UI 更新

報表概觀窗格現在會提供 [摘要] 和 [報表] 索引標籤。在 Microsoft Intune 系統管理中心中,選取 [報表],然後選取 [報表] 索引卷標以查看可用的報表類型。 如需詳細資訊,請參閱 Intune 報告

腳本

macOS 腳本支援

macOS 的腳本支援現已正式推出。 此外,我們也新增了使用者指派的腳本和已向Apple自動裝置註冊的macOS裝置的支援, (先前的裝置註冊計劃) 。 如需詳細資訊,請 參閱在 Intune 中的 macOS 裝置上使用殼層腳本

應用程式管理

Microsoft Office 365 專業增強版 重新命名

Microsoft Office 365 專業增強版 重新命名為 Microsoft 365 Apps 企業版。 若要深入瞭解,請參閱 Office 365 專業增強版 的名稱變更。 在我們的檔中,我們通常會將其稱為 Microsoft 365 Apps。 在 Microsoft Intune 系統管理中心,您可以選取 [應用程式] [Windows> 新增] 來尋找應用程式>套件。 如需新增應用程式的相關信息,請參閱將應用程式新增至 Microsoft Intune

管理 Android Enterprise 裝置上 Outlook 的 S/MIME 設定

您可以使用應用程式設定原則,在執行 Android Enterprise 的裝置上管理 Outlook 的 S/MIME 設定。 您也可以選擇是否允許裝置使用者在 Outlook 設定中啟用或停用 S/MIME。 若要使用適用於 Android 的應用程式設定原則,請在 Microsoft Intune 系統管理中心移至 [應用程式>設定原則>][新增>受控裝置]。 如需設定 Outlook 設定的詳細資訊,請參閱 Microsoft Outlook 組態設定

受控Google Play應用程式的發行前測試

使用 Google Play 的封閉式測試播放軌進行應用程式發行前測試的 組織,可以使用 Intune 來管理這些曲目。 您可以選擇性地將發佈至 Google Play 生產前曲目的應用程式指派給試驗群組,以執行測試。 在 Intune 中,您可以查看應用程式是否已發佈生產前組建測試播放軌,並能夠將該追蹤指派給 Microsoft Entra 使用者或裝置群組。 這項功能適用於我們目前支援的所有 Android Enterprise 案例, (工作配置檔、完全受控和專用的) 。 在 Microsoft Intune 系統管理中心,您可以選取 [應用程式>Android>新增] 來新增受控 Google Play 應用程式。 如需詳細資訊,請 參閱使用受控 Google Play 封閉式測試播放軌

Microsoft Teams 現在已包含在適用於 macOS 的 Microsoft 365 中

除了現有的 Microsoft 365 應用程式 (Word、Excel、PowerPoint、Outlook 和 OneNote) 之外,在 Microsoft Intune 中獲派 macOS 版 Microsoft 365 的用戶現在也會收到 Microsoft Teams。 Intune 會辨識已安裝其他 MacOS 版 Office 應用程式的現有 Mac 裝置。 然後,它會嘗試在裝置下次使用 Intune 簽入時安裝 Microsoft Teams。 在 Microsoft Intune 系統管理中心,您可以選取 [應用程式> macOS 新增],找到適用於macOS> 的 Office 365 套件。 如需詳細資訊,請參閱使用 Microsoft Intune 將 Office 365 指派給macOS裝置

更新至 Android 應用程式設定原則

Android 應用程式設定原則已更新,可讓系統管理員在建立應用程式組態配置檔之前選取裝置註冊類型。 系統會針對以註冊類型為基礎的憑證配置檔新增功能, (工作配置檔或裝置擁有者) 。

使用此更新:

  1. 如果已建立新的配置檔,且已針對裝置註冊類型選取 [工作配置檔] 和 [裝置擁有者配置檔],則您無法將憑證配置檔與應用程式組態原則產生關聯。
  2. 如果已建立新的配置檔,且只選取 [工作配置檔],則可以使用在 [裝置設定] 下建立的工作配置檔憑證原則。
  3. 如果已建立新的配置檔,且只選取 [裝置擁有者],則可以使用在 [裝置設定] 下建立的裝置擁有者憑證原則。

重要事項

此功能發行前建立的現有原則 (2020 年 4 月版本 - 2004 年) 若沒有任何與該原則相關聯的憑證配置檔,則預設為裝置註冊類型的工作配置檔和裝置擁有者配置檔。 此外,在發行此功能之前建立且具有相關聯憑證配置檔的現有原則,預設為僅限工作配置檔。

此外,我們會新增適用於工作配置檔和裝置擁有者註冊類型的 Gmail 和 Nine 電子郵件組態設定檔,包括在這兩種電子郵件組態類型上使用憑證配置檔。 您在 [工作配置檔的裝置設定] 下建立的任何 Gmail 或 Nine 原則都會繼續套用至裝置。 您不會將它們移至應用程式設定原則。

Microsoft Intune 系統管理中心,您可以選取 [應用程式應用程式設定原則] 來尋找應用程式>設定原則。 如需應用程式設定原則的詳細資訊,請參閱適用於 Microsoft Intune的應用程式設定原則

裝置擁有權類型變更時的推播通知

您可以設定推播通知,以在裝置擁有權類型從個人變更為公司時傳送給您的 Android 和 iOS 公司入口網站 使用者,以提供隱私權。 此推播通知預設為關閉。 您可以選取 [租用戶系統管理自定義],在 Microsoft Intune 系統管理>中心找到此設定。 若要深入瞭解裝置擁有權如何影響使用者,請參閱 變更裝置擁有權

[自定義] 窗格的群組目標支援

您可以將 [ 自訂 ] 窗格中的設定設為使用者群組。 若要在 Intune 中尋找這些設定,請流覽至 Microsoft Intune 系統管理中心,選取 [租使用者管理>自定義]。 如需自定義的詳細資訊,請參閱如何自定義 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

裝置設定

iOS、iPadOS 和 macOS 上支援的多個「評估每個連線嘗試」隨選 VPN 規則

Intune 使用者體驗允許相同 VPN 設定檔中的多個隨選 VPN 規則,其中包含評估每個連線嘗試動作 (>> 裝置設定建立>iOS/iPadOSmacOS for platform >VPN 以進行設定檔>自動 VPN>隨選) 。

它只接受清單中的第一個規則。 此行為已修正,且 Intune 會評估清單中的所有規則。 每個規則都會依其出現在隨選規則清單中的順序進行評估。

注意事項

如果您有使用這些隨選 VPN 規則的現有 VPN 設定檔,則下次變更 VPN 設定檔時會套用修正程式。 例如,進行次要變更,例如變更連線的名稱,然後儲存配置檔。

如果您使用 SCEP 憑證進行驗證,這項變更會導致重新發行此 VPN 配置檔的憑證。

適用於:

  • iOS/iPadOS
  • macOS

如需 VPN 設定檔的詳細資訊,請參閱 建立 VPN 配置檔

iOS/iPadOS 裝置上 SSO 和 SSO 應用程式延伸模組設定檔中的更多選項

在 iOS/iPadOS 裝置上,您可以:

  • 在 SSO 設定檔 (裝置>>組態建立>適用於設定檔>單一登錄) 之平臺>裝置功能iOS/iPadOS 中,將 Kerberos 主體名稱設定為 SSO 配置檔中 SAM) 帳戶名稱 (安全性帳戶管理員。
  • 在 SSO 應用程式延伸模組設定檔 (裝置>>組態建立>適用於平臺的 iOS/iPadOS 裝置>功能設定檔>單一登錄應用程式擴充功能) 中,使用新的 SSO 應用程式擴充功能類型,以較少的點擊次數設定 iOS/iPadOS Microsoft Entra 擴充功能。 您可以為處於共享裝置模式的裝置啟用 Microsoft Entra 擴充功能,並將擴充功能特定的數據傳送至擴充功能。

適用於:

  • iOS/iPadOS 13.0+

如需在 iOS/iPadOS 裝置上使用單一登錄的詳細資訊,請參閱 單一登錄應用程式延伸模組概觀單一登錄設定清單

macOS 裝置的新殼層腳本設定

設定 macOS 裝置的殼層腳本時,您現在可以設定下列新設定:

  • 隱藏裝置上的腳本通知
  • 腳本頻率
  • 腳本失敗時重試的次數上限

如需詳細資訊,請 參閱在 Intune 中的 macOS 裝置上使用殼層腳本

裝置註冊

當預設配置檔存在時,刪除 Apple 自動化裝置註冊令牌

先前,您無法刪除預設配置檔,這表示您無法刪除與其相關聯的自動化裝置註冊令牌。 現在,您可以在下列時機刪除令牌:

  • 未將任何裝置指派給令牌
  • 默認配置檔存在。若要這樣做,請刪除預設配置檔,然後刪除相關聯的令牌。 如需詳細資訊,請 參閱從 Intune 刪除 ADE 令牌

相應增加對 Apple 自動化裝置註冊和 Apple Configurator 2 裝置、配置檔和令牌的支援

為了協助分散式 IT 部門和組織,Intune 現在支援每個令牌最多 1000 個註冊配置檔、2000 個自動化裝置註冊 (先前稱為每個 Intune 帳戶的 DEP) 令牌,以及每個令牌 75,000 個裝置。 每個註冊配置檔的裝置沒有特定限制,低於每個令牌的裝置數目上限。

Intune 現在最多支援 1000 個 Apple Configurator 2 配置檔。

如需詳細資訊,請參閱 限制

所有裝置頁面欄項目變更

在 [ 所有裝置] 頁面上,[管理 ] 資料行的專案已變更:

  • 現在會顯示 Intune,而不是 MDM
  • 現在會顯示共同管理,而不是 MDM/ConfigMgr 代理程式

匯出值不會變更。

裝置管理

信賴平臺管理員 (裝置硬體頁面上的 TPM) 版本資訊

您現在可以在裝置的硬體頁面上看到 TPM 版本號碼, (Microsoft Intune 系統管理中心>裝置>選擇 [系統機箱]) 下的 [裝置>硬體>外觀]。

Microsoft Intune 租用戶連結:裝置同步處理和裝置動作

Microsoft Intune 將 Configuration Manager 和 Intune 整合到單一控制台中。 從 Configuration Manager 2002 版開始,您可以將 Configuration Manager 裝置上傳至雲端服務,並在系統管理中心對它們採取動作。 如需詳細資訊,請參閱租用戶連結 Microsoft Intune:裝置同步處理和裝置動作

監視及疑難排解

收集記錄以更妥善地針對指派給macOS裝置的腳本進行疑難解答

您現在可以收集記錄,以改善指派給macOS裝置的腳本疑難解答。 您可以收集最多 60 MB 的記錄 (壓縮) 或 25 個檔案,以先發生者為準。 如需詳細資訊,請參閱 使用記錄收集對macOS殼層腳本原則進行疑難解答

安全性

使用憑證布建 Android Enterprise 完全受控裝置的衍生認證

Intune 現在支援使用 衍生認證 作為Android裝置的驗證方法。 衍生認證是國家標準與技術局 (NIST) 800-157 標準的實作,用於將憑證部署至裝置。 我們對 Android 的支援擴展了我們對執行 iOS/iPadOS 之裝置的支援。

衍生的認證依賴使用個人身分識別驗證 (PIV) 或通用存取卡 (CAC) 卡,例如智慧卡。 若要取得其行動裝置的衍生認證,用戶會從 Microsoft Intune 應用程式開始,並遵循您所使用之提供者獨有的註冊工作流程。 所有提供者通用是計算機上使用智慧卡向衍生認證提供者進行驗證的需求。 該提供者接著會將憑證簽發給衍生自用戶智慧卡的裝置。

您可以使用衍生認證作為 VPN 和 WiFi 裝置組態設定檔的驗證方法。 您也可以將它們用於應用程式驗證,以及支援應用程式的S/MIME簽署和加密。

Intune 現在支援下列具有 Android 的衍生認證提供者:

  • 委託
  • 說情

第三個提供者 DISA Purebred 將在未來的版本中提供給 Android 使用。

Microsoft Edge 安全性基準現已正式推出

Microsoft Edge 安全性基準 的新版本現已推出,並已正式推出, (GA) 。 先前的 Microsoft Edge 基準處於預覽狀態。 新的基準版本是 2020 年 4 月, (Microsoft Edge 80 版和更新版本) 。

隨著這個新基準的發行,您將無法再根據先前的基準版本來建立配置檔,但您可以繼續使用與這些版本一起建立的配置檔。 您也可以選擇 更新現有的配置檔,以使用最新的基準版本

2020 年 3 月

應用程式管理

已改善Android版公司入口網站的登入體驗

我們已更新 Android 公司入口網站 應用程式中數個登入畫面的版面配置,讓用戶的體驗更現代化、簡單且乾淨。 如需改善功能,請參閱 應用程式UI的新功能

下載 Win32 應用程式內容時設定傳遞優化代理程式

您可以設定傳遞優化代理程序,根據指派在背景或前景模式中下載Win32 應用程式內容。 針對現有的 Win32 應用程式,內容會繼續以背景模式下載。 在 Microsoft Intune 系統管理中心,選取 [應用程式>][所有應用程式]>選取 [Win32 應用程式內容>]。 選取位於 [指派] 旁的 [編輯]。 在 [必要] 區段中選取 [模式包含],以編輯指派。 您會在 [ 應用程式設定 ] 區段中找到新的設定。 如需傳遞優化的詳細資訊,請參閱 Win32 應用程式管理 - 傳遞優化

適用於 iOS 的 公司入口網站 支援橫向模式

用戶現在可以使用其選擇的螢幕方向註冊其裝置、尋找應用程式,以及取得IT支援。 除非使用者以直向模式鎖定螢幕,否則應用程式會自動偵測並調整螢幕以符合直向或橫向模式。

(公開預覽) 的macOS裝置腳本支援

您可以將腳本新增並部署到macOS裝置。 這項支援可擴充您在 macOS 裝置上使用原生 MDM 功能來設定 macOS 裝置的能力。 如需詳細資訊,請 參閱在 Intune 中的 macOS 裝置上使用殼層腳本

macOS 和 iOS 公司入口網站 更新

macOS 和 iOS 公司入口網站 的 [設定檔] 窗格已更新為包含 [註銷] 按鈕。 此外,已對 macOS 公司入口網站 中的 [配置檔] 窗格進行 UI 改善。 如需 公司入口網站 的詳細資訊,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

將網頁剪輯複位為iOS裝置上的 Microsoft Edge

新部署的 Web 剪輯 (已釘選的 Web 應用程式,) 在受保護瀏覽器中開啟的 iOS 裝置上,將會在 Microsoft Edge 中開啟,而不是在 Intune Managed Browser 中開啟。 您必須將預先存在的網頁剪輯複位目標,以確保它們在 Microsoft Edge 中開啟,而不是在 Managed Browser 中開啟。 如需詳細資訊,請參閱使用 Microsoft Edge 搭配 Microsoft Intune 管理 Web 存取將 Web 應用程式新增至 Microsoft Intune

使用 Intune 診斷工具搭配適用於 Android 的 Microsoft Edge

適用於 Android 的 Microsoft Edge 現在已與 Intune 診斷工具整合。 與適用於 iOS 的 Microsoft Edge 體驗類似,在 URL 列中輸入 「about:intunehelp」, (裝置上 Microsoft Edge 的網址) 位址框將會啟動 Intune 診斷工具。 此工具會提供詳細的記錄。 您可以引導使用者收集這些記錄並傳送至其 IT 部門,或檢視特定應用程式的 MAM 記錄。

匯報 至 Intune 商標和自定義

我們已更新名為「商標和自定義」的 Intune 窗格,並提供改善,包括:

  • 將窗格重新命名為 [自定義]
  • 改善設定的組織和設計。
  • 改善設定文字和工具提示。

若要在 Intune 中尋找這些設定,請流覽至 [Microsoft Intune 系統管理中心],選取 [租用戶系統管理>自定義]。 如需現有自定義的相關信息,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

用戶的個人加密修復金鑰

有新的 Intune 功能可供使用者透過 Android 公司入口網站 應用程式或 Android Intune 應用程式,擷取 Mac 裝置的個人加密 FileVault 修復密鑰。 公司入口網站 應用程式和 Intune 應用程式中都有一個連結會開啟 Chrome 瀏覽器至 Web 公司入口網站,讓使用者可以看到存取其 Mac 裝置所需的 FileVault 修復密鑰。 如需加密的詳細資訊,請 參閱搭配 Intune 使用裝置加密

優化專用裝置註冊

我們正在優化 Android Enterprise 專用裝置的註冊,讓與 Wi-Fi 相關聯的 SCEP 憑證更容易套用至 2019 年 11 月 22 日之前註冊的專用裝置。 針對新的註冊,Intune 應用程式會繼續安裝,但使用者將不再需要在註冊期間執行 啟用 Intune 代理 程式步驟。 附加會自動在背景進行,而且可以部署和設定與 Wi-Fi 相關聯的 SCEP 憑證,而不需要用戶互動。

當 Intune 服務後端部署時,這些變更會在 3 月份分階段推出。 所有租用戶都會在 3 月底之前擁有此新行為。 如需詳細資訊,請參閱 在Android Enterprise專用裝置中支援SCEP憑證

裝置設定

在 Windows 裝置上建立系統管理範本時的新用戶體驗

根據客戶的意見反應,以及我們移至新的 Azure 全螢幕體驗,我們已使用資料夾檢視重建系統管理範本配置檔體驗。 我們尚未變更任何設定或現有的配置檔。 因此,您現有的配置檔會維持不變,並可在新的檢視中使用。 您仍然可以選取 [ 所有設定] 並使用搜尋來瀏覽所有設定選項。 樹檢視會依 [計算機] 和 [用戶設定] 分割。 您會在其相關聯的資料夾中找到 Windows、Office 和 Microsoft Edge 設定。

適用於:

  • Windows 10和更新版本

具有 IKEv2 VPN 連線的 VPN 配置檔可以搭配 iOS/iPadOS 裝置一律使用

在 iOS/iPadOS 裝置上,您可以建立使用 IKEv2 連線的 VPN 設定檔 (>> 裝置組態建立>適用於平臺 >VPNiOS/iPadOS,以進行設定檔類型) 。 現在,您可以使用 IKEv2 設定 Always-On。 設定后,IKEv2 VPN 配置檔會自動連線,並保持連線 (或) 快速地重新連線至 VPN。 即使在網路之間移動或重新啟動裝置,它仍會保持連線。

在 iOS/iPadOS 上,Always-On VPN 僅限於 IKEv2 配置檔。

若要查看您可以設定的 IKEv2 設定,請移至在 Microsoft Intune 中的 iOS 裝置上新增 VPN 設定

適用於:

  • iOS/iPadOS

刪除 Android Enterprise 裝置上 OEMConfig 裝置組態配置檔中的套件組合和套件組合數位

在 Android Enterprise 裝置上,您可以針對配置檔類型建立及更新 OEMConfig 配置檔 (>> 裝置設定建立>平臺 >OEMConfigAndroid Enterprise) 。 用戶現在可以使用 Intune 中的設定 設計 工具來刪除套件組合和套件組合數位。

如需 OEMConfig 配置檔的詳細資訊,請參閱在 Microsoft Intune 中搭配 OEMConfig 使用及管理 Android Enterprise 裝置

適用於:

  • Android Enterprise

設定 iOS/iPadOS Microsoft Entra SSO 應用程式延伸模組

Microsoft Entra 小組已建立重新導向單一登錄 (SSO) 應用程式擴充功能,讓 iOS/iPadOS 13.0+ 用戶能夠透過單一登錄來存取 Microsoft 應用程式和網站。 先前使用 Microsoft Authenticator 應用程式代理驗證的所有應用程式,都會繼續使用新的 SSO 擴充功能取得 SSO。 使用 Microsoft Entra SSO 應用程式擴充功能版本,您可以使用重新導向 SSO 應用程式延伸模組類型 (裝置>>組態建立>適用於設定檔類型>單一登錄應用程式擴充功能的平臺>裝置功能建立iOS/iPadOS) 設定 SSO 延伸模組。

適用於:

  • iOS 13.0 和更新版本
  • iPadOS 13.0 及更新版本

如需 iOS SSO 應用程式延伸模組的詳細資訊,請參閱 單一登錄應用程式延伸模組

企業應用程式信任設定修改設定已從 iOS/iPadOS 裝置限制配置檔中移除

在 iOS/iPadOS 裝置上,您可以建立裝置限制配置檔 (>> 裝置設定建立>iOS/iPadOS,以取得配置檔類型) 的平台>裝置限制。 Apple 會移除 企業應用程式信任設定修改 設定,並從 Intune 中移除。 如果您目前在配置檔中使用此設定,則不會有任何影響,而且會從現有的配置檔中移除。 此設定也會從 Intune 中的任何報告中移除。

適用於:

  • iOS/iPadOS

若要查看您可以限制的設定,請移至 iOS 和 iPadOS 裝置設定以允許或限制功能

疑難解答:擱置中的 MAM 原則通知已變更為資訊圖示

[疑難解答] 刀鋒視窗上暫止 MAM 原則的通知圖示已變更為資訊圖示。

設定合規性政策時的UI更新

我們已更新在 Microsoft Intune 系統管理中心建立合規性原則的 UI, (裝置>合規性原則>>建立原則) 。 我們擁有新的用戶體驗,其中包含您先前使用的相同設定和詳細數據。 新體驗會遵循類似精靈的程式來建立合規性政策。 其中包含一個頁面,您可以在其中新增原則 的 [指派 ],以及一個 [ 檢閱 + 建立 ] 頁面,您可以在其中檢閱設定,然後再建立原則。

淘汰不符合規範的裝置

我們為不符合規範的裝置新增了新的動作,您可以將其新增至任何原則,以 淘汰不符合規範的裝置。 新動作 [淘汰不符合規範的裝置] 會導致從裝置移除所有公司數據,也會移除裝置不受 Intune 管理。 此動作會在達到天數設定的值時執行,此時裝置就有資格淘汰。 最小值為30天。 需要明確IT系統管理員核准,才能使用淘汰不符合規範的裝置一節來淘汰 裝置 ,系統管理員可以在其中淘汰所有符合資格的裝置。

支援 iOS Enterprise Wi-Fi 設定檔中的 WPA 和 WPA2

適用於 iOS 的企業 Wi-Fi 設定檔 現在支援 [安全性類型] 欄位。 針對 [安全性類型],您可以選取 [WPA Enterprise ] 或 [ WPA/WPA2 Enterprise],然後指定 EAP 類型的選取專案。 (裝置>組態>建立 ],然後選取 [iOS/iPadOS for Platform] ,然後選取 [ Wi-Fi for Profile) ]。

新的企業選項與適用於 iOS 的基本 Wi-Fi 設定檔所提供的選項類似。

憑證、電子郵件、VPN 和Wi-Fi、VPN配置檔的新用戶體驗

我們已更新 Intune 系統管理中心的用戶體驗, (裝置>>設定建立) ,以建立和修改下列配置檔類型。 新體驗會呈現與之前相同的設定,但使用不需要太多水準捲動的類似精靈體驗。 您不需要使用新的體驗來修改現有的設定。

  • 衍生認證
  • 電子郵件
  • PKCS 憑證
  • PKCS 匯入的憑證
  • SCEP 憑證
  • 信任的憑證
  • VPN
  • Wi-Fi

改善在 Android 和 Android Enterprise 裝置上建立裝置限制配置檔時的使用者介面體驗

當您建立 Android 或 Android Enterprise 裝置的配置檔時,Intune 系統管理中心的體驗會更新。 這項變更會影響下列裝置組態配置檔 (裝置>>設定建立>平臺) 的Android 裝置系統管理員Android Enterprise

  • 裝置限制:Android 裝置系統管理員
  • 裝置限制:Android Enterprise 裝置擁有者
  • 裝置限制:Android Enterprise 工作配置檔

如需您可以設定之裝置限制的詳細資訊,請參閱 Android 裝置系統管理員Android Enterprise

改善在 iOS/iPadOS 和 macOS 裝置上建立組態配置檔時的使用者介面體驗

當您建立 iOS 或 macOS 裝置的設定檔時,Intune 系統管理中心的體驗會更新。 這項變更會影響下列裝置組態配置檔 (裝置>>組態建立>iOS/iPadOSmacOS 以進行平臺) :

  • 自定義:iOS/iPadOS、macOS
  • 裝置功能:iOS/iPadOS、macOS
  • 裝置限制:iOS/iPadOS、macOS
  • 端點保護:macOS
  • 擴充功能:macOS
  • 喜好設定檔案:macOS

在macOS裝置上的裝置功能中隱藏使用者組態設定

當您在macOS裝置上建立裝置功能組態配置檔時,會有新的 [從使用者設定隱藏] 設定 ([裝置>>設定] [建立>適用於配置檔>登入專案之平臺>裝置功能macOS]) 。

這項功能會在 macOS 裝置上的 [ 使用者 & 群組 登入專案應用程式] 清單中設定應用程式的隱藏複選標記。 現有的設定檔會在清單中將此設定顯示為未設定。 若要設定此設定,系統管理員可以更新現有的配置檔。

當設定為 [隱藏] 時,系統會檢查應用程式的 [隱藏] 複選框,而且使用者無法變更它。 它也會在使用者登入其裝置之後,對用戶隱藏應用程式。

在使用者登入裝置之後隱藏 macOS 裝置上的應用程式 Microsoft Intune

如需您可以設定之設定的詳細資訊,請參閱 macOS 裝置功能設定

本功能適用於:

  • macOS

裝置註冊

設定 Android 和 iOS 公司入口網站 中是否提供註冊

您可以設定 Android 和 iOS 裝置上 公司入口網站 中的裝置註冊是否可使用提示、不含提示或使用者無法使用。 若要在 Intune 中尋找這些設定,請流覽至 Microsoft Intune 系統管理中心,然後選取 [租用戶系統管理>] [自定義>編輯>裝置註冊]

若要支援裝置註冊設定,終端用戶必須具備下列 公司入口網站 版本:

  • iOS 上的 公司入口網站:4.4 版或更新版本
  • Android 上的 公司入口網站:5.0.4715.0 版或更新版本

如需現有 公司入口網站 自定義的詳細資訊,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

裝置管理

Android 裝置概觀頁面上的新 Android 報告

我們已在 [Android 裝置概觀] 頁面中,將報告新增至 Microsoft Intune 系統管理中心,其中顯示每個裝置管理解決方案中已註冊的 Android 裝置數目。 此圖表 (如同 Azure 控制台中已存在的相同圖表) 顯示工作配置檔、完全受控、專用和裝置系統管理員註冊的裝置計數。 若要查看報表,請選擇 [裝置>Android>概觀]

引導 Android 裝置系統管理員管理的用戶進行工作配置檔管理

我們正在為Android裝置系統管理員平台發行新的合規性設定。 此設定可讓您在裝置系統管理員管理裝置時,使其不符合規範。

在這些不符合規範的裝置上,使用者會在 [ 更新裝置設定 ] 頁面上看到 [移至新的裝置管理設定 ] 訊息。 如果他們點選 [ 解決 ] 按鈕,系統會引導他們完成下列動作:

  1. 從裝置系統管理員管理取消註冊
  2. 註冊工作配置檔管理
  3. 解決合規性問題

Google 正在減少新 Android 版本中的裝置系統管理員支援,以使用 Android Enterprise 移至現代化、更豐富且更安全的裝置管理。 Intune 只能針對執行 Android 10 和更新版本的裝置系統管理員管理的 Android 裝置,透過 Q2 CY2020 提供完整支援。 除了在此時間之後執行 Android 10 或更新版本的 Samsung) 之外,裝置系統管理員管理的裝置 (將無法完全受管理。 特別是,受影響的裝置不會收到新的密碼需求。

如需此設定的詳細資訊,請 參閱將Android裝置從裝置系統管理員移至工作配置檔管理

Microsoft Intune 系統管理中心的新 URL

為了配合去年 Ignite 的 Microsoft Intune 公告,我們已將 Microsoft Intune 系統管理中心的 URL (先前的 Microsoft 365 裝置管理) 變更https://intune.microsoft.com為 。

變更 Windows 裝置的主要使用者

您可以變更 Windows 混合式和已加入 Microsoft Entra 裝置的主要使用者。 若要這樣做,請移至 [Intune>裝置>][所有裝置> ] 選擇 [裝置 >內容>主要使用者]。 如需詳細資訊,請參閱 變更裝置的主要使用者

此工作也已建立受控裝置/設定主要使用者) 的新 RBAC 許可權 (。 許可權已新增至內建角色,包括技術服務人員、學校系統管理員和端點安全性管理員。

這項功能會在預覽版下向全球客戶推出。 您應該會在接下來的幾周內看到此功能。

Microsoft Intune 租用戶連結:裝置同步處理和裝置動作

Microsoft Intune 將 Configuration Manager 和 Intune 整合到單一控制台中。 從 Configuration Manager Technical Preview 2002.2 版開始,您可以將 Configuration Manager 裝置上傳至雲端服務,並在系統管理中心對它們採取動作。 如需詳細資訊,請參閱 Configuration Manager Technical Preview 2002.2版中的功能

安裝此更新之前,請先檢閱 Configuration Manager Technical Preview 一文。 本文將熟悉使用 Technical Preview 的一般需求和限制、如何在版本之間更新,以及如何提供意見反應。

大量遠程動作

您現在可以針對下列遠端動作發出大量命令:重新啟動、重新命名、Autopilot 重設、抹除和刪除。 若要查看新的大量動作,請移至 Microsoft Intune 系統管理中心>裝置>所有裝置>的大量動作

所有裝置清單都已改善搜尋、排序和篩選

已改善 [所有裝置] 列表,以提升效能、搜尋、排序和篩選。 如需詳細資訊,請參閱 此支援提示

監視及疑難排解

Data Warehouse 現在提供 MAC 位址

Intune Data Warehouse 提供 MAC 位址作為實體中 device () 的新屬性EthernetMacAddress,讓系統管理員能夠在使用者與主機 mac 位址之間相互關聯。 此屬性有助於聯繫特定使用者,並針對網路上發生的事件進行疑難解答。 系統管理員也可以在 Power BI報 表中使用此屬性來建置更豐富的報表。 如需詳細資訊,請參閱 Intune Data Warehouse 裝置實體。

Data Warehouse裝置清查屬性

使用 Intune Data Warehouse 提供更多裝置清查屬性。 下列屬性現在會透過 裝置 Beta 集合公開:

  • ethernetMacAddress - 此裝置的唯一網路識別碼。
  • model - 裝置型號。
  • office365Version - 裝置上安裝的 Microsoft 365 版本。
  • windowsOsEdition - 作業系統版本。

下列屬性現在會透過 devicePropertyHistory Beta 集合公開:

  • physicalMemoryInBytes - 以位元組為單位的物理記憶體。
  • totalStorageSpaceInBytes - 記憶體容量總計,以位元組為單位。

如需詳細資訊,請參閱 Microsoft Intune Data Warehouse API

協助和支援工作流程更新以支援更多服務

我們已更新 Microsoft Intune 系統管理中心的 [說明及支援] 頁面,您現在會在其中選擇您使用的管理類型。 透過這項變更,您可以從下列管理類型中選取:

  • Configuration Manager (包含 電腦分析)
  • Intune
  • 共同管理

安全性

在端點安全性中使用以安全性系統管理員為主的原則預覽

作為公開預覽,我們已在 Microsoft Intune 系統管理中心的 [端點安全性] 節點下新增數個新原則群組。 身為安全性系統管理員,您可以使用這些新原則來專注於裝置安全性的特定層面,以管理個別的相關設定群組,而不需要大型裝置設定原則主體的額外負荷。

除了 Microsoft Defender 防病毒軟體的新防病毒軟體原則 (請參閱下) ,這些新預覽原則和配置檔中每個新原則和配置檔中的設定,與您目前可能已透過裝置組態配置檔設定的設定相同。

以下是所有處於預覽狀態的新原則類型,以及其可用的配置檔類型:

  • 防毒 (預覽)

    • macOS:

    • Windows 10 及更新版本:

      • Microsoft Defender 防病毒軟體 - 管理雲端保護、防病毒軟體排除、補救、掃描選項等的防病毒軟體原則設定

        Microsoft Defender 防病毒軟體的防病毒軟體配置檔是一個例外狀況,會引進新的設定實例,這些設定是裝置限制配置檔的一部分。 這些新的防病毒軟體設定:

        • 與裝置限制中找到的設定相同,但支援設定為裝置限制時無法使用的第三個設定選項。
        • 當 Endpoint Protection 的共同管理工作負載滑桿設定為 Intune 時,套用至使用 Configuration Manager 共同管理的裝置。

      規劃使用新的防病毒軟體>Microsoft Defender 防病毒軟體配置檔,以取代透過裝置限制配置檔進行設定。

    • Windows 安全性 體驗 - 管理使用者可在 Microsoft Defender 資訊安全中心檢視的 Windows 安全性 設定,以及他們收到的通知。 這些設定與裝置設定 Endpoint Protection 配置檔可用的設定相同。

  • 磁碟加密 (預覽)

    • macOS:
      • FileVault
    • Windows 10 及更新版本:
      • BitLocker
  • 防火牆 (預覽)

    • macOS:
      • macOS 防火牆
    • Windows 10 及更新版本:
      • Microsoft Defender 防火牆
  • 預覽) (端點偵測和回應

    • Windows 10 及更新版本:-Windows 10 Intune
  • (預覽版) 受攻擊面縮小

    • Windows 10 及更新版本:
      • 應用程式和瀏覽器隔離
      • Web 保護
      • 應用程式控制
      • 受攻擊面縮小規則
      • 裝置控制
      • 入侵防護
  • 帳戶保護 (預覽)

    • Windows 10 及更新版本:
      • 帳戶防護

2020 年 2 月

應用程式管理

適用於 macOS 的 適用於端點的 Microsoft Defender 應用程式

Intune 可讓您輕鬆地將適用於macOS的 適用於端點的 Microsoft Defender 應用程式部署至受控Mac裝置。 如需詳細資訊,請參閱使用mac的 Microsoft Intune和 適用於端點的 Microsoft Defender將 適用於端點的 Microsoft Defender 新增至macOS裝置。

macOS 公司入口網站 用戶體驗改善

我們已改善 macOS 裝置註冊體驗和適用於 Mac 的 公司入口網站 應用程式。 您會看到下列改善:

  • 在註冊期間獲得更好的 Microsoft AutoUpdate 體驗,可確保您的用戶擁有最新版的 公司入口網站。
  • 註冊期間的增強合規性檢查步驟。
  • 支援複製的事件標識碼,讓您的使用者可以更快地將錯誤從他們的裝置傳送給公司支援小組。

如需註冊和mac公司入口網站 應用程式的詳細資訊,請參閱使用 公司入口網站 應用程式註冊macOS裝置

Better Mobile 的 應用程式防護 原則現在支援 iOS 和 iPadOS

在 2019 年 10 月,Intune 應用程式保護原則新增了使用 Microsoft 威脅防禦合作夥伴數據的功能。 透過此更新,您可以使用應用程式保護原則,在iOS和iPadOS上使用BetterMobile,根據裝置的健康情況封鎖或選擇性地抹除使用者的公司數據。 如需詳細資訊,請 參閱使用 Intune 建立 Mobile Threat Defense 應用程式保護原則

Windows 10 裝置上的 Microsoft Edge 77 版和更新版本

Intune 現在支援在 Windows 10 裝置上卸載 Microsoft Edge 77 版和更新版本。 如需詳細資訊,請參閱將適用於 Windows 10 的 Microsoft Edge 新增至 Microsoft Intune

從 公司入口網站、Android 工作配置檔註冊中移除的畫面

[下一步是什麼?] 畫面已從 公司入口網站 中的Android工作配置檔註冊流程中移除,以簡化用戶體驗。 移至 使用 Android 工作設定檔註冊 ,以查看更新的 Android 工作配置檔註冊流程。

公司入口網站 應用程式改善效能

公司入口網站 應用程式已更新,以針對使用ARM64處理器的裝置支援改善的效能,例如Surface Pro X。先前,公司入口網站 以仿真的ARM32模式運作。 現在,在 10.4.7080.0 版和更新版本中,公司入口網站 應用程式會原生編譯為 ARM64。 如需 公司入口網站 應用程式的詳細資訊,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

Microsoft 的新 Office 應用程式

Microsoft 的新 Office 應用程式現在已正式可供下載和使用。 Office 應用程式是一種合併體驗,您的用戶可以在單一應用程式內跨 Word、Excel 和 PowerPoint 工作。 您可以使用應用程式保護原則來鎖定應用程式,以確保所存取的數據受到保護。

如需詳細資訊,請 參閱如何使用 Office 行動預覽應用程式啟用 Intune 應用程式保護原則

裝置設定

在 iOS 裝置上使用 Cisco AnyConnect VPN 啟用網路存取控制 (NAC)

在 iOS 裝置上,您可以建立 VPN 配置檔,並使用不同的連線類型,包括 Cisco AnyConnect (裝置>>組態針對適用於連線類型 Cisco AnyConnect 之設定檔類型的>平臺 >VPN建立>iOS) 。

您可以使用 Cisco AnyConnect (NAC) 啟用網路存取控制。 若要使用此功能:

  1. Cisco Identity Services 引擎系統管理員指南中,使用將 Microsoft Intune 設定為 MDM 伺服器中的步驟,在 Azure 中設定 Cisco Identity Services 引擎 (ISE) 。
  2. 在 Intune 裝置組態設定檔中,選取 [啟用網路 存取控制 (NAC) 設定。

若要查看所有可用的 VPN 設定,請移至在 iOS 裝置上設定 VPN 設定

裝置註冊

Apple MDM 推播憑證頁面上的序號

Apple MDM 推播憑證頁面現在會顯示序號。 如果遺失建立憑證的Apple ID存取權,則需要序號才能重新取得Apple MDM Push 憑證的存取權。 若要查看序號,請移至 裝置>iOS iOS>註冊>Apple MDM Push certificate

裝置管理

將OS更新推送至已註冊iOS/iPadOS裝置的新更新排程選項

排程 iOS/iPadOS 裝置的作業系統更新時,您可以從下列選項中選擇。 這些選項適用於使用 Apple Business Manager 或 Apple School Manager 註冊類型的裝置。

  • 下次簽入時更新
  • 在排程時間期間更新
  • 排程時間以外的更新

針對后兩個選項,您可以建立多個時間範圍。

若要查看新選項,請移至適用於iOS/iPadOS> 的 Intune 系統管理中心>裝置>iOS> 更新原則建立配置檔

選擇要推送至已註冊裝置的 iOS/iPadOS 更新

您可以選擇特定的 iOS/iPadOS 更新 (除了最新的更新) ,以推送至已使用 Apple Business Manager 或 Apple School Manager 註冊的裝置。 這類裝置必須設定裝置設定原則,以延遲某些天數的軟體更新可見度。 若要查看此功能,請移至適用於iOS/iPadOS> 的 Intune 系統管理中心>裝置>iOS> 更新原則建立配置檔

從 [所有裝置] 列表導出現在為壓縮的 CSV 格式

[ 裝置>] [所有裝置 ] 頁面的導出現在為壓縮 CSV 格式。

Windows 7 結束外延支援

Windows 7 已於 2020 年 1 月 14 日終止外延支援。 Intune 已淘汰同時執行 Windows 7 的裝置支援。 無法再使用技術協助和自動更新來保護您的電腦。 您應該升級至 Windows 10。 如需詳細資訊,請參閱 規劃變更部落格文章

裝置安全性

改善的 Intune 報告體驗

Intune 現在提供改良的報告體驗。 有新的報表類型、更好的報表組織、更專注的檢視、改善的報表功能,以及更一致且及時的數據。 報告體驗會從公開預覽移至 GA (正式運作) 。 此外,GA 版本也會在 Microsoft Intune 系統管理中心的磚上提供當地語系化支援、錯誤修正、設計改善,以及匯總裝置合規性數據。

新的報表型態著重於下列資訊:

  • 操作 - 提供具有負面健康情況焦點的全新記錄。
  • 組織 - 提供整體狀態的更廣泛摘要。
  • 歷程 記錄 - 提供一段時間的模式和趨勢。
  • 專家 - 可讓您使用原始數據來建立自己的自定義報表。

第一組新報告著重於裝置合規性。 如需詳細資訊,請參閱部落格 - Microsoft Intune 報告架構Intune 報告

合併UI中安全性基準的位置

我們已從數個 UI 位置移除安全性基準,以合併路徑以在 Microsoft Intune 系統管理中心尋找安全性基準。 若要尋找安全性基準,您現在會使用下列路徑: 端點安全性>基準

已擴充匯入 PKCS 憑證的支援

我們已擴充使用匯入 的 PKCS 憑證 來支援 Android Enterprise 完全受控裝置的支援。 一般而言,匯入 PFX 憑證是用於 S/MIME 加密案例,其中使用者的所有裝置上都需要使用者的加密憑證,才能進行電子郵件解密。

下列平臺支持匯入 PFX 憑證:

  • Android - 裝置系統管理員
  • Android Enterprise - 完全受控
  • Android Enterprise - 工作配置檔
  • iOS
  • Mac
  • Windows 10

檢視裝置的端點安全性設定

我們已更新 Microsoft Intune 系統管理中心的選項名稱,以檢視適用於特定裝置的端點安全性設定。 此選項已重新命名為 端點安全性設定 ,因為它會顯示在安全性基準之外建立的適用安全性基準和其他原則。 先前,此選項命名為 安全性基準

角色型存取控制

Intune 角色使用者介面變更即將推出

Microsoft Intune 系統管理中心>租用戶系統管理>角色的使用者介面已改善為更方便使用者且直覺的設計。 此體驗提供您現在使用的相同設定和詳細數據,不過,新體驗會採用類似精靈的程式。

2020 年 1 月

應用程式管理

適用於 macOS 的 Microsoft Edge 77 版部署通道 Intune 支援

Microsoft Intune 現在支援適用於 macOS 的 Microsoft Edge 應用程式穩定部署通道。 穩定通道是在企業環境中廣泛部署 Microsoft Edge 的建議通道。 它會每六周更新一次,每個版本都會納入 Beta 通道的改善。 除了 StableBeta 通道之外,Intune 還支援 開發人員 通道。 公開預覽版為適用於 macOS 的 Microsoft Edge 77 版和更新版本提供穩定且開發的通道。 瀏覽器的自動更新預設為開啟。 如需詳細資訊,請參閱使用 Microsoft Intune 為macOS裝置新增 Microsoft Edge

淘汰 Intune Managed Browser

Intune Managed Browser 將會淘汰。 針對受保護的 Intune 瀏覽器體驗使用 Microsoft Edge。

將應用程式新增至 Intune 時的用戶體驗變更

透過 Intune 將應用程式新增至 時,會有新的用戶體驗。 此體驗提供您先前使用的相同設定和詳細數據,不過,新體驗會遵循類似精靈的程式,再將應用程式新增至 Intune。 此新體驗也會在新增應用程式之前提供檢閱頁面。 從 Microsoft Intune 系統管理中心,選取 [應用程式>所有應用程式>新增]。 如需詳細資訊,請參閱將應用程式新增至 Microsoft Intune

需要 Win32 應用程式重新啟動

您可以要求 Win32 應用程式必須在成功安裝之後重新啟動。 此外,您可以選擇在重新啟動之前) (寬限期的時間量。

在 Intune 中設定應用程式時,用戶體驗變更

在 Intune 中建立應用程式設定原則時,有新的用戶體驗。 此體驗提供您先前使用的相同設定和詳細數據,不過,新體驗會遵循類似精靈的程式,再將原則新增至 Intune。 從 Microsoft Intune 系統管理中心,選取 [應用程式>應用程式設定原則>新增]。 如需詳細資訊,請參閱適用於 Microsoft Intune 的應用程式設定原則

適用於 Windows 10 部署通道的 Microsoft Edge Intune 支援

Microsoft Intune 現在支援適用於 Windows 10 應用程式的 Microsoft Edge (77 版和更新版本) 穩定部署通道穩定通道是建議在企業環境中部署適用於 Windows 10 Microsoft Edge 的建議通道。 此通道會每六周更新一次,每個版本都會納入 Beta 通道的改善。 除了 StableBeta 通道之外,Intune 還支援 開發人員 通道。 如需詳細資訊,請參閱適用於 Windows 10 的 Microsoft Edge - 設定應用程式設定

適用於 iOS 的 Microsoft Outlook 的 S/MIME 支援

Intune 支援傳遞 S/MIME 簽署和加密憑證,這些憑證可與 iOS 裝置上的 iOS 版 Outlook 搭配使用。 如需詳細資訊,請參閱 iOS 版和 Android 版 Outlook 中的敏感度卷標和保護

使用 Microsoft 連線快取伺服器快取 Win32 應用程式內容

您可以在 Configuration Manager 發佈點上安裝 Microsoft 連線快取伺服器,以快取 Intune Win32 應用程式內容。 如需詳細資訊,請參閱 Configuration Manager 中的 Microsoft 連線快取 - Intune Win32 應用程式的支援

裝置設定

改善設定 Exchange ActiveSync 內部部署連接器 UI 時的使用者介面體驗

我們已更新設定 Exchange ActiveSync 內部部署連接器的體驗。 更新的體驗會使用單一窗格來設定、編輯及摘要內部部署連接器的詳細數據。

將自動 Proxy 設定新增至 Android Enterprise 工作設定檔的 Wi-Fi 設定檔

在 Android Enterprise Work Profile 裝置上,您可以建立 Wi-Fi 配置檔。 當您選擇 Wi-Fi Enterprise 類型時,也可以輸入 Wi-Fi 網路上使用的可延伸驗證通訊協定 (EAP) 類型。

現在當您選擇企業類型時,您也可以輸入自動 Proxy 設定,包括 Proxy 伺服器 URL,例如 proxy.contoso.com

若要查看您可以設定的目前 Wi-Fi 設定,請移至在 Microsoft Intune 中為執行 Android Enterprise 和 Android kiosk 的裝置新增 Wi-Fi 設定

適用於:

  • Android Enterprise 工作配置檔

裝置註冊

依裝置製造商封鎖Android註冊

您可以根據裝置製造商來封鎖裝置註冊。 此功能適用於 Android 裝置系統管理員和 Android Enterprise 工作設定檔裝置。 若要查看註冊限制,請移至 Microsoft Intune 系統管理中心>裝置>註冊限制

iOS/iPadOS 建立註冊類型配置檔 UI 的改善

針對 iOS/iPadOS 用戶註冊,已簡化 [ 建立註冊類型配置檔設定 ] 頁面,以改善 註冊類型 選擇程式,同時保留相同的功能。 若要查看新的UI,請移至 Microsoft Intune系統管理中心>裝置>iOS iOS>註冊註冊>類型>建立設定檔>設定頁面。 如需詳細資訊,請 參閱在 Intune 中建立用戶註冊配置檔

裝置管理

裝置詳細數據中的新資訊

下列資訊現在位於裝置的 [ 概觀 ] 頁面上:

  • 裝置上的記憶體容量 (物理記憶體數量)
  • 裝置上的記憶體容量 (實體記憶體數量)
  • CPU 架構

iOS 略過啟用鎖定遠端動作已重新命名為停用啟用鎖定

遠端動作 略過啟用鎖定 已重新命名為 停用啟用鎖定。 如需詳細資訊,請 參閱使用 Intune 停用 iOS 啟用鎖定

Windows 10 Autopilot 裝置的功能更新部署支援

Intune 現在支援使用 Windows 10 功能更新部署,以 Autopilot 註冊的裝置為目標。

Windows 10 OOBE) 的 Windows Autopilot 現 (體驗期間無法套用功能更新原則。 它們只適用於裝置完成布建之後的第一個 Windows Update 掃描,通常是一天。

監視及疑難排解

Windows Autopilot 部署報告 (預覽)

新的報表會詳細說明透過 Windows Autopilot 部署的每個裝置。 如需詳細資訊,請 參閱 Autopilot 部署報告

角色型存取控制

新的 Intune 內建角色端點安全性管理員

有新的 Intune 內建角色可供使用:端點安全性管理員。 此新角色可讓系統管理員完整存取 Intune 中的端點管理員節點,以及對其他區域的只備存取權。 角色是從 Microsoft Entra ID擴充「安全性系統管理員」角色。 如果您目前只有全域管理員作為角色,則不需要進行任何變更。 如果您使用角色,而且想要端點安全性管理員所提供的粒度,請在角色可用時指派該角色。 如需內建角色的詳細資訊,請參閱 角色型訪問控制

#DDCCC0F1D1F5D4FC68073263AB3364DF8 ADMX) 設定檔 (系統管理範本現在支援範圍標籤

您現在可以將範圍標籤指派給 ADMX) (系統管理範本設定檔。 若要這樣做,請移至 [Intune>裝置>設定]> 在 [屬性>範圍] 標籤清單>中選擇系統管理範本設定檔。 如需範圍標籤的詳細資訊,請 參閱將範圍標籤指派給其他物件

2019 年 12 月

應用程式管理

從加密的macOS裝置擷取個人修復金鑰

使用者可以使用 iOS 公司入口網站 應用程式, (FileVault 金鑰) 擷取其個人修復金鑰。 具有個人修復密鑰的裝置必須向 Intune 註冊,並透過 Intune 以 FileVault 加密。 使用者可以使用 iOS 公司入口網站 應用程式,在加密的 macOS 裝置上選取 [取得修復金鑰] 來擷取其個人修復密鑰。 您也可以從 Intune 擷取修復金鑰,方法是選>取 [已加密和已註冊的 macOS 裝置取得修復金鑰的裝置>]。 如需 FileVault 的詳細資訊,請參閱 macOS 的 FileVault 加密

iOS 和 iPadOS 使用者授權的 VPP 應用程式

針對用戶註冊的 iOS 和 iPadOS 裝置,終端使用者將不會再看到新建立的裝置授權 VPP 應用程式部署為可用。 不過,終端用戶會繼續在 公司入口網站 內看到所有用戶授權的 VPP 應用程式。 如需 VPP 應用程式的詳細資訊,請參閱如何使用 Microsoft Intune 管理透過 Apple 大量採購方案購買的 iOS 和 macOS 應用程式

注意 - Windows 10 1703 (RS2) 將會移出支援

從 2018 年 10 月 9 日開始,Windows 10 1703 (RS2) 移出家用版、專業版和工作站專業版的 Microsoft 平台支援。 針對 Windows 10 企業版 版和教育版,Windows 10 1703 (RS2) 於 2019 年 10 月 8 日移出平台支援。 從 2019 年 12 月 26 日開始,我們將 Windows 公司入口網站 應用程式的最低版本更新為 Windows 10 1709 (RS3) 。 執行 1709 之前版本的電腦將不再從 Microsoft Store 接收應用程式的更新版本。 我們先前已透過訊息中心將這項變更傳達給管理舊版 Windows 10 的客戶。 如需詳細資訊,請參閱 Windows 生命週期事實表

應用程式管理

移轉至 Microsoft Edge 進行受控流覽案例

隨著我們更接近淘汰 Intune Managed Browser,我們對應用程式保護原則進行了變更,以簡化將使用者移至 Edge 所需的步驟。 我們已將應用程式保護原則設定 [ 限制與其他應用程式的 Web 內容傳輸 ] 的選項更新為下列其中一項:

  • 任何應用程式
  • Intune Managed Browser
  • Microsoft Edge
  • 非受控瀏覽器

當您選取 Microsoft Edge 時,您的終端使用者會看到條件式存取傳訊,通知他們受控流覽案例需要 Microsoft Edge。 如果使用者尚未登入,系統會提示他們使用其 Microsoft Entra 帳戶下載並登入 Microsoft Edge。 此行為相當於以已啟用 MAM 的應用程式為目標,並將應用程式組態設定設 com.microsoft.intune.useEdgeTrue。 使用 [原則管理瀏覽器] 設定的現有應用程式保護原則現在已選取 Intune Managed Browser,而且您不會看到任何行為變更。 因此,如果您已將 useEdge 應用程式組態設定設為 True,您的使用者會看到使用 Microsoft Edge 的訊息。 我們鼓勵所有使用受控流覽案例的客戶使用 限制與其他應用程式的 Web 內容傳輸 來更新其應用程式保護原則,以確保無論使用者從哪一個應用程式啟動連結,都會看到轉換至 Microsoft Edge 的適當指引。

設定組織帳戶的應用程式通知內容

在 Android 和 iOS 裝置上 (APP) 的 Intune 應用程式保護原則,可讓您控制組織帳戶的應用程式通知內容。 您可以選取 [允許]、[封鎖組織數據] 或 [封鎖) ] (選項,以指定如何針對選取的應用程式顯示組織帳戶的通知。 這項功能需要應用程式的支援,而且可能無法供所有已啟用APP的應用程式使用。 iOS 版 4.15.0 (或更新版本的 outlook) 和 Android 版 Outlook 4.83.0 (或更新版本) 將支援此設定。 此設定可在控制台中使用,但功能會在 2019 年 12 月 16 日之後開始生效。 如需APP的詳細資訊,請 參閱什麼是應用程式保護原則?

Microsoft 應用程式圖示更新

已更新應用程式目標窗格中用於 應用程式防護 原則和應用程式設定原則之 Microsoft 應用程式的圖示。

需要在Android上使用已核准的鍵盤

作為應用程式保護原則的一部分,您可以指定 [ 已核准的鍵盤 ] 設定,以管理哪些 Android 鍵盤可以與受控 Android 應用程式搭配使用。 當使用者開啟受控應用程式,但尚未針對該應用程式使用核准的鍵盤時,系統會提示他們切換至已安裝在其裝置上的其中一個已核准鍵盤。 如有需要,他們會看到從 Google Play 商店下載已核准鍵盤的連結,讓他們可以安裝和設定該鍵盤。 當使用者的作用中鍵盤不是其中一個核准的鍵盤時,使用者只能編輯受控應用程式中的文字欄位。

裝置設定

匯報 至 Windows 10 裝置的系統管理範本

您可以在 Microsoft Intune 中使用 ADMX 範本來控制和管理 Microsoft Edge、Office 和 Windows 的設定。 Intune 中的系統管理範本進行了下列原則設定更新:

如需 Intune 中 ADMX 範本的詳細資訊,請參閱使用 Windows 10 範本在 Microsoft Intune 中設定組策略設定

適用於:

  • Windows 10 和更新版本

已更新 iOS、iPadOS 和 macOS 裝置上應用程式和網站的單一登錄體驗

Intune 已新增更多單一登錄 (iOS、iPadOS 和 macOS 裝置的 SSO) 設定。 您現在可以設定由組織或身分識別提供者所撰寫的重新導向 SSO 應用程式延伸模組。 使用這些設定,為使用 OAuth 和 SAML2 等新式驗證方法的應用程式和網站設定順暢的單一登錄體驗。

這些新設定會擴充 SSO 應用程式擴充功能的先前設定,以及 Apple 的內建 Kerberos 擴充功能, (裝置>>設定建立>iOS/iPadOSmacOS,以供配置檔類型) 的平臺類型>裝置功能使用。

若要查看您可以設定的完整 SSO 應用程式延伸模組設定,請移至 iOS 上的 SSOmacOS 上的 SSO

適用於:

  • iOS/iPadOS
  • macOS

我們已更新 iOS 和 iPadOS 裝置的兩個裝置限制設定,以更正其行為

針對 iOS 裝置,您可以建立允許無線 PKI 更新封鎖 USB 限制模式的裝置限制設定檔, (裝置>>設定建立>適用於設定檔類型) 之平臺>裝置限制的 iOS/iPadOS。 在此版本之前,下列設定的UI設定和描述不正確,而且現在已更正。 從此版本開始,設定行為如下:

封鎖無線 PKI 更新[封鎖 ] 會防止您的使用者接收軟體更新,除非裝置連線到計算機。 未設定 (預設) :允許裝置在不連線到計算機的情況下接收軟體更新。

  • 先前,此設定可讓您將它設定為: [允許],讓您的使用者接收軟體更新,而不需要將其裝置連線到計算機。 在裝置鎖定時允許 USB 配件[允許 ] 可讓 USB 配件與已鎖定超過一小時的裝置交換數據。 未設定 (預設) 不會更新裝置上的 USB 限制模式,而且如果鎖定超過一小時,將會封鎖 USB 配件從裝置傳輸數據。
  • 先前,此設定可讓您將它設定為: [封鎖 ] 以停用受監督裝置上的 USB 限制模式。

如需您可以設定之設定的詳細資訊,請參閱 使用 Intune 允許或限制功能的 iOS 和 iPadOS 裝置設定

本功能適用於:

  • OS/iPadOS

封鎖使用者在Android Enterprise裝置擁有者裝置上的受控密鑰存放區中設定憑證認證

在 Android Enterprise 裝置擁有者裝置上,您可以設定新的設定,封鎖使用者在受控密鑰存放區中設定其憑證認證 (裝置>>設定 針對設定檔類型 > [使用者 + 帳戶]) 的平臺>[裝置擁有者] [僅>限裝置限制]設定>Android Enterprise

新 Microsoft Configuration Manager 共同管理授權

Configuration Manager 具有軟體保證的客戶可以取得 Windows 10 計算機的 Intune 共同管理,而不需要購買另一個 Intune 授權來共同管理。 客戶不再需要將個別 Intune/EMS 授權指派給其使用者,以共同管理 Windows 10。

  • 由 Configuration Manager 管理並註冊到共同管理的裝置,其許可權幾乎與 Intune 獨立 MDM 管理的電腦相同。 不過,重設之後,就無法使用 Autopilot 重新布建它們。
  • Windows 10 使用其他方式向 Intune 註冊的裝置需要完整的 Intune 授權。
  • 其他平臺上的裝置仍然需要完整的Intune授權。

如需詳細資訊,請參閱 授權條款

裝置管理

受保護的抹除動作現已可供使用

您現在可以使用 [抹除裝置] 動作來執行受保護的裝置抹除。 受保護的抹除與標準抹除相同,不同之處在於無法透過關閉裝置電源來避開它們。 受保護的抹除會持續嘗試重設裝置,直到成功為止。 在某些設定中,此動作可能會讓裝置無法重新啟動。 如需詳細資訊,請參閱 淘汰或抹除裝置

裝置乙太網路 MAC 位址已新增至裝置的 [概觀] 頁面

您現在可以在裝置詳細數據頁面上看到裝置的乙太網路 MAC 位址 (裝置>所有裝置>選擇裝置>概觀。

裝置安全性

已改善啟用裝置型條件式存取原則時的共用裝置體驗

我們藉由在強制執行原則時檢查使用者的最新合規性評估,改善了與多個以裝置型條件式存取原則為目標之使用者共用裝置上的體驗。 如需詳細資訊,請參閱下列概觀文章:

使用 PKCS 憑證配置檔布建具有憑證的裝置

您現在可以使用 PKCS 憑證配置檔,在與 Wi-Fi 和 VPN 等設定檔相關聯時,將憑證簽發給執行 Android for Work、iOS/iPadOS 和 Windows 的 裝置 。 先前這三個平臺僅支援以用戶為基礎的憑證,而裝置型支援僅限於macOS。

注意事項

Wi-Fi 配置檔不支援 PKCS 憑證設定檔。 當您使用 EAP 類型時,請改用 SCEP 憑證配置檔。

若要使用裝置型憑證,在為支持的平臺 建立 PKCS 憑證配置檔 時,請選取 [ 設定]。 您現在會看到 [ 憑證類型] 的設定,其支援 [裝置] 或 [使用者] 的選項。

監視及疑難排解

集中式稽核記錄

新的集中式稽核記錄體驗現在會將所有類別的稽核記錄收集到一個頁面。 您可以篩選記錄以取得您要尋找的數據。 若要查看稽核記錄,請移至 租使用者管理>稽核記錄

稽核記錄活動詳細數據中包含的範圍卷標資訊

稽核記錄活動詳細數據現在包含範圍卷標資訊 (支援範圍標籤) 的 Intune 物件。 如需稽核記錄的詳細資訊,請 參閱使用稽核記錄來追蹤和監視事件

2019 年 11 月

應用程式管理

選擇性地抹除應用程式數據時更新UI

已更新在 Intune 中選擇性抹除應用程式數據的 UI。 UI 變更包括:

  • 使用在一個窗格內壓縮的精靈樣式格式,以簡化體驗。
  • 建立流程的更新,以包含指派。
  • 在建立新原則或編輯屬性之前,檢視屬性時所設定之所有專案的摘要頁面。 此外,編輯屬性時,摘要只會顯示所編輯屬性類別的專案清單。

如需詳細資訊,請參閱 如何只抹除來自 Intune 受控應用程式的公司數據

iOS 和 iPadOS 第三方鍵盤支援

在 2019 年 3 月,我們宣佈移除 iOS 應用程式防護 原則設定第三方鍵盤的支援。 此功能會在 iOS 和 iPadOS 支援下返回 Intune。 若要啟用此設定,請流覽新的或現有 iOS/iPadOS 應用程式保護原則的 [資料保護] 索引標籤,然後在 [資料傳輸] 底下尋找 [第三方鍵盤] 設定。

此原則設定的行為與先前的實作稍有不同。 在使用 SDK 12.0.16 版和更新版本的多重身分識別應用程式中,以應用程式保護原則為目標,且此設定設定為 [封鎖],使用者將無法在其組織和個人帳戶中選擇第三方/合作夥伴鍵盤。 使用 SDK 12.0.12 版和更早版本的應用程式將繼續展現我們的部落格文章標題 已知問題:iOS 中不會針對個人帳戶封鎖第三方鍵盤中所述的行為。

已改善 公司入口網站 中的macOS註冊體驗

macOS 註冊體驗的 公司入口網站 具有更簡單的註冊程式,可更貼近 iOS 註冊體驗的 公司入口網站。 裝置用戶現在會看到:

  • 更順位的使用者介面。
  • 改良的註冊檢查清單。
  • 更清楚說明如何註冊其裝置。
  • 改善的疑難解答選項。

從 Windows 公司入口網站 應用程式啟動的 Web 應用程式

終端用戶現在可以直接從 Windows 公司入口網站 應用程式啟動 Web 應用程式。 終端使用者可以選取 Web 應用程式,然後選擇 [ 在瀏覽器中開啟] 選項。 已發佈的 Web URL 會直接在網頁瀏覽器中開啟。 此功能將在下一周推出。 如需 Web 應用程式的詳細資訊,請參閱將 Web 應用程式新增至 Microsoft Intune

公司入口網站 中 Windows 10 的新指派類型數據行

[公司入口網站 >已安裝的應用程式>指派類型] 資料行已重新命名為您的組織所需的數據行。 在該數據行下,使用者會看到 [ ] 或 [ 否] 值,表示應用程式是其組織需要或選擇性的。 之所以進行這些變更,是因為裝置使用者對可用應用程式的概念感到混淆。 您的使用者可以在裝置上安裝和共用應用程式中找到從 公司入口網站 安裝應用程式的詳細資訊。 如需為使用者設定 公司入口網站 應用程式的詳細資訊,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

裝置設定

要要求 Jamf 管理的目標 macOS 使用者群組

您可以將特定使用者群組設為目標,這些使用者會取得 Jamf 所管理的 macOS 裝置。 此目標可讓您將 Jamf 合規性整合套用至 macOS 裝置的子集,而其他裝置則由 Intune 管理。 如果您已經使用 Jamf 整合,預設會將 [所有使用者] 群組設為整合的目標。

在 iOS 裝置上建立 Email 裝置組態設定檔時的新 Exchange ActiveSync 設定

在 iOS/iPadOS 裝置上,您可以在裝置組態設定檔中設定電子郵件連線 (>> 裝置設定建立>適用於設定檔類型 ) 之平臺 > Email 的iOS/iPadOS

有新的 Exchange ActiveSync 設定可用,包括:

  • 要同步處理的 Exchange 數據:選擇 Exchange 服務來同步處理 (或封鎖行事曆、連絡人、提醒、記事和 Email 的同步) 。
  • 允許使用者變更同步處理設定:允許 (或封鎖) 使用者在其裝置上變更這些服務的同步設定。

如需這些設定的詳細資訊,請移至 intune 中 iOS 裝置的 Email 設定檔設定

適用於:

  • iOS 13.0 和更新版本
  • iPadOS 13.0 及更新版本

防止使用者將個人Google帳戶新增至Android Enterprise完全受控且專用的裝置

在 Android Enterprise 完全受控且專用的裝置上,有一項新設定可防止使用者建立個人 Google 帳戶 (裝置>>設定建立>平臺裝置擁有者專用>裝置限制的裝置>限制配置檔類型>使用者和個人>Google 帳戶設定) 。

若要查看您可以設定的設定,請移至 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

適用於:

  • Android Enterprise 完全受控裝置
  • Android Enterprise 專用裝置

iOS/iPadOS 裝置限制配置檔中已移除 Siri 命令設定的伺服器端記錄

在 iOS 和 iPadOS 裝置上,系統會從 Microsoft Intune 系統管理中心移除 Siri 命令的伺服器端記錄設定, (裝置>組>建立>iOS/iPadOS,針對配置檔類型>內建應用程式的裝置>限制) 。

此設定對裝置沒有任何影響。 若要從現有的配置檔中移除設定,請開啟配置檔、進行任何變更,然後儲存配置檔。 配置檔會更新,而且會從裝置刪除設定。

若要查看您可以設定的所有設定,請參閱 使用 Intune 允許或限制功能的 iOS 和 iPadOS 裝置設定

適用於:

  • iOS/iPadOS

公開預覽) (Windows 10 功能更新

您現在可以將 Windows 10 功能更新部署到 Windows 10 裝置。 Windows 10 功能更新是新的軟體更新原則,可設定您希望裝置安裝並保留的 Windows 10 版本。 您可以使用這個新的原則類型,以及現有的 Windows 10 更新通道。

接收 Windows 10 功能更新原則的裝置會安裝指定的 Windows 版本,然後保留在該版本,直到編輯或移除原則為止。 執行新版 Windows 的裝置會保持在目前的版本。 保留在特定 Windows 版本的裝置仍然可以從 Windows 10 更新通道安裝該版本的品質和安全性更新。

這個新類型的原則會在本周開始向租使用者推出。 如果您的租使用者尚未使用此原則,很快就會推出此原則。

在macOS應用程式的 plist 檔案中新增和變更金鑰資訊

在macOS裝置上,您現在可以建立一個裝置組態配置檔,將屬性清單檔案上傳 (.plist) 與應用程式或裝置相關聯 (> 裝置組> 針對設定檔類型的平臺>喜好設定檔案建立>macOS) 。

只有某些應用程式支援 Managed 喜好設定,而這些應用程式可能不允許您管理所有設定。 請務必上傳設定裝置通道設定的屬性清單檔案,而不是使用者通道設定。

如需這項功能的詳細資訊,請參閱使用 Microsoft Intune 將屬性清單檔案新增至macOS裝置

適用於:

  • 執行 10.7 和更新版本的 macOS 裝置

裝置管理

編輯 Autopilot 裝置的裝置名稱值

您可以編輯 Microsoft Entra 加入 Autopilot 裝置的 [裝置名稱] 值。 如需詳細資訊,請 參閱編輯 Autopilot 裝置屬性

編輯 Autopilot 裝置的群組標籤

您可以編輯 Autopilot 裝置的群組標籤。 如需詳細資訊,請 參閱編輯 Autopilot 裝置屬性

監視及疑難排解

已更新支持體驗

從今天開始,已更新且簡化的控制台內體驗 ,可取得 Intune 的協助和支援,並 推出給租使用者。 如果這項新體驗尚未提供給您使用,很快就會推出。

我們已改善主控台內搜尋和常見問題的意見反應,以及您用來連絡支持人員的工作流程。 開啟支持問題時,您會看到何時可以預期回呼或電子郵件回復的實時估計值。 頂級和統一支援客戶可以指定其問題的嚴重性,以協助更快取得支援。

改善的 Intune 報告體驗 (公開預覽)

Intune 現在提供改良的報告體驗。 它包含新的報表類型、更好的報表組織、更專注的檢視、改善的報表功能,以及更一致且及時的數據。 新的報表型態:

  • 操作 - 提供具有負面健康情況焦點的全新記錄。
  • 組織 - 提供整體狀態的更廣泛摘要。
  • 歷程 記錄 - 提供一段時間的模式和趨勢。
  • 專家 - 可讓您使用原始數據來建立自己的自定義報表。

第一組新報告著重於裝置合規性。 如需詳細資訊,請參閱部落格 - Microsoft Intune 報告架構Intune 報告

角色型存取控制

重複的自定義或內建角色

您現在可以複製內建和自定義角色。 如需詳細資訊,請參閱 複製角色

學校系統管理員角色的新許可權

已將兩個新的許可權指派配置檔同步處理裝置新增至學校系統管理員角色>權>註冊計劃。 同步配置檔許可權可讓群組管理員同步處理 Windows Autopilot 裝置。 指派配置檔許可權可讓他們刪除使用者起始的Apple註冊配置檔。 它也會提供他們管理 Autopilot 裝置指派和 Autopilot 部署配置檔指派的許可權。 如需所有學校系統管理員/群組系統管理員許可權的清單,請參閱 指派群組管理員

安全性

BitLocker 金鑰輪替

您可以使用 Intune 裝置動作,從遠端輪替執行 Windows 1909 版或更新版本之受管理裝置的 BitLocker 修復密鑰 。 若要符合輪替修復密鑰的資格,裝置必須設定為支援修復密鑰輪替。

匯報 專用裝置註冊以支援 SCEP 裝置憑證部署

Intune 現在支援將SCEP裝置憑證部署至Android Enterprise專用裝置,以憑證方式存取 Wi-Fi 配置檔。 Microsoft Intune 應用程式必須存在於裝置上,部署才能運作。 因此,我們已更新Android Enterprise專用裝置的註冊體驗。 新的註冊仍會使用 QR、NFC、零接觸或裝置識別碼) 啟動相同的 (,但現在有一個步驟需要使用者安裝 Intune 應用程式。 現有的裝置將會開始輪流自動安裝應用程式。

企業對企業共同作業的 Intune 稽核記錄

企業對企業 (B2B) 共同作業可讓您安全地與任何其他組織的來賓用戶共用公司的應用程式和服務,同時維持對您自己公司數據的控制。 Intune 現在支援 B2B 來賓使用者的稽核記錄。 例如,當來賓用戶進行變更時,Intune 可以透過稽核記錄擷取此數據。 如需詳細資訊,請參閱什麼是 Microsoft Entra B2B 中的來賓使用者存取權?

Microsoft Azure Government 支援安全性基準

裝載於 Microsoft Azure Government 的 Intune 實例現在可以使用安全性基準來協助您保護使用者和裝置的安全。

2019 年 10 月

應用程式管理

已改善Android應用程式 公司入口網站檢查清單設計

Android 公司入口網站 應用程式中的設定檢查清單已更新為輕量型設計和新圖示。 這些變更與針對 iOS 的 公司入口網站 應用程式所做的最新更新一致。 如需變更的並存比較,請參閱 應用程式 UI 的新功能。 如需更新的註冊步驟,請參閱 使用 Android 工作配置檔註冊註冊您的 Android 裝置

Windows 10 S 模式裝置上的 Win32 應用程式

您可以在 Windows 10 S 模式受控裝置上安裝和執行 Win32 應用程式。 針對這項工作,您可以使用 Windows Defender 應用程控 (WDAC) PowerShell 工具,為 S 模式建立一或多個補充原則。 使用Device Guard簽署入口網站簽署補充原則,然後透過Intune上傳和散發原則。 在 Intune 中,您可以選取 [用戶端應用程式>Windows 10 S 補充原則來找到這項功能。 如需詳細資訊,請參閱 在 S 模式裝置上啟用 Win32 應用程式

根據日期和時間設定 Win32 應用程式可用性

身為系統管理員,您可以為必要的 Win32 應用程式設定開始時間和期限時間。 在開始時,Intune 管理延伸模組會啟動應用程式內容下載並加以快取。 應用程式將會在期限時間安裝。 對於可用的應用程式,開始時間會決定應用程式在 公司入口網站 中顯示的時間。 如需詳細資訊,請參閱 Intune Win32 應用程式管理

在安裝 Win32 應用程式之後,需要根據寬限期重新啟動裝置

您可以要求裝置必須在 Win32 應用程式成功安裝之後重新啟動。 如需詳細資訊,請參閱 Win32 應用程式管理

iOS 公司入口網站 的深色模式

深色模式適用於 iOS 公司入口網站。 用戶可以下載公司應用程式、管理其裝置,以及根據裝置設定,在其選擇的色彩配置中取得 IT 支援。 iOS 公司入口網站 會自動比對終端使用者的裝置設定,以進行深色或淺色模式。 如需詳細資訊,請參閱 iOS Microsoft Intune 公司入口網站 的深色模式簡介。 如需 iOS 公司入口網站 的詳細資訊,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

Android 公司入口網站 強制執行最低應用程式版本

藉由使用應用程式保護原則的最小 公司入口網站 版本設定,您可以指定在使用者裝置上強制執行之 公司入口網站 的特定最小定義版本。 此條件式啟動設定可讓您在不符合值時,盡可能 封鎖存取抹除數據警告 動作。 此值的可能格式會遵循 [Major]。[Minor][Major].[次要]。[Build], 或 [Major].[次要]。[組建]。[修訂] 模式。

如果設定了 [最小 公司入口網站 版本] 設定,將會影響取得 公司入口網站 5.0.4560.0 版的任何終端使用者,以及 公司入口網站 的任何未來版本。 此設定不會影響使用比此功能發行版本還舊的 公司入口網站 版本的使用者。 在裝置上使用應用程式自動更新的終端使用者可能不會看到來自此功能的任何對話框,因為他們可能使用最新的 公司入口網站 版本。 此設定僅適用於已註冊和未註冊裝置的應用程式保護。 如需詳細資訊,請參閱 Android 應用程式保護原則設定 - 條件式啟動

將Mobile Threat Defense 應用程式新增至未註冊的裝置

您可以建立 Intune 應用程式保護原則,以根據裝置的健康情況封鎖或選擇性地抹除使用者的公司數據。 裝置的健康情況是使用您選擇的Mobile Threat Defense (MTD) 解決方案來決定。 此功能目前已在 Intune 註冊的裝置作為裝置合規性設定。 透過這項新功能,我們會從Mobile ThreatDefense廠商擴充威脅偵測,以在未註冊的裝置上運作。 在 Android 上,此功能需要裝置上的最新 公司入口網站。 在 iOS 上,當應用程式整合最新的 Intune SDK (v 12.0.15+) 時,此功能將可供使用。 當第一個應用程式採用最新的 Intune SDK 時,我們將更新新功能文章。 其餘的應用程式將會輪流提供使用。 如需詳細資訊,請 參閱使用 Intune 建立 Mobile Threat Defense 應用程式保護原則

適用於 Android 工作設定檔的可用 Google Play 應用程式報告

如需在 Android Enterprise 工作設定檔、專用和完全受控裝置上安裝的可用應用程式,您可以檢視應用程式安裝狀態和受控 Google Play 應用程式的安裝版本。 如需詳細資訊,請參閱 如何監視應用程式保護原則使用 Intune 管理 Android 工作設定檔裝置受控 Google Play 應用程式類型

適用於 Windows 10 和 macOS 的 Microsoft Edge 77 版和更新版本 (公開預覽)

Microsoft Edge 77 版和更新版本將可部署至執行 Windows 10 和 macOS 的電腦。

公開預覽版提供適用於 Windows 10 的開發Beta 通道,以及適用於 macOS 的 Beta 通道。 部署僅使用英文 (EN) ,不過終端使用者可以在瀏覽器的 [設定>語言] 下變更顯示語言。 Microsoft Edge 是安裝在系統內容和類似架構上的 Win32 應用程式, (x86 OS 上的 x86 應用程式,以及 x64 OS) 上的 x64 應用程式。 此外,瀏覽器的自動更新預設為 啟,且無法卸載 Microsoft Edge。 如需詳細資訊,請參閱將適用於 Windows 10 的 Microsoft Edge 新增至 Microsoft IntuneMicrosoft Edge 檔

更新應用程式保護UI和iOS應用程式布建UI

在 Intune 中建立和編輯應用程式保護原則和 iOS 應用程式佈建配置檔的 UI 已更新。 UI 變更包括:

  • 使用在一個刀鋒視窗內壓縮的精靈樣式格式,以簡化體驗。
  • 建立流程的更新,以包含指派。
  • 在建立新原則或編輯屬性之前,檢視屬性時所設定之所有專案的摘要頁面。 此外,編輯屬性時,摘要只會顯示所編輯屬性類別的專案清單。

如需詳細資訊,請 參閱如何建立和指派應用程式保護原則使用iOS應用程式布建配置檔

Intune 引導式案例

Intune 現在提供引導式案例,可協助您完成 Intune 內的特定工作或一組工作。 引導式案例是一系列自定義的步驟, (工作流程) 以一個端對端使用案例為中心。 常見的案例是根據系統管理員、使用者或裝置在組織中扮演的角色來定義。 這些工作流程通常需要經過仔細協調的配置檔、設定、應用程式和安全性控制,才能提供最佳的使用者體驗和安全性。 新的引導式案例包括:

如需詳細資訊,請參閱 Intune 引導式案例概觀

可用的應用程式組態變數

建立應用程式設定原則時,您可以在組態設定中包含 AAD_Device_ID 組態變數。 在 Intune 中,選取 [ 用戶端應用程式應用程式>設定原則>新增]。 輸入您的設定原則詳細數據,然後選取 [組態 設定] 以檢視 [ 組態設定] 刀鋒 視窗。 如需詳細資訊,請參閱 受控 Android Enterprise 裝置的應用程式設定原則 - 使用設定設計工具

建立稱為原則集合的管理物件群組

原則集合可讓您建立現有管理實體的參考組合,這些實體必須以單一概念單位來識別、設定目標及監視。 原則集不會取代現有的概念或物件。 您可以繼續在 Intune 中指派個別物件,而且可以在原則集合中參考個別物件。 因此,這些個別物件的任何變更都會反映在原則集合中。 在 Intune 中,您將選取 [原則 集合>建立 ] 來建立新的原則集合。

裝置設定

'

Windows 10 和更新版本裝置的新裝置韌體組態介面配置檔 (公開預覽)

在 Windows 10 和更新版本上,您可以建立裝置組態配置檔,以控制平臺) (>> 裝置組態建立>Windows 10 和更新版本的設定和功能。 在此更新中,有新的裝置韌體組態介面配置檔類型,可讓Intune管理 UEFI (BIOS) 設定。

如需這項功能的詳細資訊,請參閱在 Microsoft Intune 中的 Windows 裝置上使用 DFCI 配置檔

適用於:

  • Windows 10 RS5 (1809) 及更新版本支援韌體

用於建立和編輯更新通道 Windows 10 UI 更新

我們已更新建立和編輯 Intune 更新通道 Windows 10 UI 體驗。 UI 變更包括:

  • 精靈樣式的格式會壓縮成單一刀鋒視窗,這會使先前在設定更新通道時看到的刀鋒視窗擴充消失。
  • 在完成通道的初始設定之前,修改過的工作流程包含 [指派]。
  • 在儲存和部署新的更新通道之前,您可以使用摘要頁面來檢閱您所做的所有設定。 編輯更新通道時,摘要只會顯示您所編輯屬性類別內所設定的項目清單。

用於建立和編輯 iOS 軟體更新原則的 UI 更新

我們已更新 建立編輯 Intune iOS 軟體更新原則的 UI 體驗。 UI 變更包括:

  • 精靈樣式格式會壓縮成單一刀鋒視窗,這會使先前在設定更新原則時看到的刀鋒視窗擴充消失。
  • 在完成原則的初始設定之前,修改過的工作流程包含 [指派]。
  • 在儲存和部署新原則之前,您可以使用摘要頁面來檢閱您所做的所有設定。 編輯原則時,摘要只會顯示您所編輯屬性類別內所設定的項目清單。

已啟用的重新啟動設定會從 Windows Update通道中移除

如先前所宣佈,Intune 的 Windows 10 更新通道現在支援期限設定,且不再支援 [已啟用重新啟動]。 當您在 Intune 中設定或管理更新通道時,就無法再使用 [參與 重新啟動 ] 的設定。

這項變更會與最近的 Windows 服務變更一致,而且在執行 Windows 10 1903 或更新版本的裝置上,期限會取代已啟用重新啟動的設定

防止在 Android Enterprise 工作設定檔案裝置上從未知來源安裝應用程式

在 Android Enterprise 工作設定檔案裝置上,使用者無法安裝來自未知來源的應用程式。 在此更新中,有新的設定 - 防止個人配置檔中不明來源的應用程式安裝。 根據預設,此設定可防止使用者將來自未知來源的應用程式側載到裝置上的個人配置檔。

若要查看您可以設定的設定,請移至 Android Enterprise 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • Android Enterprise 工作配置檔

在 Android Enterprise 裝置擁有者裝置上建立全域 HTTP Proxy

在 Android Enterprise 裝置上,您可以設定全域 HTTP Proxy,以符合貴組織的網頁瀏覽標準 (裝置>>設定建立>適用於平臺>裝置擁有者的 >Android Enterprise 配置檔類型>連線能力) 裝置限制。 設定之後,所有 HTTP 流量都會使用此 Proxy。

若要設定此功能,並查看您設定的所有設定,請移至 Android Enterprise裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • Android Enterprise 裝置擁有者

Android 裝置系統管理員和 Android Enterprise 上的 Wi-Fi 設定檔中會移除連線自動設定

在 Android 裝置系統管理員和 Android Enterprise 裝置上,您可以建立 Wi-Fi 配置檔來設定不同的設定 (>> 裝置設定建立>Android 裝置系統管理員Android Enterprise for platform >Wi-Fi,以進行配置檔類型) 。 在此更新中,會移除 Connect 自動 設定,因為它 不受 Android 支援

如果您在 Wi-Fi 設定檔中使用此設定,您可能已注意到 Connect 自動 無法運作。 您不需要採取任何動作,但請注意,此設定已在 Intune 使用者介面中移除。

若要查看目前的設定,請移至 Android Wi-Fi 設定Android Enterprise Wi-Fi 設定

適用於:

  • Android 裝置系統管理員
  • Android Enterprise

受監督 iOS 和 iPadOS 裝置的新裝置組態設定

在 iOS 和 iPadOS 裝置上,您可以建立設定檔來限制裝置上的功能和設定 (>> 裝置組態建立>iOS/iPadOS 以進行設定檔類型) 的平台>裝置限制。 在此更新中,您可以控制新的設定:

  • 在檔案應用程式中存取網路驅動器機
  • 在檔案應用程式中存取 USB 磁碟驅動器
  • Wi-Fi 一律開啟

若要查看這些設定,請移至 iOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • iOS 13.0 和更新版本
  • iPadOS 13.0 及更新版本

裝置註冊

切換為只在 OOBE (全新體驗布建的裝置上顯示註冊狀態頁面)

您現在可以選擇只在 Autopilot OOBE 所布建的裝置上顯示註冊狀態頁面。

若要查看新的切換,請選擇 [Intune>裝置註冊>][Windows 註冊>狀態] 頁面>[建立設定檔>設定>] 僅顯示以全新體驗布建的裝置頁面, (OOBE)

指定使用工作配置檔或裝置系統管理員註冊註冊的 Android 裝置作業系統版本

使用 Intune 裝置類型限制,您可以使用裝置的 OS 版本來指定哪些使用者裝置將使用 Android Enterprise 工作設定檔註冊或 Android 裝置系統管理員註冊。 如需詳細資訊,請 參閱設定註冊限制

裝置管理

Intune 支援 iOS 11 和更新版本

Intune 註冊和 公司入口網站 現在支援 iOS 11 版和更新版本。 不支援舊版。

重新命名 Windows 裝置的新限制

重新命名 Windows 裝置時,您必須遵循新規則:

  • 15 個字元或更少 (必須小於或等於63個字節,不包括尾端的NULL)
  • 非 Null 或空字串
  • 允許的 ASCII:字母 (a-z、A-Z) 、數位 (0-9) ,以及連字元
  • 允許的 Unicode:字元 >= 0x80,必須是有效的 UTF8,必須是 IDN-mappable (也就是 RtlIdnToNameprepUnicode 成功;請參閱 RFC 3492)
  • 名稱不能只包含數位
  • 名稱中沒有空格
  • 不允許的字元: { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)

如需詳細資訊,請參閱 在 Intune 中重新命名裝置

裝置概觀頁面上的新 Android 報告

[裝置概觀] 頁面的新報表會顯示每個裝置管理解決方案中已註冊的 Android 裝置數目。 此圖表顯示工作配置檔、完全受控、專用和裝置系統管理員註冊的裝置計數。 若要查看報告,請選擇 [Intune>裝置>概觀]

裝置安全性

Microsoft Edge 基準 (預覽)

我們已新增 Microsoft Edge 設定的安全性基準預覽。

適用於macOS的 PKCS 憑證

您現在可以 搭配 macOS 使用 PKCS 憑證。 您可以選取 PKCS 憑證作為 macOS 的設定檔類型,並部署具有 自定義主體和主體別名字段的使用者和裝置憑證。

適用於 macOS 的 PKCS 憑證也支援新的設定[ 允許所有應用程式存取]。 透過此設定,您可以讓所有相關聯的應用程式存取憑證的私鑰。 如需此設定的詳細資訊,請參閱位於的 Apple 檔。https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf

使用憑證布建 iOS 行動裝置的衍生認證

Intune 支援使用 衍生認證 作為驗證方法,以及 iOS 裝置的 S/MIME 簽署和加密。 衍生認證是 國家標準與技術局 (NIST) 800-157 標準的實作,用於將憑證部署至裝置。

衍生的認證依賴使用個人身分識別驗證 (PIV) 或通用存取卡 (CAC) 卡,例如智慧卡。 若要取得其行動裝置的衍生認證,用戶會從 公司入口網站 應用程式開始,並遵循您所使用之提供者獨有的註冊工作流程。 所有提供者通用是計算機上使用智慧卡向衍生認證提供者進行驗證的需求。 該提供者接著會將憑證簽發給衍生自用戶智慧卡的裝置。

Intune 支援下列衍生認證提供者:

  • DISA Purebred
  • 委託
  • 說情

您可以使用衍生認證作為 VPN、Wi-Fi 和電子郵件裝置組態設定檔的驗證方法。 您也可以將它們用於應用程式驗證,以及 S/MIME 簽署和加密。

如需標準的詳細資訊,請參閱 www.nccoe.nist.gov的衍生 PIV 認證

使用 圖形 API 將內部部署用戶主體名稱指定為 SCEP 憑證的變數

當您使用 Intune 圖形 API 時,您可以將 onPremisesUserPrincipalName 指定為 SCEP 憑證的主體別名 (SAN) 變數。

'

Microsoft 365 裝置管理

改善 Microsoft 365 裝置管理 中的系統管理體驗

Microsoft 365 裝置管理 專家工作區https://endpoint.microsoft.com現已正式推出重新整理並簡化的系統管理體驗,包括:

  • 更新的導覽:您會發現簡化的第一層流覽會以邏輯方式將功能分組。
  • 新的平台篩選:您可以在 [裝置和應用程式] 頁面上選取單一平臺,只顯示所選平台的原則和應用程式。
  • 新的首頁:在新的首頁上快速查看服務健康情況、租使用者的狀態、新聞等等。 如需這些改善的詳細資訊,請參閱 Enterprise Mobility + Security 網站上的 Microsoft Tech Community Enterprise Mobility + Security 部落格文章。

Microsoft 365 裝置管理 中的端點安全性節點簡介

端點安全性節點現在已在 Microsoft 365 裝置管理 專家工作區https://endpoint.microsoft.com中正式推出,其會將保護端點的功能群組在一起,例如:

  • 安全性基準:預先設定的設定群組,可協助您套用 Microsoft 建議的已知設定群組和預設值。
  • 安全性工作:利用TVM) (端點威脅和弱點管理 Microsoft Defender,並使用Intune來補救端點弱點。
  • 適用於端點的 Microsoft Defender:整合式 適用於端點的 Microsoft Defender,以協助防止安全性缺口。」

這些設定將繼續可從其他適用的節點存取,例如裝置。 無論您在何處存取和啟用這些功能,目前設定的狀態都會相同。

如需這些改善的詳細資訊,請參閱 Microsoft Tech Community 網站上的 Intune 客戶成功部落格文章。

2019 年 9 月

應用程式管理

受控 Google Play 私人 LOB 應用程式

Intune 現在可讓 IT 系統管理員透過內嵌在 Intune 控制台中的 iframe,將私人 Android LOB 應用程式發佈至受控 Google Play。 先前,IT 系統管理員需要將 LOB 應用程式直接發佈至 Google 的 Play 發佈控制台,這需要幾個步驟且耗時。 這項新功能可讓您以最少的步驟輕鬆發佈LOB應用程式,而不需要離開Intune主控台。 系統管理員不再需要手動向Google註冊為開發人員,也不再需要支付Google$25註冊費用。 任何使用受控Google Play的Android Enterprise管理案例都可以利用此功能 (工作配置檔、專用、完全受控和未註冊的裝置) 。 從 Intune 中,選取 [用戶端應用程式應用程式>>新增]。 然後,從 [應用程式類型] 列表中選取 [受控 Google Play]。 如需受控 Google Play 應用程式的詳細資訊,請參閱 使用 Intune 將受控 Google Play 應用程式新增至 Android Enterprise 裝置

Windows 公司入口網站 體驗

正在更新 Windows 公司入口網站。 您可以在 Windows 公司入口網站 內的 [應用程式] 頁面上使用多個篩選。 [裝置詳細數據] 頁面也會以改良的用戶體驗進行更新。 我們正在將這些更新推出給所有客戶,並預期會在下一周結束時完成。

macOS 對 Web 應用程式的支援

Web 應用程式可讓您將快捷方式新增至網頁上的 URL,可以使用 macOS 公司入口網站 安裝到擴充座。 終端使用者可以從 macOS 公司入口網站 中 Web 應用程式的應用程式詳細數據頁面存取 [安裝] 動作。 如需 Web 連結應用程式類型的詳細資訊,請參閱將應用程式新增至 Microsoft Intune將 Web 應用程式新增至 Microsoft Intune

適用於 VPP 應用程式的 macOS 支援

在 Intune 中同步處理 Apple VPP 令牌時,使用 Apple Business Manager 購買的 macOS 應用程式會顯示在控制台中。 您可以使用 Intune 控制台為群組指派、撤銷和重新指派裝置和使用者型授權。 Microsoft Intune 可透過下列方式,協助您管理在公司購買以供使用的 VPP 應用程式:

  • 從應用程式市集報告授權資訊。
  • 追蹤您已使用的授權數目。
  • 協助您防止安裝比貴組織擁有的應用程式複本還多的複本。

如需 Intune 和 VPP 的詳細資訊,請參閱使用 Microsoft Intune 管理大量採購的應用程式和書籍

受控Google Play iframe支援

Intune 現在支援透過受控 Google Play iframe 直接在 Intune 控制台中新增和管理 Web 連結。 此功能可讓 IT 系統管理員提交 URL 和圖示圖形,然後將這些連結部署到裝置,就像一般 Android 應用程式一樣。 任何使用受控Google Play的Android Enterprise管理案例都可以利用此功能 (工作配置檔、專用、完全受控和未註冊的裝置) 。 從 Intune 中,選取 [用戶端應用程式應用程式>>新增]。 然後,從 [應用程式類型] 列表中選取 [受控 Google Play]。 如需受控 Google Play 應用程式的詳細資訊,請參閱 使用 Intune 將受控 Google Play 應用程式新增至 Android Enterprise 裝置

在 Zebra 裝置上以無訊息方式安裝 Android LOB 應用程式

Zebra 裝置上安裝 Android 企業營運 (LOB) 應用程式,而不是提示您下載和安裝 LOB 應用程式時,您可以以無訊息方式安裝應用程式。 在 Intune 中,選取 [用戶端應用程式應用程式>>新增]。 在 [ 選取應用程式類型] 窗格中,選取 [企業營運應用程式]。 如需詳細資訊,請參閱將 Android 企業營運應用程式新增至 Microsoft Intune

目前,下載 LOB 應用程式之後,使用者的裝置上會出現 下載成功 通知。 只有在通知陰影中點選 [ 全部清除 ] 才能關閉通知。 此通知問題將會在即將推出的版本中修正,且安裝將會是無訊息的,且不會顯示任何視覺指標。

Intune 應用程式的讀取和寫入 圖形 API 作業

應用程式可以使用應用程式身分識別來呼叫 Intune 圖形 API,而不需要用戶認證。 如需存取 Microsoft 圖形 API for Intune 的詳細資訊,請參閱在 Microsoft Graph 中使用 Intune

Intune App SDK for iOS 的受保護數據共享和加密

當應用程式保護原則啟用加密時,適用於iOS的 Intune App SDK 將會使用 256 位加密金鑰。 所有應用程式都必須有 SDK 8.1.1 版,才能允許受保護的數據共用。

匯報 Microsoft Intune 應用程式

適用於 Android 的 Microsoft Intune 應用程式已更新,並具有下列改進功能:

  • 已更新並改善版面配置,以包含最重要動作的底端導覽。
  • 已新增另一個顯示使用者配置檔的頁面。
  • 已在應用程式中為使用者新增可採取動作的通知顯示,例如更新其裝置設定的需求。
  • 新增了自定義推播通知的顯示,讓應用程式與iOS和Android公司入口網站 應用程式中最近新增的支援一致。 如需詳細資訊,請 參閱在 Intune 中傳送自定義通知。 ""

針對 iOS 裝置,自定義 公司入口網站 的註冊程序隱私權畫面

使用 Markdown,您可以自定義使用者在 iOS 註冊期間看到的 公司入口網站 隱私權畫面。 具體而言,您可以自定義組織無法在裝置上看到或執行的事項清單。 如需詳細資訊,請參閱如何設定 Intune 公司入口網站 應用程式

裝置設定

支援適用於 iOS 的 IKEv2 VPN 設定檔

在此更新中,您可以使用 IKEv2 通訊協定為 iOS 原生 VPN 用戶端建立 VPN 設定檔。 IKEv2 是針對配置檔類型連線類型建立>>平臺 >VPN 的裝置設定建立>iOS 中的新連線類型>。

這些 VPN 設定檔會設定原生 VPN 用戶端,因此不會安裝或推送任何 VPN 用戶端應用程式至受控裝置。 這項功能需要在 Intune 中註冊裝置 (MDM 註冊) 。

若要查看您可以設定的目前 VPN 設定,請移至在 iOS 裝置上設定 VPN 設定

適用於:

  • iOS

iOS 和 macOS 設定的裝置功能、裝置限制和擴充功能設定檔會依註冊類型顯示

在 Intune 中,您會建立 iOS 和 macOS 裝置的配置檔 (>> 裝置組態建立>iOS 或 macOS,以供平台>裝置功能裝置限制或配置檔類型) 的擴充功能使用。

在此更新中,Intune 系統管理中心的可用設定會依其套用的註冊類型分類:

  • iOS

    • 使用者註冊
    • 裝置註冊
    • 自動化裝置註冊 (受監督)
    • 所有註冊類型
  • macOS

    • 使用者核准
    • 裝置註冊
    • 自動裝置註冊
    • 所有註冊類型

適用於:

  • iOS

在 kiosk 模式中執行之受監督 iOS 裝置的新語音控制設定

在 Intune 中,您可以建立原則,以 kiosk 或專用裝置身分執行受監督的 iOS 裝置 (> 裝置組> 針對設定檔類型 >Kiosk) 的平台>裝置限制建立>iOS

在此更新中,您可以控制新的設定:

  • 語音控制:在 kiosk 模式中啟用裝置上的語音控制。
  • 修改語音控制:允許使用者在 kiosk 模式中變更裝置上的語音控制設定。

若要查看目前的設定,請移至 iOS Kiosk 設定

適用於:

  • iOS 13.0 和更新版本

針對 iOS 和 macOS 裝置上的應用程式和網站使用單一登錄

在此更新中,有一些適用於 iOS 和 macOS 裝置的新單一登入設定, (裝置>>組態建立>iOSmacOS,適用於配置檔類型的平臺>裝置功能) 。

使用這些設定來設定單一登錄體驗,特別是針對使用 Kerberos 驗證的應用程式和網站。 您可以選擇泛型認證單一登錄應用程式延伸模組,以及 Apple 的內建 Kerberos 延伸模組。

若要查看您可以設定的目前裝置功能,請移至 iOS 裝置功能macOS 裝置功能

適用於:

  • iOS 13.' 和更新版本
  • macOS 10.15 和更新版本

將網域與 macOS 10.15+ 裝置上的應用程式建立關聯

在macOS裝置上,您可以設定不同的功能,並使用原則將這些功能推送至您的裝置 (>> 裝置設定建立>適用於配置檔類型之平臺>裝置功能macOS) 。 在此更新中,您可以將網域與您的應用程式建立關聯。 這項功能可協助與應用程式相關的網站共享認證,並可與Apple的單一登錄延伸模組、通用連結和密碼自動填入搭配使用。

若要查看您可以設定的目前功能,請移至 Intune 中的 macOS 裝置功能設定

適用於:

  • macOS 10.15 和更新版本

在 iOS 受監督裝置上顯示或隱藏應用程式時,請在 iTunes App Store URL 中使用 “iTunes” 和 “apps”

在 Intune 中,您可以建立原則來顯示或隱藏受監督 iOS 裝置上的應用程式 (裝置>>設定建立>適用於設定檔類型>之平臺>裝置限制裝置設定顯示或隱藏應用程式) 。

您可以輸入 iTunes App Store URL, 例如 https://itunes.apple.com/us/app/work-folders/id950878067?mt=8。 在此更新中, appsitunes 都可以在 URL 中使用,例如:

  • https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
  • https://apps.apple.com/us/app/work-folders/id950878067?mt=8

如需這些設定的詳細資訊,請 參閱顯示或隱藏應用程式

適用於:

  • iOS

Windows 10 合規性政策密碼類型值更清楚且符合 CSP

在 Windows 10 裝置上,您可以建立需要特定密碼功能的合規性原則, (裝置合規性>>原則建立原則>Windows 10 及更新版本的平台>系統安全性) 。 在此更新中:

如需 Windows 10 合規性設定的詳細資訊,請參閱 Windows 10 和更新版本的設定,將裝置標示為符合規範或不符合規範

適用於:

  • Windows 10 和更新版本

已更新用於設定 Microsoft Exchange 內部部署存取的 UI

我們已更新您設定存 取 Microsoft Exchange 內部部署存取的控制台。 Exchange 內部部署存取的所有設定現在都可在您 啟用 Exchange 內部部署存取控制的控制台相同窗格上使用。

允許或限制將應用程式小工具新增至 Android Enterprise 工作設定檔裝置上的首頁畫面

在 Android Enterprise 裝置上,您可以在工作配置檔中設定功能, (裝置>>設定建立>Android Enterprise for platform >Work 配置檔僅>限配置檔類型) 的裝置限制。 在此更新中,您可以讓使用者將工作配置檔應用程式公開的小工具新增至裝置主畫面。

若要查看您可以設定的設定,請移至 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

適用於:

  • Android Enterprise 工作配置檔

裝置註冊

新的租用戶預設會離開 Android 裝置系統管理員管理

Android Enterprise 已取代 Android 的裝置系統管理員功能。 因此,建議您改用Android Enterprise進行新的註冊。 在未來的更新中,新的租用戶必須完成Android註冊中的下列必要步驟,才能使用裝置系統管理員管理:移至Intune>裝置註冊>Android註冊>個人和具有裝置管理權>限的公司擁有裝置使用裝置系統管理員來管理裝置

現有的租使用者在其環境中不會有任何變更。

如需 Intune 中 Android 裝置系統管理員的詳細資訊,請參閱 Android 裝置系統管理員註冊

與配置檔相關聯的 DEP 裝置清單

您現在可以看到 Apple 自動化裝置註冊計劃的分頁清單, (與配置檔相關聯的 DEP) 裝置。 您可以從清單中的任何頁面搜尋清單。 若要查看清單,請移至 [Intune>裝置註冊>][Apple 註冊][註冊>計劃令牌>] 選擇令牌 >[配置檔>],選擇 [監視) ] 底下的 [指派的裝置 (配置檔>]。

預覽版中的 iOS 用戶註冊

Apple 的 iOS 13.1 版本包含用戶註冊,這是 iOS 裝置的輕量型管理新形式。 它可以用來取代個人擁有裝置的裝置註冊或自動化裝置註冊 (先前的裝置註冊計劃) 。 Intune 的預覽版支援此功能集,方法是讓您:

  • 以使用者群組為目標的用戶註冊。
  • 讓終端用戶能夠在註冊裝置時,於較輕的用戶註冊或更強的裝置註冊之間進行選取。

從 2019 年 9 月 24 日 iOS 13.1 版開始,我們正在向所有客戶推出這些更新,並預期會在下一周結束時完成。

適用於:

  • iOS 13.1 和更新版本

裝置管理

更多 Android 完全受控支援

我們已新增下列對 Android 完全受控裝置的支援:

  • 完全受控 Android 的 SCEP 憑證可在以裝置擁有者身分管理的裝置上進行憑證驗證。 工作配置檔裝置上已支援SCEP憑證。 使用裝置擁有者的 SCEP 憑證,您可以:
    • 在 Android Enterprise 的 DO 區段下建立 SCEP 配置檔
    • 將 SCEP 憑證連結至 DO Wi-Fi 設定檔以進行驗證
    • 將 SCEP 憑證連結至 DO VPN 設定檔以進行驗證
    • 將 SCEP 憑證連結至 DO Email 設定檔,以透過 AppConfig (進行驗證)
  • Android Enterprise 裝置上支援系統應用程式。 在 Intune 中,選取 [用戶端應用程式>>應用程式新增],以新增 Android Enterprise 系統應用程式。 在 [ 應用程式類型 ] 列表中,選取 [Android Enterprise 系統應用程式]。 如需詳細資訊,請參閱將Android Enterprise系統應用程式新增至 Microsoft Intune
  • [裝置合規性>Android Enterprise>裝置擁有者] 中,您可以建立合規性政策來設定 Google SafetyNet 證明層級。
  • 在 Android Enterprise 完全受控裝置上,支援行動威脅防禦提供者。 在 [裝置合規性>Android Enterprise>裝置擁有者] 中,您可以選擇可接受的威脅層級。 使用 Intune 將裝置標示為符合規範或不符合規範的 Android Enterprise 設定 會列出目前的設定。
  • 在 Android Enterprise 完全受控裝置上,現在可以透過應用程式設定原則來設定 Microsoft Launcher 應用程式,以允許完全受控裝置上的標準化用戶體驗。 Microsoft Launcher 應用程式可用來個人化您的 Android 裝置。 使用應用程式以及 Microsoft 帳戶或公司/學校帳戶,您可以在個人化摘要中存取行事曆、檔和最近的活動。

透過此更新,Android Enterprise 完全受控的 Intune 支援現已正式推出。

適用於:

  • Android Enterprise 完全受控裝置

將自定義通知傳送至單一裝置

您現在可以選取單一裝置,然後使用遠端裝置動作將 自定義通知傳送至該裝置

抹除和密碼重設動作不適用於使用用戶註冊註冊的 iOS 裝置

用戶註冊是新類型的Apple裝置註冊。 當您使用使用者註冊註冊裝置時,這類裝置將無法使用抹除和密碼重設遠端動作。

iOS 13 和 macOS Catalina 裝置的 Intune 支援

Intune 現在支援管理 iOS 13 和 macOS Catalina 裝置。 如需詳細資訊,請參閱 iOS 13 和 iPadOS Microsoft Intune 支援部落格文章

iPadOS 和 iOS 13.1 裝置的 Intune 支援

Intune 現在支援管理 iPadOS 和 iOS 13.1 裝置。 如需詳細資訊,請參閱 此部落格文章

裝置安全性

用戶端驅動修復密碼輪替的 BitLocker 支援

使用 Intune Endpoint Protection 設定,在執行 Windows 1909 版或更新版本的裝置上設定 BitLocker 的用戶端驅動修復密碼輪替

此設定會在操作系統磁碟驅動器復原 (之後,使用 bootmgr 或 WinRE) 和修復固定數據磁碟驅動器上的密碼解除鎖定,以起始用戶端驅動的修復密碼重新整理。 此設定會重新整理所使用的特定修復密碼,磁碟區上其他未使用的密碼則維持不變。 如需詳細資訊,請參閱 ConfigureRecoveryPasswordRotation 的 BitLocker CSP 檔。

Windows Defender 防病毒軟體的竄改保護

使用 Intune 管理 Windows Defender 防病毒軟體的竄改保護。 當您使用裝置組態配置檔進行 Windows 10 端點保護時,您會在 Microsoft Defender 資訊安全中心 群組中找到竄改保護的設定。 您可以將 [竄改保護] 設定為 [ 已啟用 ] 以開啟 [調整保護] 限制 、將 [ 停用] 設定為關閉它們,或設定 [ 設定] 以保留裝置目前的設定。

如需竄改保護的詳細資訊,請參閱 Windows 檔中的 防止安全性設定變更與竄改保護

Windows Defender 防火牆的進階設定現已正式推出

您在裝置組態配置檔中設定的端點保護 Windows Defender 自定義防火牆規則已不公開預覽, (GA) 正式推出。 您可以使用這些規則來指定應用程式、網路位址和埠的輸入和輸出行為。 這些規則已於 7 月發行為公開預覽。

監視及疑難排解

Intune 使用者介面更新 – 租用戶狀態儀錶板

租用戶狀態儀錶板的使用者介面已更新為與 Azure 使用者介面樣式一致。 如需詳細資訊,請參閱 租用戶狀態

角色型存取控制

範圍卷標現在支援使用規定原則

您現在可以將 範圍標籤 指派給使用規定原則。 若要這樣做,請移至 [Intune>裝置註冊>條款及條件]>選擇清單>>中的專案屬性範圍標籤>選擇範圍標籤。

2019 年 8 月

應用程式管理

在裝置取消註冊時控制 iOS 應用程式卸載行為

當裝置在使用者或裝置群組層級取消註冊時,系統管理員可以管理是否要在裝置上移除或保留應用程式。

將商務用 Microsoft Store 應用程式分類

您可以將 商務用 Microsoft Store 應用程式分類。 若要這樣做,請選擇 [Intune>用戶端應用程式]>[應用程式>][選取 商務用 Microsoft Store 應用程式應用程式>資訊類別目錄]>。 在下拉功能表上,指派類別。

Microsoft Intune 應用程式使用者的自定義通知

適用於 Android 的 Microsoft Intune 應用程式現在支援顯示自訂推播通知,使其與 iOS 和 Android 公司入口網站 應用程式中最近新增的支援一致。 如需詳細資訊,請 參閱在 Intune 中傳送自定義通知

裝置設定

使用適用於 Windows 10 和更新版本的系統管理範本來設定 Microsoft Edge 設定

在 Windows 10 和更新的裝置上,您可以建立系統管理範本,以在 Intune 中設定組策略設定。 在此更新中,您可以設定適用於 Microsoft Edge 77 版和更新版本的設定。

若要深入了解系統管理範本,請參閱使用 Windows 10 範本在 Intune 中設定組策略設定

適用於:

  • Windows 10 和更新 (Windows RS4+)

多應用程式模式中 Android Enterprise 專用裝置的新功能

在 Intune 中,您可以在 Android Enterprise 專用裝置上以 kiosk 樣式體驗控制功能和設定, (裝置>組>僅針對平臺>裝置擁有者建立>Android Enterprise、配置檔類型的裝置限制) 。

在此更新中,會新增下列功能:

  • 專用裝置>多應用程式:您可以在裝置上撥動或浮動在螢幕上顯示 [虛擬首頁] 按鈕 ,讓使用者可以移動它。
  • 專用裝置>多應用程式手電筒筒存取 可讓使用者使用手電筒筒筒。
  • 專用裝置>多應用程式媒體磁碟區控制 可讓使用者使用滑桿控制裝置的媒體磁碟區。
  • 專用裝置>多應用程式啟用螢幕保護、上傳自定義影像,以及控制螢幕保護顯示時間。

若要查看目前的設定,請移至 Android Enterprise 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • Android Enterprise 專用裝置

適用於Android Enterprise 完全受控裝置的新應用程式和組態配置檔

您可以使用設定檔來設定設定,將 VPN、電子郵件和 Wi-Fi 設定套用至 Android Enterprise 裝置擁有者, (完全受控的) 裝置。 在此更新中,您可以:

重要事項

使用這項功能時,使用者會使用其使用者名稱和密碼進行驗證,以取得 VPN、Wi-Fi 和電子郵件設置檔。 目前無法使用憑證式驗證。

適用於:

  • Android Enterprise 裝置擁有者 (完全受控)

控制使用者登入 macOS 裝置時開啟的應用程式、檔案、檔案和資料夾

您可以在macOS裝置上啟用和設定功能, (裝置>>設定建立>適用於配置檔類型) 平台>裝置功能macOS

在此更新中,有新的 [登入專案] 設定,可控制使用者登入已註冊裝置時所開啟的應用程式、檔案、檔和資料夾。

若要查看目前的設定,請移至 Intune 中的 macOS 裝置功能設定

適用於:

  • macOS

期限取代 Windows Update 信道的已預約重新啟動設定

為了配合最近的 Windows 服務變更,Intune 的 Windows 10 更新通道現在支援期限的設定期限決定 裝置安裝功能和安全性更新的時機。 在執行 Windows 10 1903 或更新版本的裝置上,期限會取代進行重新啟動的設定。 在未來,期限也會取代舊版 Windows 10 的重新啟動

當您未設定 期限時,裝置會繼續使用其 參與的重新啟動 設定,不過 Intune 在未來的更新中將會淘汰參與重新啟動設定的支援。

規劃為所有 Windows 10 裝置使用期限。 設定 期限 之後,您可以將已 啟用重新啟動 的 Intune 設定變更為 [未設定]。 當設定為 [未設定] 時,Intune 會停止在裝置上管理這些設定,但不會從裝置移除設定的最後一個設定。 因此,在 Intune 以外的方法修改這些設定之前,最後設定的重新 啟動 會保持作用中,並在裝置上使用。 稍後,當裝置版本的 Windows 變更,或當 Intune 對 期限 的支持擴充到裝置 Windows 版本時,裝置將會開始使用已就緒的新設定。

支援多個 Microsoft Intune 憑證連接器

Intune 現在支援針對 PKCS 作業安裝和使用多個 Microsoft Intune 憑證連接器。 這項變更支持連接器的負載平衡和高可用性。 每個連接器實例都可以處理來自Intune的憑證要求。 如果一個連接器無法使用,其他連接器會繼續處理要求。

若要使用多個連接器,您不需要升級至最新版的連接器軟體。

新的設定,以及現有設定的變更,以限制 iOS 和 macOS 裝置上的功能

您可以建立配置檔,以限制在執行 iOS 和 macOS 的裝置上設定 (裝置>>設定 針對平台類型>建立>iOSmacOS裝置限制) 。 此更新包含下列功能:

  • macOS>裝置限制>雲端和記憶體上,使用新的 遞交 設定來封鎖使用者在一部macOS裝置上啟動工作,並繼續在另一個macOS或iOS裝置上工作。

    若要查看目前的設定,請移至 macOS裝置設定,以允許或限制使用Intune的功能

  • iOS>裝置限制上,有一些變更:

    • 內建應用程式>只) 找到受監督的 iPhone (:在 [尋找我的應用程式] 功能中封鎖此功能的新設定。
    • 內建應用程式>只) (尋找朋友:在 [尋找我的應用程式] 功能中封鎖此功能的新設定。 ​
    • 無線>修改 Wi-Fi 狀態 (僅限受監督) :可防止使用者開啟或關閉裝置上 Wi-Fi 的新設定。
    • 鍵盤和字典>QuickPath (僅受監督) :封鎖 QuickPath 功能的新設定。
    • 雲端和記憶體活動接續 已重新命名為 Handoff

    若要查看目前的設定,請移至 iOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • macOS 10.15 和更新版本
  • iOS 13 和更新版本

某些不受監督的 iOS 裝置限制會在 iOS 13.0 版本中變成僅限受監督

在此更新中,某些設定適用於iOS 13.0版的僅限受監督裝置。 如果在 iOS 13.0 發行之前,這些設定已設定並指派給未受監督的裝置,這些設定仍會套用至那些不受監督的裝置。 在裝置升級至 iOS 13.0 之後,它們仍然適用。 這些限制會在已備份和還原的不受監督裝置上移除。

這些設定包含:

  • App Store、文件檢視、遊戲
    • App Store
    • 明確的 iTunes、音樂、播客或新聞內容
    • 新增遊戲中心朋友
    • 多人遊戲
  • 內建應用程式
    • 相機
      • FaceTime
    • Safari
      • 自動填寫
  • 雲端和記憶體
    • 備份至 iCloud
    • 封鎖 iCloud 檔案同步
    • 封鎖 iCloud Keychain 同步處理

若要查看目前的設定,請移至 iOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:

  • iOS 13.0 和更新版本

改善 macOS FileVault 加密的裝置狀態

我們已針對macOS裝置上的FileVault加密更新數個 裝置狀態消息

報表中的某些 Windows Defender 防病毒軟體掃描設定會顯示 [失敗] 狀態

在 Intune 中,您可以建立原則,以使用 Windows Defender 防病毒軟體來掃描 Windows 10 裝置 (>> 裝置組態建立>Windows 10 及更新版本,以取得配置檔類型 > Windows Defender 防病毒軟體的平臺>裝置限制) 。 [執行每日快速掃描的時間] 和 [執行報告的系統掃描類型] 會在實際處於成功狀態時顯示失敗狀態。

在此更新中,已修正此行為。 因此,[ 執行每日快速掃描的時間 ] 和 [ 執行設定的系統掃描類型 ] 會在掃描成功完成時顯示成功狀態,並在設定無法套用時顯示失敗狀態。

如需 Windows Defender 防病毒軟體設定的詳細資訊,請參閱 Windows 10 (和更新) 裝置設定,以允許或限制使用 Intune 的功能

Zebra Technologies 是 Android Enterprise 裝置上 OEMConfig 支援的 OEM

在 Intune 中,您可以建立裝置組態配置檔,並使用 OEMConfig 將設定套用至 Android Enterprise 裝置 (>> 裝置設定建立>適用於配置檔類型之平臺 >OEMConfigAndroid 企業) 。

在此更新中,Zebra Technologies 是 OEMConfig (OEM) 支援的原始設備製造商。 如需 OEMConfig 的詳細資訊,請 參閱搭配 OEMConfig 使用和管理 Android Enterprise 裝置

適用於:

  • Android 企業

裝置註冊

默認範圍標籤

現在可以使用新的內建預設範圍標籤。 所有支援範圍標籤的未標記 Intune 物件都會自動指派給預設範圍標籤。 默認範圍標籤會新增至所有現有的角色指派,以維持與現今系統管理員體驗的同位。 如果您不想讓系統管理員看到具有預設範圍卷標的 Intune 物件,請從角色指派中移除預設範圍標籤。 這項功能類似於 Configuration Manager 中的安全性範圍功能。 如需詳細資訊,請 參閱針對分散式IT使用 RBAC 和範圍標籤

Android 註冊裝置系統管理員支援

Android 裝置系統管理員註冊選項已新增至 Android 註冊頁面, (Intune>裝置註冊>Android 註冊) 。 所有租用戶預設仍會啟用 Android 裝置系統管理員。 如需詳細資訊,請參閱 Android 裝置系統管理員註冊

在設定助理中略過更多畫面

您可以設定裝置註冊計劃設定檔,以略過下列設定助理畫面:

  • 針對 iOS
    • 外觀
    • 快速語言
    • 慣用語言
    • 裝置到裝置移轉
  • 針對macOS
    • 螢幕時間
    • 觸控標識碼設定

如需設定助理自定義的詳細資訊,請 參閱建立 iOS 的 Apple 註冊設定檔 建立 macOS 的 Apple 註冊設定檔

將用戶數據行新增至 Autopilot 裝置 CSV 上傳程式

您現在可以將用戶數據行新增至 Autopilot 裝置的 CSV 上傳。 此功能可讓您在匯入 CSV 時大量指派使用者。 如需詳細資訊,請 參閱使用 Windows Autopilot 在 Intune 中註冊 Windows 裝置

裝置管理

將自動裝置清除時間限制設定為30天

您可以將自動裝置清理時間限制設定為最短 30 天 (,而不是上一次登入後) 90 天的限制。 若要這樣做,請移至 Intune>裝置>設定>裝置清除規則

Android 裝置硬體頁面上包含的組建編號

每個 Android 裝置的 [硬體] 頁面上有一個新專案,其中包含裝置的操作系統組建編號。 如需詳細資訊,請 參閱在 Intune 中檢視裝置詳細數據

2019 年 7 月

應用程式管理

使用者和群組的自定義通知

將自定義推播通知從 公司入口網站 應用程式傳送給您使用 Intune 管理之 iOS 和 Android 裝置上的使用者。 這些行動推播通知可透過免費文字高度自定義,而且可用於任何用途。 您可以將其目標設為組織中的不同使用者群組。 如需詳細資訊,請參閱 自定義通知

Google 的裝置原則控制器應用程式

受控主畫面 應用程式現在可讓您存取 Google 的 Android 裝置原則應用程式。 受控主畫面 應用程式是自定義啟動器,用於在 Intune 中註冊為 Android Enterprise (AE 的裝置,) 使用多應用程式 kiosk 模式的專用裝置。 您可以存取 Android 裝置原則應用程式,或將使用者引導至 Android 裝置原則應用程式,以供支援和偵錯之用。 此啟動功能可在裝置註冊並鎖定至 受控主畫面 時使用。 不需要其他安裝即可使用這項功能。

iOS 和 Android 裝置的 Outlook 保護設定

您現在可以使用簡單的 Intune 系統管理控制項來設定適用於 iOS 和 Android 版 Outlook 的一般應用程式和數據保護組態設定,而不需要裝置註冊。 一般應用程式組態設定提供與系統管理員在已註冊裝置上管理 iOS 和 Android 版 Outlook 時可啟用的設定同位。 如需 Outlook 設定的詳細資訊,請 參閱部署 iOS 版 Outlook 和 Android 應用程式組態設定

受控主畫面 和 Managed 設定圖示

受控主畫面 應用程式圖示和受控設定圖示已更新。 受控主畫面 應用程式僅供在 Intune 中註冊為 Android Enterprise (AE 的裝置使用,) 專用裝置,並在多應用程式 kiosk 模式中執行。 如需 受控主畫面 應用程式的詳細資訊,請參閱設定適用於Android Enterprise的 Microsoft 受控主畫面 應用程式

Android Enterprise 專用裝置上的 Android 裝置原則

您可以從 受控主畫面 應用程式的偵錯畫面存取 Android 裝置原則應用程式。 受控主畫面 應用程式僅供在 Intune 中註冊為 Android Enterprise (AE 的裝置使用,) 專用裝置,並在多應用程式 kiosk 模式中執行。 如需詳細資訊,請參閱設定適用於Android Enterprise的 Microsoft 受控主畫面 應用程式

iOS 公司入口網站 更新

您在 iOS 應用程式管理提示上的公司名稱將會取代目前的「i.manage.microsoft.com」文字。 例如,當使用者嘗試從 公司入口網站 安裝 iOS 應用程式,或使用者允許管理應用程式時,使用者會看到其公司名稱,而不是「i.manage.microsoft.com」。 此功能將在未來幾天推出給所有客戶。

在Android Enterprise裝置上 Microsoft Entra ID和APP

將完全受控的 Android Enterprise 裝置上線時,用戶現在會在新的或原廠重設裝置的初始設定期間向 Microsoft Entra ID 註冊。 針對完全受控裝置,在安裝完成之後,用戶必須手動啟動 Microsoft Intune 應用程式,才能開始 Microsoft Entra 註冊。 現在,當使用者在初始設定之後登陸裝置首頁時,裝置會同時註冊並註冊。

除了 Microsoft Entra ID 更新之外,完全受控的 Android Enterprise 裝置現在也支援應用程式) (Intune 應用程式保護原則。 當我們推出這項功能時,這項功能將會變成可用。如需詳細資訊,請 參閱使用 Intune 將受控 Google Play 應用程式新增至 Android Enterprise 裝置

裝置設定

建立 Windows 10 裝置組態配置檔時,請使用「適用性規則」

您可以 (裝置組態建立 Windows 10>>> 建立 Windows 10 裝置組態配置檔以) 平臺>適用性規則。 在此更新中,您可以建立 適用性規則 ,讓配置檔僅適用於特定版本或特定版本。 例如,您會建立可啟用一些 BitLocker 設定的設定檔。 新增配置檔之後,請使用適用性規則,讓配置檔只適用於執行 Windows 10 企業版的裝置。

若要新增適用性規則,請參閱 適用性規則

適用於:Windows 10 及更新版本

使用令牌在 iOS 和 macOS 裝置的自訂設定檔中新增裝置特定資訊

您可以在 iOS 和 macOS 裝置上使用自訂設定檔,來設定未內建於 Intune 的設定和功能 (裝置>>組態建立>iOSmacOS,以供平臺>自定義配置檔類型) 。 在此更新中,您可以將令牌新增至檔案 .mobileconfig ,以新增裝置特定資訊。 例如,您可以將 新 Serial Number: {{serialnumber}} 增至組態檔,以顯示裝置的序號。

若要建立自定義配置檔,請參閱 iOS 自定義設定macOS 自定義設定

適用於:

  • iOS
  • macOS

建立 Android Enterprise 的 OEMConfig 設定檔時的新設定設計工具

在 Intune 中,您可以建立使用 OEMConfig 應用程式的裝置組態設定檔 (裝置>組態設定檔>建立適用於設定檔類型之平臺 > OEMConfig 的設定>檔 Android 企業) 。 當您建立配置檔時,JSON 編輯器隨即開啟,其中包含要變更的範本和值。

此更新包含具有改良用戶體驗的設定 Designer,可顯示內嵌在應用程式中的詳細數據,包括標題、描述等等。 JSON 編輯器仍可供使用,並顯示您在組態 Designer 中所做的任何變更。

若要查看目前的設定,請移至 使用及管理具有 OEMConfig 的 Android Enterprise 裝置

適用於:Android Enterprise

已更新用於設定 Windows Hello的UI

我們已更新您將 Intune 設定為使用 Windows Hello 企業版 的控制台。 所有組態設定現在都可在您啟用 Windows Hello 支援的控制台相同窗格上使用。

Intune PowerShell SDK

透過 Microsoft Graph 提供 Intune API 支援的 Intune PowerShell SDK 已更新為 6.1907.1.0 版。

SDK 現在支援:

  • 使用 Azure 自動化。
  • 支援僅限應用程式的驗證讀取作業。
  • 支援以易記的簡短名稱作為別名。
  • 符合 PowerShell 命名慣例。 具體而言, PSCredential Cmdlet) 上的 Connect-MSGraph 參數 (已重新命名為 Credential
  • 支援在使用 Cmdlet 時手動指定標頭的Invoke-MSGraphRequestContent-Type

如需詳細資訊,請參閱適用於 Microsoft Intune 圖形 API 的 PowerShell SDK

管理 macOS 的 FileVault

您可以使用 Intune 來 管理 macOS 裝置的 FileVault 金鑰加密。 若要加密裝置,您可以使用 Endpoint Protection 裝置組態配置檔。

FileVault 的支援包括:

  • 加密未加密的裝置
  • 裝置個人修復金鑰的委付
  • 個人加密金鑰的自動或手動輪替
  • 公司裝置的金鑰擷取

終端使用者也可以使用 公司入口網站 網站來取得其加密裝置的個人修復密鑰。

我們也擴充了加密報告,以包含 BitLocker 的 FileVault 相關信息 ,因此您可以在單一位置檢視所有裝置加密詳細數據。

Windows 10 系統管理範本中的新 Office、Windows 和 OneDrive 設定

您可以在 Intune 中建立模擬內部部署組策略管理的系統管理範本 (>> 裝置組態建立>Windows 10 及更新版本,以供配置檔類型) 的平台>系統管理範本使用。

此更新包含您可以新增至範本的更多 Office、Windows 和 OneDrive 設定。 透過這些新設定,您現在可以設定超過 2500 個 100% 雲端式設定。

若要深入瞭解這項功能,請參閱使用 Windows 10 範本在 Intune 中設定組策略設定

適用於:Windows 10 及更新版本

裝置註冊

註冊限制的 匯報

已更新新租用戶的註冊限制,因此默認允許Android Enterprise工作配置檔。 現有的租使用者不會有任何變更。 若要使用 Android Enterprise 工作設定檔,您仍然需要將 Intune 帳戶連線到受控 Google Play 帳戶

Apple 註冊和註冊限制的 UI 更新

下列兩個程式都使用精靈樣式的使用者介面:

處理 Android Q 裝置的公司裝置識別碼預先設定

在 Android Q (v10) 中,Google 會移除舊版受控 (裝置系統管理員) Android 裝置上 MDM 代理程式收集裝置識別符資訊的能力。 系統管理員可以 預先設定裝置序號或 IMEI 的清單 ,以自動將這些裝置標記為公司擁有的裝置。 此功能不適用於由裝置系統管理員管理的 Android Q 裝置。 不論裝置的序號或 IMEI 是上傳的,在 Intune 註冊期間一律會將其視為個人。 註冊之後,您可以手動將擁有權切換至公司。 此行為只會影響新的註冊,而且現有的已註冊裝置不會受到影響。 這項變更不會影響使用工作配置檔管理的 Android 裝置,而且它們會像今天一樣繼續運作。 此外,註冊為裝置系統管理員的 Android Q 裝置將無法再將 Intune 控制台中的序號或 IMEI 報告為裝置屬性。

Android Enterprise 註冊 (工作配置檔、專用裝置和完全受控裝置的圖示已變更)

Android Enterprise 註冊配置檔的圖示已變更。 若要查看新的圖示,請移至 [註冊配置檔] 底下的 [Intune>註冊>Android 註冊>]。

Windows 診斷數據收集變更

執行 Windows 10 1903 版和更新版本之裝置的診斷數據收集預設值已變更。 從 Windows 10 1903 開始,預設會啟用診斷數據收集。 Windows 診斷數據是來自 Windows 裝置的重要技術數據,與裝置以及 Windows 和相關軟體的執行方式有關。 如需詳細資訊, 請參閱在組織中設定 Windows 診斷數據。 除非使用 System/AllowTelemetry 在 Autopilot 配置檔中設定,否則 Autopilot 裝置也會加入加入「完整」遙測。

Windows Autopilot 重設會移除裝置的主要使用者

在裝置上使用 Autopilot 重設時,將會移除裝置的主要使用者。 在重設之後登入的下一個使用者將會設定為主要使用者。 此功能將在未來幾天推出給所有客戶。

裝置管理

改善裝置位置

您可以使用 [ 尋找 裝置] 動作來放大裝置的確切座標。 如需尋找遺失 iOS 裝置的詳細資訊,請 參閱尋找遺失的 iOS 裝置

裝置安全性

Windows Defender 防火牆 (公開預覽) 的進階設定

使用 Intune 管理自定義防火牆規則,作為裝置組態配置檔的一部分,以在 Windows 10 上進行端點保護。 規則可以指定應用程式、網路位址和埠的輸入和輸出行為。

已更新用於管理安全性基準的UI

我們已在 Intune 控制台中更新安全性基準的 建立和編輯體驗 。 變更包括:

已壓縮成單一刀鋒視窗的較簡單精靈樣式格式。 在一個刀鋒視窗內。 這項新設計會消失刀鋒視窗擴充,而需要IT專業人員向下鑽研到數個不同的窗格。
您現在可以建立指派作為建立和編輯體驗的一部分,而不必稍後再傳回 來指派基準。 我們已新增您可以在建立新基準之前以及編輯現有基準時可檢視的設定摘要。 編輯時,摘要只會顯示要編輯的一個屬性類別內所設定的項目清單。

2019 年 6 月

應用程式管理

Intune 應用程式保護原則 (Android 和 iOS 裝置上的 APP) 現在可讓您將組織網頁連結傳輸到 Intune Managed Browser 或 Microsoft Edge 以外的特定瀏覽器。 如需APP的詳細資訊,請 參閱什麼是應用程式保護原則?

所有應用程式頁面都會識別在線/離線 商務用 Microsoft Store 應用程式

[所有應用程式] 頁面現在包含標籤,可將 MSFB 商務用 Microsoft Store () 應用程式識別為在線或離線應用程式。 每個 MSFB 應用程式現在都包含 OnlineOffline 的後綴。 應用程式詳細數據頁面也包含 [授權類型 ] 和 [ 支援裝置內容安裝 (離線授權應用程式僅) 資訊。

在 Windows 共用裝置上 公司入口網站 應用程式

用戶現在可以在 Windows 共用裝置上存取 公司入口網站 應用程式。 終端使用者會在裝置磚上看到 共享 標籤。 這項功能適用於 Windows 公司入口網站 app 10.3.45609.0 版和更新版本。

從新的 公司入口網站 網頁檢視所有已安裝的應用程式

公司入口網站 網站的新 [已安裝的應用程式] 頁面會列出所有受控應用程式, (使用者裝置上安裝的必要和可用) 。 除了指派類型之外,使用者還可以看到應用程式的發行者、發行日期和目前的安裝狀態。 如果您尚未將任何應用程式設為必要或可供使用者使用,他們會看到一則訊息,說明尚未安裝任何公司應用程式。 若要查看網頁上的新頁面,請移至 公司入口網站 網站,然後選取 [已安裝的應用程式]

新檢視可讓應用程式使用者查看裝置上安裝的所有Managed應用程式

適用於 Windows 的 公司入口網站 應用程式現在會列出所有受控應用程式, (使用者裝置上安裝的必要和可用) 。 使用者也可以看到已嘗試和擱置的應用程式安裝,以及其目前的狀態。 如果您尚未將應用程式設為必要或可供使用者使用,他們會看到一則訊息,說明尚未安裝任何公司應用程式。 若要查看新檢視,請移至 [公司入口網站] 瀏覽窗格,然後選取 [應用程式已安裝的應用程式>]。

Microsoft Intune 應用程式中的新功能

我們已將新功能新增至適用於 Android 的 Microsoft Intune 應用程式 (預覽) 。 完全受控 Android 裝置上的用戶現在可以:

  • 檢視和管理他們已透過 Intune 公司入口網站 或 Microsoft Intune 應用程式註冊的裝置。
  • 請連絡其組織以取得支援。
  • 將其意見反應傳送給 Microsoft。
  • 檢視其組織所設定的條款及條件。

顯示 GitHub 上可用 Intune SDK 整合的新範例應用程式

msintuneappsdk GitHub 帳戶已新增 iOS (Swift) 、Android、Xamarin.iOS、Xamarin Forms 和 Xamarin.Android 的新範例應用程式。 這些應用程式旨在補充我們現有的檔,並提供如何將 Intune APP SDK 整合到您自己的行動應用程式的示範。 如果您是需要更多 Intune SDK 指引的應用程式開發人員,請參閱下列連結範例:

  • Chatr - 原生 iOS (Swift) 立即訊息應用程式,使用 Azure Active Directory 驗證連結庫 (ADAL) 進行代理驗證。
  • 任務器 - 使用 ADAL 進行代理驗證的原生 Android 待辦事項清單應用程式。
  • Taskr - 使用 ADAL 進行代理驗證的 Xamarin.Android 待辦事項清單應用程式,此存放庫也有 Xamarin.Forms 應用程式。
  • Xamarin.iOS 範例應用程式 - 裸機 Xamarin.iOS 範例應用程式。

裝置設定

在macOS裝置上設定核心延伸模組的設定

在macOS裝置上,您可以建立裝置組態配置檔 (裝置>>設定建立>選擇macOS作為平臺) 。 此更新包含一組新的設定,可讓您在裝置上設定及使用核心延伸模組。 您可以新增特定延伸模組,或允許來自特定合作夥伴或開發人員的所有延伸模組。

若要深入瞭解這項功能,請參閱 核心延伸模組概觀核心延伸模塊設定

適用於:macOS 10.13.2 和更新版本

僅適用於 Windows 10 裝置的市集設定中的應用程式包含更多設定選項

當您建立 Windows 裝置的裝置限制設定檔時,您可以使用僅限市集的應用程式設定,讓使用者只能安裝 Windows App Store (裝置>>組態建立>的應用程式 Windows 10 及更新版本的平台>裝置限制配置檔類型) 。 在此更新中,此設定會擴充以支援更多選項。

若要查看新的設定,請移至 Windows 10 (和更新) 裝置設定以允許或限制功能

適用於:Windows 10 及更新版本

將多個 Zebra 行動擴充功能裝置配置檔部署到裝置、相同的使用者群組或相同的裝置群組

在 Intune 中,您可以使用裝置組態配置檔中 MX (MX) 的 Zebra 行動擴充功能,來自定義未內建於 Intune 之 Zebra 裝置的設定。 目前,您可以將一個配置檔部署到單一裝置。 在此更新中,您可以將多個設定檔部署到:

  • 相同的使用者群組
  • 相同的裝置群組
  • 單一裝置

在 Microsoft Intune 中使用和管理 Zebra 行動擴充功能的 Zebra 裝置會示範如何在 Intune 中使用 MX。

適用於:Android

iOS 裝置上的某些 kiosk 設定是使用 「封鎖」來設定,並取代「允許」

當您在 iOS 裝置上建立裝置限制設定檔時, (>> 裝置設定建立>適用於平臺>的 iOS 配置檔類型 >Kiosk) 的裝置限制時,您會設定 [自動鎖定]、[響鈴開關]、[螢幕旋轉]、[螢幕睡眠] 按鈕和 [磁碟區] 按鈕

在此更新中,這些值為 [封鎖 (封鎖功能) ],而 [ 設定] (允許功能) 。 若要查看設定,請移至 iOS 裝置設定以允許或限制功能

適用於:iOS

在 iOS 裝置上使用臉部標識碼進行密碼驗證

當您建立 iOS 裝置的裝置限制設定檔時,您可以使用指紋作為密碼。 在此更新中,指紋密碼設定也允許臉部辨識 (裝置>組>建立>iOS的平臺>裝置限制配置檔類型>密碼) 。 因此,下列設定已變更:

  • 指紋解除鎖定 現在是 觸控標識碼和臉部標識碼解除鎖定
  • 指紋修改 (僅限受監督) 現在 只有受監督 (受監督的觸控標識碼和臉部標識碼修改)

iOS 11.0 和更新版本中提供臉部標識碼。 若要查看設定,請移至 iOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:iOS

限制 iOS 裝置上的遊戲和應用程式市集功能現在取決於評等區域

在 iOS 裝置上,您可以允許或限制與遊戲、應用程式市集和檢視檔相關的功能, (裝置>組>建立>iOS 的平臺>裝置限制配置檔類型 >App Store、文件檢視、遊戲) 。 您也可以選擇 [評等] 區域,例如 美國。

在此更新中, 應用程式 功能會移至分 級區域的子系,且相依於 分級區域。 若要查看設定,請移至 iOS 裝置設定,以允許或限制使用 Intune 的功能

適用於:iOS

裝置註冊

Microsoft Entra 混合式加入的 Windows Autopilot 支援

除了現有的 Microsoft Entra 聯結支援) 之外,適用現有裝置的 Windows Autopilot 現在還支援 Microsoft Entra 混合式聯結 (。 適用於 Windows 10 1809 版和更新版本的裝置。 如需詳細資訊,請參閱 適用現有裝置的 Windows Autopilot

裝置管理

請參閱 Android 裝置的安全性修補程式層級

您現在可以看到 Android 裝置的安全性修補程式層級。 若要這樣做,請選擇 [Intune裝置>][>所有裝置>] 選擇 [裝置>硬體]。 修補程式層級會列在 [ 操作系統] 區 段中。

將範圍標籤指派給安全組中的所有受控裝置

您現在可以將範圍標籤指派給安全組,而安全組中的所有裝置也會與這些範圍卷標相關聯。 這些群組中的所有裝置也會被指派範圍標籤。 使用這項功能設定的範圍標籤會覆寫以目前裝置範圍標籤流程設定的範圍標籤。 如需詳細資訊,請 參閱針對分散式IT使用 RBAC 和範圍標籤

裝置安全性

搭配安全性基準使用關鍵詞搜尋

當您建立或編輯 安全性基準配置檔時,您可以在新的 搜尋 列中指定關鍵詞。 搜尋列會篩選包含搜尋準則的可用設定群組。

安全性基準功能現已正式推出

安全性基準功能已過預覽,現在已正式推出 (GA) 。 GA 表示此功能已準備好在生產環境中使用。 不過,個別基準範本仍可保持預覽狀態,並依自己的排程評估併發行至 GA。

MDM 安全性基準範本現已正式推出

MDM 安全性基準範本已移出預覽版,現已正式推出 (GA) 。 GA 範本會識別 為 2019 年 5 月的 MDM 安全性基準。 此功能是新的範本,而不是從預覽版本升級。 作為新的範本,您必須檢閱 其包含的設定,然後建立新的配置檔以將範本部署到您的裝置。 其他安全性基準範本仍可保持預覽狀態。 如需可用基準的清單,請參閱 可用的安全性基準

除了作為新的範本之外, 2019 年 5 月的 MDM 安全性基準 範本還包含我們最近在開發中文章中宣佈的兩個設定:

  • 高於鎖定:語音從鎖定的畫面啟用應用程式
  • DeviceGuard:在下次裝置重新啟動時,使用虛擬化型安全性 (VBS) 。

2019 年 5 月的 MDM 安全性基準也包含新增數個新設定、移除其他設定,以及一個設定的預設值修訂。 如需從預覽到 GA 的詳細變更清單,請參閱 新範本中變更的內容。

安全性基準版本設定

Intune 的安全性基準支援版本控制。 透過這項支援,當發行每個安全性基準的新版本時,您可以更新現有的安全性基準配置檔以使用較新的基準版本,而不需要從頭重新建立和部署新的基準。

您也可以檢視每個基準的相關信息。 您可以檢視使用基準的個別配置檔數目、配置檔使用多少個不同的基準版本,以及特定安全性基準的最新版本。 如需詳細資訊,請參閱 安全性基準

[使用安全性金鑰進行登入] 設定已移動

已找不到名為 [使用安全性密鑰登入] 的身分識別保護裝置組態設定,作為 [設定 Windows Hello 企業版] 的子設定。 它現在是一律可用的最上層設定,即使您未啟用 Windows Hello 企業版。 如需詳細資訊,請參閱 Identity Protection

角色型存取控制

指派群組系統管理員的新許可權

Intune 的內建學校系統管理員角色現在具有受控應用程式的建立、讀取、更新和刪除 (CRUD) 許可權。 如果您在 Intune 教育版中指派為群組系統管理員,您現在可以建立、檢視、更新和刪除 iOS MDM 推播憑證、iOS MDM 伺服器令牌和 iOS VPP 令牌,以及 您擁有的所有現有許可權。 若要採取上述任何動作,請移至租用戶設定>iOS 裝置管理

應用程式可以使用 圖形 API 來呼叫讀取作業,而不需要用戶認證

應用程式可以使用應用程式身分識別呼叫 Intune 圖形 API 讀取作業,而不需要用戶認證。 如需存取 Microsoft 圖形 API for Intune 的詳細資訊,請參閱在 Microsoft Graph 中使用 Intune

將範圍標籤套用至 商務用 Microsoft Store 應用程式

您現在可以將範圍標籤套用至 商務用 Microsoft Store 應用程式。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

2019 年 5 月

應用程式管理

報告 Android 裝置上可能有害的應用程式

Intune 現在提供有關 Android 裝置上可能有害應用程式的詳細報告資訊。

Windows 公司入口網站 應用程式

Windows 公司入口網站 應用程式現在會有標示為 [裝置] 的新頁面。 [ 裝置] 頁面會顯示使用者所有已註冊的裝置。 使用者在使用 10.3.4291.0 版和更新版本時,會在 公司入口網站 中看到這項變更。 如需設定 公司入口網站 的資訊,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

Intune 原則會更新驗證方法並 公司入口網站 應用程式安裝

在已透過Apple的其中一個公司裝置註冊方法透過設定助理註冊的裝置上,當應用程式從App Store手動安裝時,Intune不支援 公司入口網站。 只有在註冊期間向 Apple Setup Assistant 進行驗證時,這項變更才有相關性。 這項變更也只會影響透過下列方式註冊的 iOS 裝置:

  • Apple configurator
  • Apple Business Manager
  • Apple School Manager
  • Apple 裝置註冊方案 (DEP)

如果使用者從 App Store 安裝 公司入口網站 應用程式,然後嘗試透過該應用程式註冊這些裝置,則會收到錯誤訊息。 這些裝置應該只會在註冊期間由 Intune 自動推送時使用 公司入口網站。 Azure 入口網站 中 Intune 中的註冊設定檔將會更新,讓您可以指定裝置的驗證方式,以及裝置是否收到 公司入口網站 應用程式。 如果您想要讓 DEP 裝置使用者擁有 公司入口網站,您必須在註冊設定檔中指定您的喜好設定。

此外,iOS 公司入口網站 中的 [識別您的裝置] 畫面正在移除。 因此,想要啟用條件式存取或部署公司應用程式的系統管理員必須更新 DEP 註冊配置檔。 只有在使用安裝助理驗證 DEP 註冊時,才適用此需求。 在此情況下,您必須將 公司入口網站 推送至裝置。 若要這樣做,請選擇 [Intune>裝置註冊>][Apple 註冊註冊>計劃令牌>],選擇 [令牌>配置檔>] 選擇設定檔>> [內容] 設定 [安裝 公司入口網站[是]

若要在已註冊的 DEP 裝置上安裝 公司入口網站,您必須移至 Intune > 用戶端應用程式,並將其推送為具有應用程式設定原則的受控應用程式。

設定使用者如何使用應用程式保護原則更新企業營運 (LOB) 應用程式

您現在可以設定終端使用者可在何處取得企業營運 (LOB) 應用程式的更新版本。 終端使用者會在 最低應用程式版本 條件式啟動對話方塊中看到這項功能,這會提示終端使用者更新為LOB應用程式的最低版本。 您必須提供這些更新詳細數據,作為您的LOB應用程式保護原則 (APP) 的一部分。 這項功能可在 iOS 和 Android 上使用。 在 iOS 上,這項功能需要將應用程式整合 (,或使用包裝工具) 與 Intune SDK for iOS v.10.0.7 或更新版本進行包裝。 在 Android 上,此功能需要最新的 公司入口網站。 若要設定終端使用者如何更新 LOB 應用程式,應用程式需要以金鑰 傳送給它的受控應用程式設定原則。 com.microsoft.intune.myappstore 傳送的值會定義終端使用者將從哪個存放區下載應用程式。 如果應用程式是透過 公司入口網站 部署,則值必須是 CompanyPortal。 針對任何其他存放區,您必須輸入完整的 URL。

Intune 管理延伸模組 PowerShell 腳本

您可以設定 PowerShell 腳本,以使用者在裝置上的系統管理員許可權執行。 如需詳細資訊,請參閱在 Intune 中 Windows 10 裝置上使用 PowerShell 腳本Win32 應用程式管理

Android Enterprise 應用程式管理

為了讓 IT 系統管理員更容易設定及使用 Android Enterprise 管理,Intune 會自動將四個常見的 Android Enterprise 相關應用程式新增至 Intune 系統管理中心。 這四個 Android Enterprise 應用程式是下列應用程式:

先前,IT 系統管理員必須手動尋找並核准受控 Google Play 商店 中的這些應用程式,作為安裝程式的一部分。 這項變更會移除先前的手動步驟,讓客戶更容易且更快速地使用Android Enterprise管理。

系統管理員會在第一次將 Intune 租用戶連線到受控 Google Play 時,看到這四個應用程式自動新增至其 Intune 應用程式清單。 如需詳細資訊,請 參閱將 Intune 帳戶連線到受控 Google Play 帳戶。 對於已連線其租使用者或已使用Android Enterprise的租用戶,系統管理員不需要執行任何動作。 這四個應用程式會在 2019 年 5 月服務推出完成後的 7 天內自動顯示。

裝置設定

已更新適用於 Microsoft Intune的 PFX 憑證連接器

適用於 Microsoft Intune 的 PFX 憑證連接器有更新。 此更新解決了現有 PFX 憑證繼續重新處理,導致連接器停止處理新要求的問題。

適用於端點的Defender intune安全性工作 (在公開預覽)

在公開預覽版中,您可以使用 Intune 來管理 適用於端點的 Microsoft Defender 的安全性工作。 這項與適用於端點的 Defender 整合,並新增以風險為基礎的方法來探索、排定優先順序及補救端點弱點和設定錯誤,同時減少探索到緩和措施之間的時間。

檢查 Windows 10 裝置合規性政策中的 TPM 晶片組

許多 Windows 10 和更新版本的裝置都有信賴平臺模組 (TPM) 晶片組。 此更新包含新的合規性設定,可檢查裝置上的 TPM 晶片版本。

Windows 10 和更新版本的合規性原則設定會描述此設定。

適用於:Windows 10 及更新版本

防止終端使用者修改其個人 HotSpot,並停用 iOS 裝置上的 Siri 伺服器記錄

您可以在 iOS 裝置上建立裝置限制設定檔 (裝置>>設定建立>適用於配置檔類型) 平台>裝置限制iOS。 此更新包含您可以設定的新設定:

  • 內建應用程式:Siri 命令的伺服器端記錄
  • 無線:僅限受監督 (使用者修改個人熱點)

若要查看這些設定,請移至 iOS 的內建應用程式設定iOS 的無線設定

適用於:iOS 12.2 和更新版本

macOS 裝置的新教室應用程式裝置限制設定

您可以建立macOS裝置的裝置組態配置檔 (裝置>>組態建立>macOS,以取得配置檔類型) 的平臺>裝置限制。 此更新包含新的教室應用程式設定、封鎖螢幕快照的選項,以及停用iCloud相片庫的選項。

若要查看目前的設定,請移至 macOS裝置設定,以允許或限制使用Intune的功能

適用於:macOS

存取應用程式市集的 iOS 密碼設定已重新命名

[存取應用程式市集的密碼] 設定已重新命名為 [需要所有購買的 iTunes 市集密碼 (>> 裝置設定針對>配置檔類型>應用程式市集、檔案檢視和遊戲) 的平臺>裝置限制建立iOS

若要查看可用的設定,請移至 [App Store]、[文件檢視]、[遊戲 iOS 設定]

適用於:iOS

適用於端點的 Microsoft Defender 比較基準 (預覽)

我們已針對 適用於端點的 Microsoft Defender 設定新增安全基準預覽。 當您的環境符合使用 適用於端點的 Microsoft Defender 的必要條件時,可以使用基準。

適用於 iOS 和 Android 裝置的 Outlook 簽章和生物特徵辨識設定

您現在可以在 iOS 和 Android 裝置上的 Outlook 中指定是否已啟用預設簽章。 此外,您可以選擇允許使用者在iOS版 Outlook 中變更生物特徵辨識設定。

iOS 裝置的 F5 存取的網路 存取控制 (NAC) 支援

F5 發行 BIG-IP 13 的更新,允許 Intune 中 iOS 上 F5 Access 的 NAC 功能。 若要使用此功能:

若要查看可用的設定,請移至在 iOS 裝置上設定 VPN 設定

適用於:iOS

已更新適用於 Microsoft Intune的 PFX 憑證連接器

我們發行了適用於 Microsoft Intune 的 PFX 憑證連接器更新,將輪詢間隔從 5 分鐘降到 30 秒。

裝置註冊

Autopilot 裝置 OrderID 屬性名稱已變更為群組標籤

為了更直覺化,Autopilot 裝置上的 OrderID 屬性名稱已變更為 群組標籤。 使用 CSV 上傳 Autopilot 裝置資訊時,您必須使用群組標籤作為數據行標頭,而不是 OrderID。

WINDOWS 註冊狀態頁面 (ESP) 現已正式推出

註冊狀態頁面現在已不在預覽狀態。 如需詳細資訊, 請參閱設定註冊狀態頁面

Intune 使用者介面更新 - Autopilot 註冊配置檔建立

用來建立 Autopilot 註冊配置檔的使用者介面已更新為與 Azure 使用者介面樣式一致。 如需詳細資訊,請 參閱建立 Autopilot 註冊配置檔。 未來,會將更多 Intune 案例更新為這個新的 UI 樣式。

為所有 Windows 裝置啟用 Autopilot 重設

Autopilot 重設現在適用於所有 Windows 裝置,甚至是未設定為使用註冊狀態頁面的裝置。 如果在初始裝置註冊期間未為裝置設定註冊狀態頁面,裝置會在登入后直接移至桌面。 在 Intune 中,最多可能需要 8 小時才能同步處理並顯示為符合規範。 如需詳細資訊,請 參閱使用遠端 Windows Autopilot 重設重設裝置

搜尋所有裝置時不需要確切的 IMEI 格式

當您搜尋 [所有裝置] 時,不需要在 IMEI 編號中包含空格。

在 Apple 入口網站中刪除裝置會反映在 Intune 入口網站中

如果裝置從 Apple 的裝置註冊計劃或 Apple Business Manager 入口網站中刪除,則會在下次同步處理期間自動從 Intune 刪除裝置。

註冊狀態頁面現在會追蹤 Win32 應用程式

這項功能僅適用於執行 Windows 10 1903 版和更新版本的裝置。 如需詳細資訊, 請參閱設定註冊狀態頁面

裝置管理

使用 圖形 API 大量重設和抹除裝置

您現在可以使用 圖形 API 重設和抹除最多 100 個大量裝置。

監視及疑難排解

加密報告已不公開預覽

BitLocker 和裝置加密的報表現已正式推出,且不再是公開預覽的一部分。

2019 年 4 月

應用程式管理

iOS 公司入口網站 應用程式的用戶體驗更新

已重新設計 iOS 裝置 公司入口網站 應用程式的首頁。 透過這項變更,首頁將能更妥善地遵循 iOS UI 模式,同時為應用程式和電子書提供更佳的可探索性。

iOS 12 裝置使用者的 公司入口網站 註冊變更

iOS 註冊畫面和步驟的 公司入口網站 已更新,以配合AppleiOS 12.2中發行的 MDM 註冊變更。 更新的工作流程會提示使用者:

  • 允許 Safari 開啟 公司入口網站 網站,並在返回 公司入口網站 應用程式之前下載管理設定檔。
  • 開啟 [設定] 應用程式,在其裝置上安裝管理配置檔。
  • 返回公司入口網站 應用程式以完成註冊。

如需更新的註冊步驟和畫面,請 參閱在 Intune 中註冊 iOS 裝置

適用於 Android 應用程式保護原則的 OpenSSL 加密

在 Android 裝置上 (APP) 的 Intune 應用程式保護原則現在會使用符合 FIPS 140-2 規範的 OpenSSL 加密連結庫。 如需詳細資訊,請參閱 Microsoft Intune 中 Android 應用程式保護原則設定的加密一節。

啟用 Win32 應用程式相依性

身為系統管理員,您可以要求在安裝 Win32 應用程式之前,將其他應用程式安裝為相依性。 具體而言,裝置必須先安裝相依應用程式 () ,才能安裝 Win32 應用程式。 在 Intune 中,選取 [ 用戶端應用程式]>[新增>] 以顯示 [ 新增應用程式] 刀鋒視窗。 選 取 [Windows 應用程式] ([Win32) ] 作為 [應用程式類型]。 新增應用程式之後,您可以選取 [ 相依性 ] 來新增必須安裝才能安裝 Win32 應用程式的相依應用程式。 如需詳細資訊,請參閱 Intune 獨立版 - Win32 應用程式管理

商務用 Microsoft Store 應用程式的應用程式版本安裝資訊

應用程式安裝報告包含 商務用 Microsoft Store 應用程式的應用程式版本資訊。 在 Intune 中,選取 [用戶端應用程式>]。 選取 商務用 Microsoft Store 應用程式,然後選取 [監視] 區段下的 [裝置安裝狀態]。

Win32 應用程式需求規則的新增專案

您可以根據 PowerShell 腳本、登錄值和文件系統資訊來建立需求規則。 在 Intune 中,選取 [用戶端應用程式應用程式>>新增]。 然後選取 [Windows 應用程式 (Win32) ],作為 [新增應用程式] 刀鋒視窗中的 [應用程式類型]。 選 取 [>需求] [新增 ] 以設定更多需求規則。 然後,選取 [文件類型]、[ 登錄] 或 [ 腳本] 作為 [ 需求類型]。 如需詳細資訊,請參閱 Win32 應用程式管理

將 Win32 應用程式設定為安裝在已加入 Intune Microsoft Entra 裝置上

您可以將要安裝在 Intune 註冊的 Win32 應用程式指派 Microsoft Entra 加入的裝置上。 如需 Intune 中 Win32 應用程式的詳細資訊,請參閱 Win32 應用程式管理

裝置概觀顯示主要使用者

[裝置概觀] 頁面會顯示主要使用者,也稱為使用者裝置親和性使用者 (UDA) 。 若要查看裝置的主要使用者,請選擇 [Intune>裝置>][所有裝置> ] 選擇裝置。 主要使用者會出現在 [ 概觀 ] 頁面頂端附近。

適用於 Android Enterprise 工作設定檔案裝置的受控 Google Play 應用程式報告

針對部署至 Android Enterprise 工作設定檔案裝置的受控 Google Play 應用程式,您可以檢視裝置上所安裝應用程式的特定版本號碼。 這項功能僅適用於必要的應用程式。

iOS 第三方鍵盤

由於 iOS 平台變更,不再支援適用於 iOS 的第 三方鍵盤 設定的 Intune 應用程式保護原則 (APP) 支援。 您將無法在 Intune 管理員 控制台中設定此設定,且不會在 Intune App SDK 的用戶端上強制執行此設定。

裝置設定

更新的憑證連接器

我們已針對適用於 Microsoft Intune 的 Intune 憑證連接器和 PFX 憑證連接器發行更新。 新版本修正數個已知問題。

在macOS裝置上設定登入設定和控制重新啟動選項

在 macOS 裝置上,您可以建立裝置組態設定檔 (>> 裝置組態建立>選擇 macOS 作為設定檔類型的平台>裝置功能) 。 此更新包含新的登入視窗設定,例如顯示自定義橫幅、選擇使用者登入方式、顯示或隱藏電源設定等等。

若要查看這些設定,請移至 macOS裝置功能設定

在 Android Enterprise 上設定 WiFi,以多應用程式 kiosk 模式執行的裝置擁有者專用裝置

在多應用程式 Kiosk 模式中以專用裝置身分執行時,您可以在 Android Enterprise、裝置擁有者上啟用設定。 在此更新中,您可以讓使用者設定及連線到WiFi網路, (Intune>裝置>>設定僅針對平臺>裝置擁有者建立>Android Enterprise、配置檔類型的裝置限制專用>裝置>Kiosk 模式多應用程式>WiFi 設定) 。

若要查看您可以設定的所有設定,請移至 Android Enterprise 裝置設定以允許或限制功能

適用於:以多應用程式 kiosk 模式執行的 Android Enterprise 專用裝置

在以多應用程式 Kiosk 模式執行的 Android Enterprise 裝置擁有者專用裝置上設定藍牙和配對

在多應用程式 Kiosk 模式中以專用裝置身分執行時,您可以在 Android Enterprise、裝置擁有者上啟用設定。 在此更新中,您可以允許終端使用者啟用藍牙,並透過藍牙配對裝置 (Intune>裝置>>設定 僅限平臺>裝置擁有者建立>Android Enterprise、配置檔類型的>裝置限制專用裝置>Kiosk 模式多應用程式>藍牙設定) 。

若要查看您可以設定的所有設定,請移至 Android Enterprise 裝置設定以允許或限制功能

適用於:以多應用程式 kiosk 模式執行的 Android Enterprise 專用裝置

在 Intune 中建立和使用 OEMConfig 裝置組態配置檔

在此更新中,Intune 支援使用 OEMConfig 設定 Android Enterprise 裝置。 具體而言,您可以建立裝置組態配置檔,並使用 OEMConfig 將設定套用至 Android Enterprise 裝置 (裝置>設定>建立>平臺) 的Android 企業版。

OEM 的支援目前是以每個 OEM 為基礎。 如果您想要的 OEMConfig 應用程式無法在 OEMConfig 應用程式清單中使用,請連絡 IntuneOEMConfig@microsoft.com

若要深入瞭解這項功能,請移至在 Microsoft Intune 中使用及管理具有 OEMConfig 的 Android Enterprise 裝置

適用於:Android 企業

Windows Update 通知

我們已將兩個用戶體驗設定新增至您可以從 Intune 控制台管理的 Windows Update 通道組態。 您現在可以:

適用於 Android Enterprise、裝置擁有者的新裝置限制設定

在 Android Enterprise 裝置上,您可以建立裝置限制設定檔以允許或限制功能、設定密碼規則,以及更多 (裝置>>設定建立>選擇 Android Enterprise 作為平臺>僅裝置擁有者>設定檔類型) 的裝置限制。

此更新包含新的密碼設定、允許完整存取Google Play Store中完全受控裝置的應用程式等等。 若要查看目前的設定清單,請移至 Android Enterprise 裝置設定以允許或限制功能

適用於:Android Enterprise 完全受控裝置

檢查 Windows 10 裝置合規性政策中的 TPM 晶片組

此功能已延遲,應於稍後發行。

已更新 Windows 10 及更新版本裝置上 Microsoft Edge Browser 的 UI 變更

當您建立裝置組態設定檔時,您可以允許或限制 Windows 10 和更新版本裝置上的 Microsoft Edge 功能, (>> 裝置組態建立>Windows 10 及更新版本的平臺、>配置檔類型的>裝置限制瀏覽器) 。 在此更新中,Microsoft Edge 設定更具描述性,而且更容易瞭解。

若要查看這些功能,請移至 Microsoft Edge Browser 裝置限制設定

適用於:

  • Windows 10 和更新版本
  • Microsoft Edge 45 版和更舊版本

已擴充對 Android Enterprise 完全受控裝置的支援 (預覽)

在公開預覽版中,我們已擴充 Android Enterprise 完全受控裝置的支援,於 2019 年 1 月首次宣佈包含:

  • 在完全受控且專用的裝置上,您可以建立合規性原則,以包含密碼規則和操作系統需求 (裝置合規性>>原則建立>適用於配置檔類型之平臺>裝置擁有者的Android Enterprise) 。

    在專用裝置上,裝置可能會顯示為 不符合規範。 專用裝置上無法使用條件式存取。 請務必完成任何工作或動作,讓專用裝置符合您指派的原則。

  • 條件式存取 - 適用於Android的條件式存取原則也適用於Android Enterprise 完全受控裝置。 用戶現在可以使用 Microsoft Intune 應用程式,在 Microsoft Entra ID 中註冊其完全受控裝置。 然後,查看並解決存取組織資源的任何合規性問題。

  • 新的使用者應用程式 (Microsoft Intune 應用程式) - Android 完全受控裝置的新使用者應用程式稱為 Microsoft Intune。 這個新的應用程式是輕量型且現代化的,其功能與 公司入口網站 應用程式類似,但適用於完全受控的裝置。 如需詳細資訊,請參閱在Google Play上 Microsoft Intune 應用程式

若要設定 Android 完全受控裝置,請移至 裝置註冊>Android 註冊>公司擁有且完全受控的用戶裝置。 完全受控 Android 裝置的支援仍處於預覽狀態,某些 Intune 功能可能無法完全運作。

若要深入瞭解此預覽,請參閱我們的部落格 Microsoft Intune - Android Enterprise 完全受控裝置的 Preview 2

使用合規性管理員建立 Microsoft Intune

合規性管理員 (開啟另一個 Microsoft 網站) 是 Microsoft 服務信任入口網站中的工作流程型風險評估工具。 它可讓您追蹤、指派及驗證貴組織的 Microsoft 服務相關法規合規性活動。 您可以使用 Microsoft 365、Azure、Dynamics、專業服務和 Intune 建立自己的合規性評估。 Intune 有兩個可用的評定 : FFIEC 和 GDPR。

合規性管理員可藉由細分控件來協助您專注工作 - 由 Microsoft 管理的控件,以及組織所管理的控件。 您可以完成評定,然後匯出和列印評定。

美國聯邦金融機構檢查委員會 (FFIEC) (會開啟另一個 Microsoft 網站,) 合規性是 FFIEC 所發行的一組在線銀行標準。 這是針對使用 Intune 的金融機構要求最多的評量。 它會解譯 Intune 如何協助符合與公用雲端工作負載相關的 FFIEC 網路安全性指導方針。 Intune 的 FFIEC 評量是合規性管理員中的第二個 FFIEC 評定。

在下列範例中,您可以看到 FFIEC 控制件的明細。 Microsoft 涵蓋 64 個控件。 您負責其餘12個控制件。

請參閱 FFIEC 的範例 Intune 評量,包括客戶動作和 Microsoft 動作

GDPR) ( (一般數據保護規定 會開啟另一個 Microsoft 網站,) 是歐盟 (歐盟) 法,可協助保護個人及其數據的權利。 GDPR 是最需要協助遵守隱私權法規的評量。

在下列範例中,您會看到 GDPR 控件的明細。 Microsoft 涵蓋 49 個控件。 您負責其餘 66 個控制件。

請參閱 GDPR 的 Intune 評量範例,包括客戶動作和 Microsoft 動作

裝置註冊

設定設定檔以在設定助理期間略過某些畫面

當您建立 macOS 註冊設定檔時,您可以將它設定為在使用者通過設定助理時略過下列任何畫面:

  • 外觀
  • 顯示音
  • iCloudStorage 如果您建立新的設定檔或編輯配置檔,選取的略過畫面必須與 Apple MDM 伺服器同步。 用戶可以發出裝置的手動同步處理,以便在挑選配置文件變更時不會有任何延遲。 如需詳細資訊,請參閱使用 裝置註冊計劃或 Apple School Manager 自動註冊 macOS 裝置

註冊公司 iOS 裝置時的大量裝置命名

使用 Apple 的其中一個公司註冊方法 (DEP/ABM/ASM) 時,您可以設定裝置名稱格式以自動命名傳入的 iOS 裝置。 您可以在樣本中指定包含裝置類型和序號的格式。 若要這樣做,請選擇 [Intune>裝置註冊>][Apple 註冊註冊>計劃令牌>][選取令牌>建立配置檔>裝置命名格式]。 您可以編輯現有的設定檔,但只有新同步的裝置才會套用名稱。

已更新註冊狀態頁面上的預設逾時訊息

我們已更新使用者看到註冊狀態頁面 (ESP) 超過 ESP 配置檔中指定的逾時值時的預設逾時訊息。 新的預設訊息是使用者所看到的訊息,可協助他們瞭解要對其 ESP 部署採取的下一個動作。

裝置管理

淘汰不符合規範的裝置

這項功能已延遲,並已規劃在未來的版本中推出。

監視及疑難排解

反映回 beta 的 Intune Data Warehouse V1.0 變更

在 1808 年首次引進 V1.0 時,它與 Beta API 有一些顯著的差異。 在 1903 中,這些變更會反映回 Beta API 版本。 如果您有使用 Beta API 版本的重要報表,強烈建議您將這些報表切換至 V1.0,以避免中斷性變更。 如需詳細資訊,請參閱變更 Intune Data Warehouse API 的記錄檔。

監視公開預覽 (的安全性基準狀態)

我們已將 每個類別檢視 新增至安全性基準的監視。 (安全性基準維持在預覽) 。 每個類別檢視會顯示基準中的每個類別,以及屬於該類別之每個狀態群組的裝置百分比。 您現在可以看到有多少裝置不符合個別類別、設定錯誤或不適用。

角色型存取控制

Apple VPP 令牌的範圍標籤

您現在可以將範圍標籤新增至 Apple VPP 令牌。 只有使用相同範圍標籤指派的使用者才能存取具有該標籤的 Apple VPP 令牌。 使用該令牌購買的 VPP 應用程式和電子書會繼承其範圍標籤。 如需範圍標籤的詳細資訊,請 參閱使用 RBAC 和範圍標籤

2019 年 3 月

應用程式管理

部署 Microsoft Visio 和 Microsoft Project

如果您擁有這些應用程式的授權,您現在可以將 Microsoft Visio Pro for Microsoft 365 和 Microsoft Project Online Desktop Client 部署為獨立應用程式,以使用 Microsoft Intune Windows 10 裝置。 從 Intune 中,選取 [ 用戶端應用程式]>[新增>] 以顯示 [ 新增應用程式] 刀鋒視窗。 在 [新增應用程式] 刀鋒視窗上,選取 [Windows 10] 作為 [應用程式類型]。 然後,選 取 [設定 App Suite ] 以選取要安裝的應用程式。 如需適用於 Windows 10 裝置的 Microsoft 365 應用程式的詳細資訊,請參閱使用 Microsoft Intune 將 Microsoft 365 應用程式指派給 Windows 10 裝置

Microsoft Visio Pro for Office 365產品名稱變更

Microsoft Visio Pro for Office 365 現在稱為 Microsoft Visio Online 方案 2。 如需 Microsoft Visio 的詳細資訊,請參閱 Visio Online 方案 2。 如需 Windows 10 裝置 Office 365 應用程式的詳細資訊,請參閱使用 Microsoft Intune 將 Office 365 應用程式指派給 Windows 10 裝置

Intune 應用程式保護原則 (APP) 字元限制設定

Intune 系統管理員可以指定 Intune APP 限制其他應用程式原則設定的剪下、複製和貼上 例外狀況。 身為系統管理員,您可以指定可從受控應用程式剪下或複製的字元數。 此設定允許將指定數目的字元共用至任何應用程式,而不論 [限制與其他應用程式的剪下、複製和貼上] 設定為何。 Android Intune 公司入口網站 應用程式版本需要5.0.4364.0版或更新版本。 如需詳細資訊,請參閱 iOS 資料保護Android 資料保護檢閱用戶端應用程式保護記錄

適用於 Microsoft 365 Apps 企業版 部署的 Office 部署工具 (ODT) XML

您可以在 Intune 系統管理中心建立 Microsoft 365 Apps 企業版 部署的實例時,提供 ODT (ODT) XML 的 Office 部署工具。 如果現有的 Intune UI 選項不符合您的需求,此功能可提供更高的自定義性。 如需詳細資訊,請參閱使用 Microsoft Intune 將 Microsoft 365 應用程式指派給 Windows 10 裝置Office 部署工具的設定選項

應用程式圖示現在會以自動產生的背景顯示

在 Windows 公司入口網站 應用程式中,應用程式圖示現在會根據圖示的主控色彩自動產生背景顯示 (如果可以偵測到) 。 如果適用,此背景會取代先前在應用程式磚上顯示的灰色框線。 使用者會在 10.3.3451.0 之後的 公司入口網站 版本中看到這項變更。

在 Windows 大量註冊之後,使用 公司入口網站 應用程式安裝可用的應用程式

使用 Windows 大量註冊註冊至 Intune 的 Windows 裝置 (布建套件) 可以使用 公司入口網站 應用程式來安裝可用的應用程式。 如需 公司入口網站 應用程式的詳細資訊,請參閱手動新增 Windows 10 公司入口網站如何設定 Microsoft Intune 公司入口網站 應用程式

您可以選取 Microsoft Teams 應用程式作為 Office 應用程式套件的一部分

您可以將 Microsoft Teams 應用程式納入或排除為 Microsoft 365 Apps 企業版 部署應用程式套件安裝的一部分。 此功能適用於 Microsoft 365 Apps 企業版 部署組建編號 16.0.11328.20116+。 用戶必須註銷,然後登入裝置才能完成安裝。 在 Intune 中,選取 [用戶端應用程式應用程式>>新增]。 選取其中一個 Office 365 Suite 應用程式類型,然後選取 [設定 App Suite]

裝置設定

在 Windows 10 和更新版本的裝置上以 kiosk 模式執行多個應用程式時,自動啟動應用程式

在 Windows 10 和更新版本的裝置上,您可以在 kiosk 模式中執行裝置,並執行許多應用程式。 在此更新中,針對適用於配置檔類型多應用程式 kiosk) >> 的平臺 >Kiosk, (裝置組態建立>Windows 10 和更新版本>都有自動啟動設定。 使用此設定可在使用者登入裝置時自動啟動應用程式。

若要查看所有 kiosk 設定的清單和描述,請參閱 Windows 10 和更新版本的裝置設定,以在 Intune 中以 kiosk 身分執行。

適用於:Windows 10 及更新版本

作業記錄也會顯示不符合規範裝置的詳細數據

將 Intune 記錄路由傳送至 Azure 監視器功能時,您也可以路由傳送作業記錄。 在此更新中,作業記錄也會提供不相容裝置的相關信息。

如需這項功能的詳細資訊,請參閱在 Intune 中將記錄數據傳送至記憶體、事件中樞或記錄分析

在更多 Intune 工作負載中將記錄路由傳送至 Azure 監視器

在 Intune 中,您可以將稽核和作業記錄路由至 Azure 監視器中的事件中樞、記憶體和記錄分析, (Intune>監視>診斷設定) 。 在此更新中,您可以在更多 Intune 工作負載中路由傳送這些記錄,包括合規性、設定、用戶端應用程式等等。

若要深入瞭解如何將記錄路由傳送至 Azure 監視器,請參閱 將記錄數據傳送至記憶體、事件中樞或記錄分析

在 Intune 中的 Android Zebra 裝置上建立和使用行動延伸模組

在此更新中,Intune 支援設定 Android Zebra 裝置。 具體來說,您可以建立裝置組態配置檔,並使用行動延伸模組將設定套用至 Android Zebra 裝置, (StageNow (Devices ConfigurationCreate>Android for platform >MX 配置檔所產生的 MX) >> 配置檔,僅限針對配置 (檔類型) ) Zebra。

如需這項功能的詳細資訊,請 參閱在 Intune 中使用和管理具有行動延伸模組的 Zebra 裝置

適用於:Android

裝置管理

公開預覽 (中 Windows 10 裝置的加密報告)

使用新的加密報告 (預覽) 來檢視 Windows 10 裝置加密狀態的詳細數據。 可用的詳細數據包括裝置 TPM 版本、加密整備程度和狀態、錯誤報告等等。

從 Intune 入口網站存取 BitLocker 修復金鑰, (公開預覽)

您現在可以使用 Intune 從 Microsoft Entra ID 檢視 BitLocker 金鑰標識碼和 BitLocker 修復金鑰的詳細數據。

iOS 和 Android 裝置上 Intune 案例的 Microsoft Edge 支援

Microsoft Edge 將支援與 Intune Managed Browser 相同的所有管理案例,並新增對用戶體驗的改善。 Intune 原則所啟用的 Microsoft Edge 企業功能包括:

  • Dual-Identity
  • 應用程式防護 原則整合
  • Azure 應用程式 Proxy 整合
  • Managed 我的最愛和首頁快捷方式。

如需詳細資訊,請參閱 Microsoft Edge 支援

Exchange Online/Intune 連接器取代僅限EAS裝置的支援

Intune 控制台不再支持檢視和管理使用 Intune 連接器連線至 Exchange Online 的僅限 EAS 裝置。 相反地,您有下列選項:

使用 [name] 搜尋 [所有裝置] 頁面以尋找確切的裝置

您現在可以搜尋確切的裝置名稱。 移至 搜尋方塊中的 [Intune>裝置>] [所有裝置> ],以括住裝置名稱 {} ,以搜尋完全相符的專案。 例如, {Device12345}

監視及疑難排解

在 [租用戶狀態] 頁面上支援更多連接器

[租用戶狀態] 頁面現在會顯示其他連接器的狀態資訊,包括端點和其他Mobile Threat Defense 連接器的 Windows Defender。

從 Microsoft Intune 中的 [Data Warehouse] 刀鋒窗口支援Power BI合規性應用程式

之前,Intune [Data Warehouse] 刀鋒視窗中的 [下載 Power BI 檔案] 連結已下載 Intune Data Warehouse 報表 (.pbix 檔案) 。 此報告已取代為Power BI合規性應用程式。 Power BI 合規性應用程式不需要特殊載入或設定。 它會直接在Power BI線上入口網站中開啟,並根據您的認證特別針對您的Intune租用戶顯示數據。 在 Intune 中,選取 Intune 刀鋒視窗右側的 [設定 Intune Data Warehouse] 連結。 然後,選 取 [取得 Power BI 應用程式]。 如需詳細資訊,請參閱使用Power BI連線到 Data Warehouse

角色型存取控制

將某些 Microsoft Entra 角色的唯讀存取權授與 Intune

Intune 唯讀存取權已授與下列 Microsoft Entra 角色。 使用 Microsoft Entra 角色授與的許可權會取代透過 Intune 角色型訪問控制 (RBAC) 授與的許可權。

Intune 稽核數據的唯讀存取權:

  • 合規性系統管理員
  • 合規性資料系統管理員

所有 Intune 資料的唯讀存取權:

  • 安全性系統管理員
  • 安全性操作員
  • 安全性讀取者

如需詳細資訊,請參閱 角色型訪問控制

iOS 應用程式佈建配置檔的範圍標籤

您可以將範圍標籤新增至 iOS 應用程式佈建設定檔,讓只有角色也指派該範圍標籤標的人員可以存取 iOS 應用程式佈建設定檔。 如需詳細資訊,請 參閱使用 RBAC 和範圍標籤

應用程式設定原則的範圍標籤

您可以將範圍標籤新增至應用程式設定原則,讓只有角色也指派該範圍標籤的人員可以存取應用程式設定原則。 應用程式設定原則只能以指派相同範圍卷標的應用程式為目標,或與應用程式相關聯。 如需詳細資訊,請 參閱使用 RBAC 和範圍標籤

iOS 和 Android 裝置上 Intune 案例的 Microsoft Edge 支援

Microsoft Edge 將支援與 Intune Managed Browser 相同的所有管理案例,並新增用戶體驗的改善。 Intune 原則所啟用的 Microsoft Edge 企業功能包括:

  • Dual-Identity
  • 應用程式防護 原則整合
  • Azure 應用程式 Proxy 整合
  • Managed 我的最愛和首頁快捷方式。

如需詳細資訊,請參閱 Microsoft Edge 支援

2019 年 2 月

應用程式管理

Intune macOS 公司入口網站 深色模式

Intune macOS 公司入口網站 現在支援macOS的深色模式。 當您在macOS 10.14+ 裝置上啟用深色模式時,公司入口網站 會將其外觀調整為反映該模式的色彩。

Intune 將在 Android 裝置上使用 Google Play 保護 API

某些 IT 系統管理員面臨 BYOD 環境,使用者會在其中根目錄或對其行動電話進行越獄。 此行為有時不具惡意,但會導致略過許多為了保護使用者裝置上組織數據而設定的 Intune 原則。 因此,Intune 會為已註冊和未註冊的裝置提供根偵測和越獄偵測。 在此版本中,Intune 現在會使用Google Play保護 API來新增到我們現有的未註冊裝置根偵測檢查。 雖然 Google 不會共享發生的完整根偵測檢查,但我們預期這些 API 會偵測因裝置自定義到能夠在較舊裝置上取得較新作業系統更新的任何原因而破解其裝置的使用者。 接著,這些使用者可能會遭到封鎖而無法存取公司數據,或者可以從已啟用原則的應用程式抹除其公司帳戶。

為了獲得更多價值,IT 系統管理員現在會在 [Intune 應用程式保護] 刀鋒視窗內有數個報告更新。 「已標幟的使用者」報告會顯示透過Google Play Protect的SafetyNet API 掃描偵測到哪些使用者。 「可能有害的應用程式」報告會顯示透過Google的驗證應用程式 API 掃描偵測到哪些應用程式。 這項功能可在Android上使用。

[疑難解答] 刀鋒視窗中提供的 Win32 應用程式資訊

您現在可以從 Intune 應用程式 的 [疑難解答 ] 刀鋒視窗收集 Win32 應用程式安裝的失敗記錄檔。 如需應用程式安裝疑難解答的詳細資訊,請參閱 針對應用程式安裝問題進行疑難解答針對 Win32 應用程式問題進行疑難解答

iOS 應用程式的應用程式狀態詳細數據

有與下列案例相關的新應用程式安裝錯誤訊息:

  • 在共用 iPad 上安裝時 VPP 應用程式失敗
  • 停用 App Store 時失敗
  • 找不到應用程式的 VPP 授權
  • 無法使用 MDM 提供者安裝系統應用程式
  • 裝置處於遺失模式或 kiosk 模式時無法安裝應用程式
  • 使用者未登入 App Store

在 Intune 中,選取 [用戶端應用程式應用程式>>] [應用程式名稱] >[裝置安裝狀態]。 [ 狀態詳細 資料] 資料行中將會提供新的錯誤訊息。

公司入口網站 應用程式中適用於 Windows 10 的新應用程式類別畫面

已新增名為應用程式類別的新畫面,以改善 Windows 10 公司入口網站 中的應用程式瀏覽和選取體驗。 用戶現在會看到其應用程式依精選、教育生產力等類別排序。 這項變更會出現在 公司入口網站 10.3.3451.0 版和更新版本中。 若要檢視新畫面,請參閱 應用程式 UI 的新功能。 如需 公司入口網站 中應用程式的詳細資訊,請參閱在您的裝置上安裝和共用應用程式

Power BI 合規性應用程式

使用 Intune 合規性 (Data Warehouse) 應用程式,在 Power BI Online 中存取您的 Intune Data Warehouse。 使用此 Power BI 應用程式,您現在可以存取和共用預先建立的報表,而不需要任何設定,也不需要離開網頁瀏覽器。 如需詳細資訊,請 參閱變更記錄 - Power BI 合規性應用程式

裝置設定

PowerShell 腳本可以在 64 位裝置上的 64 位主機上執行

當您將PowerShell腳本新增至裝置組態配置檔時,腳本一律會在32位中執行,即使在64位操作系統上也一樣。 透過此更新,系統管理員可以在64位裝置上的64位PowerShell主機上執行腳本, (裝置>腳本和補救>平臺>在64位PowerShell主機) 中新增>>設定執行腳本。

如需使用PowerShell的詳細資訊,請參閱 Intune 中的PowerShell腳本

適用於:Windows 10 及更新版本

系統會提示macOS使用者更新其密碼

Intune 正在macOS裝置上強制執行 ChangeAtNextAuth 設定。 此設定會影響具有合規性密碼原則或裝置限制密碼配置檔的用戶和裝置。 系統會提示使用者更新其密碼一次。 每當使用者第一次執行需要驗證的工作時,就會發生此提示,例如登入裝置。 執行任何需要系統管理許可權的動作時,也可能會提示使用者更新其密碼,例如要求密鑰鏈存取權。

系統管理員所做的任何新的或現有的密碼原則變更,都會再次提示使用者更新其密碼。

適用於:
macOS

將 SCEP 憑證指派給無使用者 macOS 裝置

您可以將使用裝置屬性的簡單憑證註冊通訊協定 (SCEP) 憑證指派給 macOS 裝置,包括沒有使用者親和性的裝置,並將憑證配置檔與 Wi-Fi 或 VPN 配置檔建立關聯。 這項功能擴充了我們已經必須 將SCEP憑證指派給具有或不具執行 Windows、iOS 和 Android 之使用者親和性的裝置 的支援。 此更新新增選項,可在您設定macOS的SCEP憑證配置檔時,選取 [ 裝置 ] 的 [憑證類型]。

適用於:

  • macOS

Intune 條件式存取UI更新

我們已在 Intune 控制台中改善條件式存取的 UI。 這些改善包括:

  • 將 [Intune 條件式存取] 刀鋒視窗取代為 [Microsoft Entra ID] 的刀鋒視窗。 此功能可確保您能夠從 Intune 控制台存取條件式存取 (的完整設定和組態,這仍然是 Microsoft Entra 技術) 。
  • 我們已將 [內部部署存取] 刀 視窗重新命名為 Exchange 存取,並將 Exchange 服務連接器 設定重新放置到這個重新命名的刀鋒視窗。 這項變更會合併您設定 及監視 Exchange Online 和內部部署相關詳細數據的位置。

Kiosk 瀏覽器和 Microsoft Edge 瀏覽器應用程式可以在 kiosk 模式的 Windows 10 裝置上執行

您可以使用 kiosk 模式 Windows 10 裝置來執行一個應用程式或許多應用程式。 此更新包含在 kiosk 模式中使用瀏覽器應用程式的數項變更,包括:

  • 新增 Microsoft Edge Browser 或 Kiosk 瀏覽器,以在 kiosk 裝置上以應用程式身分執行 (>> 裝置設定新設定檔>Windows 10 及更新版本,以供平臺 >Kiosk 使用設定檔類型) 。

  • 新功能和設定可用來允許或限制 (裝置>>設定新配置檔>Windows 10 及更新版本的平臺>裝置限制配置檔類型) ,包括:

  • Microsoft Edge 瀏覽器:

    • 使用 Microsoft Edge kiosk 模式
    • 空閒時間之後重新整理瀏覽器
  • 我的最愛和搜尋:

    • 允許對搜尋引擎進行變更

如需這些設定的清單,請參閱:

適用於:Windows 10 及更新版本

iOS 和 macOS 裝置的新裝置限制設定

您可以在執行 iOS 和 macOS 的裝置上限制某些設定和功能, (>> 裝置設定新的設定檔>iOSmacOS,以限制設定檔類型) 的平臺>裝置限制。 此更新新增更多您可以控制的功能和設定,包括設定螢幕時間、變更 eSIM 設定和行動裝置方案,以及 iOS 裝置上的更多功能和設定。 此外,延遲使用者對軟體更新的可見度,並封鎖macOS裝置上的內容快取。

若要查看您可以限制的功能和設定,請參閱:

適用於:

  • iOS
  • macOS

「Kiosk」裝置現在在 Android Enterprise 裝置上稱為「專用裝置」

若要與 Android 術語一致,kiosk 會變更為 Android 企業裝置的專用裝置, (>> 裝置設定建立> **Android Enterprise for platform >Device Owner Only>Device Restrictions>Dedicated devices) 。

若要查看可用的設定,請移至 [ 裝置設定] 以允許或限制功能

適用於:
Android Enterprise

Safari 和延遲使用者軟體更新可見度 iOS 設定正在 Intune UI 中移動

針對 iOS 裝置,您可以設定 Safari 設定並設定軟體 匯報。 在此更新中,這些設定會移至 Intune UI 的不同部分:

  • Safari 設定已從 Safari 移 (裝置>>設定新設定檔>iOS,適用於配置檔類型) 至內建應用程式的平臺>裝置限制
  • [延遲受監督 iOS 裝置的使用者軟體更新可見度] 設定 (iOS) 的軟體更新>原則會移至 [裝置限制] [一般]>。 如需對現有原則影響的詳細資訊,請參閱 iOS 軟體更新

如需設定的清單,請參閱:

本功能適用於:

  • iOS

裝置設定中的啟用限制已重新命名為 iOS 裝置上的螢幕時間

您可以在受監督的 iOS 裝置上設定 [在裝置設定中啟用限制] ([裝置>>設定][針對設定檔類型的>平臺>裝置限制設定新的設定檔>iOS]) 。 在這裡更新中,這個設定只會重新命名 為 [屏幕時間 (受監督)

行為相同。 特別是:

  • iOS 11.4.1 和更早版本: [封鎖 ] 會防止終端使用者在裝置設定中設定自己的限制。
  • iOS 12.0 和更新版本: [封鎖 ] 會防止終端使用者在裝置設定中設定自己的 屏幕時間 ,包括內容 & 隱私權限制。 升級至 iOS 12.0 的裝置不會再在裝置設定中看到 [限制] 索引卷標。 這些設定位於 屏幕時間

如需設定清單,請參閱 iOS 裝置限制

適用於:

  • iOS

Intune PowerShell 模組

透過 Microsoft Graph 提供 Intune API 支援的 Intune PowerShell 模組現在已在 Microsoft PowerShell 資源庫 中提供。

改善傳遞優化的支援

我們已在 Intune 中擴充對設定傳遞優化的支援。 您現在可以設定延伸的 傳遞優化設定 清單,並直接從 Intune 主控台將它設為裝置的目標。

裝置管理

重新命名已註冊的 Windows 裝置

您現在可以將已註冊的 Windows 10 裝置重新命名 (RS4 或更新版本) 。 若要這樣做,請選擇 [Intune裝置>][>所有裝置>] 選擇裝置>重新命名裝置。 此功能目前不支援將混合式 Microsoft Entra Windows 裝置重新命名。

將範圍標籤自動指派給具有該範圍的系統管理員所建立的資源

當系統管理員建立資源時,指派給系統管理員的任何範圍卷標都會自動指派給這些新資源。

監視及疑難排解

失敗的註冊報告會移至 [裝置註冊] 刀鋒視窗

[失敗的註冊] 報告已移至 [裝置註冊] 刀鋒視窗的 [監視] 區段。 已新增註冊方法和OS版本) (兩個新數據行。

公司入口網站 放棄報告已重新命名為未完成的用戶註冊

公司入口網站 放棄報告已重新命名為未完成的用戶註冊

2019 年 1 月

應用程式管理

Intune 應用程式 PIN

身為 IT 系統管理員,您現在可以設定終端使用者可以等待的天數,直到其 Intune 應用程式 PIN 必須變更為止。 新設定會在天數之後重設 PIN,並可在 Azure 入口網站 中選取 [Intune>用戶端應用程式>應用程式防護 原則>建立原則>設定>存取需求。 適用於 iOSAndroid 裝置,這項功能支援正整數值。

Intune 裝置報告欄位

Intune 提供更多裝置報告欄位,包括應用程式註冊標識碼、Android製造商、型號和安全性修補程式版本,以及 iOS 模型。 在 Intune 中,您可以選取 [用戶端應用程式>應用程式防護 狀態],然後選擇 [應用程式保護報告:iOS、Android] 來取得這些欄位。 此外,這些參數可協助您設定裝置製造商 (Android) 的 允許清單、 裝置型號的 允許清單 ( Android 和 iOS) ,以及最低 Android 安全性修補程式版本設定。

Win32 應用程式的快顯通知

您可以隱藏顯示每個應用程式指派的使用者快顯通知。 從 Intune 中,選取 [用戶端應用程式][應用程式>>] 選取應用程式 > [指派>包含群組]

Intune 應用程式保護原則 UI 更新

我們已變更 Intune 應用程式保護設定和按鈕的標籤,讓每個標籤更容易瞭解。 其中一些變更包括:

  • 控件會從 / 控件變更為主要封鎖 / 允許 / 用啟用控制件。 標籤也會更新。
  • 設定會重新格式化,因此設定及其標籤會並排在控件中,以提供更好的導覽。

默認設定和設定數目保持不變,但這項變更可讓使用者更輕鬆地瞭解、流覽及利用設定,以套用選取的應用程式保護原則。 如需詳細資訊,請參閱 iOS 設定Android 設定

Outlook 的更多設定

您現在可以使用 Intune 為 iOS 版和 Android 版 Outlook 設定下列設定:

  • 只允許在 iOS 和 Android 的 Outlook 中使用公司或學校帳戶
  • 為 Microsoft 365 和混合式新式驗證內部部署帳戶部署新式驗證
  • 選取基本身份驗證時,用於 SAMAccountName 電子郵件設置檔中的用戶名稱欄位
  • 允許儲存連絡人
  • 設定外部收件者 MailTips
  • 設定 焦點收件匣
  • 需要生物特徵辨識才能存取 iOS 版 Outlook
  • 封鎖外部映像

注意事項

如果您使用 Intune 應用程式保護原則來管理公司身分識別的存取權,您應該考慮不要啟用 需要生物識別技術。 如需詳細資訊,請 參閱需要公司認證才能存取iOS 存取設定Android 存取設定

如需詳細資訊,請參閱 Microsoft Outlook 組態設定

刪除 Android Enterprise 應用程式

您可以從 Microsoft Intune 刪除受控 Google Play 應用程式。 若要刪除受控 Google Play 應用程式,請在 Azure 入口網站 中開啟 Microsoft Intune,然後選取 [用戶端應用程式>]。 從應用程式清單中,選取受控 Google Play 應用程式右側的省略號 (...) ,然後從顯示的清單中選取 [ 刪除 ]。 當您從應用程式清單中刪除受控 Google Play 應用程式時,會自動取消核准受控 Google Play 應用程式。

受控Google Play應用程式類型

控Google Play 應用程式類型可讓您將 受控Google Play 應用程式 特別新增至Intune。 身為 Intune 系統管理員,您現在可以在 Intune 內流覽、搜尋、核准、同步及指派已核准的受控 Google Play 應用程式。 您不再需要個別流覽至受控 Google Play 控制台,也不再需要重新驗證。 在 Intune 中,選取 [用戶端應用程式應用程式>>新增]。 在 [應用程式類型 ] 列表中,選取 [ 受控 Google Play ] 作為應用程式類型。

預設Android PIN鍵盤

對於在 PIN 類型為 Numeric 的 Android 裝置上設定 Intune 應用程式保護原則 (APP) PIN 的使用者,他們現在會看到預設的 Android 鍵盤,而不是先前設計的固定 Android 鍵盤 UI。 在 Android 和 iOS 上同時針對 數值/或密碼的 PIN 類型使用預設鍵盤時,這項變更是一致的。 如需 Android 上使用者存取設定的詳細資訊,例如 APP PIN,請參閱 Android 存取需求

裝置設定

系統管理範本處於公開預覽狀態,並移至自己的組態配置檔

Intune 中的系統管理範本 (裝置>設定系統管理範本) 目前處於公開預覽狀態。 使用此更新:

  • 系統管理範本包含大約 300 個可在 Intune 中管理的設定。 先前,這些設定只存在於組策略編輯器中。
  • 系統管理範本可在公開預覽中使用。
  • 系統管理範本正從裝置>設定系統管理範本移至 [裝置>>設定建立>]Windows 10 及更新版本,用於配置檔類型的平台>系統管理範本
  • 報表已啟用

若要深入瞭解這項功能,請移至 Windows 10 範本來設定組策略設定

適用於:Windows 10 及更新版本

使用 S/MIME 為使用者加密和簽署多個裝置

此更新包含使用新匯入憑證配置檔的 S/MIME 電子郵件加密 (裝置>>設定建立>選取平臺 >PKCS 匯入的憑證配置檔類型) 。 在 Intune 中,您可以匯入 PFX 格式的憑證。 Intune 接著可以將這些相同的憑證傳遞給由單一用戶註冊的多個裝置。 此功能也包括:

  • 原生 iOS 電子郵件設置檔支援使用 PFX 格式的匯入憑證來啟用 S/MIME 加密。
  • Windows Phone 10 裝置上的原生郵件應用程式會自動使用 S/MIME 憑證。
  • 私人憑證可以跨多個平台傳遞。 但並非所有電子郵件應用程式都支援 S/MIME。
  • 在其他平臺上,您可能需要手動設定郵件應用程式以啟用 S/MIME。
  • Email 支援 S/MIME 加密的應用程式可能會以 MDM 無法支援的方式處理 S/MIME 電子郵件加密的擷取憑證,例如從其發行者的證書存儲讀取。 如需這項功能的詳細資訊,請參閱 簽署和加密電子郵件的S/MIME 概觀。 支援於:Windows、Windows Phone 10、macOS、iOS、Android

在 Windows 10 和更新版本的裝置上使用 DNS 設定時,自動連線和保存規則的新選項

在 Windows 10 和更新版本的裝置上,您可以建立 VPN 組態配置檔,其中包含要解析網域的 DNS 伺服器清單,例如 contoso.com。 此更新包含新的名稱解析設定 (裝置>>組態建立>選擇 Windows 10 和更新版本的平台>選擇 VPN 設定檔類型 >DNS 設定>新增) :

  • 自動連線啟用時,裝置會在裝置連絡您輸入的網域時自動連線到 VPN,例如 contoso.com。
  • 持續性:根據預設,只要裝置使用此 VPN 配置文件連線,NRPT) 規則 (所有名稱解析原則數據表都會作用中。 當此設定在 NRPT 規則上 啟用 時,即使 VPN 中斷連線,規則仍會在裝置上保持作用中。 此規則會保留到移除 VPN 配置檔或手動移除規則之前,這可以使用 PowerShell 來完成。 Windows 10 VPN 設定描述設定。

針對 Windows 10 裝置上的 VPN 配置檔使用受信任的網路偵測

使用信任的網路偵測時,您可以防止 VPN 設定檔在使用者已在受信任的網路上時自動建立 VPN 連線。 透過此更新,您可以新增 DNS 後綴,在執行 Windows 10 和更新>>>版本的裝置上啟用受信任的網路偵) 測 (針對設定檔類型建立的平臺 >VPNWindows 10 和更新版本。 Windows 10 VPN 設定會列出目前的 VPN 設定。

管理多個使用者所使用的 Windows Holographic for Business 裝置

目前,您可以使用自定義的 OMA-URI 設定,在 Windows 10 和 Windows Holographic for Business 裝置上設定共用電腦設定。 透過此更新,會新增配置檔,以 (裝置組態建立> Windows 10 >>和更新版本>的共用多使用者裝置) 設定共用裝置設定。 若要深入瞭解這項功能,請移至 Intune 設定以管理共用裝置。 適用於:Windows 10 及更新版本,Windows Holographic for Business

新 Windows 10 更新設定

針對 Windows 10 更新通道,您可以設定:

  • 自動更新行為 - 使用新選項 [重設為預設值] 在執行 2018 年 10 月更新的計算機上還原 Windows 10 電腦上的原始自動更新設定
  • 封鎖使用者暫停 Windows 更新 - 設定新的軟體更新設定,可讓您封鎖或允許使用者從其電腦的 [ 設定 ] 暫停更新安裝。

iOS 電子郵件設置檔可以使用 S/MIME 簽署和加密

您可以建立包含不同設定的電子郵件設定檔。 此更新包含 S/MIME 設定,可用來簽署和加密 iOS 裝置上的電子郵件通訊, (裝置>>組態建立>針對配置檔類型) 的平臺 >Email 選擇 iOSiOS 電子郵件組態設定會 列出設定。

某些 BitLocker 設定支援 Windows 10 專業版 版本

您可以建立組態配置檔,以在 Windows 10 裝置上設定端點保護設定,包括 BitLocker。 此更新新增某些 BitLocker 設定的 Windows 10 Professional 版本支援。 若要查看這些保護設定,請移至 Windows 10 的 Endpoint Protection 設定

共用裝置設定已在 Azure 入口網站 中重新命名為 iOS 裝置的鎖定畫面訊息

當您建立 iOS 裝置的組態設定檔時,您可以新增 共用裝置 組態設定,以在鎖定畫面上顯示特定文字。 此更新包含下列變更:

  • Azure 入口網站 中的共用裝置組態設定會重新命名為 [僅限受監督 (的) 鎖定畫面訊息] ([裝置>>設定建立>選擇 iOS] 平臺>選擇設定檔類型 > [鎖定螢幕訊息) 的裝置功能]。
  • 新增鎖定畫面訊息時,您可以在 資產標籤資訊鎖定畫面腳註中插入序號、裝置名稱或其他裝置特定值作為變數。 例如,您可以輸入 Device name: {{devicename}}Serial number is {{serialnumber}} 使用大括弧。 iOS 令牌會 列出可用的令牌。 在鎖定畫面上顯示訊息的 設定會列出設定。

新 App Store、文件檢視、新增至 iOS 裝置的遊戲裝置限制設定

[裝置>設定>建立>適用於平臺>的iOS][配置檔類型>限制] App Store、[文件檢視]、[遊戲] 中,新增了下列設定:允許受管理的應用程式將聯繫人寫入 Unmanaged 聯繫人帳戶允許 Unmanaged 應用程式從受控聯繫人帳戶讀取。若要查看這些設定,請移至 iOS 裝置限制

Android Enterprise 裝置擁有者裝置的新通知、提示和 Keyguard 設定

此更新包含以裝置擁有者身分執行時,Android Enterprise 裝置上的數個新功能。 若要使用這些功能,請移至 [裝置>>設定] [在平臺中建立>],選擇 [Android Enterprise> In Profile 類型],選擇 [僅限>裝置擁有者] [裝置限制]

新功能包括:

  • 停用系統通知不顯示,包括來電、系統警示、系統錯誤等等。
  • 建議您略過第一次開啟之應用程式的起始教學課程和提示。
  • 停用進階 Keyguard 設定,例如相機、通知、指紋解除鎖定等等。

若要查看設定,請移至 Android Enterprise裝置限制設定

Android 企業裝置擁有者裝置可以使用 Always On VPN 連線

在此更新中,您可以在 Android 企業裝置擁有者裝置上使用 Always-on VPN 連線。 一律開啟的 VPN 連線機會保持連線,或在使用者解除鎖定其裝置、裝置重新啟動或無線網路變更時立即重新連線。 您也可以將連線置於「鎖定」模式,這會封鎖所有網路流量,直到 VPN 連線處於作用中狀態為止。 您可以在 [裝置>>設定] 中啟用 Always-on VPN 針對 [僅>限裝置擁有者] 連線設定的平臺 > [裝置限制] 啟用 [建立>Android 企業]。 若要查看設定,請移至 Android Enterprise裝置限制設定

在 Windows 10 裝置上於任務管理器中結束進程的新設定

此更新包含在 Windows 10 裝置上使用任務管理員結束進程的新設定。 使用裝置組態配置檔 (>> 裝置組態在平臺建立>],選擇 [Windows 10> 在配置檔類型中,選擇 [裝置限制>] [一般設定) ,選擇允許或防止此設定。 若要查看這些設定,請移至 Windows 10 裝置限制設定。 適用於:Windows 10 及更新版本

Intune 與其他著重於安全性的服務整合,包括端點 Windows Defender 和適用於端點的 Office 365 Defender。 客戶要求 Microsoft 365 服務的一般策略和一組一組一致的端對端安全性工作流程。 我們的目標是要調整策略,以建置可橋接安全性作業和一般系統管理員工作的解決方案。 在 Intune 中,我們的目標是要藉由發佈一組 Microsoft 建議的「安全性基準」 (Intune>安全性基準) 來達成此目標。 系統管理員可以直接從這些基準建立安全策略,然後將它們部署到其使用者。 您也可以自定義最佳做法建議,以符合組織的需求。 Intune 可確保裝置符合這些基準,並通知使用者或裝置不符合規範的系統管理員。

這項功能處於公開預覽狀態,因此現在建立的任何配置檔都不會移至 GA) (正式推出的安全性基準範本。 您不應該打算在生產環境中使用這些預覽範本。

若要深入瞭解安全性基準,請參閱在 Intune 中建立 Windows 10 安全性基準

此功能適用於:Windows 10 及更新版本

非系統管理員可以在已加入 Windows 10 裝置上啟用 BitLocker Microsoft Entra ID

當您在 Windows 10 裝置上啟用 BitLocker 設定時, (>> 裝置組態建立>Windows 10 及更新版本,針對配置檔類型 >Windows 加密) 的平臺 >Endpoint Protection,您會新增 BitLocker 設定。

此更新包含新的 BitLocker 設定,可讓標準使用者 (非系統管理員) 啟用加密。

若要查看設定,請移至 Windows 10 的 Endpoint Protection 設定

檢查 Configuration Manager 合規性

此更新包含新的 Configuration Manager 合規性設定 (裝置合規性>>原則建立原則>Windows 10 及更新版本>Configuration Manager 合規性) 。 Configuration Manager 傳送訊號給 Intune 合規性。 使用此設定,您可以要求所有 Configuration Manager 訊號傳回符合規範的訊號

例如,您需要在裝置上安裝所有軟體更新。 在 Configuration Manager 中,此需求具有「已安裝」狀態。 如果裝置上有任何程式處於未知狀態,則裝置在 Intune 中不符合規範。

Configuration Manager 合規性說明此設定。

適用於:Windows 10 及更新版本

使用裝置組態配置檔自定義受監督 iOS 裝置上的背景布

當您建立 iOS 裝置的裝置組態設定檔時,您可以自定義一些功能, (>> 裝置組態建立>適用於設定檔類型的平台>裝置功能) 。 此更新包含新的 桌布 設定,可讓系統管理員在主畫面或鎖定畫面上使用 .png、.jpg 或.jpeg影像。 這些桌布設定僅適用於受監督的裝置。

如需這些設定的清單,請參閱 iOS 裝置功能設定

Windows 10 kiosk 已正式推出

在此更新中,Windows 10和更新版本裝置上的 Kiosk 功能已正式推出 (GA) 。 若要查看您可以新增和設定的所有設定,請參閱 Windows 10 (和更新版本) 的 Kiosk 設定

在 Android Enterprise 的裝置限制 > 裝置擁有者中,已移除透過藍牙的聯繫人共用

當您建立 Android Enterprise 裝置的裝置限制配置檔時,會有 [ 透過藍牙聯繫人共用 ] 設定。 在此更新中,會移除 [透過藍牙進行聯繫人共用] 設定, (>> 裝置設定建立>平臺裝置限制裝置擁有者的平臺裝置限制>裝置擁有者一>) 。>

Android Enterprise 裝置擁有者管理不支援透過 藍牙 聯繫人共用設定。 因此,移除此設定時,即使已在您的環境中啟用並設定此設定,也不會影響任何裝置或租使用者。

若要查看目前的設定清單,請移至 Android Enterprise 裝置設定以允許或限制功能

適用於:Android Enterprise 裝置擁有者

裝置註冊

更詳細的註冊限制失敗傳訊

當不符合註冊限制時,可以使用更詳細的錯誤訊息。 若要查看這些訊息,請移至 Intune>疑難解答> 並檢查註冊失敗數據表。

裝置管理

Android 公司擁有、完全受控裝置的支持預覽

Intune 現在支援完全受控的 Android 裝置,這是公司擁有的「裝置擁有者」案例,其中裝置受到 IT 嚴格管理,並與個別使用者相關聯。 此功能可讓系統管理員管理整個裝置、強制執行工作配置檔無法使用的延伸原則控制範圍,以及限制使用者只能從受控 Google Play 安裝應用程式。 如需詳細資訊, 請參閱設定 Android 完全受控裝置的 Intune 註冊註冊專用裝置或完全受控裝置

這項功能目前為預覽狀態。 Android 完全受控用戶裝置目前無法使用某些 Intune 功能,例如憑證、合規性和條件式存取。

WIP 無註冊裝置的選擇性抹除支援

Windows 資訊保護 無註冊 (WIP-WE) 可讓客戶保護其在 Windows 10 裝置上的公司數據,而不需要完整 MDM 註冊。 使用 WIP-WE 原則保護文件之後,Intune 系統管理員就可以選擇性地抹除受保護的數據。 藉由選取使用者和裝置,並傳送抹除要求,透過WIP-WE原則保護的所有數據都會變成無法使用。 從 Azure 入口網站 中的 Intune,選取 [行動應用程式應用程式>選擇性抹除]

監視及疑難排解

租用戶狀態儀錶板

新的 [租用戶狀態] 頁面 提供單一位置,您可以在其中檢視租使用者的狀態和相關詳細數據。 儀錶板分成四個區域:

  • 租使用者詳細 數據 - 顯示的資訊包括您的租使用者名稱和位置、您的 MDM 授權單位、租用戶中註冊的裝置總數,以及您的授權計數。 本節也會列出您租使用者的目前服務版本。
  • 連接器狀態 - 顯示您已設定之可用連接器的相關信息,也可以列出尚未啟用的連接器。
    根據每個連接器的目前狀態,它們會標示為狀況良好、警告或狀況不良。 選取連接器以鑽研及檢視詳細數據,或為其設定詳細資訊。
  • Intune 服務健康狀態 - 顯示租使用者作用中事件或中斷的詳細數據。 本節中的資訊是直接從 Office 訊息中心擷取。
  • Intune 新聞 - 顯示租使用者的作用中訊息。 當您的租使用者收到最新的 Intune 功能時,訊息會包含通知之類的內容。 本節中的資訊是直接從 Office 訊息中心擷取。

公司入口網站 中 Windows 10 的新說明和支持體驗

新的 公司入口網站 [說明 & 支援] 頁面可協助使用者針對應用程式和存取問題進行疑難解答和要求協助。 在新頁面中,他們可以透過電子郵件傳送錯誤和診斷記錄詳細數據,並尋找其組織的技術服務人員詳細數據。 他們也會找到常見問題區段,其中包含相關 Intune 文件的連結。

Intune 的新說明與支持體驗

我們將在接下來的幾天推出新的說明及支持體驗給所有租使用者。 此新體驗適用於 Intune,且可在使用 Azure 入口網站 中的 Intune 刀鋒視窗時存取。 新的體驗可讓您以自己的文字描述您的問題,並接收疑難解答深入解析和 Web 型補救內容。 這些解決方案是透過以規則為基礎的機器學習演算法提供,由使用者查詢所驅動。 除了問題特定的指引之外,您還會使用新的案例建立工作流程,透過電子郵件或電話開啟支援案例。

這個新體驗會取代先前的說明及支持體驗。 這是一組靜態預先選取的選項,以您在開啟 [說明及支援] 時所在的控制台區域為基礎。

如需詳細資訊,請參閱如何取得 Microsoft Intune 的支援

新的作業記錄,以及將記錄傳送至 Azure 監視器服務的能力

Intune 具有內建的稽核記錄,可在變更時追蹤事件。 此更新包含新的記錄功能,包括:

  • 作業記錄 (預覽) ,其中顯示已註冊用戶和裝置的詳細數據,包括成功和失敗的嘗試。
  • 稽核記錄和作業記錄可以傳送至 Azure 監視器,包括記憶體帳戶、事件中樞和記錄分析。 這些服務可讓您儲存、使用Splunk和QRadar等分析,並取得記錄數據的視覺效果。

將記錄數據傳送至 Intune 中的記憶體、事件中樞或記錄分析 ,可提供這項功能的詳細資訊。

略過 iOS DEP 裝置上的更多設定助理畫面

除了您目前可以略過的畫面之外,您還可以在使用者註冊裝置時,將iOS DEP裝置設定為略過設定助理中的下列畫面:顯示音調、隱私權、Android 移轉、首頁按鈕、iMessage & FaceTime、上線、監看移轉、外觀、螢幕時間、軟體更新、SIM 安裝程式。 若要選擇要略過的畫面,請移至 [裝置註冊>][Apple 註冊][註冊>計劃令牌>] 選擇令牌 >[配置檔>] 選擇設定檔>屬性>設定助理自定義>選擇 [隱藏] 作為您想要略過 >[確定] 的任何畫面。 如果您建立新的設定檔或編輯配置檔,選取的略過畫面必須與 Apple MDM 伺服器同步。 用戶可以發出裝置的手動同步處理,以便在挑選配置文件變更時不會有任何延遲。

Android Enterprise APP-WE 應用程式部署

針對未註冊應用程式保護原則中的 Android 裝置, (APP-WE) 部署案例,您現在可以使用受控 Google Play 將市集應用程式和 LOB 應用程式部署給使用者。 具體而言,您可以為使用者提供應用程式類別目錄和安裝體驗,讓終端使用者不再需要允許來自未知來源的安裝,以放寬其裝置的安全性狀態。 此外,此部署案例將提供改良的用戶體驗。

角色型存取控制

應用程式的範圍標籤

您可以建立範圍標籤來限制角色和應用程式的存取權。 您可以將範圍標籤新增至應用程式,讓只有角色也指派該範圍標籤的人員可以存取應用程式。 目前,從受控 Google Play 新增到 Intune 的應用程式,或使用 Apple 大量採購方案 (VPP) 購買的應用程式,無法指派範圍卷標, (規劃未來支援) 。 如需詳細資訊,請 參閱使用範圍卷標來篩選原則

2018 年 12 月

應用程式管理

應用程式傳輸安全性的 匯報

Microsoft Intune 支援傳輸層安全性 (TLS) 1.2+ 提供最佳的加密、確保 Intune 預設更安全,以及與其他 Microsoft 服務一致,例如 Microsoft 365。 為了符合這項需求,iOS 和 macOS 公司入口網站會強制執行 Apple 更新的應用程式傳輸安全性 (ATS) 需求,這也需要 TLS 1.2+。 ATS 可用來對所有透過 HTTPS 的應用程式通訊強制執行更嚴格的安全性。 這項變更會影響使用 iOS 和 macOS 公司入口網站 應用程式的 Intune 客戶。 如需詳細資訊,請參閱 Intune 支援部落格

Intune App SDK 將支援 256 位加密金鑰

Intune App SDK for Android 現在會在應用程式保護原則啟用加密時使用 256 位加密密鑰。 SDK 將繼續提供 128 位金鑰的支援,以與使用舊版 SDK 的內容和應用程式相容。

macOS 裝置所需的 Microsoft Auto Update 4.5.0 版

若要繼續接收 公司入口網站 和其他 Office 應用程式的更新,Intune 所管理的 macOS 裝置必須升級至 Microsoft Auto Update 4.5.0。 使用者的 Office 應用程式可能已經有此版本。

裝置管理

Intune 需要macOS 10.12或更新版本

Intune 現在需要macOS 10.12版或更新版本。 使用舊版 macOS 的裝置無法使用 公司入口網站 註冊到 Intune。 若要接收支持協助和新功能,用戶必須將其裝置升級至macOS 10.12或更新版本,並將公司入口網站升級至最新版本。

2018 年 11 月

應用程式管理

在公司擁有的受監督 iOS 裝置上卸載應用程式

您可以移除公司擁有受監督 iOS 裝置上的任何應用程式。 您可以將目標設為具有 卸載 指派類型的使用者或裝置群組,以移除任何應用程式。 針對個人或不受監督的 iOS 裝置,您將能夠繼續只移除使用 Intune 安裝的應用程式。

下載 Intune Win32 應用程式內容

Windows 10 RS3 和更新版本的用戶端會在 Windows 10 用戶端上使用傳遞優化元件下載 Intune Win32 應用程式內容。 傳遞優化提供預設開啟的點對點功能。 目前,傳遞優化可由組策略設定。 如需詳細資訊,請參閱 Windows 10 的傳遞優化

用戶裝置和應用程式內容功能表

終端用戶現在可以在裝置和應用程式上使用操作功能表來觸發常見的動作,例如重新命名裝置或檢查合規性。

在 受控主畫面 應用程式中設定自定義背景

我們新增的設定可讓您自定義 Android Enterprise、多應用程式、kiosk 模式裝置上 受控主畫面 應用程式的背景外觀。 若要設定自定義 URL 背景,請移至 [Azure 入口網站 > 裝置設定] 中的 [Intune]。 選取目前的裝置組態配置檔,或建立新的配置檔來編輯其 kiosk 設定。 若要查看 kiosk 設定,請參閱 Android Enterprise 裝置限制

應用程式防護 原則指派儲存並套用

您現在可以更妥善地控制 應用程式保護原則指派。 當您選取 [ 指派 ] 來設定或編輯原則的指派時,必須先 儲存 設定,才能套用變更。 使用 Discard 清除您所做的所有變更,而不會儲存對 [包含] 或 [排除] 清單的任何變更。 藉由要求儲存或捨棄,只有您想要使用的用戶會獲指派應用程式保護原則。

適用於 Windows 10 及更新版本的新 Microsoft Edge 瀏覽器設定

此更新包含新的設定,可協助您在裝置上控制和管理 Microsoft Edge 瀏覽器 45 版和更新版本。 如需這些設定的清單,請參閱 Windows 10 (和更新) 的裝置限制

應用程式保護原則的新應用程式支援

您現在可以使用 Intune 應用程式保護原則來管理下列應用程式:

  • Stream (iOS)
  • 若要執行 Android (,iOS)
  • PowerApps (Android、iOS)
  • Flow (Android、iOS)

使用應用程式保護原則來保護公司數據,並控制這些應用程式的數據傳輸,例如其他 Intune 原則受控應用程式。 注意:如果控制台中還看不到 Flow,您會在建立或編輯應用程式保護原則時新增 Flow。 若要這樣做,請使用 [+ 更多應用程式] 選項,然後在輸入字段中指定 Flow 的 應用程式識別 碼。 針對 Android,請使用 com.microsoft.flow,而針對 iOS,請使用 com.microsoft.procsimo

裝置設定

iOS 電子郵件設置檔中的 iOS 12 OAuth 支援

Intune 的 iOS 電子郵件設置檔支援 iOS 12 開放式授權 (OAuth) 。 若要查看這項功能,請 (裝置設定建立>適用於配置檔類型) >> 的平臺 >Email 建立iOS 的新配置檔,或更新現有的iOS電子郵件設置檔。 如果您在已部署至使用者的配置檔中啟用 OAuth,系統會提示使用者重新驗證,並再次下載其電子郵件。

iOS 電子郵件設置檔 有關於在電子郵件設置檔中使用 OAuth 的詳細資訊。

適用於 iOS 的 Citrix SSO 的網路 存取控制 (NAC) 支援

Citrix 發行了 Citrix 閘道的更新,以允許 Intune 中適用於 iOS 的 Citrix SSO 的網路 存取控制 (NAC) 。 您可以選擇在 Intune 的 VPN 設定檔中包含裝置識別碼,然後將此設定檔推送至您的 iOS 裝置。 您必須安裝 Citrix 閘道的最新更新,才能使用這項功能。

在 iOS 裝置上設定 VPN 設定 可提供有關使用 NAC 的詳細資訊,包括一些其他需求。

顯示 iOS 和 macOS 版本號碼和組建編號

[裝置合規性裝置合規性>] 中,會顯示iOS和macOS操作系統版本,並可在合規性政策中使用。 此更新包括可針對這兩個平臺設定的組建編號。 發行安全性更新時,Apple 通常會保留版本號碼,但會更新組建編號。 藉由在合規性政策中使用組建編號,您可以輕鬆地檢查是否已安裝弱點更新。 若要使用這項功能,請參閱 iOSmacOS 合規性原則。

更新通道會取代為 Windows 10 和更新版本的傳遞優化設定

傳遞優化是適用於 Windows 10 和更新版本的新組態配置檔。 這項功能提供更精簡的體驗,可將軟體更新傳遞給組織中的裝置。 此更新也可協助您使用組態配置檔,在新的和現有的更新通道中傳遞設定。 若要設定傳遞優化組態配置檔,請參閱 Windows 10 (和更新) 傳遞優化設定

新增至 iOS 和 macOS 裝置的新裝置限制設定

此更新包含 iOS 和 macOS 裝置的新設定,這些裝置是使用 iOS 12 發行:

iOS 設定

  • 一般:僅限受監督 (封鎖應用程式移除)
  • 一般:僅 (受監督) 封鎖 USB 限制模式
  • 一般:僅強制自動 (受監督的日期和時間)
  • 密碼:僅限受監督 (封鎖密碼自動填寫)
  • 密碼:僅限受監督 (封鎖密碼鄰近性要求)
  • 密碼:封鎖僅限受監督 (密碼共用)

macOS 設定

  • 密碼:封鎖密碼自動填寫
  • 密碼:封鎖密碼鄰近性要求
  • 密碼:封鎖密碼共用

若要深入了解這些設定,請參閱 iOSmacOS 裝置限制設定。

裝置註冊

Microsoft Entra 已加入混合式裝置的 Autopilot 支援 (預覽)

您現在可以使用 Autopilot 來設定 Microsoft Entra 混合式聯結裝置。 裝置必須加入組織的網路,才能使用混合式 Autopilot 功能。 如需詳細資訊,請參閱使用 Intune 和 Windows Autopilot 部署 Microsoft Entra 混合式聯結裝置。 這項功能會在接下來的幾天內在使用者群中推出。 因此,在推出至您的帳戶之前,您可能無法遵循這些步驟。

選取 [註冊狀態] 頁面上追蹤的應用程式

您可以選擇要在註冊狀態頁面上追蹤哪些應用程式。 在安裝這些應用程式之前,用戶無法使用裝置。 如需詳細資訊, 請參閱設定註冊狀態頁面

依序號搜尋 Autopilot 裝置

您現在可以依序號搜尋 Autopilot 裝置。 若要這樣做,請選擇 [ 裝置註冊>][Windows 註冊>裝置> ] 在 [依 序號搜尋 ] 方塊 > 中按 Enter 鍵輸入序號。

追蹤 Office 專業增強版的安裝

用戶可以使用註冊狀態頁面來追蹤 Office ProPlus 的安裝進度。 如需詳細資訊, 請參閱設定註冊狀態頁面

VPP 令牌過期或 公司入口網站 授權不足的警示

如果您使用大量採購方案 (VPP) 在 DEP 註冊期間預先布建 公司入口網站,Intune 會在 VPP 令牌即將到期以及 公司入口網站 的授權不足時發出警示。

適用於 Apple School Manager 帳戶的 macOS 裝置註冊計劃支援

Intune 現在支援針對 Apple School Manager 帳戶在 macOS 裝置上使用裝置註冊計劃。 如需詳細資訊,請 參閱使用Apple School Manager自動註冊macOS裝置或裝置註冊計劃

新的 Intune 裝置訂用帳戶 SKU

為了協助降低在企業中管理裝置的成本,現在可以使用新的裝置型訂用帳戶 SKU。 此 Intune 裝置 SKU 是每個裝置每月授權一次。 價格會因授權計劃而有所不同。 其可直接透過 Microsoft 365 系統管理中心,以及透過 Enterprise 合約 (EA) 、Microsoft 產品與服務合約 (MPSA) 、Microsoft Open 合約雲端解決方案提供者 (CSP) 取得。

裝置管理

在Android裝置上暫時暫停 kiosk 模式以進行變更

在多應用程式 Kiosk 模式中使用 Android 裝置時,IT 系統管理員可能需要對裝置進行變更。 此更新包含新的多應用程式 kiosk 設定,可讓 IT 系統管理員使用 PIN 暫時暫停 kiosk 模式,並取得整個裝置的存取權。 若要查看 kiosk 設定,請參閱 Android Enterprise 裝置限制

在 Android Enterprise kiosk 裝置上啟用虛擬首頁按鈕

新的設定可讓使用者點選其裝置上的軟鍵按鈕,以在其多應用程式 kiosk 裝置上的 受控主畫面 應用程式與其他指派的應用程式之間切換。 在使用者的 kiosk 應用程式未適當地回應 [上一頁] 按鈕的情況下,此設定很有説明。 您可以為公司擁有的單一使用 Android 裝置設定此設定。 若要啟用或停用 [虛擬首頁] 按鈕,請移至 [Azure 入口網站 > 裝置設定] 中的 [Intune]。 選取目前的裝置組態配置檔,或建立新的配置檔來編輯其 kiosk 設定。 若要查看 kiosk 設定,請參閱 Android Enterprise 裝置限制

2018 年 10 月

應用程式管理

使用公司入口網站應用程式存取金鑰配置檔屬性

終端用戶現在可以從公司入口網站應用程式存取金鑰帳戶屬性和動作,例如密碼重設。

iOS 上的應用程式設定可以封鎖第三方鍵盤

在 iOS 裝置上,Intune 系統管理員可以在存取受原則保護應用程式中的組織數據時,封鎖使用第三方/合作夥伴鍵盤。 當應用程式保護原則 (APP) 設定為封鎖第三方/合作夥伴鍵盤時,裝置使用者會在第一次使用第三方/合作夥伴鍵盤與公司數據互動時收到訊息。 除了原生鍵盤之外,所有選項都會遭到封鎖,且裝置使用者不會看到它們。 裝置使用者只會看到對話框訊息一次。

受控 Android 和 iOS 裝置上 Intune 應用程式的用戶帳戶存取權

身為 Microsoft Intune 系統管理員,您可以控制要將哪些用戶帳戶新增至受管理裝置上的 Microsoft Office 應用程式。 您可以限制只能存取允許的組織用戶帳戶,並封鎖已註冊裝置上的個人帳戶。

Outlook iOS 和 Android 應用程式設定原則

您現在可以為搭配 ActiveSync 通訊協定使用基本身份驗證的內部部署使用者,為 iOS 和 Android 建立 Outlook iOS 和 Android 應用程式設定原則。 當 iOS 版和 Android 版 Outlook 啟用組態設定時,將會新增更多組態設定。

Microsoft 365 Apps 企業版 語言套件

身為 Intune 系統管理員,您可以針對透過 Intune 管理的 Microsoft 365 Apps 企業版 應用程式部署其他語言。 可用語言的清單包含 (核心、部分和校訂) 的語言套件 類型 。 在 Azure 入口網站 中,選取 [Microsoft Intune>][用戶端應用程式>新增>]。 在 [新增應用程式] 刀鋒視窗的 [應用程式類型] 列表中,選取 [Office 365 Suite] 底下的 [Windows 10]。 在 [應用程式套件設定] 刀鋒視窗中選取 [語言]。

Windows 企業營運 (LOB) 應用程式擴展名

Windows LOB 應用程式的擴展名現在會包含 .msi.appx.appxbundle.msix.msixbundle。 您可以選取 [用戶端應用程式>應用程式新增],在 Microsoft Intune中新增應用程式>。 [ 新增應用程式] 窗格隨即顯示,可讓您選取 [應用程式類型]。 針對 Windows LOB 應用程式,選取 [企業 營運應用程式] 作為應用程式類型,選取 [應用程式套件檔案],然後輸入具有適當擴展名的安裝檔案。

使用 Intune Windows 10 應用程式部署

根據現有的企業營運 (LOB) 應用程式和 商務用 Microsoft Store 應用程式支援,系統管理員可以使用 Intune 將組織的大部分現有應用程式部署到 Windows 10 裝置上的使用者。 系統管理員可以為 Windows 10 使用者新增、安裝和卸載各種格式的應用程式,例如 MSI、Setup.exe 或 MSP。 Intune 會在下載和安裝之前評估需求規則,並使用 Windows 10 控制中心通知終端用戶狀態或重新啟動需求。 這項功能會有效地解除鎖定想要將此工作負載轉移至 Intune 和雲端的組織。 這項功能目前處於公開預覽狀態,我們預計會在未來幾個月內為該功能新增大量新功能。

Web 資料的應用程式保護原則 (應用程式) 設定

Android 和 iOS 裝置上 Web 內容的 APP 原則設定將會更新,以更妥善地處理 HTTP 和 https Web 連結,以及透過 iOS 通用連結和 Android 應用程式鏈接的數據傳輸。

用戶裝置和應用程式內容功能表

終端用戶現在可以使用裝置和應用程式上的操作功能表來觸發常見的動作,例如重新命名裝置或檢查合規性。

Windows 公司入口網站 鍵盤快捷方式

終端用戶現在可以使用鍵盤快捷方式 (快捷鍵) ,在 Windows 公司入口網站 中觸發應用程式和裝置動作。

在指定的逾時之後需要非生物特徵辨識 PIN

透過在系統管理員指定的逾時之後要求非生物特徵辨識 PIN,Intune 可藉由限制使用生物特徵辨識識別來存取公司數據,來改善行動應用程式管理 (MAM) 啟用應用程式的安全性。 這些設定會影響依賴觸控標識碼 (iOS) 、臉部標識碼 (iOS) 、Android 生物特徵辨識或其他未來生物特徵辨識驗證方法來存取其已啟用 APP/MAM 的應用程式的使用者。 這些設定可讓 Intune 系統管理員更細微地控制使用者存取權,排除具有多個指紋或其他生物特徵辨識存取方法的裝置可能會向不正確的用戶顯示公司數據的情況。 在 Azure 入口網站 中,開啟 Microsoft Intune。 選取 [用戶端應用程式>應用程式防護 原則>新增原則>設定]。 找出特定設定的 [存取 ] 區段。 如需存取設定的相關信息,請參閱 iOS 設定Android 設定

iOS MDM 註冊裝置上的 Intune APP 數據傳輸設定

您可以在iOS MDM註冊的裝置上,將Intune APP資料傳輸設定的控制權與指定已註冊的使用者身分識別分開,也稱為用戶主體名稱 (UPN) 。 未使用 IntuneMAMUPN 的系統管理員將不會觀察到行為變更。 當這項功能可供使用時,使用 IntuneMAMUPN 來控制已註冊裝置上的數據傳輸行為的系統管理員應該檢閱新的設定,並視需要更新其應用程式設定。

Windows 10 Win32 應用程式

您可以將 Win32 應用程式設定為在個別使用者的使用者內容中安裝,而不是為裝置的所有使用者安裝應用程式。

Windows Win32 應用程式和 PowerShell 腳本

使用者不再需要登入裝置,即可安裝 Win32 應用程式或執行 PowerShell 腳本。

針對用戶端應用程式安裝進行疑難解答

您可以檢閱 [疑難解答] 刀鋒視窗中標示為 [ 應用程式安裝 ] 的數據行,以針對用戶端應用程式的安裝成功進行 疑難解答 。 若要檢視 [疑難解答] 刀鋒視窗,請在 Intune 入口網站中,選取 [說明及支援] 底下的 [疑難解答]。

裝置設定

在執行 VPN 組態設定檔的裝置上建立 DNS 後綴 Windows 10

當您在 [裝置組態建立] (>>> 建立 VPN 裝置組態設定檔 Windows 10 及更新版本的平臺 >VPN 設定檔類型) 時,您會輸入一些 DNS 設定。 透過此更新,您也可以在 Intune 中輸入多個 DNS 後綴 。 使用 DNS 後綴時,您可以使用其簡短名稱來搜尋網路資源,而不是 FQDN) (完整功能變數名稱。 此更新也可讓您變更 Intune 中 DNS 後綴的順序。 Windows 10 VPN 設定會列出目前的 DNS 設定。 適用於:Windows 10 裝置

支援適用於 Android 企業工作配置檔的 Always-On VPN

在此更新中,您可以在具有受控工作配置檔的 Android 企業裝置上使用 Always-on VPN 連線。 一律開啟的 VPN 連線機會保持連線,或在使用者解除鎖定其裝置、裝置重新啟動或無線網路變更時立即重新連線。 您也可以將連線置於「鎖定」模式,這會封鎖所有網路流量,直到 VPN 連線處於作用中狀態為止。 您可以在裝置設定中>>啟用 Always-on VPN 建立>平台>裝置限制>連線設定的Android 企業

向無使用者裝置發出 SCEP 憑證

目前,憑證會簽發給使用者。 透過此更新,可以將SCEP憑證簽發給裝置,包括無使用者的裝置,例如 kiosk (>> 裝置組態建立>Windows 10 及更新版本,以用於配置檔) 的平臺 >SCEP 憑證。 其他更新包括:

  • SCEP 配置檔中的 Subject 屬性現在是自定義文字框,可以包含新的變數。

  • SCEP 配置檔 中 SAN) 屬性 (主體別名現在是數據表格式,可以包含新的變數。 在數據表中,系統管理員可以新增屬性,並在自定義文字框中填入值。 SAN 將支援下列屬性:

    • DNS
    • 電子郵件地址
    • UPN

    這些新的變數可以使用自定義值文字中的靜態文字來新增。 例如,DNS 屬性可以新增為 DNS = {{AzureADDeviceId}}.domain.com

    注意事項

    大括弧、分號和管道符號 “ { } ; | ” 將無法在 SAN 的靜態文字中運作。 大括弧只能包含要接受SubjectSubject alternative name或 的新裝置憑證變數之一。

新的裝置憑證變數:

"{{AAD_Device_ID}}",
"{{Device_Serial}}",
"{{Device_IMEI}}",
"{{SerialNumber}}",
"{{IMEINumber}}",
"{{AzureADDeviceId}}",
"{{WiFiMacAddress}}",
"{{IMEI}}",
"{{DeviceName}}",
"{{FullyQualifiedDomainName}}",
"{{MEID}}",

注意事項

  • {{FullyQualifiedDomainName}} 僅適用於 Windows 和已加入網域的裝置。
  • 在主體或 SAN 中為裝置憑證指定 IMEI、序號和完整功能變數名稱等裝置屬性時,請注意,這些屬性可能會被具有裝置存取權的人員詐騙。

建立 SCEP 憑證設定檔 會在建立 SCEP 組態設定檔時列出目前的變數。

適用於:Windows 10 及更新版本以及 iOS,支援 Wi-Fi

遠端鎖定不符合規範的裝置

當裝置不符合規範時,您可以在合規性政策上建立動作,以從遠端鎖定裝置。 在 [Intune >裝置合規性] 中,建立新原則,或選取現有的原則 >[內容]。 選取 [不兼容的>動作][新增],然後選擇從遠端鎖定裝置。 支援於:

  • Android
  • iOS
  • macOS
  • Windows 10 行動裝置版
  • Windows Phone 8.1 和更新版本

Windows 10 和更新版本的 kiosk 設定檔改進 Azure 入口網站

此更新包含下列對 Windows 10 Kiosk 裝置組態設定檔的改進 (>> 裝置組態建立>Windows 10 及更新版本,適用於設定檔類型的平臺 >Kiosk 預覽) :

  • 目前,您可以在相同的裝置上建立多個 kiosk 配置檔。 透過此更新,Intune 每個裝置僅支援一個 kiosk 配置檔。 如果您在單一裝置上仍然需要多個 kiosk 設定檔,您可以使用自訂 URI。
  • 多應用程式 kiosk 設定檔中,您可以選取應用程式方格中 [ 開始] 選單設定 的應用程式磚大小和順序。 如果您偏好進行更多自定義,您可以繼續上傳 XML 檔案。
  • Kiosk 瀏覽器設定會移至 Kiosk 設定。 目前,Kiosk 網頁瀏覽器設定在 Azure 入口網站 中有自己的類別。 適用於:Windows 10 及更新版本

在 iOS 裝置上變更指紋或臉部標識碼時的 PIN 提示

在 iOS 裝置上進行生物特徵辨識變更之後,現在會提示使用者輸入 PIN。 這項功能包含已註冊指紋或臉部標識碼的變更。 提示的時機取決於 (分鐘之後重新檢查存取需求的設定) 逾時。 未設定 PIN 時,系統會提示使用者設定 PIN 碼。

這項功能僅適用於 iOS,且需要整合 Intune APP SDK for iOS 版本 9.0.1 或更新版本的應用程式參與。 必須整合SDK,才能在目標應用程式上強制執行行為。 這項整合會以滾動為基礎進行,且取決於特定的應用程式小組。 參與的某些應用程式包括 WXP、Outlook、Managed Browser 和 Viva Engage。

iOS VPN 用戶端上的網路訪問控制支援

透過此更新,當您為 Cisco AnyConnect、F5 Access 和 Citrix SSO for iOS 建立 VPN 組態配置檔時,有新的設定可啟用網路 存取控制 (NAC) 。 此設定可讓裝置的 NAC 識別碼包含在 VPN 設定檔中。 目前沒有任何支援此新 NAC 識別碼的 VPN 用戶端或 NAC 合作夥伴解決方案。 我們會透過 我們的支援部落格文章 通知您。

若要使用 NAC,您必須:

  1. 選擇允許 Intune 在 VPN 設定檔中包含裝置識別碼
  2. 使用直接來自 NAC 提供者的指引來更新 NAC 提供者軟體/韌體

如需 iOS VPN 設定檔內此設定的相關信息,請參閱在 Microsoft Intune 中的 iOS 裝置上新增 VPN 設定。 如需網路訪問控制的詳細資訊,請 參閱網路訪問控制 (NAC) 與 Intune 整合

適用於:iOS

從裝置移除電子郵件設置檔,即使只有一個電子郵件設置檔

先前, 如果 裝置是唯一的電子郵件設置檔,您就無法從裝置移除電子郵件設置檔。 透過此更新,此行為會變更。 現在,您可以移除電子郵件設置檔,即使它是裝置上唯一的電子郵件設置檔。 如需詳細資訊,請參閱 使用 Intune 將電子郵件設置新增至裝置

PowerShell 腳本和 Microsoft Entra ID

Intune 中的 PowerShell 腳本可以鎖定 Microsoft Entra 裝置安全組。

Android、Android Enterprise 的新「必要密碼類型」預設設定

當您 (Intune>裝置合規性>>>原則建立適用於平臺>系統安全性) 的AndroidAndroid 企業原則時,[必要密碼類型] 的預設值會變更:

來源:裝置預設值:至少為數值

適用於:Android、Android Enterprise

若要查看這些設定,請移至 AndroidAndroid Enterprise

在 Windows 10 Wi-Fi 設定檔中使用預先共用金鑰

透過此更新,您可以使用預先共用的密鑰 (PSK) 搭配 WPA/WPA2-Personal 安全性通訊協定來驗證 Windows 10 的 Wi-Fi 組態設定檔。 您也可以在 2018 年 10 月更新 Windows 10 指定裝置的計量付費網路成本設定。

目前,您必須匯入 Wi-Fi 設定檔,或建立自定義配置檔以使用預先共用的金鑰。 適用於 Windows 10的Wi-Fi設定會列出目前的設定。

從您的裝置移除 PKCS 和 SCEP 憑證

在某些情況下,PKCS 和 SCEP 憑證會保留在裝置上。 即使從群組移除原則、刪除組態或合規性部署,或是系統管理員更新現有的 SCEP 或 PKCS 配置檔,它們仍會保留。

此更新會變更行為。 在某些情況下,PKCS 和 SCEP 憑證會從裝置中移除,而有些案例會將這些憑證保留在裝置上。 如需這些案例,請參閱在 Microsoft Intune 中移除 SCEP 和 PKCS 憑證

在macOS裝置上使用閘道守衛以符合規範

此更新包含 macOS 閘道守衛,以評估裝置是否符合規範。 若要設定 Gatekeeper 屬性, 請新增 macOS 裝置的裝置合規性政策

裝置註冊

將 Autopilot 配置檔套用至尚未註冊 Autopilot 的已註冊 Win 10 裝置

您可以將 Autopilot 配置檔套用至尚未註冊 Autopilot 的已註冊 Win 10 裝置。 在 Autopilot 配置檔中,選擇 [ 將所有目標裝置轉換為 Autopilot ] 選項,以自動向 Autopilot 部署服務註冊非 Autopilot 裝置。 允許 48 小時來處理註冊。 當裝置取消註冊並重設時,Autopilot 會布建它。

建立多個註冊狀態頁面配置檔並指派給 Microsoft Entra 群組

您現在可以建立多個註冊狀態頁面配置檔, 並將其指派 給 Azure ADD 群組。

在 Intune 中從裝置註冊計劃移轉至 Apple Business Manager

Apple Business Manager (ABM) 可在 Intune 中運作,您可以將帳戶從裝置註冊計劃 (DEP) 升級至 ABM。 Intune 中的程式相同。 若要將您的 Apple 帳戶從 DEP 升級至 ABM,請移至 https://support.apple.com/HT208817

[裝置註冊概觀] 頁面上的 [警示和註冊狀態] 索引標籤

警示和註冊失敗現在會出現在 [裝置註冊概觀] 頁面上的個別索引標籤上。

註冊放棄報告

您可以在 [裝置註冊監視器] 下找到提供已放棄註冊>詳細數據的新報告。 如需詳細資訊,請 參閱公司入口網站放棄報告

新的 Microsoft Entra 使用規定功能

Microsoft Entra ID 具有可用的使用規定功能,而非現有的 Intune 條款及條件。 Microsoft Entra ID 使用規定功能可讓您更靈活地瞭解要顯示的詞彙和顯示時機、更好的當地語系化支援、更充分掌控詞彙的呈現方式,以及改善的報告。 Microsoft Entra ID 使用規定功能確實需要 Microsoft Entra ID P1,這也是 企業行動力 + 安全性 E3 套件的一部分。 若要深入瞭解,請 參閱管理貴公司的使用者存取條款及條件一文

Android 裝置擁有者模式支援

針對 Samsung Knox Mobile 註冊,Intune 現在支援將裝置註冊為 Android 裝置擁有者管理模式。 WiFi 或行動數據網路上的使用者第一次開啟裝置時,只要點幾下就可以註冊。 如需詳細資訊,請參閱 使用 Samsung 的 Knox Mobile Enrollment 自動註冊 Android 裝置

裝置管理

軟體 匯報 的新設定

  • 您現在可以設定一些通知,以警示使用者有關完成安裝最新軟體更新所需的重新啟動。
  • 您現在可以設定重新啟動警告提示,以便在工作時間以外重新啟動,以支援 BYOD 案例。

依相互關聯器標識符群組已註冊 Windows Autopilot 的裝置

Intune 現在支援在透過 Configuration Manager 針對現有裝置使用 Autopilot 註冊時,依相互關聯器標識碼將 Windows 裝置分組。 相互關聯器標識碼是 Autopilot 組態檔的參數。 Intune 會自動將 Microsoft Entra 裝置屬性 enrollmentProfileName 設定為等於 OfflineAutopilotprofile-&#9001;correlator ID&#9002;。 此功能可讓您透過離線 Autopilot 註冊的 enrollmentprofileName 屬性,根據相互關聯器標識碼建立任意 Microsoft Entra 動態群組。 如需詳細資訊,請參閱 適用現有裝置的 Windows Autopilot

Intune 應用程式保護原則

Intune 應用程式保護原則可讓您為受 Intune 保護的應用程式設定各種數據保護設定,例如 Microsoft Outlook 和 Microsoft Word。 我們已變更 iOS 和 Android 的這些設定外觀和風格 讓您更輕鬆地尋找個別設定。 原則設定有三種類別:

  • 數據重新配置 - 此群組包含數據外洩防護 (DLP) 控件,例如剪下、複製、貼上和另存新檔限制。 這些設定會決定使用者如何與應用程式中的數據互動。
  • 存取需求 - 此群組包含每個應用程式的 PIN 選項,可決定使用者如何存取工作內容中的應用程式。
  • 條件式啟動 - 此群組會保留最低 OS 設定、越獄和 Root 裝置偵測,以及離線寬限期等設定。

設定的功能不會變更,但是當您在原則撰寫流程中工作時,可以更輕鬆地找到這些設定。

限制應用程式,並封鎖對 Android 裝置上公司資源的存取

[裝置合規性原則>建立原則>Android>系統安全性] 中,[裝置安全性>] 區段下有一個新設定,名為 [受限制的應用程式]。 [ 受限制的應用程式] 設定會使用合規性政策,在裝置上安裝特定應用程式時封鎖對公司資源的存取。 裝置會被視為不符合規範,直到從裝置移除受限制的應用程式為止。 適用於:

  • Android

Intune 應用程式

針對 LOB 應用程式,Intune 將支援 8 GB 的套件大小上限

Intune 將企業營運 (LOB) 應用程式的套件大小上限增加到 8 GB。 如需詳細資訊,請參閱將應用程式新增至 Microsoft Intune

新增 公司入口網站 應用程式的自訂品牌映像

身為 Microsoft Intune 系統管理員,您可以上傳自定義品牌映像。 此影像會在 iOS 公司入口網站 應用程式的使用者設定檔頁面上顯示為背景影像。 如需設定 公司入口網站 應用程式的詳細資訊,請參閱如何設定 Microsoft Intune 公司入口網站 應用程式

在用戶計算機上更新 Office 時,Intune 會維護 Office 當地語系化語言

當 Intune 在使用者的電腦上安裝 Office 時,終端用戶會自動取得與先前 .MSI Office 安裝相同的語言套件。 如需詳細資訊,請參閱使用 Microsoft Intune 將 Microsoft 365 應用程式指派給 Windows 10 裝置

監視及疑難排解

Microsoft 365 入口網站中的新 Intune 支持體驗 裝置管理

我們正在 Microsoft 365 裝置管理 入口網站中推出 Intune 的新說明與支持體驗。 新的體驗可讓您以自己的文字描述您的問題,並接收疑難解答深入解析和 Web 型補救內容。 這些解決方案是透過以規則為基礎的機器學習演算法,由使用者查詢所驅動。

除了問題特定的指引之外,您也可以使用新的案例建立工作流程,透過電子郵件或電話開啟支援案例。

對於參與推出的客戶,此新體驗會取代目前的說明及支持體驗。 這是一組靜態預先選取的選項,以您在開啟 [說明及支援] 時所在的控制台區域為基礎。

這個新的說明與支持體驗正推出至部分但並非所有租使用者,且可在 裝置管理 入口網站中使用。 從可用的 Intune 租使用者隨機選取此新體驗的參與者。 當我們展開推出時,將會新增租使用者。

如需詳細資訊,請參閱如何取得支援 Microsoft Intune 中的說明及支持體驗

適用於 Intune 的 PowerShell 模組 – 預覽可用

透過 Microsoft Graph 提供 Intune API 支援的新 PowerShell 模組現在可在 GitHub 上預覽。 如需如何使用此模組的詳細資訊,請參閱該位置的自述檔。

2018 年 9 月

應用程式管理

拿掉應用程式保護狀態磚的重複

[用戶端應用程式 - 概觀] 頁面和 [用戶端應用程式 - 應用程式防護 狀態] 頁面都顯示 iOS 的 [用戶狀態] 和 [Android 磚的用戶狀態]。 狀態磚已從 [ 用戶端應用程式 - 概觀 ] 頁面中移除,以避免重複。

裝置設定

支援更多第三方證書頒發機構單位 (CA)

透過使用簡單憑證註冊通訊協定 (SCEP) ,您現在可以使用 Windows、iOS、Android 和 macOS 在行動裝置上發行新的憑證和更新憑證。

裝置註冊

Intune 會移至支援 iOS 10 和更新版本

Intune 註冊、公司入口網站 和受控瀏覽器現在僅支援執行 iOS 10 和更新版本的 iOS 裝置。 若要檢查組織中受影響的裝置或使用者,請移至 [Azure 入口網站 >> 裝置所有裝置] 中的 [Intune]。 依OS篩選,然後選取 [資料 行] 以呈現OS版本詳細數據。 要求這些使用者將其裝置升級至支援的OS版本。

如果您有以下列出的任何裝置,或想要註冊下列任何裝置,請知道它們只支援 iOS 9 和更早版本。 若要繼續存取 Intune 公司入口網站,您必須將這些裝置升級至支援 iOS 10 或更新版本的裝置:

  • iPhone 4S
  • iPod Touch
  • iPad 2
  • iPad (第三代)
  • iPad Mini (第 1 代)

裝置管理

Microsoft 365 裝置管理 管理中心

Microsoft 365 的承諾之一是簡化管理,多年來,我們整合了後端 Microsoft 365 服務,以提供端對端案例,例如 Intune 和 Microsoft Entra 條件式存取。 新的 Microsoft 365 系統管理中心 是合併、簡化及整合系統管理員體驗的地方。 適用於 裝置管理 的專家工作區可讓您輕鬆存取組織所需的所有裝置和應用程式管理資訊和工作。 我們預期這項功能會成為企業終端用戶運算小組的主要雲端工作區。

2018 年 8 月

應用程式管理

適用於自定義和 Pulse Secure 連線類型的 iOS 個別應用程式 VPN 配置檔的封包通道支援

使用 iOS 個別應用程式 VPN 設定檔時,您可以選擇使用應用程式層通道 (app-proxy) 或封包層級通道 (封包通道) 。 下列連線類型提供這些選項:

  • 自定義 VPN
  • Pulse Secure 如果您不確定要使用哪一個值,請參閱 VPN 提供者的檔。

在裝置上顯示 iOS 軟體更新時延遲

在適用於 iOS 的 Intune >Software 匯報>Update 原則中,您可以設定不想讓裝置安裝任何更新的天數和時間。 在未來的更新中,您可以在裝置上顯示軟體更新時延遲 1-90 天。 在 Microsoft Intune 中設定iOS更新原則會列出目前的設定。

Microsoft 365 Apps 企業版 版本

使用 Intune 將 Microsoft 365 Apps 企業版 應用程式指派給 Windows 10 裝置時,您可以選取 Office 版本。 在 Azure 入口網站 中,選取 [Microsoft Intune>][應用程式>新增應用程式]。 然後,從 [類型] 下拉式清單中選取 [Office 365 專業增強版 Suite (Windows 10) ]。 選取 [應用程式套件設定] 以顯示相關聯的刀鋒視窗。 將 [更新通道 ] 設定為值,例如 [每月]。 選擇性地選取 [ ],從使用者裝置移除其他版本的 Office (msi) 。 選取 [特定 ] 以在終端使用者裝置上為選取的通道安裝特定版本的 Office。 此時,您可以選取要使用的 特定 Office 版本 。 可用的版本會隨著時間而變更。 因此,建立新的部署時,可用的版本可能較新,而且沒有特定的舊版可用。 目前的部署會繼續部署較舊的版本,但每個通道都會持續更新版本清單。 如需詳細資訊,請參閱 Microsoft 365 Apps的更新通道概觀

支援註冊 Windows 10 VPN 的 DNS 設定

透過此更新,您可以設定 Windows 10 VPN 設定檔,以動態方式向內部 DNS 註冊指派給 VPN 介面的 IP 位址,而不需要使用自定義設定檔。 如需目前可用 VPN 設定檔設定的相關信息,請參閱 Windows 10 VPN 設定

macOS 公司入口網站 安裝程式現在會在安裝程式檔名中包含版本號碼

iOS 自動應用程式更新

自動應用程式更新適用於 iOS 11.0 版和更新版本的裝置和使用者授權應用程式。

裝置設定

Windows Hello 會以用戶和裝置為目標

當您建立 Windows Hello 企業版 原則時,它會套用至組織內的所有使用者, (全租使用者) 。 透過此更新,也可以使用裝置設定原則 (裝置設定建立身分識別保護>Windows Hello 企業版) >>>,將原則套用至特定使用者或特定裝置。

在 Azure 入口網站 的 Intune 中,Windows Hello 組態和設定現在同時存在於裝置註冊裝置組態中。 裝置註冊 的目標是整個組織 (全租使用者) ,並支援 Windows Autopilot (OOBE) 。 裝置設定 的目標是使用簽入期間套用的原則的裝置和使用者。

本功能適用於:

  • Windows 10 和更新版本
  • Windows Holographic for Business

Zscaler 是 iOS 上 VPN 設定檔的可用連線

當您建立 iOS VPN 裝置組態設定檔 (裝置>>設定建立>iOS 平臺 >VPN 設定檔類型) 時,有數種連線類型,包括 Cisco、Citrix 等等。 此更新會將 Zscaler 新增為連線類型。

執行 iOS 之裝置的 VPN 設定 會列出可用的連線類型。

適用於企業 Wi-Fi 配置檔的 FIPS 模式 Windows 10

您現在可以針對 Intune Azure 入口網站 中 Windows 10 的企業 Wi-Fi 配置檔,啟用美國聯邦資訊處理標準 (FIPS) 模式。 如果您在 Wi-Fi 配置檔中啟用 Wi-Fi 基礎結構,請確定已啟用 FIPS 模式。

Intune 中 Windows 10 和更新版本裝置的Wi-Fi 設定會示範如何建立 Wi-Fi 設定檔。

在 Windows 10 和更新版本的裝置上控制 S 模式 - 公開預覽

透過此功能更新,您可以建立裝置組態配置檔,將 Windows 10 裝置切換出S模式,或防止使用者將裝置切換出S模式。 這項功能位於 Intune >裝置>>設定 Windows 10 和更新>版本升級和模式切換

S 模式 Windows 10 簡介提供有關 S 模式的詳細資訊。

適用於:在預覽) 中的最新 Windows 測試 人員組建 (。

端點設定套件的 Windows Defender 會自動新增至組態配置檔

在 Intune 中使用 適用於端點的 Defender 並將裝置上 線時,您先前必須下載元件,並將其新增至您的組態配置檔。 透過此更新,Intune 會自動從資訊安全中心 Windows Defender 取得套件,並將其新增至您的配置檔。 適用於 Windows 10 及更新版本。

要求使用者在裝置設定期間連線

您現在可以將裝置配置檔設定為要求裝置先連線到網路,再於 Windows 10 設定期間繼續通過 [網络] 頁面。 雖然這項功能處於預覽狀態,但需要 Windows 測試人員組建 1809 或更新版本才能使用此設定。 適用於:在預覽) 中的最新 Windows 測試 人員組建 (。

限制應用程式,並封鎖對iOS和Android Enterprise裝置上公司資源的存取

[裝置合規性>原則>建立原則>iOS>系統安全性] 中,有新的 [ 限制的應用程式 ] 設定。 如果裝置上已安裝特定應用程式,此新設定會使用合規性政策來封鎖對公司資源的存取。 裝置會被視為不符合規範,直到從裝置移除受限制的應用程式為止。

適用於:iOS

iOS 的新式 VPN 支援更新

此更新新增支援下列 iOS VPN 用戶端:

  • F5 Access (3.0.1 版和更新版本)
  • Citrix SSO
  • Palo Alto Networks GlobalProtect 5.0 版和更新版本

此外,在此更新中:

  • 現有的 F5 Access 連線類型已重新命名為適用於 iOS 的 F5 Access Legacy
  • 現有的 Palo Alto Networks GlobalProtect 連線類型已重新命名為 Palo Alto Networks GlobalProtect (iOS 的舊版) 。 具有這些連線類型的現有配置檔會繼續使用其各自的舊版 VPN 用戶端。 如果您使用 Cisco Legacy AnyConnect、F5 Access Legacy、Citrix VPN 或 Palo Alto Networks GlobalProtect 4.1 版和更早版本搭配 iOS,您應該移至新的應用程式。 儘快移至新的應用程式,以確保 vPN 存取可在 iOS 12 更新時供 iOS 裝置使用。

如需 iOS 12 和 VPN 設定檔的詳細資訊,請參閱 Microsoft Intune 支援小組部落格

匯出 Azure 傳統入口網站合規性原則,以在 Intune Azure 入口網站 中重新建立這些原則

在 Azure 傳統入口網站中建立的合規性原則將會被取代。 您可以檢閱和刪除任何現有的合規性原則,但無法加以更新。 如果您需要將任何合規性原則移轉至目前的 Intune Azure 入口網站,您可以將原則匯出為逗號分隔的檔案 (.csv 檔案) 。 然後,使用 檔案中的詳細數據,在 Intune Azure 入口網站 中重新建立這些原則。

重要事項

當 Azure 傳統入口網站淘汰時,您將無法再存取或檢視合規性政策。 因此,在 Azure 傳統入口網站淘汰之前,請務必匯出您的原則,並在 Azure 入口網站 中重新建立原則。

Better Mobile - 新的 Mobile Threat Defense 合作夥伴

您可以根據 Better Mobile 所進行的風險評估,使用條件式存取來控制行動裝置對公司資源的存取,這是與 Microsoft Intune 整合的 Mobile Threat Defense 解決方案。

裝置註冊

在單一應用程式模式中鎖定 公司入口網站,直到使用者登入為止

如果您在 DEP 註冊期間透過 公司入口網站 而不是設定助理來驗證使用者,您現在可以在單一應用程式模式中執行 公司入口網站。 此選項會在設定助理完成後立即鎖定裝置,讓用戶必須登入才能存取裝置。 此程式可確保裝置完成上線,且不會在沒有任何用戶系結的情況下遭到孤立。

將使用者和易記名稱指派給 Autopilot 裝置

您現在可以 將使用者指派給單一 Autopilot 裝置。 系統管理員也可以在使用 Autopilot 設定裝置時,提供易記名稱來問候使用者。 適用於:在預覽) 中的最新 Windows 測試 人員組建 (。

在 DEP 註冊期間使用 VPP 裝置授權預先布建 公司入口網站

您現在可以使用大量採購方案 (VPP) 裝置授權,在裝置註冊計劃 (DEP) 註冊期間預先布建 公司入口網站。 若要這樣做,當您建立或編輯註冊配置檔時,請指定您要用來安裝 公司入口網站 的 VPP 令牌。 請確定您的令牌不會過期,而且您有足夠的授權可供 公司入口網站 應用程式使用。 如果令牌過期或用完授權,Intune 會改為推送 App Store 公司入口網站。 此步驟會提示您輸入Apple ID。

需要確認才能刪除用於預先布建的 VPP 令牌 公司入口網站

如果在 DEP 註冊期間使用令牌預先布建 公司入口網站,則現在需要確認才能刪除大量採購方案 (VPP) 令牌。

封鎖 Windows 個人裝置註冊

您可以 封鎖 Windows 個人裝置 在 Intune 中註冊 行動裝置管理 。 使用此功能無法封鎖向 Intune計算機代理 程式註冊的裝置。 這項功能會在接下來的幾周推出,因此您可能不會立即在使用者介面中看到它。

在 Autopilot 設定檔中指定機器名稱模式

您可以指定要在 Autopilot 註冊期間產生和設定電腦名稱電腦名稱範本。 適用於:在預覽) 中的最新 Windows 測試 人員組建 (。

針對 Windows Autopilot 配置文件,隱藏公司登入頁面和網域錯誤頁面上的變更帳戶選項

系統管理員有 新的 Windows Autopilot 配置檔選項 ,可隱藏公司登入和網域錯誤頁面上的變更帳戶選項。 隱藏這些選項需要在 Microsoft Entra ID 中設定公司商標。 適用於:在預覽) 中的最新 Windows 測試 人員組建 (。

macOS 對 Apple 裝置註冊計劃的支援

Intune 現在支援將 macOS 裝置註冊到 Apple 裝置註冊計劃 (DEP) 。 如需詳細資訊,請 參閱使用Apple的裝置註冊計劃自動註冊macOS裝置

裝置管理

刪除 Jamf 裝置

您可以移至> [裝置] 選擇 [Jamf 裝置刪除],以刪除 JAMF 管理裝置>。

將術語變更為「淘汰」和「抹除」

為了與 圖形 API 一致,Intune 使用者介面和文件已變更下列詞彙:

  • 拿掉公司數據 將會變更為「淘汰」
  • 恢復出廠預設 值將會變更為 抹除

系統管理員嘗試刪除 MDM 推播憑證時的確認對話方塊

如果有人嘗試刪除Apple MDM Push Certificate,確認對話框會顯示相關的iOS和macOS裝置數目。 如果憑證已刪除,則必須重新註冊這些裝置。

Windows 安裝程式的安全性設定

您可以允許使用者控制應用程式安裝。 如果啟用,則允許因安全性違規而停止的安裝繼續。 您可以指示 Windows 安裝程式在系統上安裝任何程式時,使用提升的許可權。 此外,您也可以讓 Windows 資訊保護 (WIP) 項目編製索引,以及其相關元數據儲存在未加密的位置。 停用原則時,WIP 保護的專案不會編製索引,而且不會顯示在 Cortana 或檔案總管的結果中。 預設會停用這些選項的功能。

注意事項

Microsoft 已取代 Windows Cortana 獨立應用程式。 Cortana 生產力 助理 仍可供使用。 如需 Windows 用戶端上已被取代功能的詳細資訊,請移至 Windows 用戶端的已淘汰功能

公司入口網站 網站的新用戶體驗更新

我們已根據客戶的意見反應,將新功能新增至 公司入口網站 網站。 您的裝置現有功能和可用性將大幅改善。 網站的區域,例如裝置詳細數據、意見反應和支援,以及裝置概觀,都已收到全新、新式的回應式設計。 您也會看到:

  • 所有裝置平台的簡化工作流程
  • 改善的裝置識別和註冊流程
  • 更實用的錯誤訊息
  • 更友善的語言,較少的技術術語
  • 能夠共用應用程式的直接連結
  • 改善大型應用程式目錄的效能
  • 提高所有用戶的輔助功能

Intune 公司入口網站 網站檔已更新,以反映這些變更。 若要檢視應用程式增強功能的範例,請參閱 Intune 使用者應用程式的 UI 更新

監視及疑難排解

合規性報告中增強的越獄偵測

增強的越獄偵測設定狀態現在會出現在 Intune 系統管理中心的所有合規性報告中。

角色型存取控制

原則的範圍標籤

您可以 建立範圍標籤 來限制對 Intune 資源的存取。 將範圍標籤新增至角色指派,然後將範圍標籤新增至組態配置檔。 角色只能存取組態配置檔具有相符範圍標籤 (或沒有範圍標籤) 的資源。

2018 年 7 月

應用程式管理

macOS 的企業營運 (LOB) 應用程式支援

Microsoft Intune 可讓 macOS LOB 應用程式部署為 [必要] 或 [可註冊]。 終端使用者可以使用 macOS 的 公司入口網站 或 公司入口網站 網站,取得部署為可用的應用程式

kiosk 模式的 iOS 內建應用程式支援

除了市集應用程式和受控應用程式之外,您現在還可以選取 Built-In 應用程式 (,例如在 iOS 裝置上以 kiosk 模式執行的 Safari) 。

編輯 Microsoft 365 Apps 企業版 應用程式部署

身為 Microsoft Intune 系統管理員,您可以更有能力編輯 Microsoft 365 Apps 企業版 應用程式部署。 此外,您不再需要刪除部署來變更套件的任何屬性。 在 Azure 入口網站 中,選取 [Microsoft Intune>][用戶端應用程式>]。 從應用程式清單中,選取您的 Microsoft 365 Apps 企業版 套件。

已更新的適用於 Android 的 Intune App SDK 現已推出

適用於 Android 的 Intune App SDK 更新版本可支援 Android P 版本。 如果您是應用程式開發人員並使用適用於 Android 的 Intune SDK,則必須安裝更新版本的 Intune 應用程式 SDK,以確保 Android 應用程式內的 Intune 功能能在 Android P 裝置上繼續如預期般運作。 這個版本的 Intune App SDK 提供執行 SDK 更新的內建外掛程式。 您不需要重寫任何已整合的現有程序代碼。 如需詳細資訊,請參閱 Intune SDK for Android。 如果您針對 Intune 使用舊的徽章樣式,建議您使用公事包圖示。 如需商標詳細數據,請參閱 此 GitHub 存放庫

在 Windows 版公司入口網站應用程式中進行同步處理的更多機會

適用於 Windows 的 公司入口網站 應用程式現在可讓您直接從 Windows 任務列和 [開始] 選單起始同步處理。 如果您唯一的工作是同步裝置並取得公司資源的存取權,這項功能特別有用。 若要存取新功能,請以滑鼠右鍵按下釘選到任務列或 [開始] 選單的公司入口網站圖示。 在功能表選項 (也稱為快捷方式清單) 中,選取 [同步此裝置]。 公司入口網站 會開啟至 [設定] 頁面,並起始您的同步處理。如需新功能的查看,請參閱UI的新功能

Windows 版公司入口網站應用程式中的新瀏覽體驗

現在,當您在 Windows 的 公司入口網站 應用程式中瀏覽或搜尋應用程式時,可以在現有的檢視與新新增的 [詳細數據] 檢視之間切換。 新檢視會列出應用程式詳細數據,例如名稱、發行者、發行集日期和安裝狀態。

[應用程式] 頁面的 [已安裝] 檢視可讓您查看已完成和進行中應用程式安裝的詳細數據。 若要查看新檢視的外觀,請參閱 UI 的新功能

改善 公司入口網站 裝置註冊管理員的應用程式體驗

當裝置註冊管理員 (DEM) 登入適用於 Windows 的 公司入口網站 應用程式時,應用程式現在只會列出 DEM 目前執行中的裝置。 這項改善可減少先前應用程式嘗試顯示所有 DEM 註冊裝置時發生的逾時。

根據未核准的裝置廠商和型號封鎖應用程式存取

Intune IT 系統管理員可以透過 Intune 應用程式保護原則,強制執行指定的 Android 製造商和/或 iOS 模型清單。 IT 系統管理員可以針對 iOS 原則的 Android 原則和裝置型號,提供以分號分隔的製造商清單。 Intune 應用程式保護原則僅適用於Android和iOS。 您可以在此指定的清單上執行兩個不同的動作:

  • 在未指定的裝置上封鎖應用程式存取。
  • 或者,選擇性地抹除未指定裝置上的公司數據。

如果不符合原則的需求,用戶將無法存取目標應用程式。 根據設定,使用者可能會遭到封鎖,或選擇性地抹除應用程式內的公司數據。 在 iOS 裝置上,這項功能需要 WXP、Outlook、Managed Browser 等應用程式 (參與,Viva Engage) 整合 Intune APP SDK,才能強制執行此功能與目標應用程式。 這項整合會以滾動為基礎進行,且取決於特定的應用程式小組。 在 Android 上,此功能需要最新的 公司入口網站。

在終端使用者裝置上,Intune 用戶端會根據應用程式保護原則 Intune 刀鋒視窗中所指定字串的簡單比對來採取動作。 此行為完全取決於裝置所報告的值。 因此,建議IT系統管理員確保預期的行為正確。 若要檢查精確度,請根據以小型使用者群組為目標的不同裝置製造商和型號來測試此設定。 在 Microsoft Intune 中,選取 [用戶端應用程式>應用程式防護 原則],以檢視和新增應用程式保護原則。 如需應用程式保護原則的詳細資訊,請 參閱什麼是應用程式保護原則使用應用程式保護原則存取動作選擇性地抹除數據

存取macOS 公司入口網站發行前版本組建

使用 Microsoft AutoUpdate,您可以加入測試人員計劃,以提早註冊以接收組建。 註冊可讓您先使用更新的 公司入口網站,然後才能提供給終端使用者使用。 如需詳細資訊,請參閱 Microsoft Intune 部落格

裝置設定

在macOS裝置上使用防火牆設定建立裝置合規性政策

當您建立新的 macOS 合規性政策 (裝置合規性>>原則建立原則>平臺:macOS>系統安全性) ,有一些新的防火牆設定可用:

  • 防火牆:設定在環境中處理連入連線的方式。
  • 連入連線封鎖 所有連入連線,但基本因特網服務所需的連線除外,例如 DHCP、Bonjour 和 IPSec。 此設定也會封鎖所有共享服務。
  • 隱形模式啟用 隱形模式以防止裝置回應探查要求。 裝置會繼續回應授權應用程式的傳入要求。

適用於:macOS 10.12 和更新版本

適用於 Windows 10 及更新版本的新 Wi-Fi 裝置組態配置檔

目前,您可以使用 XML 檔案匯入和匯出 Wi-Fi 設定檔。 透過此更新,您可以直接在 Intune 中建立 Wi-Fi 裝置組態配置檔,就像某些其他平台一樣。

若要建立配置檔,請開啟 [裝置>設定>建立>Windows 10 和更新版本>Wi-Fi

適用於 Windows 10和更新版本。

Kiosk - 過時已呈現灰色,無法變更

Kiosk (預覽) 功能 (裝置>>組態建立>Windows 10 和更新版本>的裝置限制) 已過時,並取代為 Windows 10 及更新版本的 Kiosk 設定。 透過此更新, Kiosk - 過時 功能會呈現灰色,且無法變更或更新使用者介面。

若要啟用 kiosk 模式,請參閱 Windows 10 和更新版本的 Kiosk 設定

適用於 Windows 10和更新版本,Windows Holographic for Business

使用第三方/合作夥伴證書頒發機構單位的 API

在此更新中,有一個 Java API 可讓第三方證書頒發機構單位與 Intune 和 SCEP 整合。 然後,使用者可以將 SCEP 憑證新增至配置檔,並使用 MDM 將其套用至裝置。

目前,Intune 支援使用 Active Directory 憑證服務的 SCEP 要求

切換以在 Kiosk 瀏覽器上顯示或不顯示 [結束工作階段] 按鈕

您現在可以設定 Kiosk 瀏覽器是否顯示 [結束工作階段] 按鈕。 您可以>>Kiosk 網頁瀏覽器) 裝置設定Kiosk (> 預覽中看到控制件。 如果開啟,當用戶選取按鈕時,應用程式會提示確認以結束會話。 確認時,瀏覽器會清除所有瀏覽數據,並流覽回預設URL。

建立 eSIM 行動數據組態配置檔

[裝置>設定] 中,您可以建立 eSIM 行動數據設定檔。 您可以匯入包含電信業者所提供行動數據啟用碼的檔案。 然後,您可以將這些配置檔部署到已啟用 eSIM LTE 的 Windows 10 裝置,例如 Surface Pro LTE 和其他支援 eSIM 的裝置。

檢查您的 裝置是否支援 eSIM 配置檔

適用於 Windows 10和更新版本。

使用 Access Work 或 School 設定來選取裝置類別

如果您已啟用裝置群組對應,現在會提示 Windows 10 上的使用者在透過 [設定>帳戶>存取公司或學校] 中的 [連線] 按鈕註冊之後,選取裝置類別。

使用 sAMAccountName 作為電子郵件設置檔的帳戶用戶名稱

您可以使用內部部署 sAMAccountName 作為 Android、iOS 和 Windows 10 電子郵件設定檔的帳戶使用者名稱。 您也可以從 domain Microsoft Entra ID 中的 或 ntdomain 屬性取得網域。 或者,輸入自定義靜態網域。

若要使用這項功能,您必須將屬性從 內部部署的 Active Directory 環境同步sAMAccountName至 Microsoft Entra ID。

適用於 AndroidiOSWindows 10 及更新版本

請參閱衝突中的裝置組態配置檔

[裝置>設定] 中,會顯示現有配置檔的清單。 透過此更新,會新增一個新的數據行,以提供有衝突之配置檔的詳細數據。 您可以選取衝突的數據列,以查看有衝突的設定和配置檔。

關於 管理組態配置檔的詳細資訊

裝置合規性的新狀態

[裝置合規性>原則> ] 中選取原則 >[概觀],新增下列新狀態:

  • 成功
  • 錯誤
  • 衝突
  • 等待
  • 不適用 顯示不同平臺裝置計數的圖表也會顯示。 例如,如果您正在查看 iOS 配置檔,新的圖格會顯示也指派給此設定檔的非 iOS 裝置計數。 請參閱 裝置合規性政策

裝置合規性支援第三方/合作夥伴防病毒軟體解決方案

當您建立裝置合規性政策 (裝置合規性>>原則建立原則>平臺:Windows 10 和更新版本>>設定系統安全性) ,有新的裝置安全性選項:

  • 防病毒軟體:當設定為 [需要] 時,您可以使用向 Windows 安全性 Center 註冊的防病毒軟體解決方案來檢查合規性,例如 Symantec 和 Windows Defender。
  • AntiSpyware:當設定為 [需要] 時,您可以使用向 Windows 安全性 中心註冊的反間諜軟體解決方案來檢查合規性,例如 Symantec 和 Windows Defender。

適用於:Windows 10 及更新版本

裝置註冊

自動將使用 Samsung Knox Mobile Enrollment 註冊的 Android 裝置標示為「公司」

根據預設,使用 Samsung Knox Mobile Enrollment 註冊的 Android 裝置現在會在 [裝置擁有權] 底下標示為公司。 在使用 Knox Mobile Enrollment 註冊之前,您不需要使用 IMEI 或序號手動識別公司裝置。

註冊計劃令牌清單中沒有配置檔的裝置數據行

在註冊計劃令牌清單中,有一個新的數據行顯示未指派配置檔的裝置數目。 這項功能可協助系統管理員先將配置檔指派給這些裝置,再將它們交給使用者。 若要查看新的數據行,請移至 裝置註冊>Apple 註冊註冊>計劃令牌

裝置管理

大量刪除裝置刀鋒視窗上的裝置

您現在可以在 [裝置] 刀鋒視窗上一次刪除多個裝置。 選擇 [裝置>][所有裝置>] 選取您要刪除的>裝置 [刪除]。 對於無法刪除的裝置,將會顯示警示。

Android for Work 和 Play for Work 的 Google 名稱變更

Intune 已更新「Android for Work」術語,以反映Google商標變更。 不再使用「Android for Work」和「Play for Work」等詞彙。 視內容而定,會使用不同的術語:

  • 「Android 企業」是指整體的新式 Android 管理堆疊。
  • 「工作配置檔」或「配置檔擁有者」是指使用工作配置檔管理的 BYOD 裝置。
  • 「受控Google Play」是指Google App Store。

拿掉裝置的規則

有新的規則可讓您自動移除未簽入所設定天數的裝置。 若要查看新規則,請移至 [Intune] 窗格 ,選取 [ 裝置],然後選取 [ 裝置清除規則]

Android 裝置的公司擁有、單一使用支援

Intune 現在支援高度受控、鎖定、kiosk 樣式的Android裝置。 這項功能可讓系統管理員進一步鎖定裝置對單一應用程式或小型應用程式集的使用。 此外,它可防止使用者啟用其他應用程式,或在裝置上執行其他動作。 若要設定 Android kiosk,請移至 Intune >裝置註冊>Android 註冊>Kiosk 和工作裝置註冊。 如需詳細資訊, 請參閱設定 Android 企業 kiosk 裝置的註冊

已上傳重複公司裝置識別碼的每個數據列檢閱

上傳公司標識碼時,Intune 現在會提供任何重複項目的清單,並提供您取代或保留現有信息的選項。 當您選擇 [裝置註冊>公司裝置標識符>] [新增標識符] 之後,如果有重複專案,報告就會出現。

手動新增公司裝置標識碼

您現在可以手動新增公司裝置標識碼。 選擇 [裝置註冊>公司裝置標識>符新增]

2018 年 6 月

應用程式管理

Intune 應用程式保護原則的 Microsoft Edge 行動裝置支援

行動裝置的 Microsoft Edge 瀏覽器現在支援 Intune 中定義的應用程式保護原則。

擷取 kiosk 模式中 商務用 Microsoft Store 應用程式的相關聯應用程式使用者模型標識碼 (AUMID)

Intune 現在可以擷取應用程式使用者模型標識碼, (商務用 Microsoft Store (WSfB) 應用程式的 AUMID) ,以提供改善的 kiosk 設定檔設定。

如需 商務用 Microsoft Store 應用程式的詳細資訊,請參閱從 商務用 Microsoft Store 管理應用程式

新增 公司入口網站 商標頁面

公司入口網站 商標頁面有新的版面配置、訊息和工具提示。

裝置設定

Pradeo - 新的 Mobile Threat Defense 合作夥伴

您可以根據 Pradeo 所進行的風險評估,使用條件式存取來控制行動裝置對公司資源的存取,Pradeo 是與 Microsoft Intune 整合的 Mobile Threat Defense 解決方案。

搭配 NDES 憑證連接器使用 FIPS 模式

當您在已啟用美國聯邦資訊處理標準 (FIPS) 模式的計算機上安裝 NDES 憑證連接器時,簽發和撤銷憑證無法如預期般運作。 透過此更新,NDES 憑證連接器隨附對 FIPS 的支援。

此更新也包括:

  • NDES 憑證連接器需要 .NET 4.5 Framework,這會自動包含在 Windows Server 2016 和 Windows Server 2012 R2 中。 先前,.NET 3.5 Framework 是最低的必要版本。
  • NDES 憑證連接器隨附 TLS 1.2 支援。 因此,如果已安裝 NDES 憑證連接器的伺服器支援 TLS 1.2,則會使用 TLS 1.2。 如果伺服器不支援 TLS 1.2,則會使用 TLS 1.1。 目前,TLS 1.1 用於裝置與伺服器之間的驗證。

如需詳細資訊, 請參閱設定和使用 SCEP 憑證 和設定 和使用 PKCS 憑證

支援 Palo Alto Networks GlobalProtect VPN 配置檔

透過此更新,您可以在 Intune 中選擇 Palo Alto Networks GlobalProtect 作為 VPN 設定檔的 VPN 連線類型 (裝置>組態>建立>設定檔類型>VPN) 。 在此版本中,支援下列平臺:

  • iOS
  • Windows 10

本機裝置安全性選項設定的新增專案

您現在可以為 Windows 10 裝置設定更多本機裝置安全性選項設定。 這些設定可在 Microsoft 網路用戶端、Microsoft 網路伺服器、網路存取和安全性,以及互動式登錄的區域中取得。 當您建立 Windows 10 裝置設定原則時,請在 Endpoint Protection 類別中尋找這些設定。

在 Windows 10 裝置上啟用 kiosk 模式

在 Windows 10 裝置上,您可以建立組態配置檔,並啟用 kiosk 模式 (>> 裝置組態建立>Windows 10 及更新版本>的裝置限制>Kiosk) 。 在此更新中, Kiosk (預覽) 設定已重新命名為 Kiosk (已過時) 。 不再建議使用 Kiosk (過時的) ,但會繼續運作,直到 7 月更新為止。 Kiosk (已過時的) 會由新的 Kiosk 配置檔類型取代 (Create>Windows 10>Kiosk (預覽) ) ,其中包含在 Windows 10 RS4 和更新版本上設定 Kiosk 的設定。

適用於 Windows 10 及更新版本。

裝置配置檔圖形用戶圖表已返回

在改善裝置設定檔圖形圖表上顯示的數值計數時, ([裝置>>設定] 選取現有的設定檔 >[概觀) ,圖形用戶圖表已暫時移除。

透過此更新,圖形用戶圖表會返回,並顯示在 Azure 入口網站 中。

裝置註冊

支援不使用用戶驗證的 Windows Autopilot 註冊

Intune 現在支援 Windows Autopilot 註冊,而不需要用戶驗證。 此功能是 Windows Autopilot 部署配置檔「Autopilot 部署模式」設定為 [自我部署] 中的新選項。 裝置必須 Windows 10 Insider Preview 組建 17672 或更新版本執行,並擁有 TPM 2.0 晶片才能順利完成此類型的註冊。 由於不需要使用者驗證,因此您應該只將此選項指派給具有實體控制權的裝置。

設定 Autopilot 的 OOBE 時的新語言/地區設定

在全新體驗期間,有新的組態設定可用來設定 Autopilot 配置檔的語言和區域。 若要查看新的設定,請選擇 [裝置註冊>][Windows 註冊>][部署配置檔>][建立配置檔>部署模式 = ][自我部署>] [預設值]

設定裝置鍵盤的新設定

在全新體驗期間,您可以使用新的設定來設定 Autopilot 配置檔的鍵盤。 若要查看新的設定,請選擇 [裝置註冊>][Windows 註冊>][部署配置檔>][建立配置檔>部署模式 = ][自我部署>] [預設值]

移至群組目標的 Autopilot 配置檔

Autopilot 部署配置檔可以指派給包含 Autopilot 裝置 Microsoft Entra 群組。

裝置管理

依裝置位置設定合規性

在某些情況下,您可能會想要將公司資源的存取限制為網路連線所定義的特定位置。 您現在可以根據裝置的IP位址, (裝置合規性位置) 建立合規性>政策。 如果裝置移到IP範圍之外,則裝置無法存取公司資源。

適用於:Android 裝置 6.0 和更新版本,並已更新 公司入口網站 應用程式

防止 Windows 10 企業版 RS4 Autopilot 裝置上的取用者應用程式和體驗

您可以防止在 Windows 10 企業版 RS4 Autopilot 裝置上安裝取用者應用程式和體驗。 若要查看此功能,請移至 Intune>裝置>>組態建立>Windows 10 或更新版本,以取得配置檔類型>>設定Windows 焦點>取用者功能的平臺>裝置限制

從 Windows 10 軟體更新卸載最新版本

如果您發現 Windows 10 計算機上發生重大問題,您可以選擇卸載 (復原) 最新的功能更新或最新的品質更新。 卸載功能或品質更新僅適用於裝置所在的維護通道。 卸載將會觸發原則,以在您的 Windows 10 計算機上還原先前的更新。 具體而言,針對功能更新,您可以將套用最新版本卸載的時間限製為2-60天。 若要設定軟體更新卸載選項,請從 Azure 入口網站 內的 [Microsoft Intune] 刀鋒視窗中選取 [軟體更新]。 然後,從 [軟體更新] 刀鋒視窗中選 Windows 10 [更新通道]。 然後,您可以從 [概] 區段中選擇 [卸載] 選項。

搜尋所有裝置的 IMEI 和序號

您現在可以在 [所有裝置] 刀鋒視窗上搜尋 IMEI 和序號, (電子郵件、UPN、裝置名稱和管理名稱仍可) 使用。 在 Intune 中,選擇 [ 裝置>][所有裝置> ] 在搜尋方塊中輸入搜尋。

管理名稱欄位將可編輯

您現在可以在裝置的 [ 屬性 ] 刀鋒視窗上編輯管理名稱欄位。 若要編輯此欄位,請選擇 [ 裝置>][所有裝置> ] 選擇 [裝置 >內容]。 您可以使用 [管理名稱] 字段來唯一識別裝置。

新增所有裝置篩選:裝置類別

您現在可以依裝置類別篩選 [所有裝置 ] 清單。 若要這樣做,請選擇 [裝置>所有裝置] [篩選>裝置>] 類別

使用 TeamViewer 來篩選共用 iOS 和 macOS 裝置

系統管理員現在可以連線 到 TeamViewer,並啟動與 iOS 和 macOS 裝置的螢幕分享會話。 iPhone、iPad 和 macOS 使用者可以與任何其他桌面或行動裝置即時共用其畫面。

多個 Exchange 連接器支援

您不再受限於每個租使用者一個 Microsoft Intune Exchange Connector。 Intune 現在支援多個 Exchange 連接器,因此您可以使用多個內部部署 Exchange 組織來設定 Intune 條件式存取。

透過 Intune 內部部署 Exchange 連接器,您可以管理內部部署 Exchange 信箱的裝置存取權。 存取是以裝置是否已在 Intune 中註冊並符合 Intune 裝置合規性政策為基礎。 若要設定連接器,您可以從 Azure 入口網站 下載 Intune 內部部署 Exchange 連接器,並將其安裝在 Exchange 組織中的伺服器上。 在 Microsoft Intune 儀錶板上,選擇 [內部部署存取],然後在 [設定] 底下,選擇 [Exchange ActiveSync 連接器]。 下載 Exchange 內部部署連接器,並將其安裝在 Exchange 組織中的伺服器上。 每個租使用者不限於一個 Exchange 連接器。 因此,如果您有其他 Exchange 組織,則可以遵循此相同的程式,下載並安裝每個額外 Exchange 組織的連接器。

新的裝置硬體詳細數據:CCID

每個裝置現在都包含晶片卡介面裝置 (CCID) 資訊。 若要查看,請選擇 [裝置>][所有裝置>] 選擇 [網络詳細數據] 底下的裝置>硬體>檢查>

將所有使用者和所有裝置指派為範圍群組

您現在可以指派所有使用者、所有裝置,以及範圍群組中的所有使用者和所有裝置。 選取 [Intune 角色>][所有角色>] [原則] 和 [設定檔管理員>指派]> 選擇指派>範圍 (群組)

iOS 和 macOS 裝置現在包含 UDID 資訊

若要查看 iOS 和 macOS 裝置的唯一裝置識別碼 (UDID) ,請移至 [ 裝置>][所有裝置> 選擇裝置 >硬體]。 UDID 僅適用於公司裝置, (如裝置所有裝置>選擇裝置內容>裝置>擁有權) 中>所設定。

Intune 應用程式

改善應用程式安裝的疑難解答

在 Microsoft Intune 受 MDM 管理的裝置上,有時應用程式安裝可能會失敗。 當這些應用程式安裝失敗時,了解失敗原因或針對問題進行疑難解答可能很困難。 我們正在傳送應用程式疑難解答功能的公開預覽。 您會在每個稱為受控 應用程式的個別裝置下發現新的節點。 此節點會列出已透過 Intune MDM 傳遞的應用程式。 節點內有應用程式安裝狀態的清單。 如果您選取個別的應用程式,則會有該特定應用程式的疑難解答檢視。 在疑難解答檢視中,您會看到應用程式的端對端生命週期,例如應用程式建立、修改、設定目標,以及傳遞至裝置的時間。 此外,如果應用程式安裝不成功,您會看到錯誤碼和錯誤原因的實用訊息。

Intune 應用程式保護原則和 Microsoft Edge

適用於 iOS 和 Android (行動裝置的 Microsoft Edge 瀏覽器) 現在支援 Microsoft Intune 應用程式保護原則。 在 Microsoft Edge 應用程式中使用公司 Microsoft Entra 帳戶登入的 iOS 和 Android 裝置使用者將會受到 Intune 保護。 在 iOS 裝置上, [需要受管理的網頁內容瀏覽器 ] 原則可讓使用者在管理瀏覽器時,在 Microsoft Edge 中開啟連結。

2018 年 5 月

應用程式管理

設定應用程式保護原則

在 Azure 入口網站 中,您現在只需移至 Intune,而不是移至 [Intune 應用程式保護服務] 刀鋒視窗。 Intune 內現在只有一個應用程式保護原則的位置。 您所有的應用程式保護原則都位於 Intune 中 [行動應用程式] 刀鋒視窗的 [應用程式防護 原則] 底下。 此整合有助於簡化您的雲端管理管理。 請記住,所有應用程式保護原則都已在 Intune 中,您可以修改任何先前設定的原則。 Intune 應用程式原則保護 (APP) 和條件式存取 (CA) 原則現在位於 [條件式存取] 底下,您可以在 [Microsoft Intune] 刀鋒視窗的 [管理] 區段或 [Microsoft Entra ID] 刀鋒視窗的 [安全性] 區段底下找到。 如需修改條件式存取原則的詳細資訊,請參閱 Microsoft Entra ID 中的條件式存取。 如需詳細資訊,請 參閱什麼是應用程式保護原則?

裝置設定

需要安裝原則、應用程式、憑證和網路配置檔

系統管理員可以封鎖使用者存取 Windows 10 RS4 桌面,直到 Intune 在布建 Autopilot 裝置期間安裝原則、應用程式和憑證和網路配置檔為止。 如需詳細資訊, 請參閱設定註冊狀態頁面

裝置註冊

Samsung Knox 行動裝置註冊支援

搭配 Samsung Knox Mobile Enrollment (KME) 使用 Intune 時,您可以註冊大量公司擁有的 Android 裝置。 WiFi 或行動數據網路上的使用者第一次開啟裝置時,只要點幾下就可以註冊。 使用 Knox 部署應用程式時,可以使用藍牙或 NFC 註冊裝置。 如需詳細資訊,請參閱 使用 Samsung 的 Knox Mobile Enrollment 自動註冊 Android 裝置

監視及疑難排解

在 公司入口網站 中要求 Windows 10 的說明

Windows 10 的 公司入口網站 現在會在使用者起始工作流程以取得問題協助時,將應用程式記錄直接傳送給 Microsoft。 這項功能可讓您更輕鬆地針對向 Microsoft 提出的問題進行疑難解答和解決。

2018 年 4 月

應用程式管理

Android 上 MAM PIN 的密碼支援

Intune 系統管理員可以設定應用程式啟動需求,以強制執行密碼,而不是數值 MAM PIN。 如果已設定,用戶必須在收到提示時設定並使用密碼,才能存取啟用 MAM 的應用程式。 密碼定義為至少具有一個特殊字元或大寫/小寫字母的數值 PIN。 Intune 以與現有數值 PIN 類似的方式支援密碼...能夠設定最小長度,允許透過 Intune 系統管理中心重複字元和序列。 此功能需要Android上最新版的 公司入口網站。 這項功能已適用於 iOS。

macOS 的企業營運 (LOB) 應用程式支援

Microsoft Intune 將提供從 Azure 入口網站 安裝 macOS LOB 應用程式的功能。 您可以在 GitHub 中提供的工具預先處理 macOS LOB 應用程式之後,將它新增至 Intune。 在 [Azure 入口網站 中,從 [Intune] 刀鋒視窗中選擇 [用戶端應用程式]。 在 [ 用戶端應用程式] 刀鋒視窗上,選擇 [ 應用程式>新增]。 在 [ 新增應用程式] 刀鋒視窗上,選取 [企業營運應用程式]

Android Enterprise 工作設定檔應用程式指派的內建所有使用者和所有裝置群組

您可以針對 Android Enterprise 工作設定檔案應用程式指派使用內建的 [ 所有使用者 ] 和 [ 所有裝置 ] 群組。 如需詳細資訊,請參閱在 Microsoft Intune 中包含和排除應用程式指派

Intune 會重新安裝使用者卸載的必要應用程式

如果終端使用者卸載必要的應用程式,Intune 會在 24 小時內自動重新安裝應用程式,而不是等待 7 天的重新評估週期。

更新設定應用程式保護原則的位置

在 Microsoft Intune 服務內的 Azure 入口網站 中,我們會暫時將您從 [Intune 應用程式保護服務] 刀鋒視窗重新導向至 [行動應用程式] 刀鋒視窗。 您所有的應用程式保護原則都已在 Intune 的 [ 行動應用程式 ] 刀鋒視窗中,位於應用程式組態之下。 您將直接移至 Intune,而不是移至 Intune 應用程式保護。 在 2018 年 4 月,我們將停止重新導向並完全移除 [Intune 應用程式保護 服務] 刀鋒視窗,因此 Intune 內只有一個應用程式保護原則的位置。

這對我有何影響? 這項變更會影響 Intune 獨立客戶和混合式 (Intune 與 Configuration Manager) 客戶。 此整合有助於簡化您的雲端管理管理。

我該怎麼做才能準備這項變更?Intune 標記為我的最愛,而不是 Intune 應用程式保護服務刀鋒視窗,並確定您已熟悉 Intune 內 [行動應用程式] 刀鋒視窗中 應用程式防護 原則工作流程。 我們會重新導向一小段時間,然後移除 [應用程式保護 ] 刀鋒視窗。 請記住,所有應用程式保護原則都已在 Intune 中,您可以修改任何條件式存取原則。 如需修改條件式存取原則的詳細資訊,請參閱 Microsoft Entra ID 中的條件式存取。 如需詳細資訊,請 參閱什麼是應用程式保護原則?

裝置設定

裝置配置檔圖表和狀態清單顯示群組中的所有裝置

當您 (裝置組態) > 設定裝置設定檔時,您可以選擇裝置設定檔,例如 iOS。 您可以將此設定檔指派給包含 iOS 裝置和非 iOS 裝置的群組。 圖形圖表計數顯示配置檔已套用至 iOS,而非 iOS 裝置 (>> 裝置組態選取現有的配置檔>概觀) 。 當您在 [概 ] 索引卷標中選取圖形圖表時,[ 裝置狀態 ] 會列出群組中的所有裝置,而不是只列出 iOS 裝置。

透過此更新,圖形圖表 (裝置>>組態選取現有的配置檔>概觀) 只會顯示特定裝置配置檔的計數。 例如,如果設定裝置配置檔適用於iOS裝置,圖表只會列出iOS裝置的計數。 選取圖形圖表,然後開啟 [ 裝置狀態 ] 只會列出iOS裝置。

進行此更新時,會暫時移除圖形用戶圖表。

Always On VPN for Windows 10

目前,Always On 可透過使用使用 OMA-URI 建立的自定義虛擬專用網 (VPN) 配置檔,在 Windows 10 裝置上使用。

透過此更新,系統管理員可以在 Azure 入口網站 中直接在 Intune 中啟用 Windows 10 VPN 設定檔的 Always On。 Always On VPN 設定檔會在下列時機自動連線:

  • 使用者登入其裝置
  • 裝置上的網路變更
  • 裝置上的畫面在關閉後會重新開啟

教育配置檔的新印表機設定

針對教育配置檔,[ 印表機 ] 類別下提供新的設定: [印表機]、[ 預設印表機]、[ 新增印表機]

在個人配置檔中顯示來電者標識碼 - Android Enterprise 工作設定檔

在裝置上使用個人配置檔時,使用者可能不會看到工作聯繫人的來電者標識碼詳細數據。

透過此更新, Android Enterprise>裝置限制>工作設定檔設定中有新的設定:

  • 在個人配置檔中顯示公司聯繫人來電者標識碼

啟用 (未設定) 時,工作聯繫人來電者詳細數據會顯示在個人配置檔中。 封鎖時,工作聯繫人來電者號碼不會顯示在個人配置檔中。

適用於:Android OS v6.0 和更新版本上的 Android 工作配置檔裝置

新 Windows Defender 新增至端點保護設定的 Credential Guard 設定

透過此更新,Windows Defender Credential Guard (裝置>>設定端點保護) 包含下列設定:

  • Windows Defender Credential Guard:以虛擬化為基礎的安全性開啟 Credential Guard。 啟用此功能有助於在下次重新啟動時,同時啟 用具有安全開機虛擬化安全性的 平臺安全性層級時,保護認證。 選項包括:
    • 已停用:如果先前已使用 [ 啟用但不鎖定] 選項開啟 Credential Guard,則會從遠端關閉 Credential Guard。

    • 使用 UEFI 鎖定啟用:確定無法使用登錄機碼或使用 群組原則 停用 Credential Guard。 若要在使用此設定之後停用 Credential Guard,您必須將 群組原則 設為 Disabled。 然後,使用實際存在的使用者,從每部計算機移除安全性功能。 這些步驟會清除 UEFI 中保存的設定。 只要 UEFI 設定持續存在,就會啟用 Credential Guard。

    • 在不使用鎖定的情況下啟用:允許使用 群組原則 從遠端停用 Credential Guard。 使用此設定的裝置必須至少執行 Windows 10 (版本 1511) 。

設定 Credential Guard 時,會自動啟用下列相依技術:

  • 啟用虛擬化型安全性 (VBS) :在下次重新啟動時開啟虛擬化型安全性 (VBS) 。 虛擬化型安全性會使用 Windows Hypervisor 來提供安全性服務的支援,而且需要安全開機。
  • 使用直接記憶體存取安全開機 (DMA) :開啟具有安全開機和直接記憶體存取的 VBS。 DMA 保護需要硬體支援,且只在正確設定的裝置上啟用。

在SCEP憑證上使用自定義主體名稱

您可以在 SCEP 憑證設定檔的自定義主體中,使用 OnPremisesSamAccountName 一般名稱。 例如,您可以使用 CN={OnPremisesSamAccountName})

封鎖Android Enterprise工作配置檔上的相機和螢幕擷取

當您設定 Android 裝置的裝置限制時,有兩個新的屬性可供封鎖:

  • 相機:封鎖對裝置上所有相機的存取
  • 螢幕擷取:封鎖螢幕擷取,並防止內容顯示在沒有安全視訊輸出的顯示裝置上

適用於 Android Enterprise 工作設定檔。

使用適用於 iOS 的 Cisco AnyConnect 用戶端

當您為 iOS 建立新的 VPN 配置檔時,現在有兩個選項: Cisco AnyConnectCisco Legacy AnyConnect。 Cisco AnyConnect 配置文件支援 4.0.7x 和更新版本。 現有的 iOS Cisco AnyConnect VPN 配置檔會標示為 Cisco Legacy AnyConnect,並繼續使用 Cisco AnyConnect 4.0.5x 和舊版,如同目前一樣。

注意事項

這項變更僅適用於 iOS。 Android、Android Enterprise 工作配置檔和 macOS 平臺仍只會有一個 Cisco AnyConnect 選項。

裝置註冊

macOS High Sierra 10.13.2+ 裝置上使用者的新註冊步驟

macOS high Sierra 10.13.2 引進了「使用者核准」MDM 註冊的概念。 核准的註冊可讓 Intune 管理一些區分安全性的設定。 如需詳細資訊,請參閱這裡的Apple支援檔: https://support.apple.com/HT208019

除非終端用戶開啟 [系統喜好設定] 並手動提供核准,否則使用macOS 公司入口網站註冊的裝置會被視為「未核准使用者」。 為此,macOS 公司入口網站 現在會指示 macOS 10.13.2 和更新版本的用戶在註冊程序結束時手動核准其註冊。 Intune 系統管理中心會報告已註冊的裝置是否已獲得使用者核准。

已註冊 Jamf 的 macOS 裝置現在可以向 Intune 註冊

1.3 和 1.4 版的 macOS 公司入口網站未成功向 Intune 註冊 Jamf 裝置。 1.4.2 版的macOS入口網站修正了此問題。

已更新Android應用程式 公司入口網站 說明體驗

我們已更新 Android 公司入口網站 應用程式中的說明體驗,以符合 Android 平臺的最佳做法。 現在,當使用者在應用程式中遇到問題時,他們可以點選 [功能表>說明 ],並:

  • 將診斷記錄上傳至 Microsoft。
  • 將描述問題和事件標識碼的電子郵件傳送給公司支持人員。

若要查看更新的說明體驗,請參閱在Android的 公司入口網站 或Intune應用程式中回報問題

新的註冊失敗趨勢圖和失敗原因數據表

在 [註冊概觀] 頁面上,您可以檢視註冊失敗的趨勢和前五個失敗原因。 藉由在圖表或數據表上選取 ,您可以深入瞭解詳細數據,以尋找疑難解答建議和補救建議。

裝置管理

適用於端點和 Intune 的 Defender 已完全整合

適用於端點的Defender會顯示 Windows 10裝置的風險層級。 在資訊安全中心 Windows Defender,您可以建立與 Microsoft Intune 的連線。 建立之後,會使用 Intune 合規性政策來判斷可接受的威脅層級。 如果超過威脅層級,Microsoft Entra 條件式存取原則就可以封鎖對組織內不同應用程式的存取。

這項功能可讓適用於端點的 Defender 掃描檔案、偵測威脅,以及報告 Windows 10 裝置上的任何風險。

請參閱 在 Intune 中使用條件式存取啟用適用於端點的 Defender

支援無用戶裝置

Intune 支援在無使用者裝置上評估合規性的能力,例如 Microsoft Surface Hub。 合規性政策可以以特定裝置為目標。 因此,您可以針對沒有相關聯使用者的裝置判斷合規性 (和不符合規範) 。

刪除 Autopilot 裝置

Intune 系統管理員可以 刪除 Autopilot 裝置

改善的裝置刪除體驗

從 Intune 刪除裝置之前,您不再需要移除公司數據或原廠重設裝置。

若要查看新的體驗,請登入 Intune,然後選取 [裝置>所有裝置>] 作為 [刪除] 裝置>的名稱。

如果您仍然想要抹除/淘汰確認,您可以在刪除之前發出移除公司數據和恢復出廠預設值,以使用標準裝置生命週期路由。

在遺失模式下於 iOS 上播放音效

當受監督的 iOS 裝置處於行動裝置 裝置管理 (MDM) 遺失模式時,您可以播放音效 (> 裝置所有裝置>選取 iOS 裝置>概觀>[更多) ]。 音效會持續播放,直到裝置從遺失模式中移除,或使用者停用裝置上的音效為止。 適用於 iOS 裝置 9.3 和更新版本。

在 Intune 裝置上進行的搜尋中封鎖或允許 Web 結果

系統管理員現在可以封鎖在裝置上進行搜尋的 Web 結果。

改善 Apple MDM 推播憑證上傳失敗的錯誤訊息

錯誤訊息說明更新現有的 MDM 憑證時,必須使用相同的 Apple ID。

在虛擬機上測試 macOS 的 公司入口網站

我們已發佈指引,協助IT系統管理員在 Parallels Desktop 和 VMware Fusion 的虛擬機上測試 macOS 的 公司入口網站 應用程式。 如需詳細資訊,請 參閱註冊虛擬macOS機器以進行測試

Intune 應用程式

iOS 公司入口網站 應用程式的用戶體驗更新

我們已發行 iOS 公司入口網站 應用程式的主要用戶體驗更新。 更新提供完整的視覺效果重新設計,包括現代化的外觀和風格。 我們維護了應用程式的功能,但增加了其可用性和輔助功能。

您也會看到:

  • iPhone X 的支援。
  • 更快速地啟動和載入回應,以節省用戶時間。
  • 更多進度列可為使用者提供最新的狀態資訊。
  • 改善使用者上傳記錄的方式,因此如果發生錯誤,則更容易報告。

若要查看更新的外觀,請移至 應用程式 UI 的新功能

使用 Intune APP 和 CA 保護內部部署 Exchange 數據

您現在可以使用 Intune 應用程式原則保護 (APP) 和條件式存取 (CA) ,使用 Outlook Mobile 來保護內部部署 Exchange 數據的存取。 若要在 Azure 入口網站 內新增或修改應用程式保護原則,請選取 Microsoft Intune>Client 應用程式>應用程式防護 原則。 使用這項功能之前,請確定您符合 iOS 版 Outlook 和 Android 版需求

使用者介面

已改善 Windows 10 公司入口網站 中的裝置磚

磚已更新為可讓低視覺使用者更容易存取,並針對螢幕閱讀工具執行得更好。

在 macOS 的 公司入口網站 應用程式中傳送診斷報告

已更新 macOS 裝置的 公司入口網站 應用程式,以改善使用者回報 Intune 相關錯誤的方式。 從 公司入口網站 應用程式中,您的員工可以:

  • 直接將診斷報告上傳至 Microsoft 開發人員小組。
  • Email 公司 IT 支援小組的事件標識碼。

如需詳細資訊,請 參閱傳送macOS的錯誤

Intune 會適應 公司入口網站 應用程式中適用於 Windows 10 的 Fluent Design 系統

適用於 Windows 10 的 Intune 公司入口網站 應用程式已使用 Fluent Design 系統 的瀏覽檢視進行更新。 在應用程式的側邊,您會注意到所有最上層頁面的靜態垂直清單。 選取任何連結以快速檢視頁面,並在頁面之間切換。 這項功能是數個更新中的第一項,這些更新是持續努力在 Intune 中建立更具調適性、模擬和熟悉體驗的一部分。 若要查看更新的外觀,請移至 應用程式 UI 的新功能

2018 年 3 月

應用程式管理

適用於 Microsoft Intune的 iOS 企業營運 (LOB) 應用程式到期警示

在 Azure 入口網站 中,Intune 會向即將到期的 iOS 企業營運應用程式發出警示。 上傳新版的 iOS 企業營運應用程式時,Intune 會從應用程式清單中移除到期通知。 此到期通知僅適用於新上傳的 iOS 企業營運應用程式。 iOS LOB 應用程式布建配置檔到期前 30 天會出現警告。 到期時,警示會變更為 [已過期]。

使用十六進位程式代碼自定義 公司入口網站 主題

您可以使用十六進位程式代碼,在 公司入口網站 應用程式中自定義主題色彩。 當您輸入十六進位碼時,Intune 會決定文字色彩,以提供文字色彩與背景色彩之間的最高層級對比。 您可以針對用戶端應用程式>中的色彩預覽文字色彩和公司標誌 公司入口網站

根據Android Enterprise的群組來包含和排除應用程式指派

Android Enterprise (先前稱為 Android for Work) 支援包含和排除群組,但不支援預先建立 的所有使用者所有裝置 內建群組。 如需詳細資訊,請參閱在 Microsoft Intune 中包含和排除應用程式指派

裝置管理

將所有裝置導出至 IE、Microsoft Edge 或 Chrome 中的 CSV 檔案

[所有>裝置] 中,您可以將裝置 出至 CSV 格式清單。 Internet Explorer (IE) 具有 >10,000 個裝置的使用者可以成功將其裝置導出至多個檔案。 每個檔案最多有 10,000 個裝置。

具有 >30,000 部裝置的 Microsoft Edge 和 Chrome 使用者可以成功將其裝置導出至多個檔案。 每個檔案最多有 30,000 個裝置。

管理裝置 提供更多詳細數據,以瞭解您可以使用您管理的裝置執行哪些動作。

Intune 服務中的新安全性增強功能

我們已在 Azure 上的 Intune 中導入切換,Intune 獨立客戶可以使用此切換來將未指 派任何原則 的裝置視為符合規範的 (安全性功能,) 或將這些裝置視為) 上不符合 規範 (安全性功能。 這項功能將確保只有在評估裝置合規性之後,才能存取資源。

此功能會根據您是否已指派合規性政策而有不同的影響。

  • 如果您是新的或現有的帳戶,而且沒有任何合規性原則指派給您的裝置,則切換會自動設定為 [符合規範]。 此功能在控制台中會關閉為預設設定。 不會影響使用者。
  • 如果您是現有的帳戶,而且有任何裝置已獲指派合規性政策,則切換會自動設定為 [不符合規範]。 當 3 月更新推出時,此功能會以預設設定開啟。

如果您使用合規性政策搭配條件式存取 (CA) ,且已開啟此功能,則 CA 會封鎖任何未指派至少一個合規性原則的裝置。 除非您將至少一個合規性政策指派給所有裝置,否則與這些裝置相關聯的使用者,先前已允許他們存取電子郵件,否則會失去其存取權。

雖然預設切換狀態會隨 Intune 服務 3 月更新立即顯示在 UI 中,但不會立即強制執行此切換狀態。 在我們將您的帳戶正式發行前,您對切換所做的任何變更都不會影響裝置合規性。 當我們完成您的帳戶正式發行前小眾測試時,我們會透過訊息中心通知您。 在 Intune 服務於 3 月更新之後,正式發行前小眾測試可能需要幾天的時間。

如需詳細資訊,請移至 https://aka.ms/compliance_policies

增強的越獄偵測

增強的越獄偵測是新的合規性設定,可改善 Intune 評估越獄裝置的方式。 此設定會讓裝置更頻繁地使用 Intune 簽入,這會使用裝置的位置服務並影響電池使用量。

重設Android O裝置的密碼

您可以使用工作設定檔重設已註冊 Android 8.0 裝置的密碼。 當您將「重設密碼」要求傳送至 Android 8.0 裝置時,它會將新的裝置解除鎖定密碼或受控配置檔挑戰設定為目前的使用者。 密碼或挑戰會傳送並立即生效。

以裝置群組中的裝置為目標的合規性原則

您可以將合規性原則的目標設為使用者群組中的使用者。 透過此更新,您可以將合規性政策目標設為裝置群組中的裝置。 作為裝置群組一部分的目標裝置將不會收到任何合規性動作。

新增管理名稱數據行

[裝置] 刀鋒視窗上提供名為 [管理名稱 ] 的新數據行。 此資料列是根據下列公式,為每個裝置指派的自動產生、不可編輯的名稱:

  • 所有裝置的預設名稱: &#9001;username&#9002;&#9001;em&#9002;&#9001;devicetype&#9002;&#9001;/em&#9002;&#9001;enrollmenttimestamp&#9002;
  • 針對大量新增的裝置: &#9001;PackageId/ProfileId&#9002;&#9001;em&#9002;&#9001;DeviceType&#9002;&#9001;/em&#9002;&#9001;EnrollmentTime&#9002;

此資料行在 [裝置] 刀鋒視窗中是選擇性的。 根據預設,它無法使用,而且您只能使用數據行選取器來存取它。 此新數據行不會影響裝置名稱。

系統會每隔 15 分鐘提示 iOS 裝置輸入 PIN 碼

將合規性或設定原則套用至 iOS 裝置之後,系統會每隔 15 分鐘提示使用者設定 PIN。 用戶會持續出現提示,直到設定 PIN 為止。

排程自動更新

Intune 可讓您控制如何使用 Windows Update 環設定來安裝自動更新。 透過此更新,您可以排程週期性更新,包括周、日和時間。

使用完整辨別名稱作為SCEP憑證的主體

當您建立 SCEP 憑證設定檔時,請輸入主體名稱。 透過此更新,您可以使用完整辨別名稱作為主旨。 針對 [主體名稱],選取 [ 自定義],然後輸入 CN={{OnPrem_Distinguished_Name}}。 若要onpremisesdistingishedname使用 變數{{OnPrem_Distinguished_Name}},請務必使用 Microsoft Entra Connect 同步處理使用者屬性至您的 Microsoft Entra ID。

裝置設定

啟用藍牙聯繫人共用 - Android for Work

根據預設,Android 會防止工作配置檔中的聯繫人與藍牙裝置同步。 因此,工作配置文件聯繫人不會顯示在藍牙裝置的來電者標識碼上。

透過此更新, Android for Work>裝置限制>工作設定檔設定中有新的設定:

  • 透過藍牙聯繫人共用

Intune 系統管理員可以設定這些設定來啟用共用。 將裝置與以汽車為基礎的藍牙裝置配對,以顯示免持式使用方式的來電者標識符時,這項功能非常有用。 啟用時,會顯示工作配置檔聯繫人。 未啟用時,不會顯示工作設定文件聯繫人。

設定 Gatekeeper 以控制 macOS 應用程式下載來源

您可以藉由控制可從何處下載應用程式,設定 Gatekeeper 來保護裝置免於應用程式。 您可以設定下列下載來源:Mac App StoreMac App Store 和識別的開發人員,或隨處。 您可以設定使用者是否可以使用單擊控制項來覆寫這些 Gatekeeper 控制項來安裝應用程式。

您可以在 [裝置>>設定] [建立>macOS>端點保護] 下找到這些設定。

設定 Mac 應用程式防火牆

您可以設定 Mac 應用程式防火牆。 您可以使用應用程式防火牆來控制每個應用程式的連線,而不是以每個埠為基礎。 這項功能可讓您更輕鬆地取得防火牆保護的優點,並協助防止不想要的應用程式控制針對合法應用程式開啟的網路埠。

您可以在 [裝置>>設定] [建立>macOS>Endpoint Protection] 下找到此功能。

啟用防火牆設定之後,您可以使用兩種策略來設定防火牆:

  • 封鎖所有連入連線

    您可以封鎖目標裝置的所有連入連線。 如果您選擇這樣做,所有應用程式的連入連線都會遭到封鎖。

  • 允許或封鎖特定應用程式

    您可以允許或封鎖特定應用程式接收連入連線。 您也可以啟用隱形模式來防止對探查要求的回應。

詳細的錯誤碼和訊息

在您的裝置設定中,有更詳細的錯誤碼和錯誤訊息可供查看。 此改善的報告會顯示設定、這些設定的狀態,以及疑難解答的詳細數據。

其他相關資訊
  • 封鎖所有連入連線

    此設定會封鎖所有共用服務 (,例如檔案共享和螢幕共用) 接收連入連線。 仍然允許接收連入連線的系統服務如下:

    • configd - 實作 DHCP 和其他網路設定服務

    • mDNSResponder - 實作 Bonjour

    • racoon - 實作IPSec

      若要使用共用服務,請確定 [連入連線 ] 已設定為 [ 設定 (不是 [封鎖) ]。

  • 隱形模式

    啟用此設定可防止計算機回應探查要求。 計算機仍會回答授權應用程式的傳入要求。 系統會忽略非預期的要求,例如ICMP (ping) 。

停用裝置重新啟動時的檢查

Intune 可讓您控制 軟體更新的管理。 使用此更新時,[ 重新啟動檢查 ] 屬性可供使用,且預設為啟用。 若要略過重新啟動裝置時發生的一般檢查 (例如作用中使用者、電池電量等) ,請選取 [ 略過]

適用於部署更新步調的新 Windows 10 Insider Preview 通道

您現在可以在建立 Windows 10 部署通道時,選取下列 Windows 10 Insider Preview 服務通道:

  • Windows 測試人員組建 ‐ 快速
  • Windows 測試人員組建 ‐ 緩慢
  • 發行 Windows 測試人員組建

如需這些通道的詳細資訊,請 參閱管理 Insider Preview 組建。 如需在 Intune 中建立部署通道的詳細資訊,請 參閱在 Intune 中管理軟體更新

新 Windows Defender 惡意探索防護設定

六個新的 受攻擊面縮小 設定和展開 的受控資料夾存取:資料夾保護 功能現已可供使用。 您可以在下列位置找到這些設定:裝置組態\配置檔
建立配置檔\Endpoint protection\Windows Defender 惡意探索防護。

受攻擊面縮小

設定名稱 設定選項 說明
進階勒索軟體保護 已啟用、稽核、未設定 使用主動式勒索軟體保護。
標幟從 Windows 本地安全機構子系統竊取認證 已啟用、稽核、未設定 將認證從 Windows 本地安全機構子系統 (lsass.exe) 竊取旗標。
從 PSExec 和 WMI 命令建立進程 封鎖、稽核、未設定 封鎖源自 PSExec 和 WMI 命令的進程建立。
從 USB 執行的未受信任與未簽署處理序 封鎖、稽核、未設定 封鎖從 USB 執行的不受信任和未簽署的進程。
不符合普遍性、年齡或受信任清單準則的可執行檔 封鎖、稽核、未設定 封鎖可執行檔執行,除非它們符合普遍性、存留期或受信任的清單準則。

受控資料夾存取權

設定名稱 設定選項 說明
資料夾保護 (已實作) [未設定]、[啟用]、[僅稽核 (已實作)

新增
封鎖磁碟修改、稽核磁碟修改

保護檔案和資料夾不受不友善應用程式未經授權的變更。

啟用:防止不受信任的應用程式修改或刪除受保護資料夾中的檔案,以及寫入磁碟扇區。

只封鎖磁碟修改
封鎖不受信任的應用程式寫入磁碟扇區。 不受信任的應用程式仍然可以修改或刪除受保護資料夾中的檔案。|

Intune 應用程式

Microsoft Entra 網站可能需要 Intune Managed Browser 應用程式,並支援 Managed Browser (公開預覽版的單一登錄)

使用 Microsoft Entra ID,您現在可以將行動裝置上的網站存取限制為 Intune Managed Browser 應用程式。 在 Managed Browser 中,網站數據會保持安全且與使用者個人資料分開。 此外,Managed Browser 將針對受 Microsoft Entra ID 保護的網站支援單一登錄功能。 登入 Managed Browser,或在裝置上使用 Managed Browser 搭配由 Intune 管理的另一個應用程式,可讓 Managed Browser 存取受 Microsoft Entra ID 保護的公司網站。 終端使用者不需要輸入其認證。

這項功能適用於 Outlook Web Access (OWA) 和 SharePoint Online 等網站,以及其他公司網站,例如透過 Azure App Proxy 存取的內部網路資源。 如需詳細資訊,請參閱 Microsoft Entra 條件式存取中的訪問控制

公司入口網站 Android 視覺效果更新的應用程式

我們已更新適用於Android的 公司入口網站 應用程式,以遵循Android的材質設計指導方針。 您可以在 應用程式 UI 的新功能一文中看到新圖示的影像。

已改善註冊 公司入口網站

使用 Windows 10 組建 1709 和更新版本上的 公司入口網站 註冊裝置的使用者,現在可以完成註冊的第一個步驟,而不需要離開應用程式。

HoloLens 和 Surface Hub 現在會出現在裝置清單中

我們已新增支援將 Intune 註冊的 HoloLens 和 Surface Hub 裝置顯示到適用於 Android 的 公司入口網站 應用程式。

大量採購方案的自定義書籍類別 (VPP) 電子書

您可以建立自定義電子書類別,然後將 VPP 電子書指派給這些自訂電子書類別。 用戶接著可以看到新建立的電子書類別和指派給類別的書籍。 如需詳細資訊,請參閱 使用 Microsoft Intune 管理大量採購的應用程式和書籍

支援 windows 公司入口網站 應用程式傳送意見反應選項的變更

自 2018 年 4 月 30 日起,適用於 Windows 的 公司入口網站 應用程式中的 [傳送意見反應] 選項僅適用於執行 Windows 10 Anniversary Update (1607) 及更新版本的裝置。 使用適用於 Windows 的 公司入口網站 應用程式搭配下列專案時,不再支援傳送意見反應的選項:

  • Windows 10,1507 版
  • Windows 10,1511 版
  • Windows Phone 8.1

如果您的裝置是在 Windows 10 RS1 或更新版本上執行,請從市集下載最新版的 Windows 公司入口網站 應用程式。 如果您執行不支援的版本,請繼續透過下列通道傳送意見反應:

  • Windows 10 上的意見反應中樞應用程式
  • Email WinCPfeedback@microsoft.com

新的 Windows Defender 應用程式防護 設定

  • 啟用圖形加速:系統管理員可以啟用 Windows Defender 應用程式防護的虛擬圖形處理器。 此設定:

    • 允許 CPU 將轉譯的圖形卸除至 vGPU。
    • 在使用圖形密集的網站或觀看容器內的視訊時,可以改善效能。
  • SaveFilestoHost:系統管理員可以讓檔案從容器中執行的 Microsoft Edge 傳遞至主機文件系統。 開啟此設定可讓使用者從容器中的 Microsoft Edge 將檔案下載到主機文件系統。

以管理狀態為目標的 MAM 保護原則

您可以根據裝置的管理狀態,以 MAM 原則為目標:

  • Android 裝置 - 您可以將非受控裝置、Intune 受控裝置和 Intune 管理的 Android Enterprise 設定檔 (先前的 Android for Work) 為目標。

  • iOS 裝置 - 您可以將非受控裝置設為目標, (MAM 僅) 或 Intune 受控裝置。

    注意事項

    • 這項功能的 iOS 支援將於 2018 年 4 月推出。

如需詳細資訊,請參閱 以裝置管理狀態為基礎的目標應用程式保護原則

Windows 公司入口網站 應用程式中語言的改善

我們已改善 公司入口網站 中的語言,讓 Windows 10 更方便使用者且專屬於您的公司。 若要查看我們已完成的一些範例影像,請參閱 應用程式 UI 的新功能

用戶隱私權相關文件的新新增專案

為了讓用戶能夠更充分掌控其數據和隱私權,我們已將更新發佈至檔,說明如何使用 公司入口網站 應用程式檢視和移除儲存在本機的數據。 您可以在下列位置找到這些更新:

2018 年 2 月

裝置註冊

Intune 支援多個 Apple DEP/Apple School Manager 帳戶

Intune 現在支援從最多 100 個不同的 Apple 裝置註冊計劃註冊裝置, (DEP) Apple School Manager 帳戶。 每個上傳的令牌都可以針對註冊配置檔和裝置個別管理。 您可以根據上傳的 DEP/School Manager 令牌自動指派不同的註冊配置檔。 如果上傳多個 School Manager 令牌,一次只能與 Microsoft 學校資料同步處理 共用一個令牌。

移轉之後,用於管理Apple DEP或 ASM over Graph 的 Beta Graph API 和已發佈的腳本將無法再運作。 新的 beta Graph API 正在開發中,將在移轉之後發行。

請參閱每位用戶的註冊限制

在 [疑難解答] 刀鋒視窗上,您現在可以從 [指派] 列表中選取 [註冊限制],以查看每個使用者生效註冊限制

Apple 大量註冊的使用者驗證新選項

注意事項

新的租使用者會立即看到此資訊。 針對現有的租使用者,這項功能會在 4 月推出。 在此推出完成之前,您可能無法存取這些新功能。

Intune 現在可讓您選擇使用下列註冊方法的 公司入口網站 應用程式來驗證裝置:

  • Apple 裝置註冊計劃
  • Apple School Manager
  • Apple Configurator 註冊

使用 [公司入口網站] 選項時,可以強制執行 Microsoft Entra 多重要素驗證,而不會封鎖這些註冊方法。

使用 [公司入口網站] 選項時,Intune 會略過 iOS 設定助理中用戶親和性註冊的用戶驗證。 此功能表示裝置一開始註冊為無用戶裝置,因此不會收到使用者群組的設定或原則。 它只會接收裝置群組的設定和原則。 不過,Intune 會自動在裝置上安裝 公司入口網站 應用程式。 第一個啟動並登入 公司入口網站 應用程式的使用者將會與 Intune 中的裝置相關聯。 此時,使用者將會收到其使用者群組的設定和原則。 若未重新註冊,就無法變更用戶關聯。

Intune 支援多個 Apple DEP/Apple School Manager 帳戶

Intune 現在支援從最多 100 個不同的 Apple 裝置註冊計劃註冊裝置, (DEP) 或 Apple School Manager 帳戶。 每個上傳的令牌都可以針對註冊配置檔和裝置個別管理。 您可以根據上傳的 DEP/School Manager 令牌自動指派不同的註冊配置檔。 如果上傳多個 School Manager 令牌,一次只能與 Microsoft 學校資料同步處理 共用一個令牌。

移轉之後,用於管理Apple DEP或 ASM over Graph 的 Beta Graph API 和已發佈的腳本將無法再運作。 新的 beta Graph API 正在開發中,將在移轉之後發行。

透過安全網路進行遠端列印

PrinterOn 的無線行動列印解決方案可讓用戶隨時隨地透過安全網路從遠端列印。 PrinterOn 會與適用於 iOS 和 Android 的 Intune APP SDK 整合。 您可以透過 Intune 系統管理中心的 [Intune 應用程式防護 原則] 刀鋒視窗,將應用程式保護原則設為此應用程式。 終端使用者可以透過 Play Store 或 iTunes 下載應用程式 'PrinterOn for Microsoft',以在其 Intune 生態系統中使用。

macOS 公司入口網站 支援使用裝置註冊管理員的註冊

用戶現在可以在使用 macOS 公司入口網站 註冊時使用裝置註冊管理員。

裝置管理

Windows Defender 健康情況狀態和威脅狀態報告

瞭解 Windows Defender的健康情況和狀態是管理 Windows 電腦的關鍵。 透過此更新,Intune 會將新的報告和動作新增至 Windows Defender 代理程式的狀態和健康狀態。 使用 裝置合規性工作負載中的狀態匯總報告,您可以看到需要下列任何動作的裝置:

  • 簽章更新
  • 重新啟動
  • 手動介入
  • 完整掃描
  • 其他需要介入的代理程序狀態

每個狀態類別的鑽研報表會列出需要注意的個別計算機,或報告為 Clean 的計算機。

裝置限制的新隱私權設定

現在有兩個新的隱私權設定 可供裝置使用:

  • 發佈用戶活動:設定 [ 封鎖] 時,此設定會防止共享體驗和探索工作切換器中最近使用的資源。
  • 僅限本機活動:設定 [ 封鎖] 時,此設定只會根據本機活動,防止共享體驗和探索工作切換器中最近使用的資源。

Microsoft Edge 瀏覽器的新設定

Microsoft Edge 瀏覽器版本 45 和更舊版本的裝置現在可以使用兩個新的設定我的最愛檔案路徑我的最愛變更

應用程式管理

應用程式的通訊協定例外狀況

您現在可以建立 Intune 行動應用程式管理 (MAM) 資料傳輸原則的例外狀況,以開啟特定的 Unmanaged 應用程式。 這類應用程式必須由IT信任。 除了您建立的例外狀況之外,當您的數據傳輸原則 設定為僅限受管理的應用程式時,數據傳輸仍然僅限於由 Intune 管理的應用程式。 您可以使用 Android) (iOS) 或套件 (通訊協定來建立限制。

例如,您可以將 Webex 套件新增為 MAM 數據傳輸原則的例外狀況。 例外狀況允許受控 Outlook 電子郵件訊息中的 Webex 連結直接在 Webex 應用程式中開啟。 在其他非受控應用程式中,數據傳輸仍會受到限制。 如需詳細資訊,請 參閱應用程式的數據傳輸原則例外狀況

Windows 資訊保護 (WIP) Windows 搜尋結果中的加密數據

Windows 資訊保護 (WIP) 原則中的設定現在可讓您控制是否在 Windows 搜尋結果中包含 WIP 加密的數據。 在 Windows 資訊保護 原則的 [進階設定] 中選取 [允許 Windows 搜尋索引器搜尋加密的專案],以設定此應用程式保護原則選項。 應用程式保護原則必須設定為 Windows 10 平臺,而且應用程式原則註冊狀態必須設定為 [使用註冊]。 如需詳細資訊,請參閱 允許 Windows 搜尋索引器搜尋加密的專案

設定自我更新行動 MSI 應用程式

您可以設定已知的自我更新行動 MSI 應用程式來忽略版本檢查程式。 這項功能有助於避免進入競爭狀況。 例如,當 Intune 正在更新應用程式開發人員自動更新應用程式時,可能會發生這種競爭狀況。 兩者都可以嘗試在 Windows 用戶端上強制執行應用程式版本,這可能會造成衝突。 針對這些自動更新的 MSI 應用程式,您可以在 [應用程式資訊] 刀鋒視窗中設定 [忽略應用程式版本] 設定。 當此設定切換為 [是] 時,Microsoft Intune 會忽略安裝在 Windows 用戶端上的應用程式版本。

Azure 入口網站 中的 Intune 現在支援相關應用程式授權集,做為 UI 中的單一應用程式專案。 此外,從 商務用 Microsoft Store 同步處理的任何離線授權應用程式都會合併成單一應用程式專案,而來自個別套件的任何部署詳細數據都會移轉至單一專案。 若要在 Azure 入口網站 中檢視相關的應用程式授權集合,請從 [用戶端應用程式] 刀鋒視窗中選取 [應用程式授權]。

裝置設定

自動加密的 Windows 資訊保護 (WIP) 擴展名

Windows 資訊保護 (WIP) 原則中的設定現在可讓您指定從伺服器消息塊複製時,會自動加密哪些擴展名 (SMB) 在公司界限內共用,如 WIP 原則中所定義。

設定 Surface Hub 的資源帳戶設定

您現在可以從遠端設定 Surface Hub 的資源帳戶設定。

Surface Hub 會使用資源帳戶向 Skype/Exchange 進行驗證,以便加入會議。 您會想要建立唯一的資源帳戶,讓 Surface Hub 可以在會議室中顯示為會議室。 例如,資源帳戶,例如 會議室 B41/6233

注意事項

  • 如果您將欄位保留空白,您將會覆寫先前在裝置上設定的屬性。

  • 資源帳戶屬性可以在 Surface Hub 上動態變更。 例如,如果密碼輪替已開啟。 因此,Azure 控制台中的值可能需要一些時間來反映裝置上的實際情況。

    若要瞭解 Surface Hub 上目前設定的內容,資源帳戶資訊可以包含在硬體清查 (中,而硬體清查 (已經有 7 天的間隔) 或只讀屬性。 若要在執行遠端動作之後增強精確度,您可以在執行動作之後立即取得參數的狀態,以更新 Surface Hub 上的帳戶/參數。

受攻擊面縮小
設定名稱 設定選項 說明
從電子郵件執行受密碼保護的可執行文件內容 封鎖、稽核、未設定 防止透過電子郵件下載的受密碼保護的可執行檔執行。
進階勒索軟體保護 已啟用、稽核、未設定 使用主動式勒索軟體保護。
標幟從 Windows 本地安全機構子系統竊取認證 已啟用、稽核、未設定 將認證從 Windows 本地安全機構子系統 (lsass.exe) 竊取旗標。
從 PSExec 和 WMI 命令建立進程 封鎖、稽核、未設定 封鎖源自 PSExec 和 WMI 命令的進程建立。
從 USB 執行的未受信任與未簽署處理序 封鎖、稽核、未設定 封鎖從 USB 執行的不受信任和未簽署的進程。
不符合普遍性、年齡或受信任清單準則的可執行檔 封鎖、稽核、未設定 封鎖可執行檔執行,除非它們符合普遍性、存留期或受信任的清單準則。
受控資料夾存取權
設定名稱 設定選項 說明
資料夾保護 (已實作) [未設定]、[啟用]、[僅稽核 (已實作)

新增
封鎖磁碟修改、稽核磁碟修改

保護檔案和資料夾不受不友善應用程式未經授權的變更。

啟用:防止不受信任的應用程式修改或刪除受保護資料夾中的檔案,以及寫入磁碟扇區。

只封鎖磁碟修改
封鎖不受信任的應用程式寫入磁碟扇區。 不受信任的應用程式仍然可以修改或刪除受保護資料夾中的檔案。|

新增適用於 Windows 10 和更新版本合規性原則的系統安全性設定

現在可以新增 Windows 10 合規性設定,包括需要防火牆和 Windows Defender 防病毒軟體。

Intune 應用程式

支援來自 商務用 Microsoft Store的離線應用程式

您從 商務用 Microsoft Store 購買的離線應用程式現在會同步至 Azure 入口網站。 您可以將這些應用程式部署到裝置群組或使用者群組。 離線應用程式是由 Intune 安裝,而不是由市集安裝。

防止終端使用者在工作配置檔中手動新增或移除帳戶

當您將 Gmail 應用程式部署到 Android for Work 設定檔時,您現在可以使用 Android for Work 裝置限制設定檔中的 [ 新增和移除帳戶 ] 設定,防止使用者手動新增或移除工作配置檔中的帳戶。

2018 年 1 月

裝置註冊

即將過期之令牌和令牌的警示

概觀頁面現在會顯示即將過期令牌和令牌的警示。 當您選取單一令牌的警示時,您會移至令牌的詳細數據頁面。 如果您選取具有多個權杖的警示,您會移至具有其狀態的所有令牌清單。 系統管理員應該在到期日之前更新其令牌。

裝置管理

macOS 裝置的遠端「清除」命令支援

系統管理員可以從遠端針對macOS裝置發出Erase命令。

重要事項

erase 命令無法反轉,應謹慎使用。

erase 命令會從裝置移除所有數據,包括作業系統。 它也會從 Intune 管理中移除裝置。 不會對用戶發出任何警告,而且清除會在發出命令時立即發生。

您必須設定 6 位數的復原 PIN。 此 PIN 可用來解除鎖定已清除的裝置,此時將開始重新安裝作業系統。 清除開始之後,PIN 會出現在 Intune 中裝置 [概觀] 刀鋒視窗的狀態列中。 只要清除正在進行中,PIN 就會保留。 清除完成之後,裝置會完全從 Intune 管理中消失。 請務必記錄修復 PIN,讓正在還原裝置的人員可以使用它。

撤銷 iOS 大量採購方案令牌的授權

您可以針對指定的 VPP 令牌撤銷所有 iOS 大量採購方案 (VPP) 應用程式的授權。

應用程式管理

撤銷 iOS Volume-Purchase 程式應用程式

對於具有一或多個 iOS Volume-Purchase Program (VPP) 應用程式的指定裝置,您可以撤銷裝置的相關聯裝置型應用程式授權。 撤銷應用程式授權不會從裝置卸載相關的 VPP 應用程式。 若要卸載 VPP 應用程式,您必須將指派動作變更為 [卸載]。 如需詳細資訊,請參閱如何使用 Microsoft Intune 管理透過大量採購方案購買的 iOS 應用程式

使用內建應用程式類型將 Microsoft 365 行動裝置應用程式指派給 iOS 和 Android 裝置

內建應用程式類型可讓您更輕鬆地建立 Microsoft 365 應用程式,並將其指派給您管理的 iOS 和 Android 裝置。 這些應用程式包括 Microsoft 365 應用程式,例如 Word、Excel、PowerPoint 和 OneDrive。 您可以將特定應用程式指派給應用程式類型,並編輯應用程式資訊組態。

根據群組包含和排除應用程式指派

在應用程式指派期間和選取指派類型之後,您可以選取要包含的群組,以及要排除的群組。

裝置設定

您可以藉由包含和排除指派,將應用程式設定原則指派給群組

您可以使用包含和排除指派的組合,將應用程式設定原則指派給一組使用者和裝置。 您可以選擇指派做為群組的自訂選取專案或虛擬群組。 虛擬群組可以包含 [所有使用者]、[ 所有裝置] 或 [ 所有使用者 + 所有裝置]

支援 Windows 10 版升級原則

您可以建立 Windows 10 版升級原則,將 Windows 10 裝置升級至 Windows 10 教育版、Windows 10 教育版 N、Windows 10 Professional、Windows 10 Professional N Windows 10專業教育版,Windows 10 專業教育版 N。

如需 Windows 10 版本升級的詳細資訊,請參閱如何設定 Windows 10 版本升級

Intune 的條件式存取原則只能從 Azure 入口網站

從此版本開始,您必須在 Microsoft Entra ID Conditional Access 的 Azure 入口網站> 中設定和管理條件式存取原則。 為了方便起見,您也可以在 Intune 條件式存取的 Azure 入口網站 中,從 Intune> 存取此刀鋒視窗

匯報合規性電子郵件

傳送電子郵件以報告不符合規範的裝置時,會包含不符合規範裝置的詳細數據。

Intune 應用程式

適用於Android裝置的「解決」動作的新功能

適用於 Android 的 公司入口網站 應用程式正在擴充更新裝置設定的「解決」動作,以解決裝置加密問題

公司入口網站 應用程式中可供 Windows 10 使用的遠端鎖定

終端用戶現在可以從 公司入口網站 應用程式遠端鎖定其裝置,以進行 Windows 10。 對於正在使用中的本機裝置,將不會顯示這項功能。

針對 Windows 10 更輕鬆地解決 公司入口網站 應用程式的合規性問題

具有 Windows 裝置的終端使用者可以在 公司入口網站 應用程式中點選不符合規範的原因。 可能的話,這項功能會將它們直接帶至設定應用程式中的正確位置,以修正問題。

2017 年

2017 年 12 月

新的自動重新部署設定

[自動重新部署] 設定可讓具有系統管理許可權的使用者在裝置鎖定畫面上使用 CTRL + Win + R 刪除所有使用者數據和設定。 裝置會自動重新設定,並重新註冊到管理中。 您可以在 [Windows 10 > 裝置限制>一般>自動重新部署] 下找到此設定。 如需詳細資訊,請參閱適用於 Windows 10 的 Intune 裝置限制設定

支援 Windows 10 版本升級原則中的其他來源版本

您現在可以使用 Windows 10 版升級原則,從其他 Windows 10 版本升級 (Windows 10 專業版、Windows 10 專業版 教育版、Windows 10 雲端等 ) 。 在此版本之前,支援的版本升級路徑較為有限。 如需詳細資訊,請參閱如何設定 Windows 10 版升級

新的 Windows Defender 資訊安全中心 (WDSC) 裝置組態配置檔設定

Intune 會在名為 Windows Defender 資訊安全中心的 Endpoint Protection 底下,新增裝置組態配置檔設定的新區段。 IT 系統管理員可以設定 Windows Defender 資訊安全中心應用程式使用者可以存取哪些要件。 如果 IT 系統管理員隱藏 Windows Defender 資訊安全中心應用程式中的要件,與隱藏柱子相關的所有通知不會顯示在使用者的裝置上。

系統管理員可以使用這些要件來隱藏 Windows Defender 資訊安全中心裝置組態設定檔設定:

  • 病毒和威脅防護
  • 裝置效能和健康情況
  • 防火牆和網路保護
  • 應用程式和瀏覽器控制件
  • 系列選項

IT 系統管理員也可以自定義使用者收到的通知。 例如,您可以設定使用者是否接收 WDSC 中可見的要件所產生的所有通知,或只接收重要通知。 非重大通知包括 Windows Defender 防病毒軟體活動的定期摘要,以及掃描完成時的通知。 所有其他通知都被視為重要。 此外,您也可以自定義通知內容本身,例如,您可以提供 IT 聯繫人資訊,以內嵌在使用者裝置上顯示的通知中。

SCEP 和 PFX 憑證處理的多個連接器支援

使用內部部署 NDES 連接器將憑證傳遞給裝置的客戶,現在可以在單一租用戶中設定多個連接器。

這項新功能支援下列案例:

  • 高可用性

每個 NDES 連接器都會從 Intune 提取憑證要求。 如果一個 NDES 連接器離線,另一個連接器可以繼續處理要求。

客戶主體名稱可以使用AAD_DEVICE_ID變數

當您在 Intune 中建立 SCEP 憑證設定檔時,現在可以在建置自定義主體名稱時使用 AAD_DEVICE_ID 變數。 使用此 SCEP 配置檔要求憑證時,變數會取代為提出憑證要求之裝置的 Microsoft Entra 裝置識別符。

使用 Intune 的裝置合規性引擎管理 Jamf 註冊的 macOS 裝置

您現在可以使用 Jamf 將 macOS 裝置狀態資訊傳送至 Intune,然後評估其是否符合 Intune 控制台中定義的原則。 根據裝置合規性狀態和其他 (條件,例如位置、用戶風險等 ) ,條件式存取會強制執行 macOS 裝置的合規性,以存取與 Microsoft Entra ID 連線的雲端和內部部署應用程式,包括 Microsoft 365。 深入瞭解 如何設定 Jamf 整合 ,以及 強制執行 Jamf 管理裝置的合規性

新的 iOS 裝置動作

您現在可以關閉 iOS 10.3 受監督的裝置。 此動作會立即關閉裝置,而不會對用戶發出警告。 當您在 [裝置] 工作負載中選取裝置時,只能在裝置屬性中找到 [關閉 (受監督的) ] 動作。

不允許對 Samsung Knox 裝置進行日期/時間變更

我們新增了一項新功能,可讓您封鎖 Samsung Knox 裝置上的日期和時間變更。 您可以在 [裝置>>設定裝置限制] (Android) >[一般] 中找到這項功能。

支援的 Surface Hub 資源帳戶

已新增新的裝置動作,讓系統管理員可以定義和更新與 Surface Hub 相關聯的資源帳戶。

Surface Hub 會使用資源帳戶向 Skype/Exchange 進行驗證,以便加入會議。 您可以建立唯一的資源帳戶,讓 Surface Hub 在會議室中顯示為會議室。 例如,資源帳戶可能會顯示為 會議室 B41/6233。 資源帳戶 (稱為 Surface Hub 的裝置帳戶) ,通常必須針對會議室位置以及需要變更其他資源帳戶參數時進行設定。

當系統管理員想要更新裝置上的資源帳戶時,他們必須提供與裝置相關聯的目前 Active Directory/Microsoft Entra 認證。 如果裝置的密碼輪替已開啟,系統管理員必須移至 Microsoft Entra ID 以尋找密碼。

注意事項

所有欄位都會在套件組合中傳送,並覆寫先前設定的所有欄位。 空白欄位也會覆寫現有的欄位。

以下是系統管理員可以設定的設定:

  • 資源帳戶

    • Active Directory 使用者

      UPN) (Domainname\username 或使用者主體名稱: user@domainname.com

    • Password

  • 選擇性資源帳戶參數 (必須使用指定的資源帳戶來設定)

    • 密碼輪替期間

      基於安全性考慮,請確定 Surface Hub 每周會自動更新帳戶密碼。 若要在啟用設定之後設定任何參數,Microsoft Entra ID 中的帳戶必須先重設密碼。

    • SIP (工作階段初始通訊協定) 位址

      只有在自動探索失敗時才使用。

    • 電子郵件

      Email 裝置/資源帳戶的位址。

    • [Exchange 伺服器]   輸入內部部署 Exchange 伺服器的完整網域名稱 (FQDN)。

      只有在自動探索失敗時才需要。

    • 行事曆同步

      指定是否啟用行事曆同步處理和其他 Exchange 伺服器服務。 例如:會議同步處理。

在 macOS 裝置上安裝 Office 應用程式

您現在可以在 macOS 裝置上安裝 Office 應用程式。 這個新的應用程式類型可讓您安裝 Word、Excel、PowerPoint、Outlook 和 OneNote。 這些應用程式也會隨附 Microsoft AutoUpdate (MAU) ,以協助保護您的應用程式安全且最新。

刪除 iOS 大量採購方案令牌

您可以使用 主控台刪除 iOS 大量採購方案 (VPP) 令牌。 當您有重複的 VPP 令牌實例時,可能需要這項功能。

名為目前使用者的新實體集合僅限於目前作用中的用戶數據

Users 實體集合包含企業中具有指派授權的所有 Microsoft Entra 使用者。 例如,使用者可能會新增至 Intune,然後在上個月移除。 雖然此使用者在報表時不存在,但用戶和狀態會出現在數據中。 您可以建立報告,以顯示使用者在數據中的歷史存在持續時間。

相反地,新的 目前用戶 實體集合只包含尚未移除的使用者。 目前的 User 實體集合只包含目前作用中的使用者。 如需 目前用戶 實體集合的相關信息, 請參閱目前用戶實體的參考

已更新圖形 API

在此版本中,我們已更新一些適用於 Intune 的 Graph API,這些 API 位於 Beta 中。 如需詳細資訊,請檢閱每月 圖形 API 變更。

Intune 支援 Windows 資訊保護 (WIP) 拒絕的應用程式

您可以在 Intune 中指定拒絕的應用程式。 如果應用程式遭到拒絕,應用程式會遭到封鎖而無法存取公司資訊,實際上與允許的應用程式清單相反。 如需詳細資訊,請參閱 Windows 資訊保護 的建議封鎖清單

2017 年 11 月

針對註冊問題進行疑難解答

[ 疑難解答 ] 工作區現在會顯示用戶註冊問題。 問題的詳細數據和建議的補救步驟可協助系統管理員和技術支援中心操作員針對問題進行疑難解答。 不會擷取某些註冊問題,而且某些錯誤可能沒有補救建議。

群組指派的註冊限制

身為 Intune 系統管理員,您現在可以 為使用者群組建立自定義裝置類型和裝置限制註冊限制

Intune Azure 入口網站 可讓您建立每個限制類型的最多 25 個實例,然後將其指派給使用者群組。 群組指派的限制會覆寫預設限制。

限制類型的所有實例都會保留在嚴格排序的清單中。 此順序會定義衝突解決的優先順序值。 受多個限制實例影響的使用者,只會受到具有最高優先順序值之實例的限制。 您可以將指定實例拖曳至清單中的不同位置,以變更指定實例的優先順序。

將 Android for Work 設定從 [Android for Work 註冊] 選單移轉至 [註冊限制] 功能表,即可發行此功能。 由於此移轉可能需要數天的時間,因此您的帳戶可能會升級至 11 月版本的其他部分,然後您才會看到群組指派已啟用註冊限制。

支援多個網路裝置註冊服務 (NDES) 連接器

NDES 允許在沒有網域認證的情況下執行的行動裝置,根據簡單憑證註冊通訊協定 (SCEP) 取得憑證。 透過此更新,支援多個 NDES 連接器。

從 Android 裝置獨立管理 Android for Work 裝置

Intune 支援從 Android 平台獨立管理 Android for Work 裝置的註冊。 這些設定是在裝置註冊>註冊限制裝置類型限制>下管理。 (它們先前位於裝置 註冊>Android for Work 註冊>Android for Work 註冊設定之下。)

根據預設,您的 Android for Work 裝置設定與 Android 裝置的設定相同。 不過,在您變更不再適用的Android for Work 設定之後。

如果您封鎖個人 Android for Work 註冊,則只有公司 Android 裝置可以註冊為 Android for Work。

使用新的設定時,請考慮下列幾點:

如果您先前從未將Android for Work 註冊上線

新的 Android for Work 平台在預設的 [裝置類型限制] 中遭到封鎖。 將功能上線之後,您可以允許裝置向Android for Work 註冊。 若要這樣做,請變更預設值或建立新的裝置類型限制,以取代預設的裝置類型限制。

如果您已將 Android for Work 註冊上線

如果您先前已上線,您的情況取決於您選擇的設定:

設定 默認裝置類型限制中的Android for Work 狀態 附註
以Android身分管理所有裝置 已封鎖 所有 Android 裝置都必須在沒有 Android for Work 的情況下註冊。
以Android for Work身分管理支持的裝置 允許 所有支援 Android for Work 的 Android 裝置都必須向 Android for Work 註冊。
僅以Android for Work身分管理這些群組中用戶支援的裝置 已封鎖 已建立個別的裝置類型限制原則來覆寫預設值。 此原則會定義您先前選取的群組,以允許Android for Work 註冊。 選取群組內的使用者仍可繼續註冊其Android for Work裝置。 所有其他使用者都受限於向Android for Work 註冊。

在所有情況下,都會保留您想要的法規。 您不需要採取任何動作,即可維護環境中 Android for Work 的全域或每個群組額度。

Android 上的 Google Play 保護支援

隨著 Android Oreo 的發行,Google 引進了一套稱為 Google Play Protect 的安全性功能,可讓使用者和組織執行安全的應用程式及保護 Android 映像。 Intune 現在支援Google Play保護功能,包括SafetyNet遠程證明。 系統管理員可以設定合規性政策需求,要求設定Google Play Protect且狀況良好。

SafetyNet 裝置證明設定需要裝置與 Google 服務連線,以確認裝置狀況良好且未遭入侵。 系統管理員也可以設定 Android for Work 的組態設定檔設定,要求 Google Play 服務驗證已安裝的應用程式。 如果裝置不符合Google Play保護需求,條件式存取可能會封鎖使用者存取公司資源。

允許來自 Managed Apps 的文字通訊協定

Intune App SDK 所管理的應用程式可以傳送SMS訊息。

應用程式安裝報告已更新為包含安裝擱置狀態

應用程式安裝狀態報告可透過客戶端應用程式工作負載中的應用程式清單存取每個應用程式,現在包含使用者和裝置的安裝擱置計數。

適用於行動威脅偵測的 iOS 11 應用程式清查 API

Intune 會從個人和公司擁有的裝置收集應用程式清查資訊,並使其可供行動威脅偵測 (MTD) 提供者擷取,例如 Lookout for Work。 您可以向 iOS 11+ 裝置的使用者收集應用程式清查。

應用程式清查
來自公司擁有 iOS 11+ 和個人擁有裝置的清查會傳送至您的 MTD 服務提供者。 應用程式清查中的數據包括:

  • 應用程式識別碼
  • 應用程式版本
  • 應用程式簡短版本
  • 應用程式名稱
  • 應用程式套件組合大小
  • 應用程式動態大小
  • 應用程式是否經過驗證
  • 應用程式是否受管理

將混合式 MDM 使用者和裝置移轉至 Intune 獨立部署

新的程式和工具現在可用於將使用者及其裝置從混合式 MDM 移至 Azure 入口網站 中的 Intune,讓您可以執行下列工作:

  • 將原則和配置檔從 Configuration Manager 控制台複製到 Azure 入口網站 中的 Intune
  • 將使用者子集移至 Azure 入口網站 中的 Intune,同時將其餘部分保留在混合式 MDM 中
  • 將裝置移轉至 Azure 入口網站 中的 Intune,而不需要重新註冊它們

內部部署 Exchange 連接器高可用性支援

在 Exchange 連接器使用指定的用戶端存取伺服器 (CAS) 建立與 Exchange 的連線之後,連接器現在就能夠探索其他 CAS。 如果主要 CAS 變成無法使用,連接器會故障轉移至另一個 CAS,如果有的話,直到主要 CAS 變成可用為止。 如需詳細資訊,請參閱 內部部署 Exchange 連接器高可用性支援

僅在受監督 (從遠端重新啟動 iOS 裝置)

您現在可以使用裝置動作來觸發受監督的 iOS 10.3+ 裝置以重新啟動。 如需使用裝置重新啟動動作的詳細資訊,請參閱 使用 Intune 從遠端重新啟動裝置

注意事項

此命令需要受監督的裝置和 裝置鎖定 存取權。 裝置會立即重新啟動。 密碼鎖定的 iOS 裝置在重新啟動後將不會重新加入 Wi-Fi 網路;重新啟動之後,它們可能無法與伺服器通訊。

iOS 的單一登錄支援

您可以為 iOS 使用者使用單一登入。 編碼以在單一登錄承載中尋找使用者認證的 iOS 應用程式,可與此承載組態更新搭配運作。 您也可以使用UPN和Intune裝置識別碼來設定主體名稱和領域。 如需詳細資訊, 請參閱設定 Intune for iOS 裝置單一登錄

為個人裝置新增「尋找我的 iPhone」

您現在可以檢視 iOS 裝置是否已開啟啟用鎖定。 先前可以在傳統入口網站的 Intune 中找到這項功能。

使用 Intune 遠端鎖定受控 macOS 裝置

您可以鎖定遺失的 macOS 裝置,並設定 6 位數的修復 PIN。 鎖定時,[ 裝置概觀 ] 刀鋒視窗會顯示 PIN,直到傳送另一個裝置動作為止。

如需詳細資訊,請參閱 使用 Intune 遠端鎖定受控裝置

支援新的 SCEP 設定檔詳細數據

系統管理員現在可以在 Windows、iOS、macOS 和 Android 平臺上建立 SCEP 配置檔時,設定更多設定。 系統管理員可以設定 IMEI、序號或一般名稱,包括主體名稱格式的電子郵件。

在恢復出廠預設值期間保留數據

將 Windows 10 1709 版和更新版本重設為原廠設定時,可以使用新的功能。 系統管理員可以指定裝置註冊和其他布建數據是否透過原廠重設保留在裝置上。

下列資料會透過恢復出廠預設值來保留:

  • 與裝置相關聯的使用者帳戶
  • 計算機狀態 (網域加入,Microsoft Entra 加入)
  • MDM 註冊
  • OEM 安裝的應用程式 (市集和 Win32 應用程式)
  • 使用者設定檔
  • 使用者配置檔外部的用戶數據
  • 用戶自動登入

不會保留下列資料:

  • 使用者檔案
  • 使用者安裝的應用程式 (市集和 Win32 應用程式)
  • 非預設裝置設定

視窗 10 更新通道指派隨即顯示

當您進行疑難解答時,針對您正在檢視的使用者,您可以看到任何 Windows 10 更新通道指派。

端點報告頻率設定的 Windows Defender

適用於端點的 Defender 服務可讓系統管理員管理受管理裝置的報告頻率。 使用新的 [加速遙測報告頻率] 選項 ,適用於端點的Defender會更頻繁地收集數據並評估風險。 報告的預設值會將速度和效能優化。 增加報告頻率對於高風險裝置來說很有用。 您可以在裝置組態的端點設定檔 Windows Defender 中找到此設定。

稽核更新

Intune 稽核提供與 Intune 相關的變更作業記錄。 所有建立、更新、刪除和遠端工作作業都會擷取並保留一年。 Azure 入口網站 提供每個工作負載中過去 30 天稽核數據的檢視,而且可進行篩選。 對應的 圖形 API 允許擷取去年儲存的稽核數據。

稽核位於 [監視] 群組底下。 每個工作負載都有稽 核記錄 功能表項。

適用於 macOS 的 公司入口網站 應用程式可供使用

macOS 上的 Intune 公司入口網站 應用程式具有更新的體驗。 它會顯示用戶對於已註冊的所有裝置所需的所有資訊和合規性通知。 而且,一旦將 Intune 公司入口網站 部署至裝置,適用於macOS的 Microsoft AutoUpdate 就會提供更新。 您可以從macOS裝置登入 Intune 公司入口網站網站,以下載macOS的新 Intune 公司入口網站。

Microsoft Planner 現在是行動應用程式管理 (MAM) 核准應用程式清單的一部分

適用於 iOS 和 Android 的 Microsoft Planner 應用程式現在是已核准的行動應用程式管理應用程式的一部分, (MAM) 。 您可以透過所有租使用者 Azure 入口網站 中的 [Intune 應用程式保護] 刀鋒視窗來設定應用程式。

在 iOS 裝置上 Per-App VPN 需求更新頻率

系統管理員現在可以移除 iOS 裝置上應用程式 Per-App VPN 需求;受影響的裝置會在下一次 Intune 簽入之後,通常會在 15 分鐘內發生。

支援 Exchange 連接器的 System Center Operations Manager 管理元件

適用於 Exchange 連接器的 System Center Operations Manager 管理元件現在可用來協助您剖析 Exchange 連接器記錄。 這項功能可讓您在需要疑難解答問題時,以不同的方式監視服務。

Windows 10裝置的共同管理

共同管理是一種解決方案,可提供從傳統管理到新式管理的橋樑,併為您提供使用階段式方法進行轉換的路徑。 共同管理是 Windows 10 裝置由 Configuration Manager 和 Microsoft Intune 同時管理的解決方案。 裝置已加入 Active Directory (AD) 和 Microsoft Entra ID。 如果您無法一次移動所有專案,此設定可讓您依照適合您組織的步調,提供一個隨著時間進行現代化的路徑。

依 OS 版本限制 Windows 註冊

身為 Intune 系統管理員,您現在可以為裝置註冊指定最小和最大版本的 Windows 10。 您可以在 [ 平台 設定] 刀鋒視窗中設定這些限制。

Intune 將繼續支援註冊 Windows 8.1 計算機和手機。 不過,只有 Windows 10 版本可以設定最小和最大限制。 若要允許註冊 8.1 部裝置,請將最低限制保留空白。

Windows Autopilot 未指派裝置的警示

在 [Microsoft Intune> 裝置註冊>概] 頁面上,Windows Autopilot 未指派的裝置可使用新的警示。 此警示會顯示 Autopilot 程式中有多少裝置未指派 Autopilot 部署配置檔。 使用警示中的資訊來建立配置檔,並將它們指派給未指派的裝置。 當您選取警示時,您會看到 Windows Autopilot 裝置的完整清單,以及其詳細資訊。 如需詳細資訊,請 參閱使用 Windows Autopilot 部署計劃註冊 Windows 裝置

裝置清單的 [重新整理] 按鈕

由於 [裝置] 清單不會自動重新整理,因此您可以使用 [重新整理] 按鈕來更新清單中顯示的裝置。

支援 Symantec 雲端證書頒發機構單位 (CA)

Intune 現在支援 Symantec Cloud CA,可讓 Intune 憑證連接器將 PKCS 憑證從 Symantec Cloud CA 簽發至 Intune 受控裝置。 如果您已經使用 Intune 憑證連接器與 Microsoft Certification Authority (CA) ,您可以使用現有的 Intune 憑證連接器安裝程式來新增 Symantec CA 支援。

新增至裝置清查的新專案

下列新項目現在可供 已註冊裝置所取得的清查使用

  • Wi-Fi MAC 位址
  • 總儲存空間
  • 總可用空間
  • 大臡
  • 訂閱者電信業者

在裝置上以最低 Android 安全性修補程式設定應用程式的存取權

系統管理員可以定義必須安裝在裝置上的最低 Android 安全性修補程式,才能存取受管理帳戶下的受控應用程式。

注意事項

此功能只會限制Google在Android 8.0+ 裝置上發行的安全性修補程式。

應用程式條件式啟動支援

IT 系統管理員現在可以透過 Azure 系統管理入口網站設定需求,以強制執行密碼,而非透過行動應用程式管理 (MAM) 在應用程式啟動時強制執行數位 PIN。 如果已設定,用戶必須在收到提示時設定並使用密碼,才能存取啟用 MAM 的應用程式。 密碼定義為至少具有一個特殊字元或大寫/小寫字母的數值 PIN。 此版本的 Intune 只會 在 iOS 上啟用此功能。 Intune 以與數值 PIN 類似的方式支持密碼,它會設定最小長度,允許重複字元和序列。 此功能需要 WXP、Outlook、Managed Browser (應用程式 Viva Engage) 整合 Intune App SDK 與此功能的程式代碼,才能在目標應用程式中強制執行密碼設定。

裝置安裝狀態報告中的企業營運應用程式版本號碼

在此版本中,[裝置安裝狀態] 報告會顯示iOS和Android企業營運應用程式的應用程式版本號碼。 您可以使用此資訊來針對您的應用程式進行疑難解答,或尋找執行過期應用程式版本的裝置。

系統管理員現在可以使用裝置組態配置檔在裝置上設定防火牆設定

系統管理員可以開啟裝置的防火牆,也可以為網域、私人和公用網路設定各種通訊協定。 您可以在「Endpoint Protection」配置檔中找到這些防火牆設定。

Windows Defender 應用程式防護 可協助保護裝置不受信任的網站,如您組織所定義

系統管理員可以使用 Windows 資訊保護 工作流程或裝置設定下的新「網路界限」配置檔,將網站定義為「受信任」或「公司」。 如果使用 Microsoft Edge 檢視,則未列在 64 位 Windows 10 裝置受信任網路界限上的任何網站,都會改為在 Hyper-V 虛擬電腦內的瀏覽器中開啟。

應用程式防護 可在裝置組態配置檔的「Endpoint Protection」配置檔中找到。 系統管理員可以從該處設定虛擬化瀏覽器與主計算機、不受信任的網站和信任的網站之間的互動,以及儲存在虛擬化瀏覽器中產生的數據。 若要在裝置上使用 應用程式防護,必須先設定網路界限。 請務必只為裝置定義一個網路界限。

Windows Defender 上的應用程控 Windows 10 企業版 提供只信任授權應用程式的模式

由於每天建立數千個新的惡意檔案,使用防病毒軟體簽章型偵測來對抗惡意代碼,可能無法再為新的攻擊提供適當的防禦。 在 Windows 10 企業版 上使用 Windows Defender 應用程控,您可以將裝置設定從受信任應用程式的模式,除非遭到防病毒軟體或其他安全性解決方案封鎖,否則變更為操作系統只信任您企業授權之應用程式的模式。 您可以在應用程式控制 Windows Defender 將信任指派給應用程式。

使用 Intune,您可以在「僅稽核」模式或強制執行模式中設定應用程控原則。 在「僅稽核」模式中執行時,不會封鎖應用程式。 「僅稽核」模式會記錄本機客戶端記錄中的所有事件。 您也可以設定是否只允許執行 Windows 元件和 Microsoft Store 應用程式;或者,設定是否允許執行 Intelligent Security Graph 所定義具有良好信譽的其他應用程式。

Window Defender 惡意探索防護是一組適用於 Windows 10 的新入侵防護功能

Window Defender 惡意探索防護包含自定義規則,可降低應用程式的惡意探索能力、防止宏和腳本威脅、自動封鎖低信譽 IP 位址的網路連線,以及保護數據免於遭受勒索軟體和未知威脅。 Windows Defender 惡意探索防護包含下列元件:

  • 「降低攻擊面 」提供可讓您防止宏、腳本和電子郵件威脅的規則。
  • 受控資料夾存取權 會自動封鎖對受保護資料夾內容的存取。
  • 網路篩選 器會封鎖從任何應用程式到低代表IP/網域的輸出連線
  • 惡意探索保護 提供可用來保護應用程式免於遭受惡意探索的記憶體、控制流程和原則限制。

在 Intune 中管理適用於 Windows 10 裝置的 PowerShell 腳本

Intune 管理延伸模組可讓您在 Intune 中上傳 PowerShell 腳本,以在 Windows 10 裝置上執行。 此擴充功能可補充 Windows 10 行動裝置管理 (MDM) 功能,並可讓您更輕鬆地移至新式管理。 如需詳細資訊,請參閱在 Intune 中管理適用於 Windows 10 裝置的 PowerShell 腳本

適用於 Windows 10 的新裝置限制設定

  • 僅限行動) 傳訊 (- 停用測試或多媒體簡訊
  • 密碼 - 啟用 FIPS 和使用 Windows Hello 裝置進行驗證的設定
  • 顯示 - 針對舊版應用程式開啟或關閉 GDI 調整的設定

Windows 10 kiosk 模式裝置限制

您可以將 Windows 10 裝置使用者限制為 kiosk 模式,這會將使用者限制為一組預先定義的應用程式。 若要這樣做,請建立 Windows 10 裝置限制配置檔,並設定 Kiosk 設定。

Kiosk 模式支援兩種模式: 單一應用程式 (允許使用者只執行一個應用程式) 或 多個應用程式 (允許存取一組應用程式) 。 您可以定義使用者帳戶和裝置名稱,這會決定支援的應用程式) 。 當使用者登入時,其限制為已定義的應用程式。 若要深入瞭解,請參閱 AssignedAccess CSP

Kiosk 模式需要:

  • Intune 必須是 MDM 授權單位。
  • 應用程式必須已安裝在目標裝置上。
  • 裝置必須 正確布建

用於建立網路界限的新裝置組態配置檔

您可以與其他裝置組態配置檔一起找到稱為 網路界限 的新裝置組態配置檔。 使用此設定檔來定義您想要視為公司和受信任的在線資源。 您必須先定義裝置的網路界限,才能在裝置上使用 Windows Defender 應用程式防護 和 Windows 資訊保護 等功能。 請務必為每個裝置只定義一個網路界限。

您可以定義您想要視為受信任的企業雲端資源、IP 位址範圍和內部 Proxy 伺服器。 定義之後,其他功能可以取用網路界限,例如 Windows Defender 應用程式防護 和 Windows 資訊保護。

Windows Defender 防病毒軟體的兩個新設定

檔案封鎖層級

設定 詳細資料
未設定 [未設定] 會使用預設 Windows Defender 防病毒軟體封鎖層級,並提供強式偵測,而不會增加偵測合法檔案的風險。
[高 ] 會套用強層級的偵測。
高 + 高 + 為高階提供可能會影響用戶端效能的更多保護措施。
零容忍 零容錯 會封鎖所有未知的可執行檔。

雖然不太可能,但將 設定為 [高 ] 可能會導致偵測到一些合法的檔案。 建議您將 [檔案封鎖層級] 設定為預設值 [ 未設定]

雲端檔案掃描的逾時擴充功能

設定 詳細資料
(0-50) 秒數 指定防病毒軟體在等候來自雲端的結果時,Windows Defender 封鎖檔案的時間上限。 默認數量為 10 秒:此處指定的任何其他時間 (最多 50 秒) 新增至這 10 秒。 在大部分情況下,掃描所花費的時間比最大值少很多。 延長時間可讓雲端徹底調查可疑的檔案。 建議您啟用此設定,並至少額外指定 20 秒。

已為 Windows 10 裝置新增 Citrix VPN

您可以為其 Windows 10 裝置設定 Citrix VPN。 設定 VPN 以供 Windows 10 及更新版本使用時,您可以在 [基底 VPN] 刀鋒視窗的 [選取連線類型] 清單中選擇 Citrix VPN。

注意事項

iOS 和 Android 已存在 Citrix 設定。

Wi-Fi 連線支援 iOS 上的預先共用金鑰

客戶可以將 Wi-Fi 配置檔設定為在 iOS 裝置上使用預先共用的密鑰 (PSK) ,以進行 WPA/WPA2 個人連線。 當裝置註冊到 Intune 時,這些配置檔會推送至用戶的裝置。

當配置檔推送至裝置時,下一個步驟取決於配置檔組態。 如果設定為自動連線,則會在下一次需要網路時進行。 手動連接配置檔時,用戶必須手動啟用連線。

存取 iOS 的受控應用程式記錄

已安裝Managed Browser的用戶現在可以檢視所有 Microsoft 已發佈應用程式的管理狀態,並傳送記錄以針對受控 iOS 應用程式進行疑難解答。

瞭解如何在 iOS 裝置上的 Managed Browser 中啟用疑難解答模式,請參閱 如何使用 iOS 上的 Managed Browser 存取受控應用程式記錄

2.9.0 版 iOS 公司入口網站 中的裝置設定工作流程改善

iOS 的 公司入口網站 應用程式已改善裝置設定工作流程。 語言更方便使用者使用,而且我們已盡可能合併螢幕。 在安裝程式文字中使用您的公司名稱,更專屬於貴公司的語言。 您可以在 應用程式 UI 的新功能頁面上看到此更新的工作流程。

用戶實體包含 Data Warehouse 數據模型中的最新用戶數據

第一個版本的 Intune Data Warehouse 數據模型只包含最近的歷史 Intune 數據。 報表製作者無法擷取使用者目前的狀態。 在此更新中, 用戶實體 會填入最新的用戶數據。

2017 年 10 月

iOS 和 Android 企業營運應用程式版本號碼為可見

Intune 中的應用程式現在會顯示 iOS 和 Android 企業營運應用程式的版本號碼。 數位會顯示在應用程式清單和應用程式概觀刀鋒視窗的 Azure 入口網站 中。 終端使用者可以在 公司入口網站 應用程式和入口網站中看到應用程式號碼。

完整版本號碼 完整版本號碼會識別應用程式的特定版本。 此數字會顯示為 版本 (組建) 。 例如,2.2 (2.2.17560800)

完整版本號碼有兩個元件:

  • 版本
    版本號碼是應用程式的人類可讀取版本號碼。 使用者會使用此資訊來識別不同版本的應用程式。

  • 組建編號
    組建編號是內部編號,可用於應用程式偵測和以程式設計方式管理應用程式。 組建編號是指參考程式代碼中變更的應用程式反覆專案。

開始使用 Microsoft Intune App SDK 中深入瞭解版本號碼和開發企業營運應用程式。

裝置和應用程式管理整合

現在,Intune 的行動裝置管理 (MDM) 和行動應用程式管理 (MAM) 都可從 Azure 入口網站 存取,Intune 已開始整合應用程式和裝置管理的 IT 系統管理員體驗。 這些變更旨在簡化您的裝置和應用程式管理體驗。

深入瞭解 Intune 支援小組部落格中所宣佈的 MDM 和 MAM 變更。

Apple 裝置的新註冊警示

註冊的概觀頁面會針對IT系統管理員顯示有關Apple裝置管理的實用警示。 當 Apple MDM 推播憑證時,警示會顯示在 [概觀] 頁面上:

  • 已過期或已過期
  • 當裝置註冊計劃令牌到期或已過期時
  • 當裝置註冊計劃中有未指派的裝置時

支援在沒有裝置註冊的情況下更換應用程式設定的令牌

您可以針對未註冊裝置上的應用程式,在應用程式組態中使用令牌作為動態值。 如需詳細資訊,請 參閱為未註冊裝置的受控應用程式新增應用程式設定原則

匯報 至適用於 Windows 10的 公司入口網站 應用程式

公司入口網站 app for Windows 10 中的 [設定] 頁面已更新,讓所有設定中的設定和預期用戶動作更加一致。 它也已更新,以符合其他 Windows 應用程式的版面配置。 您可以在 應用程式 UI 的新 功能頁面中找到影像之前/之後。

通知終端使用者 Windows 10 裝置可以看到哪些裝置資訊

我們已將 [擁有權類型] 新增至 公司入口網站 app 上適用於 Windows 10 的 [裝置詳細數據] 畫面。 這項功能可讓使用者直接從 Intune 使用者文件從此頁面深入了解隱私權。他們也可以在 [ 關於 ] 畫面上找到這項資訊。

Android 公司入口網站 應用程式的意見反應提示

適用於 Android 的 公司入口網站 應用程式現在會要求使用者意見反應。 此意見反應會直接傳送給 Microsoft,並讓終端用戶有機會在公用 Google Play 商店中檢閱應用程式。 不需要意見反應,而且可以輕鬆地關閉,讓使用者可以繼續使用應用程式。

協助您的用戶協助自己使用適用於Android的公司入口網站應用程式

適用於Android的 公司入口網站 應用程式已新增指示,以協助使用者瞭解並盡可能自行解決新的使用案例。

適用於Android裝置的新「解決」動作

適用於 Android 的 公司入口網站 應用程式會在 [更新裝置設定] 頁面上導入「解決」動作。 選取此選項會讓使用者直接前往導致其裝置不符合規範的設定。 適用於Android的 公司入口網站 應用程式目前針對裝置密碼USB 偵錯和未知來源設定支援此動作。

Android 公司入口網站 中的裝置設定進度指示器

Android 的 公司入口網站 應用程式會在用戶註冊其裝置時顯示裝置設定進度指示器。 指標會顯示新狀態,從 「設定您的裝置...」、「註冊您的裝置...」、「完成註冊您的裝置...」,然後「完成裝置設定...」開始。

iOS 公司入口網站 上的憑證式驗證支援

我們已在 iOS 的 公司入口網站 應用程式中新增憑證式驗證 (CBA) 的支援。 使用 CBA 的使用者輸入其使用者名稱,然後點選 [使用憑證登入] 連結。 適用於 Android 和 Windows 的 公司入口網站 應用程式已支援 CBA。 您可以在登入 公司入口網站 應用程式頁面上深入瞭解。

現在可以安裝具有或不含註冊的應用程式,而不會出現註冊提示。

在 Android 公司入口網站 應用程式上無論是否註冊都已提供公司應用程式,現在可以安裝,而不需要提示註冊。

Microsoft Intune中的 Windows Autopilot Deployment 計劃支援

您現在可以使用 Microsoft Intune 與 Windows Autopilot Deployment Program,讓您的用戶能夠布建其公司裝置,而不需要涉及 IT。 您可以自定義 OOBE) (全新體驗,並引導使用者將其裝置加入 Microsoft Entra ID,並在 Intune 中註冊。 共同作業,Microsoft Intune 和 Windows Autopilot 不需要部署、維護及管理作業系統映像。 如需詳細資訊,請 參閱使用 Windows Autopilot 部署計劃註冊 Windows 裝置

裝置註冊的快速入門

快速入門現已在 裝置註冊 中提供,並提供用於管理平台和設定註冊程式的參考數據表。 每個項目的簡短描述,以及具有逐步指示的文件連結,提供有用的文件來簡化開始使用。

裝置分類

[裝置概觀] 刀鋒視窗的>已註冊裝置平台圖表會依平臺組織裝置,包括 Android、iOS、macOS 和 Windows。 執行其他作業系統的裝置會分組為「其他」。另一個類別包括 Blackberry、NOKIA 和其他裝置所製造裝置。

若要瞭解哪些裝置在您的租使用者中受到影響,請選擇 [管理 > 所有裝置 ],然後使用 [篩選 ] 來限制 [操作系統] 字段。

Zimperium - 新的 Mobile Threat Defense 合作夥伴

您可以根據 Zimperium 所進行的風險評估,使用條件式存取來控制行動裝置對公司資源的存取,Zimperium 是與 Microsoft Intune 整合的 Mobile Threat Defense 解決方案。

與 Intune 的整合運作方式

風險是根據從執行 Zimperium 的裝置收集的遙測來評估。 您可以根據透過 Intune 裝置合規性政策啟用的 Zimperium 風險評估,設定 EMS 條件式存取 (CA) 原則。 然後,使用 CA 原則來允許或封鎖不符合規範的裝置,以根據偵測到的威脅來存取公司資源。

Windows 10 裝置限制配置檔的新設定

我們將新設定新增至 Windows Defender SmartScreen 類別中的 Windows 10 裝置限制配置檔。

如需 Windows 10 裝置限制配置檔的詳細資訊,請參閱 Windows 10 和更新版本的裝置限制設定

Windows 和 Windows Mobile 裝置的遠端支援

Intune 現在可以使用個別購買的 TeamViewer 軟體,讓您能夠對執行 Windows 和 Windows Mobile 裝置的使用者提供遠端協助。

使用 Windows Defender 掃描裝置

您現在可以在受管理的 Windows 10 裝置上,使用 Windows Defender 防病毒軟體來執行快速掃描完整掃描更新簽章。 從裝置的 [概觀] 刀鋒視窗中,選擇要在裝置上執行的動作。 系統會提示您在命令傳送至裝置之前確認動作。

快速掃描:快速掃描會掃描惡意代碼註冊開始的位置,例如登錄機碼和已知的 Windows 啟動資料夾。 快速掃描平均需要五分鐘的時間。 結合 Always-on 實時保護 設定,可在檔案開啟、關閉時掃描檔案,以及每當使用者瀏覽至資料夾時,快速掃描有助於防止可能位於系統或核心中的惡意代碼。 使用者會在其裝置完成時看到掃描結果。

完整掃描:完整掃描在遇到惡意代碼威脅的裝置上很有用,可識別是否有任何非作用中的元件需要更徹底的清除,而且適用於執行隨選掃描。 完整掃描可能需要一小時才能執行。 使用者會在其裝置完成時看到掃描結果。

更新簽章:更新簽章命令會更新 Windows Defender 防病毒軟體定義和簽章。 這項功能有助於確保防病毒軟體 Windows Defender 能夠有效偵測惡意代碼。 這項功能僅適用於 Windows 10 裝置,暫止裝置因特網連線。

[啟用/停用] 按鈕會從 Intune Azure 入口網站 的 [Intune 證書頒發機構單位] 頁面中移除

我們正在排除在 Intune 上設定憑證連接器的額外步驟。 目前,您會下載憑證連接器,然後在 Intune 控制台中加以啟用。 不過,如果您在 Intune 控制台中停用連接器,連接器會繼續發出憑證。

這項變更對我有何影響?

從 10 月開始,[啟用/停用] 按鈕將不再出現在 Azure 入口網站 的 [證書頒發機構單位] 頁面上。 連接器功能維持不變。 憑證仍會部署到在 Intune 中註冊的裝置。 您可以繼續下載並安裝憑證連接器。 若要停止簽發憑證,您現在要卸載憑證連接器,而不是停用它。

我該怎麼做才能準備這項變更?

如果您目前已停用憑證連接器,您應該將它卸載。

Windows 10 團隊版裝置限制配置檔的新設定

在此版本中,我們已將許多新設定新增至 Windows 10 團隊版 裝置限制配置檔,以協助您控制 Surface Hub 裝置。

如需此配置檔的詳細資訊,請參閱 Windows 10 團隊版 裝置限制設定。

防止 Android 裝置的使用者變更其裝置日期和時間

您可以使用 Android 自訂裝置原則 來防止 Android 裝置使用者變更裝置日期和時間。

若要使用這項功能,請使用設定 URI ./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange來設定 Android 自定義原則。 將值設定為 TRUE,然後將它指派給必要的群組。

BitLocker 裝置設定

Windows 加密>基底設定包含另一個磁碟加密的新 [警告] 設定,可讓您針對使用者裝置上可能正在使用的其他磁碟加密停用警告提示。 在裝置上設定 BitLocker 之前,警告提示需要使用者同意,並封鎖 BitLocker 安裝程式,直到使用者確認為止。 新的設定會停用使用者警告。

商務用大量採購方案應用程式現在會同步至您的 Intune 租使用者

第三方開發人員可以私下將應用程式發佈至 iTunes Connect 中指定的授權大量採購方案 (商務用 VPP) 成員。 商務用 VPP 成員可以登入大量採購方案 App Store 併購購買其應用程式。

在此版本中,用戶購買的 VPP 企業版應用程式現在會開始同步至其 Intune 租使用者。

選取 Apple 國家/地區市集以同步 VPP 應用程式

您可以在上傳 VPP 令牌時,將大量採購方案設定 (VPP) 國家/地區存放區。 Intune 會從指定的 VPP 國家/地區市集同步所有地區設定的 VPP 應用程式市集。

注意事項

目前,Intune 只會同步處理 VPP 國家/地區存放區中的 VPP 應用程式,該存放區符合 Intune 租使用者建立所在的 Intune 地區設定。

在Android for Work 中封鎖工作和個人配置檔之間的複製和貼上

在此版本中,您可以設定 Android for Work 的工作設定檔,以封鎖工作和個人應用程式之間的複製和貼上。 您可以在 Android for Work Platform in Work 設定檔設定裝置限制設定檔中找到此新設定。

建立受限於特定地區 Apple App Store 的 iOS 應用程式

您可以在 Apple App Store 受控應用程式建立期間指定國家/地區地區設定。

注意事項

目前,您只能建立 Apple App Store 在美國國家/地區市集中的受控應用程式。

更新 iOS VPP 使用者和裝置授權應用程式

您可以設定 iOS VPP 令牌,以透過 Intune 服務更新為該令牌購買的所有應用程式。 Intune 會偵測應用程式市集內的 VPP 應用程式更新,並在裝置簽入時自動將其推送至裝置。

如需設定 VPP 令牌並啟用自動更新的步驟,請參閱 [如何使用 Microsoft Intune] 管理透過大量採購方案購買的 iOS 應用程式 (。。/apps/vpp-apps-ios) 。

已新增至 Intune Data Warehouse 數據模型的使用者裝置關聯實體集合

您現在可以使用關聯使用者和裝置實體集合的使用者裝置關聯資訊來建置報表和數據視覺效果。 您可以透過從 Data Warehouse Intune 頁面擷取的 Power BI 檔案 (PBIX) 、透過 OData 端點或開發自定義用戶端來存取數據模型。

檢閱 Windows 10 更新通道的原則合規性

您可以從 [軟體更新>][每個更新通道部署狀態] 檢閱 Windows 10 更新通道的原則報告。 原則報告包含您已設定之更新通道的部署狀態。

列出具有較舊 iOS 版本之 iOS 裝置的新報表

[軟體更新] 工作區提供過期的 iOS 裝置報告。 在報告中,您可以檢視受監督的 iOS 裝置清單,這些裝置是 iOS 更新原則的目標,並具有可用的更新。 針對每個裝置,您可以檢視裝置未自動更新的原因狀態。

檢視應用程式保護原則指派以進行疑難解答

在此即將推出的版本中,應用程式防護 原則選項會新增至疑難解答刀鋒視窗上可用的 [指] 下拉式清單。 您現在可以選取應用程式保護原則,以查看指派給所選使用者的應用程式保護原則。

公司入口網站 中裝置設定工作流程的改善

我們已改善Android 公司入口網站應用程式中的裝置設定工作流程。 語言更方便使用且專屬於您的公司,而且我們已盡可能合併螢幕。 您可以在 應用程式 UI 的新 功能頁面中看到這些變更。

改善Android裝置上聯繫人存取要求的相關指引

適用於 Android 的 公司入口網站 應用程式通常需要使用者接受連絡人許可權。 如果終端使用者拒絕此存取權,他們現在會看到應用程式內通知,提醒他們授與條件式存取權。

Android的安全啟動補救

具有 Android 裝置的終端使用者可以在 公司入口網站 應用程式中點選不符合規範的原因。 可能的話,系統會將他們直接帶至設定應用程式中的正確位置,以修正問題。

Android Oreo 公司入口網站 應用程式上的終端使用者推播通知

當適用於Android Oreo的 公司入口網站 應用程式執行背景工作,例如從Intune服務擷取原則時,終端使用者會看到更多通知來向他們指出。 此功能:

  • 提高用戶對於 公司入口網站 在其裝置上執行系統管理工作的透明度。
  • 是 Android Oreo 公司入口網站 應用程式 公司入口網站 UI 整體優化的一部分

Android Oreo 中啟用的新 UI 元素有進一步的優化。 終端使用者會看到更多通知,這些通知會在 公司入口網站 執行背景工作時向他們指出,例如從 Intune 服務擷取原則。 這會增加使用者在裝置上執行系統管理工作時 公司入口網站 透明度。

適用於 Android 的 公司入口網站 應用程式與工作設定檔的新行為

當您使用工作配置檔註冊 Android for Work 裝置時,其為工作配置檔中執行管理工作的 公司入口網站 應用程式。

除非您在個人配置檔中使用已啟用 MAM 的應用程式,否則適用於 Android 的 公司入口網站 應用程式不再提供任何用途。 為了改善工作配置檔體驗,Intune 會在成功註冊工作配置檔之後,自動隱藏個人 公司入口網站 應用程式。

您可以在個人配置檔中隨時啟用適用於 Android 的 公司入口網站 應用程式,方法是在 Play Store 中瀏覽 公司入口網站 並點選 [啟用]

Windows 8.1和 Windows Phone 8.1 移至維持模式的 公司入口網站

從 2017 年 10 月開始,適用於 Windows 8.1 和 Windows Phone 8.1 的 公司入口網站 應用程式將會移至維持模式。 這些平臺將繼續支援應用程式和現有的案例,例如註冊和合規性。 這些應用程式將繼續可透過現有的發行通道下載,例如 Microsoft Store。

一旦處於持續模式,這些應用程式只會收到重要的安全性更新。 這些應用程式將不會發行其他更新或功能。 針對新功能,建議您將裝置更新為 Windows 10 或 Windows 10 行動裝置版。

封鎖不支援的 Samsung Knox 裝置註冊

公司入口網站 應用程式只會嘗試註冊支援的 Samsung Knox 裝置。 為了避免導致無法註冊 MDM 的 Knox 啟用錯誤,只有在裝置出現在 Samsung 發佈的裝置清單中時,才會嘗試進行裝置註冊。 Samsung 裝置可以有支援 Knox 的型號,而其他則不支援。 購買和部署之前,請先確認 Knox 與裝置轉銷商的相容性。 您可以在 Android 和 Samsung Knox Standard 原則設定中找到已驗證裝置的完整清單。

Android 4.3 和更舊版本的支持終止

受控應用程式和適用於 Android 的 公司入口網站 應用程式將需要 Android 4.4 和更新版本才能存取公司資源。 在 12 月前,所有已註冊的裝置都會在 12 月強制淘汰,導致無法存取公司資源。 如果您使用沒有 MDM 的應用程式保護原則,應用程式將不會收到更新,而且其體驗的品質會隨著時間而降低。

通知終端使用者哪些裝置資訊可以在已註冊的裝置上看到

我們將擁有權類型新增至所有 公司入口網站 應用程式上的 [裝置詳細數據] 畫面。 此功能:

  • 可讓使用者直接從 貴公司可以看到哪些資訊 ?一文中深入了解隱私權。
  • 即將推出所有 公司入口網站 應用程式。 我們在 9 月宣佈 iOS 的這項資訊。

2017 年 9 月

Intune 支援 iOS 11

Intune 支援 iOS 11。 此支援先前已在 Intune 支援部落格上宣佈。

iOS 8.0 終止支援

受控應用程式和適用於 iOS 的 公司入口網站 應用程式將需要 iOS 9.0 和更新版本才能存取公司資源。 未在今年 9 月之前更新的裝置將無法再存取 公司入口網站 或那些應用程式。

已將重新整理動作新增至 公司入口網站 應用程式以進行 Windows 10

Windows 10 公司入口網站 應用程式可讓使用者提取以重新整理或在桌面電腦上按 F5,重新整理應用程式中的數據。

通知終端使用者可以看到 iOS 的裝置資訊

我們已將 [擁有權類型] 新增至 iOS 公司入口網站 應用程式上的 [裝置詳細數據] 畫面。 這項功能可讓使用者直接從 Intune 使用者文件從此頁面深入了解隱私權。他們也可以在 [關於] 畫面上找到這項資訊。

允許終端使用者存取適用於 Android 的 公司入口網站 應用程式,而不需註冊

終端使用者很快就會不需要註冊其裝置,就能存取適用於Android的公司入口網站 應用程式。 在使用應用程式保護原則的組織中,用戶在開啟 公司入口網站 應用程式時,不會再收到註冊其裝置的提示。 終端使用者也可以從 公司入口網站 安裝應用程式,而不需要註冊裝置。

更容易瞭解適用於Android的 公司入口網站 應用程式的片語

適用於 Android 的 公司入口網站 應用程式註冊程式已使用新文字簡化,讓終端使用者更容易註冊。 如果您有自定義註冊檔,您會想要更新檔以反映新的畫面。 您可以在我們的 Intune 使用者應用程式 UI 更新 頁面上找到範例影像。

Windows 10 公司入口網站 應用程式新增至 Windows 資訊保護 允許原則

Windows 10 公司入口網站 應用程式已更新為支援 Windows 資訊保護 (WIP) 。 應用程式可以新增至 WIP 允許原則。 有了這項變更,應用程式就不再需要新增至 豁免 清單。

2017 年 8 月

裝置概觀的改善

裝置概觀的改善現在會顯示已註冊的裝置,但不包括由 Exchange ActiveSync 管理的裝置。 Exchange ActiveSync 裝置沒有與已註冊裝置相同的管理選項。 若要在 Azure 入口網站 中依平台檢視已註冊的裝置數目和已註冊的裝置數目,請移至 [裝置>概觀]

Intune 所收集裝置清查的改善

在此版本中,我們已對您管理的裝置所收集的清查資訊進行下列改善:

  • 針對 Android 裝置,您現在可以將資料行新增至裝置清查,以顯示每個裝置的最新修補程式層級。 將 [安全性修補程式層級 ] 資料行新增至您的裝置清單,以查看修補程式層級。
  • 當您篩選裝置檢視時,您現在可以依裝置的註冊日期來篩選裝置。 例如,您只能顯示在指定日期之後註冊的裝置。
  • 我們已改善上次 簽入日期 專案所使用的篩選條件。
  • 在裝置清單中,您現在可以顯示公司擁有之裝置的電話號碼。 此外,您可以使用篩選窗格,依電話號碼搜尋裝置。

如需裝置清查的詳細資訊,請參 閱如何檢視 Intune 裝置清查

macOS 裝置的條件式存取支援

您現在可以設定條件式存取原則,要求Mac裝置必須註冊到Intune,並符合其裝置合規性政策。 例如,使用者可以下載適用於macOS的 Intune 公司入口網站 應用程式,並將其Mac裝置註冊到Intune。 Intune 會評估 Mac 裝置是否符合 PIN、加密、OS 版本和系統完整性等需求。

適用於 macOS 的 公司入口網站 應用程式處於公開預覽狀態

適用於 macOS 的 公司入口網站 應用程式現在可作為 Enterprise Mobility + Security 中條件式存取公開預覽的一部分。 此版本支援macOS 10.11和更新版本。 在取得它 https://aka.ms/macOScompanyportal

適用於 Windows 10 的新裝置限制設定

在此版本中,我們已在下列類別中新增 Windows 10 裝置限制設定檔的新設定:

  • Windows Defender SmartScreen
  • App Store

匯報 至 BitLocker 設定的 Windows 10 端點保護裝置配置檔

在此版本中,我們對 BitLocker 設定在 Windows 10 端點保護裝置設定檔中的運作方式進行了下列改善:

  • [BitLocker OS 磁碟驅動器設定] 底下,針對設定 具有不相容 TPM 晶片的 BitLocker,當您先前選取 [封鎖] 時,此值會導致實際允許 BitLocker。 現在,它會在選取 BitLocker 時封鎖它。
  • [BitLocker OS 磁碟驅動器設定] 底下,針對 [ 憑證式數據復原代理程式] 設定,您現在可以明確封鎖憑證式數據復原代理程式。 不過,根據預設,允許代理程式。
  • [BitLocker 固定數據磁碟驅動器設定] 底下,針對 設定 [數據恢復代理程式],您現在可以明確封鎖數據復原代理程式。 如需詳細資訊,請參閱 Windows 10 及更新版本的 Endpoint Protection 設定

Android 公司入口網站 使用者和應用程式保護原則使用者的新登入體驗

終端用戶現在可以使用 Android 公司入口網站 應用程式瀏覽應用程式、管理裝置,以及檢視 IT 聯繫人資訊,而不需要註冊其 Android 裝置。 此外,如果終端用戶已經使用受 Intune 應用程式保護原則保護的應用程式,並啟動 Android 公司入口網站,終端使用者就不會再收到註冊裝置的提示。

Android 公司入口網站 應用程式中切換電池優化的新設定

適用於 Android 的 公司入口網站 應用程式中的 [設定] 頁面有新的設定,可讓使用者輕鬆地關閉 公司入口網站 和 Microsoft Authenticator 應用程式的電池優化。 設定中顯示的應用程式名稱會根據管理工作帳戶的應用程式而有所不同。 我們建議使用者關閉電池優化,以提升同步電子郵件和數據的工作應用程式效能。

適用於 iOS 的 OneNote 多重身分識別支援

終端用戶現在可以使用不同的帳戶, (公司和個人) 搭配 Microsoft OneNote for iOS。 應用程式防護 原則可以套用至工作筆記本中的公司數據,而不會影響其個人筆記本。 例如,原則可讓使用者在工作筆記本中尋找資訊,但會防止使用者從工作筆記本複製和貼上公司數據到個人筆記本。

允許和封鎖 Samsung Knox Standard 裝置上應用程式的新設定

在此版本中,我們會新增可讓您指定下列應用程式清單的新 裝置限制設定

  • 允許使用者安裝的應用程式
  • 封鎖使用者執行的應用程式
  • 在裝置上對用戶隱藏的應用程式

您可以依網址、套件名稱或您管理的應用程式清單來指定應用程式。

IT 系統管理員現在可以透過 Microsoft Entra 工作負載中的新條件式存取原則 UI 來設定應用程式型條件式原則。 Azure 入口網站 中 Intune 應用程式保護區段中的應用程式型條件式存取會一直保留在該處,並會並行強制執行。 Intune 工作負載中還有新條件式存取原則 UI 的便利連結。

2017 年 7 月

依 OS 版本限制 Android 和 iOS 裝置註冊限制

Intune 現在支援依操作系統版本號碼限制 iOS 和 Android 註冊。 在 [裝置類型限制] 下,IT 系統管理員現在可以設定平臺組態,以限制最低和最大操作系統值之間的註冊。 Android 操作系統版本必須指定為 Major.Minor.Build.Rev,其中 Minor、Build 和 Rev 是選擇性的。 iOS 版本必須指定為 Major.Minor.Build,其中 Minor 和 Build 是選擇性的。 深入了解 裝置註冊限制

注意事項

請不要透過Apple註冊計劃或Apple Configurator來限制註冊。

限制 Android、iOS 和 macOS 裝置個人擁有的裝置註冊

Intune 可以將公司裝置 IMEI 編號新增至允許清單,以限制個人裝置註冊。 Intune 現在已使用裝置序號將這項功能擴充至 iOS、Android 和 macOS。 藉由將序號上傳至 Intune,您可以將裝置預先宣告為公司擁有的裝置。 使用註冊限制,您可以封鎖個人擁有 (BYOD) 裝置,只允許註冊公司擁有的裝置。 深入了解 裝置註冊限制

若要匯入序號,請移至 [裝置註冊>][公司裝置標識>符新增]。 上傳不 (標頭的 .CSV 檔案、序號的兩個數據行,以及 IMEI 編號) 等詳細數據。 若要限制個人擁有的裝置,請移至 [裝置註冊註冊>限制]。 在 [裝置類型限制] 下,選取 [ 預設] ,然後選取 [ 平台設定]。 您可以 允許封鎖 iOS、Android 和 macOS 的個人擁有裝置。

強制裝置與 Intune 同步的新裝置動作

在此版本中,我們新增了新的裝置動作,強制選取的裝置立即簽入 Intune。 當裝置簽入時,它會立即收到任何已指派給裝置的暫止動作或原則。 此動作可協助您立即驗證並疑難解答您已指派的原則,而不需等待下一次排程的簽入。 如需詳細資訊,請 參閱同步處理裝置

強制受監督的 iOS 裝置自動安裝最新的可用軟體更新

新的原則可從 [軟體更新] 工作區取得,您可以在其中強制受監督的 iOS 裝置自動安裝最新的可用軟體更新。 如需詳細資訊, 請參閱設定 iOS 更新原則

Check Point SandBlast Mobile - 新的 Mobile Threat Defense 合作夥伴

您可以根據 Checkpoint SandBlast Mobile 所進行的風險評估,使用條件式存取來控制行動裝置對公司資源的存取。 Checkpoint SandBlast Mobile 是與 Microsoft Intune 整合的行動威脅防護解決方案。

與 Intune 的整合如何運作?

風險是根據從執行 Checkpoint SandBlast Mobile 的裝置收集的遙測來評估。 您可以根據透過 Intune 裝置合規性政策啟用的 Checkpoint SandBlast Mobile 風險評估來設定 EMS 條件式存取原則。 您可以根據偵測到的威脅,允許或封鎖不符合規範的裝置存取公司資源。

在 商務用 Microsoft Store 中部署可用的應用程式

在此版本中,系統管理員現在可以將 商務用 Microsoft Store 指派為可用。 設定為可用時,使用者可以從 公司入口網站 應用程式或網站安裝應用程式,而不需要重新導向至 Microsoft Store。

公司入口網站 網站的UI更新

我們對 公司入口網站 網站的UI進行了數項更新,以增強用戶體驗。

  • 應用程式磚的增強功能:如果可以偵測到) ,應用程式圖示現在會根據圖示 (的主要色彩,以自動產生的背景顯示。 適用時,此背景會取代先前在應用程式磚上顯示的灰色框線。

    公司入口網站 網站會盡可能在即將推出的版本中顯示大型圖示。 建議 IT 系統管理員使用大小下限為 120 x120 像素的高解析度圖示來發佈應用程式。

  • 瀏覽變更:導覽列專案會移至左上方的漢堡功能表。 [類別] 頁面已移除。 用戶現在可以在流覽時依類別篩選內容。

  • 匯報 精選應用程式:我們已將專用頁面新增至網站,讓使用者可以瀏覽您選擇要執行功能的應用程式,並針對首頁的 [精選] 區段進行一些 UI 調整。

公司入口網站 網站的 iBooks 支援

我們已將專用頁面新增至 公司入口網站 網站,可讓使用者瀏覽及下載 iBooks。

技術支援中心疑難解答詳細數據

Intune 已更新疑難解答顯示,並新增至它為系統管理員和支持人員提供的資訊。 您現在可以看到 [ 指派 ] 數據表,其中根據群組成員資格摘要說明使用者的所有指派。 此清單包括:

  • 行動裝置應用程式
  • 合規性原則
  • 組態配置檔

此外,Devices 數據表現在包含 Microsoft Entra 聯結類型Microsoft Entra 相容的數據行。 如需詳細資訊,請參閱 協助使用者針對問題進行疑難解答

Intune Data Warehouse (公開預覽)

Intune Data Warehouse 每日取樣數據,以提供租用戶的歷史檢視。 您可以使用Power BI 檔案 (PBIX) 、與許多分析工具相容的 OData 連結,或與 REST API 互動來存取數據。 如需詳細資訊,請參閱使用 Intune Data Warehouse

適用於 公司入口網站 應用程式的淺色和深色模式 Windows 10

用戶可以針對 Windows 10 自定義 公司入口網站 應用程式的色彩模式。 用戶可以在 公司入口網站 應用程式的 [設定] 區段中進行變更。 變更會在使用者重新啟動應用程式之後出現。 針對 Windows 10 1607 版和更新版本,應用程式模式會預設為系統設定。 針對 Windows 10 1511 版和更早版本,應用程式模式會預設為淺色模式。

讓終端使用者在 公司入口網站 應用程式中標記其裝置群組以進行 Windows 10

終端用戶現在可以從 公司入口網站 應用程式內直接標記裝置所屬的群組,以進行 Windows 10。

2017 年 6 月

Intune 系統管理員的新角色型系統管理存取權

正在新增條件式存取系統管理員角色,以檢視、建立、修改和刪除 Microsoft Entra 條件式存取原則。 先前,只有全域系統管理員和安全性系統管理員具有此許可權。 您可以使用此角色許可權授與 Intune 系統管理員,讓他們能夠存取條件式存取原則。

使用序號標記公司擁有的裝置

Intune 現在支援將 iOS、macOS 和 Android 序號上傳為公司裝置識別碼。 您目前無法使用序號來封鎖個人裝置註冊,因為註冊期間不會驗證序號。 依序號封鎖個人裝置即將發行。

iOS 裝置的新遠端動作

在此版本中,我們為管理 Apple Classroom 應用程式的共用 iPad 裝置新增了兩個新的遠端裝置動作:

支援使用 iOS Classroom 應用程式共用 iPad

在此版本中,我們擴充了管理 iOS Classroom 應用程式的支援,以包含使用受控 Apple ID 登入共用 iPad 的學生。

Intune 內建應用程式的變更

Intune 先前包含許多您可以快速指派的內建應用程式。 根據您的意見反應,我們已移除此清單,而您將不再看到內建應用程式。 不過,如果您已指派任何內建應用程式,這些應用程式仍會顯示在應用程式清單中。 您可以視需要繼續指派這些應用程式。 在較新的版本中,我們計劃新增更輕鬆的方法,從 Azure 入口網站 選取和指派內建應用程式。

更輕鬆地安裝 Microsoft 365 應用程式

企業版應用程式類型的新 Microsoft 365 Apps 可讓您輕鬆地將 Microsoft 365 Apps 企業版 應用程式指派給您管理執行最新版 Windows 10 的裝置。 此外,如果您擁有它們的授權,您也可以安裝 Microsoft Project 和 Microsoft Visio。 您想要的應用程式會組合在一起,並在 Intune 控制台的應用程式清單中顯示為一個應用程式。 如需詳細資訊,請參閱如何新增適用於 Windows 10 的 Microsoft 365 應用程式

支援來自 商務用 Microsoft Store的離線應用程式

您從 商務用 Microsoft Store 購買的離線應用程式現在會同步至 Azure 入口網站。 然後,您可以將這些應用程式部署到裝置群組或使用者群組。 離線應用程式是由 Intune 安裝,而不是由市集安裝。

Microsoft Teams 現在是已核准應用程式的應用程式型 CA 列表的一部分

適用於 iOS 和 Android 的 Microsoft Teams 應用程式現在是 Exchange 和 SharePoint Online 應用程式型條件式存取原則核准應用程式的一部分。 應用程式可以透過 Azure 入口網站 中的 [Intune 應用程式保護] 刀鋒視窗,設定為目前使用應用程式型條件式存取的所有租使用者。

受管理的瀏覽器和應用程式 Proxy 整合

Intune Managed Browser 現在可以與 Microsoft Entra 應用程式 Proxy 服務整合,讓使用者即使在遠端工作時也能存取內部網站。 瀏覽器的使用者會如往常般輸入網站 URL,而 Managed Browser 會透過應用程式 Proxy Web 網關路由傳送要求。 如需詳細資訊,請 參閱使用受控瀏覽器原則管理因特網存取

Intune Managed Browser 的新應用程式組態設定

在此版本中,我們新增了iOS和Android Intune Managed Browser應用程式的進一步設定。 您現在可以使用應用程式設定原則來設定瀏覽器的預設首頁和書籤。 如需詳細資訊,請 參閱使用受控瀏覽器原則管理因特網存取

適用於 Windows 10 的 BitLocker 設定

您現在可以使用新的 Intune 裝置設定檔,為 Windows 10 裝置設定 BitLocker 設定。 例如,您可以要求裝置加密,也可以設定在 BitLocker 開啟時套用的進一步設定。 如需詳細資訊,請參閱 Windows 10 及更新版本的 Endpoint Protection 設定

Windows 10 裝置限制配置檔的新設定

在此版本中,我們已在下列類別中新增 Windows 10 裝置限制設定檔的新設定:

  • Windows Defender
  • 行動數據和連線能力
  • 鎖定的屏幕體驗
  • 隱私權
  • 搜尋
  • Windows 焦點
  • Microsoft Edge 瀏覽器

如需 Windows 10 設定的詳細資訊,請參閱 Windows 10 和更新版本的裝置限制設定

公司入口網站 Android 應用程式現在有新的應用程式保護原則用戶體驗

根據客戶的意見反應,我們修改了適用於 Android 的 公司入口網站 應用程式,以顯示 [存取公司內容] 按鈕。 其目的是要防止終端使用者在只需要存取支援應用程式保護原則的應用程式時,不必要地進行註冊程式,這是 Intune 行動應用程式管理的一項功能。 您可以在 應用程式 UI 的新 功能頁面上看到這些變更。

可輕鬆移除新功能表動作 公司入口網站

根據使用者意見反應,Android 公司入口網站 應用程式已新增功能表動作,以起始從裝置移除 公司入口網站。 此動作會從 Intune 管理中移除裝置,讓使用者可以從裝置移除應用程式。 您可以 在應用程式 UI 的新 功能頁面和 Android 使用者檔案中看到這些變更。

應用程式與 Windows 10 Creators Update 同步處理的改善

適用於 Windows 10 的 公司入口網站 應用程式現在會針對具有 Windows 10 Creators Update (版本 1709) 的裝置,自動起始應用程式安裝要求的同步處理。 此行為可減少應用程式安裝在「擱置同步」狀態期間停止的問題。 此外,使用者可以從應用程式內手動起始同步處理。 您可以在 應用程式 UI 的新 功能頁面上看到這些變更。

適用於 Windows 10 公司入口網站 的新引導式體驗

Windows 10 的 公司入口網站 應用程式將包含尚未識別或註冊之裝置的引導式 Intune 逐步解說體驗。 新體驗提供逐步指示,引導用戶註冊裝置管理功能) 所需的條件式存取功能) 和 MDM 註冊 (所需的 Microsoft Entra ID (。 引導式體驗可從 公司入口網站 首頁存取。 如果使用者未完成註冊和註冊,他們可以繼續使用應用程式,但會遇到有限的功能。

只有在執行年度更新版 Windows 10 (組建 1607) 或更新版本的裝置上,才會看到此更新。 您可以在 應用程式 UI 的新 功能頁面上看到這些變更。

Microsoft Intune和條件式存取系統管理中心已正式推出

我們宣佈 Azure 入口網站 管理主控台和條件式存取管理控制台中的新 Intune 正式運作。 透過 Azure 入口網站 中的 Intune,您現在可以在一個合併的系統管理員體驗中管理所有 Intune MAM 和 MDM 功能,並使用 Microsoft Entra 群組和目標設定。 Azure 中的條件式存取可將 Microsoft Entra ID 和 Intune 的豐富功能整合在整合控制台中。 而從系統管理體驗中,移至 Azure 平臺可讓您使用新式瀏覽器。

Intune 現在可以在 portal.azure.com 的 Azure 入口網站 中顯示,而沒有預覽標籤。

目前現有客戶不需要採取任何動作。 如果您在訊息中心收到一系列訊息的其中一個,要求您採取動作,以便我們可以移轉您的群組,則需要採取動作。 您可能也會收到訊息中心通知,通知您移轉因我們這端的錯誤而花費較長的時間。 我們正積極地繼續移轉任何受影響的客戶。

iOS 公司入口網站 應用程式中應用程式磚的改善

我們已更新首頁上應用程式磚的設計,以反映您為 公司入口網站 設定的商標色彩。 如需詳細資訊,請參閱 應用程式UI的新功能

帳戶選擇器現在適用於iOS的 公司入口網站 應用程式

如果 iOS 裝置的使用者使用其公司或學校帳戶登入其他 Microsoft 應用程式,當他們登入 公司入口網站 時,可能會看到新的帳戶選擇器。 如需詳細資訊,請參閱 應用程式UI的新功能

2017 年 5 月

變更您的 MDM 授權單位,而不取消註冊受控裝置

您現在可以變更 MDM 授權單位,而不需要連絡 Microsoft 支援服務,也不需要取消註冊並重新註冊現有的受控裝置。 在 Configuration Manager 控制台中,您可以將 MDM 授權單位從 [設定] 變更為 [Configuration Manager (混合式) ],以 Microsoft Intune (獨立) ,反之亦然。

改善 Samsung Knox 啟動 PIN 的通知

當終端使用者需要在 Samsung Knox 裝置上設定啟動 PIN 以符合加密規範時,當點選通知時,向終端用戶顯示的通知會將他們帶到 [設定] 應用程式中的確切位置。 先前,通知會將使用者帶至密碼變更畫面。

使用共用 iPad (ASM) 支援 Apple School Manager

Intune 現在支援使用 Apple School Manager (ASM) 來取代 Apple 裝置註冊計劃,以提供 iOS 裝置的現成註冊。 ASM 上線是使用適用於共用 iPad 的 Classroom 應用程式的必要專案,而且必須能夠透過 Microsoft 學校資料同步處理 (SDS) ,將 ASM 中的數據同步處理至 Microsoft Entra ID。 如需詳細資訊,請參閱 使用 Apple School Manager 啟用 iOS 裝置註冊

注意事項

若要設定共用 iPad 以使用 Classroom 應用程式,Azure 中的 iOS 教育版設定尚無法使用。 此功能即將新增。

使用 TeamViewer 為 Android 裝置提供遠端協助

Intune 現在可以使用個別購買的 TeamViewer 軟體,讓您能夠對執行 Android 裝置的使用者提供遠端協助。 如需詳細資訊, 請參閱為受 Intune 管理的 Android 裝置提供遠端協助

MAM 的新應用程式保護原則條件

您現在可以設定 MAM 的需求,而不需要強制執行下列原則的註冊使用者:

  • 最低應用程式版本
  • 最低作業系統版本
  • 目標應用程式的最低 Intune APP SDK 版本 (僅限 iOS)

這項功能可在Android和iOS上使用。 Intune 支援 OS 平臺版本、應用程式版本和 Intune APP SDK 的最低版本強制執行。 在 iOS 上,已整合 SDK 的應用程式也可以在 SDK 層級設定最低版本強制執行。 如果上述三個不同層級未符合透過應用程式保護原則的最低需求,用戶將無法存取目標應用程式。 此時,使用者可以移除多重身分識別應用程式的帳戶 () 、關閉應用程式,或更新 OS 或應用程式的版本。

您也可以設定設定,以提供建議操作系統或應用程式升級的非封鎖通知。 此通知可以關閉,而且應用程式可以正常使用。

如需詳細資訊,請參閱 iOS 應用程式保護原則設定Android 應用程式保護原則設定

設定 Android for Work 的應用程式設定

市集的某些 Android 應用程式支援 Managed 組態選項,可讓 IT 系統管理員控制應用程式在工作設定檔中的執行方式。 使用 Intune,您現在可以檢視應用程式支援的設定,並使用設定設計工具或 JSON 編輯器從 Azure 入口網站 進行設定。 如需詳細資訊,請 參閱使用Android for Work 的應用程式設定。

不註冊 MAM 的新應用程式設定功能

您現在可以透過 MAM 建立應用程式設定原則,而不需要註冊通道。 這項功能相當於行動裝置管理 (MDM) 應用程式設定中可用的應用程式設定原則。 如需在不註冊的情況下使用 MAM 進行應用程式設定的範例,請參閱使用受控瀏覽器原則搭配 Microsoft Intune 來管理因特網存取。

為 Managed Browser 設定允許和封鎖的 URL 清單

使用應用程式組態設定,您現在可以為 Intune Managed Browser 設定允許和封鎖的網域和 URL 清單。 不論瀏覽器是在受管理或非受控裝置上使用,都可以設定這些設定。 如需詳細資訊,請參閱使用受控瀏覽器原則搭配 Microsoft Intune 來管理因特網存取

應用程式防護 原則技術服務人員檢視

IT 技術服務人員用戶現在可以在 [疑難解答] 刀鋒視窗中檢查使用者授權狀態,以及指派給使用者的應用程式保護原則應用程式狀態。 如需詳細資訊,請參閱 疑難解答

控制 iOS 裝置上的網站流覽

您現在可以使用下列兩種方法之一來控制 iOS 裝置的使用者可以造訪的網站:

  • 使用 Apples 內建 Web 內容篩選器新增允許和封鎖的 URL。

  • 只允許 Safari 瀏覽器存取指定的網站。 系統會在 Safari 中為您指定的每個網站建立書籤。

如需詳細資訊,請參閱 iOS 裝置的 Web 內容篩選設定

預先設定 Android for Work 應用程式的裝置許可權

針對部署至 Android for Work 裝置工作設定檔的應用程式,您現在可以設定個別應用程式的許可權狀態。 根據預設,需要裝置許可權的 Android 應用程式,例如位置或裝置相機的存取權,將會提示使用者接受或拒絕許可權。 例如,如果應用程式使用裝置的麥克風,則系統會提示使用者授與應用程式使用麥克風的許可權。 此功能可讓您代表使用者定義許可權。 您可以設定) 自動拒絕的許可權,而不通知使用者,b) 自動核准而不通知使用者,或 c) 提示使用者接受或拒絕。 如需詳細資訊,請參閱 Microsoft Intune 中的Android for Work裝置限制設定

定義 Android for Work 裝置的應用程式特定 PIN

Android 7.0 和更新版本的裝置,具有以 Android for Work 裝置管理的工作設定檔,可讓系統管理員定義只適用於工作配置檔中應用程式的密碼原則。 選項包括:

  • 只定義全裝置的密碼原則 - 此選項是用戶必須用來解除鎖定其整個裝置的密碼。
  • 只定義工作設定檔密碼原則 - 每當開啟工作配置檔中的任何應用程式時,系統會提示使用者輸入密碼。
  • 定義裝置和工作配置檔原則 - IT 系統管理員可以選擇定義裝置密碼原則和工作配置檔密碼原則,其優點 (例如,用來解除鎖定裝置的四位數 PIN,但六位數 PIN 可開啟任何工作應用程式) 。

如需詳細資訊,請參閱 Microsoft Intune 中的Android for Work裝置限制設定

注意事項

這僅適用於 Android 7.0 和更新版本。 根據預設,終端使用者可以使用兩個個別定義的 PIN,或選擇將兩個定義的 PIN 合併成兩者中最強的 PIN。

Windows 10 裝置的新設定

我們新增了新的 Windows 裝置限制設定 ,可控制無線顯示器、裝置探索、工作切換和 SIM 卡錯誤訊息等功能。

匯報 至憑證設定

建立 SCEP 憑證設定檔時,[ 主體名稱] 格式[自定義 ] 選項適用於 iOS、Android 和 Windows 裝置。 在此更新之前, [自定義 ] 字段僅適用於 iOS 裝置。 如需詳細資訊,請 參閱建立 SCEP 憑證配置檔

建立 PKCS 憑證設定檔時,針對主體別名,可以使用自定義 Microsoft Entra 屬性。 當您選取 [自定義 Microsoft Entra 屬性時,可以使用 [部門] 選項。 如需詳細資訊,請 參閱建立 PKCS 憑證配置檔

設定可在Android裝置處於 kiosk 模式時執行的多個應用程式

當 Android 裝置處於 kiosk 模式時,您先前只能設定一個允許執行的應用程式。 您現在可以使用應用程式識別碼、市集 URL,或選取您已管理的 Android 應用程式來設定多個應用程式。 如需詳細資訊,請 參閱 Kiosk 模式設定

2017 年 4 月

支援管理 Apple Classroom 應用程式

您現在可以在 iPad 裝置上管理 iOS Classroom 應用程式。 使用正確的班級和學生數據,在教師 iPad 上設定 Classroom 應用程式,然後設定註冊到班級的學生 iPad,讓您可以使用應用程式來控制它們。 如需詳細資訊, 請參閱設定 iOS 教育版設定

支援 Android 應用程式的 Managed 設定選項

Intuune 現在可以在 Play 存放區中設定支援受控設定選項的 Android 應用程式。 這項功能可讓 IT 檢視應用程式支援的組態值清單,並提供引導式的第一級 UI,讓它們能夠設定這些值。

適用於複雜 PIN 的新 Android 原則

您現在可以在 Android 裝置設定檔中,為執行 Android 5.0 和更新版本的裝置設定必要的 複雜密碼 類型。 使用此設定可防止裝置使用者建立包含重複或連續數位的 PIN,例如 1111 或 1234。

支援Android for Work 裝置

  • 管理密碼和工作配置檔設定

    這個新的 Android for Work 裝置限制原則現在可讓您在您管理的 Android for Work 裝置上管理密碼和工作設定檔設定。

  • 允許工作和個人配置檔之間的數據共用

此 Android for Work 裝置限制設定檔現在有新選項可協助您設定工作與個人設定檔之間的數據共用。

  • 限制工作和個人配置檔之間的複製和貼上

    Android for Work 裝置的新自訂裝置設定檔現在可讓您限制是否允許工作和個人應用程式之間的複製和貼上動作。

如需詳細資訊,請參閱 Android for Work的裝置限制

將 LOB 應用程式指派給 iOS 和 Android 裝置

您現在可以將 iOS (.ipa 檔案) 和 Android (.apk 檔案的商務 (LOB) 應用程式指派給使用者或裝置) 。

iOS 的新裝置原則

  • 主畫面上的應用程式 - 控制使用者 在其 iOS 裝置的主畫面上看到的應用程式。 此原則會變更主畫面的版面配置,但不會部署任何應用程式。

  • Connections 到 AirPrint 裝置 - 控制 iOS 裝置的終端使用者可以連線) (網路印表機的 AirPrint 裝置。

  • Connections 到 AirPlay 裝置 - 控制哪些 AirPlay 裝置 (像是 Apple TV) iOS 裝置的終端使用者可以連線。

  • 自定義鎖定畫面訊息 - 設定自定義訊息,該訊息會顯示在其 iOS 裝置的鎖定畫面上,以取代預設鎖定畫面訊息。 如需詳細資訊,請參閱 在iOS裝置上啟動遺失模式

限制 iOS 應用程式的推播通知

在 Intune 裝置限制設定檔中,您現在可以為 iOS 裝置設定下列 通知設定

  • 完全開啟或關閉指定應用程式的通知。
  • 開啟或關閉指定應用程式的通知中心內的通知。
  • 指定 [ ]、[ 橫幅] 或 [ 強制回應警示] 警示類型。
  • 指定此應用程式是否允許徽章。
  • 指定是否允許通知音效。

將 iOS 應用程式設定為以單一應用程式模式自發執行

您現在可以使用 Intune 裝置設定檔,將 iOS 裝置設定為以 自發單一應用程式模式執行指定的應用程式。 設定此模式並執行應用程式時,會鎖定裝置。 它只能執行該應用程式。 例如,當您設定可讓使用者在裝置上進行測試的應用程式時。 當應用程式的動作完成,或您移除此原則時,裝置會回到其正常狀態。

在 iOS 裝置上設定電子郵件和網頁流覽的受信任網域

從 iOS 裝置限制設定檔,您現在可以設定下列 網域設定

  • 未標記的電子郵件網域 - 用戶傳送或接收的電子郵件不符合您在此處指定的網域,將會標示為不受信任。

  • 受控 Web 網域 - 從您在此處指定的 URL 下載的檔只會被視為受控 (Safari) 。

  • Safari 密碼自動填入網域 - 使用者只能從符合您在此處指定模式的 URL 儲存 Safari 中的密碼。 若要使用此設定,裝置必須處於受監督模式,而不是針對多個用戶進行設定。 (iOS 9.3+)

iOS 公司入口網站 中可用的 VPP 應用程式

您現在可以將 iOS 大量採購 (VPP) 應用程式指派為 可供 使用者使用的安裝。 終端使用者將需要Apple Store帳戶來安裝應用程式。

從 Apple VPP 市集同步處理電子書

您現在可以使用 Intune 同步處理從 Apple 大量採購方案商店購買的 書籍 ,並將書籍指派給使用者。

Samsung Knox Standard 裝置的多使用者管理

Intune 現在支援執行 Samsung Knox Standard 的裝置進行多使用者管理 。 因此,終端使用者可以使用其 Microsoft Entra 認證來登入和註銷裝置。 無論裝置是否在使用中,都會集中管理裝置。 當使用者登入時,他們可以存取應用程式並套用任何原則。 當使用者註銷時,會清除所有應用程式數據。

Windows 裝置限制設定

我們已新增更多 Windows 裝置限制設定的支援,例如 Microsoft Edge 瀏覽器支援、裝置鎖定畫面自定義、開始功能表自定義、Windows 焦點搜尋集桌布和 Proxy 設定。

多用戶支援 Windows 10 Creators Update

我們已針對執行 Windows 10 Creators Update 且已 Microsoft Entra 加入網域的裝置新增多使用者管理支援。 當不同的標準使用者使用其 Microsoft Entra 認證登入裝置時,他們會收到指派給用戶名稱的任何應用程式和原則。 使用者目前無法將 公司入口網站 用於自助式案例,例如安裝應用程式。

Windows 10 電腦的全新開始

適用於 Windows 10 電腦的新全新開始裝置動作現已推出。 當您發出此動作時,會移除電腦上安裝的任何應用程式。 計算機會自動更新為最新版本的 Windows。 自動更新時,可協助移除通常隨新電腦傳遞的預安裝 OEM 應用程式。 您可以設定發出此裝置動作時是否保留用戶資料。

Windows 10 升級路徑

您現在可以建立版本升級原則,將裝置升級至下列 Windows 10 版本:

  • Windows 10 Professional
  • Windows 10 Professional N
  • Windows 10 專業教育版
  • Windows 10 專業教育版 N

大量註冊 Windows 10裝置

您現在可以使用 Windows 設定 Designer (WCD) ,將執行 Windows 10 Creators 更新的大量裝置加入 Microsoft Entra ID 和 Intune。 若要為您的 Microsoft Entra 租用戶啟用大量 MDM 註冊,請建立布建套件。 套件應該使用 Windows 設定 Designer 將裝置加入 Microsoft Entra 租使用者,並將套件套用至您想要大量註冊和管理的公司擁有裝置。 套件套用至您的裝置之後,它們將會加入 Microsoft Entra ID、在 Intune 中註冊,並準備好讓 Microsoft Entra 使用者登入。 Microsoft Entra 使用者是這些裝置上的標準使用者,並接收指派的原則和必要的應用程式。 目前不支援自助和 公司入口網站 案例。

PIN 和受控記憶體位置的新 MAM 設定

現在有兩個新的應用程式設定可協助您進行行動應用程式管理 (MAM) 案例:

  • 在管理裝置 PIN 時停用應用程式 PIN - 偵測已註冊裝置上是否有裝置 PIN,如果存在,則略過應用程式保護原則所觸發的應用程式 PIN。 此設定可讓使用者在已註冊的裝置上開啟啟用 MAM 的應用程式,減少顯示 PIN 提示的次數。 這項功能適用於Android和iOS。

  • 選取可將公司資料儲存至哪些記憶體服務 -可讓您指定要儲存公司數據的儲存位置。 用戶可以儲存至選取的儲存位置服務,這表示將封鎖所有其他未列出的儲存位置服務。

    支援的儲存位置服務清單:

    • OneDrive
    • Business SharePoint Online
    • 本機記憶體

服務台疑難解答入口網站

新的 疑難解答入口網站 可讓技術支援中心操作員和 Intune 系統管理員檢視使用者及其裝置,並執行工作來解決 Intune 技術問題。

2017 年 3 月

支援 iOS 遺失模式

針對 iOS 9.3 和更新版本的裝置,Intune 新增了遺 失模式的支援。 您現在可以鎖定裝置,以防止所有使用,並顯示裝置鎖定畫面的訊息和聯繫人電話號碼。

在系統管理員停用遺失模式之前,終端使用者將無法解除鎖定裝置。 啟用遺失模式時,您可以使用 [尋找裝置 ] 動作,在 Intune 控制台的地圖上顯示裝置的地理位置。

裝置必須是公司擁有的 iOS 裝置,並透過處於受監督模式的 DEP 註冊。

如需詳細資訊,請參閱什麼是 Microsoft Intune 裝置管理

裝置動作報告的改善

我們已改善改善效能的裝置動作報告。 此外,您現在可以依狀態篩選報表。 例如,您可以篩選報表,只顯示已完成的裝置動作。」

自訂應用程式類別

您現在可以為新增至 Intune 的應用程式建立、編輯和指派類別。 目前,只能使用英文指定類別。 請參閱 如何將應用程式新增至 Intune

將 LOB 應用程式指派給具有未註冊裝置的使用者

您現在可以將來自市集的企業營運應用程式指派給使用者,無論其裝置是否已向Intune 註冊。 如果使用者的裝置未向 Intune 註冊,則必須移至 公司入口網站 網站進行安裝,而不是 公司入口網站 應用程式。

新的合規性報告

您現在有合規性報告,可提供您公司中裝置的合規性狀態,並可讓您快速針對使用者遇到的合規性相關問題進行疑難解答。 您可以檢視相關信息

  • 裝置的整體合規性狀態
  • 個別設定的合規性狀態
  • 個別原則的合規性狀態

您也可以使用這些報告向下切入至個別裝置,以檢視影響該裝置的特定設定和原則。

直接存取Apple註冊案例

針對在 2017 年 1 月之後建立的 Intune 帳戶,Intune 已使用 Azure 入口網站 中的註冊裝置工作負載,啟用對 Apple 註冊案例的直接存取。 先前,Apple 註冊預覽版只能從 Azure 入口網站 中的連結存取。 在 2017 年 1 月之前建立的 Intune 帳戶需要一次性移轉,才能在 Azure 中使用這些功能。 尚未宣佈移轉排程,但會儘快提供詳細數據。 如果您現有的帳戶無法存取預覽版,強烈建議您建立試用帳戶來測試新體驗。

2017 年 2 月

限制行動裝置註冊的能力

Intune 正在新增新的註冊限制,以控制允許註冊的行動裝置平臺。 Intune 會將行動裝置平臺分隔為 iOS、macOS、Android、Windows 和 Windows Mobile。

  • 限制行動裝置註冊不會限制計算機客戶端註冊。
  • 僅適用於iOS和Android,還有另一個選項可封鎖個人擁有裝置的註冊。

Intune 會將所有新裝置標示為個人裝置,除非IT系統管理員採取動作將它們標示為公司擁有,如 本文所述。

檢視受管理裝置上的所有動作

新的 [裝置動作 ] 報告會顯示誰已在裝置上執行遠端動作,例如恢復出廠預設值,並顯示該動作的狀態。 請參閱 什麼是裝置管理?

非受控裝置可以存取指派的應用程式

在 公司入口網站 網站上的設計變更中,iOS 和 Android 用戶可以在其非受管理的裝置上安裝指派給他們的應用程式,使其「不需註冊即可使用」。 使用者可以使用其 Intune 認證登入 公司入口網站 網站,並查看指派給他們的應用程式清單。 「不需註冊即可使用」應用程式的應用程式套件可透過 公司入口網站 網站下載。 需要註冊以進行安裝的應用程式不會受到這項變更影響,因為如果使用者想要安裝這些應用程式,系統會提示他們註冊其裝置。

自訂應用程式類別

您現在可以為新增至 Intune 的應用程式建立、編輯和指派類別。 目前,只能使用英文指定類別。 請參閱 如何將應用程式新增至 Intune

顯示裝置類別

您現在可以將裝置類別檢視為裝置清單中的數據行。 您也可以從 [裝置屬性] 刀鋒視窗的 [屬性] 區段編輯類別。 請參閱 如何將應用程式新增至 Intune

設定商務用 Windows Update 設定

Windows 即服務是提供 Windows 10 更新的新方式。 從 Windows 10 開始,任何新的功能 匯報 和品質 匯報 都會包含所有先前更新的內容。 只要您已安裝最新的更新,您就會知道 Windows 10 裝置是最新的。 不同於舊版 Windows,您現在必須安裝整個更新,而不是更新的一部分。

藉由使用商務用 Windows Update,您可以簡化更新管理體驗,讓您不需要核准裝置群組的個別更新。 您仍然可以藉由設定更新推出策略來管理環境中的風險,Windows Update 將確定更新會在正確的時間安裝。 Microsoft Intune 可以在裝置上設定更新設定,並讓您能夠延遲更新安裝。 Intune 不會儲存更新,但只會儲存更新原則指派。 裝置會直接存取 Windows Update 更新。使用 Intune 來設定和管理更新通道 Windows 10。 更新通道包含一組設定,可設定何時及如何安裝 Windows 10 更新。 如需詳細資訊,請參閱設定商務用 Windows Update 設定