Новые возможности в Microsoft Intune - предыдущие месяцы

Неделя с 23 октября 2023 г. (выпуск службы 2310)

Управление приложениями

Обновление для пользователей приложения android Корпоративный портал

Если пользователи запускают версию приложения Android Корпоративный портал ниже версии 5.0.5333.0 (выпущенной в ноябре 2021 г.), они увидят подсказку об обновлении приложения Android Корпоративный портал. Если пользователь с более старой версией Android Корпоративный портал пытается зарегистрировать новое устройство с помощью последней версии приложения Authenticator, процесс, скорее всего, завершится ошибкой. Чтобы устранить эту проблему, обновите приложение Android Корпоративный портал.

Предупреждение о минимальной версии пакета SDK для устройств iOS

Версия минимального пакета SDK для параметра условного запуска iOS на устройствах iOS теперь включает действие предупреждения. Это действие предупреждает конечных пользователей, если требование минимальной версии пакета SDK не выполнено.

Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS.

Минимальная ОС для бизнес-приложений и приложений Магазина Apple

Вы можете настроить минимальную операционную систему, чтобы она была последней версией ОС Apple для бизнес-приложений Apple и приложений магазина iOS/iPadOS. Минимальную операционную систему для приложений Apple можно задать следующим образом:

• iOS/iPadOS 17.0 для бизнес-приложений iOS/iPadOS
• macOS 14.0 для бизнес-приложений macOS
• iOS/iPadOS 17.0 для приложений магазина iOS/iPadOS

Применимо к:

• iOS/iPadOS
• macOS

Android (AOSP) поддерживает бизнес-приложения (LOB)

Вы можете установить и удалить обязательные бизнес-приложения на устройствах AOSP с помощью групп Обязательное и Удаление .

Применимо к:

• Android

Дополнительные сведения об управлении бизнес-приложениями см. в статье Добавление бизнес-приложения Android в Microsoft Intune.

Скрипты конфигурации для неуправляемых приложений PKG macOS

Теперь вы можете настраивать скрипты предварительной и последующей установки в неуправляемых приложениях PKG macOS. Эта функция обеспечивает большую гибкость по сравнению с пользовательскими установщиками PKG. Настройка этих скриптов необязательна и требует агента Intune для устройств macOS версии 2309.007 или более поздней версии.

Дополнительные сведения о добавлении скриптов в неуправляемые приложения PKG macOS см. в статье Добавление неуправляемого приложения PKG для macOS.

Конфигурация устройства

Параметры FSLogix доступны в каталоге параметров и административных шаблонах

Параметры FSLogix доступны в каталоге параметров и в административных шаблонах (ADMX).

Ранее для настройки параметров FSLogix на устройствах Windows их импортировали с помощью функции импорта ADMX в Intune.

Применимо к:

• Windows 10
• Windows 11

Дополнительные сведения об этих функциях см. в следующих статьях:

• Использование каталога параметров для настройки параметров
• Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11
• Что такое FSLogix?

Использование делегированных областей в управляемых приложениях Google Play, которые настраивают расширенные разрешения на устройствах Android Enterprise

В управляемых приложениях Google Play вы можете предоставить приложениям расширенные разрешения с помощью делегированных областей.

Если приложения включают делегированные области, вы можете настроить следующие параметры в профиле конфигурации устройства (Конфигурация>устройств>Create>Android Enterprise для платформы >Полностью управляемые, Выделенные и Corporate-Owned Ограничения устройств рабочего профиля> для приложений типа> профиля):

• Разрешить другим приложениям устанавливать сертификаты и управлять ими. Администраторы могут выбрать несколько приложений для этого разрешения. Выбранные приложения получают доступ к установке сертификатов и управлению ими.
• Разрешить этому приложению доступ к журналам безопасности Android. Администраторы могут выбрать одно приложение для этого разрешения. Выбранному приложению предоставляется доступ к журналам безопасности.
• Разрешить этому приложению доступ к журналам сетевых действий Android. Администраторы могут выбрать одно приложение для этого разрешения. Выбранному приложению предоставляется доступ к журналам сетевых действий.

Чтобы использовать эти параметры, приложение Управляемого Google Play должно использовать делегированные области.

Применимо к:

• Полностью управляемые устройства Android Enterprise
• Выделенные устройства Android Enterprise
• Корпоративные устройства Android Enterprise с рабочим профилем

Дополнительные сведения об этой функции см. в разделе:

• Встроенные конфигурации приложений Android
• Список параметров устройств Android Enterprise для разрешения или ограничения функций на корпоративных устройствах с помощью приложений Intune >

Samsung прекратила поддержку режима киоска на устройствах с администратором устройств Android (DA)

Samsung отметила API киоска Samsung Knox, используемые для администратора устройств Android, как нерекомендуемые в Knox 3.7 (Android 11).

Хотя функциональность может продолжать работать, нет никакой гарантии, что она будет продолжать работать. Samsung не будет исправлять ошибки, которые могут возникнуть. Дополнительные сведения о поддержке Samsung для устаревших API см. в статье Какая поддержка предлагается после того, как API будет нерекомендуем? (откроется веб-сайт Samsung).

Вместо этого можно управлять устройствами киоска с помощью Intune с помощью выделенного управления устройствами.

Применимо к:

• Администратор устройства Android (DA)

Импорт и экспорт политик каталога параметров

В каталоге параметров Intune перечислены все параметры, которые можно настроить, и все в одном месте (Конфигурация>устройств>Create>Новая политика> Выберите платформу> Для профиля выберите Каталог параметров.

Политики каталога параметров можно импортировать и экспортировать:

• Чтобы экспортировать существующую политику, выберите профиль>, выберите json с многоточием>.
• Чтобы импортировать ранее экспортированную политику каталога параметров, выберите Create>Импортная политика> выберите ранее экспортированный JSON-файл.

Дополнительные сведения о каталоге параметров см . в разделе Использование каталога параметров для настройки параметров на устройствах Windows, iOS/iPadOS и macOS.

Примечание.

Эта функция продолжается. Может потребоваться несколько недель, прежде чем он станет доступен в вашем клиенте.

Новый параметр, чтобы запретить пользователям использовать тот же пароль для разблокировки устройства и доступа к рабочему профилю на личных устройствах Android Enterprise с рабочим профилем

На личных устройствах Android Enterprise с рабочим профилем пользователи могут использовать один и тот же пароль для разблокировки устройства и доступа к рабочему профилю.

Существует новый параметр, который может применять различные пароли для разблокировки устройства и доступа к рабочему профилю (Конфигурация>устройств>Create>Android Enterprise>Personally Work Profile for platform >Device Restrictions for profiles for profile type).

• Одна блокировка для устройства и рабочего профиля. Блокировать запрещает пользователям использовать один и тот же пароль для экрана блокировки на устройстве и рабочем профиле. Конечные пользователи должны ввести пароль устройства, чтобы разблокировать устройство, и ввести пароль своего рабочего профиля для доступа к рабочему профилю. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям доступ к своему рабочему профилю с помощью одного пароля.

Этот параметр является необязательным и не влияет на существующие профили конфигурации.

В настоящее время, если пароль рабочего профиля не соответствует требованиям политики, пользователи устройств увидят уведомление. Устройство не помечается как несоответствующее. Создается отдельная политика соответствия для рабочего профиля, которая будет доступна в следующем выпуске.

Применимо к:

• Личные устройства Android Enterprise с рабочим профилем (BYOD)

Список параметров, которые можно настроить на личных устройствах с рабочим профилем, см. в разделе Список параметров устройств Android Enterprise для разрешения или ограничения функций на личных устройствах с помощью Intune.

Новые параметры, доступные в каталоге параметров macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

В каталоге параметров появились новые параметры. Чтобы просмотреть эти параметры, в Центре администрирования Microsoft Intune перейдите в разделКонфигурация>устройств>Create>macOS>Каталог параметров для типа профиля.

Конфиденциальности > Элемент управления политикой параметров конфиденциальности:

• Данные приложения системной политики

Ограничения:

• Принудительная диктовка только на устройстве

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Регистрация устройства

Регистрация устройств через Интернет с помощью JIT-регистрации для личных устройств iOS/iPadOS

Intune поддерживает регистрацию устройств через Интернет с JIT-регистрацией для личных устройств, настроенных с помощью регистрации устройств Apple. JIT-регистрация сокращает количество запросов на проверку подлинности, отображаемых пользователям на протяжении всего процесса регистрации, и устанавливает единый вход на устройстве. Регистрация выполняется в веб-версии Корпоративный портал Intune, что устраняет необходимость в Корпоративный портал приложении. Кроме того, этот метод регистрации позволяет сотрудникам и учащимся без управляемых идентификаторов Apple ID регистрировать устройства и получать доступ к приложениям, приобретенным по объему.

Дополнительные сведения см. в статье Настройка регистрации устройств через Интернет для iOS.

Управление устройствами

Обновления на страницу надстроек Intune

Страница Intune надстроек в разделе Администрирование клиента включает ваши надстройки, Все надстройки и Возможности. Он предоставляет расширенное представление о пробных или приобретенных лицензиях, возможностях надстроек, которые вы лицензируете на использование в клиенте, а также поддержку новых возможностей выставления счетов в Центре администрирования Майкрософт.

Дополнительные сведения см. в разделе Использование возможностей надстроек Intune Suite.

Удаленная помощь для Android теперь общедоступна

Удаленная помощь общедоступна для выделенных устройств Android Enterprise от Zebra и Samsung.

Благодаря Удаленная помощь ИТ-специалисты могут удаленно просматривать экран устройства и получать полный контроль как в сценариях, так и в автоматических сценариях для быстрой и эффективной диагностики и устранения проблем.

Применимо к:

• Выделенные устройства Android Enterprise, производства Zebra или Samsung

Дополнительные сведения см. в разделе Удаленная помощь на Android.

Безопасность устройств

Настройка декларативных обновлений программного обеспечения и политик секретных кодов для устройств Apple в каталоге параметров

Вы можете управлять обновлениями программного обеспечения и секретными кодами с помощью декларативной конфигурации управления устройствами (DDM) Apple с помощью каталога параметров (Конфигурация>устройств>Create>iOS/iPadOS или macOS для платформы >Каталог параметров для типа > профиля Декларативное управление устройствами).

Дополнительные сведения о DDM см. в разделе Декларативное управление устройствами (DDM) ( открывается веб-сайт Apple).

DDM позволяет установить определенное обновление к принудительному крайнему сроку. Автономный характер DDM обеспечивает улучшенный пользовательский интерфейс, так как устройство обрабатывает весь жизненный цикл обновления программного обеспечения. Он предлагает пользователям, что доступно обновление, а также скачивает, подготавливает устройство к установке & устанавливает обновление.

В каталоге параметров доступны следующие декларативные параметры обновления программного обеспечения в разделе Обновление программного обеспечения для управления декларативными устройствами>:

• URL-адрес сведений: URL-адрес веб-страницы, на которую отображаются сведения об обновлении. Как правило, этот URL-адрес является веб-страницей, размещенной в вашей организации, и пользователи могут выбрать, нужна ли им помощь для конкретной организации с обновлением.
• Целевая версия сборки: целевая версия сборки для обновления устройства, например 20A242. Версия сборки может содержать дополнительный идентификатор версии, например 20A242a. Если введенная версия сборки не соответствует введенному значению Целевая версия ОС , приоритет имеет значение Целевая версия ОС .
• Целевое локальное время даты: значение локального времени даты, указывающее, когда следует принудительно установить обновление программного обеспечения. Если пользователь не активирует обновление программного обеспечения до этого времени, его установит принудительное устройство.
• Целевая версия ОС: целевая версия ОС для обновления устройства. Это значение является номером версии ОС, например 16.1. Можно также включить дополнительный идентификатор версии, например 16.1.1.

Дополнительные сведения об этой функции см. в разделе Управление обновлениями программного обеспечения с помощью каталога параметров.

В каталоге параметров в разделе Секретный код для управления декларативными устройствами > доступны следующие декларативные параметры секретного кода:

• Автоматическая блокировка устройства. Введите максимальный период времени, в течение чего пользователь может находиться в режиме простоя, прежде чем система автоматически заблокирует устройство.
• Максимальный льготный период. Введите максимальный период времени, когда пользователь может разблокировать устройство без секретного кода.
• Максимальное число неудачных попыток. Введите максимальное число попыток неправильного секретного кода перед:
  • iOS/iPadOS очищает устройство
  • macOS блокирует устройство
• Минимальная длина секретного кода. Введите минимальное количество символов, в которых должен быть секретный код.
• Ограничение на повторное использование секретного кода. Введите количество ранее использованных секретных кодов, которые нельзя использовать.
• Требовать сложный секретный код. Если задано значение True, требуется сложный секретный код. Сложный секретный код не содержит повторяющихся символов и не имеет символов увеличения или уменьшения, например 123 или CBA.
• Требовать секретный код на устройстве. Если задано значение True, пользователь должен задать секретный код для доступа к устройству. Если вы не устанавливаете другие ограничения секретного кода, нет никаких требований к длине или качеству секретного кода.

Применимо к:

• iOS/iPadOS 17.0 и более поздних версий
• macOS 14.0 и более поздних версий

Сведения о каталоге параметров см . в статье Использование каталога параметров для настройки параметров на устройствах Windows, iOS/iPadOS и macOS.

Mvision Mobile теперь Trellix Mobile Security

Партнер Intune Mobile Threat DefenseMvision Mobile перешли на Trellix Mobile Security. С учетом этого изменения мы обновили нашу документацию и пользовательский интерфейс центра администрирования Intune. Например, соединитель Mvision Mobile теперь является Trellix Mobile Security. Существующие установки соединителя Mvision Mobile также обновляются до Trellix Mobile Security.

Если у вас есть вопросы об этом изменении, обратитесь к представителю Trellix Mobile Security.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• BuddyBoard by Brother Industries, LTD
• Microsoft Loop корпорации Майкрософт

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Обновленные отчеты о соответствии политике и настройке соответствия теперь стали общедоступными.

Следующие отчеты о соответствии устройств недоступны в общедоступной предварительной версии и теперь общедоступны:

• Соответствие политике
• Настройка соответствия требованиям

При переходе на общедоступную версию более старые версии обоих отчетов были выведены из центра администрирования Intune и больше не доступны.

Дополнительные сведения об этих изменениях см. в блоге группы поддержки Intune по адресу https://aka.ms/Intune/device_compl_report.

Управление клиентами

обновление домашней страницы Центра администрирования Intune

Домашняя страница центра администрирования Intune была переработана с новым оформлением и более динамичным контентом. Раздел Состояние был упрощен. Вы можете ознакомиться с Intune возможностями, связанными с ними, в разделе "В центре внимания". В разделе Получить больше от Intune содержатся ссылки на сообщество и блог Intune, а также Intune успеха клиентов. Кроме того, в разделе Документация и учебные материалы содержатся ссылки на новые возможности Intune, функции разработки и другие учебные материалы. В центре администрирования Microsoft Intune выберите Главная.

Неделя с 16 октября 2023 г.

Управление клиентами

endpoint.microsoft.com Перенаправление URL-адресов на intune.microsoft.com

Ранее было объявлено, что центр администрирования Microsoft Intune имеет новый URL-адрес (https://intune.microsoft.com).

URL-адрес https://endpoint.microsoft.com теперь перенаправляется на https://intune.microsoft.com.

Неделя с 18 сентября 2023 г. (выпуск службы 2309)

Управление приложениями

Общедоступная версия MAM для Windows

Теперь вы можете включить защищенный доступ MAM к данным организации через Microsoft Edge на личных устройствах Windows. Эта возможность использует следующие функции:

• Intune политики конфигурации приложений (ACP) для настройки пользовательского интерфейса организации в Microsoft Edge
• Intune политики защиты приложений (APP) для защиты данных организации и обеспечения работоспособности клиентского устройства при использовании Microsoft Edge
• Безопасность Windows Центр защиты от угроз, интегрированный с приложением Intune для обнаружения локальных угроз работоспособности на личных устройствах Windows
• Условный доступ защиты приложений, чтобы обеспечить защиту и работоспособность устройства перед предоставлением защищенного доступа к службе через Microsoft Entra ID.

Intune управление мобильными приложениями (MAM) для Windows доступно для Windows 11, сборки 10.0.22621 (22H2) или более поздней версии. Эта функция включает в себя вспомогательные изменения для Microsoft Intune (выпуск 2309), Microsoft Edge (стабильная ветвь версии 117 и более поздних версий) и Безопасность Windows Center (версия 1.0.2309.xxxxx и более поздние версии). Условный доступ для защиты приложений доступен в общедоступной предварительной версии.

Ожидается поддержка национального облака в будущем. Дополнительные сведения см. в разделе параметры политики защита приложений для Windows.

Конфигурация устройства

Профили OEMConfig, которые не были успешно развернуты, не отображаются как "ожидающие"

Для устройств Android Enterprise можно создать политику конфигурации, которая настраивает приложение OEMConfig (Конфигурация>устройств>Create>Android Enterprise для платформы >OEMConfig для типа профиля).

Ранее профили OEMConfig, превышающие 350 КБ, отображали состояние ожидания. Это поведение изменилось. Профиль OEMConfig, превышающий 350 КБ, не развертывается на устройстве. Профили в состоянии ожидания или профили размером более 350 КБ не отображаются. Отображаются только профили, которые успешно развертываются.

Это изменение является только изменением пользовательского интерфейса. В соответствующие API Microsoft Graph изменения не вносятся.

Чтобы отслеживать состояние ожидания профиля в Центре администрирования Intune, перейдите в разделКонфигурация>устройств> Выберите профиль >Состояние устройства.

Применимо к:

• Android Enterprise

Дополнительные сведения о конфигурации OEM см. в статье Использование устройств Android Enterprise и управление ими с помощью OEMConfig в Microsoft Intune.

Параметры обновления конфигурации находятся в каталоге параметров для участников программы предварительной оценки Windows

В каталоге параметров Windows можно настроить обновление конфигурации. Эта функция позволяет задать частоту повторного применения ранее полученных параметров политики устройствами Windows, не требуя от устройств проверка в Intune.

Обновление конфигурации:

• Включение обновления конфигурации
• Периодичность обновления (в минутах)

Применимо к:

• Windows 11

Дополнительные сведения о каталоге параметров см . в разделе Использование каталога параметров для настройки параметров на устройствах Windows, iOS/iPadOS и macOS.

Управляемые параметры теперь доступны в каталоге параметров Apple

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Параметры в команде Управляемые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create> iOS/каталог параметровiPadOS> для типа профиля.

Управляемые > параметры Аналитика приложений:

• Включено: если значение true, включите общий доступ к аналитике приложений разработчикам приложений. Если задано значение false, отключите общий доступ к аналитике приложений.

Применимо к:

• Общий iPad

Управляемые > параметры Параметры специальных возможностей:

• Полужирный текст включен
• Включено масштабирование серого
• Увеличение контрастности включено
• Уменьшение движения включено
• Уменьшение прозрачности включено
• Размер текста
• Включено размещение сенсорного ввода
• Голосовая связь включена
• Масштаб включен

Управляемые > параметры Параметры обновления программного обеспечения:

• Частота рекомендаций. Это значение определяет, как система представляет пользователям обновления программного обеспечения.

Управляемые > параметры Часовой пояс:

• Часовой пояс: имя базы данных часового пояса центра IANA.

Применимо к:

• iOS/iPadOS

Управляемые > параметры Bluetooth:

• Включено: если значение true, включите параметр Bluetooth. Если задано значение false, отключите параметр Bluetooth.

Управляемые > параметры Параметры MDM:

• Блокировка активации разрешена в защищенном режиме. Если значение true, защищенное устройство регистрируется с помощью блокировки активации, когда пользователь включает функцию "Найти".

Применимо к:

• iOS/iPadOS
• macOS

Дополнительные сведения об этих параметрах см. на веб-сайте разработчика Apple. Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Новый параметр, доступный в каталоге параметров macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

В каталоге параметров есть новый параметр. Чтобы просмотреть этот параметр, в Центре администрирования Microsoft Intune перейдите в разделКонфигурация>устройств>Create>macOS>Каталог параметров для типа профиля.

> Параметры защиты Microsoft Defender cloud:

• Уровень блокировки облака

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Intune интеграция с сервисом Zebra Lifeguard Over-the-Air доступна

Microsoft Intune поддерживает интеграцию со службой Zebra Lifeguard over-the-Air, что позволяет доставлять обновления ОС и исправления для системы безопасности по воздуху на соответствующие устройства Zebra, зарегистрированные в Intune. Вы можете выбрать версию встроенного ПО, которую требуется развернуть, задать расписание и выполнить скачивание и установку обновлений по ошеломляю. Вы также можете задать минимальный уровень заряда аккумулятора, состояние зарядки и требования к условиям сети для времени обновления.

Эта интеграция теперь общедоступна для android Enterprise Dedicated и полностью управляемых устройств Zebra под управлением Android 8 или более поздней версии. Для этого также требуется учетная запись Zebra и Intune план 2 или Microsoft Intune Suite.

Ранее эта функция была доступна в общедоступной предварительной версии и бесплатна для использования. Так как этот выпуск является общедоступным, для использования этого решения теперь требуется лицензия на надстройку.

Сведения о лицензировании см. в разделе надстройки Intune.

Регистрация устройства

Поддержка единого входа во время регистрации для полностью управляемых и корпоративных устройств Android Enterprise с рабочим профилем

Intune поддерживает единый вход (SSO) на устройствах Android Enterprise, полностью управляемых или корпоративных с помощью рабочего профиля. С добавлением единого входа во время регистрации конечным пользователям, регистрируя устройства, необходимо войти только один раз с помощью рабочей или учебной учетной записи.

Применимо к:

• Корпоративные устройства Android Enterprise с рабочим профилем
• Полностью управляемый Android Enterprise

Дополнительные сведения об этих методах регистрации см. в следующих разделах:

• Настройка регистрации в Intune для корпоративных устройств Android Enterprise с рабочим профилем
• Настройка регистрации для полностью управляемых устройств Android Enterprise

Управление устройствами

Знакомство с Удаленная помощь в macOS

Веб-приложение Удаленная помощь позволяет пользователям подключаться к устройствам macOS и присоединяться к сеансу удаленной помощи только для просмотра.

Применимо к:

• 11 Большой Сур
• 12 Монтерей
• 13 Вентура

Дополнительные сведения о Удаленная помощь в macOS см. в разделе Удаленная помощь.

Дата окончания срока действия сертификата управления

Дата окончания срока действия сертификата управления доступна в виде столбца в рабочей нагрузке Устройства . Вы можете фильтровать по диапазону дат окончания срока действия сертификата управления, а также экспортировать список устройств с датой окончания срока действия, соответствующей фильтру.

Эти сведения доступны в Центре администрирования Microsoft Intune, выбрав Устройства>Все устройства.

Защитник Windows ссылки на управление приложениями (WDAC) обновлены до управления приложениями для бизнеса

Windows переименовала Защитник Windows Управление приложениями (WDAC) в Управление приложениями для бизнеса. С учетом этого изменения ссылки в документации Intune и центре администрирования Intune будут обновлены, чтобы отразить это новое имя.

Intune поддерживает iOS/iPadOS 15.x в качестве минимальной версии

Apple выпустила iOS/iPadOS версии 17. Теперь минимальная версия, поддерживаемая Intune, — iOS/iPadOS 15.x.

Применимо к:

• iOS/iPadOS

Дополнительные сведения об этом изменении см. в статье Планирование изменений: Intune переходит на поддержку iOS/iPadOS 15 и более поздних версий.

Примечание.

Устройства iOS и iPadOS без пользователей, зарегистрированные с помощью автоматической регистрации устройств (ADE), имеют немного нюансы из-за их общего использования. Дополнительные сведения см. в разделе Заявление о поддержке поддерживаемых и разрешенных версий iOS/iPadOS для устройств без пользователей.

Поддержка политики управления приложениями и управляемого установщика для клиентов для государственных организаций для безопасности конечных точек

Мы добавили поддержку использования политик управления приложениями безопасности конечных точек и настройки управляемого установщика в следующих национальных облачных средах:

• Облака для государственных организаций США
• 21Vianet в Китае

Поддержка политики управления приложениями и управляемых установщиков была первоначально выпущена в предварительной версии в июне 2023 г. Политики управления приложениями в Intune являются реализацией управления приложениями Defender (WDAC).

Безопасность устройств

Поддержка управления привилегиями конечных точек для устройств Windows 365

Теперь вы можете использовать Endpoint Privilege Management для управления повышением прав приложений на Windows 365 устройствах (также известных как облачные компьютеры).

Эта поддержка не включает Виртуальный рабочий стол Azure.

Отчет по повышению прав издателя для управления привилегиями конечных точек

Мы выпустили новый отчет с именем Отчет о повышении прав издателя для управления привилегиями конечных точек (EPM). С помощью этого нового отчета можно просмотреть все управляемые и неуправляемые повышения прав, которые агрегируются издателем приложения с повышенными привилегиями.

Отчет будет находиться в узле Отчет для EPM в Центре администрирования Intune. Перейдите в раздел Endpoint Security>Endpoint Privilege Management и перейдите на вкладку Отчеты .

Поддержка macOS с помощью политик безопасности конечных точек Intune для обнаружения и реагирования на конечные точки

Intune политики безопасности конечных точек для обнаружения конечных точек и реагирования (EDR) теперь поддерживают macOS. Чтобы включить эту поддержку, мы добавили новый профиль шаблона EDR для macOS. Используйте этот профиль с устройствами macOS, зарегистрированными на устройствах Intune и macOS, управляемых с помощью общедоступной предварительной версии сценария управления параметрами безопасности Defender для конечной точки.

Шаблон EDR для macOS включает следующие параметры для категории "Теги устройств" из Defender для конечной точки:

• Тип тега — тег GROUP, помечает устройство указанным значением. Тег отображается в Центре администрирования на странице устройства и может использоваться для фильтрации и группировки устройств.
• Значение тега — можно задать только одно значение для каждого тега. Тип тега уникален и не должен повторяться в одном профиле.

Дополнительные сведения о параметрах Defender для конечной точки, доступных для macOS, см. в статье Настройка параметров для Microsoft Defender для конечной точки в macOS в документации по Defender.

Поддержка Linux с Intune политиками безопасности конечных точек для обнаружения конечных точек и реагирования на нее

Intune политики безопасности конечных точек для обнаружения конечных точек и реагирования (EDR) теперь поддерживают Linux. Чтобы включить эту поддержку, мы добавили новый профиль шаблона EDR для Linux. Используйте этот профиль с устройствами Linux, зарегистрированными на устройствах Intune и Linux, управляемых с помощью общедоступной предварительной версии сценария управления параметрами безопасности Defender для конечной точки.

Шаблон EDR для Linux включает следующие параметры для категории "Теги устройств" из Defender для конечной точки:

• Значение тега — можно задать только одно значение для каждого тега. Тип тега уникален и не должен повторяться в одном профиле.
• Тип тега — тег GROUP, помечает устройство указанным значением. Тег отображается в Центре администрирования на странице устройства и может использоваться для фильтрации и группировки устройств.

Дополнительные сведения о параметрах Defender для конечной точки, доступных для Linux, см. в статье Настройка параметров для Microsoft Defender для конечной точки в Linux в документации по Defender.

Управление и устранение неполадок

Обновлены отчеты для кругов обновления для Windows 10 и более поздних версий

Отчеты для кругов обновления для Windows 10 и более поздних версий были обновлены для использования улучшенной инфраструктуры отчетов Intune. Эти изменения соответствуют аналогичным улучшениям, представленным для других функций Intune.

С этим изменением для отчетов для кругов обновления для Windows 10 и более поздних версий при выборе политики кругов обновления в Центре администрирования Intune нет навигации в левой области для параметров "Обзор", "Управление" или "Мониторинг". Вместо этого представление политики открывается в одной области, которая содержит следующие сведения о политике:

• Essentials, включая имя политики, даты создания и изменения, а также дополнительные сведения.
• Состояние проверка устройства и пользователя— это представление отчета по умолчанию и включает в себя:
  • Общий обзор состояния устройства для этой политики и кнопка Просмотреть отчет , чтобы открыть более полное представление отчета.
  • Упрощенное представление и количество различных значений состояния устройств, возвращаемых устройствами, назначенными политике. Упрощенные линейчатая диаграмма и диаграмма заменяют предыдущие кольцевые диаграммы, показанные в предыдущем представлении отчетов.
• Две другие плитки отчета для открытия дополнительных отчетов. К этим плиткам относятся:
  • Состояние назначения устройства — этот отчет объединяет те же сведения, что и предыдущие отчеты о состоянии устройства и состоянии пользователя, которые больше не доступны. Однако с этим изменением сводки и детализация на основе имени пользователя больше не доступны.
  • Состояние параметра . Этот новый отчет предоставляет метрики успеха для каждого параметра, настроенного по-разному, чем значения по умолчанию, что позволяет получить новое представление о том, какие параметры могут не быть успешно развернуты в вашей организации.
• Свойства — просмотр сведений для каждой страницы конфигурации политики, включая параметр Изменить сведения о профиле каждой области.

Дополнительные сведения об отчетах для кругов обновления для Windows 10 и более поздних версий см. в статье Отчеты для кругов обновления для Windows 10 и более поздних версий в статье клиентский компонент Центра обновления Windows отчеты для Microsoft Intune.

Ролевой доступ

Обновление область UpdateEnrollment

С появлением новой роли UpdateEnrollment область UpdateOnboarding обновляется.

Параметр UpdateOnboarding для пользовательских и встроенных ролей изменяется только для управления привязкой Android Enterprise на Managed Google Play и других конфигураций для всей учетной записи. Теперь для всех встроенных ролей, которые использовали UpdateOnboarding, будут включены файлы UpdateEnrollmentProfile.

Имя ресурса обновляется с Android for Work до Android Enterprise.

Дополнительные сведения см. в разделе Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Неделя с 11 сентября 2023 г.

Конфигурация устройства

Знакомство с удаленным запуском на Удаленная помощь

С помощью удаленного запуска помощник может легко запускать Удаленная помощь на вспомогательном устройстве и на устройстве пользователя из Intune, отправив уведомление на устройство пользователя. Эта функция позволяет быстро подключить службу поддержки и общий доступ к сеансу без обмена кодами сеанса.

Применимо к:

• Windows 10/11

Дополнительные сведения см. в разделе Удаленная помощь.

Неделя с 4 сентября 2023 г.

Управление устройствами

Microsoft Intune прекращение поддержки администратора устройств Android на устройствах с доступом GMS в августе 2024 г.

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны.

Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки.

Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Неделя с 28 августа 2023 г.

Конфигурация устройства

Поддержка Windows и Android для 4096-разрядного размера ключа для профилей сертификатов SCEP и PFX

Intune профили сертификатов SCEP и профили сертификатов PKCS для устройств с Windows и Android теперь поддерживают размер ключа (бит)4096. Этот размер ключа доступен для новых и существующих профилей, которые вы хотите изменить.

• Профили SCEP всегда включали параметр Размер ключа (биты) и теперь поддерживают 4096 как доступный параметр конфигурации.
• Профили PKCS не включают параметр Размер ключа (бит) напрямую. Вместо этого администратор должен изменить шаблон сертификата в центре сертификации , чтобы задать минимальный размер ключа 4096.

Если вы используете сторонний центр сертификации (ЦС), возможно, потребуется обратиться к поставщику за помощью в реализации 4096-разрядного размера ключа.

При обновлении или развертывании новых профилей сертификатов, чтобы воспользоваться преимуществами этого нового размера ключа, рекомендуется использовать поэтапное развертывание. Такой подход может помочь избежать чрезмерного спроса на новые сертификаты одновременно на большом количестве устройств.

При использовании этого обновления следует учитывать следующие ограничения на устройствах Windows:

• 4096-разрядное хранилище ключей поддерживается только в поставщике программного хранилища ключей (KSP). Следующие не поддерживают хранение ключей такого размера:
  • Аппаратный TPM (доверенный платформенный модуль). В качестве обходного решения можно использовать программный KSP для хранения ключей.
  • Windows Hello для бизнеса. В настоящее время нет обходного решения.

Управление клиентами

Политики доступа для нескольких утверждений администратора теперь общедоступны

Политики доступа для нескольких утверждений администратора недоступны в общедоступной предварительной версии и теперь общедоступны. С помощью этих политик вы можете защитить ресурс, например развертывания приложений, требуя, чтобы любые изменения в развертывании были утверждены одним из групп пользователей, которые являются утверждающими для ресурса, прежде чем это изменение будет применено.

Дополнительные сведения см. в статье Использование политик доступа для требования нескольких административных утверждений.

Неделя с 21 августа 2023 г. (выпуск службы 2308)

Управление приложениями

Управляемый главный экран конечным пользователям предлагается предоставить разрешение на точное оповещение

Управляемый главный экран использует точное разрешение будильника для выполнения следующих действий:

• Автоматический выход пользователей после установленного времени бездействия на устройстве
• Запуск заставки после заданного периода бездействия
• Автоматически перезапуск MHS через определенный период времени, когда пользователь выходит из режима киоска

Для устройств под управлением Android 14 и более поздних версий по умолчанию точное разрешение будильника будет отказано. Чтобы убедиться, что критически важные функции пользователей не затронуты, конечным пользователям предлагается предоставить точное разрешение на будильник при первом запуске Управляемый главный экран. Дополнительные сведения см. в разделе Настройка приложения Microsoft Управляемый главный экран для Android Enterprise и документации для разработчиков Android.

уведомления Управляемый главный экран

Для устройств Android под управлением Android 13 или более поздних версий, предназначенных для API уровня 33, по умолчанию приложения не имеют разрешения на отправку уведомлений. В предыдущих версиях Управляемый главный экран, когда администратор включил автоматический перезапуск Управляемый главный экран, отображалось уведомление для оповещения пользователей о перезапуске. Чтобы изменить разрешение на уведомление, в сценарии, когда администратор включил автоматическое перезапуск Управляемый главный экран, приложение теперь отобразит всплывающее сообщение с предупреждением о перезапуске. Управляемый главный экран может автоматически предоставлять разрешение для этого уведомления, поэтому администраторы, настраивающие Управляемый главный экран, не требуются изменения разрешений на уведомления с уровнем API 33. Дополнительные сведения об уведомлениях Android 13 (уровень API 33) см. в документации для разработчиков Android. Дополнительные сведения о Управляемый главный экран см. в разделе Настройка приложения Microsoft Управляемый главный экран для Android Enterprise.

Новый тип приложения веб-клипа для macOS

В Intune конечные пользователи могут закреплять веб-приложения на док-станции на устройствах macOS (Приложения>macOS>Добавление>веб-клипа macOS).

Применимо к:

• macOS

Дополнительные сведения о параметрах, которые можно настроить, см. в статье Добавление веб-приложений в Microsoft Intune.

Настраиваемое время установки приложения Win32

В Intune можно задать настраиваемое время установки для развертывания приложений Win32. Это время выражается в минутах. Если установка приложения занимает больше времени, чем установленное время установки, система завершится сбоем установки приложения. Максимальное значение времени ожидания — 1440 минут (1 день). Дополнительные сведения о приложениях Win32 см. в статье Управление приложениями Win32 в Microsoft Intune.

Условный запуск Samsung Knox проверка

Вы можете добавить дополнительные сведения об обнаружении нарушений работоспособности устройств на устройствах Samsung Knox. Используя условный запуск проверка в новой политике защиты приложений Intune, можно требовать, чтобы обнаружение и аттестация устройств на уровне оборудования выполнялись на совместимых устройствах Samsung. Дополнительные сведения см. в разделе Настройка аттестации устройств Samsung Knox в разделе Условный запускпараметров политики защиты приложений Android в Microsoft Intune.

Конфигурация устройства

Удаленная помощь для Android в общедоступной предварительной версии

Удаленная помощь доступна в общедоступной предварительной версии для выделенных устройств Android Enterprise от Zebra и Samsung. Благодаря Удаленная помощь ИТ-специалисты могут удаленно просматривать экран устройства и получать полный контроль как в сценариях, так и в автоматических сценариях для быстрой и эффективной диагностики и устранения проблем.

Применимо к:

• Выделенные устройства Android Enterprise, производства Zebra или Samsung

Дополнительные сведения см. в разделе Удаленная помощь на Android.

групповая политика аналитика общедоступна

групповая политика аналитика общедоступна. Используйте аналитику групповая политика для анализа локальных объектов групповой политики (GPO) для их миграции в параметры политики Intune.

Применимо к:

• Windows 11
• Windows 10

Дополнительные сведения об аналитике групповая политика см. в статье Анализ локальных объектов групповой политики с помощью аналитики групповая политика в Microsoft Intune.

Новые параметры единого входа, входа, ограничений, секретного кода и защиты от незаконного изменения, доступные в каталоге параметров Apple.

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте. Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

В каталоге параметров появились новые параметры. Чтобы просмотреть эти параметры, в центре администрирования Microsoft Intune перейдите в разделКонфигурация>устройств>Create>iOS/iPadOS иликаталог параметровmacOS> для типа профиля.

iOS/iPadOS 17.0 и более поздних версий

Ограничения:

• Разрешить мини-приложения iPhone на Mac

macOS

> защита от незаконного Microsoft Defender:

• Аргументы процесса
• Путь к процессу
• Идентификатор подписи процесса
• Идентификатор команды процесса
• Исключения для процессов

macOS 13.0 и более поздних версий

Проверки подлинности > Расширяемые Единый вход (SSO):

• Отображаемое имя учетной записи
• Дополнительные Группы
• Группы администратора
• Метод проверки подлинности
• Право авторизации
• Группа
• Группа авторизации
• Включение авторизации
• Включение пользователя Create при входе
• Частота входа
• Новый режим авторизации пользователя
• Имя учетной записи
• Полное имя
• Сопоставление маркера с пользователем
• Режим авторизации пользователя
• Использование общих ключей устройств

macOS 14.0 и более поздних версий

Входа > Поведение окна входа:

• Автоматический ввод пароля
• Автоматическое заполнение имени пользователя

Ограничения:

• Разрешить изменение удаленного управления ARD
• Разрешить изменение общего доступа Bluetooth
• Разрешить облачную свободную форму
• Разрешить изменение общего доступа к файлам
• Разрешить изменение общего доступа к Интернету
• Разрешить создание локального пользователя
• Разрешить изменение общего доступа к принтерам
• Разрешить изменение удаленных событий Apple
• Разрешить изменение загрузочного диска
• Разрешить резервное копирование на компьютере времени

Безопасности > Секретный код:

• Описание содержимого пароля
• Регулярное выражение содержимого пароля

Регистрация устройства

JIT-регистрация и исправление соответствия для помощника по настройке iOS/iPadOS с современной проверкой подлинности теперь общедоступна

JIT-регистрация и исправление соответствия для помощника по настройке с современной проверкой подлинности теперь недоступны в предварительной версии и общедоступны. При JIT-регистрации пользователю устройства не нужно использовать приложение Корпоративный портал для Microsoft Entra регистрации и проверки соответствия требованиям. JIT-регистрация и исправление соответствия внедрены в процесс подготовки пользователя, поэтому он может просматривать состояние соответствия и принимать меры в рабочем приложении, к чему он пытается получить доступ. Кроме того, будет установлен единый вход на устройстве. Дополнительные сведения о настройке JIT-регистрации см. в разделе Настройка JIT-регистрации.

Ожидание окончательной конфигурации для автоматической регистрации устройств iOS/iPadOS теперь общедоступна

Теперь общедоступная, ожидание окончательной конфигурации обеспечивает блокировку в конце помощника по настройке, чтобы обеспечить установку критически важных политик конфигурации устройств на устройствах. Заблокированный интерфейс работает на устройствах, предназначенных для новых и существующих профилей регистрации. Поддерживаемые устройства включают:

• Устройства iOS/iPadOS 13+ для регистрации с помощью помощника по настройке с современной проверкой подлинности
• Регистрация устройств iOS/iPadOS 13+ без сопоставления пользователей
• Устройства iOS/iPadOS 13 и более поздних версий, зарегистрированные в Microsoft Entra ID режиме общего доступа

Этот параметр применяется один раз во время встроенной автоматической регистрации устройств в помощнике по настройке. Пользователь устройства не будет испытывать его снова, если он не повторно зарегистрировать свое устройство. Ожидание окончательной конфигурации включено по умолчанию для новых профилей регистрации. Сведения о том, как включить окончательную конфигурацию в ожидании, см. в разделе Create профиля регистрации Apple.

Управление устройствами

Изменения в поведении запроса разрешений для уведомлений Android

Мы обновили, как наши приложения Android обрабатывают разрешения на уведомления, чтобы согласовать последние изменения, внесенные Google на платформу Android. В результате изменений Google разрешения на уведомления предоставляются приложениям следующим образом:

• На устройствах под управлением Android 12 и более ранних версий приложениям разрешено отправлять уведомления пользователям по умолчанию.
• На устройствах под управлением Android 13 и более поздних версий: разрешения на уведомления зависят от API, на который нацелено приложение.
  • Приложения, предназначенные для API 32 и более ранних версий: Google добавил запрос на разрешение уведомления, который появляется, когда пользователь открывает приложение. Приложения управления по-прежнему могут настраивать приложения так, чтобы им автоматически предоставлялись разрешения на уведомления.
  • Приложения, предназначенные для API 33 и более поздних версий. Разработчики приложений определяют, когда отображаются запросы разрешений на уведомления. Приложения управления по-прежнему могут настраивать приложения так, чтобы им автоматически предоставлялись разрешения на уведомления.

Теперь вы и пользователи устройств увидите следующие изменения, когда наши приложения предназначены для API 33:

• Корпоративный портал, используемый для управления рабочим профилем: при первом открытии пользователя запрос разрешения на уведомление отображается в личном экземпляре Корпоративный портал. Пользователи не видят запрос разрешений на уведомление в экземпляре рабочего профиля Корпоративный портал, так как разрешения на уведомления автоматически разрешаются для Корпоративный портал в рабочем профиле. Пользователи могут заглушить уведомления приложений в приложении "Параметры".
• Корпоративный портал, используемый для управления администраторами устройств: при первом открытии приложения Корпоративный портал пользователи увидят запрос на разрешение уведомления. Пользователи могут настраивать параметры уведомлений приложения в приложении "Параметры".
• Microsoft Intune приложение: нет изменений в существующем поведении. Пользователи не видят запрос, так как уведомления автоматически разрешены для приложения Microsoft Intune. Пользователи могут настраивать некоторые параметры уведомлений приложения в приложении "Параметры".
• Microsoft Intune приложение для AOSP: нет изменений в существующем поведении. Пользователи не видят запрос, так как уведомления автоматически разрешены для приложения Microsoft Intune. Пользователи не могут настраивать параметры уведомлений приложения в приложении "Параметры".

Безопасность устройств

Элементы управления обновлением Defender для развертывания обновлений для Defender теперь стали общедоступными

Элементы управления обновлением в Защитнике профиля для политики антивирусной защиты Intune конечной точки, которая управляет параметрами обновления для Microsoft Defender, теперь общедоступна. Этот профиль доступен для платформы Windows 10, Windows 11 и Windows Server. В общедоступной предварительной версии этот профиль был доступен для платформы Windows 10 и более поздних версий.

Профиль содержит параметры канала выпуска развертывания, с помощью которого устройства и пользователи получают Обновления Defender, связанные с ежедневными обновлениями аналитики безопасности, ежемесячными обновлениями платформы и ежемесячными обновлениями ядра.

Этот профиль включает следующие параметры, которые непосредственно взяты из CSP Защитника — Управление клиентами Windows.

• Канал Обновления движка
• Канал Обновления платформы
• Канал Обновления аналитики безопасности

Эти параметры также доступны в каталоге параметров для профиля Windows 10 и более поздних версий.

Отчет о повышении прав по приложениям для управления привилегиями конечных точек

Мы выпустили новый отчет с именем Отчет о повышении по приложениям для управления привилегиями конечных точек (EPM). С помощью этого нового отчета можно просмотреть все управляемые и неуправляемые повышения, которые агрегируются приложением с повышенными привилегиями. Этот отчет поможет определить приложения, для которых могут потребоваться правила повышения прав для правильной работы, включая правила для дочерних процессов.

Отчет будет находиться в узле Отчет для EPM в Центре администрирования Intune. Перейдите в раздел Endpoint Security>Endpoint Privilege Management и перейдите на вкладку Отчеты .

Новые параметры, доступные для политики антивирусной программы macOS

Профиль антивирусной программы Microsoft Defender для устройств macOS был обновлен еще девятью параметрами и тремя новыми категориями параметров:

Антивирусная программа . В этой категории новые параметры:

• Степень параллелизма для проверок по запросу — указывает степень параллелизма для проверок по запросу. Этот параметр соответствует количеству потоков, используемых для проверки, и влияет на загрузку ЦП, а также длительность проверки по запросу.
• Включение вычисления хэша файлов — включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Защитник Windows вычисляет хэши для файлов, которые она сканирует. Этот параметр помогает повысить точность совпадений пользовательского индикатора. Однако включение включения вычисления хэша файлов может повлиять на производительность устройства.
• Запуск проверки после обновления определений — указывает, следует ли запускать проверку процесса после скачивания на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.
• Сканирование внутри архивных файлов . Если значение true, Defender распаковывает архивы и сканирует файлы внутри них. В противном случае архивное содержимое пропускается, что повышает производительность сканирования.

Защита сети — новая категория, которая включает следующий параметр:

• Уровень принудительного применения . Настройте этот параметр, чтобы указать, отключена ли защита сети, в режиме аудита или принудительно.

Защита от незаконного изменения — новая категория, которая включает следующий параметр:

• Уровень принудительного применения . Укажите, отключено ли защита от незаконного изменения, в режиме аудита или принудительно.

Параметры пользовательского интерфейса — новая категория, которая включает следующие параметры:

• Контроль входа в версию потребителя. Укажите, могут ли пользователи входить в версию Microsoft Defender потребителя.
• Значок меню "Показать/ скрыть состояние" — укажите, скрыт ли значок меню состояния (показанный в правом верхнем углу экрана).
• Обратная связь, инициированная пользователем . Укажите, могут ли пользователи отправлять отзывы в Корпорацию Майкрософт, перейдя в раздел Справка>по отправке отзывов.

Новые профили, которые вы создаете, включают исходные параметры и новые параметры. Существующие профили автоматически обновляются, чтобы включить новые параметры, при этом для каждого нового параметра задано значение Не настроено , пока вы не решите изменить этот профиль.

Дополнительные сведения о настройке параметров для Microsoft Defender для конечной точки в macOS в корпоративных организациях см. в статье Настройка параметров для Microsoft Defender для конечной точки в macOS.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• VerityRMS от Mackey LLC (iOS)

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Журнал CloudDesktop теперь собирается с данными Windows диагностика

Удаленное действие Intune для сбора диагностика с устройства Windows теперь включает данные в файл журнала.

Файл журнала:

• %temp%\CloudDesktop*.log

Когорты устройств обнаружения аномалий в аналитике конечных точек Intune общедоступна

Когорты устройств обнаружения аномалий в Intune аналитика конечных точек теперь общедоступна.

Когорты устройств определяются на устройствах, связанных с аномалией высокой или средней степени тяжести. Устройства сопоставляются в группы на основе одного или нескольких общих факторов, таких как версия приложения, обновление драйвера, версия ОС, модель устройства. Группа корреляции будет содержать подробное представление с ключевыми сведениями об общих факторах между всеми затронутыми устройствами в этой группе. Вы также можете просмотреть разбивку устройств, на которые в настоящее время влияют аномалии и устройства , находящиеся под угрозой. Устройства " в группе риска" еще не показали симптомы аномалии.

Дополнительные сведения см. в статье Обнаружение аномалий в аналитике конечных точек.

Улучшенный пользовательский интерфейс для временная шкала устройств в Endpoint Analytics

Пользовательский интерфейс для временная шкала устройств в аналитике конечных точек улучшен и включает более расширенные возможности (поддержку сортировки, поиска, фильтрации и экспорта). При просмотре определенного временная шкала устройства в аналитике конечных точек можно выполнять поиск по имени события или сведениям. Вы также можете отфильтровать события, выбрать источник и уровень событий, которые отображаются на устройстве временная шкала, а также выбрать интересующий диапазон времени.

Дополнительные сведения см. в разделе Расширенные временная шкала устройств.

Обновления для политик соответствия требованиям и отчетов

Мы внесли ряд улучшений в политики и отчеты Intune соответствия требованиям. Благодаря этим изменениям отчеты в большей степени соответствуют интерфейсу, используемому для профилей конфигурации устройств и отчетов. Мы обновили документацию по отчету о соответствии, чтобы отразить доступные улучшения отчетов о соответствии.

Усовершенствования отчетов о соответствии:

• Сведения о соответствии требованиям для устройств Linux.
• Переработанные отчеты, которые являются актуальными и упрощенными, с более новыми версиями отчетов, которые начинают заменять старые версии отчетов, которые останутся доступными в течение некоторого времени.
• При просмотре политики для соответствия навигации в левой области нет. Вместо этого в представлении политики открывается одна панель, в которую по умолчанию используется вкладка Монитор и представление состояния устройства.
  • В этом представлении представлен общий обзор состояния устройства для этой политики, поддерживается детализация для просмотра полного отчета и представление состояния для каждого параметра той же политики.
  • Кольцевая диаграмма заменяется упрощенным представлением и количеством различных значений состояния устройства, возвращаемых устройствами, назначенными политике.
  • Вы можете выбрать вкладку Свойства, чтобы просмотреть сведения о политике, а также просмотреть и изменить ее конфигурацию и назначения.
  • Раздел Essentials удаляется, а эти сведения отображаются на вкладке Свойства политики.
• Обновленные отчеты о состоянии поддерживают сортировку по столбцам, использование фильтров и поиск. В сочетании эти улучшения позволяют развернуть отчет, чтобы отобразить определенные подмножества сведений, которые вы хотите просмотреть в это время. С помощью этих улучшений мы удалили отчет о состоянии пользователя , так как он стал избыточным. Теперь при просмотре отчета о состоянии устройства по умолчанию можно сфокусировать отчет на отображение той же информации, которая была доступна в разделе Состояние пользователя , сортируя в столбце Имя участника-пользователя или выполняя поиск определенного имени пользователя в поле поиска.
• При просмотре отчетов о состоянии количество устройств, которые Intune отображаются, теперь остается согласованным между различными представлениями отчетов по мере детализации для получения более подробных сведений или сведений.

Дополнительные сведения об этих изменениях см. в блоге группы поддержки Intune по адресу https://aka.ms/Intune/device_compl_report.

Неделя с 14 августа 2023 г.

Управление приложениями

Используйте параметр Отключить приложение Магазина, чтобы отключить доступ конечных пользователей к приложениям Магазина и разрешить управляемые приложения Intune Магазина.

В Intune вы можете использовать новый тип приложения Магазина для развертывания приложений Магазина на своих устройствах.

Теперь можно использовать политику Отключить приложения Магазина , чтобы отключить прямой доступ конечных пользователей к приложениям Магазина. Если он отключен, конечные пользователи по-прежнему могут получать доступ к приложениям Магазина и устанавливать их из приложения windows Корпоративный портал и с помощью управления приложениями Intune. Если вы хотите разрешить установку случайных приложений магазина за пределами Intune, не настраивайте эту политику.

Предыдущее отображение частного магазина в политике приложений Microsoft Store не мешает конечным пользователям напрямую обращаться к нему с помощью API Диспетчер пакетов Windowswinget. Таким образом, если вы хотите заблокировать случайные неуправляемые установки приложений Store на клиентских устройствах, рекомендуется использовать политику Отключить приложение Магазина . Не используйте только отображение частного магазина в политике приложений Microsoft Store . Применимо к:

• Windows 10 и более поздние версии

Дополнительные сведения см. в статье Добавление приложений Microsoft Store в Microsoft Intune.

Неделя с 7 августа 2023 г.

Управление доступом на основе ролей

Введение нового разрешения на управление доступом на основе ролей (RBAC) в ресурсе Android for Work

Представляем новое разрешение RBAC для создания настраиваемой роли в Intune в ресурсе Android for Work. Профиль регистрации обновления разрешений позволяет администратору управлять профилями регистрации AOSP и Android Enterprise, которые используются для регистрации устройств.

Дополнительные сведения см. в разделе Create настраиваемой роли.

Неделя с 31 июля 2023 г.

Безопасность устройств

Новый профиль BitLocker для политики шифрования дисков безопасности конечных точек Intune

Мы выпустили новый интерфейс создания новых профилей BitLocker для политики шифрования дисков безопасности конечных точек. Процесс редактирования ранее созданной политики BitLocker остается прежним, и вы можете продолжать использовать их. Это обновление применяется только к новым политикам BitLocker, создаваемым для платформы Windows 10 и более поздних версий.

Это обновление является частью продолжающегося развертывания новых профилей для политик безопасности конечных точек, которое началось в апреле 2022 г.

Управление приложениями

Удаление приложений Win32 и Microsoft Store с помощью windows Корпоративный портал

Конечные пользователи могут удалять приложения Win32 и приложения Microsoft Store с помощью Корпоративный портал Windows, если приложения были назначены как доступные и были установлены по запросу конечными пользователями. Для приложений Win32 вы можете включить или отключить эту функцию (выкл. по умолчанию). Для приложений Microsoft Store эта функция всегда включена и доступна для конечных пользователей. Если приложение может быть удалено конечным пользователем, пользователь сможет выбрать Удалить для приложения в Корпоративный портал Windows. Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune.

Неделя с 24 июля 2023 г. (выпуск службы 2307)

Управление приложениями

Intune поддерживает новый API управления Android в Google Play

Внесены изменения в управление общедоступными приложениями Управляемого Google Play в Intune. Эти изменения предназначены для поддержки API управления Android от Google (открывается веб-сайт Google).

Применимо к:

• Android Enterprise

Дополнительные сведения об изменениях в интерфейсе администратора и пользователя см. в разделе Совет по поддержке: Intune переход на поддержку нового API управления Android в Google Play.

Отчет о приложениях для корпоративных устройств Android Enterprise

Теперь вы можете просмотреть отчет, содержащий все приложения, найденные на устройстве для корпоративных сценариев Android Enterprise, включая системные приложения. Этот отчет доступен в Центре администрирования Microsoft Intune, выбрав Приложения>Монитор>обнаруженных приложений. Вы увидите имя иверсию приложения для всех приложений, установленных на устройстве. Заполнение отчета информацией о приложении может занять до 24 часов.

Дополнительные сведения см. в разделе Intune обнаруженных приложений.

Добавление неуправляемых приложений типа PKG на управляемые устройства macOS [общедоступная предварительная версия]

Теперь вы можете отправлять и развертывать неуправляемые приложения типа PKG на управляемые устройства macOS с помощью агента INTUNE MDM для устройств macOS. Эта функция позволяет развертывать пользовательские установщики PKG, такие как неподписанные приложения и пакеты компонентов. Вы можете добавить приложение PKG в центре администрирования Intune, выбрав Приложения>macOS>Добавить>приложение macOS (PKG) для типа приложения.

Применимо к:

• macOS

Дополнительные сведения см. в статье Добавление неуправляемого приложения macOS PKG в Microsoft Intune. Чтобы развернуть управляемое приложение типа PKG, можно продолжать добавлять бизнес-приложения macOS в Microsoft Intune. Дополнительные сведения об агенте MDM Intune для устройств macOS см. в разделе агент управления Microsoft Intune для macOS.

Новые параметры, доступные для типа приложения веб-клипа iOS/iPadOS

В Intune можно закрепить веб-приложения на устройствах iOS/iPadOS (Приложения>iOS/iPadOS>Добавить>веб-клип iOS/iPadOS). При добавлении веб-клипов доступны новые параметры:

• Полноэкранный режим. Если выбрано значение Да, веб-клип запускается как полноэкранное веб-приложение без браузера. Нет НИ URL-адреса, ни панели поиска, ни закладок.
• Игнорировать область манифеста. Если задано значение Да, полноэкранный веб-клип может переходить на внешний веб-сайт без отображения пользовательского интерфейса Safari. В противном случае при переходе по URL-адресу веб-клипа отображается пользовательский интерфейс Safari. Этот параметр не действует, если для параметра "Полноэкранный режим " задано значение "Нет". Доступно в iOS 14 и более поздних версиях.
• Предварительно композитировано: если задано значение Да, средство запуска приложений Apple (SpringBoard) не добавляет "блеск" в значок.
• Идентификатор пакета целевого приложения. Введите идентификатор пакета приложений, указывающий приложение, открывающее URL-адрес. Доступно в iOS 14 и более поздних версиях.

Применимо к:

• iOS/iPadOS

Дополнительные сведения см. в статье Добавление веб-приложений в Microsoft Intune.

Изменение параметров по умолчанию при добавлении скриптов Windows PowerShell

В Intune можно использовать политики для развертывания сценариев Windows PowerShell на устройствах Windows (Добавление>скриптовустройств>Windows 10 и более поздних> версий). При добавлении скрипта Windows PowerShell настраиваются параметры. Чтобы повысить безопасность по умолчанию для Intune, изменилось поведение по умолчанию следующих параметров:

• Для параметра Выполнить этот скрипт с использованием учетных данных для входа по умолчанию задано значение Да. Ранее по умолчанию использовалось значение Нет.
• Для параметра Принудительное применение подписи скрипта проверка по умолчанию задано значение Да. Ранее по умолчанию использовалось значение Нет.

Это поведение применяется к новым скриптам, которые вы добавляете, а не к существующим.

Применимо к:

• Windows 10 и более поздних версий (кроме Windows 10 Домашняя)

Дополнительные сведения об использовании скриптов Windows PowerShell в Intune см. в статье Использование сценариев PowerShell на устройствах Windows 10/11 в Intune.

Конфигурация устройства

Добавлена поддержка тегов области

Теперь вы можете добавлять теги область при создании развертываний с помощью интеграции Zebra LifeGuard over-the-Air (в общедоступной предварительной версии).

Новые параметры, доступные в каталоге параметров macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новый параметр доступен в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля.

Автоматическое обновление Майкрософт (MAU):

• Текущий канал (ежемесячно)

> Microsoft Defender настройки пользовательского интерфейса:

• Управление входом в версию потребителя

Microsoft Office > Microsoft Outlook:

• Отключить Do not send response

Взаимодействие с пользователем > Закрепление:

• Специальные папки док-станции MCX

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Поддержка службы получения соответствия для конечных точек MAC-адресов

Теперь мы добавили поддержку MAC-адресов в службу получения соответствия требованиям.

Первоначальный выпуск службы CR включал поддержку использования только Intune идентификатора устройства с целью устранения необходимости управления внутренними идентификаторами, такими как серийные номера и MAC-адреса. С помощью этого обновления организации, которые предпочитают использовать MAC-адреса вместо проверки подлинности сертификата, могут продолжать делать это при реализации службы CR.

Хотя это обновление добавляет поддержку MAC-адресов в службу CR, мы рекомендуем использовать проверку подлинности на основе сертификата с Intune идентификатором устройства, включенным в сертификат.

Сведения о службе CR в качестве замены службы Intune network контроль доступа (NAC) см. в блоге Intune по адресу https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696.

Общие сведения о параметрах в Intune базовых показателей безопасности

Объявление о общедоступной доступности аналитических сведений о параметрах в Microsoft Intune.

Функция аналитики параметров добавляет аналитические сведения о параметрах, обеспечивая уверенность в конфигурациях, которые были успешно приняты аналогичными организациями. Аналитика параметров в настоящее время доступна для базовых показателей безопасности.

Перейдите в разделБазовые показатели безопасности>конечных точек. При создании и редактировании рабочего процесса эти аналитические сведения доступны для всех параметров с лампочками.

Безопасность устройств

Поддержка защиты от незаконного изменения для Windows на Виртуальном рабочем столе Azure

Intune теперь поддерживает использование политики антивирусной программы безопасности конечных точек для управления защитой от незаконного изменения для Windows на многосеансовых устройствах Виртуального рабочего стола Azure. Для поддержки защиты от незаконного применения требуется подключение устройств к Microsoft Defender для конечной точки, прежде чем будет применена политика, которая включает защиту от незаконного изменения.

Модуль PowerShell EpmTools для управления привилегиями конечных точек

Модуль PowerShell EpmTools теперь доступен для использования с Intune Endpoint Privilege Management (EPM). EpmTools включает такие командлеты , как Get-FileAttributes , которые можно использовать для получения сведений о файлах для создания точных правил повышения прав, а также другие командлеты, которые можно использовать для устранения неполадок или диагностики развертываний политики EPM.

Дополнительные сведения см. в разделе Модуль PowerShell EpmTools.

Поддержка Управления привилегиями конечных точек для управления правилами повышения прав для дочерних процессов

С помощью Intune Endpoint Privilege Management (EPM) вы можете управлять файлами и процессами, разрешенными для запуска от имени администратора на ваших устройствах с Windows. Теперь правила повышения прав EPM поддерживают новый параметр Поведение дочернего процесса.

При поведении дочернего процесса правила могут управлять контекстом повышения прав для любых дочерних процессов, созданных управляемым процессом. Варианты:

• Позволяет всем дочерним процессам, созданным управляемым процессом, всегда выполняться с повышенными привилегиями.
• Разрешить дочернему процессу выполняться с повышенными привилегиями только в том случае, если он соответствует правилу, управляющее родительским процессом.
• Запретить запуск всех дочерних процессов в контексте с повышенными привилегиями, и в этом случае они запускаются от имени обычных пользователей.

Управление привилегиями конечных точек доступно как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Dooray! для Intune

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Обновленные отчеты по настройке соответствия и соответствию политике доступны в общедоступной предварительной версии

Мы выпустили два новых отчета в качестве общедоступной предварительной версии для Intune соответствия устройств. Эти новые предварительные отчеты можно найти в Центре администрирования Intune на вкладке Отчеты>осоответствии устройств>:

• Настройка соответствия (предварительная версия)
• Соответствие политике (предварительная версия)

Оба отчета являются новыми экземплярами существующих отчетов и обеспечивают улучшения по сравнению с более старыми версиями, в том числе:

• Сведения о параметрах и устройствах Linux
• Поддержка сортировки, поиска, фильтрации, экспорта и разбиения по страницам
• Подробные отчеты для получения более подробных сведений, которые фильтруются по выбранному столбцу.
• Устройства представляются один раз. Это поведение отличается от исходных отчетов, которые могут подсчитать устройство более одного раза, если несколько пользователей использовали это устройство.

В конечном итоге старые версии отчетов, которые по-прежнему доступны в Центре администрирования в мониторе устройств>, будут прекращены.

Неделя с 10 июля 2023 г.

Управление приложениями

Обновления к отчетам о политике конфигурации приложений

В рамках наших продолжающихся усилий по улучшению инфраструктуры отчетов Intune было внесены несколько изменений пользовательского интерфейса для создания отчетов о политике конфигурации приложений. Пользовательский интерфейс был обновлен со следующими изменениями:

• В разделе Обзор рабочей нагрузки Политики конфигурации приложений нет плитки Состояние пользователя или Не применимое устройство.
• В разделе Мониторинг рабочей нагрузки Политики конфигурации приложений нет отчета о состоянии установки пользователей.
• В отчете о состоянии установки устройства в разделе Монитор рабочей нагрузки Политики конфигурации приложений больше не отображается состояние Ожидания в столбце Состояние .

Вы можете настроить отчеты о политиках в центре администрирования Microsoft Intune, выбрав Приложения>Политики конфигурации приложений.

Неделя с 3 июля 2023 г.

Управление устройствами

Intune поддержка устройств Zebra на Android 13

Zebra выпустит поддержку Android 13 на своих устройствах. Дополнительные сведения см. в статье Миграция на Android 13 (открывается веб-сайт Zebra).

• Временные проблемы в Android 13

  Команда Intune тщательно протестировали Android 13 на устройствах Zebra. Все продолжает работать в обычном режиме, за исключением следующих двух временных проблем с устройствами администратора устройств (DA).

  Для устройств Zebra под управлением Android 13 и зарегистрированных с помощью управления DA:

  1. Установка приложений не выполняется автоматически. Вместо этого пользователи получают уведомление из приложения Корпоративный портал (если они разрешают уведомления), которое запрашивает разрешение на установку приложения. Если пользователь не принимает установку приложения при появлении запроса, приложение не устанавливается. Пользователи будут иметь постоянное уведомление в ящике уведомлений, пока они не разрешают установку.

  2. Новые профили MX не применяются к устройствам Android 13. Недавно зарегистрированные устройства Android 13 не получают конфигурацию из профилей MX. Профили MX, которые ранее применялись к зарегистрированным устройствам, продолжают применяться.

  В обновлении, выходящем позже в июле, эти проблемы будут устранены, и поведение вернется к тому, как было раньше.

• Обновление устройств до Android 13

  Вскоре вы сможете использовать интеграцию Zebra LifeGuard по воздуху Intune для обновления выделенных и полностью управляемых устройств Android Enterprise до Android 13. Дополнительные сведения см. в разделе Zebra LifeGuard over-the-Air Integration with Microsoft Intune.

  Перед переходом на Android 13 ознакомьтесь с разделом Переход на Android 13 (открывается веб-сайт Zebra).

• OEMConfig для устройств Zebra на Android 13

  OEMConfig для устройств Zebra на Android 13 требуется использовать новое приложение Zebra OEMConfig powered by MX OEMConfig (открывает магазин Google Play). Это новое приложение также можно использовать на устройствах Zebra под управлением Android 11, но не более ранних версий.

  Дополнительные сведения об этом приложении см. в записи блога Новое приложение Zebra OEMConfig для Android 11 и более поздних версий .

  Устаревшее приложение Zebra OEMConfig (открывает магазин Google Play) можно использовать только на устройствах Zebra под управлением Android 11 и более ранних версий.

Дополнительные общие сведения о поддержке Intune Android 13 см. в записи блога о поддержке Android 13 с Microsoft Intune.

Безопасность устройств

Усовершенствования управления параметрами безопасности Defender для конечной точки и поддержка Linux и macOS в общедоступной предварительной версии

С помощью управления параметрами безопасности Defender для конечной точки можно использовать политики безопасности конечных точек Intune для управления параметрами безопасности Defender на устройствах, которые подключены к Defender для конечной точки, но не зарегистрированы в Intune.

Теперь вы можете согласиться на общедоступную предварительную версию на портале Microsoft Defender, чтобы получить доступ к нескольким улучшениям для этого сценария:

• политики безопасности конечных точек Intune становятся видимыми в и могут управляться на портале Microsoft Defender. Это позволяет администраторам безопасности оставаться на портале Defender для управления Защитником и политиками безопасности конечных точек Intune для управления параметрами безопасности Defender.

• Управление параметрами безопасности поддерживает развертывание Intune политик защиты конечных точек на устройствах под управлением Linux и macOS.

• Для устройств Windows профиль Безопасность Windows experience теперь поддерживается с помощью управления параметрами безопасности.

• Новый рабочий процесс подключения удаляет предварительные требования Microsoft Entra гибридного присоединения. Microsoft Entra требования к гибридному присоединению не позволили многим устройствам Windows успешно подключиться к управлению параметрами безопасности Defender для конечной точки. Благодаря этому изменению эти устройства теперь могут завершить регистрацию и начать обработку политик для управления параметрами безопасности.

• Intune создает искусственную регистрацию в Microsoft Entra ID для устройств, которые не могут полностью зарегистрировать с помощью Microsoft Entra ID. Искусственные регистрации — это объекты устройств, созданные в Microsoft Entra ID, которые позволяют устройствам получать Intune политики для управления параметрами безопасности и сообщать о них. Кроме того, если устройство с искусственной регистрацией становится полностью зарегистрированным, искусственная регистрация удаляется из Microsoft Entra ID с учетом полной регистрации.

Если вы не согласитесь на общедоступную предварительную версию Defender для конечной точки, предыдущие варианты поведения останутся в силе. В этом случае, хотя вы можете просматривать профили антивирусной программы для Linux, вы не сможете развернуть ее как поддерживаемую только для устройств, управляемых Defender. Аналогичным образом профиль macOS, который в настоящее время доступен для устройств, зарегистрированных в Intune, не может быть развернут на устройствах, управляемых Defender.

Применимо к:

• Linux
• macOS
• Windows

Неделя с 26 июня 2023 г.

Конфигурация устройства

Android (AOSP) поддерживает фильтры назначений

Android (AOSP) поддерживает фильтры назначений. При создании фильтра для Android (AOSP) можно использовать следующие свойства:

• DeviceName
• Производитель
• Модель
• DeviceCategory
• oSVersion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.

Применимо к:

• Android

Исправление по запросу для устройства с Windows

Новое действие устройства в общедоступной предварительной версии позволяет выполнять исправление по запросу на одном устройстве Windows. Действие Выполнить исправление устройства позволяет устранять проблемы, не дожидаясь выполнения исправления по назначенному расписанию. Вы также сможете просматривать состояние исправлений в разделе Исправления в разделе Монитор устройства.

Действие Выполнить исправление устройства развертывается и может занять несколько недель, чтобы охватить всех клиентов.

Дополнительные сведения см. в разделе Исправления.

Управление устройствами

Управление обновлениями драйверов Windows в Intune является общедоступным

Объявление о общедоступной доступности управления обновлениями драйверов Windows в Microsoft Intune. С помощью политик обновления драйверов можно просмотреть список рекомендуемых обновлений драйверов, которые применяются к Windows 10 и Windows 11 устройствам, назначенным политике. Применимые обновления драйверов — это обновления, которые могут обновить версию драйвера устройства. Политики обновления драйверов обновляются автоматически, чтобы добавлять новые обновления по мере их публикации производителем драйверов и удалять старые драйверы, которые больше не применяются к любому устройству с политикой.

Политики обновления можно настроить для одного из двух методов утверждения:

• При автоматическом утверждении каждый новый рекомендуемый драйвер, опубликованный производителем драйвера и добавленный в политику, автоматически утверждается для развертывания на соответствующих устройствах. Политики, настроенные для автоматического утверждения, можно настроить с периодом отсрочки до установки автоматически утвержденных обновлений на устройствах. Эта отсрочка дает вам время для проверки драйвера и приостановки его развертывания при необходимости.

• При утверждении вручную все новые обновления драйверов автоматически добавляются в политику, но администратор должен явно утвердить каждое обновление, прежде чем клиентский компонент Центра обновления Windows развернуть его на устройстве. При утверждении обновления вручную вы выбираете дату, когда клиентский компонент Центра обновления Windows начнет развертывать его на ваших устройствах.

Чтобы помочь вам управлять обновлениями драйверов, просмотрите политику и отклоните обновление, которое вы не хотите устанавливать. Вы также можете приостановить любое утвержденное обновление на неопределенный срок и повторно утвердить приостановленное обновление, чтобы перезапустить его развертывание.

Этот выпуск также включает отчеты об обновлении драйверов , которые предоставляют сводку об успешном выполнении, состояние обновления для каждого утвержденного драйвера для каждого утвержденного драйвера, а также сведения об ошибках и устранении неполадок. Вы также можете выбрать отдельное обновление драйвера и просмотреть сведения о нем во всех политиках, включающих эту версию драйвера.

Сведения об использовании политик обновления драйверов Windows см. в статье Управление политиками для обновлений драйверов Windows с помощью Microsoft Intune.

Применимо к:

• Windows 10
• Windows 11

Неделя с 19 июня 2023 г. (выпуск службы 2306)

Управление приложениями

MAM для Microsoft Edge для бизнеса [предварительная версия]

Теперь вы можете включить защищенный доступ MAM к данным организации через Microsoft Edge на личных устройствах Windows. Эта возможность использует следующие функции:

• Intune политики конфигурации приложений (ACP) для настройки пользовательского интерфейса организации в Microsoft Edge
• Intune политики защиты приложений (APP) для защиты данных организации и обеспечения работоспособности клиентского устройства при использовании Microsoft Edge
• Защитник Windows защиты клиентов от угроз, интегрированных с Intune APP, для обнаружения локальных угроз работоспособности на личных устройствах Windows
• Условный доступ защиты приложений, чтобы обеспечить защиту и работоспособность устройства перед предоставлением защищенного доступа к службе через Microsoft Entra ID

Дополнительные сведения см. в разделе Предварительная версия: параметры политики защита приложений для Windows.

Чтобы принять участие в общедоступной предварительной версии, заполните форму согласия.

Конфигурация устройства

Новые параметры, доступные в каталоге параметров Apple

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте. Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Новый параметр доступен в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>iOS/iPadOS или macOS для платформы >Каталог параметров для типа профиля.

iOS/iPadOS

Сети > Правила использования сети:

• Правила SIM-карты

macOS

Проверки подлинности > Расширяемые Единый вход (SSO):

• Метод проверки подлинности
• Запрещенные идентификаторы пакетов
• Маркер регистрации

Полное шифрование > диска FileVault:

• Выходной путь
• Username
• Пароль
• UseKeyChain

Интерфейс конфигурации встроенного ПО устройства (DFCI) поддерживает устройства Asus

Для устройств Windows 10/11 можно создать профиль DFCI для управления параметрами UEFI (BIOS). В центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Create>Windows 10 и более поздних версий в разделе Шаблоны платформы>>Интерфейс конфигурации встроенного ПО устройства для типа профиля.

Некоторые устройства Asus под управлением Windows 10/11 включены для DFCI. Обратитесь за соответствующими устройствами к поставщику или изготовителю устройства.

Дополнительные сведения о профилях DFCI см. в разделе:

• Настройка профилей интерфейса конфигурации встроенного ПО устройств (DFCI) на устройствах Windows в Microsoft Intune
• Управление интерфейсом конфигурации встроенного ПО устройства (DFCI) с помощью Windows Autopilot

Применимо к:

• Windows 10
• Windows 11

Управление затратами на телекоммуникации Saaswedo Datalert удалено в Intune

В Intune вы можете управлять затратами на телекоммуникации с помощью управления затратами на телекоммуникации Datalert Saaswedo. Эта функция удалена из Intune. Это удаление включает в себя:

• Соединитель управления затратами на телекоммуникации

• Расходы на телекоммуникации Категория RBAC

  • Разрешение на чтение
  • Разрешение на обновление

Дополнительные сведения о Saaswedo см. в статье Служба datalert недоступна (открывается веб-сайт Saaswedo).

Применимо к:

• Android
• iOS/iPadOS

Аналитические сведения о параметрах в Intune базовых показателей безопасности

Функция аналитики параметров добавляет аналитические сведения в базовые показатели безопасности, обеспечивая уверенность в конфигурациях, успешно принятых аналогичными организациями.

Перейдите в разделБазовые показатели безопасности>конечных точек. При создании и изменении рабочего процесса эти аналитические сведения доступны в виде лампочки.

Управление устройствами

Новая политика управления приложениями безопасности конечных точек в предварительной версии

В качестве общедоступной предварительной версии можно использовать новую категорию политики безопасности конечных точек Управление приложениями. Политика управления приложениями безопасности конечных точек включает в себя:

• Политика для установки расширения управления Intune в качестве управляемого установщика на уровне клиента. При включении в качестве управляемого установщика приложения, развертываемые с помощью Intune (после включения управляемого установщика) на устройствах Windows, помечаются как установленные Intune. Этот тег становится полезным при использовании политик управления приложениями для управления приложениями, которые вы хотите разрешить или запретить запуск на управляемых устройствах.

• Политики управления приложениями, которые являются реализацией управления приложениями Defender (WDAC). С помощью политик управления приложениями безопасности конечных точек можно легко настроить политику, которая позволяет доверенным приложениям работать на управляемых устройствах. Доверенные приложения устанавливаются управляемым установщиком или из Магазина приложений. Помимо встроенных параметров доверия, эти политики также поддерживают пользовательский XML-код для управления приложениями, поэтому вы можете разрешить запуск других приложений из других источников в соответствии с требованиями организации.

Чтобы приступить к использованию этого нового типа политики, см. статью Управление утвержденными приложениями для устройств Windows с помощью политики управления приложениями и Управляемые установщики для Microsoft Intune

Применимо к:

• Windows 10
• Windows 11

Аналитика конечных точек доступна клиентам в облаке для государственных организаций

В этом выпуске аналитика конечных точек доступна клиентам в облаке для государственных организаций.

Дополнительные сведения об аналитике конечных точек.

Знакомство с переключением режима подключения в сеансе в Удаленная помощь

В Удаленная помощь теперь можно воспользоваться функцией переключения режима подключения в сеансе. Эта функция позволяет легко переходить между режимами полного управления и режимами только для просмотра, предоставляя гибкость и удобство.

Дополнительные сведения о Удаленная помощь см. в разделе Удаленная помощь.

Применимо к:

• Windows 10/11

Безопасность устройств

Обновление до отчетов Endpoint Privilege Management

Отчеты Intune Endpoint Privilege Management (EPM) теперь поддерживают экспорт всех полезных данных отчетов в CSV-файл. Это изменение позволяет экспортировать все события из отчета о повышении прав в Intune.

Управление привилегиями конечных точек запускается с параметром доступа с повышенными привилегиями теперь доступен в меню верхнего уровня для Windows 11

Параметр Endpoint Privilege Management для запуска с повышенным доступом теперь доступен в качестве правой кнопки мыши верхнего уровня на Windows 11 устройствах. До этого изменения стандартные пользователи должны были выбрать Показать дополнительные параметры, чтобы просмотреть запрос Запуск с повышенными правами доступа на Windows 11 устройствах.

Управление привилегиями конечных точек доступно в виде надстройки Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

Применимо к:

• Windows 11

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText, Inc. (iOS)
• MyQ Roger: OCR сканер PDF от MyQ spol. s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile от Vbrick Systems

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Microsoft Intune область устранения неполадок теперь общедоступна

Панель устранения неполадок Intune теперь общедоступна. В нем содержатся сведения об устройствах пользователя, политиках, приложениях и состоянии. Область устранения неполадок содержит следующие сведения:

• Сводка по политике, соответствию требованиям и состоянию развертывания приложения.
• Поддержка экспорта, фильтрации и сортировки всех отчетов.
• Поддержка фильтрации путем исключения политик и приложений.
• Поддержка фильтрации по одному устройству пользователя.
• Сведения о доступных диагностика устройствах и отключенных устройствах.
• Сведения об автономных устройствах, которые не регистрировались в службе в течение трех или более дней.

Область устранения неполадок можно найти в Центре администрирования Microsoft Intune, выбрав Устранение неполадок и поддержка>Устранение неполадок.

Обновлена область устранения неполадок и поддержки в Intune

Панель "Устранение неполадок и поддержка" в Центре администрирования Intune обновлена путем объединения отчета "Роли и области" в один отчет. Теперь этот отчет включает все соответствующие данные о роли и область из Intune и Microsoft Entra ID, обеспечивая более упорядоченное и эффективное взаимодействие. Дополнительные сведения см. в статье Использование панели мониторинга устранения неполадок, чтобы помочь пользователям в организации.

Скачивание диагностика мобильного приложения

Теперь общедоступна доступ к мобильным приложениям, отправленным пользователем, диагностика в Центре администрирования Intune, включая журналы приложений, отправляемые через Корпоративный портал приложения, включая Windows, iOS, Android, Android AOSP и macOS. Кроме того, вы можете получать журналы защиты приложений через Microsoft Edge. Дополнительные сведения см. в разделах Корпоративный портал журналов приложений и Использование Microsoft Edge для iOS и Android для доступа к журналам управляемых приложений.

Неделя с 12 июня 2023 г.

Управление устройствами

Новые устройства от HTC и Pico, поддерживаемые на Microsoft Intune для устройств Android с открытым кодом

Microsoft Intune для устройств android открытый код проектов (AOSP) теперь поддерживают следующие устройства:

• HTC Vive XR Elite
• Pico Neo 3 Pro
• Пико 4

Дополнительные сведения см. в разделе:

• Операционные системы и браузеры, поддерживаемые Microsoft Intune

• Устройства, поддерживаемые проектом Android с открытым исходным кодом

Применимо к:

• Android (AOSP)

Управление приложениями

Microsoft Store для бизнеса или Microsoft Store для образования

Приложения, добавленные из Microsoft Store для бизнеса или Microsoft Store для образования, не развертываются для устройств и пользователей. Приложения отображаются как неприменимые в отчетах. Приложения, уже развернутые, не затрагиваются. Используйте новое приложение Microsoft Store для развертывания приложений Microsoft Store на устройствах или пользователях. Дополнительные сведения см. в статье Планирование изменений. Прекращение поддержки приложений для Microsoft Store для бизнеса и образовательных учреждений для предстоящих дат, когда приложения Microsoft Store для бизнеса больше не будут развертываться и Microsoft Store для бизнеса приложения будут удалены.

Дополнительные сведения см. в следующих источниках:

• Обновление для интеграции Intune с Microsoft Store в Windows
• Внедрение будущего Microsoft Store с помощью Intune: пошаговое руководство
• Внедрение будущего Microsoft Store с Intune для образования: пошаговое руководство

Неделя с 5 июня 2023 г.

Конфигурация устройства

Устройства Android Enterprise 11+ могут использовать последнюю версию приложения OEMConfig от Zebra

На устройствах Android Enterprise можно использовать OEMConfig для добавления, создания и настройки параметров oem в Microsoft Intune (Конфигурация>устройств>Create>Android Enterprise для платформы >OEMConfig).

Существует новое приложение Zebra OEMConfig на платформе MX OEMConfig, которое более точно соответствует стандартам Google. Это приложение поддерживает устройства Android Enterprise 11.0 и более новых версий.

Устаревшее приложение Zebra OEMConfig продолжает поддерживать устройства с Android 11 и более ранних версий.

В управляемом Google Play есть две версии приложения Zebra OEMConfig. Обязательно выберите правильное приложение, которое применяется к версиям устройств Android.

Дополнительные сведения о OEMConfig и Intune см. в статье Использование устройств Android Enterprise и управление ими с ПОМОЩЬЮ OEMConfig в Microsoft Intune.

Применимо к:

• Android Enterprise 11.0 и более поздней версии

Неделя с 29 мая 2023 г.

Управление устройствами

Intune пользовательском интерфейсе устройства Windows Server отображаются в отличие от клиентов Windows для сценария управления безопасностью для Microsoft Defender для конечной точки

Для поддержки сценария управления безопасностью для Microsoft Defender для конечной точки (MDE конфигурации безопасности) теперь Intune различает устройства Windows в Microsoft Entra ID как Windows Server для устройств под управлением Windows Server или Windows для устройства под управлением Windows 10 или Windows 11.

С помощью этого изменения можно улучшить назначение политик для MDE конфигурации безопасности. Например, можно использовать динамические группы, состоящие только из устройств Windows Server или только клиентских устройств Windows (Windows 10/11).

Дополнительные сведения об этом изменении см. в блоге Intune Customer Success устройства Windows Server теперь признаны как новая ОС в Microsoft Intune, Microsoft Entra ID и Defender для конечной точки .

Управление клиентами

Сообщения организации для Windows 11 теперь общедоступны

Используйте сообщения организации для доставки сотрудникам фирменных и персонализированных призывов к действиям. Выберите из более чем 25 сообщений, которые поддерживают сотрудников через подключение устройств и управление жизненным циклом, на 15 разных языках. Сообщения можно назначить Microsoft Entra группам пользователей. Они отображаются непосредственно над панелью задач, в области уведомлений или в приложении Приступая к работе на устройствах, работающих Windows 11. Сообщения продолжают появляться или появляться снова в зависимости от частоты, настроенной в Intune, и до тех пор, пока пользователь не зайдем по настроенной URL-адресу.

Другие функции и функции, добавленные в этом выпуске:

• Подтвердите требования к лицензированию до первого сообщения.
• Выберите один из восьми новых тем для сообщений на панели задач.
• Присвойте сообщениям пользовательское имя.
• Добавление область групп и тегов область.
• Измените сведения о запланированном сообщении.

Теги области ранее были недоступны для сообщений организации. После добавления поддержки тегов область Intune добавляет тег область по умолчанию к каждому сообщению, созданному до июня 2023 г. Администраторы, которым требуется доступ к этим сообщениям, должны быть связаны с ролью с тем же тегом. Дополнительные сведения о доступных функциях и настройке сообщений организации см. в разделе Обзор сообщений организации.

Неделя с 22 мая 2023 г. (выпуск службы 2305)

Управление приложениями

Максимальное ограничение времени выполнения скриптов оболочки macOS

На основе отзывов клиентов мы обновляем агент Intune для macOS (версия 2305.019), чтобы увеличить максимальное время выполнения скрипта до 60 минут. Ранее агент Intune для macOS разрешал выполнять только скрипты оболочки в течение 15 минут, прежде чем сообщить о сбое скрипта. Агент Intune для macOS 2206.014 и более поздних версий поддерживает 60-минутное время ожидания.

Фильтры назначений поддерживают политики защиты приложений и политики конфигурации приложений

Фильтры назначений поддерживают политики защиты приложений MAM и политики конфигурации приложений. При создании нового фильтра вы можете настроить таргетинг на политику MAM с помощью следующих свойств:

• Тип Управление устройствами
• Производитель устройства
• Модель устройства
• Версия ОС
• Версия приложения
• Версия клиента MAM

Важно!

Все новые и измененные политики защиты приложений, использующие таргетинг на тип устройства , заменяются фильтрами назначений.

Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.

Обновление отчетов MAM в Intune

Отчеты MAM были упрощены и переработаны, и теперь используется новейшая инфраструктура отчетов Intune. Преимущества этого включают повышение точности данных и мгновенное обновление. Эти упрощенные отчеты MAM можно найти в Центре администрирования Microsoft Intune, выбрав Монитор приложений>. Все доступные вам данные MAM содержатся в новом отчете о состоянии защита приложений и отчете о состоянии конфигурации приложения.

Параметры глобальной политики времени "тихое время"

Глобальные параметры спокойного времени позволяют создавать политики для планирования спокойного времени для конечных пользователей. Эти параметры автоматически отключает электронную почту Microsoft Outlook и уведомления Teams на платформах iOS/iPadOS и Android. Эти политики можно использовать для ограничения уведомлений конечных пользователей, получаемых после рабочего времени. Дополнительные сведения см. в разделе Политики уведомлений о спокойном времени.

Конфигурация устройства

Знакомство с расширенным чатом в Удаленная помощь

Знакомство с расширенным чатом с Удаленная помощь. С помощью нового и расширенного чата вы можете поддерживать непрерывный поток всех сообщений. Этот чат обеспечивает поддержку специальных символов и других языков, включая китайский и арабский.

Дополнительные сведения о Удаленная помощь см. в разделе Удаленная помощь.

Применимо к:

• Windows 10/11

администраторы Удаленная помощь могут ссылаться на сеансы журнала аудита.

В Удаленная помощь, помимо существующих отчетов о сеансах, администраторы теперь могут ссылаться на сеансы журналов аудита, созданные в Intune. Эта функция позволяет администраторам ссылаться на прошлые события для устранения неполадок и анализа действий в журнале.

Дополнительные сведения о Удаленная помощь см. в разделе Удаленная помощь.

Применимо к:

• Windows 10
• Windows 11

Включение и отключение шифрования персональных данных на Windows 11 устройствах с помощью каталога параметров

Каталог параметров содержит сотни параметров, которые можно настроить и развернуть на устройствах.

В каталоге параметров можно включить или отключить шифрование личных данных (PDE). PDE — это функция безопасности, представленная в Windows 11 версии 22H2, которая предоставляет дополнительные функции шифрования для Windows.

PDE отличается от BitLocker. PDE шифрует отдельные файлы и содержимое, а не целые тома и диски. PDE можно использовать с другими методами шифрования, такими как BitLocker.

Дополнительные сведения о каталоге параметров см. в следующих разделах:

• Использование каталога параметров для настройки параметров на устройствах с Windows, iOS/iPadOS и macOS
• Распространенные задачи, которые можно выполнить с помощью каталога параметров в Intune

Данная функция применяется к:

• Windows 11

Параметры Visual Studio ADMX находятся в каталоге параметров и административных шаблонах

Параметры Visual Studio включены в каталог параметров и административные шаблоны (ADMX). Ранее, чтобы настроить параметры Visual Studio на устройствах Windows, вы импортировали их с помощью импорта ADMX.

Дополнительные сведения об этих типах политик см. в следующих статьях:

• Использование каталога параметров для настройки параметров
• Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11
• Административные шаблоны Visual Studio (ADMX)

Применимо к:

• Windows 10
• Windows 11

Аналитика групповой политики поддерживает теги область

В групповая политика аналитики вы импортируете локальный объект групповой политики. Средство анализирует объекты групповой политики и показывает параметры, которые могут (и не могут) использоваться в Intune.

При импорте XML-файла GPO в Intune можно выбрать существующий тег область. Если тег область не выбран, автоматически выбирается тег область по умолчанию. Ранее при импорте объекта групповой политики область теги, назначенные вам, автоматически применялись к объекту групповой политики.

Только администраторы в этом теге область могут видеть импортированные политики. Администраторы, не имеющие этого тега область, не могут видеть импортированные политики.

Кроме того, администраторы в теге область могут переносить импортированные политики, которые у них есть разрешения на просмотр. Чтобы перенести импортированный объект групповой политики в политику каталога параметров, с импортированным объектом групповой политики должен быть связан тег область. Если тег область не связан, он не может перейти в политику каталога параметров. Если тег область не выбран, автоматически применяется тег область по умолчанию.

Дополнительные сведения о тегах область и аналитике групповая политика см. в разделе:

• Анализ локальных объектов групповой политики с помощью групповая политика аналитики в Microsoft Intune
• Create политику каталога параметров с помощью импортированных объектов групповой политики
• Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ

Знакомство с интеграцией Intune с сервисом Zebra Lifeguard Over-the-Air (общедоступная предварительная версия)

Теперь доступна общедоступная предварительная версия, Microsoft Intune поддерживает интеграцию со службой Zebra Lifeguard over-the-Air, которая позволяет доставлять обновления ОС и исправления для системы безопасности по воздуху на соответствующие устройства Zebra, зарегистрированные в Intune. Вы можете выбрать версию встроенного ПО, которую требуется развернуть, задать расписание и выполнить скачивание и установку обновлений по ошеломляю. Вы также можете задать минимальный уровень заряда аккумулятора, состояние зарядки и требования к условиям сети для времени обновления.

Доступно для выделенных и полностью управляемых устройств Zebra Android Enterprise, работающих под управлением Android 8 или более поздней версии, и для которых требуется учетная запись с Zebra.

Новые параметры списка разрешенных доменов Google для личных устройств Android Enterprise с рабочим профилем

На личных устройствах Android Enterprise с рабочим профилем можно настроить параметры, ограничивающие возможности и параметры устройств.

В настоящее время существует параметр Добавление и удаление учетных записей , который позволяет добавлять учетные записи Google в рабочий профиль. Для этого параметра при выборе параметра Разрешить все типы учетных записей можно также настроить:

• Список разрешенных доменов Google: запрещает пользователям добавлять в рабочий профиль только определенные домены учетной записи Google. Вы можете импортировать список разрешенных доменов или добавить их в Центр администрирования с помощью contoso.com формата . Если оставить пустым, по умолчанию ОС может разрешить добавлять все домены Google в рабочий профиль.

Дополнительные сведения о параметрах, которые можно настроить, см. в разделе Список параметров устройств Android Enterprise для разрешения или ограничения функций на личных устройствах с помощью Intune.

Применимо к:

• Личные устройства Android Enterprise с рабочим профилем

Переименование упреждающего исправления в исправления и перемещение в новое расположение

Упреждающие исправления теперь являются исправлениями и доступны в разделе Исправления устройств>. Исправления по-прежнему можно найти как в новом расположении, так и в существующемрасположении аналитики конечных точекотчетов> до следующего обновления службы Intune.

Исправления в настоящее время недоступны в предварительной версии нового интерфейса устройств.

Применимо к:

• Windows 10
• Windows 11

Исправления теперь доступны в Intune для государственных организаций США GCC High и DoD

Исправления (ранее известные как упреждающие исправления) теперь доступны в Microsoft Intune для государственных организаций США GCC High и DoD.

Применимо к:

• Windows 10
• Windows 11

Create правила входящего и исходящего сетевого трафика для профилей VPN на устройствах Windows

Примечание.

Этот параметр будет добавлен в будущий выпуск, возможно, выпуск 2308 Intune.

Вы можете создать профиль конфигурации устройства, который развертывает VPN-подключение на устройствах (Конфигурация>устройств>Create>Windows 10 и более поздних версий дляVPNшаблонов> платформы > для типа профиля).

В этом VPN-подключении можно использовать параметры Приложения и Правила трафика для создания правил сетевого трафика.

Вы можете настроить новый параметр направление . Используйте этот параметр, чтобы разрешить входящий и исходящий трафик из VPN-подключения:

• Исходящий трафик (по умолчанию). Разрешает передачу трафика только во внешние сети или назначения с помощью VPN. Входящий трафик заблокирован для входа в VPN.
• Входящие. Разрешает поток трафика, поступающего из внешних сетей или источников, через VPN. Исходящий трафик заблокирован для входа в VPN.

Дополнительные сведения о параметрах VPN, которые можно настроить, включая параметры правил сетевого трафика, см. в статье Параметры устройства Windows для добавления VPN-подключений с помощью Intune.

Применимо к:

• Windows 10 и более поздние версии

Новые параметры, доступные в каталоге параметров macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новый параметр доступен в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля.

> Microsoft Defender антивирусной программы:

• Сканирование внутри архивных файлов
• Включение вычисления хэша файлов

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Действие очистки устройства и новый параметр поведения облитерации, доступный для macOS

Теперь можно использовать действие Очистка устройства вместо Стереть для устройств macOS. Вы также можете настроить параметр Поведение облитерации в рамках действия Очистка .

Этот новый ключ позволяет управлять резервным поведением очистки на компьютерах Mac с Apple Silicon или T2 Security Chip. Чтобы найти этот параметр, перейдите к разделу Устройства>macOS> [Выбор устройства] >Обзор>очистки в области действия Устройства .

Дополнительные сведения о параметре "Поведение облитерации" см. на сайте развертывания платформы Apple Очистка устройств Apple — служба поддержки Apple.

Применимо к:

• macOS

Регистрация устройства

Регистрация пользователей Apple под управлением учетной записи доступна для устройств iOS/iPadOS 15+ (общедоступная предварительная версия)

Intune поддерживает регистрацию пользователей на основе учетных записей. Это новый и улучшенный вариант регистрации пользователей Apple для устройств iOS/iPadOS 15+. Теперь доступен для общедоступной предварительной версии, новый параметр использует JIT-регистрацию, что устраняет необходимость в Корпоративный портал приложения во время регистрации. Пользователи устройств могут инициировать регистрацию непосредственно в приложении "Параметры", что приводит к более короткому и эффективному подключению. Вы можете продолжать ориентироваться на устройства iOS/iPadOS с помощью существующего метода регистрации пользователей на основе профиля, использующего Корпоративный портал. Это обновление не влияет на устройства под управлением iOS/iPadOS версии 14.8.1 и более ранних версий и может продолжать использовать существующий метод. Дополнительные сведения см. в статье Настройка регистрации пользователей Apple, управляемой учетной записью.

Безопасность устройств

Новые базовые показатели безопасности для Приложений Office Microsoft 365

Мы выпустили новый базовый план безопасности, который поможет вам управлять конфигурациями безопасности для приложений Office M365. В этом новом базовом плане используется обновленный шаблон и интерфейс, в котором используется платформа унифицированных параметров, приведенная в каталоге параметров Intune. Список параметров в новом базовом плане можно просмотреть на странице Приложения Microsoft 365 для параметров базовых показателей предприятия (Office).

Новый формат базовых Intune безопасности сопоставляет представление параметров, доступных в каталоге параметров Intune. Это выравнивание помогает устранить прошлые проблемы при настройке имен и реализаций параметров, которые могут создавать конфликты. Новый формат также улучшает возможности создания отчетов для базовых показателей в Центре администрирования Intune.

Базовые показатели Приложений Office Microsoft 365 помогут вам быстро развернуть конфигурации в приложениях Office, которые соответствуют рекомендациям по безопасности, которые были даны командами по безопасности Office и безопасности корпорации Майкрософт. Как и во всех базовых планах, базовые показатели по умолчанию представляют рекомендуемые конфигурации. Вы можете изменить базовые показатели по умолчанию в соответствии с требованиями организации.

Дополнительные сведения см. в статье Общие сведения о базовых показателях безопасности.

Применимо к:

• Windows 10
• Windows 11

Обновление базовых показателей безопасности для Microsoft Edge версии 112

Мы выпустили новую версию Intune базовых показателей безопасности для Microsoft Edge версии 112. В дополнение к выпуску этой новой версии для Microsoft Edge в новом базовом плане используется обновленный интерфейс шаблона, который использует унифицированную платформу параметров, описанную в каталоге параметров Intune. Список параметров можно просмотреть в новом базовом плане в разделе Параметры базовых показателей Microsoft Edge (версии 112 и выше).

Новый формат базовых Intune безопасности сопоставляет представление параметров, доступных в каталоге параметров Intune. Это выравнивание помогает устранить прошлые проблемы при настройке имен и реализаций параметров, которые могут создавать конфликты. Новый формат также улучшает возможности создания отчетов для базовых показателей в Центре администрирования Intune.

Теперь, когда новая базовая версия доступна, все новые профили, создаваемые для Microsoft Edge, используют новый базовый формат и версию. Хотя новая версия становится базовой версией по умолчанию, вы можете продолжать использовать профили, созданные ранее для более старых версий Microsoft Edge. Но вы не можете создать новые профили для этих старых версий Microsoft Edge.

Дополнительные сведения см. в статье Общие сведения о базовых показателях безопасности.

Применимо к:

• Windows 10
• Windows 11

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Achievers by Achievers Inc.
• Board.Vision для iPad от Trusted Services PTE. ООО.
• Global Relay by Global Relay Communications Inc.
• Incorta (BestBuy) by Incorta, Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon для Intune Klaxoon (iOS)

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Неделя с 8 мая 2023 г.

Конфигурация устройства

Интерфейс конфигурации встроенного ПО устройства (DFCI) поддерживает устройства Dynabook

Для устройств Windows 10/11 можно создать профиль DFCI для управления параметрами UEFI (BIOS). В центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Create>Windows 10 и более поздних версий в разделе Шаблоны платформы>>Интерфейс конфигурации встроенного ПО устройства для типа профиля.

Некоторые устройства Dynabook под управлением Windows 10/11 включены для DFCI. Обратитесь за соответствующими устройствами к поставщику или изготовителю устройства.

Дополнительные сведения о профилях DFCI см. в разделе:

• Настройка профилей интерфейса конфигурации встроенного ПО устройств (DFCI) на устройствах Windows в Microsoft Intune
• Управление интерфейсом конфигурации встроенного ПО устройства (DFCI) с помощью Windows Autopilot

Применимо к:

• Windows 10
• Windows 11

Массовая активация eSIM для компьютеров с Windows через сервер загрузки теперь доступна в каталоге параметров

Теперь вы можете выполнять масштабную настройку компьютеров с Windows eSIM с помощью каталога параметров. Сервер загрузки (SM-DP+) настраивается с помощью профиля конфигурации.

После получения конфигурации устройства автоматически скачивают профиль eSIM. Дополнительные сведения см. в разделе Настройка eSIM сервера загрузки.

Применимо к:

• Windows 11
• Устройства, поддерживающие eSIM

Неделя с 1 мая 2023 г.

Управление приложениями

Максимальное ограничение времени выполнения скриптов оболочки macOS

Исправлена проблема, из-за которой клиенты Intune с длительными сценариями оболочки не сообщали о состоянии выполнения скрипта. Агент Intune macOS останавливает все скрипты оболочки macOS, которые выполняются дольше 15 минут. Эти скрипты сообщают о сбое. Новое поведение применяется в macOS Intune агент версии 2305.019.

Установка приложения DMG для macOS

Функция установки приложений DMG для macOS теперь общедоступна. Intune поддерживает обязательные типы назначений и назначения удаления для приложений DMG. Агент Intune для macOS используется для развертывания приложений DMG. Дополнительные сведения см. в статье Развертывание приложений типа DMG на управляемых устройствах macOS.

Устаревание Microsoft Store для бизнеса и образования

Соединитель Microsoft Store для бизнеса больше недоступен в Центре администрирования Microsoft Intune. Приложения, добавленные из Microsoft Store для бизнеса или Microsoft Store для образования, не синхронизируются с Intune. Ранее синхронизированные приложения по-прежнему доступны и развертываются для устройств и пользователей.

Теперь также можно удалить приложения Microsoft Store для бизнеса из области Приложения в Центре администрирования Microsoft Intune, чтобы вы могли очистить среду при переходе к новому типу приложения Microsoft Store.

Дополнительные сведения см. в статье Планирование изменений: прекращение поддержки приложений для Microsoft Store для бизнеса и образовательных учреждений для предстоящих дат, когда приложения Microsoft Store для бизнеса не будут развернуты и Microsoft Store для бизнеса приложения будут удалены.

Конфигурация устройства

Удаленная помощь теперь поддерживает возможность условного доступа

Теперь администраторы могут использовать возможность условного доступа при настройке политик и условий для Удаленная помощь. Например, многофакторная проверка подлинности, установка обновлений для системы безопасности и блокировка доступа к Удаленная помощь для определенного региона или IP-адресов.

Дополнительные сведения см. в разделе:

• Условный доступ
• Удаленная помощь

Безопасность устройств

Обновлены параметры для Microsoft Defender в политике антивирусной программы безопасности конечных точек

Мы обновили доступные параметры в профиле антивирусной программы Microsoft Defender для защиты конечных точек. Этот профиль можно найти в центре администрирования Intune в разделеАнтивирусная>платформа для защиты >конечных точек:Windows 10, Windows 11 и Windows Server>Profile:Microsoft Defender Antivirus.

• Добавлены следующие параметры:

  • Лимитное подключение Обновления
  • Отключение синтаксического анализа TLS
  • Отключение синтаксического анализа HTTP
  • Отключение синтаксического анализа DNS
  • Отключение синтаксического анализа DNS через TCP
  • Отключение синтаксического анализа SSH
  • Канал Обновления платформы
  • Канал Обновления движка
  • Канал Обновления аналитики безопасности
  • Разрешить защиту сети на нижнем уровне
  • Разрешить обработку datagram на Win Server
  • Включение приемника DNS

  Дополнительные сведения об этих параметрах см. в разделе Поставщик служб CSP Defender. Новые параметры также доступны в каталоге параметров Intune.

• Следующий параметр устарел:

  • Разрешить систему защиты от вторжений

  Теперь этот параметр отображается с тегом "Не рекомендуется". Если этот нерекомендуемый параметр ранее применялся на устройстве, значение параметра обновляется на NotApplicable и не влияет на устройство. Если этот параметр настроен на устройстве, это не повлияет на устройство.

Применимо к:

• Windows 10
• Windows 11

Неделя с 17 апреля 2023 г. (выпуск службы 2304)

Управление приложениями

Изменения в режиме резервного копирования и восстановления приложений iCloud на устройствах iOS/iPadOS и macOS

В качестве параметра приложения можно выбрать параметр Запретить резервное копирование приложений iCloud для устройств iOS/iPadOS и macOS. Вы не можете создавать резервные копии управляемых App Store приложений и бизнес-приложений (LOB) в iOS/iPadOS, а также управляемых приложений App Store на устройствах macOS (бизнес-приложения macOS не поддерживают эту функцию) для приложений VPP и приложений, лицензированных пользователем и устройствами. Это обновление включает в себя как новые, так и существующие App Store/бизнес-приложения, отправляемые с VPP и без них, которые добавляются в Intune и предназначены для пользователей и устройств.

Запрет резервного копирования указанных управляемых приложений гарантирует правильное развертывание этих приложений с помощью Intune при регистрации устройства и восстановлении из резервной копии. Если администратор настраивает этот новый параметр для новых или существующих приложений в своем клиенте, управляемые приложения можно переустановить для устройств. Но Intune не позволяет создать резервную копию.

Этот новый параметр отображается в центре администрирования Microsoft Intune путем изменения свойств приложения. Для существующего приложения можно выбрать Приложения>iOS/iPadOS или macOS> выберите изменить назначениесвойств>приложения>. Если назначение группы не задано, выберите Добавить группу , чтобы добавить группу. Измените параметр в разделе VPN, Удалить при удалении устройства или Установить как съемный. Затем выберите Запретить резервное копирование приложения iCloud. Параметр Запретить резервное копирование приложений iCloud используется для предотвращения резервного копирования данных приложения для приложения. Установите значение Нет , чтобы разрешить резервное копирование приложения с помощью iCloud.

Дополнительные сведения см. в разделах Изменение поведения резервного копирования и восстановления приложений на устройствах iOS/iPadOS и macOS и Назначение приложений группам с Microsoft Intune.

Запрет автоматических обновлений для приложений Apple VPP

Вы можете управлять поведением автоматического обновления для Apple VPP на уровне назначения для каждого приложения с помощью параметра Запретить автоматические обновления . Этот параметр доступен в Центре администрирования Microsoft Intune, выбрав Приложения>iOS/iPadOS или macOS>Выберите приложение> программы volume purchase programСвойства>Назначения>Выберите Microsoft Entra группу>Параметры приложения.

Применимо к:

• iOS/iPadOS
• macOS

Конфигурация устройства

Обновления в каталог параметров macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новый параметр доступен в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля.

Новый параметр находится в следующих разделах:

Автоматическое обновление Майкрософт (MAU) > [целевое приложение]:

• Переопределение канала обновления

Следующие параметры устарели:

Автоматическое обновление Майкрософт (MAU) > [целевое приложение]:

• Имя канала (не рекомендуется)

Конфиденциальности > Службы управления >> политикой параметров конфиденциальности прослушивают событие или снимок экрана:

• Разрешено

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Create политики с помощью каталога параметров.

Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple теперь общедоступен.

В Microsoft Intune есть подключаемый модуль единого входа Microsoft Enterprise. Этот подключаемый модуль обеспечивает единый вход (SSO) для приложений iOS/iPadOS и macOS, а также веб-сайтов, использующих Microsoft Entra ID для проверки подлинности.

Этот подключаемый модуль теперь общедоступен (общедоступная версия).

Дополнительные сведения о настройке подключаемого модуля единого входа Microsoft Enterprise для устройств Apple в Intune см. в статье Подключаемый модуль единого входа Microsoft Enterprise Microsoft Intune.

Применимо к:

• iOS/iPadOS
• macOS

Отключить действие блокировки активации для защищенных устройств macOS

Теперь вы можете использовать действие Отключить блокировку активации в Intune, чтобы обойти блокировку активации на устройствах Mac, не требуя текущего имени пользователя или пароля. Это новое действие доступно в разделе Устройства>macOS> выберите одно из перечисленных устройств >Отключить блокировку активации.

Дополнительные сведения об управлении блокировкой активации см. в статье Обход блокировки активации iOS/iPadOS с помощью Intune или на веб-сайте Apple в разделе Блокировка активации для iPhone, iPad и iPod touch — поддержка Apple.

Применимо к:

• macOS 10.15 или более поздней версии

Интеграция ServiceNow теперь общедоступна (общедоступная версия)

Теперь вы можете просмотреть список инцидентов ServiceNow, связанных с пользователем, выбранным в рабочей области Intune устранение неполадок. Эта новая функция доступна в разделе Устранение неполадок и поддержка> выберите пользователя >ServiceNow Incidents. Показанные инциденты имеют прямую ссылку на исходный инцидент и показывают ключевую информацию из инцидента. Все перечисленные инциденты связывают абонента, указанного в инциденте, с пользователем, выбранным для устранения неполадок.

Дополнительные сведения см. в статье Использование портала устранения неполадок, чтобы помочь пользователям в вашей компании.

Дополнительные разрешения для поддержки администраторов в управлении доставкой сообщений организации

С дополнительными разрешениями администраторы могут управлять доставкой содержимого, созданного и развернутого из сообщений организации, и доставкой содержимого из Корпорации Майкрософт пользователям.

Разрешение RBAC " Обновление сообщений организации " для сообщений организации определяет, кто может изменить переключатель "Сообщения организации", чтобы разрешить или заблокировать прямые сообщения Майкрософт. Это разрешение также добавляется во встроенную роль диспетчера сообщений организации .

Существующие настраиваемые роли для управления сообщениями организации необходимо изменить, чтобы добавить это разрешение для пользователей на изменение этого параметра.

• Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе RBAC с Microsoft Intune.
• Дополнительные сведения о предварительных требованиях для сообщений организации см. в разделе Предварительные требования для сообщений организации.

Управление устройствами

Поддержка правил брандмауэра безопасности конечных точек для типа ICMP

Теперь можно использовать параметр IcmpTypesAndCodes для настройки правил входящего и исходящего трафика для протокола ICMP в рамках правила брандмауэра. Этот параметр доступен в профиле правил брандмауэра Microsoft Defender для платформы Windows 10, Windows 11 и Windows Server.

Применимо к:

• Windows 11 и более поздних версий

Управление Windows LAPS с помощью политик Intune (общедоступная предварительная версия)

Теперь доступно в общедоступной предварительной версии, управление решением windows Local Administrator Password Solution (Windows LAPS) с помощью политик защиты учетных записей Microsoft Intune. Чтобы приступить к работе, ознакомьтесь с Intune поддержкой Windows LAPS.

Windows LAPS — это функция Windows, которая позволяет управлять паролем учетной записи локального администратора и создавать резервные копии на устройствах, присоединенных к Microsoft Entra или Windows Server Active Directory.

Для управления LAPS Intune настраивает поставщик службы конфигурации (CSP) Windows LAPS, встроенный в устройства Windows. Он имеет приоритет над другими источниками конфигураций Windows LAPS, такими как объекты групповой политики или средство Microsoft Legacy LAPS. Некоторые из возможностей, которые можно использовать, когда Intune управляет Windows LAPS:

• Определите требования к паролю, такие как сложность и длина, которые применяются к учетным записям локального администратора на устройстве.
• Настройте устройства для смены паролей учетных записей локального администратора по расписанию. И создайте резервную копию учетной записи и пароля в Microsoft Entra ID или локальная служба Active Directory.
• Используйте действие Intune устройства из Центра администрирования, чтобы вручную сменить пароль для учетной записи по собственному расписанию.
• Просмотрите сведения об учетной записи в Центре администрирования Intune, например имя учетной записи и пароль. Эти сведения помогут восстановить устройства, которые в противном случае недоступны.
• Используйте отчеты Intune для отслеживания политик LAPS и времени последнего смены паролей устройствами вручную или по расписанию.

Применимо к:

• Windows 10
• Windows 11

Новые параметры, доступные для политик обновления программного обеспечения macOS

Политики обновления программного обеспечения macOS теперь включают следующие параметры, которые помогают управлять установкой обновлений на устройстве. Эти параметры доступны, если для типа обновления Все остальные обновления настроено установить позже:

• Максимальное число отложений пользователей. Если для типа обновления "Все остальные обновления " настроено установить позже, этот параметр позволяет указать максимальное количество раз, когда пользователь может отложить дополнительное обновление ОС до его установки. Система запрашивает пользователя один раз в день. Доступно для устройств под управлением macOS 12 и более поздних версий.

• Приоритет. Если для типа обновления Все остальные обновления настроено установить позже, этот параметр позволяет указать значения Низкий или Высокий для приоритета планирования для скачивания и подготовки дополнительных обновлений ОС. Доступно для устройств под управлением macOS 12.3 и более поздних версий.

Дополнительные сведения см. в статье Использование политик Microsoft Intune для управления обновлениями программного обеспечения macOS.

Применимо к:

• macOS

Знакомство с новой страницей партнерских порталов

Теперь вы можете управлять информацией об оборудовании на устройствах HP или Surface на странице партнерских порталов.

По ссылке HP вы перейдете в HP Connect, где можно обновить, настроить и защитить BIOS на устройствах HP. По ссылке Microsoft Surface вы перейдете на портал управления Surface, где вы можете получить аналитические сведения о соответствии устройств, действиям в службе поддержки и гарантии.

Чтобы открыть страницу Порталы партнеров, необходимо включить предварительную версию области Устройства, а затем перейти в раздел Устройства>Порталы партнеров.

клиентский компонент Центра обновления Windows отчеты о совместимости для приложений и драйверов стали общедоступными.

Следующие Microsoft Intune отчеты о совместимости клиентский компонент Центра обновления Windows недоступны для предварительной версии и теперь общедоступны:

• Отчет о готовности устройства к обновлению компонентов Windows . В этом отчете содержатся сведения о рисках совместимости, связанных с обновлением или обновлением до выбранной версии Windows.

• Отчет о рисках совместимости обновлений компонентов Windows . В этом отчете содержится сводное представление о наиболее распространенных рисках совместимости в вашей организации для выбранной версии Windows. Вы можете использовать этот отчет, чтобы понять, какие риски совместимости влияют на наибольшее количество устройств в вашей организации.

Эти отчеты помогут вам спланировать обновление с Windows 10 до 11 или установить последнее обновление компонентов Windows.

Безопасность устройств

Управление привилегиями на конечных точках Microsoft Intune общедоступна

Microsoft Endpoint Privilege Management (EPM) теперь общедоступна и больше не доступна в предварительной версии.

С помощью Управления привилегиями конечных точек администраторы могут задавать политики, позволяющие стандартным пользователям выполнять задачи, обычно зарезервированные для администратора. Для этого настройте политики для автоматических и подтвержденных пользователем рабочих процессов, которые повышают разрешения во время выполнения для приложений или процессов, которые вы выбираете. Затем эти политики назначаются пользователям или устройствам с конечными пользователями, работающими без прав администратора. После того как устройство получит политику, EPM обеспечивает повышение прав от имени пользователя, что позволяет ему повышать уровень утвержденных приложений, не требуя полных прав администратора. EPM также включает встроенные аналитические сведения и отчеты.

Теперь, когда EPM не доступен для предварительной версии, для использования ему требуется другая лицензия. Вы можете выбрать между отдельной лицензией, которая добавляет только EPM, или лицензией EPM в составе Microsoft Intune Suite. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

Хотя управление привилегиями конечных точек теперь является общедоступным, отчеты для EPM перейдут на функцию в предварительной версии и получат некоторые дополнительные улучшения перед удалением из предварительной версии.

Поддержка тегов идентификатора приложения WDAC с помощью политики правил брандмауэра Intune

Профили правил брандмауэра Intune Microsoft Defender, доступные в рамках политики брандмауэра безопасности конечных точек, теперь включают параметр Policy App ID (Идентификатор приложения политики). Этот параметр описан в mdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP и поддерживает указание тега идентификатора приложения Защитник Windows управления приложениями (WDAC).

С помощью этой возможности можно область правила брандмауэра приложению или группе приложений и использовать политики WDAC для определения этих приложений. При использовании тегов для связывания с политиками WDAC и их использования политикам правил брандмауэра не потребуется полагаться на параметр правил брандмауэра для абсолютного пути к файлу или использовать путь к файлу переменной, что может снизить безопасность правила.

Для использования этой возможности необходимо иметь политики WDAC, включающие теги AppId, которые затем можно указать в правилах брандмауэра Intune Microsoft Defender.

Дополнительные сведения см. в следующих статьях документации по управлению приложениями Защитник Windows:

• Сведения об управлении приложениями для Windows
• Руководство по маркировке идентификатора приложения (AppId) WDAC

Применимо к:

• Windows 10/11

Новый профиль изоляции приложений и браузеров для политики снижения уровня безопасности конечных точек Intune

Мы выпустили новый интерфейс, создающий новые профили изоляции приложений и браузеров для политики уменьшения уязвимостей безопасности конечных точек. Процесс изменения ранее созданных политик изоляции приложений и браузеров остается прежним, и вы можете продолжать использовать их. Это обновление применяется только к новым политикам изоляции приложений и браузеров, создаваемым для платформы Windows 10 и более поздних версий.

Это обновление является частью продолжающегося развертывания новых профилей для политик безопасности конечных точек, которое началось в апреле 2022 г.

Кроме того, новый профиль включает следующие изменения для параметров, которые он включает:

• Блокировать внешнее содержимое с сайтов, не утвержденных предприятием. Этот параметр удаляется из обновленного профиля, так как он поддерживался только устаревшая версия Microsoft Edge. поддержка устаревшая версия Microsoft Edge прекращена в марте 2021 г. Приложения Microsoft 365 прощаются с Интернетом Обозреватель 11 и Windows 10 закаты устаревшая версия Microsoft Edge - Центр сообщества Майкрософт.

• Тип файла буфера обмена. Этот параметр добавляется в обновленный профиль и определяет тип содержимого, которое можно скопировать с узла в среду Application Guard и наоборот. CSP для этого нового параметра можно просмотреть в разделе Параметры/буфер обменаFileType в документации по CSP WindowsDefenderApplicationGuard.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• ixArma by INAX-APPS (iOS)
• myBLDNG от Bldng.ai (iOS)
• RICOH Spaces V2 от Ricoh Digital Services
• Firstup — Intune от Firstup, Inc. (iOS)

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление доступом на основе ролей

Новые разрешения на назначение (RBAC) для сообщений организации

Параметр Назначение разрешений RBAC для сообщений организации определяет, кто может назначать целевые Microsoft Entra группы сообщению организации. Чтобы получить доступ к разрешениям RBAC, войдите в Центр администрирования Microsoft Intune и перейдите в разделРолиадминистрирования> клиента.

Это разрешение также добавляется во встроенную роль диспетчера сообщений организации . Существующие настраиваемые роли для управления сообщениями организации необходимо изменить, чтобы добавить это разрешение для пользователей на изменение этого параметра.

• Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе RBAC с Microsoft Intune.
• Дополнительные сведения о предварительных требованиях для сообщений организации см. в разделе Предварительные требования для сообщений организации.

Управление клиентами

Удаление сообщений организации

Теперь вы можете удалять сообщения организации из Microsoft Intune. После удаления сообщения оно удаляется из Intune и больше не отображается в Центре администрирования. Вы можете удалить сообщение в любое время, независимо от его состояния. Intune автоматически отменяет активные сообщения после их удаления. Дополнительные сведения см. в разделе Удаление сообщений организации.

Просмотр журналов аудита для сообщений организации

Используйте журналы аудита для отслеживания и мониторинга событий сообщений организации в Microsoft Intune. Чтобы получить доступ к журналам, войдите в Центр администрирования Microsoft Intune и перейдите в разделЖурналы аудитаадминистрирования> клиента. Дополнительные сведения см. в разделе Журналы аудита для Intune действий.

Неделя с 10 апреля 2023 г.

Конфигурация устройства

Поддержка конфигурации пользователей для Windows 10 многосеансовых виртуальных машин теперь является общедоступной

Теперь вы можете:

• Настраивать политики области пользователей с помощью Каталога параметров, а затем назначать их группам пользователей.
• Настраивать сертификаты пользователей и назначать их пользователям.
• Настраивать сценарии PowerShell для установки в контексте пользователя и назначения пользователям.

Применимо к:

• Windows 10
• Виртуальные машины, созданные в общедоступных и Azure для государственных организаций облаках Azure

Неделя с 3 апреля 2023 г.

Конфигурация устройства

Добавление учетных записей Google на личные устройства Android Enterprise с помощью рабочего профиля

На личных устройствах Android Enterprise с рабочим профилем можно настроить параметры, ограничивающие возможности и параметры устройств. В настоящее время существует параметр Добавление и удаление учетных записей . Этот параметр предотвращает добавление учетных записей в рабочий профиль, включая запрет учетных записей Google.

Этот параметр изменен. Теперь вы можете добавлять учетные записи Google. Параметры параметра Добавление и удаление учетных записей :

• Блокировать все типы учетных записей. Запрещает пользователям добавлять или удалять учетные записи в рабочем профиле вручную. Например, при развертывании приложения Gmail в рабочем профиле можно запретить пользователям добавлять или удалять учетные записи в этом рабочем профиле.

• Разрешить все типы учетных записей. Разрешает использование всех учетных записей, включая учетные записи Google. Эти учетные записи Google заблокированы для установки приложений из Управляемого магазина Google Play.

  Для этого параметра требуется следующее:

  • Версия приложения Google Play 80970100 или более поздней

• Разрешить все типы учетных записей, кроме учетных записей Google (по умолчанию): Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить добавление учетных записей в рабочий профиль.

Дополнительные сведения о параметрах, которые можно настроить, см. в списке параметров устройств Android Enterprise, чтобы разрешить или ограничить функции на личных устройствах с помощью Intune.

Применимо к:

• Личные устройства Android Enterprise с рабочим профилем

Неделя с 27 марта 2023 г.

Управление приложениями

Обновление приложений DMG для macOS

Теперь вы можете обновлять приложения типа приложений macOS (DMG), развернутые с помощью Intune. Чтобы изменить приложение DMG, которое уже создано в Intune, отправьте обновление приложения с тем же идентификатором пакета, что и исходное приложение DMG. Дополнительные сведения см. в статье Добавление приложения DMG macOS в Microsoft Intune.

Установка необходимых приложений во время предварительной подготовки

В профиле страницы состояния регистрации (ESP) доступен новый переключатель, который позволяет выбрать, нужно ли пытаться установить необходимые приложения на этапе технического специалиста по предварительной подготовке Windows Autopilot. Мы понимаем, что во время предварительной подготовки требуется установить как можно больше приложений, чтобы сократить время настройки конечным пользователем. Если произошел сбой установки приложения, ESP продолжит работу, за исключением приложений, указанных в профиле ESP. Чтобы включить эту функцию, необходимо изменить профиль страницы состояния регистрации, выбрав Да в новом параметре Под названием Только выбранные приложения завершаются сбоем на техническом этапе. Этот параметр отображается только в том случае, если выбрано заблокированные приложения. Дополнительные сведения об ESP см. в статье Настройка страницы состояния регистрации.

Неделя с 20 марта 2023 г. (выпуск службы 2303)

Управление приложениями

Дополнительные минимальные версии ОС для приложений Win32

Intune поддерживает более минимальные версии операционной системы для Windows 10 и 11 при установке приложений Win32. В центре администрирования Microsoft Intune выберите Приложения>Windows>Add>Windows app (Win32). На вкладке Требования рядом с полем Минимальная операционная система выберите одну из доступных операционных систем. Другие варианты ОС:

• Windows 10 21H2
• Windows 10 22H2
• Windows 11 21H2
• Windows 11 22H2

Разрешение управляемых приложений больше не требуется для управления приложениями VPP

Вы можете просматривать приложения VPP и управлять ими только с назначенным разрешением для мобильных приложений . Ранее для просмотра приложений VPP и управления ими требовалось разрешение Управляемые приложения. Это изменение не применяется к Intune для клиентов для образовательных учреждений, которым по-прежнему необходимо назначить разрешение управляемых приложений. Дополнительные сведения о разрешениях в Intune см. в статье Разрешения настраиваемых ролей.

Конфигурация устройства

Новые параметры и параметры, доступные в каталоге параметров macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля.

Новые параметры включают:

> защита от незаконного Microsoft Defender:

• Enforcement level (Уровень принудительного применения).

Microsoft Office > Microsoft OneDrive:

• Автоматически устанавливаемая пропускная способность для передачи данных в процентах
• Автоматическое и автоматическое включение функции резервного копирования папок (известное перемещение папок)
• Запретить приложениям скачивать файлы, хранящиеся только в Интернете
• Блокировка внешней синхронизации
• Отключение автоматического входа
• Отключить всплывающие уведомления о скачивании
• Отключить личные учетные записи
• Отключить учебник
• Отображение уведомления для пользователей после перенаправления папок
• Включить файлы по запросу
• Включение одновременных изменений для приложений Office
• Принудительное использование функции резервного копирования папок (известное перемещение папок)
• Скрыть значок док-станции
• Игнорировать именованные файлы
• Включение ~/Desktop в резервное копирование папок (известное перемещение папок)
• Включить ~/Документы в резервную копию папок (известное перемещение папок)
• Открывать при входе
• Запрет пользователям использовать функцию резервного копирования папок (известное перемещение папок)
• Предложите пользователям включить функцию резервного копирования папок (известное перемещение папок)
• Максимальная пропускная способность скачивания
• Максимальная пропускная способность отправки
• Определение приоритетов SharePoint
• Front Door URL-адрес SharePoint Server
• Имя клиента SharePoint Server

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Create политики с помощью каталога параметров.

Добавление пользовательских скриптов Bash для настройки устройств Linux

В Intune можно добавить существующие скрипты Bash для настройки устройств Linux (Сценарии конфигурацииLinux>для устройств>).

При создании этой политики скрипта можно задать контекст, в котором выполняется скрипт (пользователь или корневой каталог), частоту выполнения скрипта и количество повторных попыток выполнения.

Дополнительные сведения об этой функции см. в статье Использование пользовательских скриптов Bash для настройки устройств Linux в Microsoft Intune.

Применимо к:

• Linux Ubuntu Desktops

Регистрация устройства

Поддержка параметра ожидания окончательной конфигурации для автоматической регистрации устройств iOS/iPadOS (общедоступная предварительная версия)

Теперь в общедоступной предварительной версии Intune поддерживает новый параметр под названием Ожидание окончательной конфигурации в соответствующих новых и существующих профилях автоматической регистрации устройств iOS/iPadOS. Этот параметр обеспечивает встроенную блокировку в помощнике по настройке. Он запрещает пользователям устройств доступ к ограниченному содержимому или изменению параметров на устройстве до тех пор, пока не будет установлено большинство политик конфигурации устройств Intune. Этот параметр можно настроить в существующем профиле автоматической регистрации устройств или в новом профиле (устройства>iOS/iPadOS iPadOS>/iPadOS,токены> программы регистрации >Create профиль). Дополнительные сведения см. в разделе Create профиля регистрации Apple.

Новый параметр предоставляет администраторам Intune контроль над сопоставлением устройств и категорий

Управление видимостью запроса категории устройств в Корпоративный портал Intune. Теперь вы можете скрыть запрос от конечных пользователей и оставить сопоставление между устройствами и категориями Intune администраторами. Новый параметр доступен в Центре администрирования в разделе Настройка администрирования> клиентаКатегории>устройств. Дополнительные сведения см. в разделе Категории устройств.

Поддержка нескольких профилей регистрации и маркеров для полностью управляемых устройств

Create и управлять несколькими профилями регистрации и маркерами для полностью управляемых устройств Android Enterprise. Благодаря этой новой функции теперь можно использовать динамическое свойство устройства EnrollmentProfileName для автоматического назначения профилей регистрации полностью управляемым устройствам. Токен регистрации, поставляемый с клиентом, остается в профиле по умолчанию. Дополнительные сведения см. в статье Настройка Intune регистрации полностью управляемых устройств Android Enterprise.

Новый интерфейс Microsoft Entra интерфейсных рабочих ролей для iPad (общедоступная предварительная версия)

Эта возможность начинает развертываться для клиентов в середине апреля.

Intune теперь поддерживает интерфейс для работы с iPhone и iPad с помощью автоматической регистрации устройств Apple. Теперь вы можете зарегистрировать устройства, которые включены в режиме Microsoft Entra ID общего доступа, с помощью функции "нулевой касания". Дополнительные сведения о настройке автоматической регистрации устройств в режиме общего устройства см. в разделе Настройка регистрации для устройств в режиме Microsoft Entra общего устройства.

Применимо к:

• iOS/iPadOS

Управление устройствами

Поддержка политики брандмауэра безопасности конечных точек для конфигураций журналов

Теперь можно настроить параметры в политике брандмауэра безопасности конечных точек , которая настраивает параметры ведения журнала брандмауэра. Эти параметры можно найти в шаблоне профиля брандмауэра Microsoft Defender для платформы Windows 10 и более поздних версий. Они доступны для профилей доменов, частных и общедоступных профилей в этом шаблоне.

Ниже приведены новые параметры, которые находятся в поставщике службы конфигурации брандмауэра (CSP).

• Включение Connections успешного выполнения журнала
• Путь к файлу журнала
• Включение удаленных пакетов журнала
• Включение игнорируемых правил журнала

Применимо к:

• Windows 11

Поддержка правил брандмауэра безопасности конечных точек для мобильной широкополосной связи (MBB)

Параметр Типы интерфейса в политике брандмауэра безопасности конечных точек теперь включает параметр Для мобильной широкополосной связи. Типы интерфейсов доступны в профиле правил брандмауэра Microsoft Defender для всех платформ, поддерживающих Windows. Сведения об использовании этого параметра и параметра см. в разделе Поставщик службы конфигурации брандмауэра (CSP).

Применимо к:

• Windows 10
• Windows 11

Поддержка политики брандмауэра безопасности конечных точек для параметров диспетчера списков сетей

Мы добавили пару параметров диспетчера списков сетей в политику брандмауэра безопасности конечных точек. Чтобы определить, находится ли устройство Microsoft Entra в локальных подсетях домена, можно использовать параметры диспетчера списков сетей. Эти сведения помогут правильно применять правила брандмауэра.

Следующие параметры находятся в новой категории с именем Network List Manager, доступной в шаблоне профиля брандмауэра Microsoft Defender для платформы Windows 10, Windows 11 и Windows Server:

• Разрешенные конечные точки проверки подлинности tls
• Настроено сетевое имя проверки подлинности TLS

Сведения о параметрах классификации сети см. в разделе NetworkListManager CSP.

Применимо к:

• Windows 10
• Windows 11

Улучшения в области "Устройства" в Центре администрирования (общедоступная предварительная версия)

Область Устройства в Центре администрирования теперь имеет более согласованный пользовательский интерфейс, с более возможностями элементов управления и улучшенной структурой навигации, что позволяет быстрее находить необходимые сведения. Чтобы принять участие в общедоступной предварительной версии и опробовать новый интерфейс, перейдите в раздел Устройства и переверните переключатель в верхней части страницы. Среди этих улучшений:

• Новая структура навигации, ориентированная на сценарий.
• Новое расположение для сводных данных платформы для создания более согласованной модели навигации.
• Сокращение пути, помогая вам быстрее добраться до места назначения.
• Мониторинг и отчеты находятся в рабочих процессах управления, что позволяет легко получить доступ к ключевым метрикам и отчетам, не выходя из рабочего процесса.
• Согласованный способ поиска, сортировки и фильтрации данных в представлениях списка.

Дополнительные сведения об обновленном пользовательском интерфейсе см. в статье Опробовать новые устройства в Microsoft Intune.

Безопасность устройств

Управление привилегиями на конечных точках Microsoft Intune (общедоступная предварительная версия)

В качестве общедоступной предварительной версии теперь можно использовать Управление привилегиями на конечных точках Microsoft Intune. С помощью Управления привилегиями конечных точек администраторы могут задавать политики, позволяющие стандартным пользователям выполнять задачи, обычно зарезервированные для администратора. Управление привилегиями конечных точек можно настроить в центре администрирования Intune на странице Endpoint Security>Endpoint Privilege Management.

С помощью общедоступной предварительной версии можно настроить политики для автоматических и подтвержденных пользователем рабочих процессов, которые повышают разрешения во время выполнения для приложений или процессов, которые вы выбираете. Затем эти политики назначаются пользователям или устройствам с конечными пользователями, работающими без прав администратора. После получения политики управление привилегиями конечных точек будет брокером повышения прав от имени пользователя, что позволяет ему повышать уровень утвержденных приложений без необходимости полных прав администратора. Предварительная версия также включает встроенные аналитические сведения и отчеты для Управления привилегиями конечных точек.

Чтобы узнать, как активировать общедоступную предварительную версию и использовать политики Управления привилегиями конечных точек, начните с инструкции Use Endpoint Privilege Management с Microsoft Intune. Endpoint Privilege Management является частью предложения Intune Suite, и его можно попробовать, пока он остается в общедоступной предварительной версии.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• EVALARM by GroupKom GmbH (iOS)
• ixArma by INAX-APPS (Android)
• Сейсмический | Intune компанией Seismic Software, Inc.
• Microsoft Viva Engage от Корпорации Майкрософт (официально Microsoft Yammer)

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Сбор диагностических данных для управления привилегиями конечных точек

Для поддержки выпуска Endpoint Privilege Management мы обновили сбор диагностика с устройства Windows, включив следующие данные, собираемые с устройств, включенных для управления привилегиями конечных точек:

• Разделы реестра:

  • HKLM\SOFTWARE\Microsoft\EPMAgent

• Команды:

  • %windir%\system32\pnputil.exe /enum-drivers

• Файлы журнала:

  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

Просмотр состояния ожидающих и неудачных сообщений организации

Мы добавили еще два состояния в сведения о сообщениях организации, чтобы упростить отслеживание ожидающих и неудачных сообщений в Центре администрирования.

• Ожидание: сообщение еще не запланировано и в настоящее время выполняется.
• Сбой: сообщение не удалось запланировать из-за ошибки службы.

Дополнительные сведения о отчетах см. в разделе Просмотр сведений о отчетах для сообщений организации.

Дополнительные сведения о отчетах, связанных с устройствами подключения клиента

Теперь вы можете просматривать сведения об устройствах подключения клиента в существующих антивирусных отчетах в рабочей нагрузке Endpoint Security. В новом столбце различаются устройства, управляемые Intune, и устройства, управляемые Configuration Manager. Эти сведения о отчетах доступны в Центре администрирования Microsoft Intune, выбравАнтивирусная программадля защиты> конечных точек.

Неделя с 13 марта 2023 г.

Управление устройствами

Meta Quest 2 и Quest Pro теперь находятся в открытой бета-версии (только для США) на Microsoft Intune для устройств Android с открытым исходным кодом

Microsoft Intune для android открытый код проектных устройств (AOSP) приветствовала Meta Quest 2 и Quest Pro в открытой бета-версии для рынка США.

Дополнительные сведения см. в статье Операционные системы и браузеры, поддерживаемые Microsoft Intune

Применимо к:

• Android (AOSP)

Управление приложениями

Управление доверенными корневыми сертификатами для пакета SDK приложений Intune для Android

Если приложению Android требуются SSL/TLS-сертификаты, выданные локальным или частным центром сертификации для обеспечения безопасного доступа к внутренним веб-сайтам и приложениям, пакет SDK для приложений Intune для Android теперь поддерживает управление доверием к сертификатам. Дополнительные сведения и примеры см. в разделе Управление доверенными корневыми сертификатами.

Поддержка системного контекста для приложений UWP

Помимо контекста пользователя, вы можете развертывать приложения универсальная платформа Windows (UWP) из приложения Microsoft Store (новое) в системном контексте. Если подготовленное приложение .appx развертывается в системном контексте, приложение автоматически устанавливается для каждого пользователя, который входит в систему. Если отдельный пользователь удаляет приложение контекста пользователя, приложение по-прежнему отображается как установленное, так как оно по-прежнему подготовлено. Кроме того, приложение не должно быть установлено ни для каких пользователей на устройстве. Мы рекомендуем не смешивать контексты установки при развертывании приложений. Приложения Win32 из приложения Microsoft Store (новое) уже поддерживают системный контекст.

Неделя с 6 марта 2023 г.

Управление приложениями

Развертывание приложений Win32 в группах устройств

Теперь вы можете развертывать приложения Win32 с доступным намерением для групп устройств. Дополнительные сведения см. в статье Управление приложениями Win32 с помощью Microsoft Intune.

Управление устройствами

Новый URL-адрес центра администрирования Microsoft Intune

Центр администрирования Microsoft Intune имеет новый URL-адрес: https://intune.microsoft.com. Используемый ранее URL-адрес продолжает работать, https://endpoint.microsoft.comно будет перенаправлен на новый URL-адрес в конце 2023 года. Мы рекомендуем выполнить следующие действия, чтобы избежать проблем с доступом к Intune и автоматизированными скриптами:

• Обновите имя входа или автоматизацию, чтобы указать на https://intune.microsoft.com.
• При необходимости обновите брандмауэры, чтобы разрешить доступ к новому URL-адресу.
• Добавьте новый URL-адрес в избранное и закладки.
• Уведомите службу поддержки и обновите документацию по ИТ-администратору.

Управление клиентами

Добавление запросов CMPivot в папку Избранное

Часто используемые запросы можно добавить в папку Избранное в CMPivot. CMPivot позволяет быстро оценить состояние устройства, управляемого Configuration Manager через подключение клиента, и принять меры. Функциональность аналогична функции, уже присутствующих в консоли Configuration Manager. Это добавление помогает хранить все наиболее часто используемые запросы в одном месте. Вы также можете добавлять теги в запросы, чтобы помочь в поиске и поиске запросов. Запросы, сохраненные в консоли Configuration Manager, не добавляются автоматически в папку Избранное. Необходимо создать новые запросы и добавить их в эту папку. Дополнительные сведения о CMPivot см. в статье Подключение клиента: общие сведения об использовании CMPivot.

Регистрация устройства

Новые приложения Microsoft Store теперь поддерживаются на странице состояния регистрации

Страница состояния регистрации (ESP) теперь поддерживает новые приложения Microsoft Store во время Windows Autopilot. Это обновление обеспечивает улучшенную поддержку нового интерфейса Microsoft Store и должно быть развернуто для всех клиентов, начиная с Intune 2303. Дополнительные сведения см . в разделе Настройка страницы состояния регистрации.

Неделя с 27 февраля 2023 г.

Конфигурация устройства

Поддержка устройства "Поиск" на полностью управляемых корпоративных устройствах Android Enterprise и корпоративных рабочих профилей Android Enterprise

Теперь можно использовать функцию "Найти устройство" на полностью управляемых корпоративных устройствах Android Enterprise и корпоративных рабочих профилей Android Enterprise. С помощью этой функции администраторы могут находить потерянные или украденные корпоративные устройства по запросу.

В центре администрирования Microsoft Intune необходимо включить эту функцию с помощью профилей конфигурации устройств (Конфигурация>устройств>Create>Android Enterprise для платформы >Ограничения устройств для типа профиля).

Выберите Разрешить в переключателе Найти устройство для полностью управляемых и корпоративных устройств с рабочим профилем и выберите подходящие группы. Найдите доступное устройство при выборе Устройства, а затем выберите Все устройства. В списке устройств, которыми вы управляете, выберите поддерживаемое устройство и выберите действие Найти удаленное устройство .

Сведения о поиске потерянных или украденных устройств с Intune см. по следующим причинам:

• Поиск потерянных или украденных устройств с помощью Intune

Применимо к:

• Полностью управляемые корпоративные устройства Android Enterprise
• Выделенные корпоративные устройства Android Enterprise
• Android Enterprise — корпоративный рабочий профиль

надстройки Intune

Microsoft Intune Suite предоставляет критически важные расширенные возможности управления конечными точками и безопасности в Microsoft Intune.

Надстройки для Intune можно найти в центре администрирования Microsoft Intune в разделе Администрирование> клиента Intune надстройки.

Подробные сведения см. в статье Использование возможностей надстройки Intune Suite.

Просмотр инцидентов ServiceNow в рабочей области "Устранение неполадок Intune" (предварительная версия)

В общедоступной предварительной версии можно просмотреть список инцидентов ServiceNow, связанных с пользователем, выбранным в рабочей области Intune устранение неполадок. Эта новая функция доступна в разделе Устранение неполадок и поддержка> выберите пользователя >ServiceNow Incidents. Показанный список инцидентов имеет прямую ссылку на исходный инцидент и отображает ключевую информацию из инцидента. Все перечисленные инциденты связывают абонента, указанного в инциденте, с пользователем, выбранным для устранения неполадок.

Дополнительные сведения см. в статье Использование портала устранения неполадок, чтобы помочь пользователям в вашей компании.

Безопасность устройств

Microsoft Tunnel для MAM теперь общедоступна

Теперь в режиме предварительной версии и общедоступной версии вы можете добавить Microsoft Tunnel для управления мобильными приложениями в клиент. Tunnel для MAM поддерживает подключения с незарегистрированных устройств Android и iOS . Это решение предоставляет клиенту упрощенное VPN-решение, которое позволяет мобильным устройствам получать доступ к корпоративным ресурсам при соблюдении политик безопасности.

Кроме того, MAM Tunnel для iOS теперь поддерживает Microsoft Edge.

Ранее Tunnel для MAM для Android и iOS был в общедоступной предварительной версии и бесплатно для использования. Так как этот выпуск является общедоступным, для использования этого решения теперь требуется лицензия на надстройку.

Сведения о лицензировании см. в разделе надстройки Intune.

Применимо к:

• Android
• iOS

Управление клиентами

Сообщения организации теперь поддерживают настраиваемые URL-адреса назначения

Теперь вы можете добавить любой настраиваемый URL-адрес назначения в сообщения организации на панели задач, в области уведомлений и в приложении "Начало работы". Эта функция применяется к Windows 11. Сообщения, созданные с Microsoft Entra зарегистрированными доменами, которые находятся в запланированном или активном состоянии, по-прежнему поддерживаются. Дополнительные сведения см. в разделе Create сообщений организации.

Неделя с 20 февраля 2023 г. (выпуск службы 2302)

Управление приложениями

Последняя версия iOS/iPadOS, доступная в качестве минимального требования к ОС для бизнес-приложений и приложений магазина

Вы можете указать iOS/iPadOS 16.0 в качестве минимальной операционной системы для развертывания бизнес-приложений и приложений Магазина. Этот параметр доступен в центре администрирования Microsoft Intune, выбрав Приложения> дляiOS/iPadOS>в магазине iOS или Бизнес-приложение. Дополнительные сведения об управлении приложениями см. в статье Добавление приложений в Microsoft Intune.

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Egnyte для Intune Egnyte

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Конфигурация устройства

Центр администрирования Endpoint Manager переименован в центр администрирования Intune

Центр администрирования Microsoft Endpoint Manager теперь называется центром администрирования Microsoft Intune.

Новая вкладка "Связанные назначения" для фильтров

При назначении приложения или политики вы можете отфильтровать назначение, используя различные свойства устройства, такие как производитель устройства, модель и владение. Вы можете создать и связать фильтр с назначением.

После создания фильтра будет создана новая вкладка Связанные назначения. На этой вкладке отображаются все назначения политик, группы, которые получают назначения фильтров, а также сведения о том, использует ли фильтр исключить или включить:

1. Войдите в Центр администрирования Microsoft Intune.
2. Перейдите на вкладкуФильтры>устройств> Выберите вкладку "Связанные назначения" существующего фильтра>.

Дополнительные сведения о фильтрах см. по следующим статьям:

• Используйте фильтры при назначении приложений, политик и профилей в Intune
• Свойства устройства, операторы и изменение правил при создании фильтров в Intune

Размер и поколение, включенные в сведения о модели iOS/iPadOS

Размер и создание зарегистрированных устройств iOS/iPadOS можно просмотреть в атрибуте Model в разделе Сведения об устройстве оборудования.

Перейдите в раздел Устройства > Все устройства> выберите одно из перечисленных устройств и выберите Оборудование , чтобы открыть сведения о нем. Например, iPad Pro 11 дюймов (третье поколение) дисплеи для модели устройства вместо iPad Pro 3. Дополнительные сведения см. в статье Сведения об устройстве в Intune

Применимо к:

• iOS/iPadOS

Отключить действие блокировки активации для защищенных устройств iOS/iPadOS

Вы можете использовать действие Отключить блокировку активации в Intune, чтобы обойти блокировку активации на устройствах iOS/iPadOS, не требуя текущего имени пользователя или пароля.

Это новое действие доступно в разделе Устройства > iOS/iPadOS >выберите одно из перечисленных устройств> Отключить блокировку активации.

Дополнительные сведения об управлении блокировкой активации см. в статье Обход блокировки активации iOS/iPadOS с помощью Intune или на веб-сайте Apple в разделе Блокировка активации для iPhone, iPad и iPod touch — поддержка Apple.

Применимо к:

• iOS/iPadOS

Разрешить временное управление функциями предприятия доступно в каталоге параметров

В локальной групповой политике есть параметр Включить функции, представленные через обслуживание, которые отключены по умолчанию .

В Intune этот параметр называется Разрешить временное управление функциями предприятия и доступен в каталоге параметров. Это обслуживание добавляет функции, которые по умолчанию отключены. Если задано значение Разрешено, эти функции включаются и включаются.

Дополнительные сведения об этой функции см. в статье:

• Поставщик служб CSP политики AllowTemporaryEnterpriseFeatureControl
• Блог: Коммерческий контроль для непрерывных инноваций

Функции Windows, включенные этим параметром политики, должны быть выпущены позже в 2023 году. Intune выпустит этот параметр политики сейчас для вашей осведомленности и подготовки, которая находится перед необходимостью использовать этот параметр с будущими Windows 11 выпусками.

Дополнительные сведения о каталоге параметров см. в разделе Использование каталога параметров для настройки параметров на устройствах Windows, iOS/iPadOS и macOS.

Применимо к:

• Windows 11

Управление устройствами

Поддержка управления устройствами для защиты принтеров (предварительная версия)

В общедоступной предварительной версии профили управления устройствами для политики уменьшения направлений атак теперь поддерживают группы многократно используемых параметров для защиты принтера.

Microsoft Defender для конечной точки защита принтера управления устройствами позволяет выполнять аудит, разрешить или запретить использование принтера с исключениями или без нее в Intune. Это позволяет запретить пользователям печать с помощью не корпоративного сетевого принтера или не утвержденного USB-принтера. Эта функция добавляет еще один уровень безопасности и защиты данных для рабочих сценариев из дома и удаленной работы.

Применимо к:

• Windows 10
• Windows 11

Поддержка удаления устаревших устройств, управляемых с помощью управления безопасностью для Microsoft Defender для конечной точки

Теперь вы можете удалить устройство, управляемое через решение "Управление безопасностью для Microsoft Defender для конечной точки", из центра администрирования Microsoft Intune. Параметр удаления отображается вместе с другими параметрами управления устройствами при просмотре сведений об этом устройстве. Чтобы найти устройство, управляемое этим решением, в Центре администрирования перейдите в раздел Устройства>Все устройства, а затем выберите устройство, которое отображает MDEJoined или MDEManaged в столбце Управляемые .

Новые параметры и параметры, доступные в каталоге параметров Apple

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>iOS/iPadOS или macOS для платформы >Каталог параметров для типа профиля.

Новые параметры включают:

Входа > Управление службами — управляемые элементы входа:

• Идентификатор группы

Microsoft Office > Microsoft Office:

• Адрес Email активации Office

Применимо к:

• macOS

Сети > Домены:

• Незащищенные домены для предотвращения отслеживания между сайтами

Применимо к:

• iOS/iPadOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Безопасность устройств

Использование политики антивирусной программы безопасности конечных точек для управления поведением обновлений Microsoft Defender (предварительная версия)

В рамках общедоступной предварительной версии политики антивирусной программы безопасности конечных точек вы можете использовать новые элементы управления обновлением в Защитнике для Windows 10 и более поздних версий для управления параметрами обновления для Microsoft Defender. Новый профиль содержит параметры канала выпуска развертывания. Благодаря каналу развертывания устройства и пользователи получают Обновления Defender, связанные с ежедневными обновлениями аналитики безопасности, ежемесячными обновлениями платформы и ежемесячными обновлениями ядра.

Этот профиль включает следующие параметры, которые непосредственно взяты из CSP Защитника — Управление клиентами Windows.

• Канал Обновления движка
• Канал Обновления платформы
• Канал Обновления аналитики безопасности

Эти параметры также доступны в каталоге параметров для профиля Windows 10 и более поздних версий.

Применимо к:

• Windows 10
• Windows 11

Неделя с 6 февраля 2023 г.

Управление клиентами

Применение рекомендаций и аналитических сведений для расширения Configuration Manager работоспособности сайта и управления устройствами

Теперь вы можете использовать Центр администрирования Microsoft Intune для просмотра рекомендаций и аналитических сведений для Configuration Manager сайтов. Эти рекомендации помогут вам улучшить работоспособности сайта и инфраструктуру, а также расширить возможности управления устройствами.

Рекомендации:

• Упрощение инфраструктуры
• Улучшение управления устройствами
• Предоставление аналитики устройств
• Улучшение работоспособности сайта

Чтобы просмотреть рекомендации, откройте Центр администрирования Microsoft Intune, перейдите в раздел Администрирование> клиентовСоединители и токены>Microsoft Endpoint Configuration Manager, а затем выберите сайт для просмотра рекомендаций для этого сайта. После выбора вкладка Рекомендации отображает все аналитические сведения вместе со ссылкой Подробнее . Эта ссылка открывает сведения о том, как применить эту рекомендацию.

Дополнительные сведения см. в разделе Включение подключения клиента Microsoft Intune — Configuration Manager.

Неделя с 30 января 2023 г.

Управление устройствами

HTC Vive Focus 3 поддерживается на Microsoft Intune для устройств Android с открытым кодом

Microsoft Intune для устройств android открытый код проектов (AOSP) теперь поддерживает HTC Vive Focus 3.

Дополнительные сведения см. в статье Операционные системы и браузеры, поддерживаемые Microsoft Intune

Применимо к:

• Android (AOSP)

Введение поддержки лазерных указателей в Удаленная помощь

В Удаленная помощь теперь можно использовать лазерную указку при оказании помощи в Windows.

Дополнительные сведения о Удаленная помощь см. в разделе Удаленная помощь.

Применимо к:

• Windows 10/11

Неделя с 23 января 2023 г. (выпуск службы 2301)

Управление приложениями

Настройка отображения приложений Configuration Manager в Windows Корпоративный портал

В Intune можно выбрать, следует ли отображать или скрывать приложения Configuration Manager в Корпоративный портал Windows. Этот параметр доступен в Центре администрирования Microsoft Intune, выбравНастройкаадминистрирования> клиента. Рядом с полем Параметры выберите Изменить. Параметр Показать или Скрыть приложения Configuration Manager находится в разделе Источники приложений области. Дополнительные сведения о настройке приложения Корпоративный портал см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Блокировка закрепления веб-страниц в приложении Управляемый главный экран

На выделенных устройствах Android Enterprise, использующих Управляемый главный экран, теперь можно использовать конфигурацию приложения, чтобы настроить приложение Управляемый главный экран, чтобы заблокировать закрепление веб-страниц браузера для Управляемый главный экран. Новое key значение — block_pinning_browser_web_pages_to_MHS. Дополнительные сведения см. в статье Настройка приложения Microsoft Управляемый главный экран для Android Enterprise.

Управление устройствами

Состояние льготного периода отображается в приложении Microsoft Intune для Android

Приложение Microsoft Intune для Android теперь отображает состояние льготного периода для учета устройств, которые не соответствуют требованиям соответствия, но по-прежнему находятся в пределах заданного льготного периода. Пользователи могут видеть дату, с которой устройства должны соответствовать требованиям, и инструкции по их выполнению. Если устройство не обновляется к указанной дате, оно помечается как несоответствующее. Дополнительные сведения см. в следующих документах:

• Настройка политик соответствия требованиям с действиями для несоответствия
• Проверка состояния соответствия

Политики обновления программного обеспечения для macOS стали общедоступными

Политики обновления программного обеспечения для устройств macOS стали общедоступными. Эта общая доступность относится к защищенным устройствам под управлением macOS 12 (Монтерей) и более поздних версий. В эту функцию вносятся улучшения.

Дополнительные сведения см. в статье Использование политик Microsoft Intune для управления обновлениями программного обеспечения macOS.

Диагностика устройства Windows Autopilot

Windows Autopilot диагностика можно скачать в центре администрирования Microsoft Intune из монитора развертывания Autopilot или монитора диагностики устройств для отдельного устройства.

Регистрация устройства

Уведомления о регистрации стали общедоступными

Уведомления о регистрации теперь общедоступны и поддерживаются на устройствах Windows, Apple и Android. Эта функция поддерживается только методами регистрации, управляемыми пользователем. Дополнительные сведения см. в разделе Настройка уведомлений о регистрации.

Пропустить или показать область "Условия адреса" в помощнике по настройке

Настройте Microsoft Intune, чтобы пропустить или отобразить новую область помощника по настройке под названием "Условия адреса" во время автоматической регистрации устройств Apple. Условия адреса позволяют пользователям на устройствах iOS/iPadOS и macOS персонализировать свое устройство, выбирая, как система обращается к ним: женский, нейтральный или мужской. Панель отображается во время регистрации по умолчанию и доступна для различных языков. Его можно скрыть на устройствах под управлением iOS/iPadOS 16 и более поздних версий, а также macOS 13 и более поздних версий. Дополнительные сведения о экранах помощника по настройке, поддерживаемых в Intune, см. в следующих разделах:

• Экраны помощника по настройке для Компьютеров Mac
• Экраны помощника по настройке для iOS/iPadOS

Безопасность устройств

Microsoft Tunnel for Mobile Application Management for iOS/iPadOS (предварительная версия)

В качестве общедоступной предварительной версии вы можете использовать управление мобильными приложениями (MAM) к VPN-шлюзу Microsoft Tunnel для iOS/iPadOS. В этой предварительной версии для устройств iOS, которые не зарегистрированы в Intune, поддерживаемые приложения на этих незарегистрированных устройствах могут использовать Microsoft Tunnel для подключения к вашей организации при работе с корпоративными данными и ресурсами. Эта функция включает поддержку VPN-шлюза для:

• Безопасный доступ к локальным приложениям и ресурсам с помощью современной проверки подлинности
• Единый вход и условный доступ

Дополнительные сведения см. в статьях:

• Руководство администратора Microsoft Tunnel для управления мобильными приложениями для iOS/iPadOS (общедоступная предварительная версия)
• Руководство разработчика по пакету SDK для iOS для Microsoft Tunnel для MAM

Применимо к:

• iOS/iPadOS

Поддержка политики сокращения направлений атак для управления параметрами безопасности для Microsoft Defender для конечной точки

Устройства, управляемые с помощью сценария конфигурации безопасности MDE, поддерживают политику сокращения направлений атак. Чтобы использовать эту политику с устройствами, которые используют Microsoft Defender для конечной точки, но не зарегистрированы в Intune:

1. В узле Endpoint Security создайте политику сокращения направлений атак .
2. Выберите Windows 10, Windows 11 и Windows Server в качестве платформы.
3. Выберите Правила сокращения направлений атаки для профиля.

Применимо к:

• Windows 10
• Windows 11

SentinelOne — новый партнер по защите от угроз на мобильных устройствах

Теперь вы можете использовать SentinelOne в качестве интегрированного партнера mobile Threat Defense (MTD) с Intune. Настроив соединитель SentinelOne в Intune, вы можете управлять доступом мобильных устройств к корпоративным ресурсам с помощью условного доступа, основанного на оценке рисков в политике соответствия требованиям. Соединитель SentinelOne также может отправлять уровни риска в политики защиты приложений.

Конфигурация устройства

Интерфейс конфигурации встроенного ПО устройства (DFCI) поддерживает устройства Fujitsu

Для устройств Windows 10/11 можно создать профиль DFCI для управленияпараметрами UEFI (BIOS) (Конфигурация >устройств>Create Windows 10>и более поздних версий дляинтерфейса конфигурации встроенного ПОплатформы>> для типа профиля).

Некоторые устройства Fujitsu под управлением Windows 10/11 включены для DFCI. Обратитесь за соответствующими устройствами к поставщику или изготовителю устройства.

Дополнительные сведения о профилях DFCI см. по следующему разделу:

• Настройка профилей интерфейса конфигурации встроенного ПО устройств (DFCI) на устройствах Windows в Microsoft Intune
• Управление интерфейсом конфигурации встроенного ПО устройства (DFCI) с помощью Windows Autopilot

Применимо к:

• Windows 10
• Windows 11

Поддержка массовых действий устройств на устройствах под управлением Android (AOSP)

Теперь можно выполнить "Массовые действия устройств" для устройств под управлением Android (AOSP). Массовые действия устройств, поддерживаемые на устройствах под управлением Android (AOSP), — удаление, очистка и перезапуск.

Применимо к:

• Android (AOSP)

Обновлены описания параметров iOS/iPadOS и macOS в каталоге параметров

В каталоге параметров перечислены все параметры, которые можно настроить, и все в одном месте. Для параметров iOS/iPadOS и macOS для каждой категории параметров описания обновляются, чтобы включить более подробные сведения.

Дополнительные сведения о каталоге параметров см. по следующему разделу:

• Использование каталога параметров для настройки параметров на устройствах с Windows, iOS/iPadOS и macOS
• Распространенные задачи, которые можно выполнить с помощью каталога параметров в Intune

Применимо к:

• iOS/iPadOS
• macOS

Новые параметры, доступные в каталоге параметров Apple

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>iOS/iPadOS или macOS для платформы >Каталог параметров для типа профиля.

Новые параметры включают:

Счета > Календари с подпиской:

• Описание учетной записи
• Имя узла учетной записи
• Пароль учетной записи
• Использование SSL учетной записи
• Имя пользователя учетной записи

Применимо к:

• iOS/iPadOS

Сети > Домены:

• Незащищенные домены для предотвращения отслеживания между сайтами

Применимо к:

• macOS

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Хранилище файлов:

• Пользователь вводит отсутствующие сведения

Применимо к:

• macOS

Ограничения:

• Регион оценки

Применимо к:

• iOS/iPadOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Фильтрация назначений приложений и политик по типу соединения Microsoft Entra устройства (deviceTrustType)

При назначении приложения или политики можно отфильтровать назначение с помощью различных свойств устройства, таких как производитель устройства, номер SKU операционной системы и многое другое.

Для устройств Windows 10 и более поздних версий доступно новое свойство deviceTrustType фильтра устройств. С помощью этого свойства можно фильтровать назначения приложений и политик в зависимости от типа соединения Microsoft Entra. Значения включают Microsoft Entra присоединено, Microsoft Entra гибридное присоединение и Microsoft Entra зарегистрировано.

Дополнительные сведения о фильтрах и свойствах устройств, которые можно использовать, см. в следующих статьях:

• Используйте фильтры при назначении приложений, политик и профилей в Intune
• Свойства устройства, операторы и изменение правил при создании фильтров в Intune

Применимо к:

• Windows 10 и более поздние версии

Управление и устранение неполадок

Скачивание диагностика мобильного приложения в Центре администрирования Microsoft Intune (общедоступная предварительная версия)

Теперь в общедоступной предварительной версии доступ к мобильному приложению, отправленное пользователем, диагностика в Центре администрирования, включая журналы приложений, отправляемые через приложение Корпоративный портал для Android, Android (AOSP) или Windows, с поддержкой iOS, macOS и Microsoft Edge для iOS, которые будут доступны позже. Дополнительные сведения о доступе к диагностика мобильного приложения для Корпоративный портал см. в разделе Настройка Корпоративный портал.

Устранение неполадок WinGet с помощью файлов диагностики

WinGet — это программа командной строки, которая позволяет обнаруживать, устанавливать, обновлять, удалять и настраивать приложения на Windows 10 и Windows 11 устройствах. При работе с управлением приложениями Win32 в Intune теперь можно использовать следующие расположения файлов для устранения неполадок WinGet:

• %TEMP%\winget\defaultstate*.log
• Microsoft-Windows-AppXDeployment/Operational
• Microsoft-Windows-AppXDeploymentServer/Operational

Intune обновлении области устранения неполадок

В новой области "Устранение неполадок" Intune содержатся сведения об устройствах, политиках, приложениях и состоянии пользователя. Область устранения неполадок содержит следующие сведения:

• Сводка по политике, соответствию требованиям и состоянию развертывания приложения.
• Поддержка экспорта, фильтрации и сортировки всех отчетов.
• Поддержка фильтрации путем исключения политик и приложений.
• Поддержка фильтрации по одному устройству пользователя.
• Сведения о доступных диагностика устройствах и отключенных устройствах.
• Сведения об автономных устройствах, которые не регистрировались в службе в течение трех или более дней.

Область устранения неполадок можно найти в Центре администрирования Microsoft Intune, выбрав Устранение неполадок и поддержка>Устранение неполадок. Чтобы просмотреть новый интерфейс во время предварительной версии, выберите Предварительный просмотр предстоящих изменений в разделе Устранение неполадок и предоставьте отзыв , чтобы отобразить панель Предварительный просмотр устранение неполадок , а затем выберите Попробовать сейчас.

Новый отчет для устройств без политики соответствия требованиям (предварительная версия)

Мы добавили новый отчет с именем Устройства без политики соответствия требованиям в отчеты о соответствии устройств, к которые можно получить доступ через узел Отчеты Центра администрирования Microsoft Intune. В этом отчете, который находится в предварительной версии, используется более новый формат отчетов, предоставляющий дополнительные возможности.

Дополнительные сведения об этом новом отчете см. в статье Устройства без политики соответствия требованиям (организация).

Более ранняя версия этого отчета остается доступной на странице Монитор устройств > в Центре администрирования. Со временем эта более старая версия отчета будет прекращена, хотя пока она остается доступной.

Работоспособность служб сообщения о проблемах клиента, требующих административного внимания

Страница Работоспособность служб и центра сообщений в центре администрирования Microsoft Intune теперь может отображать сообщения о проблемах в вашей среде, которые требуют действий. Эти сообщения представляют собой важные сообщения, которые отправляются клиенту, чтобы администраторы оповещали о проблемах в их среде, которые могут потребовать действий для устранения.

Сообщения о проблемах в вашей среде, требующих действий, можно просмотреть в Центре администрирования Microsoft Intune, выбравСостояние клиентаадминистрирование> клиента, а затем выбрав вкладку Работоспособность служб и центр сообщений.

Дополнительные сведения об этой странице Центра администрирования см. в разделе Просмотр сведений о клиенте на странице состояния клиента Intune.

Управление клиентами

Улучшенный интерфейс пользовательского интерфейса для нескольких соединителей сертификатов

Мы добавили элементы управления разбиением на страницы в представление соединителей сертификатов , чтобы улучшить интерфейс, если настроено более 25 соединителей сертификатов. С помощью новых элементов управления можно просмотреть общее количество записей соединителя и легко перейти на определенную страницу при просмотре соединителей сертификатов.

Чтобы просмотреть соединители сертификатов, в Центре администрирования Microsoft Intune перейдите в раздел Администрирование> клиентаСоединители и маркеры>Соединители сертификатов.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Voltage SecureMail by Voltage Security

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Сценарии

Предварительный просмотр содержимого пакета скрипта PowerShell в Endpoint Analytics

Теперь администраторы могут просматривать предварительный просмотр содержимого скрипта PowerShell для упреждающих исправлений. Содержимое отображается в неактивном поле с возможностью прокрутки. Администраторы не могут изменять содержимое скрипта в предварительной версии. В центре администрирования Microsoft Intune выберите Отчеты>Аналитика конечных> точекупреждающие исправления. Дополнительные сведения см. в статье Сценарии PowerShell для упреждающих исправлений.

Неделя с 16 января 2023 г.

Управление приложениями

Общедоступная версия замены приложений Win32

Доступен набор функций для общедоступной версии замены приложений Win32. Она добавляет поддержку приложений с заменой во время ESP, а также позволяет добавлять замены & связи зависимостей в том же подграфе приложения. Дополнительные сведения см. в статье Улучшения замены приложений Win32. Сведения о замене приложений Win32 см. в разделе Добавление замены приложений Win32.

Неделя с 9 января 2023 г.

Конфигурация устройства

Приложение Корпоративный портал применяет параметр сложности пароля на личных устройствах Android Enterprise 12+ с рабочим профилем

На личных устройствах Android Enterprise 12+ с рабочим профилем можно создать политику соответствия и (или) профиль конфигурации устройств, который задает сложность пароля. Начиная с выпуска 2211 этот параметр доступен в Центре администрирования Intune:

• Устройств>Конфигурации>> Create Android Enterprise для платформы > Personally с рабочим профилем
• Устройств>Политики> соответствия требованиямCreate политики>Android Enterprise для платформы > Личные с рабочим профилем

Приложение Корпоративный портал применяет параметр сложности пароля.

Дополнительные сведения об этом и других параметрах, которые можно настроить на личных устройствах с рабочим профилем, см. в следующих страницах:

• Параметры соответствия устройств для Android Enterprise в Intune
• Список параметров ограничения устройств для Android Enterprise в Intune

Применимо к:

• Личные устройства Android Enterprise 12+ с рабочим профилем

Неделя с 19 декабря 2022 г.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Appian для Intune от Appian Corporation (Android)

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Неделя с 12 декабря 2022 г. (выпуск службы 2212)

Конфигурация устройства

Удаленная помощь клиентское приложение включает новый параметр для отключения функций чата в параметре уровня клиента.

В приложении Удаленная помощь администраторы могут отключить функции чата из нового параметра уровня клиента. При включении функции отключения чата кнопка чата в приложении Удаленная помощь удаляется. Этот параметр можно найти на вкладке Параметры Удаленная помощь в разделе Администрирование клиента в Microsoft Intune.

Дополнительные сведения см. в разделе Настройка Удаленная помощь для клиента.

Область применения: Windows 10/11

Новые параметры, доступные в каталоге параметров macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля.

Новые параметры включают:

Хранилище > файлов Параметры хранилища файлов:

• Блокировать отключение FV
• Блокировать включение FV

Ограничения:

• Разрешить изменение Bluetooth

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Существуют параметры по умолчанию для запросов на расширение единого входа на устройствах iOS, iPadOS и macOS.

При создании профиля конфигурации расширения приложения для единого входа настраиваются некоторые параметры. Следующие параметры используют следующие значения по умолчанию для всех запросов на расширение единого входа:

• Ключ AppPrefixAllowList

  • Значение по умолчанию для macOS: com.microsoft.,com.apple.
  • Значение по умолчанию для iOS/iPadOS: com.apple.

• ключ browser_sso_interaction_enabled

  • Значение по умолчанию для macOS: 1
  • Значение по умолчанию для iOS/iPadOS: 1

• ключ disable_explicit_app_prompt

  • Значение по умолчанию для macOS: 1
  • Значение по умолчанию для iOS/iPadOS: 1

Если вы настраиваете значение, отличное от значения по умолчанию, то настроенное значение перезаписывает значение по умолчанию.

Например, вы не настраиваете AppPrefixAllowList ключ. По умолчанию для всех приложений Майкрософт (com.microsoft.) и apple (com.apple.) включен единый вход на устройствах macOS. Это поведение можно перезаписать, добавив в список другой префикс, например com.contoso..

Дополнительные сведения о подключаемом модуле единого входа Enterprise см. в статье Использование подключаемого модуля единого входа Microsoft Enterprise на устройствах iOS/iPadOS и macOS в Microsoft Intune.

Применимо к:

• iOS/iPadOS
• macOS

Регистрация устройства

Время существования маркера регистрации увеличивается до 65 лет для выделенных устройств Android Enterprise

Теперь вы можете создать профиль регистрации для выделенных устройств Android Enterprise, срок действия до 65 лет. Если у вас есть существующий профиль, срок действия маркера регистрации по-прежнему истекает в любую дату, которую вы выбрали при создании профиля, но во время продления вы можете продлить время существования. Дополнительные сведения о создании профиля регистрации см. в статье Настройка Intune регистрации для выделенных устройств Android Enterprise.

Управление устройствами

Политики обновления для macOS теперь доступны для всех защищенных устройств

Политики обновления программного обеспечения для устройств macOS теперь применяются ко всем защищенным устройствам macOS. Ранее только те устройства, которые были зарегистрированы с помощью автоматической регистрации устройств (ADE), получали обновления. Дополнительные сведения о настройке политик обновления для macOS см. в статье Использование политик Microsoft Intune для управления обновлениями программного обеспечения macOS.

Применимо к:

• macOS

Политика и отчеты об обновлениях компонентов Windows и ускоренном обновлении качества теперь являются общедоступными

Политики и отчеты для управления обновлениями компонентов и обновлениями качества (ускоряемые обновления) для Windows 10 и более поздних версий недоступны и теперь общедоступны.

Дополнительные сведения об этих политиках и отчетах см. в следующих разделах:

• Политика обновлений компонентов
• Ускорение политики обновлений качества
• Отчеты о соответствии требованиям центра обновлений Windows

Применимо к:

• Windows 10/11

Неделя с 28 ноября 2022 г.

Управление приложениями

Приложения Microsoft Store в Intune

Теперь вы можете искать, просматривать, настраивать и развертывать приложения Microsoft Store в Intune. Новый тип приложения Microsoft Store реализуется с помощью Диспетчер пакетов Windows. Этот тип приложения содержит расширенный каталог приложений, который включает как приложения UWP, так и приложения Win32. Ожидается, что развертывание этой функции завершится к 2 декабря 2022 г. Дополнительные сведения см. в статье Добавление приложений Microsoft Store в Microsoft Intune.

Управление клиентами

Политики доступа для нескольких утверждений администратора (общедоступная предварительная версия)

В общедоступной предварительной версии можно использовать политики доступа Intune, чтобы требовать, чтобы вторая учетная запись утверждения администратора утвердила изменение до применения изменения. Эта возможность называется несколькими утверждениями администратора (MAA).

Вы создаете политику доступа для защиты типа ресурса, например развертывания приложений. Каждая политика доступа также включает группу пользователей, утверждающих изменения, защищенные политикой. Если ресурс, например конфигурация развертывания приложения, защищен политикой доступа, любые изменения, внесенные в развертывание, включая создание, удаление или изменение существующего развертывания, не будут применяться до тех пор, пока член группы утверждающих для этой политики доступа не проверит и не утвердит это изменение.

Утверждающие также могут отклонять запросы. Лицо, запрашивающее изменение, и утверждающий может предоставить заметки об изменении, а также о том, почему оно было утверждено или отклонено.

Политики доступа поддерживаются для следующих ресурсов:

• Приложения — применяется к развертываниям приложений, но не применяется к политикам защиты приложений.
• Скрипты — применяется к развертыванию скриптов на устройствах под управлением macOS или Windows.

Дополнительные сведения см. в статье Использование политик доступа для требования нескольких административных утверждений.

Безопасность устройств

Microsoft Tunnel для управления мобильными приложениями для Android (предварительная версия)

В качестве общедоступной предварительной версии microsoft Tunnel теперь можно использовать с незарегистрированных устройств. Эта возможность называется Microsoft Tunnel для управления мобильными приложениями (MAM). Эта предварительная версия поддерживает Android и без каких-либо изменений в существующей инфраструктуре Tunnel поддерживает VPN-шлюз Tunnel для:

• Безопасный доступ к локальным приложениям и ресурсам с помощью современной проверки подлинности
• Единый вход и условный доступ

Чтобы использовать Tunnel MAM, незарегистрированные устройства должны установить Microsoft Edge, Microsoft Defender для конечной точки и Корпоративный портал. Затем с помощью центра администрирования Microsoft Intune можно настроить следующие профили для незарегистрированных устройств:

• Профиль конфигурации приложений для управляемых приложений для настройки Microsoft Defender на устройствах для использования в качестве клиентского приложения Tunnel.
• Второй профиль конфигурации приложений для управляемых приложений, чтобы настроить подключение Microsoft Edge к Tunnel.
• Профиль защита приложений для включения автоматического запуска подключения Microsoft Tunnel.

Применимо к:

• Android Enterprise

Неделя с 14 ноября 2022 г. (выпуск службы 2211)

Управление приложениями

Управление отображением управляемых приложений Google Play

Вы можете группировать управляемые приложения Google Play по коллекциям и управлять порядком отображения коллекций при выборе приложений в Intune. Вы также можете сделать приложения видимыми только с помощью поиска. Эта возможность доступна в центре администрирования Microsoft Intune, выбрав Приложения>Все приложения>Добавить>управляемое приложение Google Play. Дополнительные сведения см. в статье Добавление управляемого приложения Магазина Google Play непосредственно в центре администрирования Intune.

Конфигурация устройства

Новый параметр сложности пароля для личных устройств Android Enterprise 12+ с рабочим профилем

На личных устройствах Android Enterprise 11 и более ранних версий с рабочим профилем можно задать следующие параметры пароля:

• Устройств>Соответствия>Android Enterprise для платформы >Личный рабочий профиль>Безопасность системы>Обязательный тип пароля, Минимальная длина пароля
• Устройств>Конфигурации>Android Enterprise для платформы >Личный рабочий профиль>Ограничения устройств> Параметрырабочего профиля>Обязательный тип пароля, Минимальная длина пароля
• Устройств>Конфигурации>Android Enterprise для платформы >Личный рабочий профиль>Устройства Ограничения>пароля Обязательный>тип пароля, Минимальная длина пароля

Google не рекомендует использовать обязательный тип пароля и минимальную длину пароля для личных устройств Android 12+ с рабочим профилем и заменяет их новыми требованиями к сложности паролей. Дополнительные сведения об этом изменении см. в статье Поддержка Android 13 с нулевым днем.

Новый параметр "Сложность пароля " имеет следующие параметры:

• Нет: Intune не изменяет или не обновляет этот параметр. По умолчанию для ОС может не требоваться пароль.
• Низкий: шаблон или ПИН-код с повторяющимися последовательности (4444) или упорядоченными (1234, 4321, 2468) блокируются.
• Средний: пин-код с повторяющимися последовательности (4444) или упорядоченными (1234, 4321, 2468) блокируются. Длина, длина в алфавитном или буквенно-цифровом формате должна содержать не менее четырех символов.
• Высокий: ПИН-код с повторяющимися последовательности (4444) или упорядоченными (1234, 4321, 2468) блокируются. Длина должна быть не менее восьми символов. Алфавитная или буквенно-цифровая длина должна содержать не менее шести символов.

В Android 12+, если в настоящее время в политике соответствия требованиям или профиле конфигурации устройства используются параметры Обязательный тип пароля и Минимальная длина пароля , рекомендуется использовать новый параметр Сложность пароля .

Если вы по-прежнему используете параметры Обязательный тип пароля и Минимальная длина пароля и не настраиваете параметр Сложность пароля , новые устройства под управлением Android 12+ могут по умолчанию использовать высокий уровень сложности пароля.

Дополнительные сведения об этих параметрах и о том, что происходит с существующими устройствами с настроенными устаревшими параметрами, см. в следующих статье:

• Личные устройства Android Enterprise с рабочим профилем — список параметров профиля конфигурации
• Личные устройства Android Enterprise с рабочим профилем — список параметров политики соответствия

Применимо к:

• Личные устройства Android Enterprise 12.0 и более новых версий с рабочим профилем

Новые параметры, доступные в каталоге параметров iOS/iPadOS и macOS

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>iOS/iPadOS или macOS для платформы >Каталог параметров для типа профиля.

Новые параметры включают:

Сети > Параметры DNS:

• Протокол DNS
• Адреса сервера
• Имя сервера
• URL-адрес сервера
• Дополнительные домены сопоставления
• Правила по запросу
• Действие
• Параметры действия
• Сопоставление доменов DNS
• Сопоставление адресов DNS-сервера
• Сопоставление типов интерфейса
• Соответствие SSID
• Проверка строки URL-адреса
• Запретить отключение

Хранилище файлов:

• Отложить
• Отложить не спрашивать при выходе пользователя
• Отложить принудительное применение при максимальном обходе попыток обхода входа пользователя
• Включение
• Показать ключ восстановления
• Использование ключа восстановления

Хранилище > файлов Депонирования ключа восстановления хранилища файлов:

• Ключ устройства
• Расположение

Ограничения:

• Разрешить входящие запросы Air Play

Применимо к:

• macOS

Веб > Фильтр веб-содержимого:

• Разрешить закладки списка
• Автофильтр включен
• Запретить URL-адреса списка
• Фильтрация браузеров
• Идентификатор пакета поставщика данных фильтра
• Требование, назначенное поставщиком данных фильтра
• Оценка фильтра
• Идентификатор пакета поставщика пакетов фильтра
• Назначенное требование поставщика пакетов фильтра
• Фильтрация пакетов
• Фильтрация сокетов
• Тип фильтра
• Организация
• Пароль
• Разрешенные URL-адреса
• Идентификатор пакета подключаемого модуля
• Адрес сервера
• Определяемое пользователем имя
• имя пользователя;
• Конфигурация поставщика

Применимо к:

• iOS/iPadOS
• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Интерфейс конфигурации встроенного ПО устройства (DFCI) поддерживает устройства Panasonic

Для устройств Windows 10/11 можно создать профиль DFCI для управленияпараметрами UEFI (BIOS) (Конфигурация >устройств>Create Windows 10>и более поздних версий дляинтерфейса конфигурации встроенного ПОплатформы>> для типа профиля).

Новые устройства Panasonic под управлением Windows 10/11 включены для DFCI с осени 2022 года. Таким образом, администраторы могут создавать профили DFCI для управления BIOS, а затем развертывать профили на этих устройствах Panasonic.

Обратитесь к поставщику устройства или производителю устройства, чтобы получить соответствующие устройства.

Дополнительные сведения о профилях DFCI см. по следующему разделу:

• Настройка профилей интерфейса конфигурации встроенного ПО устройств (DFCI) на устройствах Windows в Microsoft Intune
• Управление интерфейсом конфигурации встроенного ПО устройства (DFCI) с помощью Windows Autopilot

Применимо к:

• Windows 10
• Windows 11

Поддержка входа и управления фоновыми элементами на устройствах macOS с помощью каталога параметров

На устройствах macOS можно создать политику, которая автоматически открывает элементы при входе пользователей на свои устройства macOS. Например, можно открывать приложения, документы и папки.

В Intune каталог параметров содержит новые параметры управления службами в разделеКонфигурация>устройств>Create>macOS для каталога> параметров платформы >Управление службой входа>. Эти параметры могут запретить пользователям отключить управляемые элементы входа и фоновые элементы на своих устройствах.

Дополнительные сведения о каталоге параметров см. по следующему разделу:

• Использование каталога параметров для настройки параметров
• Распространенные задачи, которые можно выполнить с помощью каталога параметров

Применимо к:

• macOS 13 и более поздней версии

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Varicent by Varicent US OpCo Corporation
• myBLDNG по Bldng.ai
• Корпоративные файлы для Intune от Stratospherix Ltd
• ArcGIS Indoors для Intune от ESRI
• Собрания по решениям as
• Idenprotect Go by Apply Mobile Ltd

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Обзор проверок работоспособности и ошибок подключения к облачному компьютеру в Центре администрирования Microsoft Intune

Теперь вы можете просмотреть проверки работоспособности подключения и ошибки в Центре администрирования Microsoft Intune, чтобы понять, возникают ли проблемы с подключением у пользователей. Существует также средство устранения неполадок, помогающее устранить проблемы с подключением. Чтобы просмотреть проверки, выберите Устройства>Windows 365>Сети> Azureвыберите подключение в списке>Обзор.

Управление клиентами

Доставка сообщений организации для Windows 11 (общедоступная предварительная версия)

Используйте Microsoft Intune для доставки важных сообщений и призывов к действиям сотрудникам на их устройствах. Сообщения организации — это предварительно настроенные сообщения, предназначенные для улучшения взаимодействия сотрудников в сценариях удаленной и гибридной работы. Их можно использовать для адаптации сотрудников к новым ролям, получения дополнительных сведений о своей организации и информирования о новых обновлениях и тренингах. Сообщения можно доставить непосредственно над панелью задач, в области уведомлений или в приложении Приступая к работе на Windows 11 устройствах.

Во время общедоступной предварительной версии вы можете:

• Выберите один из различных предварительно настроенных, распространенных сообщений, назначаемых Microsoft Entra группам пользователей.
• Добавьте логотип вашей организации.
• Включите в сообщение пользовательский URL-адрес назначения, который перенаправляет пользователей устройств в определенное место.
• Предварительный просмотр сообщений на 15 поддерживаемых языках в темной и светлой теме.
• Запланируйте период доставки и частоту сообщений.
• Отслеживайте состояние сообщений и количество получаемых представлений и щелчков. Представления и щелчки агрегируются по сообщениям.
• Отмена запланированных или активных сообщений.
• Настройте новую встроенную роль в Intune под названием Диспетчер сообщений организации, которая позволяет назначенным администраторам просматривать и настраивать сообщения.

Все настройки необходимо выполнить в Центре администрирования Microsoft Intune. Microsoft API Graph недоступна для использования с сообщениями организации. Дополнительные сведения см. в разделе Обзор сообщений организации.

Неделя с 7 ноября 2022 г.

Управление приложениями

Прекращение поддержки Windows Information Protection

Политики Windows Information Protection (WIP) без регистрации устарели. Вы больше не можете создавать новые политики WIP без регистрации. До декабря 2022 г. можно изменять существующие политики, пока не завершится устаревание сценария без регистрации . Дополнительные сведения см. в статье Планирование изменений: прекращение поддержки Windows Information Protection.

Конфигурация устройств

Поддержка конфигурации пользователей для Windows 11 виртуальных машин с несколькими сеансами теперь общедоступна

Теперь вы можете:

• Настройка политик область пользователей с помощью каталога параметров и назначение группам пользователей, включая политики приема ADMX
• Настраивать сертификаты пользователей и назначать их пользователям.
• Настраивать сценарии PowerShell для установки в контексте пользователя и назначения пользователям.

Применимо к:

• Windows 11
• Виртуальные машины, созданные в общедоступных и Azure для государственных организаций облаках Azure

Неделя с 31 октября 2022 г.

Управление приложениями

Основной параметр политики защиты приложений службы MTD для Intune

Intune теперь поддерживает как Microsoft Defender для конечной точки, так и один соединитель защиты от угроз, отличный от мобильных устройств (MTD), который будет включен для оценки политики защиты приложений для каждой платформы. Эта функция позволяет использовать сценарии, в которых клиенту может потребоваться выполнить миграцию между Microsoft Defender для конечной точки и службой MTD сторонних поставщиков. Кроме того, они не хотят паузы в защите с помощью оценок риска в политике защиты приложений. В разделе Проверки работоспособности условного запуска появился новый параметр под названием "Основная служба MTD", чтобы указать, какую службу следует применить для конечного пользователя. Дополнительные сведения см. в разделах Параметры политики защиты приложений Android и Параметры политики защиты приложений iOS.

Неделя с 24 октября 2022 г. (выпуск службы 2210)

Управление приложениями

Использование фильтров с политиками конфигурации приложений для управляемых устройств

Фильтры можно использовать для уточнения область назначения при развертывании политик конфигурации приложений для управляемых устройств. Сначала необходимо создать фильтр , используя любое из доступных свойств для iOS и Android. Затем в центре администрирования Microsoft Intune можно назначить политику конфигурации управляемых приложений, выбрав Политикиконфигурации>приложений>Добавить>управляемые устройства и перейти на страницу назначения. Выбрав группу, можно уточнить применимость политики, выбрав фильтр и выбрав его в режиме включения или исключения . Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в центре администрирования Microsoft Intune.

Конфигурация устройства

групповая политика аналитика автоматически применяет область теги, назначенные администраторам при импорте объектов групповая политика

В групповая политика аналитики можно импортировать локальные объекты групповой политики, чтобы просмотреть параметры политики, поддерживающие облачные поставщики MDM, включая Microsoft Intune. Вы также можете увидеть все нерекомендуемые параметры или параметры, недоступные.

Теперь область теги, назначенные администраторам, автоматически применяются, когда эти администраторы импортируют объекты групповой политики в групповая политика аналитику.

Например, администраторам назначены теги Charlotte, London или Boston область:

• Администратор с тегом Charlotte область импортирует объект групповой политики.
• Тег Charlotte область автоматически применяется к импортированному объекту групповой политики.
• Все администраторы с тегом Charlotte область могут видеть импортированный объект.
• Администраторы только с тегами Лондона или только бостонских область не могут видеть импортированный объект от администратора Charlotte.

Чтобы администраторы смогли просмотреть аналитику или перенести импортированный объект групповой политики в политику Intune, эти администраторы должны иметь один из область тегов, что и администратор, выполняющий импорт.

Дополнительные сведения об этих функциях см. в следующих статьях:

• Анализ локальных объектов групповой политики с помощью групповая политика аналитики в Microsoft Intune
• Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ

Применимо к:

• Windows 11
• Windows 10

Новые конечные точки сети для Microsoft Intune

В нашу документацию добавлены новые сетевые конечные точки для размещения новых единиц масштабирования Azure (ASU), добавленных в службу Intune. Мы рекомендуем обновить правила брандмауэра с помощью последнего списка IP-адресов, чтобы обеспечить актуальность всех конечных точек сети для Microsoft Intune.

Полный список см. в разделе Конечные точки сети для Microsoft Intune.

Фильтрация назначений приложений и групповых политик с помощью SKU операционной системы Windows 11 SE

При назначении приложения или политики можно отфильтровать назначение с помощью различных свойств устройства, таких как производитель устройства, номер SKU операционной системы и многое другое.

Доступны два новых номера SKU Windows 11 SE операционной системы. Эти номера SKU можно использовать в фильтрах назначений для включения или исключения Windows 11 SE устройств от применения политик и приложений, предназначенных для групп.

Дополнительные сведения о фильтрах и свойствах устройств, которые можно использовать, см. в следующих статьях:

• Используйте фильтры при назначении приложений, политик и профилей в Microsoft Intune
• Свойства устройства, операторы и изменение правил при создании фильтров в Microsoft Intune

Применимо к:

• Windows 11 SE

Новые параметры, доступные в каталоге параметров iOS/iPadOS и macOS

В каталоге параметров перечислены все параметры, которые можно настроить в политике устройства, и все в одном месте.

Новые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>iOS/iPadOS или macOS для платформы >Каталог параметров для типа профиля.

Новые параметры включают:

Сети > Сотовая связь:

• Включение XLAT464

Применимо к:

• iOS/iPadOS

Конфиденциальности > Элемент управления политикой параметров конфиденциальности:

• Пакеты приложений системной политики

Применимо к:

• macOS

Ограничения:

• Разрешить установку быстрого реагирования на безопасность
• Разрешить быстрое удаление ответов системы безопасности

Применимо к:

• iOS/iPadOS
• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Новые параметры профилей интерфейса конфигурации встроенного ПО устройства (DFCI) на устройствах Windows

Вы можете создать профиль DFCI, который позволяет ОС Windows передавать команды управления из Intune в UEFI (единый расширяемый интерфейс встроенного ПО) (конфигурация>устройств>Create>Windows 10 и более поздних версий для интерфейса конфигурации встроенного ПО устройства шаблонов >платформы>).

Эту функцию можно использовать для управления параметрами BIOS. В политике DFCI можно настроить новые параметры:

• Камеры:

  • Передняя камера
  • Инфракрасная камера
  • Задняя камера

• Радио:

  • WWAN
  • NFC

• Порты

  • SD-карта

Дополнительные сведения о профилях DFCI см. по следующему разделу:

• Использование профилей интерфейса конфигурации встроенного ПО устройства (DFCI) на устройствах с Windows в Microsoft Intune
• Список параметров профиля DFCI

Применимо к:

• Windows 11 на поддерживаемом UEFI
• Windows 10 RS5 (1809) и более поздним версиям с поддерживаемым UEFI

Регистрация устройства

Помощник по настройке iOS/iPadOS с современной проверкой подлинности поддерживает JIT-регистрацию (общедоступная предварительная версия)

Intune поддерживает JIT-регистрацию для сценариев регистрации iOS/iPadOS, использующих помощник по настройке с современной проверкой подлинности. JIT-регистрация сокращает количество запросов проверки подлинности, отображаемых пользователям на протяжении всего процесса подготовки, что позволяет им более просто подключиться. Это избавляет от необходимости использовать приложение Корпоративный портал для Microsoft Entra регистрации и проверки соответствия требованиям, а также устанавливает единый вход на устройстве. Регистрация JIT доступна в общедоступной предварительной версии для устройств, зарегистрированных с помощью автоматической регистрации устройств Apple и работающих под управлением iOS/iPadOS 13.0 или более поздней версии. Дополнительные сведения см. в статье Методы проверки подлинности для автоматической регистрации устройств.

Управление устройствами

Подключение устройств Chrome OS в Intune (общедоступная предварительная версия)

Просмотр корпоративных или учебных устройств, работающих в Chrome OS, в Центре администрирования Microsoft Intune. Теперь в общедоступной предварительной версии вы можете установить подключение между консолью Google Администратор и центром администрирования Microsoft Intune. Сведения об устройстве о конечных точках Ос Chrome синхронизируются с Intune и отображаются в списке инвентаризации устройств. В Центре администрирования также доступны основные удаленные действия, такие как перезапуск, очистка и режим потери. Дополнительные сведения о настройке подключения см. в разделе Настройка соединителя Chrome Enterprise.

Управление обновлениями программного обеспечения macOS с помощью Intune

Теперь можно использовать политики Intune для управления обновлениями программного обеспечения macOS для устройств, зарегистрированных с помощью автоматической регистрации устройств (ADE). См. статью Управление политиками обновления программного обеспечения macOS в Intune.

Intune поддерживает следующие типы обновлений macOS:

• Критические обновления
• Обновления встроенного ПО
• Обновления файлов конфигурации
• Все остальные обновления (ОС, встроенные приложения)

Помимо планирования обновлений устройства, вы можете управлять поведением, например:

• Скачать и установить. Скачайте или установите обновление в зависимости от текущего состояния.
• Только для скачивания: скачайте обновление программного обеспечения, не устанавливая его.
• Установка немедленно. Скачайте обновление программного обеспечения и запустите уведомление об обратном отсчете перезапуска.
• Только уведомлять: скачайте обновление программного обеспечения и уведомите пользователя через App Store.
• Установка позже. Скачайте обновление программного обеспечения и установите его позже.
• Не настроено: при обновлении программного обеспечения не предпринимается никаких действий.

Сведения об управлении обновлениями программного обеспечения macOS от Apple см. в разделе Управление обновлениями программного обеспечения для устройств Apple — поддержка Apple в документации по развертыванию платформы Apple. Apple ведет список обновлений для системы безопасности в разделе Обновления системы безопасности Apple — Служба поддержки Apple.

Отзыв Jamf Pro из Центра администрирования Microsoft Intune

Теперь вы можете отменить подготовку Jamf Pro для Intune интеграции из Центра администрирования Microsoft Intune. Эта функция может быть полезна, если у вас больше нет доступа к консоли Jamf Pro, с помощью которой вы также можете отменить интеграцию.

Эта возможность работает аналогично отключению Jamf Pro от консоли Jamf Pro. Таким образом, после удаления интеграции устройства Mac вашей организации удаляются из Intune через 90 дней.

Новые сведения об оборудовании, доступные для отдельных устройств под управлением iOS/iPadOS

Выберите Устройства>Все устройства>выберите одно из перечисленных устройств и откройте сведения о его Оборудовании. В области Оборудование отдельных устройств доступны следующие новые сведения:

• Уровень заряда. Показывает уровень заряда батареи устройства в диапазоне от 0 до 100 или по умолчанию имеет значение NULL, если не удается определить уровень заряда. Эта функция доступна для устройств под управлением iOS/iPadOS 5.0 и более поздних версий.
• Постоянные пользователи. Показывает количество пользователей, которые в настоящее время находятся на общем устройстве iPad, или значение по умолчанию null, если количество пользователей не удается определить. Эта функция доступна для устройств под управлением iOS/iPadOS 13.4 и более поздних версий.

Дополнительные сведения см. в разделе Просмотр сведений об устройстве с помощью Microsoft Intune.

Сфера применения

• iOS/iPadOS

$null Использование значения в фильтрах

При назначении приложений и политик группам можно использовать фильтры для назначения политики на основе создаваемых правил (фильтры>администрирования> клиентов Create). Эти правила используют различные свойства устройства, например категорию или профиль регистрации.

Теперь можно использовать $null значение с операторами -Equals и -NotEquals .

Например, используйте $null значение в следующих сценариях:

• Вы хотите ориентироваться на все устройства, которым не назначена категория.
• Вы хотите использовать устройства, которым не назначено свойство профиля регистрации.

Дополнительные сведения о фильтрах и правилах, которые можно создать, см. в следующих статьях:

• Используйте фильтры при назначении приложений, политик и профилей в Microsoft Intune
• Свойства устройства, операторы и изменение правил при создании фильтров в Microsoft Intune

Применимо к:

• Администратор устройств Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10/11

Безопасность устройств

Многократно используемые группы параметров для съемных носителей в профилях управления устройствами (предварительная версия)

В общедоступной предварительной версии можно использовать многократно используемые группы параметров с профилями управления устройствами в политиках сокращения направлений атак.

Многократно используемые группы для профилей управления устройствами включают коллекцию параметров, которые поддерживают управление доступом на чтение, запись и выполнение для съемных носителей. Примеры распространенных сценариев:

• Запретить доступ на запись и выполнение для всех, но разрешить определенные утвержденные USB
• Аудит доступа на запись и выполнение всех, кроме блокировки конкретных неутвержденных USB
• Разрешить доступ только определенным группам пользователей к определенному съемому хранилищу на общем компьютере

Применимо к:

• Windows 10 или более поздней версии

Многократно используемые группы параметров для правил брандмауэра Microsoft Defender (предварительная версия)

В общедоступной предварительной версии можно использовать многократно используемые группы параметров, которые можно использовать с профилями для правил брандмауэра Microsoft Defender. Повторно используемые группы — это коллекции удаленных IP-адресов и полных доменных имен, которые определяются один раз, а затем можно использовать с одним или несколькими профилями правил брандмауэра. Вам не нужно перенастраивать одну и ту же группу IP-адресов в каждом отдельном профиле, для чего они могут потребоваться.

Функции групп повторно используемых параметров:

• Добавьте один или несколько удаленных IP-адресов.

• Добавьте одно или несколько полных доменных имен, которые могут автоматически разрешаться в удаленный IP-адрес, или для одного или нескольких простых ключевых слов при отключении автоматического разрешения для группы.

• Используйте каждую группу параметров с одним или несколькими профилями правил брандмауэра, и разные профили могут поддерживать разные конфигурации доступа для группы.

  Например, можно создать два профиля правил брандмауэра, которые ссылаются на одну и ту же группу повторно используемых параметров, и назначить каждый профиль отдельной группе устройств. Первый профиль может блокировать доступ ко всем удаленным IP-адресам в группе повторно используемых параметров, а второй профиль можно настроить так, чтобы разрешить доступ.

• Изменения в используемой группе параметров автоматически применяются ко всем профилям правил брандмауэра, которые используют ее.

Исключения правил сокращения направлений атак на основе каждого правила

Теперь можно настроить исключения для отдельных правил для политик сокращения направлений атак. Исключения по каждому правилу включаются с помощью нового параметра ASR Only Per Rule Exclusions.

При создании или изменении политик правил уменьшения направлений атак и изменении параметра, поддерживающего исключения по умолчанию Не настроено ни на один из других доступных параметров, становится доступен новый параметр исключения для каждого параметра. Все конфигурации для этого экземпляра параметра исключений asr Only Per Rule применяются только к этому параметру.

Вы можете продолжить настройку глобальных исключений, которые применяются ко всем правилам сокращения направлений атаки на устройстве, используя параметр Исключения только для уменьшения направлений атаки.

Применимо к:

• Windows 10/11

Примечание.

Политики ASR не поддерживают функцию слияния для исключений asr Only Per Rule, и конфликт политик может возникнуть, когда несколько политик настраивают исключения только для каждого правила ASR для одного и того же конфликта устройств. Чтобы избежать конфликтов, объедините конфигурации исключений asr only per rule в одну политику ASR. Мы изучаем добавление слияния политик для исключений ASR только для каждого правила в будущем обновлении.

Предоставление приложениям разрешения на автоматическое использование сертификатов на устройствах Android Enterprise

Теперь вы можете настроить автоматическое использование сертификатов приложениями на устройствах Android Enterprise, зарегистрированных в качестве полностью управляемого, выделенного и Corporate-Owned рабочего профиля.

Эта возможность доступна на новой странице "Приложения" в рабочем процессе настройки профиля сертификата, задав для параметра Доступ к сертификату значение Предоставлять автоматически для определенных приложений (требуется утверждение пользователем для других приложений). При такой конфигурации выбираемые вами приложения автоматически используют сертификат. Все остальные приложения по-прежнему используют поведение по умолчанию, которое заключается в том, чтобы требовать утверждения пользователем.

Эта возможность поддерживает следующие профили сертификатов только для полностью управляемых, выделенных и Corporate-Owned рабочих профилей Android Enterprise:

• Производные учетные данные
• Импортированные стандарты шифрования с открытым ключом
• Стандарты шифрования с открытым ключом
• SCEP

Уведомления в приложении для Microsoft Intune приложения

Пользователи устройств Android с открытым исходным кодом Project (AOSP) теперь могут получать уведомления о соответствии в приложении Microsoft Intune. Эта возможность доступна только на пользовательских устройствах AOSP. Дополнительные сведения см. в разделе Уведомления о соответствии AOSP.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• MyITOps для Intune от MyITOps, Ltd
• MURAL — визуальная совместная работа от Tactivos, Inc

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Неделя с 17 октября 2022 г.

Управление приложениями

Расширенное средство выбора приложений для управляемых приложений на устройствах Android

Пользователи устройств Android могут выбирать, просматривать и удалять выбранные приложения по умолчанию в приложении Корпоративный портал Intune. Корпоративный портал безопасно сохраняет выбранные пользователем устройства варианты по умолчанию для управляемых приложений. Пользователи могут просматривать и удалять выбранные параметры в приложении Корпоративный портал, перейдя в раздел Параметры> Приложения >по умолчаниюПросмотреть значения по умолчанию. Эта функция является усовершенствованием настраиваемого средства выбора приложений Android для управляемых приложений, которое является частью пакета SDK для Android MAM. Дополнительные сведения о просмотре приложений по умолчанию см. в разделе Просмотр и изменение приложений по умолчанию.

Неделя с 10 октября 2022 г.

Управление устройствами

Изменение фирменной символики Microsoft Endpoint Manager

С 12 октября 2022 г. имя Microsoft Endpoint Manager больше не будет использоваться. В дальнейшем мы будем называть облачное единое управление конечными точками Microsoft Intune, а локальное управление — Microsoft Configuration Manager. С запуском расширенного управления Microsoft Intune — это название нашего растущего семейства продуктов для решений по управлению конечными точками корпорации Майкрософт. Дополнительные сведения см. в официальном объявлении в блоге Tech Community для управления конечными точками. Документация по удалению Microsoft Endpoint Manager продолжает вноситься в документацию.

Дополнительные сведения см. в документации по Intune.

Состояние льготного периода отображается в Windows Корпоративный портал

Windows Корпоративный портал теперь отображает состояние льготного периода для учета устройств, которые не соответствуют требованиям соответствия, но по-прежнему находятся в пределах заданного льготного периода. Пользователям отображается дата, к которой они должны стать совместимыми, и инструкции по их выполнению. Если пользователи не обновляют свое устройство к указанной дате, состояние устройства меняется на несоответствующее. Дополнительные сведения о настройке льготных периодов см . в разделах Настройка политик соответствия требованиям с действиями для несоответствия и Проверка доступа на странице Сведений об устройстве.

Управление устройствами Linux, доступное в Microsoft Intune

Microsoft Intune теперь поддерживает управление устройствами Linux для устройств под управлением Ubuntu Desktop 22.04 или 20.04 LTS. Intune администраторам не нужно ничего делать, чтобы включить регистрацию Linux в Центре администрирования Microsoft Intune. Пользователи Linux могут самостоятельно регистрировать поддерживаемые устройства Linux и использовать браузер Microsoft Edge для доступа к корпоративным ресурсам в Интернете.

В Центре администрирования можно:

• Применение политик условного доступа в Microsoft Edge.
• Create политику соответствия устройств Linux с правилами о:
  • Допустимые дистрибутивы
  • Пользовательское соответствие
  • Шифрование устройства
  • Политика паролей
• Примените настраиваемые параметры соответствия требованиям с помощью скриптов оболочки, совместимых с POSIX, для обнаружения и JSON-файлов, чтобы определить пользовательские параметры, которые вы хотите использовать.

Неделя с 3 октября 2022 г.

Безопасность устройства

Предупреждение о несоответствии содержит ссылку

В Удаленная помощь добавлена ссылка на уведомление о несоответствии требованиям Просмотр сведений о соответствии требованиям и позволяет помощнику узнать больше о том, почему устройство не соответствует требованиям в Microsoft Intune.

Дополнительные сведения см. в статьях:

• Microsoft Intune Удаленная помощь

• Мониторинг соответствия устройств

Область применения: Windows 10/11

Неделя с 26 сентября 2022 г.

Управление и устранение неполадок

Откройте справку и поддержку без потери контекста в Центре администрирования Microsoft Intune

Теперь вы можете использовать ? значок в центре администрирования Microsoft Intune, чтобы открыть сеанс справки и поддержки без потери текущего узла фокуса в Центре администрирования. Значок ? всегда доступен в правом верхнем углу строки заголовка Центра администрирования. Это изменение добавляет еще один способ доступа к справке и поддержке.

При выборе ?пункта Центр администрирования открывает представление справки и поддержки в новой отдельной параллельной области. Открыв эту отдельную панель, вы можете перейти в службу поддержки, не влияя на свое первоначальное расположение, и сосредоточиться на Центре администрирования.

Неделя с 19 сентября 2022 г. (выпуск службы 2209)

Управление приложениями

Новые типы приложений для Microsoft Intune

Администратор может создать и назначить два новых типа приложений Intune:

• Веб-клип iOS/iPadOS
• Веб-ссылка на Windows

Эти новые типы приложений работают аналогично существующему типу приложения веб-канала , однако они применяются только для конкретной платформы, в то время как приложения веб-канала применяются на всех платформах. С помощью этих новых типов приложений можно назначать группам, а также использовать фильтры назначений для ограничения область назначения. Эта функциянаходится в центре >администрирования Microsoft IntuneПриложения >Все приложения> Добавить.

Управление устройствами

Microsoft Intune прекращает поддержку Windows 8.1

Microsoft Intune прекращает поддержку устройств под управлением Windows 8.1 21 октября 2022 г. После этой даты техническая помощь и автоматические обновления, помогающие защитить устройства под управлением Windows 8.1, больше не будут доступны. Кроме того, так как сценарий загрузки неопубликованных приложений для бизнес-приложений применим только к Windows 8.1 устройствам, Intune больше не поддерживает Windows 8.1 загрузку неопубликованных приложений. Загрузка неопубликованных приложений — это установка, а затем запуск или тестирование приложения, которое не является cerified в Microsoft Store. В Windows 10/11 "загрузка неопубликованных приложений" — это просто настройка политики конфигурации устройства, включающая "Установка доверенного приложения". Дополнительные сведения см. в разделе Планирование изменений: прекращение поддержки Windows 8.1.

Число членов группы, видимое в назначениях

Теперь при назначении политик в Центре администрирования можно увидеть количество пользователей и устройств в группе. Наличие обоих счетчиков помогает определить нужную группу и понять влияние, которое оказывает назначение, прежде чем применить его.

Конфигурация устройства

Новое сообщение о экране блокировки при добавлении настраиваемых сведений о поддержке на устройства Android Enterprise

На устройствах Android Enterprise можно создать профиль конфигурации ограничений устройств, который отображает настраиваемое сообщение о поддержке на устройствах (Конфигурация>устройств>Create>Android Enterprise>Полностью управляемый, выделенный и корпоративный рабочий профиль для ограничений платформы> Устройства для типа > профиля Настраиваемые сведения о поддержке).

Вы можете настроить новый параметр:

• Сообщение на экране блокировки. Добавьте сообщение, которое отображается на экране блокировки устройства.

При настройке сообщения на экране блокировки можно также использовать следующие маркеры устройства для отображения сведений об устройстве:

• {{AADDeviceId}}: Microsoft Entra идентификатор устройства
• {{AccountId}}: Intune идентификатор клиента или идентификатор учетной записи
• {{DeviceId}}: Intune идентификатор устройства
• {{DeviceName}}: Intune имя устройства
• {{domain}}: доменное имя
• {{EASID}}: Идентификатор активной синхронизации Exchange
• {{IMEI}}: IMEI устройства
• {{mail}}: Email адрес пользователя
• {{MEID}}: MEID устройства
• {{partialUPN}}: префикс имени участника-пользователя перед символом @
• {{SerialNumber}}: серийный номер устройства
• {{SerialNumberLast4Digits}}: последние четыре цифры серийного номера устройства
• {{UserId}}: Intune идентификатор пользователя
• {{UserName}}: имя пользователя
• {{userPrincipalName}}: имя участника-пользователя

Примечание.

Переменные не проверяются в пользовательском интерфейсе и чувствительны к регистру. В результате могут появиться профили, сохраненные с неправильным вводом. Например, если ввести {{DeviceID}}{{deviceid}} вместо или {{DEVICEID}}, то вместо уникального идентификатора устройства отобразится строка литерала. Обязательно введите правильные сведения. Поддерживаются все переменные в нижнем или верхнем регистре, но не сочетание.

Дополнительные сведения об этом параметре см. в разделе Параметры устройства Android Enterprise, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• Android начиная с версии 7.0
• Полностью управляемые корпоративные устройства Android Enterprise
• Выделенные корпоративные устройства Android Enterprise
• Android Enterprise — корпоративный рабочий профиль

Фильтрация по область пользователя или устройству область в каталоге параметров для устройств Windows

При создании политики каталога параметров можно использовать команду Добавить параметры>Добавить фильтр для фильтрации параметров на основе выпуска ОС Windows (Конфигурация>устройств>Create Windows 10>и более поздних версий для каталога параметров платформы> для типа профиля).

При добавлении фильтра можно также отфильтровать параметры по область пользователя или область устройства.

Дополнительные сведения о каталоге параметров см. в разделе Использование каталога параметров для настройки параметров на устройствах Windows, iOS/iPadOS и macOS.

Применимо к:

• Windows 10
• Windows 11

Платформа Android Open Source Project (AOSP) является общедоступной

Microsoft Intune управление корпоративными устройствами, работающими на платформе Android Open Source Project (AOSP), теперь является общедоступным. Эта функция включает полный набор возможностей, доступных в рамках общедоступной предварительной версии.

В настоящее время Microsoft Intune поддерживает только новый вариант управления Android (AOSP) для устройств RealWear.

• Руководство по развертыванию средств управления устройствами Android в Microsoft Intune
• Руководство по развертыванию: регистрация устройств Android в Microsoft Intune

Применимо к:

• Android Open Source Project (AOSP)

Интерфейс конфигурации встроенного ПО устройства (DFCI) теперь поддерживает устройства Acer

Для устройств Windows 10/11 можно создать профиль DFCI для управленияпараметрами UEFI (BIOS) (Конфигурация >устройств>Create Windows 10>и более поздних версий дляинтерфейса конфигурации встроенного ПОплатформы>> для типа профиля).

Новые устройства Acer под управлением Windows 10/11 будут включены для DFCI в конце 2022 года. Таким образом, администраторы могут создавать профили DFCI для управления BIOS, а затем развертывать профили на этих устройствах Acer.

Обратитесь к поставщику устройства или производителю устройства, чтобы получить соответствующие устройства.

Дополнительные сведения о профилях DFCI в Intune см. в статье Использование профилей конфигурации встроенного ПО устройства (DFCI) на устройствах Windows в Microsoft Intune.

Применимо к:

• Windows 10
• Windows 11

Новые параметры, доступные в каталоге параметров iOS/iPadOS и macOS

В каталоге параметров перечислены все параметры, которые можно настроить в политике устройства, и все в одном месте.

В каталоге параметров доступны новые параметры. В центре администрирования Microsoft Intune эти параметры можно просмотреть в разделеКонфигурация>устройств>Create>iOS/iPadOS или macOS для платформы >Каталог параметров для типа профиля.

Новые параметры включают:

Счета > LDAP:

• Описание учетной записи LDAP
• Имя узла учетной записи LDAP
• Пароль учетной записи LDAP
• Использование SSL учетной записи LDAP
• Имя пользователя учетной записи LDAP
• Параметры Поиск LDAP

Применимо к:

• iOS/iPadOS
• macOS

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Конфиденциальности > Элемент управления политикой параметров конфиденциальности:

• Специальные возможности
• Адресная книга
• События Apple
• Календарь
• Камера
• Присутствие поставщика файлов
• Событие Listen
• Библиотека мультимедиа
• Микрофон
• Фотографии
• Событие post
• Reminders
• Снимок экрана
• Распознавание речи
• Системная политика Все файлы
• Папка "Системная политика рабочего стола"
• Папка "Документы системной политики"
• Папка загрузки системной политики
• Тома сети политики системы
• Съемные тома системной политики
• Файлы системной политики sys Администратор

Применимо к:

• macOS

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Регистрация устройства

Настройка уведомлений о регистрации (общедоступная предварительная версия)

Уведомления о регистрации информируют пользователей устройств по электронной почте или push-уведомления о регистрации нового устройства в Microsoft Intune. Уведомления о регистрации можно использовать в целях безопасности. Они могут уведомлять пользователей и помогать им сообщать об устройствах, зарегистрированных по ошибке, или общаться с сотрудниками во время процесса найма или адаптации. Уведомления о регистрации доступны в общедоступной предварительной версии для устройств с Windows, Apple и Android. Эта функция поддерживается только методами регистрации, управляемыми пользователем.

Безопасность устройств

Назначение политик соответствия группе "Все устройства"

Теперь доступен параметр Все устройства для назначений политик соответствия . С помощью этого параметра можно назначить политику соответствия всем зарегистрированным устройствам в организации, которые соответствуют платформе политики. Вам не нужно создавать группу Microsoft Entra, содержащую все устройства.

При включении группы Все устройства можно исключить отдельные группы устройств для дальнейшего уточнения назначения область.

Trend Micro — новый партнер по защите мобильных угроз

Теперь вы можете использовать Trend Micro Mobile Security как услугу в качестве партнера по интегрированной защите от угроз на мобильных устройствах (MTD) с Intune. Настроив соединитель Trend MTD в Intune, вы можете управлять доступом мобильных устройств к корпоративным ресурсам с помощью условного доступа, основанного на оценке рисков.

Дополнительные сведения см. в указанных ниже статьях.

• Интеграция MTD с Intune

Состояние льготного периода отображается на веб-сайте Корпоративный портал Intune

На веб-сайте Корпоративный портал Intune теперь отображается состояние льготного периода для учета устройств, которые не соответствуют требованиям к соответствию, но по-прежнему находятся в пределах заданного льготного периода. Пользователям отображается дата, к которой они должны стать совместимыми, и инструкции по их выполнению. Если устройство не обновляется к указанной дате, его состояние меняется на несоответствующее. Дополнительные сведения о настройке льготных периодов см. в разделе Настройка политик соответствия требованиям с помощью действий при несоответствии.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• RingCentral для Intune от RingCentral, Inc.
• MangoApps, Work from Anywhere by MangoSpring, Inc.

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Неделя с 12 сентября 2022 г.

Управление устройствами

Intune теперь требуется iOS/iPadOS 14 и более поздней версии

С выпуском Apple iOS/iPadOS 16 Microsoft Intune и Корпоративный портал Intune теперь потребуется iOS/iPadOS 14 и более поздних версий. Дополнительные сведения см. в статье Поддерживаемые операционные системы и браузеры в Intune.

Intune теперь требуется macOS 11.6 и более поздних версий

С выпуском apple macOS 13 Ventura Microsoft Intune, приложению Корпоративный портал и агенту MDM Intune теперь потребуется macOS 11.6 (Big Sur) и более поздних версий. Дополнительные сведения см. в статье Поддерживаемые операционные системы и браузеры в Intune.

Неделя с 5 сентября 2022 г.

Управление устройствами

версия Удаленная помощь: 4.0.1.13

В Удаленная помощь 4.0.1.13 были введены исправления для решения проблемы, которая не позволяла пользователям одновременно открывать несколько сеансов. Эти исправления также устраняли проблему, из-за которой приложение запускалось без фокуса, и не позволяло работать при запуске с помощью клавиатуры и средств чтения с экрана.

Дополнительные сведения см. в статье Использование Удаленная помощь с Intune и Microsoft Intune

Неделя с 29 августа 2022 г.

Управление приложениями

Обновлен пакет SDK для приложений Microsoft Intune для Android

Обновлено руководство разработчика по пакету SDK для приложений Intune для Android. Обновленное руководство содержит следующие этапы:

• Планирование интеграции
• Предварительные требования к MSAL
• Начало работы с MAM
• Основные компоненты интеграции MAM
• Несколько удостоверений
• Конфигурация приложений
• Функции участия в приложениях

Дополнительные сведения см. в разделе пакет SDK для приложений Intune для Android.

Неделя с 22 августа 2022 г.

Управление устройствами

Использование Intune управления доступом на основе ролей (RBAC) для подключенных к клиенту устройств

Теперь вы можете использовать Intune управление доступом на основе ролей (RBAC) при взаимодействии с подключенными к клиенту устройствами из Центра администрирования Microsoft Intune. Например, при использовании Intune в качестве центра управления доступом на основе ролей пользователю с ролью оператора службы технической поддержки Intune не требуется назначенная роль безопасности или другие разрешения от Configuration Manager. Дополнительные сведения см. в разделе Intune управления доступом на основе ролей для клиентов, подключенных к клиенту.

Неделя с 15 августа 2022 г. (выпуск службы 2208)

Управление приложениями

Обнаружение надежных биометрических изменений Android

В Intune, который позволяет конечному пользователю использовать проверку подлинности по отпечатку пальца, а не ПИН-коду, изменяется. Это изменение позволяет требовать, чтобы конечные пользователи устанавливали надежные биометрические данные. При обнаружении изменений в строгой биометрии можно потребовать от пользователей подтвердить ПИН-код политики защиты приложений (APP). Политики защиты приложений Android можно найти в Центре администрирования Microsoft Intune, выбрав Приложения>защита приложений политики>Create политика>Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android в Microsoft Intune.

Сведения о несоответствии, доступные для Android (AOSP) в приложении Microsoft Intune

Пользователи Android (AOSP) могут просматривать причины несоответствия в приложении Microsoft Intune. Эти сведения описывают, почему устройство помечено как несоответствующее. Эти сведения доступны на странице Сведения об устройстве для устройств, зарегистрированных в качестве устройств Android, связанных с пользователем (AOSP).

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Nexis Newsdesk Mobile от LexisNexis
• Мой портал от MangoApps (Android)
• Re:Work Enterprise от 9Folders, Inc.

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Регистрация устройства

Настройка регистрации с нуля в Центре администрирования Microsoft Intune

Теперь вы можете настроить регистрацию Android с нуля в центре администрирования Microsoft Intune. Эта функция позволяет связать учетную запись нулевого касания с Intune, добавить сведения о поддержке, настроить устройства с поддержкой нулевого касания и настроить дополнительные возможности подготовки. Дополнительные сведения о включении нулевого касания из Центра администрирования см. в разделе Регистрация с помощью Google Zero Touch.

Управление устройствами

Пользовательские параметры для соответствия устройств Windows 10/11 теперь общедоступны

Общедоступна поддержка следующих пользовательских функций:

• Create настраиваемые параметры политики соответствия требованиям для устройств Windows с помощью сценариев PowerShell.
• Create настраиваемые правила соответствия требованиям и сообщения об исправлении, отображаемые в приложении Корпоративный портал.

Применимо к:

• Windows 10/11

Просмотр содержимого скриптов оболочки macOS и пользовательских атрибутов

Содержимое скриптов оболочки macOS и настраиваемых атрибутов можно просмотреть после отправки скриптов в Intune. Скрипты оболочки и настраиваемые атрибуты можно просмотреть в центре администрирования Microsoft Intune, выбрав Устройства>macOS. Дополнительные сведения см. в статье Использование сценариев оболочки на устройствах macOS в Intune.

Сброс удаленного действия секретного кода, доступного для корпоративных устройств Android (AOSP)

Вы можете использовать удаленное действие Сброс секретного кода из Центра администрирования Microsoft Intune для корпоративных устройств Android Open Source Project (AOSP).

Сведения об удаленных действиях см. в разделе:

• Сброс или удаление секретного кода устройства в Intune
• Удаленный перезапуск устройств с помощью Intune
• Удаленная блокировка устройств с помощью Intune

Применимо к:

• Android Open Source Project (AOSP)

Конфигурация устройства

Поддержка профилей сертификатов для устройств Android (AOSP)

Теперь вы можете использовать профили сертификатов SCEP на корпоративных устройствах и устройствах без пользователей, на платформе Android Open Source Project (AOSP).

Импорт, создание пользовательских административных шаблонов ADMX и ADML и управление ими

Вы можете создать политику конфигурации устройств, которая использует встроенные шаблоны ADMX. В центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Create>Windows 10 и более поздних версий для административных шаблонов> платформы>.

Вы также можете импортировать пользовательские и сторонние или партнерские шаблоны ADMX и ADML в центр администрирования Intune. После импорта можно создать политику конфигурации устройств, назначить ее устройствам и управлять параметрами в политике.

Дополнительные сведения см. по следующим причинам:

• Импорт пользовательских административных шаблонов ADMX и ADML в Intune
• Обзор. Используйте шаблоны Windows 10/11 для настройки параметров групповой политики в Microsoft Intune.

Применимо к:

• Windows 11
• Windows 10

Добавление прокси-сервера HTTP для Wi-Fi профилей конфигурации устройств в Android Enterprise

На устройствах Android Enterprise можно создать Wi-Fi профиль конфигурации устройства с базовыми и корпоративными параметрами. В центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Create>Андроид корпоративный>полностью управляемый, выделенный и Corporate-Owned рабочий профиль для платформы >Wi-Fi.

При создании профиля можно настроить прокси-сервер HTTP с помощью PAC-файла или настроить параметры вручную. Прокси-сервер HTTP можно настроить для каждой Wi-Fi сети в организации.

Когда профиль будет готов, его можно развернуть на устройствах с полностью управляемым, выделенным и Corporate-Owned рабочим профилем.

Дополнительные сведения о параметрах Wi-Fi, которые можно настроить, см. в статье Добавление Wi-Fi параметров для выделенных и полностью управляемых устройств Android Enterprise в Microsoft Intune.

Применимо к:

• Полностью управляемые, выделенные и корпоративные устройства Android Enterprise с рабочим профилем

Каталог параметров iOS/iPadOS поддерживает декларативное управление устройствами (DDM)

На устройствах iOS/iPadOS 15+, зарегистрированных с помощью регистрации пользователей, каталог параметров автоматически использует декларативное управление устройствами Apple (DDM) при настройке параметров.

• Для использования DDM никаких действий не требуется. Функция встроена в каталог параметров.
• Это не влияет на существующие политики в каталоге параметров.
• Устройства iOS/iPadOS, которые не включены для DDM, по-прежнему используют стандартный протокол MDM Apple.

Дополнительные сведения см. в статьях:

• Знакомство с декларативным управлением устройствами (откроется веб-сайт Apple)
• Корпорация Майкрософт упрощает Intune регистрацию обновлений Apple
• Использование каталога параметров для настройки параметров на устройствах с Windows, iOS/iPadOS и macOS

Применимо к:

• Устройства iOS/iPadOS 15 или более поздней версии, зарегистрированные с помощью регистрации пользователей Apple

Новые параметры macOS, доступные в каталоге параметров

В каталоге параметров перечислены все параметры, которые можно настроить в политике устройства, и все в одном месте. Новые параметры доступны в каталоге параметров. В центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля.

Новые параметры включают:

Функция автоматического обновления (Майкрософт):

• Актуальный канал
• Количество минут для таймера окончательного отсчета

Ограничения:

• Разрешить универсальное управление

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Проверки подлинности > Расширяемые Единый вход:

• Данные расширения
• Идентификатор расширения
• Hosts
• Realm
• Поведение блокировки экрана
• Идентификатор группы
• Тип
• URL-адреса

Проверки подлинности > Расширяемые Единый вход > Расширяемые Единый вход Kerberos:

• Данные расширения
• Разрешить автоматический вход
• Разрешить изменение пароля
• Список ACL идентификатора пакета учетных данных
• Режим использования учетных данных
• Пользовательская метка имени пользователя
• Задержка настройки пользователя
• Сопоставление доменных областей
• Текст справки
• Включение приложений Kerberos в список ACL идентификатора пакета
• Включение управляемых приложений в список ACL идентификатора пакета
• Область по умолчанию
• Мониторинг кэша учетных данных
• Выполнение только Kerberos
• Предпочитаемые KDCs
• Имя участника
• URL-адрес изменения пароля
• Дни уведомлений по паролю
• Сложность повторного ввода пароля
• Журнал повторов паролей
• Длина параметра req password
• Минимальный срок действия пароля
• Текст повторного ввода пароля
• Требовать TLS для LDAP
• Требовать присутствие пользователя
• Код сайта
• Синхронизация локального пароля
• Использование автоматического обнаружения сайтов
• Идентификатор расширения
• Hosts
• Realm
• Идентификатор группы
• Тип

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Применимо к:

• macOS

Новые параметры iOS/iPadOS в каталоге параметров

В каталоге параметров перечислены все параметры, которые можно настроить в политике устройства, и все в одном месте. В каталоге параметров доступны новые параметры iOS/iPadOS. В центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Create>iOS/iPadOS для каталога параметров платформы> для типа профиля. Ранее эти параметры были доступны только в шаблонах:

Проверки подлинности > Расширяемые Единый вход:

• Данные расширения
• Идентификатор расширения
• Hosts
• Realm
• Поведение блокировки экрана
• Идентификатор группы
• Тип
• URL-адреса

Проверки подлинности > Расширяемые Единый вход > Расширяемые Единый вход Kerberos:

• Данные расширения
• Разрешить автоматический вход
• Список ACL идентификатора пакета учетных данных
• Сопоставление доменных областей
• Текст справки
• Включение управляемых приложений в список ACL идентификатора пакета
• Область по умолчанию
• Предпочитаемые KDCs
• Имя участника
• Требовать присутствие пользователя
• Код сайта
• Использование автоматического обнаружения сайтов
• Идентификатор расширения
• Hosts
• Realm
• Идентификатор группы
• Тип

Конфигурация > системы Сообщение о экране блокировки:

• Сведения о теге ресурса
• Сноска на экран блокировки

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Применимо к:

• iOS/iPadOS

Управление и устранение неполадок

Отчет о новых несоответствующих устройствах и параметрах

В разделе Отчеты>осоответствии> устройств есть новый отчет о несоответствующей организации устройств и параметров. Этот отчет:

• Списки каждое несоответствующее устройству.
• Для каждого несоответствующего устройства отображаются параметры политики соответствия, которым не соответствуют устройства.

Дополнительные сведения об этом отчете см. в статье Отчет о несоответствии устройств и параметров (организация).

Неделя с 1 августа 2022 г.

Безопасность устройств

Отключение использования UDP-подключений на серверах шлюза Microsoft Tunnel

Теперь вы можете отключить использование UDP на серверах Microsoft Tunnel. При отключении использования UDP VPN-сервер поддерживает только TCP-подключения от клиентов туннеля. Для поддержки использования только TCP-подключений устройства должны использовать общедоступную версию Microsoft Defender для конечной точки в качестве клиентского приложения Microsoft Tunnel как клиентское приложение туннеля.

Чтобы отключить UDP, создайте или измените конфигурацию сервера для шлюза Microsoft Tunnel и установите флажок для нового параметра Отключить UDP-подключения.

Управление приложениями

Корпоративный портал для массовой установки приложений Windows

Теперь Корпоративный портал для Windows позволяет выбирать несколько приложений и выполнять массовую установку. На вкладке Приложения Корпоративного портала для Windows нажмите кнопку представления с множественным выбором в правом верхнем углу страницы. Затем установите флажок рядом с каждым приложением, которое необходимо установить. Нажмите кнопку Установить выбранные, чтобы начать установку. Все выбранные приложения устанавливаются одновременно, не требуя от пользователей щелкать каждое приложение правой кнопкой мыши или переходить на страницу каждого приложения. Дополнительные сведения см. в разделах Установка приложений и предоставление общего доступа к ним на устройстве и Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Неделя с 25 июля 2022 г. (выпуск службы 2207)

Управление устройствами

Инициируйте проверки соответствия для своих устройств AOSP из приложения Microsoft Intune.

Теперь вы можете инициировать проверку соответствия для своих устройств AOSP из приложения Microsoft Intune. Перейдите в Сведения об устройстве. Эта возможность доступна на устройствах, зарегистрированных через приложение Microsoft Intune как связанные с пользователем (Android) устройства AOSP.

Мониторинг состояния условного депонирования начальной загрузки на Mac

Отслеживайте состояние депонирования маркера начальной загрузки для зарегистрированного компьютера Mac в Центре администрирования Microsoft Intune. Новое свойство оборудования в Intune, которое называется Bootstrap token escrowed, сообщает, депонирован ли маркер начальной загрузки в Intune. Дополнительные сведения о поддержке токенов начальной загрузки для macOS см. в разделе Маркеры начальной загрузки.

Включить режим Common Criteria для устройств Android Enterprise

Для устройств Android Enterprise вы можете использовать новый параметр, режим Common Criteria, чтобы включить повышенный набор стандартов безопасности, обычно используемых только очень конфиденциальными организациями, такими как государственные учреждения.

Применимо к:

• Android начиная с версии 5.0
• Полностью управляемые корпоративные устройства Android Enterprise
• Выделенные корпоративные устройства Android Enterprise
• Android Enterprise — корпоративный рабочий профиль

Новый параметр режим Common Criteria находится в категории безопасности системы при настройке шаблона ограничений устройств для Android Enterprise — полностью управляемого, выделенного и корпоративного рабочего профиля.

Устройства, которые получают политику с режимом Common Criteria, установленным на Require, компоненты повышенной безопасности, включающие, но не ограничивающиеся:

• Шифрование AES-GCM для долгосрочных ключей Bluetooth
• Хранилища конфигурации Wi-Fi
• Блокирует режим скачивания загрузчика, ручной метод обновления программного обеспечения
• Предписывает дополнительное обнуление ключа при удалении ключа
• Предотвращает соединения Bluetooth не прошедшие проверку подлинности
• Требуется, чтобы обновления FOTA имели 2048-битную подпись RSA-PSS.

Подробнее об общих критериях:

• Common Criteria для оценки безопасности информационных технологий на commoncriteriaportal.org
• CommonCriteriaMode в документации по Android Management API
• Knox Deep Dive: Common Criteria Mode на samsungknox.com

Доступны новые сведения об оборудовании для отдельных устройств, работающих на iOS/iPadOS и macOS.

В центре администрирования Microsoft Intune выберите Устройства>Все устройства>выберите одно из перечисленных устройств и откройте сведения об оборудовании. В области Оборудование отдельных устройств доступны следующие новые подробности:

• Название продукта: отображает название продукта устройства, например iPad8,12. Доступно для устройств iOS/iPadOS и macOS.

Дополнительные сведения см. в статье Просмотр сведений об устройстве с помощью Microsoft Intune.

Применимо к:

• iOS и iPadOS, macOS

версия Удаленная помощь: выпуск 4.0.1.12

В Удаленная помощь 4.0.1.12 были введены различные исправления для устранения сообщения "Повторите попытку позже", которое появляется, когда не прошли проверку подлинности. Исправления также включают улучшенную возможность автоматического обновления.

Дополнительные сведения см. в статье Использование Удаленная помощь с Intune

Регистрация устройства

Intune поддерживает вход с другого устройства во время iOS/iPadOS и помощника по настройке macOS с современной проверкой подлинности

Пользователи, проходящие автоматическую регистрацию устройств (ADE), теперь могут пройти проверку подлинности, выполнив вход с другого устройства. Этот параметр доступен для устройств iOS/iPadOS и macOS, зарегистрированных с помощью помощника по настройке с современной проверкой подлинности. Экран с запросом на вход пользователей устройства с другого устройства внедрен в помощник по настройке и отображается во время регистрации. Дополнительные сведения о входе пользователей см. в [Get the Intune Company Portal app (../user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device).

Обнаружение и управление аппаратными изменениями на устройствах Windows Autopilot

Microsoft Intune теперь будет предупреждать вас, когда обнаружит изменение оборудования на устройстве, зарегистрированном в Autopilot. Вы можете просматривать и управлять всеми затронутыми устройствами в центре администрирования. Кроме того, вы можете удалить затронутое устройство из Windows Autopilot и зарегистрировать его снова, чтобы учесть изменение оборудования.

Конфигурация устройства

Новые параметры автоматического обновления (MAU) для macOS в каталоге параметров

Каталог параметров поддерживает параметры для автоматического обновления Майкрософт (MAU) (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля).

Теперь доступны следующие параметры:

Функция автоматического обновления (Майкрософт):

• Автоматически подтверждать политику сбора данных
• Дней до принудительного обновления
• Отложенные обновления
• Отключить участие в программе предварительной оценки Office
• Включить функцию автоматического обновления
• Включить проверку обновлений
• Включить расширенное ведение журнала событий
• Регистрировать приложения при запуске
• Обновление кэш-сервера
• Ветвь обновлений
• Частота проверки обновлений (мин)
• Техническая оптимизация обновления

Эти параметры можно использовать для настройки предпочтений для следующих приложений:

• Корпоративный портал
• Функция автоматического обновления (Майкрософт)
• Microsoft Defender
• ATP в Защитнике Windows
• Microsoft Edge
• Microsoft Edge Beta
• Microsoft Edge Canary
• Microsoft Edge Dev
• Microsoft Excel
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Удаленный рабочий стол (Майкрософт)
• Microsoft Teams
• Microsoft Word
• OneDrive
• Skype для бизнеса

Дополнительные сведения о каталоге параметров см. по следующему разделу:

• Задачи, которые можно выполнить с помощью каталога параметров Intune
• Создание политики с помощью каталога параметров в Microsoft Intune

Дополнительные сведения о параметрах функции автоматического обновления (Майкрософт) доступных для настройки, см. по адресу:

• Управление средствами контроля конфиденциальности в Office для Mac с помощью параметров.
• Установка крайнего срока для обновлений из решения "автоматическое обновление (Майкрософт)"

Применимо к:

• macOS

Новые параметры iOS/iPadOS в каталоге параметров

В каталоге параметров перечислены все параметры, которые можно настроить в политике устройства, и все в одном месте. В каталоге параметров доступны новые параметры iOS/iPadOS (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Каталог параметров для типа профиля).

Новые параметры включают:

Сети > Сотовая связь:

• Разрешенная маска протокола
• Разрешенная маска протокола во внутреннем роуминге
• Разрешенная маска протокола в роуминге
• Тип проверки подлинности
• Имя
• Password
• Порт прокси-сервера
• Прокси-сервер
• Username

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Взаимодействие с пользователем > Уведомления:

• Тип группировки
• Тип предварительного просмотра
• Показать в Car Play

Печати > Air Print:

• Принудительное применение протокола TLS
• Порт

Управление приложениями > Блокировка приложения:

• Отключить автоматическую блокировку
• Отключить поворот устройства
• Отключить переключатель звонка
• Отключить кнопку спящий режим
• Отключить сенсорный экран
• Отключить кнопки громкости
• Включить сенсорный экран
• Включить инверсию цвета
• Включить монозвук
• Включить выбор возможности "Проговорить"
• Включить голосовое управление
• Включить закадровый голос
• Включить масштаб
• Сенсорный экран
• Инвертировать цвета
• Голосовое управление
• Закадровый голос
• Масштабирование

Сети > Домены:

• Домен автоматического заполнения пароля Safari

Сети > Правила использования сети:

• Правила приложений
• Разрешить использование мобильных данных
• Разрешить передачу данных в роуминге
• Сопоставления идентификатора приложения

Ограничения:

• Разрешить изменение учетной записи
• Разрешить продолжение действий
• Разрешить добавление друзей из Game Center
• Разрешить AirDrop
• Разрешить Air Print
• Разрешить хранение учетных данных Air Print
• Разрешить Air Print iBeacon Discovery
• Разрешить изменение мобильных данных приложения
• Разрешить App Clips
• Разрешить установку приложения
• Разрешить удаление приложения
• Разрешить персонализированную рекламу Apple
• Разрешить помощник
• Разрешить настраиваемое содержимое помощника
• Разрешить помощник во время блокировки
• Разрешить автоматическое исправление
• Разрешить автоматическую разблокировку
• Разрешить автоматическую загрузку приложений
• Разрешить изменение Bluetooth
• Разрешить Bookstore
• Разрешить Bookstore Erotica
• Разрешить камеру
• Разрешить изменение тарифного плана мобильной сети
• Разрешить чат
• Разрешить резервное копирование в облаке
• Разрешить синхронизацию облачных документов
• Разрешить синхронизацию облачных брелков
• Разрешить облачную библиотеку фотографий
• Разрешить частный узел в облаке
• Разрешить клавиатуру с непрерывным вводом
• Разрешить поиск определений
• Разрешить изменение имени устройства
• Разрешить отправку диагностики
• Разрешить изменение отправки диагностики
• Разрешить диктовку
• Разрешить включать ограничения
• Разрешить доверять корпоративным приложениям
• Блокировать резервное копирование книги предприятия.
• Блокировать синхронизацию метаданных книги предприятия.
• Разрешить стирание информации и параметров
• Разрешить изменение ESIM
• Разрешить явное содержимое
• Разрешить доступ к сетевому диску файлов
• Разрешить доступ к USB-накопителю файлов
• Разрешить поиск устройства
• Блокировать функцию "Найти моих друзей"
• Разрешить изменение функции "Найти моих друзей"
• Разрешить отпечаток пальца для разблокировки
• Разрешить изменение отпечатков пальцев
• Разрешить Game Center
• Разрешить глобальную фоновую выборку при роуминге
• Разрешить сопряжение узлов
• Разрешить покупки в приложении
• Разрешить iTunes
• Разрешить сочетания клавиш
• Разрешить перечисленные идентификаторы пакета приложений
• Разрешить центр управления экраном блокировки
• Разрешить просмотр уведомлений на экране блокировки
• Разрешить просмотр экрана блокировки сегодня
• Разрешить защиту конфиденциальности почты
• Разрешить облачную синхронизацию управляемых приложений
• Разрешить управляемым запись неуправляемых контактов
• Разрешить многопользовательские игры
• Разрешить службу музыки
• Разрешить новости
• Разрешить NFC
• Разрешить изменение уведомлений
• Разрешить открытие из управляемых в неуправляемых
• Разрешить открытие из неуправляемых в управляемых
• Разрешить обновления OTAPKI
• Разрешить парные часы
• Разрешить Passbook при блокировке
• Разрешить изменение пароля
• Разрешить автоматическое заполнение пароля
• Разрешить запросы близкого взаимодействия пароля
• Разрешить общий доступ к паролям
• Разрешить изменение личных хот-спотов
• Разрешить потоковую передачу фотографий
• Разрешить подкасты
• Разрешить интеллектуальную клавиатуру
• Разрешить настройку близкого расположения к новому устройству
• Разрешить службу радиосвязи
• Разрешить удаленное наблюдение за экраном
• Разрешить Safari
• Разрешить снимок экрана
• Разрешить временный сеанс общего устройства
• Разрешить общий поток
• Разрешить проверку орфографии
• Разрешить результаты поиска в Интернете в разделе "Важное"
• Разрешить удаление системных приложений
• Разрешить установку приложения пользовательского интерфейса
• Разрешить установку профиля конфигурации пользовательского интерфейса
• Разрешить неуправляемым чтение управляемых контактов
• Разрешить непарную внешнюю загрузку для восстановления
• Разрешить недостоверные запросы TLS
• Разрешить ограниченный режим USB
• Разрешить проведение видеоконференций
• Разрешить голосовой набор
• Разрешить создание VPN
• Разрешить изменение обоев
• Разрешенные идентификаторы приложений в автономном режиме одного приложения
• Идентификаторы заблокированных пакетов приложений
• Задержка принудительного обновления программного обеспечения
• Принудительный запуск неуправляемого Air Drop
• Требовать пароль для сопряжения исходящих запросов AirPlay
• Требование принудительной печати Air Print доверенного TLS
• Принудительный фильтр ненормативной лексики помощника
• Принудительная проверка подлинности перед автозаполнением
• Принудительно автоматическая установка даты и времени
• Принудительно автоматически присоединяться к занятиям в Classroom
• Принудительно запрашивать разрешение на доступ к классам
• Принудительно блокировать незащищенные приложения и устройства в Classroom
• Принудительно выполнять отложенные обновления программного обеспечения
• Принудительное шифрование резервного копирования
• Принудительный ввод пароля в iTunes Store
• Принудительное ограничение отслеживания рекламы
• Принудительная диктовка только на устройстве
• Принудительный перевод только на устройстве
• Принудительное обнаружение функции Wrist Detection.
• Принудительное включение питания Wi-Fi
• Принудительно использовать WiFi только в разрешенных сетях
• Требовать управляемую панель вставки
• Принимать файлов Cookie Safari
• Разрешить автозаполнение в Safari
• Разрешить JavaScript в Safari
• Разрешить всплывающие окна Safari
• Принудительное предупреждение Safari о мошенничестве

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Создание политики с помощью каталога параметров.

Применимо к:

• iOS/iPadOS

Новые параметры macOS, доступные в каталоге параметров

В каталоге параметров перечислены все параметры, которые можно настроить в политике устройства, и все в одном месте. Новые параметры доступны в каталоге параметров (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля).

Новые параметры включают:

Конфигурация > системы Системные расширения:

• Съемные системные расширения

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Конфигурация > системы Системные расширения:

• Разрешить переопределения пользователей
• Разрешенные типы системных расширений
• Разрешенные системные расширения
• Разрешенные идентификаторы команд

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в разделе Create политики с помощью каталога параметров.

Применимо к:

• macOS

Новая функция поиска в предварительных версиях устройств при создании фильтра

В центре администрирования Microsoft Intune можно создавать фильтры, а затем использовать их при назначении приложений и политик (фильтры>устройств>Create).

При создании фильтра можно выбрать Предпросмотр устройств чтобы увидеть список зарегистрированных устройств, соответствующих условиям фильтра. В разделе Предпросмотр устройств можно также искать по списку, используя имя устройства, версию ОС, модель устройства, производителя устройства, основное имя основного пользователя и идентификатор устройства.

Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.

Неделя с 18 июля 2022 г.

Управление устройствами

Новые средства просмотра событий для отладки проблем WMI

Удаленное действие Intune по сбору диагностика было расширено для сбора сведений о проблемах с приложением инструментария управления Windows (WMI).

Новые средства просмотра событий включают:

• Microsoft-Windows-WMI-Activity/Operational
• Microsoft-Windows-WinRM/Operational

Дополнительные сведения о диагностике устройств с Windows см. в разделе Сбор диагностики с устройства Windows.

Неделя с 4 июля 2022 г.

Управление устройствами

Оценки для каждой модели устройства в аналитике конечных точек

Аналитика конечных точек теперь отображает оценки по модели устройства. Эти оценки помогают администраторам контекстуализировать взаимодействие с пользователем на разных моделях устройств в среде. Оценки для каждой модели и для каждого устройства доступны во всех отчетах аналитики конечных точек, включая отчет Работа отовсюду.

Управление и устранение неполадок

Используйте сбор диагностики для сбора сведений об ускоренных обновлениях Windows.

Удаленное действие Intune по сбору диагностика теперь собирает дополнительные сведения о ускоряемых обновлениях Windows, развертываемых на устройствах. Эти сведения могут быть полезны при устранении неполадок, связанных с ускоренными обновлениями.

Новые данные, которые собираются, включают:

• Файлы: C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
• Ключи реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate

Неделя, которая начинается с 27 июня 2022 г. (выпуск службы 2206)

Управление приложениями

Корпоративные политики обратной связи для интернет-портала организации

Параметры обратной связи теперь доступны для решения политик обратной связи Microsoft 365 enterprise для вошедшего в систему пользователя через Центр администрирования Приложения Microsoft 365. С помощью этих параметров можно определить, следует ли включать обратную связь для пользователя. Дополнительные сведения см. в статье Настройка параметров отзывов для Корпоративного портала и приложений Microsoft Intune.

Политики защиты приложений с выделенными устройствами Android Enterprise и устройствами Android (AOSP)

Intune управляемые выделенные устройства Android Enterprise, зарегистрированные на устройствах Microsoft Entra ID общего режима и Android (AOSP), теперь могут получать политики защиты приложений и могут быть предназначены отдельно от других типов устройств Android. Дополнительные сведения см. в статье Добавление приложений корпоративного Google Play на устройства Android Enterprise с помощью Intune. Дополнительные сведения о выделенных устройствах Android Enterprise и Android (AOSP) см. на странице выделенных устройств Android Enterprise.

Безопасность устройств

Пользователи, которым назначена роль администратора диспетчера безопасности конечных точек, могут изменять параметры соединителя защиты от угроз на мобильных устройствах

Мы обновили разрешения встроенной роли администратора Endpoint Security Manager . Теперь разрешение этой роли на Изменение для категории защита от угроз на мобильных устройствах имеет значение Да. Благодаря этому пользователи, которым назначена эта роль, могут менять параметры соединителя защиты от угроз на мобильных устройствах (соединителя MTD) для вашего клиента. Ранее этому разрешению было задано значение Нет.

Если вы пропустили предыдущее уведомление об этом запланированном изменении, сейчас самое время проверить, кому из пользователей назначена роль диспетчера безопасности конечной точки для вашего клиента. Если у кого-либо не должно быть разрешений на изменение параметров соединителя MTD, обновите разрешения ролей или создайте настраиваемую роль , которая включает только разрешения на чтение для Mobile Threat Defense.

Просмотрите полный список разрешений для встроенной роли диспетчера безопасности конечных точек.

Улучшенная поддержка профилей сертификатов для полностью управляемых устройств Android Enterprise

Мы улучшили поддержку профилей сертификатов PKCS и SCEP для полностью управляемых устройств Android Enterprise (владелец устройства). Теперь в сертификатах для этих устройств можно использовать переменную ИД устройства Intune, CN={{DeviceID}}, в качестве альтернативного имени субъекта (SAN).

Конфигурация устройства

Поддержка профилей сертификатов для устройств Android (AOSP)

Теперь вы можете использовать следующие профили сертификатов с корпоративными устройствами и устройствами без пользователей под управлением платформы Android Open Source Project (AOSP):

• Профиль доверенного сертификата
• Профиль сертификата PKCS

Новые параметры для профилей DFCI на устройствах с Windows 10/11

На устройствах Windows 10/11 можно создать профиль интерфейса конфигурации встроенного ПО устройства (DFCI) (Конфигурация>устройств>Create>Windows 10 и более поздних версий дляинтерфейса конфигурации встроенного ПО для платформы>Шаблоны> интерфейс конфигурации встроенного ПО устройства для типа профиля).

Профили DFCI позволяют передавать команды управления Intune в UEFI (единый расширяемый интерфейс встроенного ПО) через слой встроенного ПО DFCI. Этот уровень встроенного ПО делает конфигурацию более устойчивой к вредоносным атакам. DFCI также ограничивает контроль конечных пользователей над BIOS за счет деактивации элементов управления управляемых параметров.

Добавлены новые настраиваемые параметры:

• Микрофоны и динамики:

  • Микрофоны

• Радио:

  • Bluetooth
  • Wi-Fi

• Порты:

  • USB-тип A

• Параметры пробуждения:

  • Пробуждение по локальной сети
  • Активация при включении питания

Дополнительные сведения см. в следующих источниках:

• Использование профилей интерфейса конфигурации встроенного ПО устройства на устройствах с Windows в Microsoft Intune
• Подробнее о параметрах профиля интерфейса конфигурации встроенного ПО устройства (DFCI) в Microsoft Intune

Применимо к:

• Windows 10/11

Добавление настраиваемых сведений о поддержке на устройства Android Enterprise

На устройствах Android Enterprise можно создать профиль конфигурации ограничений устройств, который управляет параметрами устройства (Конфигурация>устройств>Create>Android Enterprise>Полностью управляемый, выделенный и корпоративный рабочий профиль для платформы >Ограничения устройств для типа > профиля Настраиваемые сведения о поддержке).

Добавлены новые настраиваемые параметры:

• Короткое сообщение поддержки. Когда пользователи пытаются изменить управляемый параметр, можно добавить короткое сообщение, выводимое для пользователей в системном диалоговом окне.
• Длинное сообщение поддержки. Можно добавить длинное сообщение, которое пользователь увидит в разделе Параметры>Безопасность>Приложения для администрирования устройств>Политика устройства.

По умолчанию выводятся сообщения изготовителя оборудования. При настройке пользовательского сообщения также задается сообщение Intune по умолчанию. Если не ввести пользовательское сообщение для языка устройства по умолчанию, будет выведено сообщение Intune по умолчанию.

Например, вы задаете пользовательское сообщение для английского и французского языков. Пользователь изменяет язык устройства по умолчанию на испанский. Так как вы не задали настраиваемое сообщение на испанском языке, пользователь увидит сообщение Intune по умолчанию.

Сообщение Intune по умолчанию переводится на все языки в Центре администрирования конечной точки (Параметры>Язык + регион). Значение параметра Язык определяет язык по умолчанию, используемый Intune. По умолчанию для него задано значение Английский.

В политике можно настроить сообщения для следующих языков:

• чешский;
• немецкий;
• Английский (США)
• Испанский (Испания)
• Французский (Франция)
• венгерский;
• индонезийский;
• итальянский;
• японский;
• Корейский
• голландский;
• польский;
• португальский (Бразилия);
• португальский (Португалия);
• русский;
• шведский;
• турецкий;
• китайский (упрощенное письмо);
• китайский (традиционный);

Дополнительные сведения о параметрах, которые можно настроить, см. в разделе Параметры устройства Android Enterprise, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• Android начиная с версии 7.0
• Android Enterprise — полностью управляемые корпоративные устройства (COBO)
• Android Enterprise — выделенные корпоративные устройства (COSU)
• Android Enterprise — корпоративный рабочий профиль (COPE)

Создание и развертывание профилей Wi-Fi на устройствах Android AOSP

Вы можете создавать, настраивать и развертывать профили Wi-Fi на устройствах Android AOSP.

Дополнительные сведения об этих параметрах см. в разделе Добавление параметров Wi-Fi для устройств Android (AOSP) в Microsoft Intune.

Применимо к:

• Android (AOSP)

Каталог параметров находится в статусе общедоступной версии (GA) для устройств Windows и macOS

Каталог параметров находится в статусе общедоступной версии. Дополнительные сведения см. в статьях:

• Использование каталога параметров для настройки параметров
• Задачи, которые можно выполнить с помощью каталога параметров Intune

Применимо к:

• macOS
• Windows 10/11

Функция "Миграция" в аналитике групповой политики поддерживает национальные облака

Групповая политика аналитики позволяет импортировать локальные объекты групповой политики и создавать на их основе политику каталога параметров. Ранее эта функция миграции не поддерживалась в национальных облаках.

Функция "Миграция" теперь поддерживается в национальных облаках.

Дополнительные сведения об этих функциях см. в следующих статьях:

• Анализ локальных объектов групповой политики (GPO) с помощью аналитики групповой политики в Microsoft Endpoint Manager
• Создание политики каталога параметров с помощью импортируемых объектов групповой политики в Microsoft Endpoint Manager

Платформа iOS/iPadOS находится в каталоге параметров

В каталоге параметров перечислены все параметры, которые можно настроить в политике устройства, и все в одном месте. Платформа iOS/iPadOS и некоторые параметры теперь доступны в каталоге параметров (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Каталог параметров для типа профиля).

Новые параметры включают:

Счета > Caldav:

• Описание учетной записи карточки DAV
• Имя узла карточки DAV
• Пароль карточки DAV
• Порт карточки DAV
• URL-адрес субъекта карточки DAV
• Использование SSL для карточки DAV
• Имя пользователя карточки DAV

Счета > Carddav:

• Описание учетной записи карточки DAV
• Имя узла карточки DAV
• Пароль карточки DAV
• Порт карточки DAV
• URL-адрес субъекта карточки DAV
• Использование SSL для карточки DAV
• Имя пользователя карточки DAV

AirPlay:

• Список разрешений

• Password

• Пароль удаления профиля:

• Удаление пароля

Прокси > Глобальный прокси-сервер HTTP:

• Вход через прокси-сервер разрешен
• Резервный прокси-сервер PAC разрешен
• URL-адрес прокси-сервера PAC
• Пароль прокси-сервера
• Прокси-сервер
• Порт прокси-сервера
• Тип прокси-сервера
• Имя пользователя прокси-сервера

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Сети > Домены:

• Домены электронной почты

Печати > Air Print:

• Принтеры
• IP-адрес
• Путь к ресурсу

Ограничения:

• Разрешить продолжение действий
• Разрешить добавление друзей из Game Center
• Разрешить AirDrop
• Разрешить автоматическую разблокировку
• Разрешить камеру
• Разрешить синхронизацию облачных документов
• Разрешить синхронизацию облачных брелков
• Разрешить облачную библиотеку фотографий
• Разрешить частный узел в облаке
• Разрешить отправку диагностики
• Разрешить диктовку
• Разрешить стирание информации и параметров
• Разрешить отпечаток пальца для разблокировки
• Разрешить Game Center
• Разрешить многопользовательские игры
• Разрешить службу музыки
• Разрешить изменение пароля
• Разрешить автоматическое заполнение пароля
• Разрешить запросы близкого взаимодействия пароля
• Разрешить общий доступ к паролям
• Разрешить удаленное наблюдение за экраном
• Разрешить снимок экрана
• Разрешить результаты поиска в Интернете в разделе "Важное"
• Разрешить изменение обоев
• Задержка принудительного обновления программного обеспечения
• Принудительно автоматически присоединяться к занятиям в Classroom
• Принудительно запрашивать разрешение на доступ к классам
• Принудительно блокировать незащищенные приложения и устройства в Classroom
• Принудительно выполнять отложенные обновления программного обеспечения
• Разрешить автозаполнение в Safari

Безопасности > Секретный код:

• Разрешить простой секретный код
• Принудительное применение ПИН-кода
• Максимальное число неудачных попыток
• Максимальный льготный период
• Максимальная длительность периода неактивности
• Максимальный срок действия ПИН-кода в днях
• Минимальное количество сложных символов
• Минимальная длина
• История PIN-кодов
• Требовать буквенно-цифровой секретный код

Взаимодействие с пользователем > Уведомления:

• Тип оповещения
• Значки включены
• Идентификатор пакета
• Критическое оповещение включено
• Уведомления включены
• Показывать на экране блокировки
• Показывать в центре уведомлений
• Звуки включены

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Создание политики с помощью каталога параметров.

Применимо к:

• iOS/iPadOS

Использование проверки подлинности TEAP в профилях конфигурации проводных сетей для устройств Windows

На устройствах Windows можно создать профиль конфигурации устройства проводных сетей, который поддерживает протокол EAP (Конфигурация>устройств>Create>Windows 10 и более поздние версии для шаблонов платформы>Проводные> сети для типа профиля).

При создании профиля можно использовать протокол проверки подлинности Tunnel Extensible Authentication Protocol (TEAP).

Подробнее о проводных сетях см. в разделе "Добавление и использование параметров проводных сетей" на устройствах macOS и Windows в Microsoft Intune.

Применимо к:

• Windows 11
• Windows 10

Разблокировка рабочего профиля на устройствах корпоративного рабочего профиля Android Enterprise (COPE) через заданное время с помощью пароля, ПИН-кода или шаблона

На устройствах Android Enterprise можно создать профиль конфигурации ограничений устройств, который управляет параметрами устройства (Конфигурация>устройств>Create>Android Enterprise>Полностью управляемый, выделенный и корпоративный рабочий профиль для платформы >Ограничения устройств для типа профиля).

На устройствах Android Enterprise COPE можно настроить параметр Пароль рабочего профиля>Необходимая частота разблокировки. Используйте этот параметр, чтобы выбрать, как долго пользователи должны ждать, прежде чем разблокировать рабочий профиль с помощью надежного метода проверки подлинности.

Дополнительные сведения об этом параметре см. в разделе Параметры устройства Android Enterprise, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• Android 8.0 и более поздним версиям
• Android Enterprise — корпоративный рабочий профиль (COPE)

Новые параметры macOS в каталоге параметров

В каталоге параметров есть новые параметры macOS, которые можно настроить (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля):

Счета > Caldav:

• Описание учетной записи Cal DAV
• Имя узла Cal DAV
• Cal DAV Password
• Cal DAV Port
• URL-адрес участника Cal DAV
• Использование SSL для Cal DAV
• Имя пользователя Cal DAV

Счета > Carddav:

• Описание учетной записи карточки DAV
• Имя узла карточки DAV
• Пароль карточки DAV
• Порт карточки DAV
• URL-адрес субъекта карточки DAV
• Использование SSL для карточки DAV
• Имя пользователя карточки DAV

Взаимодействие с пользователем > Закрепление:

• Разрешить переопределение исправлений док-станции
• Автоматическое скрытие
• Автоматическое скрытие неизменяемого
• Неизменяемое содержимое
• Поведение двойного щелчка
• Поведение двойного щелчка — неизменяемый параметр
• Большой размер
• Анимация запуска
• Анимация запуска — неизменяемый параметр
• Увеличение
• Размер увеличения — неизменяемый параметр
• Увеличение — неизменяемый параметр
• Специальные папки док-станции MCX
• Свести к минимуму эффект
• Свести к минимуму эффект — неизменяемый параметр
• Свертывание в приложение — неизменяемый параметр
• Свернуть в приложение
• Вводное обучение
• Постоянные приложения
• Постоянные другие
• Позиция — неизменяемый параметр
• Показывать индикаторы — неизменяемый параметр
• Показывать индикаторы процесса
• Показывать последние
• Показывать последние — неизменяемый параметр
• Размер — неизменяемый параметр
• Статические приложения
• Только статические
• Статические другие
• Размер плитки
• Вкладки окна
• Вкладки окна — неизменяемый параметр

Конфигурация > системы Экономия энергии:

• Питание рабочего стола
• Расписание рабочего стола
• Удаление клавиши FV в режиме ожидания
• Питание ноутбука от аккумулятора
• Питание ноутбука
• Спящий режим отключен

Конфигурация > системы Системное ведение журнала:

• Включение частных данных

Конфигурация > системы Сервер времени:

• Сервер времени
• Часовой пояс

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Безопасности > Секретный код:

• Разрешить простой секретный код
• Изменить при следующей проверке подлинности
• Принудительное применение ПИН-кода
• Максимальное число неудачных попыток
• Максимальный льготный период
• Максимальная длительность периода неактивности
• Максимальный срок действия ПИН-кода в днях
• Минимальное количество сложных символов
• Минимальная длина
• Минут до сброса неудачного входа
• История PIN-кодов
• Требовать буквенно-цифровой секретный код

Отсутствует устранение конфликтов между политиками, созданными с помощью каталога параметров, и политиками, созданными с помощью шаблонов. При создании новых политик в каталоге параметров убедитесь в отсутствии конфликтующих параметров в текущих политиках.

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Создание политики с помощью каталога параметров в Microsoft Intune.

Применимо к:

• macOS

Новые параметры предпочтений Microsoft Office и Microsoft Outlook в каталоге параметров macOS

Каталог параметров поддерживает параметры параметров для Microsoft Office и Microsoft Outlook (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля).

Доступны следующие параметры:

Microsoft Office > Microsoft Office:

• Разрешить возможности и функции, которые анализируют содержимое пользователя
• Разрешить возможности и функции для скачивания пользовательского содержимого
• Разрешить макросам изменять проекты Visual Basic
• Разрешить необязательный сетевой интерфейс
• Разрешить макросам Visual Basic использовать системные API
• Проверка специальных возможностей в фоновом режиме
• По умолчанию для открытия локальных файлов — сохранение
• Уровень диагностических данных
• Отключение облачных шрифтов
• Отключение каталога надстроек сторонних магазинов
• Отключение опросов пользователей
• Включение автоматического входа
• Запретить выполнение всех макросов Visual Basic
• Запретить макросам Visual Basic использовать внешние динамические библиотеки
• Запретить макросам Visual Basic использовать устаревший MacScript
• Запретить макросам Visual Basic использовать каналы для обмена данными
• Показывать коллекцию шаблонов при запуске приложения
• Диалоговое окно "Показать новые возможности"
• Политика макросов Visual Basic

Microsoft Office > Microsoft Outlook:

• Разрешить сертификаты S — MIME без соответствующего адреса электронной почты
• Разрешенные домены электронной почты
• Имя домена, предлагаемое по умолчанию.
• Расположение по умолчанию для получения сведений о погоде
• Отключение параметров "Не пересылать"
• Отключение автоматического обновления расположения для сведений о погоде
• Отключение подписей электронной почты
• Отключить экспорт в файлы OLM
• Отключить импорт из файлов OLM и PST
• Отключение параметров нежелательной почты
• Отключение параметров шифрования Microsoft 365
• Отключить поддержку собраний Microsoft Teams
• Отключение S — MIME
• Отключить поддержку собраний Skype для бизнеса
• Загрузка внедренных изображений
• Включение нового Outlook
• Скрыть папки "На моем компьютере"
• Скрытие элемента управления "Начало работы с Outlook" в области задач
• Скрытие диалогового окна "Персонализация нового Outlook"
• Задайте порядок, в котором учитываются сертификаты S - MIME
• Настройка темы
• Указание первого дня недели
• Доверять Office 365 автообнаружение перенаправлений
• Использовать автообнаружение на основе домена вместо Office 365

Дополнительные сведения о каталоге параметров см. в следующих статьях:

• Задачи, которые можно выполнить с помощью каталога параметров Intune
• Создание политики с помощью каталога параметров в Microsoft Intune

Дополнительные сведения о параметрах Microsoft Office и Outlook, которые можно настроить, см. в статье:

• Управление средствами контроля конфиденциальности в Office для Mac с помощью параметров.
• Настройка параметров Outlook для Mac — развертывание Office

Применимо к:

• macOS

Управление устройствами

Удаленная перезагрузка и завершение работы устройства macOS

Вы можете удаленно перезапустить или завершить работу устройства macOS с помощью действий устройства. Эти действия доступны для устройств под управлением macOS начиная с версии 10.13.

Дополнительные сведения см. в статье Перезапуск устройств с помощью Microsoft Intune.

Дополнительные удаленные действия для корпоративных устройств Android (AOSP)

Для корпоративных устройств Android с открытым исходным кодом Project (AOSP) скоро вы сможете использовать дополнительные удаленные действия из Центра администрирования Microsoft Intune — перезагрузка и удаленная блокировка.

Подробнее об этих функциях см. в разделах:

• Удаленный перезапуск устройств с помощью Intune
• Удаленная блокировка устройств с помощью Intune

Применимо к:

• Android Open Source Project (AOSP)

Поддержка конфигурации пользователей для Windows 11 многосеансовых виртуальных машин доступна в общедоступной предварительной версии.

Варианты действий:

• Настраивать политики области пользователей с помощью каталога параметров и назначать их группам пользователей.
• Настраивать сертификаты пользователей и назначать их пользователям.
• Настраивать сценарии PowerShell для установки в контексте пользователя и назначения пользователям.

Применимо к:

• Windows 11

Примечание.

Поддержка пользователей для многосессионных сборок Windows 10 будет доступна позже в этом году.

Подробнее см. в статье Использование нескольких сеансов Виртуального рабочего стола Azure с Microsoft Intune

Просмотр членства в группе управляемого устройства

В разделе мониторинг рабочей нагрузки Устройства Intune можно просмотреть членство в группах всех Microsoft Entra групп для управляемого устройства. Вы можете выбрать членство в группе, войдя в Центр администрирования Microsoft Endpoint Manager и выбрав Устройства>Все устройства> выберитечленство в группеустройств>. Подробнее см. в отчете о членстве в группе устройств.

Улучшенные сведения в отчетах о сертификатах

Мы изменили то, что Intune отображается при просмотре сведений о сертификате для устройств и профилей сертификатов. Чтобы просмотреть отчет, в Центре администрирования Microsoft Endpoint Manager перейдите в раздел >Сертификатымонитора>устройств>.

В улучшенном представлении отчетов Intune отображает следующие сведения:

• Действующие сертификаты
• Сертификаты, которые были отозваны в течение последних 30 дней
• Сертификаты, срок действия которых истек в течение последних 30 дней

В отчет больше не включаются сведения о сертификатах, которые недействительны или отсутствуют на устройстве.

Регистрация устройства

Использование маркеров начальной загрузки на зарегистрированных устройствах macOS

Поддержка маркеров начальной загрузки, ранее доступная в предварительной версии, теперь общедоступна для всех клиентов Microsoft Intune, в том числе для клиентов облака государственных организаций GCC High и Microsoft Azure. Intune поддерживает использование маркеров начальной загрузки на зарегистрированных устройствах с macOS начиная с версии 10.15.

Маркеры начальной загрузки позволяют пользователям, не имеющим прав администратора, иметь повышенные разрешения MDM и выполнять определенные программные функции от имени ИТ-администратора. Маркеры начальной загрузки поддерживаются в следующих приложениях:

• защищенные устройства (в Intune это все зарегистрированные устройства, утвержденные пользователем);
• устройства, зарегистрированные в Intune с помощью автоматической регистрации устройств Apple.

Дополнительные сведения об использовании маркеров начальной загрузки в Intune см. в статье Настройка регистрации для устройств macOS.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Condeco от Condeco Limited
• RICOH Spaces от Ricoh Digital Services

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Неделя с 13 июня 2022 г.

Безопасность устройств

Поддержка Microsoft Tunnel для Red Hat Enterprise Linux 8.6

Теперь вы можете использовать Red Hat Enterprise Linux (RHEL) 8.6 с Microsoft Tunnel. Нет других требований, кроме требований, необходимых для поддержки RHEL 8.5.

Как и в RHEL 8.5, вы можете использовать средство проверки готовности (mst-readiness) для проверки наличия модуля ip_tables в ядре Linux. По умолчанию RHEL 8.6 не загружает модуль ip_tables.

Для серверов Linux, не загружающих модуль, предоставлены инструкции по их немедленной загрузке и настройке сервера Linux для автоматической загрузки при загрузке.

Неделя с 6 июня 2022 г.

Управление приложениями

Поддержка передачи данных библиотеки фотографий с помощью политик защиты приложений

Теперь вы можете включить Библиотеку фотографий в качестве поддерживаемой службы хранилища приложений. Выбрав Библиотеку фотографий в параметре Разрешить пользователям открывать данные из выбранных служб или Разрешить пользователям сохранять данные в выбранных службах в Intune, вы можете разрешить управляемым учетным записям входящие и исходящие данные из библиотеки фотографий устройства в управляемые приложения на платформах iOS и Android. В Центре администрирования Microsoft Intune выберите Приложения>защита приложений политики>Create Политика. Выберите iOS/iPadOS или Android. Этот параметр доступен в рамках шага Защита данных и специально для параметра Приложения, управляемые политикой. Дополнительные сведения см. в разделе Защита данных.

Улучшения пользовательского интерфейса показывают, что регистрация Android доступна, но не требуется

Мы обновили значки в приложении "Корпоративный портал" для Android, чтобы пользователям было проще распознавать, когда регистрация устройства доступна, но не требуется. Новая значок отображается в сценариях, в которых для параметра Доступность регистрации устройства задано значение Доступно, а в Центре администрирования нет запросов (настройка>администратора> клиента Create или Изменениепараметров политики>).

К таким изменениям относятся:

• На экране "Устройства" пользователи больше не будут видеть красный восклицательный знак рядом с незарегистрированным устройством.
• На экране сведений об устройстве пользователи больше не будут видеть красный восклицательный знак рядом с сообщением о регистрации. Вместо этого они увидят значок сведений (i).

Снимки экрана с изменениями см. в Обновления пользовательского интерфейса для приложений Intune для конечных пользователей..

Управление устройствами

Отчеты о совместимости Центра обновления Windows для приложений и драйверов (общедоступная предварительная версия)

В общедоступной предварительной версии теперь доступны два отчета о совместимости Центра обновления Windows, которые помогут вам подготовиться к обновлению Windows. Эти отчеты заполняют пробел, который в настоящее время покрывается Аналитикой компьютеров, прекращение поддержки которой запланировано на 30 ноября 2022 г.

Используйте эти отчеты, чтобы спланировать обновление с Windows 10 до 11 или установить последнее обновление компонентов Windows:

• Отчет о готовности устройства к обновлению компонентов Windows (предварительная версия) — в этом отчете для каждого устройства содержатся сведения о рисках совместимости, связанных с обновлением или обновлением до выбранной версии Windows.
• Отчет о рисках совместимости обновлений компонентов Windows (предварительная версия) — этот отчет содержит сводку основных рисков совместимости в вашей организации для выбранной версии Windows. Этот отчет можно использовать, чтобы понять, какие риски совместимости влияют на наибольшее количество устройств в вашей организации.

Эти отчеты рассылаются клиентам в течение следующей недели. Если вы их еще не видите, зайдите еще раз через день или около того. Чтобы узнать о предварительных требованиях, лицензировании и сведениях, доступных в этих отчетах, см. отчеты о совместимости Центра обновления Windows.

Неделя с 30 мая 2022 г. (выпуск службы 2205)

Управление приложениями

Минимальная требуемая версия Корпоративного портала iOS

С 1 июня 2022 г. минимальной поддерживаемой версией приложения Корпоративного портала для iOS будет версия 5.2205. Если пользователи работают под управлением версии 5.2204 или более ранней версии, им будет предложено ввести обновление при входе. Если вы включили параметр Блокировать установку приложений с помощью ограничения устройств в App Store, вам, вероятно, потребуется отправить обновление на соответствующие устройства, использующие этот параметр. В противном случае никаких действий не требуется. Если у вас есть служба технической поддержки, запустите запрос на обновление приложения Корпоративный портал. В большинстве случаев для пользователей установлено автоматическое обновление приложений. Таким образом, они получают обновленное приложение корпоративного портала, не предпринимая никаких действий. Дополнительные сведения см. в разделе Корпоративный портал Intune.

Push-уведомления автоматически отправляются при смене формы владения устройства с личной на корпоративную.

Для устройств iOS/iPad и Android теперь автоматически отправляется push-уведомление, когда тип владения устройством изменяется с личного на корпоративный. Уведомление отправляется через приложение корпоративного портала на устройстве.

В этом изменении мы удалили параметр конфигурации корпоративного портала, который ранее использовался для управления этим поведением уведомлений.

Для уведомлений iOS/iPadOS требуется корпоративный портал March или новее.

В выпуске службы Intune за май (2205) мы внесли обновления на стороне службы для уведомлений iOS/iPadOS, которые требуют от пользователей наличия приложения Корпоративного портала March (версия 5.2203.0) или новее. Если вы используете функции, которые могут создавать push-уведомления iOS/iPadOS Корпоративный портал, необходимо убедиться, что пользователи обновляют Корпоративный портал iOS/iPadOS, чтобы они продолжали получать push-уведомления. Других изменений в функциональных возможностях нет. Дополнительные сведения см. в разделе Обновление приложения Корпоративный портал.

Развертывание бизнес-приложений для macOS путем отправки файлов установщика типа PKG теперь общедоступно

Теперь вы можете развертывать бизнес-приложения macOS, загружая файлы установщика типа PKG в Intune. Эта функция больше не находится в общедоступной предварительной версии и теперь обычно доступна.

Чтобы добавитьбизнес-приложение macOS из центра администрирования Microsoft Intune, выберите Приложения>macOS>Добавить> бизнес-приложение. Кроме того, App Wrapping Tool для macOS больше не потребуется для развертывания бизнес-приложений macOS. Дополнительные сведения см. в статье Как добавлять бизнес-приложения macOS в Microsoft Intune.

Улучшенная функция отчетов на панели управляемых приложений.

Панель Управляемые приложения была обновлена, чтобы лучше отображать сведения об управляемом приложении для устройства. Вы можете переключаться между отображением сведений об управляемом приложении для основного пользователя и других пользователей на устройстве или отображением сведений о приложении для устройства без какого-либо пользователя. Созданные сведения о приложении отображаются с помощью основного пользователя устройства при первоначальной загрузке отчета или отображаются без основного пользователя, если он не существует. Дополнительные сведения см. в отчете Управляемые приложения.

Лицензии MSfB и лицензии Apple VPP

Удаление лицензии Intune у пользователя больше не приведет к аннулированию лицензий приложений, предоставленных через Microsoft Store для бизнеса или через Apple VPP. Дополнительные сведения см. в статье Управление корпоративными приложениями, приобретенными из Microsoft Store для бизнеса с помощью Microsoft Intune, отзыв лицензий приложений iOS и лицензирование Microsoft Intune.

Отчеты для нелицензированных пользователей

Intune больше не будет удалять пользователей из всех отчетов Intune, если они нелицензированы. Пока пользователь не будет удален из Microsoft Entra ID, Intune будет продолжать сообщать о пользователе в большинстве распространенных сценариев. Дополнительные сведения об отчетах см. в статье Отчеты Intune.

Безопасность устройств

Новый профиль управления устройствами для политики уменьшения числа атак в области безопасности конечных точек Intune

В рамках продолжающегося развертывания новых профилей для политик безопасности конечных точек, которое началось в апреле 2022 г., мы выпустили новый шаблон профиля управления устройствами для политики сокращения направлений атак для безопасности конечных точек в Intune. Этот профиль заменяет предыдущий профиль с тем же именем для платформы Windows 10 и более поздних версий.

После замены будет доступно создание экземпляров только нового профиля. Однако все созданные ранее профили, использующие старую структуру профилей, остаются доступными для использования, редактирования и развертывания.

Новый профиль управления устройствами:

• Содержит все параметры, доступные в исходном профиле.
• Представляет пять новых параметров, недоступных в более ранней версии профиля.

Пять новых параметров ориентированы на съемные устройства, такие как USB-накопители:

• Запрет установки съемных устройств
• Устройства WPD: запрет доступа для чтения
• Устройства WPD: запрет доступа для чтения (пользователь)
• Устройства WPD: запрет доступа для записи
• Устройства WPD: запрет доступа для записи (пользователь)

Конфигурация устройства

Разблокировка устройств Android Enterprise через заданное время с помощью пароля, PIN-кода или графического ключа

На устройствах Android Enterprise можно создать профиль конфигурации ограничений устройств, который управляет параметрами устройства (Конфигурация>устройств>Create>Android Enterprise>Полностью управляемый, выделенный и корпоративный рабочий профиль для платформы >Ограничения устройств для типа профиля).

В разделах Пароль устройства и Пароль рабочего профиля появился новый обязательный параметр Требуемая частота разблокировки. Укажите, на какое время пользователи могут разблокировать устройство с помощью надежного метода проверки подлинности (пароля, ПИН-кода или графического ключа). Доступны следующие параметры:

• 24 часа с момента последнего ввода ПИН-кода, пароля или графического ключа: экран блокируется через 24 часа после того, как пользователи в последний раз использовали надежный метод проверки подлинности для разблокировки устройства или рабочего профиля.
• Параметры устройства по умолчанию (по умолчанию): экран блокируется через время, указанное на устройстве по умолчанию.

2.3.4. Расширенное управление секретными кодами (открывает веб-сайт Android)

Чтобы просмотреть список параметров, которые вы можете настроить, перейдите к параметрам устройства Android Enterprise, чтобы разрешить или запретить функции с помощью Intune.

Применимо к:

• Android 8.0 и более поздним версиям
• Android Enterprise — полностью управляемые корпоративные устройства (COBO)
• Android Enterprise — выделенные корпоративные устройства (COSU)
• Android Enterprise — корпоративный рабочий профиль (COPE)

Использование каталога параметров для создания универсальной политики печати на устройствах с Windows 11

Многие организации перемещают свою инфраструктуру принтеров в облако с помощью Universal Print.

В центре администрирования Intune можно использовать каталог параметров для создания универсальной политики печати (Конфигурация>устройств>Create>Windows 10 и более поздних версий для каталога параметров платформы> для типа > профиля Подготовка принтера). При развертывании политики пользователи выбирают принтер из списка зарегистрированных принтеров Universal Print.

Дополнительные сведения см. в статье Создание политики универсальной печати в Microsoft Intune.

Применимо к:

• Windows 11

Новые параметры macOS в каталоге параметров

В каталоге параметров есть новые параметры macOS, которые можно настроить (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля):

Счета > Учетные записи:

• Отключить гостевую учетную запись
• Включить гостевую учетную запись

Сети > Брандмауэр:

• Разрешить подписанное
• Разрешить подписанное приложение
• Включить ведение журнала
• Параметр ведения журнала

Родительский контроль > Ограничения времени родительского контроля:

• Семейные элементы управления включены
• Ограничения по времени

Прокси > Конфигурация прокси-сервера сети:

• Прокси-серверы
• Список исключений
• Откат разрешен
• Включить FTP
• Пассивный FTP
• FTP-порт
• Прокси-сервер FTP
• Включить Gopher
• Порт Gopher
• Прокси-сервер Gopher
• Включить HTTP
• Порт HTTP
• Прокси HTTP
• Включить HTTPS
• Порт HTTPS
• Прокси-сервер HTTPS
• Включить автоматическую конфигурацию прокси-сервера
• Строка URL-адреса автоматической конфигурации прокси-сервера
• Вход через прокси-сервер разрешен
• Включить RTSP
• Порт RTSP
• Прокси-сервер RTSP
• Включить SOCKS
• Порт SOCKS (целое число)
• Прокси-сервер SOCKS

Безопасности > Смарт-карта:

• Разрешить смарт-карточку
• Проверить доверие сертификата
• Принудительно применять смарт-карточку
• Одна карточка на пользователя
• Действие удаления токена
• Связывание пользователей

Обновление программного обеспечения:

• Разрешить установку предварительного выпуска
• Автоматическая проверка включена
• Автоматическое скачивание
• Автоматически устанавливать обновления приложений
• Автоматически устанавливать обновления Mac OS
• Установка данных конфигурации
• Установка критических обновлений
• Ограничить обновление программного обеспечения, требовать администратора для установки

Взаимодействие с пользователем > Пользователь скринсейвера:

• Время простоя
• Имя модуля
• Путь к модулю

Отсутствует устранение конфликтов между политиками, созданными с помощью каталога параметров, и политиками, созданными с помощью шаблонов. При создании новых политик в каталоге параметров убедитесь в отсутствии конфликтующих параметров в текущих политиках.

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Создание политики с помощью каталога параметров в Microsoft Intune.

Применимо к:

• macOS

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• F2 Manager Intune от cBrain A/S
• F2 Touch Intune (Android) от cBrain A/S
• Microsoft Списки (Android) от корпорации Майкрософт
• Microsoft Lens — PDF-сканер от корпорации Майкрософт
• Diligent Boards от Diligent Corporation
• Secure Contacts от Provectus Technologies GmbH
• My Portal by MangoApps от MangoSpring Inc

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление устройствами

Страница обновлений программного обеспечения для подключенных к клиенту устройств

Появилась новая страница обновлений программного обеспечения для устройств, подключенных к клиенту. На этой странице отображается состояние обновлений программного обеспечения на устройстве. Вы можете просмотреть, какие обновления были успешно установлены, неудачно или назначены, но еще не установлены. Использование метки времени для состояния обновления помогает в устранении неполадок. Дополнительные сведения см. в разделе Подключение арендатора: обновления программного обеспечения в центре администрирования.

Поддержка Microsoft Defender для конечной точки для синхронизации приложений на iOS/iPadOS

Прежде чем использовать эту возможность, необходимо принять участие в предварительной версии Microsoft Defender для конечной точки. Чтобы согласиться, обратитесь в .mdatpmobile@microsoft.com

При использовании Microsoft Defender для конечной точки в качестве приложения Mobile Threat Defense можно настроить Defender для конечной точки, чтобы запрашивать данные инвентаризации приложений с Intune с устройств iOS/iPadOS. Теперь доступны следующие два параметра:

• Включить синхронизацию приложений для устройств iOS. Установите значение Включено, чтобы разрешить Microsoft Defender для конечной точки запрашивать метаданные приложений iOS из Intune для анализа угроз. Это устройство iOS должно быть зарегистрировано в службе управления мобильными устройствами и будет предоставлять обновленные данные приложений в ходе регистрации устройства.

• Отправка полных данных инвентаризации приложений на личные устройства iOS/iPadOS. Этот параметр управляет данными инвентаризации приложений. Intune совместно с Microsoft Defender для конечной точки, когда Defender для конечной точки синхронизирует данные приложения и запрашивает список инвентаризации приложений.

  Если задано значение Включено, Defender для конечной точки может запрашивать список приложений из Intune для личных устройств iOS/iPadOS. В этом списке содержатся неуправляемые приложения и приложения, развернутые с помощью Intune.

  Если задано значение Выкл., данные о неуправляемых приложениях не предоставляются. Intune не предоставляет данные о приложениях, развернутых через Intune.

Поддержка прекращения использования корпоративных устройств Android Enterprise с рабочим профилем

Теперь вы можете удалить рабочий профиль, включая все корпоративные приложения, данные и политики, с устройства корпоративного профиля Android Enterprise с помощью действия администратора с прекращением использования в центре администрирования Microsoft Intune. Перейдите в Intune области>Устройства Центра > администрирования Все устройства,> затем выберите имя устройства, которое вы хотите снять с учета, и нажмите кнопку Снять с учета.

При выборе Прекратить использование устройство будет исключено из управления Intune. Однако все данные и приложения, связанные с вашим личным профилем, остаются нетронутыми на устройстве. Дополнительные сведения см. в статье Прекращение использования или очистка устройств с помощью Microsoft Intune.

Регистрация устройства

Улучшения профилей регистрации для автоматической регистрации устройств Apple

Две панели пропуска помощника по настройке, ранее выпущенные в Intune в рамках общедоступной предварительной версии, теперь общедоступны для использования в Intune. Эти экраны обычно отображаются в помощнике по настройке во время автоматической регистрации устройств Apple (ADE). Вы можете настроить видимость экранов во время настройки профиля регистрации в Intune. Intune поддерживаемые параметры экрана доступны в профиле регистрации устройства на вкладке Помощник по настройке. Новые области пропуска:

• Имя панели: Начало работы

  • Доступно для iOS/iPadOS 13 и более поздних версий.
  • Эта панель отображается в помощнике по настройке во время ADE по умолчанию.

• Имя панели: Автоматическая разблокировка с Apple Watch

  • Доступно для macOS 12 и более поздних версий.
  • Эта панель отображается в помощнике по настройке во время ADE по умолчанию.

Функциональные возможности общедоступной предварительной версии не изменяются.

Регистрация на совместное управление из Windows Autopilot

Вы можете настроить регистрацию устройств в Intune, чтобы включить совместное управление в ходе процесса Windows Autopilot. Это поведение управляет центром рабочей нагрузки совместно с Configuration Manager и Intune.

Если устройство предназначено для политики страницы состояния регистрации (ESP) Autopilot, устройство будет ожидать Configuration Manager. Клиент Configuration Manager устанавливает, регистрирует на сайте и применяет политику совместного управления в рабочей области. Затем работу продолжит ESP Autopilot.

Дополнительные сведения см. в статье Регистрация для совместного управления с помощью Autopilot.

Неделя с 9 мая 2022 г.

Безопасность устройств

Решение "Управление безопасностью" с Defender для конечной точки стало общедоступным

Команда Microsoft Intune и Microsoft Defender для конечной точки (MDE) рады сообщить об общедоступной доступности управления параметрами безопасности Defender для конечной точки. В рамках этой общей доступности теперь общедоступна поддержка антивирусной программы, обнаружения и реагирования конечных точек, а также правил брандмауэра. Эта общедоступная версия относится к Windows Server 2012 R2 и более поздних версий, а также к клиентам Windows 10 и Windows 11. В будущем будет поддерживаться и другие платформы и профили в емкости предварительной версии.

Дополнительные сведения см. в статье Управление Microsoft Defender для конечной точки на устройствах с Microsoft Intune.

Управление устройствами

Улучшения повышения прав в Удаленная помощь

Разрешения на повышение прав больше не назначаются при запуске сеанса. Разрешения на повышение прав теперь применяются только при запросе JIT-доступа (точно вовремя). Доступ запрашивается при нажатии кнопки на панели инструментов. При назначении разрешений на повышение прав поведение выхода для общего доступа было изменено следующим образом:

• Если администратор (помощник) завершает сеанс Удаленная помощь, пользователь (общий доступ) не будет выключен.
• Если общий пользователь пытается завершить сеанс, ей будет предложено выйти из системы, если они продолжат работу.
• Если клиент пула является локальным администратором на своем устройстве, параметр запроса UAC для доступа не будет доступен клиенту пула, так как это может помочь ему выполнять действия с повышенными правами в собственном профиле. Дополнительные сведения о Удаленная помощь см. в разделе Использование Удаленная помощь

Неделя со 2 мая 2022 г.

Управление приложениями

Обновление приоритета управляемых приложений Google Play

Вы можете установить приоритет обновления управляемых приложений Google Play на устройствах Android Enterprise, которые являются выделенными, полностью управляемыми или корпоративными с рабочим профилем. Если выбрать Отложить в качестве параметра Приоритета обновления, устройство будет ждать 90 дней после обнаружения новой версии приложения, прежде чем устанавливать обновление. Дополнительные сведения см. в статье Добавление приложений корпоративного Google Play на устройства Android Enterprise с помощью Intune.

Неделя с 25 апреля 2022 г. (выпуск службы 2204)

Управление приложениями

Обновлен список политик конфигурации приложений

Список Политики конфигурации приложений в Intune был изменен. Этот список больше не будет содержать столбец Назначено. Чтобы просмотреть, назначена ли политика конфигурации приложений, перейдите к Microsoft Intune Центр> администрирования Политики >конфигурацииприложений> выберитесвойстваполитики>.

Сложность пароля для устройств с Android

Параметр Требовать блокировку устройства в Intune был расширен и включает значения (Низкая сложность, Средняя сложность и Высокая сложность). Если блокировка устройства не соответствует минимальному требованию к паролю, можно предупредить, очистить данные или заблокировать доступ конечного пользователя к управляемой учетной записи в управляемом приложении. Эта функция ориентирована на устройства, которые работают на Android 11+. Для устройств, работающих на Android 11 и более ранних версиях, если задать значение сложности Низкое, Среднее, или Высокое, оно сбросится до значения по умолчанию — Низкая сложность. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android в Microsoft Intune. управление

Улучшения сбора журналов приложений Win32

Коллекция журналов приложений Win32 с помощью расширения управления Intune перенесена на платформу диагностики устройств с Windows 10, что сокращает время сбора журналов с 1–2 часов до 15 минут. Мы также увеличили размер журнала с 60 мб до 250 МБ. Наряду с повышением производительности журналы приложений доступны в действии диагностика мониторинга устройства для каждого устройства, а также в мониторе управляемого приложения. Сведения о том, как собирать диагностику, см. в статье Сбор диагностики с устройства с Windows и Устранение неполадок с приложениями Win32 с помощью Intune.

Управление устройствами

Общедоступна многосессионная версия Windows 10 и Windows 11 Корпоративная.

В дополнение к существующему функционалу теперь вы можете:

• Настройте профили в Endpoint Security при выборе Платформы Windows 10, Windows 11 и Windows Server.
• Управляйте многосессионными виртуальными машинамиWindows 10 и Windows 11 Корпоративная созданными в облаке Azure для государственных организаций в сообществе государственных учреждений США (GCC) High и DoD.

Дополнительные сведения см. в статье Удаленные рабочие столы Windows 10/11 Корпоративная (многосеансовый режим).

Действия устройств, доступные пользователям Android (AOSP) в приложении Microsoft Intune

Теперь пользователи устройств AOSP могут переименовывать зарегистрированные устройства в приложении Microsoft Intune. Эта функция доступна на устройствах, зарегистрированных в Intune как устройства AOSP (Android), связанные с пользователем. Дополнительные сведения об управлении Android (AOSP) см. в статье Настройка регистрации в Intune для корпоративных устройств Android (AOSP), связанных с пользователем.

Поддержка звуковых оповещений на корпоративных бизнес-профилях Android и полностью управляемых устройствах (COBO и COPE)

Теперь вы можете использовать действие устройства Воспроизвести потерянный звук устройства , чтобы активировать сигнал тревоги на устройстве, чтобы помочь найти потерянный или украденный корпоративный рабочий профиль Android Enterprise и полностью управляемые устройства. Дополнительные сведения см. в статье Поиск потерянных или украденных устройств.

Регистрация устройства

Новые параметры профиля регистрации для автоматической регистрации устройств Apple (общедоступная предварительная версия)

Мы добавили два новых параметра помощника по настройке, которые можно использовать с автоматической регистрацией устройств Apple. Каждый параметр управляет видимостью области помощника по настройке, которая отображается во время регистрации. Области помощника по настройке по умолчанию показаны во время регистрации, поэтому если вы хотите скрыть их, необходимо настроить параметры в Microsoft Intune.

Новые параметры помощника по настройке:

• Начало работы (предварительная версия): отображение или скрытие области Начало работы во время регистрации. Для устройств под управлением iOS/iPadOS 13 и более поздних версий.
• Автоматическая разблокировка с помощью Apple Watch (предварительная версия). Отображение или скрытие панели "Разблокировка Mac" с помощью Apple Watch во время регистрации. Для устройств под управлением macOS 12 и более поздних версий.

Чтобы настроить параметры помощника по настройке автоматической регистрации устройств, создайте профиль регистрации iOS/iPadOS или профиль регистрации macOS в Microsoft Intune.

Безопасность устройств

Решение Microsoft Defender для конечной точки в качестве клиентского приложения Tunnel для iOS стало общедоступным

Приложение Microsoft Defender для конечной точки, поддерживающее функции Microsoft Tunnel в iOS/iPadOS, больше не находится на этапе предварительной версии и теперь является общедоступным для использования. После объявления об общей доступности можно скачать новую версию приложения Defender для конечной точки для iOS в магазине App Store и развернуть это приложение. Если вы использовали предварительную версию в качестве клиентского приложения Tunnel для iOS, мы рекомендуем в ближайшее время обновить приложение Defender для конечной точки для iOS, чтобы получить преимущества последних обновлений и исправлений.

По состоянию на 30 августа 2022 года тип подключения называется Microsoft Tunnel.

В этом выпуске к концу июня автономное клиентское приложение Tunnel и предварительная версия Defender для конечной точки в качестве клиентского приложения Tunnel для iOS будут признаны устаревшими и будут удалены из поддержки. Вскоре после упразднения автономное клиентское приложение Tunnel перестанет работать и больше не будет поддерживать открытие подключений к Microsoft Tunnel.

Если вы по-прежнему используете автономное приложение туннеля для iOS, запланируйте миграцию на приложение Microsoft Defender для конечной точки. Миграция до прекращения поддержки автономного приложения и его поддержки подключения к Tunnel перестанет работать.

Профиль правил сокращения направлений атак

Профиль Правила сокращения направлений атак (ConfigMgr) для подключенных к клиенту устройств теперь имеет общедоступную предварительную версию. Дополнительные сведения см. в статье Присоединение клиента — создание и развертывание политик сокращения направлений атак.

Конфигурация устройства

Профили безопасности конечных точек поддерживают фильтры

При использовании фильтров доступны несколько новых функций.

• При создании профиля конфигурации устройства для устройств Windows в отчете по каждой политике отображаются сведения о состоянии проверка устройства и пользователя (Конфигурация>устройств> Выберите существующую политику).

  При выборе Просмотр отчета в отчете появляется столбец Фильтр. Используйте этот столбец, чтобы определить, успешно ли применен фильтр к политике.

• Политики безопасности конечных точек поддерживают фильтры. Таким образом, при назначении политики безопасности конечной точки можно использовать фильтры для назначения политики на основе созданных вами правил.

• При создании новой политики безопасности конечной точки она автоматически использует отчетность профиля конфигурации нового устройства. При просмотре отчета по политике он также содержит столбец Фильтр назначения (Конфигурация>устройств> Выберите существующий отчет политики > безопасности конечной точки Просмотреть). Используйте этот столбец, чтобы определить, успешно ли применен фильтр к политике.

Дополнительные сведения о фильтрах см. в статье:

• Использование фильтров при назначении политики приложениям, политикам и профилям
• Список типов платформ, политик и приложений, поддерживающих фильтры

Применимо к:

• Все платформы

Не применяется к следующему.

• Административные шаблоны (Windows 10/11)
• Интерфейс конфигурации встроенного ПО устройства (DFCI) (Windows 10/11)
• OEMConfig (Android Enterprise)

Create политику каталога параметров с помощью импортированных объектов групповой политики с аналитикой групповая политика

С помощью аналитики групповой политики можно импортировать свой локальной объект групповой политики и увидеть параметры, поддерживаемые в Microsoft Intune. Здесь также отображаются все нерекомендуемые параметры или параметры, недоступные для поставщиков MDM.

При запуске анализа вы увидите параметры, готовые к миграции. Существует параметр Миграция , который создает профиль каталога параметров с помощью импортированных параметров. Затем вы можете назначить этот профиль группам.

Дополнительные сведения см. в статье Create политики каталога параметров с помощью импортированных объектов групповой политики в Microsoft Intune.

Применимо к:

• Windows 11
• Windows 10

Новый профиль конфигурации проводных сетей для устройств с Windows

Существует новый профиль конфигурации устройств проводных сетей для устройств Windows 10/11 (Конфигурация>устройств>Create>Windows 10 и более поздних версий для шаблонов платформы.>>

Используйте этот профиль для настройки общих параметров проводной сети, включая проверку подлинности, тип EAP, доверие сервера и т. д. Дополнительные сведения о настраиваемых параметрах, см. в статье Добавление параметров проводных сетей для устройств с Windows в Microsoft Intune.

Применимо к:

• Windows 11
• Windows 10

Параметры CSP политики "ADMX_" в каталоге административных шаблонов и параметров применяются к выпускам Windows Professional

Параметры CSP политики Windows, которые начинаются с " ADMX_" применяются к устройствам с Windows под управлением выпусков Windows Professional. Ранее эти параметры отображались как на устройствах под управлением Windows Professional как Не применимо.

С помощью административных шаблонов и каталога параметров можно настроить эти параметры ADMX_ в политике и развернуть политику на своих устройствах (конфигурация>устройств>Create Windows 10>и более поздних версий для каталога параметров параметров>платформы> или административных шаблонов или для типа профиля).

Для использования этого набора параметров " ADMX_" на устройствах с Windows 10/11 должны быть установлены следующие обновления:

• Windows 11: 28 марта 2022 г. — предварительная версия KB5011563 (сборка ОС 22000.593)

• Windows 10 (20H1, 20H2, 21H1, 21H2): 22 марта 2022 г. — предварительная версия KB5011543 (сборки ОС 19042.1620, 19043.1620 и 19044.1620)

Чтобы узнать больше об этих возможностях, см. следующие статьи:

• Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11
• Использование каталога параметров для настройки параметров на устройствах с Windows и macOS
• Запись блога Последние сведения о четности параметров групповой политики в управлении мобильными устройствами

Чтобы увидеть список всех параметров ADMX, которые поддерживают выпуск Windows Professional, перейдите в раздел Параметры CSP политики Windows. Любой параметр, который начинается с " ADMX_" поддерживает выпуск Windows Professional.

Применимо к:

• Windows 11
• Windows 10

Новые параметры macOS в каталоге параметров

В каталоге параметров есть новые параметры macOS, которые можно настроить (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля):

Счета > Мобильные учетные записи:

• Запросить обход проверки подлинности с безопасным маркером
• Создать при входе
• Удаление неиспользуемого после истечения срока действия в секундах
• Предупреждать при создании
• Предупреждать при создании и никогда не разрешать

Управление приложениями > Автономный режим одного приложения:

• Идентификатор пакета
• Идентификатор группы

Управление приложениями > Управление расширениями NS.

• Разрешенные расширения
• Отклоненные точки расширения
• Отклоненные расширения

Магазин App Store:

• Отключить уведомления об обновлении программного обеспечения
• Ограничить только обновление программного обеспечения из App Store
• restrict-store-disable-app-adoption

Проверки подлинности > Служба каталогов:

• AD: разрешить проверку подлинности с несколькими доменами
• AD: флажок разрешения проверки подлинности с несколькими доменами
• AD: создавать мобильную учетную запись при входе
• AD: флажок создание мобильной учетной записи при входе
• AD: пользовательская оболочка по умолчанию
• AD: флажок пользовательской оболочки по умолчанию
• AD: список группы администраторов домена
• AD: флажок списка группы администраторов домена
• AD: принудительный переход на локальную домашнюю страницу
• AD: флажок принудительного перехода на локальную домашнюю страницу
• AD: сопоставление атрибута GGID
• AD: флажок сопоставления атрибута GGID
• AD: сопоставление атрибута GID
• AD: флажок сопоставления атрибута GID
• AD: сопоставление атрибута UID
• AD: флажок сопоставления атрибута UID
• AD: стиль подключения
• AD: пространство имен
• AD: флажок пространства имен
• AD: подразделение
• AD: шифрование пакета
• AD: флажок шифрования пакета
• AD: знак пакета
• AD: флажок знака пакета
• AD: предпочитаемый сервер DC
• AD: флажок предпочитаемого сервера DC
• AD: ограничивать DDNS
• AD: флажок ограничения DDNS
• AD: дни интервала прохождения изменения доверия
• AD: флажок дней интервала прохождения изменения доверия
• AD: использовать путь UNC Windows
• AD: флажок использования пути UNC Windows
• AD: предупреждать пользователя перед созданием флажка MA
• Идентификатор клиента
• Описание
• Password
• имя пользователя;

Проверки подлинности > Идентификация:

• Prompt
• Сообщение запроса

Входа > Элементы входа окна входа:

• Отключить подавление элементов входа

Запись на диск для управления мультимедиа:

• Поддержка записи

Родительский контроль > Ограничения приложений родительского контроля:

• Семейные элементы управления включены

Родительский контроль > Фильтр содержимого родительского контроля:

• Список разрешений включен
• Фильтровать список разрешений
• Фильтровать список блокировок
• Список разрешений сайта
• Address
• Заголовок страницы
• Использование фильтра содержимого

Родительский контроль > Словарь родительского контроля:

• Родительский контроль

Родительский контроль > Центр родительского контроля:

• Изменение учетной записи функции GK разрешено

Конфигурация > системы Поставщик файлов:

• Разрешить поставщикам управляемых файлов запрашивать атрибуцию

Конфигурация > системы Скринсейвер:

• Запрашивать пароль
• Задержка запроса пароля
• Время простоя окна входа
• Путь к модулю окна входа

Взаимодействие с пользователем > Finder:

• Запретить запись
• Запретить подключение к
• Запретить извлечение
• Запретить переход к папке
• Показывать внешние жесткие диски на рабочем столе
• Показывать жесткие диски на рабочем столе
• Показывать установленные серверы на рабочем столе
• Показывать съемный носитель на рабочем столе
• Предупреждать о пустой корзине

Взаимодействие с пользователем > Дополнительные компоненты управляемого меню:

• Аэропорт
• Аккумулятор
• Bluetooth
• Часы
• ЦП
• Задержка в секундах
• Дисплеи
• Извлечь
• Fax
• HomeSync
• iChat
• Рукописный ввод
• IrDA
• Макс. время ожидания в секундах
• PCCard
• PPP
• PPPoE
• Удаленный рабочий стол
• Меню сценария
• Пробелы
• Синхронизировать
• Ввод текста
• TimeMachine
• Всеобщий доступ
• User
• Том
• VPN
• WWAN

Взаимодействие с пользователем > Уведомления:

• Тип оповещения
• Значки включены
• Критическое оповещение включено
• Уведомления включены
• Показывать на экране блокировки
• Показывать в центре уведомлений
• Звуки включены

Взаимодействие с пользователем > Time Machine:

• Автоматическое резервное копирование
• Резервное копирование всех томов
• Размер резервного копирования в МБ
• Резервное копирование пропустить систему
• Базовые пути
• Резервные копии файлов
• Пути пропуска

Xsan:

• Метод проверки подлинности SAN

Xsan > Параметры Xsan:

• Запретить DLC
• Запретить подключение
• Только подключение
• Предпочитать защиту от потери данных
• Использовать защиту от потери данных

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Управление приложениями > Связанные домены:

• Включить прямые загрузки

Сети > Кэширование содержимого:

• Разрешить удаление кэша
• Разрешить личное кэширование
• Разрешить общее кэширование
• Автоматическая активация
• Автоматически включать кэширование с привязанными элементами
• Ограничение кэша
• Путь к данным
• Запретить кэширование с привязками
• Отображать оповещения
• Не переходить в режим сна
• Диапазоны прослушивания
• Только диапазоны прослушивания
• Прослушивать с коллегами и родителями
• Только локальные подсети
• Удостоверение клиента журнала
• Политика родительского выбора
• Родители
• Диапазоны одноранговых фильтров
• Диапазоны однорангового прослушивания
• Только одноранговые локальные подсети
• Порт
• Общедоступный диапазон

Ограничения:

• Разрешить продолжение действий
• Разрешить добавление друзей из Game Center
• Разрешить AirDrop
• Разрешить автоматическую разблокировку
• Разрешить камеру
• Разрешить облачную адресную книгу
• Разрешить облачные закладки
• Разрешить облачный календарь
• Разрешить облачный рабочий стол и документы
• Разрешить синхронизацию облачных документов
• Разрешить синхронизацию облачных брелков
• Разрешить облачную почту
• Разрешить облачные заметки
• Разрешить облачную библиотеку фотографий
• Разрешить частный узел в облаке
• Разрешить облачные напоминания
• Разрешить кэширование содержимого
• Разрешить отправку диагностики
• Разрешить диктовку
• Разрешить стирание информации и параметров
• Разрешить отпечаток пальца для разблокировки
• Разрешить Game Center
• Разрешить общий доступ к файлам iTunes
• Разрешить многопользовательские игры
• Разрешить службу музыки
• Разрешить изменение пароля
• Разрешить автоматическое заполнение пароля
• Разрешить запросы близкого взаимодействия пароля
• Разрешить общий доступ к паролям
• Разрешить удаленное наблюдение за экраном
• Разрешить снимок экрана
• Разрешить результаты поиска в Интернете в разделе "Важное"
• Разрешить изменение обоев
• Принудительное время ожидания отпечатка пальца
• Задержка принудительного обновления программного обеспечения
• Принудительное обновление программного обеспечения: основная задержка отложенной установки ОС
• Принудительное обновление программного обеспечения: небольшая задержка отложенной установки ОС
• Принудительное обновление программного обеспечения: небольшая задержка отложенной установки не для ОС
• Принудительно автоматически присоединяться к занятиям в Classroom
• Принудительно запрашивать разрешение на доступ к классам
• Принудительно блокировать незащищенные приложения и устройства в Classroom
• Принудительно обновлять программное обеспечение с задержкой
• Принудительно обновлять основное программное обеспечение с задержкой
• Принудительно выполнять отложенные обновления программного обеспечения
• Разрешить автозаполнение в Safari

Отсутствует устранение конфликтов между политиками, созданными с помощью каталога параметров, и политиками, созданными с помощью шаблонов. При создании новых политик в каталоге параметров убедитесь в отсутствии конфликтующих параметров в текущих политиках.

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Создание политики с помощью каталога параметров в Microsoft Intune.

Применимо к:

• macOS

Апрель 2022 г.

Управление приложениями

Удалить приложения типа DMG на управляемых устройствах macOS (общедоступная предварительная версия)

Тип назначения Удаления можно использовать для удаления приложений типа DMG на управляемых устройствах macOS из Microsoft Intune. Приложения macOS DMG можно найти в центре администрирования Microsoft Intune, выбрав Приложения>macOS>для macOS (. DMG). Дополнительные сведения см. в статье Добавление приложения DMG macOS в Microsoft Intune.

Управление устройствами

Обновление структуры папок диагностики устройств

Intune теперь экспортирует диагностические данные устройства с Windows в обновленном формате. В обновленном формате собранные журналы именуются в соответствии с собираемыми данными, а при сборе нескольких файлов создается папка. В более раннем формате ZIP-файл использовал неструктурированную структуру нумеруемых папок, которые не идентифицировали их содержимое.

Чтобы воспользоваться преимуществами этого обновления журнала диагностики, на устройствах должно быть установлено одно из следующих обновлений.

• Windows 11 — KB5011563
• Windows 10 — KB5011543

Эти обновления доступны в Центре обновления Windows 12 апреля 2022 г.

надстройки Microsoft Intune premium

Microsoft Intune внедряет новый централизованный интерфейс, помогающий ИТ-администраторам определять возможности надстроек уровня "Премиум". Эти возможности можно добавить для другой стоимости лицензирования, доступной для Microsoft Intune. Первая премиум-надстройка — удаленная справка.

Вы можете найти премиум-надстройки в Intune в разделеАдминистрирование клиентов>Премиум-надстройки. На панели"Сводка" отображаются все выпущенные надстройки премиум-класса, краткое описание и статус надстройки. Вы можете просмотреть статус каждого дополнения как"Активно" или "Доступно для пробной версии или покупки". Премиум-надстройки могут использоваться глобальными администраторами и администраторами выставления счетов для запуска пробных версий или приобретения лицензий на дополнительные модули премиум-класса.

Подробнее о премиум-надстройках см. в статье "Использование возможностей премиум-надстроек в Intune".

Безопасность устройств

Новые шаблоны профилей и структура настроек для политик безопасности конечных точек

Мы начали выпускать новые шаблоны профилей безопасности конечной точки , которые используют формат параметров, приведенный в каталоге параметров. Каждый новый шаблон профиля включает те же настройки, что и старый профиль, который он заменяет, при этом внося следующие улучшения:

• Имена параметров соответствуют имени CSP Windows: в большинстве случаев имя каждого параметра в новых профилях совпадает с именем CSP, настроенным для этого параметра. Однако в пользовательском интерфейсе Intune мы добавили пробелы в это имя, чтобы упростить чтение имени параметра. Например, параметр в пользовательском интерфейсе Intune с именем Разрешить USB-подключение настраивает CSP с именем AllowUSBConnection.

• Параметры конфигурации соответствуют параметрам Windows CSP: параметры настроек теперь напрямую соответствуют параметрам, описанным и поддерживаемым Windows CSP, с одним дополнением. Кроме того, мы включили параметр Не настроен. Если для параметра задано значение Не настроено, этот Intune профиль не будет активно управлять этим параметром. При изменении профиля для перехода с активной конфигурации параметра Не настроен, Intune прекращает активное применение конфигурации для этого параметра на устройстве.

• Инструкции по настройке взяты из Windows CSP: информация о параметрах, найденная в пользовательском интерфейсе Intune, извлекается непосредственно из содержимого Windows CSP, а ссылки «Дополнительные сведения» открывают соответствующую документацию CSP или страницу содержимого, содержащую этого CSP. CSP определяет поведение параметров и управляет им.

Когда для типа политики становятся доступны новая платформа и новый шаблон профиля, доступ к старому профилю с тем же именем для создания новых профилей прекращается. Вместо этого новые профили должны использовать новый формат профилей и параметров. Со временем ваши старые профили будут поддерживаться для преобразования в новый формат профиля. Пока это преобразование не станет доступно, вы по-прежнему сможете использовать, редактировать и развертывать существующие профили.

В новом формате параметров доступны следующие шаблоны профилей:

Тип политики	Платформа	Имя профиля (шаблона)
антивирусная программа	Windows 10, Windows 11, и Windows Server	Параметры интерфейса безопасности Windows
антивирусная программа	Windows 10, Windows 11, и Windows Server	Антивирусная программа "Защитник Windows"
антивирусная программа	Windows 10, Windows 11, и Windows Server	Исключения антивирусной программы в Microsoft Defender
Брандмауэр	Windows 10, Windows 11, и Windows Server	Брандмауэр в Microsoft Defender
Брандмауэр	Windows 10, Windows 11, и Windows Server	Правила брандмауэра Microsoft Defender.
Обнаружение и устранение угроз на конечных точках	Windows 10, Windows 11, и Windows Server	Обнаружение и нейтрализация атак на конечные точки
Сокращение направлений атак	Windows 10 версии или более поздней	Правила сокращения направлений атак
Сокращение направлений атак	Windows 10 версии или более поздней	Защита от эксплойтов

Март 2022 г.

Управление приложениями

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• CAPTOR™ для Intune от Inkscreen LLC

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Для уведомлений iOS/iPadOS требуется обновление Корпоративного портала за март

Если вы используете функцию, которая может генерировать iOS/iPadOS Корпоративный портал push-уведомления, необходимо убедиться, что пользователи обновят Корпоративный портал iOS/iPadOS в марте или апреле 2022 г. Других изменений в функциональных возможностях нет. Обновления для уведомлений iOS/iPadOS на стороне службы ожидаются в майском наборе исправлений для Intune (2205). Обновление Корпоративный портал будет выпущено до изменения службы, поэтому большинство пользователей уже будут иметь обновленное приложение и не будут затронуты. Однако следует уведомить пользователей об этом изменении, чтобы все пользователи продолжали получать push-уведомления, отправляемые вашей организацией. Дополнительные сведения см. в разделе Обновление приложения Корпоративный портал.

Параметры отзывов для Корпоративного портала и приложений Microsoft Intune

Параметры обратной связи предоставляются для решения политик обратной связи Microsoft 365 enterprise для вошедшего в систему пользователя через Центр администрирования Приложения Microsoft 365. С помощью этих параметров можно определить, следует ли включать обратную связь для пользователя. Эта функция доступна для Корпоративного портала Intune и приложений Microsoft Intune. Дополнительные сведения см. в статье Настройка параметров отзывов для Корпоративного портала и приложений Microsoft Intune.

Развертывание бизнес-приложений macOS путем отправки PKG-файлов установщика (общедоступная предварительная версия)

Теперь вы можете отправлять и развертывать PKG-файлы установщика как бизнес-приложения macOS. Вы можете добавитьбизнес-приложение macOS из центра администрирования Microsoft Intune, выбрав Приложения>macOS>Добавить> бизнес-приложение. Дополнительные сведения о бизнес-приложениях macOS см. в статье Как добавить бизнес-приложения macOS в Microsoft Intune.

Пользовательский интерфейс приложений при использовании ОС Android 12L

ОС Android 12L содержит новые функции, предназначенные для улучшения работы Android 12 на больших и складывающихся устройствах с двойным экраном. Intune приложения теперь поддерживают ОС Android 12L на устройствах с двумя экранами Android.

Отображение серийного номера устройства Android Enterprise с помощью приложения Managed Home Screen

На выделенных устройствах Android Enterprise, использующих Управляемый главный экран, клиенты теперь могут использовать конфигурацию приложения для настройки приложения Управляемый главный экран, чтобы показать серийный номер устройства во всех поддерживаемых версиях ОС (8 и более поздних). Сведения о приложении Managed Home Screen см. в статье Настройка приложения Microsoft Managed Home Screen для Android Enterprise.

Управление устройствами

Просмотр iPv4-адреса и ИД подсети Wi-Fi на устройствах Android Enterprise

Клиенты могут просматривать IPv4-адрес и ИД подсети Wi-Fi для корпоративных, полностью управляемых и выделенных устройств Android Enterprise с рабочими профилями.

Пользователи устройств Android (AOSP) могут просматривать все устройства в приложении Intune

Пользователи устройств AOSP теперь могут просматривать список управляемых устройств и их свойства в приложении Microsoft Intune. Эта функция доступна на устройствах, зарегистрированных в Intune как устройства AOSP (Android), связанные с пользователем.

Массовое обновление тарифного плана для передачи данных с использованием eSim для iOS/iPadOS (общедоступная предварительная версия)

Теперь вы можете выполнить массовое действие устройства (Устройства>Массовое действие устройства>Обновить настройки передачи данных), чтобы удаленно активировать или обновить тарифный план для передачи данных на устройствах iOS/iPadOS, которые поддерживают его. В настоящее время эта функция находится на стадии общедоступной ознакомительной версии. Дополнительные сведения см. в статье Использование массовых операций устройств.

Сохранение тарифного плана для передачи данных при массовой очистке устройств iOS/iPadOS

При выполнении массового действия устройства (Устройства>Массовое действие устройства>Очистить) по удаленной очистке устройств iOS/iPadOS из Intune, тарифный план для передачи данных на устройстве сохраняется. Однако если вы хотите удалить план передачи данных устройств, можно установить флажок и удалить тарифный план при очистке устройств. Дополнительные сведения см. в статье Использование массовых операций устройств.

Заморозка установки обновлений системы для корпоративных устройств Android Enterprise

Для корпоративных устройств с Android Enterprise 9.0 и более поздних версий можно настроить периоды заморозки, в течение которых обновления системы или обновления безопасности устанавливаться не будут.

Чтобы настроить заморозку, задайте один или несколько периодов, которые могут повторяться каждый год, с помощью профилей ограничений для устройств Intune. Каждый период длится не более 90 дней. Между периодами заморозки должно пройти не менее 60 дней, в течение которых можно устанавливать обновления системы.

Сведения о настройке периода заморозки см. в разделе Периоды заморозки для обновлений системы статьи Параметры устройств Android Enterprise, позволяющие разрешить или ограничить функции с помощью Intune.

Сведения о требованиях к Android для реализации заморозки см. в разделе Период заморозки документации разработчиков Google.

Безопасность устройств

Присоединение клиента: профиль антивируса

В настоящее время профиль антивируса Microsoft Defender для конечной точки является общедоступным. Дополнительные сведения см. в статье Присоединение клиента — создание и развертывание политик антивирусной защиты из Центра администрирования.

Управление и устранение неполадок

Просмотр событий AppxPackaging входит в сбор диагностических данных

Удаленное действие Intune сбора диагностика будет собирать дополнительные сведения с устройств Windows.   (Устройства>Windows>Выбрать устройство с Windows>Собрать диагностические данные)

К новым сведениям относятся Microsoft-Windows-AppxPackaging/Operational Просмотр событий и следующие файлы журнала Office, которые помогут устранить проблемы с установкой Office:

%windir%\temp\%computername%*.log
%windir%\temp\officeclicktorun*.log

Конфигурация устройства

Новый интерфейс отчетов для профилей конфигурации устройств

Теперь появился новый интерфейс создания отчетов для профилей конфигурации устройств. Он не включает следующие типы профилей: административный шаблон Windows (ADMX), устройства Android Enterprise с OEMConfig и интерфейс конфигурации встроенного ПО устройства (DFCI).

Мы продолжаем обновлять интерфейс отчетов Intune, чтобы повысить согласованность, точность, упорядоченность и усовершенствовать представление данных, что способствует общему улучшению отчетов Intune для каждой политики. В новом интерфейсе обновлена страница обзора каждой политики, что позволяет перейти от кольцевых диаграмм к более удобной обзорной диаграмме, которая быстро обновляется при регистрации устройств и пользователей.

В представлении каждой политики доступны три отчета:

• Состояние регистрации устройств и пользователей. Этот отчет объединяет информацию, которая ранее была разделена на отдельные отчеты о состоянии устройства и пользователя. В этом отчете показан список регистраций устройств и пользователей для профиля конфигурации устройства, а также состояние регистрации и время последней регистрации. При открытии отчета сводная диаграмма останется вверху страницы, а данные будут соответствовать данным списка. Используйте столбец фильтра для просмотра параметров фильтра назначения.
• Состояние назначения устройств. В этом отчете отображаются данные о последнем состоянии назначенных устройств из профиля конфигурации устройства. Отчеты Intune будут включать сведения о состоянии ожидания.
• Состояние каждого параметра. В этом отчете отображается сводка регистраций устройств и пользователей, которые находятся в состояниях Успешно, Конфликт, Ошибка, на детальном уровне параметра в профиле конфигурации устройства. В этом отчете используются те же обновления согласованности и производительности, а также средства навигации, которые мы сделали доступными для других отчетов.

Доступны дополнительные детализации и дополнительные фильтры назначений для каждого отчета. Дополнительные сведения о каждом из этих отчетов см. в статье Отчеты Intune.

Параметры Google Chrome находятся в каталоге параметров и административных шаблонах

Параметры Google Chrome включены в каталог параметров и административные шаблоны (ADMX). Ранее для настройки параметров Google Chrome на устройствах с Windows вы создали пользовательскую политику конфигурации устройств OMA-URI.

Дополнительные сведения об этих типах политик см. в следующих статьях:

• Использование каталога параметров для настройки параметров на устройствах с Windows и macOS
• Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов ADMX

Применимо к:

• Windows 10/11

Новые параметры macOS в каталоге параметров

В каталоге параметров есть новые параметры macOS, которые можно настроить (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля):

Взаимодействие с пользователем > Специальные возможности:

• Закрыть представление "Дальняя точка"
• Закрыть представление "Включенные сочетания клавиш"
• Закрыть представление "Ближняя точка"
• Закрыть представление "Переключатель колеса прокрутки"
• Закрыть представление "Сглаженные изображения"
• Контрастность
• Мигание экрана
• Драйвер мыши
• Размер курсора драйвера мыши
• Игнорировать трекпад при наличии драйвера мыши
• Начальная задержка драйвера мыши
• Максимальная скорость драйвера мыши
• Медленное нажатие клавиш
• Звуковой сигнал при медленном нажатии клавиш
• Задержка медленного нажатия клавиш
• Стереозвук как монозвук
• Залипание клавиш
• Модификатор звукового сигнала при залипании клавиш
• Показать окно залипания клавиш
• Клавиша включения/выключения закадрового голоса
• Белое на черном

AirPlay:

• Список разрешений
• Password

Взаимодействие с пользователем > Рабочий стол:

• Переопределить путь к рисунку

Предпочтения > Глобальные настройки:

• Автоматическая задержка выхода
• Включено многосеансный режим

Печати > Печать:

• Требовать, чтобы администратор выполнял локальную печать

Безопасности > Параметры безопасности:

• Не разрешать пользовательский интерфейс брандмауэра
• Не разрешать пользовательский интерфейс блокировки сообщений
• Не разрешать пользовательский интерфейс сброса пароля

Предпочтения > Системные параметры:

• Отключены области настроек
• Включены области настроек

Предпочтения > Пользовательские настройки:

• Отключить использование облачного пароля

Следующие параметры также находятся в каталоге параметров. Ранее они были доступны только в шаблонах:

Печати > Air Print:

• IP-адрес
• Путь к ресурсу

Сети > Брандмауэр:

• Разрешено
• Идентификатор пакета
• Блокировать все входящие
• Включить брандмауэр
• Включить скрытый режим

Входа > Элементы входа:

• Скрыть

Входа > Поведение окна входа:

• Сведения о хосте администрирования
• Список разрешений
• Список запрещенных
• Отключить доступ к консоли
• Отключить немедленную блокировку экрана
• Скрыть администраторов
• Скрыть локальных пользователей
• Включить сетевого пользователя
• Выход отключен после входа
• Текст окна входа
• Питание отключено после входа
• Перезапуск отключен
• Перезапуск отключен после входа
• Показать полное имя
• Показать управление другими пользователями
• Завершение работы отключено
• Завершение работы отключено после входа
• Спящий режим отключен

Системная политика > Элемент управления системной политикой:

• Разрешить идентифицированных разработчиков
• Включить оценку

Системная политика>Управление системной политикой:

• Отключить переопределение

Отсутствует устранение конфликтов между политиками, созданными с помощью каталога параметров, и политиками, созданными с помощью шаблонов. При создании новых политик в каталоге параметров убедитесь в отсутствии конфликтующих параметров в текущих политиках.

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Создание политики с помощью каталога параметров в Microsoft Intune.

Применимо к:

• macOS

Регистрация устройства

Использование маркеров начальной загрузки на зарегистрированных устройствах macOS (общедоступная предварительная версия)

Теперь Intune поддерживает использование маркеров начальной загрузки на зарегистрированных устройствах с macOS 10.15 или более поздних версий. Маркеры начальной загрузки позволяют пользователям, не имеющим прав администратора, иметь повышенные разрешения MDM и выполнять определенные программные функции от имени ИТ-администратора. Маркеры поддерживаются для:

• защищенные устройства (в Intune это все зарегистрированные устройства, утвержденные пользователем);
• устройства, зарегистрированные в Intune с помощью автоматической регистрации устройств Apple.

Использование маркеров начальной загрузки начнется не ранее 26 марта 2022 г., и может пройти еще некоторое время, прежде чем они станут доступны во всех клиентах.

Дополнительные сведения об использовании маркеров начальной загрузки в Intune см. в статье Настройка регистрации для устройств macOS.

Регистрация виртуальных машин macOS на Apple Silicon

Используйте приложение "Корпоративный портал" для macOS, чтобы зарегистрировать виртуальные машины на Apple Silicon. Intune поддерживает использование виртуальных машин macOS только для тестирования. Дополнительные сведения о регистрации виртуальных машин в Intune см. в статье Настройка регистрации для устройств macOS.

Управление доступом на основе ролей

Android (AOSP) будет поддерживать теги области и параметры RBAC

При создании политики для Android (AOSP) можно использовать управление доступом на основе ролей (RBAC) и теги области.

Дополнительные сведения об этих функциях см. в следующих статьях:

• Управление доступом на основе ролей (RBAC) в Microsoft Intune
• Использование RBAC и тегов области для распределенной ИТ-разработки

Применимо к:

• Android Open Source Project (AOSP)

Февраль 2022 г.

Управление приложениями

Расширенный параметр ведения журнала в приложении "Корпоративный портал Intune"

Параметр Включить расширенное ведение журнал доступен в приложении "Корпоративный портал Intune" версии v5.2202 и более поздних версий для iOS/iPadOS и macOS. Пользователи устройств могут включать или отключать расширенное ведение журнала на устройстве. Если включить расширенное ведение журнала, подробные отчеты журнала будут отправляться в Майкрософт для устранения неполадок. По умолчанию параметр Включить расширенное ведение журнала отключен. Пользователи устройств должны отключить этот параметр, если ИТ-администратор их организации не поручает иначе. Дополнительные сведения см. в разделах Общий доступ к данным об использовании Корпоративный портал корпорации Майкрософт и Управление параметрами Корпоративный портал для macOS.

Конфигурация устройства

План передачи данных для автоматической регистрации устройств Apple

В рамках профиля регистрации iOS/iPadOS при настройке автоматической регистрации устройств (ADE) теперь можно настроить устройства для активации передачи данных. При настройке этого параметра будет отправлена команда для активации тарифных планов передачи данных для мобильных устройств вашей организации с поддержкой eSim. Ваш оператор должен предоставить активацию для ваших устройств, прежде чем вы сможете активировать тарифные планы с помощью этой команды. Этот параметр применяется к устройствам под управлением iOS/iPadOS 13.0 и более поздних версий, которые регистрируются в ADE. Дополнительные сведения см. в статье Автоматическая регистрация устройств iOS и iPadOS с помощью автоматической регистрации устройств Apple.

Управление устройствами

Поддержка звукового оповещения на выделенных устройствах с Android (COSU)

Теперь вы можете использовать действие Воспроизведение потерянного звукового устройства устройства , чтобы активировать сигнал тревоги на устройстве, чтобы помочь найти потерянное или украденное выделенное устройство Android Enterprise. Дополнительные сведения см. в статье Поиск потерянных или украденных устройств.

Обновления пользовательского интерфейса при создании политики конфигурации устройства VPN по запросу на устройствах iOS/iPadOS.

Вы можете создать VPN-подключение по запросу для устройств iOS/iPadOS (конфигурация>устройств>Create>iOS/iPadOS для VPN платформы > для типа > профиля Автоматический VPN>по запросу).

Пользовательский интерфейс обновлен для лучшего соответствия техническому именованию Apple. Чтобы просмотреть параметры VPN по требованию, которые можно настроить, перейдите в раздел Автоматические параметры VPN на устройствах iOS и iPadOS.

Применимо к:

• iOS/iPadOS

В Android Enterprise используйте параметр «Подключаться автоматически» в корпоративных профилях Wi-Fi

На устройствах Android Enterprise можно создать Wi-Fi профили, которые включают общие параметры корпоративной Wi-Fi (Конфигурация>устройств>Create>Android Enterprise для платформы >Полностью управляемый, Выделенный и Corporate-Owned рабочий профиль>Wi-Fi для типа > профиля Enterprise для типа Wi-Fi).

Вы можете настроить параметр Подключаться автоматически, который автоматически подключается к сети Wi-Fi, когда устройства находятся в радиусе действия.

Чтобы просмотреть параметры, которые можно настроить, перейдите в раздел Добавление параметров Wi-Fi для выделенных и полностью управляемых устройств Android Enterprise.

Применимо к:

• Android Enterprise — полностью управляемые корпоративные устройства (COBO)
• Android Enterprise — выделенные корпоративные устройства (COSU)

Статус «Устаревший» в отчете о готовности к миграции аналитики групповой политики автоматически переоценивает объекты групповой политики

С помощью аналитики групповой политики можно импортировать объекты групповой политики (GPO), чтобы просмотреть параметры, поддерживаемые поставщиками MDM, включая Microsoft Intune. Здесь также отображаются все нерекомендуемые параметры или параметры, недоступные для поставщиков MDM.

Группа продуктов Intune обновляет логику сопоставления. Когда происходят обновления, устаревшие параметры автоматически переоцениваются. Раньше вам приходилось повторно импортировать объекты групповой политики.

Дополнительные сведения об аналитике групповая политика и отчетах см. в статье Анализ объектов локальной групповой политики (GPO) с помощью аналитики групповая политика в Microsoft Intune.

Применимо к:

• Windows 11
• Windows 10

Создание условий использования для пользовательских устройств Android (AOSP)

Требовать от пользователей Android (AOSP) принятия ваших условий в приложении корпоративного портала Intune перед регистрацией своих устройств. Эта функция доступна только для корпоративных устройств, связанных с пользователем. Дополнительные сведения о создании условий использования в Intune см. в разделе Условия для доступа пользователей.

Применение Microsoft Entra условий использования в облачных приложениях Microsoft Intune или Microsoft Intune регистрации

Используйте облачное приложение Microsoft Intune и (или) облачное приложение регистрации Microsoft Intune для применения политики условного доступа Microsoft Entra условий использования на устройствах iOS и iPadOS во время автоматической регистрации устройств. Эта функция доступна при выборе помощника по настройке с современной проверкой подлинности в качестве метода проверки подлинности. Оба облачных приложения теперь гарантируют, что пользователи принимают условия использования во время регистрации и/или во время входа на корпоративный портал, если этого требует политика условного доступа.

Новые параметры macOS в каталоге параметров

Каталог параметров содержит все параметры, которые можно настроить в политике устройства, и все в одном месте. При создании политики каталога параметров для устройств macOS доступны новые параметры (Конфигурация>устройств>Create>macOS для каталога параметров платформы> для типа профиля).

Новые параметры включают:

• Домены > Email Домены

• Печать > :

  • Разрешить локальные принтеры
  • Принтер, используемый по умолчанию
    • URI устройства
    • "Display Name" (Отображаемое имя);
  • Имя шрифта нижнего колонтитула
  • Размер шрифта нижнего колонтитула
  • Печать нижнего колонтитула
  • Печать MAC-адреса
  • Требовать администратора для добавления принтеров
  • Показать только управляемые принтеры
  • Список пользовательских принтеров
    • URI устройства
    • "Display Name" (Отображаемое имя);
    • Расположение
    • Модель
    • URL-адрес PPD
    • Принтер заблокирован

• Пароль удаления профиля >

• Глобальный прокси-сервер HTTP:

  • Вход через прокси-сервер разрешен
  • Резервный прокси-сервер PAC разрешен
  • URL-адрес прокси-сервера PAC
  • Пароль прокси-сервера
  • Прокси-сервер
  • Порт прокси-сервера
  • Тип прокси-сервера
  • Имя пользователя прокси-сервера

Дополнительные сведения о настройке профилей каталога параметров в Intune см. в статье Создание политики с помощью каталога параметров.

Безопасность устройств

Поддержка Microsoft Tunnel для Red Hat Enterprise Linux 8.5

Теперь вы можете использовать Red Hat Enterprise Linux (RHEL) 8.5 с Microsoft Tunnel.

Для поддержки RHEL 8.5 мы также обновили средство готовности (mst-readiness) с новым проверка для наличия модуля ip_tables в ядре Linux. По умолчанию RHEL 8.5 не загружает модуль ip_tables.

Для серверов Linux, не загружающих модуль, предоставлены инструкции по их немедленной загрузке и настройке сервера Linux для автоматической загрузки при загрузке.

Zimperium, партнер защиты от угроз на мобильных устройствах, теперь доступен в клиентах GCC High

Zimperium теперь доступен в качестве партнера защиты от угроз на мобильных устройствах (MTD) в средах US GCC High.

Благодаря этой поддержке вы найдете соединитель Intune для Zimperium в списке соединителей MTD, которые можно включить в клиенте GCC High.

Среда GCC High является более регулируемой средой, и в ней доступны только соединители для тех партнеров MTD, которые поддерживаются для среды GCC High. Дополнительные сведения о поддержке в клиентах GCC High см. в статье Microsoft Intune для правительства США GCC High и описание службы DoD.

Управление данными инвентаризации приложений для устройств iOS/iPadOS, которые Intune отправляет сторонним партнерам MTD.

Теперь можно настроить тип данных инвентаризации приложений для личных устройств iOS/iPadOS, которые Intune отправляет выбранному стороннему партнеру защиты от угроз на мобильных устройствах.

Чтобы управлять данными инвентаризации приложений, настройте следующий параметр как часть параметров политики соответствия требованиям MDM на соединителе защиты от угроз на мобильных устройствах для партнера:

• Отправлять полные данные инвентаризации приложений на личные устройства iOS/iPadOS

  Параметры для этой настройки включают:

  • On — если ваш партнер MTD синхронизирует данные приложения и запрашивает список приложений iOS/iPadOS из Intune, то этот список включает неуправляемые приложения (приложения, развернутые не через Intune) и приложения, развернутые с помощью Intune. Это поведение является текущим.
  • Выкл. Данные о неуправляемых приложениях предоставляться не будут, а партнер MTD получает сведения только о приложениях, которые были развернуты с помощью Intune.

Для корпоративных устройств данные об управляемых и неуправляемых приложениях по-прежнему включаются в запросы данных приложений поставщиком MTD.

Управление и устранение неполадок

Удаленная помощь перемещается в Центре администрирования Microsoft Intune

Страница Удаленная помощь в Центре администрирования Microsoft Intune перемещена и теперь доступна непосредственно в разделе администрирования клиента вместо соединителей и маркеров. Дополнительные сведения о Удаленная помощь см. в разделе Использование Удаленная помощь.

Январь 2022 г.

Управление приложениями

Развертывание приложений типа DMG на управляемых устройствах macOS

Вы можете отправлять и развертывать приложения типа DMG на управляемые компьютеры Mac из Microsoft Intune с помощью требуемого типа назначения. DMG — это расширение файлов для образа диска Apple. Приложения типа DMG разворачиваются с помощью агента MDM Microsoft Intune для macOS. Вы можете добавить приложение DMG из центра администрирования Microsoft Intune, выбрав Приложения>macOS>Добавить>приложение macOS (DMG). Дополнительные сведения см. в статье Добавление приложения DMG macOS в Microsoft Intune.

Управление устройствами

Выбор области пользователя или устройства при создании VPN-профилей Windows

Вы можете создать профиль VPN для устройств Windows, который настраивает параметры VPN (конфигурация>устройств>Create>Windows 10 и более поздние версии для шаблонов платформы>>VPN для профиля).

При создании профиля используйте параметр Использовать этот профиль VPN в области пользователя или устройства для применения профиля к области пользователя или области устройства:

• Область пользователя. Профиль VPN устанавливается в учетной записи пользователя на устройстве.
• Область устройства. Профиль VPN устанавливается в контексте устройства и применяется ко всем пользователям на устройстве.

Существующие профили VPN будут применяться к существующим область и не затрагиваются этим изменением. Все профили VPN устанавливаются в области пользователей, кроме профилей с включенным туннелем устройств, для которых требуется область устройства.

Дополнительные сведения о параметрах VPN, которые можно настроить в настоящее время, см. в статье Параметры устройств с Windows для добавления VPN-подключений с помощью Intune.

Применимо к:

• Windows 11
• Windows 10

Фильтры являются общедоступными (GA)

С помощью фильтров вы можете включать или исключать устройства в назначениях рабочей нагрузки (например, для политик и приложений) на основе различных свойств устройств. Фильтры стали общедоступными (общедоступная версия).

Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей.

Поддержка правил автоматической очистки для устройств Android Enterprise

Intune поддерживает создание правил автоматического удаления устройств, которые могут быть неактивными, устаревшими или не отвечают на запросы. Теперь эти правила очистки можно использовать на устройствах Android Enterprise, которые ранее не поддерживали их. Теперь эти правила поддерживаются для следующих элементов.

• Полностью управляемая среда Android Enterprise
• Выделенные устройства Android для бизнеса
• Корпоративное устройство Android Enterprise с рабочим профилем

Дополнительные сведения о правилах очистки см. в статье Автоматическое удаление устройств с помощью правил очистки.

Использование сбора диагностики для сбора дополнительных сведений с устройств Windows 365 с помощью удаленных действий Intune

Удаленное действие Intune по сбору диагностика теперь собирает дополнительные сведения с устройств Windows 365 (Coud-PC). Новые сведения для устройств с Windows 365 включают следующие данные реестра.

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\WebRTC Redirector
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Teams\

Сведения об удаленных действиях, поддерживаемых устройствами с Windows 365, см. в статье Удаленное управление устройствами с Windows 365.

Функции подключения клиента являются общедоступными (GA)

В настоящее время доступны следующие функции подключения клиента.

• Сведения о клиенте
• Приложения
• Временная шкала устройства
• Обозреватель ресурсов
• CMPivot
• Сценарии
• Ключи восстановления BitLocker
• Коллекции

Откройте предварительный просмотр отфильтрованного списка устройств перед развертыванием

Теперь при создании или редактировании фильтра в Microsoft Intune можно открыть предварительный просмотр списка отфильтрованных устройств. Новое представление устраняет необходимость применения тестовых фильтров, так как вы можете сразу просмотреть влияние фильтра на устройства и настроить правила фильтрации для достижения нужного результата. Дополнительные сведения об использовании фильтров в Microsoft Intune см. в статье Создание фильтра.

Безопасность устройств

Общедоступная предварительная версия функции клиента для Tunnel в приложении "Microsoft Defender для конечной точки" для iOS/iPadOS

Функции клиента Microsoft Tunnel для iOS/iPadOS переносятся в приложение "Microsoft Defender для конечной точки". Благодаря этой предварительной версии вы можете перейти на использование предварительной версии Microsoft Defender для конечной точки в качестве клиентского приложения Tunnel на всех поддерживаемых устройствах. Существующий клиент Tunnel пока остается доступным, но позднее он будет выведен из эксплуатации в пользу приложения "Microsoft Defender для конечной точки".

Эта общедоступная предварительная версия применяется к следующим объектам:

• iOS/iPadOS

Для использования этой предварительной версии нужно скачать предварительную версию приложения "Microsoft Defender для конечной точки" из Apple App Store, а затем перенести поддерживаемые устройства из автономного клиентского приложения Tunnel в эту предварительную версию приложения. Дополнительные сведения см. в статье о миграции в приложение "Microsoft Defender для конечной точки".

Новая политика защиты учетных записей для настройки пользователей в локальных группах на устройствах в общедоступной предварительной версии

В общедоступной предварительной версии можно использовать новый профиль для политик защиты учетных записей Intune, чтобы управлять участием во встроенных локальных группах на устройствах с Windows 10 и 11.

Каждое устройство с Windows поставляется с набором встроенных локальных групп. Каждая локальная группа содержит набор пользователей, обладающих правами в этой группе. С помощью нового профиля участия в локальной группе пользователей (предварительная версия) для политик защиты учетных записей безопасности конечных точек вы можете управлять тем, какие пользователи являются участниками этих локальных групп.

Чтобы настроить участие в локальной группе, выберите встроенную локальную учетную запись для изменения, а затем выберите пользователей для добавления, удаления или замены в группе другими пользователями. Каждое устройство, получающее политику, обновляет участие в этих локальных группах. Изменение участия в группе на каждом устройстве выполняется с помощью CSP политики — LocalUsersAndGroups.

Дополнительные сведения см. в статье Управление локальными группами на устройствах с Windows.

Сценарии/разработчик

Обновления хранилища данных Intune

Сущность applicationInventory удалена из Intune Data Warehouse. Новый набор данных теперь доступен в пользовательском интерфейсе и через API экспорта Intune. Дополнительные сведения см. в разделе Экспорт отчетов Intune с помощью API Graph.

Декабрь 2021 г.

Управление приложениями

Дополнительные ограничения ПИН-кода сеанса, доступные для приложения Microsoft Управляемый главный экран

Приложение Управляемый главный экран для Android Enterprise теперь может применять дополнительные ограничения на ПИН-коды сеансов пользователя. В частности, Управляемый главный экран теперь предлагает:

• Возможность определить минимальную длину ПИН-кода сеанса.
• Возможность определить максимальное количество попыток пользователя ввести ПИН-код сеанса, прежде чем будет выполнен выход из приложения Managed Home Screen.
• Возможность определить значения сложности, ограничивающие создание ПИН-кодов с помощью повторяющегося (444) или упорядоченных (123, 321, 246) шаблонов.

Дополнительные сведения см. в статье Настройка приложения Microsoft Managed Home Screen для Android Enterprise и Параметры устройств Android Enterprise, позволяющие разрешить или ограничить некоторые функции с помощью Intune.

Конфигурация устройства

Новый параметр для просмотра количества профилей с ошибкой или конфликтом в профилях конфигурации устройств

В Центре администрирования Intune есть новый параметр "Политики X с ошибкой или конфликтом". При выборе этого параметра вы автоматически перейдете к отчету Устройства>Монитор>Сбои назначения. Этот отчет помогает устранять ошибки и конфликты.

Этот новый параметр доступен в следующих расположениях в Центре администрирования Intune:

• Домашняя страница
• Панель мониторинга

Дополнительные сведения см. в разделе Мониторинг профилей устройств в Microsoft Intune и Отчет о сбоях назначения.

Применимо к:

• Windows 11
• Windows 10

Новые параметры времени ожидания и блокировки частного узла iCloud для устройств iOS/iPadOS и macOS

На устройствах iOS/iPadOS и macOS можно создать политику ограничений устройств, которая управляетфункциями на устройстве (Конфигурация >устройств>Create>iOS/iPadOS или macOS для ограничений платформы> устройств).

Доступны новые параметры:

• iOS/iPadOS:
  • Блокировка частного узла iCloud. На защищенных устройствах этот параметр не позволяет пользователям использовать частный узел iCloud (открывает веб-сайт Apple).
• macOS
  • Блокировка частного узла iCloud. На защищенных устройствах этот параметр не позволяет пользователям использовать частный узел iCloud (открывает веб-сайт Apple).
  • Время ожидания. Пользователи могут разблокировать свои устройства с помощью Touch ID, например отпечатка пальца. Используйте этот параметр, чтобы требовать от пользователей ввода пароля после периода бездействия. Период бездействия по умолчанию — 48 часов. После 48 часов бездействия устройство запрашивает пароль, а не Touch ID.

Применимо к:

• iOS и iPadOS 15 и более поздних версий
• macOS 12 или более поздних версий

Новые параметры ограничений для корпоративных устройств Android Enterprise с рабочим профилем

На устройствах Android Enterprise можно настроить параметры, управляющие функциями на устройствах (Конфигурация>устройств>Create>Android Enterprise для ограничений платформы> Устройства для типа > профиля Общие).

Для корпоративных устройств Android Enterprise с рабочим профилем существуют новые параметры:

• Поиск рабочих контактов и отображение рабочего идентификатора звонящего в личном профиле
• Копирование и вставка между рабочим и личным профилями
• Совместное использование данных между рабочим и личным профилем

Дополнительные сведения о параметрах, которые можно настроить в настоящее время, см. в разделе Параметры устройства Android Enterprise, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• Android Enterprise — корпоративный рабочий профиль (COPE)

Каталог параметров поддерживается в государственных учреждениях США GCC High и DoD

Каталог параметров доступен и поддерживается в государственных учреждениях США GCC High и DoD.

Дополнительные сведения о каталоге параметров см. в статье Использование каталога параметров для настройки параметров на устройствах Windows и macOS.

Применимо к:

• macOS
• Windows 11
• Windows 10

Ввод общего имени сертификата в профилях Wi-Fi для полностью управляемых, выделенных и корпоративных устройств Android Enterprise с рабочим профилем

На устройствах Android Enterprise можно создать профиль Wi-Fi, который настраивает параметры корпоративного Wi-Fi (Конфигурация>устройств>Create>Android Enterprise для полностью управляемой платформы>, выделенный и Corporate-Owned рабочий профиль>Wi-Fi для типа профиля).

При выборе Предприятие доступен новый параметр Имя сервера Radius. Этот параметр является именем DNS, используемым в сертификате, который предоставляется точке доступа Wi-Fi сервером Radius Server во время проверки подлинности клиента. Например, введите Contoso.com, uk.contoso.com или jp.contoso.com.

Если у вас несколько серверов Radius с одинаковым суффиксом DNS в полном доменном имени, вы можете ввести только суффикс. Например, можно ввести contoso.com.

При вводе этого значения устройства пользователей смогут обходить диалоговое окно динамического доверия, которое иногда отображается при подключении к сети Wi-Fi.

Что нужно знать:

• Для новых профилей Wi-Fi, предназначенных для Android 11 или более поздней версии, может потребоваться настроить этот параметр. В противном случае устройства могут не подключаться к Wi-Fi сети.

Дополнительные сведения о параметрах, которые можно настроить в настоящее время, см. в разделе Параметры Wi-Fi для полностью управляемых, выделенных и корпоративных устройств Android Enterprise с рабочим профилем.

Применимо к:

• Android Enterprise — корпоративный рабочий профиль (COPE)
• Android Enterprise — полностью управляемые корпоративные устройства (COBO)
• Android Enterprise — выделенные устройства (COSU)

Новые параметры административных шаблонов для Microsoft Edge 96, 97 и средства обновления Microsoft Edge на устройствах с Windows

В Intune можно использовать административные шаблоны для настройки параметров Microsoft Edge (конфигурация>устройств>Create>Windows 10 и более поздних версий дляадминистративных шаблонов> платформы > для типа профиля).

Существуют новые параметры административных шаблонов для Microsoft Edge 96, 97 и microsoft Edge updater, включая поддержку переопределения целевого канала . Используйте Переопределение целевого канала, чтобы предоставить пользователям параметр цикла выпуска Расширенная стабильная версия, который можно настроить с помощью групповой политики или через Intune.

Дополнительные сведения см. в разделе:

• Настройка параметров политики Microsoft Edge в Microsoft Intune
• Обзор каналов Microsoft Edge
• Документация по политике браузера Microsoft Edge

Применимо к:

• Windows 11
• Windows 10
• Microsoft Edge

Регистрация устройства

Применение фильтров типа устройств к политикам ограничений для регистрации в Windows и Apple (предварительная версия)

Используйте новые фильтры назначения в Ограничениях регистрации, чтобы включить или исключить устройства на основе их типа. Например, вы можете разрешить личные устройства и одновременно блокировать устройства с Windows 10 Домашняя, применив фильтр назначения operatingsystemSKU. Фильтры могут применяться к политикам регистрации Windows, macOS и iOS. Поддержка Android планируется позднее. Фильтры также позволяют использовать новые возможности установки для ограничений регистрации. Дополнительные сведения о создании фильтров см. в статье Создание фильтра. Дополнительные сведения об использовании фильтров с ограничениями регистрации см. в статье Установка ограничений регистрации.

Использование фильтров для назначений профиля страницы состояния регистрации Windows

Фильтры позволяют включать или исключать устройства в назначения политик или приложений на основе различных свойств устройств. При создании профиля страницы состояния регистрации (ESP) при назначении профиля можно использовать фильтры. Также доступны параметры назначения Все пользователи и Все устройства. В Центре администрирования Microsoft Intune выберите Устройства>Регистрация устройств>Страница> состояния регистрации Create. Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей. Дополнительные сведения о профилях ESP см. в статье Настройка страницы состояния регистрации.

Управление устройствами

Запуск Удаленная помощь из Центра администрирования

Теперь вы можете запускать Удаленная помощь из Центра администрирования Microsoft Intune. Для этого в Центре администрирования перейдите в раздел Все устройства и выберите устройство, с которым требуется помощь. Затем выберите Создать Удаленная помощь сеанс, который доступен на панели удаленных действий в верхней части представления устройств.

Фильтрация аналитики конечных точек

Теперь вы можете добавлять фильтры в таблицы отчетов аналитики конечных точек. Использование фильтров позволяет обнаружить определенные тенденции в среде или возможные проблемы.

Использование фильтров для назначения сценариев предупредительных мер аналитики конечных точек в Центре администрирования (общедоступная предварительная версия)

В центре администрирования Intune можно создавать фильтры, а затем использовать их при назначении приложений и политик. Фильтры можно использовать для назначения следующей политики:

• Сценарии Windows PowerShell для предупредительных мер аналитики конечных точек (Отчеты>Аналитика конечных точек>Предупредительные меры).

Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей.

Применимо к:

• Windows 11
• Windows 10

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Groupdolists от Centrallo LLC

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

BlackBerry — новый партнер по защите от угроз на мобильных устройствах

Теперь вы можете использовать BlackBerry Protect Mobile (на платформе Cylance AI) в качестве интегрированного партнера по защите от угроз на мобильных устройствах (MTD) с Intune. Подключив соединитель BlackBerry Protect Mobile MTD в Intune, вы сможете управлять доступом с мобильных устройств к корпоративным ресурсам с помощью условного доступа на основе оценки риска.

Дополнительные сведения см. в указанных ниже статьях.

• Интеграция MTD с Intune
• Документация BlackBerry UES

Управление и устранение неполадок

Новое средство просмотра событий для диагностики Windows 10

Добавлено новое средство просмотра событий для диагностики устройств с Windows под названием Microsoft-Windows-Брандмауэр Windows в режиме повышенной безопасности/Брандмауэр. Средство просмотра событий может помочь вам в устранении неполадок с брандмауэром. Дополнительные сведения о диагностике устройств с Windows см. в разделе Сбор диагностики с устройства Windows.

Состояние соответствия устройства на веб-сайте Корпоративного портала

Конечные пользователи могут легко проверить состояние соответствия своих устройств на веб-сайте Корпоративного портала. Конечные пользователи могут перейти на веб-сайт Корпоративного портала, а затем на страницу Устройства для просмотра статуса устройств. Устройства приводятся со статусами Есть доступ к ресурсам компании, Проверка доступа или Нет доступа к ресурсам компании. Дополнительные сведения см. в разделах Управление приложениями с веб-сайта Корпоративный портал и Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Ноябрь 2021 г.

Управление приложениями

Включение приоритета обновления приложений корпоративного Google Play

Вы можете установить приоритет обновления приложений корпоративного Google Play для выделенных, полностью управляемых и корпоративных устройств Android Enterprise с рабочим профилем. Выберите Высокая важность для обновления приложения сразу после публикации обновления разработчиком, независимо от состояния заряда батареи, доступности Wi-Fi и действий конечного пользователя на устройстве. Дополнительные сведения см. в статье Добавление приложений корпоративного Google Play на устройства Android Enterprise с помощью Intune.

Очистка данных приложений между сеансами для выделенных устройств Android Enterprise, зарегистрированных в режиме общего устройства (общедоступная предварительная версия)

С помощью Intune вы можете очистить данные приложений, которые не интегрированы в режим общего устройства, чтобы обеспечить конфиденциальность пользователей между сеансами входов. Пользователям потребуется инициировать выход из приложения, которое интегрировано с Microsoft Entra режиме общего устройства, чтобы указанные ИТ-приложения очистили свои данные. Эта функция будет доступна для выделенных устройств Enterprise Android, зарегистрированных в режиме общего устройства на Android 9 или более поздней версии.

Экспорт базовых данных для списка обнаруженных приложений

Помимо сводных данных для списка обнаруженных приложений, вы можете экспортировать более подробные базовые данные. Текущий сводные данные по экспорту предоставляет обобщенные агрегированные данные, однако новый интерфейс также предоставляет необработанные данные. Экспорт необработанных данных позволит получить полный набор данных, на основе которых создавался сводный агрегированный отчет. Необработанные данные — это полный список устройств и приложений, обнаруженных для каждого устройства. Эта возможность добавлена в консоль Intune для замены набора данных инвентаризации приложений Intune Data Warehouse. В Центре администрирования Microsoft Intune выберите Приложения>Монитор>обнаруженных приложений>Экспорт, чтобы отобразить параметры экспорта. Дополнительные сведения см. в разделах Intune обнаруженных приложений и Экспорт отчетов Intune с помощью API Graph.

Улучшения фильтрации при отображении списков приложений для конкретных платформ

Фильтры были улучшены при отображении списков приложений для конкретных платформ в Центре администрирования Microsoft Intune. Ранее при переходе к списку приложений для конкретных платформ вы не могли использовать фильтр Тип приложения для списка. Это изменение позволяет применять фильтры (включая фильтры типа приложения и состояния назначения ) к списку приложений для конкретной платформы. Дополнительные сведения см. в статье Отчеты Intune.

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• PenPoint компании Pen-Link, Ltd.

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Новое разрешение RBAC для связей замены и зависимости приложений Win32

Добавлено новое разрешение Microsoft Intune для создания и изменения замены приложений Win32 и отношений зависимостей с другими приложениями. Разрешение доступно в категории Мобильные приложения путем выбора параметра Связь. Начиная с выпуска службы 2202 Intune администраторам потребуется это разрешение для добавления приложений замены и зависимостей при создании или редактировании приложения Win32 в центре администрирования Microsoft Intune. Чтобы найти это разрешение в Центре администрирования Microsoft Intune, выберите администрирование> клиентаРоли>Все роли>Create. Это разрешение добавлено к следующим встроенным ролям.

• Диспетчер приложений
• Школьный администратор

Дополнительные сведения см. в разделе Create настраиваемой роли в Intune.

Неприменимые записи состояния больше не отображаются в отчете о состоянии установки устройства .

В соответствии с выбранным приложением отчет Состояние установки устройств содержит список устройств и сведений о состоянии для выбранного приложения. Сведения об установке приложения, связанные с устройством, включают следующие сведения: Имя субъекта-пользователя, Платформа, Версия, Состояние, Сведения о состоянии и Последняя синхронизация. Если платформа устройства отличается от платформы приложения, запись будет отсутствовать вместо отображения значения Неприменимо для параметра записи Сведения о состоянии. Например, если выбрано приложение Android и оно предназначено для устройства iOS, вместо значения состояния устройства Неприменимо состояние устройства для этой записи не будет отображаться в отчете Состояние установки устройства. Чтобы найти этот отчет, в центре администрирования Microsoft Intune выберите Приложения>Все приложения> Выберитесостояние установки устройстваприложения>. Дополнительные сведения см. в разделе Отчет о состоянии установки устройства для приложений (операционный).

Новые параметры ADMX для Microsoft Edge 95 и средства обновления Microsoft Edge

В административные шаблоны добавлены новые параметры ADMX для Microsoft Edge 95 и средства обновления Microsoft Edge. Эти параметры включают поддержку переопределения целевого канала, что позволяет клиентам в любой момент выбрать вариант расширенного стабильного цикла выпуска, используя групповая политика или через Intune. В центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Create. Затем выберите Платформа>Windows 10 и более поздних версий и Профиль>Шаблоны>Административные шаблоны. Дополнительные сведения см. в статьях Обзор каналов Microsoft Edge, Документация по политике браузера Microsoft Edge и Настройка параметров политики Microsoft Edge в Microsoft Intune.

Новый экран согласия с условиями конфиденциальности при установке Корпоративного портала

Добавлен новый экран согласия с условиями конфиденциальности в Корпоративный портал для Android, чтобы соответствовать требованиям конфиденциальности для некоторых магазинов приложений, например в Китае. Люди установке Корпоративный портал впервые из этих магазинов отображается новый экран во время установки. На экране объясняется, какие сведения собирает корпорация Майкрософт и как они используются. Пользователь должен согласиться с условиями, прежде чем использовать приложение. Пользователи, установившие Корпоративный портал до этого выпуска, не увидят новый экран.

Обновление приложений Корпоративный портал Android и Intune для пользовательских уведомлений

Мы внесли обновления на стороне службы для пользовательских уведомлений о выпуске службы Intune за ноябрь (2111 г.). Для оптимального взаимодействия с пользователем пользовательские уведомления требуют от пользователей обновления до последних версий android Корпоративный портал (версия 5.0.5291.0, выпущенная в октябре 2021 г.) или приложение android Intune (версия 2021.09.04, выпущенная в сентябре 2021 г.). Если пользователи не обновляются до выпуска службы Intune за ноябрь (2111 г.) и им будет отправлено настраиваемое уведомление, они получат уведомление об обновлении приложения для просмотра уведомления. После обновления приложения они увидят сообщение, отправленное вашей организацией, в разделе Уведомления в приложении. Дополнительные сведения см. в статье Отправка настраиваемых уведомлений в Intune.

Управление устройствами

Оценки для каждого устройства в аналитике конечных точек

Оценки для устройств в Аналитике конечных точек теперь общедоступны, а не в состоянии предварительной версии. Оценки для каждого устройства помогают определить устройства, которые могут повлиять на взаимодействие с пользователем. Просмотр оценок на устройство может помочь вам найти и устранить проблемы с конечными пользователями до вызова в службу поддержки.

В отчете о сбоях обновления компонентов теперь отображаются защитные блокировки

Если устройство заблокировано для установки обновления Windows из-за удержания средств защиты, вы можете просмотреть сведения об этом удержании в отчете о сбоях обновления компонентов центра > администрирования Microsoft Intune.

Устройство с защитной блокировкой отображается в отчете как устройство с ошибкой. При просмотре сведений о таком устройстве столбец Сообщение оповещения отображает фразу Защитная блокировка, а столбец Код ошибки развертывания содержит ИД защитной блокировки.

Корпорация Майкрософт иногда устанавливает защитные блокировки, чтобы запретить установку обновления на устройстве, если известно, что обнаруженное содержимое устройства приведет к неправильной работе после обновления. Например, программное обеспечение или драйверы являются распространенными причинами установки защитной блокировки. Блокировка сохраняется до тех пор, пока не будет решена базовая проблема для безопасной установки обновления.

Дополнительные сведения об активных защитных блокировках и ожиданиях по их разрешению см. на панели мониторинга работоспособности выпуска Windows на странице https://aka.ms/WindowsReleaseHealth.

Улучшения для управления обновлениями Windows в предварительных сборках

Мы улучшили возможности использования кругов обновления для Windows 10 и более поздних версий для управления обновлениями Windows для предварительных сборок. К улучшениям относятся:

• Включить предварительные сборки — это новый элемент управления на странице Параметры круга обновления для кругов обновления. Используйте этот параметр для настройки назначенных устройств на обновление до предварительной сборки. Вы можете выбрать следующий список предварительных сборок:

  • Бета-канал
  • Канал разработчика
  • Предварительная версия программы предварительной оценки Windows

  Дополнительные сведения о предварительных сборках см. на веб-сайте программы предварительной оценки Windows .

• Для устройств, которым назначены политики Круги обновления для Windows 10 и более поздних версий, больше не будет изменяться параметр ManagePreviewBuilds во время развертывания Autopilot. Когда этот параметр изменился во время Autopilot, он заставил перезагрузить другое устройство.

Использование кругов обновления для Windows 10 и более поздних версий с целью перехода на Windows 11

Существует новый параметрUpdate Rings for Windows 10 и более поздних версий. Этот параметр позволяет обновить соответствующие устройства с Windows 10 до Windows 11:

• Обновление Windows 10 устройств до последней версии Windows 11. По умолчанию для этого параметра задано значение Нет. Если задано значение Да, соответствующие Windows 10 устройства, получающие эту политику, до последней сборки Windows 11.

  Если задано значение Да, Intune отображает окно со сведениями, которое подтверждает, что, развертывая этот параметр, вы принимаете условия лицензионного соглашения Майкрософт для устройств, которые обновляются. Информационное поле также содержит ссылку на условия лицензии Майкрософт.

Дополнительные сведения о кругах обновления см. в статье Круги обновления для Windows 10 и более поздних версий.

Удаленное действие устройства по отключению блокировки активации для iOS/iPadOS удалено из пользовательского интерфейса

Удаленное действие устройства для отключения блокировки активации больше не доступно в Intune. Вы можете обойти блокировку активации, как описано в статье Отключение блокировки активации на защищенных устройствах iOS и iPadOS с помощью Intune.

Это удаленное действие удалено, так как отключение функции Блокировка активации iOS/iPadOS работало неправильно.

Обновления для базовых показателей безопасности

Доступна пара обновлений для базовых конфигураций безопасности, которые добавляют следующие параметры.

• Базовая конфигурация безопасности для Windows 10 и более поздних версий (применяется к Windows 10 и Windows 11). Новая версия базовой конфигурации (за ноябрь 2021 г.) добавляет сценарии сканирования, используемые в браузерах Майкрософт, в категорию Microsoft Defender. Эта базовая конфигурация не содержит других изменений.

• Базовая конфигурация безопасности Windows 365 (предварительная версия). Новая версия базовой конфигурации (версия 2110) добавляет следующие два параметра без каких-либо других изменений.

  • Параметр Сценарии сканирования, используемые в браузерах Майкрософт добавлен в категорию Microsoft Defender.
  • Параметр Включить защиту от незаконного изменения данных, чтобы избежать отключения Microsoft Defender добавлен в Безопасность Windows, которая является новой категорией, добавленной в этой версии базовой конфигурации.

Запланируйте обновление базовых конфигураций до последней версии. Чтобы понять, что изменилось между версиями, см. раздел Сравнение версий базовых конфигураций с описанием процесса экспорта CSV-файла с этими изменениями.

Использование настраиваемых параметров соответствия требованиям для устройств с Windows 10/11 (общедоступная предварительная версия)

В общедоступной предварительной версии политика соответствия требованиям для устройств с Windows 10 и Windows 11 поддерживает добавление настраиваемых параметров в политику соответствия устройств требованиям. Результаты пользовательских параметров отображаются в Центре администрирования Microsoft Intune вместе с другими сведениями о политике соответствия требованиям.

Чтобы использовать настраиваемые параметры, создайте и добавьте следующие элементы в Центр администрирования для поддержки настраиваемых параметров соответствия.

• JSON-файл. В файле JSON подробно описаны настраиваемые параметры и их значения соответствия требованиям. JSON также содержит сведения, которые вы предоставляете пользователям о том, как исправить параметры, если они не соответствуют требованиям.
• Сценарий PowerShell. Сценарий PowerShell будет разворачиваться на устройствах, где он запускается, чтобы определить состояние параметров, идентифицированных в файле JSON, и сообщить о них обратно в Intune.

После готовности JSON и сценария вы можете создать стандартную политику соответствия требованиям, которая включает настраиваемые параметры. Возможность включения настраиваемых параметров содержится в новой категории параметров соответствия с именем Настраиваемое соответствие требованиям.

Чтобы узнать больше, в том числе ознакомиться с примерами файла JSON и сценария PowerShell, см. статью Настраиваемые параметры соответствия.

Новые параметры планирования обновлений компонентов для Windows 10 и более поздних версий

Мы добавили три варианта развертывания для поддержки улучшенного планирования, когда обновления из политики для обновлений компонентов для Windows 10 и более поздних версий становятся доступными для установки устройств. Эти новые параметры перечислены ниже.

• Сделать обновление доступным как можно скорее. Отсутствует задержка доступности обновлений, что было предшествующим поведением.
• Сделать обновление доступным в указанную дату. С помощью этого параметра вы можете выбрать первый день, когда это обновление будет предложено Центром обновления Windows для устройств, применяющих эту политику.
• Постепенное обновление. При использовании этого параметра клиентский компонент Центра обновления Windows делит устройства, получающие эту политику, на различные группы, которые вычисляются на основе времени начала группы, времени окончания группы и дней ожидания между группами. Центр обновления Windows затем предлагает обновление для этих групп по одному, пока последней группе не будет предложено обновление. Этот процесс помогает распределить доступность обновления по времени настройки. Это может снизить влияние на вашу сеть по сравнению с предложением обновления для всех устройств одновременно.

Дополнительные сведения, включая детали о постепенной доступности, см. в статье Параметры выпуска для обновлений Windows.

Новые сведения об устройствах с Windows, доступные в Центре администрирования Microsoft Intune

Теперь собираются следующие сведения об устройствах Windows 10 и Windows 11, которые можно просмотреть в области сведений об устройствах в Центре администрирования Microsoft Intune:

• Версия BIOS системного управления
• Версия производителя доверенного платформенного модуля
• Код изготовителя TPM

Эти сведения также включаются при экспорте сведений из области Все устройства .

Параметры для общего iPad теперь общедоступны

Четыре общих параметра iPad теперь недоступны для предварительной версии и доступны для использования при создании профиля регистрации Apple. Эти параметры применяются во время автоматической регистрации устройств (ADE).

Для iPadOS 14.5 и более поздней версии в режиме общего iPad:

• Требовать только временный параметр общего iPad. Настраивает устройства так, что пользователям демонстрируется только гостевая версия интерфейса входа и им требуется входить как гостевым пользователям. Пользователи не могут войти с помощью управляемого Apple ID.
• Максимальное время бездействия (в секундах) до завершения временного сеанса. Если после указанного времени не выполняется никаких действий, временный сеанс автоматически завершается.
• Максимальное время бездействия (в секундах) до завершения сеанса пользователя. Если после указанного времени не выполняется никаких действий, сеанс пользователя автоматически завершается.

Для iPadOS 13.0 и более поздней версии в режиме общего iPad:

• Максимальное время (в секундах) после блокировки экрана, по истечении которого запрашивается пароль для общего iPad. Если блокировка экрана длится больше указанного количества времени, потребуется пароль устройства для его разблокировки.

Дополнительные сведения о настройке устройств в режиме общего iPad см. в статье Создание профиля регистрации Apple.

Дублирование профиля каталога параметров

Профили каталога параметров теперь поддерживают дублирование. Чтобы создать копию существующего профиля, выберите Дублировать. Копия содержит те же конфигурации параметров и теги области, что и исходный профиль, но не содержит никаких вложенных назначений. Дополнительные сведения о каталоге параметров см. в статье Использование каталога параметров для настройки параметров на устройствах Windows и macOS.

Отчет о работе из любого места

Отчет Работа из любого места заменил отчет Рекомендуемое программное обеспечение в разделе Аналитика конечных точек. Отчет Работа из любого места содержит сведения о метриках для Windows, облачном управлении, облачных удостоверениях и облачной подготовке. Дополнительные сведения см. в статье Отчет о работе из любого места.

Прекращение поддержки расположений для администратора устройств Android

В октябре 2021 г. была прекращена поддержка использования расположений в политике соответствия требованиям для устройств, зарегистрированных в качестве администратора устройства Android. Использование расположений часто называется ограничением сети.

Для администратора устройства Android политики и зависимости, которые использовали возможности ограничения сети, больше не работают. Как было объявлено ранее, мы повторно планируем поддержку сетевого ограждения. Дополнительные сведения будут предоставляться, когда они будут доступны.

Безопасность устройств

Просмотр ключей восстановления BitLocker для подключенных к клиенту устройств

Теперь вы можете просмотреть ключ восстановления BitLocker для подключенных к клиенту устройств в Центре администрирования Microsoft Intune. Ключи восстановления по-прежнему хранятся локально для устройств, подключенных к клиенту, но отображение в Центре администрирования предназначено для помощи в сценариях технической поддержки из Центра администрирования.

Чтобы просмотреть ключи, учетная запись Intune должна обладать разрешениями Intune RBAC на просмотр ключей BitLocker и должна быть связана с локальным пользователем, у которого есть соответствующие локальные разрешения роли сбора в диспетчере конфигураций с разрешением Чтение ключа восстановления BitLocker.

Пользователи с правильными разрешениями могут просматривать ключи в разделе Устройства>Устройства с Windows>выбор устройства>Ключи восстановления.

Configuration Manager сайты под управлением версии 2107 или более поздней поддерживают эту функцию. Для сайтов под управлением версии 2107 необходимо установить накопительный пакет обновления для поддержки Microsoft Entra присоединенных устройств. Дополнительные сведения см. в обновлении kB11121541.

Параметры BitLocker, добавленные в каталог параметров

Мы добавили в каталог параметров Microsoft Intune 9 параметров BitLocker, которые ранее были доступны только в групповой политике (GP). Чтобы получить доступ к параметрам, перейдите в раздел Конфигурация устройств> и создайте профиль каталога параметров для устройств, работающих Windows 10 и более поздних версий. Затем выполните поиск по запросу BitLocker в каталоге параметров для просмотра всех параметров, связанных с BitLocker. Дополнительные сведения о каталоге параметров см. в статье Создание политики с помощью каталога параметров. Добавленные параметры:

• Предоставлять уникальные идентификаторы для организации
• Применить тип шифрования диска к несъемным дискам с данными
• Разрешить устройствам, совместимым с InstantGo или HSTI, отказаться от использования предзагрузочного ПИН-кода
• Разрешить улучшенные ПИН-коды при запуске
• Запретить обычным пользователям изменять ПИН-код или пароль
• Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах
• Применить тип шифрования диска к дискам операционной системы
• Управление использованием BitLocker для съемных дисков
• Применить тип шифрования диска к съемным носителям с данными

Управление безопасностью с помощью Defender для конечной точки (общедоступная предварительная версия)

Эта функция доступна в общедоступной предварительной версии и будет постепенно развертываться для клиентов в течение следующих нескольких недель. Вы можете подтвердить, что клиент получил эту возможность, когда соответствующие переключатели отображаются как в центре администрирования Microsoft Intune, так и в Microsoft Defender для конечной точки.

Управление безопасностью с помощью Microsoft Defender для конечной точки — это новый канал конфигурации. Используйте этот канал для управления конфигурацией безопасности для Microsoft Defender для конечной точки (MDE) на устройствах, не зарегистрированных в Microsoft Intune. В этом сценарии это Defender для конечной точки на устройстве, которое получает, применяет и сообщает о политиках для Defender для конечной точки, которые вы развертываете из Microsoft Intune. Устройства присоединяются к Microsoft Entra ID, а также отображаются в Центре администрирования Microsoft Intune вместе с другими устройствами, которыми вы управляете с помощью Intune и Configuration Manager.

Дополнительные сведения см. в статье Управление Microsoft Defender для конечной точки на устройствах с Microsoft Intune.

Управление и устранение неполадок

Удаленная помощь приложение доступно в виде общедоступной предварительной версии

В качестве общедоступной предварительной версии приложение Удаленная помощь можно использовать с клиентом Intune. С Удаленная помощь пользователи, которые проходят проверку подлинности в Azure Active напрямую, могут удаленно помогать другим пользователям, подключая сеанс Удаленная помощь между устройствами.

С разрешениями в Удаленная помощь, управляемыми Intune элементами управления доступом на основе ролей, вы управляете следующими элементами:

• У кого есть разрешения на помощь другим
• Действия, которые они могут предпринять, помогая другим

Возможности Удаленная помощь включают:

• Включение Удаленная помощь для клиента . Если вы решили включить Удаленная помощь, его использование включено на уровне клиента.
• Требуется вход в организацию. Чтобы использовать Удаленная помощь, вспомогательный и общий доступ должны войти с помощью Microsoft Entra учетной записи вашей организации.
• Использование Удаленная помощь с незарегистрированных устройств. Вы можете разрешить помощь устройствам, которые не зарегистрированы в Intune.
• Предупреждения о соответствии требованиям . Перед подключением к устройству помощник видит предупреждение о несоответствии этого устройства, если оно не соответствует назначенным политикам. Это предупреждение не блокирует доступ, но обеспечивает прозрачность о риске использования конфиденциальных данных, таких как учетные данные администратора, во время сеанса.
• Управление доступом на основе ролей. Администраторы могут задавать правила RBAC, определяющие область доступа помощника и действия, которые они могут выполнять при оказании помощи.
• Повышение привилегий. При необходимости помощник с правильными разрешениями RBAC может использовать подсказки UAC на компьютере подключенного участника для ввода учетных данных.
• Отслеживайте активные сеансы Удаленная помощь и просматривайте сведения о прошлых сеансах. В Центре администрирования Microsoft Intune можно просматривать отчеты, в которых содержатся сведения о том, кто помогал кому, на каком устройстве и как долго. Вы также найдете сведения об активных сеансах.

Эта функция будет развертываться в течение следующей недели и скоро будет доступна для клиента. Дополнительные сведения см. в разделе Использование Удаленная помощь.

MDM поддерживает данные для автоматического обновления в инструменте анализа групповой политики

Теперь, когда корпорация Майкрософт вносит изменения в сопоставления в Intune, столбец Поддержка MDM в средстве анализа групповой политики автоматически обновляется, чтобы отразить изменения. Автоматизация — это улучшение по сравнению с предыдущим поведением, которое требовало повторного импорта объекта групповой политики (GPO) для обновления данных. Дополнительные сведения об аналитике групповой политики см. в разделе Использование анализа групповых политик.

Октябрь 2021 г.

Управление приложениями

Управление универсальными ссылками в iOS/iPadOS с помощью политик защиты приложений

Вы можете настроить как управляемые универсальные ссылки, так и исключения универсальных ссылок для приложений iOS/IPadOS с помощью параметров политики защиты приложений (APP). Управляемые универсальные ссылки разрешают ссылкам http/s открываться в зарегистрированных приложениях под защитой APP вместо защищенного браузера. Исключения универсальных ссылок разрешают ссылкам http/s открываться в зарегистрированном незащищенном приложении вместо защищенного браузера. Дополнительные сведения см. в статье Передача данных и Универсальные ссылки.

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Appian for Intune от Appian Corporation
• Space Connect от SpaceConnect Pty Ltd
• AssetScan For Intune от Align

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Поддержка подключенных приложений для личных и корпоративных рабочих профилей Android

Теперь вы можете разрешать пользователям включать подключенные приложения для поддерживаемых приложений. Этот параметр конфигурации приложения позволяет пользователям подключать сведения о приложении ко всем экземплярам рабочих и личных приложений. В центре администрирования Microsoft Intune выберите Приложения>Политики конфигурации приложений>Добавить>управляемые устройства. Дополнительные сведения см. в статье Добавление политик конфигурации приложений для управляемых устройств Android Enterprise.

Улучшение потока при сохранении журналов в приложении "Корпоративный портал" на Android

Когда пользователи в приложении "Корпоративный портал" на Android скачивают копию журналов Корпоративного портала для Android, они теперь смогут выбрать, в какой папке сохранить журналы. Чтобы сохранить журналы Корпоративного портала для Android, пользователи могут выбрать Параметры>Журналы>СОХРАНИТЬ ЖУРНАЛЫ.

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• iAnnotate for Intune/O365 от Branchfire, Inc.
• Dashflow for Intune от Intellect Automation International Pty Limited
• HowNow от Wonderush Limited

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Регистрация устройства

Назначение пользователей

На прошлой неделе мы изменили интерфейс проверки подлинности во время регистрации пользователей в Autopilot. Это изменение влияет на все развертывания Autopilot, когда пользователь назначается определенному устройству перед регистрацией.

Однократное самостоятельное развертывание и предварительная подготовка

Мы изменили режим самостоятельного развертывания Windows Autopilot и режим предварительной подготовки, добавив шаг для удаления записи устройства в рамках процесса повторного использования устройства. Это изменение затрагивает все развертывания Windows Autopilot, в которых для профиля Autopilot настроен режим самостоятельного развертывания или предварительной подготовки. Это изменение повлияет на устройство только при повторном использовании или при сбросе и попытке повторного развертывания. Дополнительные сведения см. в статье Обновления интерфейсов входа и развертывания Windows Autopilot.

Управление устройствами

Удаление MAC-адреса Wi-Fi на определенных устройствах Android Enterprise

Intune больше не будет отображать mac-адрес Wi-Fi для новых зарегистрированных устройств с личным рабочим профилем и устройств, управляемых администратором устройств под управлением Android 9 и более поздних версий. Google требует, чтобы все обновления приложений использовали в качестве цели API 30 к ноябрю 2021 г. С помощью этого изменения Android запрещает приложениям собирать MAC-адрес, используемый устройством. Дополнительные сведения см. в разделе Сведения об устройстве оборудования.

Использование обновлений компонентов для обновления устройств до Windows 11

Вы можете использовать политику обновления компонентов для Windows 10 и более поздних версий для обновления до Windows 11 устройств, соответствующих минимальным требованиям Windows 11. Это так же просто, как настройка новой политики обновления компонентов, которая указывает доступную версию Windows 11 в качестве разворачиваемого обновления компонента.

Дополнительные сведения см. в статье Обновление устройств до Windows 11.

Аналитика готовности оборудования к Windows 11

Отчет Работа из любого места в аналитике конечной точки теперь предоставляет полезные сведения о готовности оборудования к Windows 11. Вы можете быстро определить, сколько зарегистрированных устройств соответствует минимальным требованиям к системе для Windows 11 и какие требования являются главными препятствиями в вашей организации. Перейдите на представление уровня устройства для просмотра состояния готовности оборудования к Windows 11. Дополнительные сведения см. в разделе Windows 11 — готовность оборудования.

Знакомство с порталом управления Microsoft Surface в Microsoft Intune

В свете нашего постоянного стремления предоставить коммерческим клиентам наилучшие возможности, мы сотрудничаем с командами корпорации Майкрософт, чтобы упростить управление Surface в едином представлении в Microsoft Intune.

Если вы руководите крупной организацией с тысячами устройств или управляете ИТ для малого и среднего бизнеса, вы можете получить аналитические сведения о работоспособности всех устройств Surface. На этом портале вы также можете отслеживать гарантии устройства и запросы на поддержку. Портал управления Microsoft Surface сейчас доступен клиентам в США и будет развернут по всему миру позже. Последние сведения о Microsoft Surface и новом портале управления см. в блоге для ИТ-специалистов по Surface.

Блокировка или разрешение личных приложений на корпоративных устройствах Android Enterprise с рабочим профилем

В конфигурации устройства можно создать список личных приложений, которые будут заблокированы или разрешены на устройстве. Вы можете оставить параметр не настроенным или создать список заблокированных или разрешенных приложений в личном профиле. Этотпараметр доступен в центре администрирования Microsoft Intune, выбрав Устройства>>Android Профили> конфигурации Create>Новая политика. Сведения о параметрах корпоративных устройств Android Enterprise с рабочим профилем см. в статье Параметры устройства Android Enterprise, которые позволяют разрешить или ограничить некоторые функции через Intune.

Новые параметры при настройке расширения единого входа Kerberos на iOS/iPadOS и macOS

При настройке расширения единого входа Kerberos на устройствах iOS/iPadOS и macOS доступны новые параметры функций устройств. В центре администрирования Microsoft Intune выберите Устройства>iOS/iPadOS или macOS>Профили> конфигурации Create>Настройка политики> выберите Функции устройства для расширения >>приложения единого входаKerberos для типа расширения приложения единого входа. Дополнительные сведения см. в разделе Параметры функций устройств iOS/iPadOS и параметры функций устройства macOS в Intune.

Четыре новых параметра регистрации общего iPad в общедоступной предварительной версии

В Intune имеются четыре новых параметра общего iPad в общедоступной предварительной версии. Эти параметры применяются во время автоматической регистрации устройства.

Для iPadOS 14.5 и более поздней версии в режиме общего iPad:
- Требовать только общий iPad временный параметр. Настраивает устройство таким образом, чтобы пользователи видели только гостевую версию интерфейса входа и должны выполнять вход в качестве гостевых пользователей. Пользователи не могут войти с помощью управляемого Apple ID. - Максимальное количество секунд бездействия до выхода временного сеанса. Если по истечении указанного времени никаких действий не происходит, временный сеанс автоматически выходит из системы. — Максимальное количество секунд бездействия до выхода сеанса пользователя. Если по истечении указанного времени никаких действий не происходит, сеанс пользователя автоматически выходит из системы.

Для iPadOS 13.0 и более поздней версии в режиме общего iPad:
- Максимальное количество секунд после блокировки экрана до ввода пароля для общего iPad. Если блокировка экрана превышает это время, для разблокировки устройства потребуется пароль устройства.

Знакомство с управлением Android (AOSP) для корпоративных устройств

Вы можете использовать Microsoft Intune для управления корпоративными устройствами, работающими на платформе Android с открытым исходным кодом (AOSP). Microsoft Intune сейчас поддерживает новый вариант управления Android (AOSP) только для устройств RealWear. Возможности управления:

• Подготовка устройств в качестве устройств, связанных с пользователем, или общих устройств.
• Развертывание профилей конфигурации устройств и соответствия требованиям.

Дополнительные сведения о том, как настроить управление Android (AOSP), см. в статье Регистрация устройств Android.

Безопасность устройств

MFA переходит на поток регистрации Windows Autopilot

Чтобы улучшить базовую безопасность для Microsoft Entra ID, мы изменили поведение Microsoft Entra многофакторной проверки подлинности (MFA) во время регистрации устройства. Ранее, если пользователь завершил MFA в рамках регистрации устройства, утверждение MFA переносилось в пользовательское состояние после завершения регистрации. В дальнейшем утверждение MFA не сохраняется после регистрации, и пользователям будет предложено повторить MFA для всех приложений, которым требуется MFA по политике. Дополнительные сведения см. в статье Windows Autopilot MFA изменяется на поток регистрации.

Управление обновлениями системы безопасности Windows 10 для многосеансовых виртуальных машин под управлением Windows 10 Корпоративная

Для управления параметрами Центра обновления Windows в отношении исправлений (обновлений системы безопасности) для виртуальных машин, работающих в многосеансовом режиме Windows Корпоративная, теперь можно воспользоваться каталогом параметров. Чтобы найти параметры, можно использовать виртуальные машины с несколькими сеансами в каталоге параметров:

1. Создайте политику конфигурации устройства для Windows 10, использующую каталог параметров, и настройте Фильтр параметров на Корпоративный многосеансовый режим.

2. Затем разверните категорию Центр обновления Windows для бизнеса, чтобы выбрать параметры обновления, доступные для многосеансовых виртуальных машин.

Используются следующие параметры.

• Окончание активных часов — см. раздел CSP: Update/ActiveHoursEnd
• Максимальный диапазон периода активности. См. CSP: Update/ActiveHoursMaxRange
• Начало периода активности. См. CSP: Update/ActiveHoursStart
• Блокировка возможности приостановки обновлений. См. CSP: Update/SetDisablePauseUXAccess
• Настройка периода отсрочки наступления крайнего срока. См. CSP: Update/ConfigureDeadlineGracePeriod
• Период отсрочки исправлений (в днях). См. CSP: Update/DeferQualityUpdatesPeriodInDays
• Время начала приостановки исправлений. См. CSP: Update/PauseQualityUpdatesStartTime
• Период до наступления крайнего срока установки исправлений (в днях). См. CSP: Update/ConfigureDeadlineForQualityUpdates

Сентябрь 2021 г.

Управление приложениями

Доступны новые категории приложений для более удобного назначения политик защиты приложений

Мы улучшили пользовательский интерфейс Microsoft Intune, создав категории приложений, которые можно использовать для более простого и быстрого назначения политик защиты приложений. Новые категории: Все общедоступные приложения, Приложения Майкрософт и Основные приложения Майкрософт. После создания адресной политики защиты приложений вы можете выбрать параметр Просмотреть список приложений, к которым будет применяться политика, чтобы просмотреть список таких приложений. По мере расширения списка поддерживаемых приложений мы будем динамически добавлять их в эти категории, а политики будут автоматически применяться ко всем приложениям в выбранной категории. При необходимости вы также можете назначать политики отдельным приложениям. Дополнительные сведения см. в разделах Как создать и назначить политики защиты приложений и Как создать и развернуть политику Windows Information Protection (WIP) с помощью Intune.

Синхронизация версии приложения "Корпоративный портал" для iOS/iPadOS/macOS

Версия приложения "Корпоративный портал" для iOS/iPadOS и для macOS синхронизируется с версией 5.2019 для следующего выпуска. В будущем приложения "Корпоративный портал" для iOS/iPadOS и для macOS будут иметь одинаковый номер версии. Дополнительные сведения см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Конфигурация устройства

Новые параметры ограничения устройств iOS для встроенных приложений, просмотр документов

На устройствах iOS можно настроить два новых параметра ограничения устройств (профили> конфигурации устройств>iOS/iPadOS>Create>Создать политику и выбрать Ограничения устройств для профиля) в Intune.

• Блокировать использование Siri для перевода (встроенные приложения). Отключает подключение к серверам Siri, чтобы пользователи не могли использовать Siri для перевода текста. Применяется к iOS и iPadOS версии 15 и более поздней.
• Разрешение на копирование и вставку, на которые влияет управляемое открытие (App Store, просмотр документов, игры). Применяет ограничения на копирование и вставку в зависимости от того, как вы настроили блокировать просмотр корпоративных документов в неуправляемых приложениях и блокировать просмотр не корпоративных документов в корпоративных приложениях.

Дополнительные сведения о профилях ограничения устройств iOS в Intune см. в статье Параметры устройств с iOS и iPadOS, которые позволяют разрешить или ограничить некоторые функции через Intune.

Новый параметр ограничения устройств macOS запрещает пользователям стирать все содержимое и параметры на устройстве

В Intune доступен новый параметр ограничения устройств macOS (Профили> конфигурации устройств>macOS>Create>Новая политика>, а затем выберите Шаблоны>Ограничения устройств для профиля).

Запретить пользователям стирать все содержимое и параметры на устройстве (общий). Отключает параметр сброса на контролируемых устройствах, чтобы пользователи не могли сбросить свое устройство до заводских настроек.

Дополнительные сведения о профилях ограничения устройств macOS в Intune см. в статье Параметры устройства с macOS, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• macOS версии 12 и более поздней

Новые параметры ограничения обновления программного обеспечения для macOS

При настройке профиля ограничения устройств macOS (Профили> конфигурации устройств>macOS>Create>Новая политика>, а затем выберите Шаблоны>Ограничения устройств для профиля) в Intune.

• Задержать обновления ПО (общий). Запрещает пользователям просмотр определенных типов недавно выпущенных обновлений до окончания периода отсрочки. Откладывание обновлений программного обеспечения не останавливает и не изменяет запланированные обновления. Типы обновлений программного обеспечения, которые можно отложить: основные обновления программного обеспечения ОС, промежуточные обновления программного обеспечения ОС, обновления программного обеспечения, не связанные с ОС или любое сочетание из трех вариантов.
• Задержка видимости по умолчанию для обновлений программного обеспечения (общий). Задерживает видимость по умолчанию для всех обновлений программного обеспечения на срок до 90 дней. После периода отсрочки обновления станут доступны пользователям. Это значение имеет приоритет над значением видимости по умолчанию. Применяется к macOS версии 10.13.4 и более поздней.
• Задержка видимости основных обновлений программного обеспечения ОС (общие). Задержка видимости основных обновлений программного обеспечения ОС на срок до 90 дней. После периода отсрочки обновления станут доступны пользователям. Это значение имеет приоритет над значением видимости по умолчанию. Применяется к macOS версии 11.3 и более поздней.
• Задержка видимости промежуточных обновлений программного обеспечения, связанных с ОС (общий). Задерживает видимость промежуточных обновлений программного обеспечения ОС на срок до 90 дней. После периода отсрочки обновления станут доступны пользователям. Это значение имеет приоритет над значением видимости по умолчанию. Применяется к macOS версии 11.3 и более поздней.
• Задержка видимости обновлений программного обеспечения, не связанных с ОС (общий). Задерживает видимость обновлений программного обеспечения, не связанных с ОС (например обновлений Safari), на срок до 90 дней. После периода отсрочки обновления станут доступны пользователям. Это значение имеет приоритет над значением видимости по умолчанию. Применяется к macOS версии 11.0 и более поздней.

Дополнительные сведения о профилях ограничения устройств macOS в Intune см. в статье Параметры устройства с macOS, которые позволяют разрешить или ограничить некоторые функции через Intune.

Новый параметр ограничений устройств для Android Enterprise: параметры разработчика

В Intune добавлен новый параметр ограничения для устройств Android Enterprise (профили> конфигурации Устройств>Android Enterprise>Create>Новая политика и выбор ограничений устройств для профиля).

• Параметры разработчика. Если задано значение Разрешить, пользователи могут получить доступ к параметрам разработчика на своих устройствах. По умолчанию установлено значение Не настроено. Применяется к полностью управляемым, выделенным и корпоративным устройствам с рабочим профилем.

Дополнительные сведения о профилях ограничения устройств Android Enterprise см. в статье Параметры устройства Android Enterprise, которые позволяют разрешить или ограничить некоторые функции через Intune.

Новый параметр ограничения устройств предотвращает совместное использование контактов рабочего профиля с сопряженными устройствами Bluetooth

Новый параметр ограничения устройств для корпоративных устройств рабочего профиля запрещает пользователям предоставлять доступ к контактам своего рабочего профиля на сопряженных устройствах Bluetooth, таких как автомобили или мобильные устройства. Чтобы настроить этот параметр, перейдите в разделКонфигурация>устройств>Create>Android Enterprise для платформы >Ограничения устройств для профиля.

• Имя параметра: общий доступ к контактам через Bluetooth (уровень рабочего профиля)
• Переключатели параметра:
• Блокировать. Запрещает пользователям обмениваться контактами рабочего профиля через Bluetooth.
• Не настроено. Не применяет никаких ограничений на устройстве, поэтому пользователи могут предоставлять доступ к контактам своего рабочего профиля через Bluetooth.

Управление устройствами

Intune теперь поддерживает iOS/iPadOS 13 и более поздних версий

Microsoft Intune, в том числе Корпоративный портал Intune и политики защиты приложений Intune, теперь требует использования iOS или iPadOS 13 и более поздних версий.

Intune теперь поддерживает macOS 10.15 и более поздних версий

Корпоративный портал и регистрация Intune теперь поддерживают macOS 10.15 и более поздних версий. Более ранние версии не поддерживаются.

Новые параметры фильтрации устройств Android

Теперь вы можете выбрать следующие типы регистрации Android при фильтрации по ОС в списке Все устройства в Intune.

• Android (личный рабочий профиль)
• Android (корпоративный рабочий профиль)
• Android (полностью управляемое)
• Android (выделенное)
• Android (администратор устройств)

В центре администрирования Microsoft Intune выберите Устройства>Все устройства и просмотрите столбец ОС для определенных типов регистрации Android. Дополнительные сведения о типах регистрации Android см. в разделе Отчеты Intune.

Политики каталога параметров для наборов политик

Наряду с профилями на основе шаблонов вы можете добавлять в наборы политик профили на основе каталога параметров. Каталог параметров — это список всех параметров, которые можно настроить. Чтобы создать набор политик в центре администрирования Microsoft Intune, выберите Устройства>Наборы>>политикCreate. Подробнее см. в статьях Использование наборов политик для группирования коллекций объектов управления и Использование каталога параметров для настройки параметров на устройствах Windows и macOS.

Настройка параметров входа Managed Home Screen для выделенных устройств Android Enterprise

Теперь вы можете настроить Управляемый главный экран параметры входа в конфигурацию устройства при использовании выделенных устройств Android Enterprise, зарегистрированных в режиме Microsoft Entra общего устройства. Вам больше не нужно использовать конфигурацию приложения для этих параметров. Дополнительные сведения см. в статье Настройка приложения Microsoft Управляемый главный экран для Android Enterprise.

Использование обновлений компонентов для обновления устройств до Windows 11

Вы можете использовать политику обновления компонентов для Windows 10 и более поздних версий для обновления до Windows 11 устройств, соответствующих минимальным требованиям Windows 11. Это так же просто, как настройка новой политики обновления компонентов, которая указывает доступную версию Windows 11 в качестве разворачиваемого обновления компонента.

Используйте удаленное действие сбора диагностики в качестве массового действия для устройств с Windows

Мы добавили действие Collect диагностикаremote в качестве действия массового устройства, которое можно запустить для устройств Windows. В качестве массового действия для устройств с Windows используйте сбор диагностики для сбора журналов устройств Windows с 25 устройств одновременно, не прерывая работу пользователей устройств.

Поддержка удаленного действия поиска устройства на выделенных устройствах Android Enterprise

Вы можете использовать удаленное действие поиска устройства, чтобы узнать текущее местонахождение потерянного или украденного выделенного устройства Android Enterprise, которое подключено к сети. Если вы попытаетесь найти устройство, которое сейчас находится в автономном режиме, вы увидите его последнее известное расположение, но только в том случае, если это устройство могло проверка с Intune за последние семь дней.

Дополнительные сведения см. в статье Поиск потерянных или украденных устройств.

Выделенные устройства Android Enterprise поддерживают удаленное действие переименования

Теперь вы можете использовать удаленное действие переименования на выделенных устройствах Android Enterprise. Вы можете переименовывать устройства по отдельности и массово. При использовании действий массового переименования имя устройства должно включать переменную, которая добавляет случайное число или серийный номер устройства.

Дополнительные сведения см. в разделе Переименование устройств в Intune.

Добавлены новые параметры поиска идентификатора устройства Microsoft Entra и Intune идентификатора устройства

При поиске устройств в разделе Устройства>Все устройства теперь можно выполнять поиск по Microsoft Entra идентификатору устройства или Intune идентификатору устройства. Список сведений об устройстве, доступных в Intune, см. в статье Просмотр сведений об устройстве в Microsoft Intune.

Безопасность устройств

Присоединение к клиенту: состояние устройства для политик безопасности конечной точки

Теперь вы можете просматривать состояние политик безопасности конечной точки для присоединенных к клиенту устройств. На странице Состояние устройства можно получить доступ ко всем типам политик безопасности конечной точки для устройств, присоединенных к клиенту. Дополнительные сведения см. в статье Состояние устройства, содержащей типы политик безопасности конечной точки.

Профили сокращения направлений атак для присоединения клиента Configuration Manager

Мы добавили два профиля безопасности конечных точек для политики сокращения направлений атак, которые можно использовать с устройствами, которыми вы управляете с помощью Configuration Manager подключения клиента. Эти профили находятся в предварительной версии и управляют теми же параметрами, что и аналогичные профили, используемые для устройств, управляемых Intune. Эти новые профили будут доступны при настройке политики сокращения направлений атак для платформы Windows 10 и более поздней версии (ConfigMgr).

Новые профили для присоединений клиента:

• Защита от эксплойтов (ConfigMgr) (предварительная версия). Защита от эксплойтов позволяет защищаться от вредоносных программ, использующих эксплойты для заражения устройств и распространения. Защита от эксплойтов состоит из множества мер по устранению рисков, которые можно применять ко всей операционной системе или к отдельным приложениям.
• Защита от веб-угроз (ConfigMgr) (предварительная версия). Защита от веб-угроз в Microsoft Defender для конечной точки использует защиту сети с целью обеспечения безопасности компьютеров от веб-угроз. Веб-защита останавливает веб-угрозы без веб-прокси и может защищать удаленные и локальные компьютеры. Веб-защита прекращает доступ к фишинговым сайтам, векторам вредоносных программ, сайтам эксплойтов, сайтам, ненадежным сайтам или сайтам с низкой репутацией, а также сайтам, заблокированным в списке настраиваемых индикаторов.

Расширенная поддержка центра безопасности Защитник Windows для устройств подключения клиентов

Мы обновили профиль Безопасность Windows интерфейса (предварительная версия) в политике антивирусной программы безопасности конечных точек, чтобы обеспечить поддержку дополнительных параметров для устройств, которыми вы управляете с помощью Configuration Manager подключения клиента.

Ранее этот профиль ограничивался защитой от незаконного изменения для устройств, присоединенных к клиенту. Обновленный профиль теперь включает параметры Центра безопасности Защитника Windows. Эти новые параметры можно использовать для управления такими же сведениями о подключенных к клиенту устройствах, которыми вы уже управляете с помощью профиля с тем же именем для управляемых устройств Intune.

Дополнительные сведения об этом профиле см. в статье Политика антивирусной программы для безопасности конечных точек.

Приложения Intune

Уведомления из приложения "Корпоративный портал" для iOS/iPadOS

Уведомления из приложения "Корпоративный портал" для iOS/iPadOS теперь доставляются на устройства с использованием стандартного звука Apple, а не беззвучно. Чтобы отключить звук уведомления из приложения "Корпоративный портал" для iOS/iPadOS выберите Настройки>Уведомления>Корпоративный портал и щелкните переключатель Звук. Дополнительные сведения см. в разделе уведомления Корпоративный портал приложений.

Управление и устранение неполадок

Отчет уровня организации, посвященный конфигурации устройств

Мы выпустили новый отчет Конфигурация устройств на уровне организации. Этот отчет заменяет существующий отчет о состоянии назначения, найденный в Центре администрирования Microsoft Intune в разделе Монитор устройств>. Отчет Конфигурация устройств позволяет создавать в клиенте список профилей, где устройства отображаются в состоянии "успешно", "ошибка", "конфликт" или "неприменимо". Можно настраивать фильтры по типу профиля, ОС и состоянию. Возвращаемые результаты поддерживают возможности поиска, сортировки, фильтрации, разбиения на страницы и экспорта. Наряду со сведениями о конфигурации устройств этот отчет предоставляет сведения о доступе к ресурсам и новых профилях каталога параметров. Дополнительные сведения см. в разделе Отчеты Intune.

Обновлена поддержка в Центре администрирования Microsoft Intune

Мы обновили улучшенный интерфейс поддержки для Intune и совместного управления в Центре администрирования Microsoft Intune. Новый интерфейс направляет вас к аналитике по устранению конкретных проблем и к веб-решениям, чтобы быстрее устранить проблему.

Дополнительные сведения об этом изменении см. в записи блога службы поддержки.

В отчете о сбоях обновления компонентов теперь отображаются защитные блокировки

Если устройство заблокировано для установки обновления Windows из-за удержания средств защиты, вы можете просмотреть сведения об этом удержании в отчете о сбоях обновления компонентов центра > администрирования Microsoft Intune.

Устройство с защитной блокировкой отображается в отчете как устройство с ошибкой. При просмотре сведений о таком устройстве столбец Сообщение оповещения отображает фразу Защитная блокировка, а столбец Код ошибки развертывания содержит ИД защитной блокировки.

Корпорация Майкрософт иногда устанавливает защитные блокировки, чтобы запретить установку обновления на устройстве, если известно, что обнаруженное содержимое устройства приведет к неправильной работе после обновления. Например, программное обеспечение или драйверы являются распространенными причинами установки защитной блокировки. Блокировка сохраняется до тех пор, пока не будет решена базовая проблема для безопасной установки обновления.

Дополнительные сведения об активных защитных блокировках и ожиданиях по их разрешению см. на панели мониторинга работоспособности выпуска Windows на странице https://aka.ms/WindowsReleaseHealth.

Обновление операционного отчета о сбое назначения

В существующий отчет Сбои назначения добавлены базовые уровни безопасности и профили безопасности конечной точки. Типы профилей различаются значением в столбце Тип политики с возможностью фильтрации. Разрешения на управление доступом на основе ролей (RBAC) были применены к отчету для фильтрации набора политик, которые может видеть администратор. Эти разрешения RBAC включают разрешение "Базовый уровень безопасности", разрешение для конфигурации устройств и разрешение для соответствия устройств требованиям. В отчете показано количество устройств в состоянии ошибки и конфликта для заданного профиля. Вы можете подробно ознакомиться с подробным списком этих устройств или пользователей и подробными сведениями о параметрах. Отчет о сбоях назначения можно найти в центре администрирования Microsoft Intune, выбрав Монитор устройств> иливыбрав Мониторбезопасности> конечных точек. Дополнительные сведения см. в разделе Отчет о сбоях при назначении (операционный).

Август 2021 г.

Выпущена общедоступная версия Windows 365

Windows 365 — это новая служба корпорации Майкрософт, которая автоматически создает облачные компьютеры для пользователей. Облачные компьютеры — это новая категория гибридных персональных вычислений, которая использует возможности облака и устройства для доступа для предоставления полной и персонализированной виртуальной машины Windows. Администраторы могут использовать Microsoft Intune для определения конфигураций и приложений, подготовленных для облачного компьютера каждого пользователя. Пользователи могут получить доступ к своим облачным компьютерам с любого устройства и в любом месте. Windows 365 хранит облачный компьютер пользователя и данные в облаке, а не на устройстве, обеспечивая безопасный интерфейс.

Дополнительные сведения о Windows 365 приведены здесь.

Документацию по управлению Windows 365 в организации см. в документации по Windows 365.

Управление приложениями

Отчеты об оценке фильтров устройств теперь включают результаты фильтрации для назначенных приложений

Если вы используете фильтры для назначения приложений как доступных, теперь вы можете использовать отчет об оценке фильтра на устройстве, чтобы определить, было ли приложение доступно для установки. Этот отчет отображается для каждого устройства. В разделе Устройства > Все устройства > выберите оценку фильтра устройства > (предварительная версия).

• Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.
• Дополнительные сведения о фильтрах отчетов см. в статье Фильтрация отчетов и устранение неполадок в Microsoft Intune.

Применимо к:

• Администратор устройств Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

Поддержка другого типа оценки Для Android SafetyNet для политик условного запуска

Условный запуск теперь поддерживает дополнительную настройку аттестации устройств SafetyNet. Если для условного запуска выбран параметр Аттестация устройства SafetyNet , можно указать, что используется определенный тип оценки SafetyNet. Этот тип оценки является ключом с аппаратной поддержкой. Наличие ключа с аппаратной поддержкой как типа оценки будет свидетельствовать о большей целостности для устройства. Устройства, не поддерживающие аппаратные ключи, будут заблокированы политикой MAM, если для них задан этот параметр. Дополнительные сведения об оценке SafetyNet и поддержке ключей с аппаратной поддержкой см. в разделе о типах оценки в документации для разработчиков Android. Дополнительные сведения о параметрах условного запуска в Android см. в разделе Условный запуск.

Обновление до параметров Outlook S/MIME для устройств iOS и Android

Теперь можно включить параметры Outlook S/MIME, чтобы при использовании управляемых приложений всегда выполнять подписывание и (или) шифрование на устройствах iOS и Android. Этот параметр можно найти в центре Microsoft Intune администрирования при использовании управляемых приложений, выбравПолитики конфигурации приложений>. Кроме того, вы можете добавить URL-адрес LDAP (протокол LDAP) для Outlook S/MIME на устройствах iOS и Android как для управляемых приложений, так и для управляемых устройств. Дополнительные сведения см. в статье Политики конфигурации приложений для Microsoft Intune.

Теги области для приложений корпоративного Google Play

Теги области определяют, какие объекты может просматривать администратор с соответствующими правами в Intune. Большинство недавно созданных элементов в Intune принимают теги области создателя. Этот сценарий не применяется к управляемым приложениям Google Play Store. Теперь вы можете назначить тег области, который будет применяться ко всем недавно синхронизированным приложениям из корпоративного Google Play Маркет, на панели соединителя корпоративного Google Play. Выбранный тег области будет применяться только к новым приложениям корпоративного Google Play. А это значит, что он не будет применяться к приложениям корпоративного Google Play, которые уже были одобрены в клиенте. Дополнительные сведения см. в разделах Добавление управляемых приложений Google Play на устройства Android Enterprise с помощью Intune и Использование управления доступом на основе ролей (RBAC) и тегов область для распределенных ИТ-служб.

В Intune будет отображаться содержимое бизнес-приложений macOS

Intune теперь отображается содержимое бизнес-приложений macOS (файлов .intunemac) в консоли. В консоли Intune можно просматривать и изменять сведения об обнаружении приложений, которые записываются из файла .intunemac при добавлении бизнес-приложения macOS. При отправке PKG-файла правила обнаружения будут создаваться автоматически. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения>Добавить. Затем выберите тип приложения Line-of-business (Бизнес-приложение) и файл пакета приложения, содержащий файл .intunemac. Дополнительные сведения см. в статье Как добавлять бизнес-приложения macOS в Microsoft Intune.

Управление приложениями

Корпоративный портал Intune для устройств macOS теперь является универсальным приложением

При скачивании Корпоративного портала Intune для устройств macOS версии 2.18.2107 и более поздних версий устанавливается новая универсальная версия приложения, изначально работающая на устройствах Apple Silicon Macs. Это же приложение устанавливает x64-версию приложения на компьютерах Intel Mac. Дополнительные сведения см. в статье Добавление приложения Корпоративный портал для macOS.

Конфигурация устройства

Новая версия соединителя сертификатов для Microsoft Intune

Мы выпустили новую версию соединителя сертификатов для Microsoft Intune версии 6.2108.18.0. Это обновление содержит следующее:

• Исправление для правильного отображения текущего состояния соединителя в центре администрирования Microsoft Intune.
• Исправление, позволяющее правильно сообщать о сбоях при доставке сертификатов SCEP.

Дополнительные сведения о соединителе сертификатов, включая список выпусков и обновлений соединителей, см. в статье Соединитель сертификатов для Microsoft Intune.

Использование фильтров для профилей конфигурации DFCI на устройствах с Windows 10/11

В Intune можно создавать фильтры для целевых устройств на основе различных свойств. При создании профиля интерфейса конфигурации встроенного ПО устройства (DFCI) можно использовать фильтры при назначении профиля.

• Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей.
• Дополнительные сведения о профиле DFCI см. в статье Использование профилей интерфейса конфигурации встроенного ПО устройства на устройствах Windows.

Применимо к:

• Windows 11 на поддерживаемом UEFI
• Windows 10 RS5 (1809) и более поздние версии с поддерживаемым UEFI

Новый параметр Deployment Channel (Канал развертывания) для настраиваемых профилей конфигурации устройств на устройствах macOS

При создании настраиваемой политики ограничения устройств для устройств macOS доступен новый параметр канала развертывания (Конфигурация>устройств>Create>macOS для платформы >Шаблоны>Настраиваемые для профиля).

С помощью параметра Deployment Channel (Канал развертывания) можно развернуть профиль конфигурации в канале пользователя или канале устройства. Если отправить профиль по неправильному каналу, развертывание может завершиться ошибкой. Дополнительные сведения об использовании полезных данных в профиле устройства или профиле пользователя см. в статье о ключах полезных данных для профилей на веб-сайте для разработчиков Apple.

Дополнительные сведения о настраиваемых профилях macOS в Intune см. в статье Использование настраиваемых параметров для устройств macOS в Microsoft Intune.

Применимо к:

• macOS

Использование сетей Wi-Fi, настроенных с помощью параметра "Профили конфигурации" для устройств iOS или iPadOS 14.5 и более поздних версий

При создании политики ограничений устройств для устройств iOS/iPadOS доступен новый параметр (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для профиля):

• Require devices to use Wi-Fi networks set up via configuration profiles (Требовать, чтобы устройства использовали сети Wi-Fi, настроенные через профили конфигурации): выберите Yes (Да), чтобы устройства использовали только сети Wi-Fi, настроенные с помощью профилей конфигурации.

Полный список параметров, которые вы сейчас можете настроить, см. в разделе Параметры устройства с iOS и iPadOS, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• iOS и iPadOS 14.5 и более поздних версий

Новые параметры профиля конфигурации устройства macOS и изменение названия параметра iOS и iPadOS

Существуют новые параметры, которые можно настроить на устройствах macOS 10.13 и более новых версий (Конфигурация>устройств>Create>macOS для шаблонов>платформы> Ограничения устройств для типа профиля):

• Блокирование добавления в Game Center друзей (App Store, просмотр документации, игры): запрещает пользователям добавлять друзей в Game Center.
• Блокирование Game Center (App Store, просмотр документации, игры): отключает Game Center, а значок Game Center удаляется с начального экрана.
• Блокирование многопользовательских игр в Game Center (App Store, просмотр документации, игры): запрещает многопользовательские игры при использовании Game Center.
• Блокирование изменения фонового рисунка (Общие): запрещает изменение фонового рисунка.

Полный список параметров, которые вы сейчас можете настроить, см. в описании параметров устройств macOS для разрешения или ограничения функций.

Кроме того, имя параметра блокировать многопользовательские игры в iOS/iPadOS меняется на Блокировать многопользовательские игры в Игровом центре (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для типа профиля).

Дополнительные сведения об этом параметре см. в статье опараметрах устройств с iOS и iPadOS, которые позволяют разрешить или ограничить некоторые функции.

Применимо к:

• iOS/iPadOS
• macOS 10.13 и более поздние версии

Дополнительные параметры размера сетки для макета на начальном экране iOS/iPadOS

На устройствах iOS/iPadOS можно настроить размер сетки на начальном экране (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Функции устройства для макета начального экрана профиля>). Например, можно задать размер сетки равным 4 столбцам x 5 строк.

Размер сетки будет иметь больше параметров:

• 4 столбца x 5 строк;
• 4 столбца x 6 строк;
• 5 столбцов x 6 строк.

Чтобы просмотреть параметры макета начального экрана, которые сейчас можно настроить, перейдите к разделу о параметрах устройств для использования распространенных функций устройств iOS и iPadOS в Intune.

Применимо к:

• iOS/iPadOS

Добавление имен серверов сертификатов в корпоративные профили Wi-Fi на личных устройствах Android Enterprise с рабочим профилем

На устройствах Android можно использовать проверку подлинности на основе сертификатов для Wi-Fi сетей на личных устройствах с рабочим профилем (Конфигурация>устройств>Create>Android Enterprise для платформы >Личный рабочий профиль>Wi-Fi).

При использовании Wi-Fi типа Enterprise (Корпоративный) и выборе типа EAP можно задать новые имена серверов сертификатов. С помощью этого параметра можно добавить список доменных имен серверов сертификатов, используемых вашим сертификатом. Например, введите srv.contoso.com.

На устройствах Android 11 и более новых версий при использовании Wi-Fi типа Enterprise (Корпоративный) необходимо добавить имена серверов сертификатов. Если не добавить имена серверов сертификатов, у пользователей будут возникать проблемы с подключением.

Дополнительные сведения о параметрах Wi-Fi, которые можно настроить на устройствах Android Enterprise, см. в статье Добавление параметров Wi-Fi для выделенных и полностью управляемых устройств Android Enterprise в Microsoft Intune.

Применимо к:

• личные устройства Android Enterprise с рабочим профилем.

Регистрация устройства

Современный способ проверки подлинности с помощником по настройке Apple теперь больше не находится в предварительной версии для автоматической регистрации устройств

Современные способы проверки подлинности с помощником по настройке Apple теперь общедоступны для использования при автоматической регистрации устройств.

Сведения по использованию этого способа проверки подлинности на устройствах iOS/iPadOS приведены в статье Автоматическая регистрация устройств iOS/iPadOS с помощью автоматической регистрации устройств Apple.

Сведения по использованию этого способа проверки подлинности на устройствах macOS приведены в статье Автоматическая регистрация устройств macOS с помощью Apple Business Manager или Apple School Manager.

Управление устройствами

Оценки для каждого устройства в аналитике конечных точек

Чтобы помочь вам определить устройства, которые могут повлиять на взаимодействие с пользователем, аналитика конечных точек показывает некоторые оценки для каждого устройства. Просмотр оценок на устройство может помочь вам найти и устранить проблемы с конечными пользователями до вызова в службу поддержки. Вы можете отображать и сортировать данные по аналитике конечных точек, производительности запуска и показателям надежности приложений для каждого устройства. Подробнее см. в разделе Оценки для каждого устройства.

Добавление Windows Hello для бизнеса в диагностику Windows 10

Мы добавили сведения из операционного Просмотр событий для Windows Hello для бизнеса в данные, собираемые для Windows 10 устройства диагностика. См. Собираемые данные.

Безопасность устройств

Изменение параметров в каталоге параметров для Microsoft Defender для конечной точки в macOS

Мы добавили восемь новых параметров для управления Microsoft Defender для конечной точки в macOS в каталог параметров Intune.

Новые параметры приведены ниже в четырех категориях, представленных в каталоге параметров. Дополнительные сведения об этих параметрах см. в статье Настройка параметров Microsoft Defender для конечной точки в macOS в документации Microsoft Defender для конечной точки для Mac.

• Microsoft Defender. Антивирусная подсистема:

  • Disallowed threat actions (Запрещенные действия в отношении угроз);
  • Exclusions merge (Объединение исключений);
  • Scan history size (Размер журнала сканирования);
  • Scan Results Retention (Хранение результатов сканирования);
  • Threat type settings merge (Объединение параметров типа угроз).

• Microsoft Defender. Настройки облачной защиты:

  • Automatic security intelligence updates (Автоматические обновления механизма обнаружения угроз).

• Microsoft Defender. Настройки пользовательского интерфейса:

  • User initiated feedback (Отзыв, инициированный пользователем).

• Microsoft Defender . Защита сети. Эта категория является новой категорией для Microsoft Defender для конечной точки в каталоге:

  • Enforcement level (Уровень принудительного применения).

Убедитесь, что серверы шлюза tunnel могут получить доступ к внутренней сети из Центра администрирования Microsoft Intune.

Мы добавили возможность в центр администрирования Microsoft Intune, чтобы убедиться, что серверы шлюза Tunnel могут получить доступ к внутренней сети без прямого доступа к серверам. Чтобы включить эту функцию, вы настроите новый параметр URL-адрес для доступа к внутренней сети проверка в свойствах каждого сайта шлюза туннеля.

После добавления URL-адреса из внутренней сети на сайт шлюза Tunnel каждый сервер на этом сайте будет периодически пытаться получить к нему доступ и сообщать о результате.

Состояние проверки доступа к внутренней сети указывается как Доступность внутренней сети на вкладке Проверка работоспособности сервера. Значения состояния этой проверки:

• Исправен — сервер может получить доступ к URL-адресу, указанному в свойствах сайта.
• Неработоспособный — сервер не может получить доступ к URL-адресу, указанному в свойствах сайта.
• Неизвестно — это состояние отображается, если URL-адрес не задан в свойствах сайта и не влияет на общее состояние сайта.

Чтобы эта функция работала, серверы следует обновить до последней версии программного обеспечения сервера шлюза Tunnel.

Параметр соответствия требованиям для аттестации ключа с аппаратной поддержкой SafetyNet для личных устройств Android Enterprise с рабочим профилем

Мы добавили новый параметр соответствия устройств для устройств с личным рабочим профилем Android Enterprise, [Тип оценки Required SafetyNet](.. /protect/compliance-policy-create-android-for-work.md#google-play-protect---for-personally owned-work-profile). Этот новый параметр доступен при настройке аттестации устройства SafetyNet для проверки базовой целостности или проверки базовой целостности и сертифицированных устройств. Значения нового параметра приведены ниже.

Required SafetyNet evaluation type (Требуемый тип оценки SafetyNet):

• Не настроено (по умолчанию используется базовая оценка) — этот параметр является параметром по умолчанию.
• Hardware-backed key (Ключ с аппаратной поддержкой) — для оценки SafetyNet должна использоваться аттестация на основе ключа с аппаратной поддержкой. Устройства, которые не поддерживают аттестацию ключей с аппаратной поддержкой, помечаются как несовместимые.

Дополнительные сведения о SafetyNet и устройствах с поддержкой аттестации на основе ключа с аппаратной поддержкой см. в разделе о типах оценки в документации по SafetyNet для Android.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• F2 Touch Intune от cBrain A/S

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Экспорт XML-файла GPO увеличен до 4 МБ при использовании аналитики групповой политики на клиентских устройствах Windows

В Microsoft Intune вы можете использовать аналитику групповой политики для анализа локальных объектов групповой политики и определения способа преобразования объектов групповой политики в облако. Чтобы использовать эту функцию, объект групповой политики следует экспортировать в виде XML-файла. Размер XML-файла увеличился с 750 КБ до 4 МБ.

Дополнительные сведения об использовании аналитики групповой политики см. в статье Анализ локальных объектов групповой политики с помощью аналитики групповая политика в Microsoft Intune.

Применимо к:

• Windows 11
• Windows 10

Обновлены отчеты о конфигурации устройств

Все профили конфигурации устройств и безопасности конечных точек теперь объединены в один отчет. Вы можете просмотреть все политики, примененные к устройству, в новом отдельном отчете, содержащем улучшенные данные. Например, в новом поле Тип политики можно просмотреть сведения о различиях между типами профилей. Кроме того, при выборе политики будут предоставлены дополнительные сведения о параметрах, применяемых к устройству, и его состоянии. Для фильтрации списка профилей на основе разрешений будут применяться разрешения управления доступом на основе ролей (RBAC). В центре администрирования Intune выберите Устройства>Все устройства>выберите конфигурацию устройства>, чтобы просмотреть этот отчет, когда он будет доступен. Подробнее см. в статье Отчеты Microsoft Intune.

Новые сведения для отчетов политики защиты от вирусов в Intune

Мы добавили в отчет Неработоспособные конечные точки Windows 10 и отчет о состоянии антивирусного агента два новых столбца сведений.

К новым сведениям относятся:

• MDE Onboarding status (Состояние подключения MDE) (HealthState/OnboardingState) — определяет наличие на устройстве агента Microsoft Defender для конечной точки.
• MDE Sense running state (Состояние выполнения датчика MDE) (HealthState/SenseIsRunning) — рабочее состояние датчика работоспособности Microsoft Defender для конечной точки на устройстве.

Дополнительные сведения об этих параметрах см. в статье Поставщик служб конфигурации WindowsAdvancedThreatProtection.

Настройка пороговых значений состояния работоспособности для серверов шлюзов Microsoft Tunnel

Теперь можно настраивать пороговые значения, определяющие состояние работоспособности для ряда метрик шлюза Microsoft Tunnel.

Метрики состояния работоспособности имеют значения по умолчанию, которые определяют, является ли состояние работоспособным, предупреждающим или неработоспособным. При настройке метрики необходимо изменить требования к производительности для состояния метрик. Можно настроить следующие метрики:

• Использование процессора
• Использование памяти
• Использование дискового пространства
• Задержка

При изменении порогового значения это изменение применяется ко всем серверам Tunnel в клиенте. Можно также выбрать сброс всех метрик до значений по умолчанию.

После изменения пороговых значений значения на вкладке Проверка работоспособности автоматически обновляются в соответствии с состоянием, основанным на новых пороговых значениях.

Просмотр трендов состояния работоспособности для серверов шлюзов Microsoft Tunnel

Теперь можно просматривать тренды состояния работоспособности для нескольких метрик работоспособности шлюзов Microsoft Tunnel на диаграмме. Диаграммы трендов состояния работоспособности доступны для отдельных серверов, которые можно выбрать на странице Состояние работоспособности.

Вот метрики, поддерживающие диаграммы трендов:

• Connections
• Использование процессора
• Использование дискового пространства
• Использование памяти
• Средняя задержка
• Пропускная способность

Июль 2021

Конфигурация устройства

Улучшена поддержка политик для устройств iPadOS, зарегистрированных как общие устройства iPad для бизнеса (общедоступная предварительная версия)

Добавлена поддержка политик конфигурации устройств, назначаемых пользователями, для общих устройств iPad для бизнеса.

После этого изменения параметры, такие как макет начального экрана и большинство ограничений устройств, назначенных группам пользователей, применяются к общим устройствам iPad, пока пользователь из назначенных групп пользователей будет активен на устройстве.

Соединитель сертификатов для Microsoft Intune объединяет отдельные соединители сертификатов

Мы выпустили соединитель сертификатов для Microsoft Intune. Этот новый соединитель заменяет отдельные соединители сертификатов для SCEP и PKCS и предоставляет следующие функции:

• настройка каждого экземпляра соединителя для поддержки одной или нескольких из следующих возможностей.
  • SCEP
  • Стандарты шифрования с открытым ключом
  • Импортированные сертификаты PFX.
  • Отзыв сертификата
• использование обычных учетных записей Active Directory или системной учетной записи для службы соединителя.
• в зависимости от расположения клиента, выбор государственных и коммерческих сред;
• устранение необходимости выбора сертификата клиента для интеграции SCEP с NDES;
• автоматическое обновление до последней версии соединителя; Также поддерживается обновление этого соединителя вручную.
• улучшенное ведение журнала.

Предыдущие соединители по-прежнему поддерживаются, но больше не доступны для скачивания. Если необходимо установить или переустановить соединитель, установите новый соединитель сертификатов для Microsoft Intune.

Страница диагностики Windows Autopilot (общедоступная предварительная версия)

Доступные параметры на странице состояние регистрации изменяются с Разрешить пользователям сбор журналов об ошибках установки на Включить сбор журналов и страницу диагностики для конечных пользователей, чтобы обеспечить поддержку страницы диагностики Windows Autopilot, доступной в Windows 11. Дополнительные сведения см . в статье Новые возможности Windows Autopilot.

Управление устройствами

Использование фильтров для назначения кругов обновления клиентов Windows в Центре администрирования Intune — общедоступная предварительная версия

В центре администрирования Intune можно создавать фильтры, а затем использовать их при назначении приложений и политик.

Фильтры можно также использовать при назначении политик кругов обновления клиента Windows (Устройства>Windows>Круги обновления Windows 10). Можно отфильтровывать устройства, которые получают политику кругов обновления, на основе свойства устройства, например версии ОС, производителя устройства и прочее. Созданный фильтр можно использовать при назначении политики кругов обновления.

• Дополнительные сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.
• Дополнительные сведения о политиках кругов обновления Windows 10 см. в статье Политика кругов обновления Windows 10 в Intune.

Применимо к:

• Windows 11
• Windows 10

Удаленное действие сбора данных диагностики находится в режиме общей доступности

Удаленное действие Сбор данных диагностики позволяет получать диагностические данные с корпоративных устройств, не прерывая работы и не дожидаясь подтверждения пользователя. Собираются данные об MDM, Autopilot, средствах просмотра событий, разделах реестра, клиенте Configuration Manager, сетевом взаимодействии, а также другие важные диагностические сведения для устранения неполадок. Дополнительные сведения см. в статье Сбор диагностика с устройства Windows.

Поддержка Autopilot для Microsoft HoloLens теперь является общедоступной.

Дополнительные сведения см. в статье Windows Autopilot для HoloLens 2.

Безопасность устройств

Отчет о работе из любого места

В Аналитике конечных точек появился новый отчет под названием Работа из любого места. Отчет Работа из любого места является развитием отчета Рекомендуемое программное обеспечение. Новый отчет содержит сведения о метриках для Windows 10, облачном управлении, облачных удостоверениях и облачной подготовке. Дополнительные сведения см. в статье Отчет о работе из любого места.

Поддержка каталога параметров для Microsoft Defender для конечной точки в macOS

Мы добавили параметры для управления Microsoft Defender для конечной точки в macOS в каталог параметров Intune для настройки Microsoft Defender для конечной точки в macOS.

Новые параметры приведены ниже в четырех категориях, представленных в каталоге параметров. Дополнительные сведения об этих параметрах см. в статье Настройка параметров Microsoft Defender для конечной точки в macOS в документации Microsoft Defender для конечной точки для Mac.

Microsoft Defender. Антивирусная подсистема:

• разрешенные угрозы;
• включенный пассивный режим;
• включение защиты в режиме реального времени;
• исключения сканирования;
• параметры типа угрозы.

Microsoft Defender. Настройки облачной защиты:

• уровень сбора данных диагностики
• включение или отключение автоматической отправки образцов;
• включение или отключение облачной защиты.

Microsoft Defender. Параметры EDR:

• теги устройств;
• включение или отключение раннего предварительного просмотра.

Microsoft Defender. Настройки пользовательского интерфейса:

• Значок меню "Показать или скрыть состояние"

Приложения Intune

Усовершенствования экрана расширения единого входа для Корпоративного портала на macOS

Мы улучшили экран проверки подлинности Корпоративный портал Intune, который предлагает пользователям macOS войти в свою учетную запись с помощью единого входа. Теперь пользователям доступы следующие возможности.

• Просмотр приложения, запрашивающего единый вход.
• Выбор флажка Больше не спрашивать, чтобы отказаться от будущих запросов единого входа.
• Вернитесь в запросы единого входа, перейдя в Корпоративный портал >Настройки и отменив выбор Не просить меня войти с помощью единого входа для этой учетной записи.

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Webex для Intune от Cisco Systems, Inc.
• LumApps для Intune от LumApps
• ArchXtract (MDM) от CEGB CO., Ltd.

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Июнь 2021

Управление приложениями

Приложение Корпоративный портал Android и приложение Intune теперь поддерживают португальский язык (Португалия)

Приложения Корпоративный портал Android, а также Intune для Android теперь поддерживают португальский язык (Португалия) (код языка pt-PT). Intune уже поддерживает португальский язык (Бразилия).

Улучшения при просмотре состояния управляемых приложений

Мы внесли некоторые улучшения в процесс отображения информации о состоянии управляемых приложений, развернутых для пользователей или устройств, который осуществляется в Intune.

Intune теперь отображаются только приложения, относящиеся к платформе просматриваемого устройства. Мы также ввели улучшения производительности и дополнительную поддержку платформ Android и Windows.

Обновленный тип лицензии по умолчанию для приложений Apple VPP

При создании нового назначения для приложения Apple Volume Purchase Program (VPP) теперь типом лицензии по умолчанию является устройство. Существующие назначения остаются без изменений. Дополнительные сведения о приложениях Apple VPP см. в статье Управление приложениями iOS и macOS, приобретенными с помощью Apple Business Manager, с помощью Microsoft Intune.

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Средство просмотра конфиденциальных файлов от Hitachi Solutions, Ltd.
• Мобильные заказы на работу AventX от STR Software
• Slack для Intune от Slack Technologies, Inc.
• Dynamics 365 Sales от Майкрософт
• Leap Work для Intune от LeapXpert Limited
• iManage Work 10 для Intune от iManage, LLC
• Доска (Майкрософт) от Майкрософт (версия для Android)

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Конфигурация устройства

Управление файлами cookie и межсайтовым отслеживанием в Safari на устройствах iOS и iPadOS

При создании политики ограничения устройств для устройств iOS/iPadOS вы можете управлять файлами cookie в приложении Safari (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для профилей >Встроенные приложения).

Параметр файлы cookie Safari обновляется, чтобы помочь управлять файлами cookie и межсайтовым отслеживанием. Дополнительные сведения об этом параметре см. в разделе Встроенные приложения для устройств iOS и iPadOS.

Применимо к:

• iOS или iPadOS версии 4 и более поздних версий

Регистрация устройства

Доступ к браузеру автоматически включается при регистрации корпоративных устройств Android

Доступ в браузере теперь автоматически включается при новой регистрации следующих устройств:

• Выделенные устройства Android Enterprise, зарегистрированные в режиме Microsoft Entra общего устройства
• Полностью управляемые устройства Android Enterprise
• Корпоративные устройства Android Enterprise с рабочим профилем

Соответствующие устройства могут использовать браузер для доступа к ресурсам, защищенным условным доступом.

Это изменение не влияет на уже зарегистрированные устройства.

Поддержка Intune для корпоративных устройств Android Enterprise с рабочим профилем

Поддержка Intune для корпоративных устройств Android Enterprise с рабочим профилем теперь общедоступна. Дополнительные сведения см. в статье Объявление об общедоступности корпоративных устройств Android Enterprise с рабочим профилем

Управление устройствами

Используйте фильтры в профилях конфигурации каталога параметров, а также в параметрах политики соответствия требованиям оценки риска и уровня угрозы

При использовании фильтров для назначения политик можно:

• использовать фильтры для политик соответствия, которые используют параметры Оценка риска и Уровень угрозы;
• использовать фильтры в профилях конфигурации, которые используют тип профиля Каталог параметров.

Дополнительные сведения о том, что еще можно сделать, см. в статье Список платформ, политик и типов приложений, поддерживаемых фильтрами.

Применимо к:

• Администратор устройств Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

Использование свойства EnrollmentProfileName при создании фильтра для Android Enterprise

В Intune можно создавать фильтры для целевых устройств на основе различных свойств, включая имя устройства, изготовитель и многое другое. На устройствах iOS или iPadOS, а также Windows 10/11, можно создать фильтр, используя имя профиля регистрации. Свойство имени профиля регистрации доступно для устройств Android Enterprise.

Чтобы просмотреть свойства фильтра, которые можно настроить, перейдите к статье Свойства устройства, операторы и редактирование правил при создании фильтров.

Применимо к:

• Android Enterprise

Новое удаленное действие iOS/iPadOS позволяет обновить тарифный план eSIM (общедоступная предварительная версия)

Новое действие Обновить тарифный план сотовой связи (предварительная версия) позволяет удаленно активировать тарифный план сотовой связи eSIM на устройствах iOS или iPadOS, которые его поддерживают. В настоящее время эта функция находится на стадии общедоступной ознакомительной версии. Дополнительные сведения см. в статье Обновление тарифного плана сотовой связи.

Присоединение клиента: отключение

Хотя хорошо известно, что клиенты получают огромную пользу благодаря присоединению арендаторов, иногда также встречаются те редкие случаи, когда может потребоваться отключить иерархию. Например, может потребоваться отключить подключение после сценария аварийного восстановления, когда локальная среда была удалена. Чтобы удалить иерархию Configuration Manager из Центра администрирования Microsoft Intune, выберите Администрирование клиента, Соединители и маркеры, а затем Конечная точка Майкрософт Configuration Manager. Выберите имя сайта, который нужно отключить, а затем нажмите Удалить. Дополнительные сведения см. в статье Включение подключения клиента.

Безопасность устройств

Microsoft Defender для конечной точки для Microsoft Tunnel на Android недоступен в предварительной версии

Приложение Microsoft Defender для конечной точки, поддерживающее функции Microsoft Tunnel на Android, сейчас недоступно в предварительной версии и является общедоступным для использования. Список изменений в этом выпуске:

• Вам больше не нужно участвовать в использовании Defender для конечной точки в качестве туннельного приложения на Android.
• Автономное приложение для Android теперь устарело и будет удалено из магазина приложений Google 31 января 2022 г. (когда закончится поддержка).

Запланируйте загрузку и использование обновленного приложения Microsoft Defender для конечной точки для приложения Microsoft Tunnel для Android. Если вы участвовали в использовании предварительной версии, обновите свои устройства новой версией Defender для конечной точки в магазине Google Play. Если вы по-прежнему используете автономное приложение туннеля, запланируйте миграцию в приложение Microsoft Defender для конечной точки до окончания поддержки автономного приложения.

Автономное туннельное приложение для iOS остается в предварительной версии.

Управление и устранение неполадок

Параметр экспорта для предупредительных мер

Предупредительные меры — это пакеты сценариев, которые можно использовать для обнаружения и исправления распространенных проблем поддержки на устройстве пользователя, даже до того, как пользователь осознает, что возникла проблема. Чтобы упростить анализ возвращенных выходных данных, был добавлен параметр Экспорт, который позволяет сохранять выходные данные в виде файла .csv. Дополнительные сведения см. в разделе Предупредительные меры.

Обновленный отчет о сертификатах

Отчет Сертификаты, в котором показаны текущие используемые сертификаты устройств, был обновлен и теперь включает улучшенные возможности поиска, разбивки на страницы, сортировки и экспорта отчета. В Центре администрирования Microsoft Intune выберите Устройства>Мониторинг>сертификатов. Дополнительные сведения об отчетах в Intune см. в статье Отчеты Intune.

Май 2021

Управление приложениями

Улучшенный обмен сообщениями об условном доступе для пользователей Android и iOS и iPadOS

Microsoft Entra ID обновила формулировку на экране условного доступа, чтобы лучше объяснить пользователям требования к доступу и настройке. Пользователи Android и iOS/iPadOS видят этот экран, когда пытаются получить доступ к корпоративным ресурсам с устройства, которое не зарегистрировано в управлении Intune. Дополнительные сведения об этом изменении см. в статье Новые возможности Microsoft Entra ID.

Новые плитки обеспечивают подсчет количества сбоев при установке приложений

В областях Главная, Панель мониторинга и Обзор приложений теперь есть обновленные плитки для отображения числа сбоев при установке приложения для клиента. В центре администрирования Microsoft Intune выберите Главная, чтобы просмотреть панель Главная, или Панель мониторинга для просмотра панели мониторинга. Выберите Приложения>Обзор, чтобы открыть область Обзор приложений. Дополнительные сведения см. в статье Отчеты Intune.

Конфигурация устройства

Отчет о состоянии отдельных параметров в каталоге параметров

При создании профиля каталога параметров можно увидеть, сколько устройств находятся в каждом состоянии, включая успешное выполнение, конфликт и ошибку (конфигурация>устройств> выберите политику). Этот отчет включает в себя состояние отдельных параметров, которое:

• Показывает общее количество устройств, на которые влияет определенный параметр.
• имеет элементы управления для поиска, сортировки, фильтрации, экспорта и перехода к следующей или предыдущей странице.

Дополнительные сведения о каталоге параметров см. в статье Использование каталога параметров для настройки параметров на устройствах Windows и macOS.

Новые параметры для устройств iOS и iPadOS 14.5 и более поздней версии

При создании политики ограничений устройств для устройств iOS/iPadOS доступны новые параметры (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для профиля):

• Block Apple Watch auto unlock (Запрет на авторазблокировку с Apple Watch): выберите Yes (Да), чтобы запретить пользователям разблокировку устройства с помощью Apple Watch.
• Allow users to boot devices into recovery mode with unpaired devices (Разрешить пользователям загружать устройства в режиме восстановления с несопряженными устройствами): выберите Yes (Да), чтобы разрешить пользователям загружать свое устройство в режиме восстановления с несопряженным устройством.
• Block Siri for dictation (Блокировать Siri для диктовки): выберите Yes (Да) для отключения от серверов Siri, чтобы пользователи не могли использовать Siri для диктовки текста.

Чтобы просмотреть эти параметры, перейдите к статье Параметры устройства с iOS и iPadOS, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• iOS и iPadOS 14.5 и более поздних версий

Управление устройствами

Завершена поддержка удаленного действия перезапуска на корпоративных устройствах Android Enterprise с рабочим профилем

Поддержка удаленного действия Перезапуск на корпоративных устройствах с рабочим профилем завершена. Кнопка Перезапуск удалена со страницы Устройство для корпоративных устройств с рабочим профилем. Если вы попытаетесь перезапустить устройства с помощью массовых действий устройств, корпоративные рабочие профили не будут перезапущены, а сами действия устройства будут помечены в отчете как не поддерживаемые. Другие типы устройств, включенные в массовые действия устройств, будут перезапущены как обычно при выполнении этого действия.

Поддержка многосеансового режима в Windows 10/11 Корпоративная (общедоступная предварительная версия)

Windows 10/11 Корпоративный с несколькими сеансами — это новый узел сеансов удаленных рабочих столов, эксклюзивный для Виртуального рабочего стола Azure в Azure, который позволяет одновременно выполнять несколько сеансов пользователей. Эта функция предоставляет пользователям знакомый клиентский интерфейс Windows, в то время как ИТ-служба может воспользоваться преимуществами стоимости многосеансовых лицензий и использовать существующее лицензирование Microsoft 365 для каждого пользователя.

Microsoft Intune позволяет управлять несколькими сеансами подключения к удаленным рабочим столам с помощью конфигураций на основе устройств, таких как общий клиент Windows без участия пользователей. Теперь вы можете автоматически зарегистрировать Microsoft Entra виртуальных машин с гибридным присоединением в Intune и использовать политики и приложения область ОС.

Варианты действий:

• Размещайте несколько одновременных сеансов пользователей с помощью многосеансового SKU Windows 10/11 Корпоративная, эксклюзивно для Виртуального рабочего стола Azure.
• Управление несколькими сеансами подключения к удаленным рабочим столам с помощью конфигураций на основе устройств, таких как общий клиент Windows 10/11 Корпоративная без пользователей.
• Автоматическая регистрация виртуальных машин Microsoft Entra гибридных присоединений в Intune и назначение их с помощью политик и приложений область устройств.

Дополнительные сведения см. в статье Удаленные рабочие столы Windows 10/11 Корпоративная (многосеансовый режим).

Использование фильтров для назначения политик в Центре администрирования Intune

Доступен новый параметр Фильтры, который можно использовать при назначении приложений или политик группам. Чтобы создать фильтр, выберите:

• Устройства>Фильтры>Создать
• Приложения>Фильтры>Создать
• Администрирование клиента>Фильтры>Создать

Область затронутых устройств можно отфильтровать с помощью свойств устройства. Например, можно выполнить фильтрацию по версии ОС, изготовителю устройства и др. Созданный фильтр можно использовать при назначении политики или профиля.

Дополнительные сведения см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.

Применимо к:

• Администратор устройств Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

Использование политики Intune для ускоренной установки обновлений системы безопасности Windows 10/11

В общедоступной предварительной версии можно использовать политику Windows 10 обновлений качества Intune, чтобы ускорить установку последних обновлений системы безопасности Windows 10/11 на устройства, которыми вы управляете с помощью Intune.

При ускорении обновления устройства могут начать загрузку и установку обновления при первой же возможности, не дожидаясь, пока устройство запустит проверку на наличие обновлений. Помимо ускорения установки обновления, использование этой политики не затрагивает существующие политики и процессы развертывания обновлений.

Для отслеживания срочных обновлений можно использовать следующие варианты:

• отчет о срочных обновлениях Windows;
• отчет устройства о сбоях срочных обновлений.

Безопасность устройств

Профили интерфейса безопасности Windows поддерживают параметры с тремя состояниями

Для Windows 10 устройств мы обновили параметры двух состояний, чтобы они были три состояниями в профиле взаимодействия Безопасность Windows для политики антивирусной программы безопасности конечных точек.

Большинство параметров в профиле поддерживали только два варианта: Да и Не настроено. Теперь же эти же параметры будут иметь следующие значения: Да, Не настроено и Нет.

• В существующих профилях параметры, для которых было задано значение Не настроено, по-прежнему будут иметь состояние Не настроено. Но теперь при создании нового профиля или изменении существующего вы можете явно указать значение Нет.

Кроме того, следующие сведения относятся к настройке области Скрытие защиты от вирусов и угроз в параметре приложения Безопасность Windows и его дочернего параметра Скрыть параметр восстановления данных программы-шантажиста в параметре приложения Безопасность Windows:

• Если для родительского параметра (Скрыть область защиты от вирусов и угроз) задано значение Не настроено , а для дочернего параметра задано значение Да, то для родительских и дочерних параметров задано значение Не настроено.

Новая версия шлюза Microsoft Tunnel Gateway

Мы выпустили новую версию шлюза Microsoft Tunnel. Он включает в себя следующие изменения.

• Исправление незначительных ошибок.
• Обновления образов с обновлениями системы безопасности для всех зависимостей.

Для сайтов, настроенных на автоматическое обновление, сервер туннельного шлюза автоматически обновится до новой версии. Для сайтов, которые настроены на обновление вручную, необходимо утвердить обновление.

Теперь доступен условный доступ к облаку для государственных организаций на устройствах macOS под управлением Jamf

Теперь можно использовать подсистему соответствия Intune для оценки устройств macOS, которые находятся под управлением Jamf, для облака для государственных организаций. Для этого активируйте соединитель соответствия для Jamf. Дополнительные сведения см. в статье Обеспечение соответствия требованиям путем интеграции Jamf Pro c Intune.

Изменения для шлюза Microsoft Tunnel Gateway

Мы хотели бы огласить несколько обновлений, которые станут доступны для Microsoft Tunnel Gateway уже в этом месяце.

• Шлюз Microsoft Tunnel Gateway теперь общедоступен
  В этом наборе исправлений, предварительная версия шлюза Microsoft Tunnel Gateway больше не доступна. Этот шлюз является общедоступным. В то время как компонент сервера шлюза Microsoft Tunnel Gateway недоступен для предварительной версии, в предварительной версии остаются следующие клиентские приложения Microsoft Tunnel:

  • автономное приложение Microsoft Tunnel для Android;
  • автономное приложение Microsoft Tunnel для iOS;
  • Microsoft Defender для конечной точки с поддержкой Microsoft Tunnel для Android.

• Поддержка пользовательских настроек в профилях VPN Microsoft Tunnel для Microsoft Defender для конечных точек для Android

  При использовании Microsoft Defender для конечной точки в качестве клиентского приложения Microsoft Tunnel для Android, а также приложения защиты от угроз на мобильных устройствах (MTD), можно использовать пользовательские параметры в профиле VPN Microsoft Tunnel для настройки Microsoft Defender для конечной точки.

  В этом сценарии использование пользовательских параметров для настройки Microsoft Defender для конечной точки в профиле VPN устраняет необходимость развертывания отдельного профиля конфигурации приложения для Microsoft Defender для конечной точки.

  Для следующих платформ можно выбрать использование либо пользовательских параметров в профиле VPN, либо использование отдельного профиля конфигурации приложения для Microsoft Defender для конечной точки:

  • полностью управляемая среда Android Enterprise;
  • корпоративный рабочий профиль Android Enterprise.

  Однако для личного рабочего профиля Android Enterprise используйте только профиль VPN с пользовательскими параметрами. Устройства с личным рабочим профилем, получающие отдельный профиль конфигурации приложения для Microsoft Defender для конечной точки и профиль VPN Microsoft Tunnel, могут не подключиться к Microsoft Tunnel.

Управление и устранение неполадок

Новый операционный отчет, предоставляющий сведения о состоянии установки приложений

Новый отчет Состояние установки приложений содержит список приложений с версиями и сведениями об установке. Сведения об установке приложений включаются в список в виде отдельных столбцов. Кроме того, в сведениях об установке содержатся итоги установки и сбоя приложения для устройств и пользователей. Также в этом отчете можно выполнять поиск и сортировку. В центре администрирования Microsoft Intune выберите Приложения>Монитор>состояния установки приложений. Дополнительные сведения об отчетах в Intune см. в статье Отчеты Intune.

Новый операционный отчет, предоставляющий сведения о состоянии установки приложений для конкретного устройства

Новый отчет Состояние установки для устройств содержит список устройств и информацию о состоянии для конкретного приложения. Сведения об установке приложения, связанные с устройством, включают следующие сведения: Имя субъекта-пользователя, Платформа, Версия, Состояние, Сведения о состоянии и Последняя синхронизация. Кроме того, вы можете выполнять сортировку, фильтрацию и поиск в этом отчете. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения> Выберитесостояние установкиустройства приложения>. Дополнительные сведения об отчетах в Intune см. в статье Отчеты Intune.

Новый операционный отчет, предоставляющий сведения о состоянии установки приложений для конкретного пользователя

Новый отчет Состояние установки для пользователей предоставляет список пользователей и информацию о состоянии для конкретного приложения. Сведения об установке приложений для конкретного пользователя включают: имя, имя участника-пользователя, сбои, установки, приложения, ожидающие установки, неустановленные и неприменимые приложения. Кроме того, вы можете выполнять сортировку, фильтрацию и поиск в этом отчете. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения>Выберите приложение>Состояние установки пользователя. Дополнительные сведения об отчетах в Intune см. в статье Отчеты Intune.

Экспорт отчетов Intune с помощью API Graph версии 1.0 или бета-версии

API экспорта отчетов Intune теперь доступен в Graph версии 1.0, а также по-прежнему останется доступным в бета-версии Graph. Дополнительные сведения см. в разделах Intune отчетов и Экспорт отчетов Intune с помощью API Graph.

Сценарии

Новое значение свойства поддерживается для устройств Android Open Source Project

Значение свойства IntuneAosp теперь поддерживается в перечислении managementAgentType. Значением ManagementAgentTypeID этого свойства является 2048. Это тип устройства, управляемого MDM Intune для устройств AOSP (Android Open Source Project). Дополнительные сведения см. в разделе managementAgentType в разделе бета-версии API Intune Data Warehouse.

Апрель 2021 г.

Управление приложениями

Обновленный экран со сведениями о конфиденциальности на Корпоративном портале для iOS

Мы добавили дополнительный текст на экран Корпоративный портал конфиденциальности, чтобы уточнить, как Корпоративный портал использует собранные данные. Гарантируется, что собранные данные будут использованы только для того, чтобы проверить соответствие устройства политикам организации.

Состояние установки назначенных устройству обязательных приложений

На странице Установленные приложения на Корпоративном портале Windows или на веб-сайте Корпоративного портала пользователи могут просматривать состояние установки и сведения о назначенных устройству обязательных приложениях. Эта возможность дополняет сведения о состоянии установки и о назначенных пользователю обязательных приложениях. Дополнительные сведения о Корпоративном портале см. в разделе Как настроить приложения Корпоративного портала Intune, веб-сайт Корпоративного портала и приложение Intune.

Версия приложения Win32, отображаемая в консоли

Версия приложения Win32 теперь отображается в Центре администрирования Microsoft Intune. Версия приложения указана в списке Все приложения, где вы сможете отфильтровать приложения Win32 и выбрать необязательный столбец Версия. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения>Столбцы>Версия, чтобы отобразить версию приложения в списке приложений. Дополнительные сведения см. в статье Управление приложениями Win32 с помощью Microsoft Intune.

Настройка максимального номера версии ОС для условного запуска приложения на устройствах iOS

С помощью политик защиты приложений Intune вы можете добавить новый параметр условного запуска, запрещающий пользователям использовать предварительную или бета-сборку ОС для доступа к данным рабочей или учебной учетной записи на устройствах iOS. Этот параметр позволяет вам проверять все выпуски ОС, прежде чем пользователи начнут активно использовать новые функции на устройствах iOS. В центре администрирования Microsoft Intune выберите Приложения>защита приложений политики. Дополнительные сведения см. в статье Создание и назначение политик защиты приложений.

Конфигурация устройства

Новый современный способ проверки подлинности с помощью помощника по настройке Apple (общедоступная предварительная версия)

При создании профиля автоматической регистрации устройств можно выбрать новый способ проверки подлинности: помощник по настройке с современным способом проверки подлинности. Этот метод предоставляет все параметры безопасности помощника по настройке и в то же время позволяет избежать случаев зависания устройств пользователей и невозможности их использования во время установки Корпоративного портала. Пользователь должен пройти проверку подлинности с помощью Microsoft Entra многофакторной проверки подлинности во время настройки помощник экранов. Чтобы получить доступ к корпоративным ресурсам, защищенным условным доступом, для этой функции требуется другой Microsoft Entra входа после регистрации в приложении Корпоративный портал. Требуемая версия Корпоративного портала будет автоматически отправлена на устройство для iOS/iPadOS как обязательное приложение. Сведения о том, как получить Корпоративный портал на устройство macOS, см. в статье Добавление приложения Корпоративного портала для macOS.

Регистрация завершается, как только пользователь перейдет на начальный экран. Пользователи могут свободно использовать устройство для просмотра ресурсов, не защищенных условным доступом. Сходство пользователей устанавливается, когда пользователь попадает на начальный экран после экранов настройки. Однако устройство не будет полностью зарегистрировано в Microsoft Entra ID до тех пор, пока Корпоративный портал войти в систему. Устройство не будет отображаться в списке устройств конкретного пользователя в Центр администрирования Microsoft Entra, пока Корпоративный портал не войдет в систему. Если для этих устройств или пользователей включена многофакторная проверка подлинности, пользователям будет предложено выполнить многофакторную проверку подлинности во время регистрации во время помощника по настройке. Многофакторная проверка подлинности не требуется, но при необходимости она доступна для этого метода проверки подлинности в условном доступе.

Этот метод предоставляет следующие варианты для установки Корпоративного портала.

• Для iOS/iPadOS. Параметр Установить приложение "Корпоративный портал" не будет отображаться при выборе этого процесса для iOS/iPadOS. Приложение Корпоративный портал будет обязательным приложением на устройстве с правильной политикой конфигурации приложений на устройстве, когда пользователь переходит на начальный экран. Чтобы получить доступ к ресурсам, защищенным условным доступом, и быть полностью Microsoft Entra зарегистрированными, после регистрации пользователи должны войти в приложение Корпоративный портал с Microsoft Entra учетными данными.
• Для macOS: пользователи должны войти в Корпоративный портал, чтобы завершить регистрацию Microsoft Entra и получить доступ к ресурсам, защищенным условным доступом. Пользователь не будет заблокирован для приложения Корпоративный портал после размещения на домашней странице. Но для доступа к корпоративным ресурсам и обеспечения соответствия требованиям требуется другой вход в приложение Корпоративный портал. Дополнительные сведения см. в разделе Добавление приложения "Корпоративный портал" для macOS.

Сведения по использованию этого способа проверки подлинности на устройствах iOS/iPadOS приведены в статье Автоматическая регистрация устройств iOS/iPadOS с помощью автоматической регистрации устройств Apple.

Сведения по использованию этого способа проверки подлинности на устройствах macOS приведены в статье Автоматическая регистрация устройств macOS с помощью Apple Business Manager или Apple School Manager.

Обновленные отчеты о политиках OEMConfig для устройств Android Enterprise

На устройствах Android Enterprise можно создать политику OEMConfig для добавления, создания и настройки параметров, относящихся к изготовителям оборудования. Теперь отчеты о политиках обновлены и также включают успешное состояние для устройства, пользователя и для каждого параметра политики.

Дополнительные сведения см. в статье Использование устройств Android Enterprise и управление ими с помощью OEMConfig в Microsoft Intune.

Применимо к:

• Android Enterprise

Отключение связывания NFC на устройствах iOS и iPadOS 14.2 и более поздних версий

На защищенных устройствах iOS/iPadOS можно создать профиль ограничений устройств, который отключает NFC (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для профиля >Подключенные устройства>Отключить nfc). Отключение этой функции запрещает устройствам связываться с другими устройствами через NFC и отключает NFC.

Чтобы просмотреть этот параметр, обратитесь к разделу Параметры устройства с iOS и iPadOS, которые позволяют разрешить или ограничить некоторые функции через Intune.

Применимо к:

• iOS и iPadOS 14.2 и более поздних версий

Управление устройствами

Удаленное действие поиска устройства для устройств с клиентом Windows

Теперь вы можете использовать новое удаленное действие "Найти устройство", чтобы узнать географическое местоположение устройства. Поддерживаемые устройства включают:

• Windows 11
• Windows 10 версии 20H2 (10.0.19042.789) или более поздней
• Windows 10 версии 2004 (10.0.19041.789) или более поздней
• Windows 10 версии 1909 (10.0.18363.1350) или более поздней
• Windows 10 версии 1809 (10.0.17763.1728) или более поздней

Чтобы просмотреть новое действие, войдите в Центр администрирования Microsoft Intune и выберите Устройства>Windows> выберите устройство >Найти устройство.

Это действие будет работать также, как текущее действие Найти устройство для устройств Apple (однако не будет включать в себя какие-либо функции режима пропажи).

Для работы этого удаленного действия необходимо включить службы определения местоположения на устройствах. Если Intune не удается получить расположение устройства и пользователь задал расположение по умолчанию в параметрах устройства, будет отображаться расположение по умолчанию.

Microsoft Intune прекращение поддержки Android 5.x

Microsoft Intune больше не поддерживает устройства Android 5.x.

Поддержка отображения номеров телефонов для корпоративных устройств Android Enterprise

Для корпоративных устройств Android Enterprise (выделенные, полностью управляемые и полностью управляемые с рабочим профилем) связанные номера телефонов устройств теперь отображаются в Центре администрирования Microsoft Intune. Если с устройством связано несколько номеров, будет отображаться только один из них.

Поддержка свойства EID для устройств с iOS и iPadOS

Идентификатор eSIM (EID) — это уникальный идентификатор встроенной SIM-карты (eSIM). Свойство EID теперь отображается на странице сведений об оборудовании с устройств iOS и iPadOS.

Intune поддержка подготовки Microsoft Entra общих устройств

Возможность подготовки выделенных устройств Android Enterprise с помощью Microsoft Authenticator, автоматически настроенной в режиме общего устройства Microsoft Entra, теперь общедоступна. Дополнительные сведения об использовании этого типа регистрации см. в статье Настройка регистрации Intune для выделенных устройств Android Enterprise.

Просмотр сведений об окончании поддержки для профилей обновления компонентов

Чтобы помочь вам спланировать завершение обслуживания для Windows 10 обновлений компонентов, развертываемых с помощью Intune, в центре администрирования Microsoft Intune представлены новые столбцы сведений о профилях Обновления компонентов.

В первом новом столбце отображается состояние. Это состояние определяет, когда обновление в профиле приближается или заканчивается. Во втором столбце отображается дата окончания службы. Когда обновление достигает конца службы, оно больше не развертывается на устройствах, и политику можно удалить из Intune.

К новым столбцам и сведениям относятся:

• Поддержка — в этом столбце отображается состояние обновления компонента:

  • Поддерживается — обновление поддерживается для распространения.
  • Поддержка заканчивается — обновление будет выполнено в течение двух месяцев с даты окончания обслуживания.
  • Не поддерживается — обновление достигло даты окончания обслуживания и больше не поддерживается.

• Дата окончания поддержки — в этом столбце отображается дата окончания обслуживания для обновления компонентов в профиле.

Сведения о датах окончания обслуживания для выпусков Windows 10 см. в разделе Сведения о выпуске Windows 10 в документации по работоспособности выпуска Windows.

Безопасность устройств

Использование профилей антивирусной программы для запрета или разрешения слияния списков исключений антивирусных программ на устройствах

Теперь в профиле антивирусной программы в Microsoft Defender можно настроить параметр Объединение для локального администратора в Defender, позволяющий заблокировать объединение локальных списков исключений для антивирусной программы в Microsoft Defender на устройствах с Windows 10.

Списки исключений для антивирусной программы в Microsoft Defender можно настроить локально на устройстве и указать их в политике защиты от вирусов Intune:

• При объединении списков исключений локально определенные исключения объединяются с исключениями из Intune.
• Если слияние заблокировано, на устройстве будут действовать только исключения из политики.

Дополнительные сведения об этом параметре и связанных параметрах см. в разделе Исключения антивирусной программы в Microsoft Defender.

Оптимизированный процесс условного доступа на устройствах Surface Duo

Мы упростили поток условного доступа на устройствах Surface Duo. Эти изменения будут выполнены автоматически и не потребуют обновления конфигурации администраторами. (Безопасность конечной точки>Условный доступ)

На устройстве Duo:

• Теперь если доступ к ресурсу блокируется с помощью условного доступа, пользователи перенаправляются в приложение Корпоративного портала, предварительно установленное на устройстве. Ранее открывалось описание приложения Корпоративного портала в Google Play.
• На устройствах, зарегистрированных с использованием личного рабочего профиля, при попытке пользователя войти в личную версию приложения с помощью рабочих учетных данных выполняется перенаправление в рабочую версию Корпоративного портала с соответствующими инструкциями. Ранее пользователи отправлялись в магазин Google Play с описанием личной версии приложения Корпоративный портал. Им придется повторно включить личное приложение Корпоративный портал, чтобы увидеть инструкции по обмену сообщениями.

Настройка параметров, применяемых к обновлениям сервера шлюза Tunnel

Мы добавили параметры, помогающие управлять обновлением серверов шлюза Microsoft Tunnel. Новые параметры применяются к конфигурации сайтов и включают:

• Установку периода обслуживания для каждого сайта Tunnel. Это окно определяет, когда можно начать обновление серверов Tunnel, назначенных этому сайту.

• Настройку типа обновления сервера, которая определяет, как выполняется обновление для всех серверов сайта. Вы можете выбрать один из вариантов:

  • Автоматически — все серверы сайта будут обновлены, как только будет доступна новая версия сервера.
  • Вручную — серверы сайта будут обновлены только после того, как администратор решит выполнить обновление явным образом.

• На вкладке "Проверка работоспособности" теперь отображается состояние версии программного обеспечения сервера, которое поможет вам понять, когда программное обеспечение сервера Tunnel устарело. Предусмотренные состояния:

  • Работоспособно — используется последняя версия программного обеспечения.
  • Предупреждение — используется предыдущая версия.
  • Неработоспособно — используется более ранняя версия по сравнению с предыдущей.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Omnipresence Go от Omnipresence Technologies, Inc.
• Comfy от Building Robotics, Inc.
• M-Files for Intune от M-Files Corporation

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Управление и устранение неполадок

Новый пользовательский интерфейс для фильтрации данных новых операционных отчетов

Новые операционные отчеты теперь поддерживают новый пользовательский интерфейс для добавления фильтров данных. Новый элемент фильтра обладает улучшенным интерфейсом для создания срезов, уточнения и просмотра данных отчета. Дополнительные сведения об отчетах в Intune см. в статье Отчеты Intune.

Теперь отчет о частоте перезапуска Windows для Аналитики конечных точек общедоступен

В настоящее время производительность запуска в аналитике конечных точек показывает администраторам данные для измерения и оптимизации времени загрузки ПК. Однако частота перезапуска может оказать влияние на взаимодействие с пользователем, так как устройство, которое ежедневно перезагружается из-за синих экранов, будет плохо работать с пользователем, даже если время загрузки быстро. Мы добавили отчет о частоте перезапусков в организации, чтобы помочь вам выявлять проблемные устройства. Дополнительные сведения см. в статье Частота перезапуска в аналитике конечных точек.

Март 2021 г.

Управление приложениями

Агент управления Intune для устройств macOS теперь является универсальным приложением

При развертывании скриптов оболочки или настраиваемых атрибутов для устройств macOS из Microsoft Intune развертывается новая универсальная версия приложения агента управления Intune, которая изначально выполняется на компьютерах Apple Silicon Mac. Это же развертывание устанавливает x64-версию приложения на компьютерах Intel Mac. Для запуска 64-разрядных версий приложений (Intel) на компьютерах Mac с Apple Silicon требуется Rosetta 2. Чтобы автоматически установить Rosetta 2 на apple Silicon Mac, можно развернуть сценарий оболочки в Intune. Дополнительные сведения см. в разделе Агент управления Microsoft Intune для macOS.

Приложения Microsoft 365 для устройств macOS теперь являются универсальными приложениями

При развертывании Приложения Microsoft 365 для устройств macOS с Microsoft Intune теперь развертываются новые универсальные версии приложения, которые изначально работают на apple Silicon Mac. В этом же развертывании устанавливаются 64-разрядные версии приложения на компьютерах Mac Intel под управлением macOS 10.14 и более поздних версий. Чтобы добавить Приложения Microsoft 365 для macOS,в центре >администрирования Microsoft IntuneПриложения >Все приложения>добавьте. Выберите macOS в списке Тип приложения в области Приложения Microsoft 365. Дополнительные сведения см. в статье Назначение Microsoft 365 устройствам macOS с Microsoft Intune.

Дополнительные ключи конфигурации для приложения Microsoft Launcher

Теперь вы можете задать параметры конфигурации папки для Microsoft Launcher на полностью управляемых корпоративных устройствах Android Enterprise. Используя политику конфигурации приложений и значения ключей конфигурации, вы можете задать значения для формы папки, папки, открытой в полноэкранном режиме, а также направления прокрутки папки. Кроме того, вы можете расположить на главном экране не только приложения и веб-ссылки, но и папки. Кроме того, вы можете разрешить конечным пользователям изменять значения стиля папки в приложении. Дополнительные сведения о Microsoft Launcher см. в статье Настройка Microsoft Launcher для Android Enterprise с использованием Intune.

Поддержка замены приложений Win32 в Intune

Мы включили общедоступную предварительную версию замены приложений в Intune. Теперь можно создавать отношения замены между приложениями, что позволяет обновлять существующие приложения Win32 и заменять их новыми версиями того же приложения или совершенно другими приложениями Win32. Дополнительные сведения см. в статье Замена приложений Win32.

Настройка максимального номера версии ОС для условного запуска приложения на устройствах Android

С помощью политик защиты приложений Intune вы можете добавить новый параметр условного запуска, запрещающий пользователям использовать предварительную или бета-сборку ОС для доступа к данным рабочей или учебной учетной записи на устройствах Android. Этот параметр позволяет вам проверять все выпуски ОС, прежде чем пользователи начнут активно использовать новые функции на устройствах Android. В Центре администрирования Microsoft Intune этот параметр находится в разделе Приложения>защита приложений политики. Дополнительные сведения см. в статье Создание и назначение политик защиты приложений.

Конфигурация устройства

Новая версия соединителя сертификатов PFX

Мы выпустили новую версию соединителя сертификатов PFX версии 6.2101.16.0. В этом обновлении улучшен поток создания PFX и предотвращается дублирование файлов запросов сертификатов на локальных серверах, где размещается соединитель.

Дополнительные сведения о соединителях сертификатов, в том числе список выпусков для обоих соединителей сертификатов, см. в статье Соединители сертификатов.

Использование типа VPN-подключения Cisco AnyConnect для Windows 10/11 и Windows Holographic for Business

Профили VPN можно создавать с помощью Cisco AnyConnect в качестве типа подключения (Конфигурация>устройств>Create>Windows 10 и более поздних версий для VPN платформы > для профиля >Cisco AnyConnect для типа подключения) без необходимости использовать настраиваемые профили.

Эта политика использует приложение Cisco AnyConnect, доступное в Microsoft Store. Она не использует классическое приложение Cisco AnyConnect.

Дополнительные сведения о профилях VPN в Intune см. в статье Создание профилей VPN для подключения к VPN-серверам.

Применимо к:

• Windows 11
• Windows 10
• Windows Holographic for Business

Запуск Microsoft Edge версии 87 или более новой в режиме киоска с одним приложением на устройствах под управлением Windows 10/11

На клиентских устройствах Windows вы настраиваете устройство для запуска в качестве киоска, в котором выполняется одно приложение или выполняется несколько приложений (Конфигурация>устройств>Create>Windows 10 и более поздних версий для киоска шаблонов> платформы>). При выборе режима одного приложения можно выполнять следующие действия:

• Запускать Microsoft Edge версии 87 или более поздней.
• Выбрать Добавить браузер Microsoft Edge прежней версии, чтобы запустить Microsoft Edge версии 77 или более ранней.

Дополнительные сведения о параметрах, которые можно настроить в режиме киоска, см. в статье Параметры режима киоска для устройств клиента Windows.

Применимо к:

• Windows 11 в режиме киоска с одним приложением
• Windows 10 в режиме киоска с одним приложением
• Microsoft Edge версии 87 и более поздней
• Microsoft Edge версии 77 и более ранней

Административные шаблоны доступны в каталоге параметров и содержат больше параметров

В Intune можно использовать административные шаблоны для создания политик (Конфигурация>устройств>Create>Windows 10 и более поздних версий для административных шаблонов платформы > для профиля).

В каталоге параметров также доступны административные шаблоны и имеют дополнительные параметры (Конфигурация>устройств>Create>Windows 10 и более поздние версии для каталога параметров платформы> для профиля).

В этом выпуске администраторы могут настраивать другие параметры, которые существовали только в локальной групповой политике и были недоступны в облачных MDM. Эти параметры доступны для сборок клиентских конечных точек программы предварительной оценки Windows и могут использоваться в рыночных версиях Windows, таких как 1909, 2004 или 2010.

Если вы хотите создать административные шаблоны и использовать все доступные параметры, предоставляемые Windows, используйте каталог параметров.

Дополнительные сведения см. в указанных ниже статьях.

• Настройка параметров групповой политики с помощью шаблонов Windows 10/11
• Использование каталога параметров для настройки параметров

Применимо к:

• Windows 11
• Windows 10

Дополнительные параметры Microsoft Edge; категории параметров удалены из каталога параметров для macOS

На устройствах macOS можно использовать каталог параметров для настройки Microsoft Edge версии 77 и более поздних (Конфигурация>устройств>Create>macOS для каталога параметров платформы>).

В этом выпуске:

• Добавлены дополнительные параметры Microsoft Edge.
• На какое-то время категории настроек будут удалены. Чтобы найти определенный параметр, используйте категорию Microsoft Edge — Все или выполните поиск по имени параметра. Список параметров см. в разделе Microsoft Edge — политики.

Дополнительные сведения о каталоге параметров см. в статье Использование каталога параметров для настройки параметров.

Применимо к:

• macOS
• Microsoft Edge

Windows 10/11 в облачной конфигурации предоставляется в качестве интерактивного сценария

Windows 10/11 в облачной конфигурации — это рекомендуемая Майкрософт конфигурация устройств под управлением Windows 10/11. ОС Windows 10/11 в облачной конфигурации оптимизирована для работы с облаком, что очень удобно для пользователей, которым требуются конкретные рабочие процессы.

Существует интерактивный сценарий, который автоматически добавляет приложения и создает политики для настройки устройств под управлением Windows 10/11 в облачной конфигурации.

Дополнительные сведения см. в статье Интерактивные сценарии для Windows 10/11 в облачной конфигурации.

Применимо к:

• Windows 11
• Windows 10

Регистрация устройства

Состояние синхронизации токенов программы регистрации

Состояние синхронизации для токенов автоматической регистрации устройств, перечисленных на панели Токены программы регистрации, было удалено, чтобы избежать путаницы. Сведения по каждому токену будут отображаться и далее. Токены программы регистрации используются для управления автоматической регистрацией устройств в Apple Business Manager и Apple School Manager. В центре администрирования Microsoft Intune можно найти список маркеров для устройств iOS/iPadOS, выбрав Устройства>iOS/iPadOS>iOS/iPadOSдляпрограммы регистрации>. Чтобы найти список токенов для устройств на базе macOS, выберите Устройства>macOS>Регистрация macOS>Токены программы регистрации. Дополнительные сведения см . в разделах Автоматическая регистрация устройств iOS/iPadOS и Автоматическая регистрация устройств macOS.

Управление устройствами

Увеличение рекомендуемого максимального количества устройств iOS/iPadOS и macOS на токен регистрации

Ранее мы рекомендовали не превышать предел в 60 000 устройств под управлением iOS, iPadOS или macOS на каждый токен автоматической регистрации устройств (ADE). Это рекомендуемое предельное количество теперь увеличено до 200 000 устройств на токен. Дополнительные сведения о токенах ADE см. в статье Автоматическая регистрация устройств iOS/iPadOS в рамках программы автоматической регистрации устройств Apple.

Обновление имен столбцов в представлении "Все устройства" и отчете "Экспорт"

Чтобы точно отразить данные в столбцах, мы обновили имена столбцов в представлении Все устройства и отчете экспорт, чтобы они были основными именами участника-пользователя, адресом электронной почты основного пользователя и отображаемым именем основного пользователя.

Окончание поддержки Internet Explorer 11

31 марта 2021 г. в Intune прекратится поддержка доступа для администрирования через Internet Explorer 11 к пользовательскому интерфейсу веб-приложения портала администрирования. Перейдите на Edge или другой поддерживаемый браузер не позднее этого момента, чтобы сохранить возможность администрировать службы Майкрософт, созданные в Azure.

Удаленное действие "Сбор диагностики"

Новое удаленное действие Сбор диагностики позволит вам получать журналы с корпоративных устройств, не прерывая работы и не дожидаясь подтверждения пользователя. Собираются журналы MDM, Автопилота, средств просмотра событий, ключей, клиента Configuration Manager, сетевого взаимодействия, а также другие важные журналы для устранения неполадок. Дополнительные сведения см. в статье Сбор диагностика с устройства Windows.

Новые методы для экспорта данных устройства

При экспорте данных устройства доступны следующие новые параметры:

• Включать в экспортируемый файл только выбранные столбцы.
• Включать в экспортируемый файл все данные инвентаризации. Чтобы просмотреть эти параметры, перейдите в Microsoft Intune Центр> администрированияУстройства>Все устройства>Экспорт.

Безопасность устройств

Использование переменной CN={{UserPrincipalName}} в субъекте и SAN профилей сертификатов SCEP и PKCS для устройств Android Enterprise

Теперь вы можете использовать переменную атрибута пользователя CN={{UserPrincipalName}} в субъекте или SAN профиля сертификата PKCS или профиля сертификата SCEP для устройств Android. Для этого нужно, чтобы устройство имело пользователя, например, это могут быть устройства, зарегистрированные как:

• Полностью управляемые устройства Android Enterprise
• Личные устройства Android Enterprise с рабочим профилем

Атрибуты пользователей не поддерживаются для устройств, не имеющих связей пользователей, таких как устройства, зарегистрированные как выделенные для Android Enterprise. Например, если на устройстве нет пользователя, профиль, использующий CN={{UserPrincipalName}} в субъекте или san, не может получить имя участника-пользователя.

Использование политик защиты приложений с Microsoft Defender для конечной точки в Android и iOS

Теперь вы можете использовать Microsoft Defender для конечной точки в политиках защиты приложений для устройств под управлением Android или iOS.

• Настройте политику условного запуска MAM таким образом, чтобы она включала сигналы максимально допустимого уровня угроз от Microsoft Defender для конечной точки на устройствах iOS и устройствах Android.
• Выберите действие Блокировать доступ или Очистить данные в зависимости от того, соответствует ли устройство ожидаемому уровню угрозы.

После настройки пользователям будет предложено установить Microsoft Defender для конечной точки из соответствующего магазина приложений и выполнить его настройку. Обязательными условиями являются настройка соединителя Microsoft Defender для конечной точки и включение переключателя, отвечающего за отправку данных о рисках в политики защиты приложений. Дополнительные сведения см. в статье Общие сведения о политиках защита приложений и Использование Microsoft Defender для конечной точки в Microsoft Intune.

Настройка правил сокращения направлений атак на блокировку вредоносных программ с использованием инструментария WMI

Теперь вы можете настроить правило с именем Блокировать сохраняемость через подписку на события WMI в профиле Правила уменьшения уязвимой зоны в системе безопасности конечных точек.

Это правило не дает вредоносным программам использовать инструментарий WMI для сохранения на устройстве. Бесфайловые угрозы реализуют различные тактики, чтобы оставаться скрытыми, избегать обнаружения в файловой системе и иметь возможность периодически выполняться. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.

При настройке в качестве параметра в политике уменьшения уязвимой зоны для обеспечения безопасности конечных точек доступны следующие параметры:

• Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено и сохраняемость не заблокирована.
• Блокировать — сохраняемость через WMI заблокирована.
• Аудит — позволяет оценить, как включение этого правила влияет на вашу организацию (установлено на "Блокировать").
• Отключить — отключает правило. Сохраняемость не заблокирована.

Это правило не поддерживает параметр Предупреждать , а также доступно в качестве параметра конфигурации устройства из каталога параметров.

Обновление Microsoft Tunnel

Мы выпустили новую версию шлюза Microsoft Tunnel, которая включает следующие изменения:

• Различные исправления ошибок и улучшения.

Сервер шлюза Tunnel будет автоматически обновлен до нового выпуска.

Сведения о состоянии работоспособности для серверов шлюза Microsoft Tunnel

Мы добавили возможность просматривать подробные сведения о состоянии работоспособности серверов шлюза Tunnel в центре администрирования Microsoft Intune.

На новой вкладке Работоспособность проверка отображаются следующие сведения:

• Последняя синхронизация — время последнего обращения сервера к Intune.
• Number of current connections (Число текущих подключений) — количество активных подключений при последней синхронизации.
• Пропускная способность. Мегабит в секунду, которая проходит через сетевую карту, наконец, проверка.
• Использование ЦП — средняя величина загрузки ЦП.
• Использование памяти — средняя величина загрузки памяти.
• Задержка — среднее время, в течение которого IP-пакеты проходят через сетевую карту.
• TLS certificate expiration status and days before expiration (Состояние истечения срока действия сертификата TLS и число дней до истечения срока действия) — оставшееся время действия сертификата TLS, который защищает обмен данными между клиентом и сервером для туннеля.

Общедоступная предварительная версия функции клиента для Tunnel в приложении "Microsoft Defender для конечной точки" для Android

Как было объявлено на конференции Ignite, функции клиента Microsoft Tunnel переносятся в приложение "Microsoft Defender для конечной точки". Благодаря этой предварительной версии вы можете перейти на использование предварительной версии Microsoft Defender для конечной точки в качестве клиентского приложения Tunnel на всех поддерживаемых устройствах. Существующий клиент Tunnel пока остается доступным, но позднее он будет выведен из эксплуатации в пользу приложения "Microsoft Defender для конечной точки".

Эта общедоступная предварительная версия применяется к следующим объектам:

• Android Enterprise
  • полностью управляемое устройство.
  • корпоративный рабочий профиль;
  • личный рабочий профиль.

Для использования этой предварительной версии нужно явно согласиться на доступ к предварительной версии Microsoft Defender для конечной точки, а затем перенести поддерживаемые устройства из автономного клиентского приложения Tunnel в эту предварительную версию приложения. Дополнительные сведения см. в статье о миграции в приложение "Microsoft Defender для конечной точки".

Приложения Intune

Ключи конфигурации Microsoft Launcher

Для полностью управляемых устройств Android Enterprise приложение Microsoft Launcher для Intune теперь предоставляет дополнительные возможности настройки. В средстве запуска можно настроить набор отображаемых приложений и веб-ссылок, а также порядок этих приложений и веб-ссылок. Список отображаемых приложений и расположение (порядок) конфигураций приложений теперь объединены, чтобы упростить настройку начального экрана. Дополнительные сведения см. в статье Настройка Microsoft Launcher.

Microsoft Edge станет универсальным приложением для устройств macOS

При развертывании приложения Microsoft Edge для устройств macOS с Microsoft Intune оно развертывает новую универсальную версию приложения, которая изначально работает на apple Silicon Macs. Это же развертывание устанавливает x64-версию приложения на Intel Mac. Чтобы добавить Microsoft Edge для macOS,в центре >администрирования Microsoft IntuneПриложения >Все приложения>добавьте. Выберите macOS в списке Тип приложения для Microsoft Edge 77 или более поздней версии. Дополнительные сведения см. в статье Добавление Microsoft Edge на устройства macOS с помощью Microsoft Intune.

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• FleetSafer от Cogosense Technology Inc.;
• Senses от Mazrica Inc.;
• Fuze Mobile for Intune от Fuze, Inc.;
• MultiLine for Intune от Movius Interactive Corporation.

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Улучшенный интерфейс уведомлений в приложении "Корпоративный портал" для iOS и iPadOS

Теперь приложение Корпоративный портал может хранить и отображать push-уведомления, отправленные на устройства iOS/iPadOS пользователей из Центра администрирования Microsoft Intune. Пользователи, которые согласились получать push-уведомления из приложения "Корпоративный портал", могут просматривать сохраненные сообщения, которые вы отправляли на их устройства, и управлять ими на вкладке Уведомления в приложении "Корпоративный портал". Дополнительные сведения см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Повышение производительности загрузки веб-сайта Корпоративного портала

Для повышения производительности загрузки страниц значки приложений теперь будут загружаться пакетами. Пользователи могут увидеть значок заполнителя для некоторых приложений при посещении веб-сайта Корпоративный портал. Правильные значки будут загружены чуть позже. Дополнительные сведения о Корпоративном портале см. в статьях Как настроить приложения Корпоративного портала Intune, веб-сайт "Корпоративный портал" и приложение Intune и Управление приложениями с веб-сайта "Корпоративный портал".

Управление и устранение неполадок

Аналитика конечных точек в оценке внедрения Майкрософт

В microsoft Adoption Score (Оценка внедрения) появилось новое приложение Endpoint Analytics, которая предоставляет аналитические сведения на уровне организации другим ролям за пределами Microsoft Intune. Понимание того, как ваши устройства влияют на работу конечных пользователей, очень важно для того, чтобы пользователи могли достигать своих целей. Дополнительные сведения см. в статье Аналитика конечных точек в Microsoft Adoption Score.

Отчет о надежности приложения в аналитике конечной точки

Новый отчет о надежности приложений доступен в аналитике конечных точек. Он содержит информацию о потенциальных проблемах для настольных приложений на управляемых ПК. Вы можете быстро определить основные приложения, влияющие на производительность конечных пользователей, и просмотреть статистические метрики использования приложений и сбоев приложений для этих приложений. Вы можете устранить неполадки путем детализации конкретного устройства и просмотра временная шкала событий надежности приложений. Этот отчет появится в общедоступной предварительной версии в марте 2021 года. Дополнительные сведения см. в статье Надежность приложений в аналитике конечных точек.

Частота перезапуска (предварительная версия) в аналитике конечных точек

В настоящее время производительность запуска в аналитике конечных точек показывает администраторам данные для измерения и оптимизации времени загрузки ПК. Однако частота перезапуска может оказать влияние на взаимодействие с пользователем, так как устройство, которое ежедневно перезагружается из-за синих экранов, будет плохо работать с пользователем, даже если время загрузки быстро. Мы добавили предварительную версию отчета о частоте перезапусков в организации, чтобы помочь вам выявлять проблемные устройства. Дополнительные сведения см. в статье Частота перезапуска (предварительная версия) в аналитике конечных точек.

Управление доступом на основе ролей

Обновление разрешений на доступ на основе ролей для шлюза Microsoft Tunnel

Чтобы помочь вам контролировать, кто имеет права на управление туннелем Майкрософт, мы добавили шлюз Microsoft Tunneling Gateway в качестве новой группы разрешений в управлении доступом на основе ролей в Intune. Эта группа включает следующие разрешения:

• Создание — настройка серверов шлюзов Microsoft Tunnel, конфигураций серверов и веб-сайтов.
• Обновление (изменение) — обновление серверов шлюзов Microsoft Tunnel, конфигураций серверов и веб-сайтов.
• Удаление — удаление серверов шлюзов Microsoft Tunnel, конфигураций серверов и веб-сайтов.
• Чтение — просмотр серверов шлюзов Microsoft Tunnel, конфигураций серверов и веб-сайтов.

По умолчанию эти разрешения имеют администраторы Intune и администраторы Microsoft Entra. Эти разрешения также можно добавлять в пользовательские роли, создаваемые для вашего клиента Intune.

Поддержка тегов области для политик настройки в Intune для государственных организаций и 21Vianet

Теперь вы можете назначать теги области для политик настройки в Intune для государственных организаций и Intune под управлением 21Vianet. Для этого перейдите в Microsoft Intune Центр>администрирования Центра администрирования>,где см. раздел Параметры конфигурации тегов области.

Скрипты

Экспорт локализованных данных отчета Intune с помощью API Graph

Теперь можно указать, что данные отчета, экспортируемые с помощью API экспорта отчетов Microsoft Intune, могут содержать только локализованные столбцы или локализованные и нелокализованные столбцы. Параметр локализованных и нелокализованных столбцов выбран по умолчанию для большинства отчетов, что предотвратит критические изменения. Дополнительные сведения об отчетах см. в статьях Экспорт отчетов Intune с помощью API Graph и Отчеты и свойства Intune, доступные через API Graph.

Февраль 2021 г.

Управление приложениями

Пользователи могут перезапустить установку приложения с помощью Корпоративного портала Windows

С помощью Корпоративного портала Windows пользователи могут перезапускать установку приложения, если им кажется, что процесс остановился или завис. Эта функция разрешена, если индикатор хода установки приложения не изменился в течение двух часов. Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune.

Настройка возможности удалить обязательное приложение iOS/iPadOS

Теперь вы можете указать, могут ли конечные пользователи удалять установленное обязательное приложение iOS/iPadOS. Этот новый параметр применяется к приложениям из магазина iOS, бизнес-приложениям и встроенным приложениям. Этот параметр можно найти в центре администрирования Microsoft Intune, выбрав Приложения>iOS/iPadOS>Добавить. При настройке назначений приложений можно указать Install as removable (Установить как удаляемое). По умолчанию здесь выбрано значение Да, то есть приложение можно будет удалить. Для существующих обязательных установок в iOS 14 установлено значение этого параметра по умолчанию (с возможностью удаления). Более подробные сведения о приложениях iOS/iPadOS см. в статье Что такое управление приложениями с помощью Microsoft Intune.

Бизнес-приложения, поддерживаемые на общих устройствах iPad

Теперь вы можете развертывать бизнес-приложения на общих устройствах iPad. Бизнес-приложение должно быть назначено по мере необходимости группе устройств, содержащей общие устройства iPad из центра администрирования Microsoft Intune. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения>Добавить. см. статью Добавление бизнес-приложения iOS/iPadOS в Microsoft Intune.

Соединитель Microsoft Endpoint Configuration Manager

Соединитель для Microsoft Configuration Manager теперь отображается в Центре администрирования. Чтобы найти этот соединитель, перейдите в раздел Администрирование клиента>Соединители и токены>Microsoft Endpoint Configuration Manager. Выберите иерархию Configuration Manager версии 2006 или более поздней, чтобы отобразить дополнительные сведения.

Конфигурация устройства

Экраны соответствия Google автоматически отображаются на выделенных устройствах Android Enterprise 9.0 и более поздних версий, работающих в режиме киоска

В Intune можно создать политику паролей конфигурации устройства и политику паролей соответствия устройств на устройствах Android Enterprise.

При создании политик выделенные устройства Android Enterprise, работающие в режиме киоска, автоматически используют экраны соответствия Google. С помощью этих экранов пользователи могут задать пароль, соответствующий правилам политики.

Дополнительные сведения о создании политик паролей и киосков см. в следующих статьях:

• Параметры Android для бизнеса, позволяющие пометить устройства как соответствующие или не соответствующие
• Параметры устройства Android Enterprise, которые позволяют разрешить или ограничить некоторые функции

Применимо к:

• Android Enterprise 9 и более поздних версий в режиме киоска

Новая версия соединителя сертификатов PFX

Мы выпустили новую версию соединителя сертификатов PFX версии 6.2101.13.0. Эта новая версия соединителя добавляет улучшения в ведении журналов в соединитель PFX:

• Новое расположение журналов событий, в котором журналы разбиты на административные, операционные и отладочные
• Административные и операционные журналы по умолчанию вмещают 50 МБ с включенной автоматической архивацией.
• Идентификаторы EventID для импорта PKCS, а также создания и отзыва PKCS.

Дополнительные сведения о соединителях сертификатов, в том числе список выпусков для обоих соединителей сертификатов, см. в статье Соединители сертификатов.

Новая версия соединителя сертификатов PFX

Мы выпустили новую версию соединителя сертификатов PFX версии 6.2009.2.0. В новой версии соединителя:

• улучшено обновление соединителя для сохранения учетных записей, в которых выполняются службы соединителя.

Дополнительные сведения о соединителях сертификатов, в том числе список выпусков для обоих соединителей сертификатов, см. в статье Соединители сертификатов.

Создание папок и настройка размера сетки в Managed Home Screen с помощью конфигурации устройства

На выделенных устройствах Android Enterprise можно настроить параметры Управляемый главный экран (Конфигурация>устройств>Create>Android Enterprise для платформы>, полностью управляемые, выделенные и Corporate-Owned ограничения устройства рабочего профиля > для работы с устройством профиля>).

При использовании Managed Home Screen в режиме киоска с несколькими приложениями поддерживается параметр пользовательского макета приложения. Этот параметр предоставляет следующие возможности:

• Создание папок, добавление приложений в папки и размещение папки в Managed Home Screen. Вам не обязательно упорядочивать папки.

• Возможность указать, упорядочивать ли приложения и папки в Managed Home Screen. Вместе с упорядочением можно настроить следующее:

  • настройка размера сетки;
  • добавление приложений и папок в разные места сетки.

Ранее для этого приходилось использовать политику конфигурации приложений.

Дополнительные сведения см. в статье о параметрах интерфейса выделенных устройств Android Enterprise.

Применимо к:

• Выделенные устройства Android Enterprise

Использование каталога параметров для настройки браузера Microsoft Edge на устройствах macOS

В настоящее время на устройствах macOS браузер Microsoft Edge настраивается с помощью .plist файла настроек (Конфигурация>устройств>Create>macOS для файла предпочтений платформы > для профиля).

Обновлен пользовательский интерфейс для настройки браузера Microsoft Edge:Конфигурация>устройств>Create>macOS для каталога параметров платформы> для профиля. Выберите нужные параметры Microsoft Edge и настройте их. Кроме того, в профиле вы можете добавить или удалить параметры.

Чтобы просмотреть список параметров, которые можно настроить, перейдите в раздел Microsoft Edge — политики. Убедитесь, что macOS отображается как поддерживаемая платформа. Если некоторые параметры недоступны в каталоге параметров, рекомендуется продолжать использовать только файл настроек.

Дополнительные сведения см. в указанных ниже статьях.

• Каталог параметров
• Добавление файла списка свойств на устройства с macOS с помощью Intune

Чтобы просмотреть настроенные политики, откройте Microsoft Edge и выберите edge://policy.

Применимо к:

• браузер Microsoft Edge версии 77 и более поздних версий в macOS.

Использование NetMotion Mobility в качестве типа VPN-подключения для устройств Android Enterprise

При создании профиля VPN появляется новый тип VPN-подключения NetMotion Mobility для Android Enterprise:

• Устройств>Конфигурации>> Create Android Enterprise>, полностью управляемая, выделенная и Corporate-Owned рабочий профиль>VPN для профиля >NetMotion Mobility для типа подключения
• Устройств>Конфигурации>> Create Android Enterprise>Personally Work Profile>VPN для профиля >NetMotion Mobility для типа подключения

Дополнительные сведения о профилях VPN в Intune см. в статье Создание профилей VPN для подключения к VPN-серверам.

Применимо к:

• Личные устройства Android Enterprise с рабочим профилем
• Полностью управляемые, выделенные и корпоративные устройства Android Enterprise с рабочим профилем

Каталог параметров и шаблоны при создании профилей конфигурации устройств для устройств macOS и клиента Windows

Существуют обновления пользовательского интерфейса при создании профилей конфигурации устройств для устройств macOS и Windows 10/11 (конфигурация>устройств>Create>macOS или Windows 10 и более поздних версий для платформы).

В этом профиле показаны разделы Каталог параметров и Шаблоны:

• Каталог параметров. Используйте этот параметр, чтобы начать с нуля и выбрать нужные параметры из библиотеки доступных параметров. Для macOS каталог параметров содержит параметры, позволяющие настраивать браузер Microsoft Edge версии 77 или более новой версии. Каталог параметров для клиента Windows объединяет множество существующих и несколько новых параметров.
• Шаблоны. Используйте этот параметр, чтобы настроить все существующие профили, такие как ограничения устройств, функции устройств, VPN, Wi-Fi и многое другое.

Это изменение является только изменением пользовательского интерфейса и не влияет на существующие профили.

Дополнительные сведения см. в разделе Каталог параметров.

Применимо к:

• macOS
• Windows 11
• Windows 10

Обновления макета начального экрана на защищенных устройствах iOS/iPadOS

На устройствах iOS/iPadOS можно настроить макет начального экрана (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Функции устройства для макета начального экрана профиля>). В Intune обновлена функция макета начального экрана:

- Макет начального экрана имеет новый дизайн. Теперь администраторы в режиме реального времени могут отслеживать вид приложений и значков на страницах, в папках и на панелях закрепления. При добавлении приложений в новом конструкторе нет возможности добавлять отдельные страницы. Но если вы поместите в одну папку девять или более приложений, они автоматически будут перенесены на следующую страницу. Существующие политики не затрагиваются, и их не нужно изменять. Значения параметров передаются в новый пользовательский интерфейс без каких бы то ни было негативных последствий. Поведение параметра на устройствах одинаково. - Добавьте веб-ссылку (веб-приложение) на страницу или на док-станцию. Следите за тем, чтобы каждый URL-адрес или ссылка добавлялись ровно один раз. Существующие политики не затрагиваются, и их не нужно изменять.

Дополнительные сведения о параметрах, которые можно настроить, включая макет начального экрана, см. в статье Параметры устройств с iOS/iPadOS для использования распространенных возможностейiOS/iPadOS в Intune.

Применимо к:

• iOS и iPadOS в защищенном режиме

Ограничение персонализированной рекламы Apple на устройствах iOS и iPadOS

На устройствах iOS и iPadOS можно настроить персонализированную рекламу Apple. Если этот параметр включен, персонализированная реклама ограничена в приложениях App Store, Apple News и Stocks (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для профиля >Общее>ограничение персонализированной рекламы Apple).

Этот параметр влияет только на персонализированную рекламу. При настройке этого параметра для параметра Параметры>Конфиденциальность>Apple Advertising (Реклама Apple) автоматически задается значение Выкл. Это не влияет на неперсонализированную рекламу в приложениях App Store, Apple News и Stocks. Дополнительные сведения о политике рекламы Apple см. в разделе Реклама Apple и конфиденциальность (открывается веб-сайт Apple).

Полный список текущих параметров, которые вы можете настроить в Intune, см. в описании параметров устройств iOS и iPadOS, разрешающих или ограничивающих определенные функции.

Применимо к:

• iOS/iPadOS 14.0 и более поздних версий; устройства должны быть зарегистрированы с помощью регистрации устройств или автоматической регистрации устройств.

Административные шаблоны включают новые политики для Microsoft Edge версии 88

Вы можете настроить и развернуть новые параметры ADMX, которые применяются к Microsoft Edge 88. Чтобы просмотреть эти новые политики, изучите заметки о выпуске Microsoft Edge.

Дополнительные сведения об этой функции в Intune см. в статье Настройка параметров политики Microsoft Edge в Microsoft Intune.

Применимо к:

• Windows 11
• Windows 10

Поддержка языкового стандарта в уведомлениях о несоответствии

Политики соответствия требованиям теперь поддерживают шаблоны сообщений для уведомлений, которые содержат отдельные сообщения для разных языковых стандартов. Чтобы обеспечить поддержку нескольких языков, теперь не придется создавать отдельные шаблоны и политики для каждого языкового стандарта.

При настройке сообщений, относящихся к языковому стандарту, в шаблоне пользователи, не соответствующие требованиям, получают соответствующее локализованное уведомление по электронной почте на основе предпочитаемого языка Microsoft 365. Кроме того одно из локализованных сообщений в шаблоне обозначается как сообщение по умолчанию. Сообщение по умолчанию отправляется пользователям, которые не настроили предпочитаемый язык или если шаблон не содержит определенное сообщение для их языкового стандарта.

Регистрация устройства

Скрытие дополнительных экранов в помощнике по настройке автоматической регистрации устройств Apple

Теперь вы можете настроить профили автоматической регистрации устройств (ADE) таким образом, чтобы скрыть следующие экраны помощника по настройке для устройств iOS и iPadOS 14.0 или более поздней версии и macOS 11 или более поздней версии:

• "Восстановление завершено" для iOS и iPadOS 14.0 или более поздней версии;
• "Обновление программного обеспечения завершено" для iOS и iPadOS 14.0 или более поздней версии;
• "Специальные возможности" для macOS 11 или более поздней версии (устройство Mac должно быть подключено к Ethernet).

Управление устройствами

Перенос политик безопасности устройств из Basic Mobility and Security в Intune

Средство переноса политик позволяет окончательно перемещать политики безопасности устройств Mobile Device Management (MDM), развернутые с помощью Basic Mobility and Security (прежнее название — MDM для Office 365 или Office MDM), в стандартные профили конфигурации Intune MDM и политики соответствия требованиям. При использовании этого средства будут отключены все будущие операции по созданию и изменению политик в политиках безопасности устройств Basic Mobility and Security.

Для использования этого средства требуется следующее.

• Приобретенные (но еще не назначенные) лицензии Intune для всех пользователей устройств, управляемых с помощью Basic Mobility and Security.
• Обратитесь в службу поддержки, чтобы узнать, приобрели ли вы подписку на Intune для образовательных учреждений.

Дополнительные сведения см. в статье Перенос управления мобильными устройствами из Basic Mobility and Security в Intune.

Идентификатор подсети и IP-адреса на странице свойств для корпоративных устройств Windows

Идентификатор подсети и IP-адреса теперь отображаются на странице Свойства для корпоративных устройств Windows. Чтобы просмотреть их, перейдите в Intune Центр> администрированияУстройства>Все устройства> выбирают корпоративные свойства устройства > Windows.

Безопасность устройств

Поддержка Intune для Application Guard в Microsoft Defender теперь включает изолированные среды Windows

При настройке включить Application Guard в профиле изоляции приложений и браузера Intune в политике сокращения направлений атак с безопасностью конечных точек можно выбрать один из следующих вариантов при включении Application Guard:

• Microsoft Edge - вариант был доступен ранее;
• Изолированные среды Windows - новый вариант в этом обновлении;
• Microsoft Edgeиизолированные среды - Windows. Новые возможности с этим обновлением

До этого выпуска этот параметр назывался Turn on Application Guard for Edge (Options) (Включить Application Guard для Microsoft Edge (параметры)).

Новые параметры этого параметра расширяют поддержку Application Guard не только URL-адреса для Edge. Теперь вы можете включить Application Guard для защиты устройств, открывая потенциальные угрозы в аппаратно изолированной среде виртуальной машины Windows (контейнер). Например, за счет поддержки изолированных сред Windows Application Guard может открывать ненадежные документы Office на изолированной виртуальной машине Windows.

Список изменений в этом выпуске:

• Intune теперь поддерживает полный диапазон значений, включенных в Windows MDM CSP: AllowWindowsDefenderApplicationGuard.
• Дополнительные сведения о влиянии на пользователей устройств при использовании изолированных сред Windows см. в статье Сценарии тестирования Application Guard в документации по безопасности Windows.
• Дополнительные сведения об Application Guard и поддержке приложений Office см. в разделе Application Guard для Office для администраторов в документации по Microsoft 365.

Новые параметры Application Guard в политике сокращения направлений атак

Мы добавили два новых параметра в профиль изоляции приложений и браузеров политики сокращения зоны атак с безопасностью конечных точек Intune:

• Application Guard управляет доступом к камере и микрофону — приложения Application Guard осуществляют управление доступом к камере и микрофону устройства.
• Application Guard разрешает использовать корневые центры сертификации на устройстве пользователя — если указаны один или несколько отпечатков корневого сертификата, соответствующие сертификаты передаются в контейнер Application Guard в Microsoft Defender.

Дополнительные сведения см. в описании параметров в разделе Изоляция приложения и браузера.

Обновления для базовых показателей безопасности

Новые версии доступны для следующих базовых конфигураций безопасности.

• Базовая конфигурация безопасности MDM (безопасность Windows 10)
• Базовые показатели Microsoft Defender для конечной точки

Обновленные базовые показатели обеспечат поддержку последних параметров, чтобы гарантировать оптимальные конфигурации, рекомендованные соответствующими группами разработчиков.

Чтобы понять, что изменилось между версиями, см. раздел Сравнение версий базовых конфигураций с описанием процесса экспорта CSV-файла с этими изменениями.

Отчеты о брандмауэре безопасности конечной точки

Мы добавили два новых отчета, посвященных политикам брандмауэра в Endpoint Security:

• Отчет Устройства Windows 10 MDM с отключенным брандмауэром в узле "Безопасность конечной точки" содержит список устройств Windows 10, на которых отключен брандмауэр. В этом отчете для каждого устройства предоставляется имя устройства, идентификатор устройства, а также сведения о пользователе и состоянии брандмауэра.
• Отчет Состояние брандмауэра Windows 10 MDM в узле Отчеты составляется на уровне организации. Здесь перечисляются состояния брандмауэра для устройств Windows 10. В этом отчете отображаются сведения о состоянии брандмауэра: включен, отключен, ограничен или временно отключен.

Представление "Сводка" для отчетов программы защиты от вирусов

Мы обновили представление для Microsoft Defender отчетов антивирусной программы, которые находятся в узле Отчеты Центра администрирования Microsoft Intune. Теперь при выборе Microsoft Defender Антивирусная программа в узле Отчеты вы увидите представление по умолчанию вкладки Сводка и вторую вкладку Отчеты. На вкладке Отчеты находятся ранее доступные отчеты о состоянии антивирусного агента и обнаруженные вредоносные программы .

На новой вкладке Сводка отображаются следующие сведения:

• На нем представлены статистические данные отчетов антивирусной программы.
• Включает параметр Обновить, который позволяет обновить количество устройств в каждом из состояний антивирусной программы.
• Содержит те же данные, что и отчет Состояние агента антивирусной программы, который теперь открывается на вкладке Отчеты.

защита приложений поддержке политики в Android и iOS/iPadOS для других партнеров Mobile Threat Defense

В октябре 2019 года в политику защиты приложений Intune добавлена возможность использования данных от наших партнеров по защите от угроз Майкрософт.

С этим обновлением мы расширяем эту поддержку для следующего партнера для использования политики защиты приложений для блокировки или выборочной очистки корпоративных данных пользователя в зависимости от работоспособности устройства:

• McAfee MVision Mobile для Android, iOS и iPadOS

Дополнительные сведения см. в статье Создание политики защиты приложения Mobile Threat Defense в Intune.

Увеличен период действия сертификата для профилей SCEP и PKCS

Теперь Intune поддерживает для параметра Срок действия сертификата значения до 24 месяцев в профилях сертификатов SCEP и PKCS. Это изменение является увеличением по сравнению с предыдущим периодом поддержки до 12 месяцев.

Эта поддержка распространяется на Windows и Android. Сроки действия сертификатов игнорируются в iOS/iPadOS и macOS.

Управление и устранение неполадок

Новый организационный отчет о допустимости совместного управления

Отчет Допустимость совместного управления обеспечивает оценку допустимости для устройств, которыми можно управлять совместно. Совместное управление позволяет одновременно управлять устройствами с Windows 10 с помощью Configuration Manager и Microsoft Intune. Вы можете просмотреть сводку по этому отчету в центре администрирования Microsoft Intune, выбрав Отчеты>Облачные устройства> вкладки >Отчетыправо на совместное управление. Дополнительные сведения об отчете см. в статье Отчеты Intune.

Новый организационный отчет о рабочих нагрузках совместного управления

Отчет Рабочие нагрузки совместного управления содержит сведения об устройствах, которые сейчас находятся под совместным управлением. Совместное управление позволяет одновременно управлять устройствами с Windows 10 с помощью Configuration Manager и Microsoft Intune. Этот отчет можно просмотреть в Центре администрирования Microsoft Intune, выбрав Отчеты>Облачные устройства>Отчеты вкладка >Совместно управляемые рабочие нагрузки. Дополнительные сведения см. в статье Отчеты Intune.

Анализ журналов включает журнал сведений об устройстве

Теперь доступны журналы сведений об устройствах Intune. В Центре администрирования Microsoft Intune выберите Отчеты>Log Analytics. Вы можете сопоставлять сведения об устройствах для создания пользовательских запросов и книг Azure. Дополнительные сведения см. в разделе Отчеты об интеграции Azure Monitor (специализированный).

Управление доступом на основе ролей

Поддержка тегов области для страницы состояния регистрации

Теперь вы можете назначить область теги на странице состояния регистрации, чтобы ее могли видеть только определенные роли. Дополнительные сведения см. в статье Создание профиля страницы состояния регистрации и его назначение группе.

Сценарии

Дополнительные свойства бета-версии Data Warehouse

Дополнительные свойства теперь доступны с помощью API Intune Data Warehouse бета-версии. В бета-версии этого API сущность devices предоставляет следующие свойства:

• SubnetAddressV4Wifi — адрес подсети для подключения Wi-Fi по протоколу IPV4.
• IpAddressV4Wifi — IP-адрес для подключения Wi-Fi по протоколу IPV4.

Дополнительные сведения см. в разделе API Microsoft Intune Data Warehouse.

Январь 2021 г.

Управление приложениями

Обновление значка приложения для Корпоративного портала в iOS, macOS и Интернете

Мы обновили значок приложения, используемый для Корпоративного портала в iOS, macOS и Интернете. Этот новый значок также используется Корпоративным порталом для Windows. Пользователи видят новый значок в средстве запуска приложений и на начальном экране своего устройства, в App Store Apple, а также в интерфейсах в приложениях Корпоративный портал.

Поддержка системных приложений Android Enterprise в личных рабочих профилях

Теперь вы можете развернуть системные приложения Android Enterprise для личных устройств Android Enterprise с рабочими профилями. Системные приложения — это приложения, которые не отображаются в Управляемом магазине Google Play и часто устанавливаются на устройстве. После развертывания системного приложения вы не сможете удалить, скрыть или иным образом убрать его. Связанные сведения см. в статье Добавление системных приложений Android Enterprise в Microsoft Intune.

Удаление приложений Win32 в отношении зависимости

Приложения Win32, добавленные в Intune, не могут быть удалены, если они находятся в отношении зависимости. Эти приложения можно удалить только после удаления отношения зависимости. Это требование применяется к родительским и дочерним приложениям в отношении зависимости. Кроме того, это требование гарантирует, что зависимости будут применены правильно и что поведение зависимости будет более предсказуемым. Дополнительные сведения см. в статье Управление приложениями Win32 с помощью Microsoft Intune.

Поддержка тегов области для политик настройки

Теперь вы можете назначать теги области для политик настройки. Для этого перейдите в Microsoft Intune Центр>администрирования Центра администрирования>,где см. раздел Параметры конфигурации тегов области. Эта функция пока недоступна в Intune для государственных организаций или Intune под управлением 21Vianet.

Во время регистрации рабочего профиля Android доступ к браузеру включен автоматически

Во время регистрации личного рабочего профиля Android Enterprise доступ к браузеру на устройстве теперь включается автоматически. Благодаря этому изменению совместимые устройства могут использовать браузер для доступа к ресурсам, защищенным условным доступом, без необходимости выполнять другие действия. Перед этим изменением пользователи должны были запустить Корпоративный портал и выбрать Параметры>Включить доступ к>браузеру Включить.

Это изменение не влияет на уже зарегистрированные устройства.

Индикатор загрузки приложения Win32

Для пользователей теперь отображается индикатор загрузки приложения Win32 в Корпоративный портал Windows. Эта возможность поможет клиенту отслеживать ход установки приложения.

Значок обновления приложения Корпоративного портала для Android

Мы обновили значок приложения Корпоративного портала для Android, чтобы создать более современный интерфейс для пользователей устройств. Чтобы увидеть, как выглядит новый значок, перейдите к приложению Корпоративного портала Intune в Google Play.

Конфигурация устройства

Microsoft Tunnel теперь поддерживает Red Hat Enterprise Linux 8

Теперь вы можете использовать Red Hat Enterprise Linux (RHEL) 8 с Microsoft Tunnel. Чтобы использовать RHEL 8, вам не нужно выполнять никаких действий. Добавлена поддержка контейнеров Docker, которые обновляются автоматически. Кроме того, это обновление также устраняет необходимость в ненужном ведении журнала.

Новая версия соединителя сертификатов PFX

Мы выпустили новую версию соединителя сертификатов PFX версии 6.2009.1.9. В новой версии соединителя:

• улучшено возобновление действия сертификата соединителя.

Дополнительные сведения о соединителях сертификатов, в том числе список выпусков для обоих соединителей сертификатов, см. в статье Соединители сертификатов.

Управление и устранение неполадок

Обновление при экспорте отчетов Intune с помощью API Graph

При использовании API Graph exportJobs для экспорта отчетов Intune без выбора столбцов для отчета об устройствах вы получите набор столбцов по умолчанию. Чтобы избежать путаницы, мы удалили столбцы из набора столбцов по умолчанию. Удаленные столбцы: PhoneNumberE164Format, _ComputedComplianceState, _OS и OSDescription. Эти столбцы по-прежнему будут доступны для выбора, если они необходимы, но только явно, а не по умолчанию. Если вы автоматизировали использование столбцов по умолчанию для экспорта устройств и в этой автоматизации используется любой из этих столбцов, необходимо скорректировать процессы, чтобы эти и другие соответствующие столбцы выбирались явно. Дополнительные сведения см. в разделе Экспорт отчетов Intune с помощью API Graph.

Декабрь 2020 г.

Приложения Intune

Новые защищенные приложения для Intune

Для Microsoft Intune теперь доступны следующие защищенные приложения:

• Dynamics 365 Remote Assist
• Box — управление облачным содержимым
• STid Mobile ID;
• FactSet 3.0
• Notate для Intune
• Field Service (Dynamics 365)

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Ноябрь 2020 г.

Управление приложениями

Улучшенный обмен сообщениями в рабочем профиле в приложении "Корпоративный портал" для Android

Мы обновили обмен сообщениями в приложении "Корпоративный портал" для Android, чтобы сделать описание рабочих профилей и принципов их работы более наглядным. Появится новый обмен сообщениями:

• После процесса настройки рабочего профиля: пользователи увидят новый информационный экран, в котором объясняется, где найти рабочие приложения, и ссылки на справочную документацию.
• Когда пользователь случайно повторно включает приложение Корпоративный портал в личном профиле. Мы изменили экран (теперь на вашем устройстве есть профиль только для работы) с более четкими объяснениями и новыми иллюстрациями, которые помогут пользователям работать с рабочими приложениями со ссылками на справочную документацию.
• На странице Справка : в разделе Часто задаваемые вопросы есть новая ссылка для справки о настройке рабочего профиля и поиске приложений.

Скрипты PowerShell выполняются до приложений, и время ожидания сокращено

Существует ряд обновлений для сценариев PowerShell:

• Microsoft Intune поток выполнения расширений управления сначала возвращается к обработке скриптов PowerShell, а затем к запуску приложений Win32.
• Чтобы устранить проблему с истечением времени ожидания страницы состояния регистрации (ESP), время ожидания сценариев PowerShell истекает через 30 минут. Ранее время ожидания истекло через 60 минут.

Дополнительные сведения см. в статье Использование сценариев PowerShell на устройствах с Windows 10 в Intune.

Конфигурация устройства

Меню "Питание", уведомления в строке состояния и более строгие параметры, доступные для выделенных устройств Android Enterprise

На Intune зарегистрированных выделенных устройствах Android Enterprise, работающих в режиме киоска с одним или несколькими приложениями, вы можете:

• Ограничьте меню питания, предупреждения системных ошибок и доступ к приложению "Параметры".
• Выберите, могут ли пользователи видеть кнопки "Главная" и "Обзор", а также уведомления.

Чтобы настроить эти параметры, создайте профиль конфигурации ограничений устройств:Конфигурация>устройств>Create>Android Enterprise для платформы >Полностью управляемый, выделенный и Корпоративный рабочий профиль > Ограничения устройств>Общие.

Дополнительные сведения об этих параметрах и других параметрах, которые можно настроить, см. в разделе Параметры устройства Android Enterprise, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• Выделенные устройства Android Enterprise

Новый параметр отображения предварительных просмотров для уведомлений приложений на устройствах iOS/iPadOS

На устройствах iOS/iPadOS есть параметр Показать предварительные версии (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Функции устройства для профилей >уведомлений приложений). Используйте этот параметр, чтобы выбрать, когда на устройствах отображаются последние предварительные просмотры уведомлений приложений.

Дополнительные сведения о параметрах уведомлений приложений и других параметрах, которые можно настроить, см. в статье Параметры устройства для использования распространенных функций iOS/iPadOS.

Правила по запросу с Помощью Microsoft Tunnel для iOS

Microsoft Tunnel теперь поддерживает правила по запросу для устройств iOS/iPad. С помощью правил по запросу можно указать использование VPN при соблюдении условий для определенных полных доменных имен или IP-адресов.

Чтобы настроить правила по запросу для iOS/iPadOS с помощью Microsoft Tunnel, настройте профиль VPN для iOS/iPadOS в рамках политики конфигурации устройства. На странице Параметры конфигурации профилей выберите Microsoft Tunnel в качестве типа подключения , и у вас будет доступ к настройке правил VPN по запросу.

Сведения о правилах VPN по запросу, которые можно настроить, см. в разделе Автоматические параметры VPN.

Применимо к:

• iOS/iPadOS

Дополнительные параметры проверки подлинности для профилей Wi-Fi на Windows 10 и более новых устройствах

Новые параметры и функции профилей Wi-Fi на устройствах под управлением Windows 10 и более позднихверсий (Конфигурация> устройств >Create>Windows 10 и более поздних версий для платформы >Wi-Fi для профиля >Enterprise):

• Режим проверки подлинности. Проверка подлинности пользователя, устройства либо используйте гостевую проверку подлинности.

• Запоминать учетные данные при каждом входе: принудить пользователей вводить учетные данные при подключении к VPN. Или кэшируйте учетные данные, чтобы пользователи вводили свои учетные данные только один раз.

• Более детальный контроль над поведением проверки подлинности, в том числе:

  • Период проверки подлинности
  • Период задержки повторных попыток проверки подлинности
  • Начальный период
  • Максимальное число сообщений EAPOL-Start
  • Максимальное число сбоев проверки подлинности

• Использование отдельных виртуальных локальных сетей для проверки подлинности устройства и пользователя. При использовании единого входа профиль Wi-Fi может использовать другую виртуальную локальную сеть в зависимости от учетных данных пользователя. Сервер Wi-Fi должен поддерживать эту функцию.

Чтобы просмотреть эти параметры и все параметры, которые можно настроить, перейдите в раздел Добавление Wi-Fi параметров для Windows 10 и более поздних устройств в Intune.

Применимо к:

• Windows 10 и более новых версий

Управление устройствами

Терминология личного рабочего профиля

Чтобы избежать путаницы, термин для сценария управления рабочим профилем Android Enterprise будет изменен на "личные устройства с рабочим профилем" или личный рабочий профиль в документации и пользовательском интерфейсе Intune. Это изменение отличает его от сценария управления "корпоративный рабочий профиль" (COPE).

Windows Autopilot для HoloLens 2 (предварительная версия)

Windows Autopilot для HoloLens 2 устройств теперь доступна в общедоступной предварительной версии. Администраторам больше не нужно регистрировать свои клиенты для тестирования. Дополнительные сведения об использовании Autopilot для HoloLens см. в статье Windows Autopilot для HoloLens 2.

Прекращение поддержки iOS 11

Intune регистрации и Корпоративный портал теперь поддерживают iOS 12 и более поздних версий. Более старые версии не поддерживаются, но политики будут по-прежнему получать.

Прекращение поддержки macOS 10.12

С момента выпуска macOS Big Sur Intune регистрации и Корпоративный портал теперь поддерживают macOS версии 10.13 и более поздних. Более старые версии не поддерживаются.

Безопасность устройств

Новый параметр для профиля управления устройствами для безопасности конечных точек

Мы добавили новый параметр Блокировать доступ на запись к съемным хранилищам в профиль управления устройством для политики сокращения направлений атаки в безопасности конечных точек. Если задано значение Да, доступ на запись к съемной памяти блокируется.

Улучшения параметров в профилях правил сокращения направлений атаки

Мы обновили параметры применимых параметров в профиле правила уменьшения направлений атаки, который является частью политики сокращения направлений атак с ценными точками.

Мы добавили согласованность между параметрами для существующих параметров, таких как Отключить и Включить, и добавили новый параметр Предупреждать:

• Предупреждение. На устройствах с Windows 10 версии 1809 или более поздней пользователь устройства получает сообщение о том, что он может обойти этот параметр. Например, на параметре Блокировать Adobe Reader от создания дочерних процессов параметр Warn предоставляет пользователям возможность обойти этот блок и разрешить Adobe Reader создать дочерний процесс. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение без возможности обхода.

Поддержка слияния политик для идентификаторов USB-устройств в профилях управления устройствами для политики сокращения направлений атак безопасности конечных точек

Мы добавили поддержку слияния политик идентификаторов USB-устройств с профилем управления устройствами для политики сокращения направлений атак безопасности конечных точек. Для слияния политик оцениваются следующие параметры из профилей управления устройствами :

• Разрешить установку аппаратного устройства по идентификаторам устройств
• Блокировка установки оборудования с помощью идентификаторов устройств
• Разрешить установку аппаратного устройства по классам установки
• Блокировка установки аппаратного устройства по классам установки
• Разрешить установку аппаратного устройства по идентификаторам экземпляров устройств
• Блокировка установки оборудования с помощью идентификаторов экземпляров устройств

Слияние политик применяется к конфигурации каждого параметра в разных профилях, применяемых к устройству. Он не включает оценку между разными параметрами, даже если два параметра тесно связаны.

Более подробный пример того, что слияние и как разрешить и списки блокировок для каждого поддерживаемого параметра объединяются и применяются на устройстве, см. в разделе Слияние политик для параметров для профилей управления устройствами.

Улучшенный отчет об операциях с состоянием антивирусной программы для безопасности конечных точек

Мы добавили новые сведения в отчет о состоянии антивирусной программы для Защитник Windows Антивирусная программа, который представляет собой отчет о политике безопасности конечной точки.

Для каждого устройства будут доступны следующие новые столбцы сведений:

• Состояние продукта — состояние Защитник Windows на устройстве.
• Защита от незаконного изменения — защита от незаконного изменения включена или отключена.
• Виртуальная машина — это устройство виртуальной машины или физическое устройство.

Улучшенное слияние правил для правил сокращения направлений атаки

Правила сокращения направлений атак теперь поддерживают новое поведение для слияния параметров из разных политик, чтобы создать надмножество политик для каждого устройства. Объединяются только параметры, которые не конфликтуют, а конфликтующие параметры не добавляются в надмножество правил. Ранее, если две политики включали конфликты для одного параметра, обе политики помечались как конфликтующие, и параметры из любого профиля не развертывались.

Поведение слияния правил сокращения направлений атаки выглядит следующим образом:

• Правила сокращения направлений атаки из следующих профилей оцениваются для каждого устройства, к которого применяются правила:
  • Политика конфигурации > устройств > Профиль > защиты конечных точек Microsoft Defender Сокращение направлений атак Exploit Guard>.
  • > Политика сокращения направлений > атак безопасности конечных точек Правила сокращения направлений атак.
  • Базовые показатели безопасности > конечных > точек Microsoft Defender для конечной точки базовые правила сокращения направлений> атак.
• Параметры, не имеющие конфликтов, добавляются в надмножество политики для устройства.
• Если две или несколько политик имеют конфликтующие параметры, конфликтующие параметры не добавляются в объединенную политику. Параметры, не конфликтующие, добавляются в политику надмножества, применяемую к устройству.
• Удерживаются только конфигурации для конфликтующих параметров.

MVISION Mobile — новый партнер Mobile Threat Defense

Вы можете управлять доступом мобильных устройств к корпоративным ресурсам с помощью условного доступа на основе оценки рисков, проведенной MVISION Mobile, решением Mobile Threat Defense от McAfee, которое интегрируется с Microsoft Intune.

Управление и устранение неполадок

Новый операционный отчет Intune для устранения неполадок с профилем конфигурации

В общедоступной предварительной версии доступен новый операционный отчет о сбоях назначения , который поможет устранить ошибки и конфликты профилей конфигурации, предназначенных для устройств. Отчет предоставляет список профилей конфигурации для клиента и количество устройств в состоянии ошибки или конфликта. Используя эти сведения, можно выполнить детализацию до уровня профиля, чтобы просмотреть список связанных с ним устройств и пользователей в состоянии сбоя. Кроме того, вы можете детализировать еще больше, чтобы просмотреть список параметров и сведения о настройке, связанные с причиной сбоя. Вы можете фильтровать, сортировать и выполнять поиск по всем записям в отчете. В Центре администрирования Microsoft Intune этот отчет можно найти, выбрав Устройства>Монитор>сбоев назначения (предварительная версия). Дополнительные сведения об отчетах в Intune см. в статье Отчеты Intune.

Создание отчетов об обновлениях виртуальных машин Виртуального рабочего стола Azure

Следующие параметры помечаются как неприменимые в отчетах политики:

• параметры BitLocker;
• Шифрование устройства
• Параметры Application Guard Defender
• Защита от незаконного изменения в Defender
• Профили Wi-Fi

Отчет о несоответствующих политиках помогает устранять неполадки устройств с ошибками или несоответствующих устройств

В предварительной версии новый отчет о несоответствующих политиках — это рабочий отчет, который можно использовать для устранения ошибок и конфликтов в политиках соответствия требованиям, предназначенных для устройств. В отчете о несоответствующих политиках отображается список политик соответствия требованиям, которые имеют одно или несколько устройств с ошибками или находятся в состоянии несоответствия политике.

Используйте этот отчет, чтобы:

• Просмотрите политики соответствия устройств с устройствами в состоянии несоответствия или ошибки, а затем выполните детализацию, чтобы просмотреть список устройств и пользователей в состоянии сбоя.
• Дополнительные сведения см. в списке параметров и сведений о параметрах, вызывающих сбой.
• Фильтрация, сортировка и поиск по всем записям в отчете. Мы добавили элементы управления подкачки и улучшили возможность экспорта в CSV-файл.
• Определите, когда возникают проблемы, и упростите устранение неполадок.

Дополнительные сведения о мониторинге соответствия устройств см. в статье Мониторинг политик соответствия устройств Intune.

Октябрь 2020

Управление приложениями

Приложения, требующие регистрации, скрыты, если для регистрации задано значение Недоступно

Приложения, которым назначены значения Доступно для зарегистрированных устройств и Обязательные намерения, не будут отображаться в Корпоративный портал для пользователей, где для параметра регистрации устройств задано значение Недоступно. Это изменение применимо только при просмотре приложения или веб-сайта Корпоративный портал с незарегистрированного устройства, включая незарегистрированные устройства с управляемыми приложениями MAM. Приложения по-прежнему будут видны пользователям, просматривая Корпоративный портал с зарегистрированного устройства, независимо от значения параметра Регистрация устройства. Дополнительные сведения см. в разделе Параметры настройки регистрации устройств.

Улучшения настройки сообщений конфиденциальности в iOS Корпоративный портал

Теперь у вас есть более широкие возможности для настройки обмена сообщениями о конфиденциальности в iOS Корпоративный портал. В дополнение к предыдущей поддержке для настройки того, что не может видеть ваша организация, вы можете настроить то, что ваша организация может видеть в сообщении о конфиденциальности, отображаемом конечным пользователям в iOS Корпоративный портал. Для поддержки этой функции устройства должны работать как минимум Корпоративный портал версии 4.11, чтобы просмотреть настраиваемые сообщения о том, что можно увидеть. Эта функция будет доступна в Центре администрирования Microsoft Intune, выбравНастройкаадминистрирования> клиента. Дополнительные сведения см. в сообщении о конфиденциальности Корпоративный портал.

Политики защиты приложений Android (MAM) на устройствах COPE

Добавленная поддержка управления мобильными приложениями (MAM) включает политики защиты приложений Android на корпоративных устройствах Android Enterprise с рабочим профилем (COPE). Дополнительные сведения о политиках защиты приложений см. в статье Общие сведения о политиках защита приложений.

Максимальный возраст версий Корпоративный портал для устройств Android

Вы можете задать ограничение по возрасту в качестве максимального числа дней для версии приложения Корпоративный портал для устройств Android. Этот параметр гарантирует, что конечные пользователи находятся в определенном диапазоне Корпоративный портал выпусков приложений (в днях). Если параметр для устройств не выполнен, активируется выбранное действие для этого параметра. Действия включают блокировку доступа, очистку данных или предупреждение. Этот параметр можно найти в Центре администрирования Microsoft Intune, выбрав Приложения>защита приложений политики>Create политика. Параметр Max Корпоративный портал version age (days) будет доступен в разделе Условия устройства на шаге Условный запуск. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android — условный запуск.

Бизнес-приложения Mac будут поддерживаться в качестве управляемых приложений в macOS 11 и более поздних версий.

Intune поддерживает свойство Установить как управляемое приложение, которое можно настроить для бизнес-приложений Mac, развернутых в macOS 11 и более поздних версий. Если этот параметр включен, бизнес-приложение Mac будет установлено в качестве управляемого приложения на поддерживаемых устройствах (macOS 11 и более поздних версий). Управляемые бизнес-приложения можно удалить с помощью типа назначения удаления на поддерживаемых устройствах (macOS 11 и более поздних версий). Кроме того, при удалении профиля MDM удаляются все управляемые приложения с устройства. В Центре администрирования Microsoft Intune выберите Приложения>macOS>Добавить. Дополнительные сведения о добавлении приложений см. в статье Добавление приложений в Microsoft Intune.

Включение постоянной подписи или шифрования сообщений электронной почты Outlook S/MIME

Вы можете включить постоянную подпись или шифрование электронной почты Outlook S/MIME при создании профиля электронной почты Outlook в конфигурации приложения для устройств iOS/iPadOS и Android Enterprise. Этот параметр доступен при выборе управляемых устройств при создании политики конфигурации приложений Outlook. Этот параметр можно найти в центре администрирования Microsoft Intune, выбрав Приложения>Политики конфигурации приложений>Добавить>управляемые устройства. Дополнительные сведения см. в статье Политики конфигурации приложений для Microsoft Intune.

Поддержка приложений Win32 для устройств присоединения к рабочему месту (WPJ)

Существующие приложения Win32 поддерживаются для устройств с присоединением к рабочей области (WPJ). Скрипты PowerShell, которые ранее не поддерживались на устройствах WPJ, теперь можно развертывать на устройствах WPJ. В частности, сценарии PowerShell контекста устройства работают на устройствах WPJ, но сценарии PowerShell контекста пользователя игнорируются, что по умолчанию. Сценарии контекста пользователя будут игнорироваться на устройствах WPJ и не будут сообщаться в консоль Microsoft Intune. Дополнительные сведения о PowerShell см. в статье Использование сценариев PowerShell на Windows 10 устройствах в Intune.

Конфигурация устройства

Интерфейс конфигурации встроенного ПО устройства (DFCI) является общедоступным

DFCI — это платформа UEFI с открытым кодом. Это позволяет безопасно управлять параметрами UEFI (BIOS) на устройствах Windows Autopilot с помощью Microsoft Intune. Кроме того, это ограничивает контроль пользователей над конфигурациями встроенного ПО.

В отличие от традиционного управления UEFI, DFCI устраняет необходимость в управлении сторонними решениями. Он также обеспечивает управление встроенным ПО с нуля, используя Microsoft Intune для управления облаком. DFCI также обращается к существующим сведениям об устройстве Windows Autopilot для авторизации.

Дополнительные сведения об этой функции см. в статье Использование профилей DFCI на устройствах Windows в Intune.

Важно!

Отчеты о политике DFCI в Центре администрирования Intune не работали должным образом. Все политики сообщили о состоянии "Ожидание". Это поведение исправлено.

Использование параметра Автоматическое подключение в базовых профилях Wi-Fi Android Enterprise

На устройствах Android Enterprise можно создать базовые профили Wi-Fi, которые содержат общие параметры Wi-Fi, например имя подключения. Вы можете настроить параметр Подключаться автоматически, который автоматически подключается к сети Wi-Fi, когда устройства находятся в радиусе действия.

Чтобы просмотреть эти параметры, перейдите в раздел Добавление параметров Wi-Fi для выделенных и полностью управляемых устройств Android Enterprise.

Применимо к:

• Полностью управляемые, выделенные и корпоративные устройства Android Enterprise с рабочим профилем

Новый пользовательский интерфейс и новый параметр Включить прямую загрузку на устройствах macOS с использованием связанных доменов

При создании профиля конфигурации связанного домена на устройствах macOS интерфейс пользователя обновляется (Конфигурация>устройств>Create>macOS для платформы >Функции устройства для профиля >Связанные домены). Вы по-прежнему вводите идентификатор приложения и домены.

На защищенных устройствах macOS 11 и более поздних версий, зарегистрированных с помощью утвержденной пользователем регистрации устройств или автоматической регистрации устройств, можно использовать параметр Включить прямую загрузку . Включение прямой загрузки позволяет скачивать данные домена непосредственно с устройств, а не через сеть доставки содержимого (CDN).

Дополнительные сведения см. в разделе Связанные домены на устройствах macOS.

Применимо к:

• macOS 11+ (защищенный)

Новые параметры пароля блокировки на устройствах macOS

Новые параметры доступны при создании профиля пароля macOS (Конфигурация>устройств>Create>macOS для платформы >Ограничения устройств для пароля профиля>):

• Максимальное число разрешенных попыток входа. Максимальное число попыток последовательного входа пользователей до блокировки устройства — от 2 до 11. Присвойте этому значению большее число. Не рекомендуется задавать для этого значения значение 2 или 3, так как ошибки часто встречаются.

  Применяется ко всем типам регистрации.

• Длительность блокировки. Выберите длительность блокировки (в минутах). Во время блокировки устройства экран входа неактивен, и пользователи не могут войти в систему. По окончании длительности блокировки пользователь может снова войти в систему. Чтобы использовать этот параметр, настройте параметр Максимально допустимые попытки входа .

  Применяется к macOS 10.10 и более поздней версии, а также ко всем типам регистрации.

Чтобы просмотреть эти параметры, перейдите к разделу Ограничения паролей для устройств macOS.

Применимо к:

• macOS

Параметр требуемого типа пароля по умолчанию меняется на устройствах Android Enterprise

На устройствах Android Enterprise можно создать профиль пароля устройства, который задает обязательный тип пароля (Конфигурация>устройств>Create>Android Enterprise для платформы >Полностью управляемый, Выделенный и Corporate-Owned Рабочий профиль> Ограниченияустройства>Пароль устройства).

Параметр Обязательный тип пароля по умолчанию изменяется с Числовой на Устройство по умолчанию.

Существующие профили не затрагиваются. Новые профили будут автоматически использовать устройство по умолчанию.

Для большинства устройств не требуется пароль, если выбран параметр Устройство по умолчанию . Если вы хотите, чтобы пользователи настраивали секретный код на своих устройствах, настройте для параметра Обязательный тип пароля значение, более безопасное, чем значение по умолчанию для устройства.

Чтобы просмотреть параметры, которые можно ограничить, перейдите в раздел Параметры устройства Android Enterprise для разрешения или ограничения функций.

Применимо к:

• Android Enterprise

Настройка подключаемого модуля единого входа Microsoft Enterprise для macOS

Важно!

В macOS расширение единого входа Microsoft Entra указано в пользовательском интерфейсе Intune, но не работает должным образом. Эта функция теперь работает и доступна для использования в общедоступной предварительной версии.

Команда Microsoft Entra создала расширение приложения для единого входа перенаправления. Это расширение приложения позволяет пользователям macOS 10.15 и более поздних версий получать доступ к приложениям Майкрософт, приложениям организации и веб-сайтам, поддерживающим функцию единого входа Apple. Он выполняет проверку подлинности с помощью Microsoft Entra ID с одним войдите.

В выпуске подключаемого модуля единого входа Microsoft Enterprise вы можете настроить расширение единого входа с новым типом расширения приложения Microsoft Entra в Intune (Конфигурация>устройств>Create>macOS для платформы >Функции устройства для профиля >расширения>>приложения единого входаMicrosoft Entra ID).

Чтобы получить единый вход с помощью расширения приложения Microsoft Entra SSO, пользователям необходимо установить приложение Корпоративный портал и войти в нее на своих устройствах macOS.

Дополнительные сведения о расширениях приложений единого входа macOS см. в статье Расширение приложения для единого входа.

Применимо к:

• macOS 10.15 и более поздние версии.

Изменения параметров пароля в профилях ограничений устройств для администратора устройств Android

Недавно мы добавили сложность пароля в качестве нового параметра для политики соответствия устройств и ограничения устройств для администратора устройств Android. Теперь мы добавили дополнительные изменения в пользовательский интерфейс для параметров в обоих типах политик, чтобы помочь Intune изменения паролей в Android версии 10 и более поздних. Эти изменения помогают гарантировать, что параметры паролей будут по-прежнему применяться к устройствам должным образом.

Вы найдете следующие изменения в пользовательском интерфейсе Intune для параметров паролей для двух типов политик, которые не повлияют на существующие профили:

• Параметры реорганизовываются в разделы, основанные на версиях устройств, к которым применяется этот параметр, например Android 9 и более ранних версий или Android 10 и более поздних версий.
• Обновления к меткам и примеру текста в пользовательском интерфейсе.
• Пояснения для ссылок на ПИН-коды в виде числовых , алфавитных или буквенно-цифровых.

Применимо к:

• Администратор устройств Android

Новая версия соединителя сертификатов PFX

Мы выпустили новую версию соединителя сертификатов PFX версии 6.2008.60.612. В новой версии соединителя:

• Устранена проблема с доставкой сертификатов PKCS на полностью управляемые устройства Android Enterprise. При возникновении этой ошибки требовалось, чтобы вместо поставщика хранилища ключей (KSP) использовался старый поставщик. Теперь вы можете использовать поставщик хранилища ключей шифрования следующего поколения (CNG).
• Изменена вкладка Учетная запись ЦС в соединителе сертификатов PFX: указанные вами имя пользователя и пароль (учетные данные) теперь используются для выдачи сертификатов и отзыва сертификатов. Ранее эти учетные данные использовались только для отзыва сертификатов.

Дополнительные сведения о соединителях сертификатов, в том числе список выпусков для обоих соединителей сертификатов, см. в статье Соединители сертификатов.

Регистрация устройства

Intune поддержка подготовки Microsoft Entra общих устройств

С помощью Intune теперь можно подготавливать выделенные устройства Android Enterprise с помощью Microsoft Authenticator, автоматически настроенного в режиме Microsoft Entra общего устройства. Дополнительные сведения об использовании этого типа регистрации см. в разделе Настройка Intune регистрации выделенных устройств Android Enterprise.

Новые и обновленные руководства по планированию, настройке и развертыванию регистрации

Существующие руководства по планированию и миграции переписываются и обновляются с новым руководством. Существуют также новые руководства по развертыванию, посвященные настройке Intune и регистрации устройств Android, iOS/iPadOS, macOS и Windows.

Дополнительные сведения см. в статье Руководство по планированию Microsoft Intune руководство по развертыванию. Настройка или переход на Microsoft Intune и Руководство по развертыванию: Регистрация устройств в Microsoft Intune.

Безопасность устройств

Обновление Microsoft Tunnel

Мы выпустили новую версию шлюза Microsoft Tunnel, которая включает следующие изменения:

• Исправления для ведения журналов. Просмотр системных журналов Microsoft Tunnel при запуске journalctl -t mstunnel_monitor командной строке на сервере туннеля.
• Исправления ошибок

Сервер шлюза Tunnel будет автоматически обновлен до нового выпуска.

поддержка политик защита приложений в Android и iOS/iPadOS для других партнеров

В октябре 2019 года в политику защиты приложений Intune добавлена возможность использования данных от наших партнеров по защите от угроз Майкрософт.

В этом обновлении мы расширяем эту поддержку для следующих двух партнеров для использования политики защиты приложений для блокировки или выборочной очистки корпоративных данных пользователя в зависимости от работоспособности устройства:

• Check Point Sandblast на Android, iOS и iPadOS
• Symantec Endpoint Security в Android, iOS и iPadOS

Дополнительные сведения см. в статье Создание политики защиты приложения Mobile Threat Defense в Intune.

Intune задачи безопасности включают сведения о неправильно настроенных параметрах из Microsoft Defender для конечной точки TVM

Microsoft Intune задачи безопасности теперь сообщают о и предоставляют сведения об исправлении неправильных настроек, обнаруженных управлением уязвимостями угроз (TVM). Неправильные настройки, о которых сообщается Intune, ограничены проблемами, для которых можно предоставить рекомендации по исправлению.

TVM является частью Microsoft Defender для конечной точки. До этого обновления сведения из TVM включали только сведения и шаги по исправлению для приложений.

При просмотре задач безопасности вы найдете новый столбец с именем Тип исправления , который определяет тип проблемы:

• Приложение — уязвимые приложения и шаги по исправлению. Этот тип проблемы был доступен в задачах безопасности до этого обновления.
• Конфигурация — новая категория сведений от TVM, которая определяет неправильную конфигурацию и содержит шаги, которые помогут вам исправить их.

Дополнительные сведения о задачах безопасности см. в статье Использование Intune для устранения уязвимостей, обнаруженных Microsoft Defender для конечной точки.

Политики брандмауэра безопасности конечных точек для подключенных к клиенту устройств

В качестве общедоступной предварительной версии можно развернуть политику безопасности конечных точек для брандмауэров на устройствах, которыми вы управляете с помощью Configuration Manager. Для этого сценария необходимо настроить подключение клиента между поддерживаемой версией Configuration Manager и подпиской Intune.

Политика брандмауэра для подключенных к клиенту устройств поддерживается для устройств, работающих Windows 10 и более поздних версий, и требует, чтобы среда запускала Configuration Manager текущей ветви 2006 с исправлением в консоли KB4578605.

Дополнительные сведения см. в разделе Требования к политикам безопасности Intune конечных точек для поддержки подключения клиента.

Расширенные параметры для управления установкой аппаратного устройства с помощью блокировки и списка разрешений

В разделе Профили управления устройствами , которые являются частью политики сокращения направлений атак безопасности конечных точек, мы пересмотрели и расширили параметры управления установкой оборудования. Теперь вы найдете параметры для определения списков блокировок и разделения списков разрешений с помощью идентификаторов устройств, классов установки и идентификаторов экземпляров. Теперь доступны следующие шесть параметров:

• Разрешить установку аппаратного устройства по идентификаторам устройств
• Блокировка установки оборудования с помощью идентификаторов устройств
• Разрешить установку аппаратного устройства по классу установки
• Блокировка установки аппаратного устройства по классу установки
• Разрешить установку аппаратного устройства по идентификаторам экземпляров устройств
• Блокировка установки оборудования с помощью идентификаторов экземпляров устройств

Каждый из этих параметров поддерживает параметры "Да", "Нет" и "Не настроено". После настройки "Да" можно определить блок или список разрешений для этого параметра. На устройстве оборудование, указанное в списке разрешений, может устанавливаться или обновляться. Однако если это же оборудование указано в списке блокировок, блок переопределяет список разрешенных, и установка или обновление оборудования будет запрещено.

Улучшения правил брандмауэра для безопасности конечных точек

Мы внесли несколько изменений, чтобы улучшить настройку правил брандмауэра в профиле правил брандмауэра Microsoft Defender для политики брандмауэра безопасности конечных точек.

Среди этих улучшений:

• Улучшен макет в пользовательском интерфейсе, включая заголовки разделов для организации представления.
• Увеличение предела символов для поля описания.
• Проверка записей IP-адресов.
• Сортировка списков IP-адресов.
• Параметр для выбора всех адресов при удалении записей из списка IP-адресов.

Использование Microsoft Defender для конечной точки в политиках соответствия требованиям для iOS

В качестве общедоступной предварительной версии теперь можно использовать политику соответствия устройств Intune для подключения устройств iOS к Microsoft Defender для конечной точки.

После подключения зарегистрированных устройств iOS/iPadOS политики соответствия для iOS могут использовать сигналы уровня угрозы от Microsoft Defender. Эти сигналы являются теми же сигналами, которые можно использовать для устройств Android и Windows 10.

К концу года приложение Defender для iOS должно перейти с общедоступной предварительной версии на общедоступную.

Профили возможностей безопасности для политики антивирусной программы "Безопасность конечных точек" теперь имеют варианты трех состояний

Мы добавили третье состояние конфигурации для параметров в профиле взаимодействия Безопасность Windows для политик антивирусной программы безопасности конечных точек. Это обновление применяется к интерфейсу Безопасность Windows для Windows 10 и более поздних версий).

Например, если для параметра ранее предлагалось Значение Не настроено и Да , если поддерживается платформой, теперь можно выбрать Нет.

Обновленная версия базовых показателей безопасности Edge

Мы добавили новый базовый план безопасности для Edge в Intune: сентябрь 2020 г. (Edge версии 85 и более поздних).

Обновленные базовые показатели обеспечат поддержку последних параметров, чтобы гарантировать оптимальные конфигурации, рекомендованные соответствующими группами разработчиков.

Чтобы понять, что изменилось между версиями, см. раздел Сравнение версий базовых конфигураций с описанием процесса экспорта CSV-файла с этими изменениями.

Новая версия Microsoft Tunnel

Мы выпустили новую версию шлюза Microsoft Tunnel. В новую версию включены следующие изменения:

• Теперь Microsoft Tunnel регистрирует операционные данные и данные мониторинга в журналах сервера Linux в формате syslog. Вы можете просмотреть системные журналы Microsoft Tunnel при запуске командной journalctl -t строки на сервере туннеля.
• Различные исправления ошибок.

Управление и устранение неполадок

Отчет о сбоях обновления новых компонентов Windows 10

Рабочий отчет о сбоях обновления компонентов содержит сведения о сбоях для устройств, на которые нацелена политика обновления компонентов Windows 10 и которые попытались выполнить обновление. В Центре администрирования Microsoft Intune выберите Устройства>Монитор>сбои обновления компонентов, чтобы просмотреть этот отчет. Дополнительные сведения см. в статье Отчет об ошибках обновления компонентов.

Обновления в отчеты антивирусной программы

Обновлены отчет о состоянии антивирусного агента и отчет об обнаружении вредоносных программ . В этих отчетах теперь отображаются визуализации данных и предоставляются дополнительные столбцы информации (SignatureUpdateOverdue, MalwareID, displayName и InitialDetectionDateTime). Кроме того, удаленные действия включаются в отчет о состоянии антивирусного агента. Дополнительные сведения см. в отчетах о состоянии антивирусного агента и в отчете Об обнаружении вредоносных программ.

Обновлена справка и поддержка для Microsoft Intune

Интерфейс справки и поддержки использует машинное обучение для отображения решений, диагностика и аналитических сведений, которые помогут вам устранить проблемы. Мы обновили страницу справки и поддержки в Центре администрирования Microsoft Intune новым, более удобным для навигации и согласованным интерфейсом взаимодействия. Новый интерфейс теперь развернут во всех колонках консоли и поможет нам получить более актуальную помощь.

Теперь вы найдете обновленный и объединенный интерфейс поддержки для следующих облачных предложений в Центре администрирования:

• Intune
• Диспетчер конфигураций
• Совместное управление
• Компьютеры, управляемые Майкрософт

Сценарии

Просмотр сценариев PowerShell в области устранения неполадок Intune

Теперь вы можете просматривать назначенные скрипты PowerShell в области Устранение неполадок. Скрипты PowerShell обеспечивают Windows 10 взаимодействие клиента с Intune для выполнения задач корпоративного управления, таких как расширенная настройка устройств и устранение неполадок. Дополнительные сведения см. в статье Использование сценариев PowerShell на устройствах с Windows 10 в Intune.

Сбор пользовательских свойств устройства или пользователя с помощью скриптов оболочки на управляемых компьютерах Mac

Вы можете создать пользовательский профиль атрибута, который позволяет собирать пользовательские свойства с управляемого устройства macOS с помощью скриптов оболочки. Эту функцию можно найти в Центре администрирования Microsoft Intune, выбрав Устройства>macOS>Настраиваемые атрибуты. Дополнительные сведения см. в статье Использование сценариев оболочки на устройствах macOS в Intune.

Сентябрь 2020 г.

Управление приложениями

Улучшенный обмен сообщениями в рабочем профиле на корпоративном портале для Android

Экран Корпоративный портал ранее под названием "Вы на полпути!" был обновлен, чтобы лучше объяснить, как работает управление рабочими профилями. Пользователи увидят этот экран, если они повторно включили Корпоративный портал в личном профиле после того, как они уже прошли регистрацию в рабочем профиле. Он также может увидеть этот экран во время регистрации рабочего профиля в некоторых версиях ОС Android, как показано в справочной документации Регистрация с рабочим профилем Android.

Унифицированная доставка приложений Microsoft Entra Enterprise и Office Online в Windows Корпоративный портал

В выпуске 2006 года мы объявили о единой доставке приложений Microsoft Entra Enterprise и Office Online на веб-сайте Корпоративный портал. Эта функция поддерживается в Корпоративный портал Windows. В области Настройка Intune выберите Скрыть или ПоказатьMicrosoft Entra корпоративные приложения и приложения Office Online в Корпоративный портал Windows. Каждый пользователь видит весь каталог приложений из выбранной службы Майкрософт. По умолчанию для каждого источника приложения будет задано значение Скрыть. В Центре администрирования Microsoft Intune выберитеНастройкаадминистрирования> клиента, чтобы найти этот параметр конфигурации. Дополнительные сведения см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Описания приложений Windows Корпоративный портал с форматированным текстом

С помощью Markdown теперь можно отображать описания приложений с помощью форматированного текста в Корпоративный портал Windows. Дополнительные сведения о Корпоративный портал см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

политики защита приложений позволяют администраторам настраивать расположения входящих данных организации

Теперь вы можете контролировать, какие доверенные источники данных можно открывать в документах организации. Как и в случае с существующим параметром сохранить копии политики защиты приложений для данных организации , вы можете определить, какие расположения входящих данных являются доверенными. Эта функция связана со следующими параметрами политики защиты приложений:

• Сохранять копии данных организации
• Открытие данных в документах организации
• Разрешить пользователям открывать данные из выбранных служб

В Центре администрирования Microsoft Intune выберите Приложения>защита приложений политики>Create политика. Чтобы использовать эту функцию, Intune приложения, управляемые политикой, должны реализовать поддержку этого элемента управления. Дополнительные сведения см. в разделах Параметры политики защиты приложений iOS и Параметры политики защиты приложений Android.

Конфигурация устройства

Обновление предварительной версии COPE: новые параметры для создания требований к паролю рабочего профиля для корпоративных устройств Android Enterprise с рабочим профилем

Теперь новые параметры позволяют администраторам задавать требования к паролю рабочего профиля для корпоративных устройств Android Enterprise с помощью рабочего профиля:

• Требуемый тип пароля
• Минимальная длина пароля
• Число дней до обязательной смены пароля
• Требуемое число уникальных паролей до возможности использования предыдущего
• Число неудачных попыток входа перед очисткой устройства

Дополнительные сведения см. в статье Параметры устройства Android Enterprise для разрешения или ограничения функций с помощью Intune.

Обновление предварительной версии COPE: новые параметры для настройки личного профиля для корпоративных устройств Android Enterprise с рабочим профилем

Для корпоративных устройств Android Enterprise с рабочим профилем можно настроить новые параметры, которые применяются только к личному профилю (Конфигурация>устройств>Create>Android Enterprise для платформы >Полностью управляемая, Выделенная и Corporate-Owned Рабочий профиль>Устройства ограничения для профиля >Личный профиль):

• Камера. Используйте этот параметр, чтобы заблокировать доступ к камере во время личного использования.
• Снимок экрана. Используйте этот параметр для блокировки снимков экрана во время личного использования.
• Разрешить пользователям включать установку приложений из неизвестных источников в личном профиле. Используйте этот параметр, чтобы разрешить пользователям устанавливать приложения из неизвестных источников в личном профиле.

Применимо к:

• Корпоративные устройства Android Enterprise с рабочим профилем и устройствами с личной поддержкой.

Чтобы просмотреть все параметры, которые можно настроить, перейдите в раздел Параметры устройства Android Enterprise для разрешения или ограничения функций.

Анализ локальных объектов групповой политики с помощью аналитики групповая политика

В разделе Устройства>групповая политика аналитика можно импортировать объекты групповой политики в Центре администрирования Intune. При импорте Intune автоматически анализирует объект групповой политики и отображает политики с эквивалентными параметрами в Intune. Здесь также отображаются объекты групповой политики, которые устарели или больше не поддерживаются. Дополнительные сведения см. в статье Отчеты Аналитика>групповой политики Отчет о готовности> к миграции.

Дополнительные сведения об этой функции см. в разделе аналитика групповая политика.

Применимо к:

• Windows 10 и более новые версии

Блокировать клипы приложений в iOS/iPadOS и откладывать обновления программного обеспечения, отличные от ОС, на устройствах macOS

При создании профиля ограничения устройств на устройствах iOS/iPadOS и macOS существуют новые параметры:

Блокировка клипов приложений iOS/iPadOS 14.0+

• Применимо к iOS/iPadOS 14.0 и более поздней версии.
• Устройства должны быть зарегистрированы с помощью регистрации устройств или автоматической регистрации устройств (защищенные устройства).
• Параметр Блокировать клипы приложений блокирует клипы приложений на управляемых устройствах (конфигурация>устройств>Create>iOS/iPadOS для ограничений платформы> устройства для профиля >"Общие"). При блокировке пользователи не смогут добавлять клипы приложений, а существующие клипы приложений удаляются.

macOS 11 и более поздних версий отложить обновления программного обеспечения

• Применяется к macOS 11 и более поздней версии. На защищенных устройствах macOS устройство должно иметь утвержденную пользователем регистрацию устройства или регистрацию с помощью автоматической регистрации устройств.
• Существующий параметр Отложить обновления программного обеспечения теперь может задерживать обновления ОС и обновления, отличныеот ОС (Конфигурация> устройств >Create>macOS для платформы >Ограничения устройств для профиля >Общие). Существующий параметр Задержка отслеживания обновлений программного обеспечения применяется к обновлениям ОС и обновлений, отличных от ОС. Отсрочка обновлений программного обеспечения, отличных от ОС, не влияет на запланированные обновления.
• Поведение существующих политик не изменяется, не затрагивается и не удаляется. Существующие политики будут автоматически перенесены в новый параметр с той же конфигурацией.

Параметры ограничений устройств, которые можно настроить, см. в разделе iOS/iPadOS и macOS.

Новые параметры с помощью VPN для каждого приложения или VPN по запросу на устройствах iOS/iPadOS и macOS

Автоматические профили VPN можно настроить вразделе Конфигурация>устройств>Create>iOS/iPadOS или macOS для VPN платформы > для профиля >Автоматический VPN. Существуют новые параметры VPN для каждого приложения, которые можно настроить:

• Запретить пользователям отключать автоматическое VPN. При создании автоматического VPN-подключения для каждого приложения или VPN-подключения по запросу вы можете заставить пользователей оставить автоматический VPN включенным и работающим.
• Связанные домены. При создании автоматического VPN-подключения для каждого приложения можно добавить связанные домены в профиль VPN, которые автоматически запускают VPN-подключение. Дополнительные сведения о связанных доменах см. в разделе Связанные домены.
• Исключенные домены. При создании автоматического VPN-подключения для каждого приложения можно добавить домены, которые могут обходить VPN-подключение при подключении VPN для каждого приложения.

Чтобы просмотреть эти и другие параметры, которые можно настроить, перейдите в раздел Параметры VPN iOS/iPadOS и параметры VPN macOS.

Настройка виртуальной частной сети (VPN) для каждого приложения для устройств iOS/iPadOS.

Применимо к:

• iOS/iPadOS 14 и более поздней версии
• macOS Big Sur (macOS 11)

Установка максимальной единицы передачи для VPN-подключений IKEv2 на устройствах iOS/iPadOS

Начиная с iOS/iPadOS 14 и более новых устройств можно настроить настраиваемую максимальную единицу передачи (MTU) при использовании VPN-подключений IKEv2 (конфигурация>устройств>Create>iOS/iPadOS для VPN платформы > для профиля >IKEv2 для типа подключения).

Дополнительные сведения об этом и других параметрах, которые можно настроить, см. в разделе Параметры IKEv2.

Применимо к:

• iOS/iPadOS 14 и более поздней версии

VPN-подключение для каждой учетной записи для профилей электронной почты на устройствах iOS/iPadOS

Начиная с iOS/iPadOS 14, трафик электронной почты для собственного почтового приложения можно маршрутизировать через VPN в зависимости от учетной записи, используемой пользователем. В Intune можно настроить профиль VPN для каждой учетной записи (конфигурация>устройств>Create>iOS/iPadOS для платформы> Email для параметров профиля> Exchange ActiveSync электронной почты).

Эта функция позволяет выбрать профиль VPN для каждого приложения для VPN-подключения на основе учетной записи. VPN-подключение для каждого приложения автоматически включается, когда пользователи используют свою учетную запись организации в почтовом приложении.

Чтобы просмотреть этот и другие параметры, которые можно настроить, перейдите в раздел Добавление параметров электронной почты для устройств iOS и iPadOS.

Применимо к:

• iOS/iPadOS 14 и более поздней версии

Отключение рандомизации MAC-адресов в Wi-Fi сетях на устройствах iOS/iPadOS

Начиная с iOS/iPadOS 14, по умолчанию устройства представляют случайный MAC-адрес вместо физического MAC-адреса при подключении к сети. Это поведение рекомендуется для обеспечения конфиденциальности, так как сложнее отслеживать устройство по ЕГО MAC-адресу. Эта функция также нарушает функциональные возможности, использующие статический MAC-адрес, включая управление доступом к сети (NAC).

Вы можете отключить рандомизацию MAC-адресов для каждой сети в профилях Wi-Fi (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Wi-Fi для профиля >Базовый или Корпоративный для Wi-Fi типа).

Чтобы просмотреть этот и другие параметры, которые можно настроить, перейдите в раздел Добавление Wi-Fi параметров для устройств iOS и iPadOS.

Применимо к:

• iOS/iPadOS 14 и более поздней версии

Новые параметры для профилей элементов управления устройствами

Мы добавили пару параметров в профиль элемента управления устройством для политики сокращения направлений атаки для устройств, работающих Windows 10 или более поздней версии:

• Съемный носитель
• USB-подключения (только HoloLens)

Политика сокращения направлений атак является частью безопасности конечных точек в Intune.

Регистрация устройства

Страница "Состояние регистрации" отображает критические политики киоска

Теперь вы сможете видеть следующие политики, отслеживаемые на странице состояния регистрации.

• Назначенный доступ
• Параметры браузера киоска
• Параметры браузера Edge

Все остальные политики киоска в настоящее время не отслеживаются.

Управление устройствами

Поддержка powerPrecision и PowerPrecision+ аккумуляторов для устройств Zebra

На странице сведений об оборудовании устройства теперь можно просмотреть следующие сведения об устройствах Zebra, использующих батареи PowerPrecision и PowerPrecision+:

• Оценка состояния работоспособности, определяемая Zebra (только батареи PowerPrecision+ )
• Количество использованных циклов полной зарядки
• Дата последнего проверка для батареи, обнаруженной на устройстве
• Серийный номер последнего найденного на устройстве аккумулятора

Обновление предварительной версии COPE: сброс пароля рабочего профиля для корпоративных устройств Android Enterprise с рабочим профилем

Теперь можно сбросить пароль рабочего профиля на корпоративных устройствах Android Enterprise с помощью рабочего профиля. Дополнительные сведения см. в разделе Сброс секретного кода.

Переименование совместно управляемого устройства, присоединенного к Microsoft Entra

Теперь вы можете переименовать совместно управляемое устройство, которое Microsoft Entra присоединено. Дополнительные сведения см. в статье Переименование устройства в Intune.

Присоединение клиента: временная шкала устройства в Центре администрирования

Когда Configuration Manager синхронизирует устройство с Microsoft Intune через подключение клиента, вы увидите временная шкала событий. На этой временной шкале отображаются прошлые действия с устройством. Эта информация поможет вам устранить неполадки. Дополнительные сведения см. в разделе Подключение клиента: временная шкала устройства в Центре администрирования.

Присоединение клиента: обозреватель ресурсов в Центре администрирования

В Центре администрирования Microsoft Intune можно просмотреть инвентаризацию оборудования для отправленных Configuration Manager устройств с помощью обозревателя ресурсов. Дополнительные сведения см . в разделе Подключение клиента: обозреватель ресурсов в Центре администрирования.

Присоединение клиента: CMPivot из Центра администрирования

Доведите до центра администрирования Microsoft Intune возможности CMPivot. Разрешите другим пользователям, таким как служба поддержки, инициировать запросы в реальном времени из облака к отдельному ConfigMgr управляемому устройству и возвращать результаты обратно в Центр администрирования. Эта функция предоставляет традиционные преимущества CMPivot. Это позволяет ИТ-администраторам и другим назначенным лицам быстро оценивать состояние устройств в своей среде и принимать меры.

Дополнительные сведения о CMPivot из Центра администрирования см. в разделах Предварительные требования к CMPivot, Обзор CMPivot и Примеры скриптов CMPivot.

Присоединение клиента: выполнение скриптов из Центра администрирования

В центре администрирования Microsoft Intune можно использовать возможности локального запуска сценариев Configuration Manager. Разрешите другим пользователям, таким как служба поддержки, выполнять скрипты PowerShell из облака на отдельном Configuration Manager управляемом устройстве в режиме реального времени. Эта функция предоставляет все традиционные преимущества скриптов PowerShell, которые уже определены и утверждены администратором Configuration Manager в этой новой среде. Дополнительные сведения см. в статье Присоединение клиента: запуск сценариев из Центра администрирования.

Политика защиты от незаконного изменения для подключенных к клиенту устройств в предварительной версии

В предварительной версии мы добавили новый профиль в политику антивирусной программы безопасности Intune конечной точки, которую можно использовать для управления защитой от незаконного изменения на подключенных к клиенту устройствах: Безопасность Windows интерфейс (предварительная версия).

Новый профиль находится на платформе Windows 10 и Windows Server (ConfigMgr) при создании новой политики антивирусной программы.

Прежде чем использовать политики безопасности Intune конечных точек с подключенными к клиенту устройствами, необходимо настроить подключение клиента Configuration Manager и синхронизировать устройства с Intune.

Кроме того, помните о конкретных предварительных требованиях, необходимых для использования и поддержки защиты от незаконного изменения с помощью политики Intune.

Безопасность устройств

Vpn-решение шлюза Microsoft Tunnel в предварительной версии

Теперь вы можете развернуть шлюз Microsoft Tunnel для предоставления удаленного доступа к локальным ресурсам на устройствах iOS и Android Enterprise (полностью управляемые, Corporate-Owned рабочий профиль, рабочий профиль).

Microsoft Tunnel поддерживает VPN для каждого приложения и полного устройства, раздельное туннелирование и условный доступ с использованием современной проверки подлинности. Tunnel может поддерживать несколько серверов шлюзов для обеспечения высокого уровня доступности для обеспечения готовности к рабочей среде.

Поддержка биометрической проверки подлинности для устройств Android

Новые устройства Android используют более разнообразный набор биометрических данных, помимо отпечатков пальцев. Когда изготовители оборудования реализуют поддержку биометрии без отпечатков пальцев, конечные пользователи могут использовать эту возможность для безопасного доступа и улучшения взаимодействия. С выпуском Intune 2009 года вы можете разрешить конечным пользователям использовать отпечатки пальцев или разблокировку лиц в зависимости от того, что поддерживает устройство Android. Вы можете настроить, могут ли все типы биометрических данных, помимо отпечатков пальцев, использоваться для проверки подлинности. Дополнительные сведения см. в разделе защита приложений интерфейс для устройств Android.

Новые сведения в конфигурации безопасности конечной точки для устройства

Теперь можно просмотреть дополнительные сведения об устройствах в рамках конфигурации безопасности конечных точек устройств. При детализации, чтобы просмотреть сведения о состоянии политик, развернутых на устройствах, вы увидите следующий параметр:

• Имя участника-пользователя (имя участника-пользователя). Имя участника-пользователя определяет, какой профиль безопасности конечной точки назначается конкретному пользователю на устройстве. Эта информация полезна для различения нескольких пользователей на устройстве и нескольких записей профиля или базового плана, назначенных устройству.

Дополнительные сведения см. в разделе Разрешение конфликтов для базовых показателей безопасности.

Расширенные разрешения RBAC для роли "Безопасность конечной точки"

Роль Endpoint Security Manager для Intune имеет больше разрешений на управление доступом на основе ролей (RBAC) для удаленных задач.

Эта роль предоставляет доступ к центру администрирования Microsoft Intune. Он может использоваться пользователями, которые управляют функциями безопасности и соответствия, включая базовые показатели безопасности, соответствие устройств, условный доступ и Microsoft Defender для конечной точки.

К новым разрешениям для удаленных задач относятся:

• Перезагрузить
• Удаленная блокировка
• Смена ключей BitLockerKeys (предварительная версия)
• Изменить ключ FileVault
• Синхронизация устройств
• Microsoft Defender
• Запуск действия диспетчера конфигурации

Чтобы просмотреть полный набор разрешений для любой Intune роли RBAC, перейдите по разделу (администратор > клиента Intune роли>выберите роль>Разрешения).

Обновления для базовых показателей безопасности

Новые версии доступны для следующих базовых конфигураций безопасности.

• Базовая конфигурация безопасности MDM (безопасность Windows 10)
• Базовые показатели Microsoft Defender для конечной точки

Обновленные базовые показатели обеспечат поддержку последних параметров, чтобы гарантировать оптимальные конфигурации, рекомендованные соответствующими группами разработчиков.

Чтобы понять, что изменилось между версиями, см. раздел Сравнение версий базовых конфигураций с описанием процесса экспорта CSV-файла с этими изменениями.

Использование сведений о конфигурации безопасности конечных точек для определения источника конфликтов политик для устройств

Чтобы упростить разрешение конфликтов, теперь можно детализировать профиль базовых показателей безопасности, чтобы просмотреть конфигурацию безопасности конечной точки для выбранного устройства. Затем можно выбрать параметры, отображающие конфликт или ошибку. Продолжайте детализацию, чтобы просмотреть список сведений, включая профили и политики, которые являются частью конфликта.

Если выбрать политику, которая является источником конфликта, Intune откроется панель обзор политик, где можно просмотреть или изменить конфигурацию политик.

Следующие типы политик можно определить в качестве источника конфликта при детализации базовых показателей безопасности:

• Политика конфигурации устройств
• Политики безопасности конечных точек

Дополнительные сведения см. в разделе Разрешение конфликтов для базовых показателей безопасности.

Поддержка сертификатов с размером ключа 4096 на устройствах iOS и macOS

При настройке профиля сертификата SCEP для устройств iOS/iPadOS или macOS теперь можно указать размер ключа (бит)4096 бит.

Intune поддерживает 4096-разрядные ключи для следующих платформ:

• iOS 14 или более поздние версии
• macOS 11 и более поздних версий

Сведения о настройке профилей сертификатов SCEP см. в разделе Create профиля сертификата SCEP.

Android 11 не рекомендует развертывание доверенных корневых сертификатов для устройств, зарегистрированных администратором устройства.

Начиная с Android 11 доверенные корневые сертификаты больше не могут устанавливать доверенный корневой сертификат на устройствах, зарегистрированных в качестве администратора устройств Android. Это ограничение не влияет на устройства Samsung Knox. Для устройств, отличных от Samsung, пользователи должны вручную установить доверенный корневой сертификат на устройстве.

После установки доверенного корневого сертификата на устройстве вручную можно использовать SCEP для подготовки сертификатов на устройстве. По-прежнему необходимо создать и развернуть политику доверенных сертификатов на устройстве и связать эту политику с профилем сертификата SCEP .

• Если доверенный корневой сертификат находится на устройстве, профиль сертификата SCEP можно установить успешно.
• Если на устройстве не удается найти доверенный сертификат, профиль сертификата SCEP завершится ошибкой.

Дополнительные сведения см. в разделе Профили доверенных сертификатов для администратора устройств Android.

Параметры трех состояний для дополнительных параметров в политике брандмауэра безопасности конечных точек

Мы добавили третье состояние конфигурации для нескольких дополнительных параметров в политиках брандмауэра безопасности конечных точек для Windows 10.

Обновлены следующие параметры:

• Протокол ПЕРЕДАЧи файлов с отслеживанием состояния (FTP) теперь поддерживает не настроено, разрешено и отключено.
• Требовать, чтобы модули с ключами пропускали только те наборы проверки подлинности, которые они не поддерживают , теперь поддерживают не настроено, включено и отключено.

Улучшенное развертывание сертификатов для Android Enterprise

Мы улучшили поддержку использования сертификатов S/MIME для Outlook для шифрования и подписывания на устройствах Android Enterprise, которые регистрируются как полностью управляемые, выделенные и Corporate-Owned рабочие профили. Ранее при использовании S/MIME пользователь устройства должен был разрешить доступ. Теперь сертификаты S/MIME можно использовать без вмешательства пользователя.

Чтобы развернуть сертификаты S/MIME на поддерживаемых устройствах Android, используйте импортированный профиль сертификата PKCS или профиль сертификата SCEP для конфигурации устройства. Create профиль для Android Enterprise, а затем выберите импортированный сертификат PKCS из категории Полностью управляемый, Выделенный и Corporate-Owned Рабочий профиль.

Улучшенные сведения о состоянии в отчетах о базовых планах безопасности

Мы начали улучшать многие сведения о состоянии базовых показателей безопасности. Теперь вы увидите более осмысленное и подробное состояние при просмотре сведений о базовых версиях, которые вы развернули.

В частности, при выборе базового плана выберите Версия и выберите экземпляр этого базового плана, в начальном обзоре отображаются следующие сведения:

• Диаграмма состояния базовых показателей безопасности. На этой диаграмме теперь отображаются следующие сведения о состоянии:
  • Соответствует базовому плану по умолчанию . Это состояние заменяет совпадает с базовыми показателями и определяет, когда конфигурация устройств соответствует базовой конфигурации по умолчанию (неизмененному).
  • Соответствует пользовательским параметрам . Это состояние определяет, когда конфигурация устройств соответствует базовой конфигурации, настроенной (настроенной) и развернутой.
  • Неправильно настроено — это накопительный пакет, представляющий три условия состояния устройства: ошибка, ожидание или конфликт. Эти отдельные состояния доступны из других представлений, как описано ниже.
  • Неприменимо . Это состояние представляет устройство, которое не может получить политику. Например, политика обновляет параметр, относящееся к последней версии Windows, но на устройстве используется более ранняя (более ранняя) версия, которая не поддерживает этот параметр.
• Состояние базовых показателей безопасности по категориям . Это представление списка, в котором отображается состояние устройства по категориям. Доступные столбцы зеркало большую часть диаграммы базовых показателей безопасности, но вместо неправильной конфигурации вы увидите три столбца состояния, которые составляют неправильно настроено:
  • Ошибка: политику не удалось применить. Сообщения обычно отображаются с кодом ошибки, которая указывает на объяснение.
  • Конфликт: два параметра применяются для одного устройства, и Intune не может отсортировать конфликт. Необходимо обратиться к администратору.
  • Ожидание: устройство еще не подключено в Intune для получения политики.

Новый параметр "Сложность пароля" для Android 10 и более поздних версий для устройств, зарегистрированных администратором устройства

Для поддержки новых параметров для Android 10 и более поздних версий на устройствах, зарегистрированных в качестве администратора устройств Android, мы добавили новый параметр сложность пароля в политику соответствия устройств и политику ограничения устройств . Этот новый параметр используется для управления мерой надежности пароля, которая будет определять тип пароля, длину и качество пароля.

Сложность пароля не применяется к устройствам Samsung Knox. На этих устройствах параметры длины пароля и типа переопределяют сложность пароля.

Сложность пароля поддерживает следующие параметры:

• Нет — нет пароля
• Низкий — пароль удовлетворяет одному из следующих вариантов:
  • Шаблон
  • ПИН-код с повторяющимися последовательности (4444) или упорядоченными (1234, 4321, 2468)
• Средний — пароль удовлетворяет одному из следующих вариантов:
  • ПИН-код без повторяющихся последовательностей (4444) или упорядоченных (1234, 4321, 2468) и длиной не менее 4
  • По алфавиту, длина не менее 4
  • Буквенно-цифровой, длина не менее 4
• Высокий — пароль удовлетворяет одному из следующих вариантов:
  • ПИН-код без повторяющихся последовательностей (4444) или упорядоченных (1234, 4321, 2468), длина не менее 8
  • Алфавитный, длина не менее 6
  • Буквенно-цифровой, длина не менее 6

Этот новый параметр остается в процессе работы. В конце октября 2020 г. на устройствах начнет действовать сложность пароля.

Если для параметра Сложность пароля задано значение , отличное от Нет, необходимо также настроить другой параметр. Другие параметры гарантируют, что пользователи, использующие пароль, который не соответствует вашим требованиям к сложности, получают предупреждение об обновлении пароля.

• Соответствие устройств. Установите параметр Требовать пароль для разблокировки мобильных устройств в значение Требовать.
• Ограничение устройства: установите параметр "Пароль" в значение "Требовать"

Если для другого параметра не задано значение Требовать, пользователи со слабыми паролями не получат предупреждение.

Управление и устранение неполадок

Аналитика конечных точек общедоступна

Аналитика конечных точек нацелена на повышение производительности работы пользователей и сокращение затрат на поддержку, параллельно предоставляя полезные сведения о работе пользователей. Эти аналитические сведения позволяют ИТ-службам оптимизировать взаимодействие с конечными пользователями с помощью упреждающей поддержки и обнаруживать регрессии к взаимодействию с пользователем путем оценки влияния изменений конфигурации на пользователей. Дополнительные сведения см. в статье Аналитика конечных точек.

Массовые действия для устройств, перечисленных в операционном отчете

В рамках новых антивирусных отчетов, выходящих в рамках Microsoft Intune безопасности, Windows 10 операционный отчет об обнаружении вредоносных программ предоставляет массовые действия, которые применимы к устройствам, выбранным в отчете. Действия включают перезагрузку, быструю проверку и полную проверку. Дополнительные сведения см. в Windows 10 отчете об обнаружении вредоносных программ.

Экспорт отчетов Intune с помощью API Graph

Все отчеты, перенесенные в инфраструктуру отчетов Intune, будут доступны для экспорта из одного API экспорта верхнего уровня. Дополнительные сведения см. в разделе Экспорт отчетов Intune с помощью API Graph.

Новые и улучшенные отчеты о антивирусной программе Microsoft Defender для Windows 10 и более новых версий

Мы добавляем четыре новых отчета для антивирусной программы Microsoft Defender на Windows 10 в Microsoft Intune. К этим отчетам относятся:

• Два операционных отчета, Windows 10 неработоспособных конечных точек и Windows 10 обнаруженных вредоносных программ. В центре администрирования Microsoft Intune выберитеАнтивирусная программадля защиты конечных> точек.
• Два отчета организации: состояние антивирусного агента и обнаруженная вредоносная программа. В центре администрирования Microsoft Intune выберите Отчеты>Microsoft Defender Антивирусная программа.

Дополнительные сведения см. в Intune отчетах и Управлении безопасностью конечных точек в Microsoft Intune.

Отчет о новом Windows 10 обновлении компонентов

Отчет об обновлении компонентов Windows 10 содержит общее представление о соответствии для устройств, на которые нацелена политика обновления компонентов Windows 10. В центре администрирования Microsoft Intune выберите Отчеты Об>обновлениях Windows, чтобы просмотреть сводку по этому отчету. Чтобы просмотреть отчеты по определенным политикам, в рабочей нагрузке Обновления Windows перейдите на вкладку Отчеты и откройте отчет об обновлении компонентов Windows. Дополнительные сведения см. в разделе обновления компонентов Windows 10.

Август 2020 г.

Управление приложениями

Связанные лицензии отозваны перед удалением токена Apple VPP

При удалении маркера Apple VPP в Microsoft Intune все назначенные Intune лицензии, связанные с этим маркером, автоматически отзываются перед удалением.

Улучшение страницы "Обновление параметров устройства" в приложении Корпоративный портал для Android с описанием

На устройствах Android в приложении Корпоративного портала на странице Обновить параметры устройства перечислены параметры, которые необходимо обновить, чтобы соответствовать требованиям. Когда пользователи разворачивают проблему, отображаются дополнительные сведения и кнопка Разрешить.

Это улучшение пользовательского интерфейса. Указанные параметры разворачиваются по умолчанию, чтобы отображалось описание и кнопка Разрешить (если применимо). Ранее проблемы были свернуты по умолчанию. Это новое поведение по умолчанию сокращает количество переходов, что позволяет пользователям быстрее решать проблемы.

В Корпоративный портал добавлена поддержка приложений Configuration Manager.

Теперь Корпоративный портал поддерживает приложения Configuration Manager. Эта функция позволяет пользователям просматривать развернутые приложения Configuration Manager и Intune на Корпоративном портале для совместно управляемых клиентов. В этой новой версии Корпоративного портала будут отображаться приложения, развернутые Configuration Manager для всех совместно управляемых клиентов. Эта поддержка поможет администраторам консолидировать различные возможности портала конечных пользователей. Дополнительные сведения см. в разделе Использование приложения "Корпоративный портал" на совместно управляемых устройствах.

Конфигурация устройства

Использование NetMotion в качестве типа VPN-подключения для устройств iOS/iPadOS и macOS

При создании профиля VPN NetMotion доступен как тип VPN-подключения (Конфигурация>устройств>Create>iOS/iPadOS или macOS для VPN платформы > для профиля >NetMotion для типа подключения).

Дополнительные сведения о профилях VPN в Intune см. в статье Создание профилей VPN для подключения к VPN-серверам.

Применимо к:

• iOS/iPadOS
• macOS

Дополнительные параметры защищенного расширенного протокола проверки подлинности (PEAP) для Windows 10 Wi-Fi профилей

На Windows 10 устройствах можно создавать профили Wi-Fi с помощью протокола EAP для проверки подлинности Wi-Fi подключений (конфигурация>устройств>Create>Windows 10 и более поздних версий для платформы >Wi-Fi для профиля >Enterprise.

При выборе защищенного EAP (PEAP) доступны новые параметры:

• Выполнение проверки сервера на этапе 1 PEAP. На этапе согласования PEAP 1 сервер проверяется с помощью проверки сертификата.
  • Отключить запросы пользователей на проверку сервера на этапе 1 PEAP. На этапе согласования PEAP 1 запросы пользователей с просьбой авторизовать новые серверы PEAP для доверенных центров сертификации не отображаются.
• Требовать криптографическую привязку. Запрещает подключения к серверам PEAP, которые не используют шифрование во время согласования PEAP.

Чтобы просмотреть параметры, которые можно настроить, перейдите в раздел Добавление Wi-Fi параметров для устройств Windows 10 и более поздних версий.

Применимо к:

• Windows 10 и более новые версии

Запрет пользователям разблокировать устройства с рабочим профилем Android Enterprise с помощью сканирования лица и радужной оболочки глаза

Теперь вы можете запретить пользователям использовать сканирование лиц или радужной оболочки глаза для разблокировки устройств, управляемых рабочим профилем, на уровне устройства или рабочего профиля. Эту функцию можно задать в разделеКонфигурация>устройств>Create>Android Enterprise для платформы Рабочий профиль > Ограничения устройств для параметров профиля> Рабочий профиль и Разделы Пароля.>

Дополнительные сведения см. в статье Параметры устройств Android Enterprise для разрешения или ограничения функций на личных устройствах с помощью Intune.

Применимо к:

• Рабочий профиль Android Enterprise

Использование расширений приложений единого входа в других приложениях iOS/iPadOS с подключаемым модулем единого входа Microsoft Enterprise

Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple можно использовать со всеми приложениями, поддерживающими расширения приложений единого входа. В Intune эта функция означает, что подключаемый модуль работает с мобильными приложениями iOS/iPadOS, которые не используют библиотеку проверки подлинности Майкрософт (MSAL) для устройств Apple. Приложениям не нужно использовать MSAL, но они должны проходить проверку подлинности с помощью Microsoft Entra конечных точек.

Чтобы настроить в приложениях iOS/iPadOS использование единого входа с подключаемым модулем, добавьте идентификаторы пакета приложений в профиль конфигурации iOS/iPadOS (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Функции устройства для расширения >>приложения единого входаMicrosoft Entra ID для расширения приложения единого > входа Идентификаторы).

Чтобы просмотреть текущие параметры расширения приложения единого входа, которые можно настроить, перейдите в раздел Расширение приложения для единого входа.

Применимо к:

• iOS/iPadOS

Новая версия соединителя сертификатов PFX и изменения для поддержки профиля сертификата PKCS

Мы выпустили новую версию соединителя сертификатов PFX версии 6.2008.60.607. В новой версии соединителя:

• Поддерживает профили сертификатов PKCS на всех поддерживаемых платформах, кроме Windows 8.1

  Мы объединили всю поддержку PCKS в соединителе сертификатов PFX. Таким образом, если вы не используете SCEP в своей среде и не используете NDES для других намерений, вы можете удалить соединитель сертификатов Майкрософт и NDES из своей среды.

• Так как функции соединителя сертификатов Майкрософт не были удалены, вы можете продолжать использовать их для поддержки профилей сертификатов PKCS.

• Поддерживает отзыв сертификатов для Outlook S/MIME

• Требуется платформа .NET Framework 4.7.2

Дополнительные сведения о соединителях сертификатов, включая список выпусков соединителей для обоих соединителей сертификатов, см. в разделе Соединители сертификатов.

Управление устройствами

Присоединение клиента. Установка приложения из Центра администрирования

Теперь вы можете инициировать установку приложения в режиме реального времени для подключенного к клиенту устройства из Центра администрирования Microsoft Intune. Дополнительные сведения см. в разделе Подключение клиента: установка приложения из Центра администрирования.

Безопасность устройств

Развертывание политики антивирусной программы безопасности конечных точек на подключенных к клиенту устройствах (предварительная версия)

В качестве предварительной версии можно развернуть политику безопасности конечных точек для антивирусной программы на устройствах, которыми вы управляете с помощью Configuration Manager. Для этого сценария необходимо настроить подключение клиента между поддерживаемой версией Configuration Manager и подпиской Intune. Поддерживаются следующие версии Configuration Manager:

• Configuration Manager current branch 2006

Дополнительные сведения см. в [требованиях к политикам безопасности Intune конечных точек](.. /protect/tenant-attach-intune.md# requirements-for-intune-endpoint-security-policies) для поддержки подключения клиента.

Изменения для исключений политики антивирусной программы безопасности конечных точек

Мы ввели два изменения для управления списками исключений антивирусной Microsoft Defender, которые вы настраиваете в рамках политики антивирусной защиты конечных точек. Изменения помогают предотвратить конфликты между различными политиками и устранить конфликты списков исключений, которые могут существовать в ранее развернутых политиках.

Оба изменения применяются к параметрам политики для следующих Microsoft Defender поставщиков служб конфигурации антивирусной программы (CSP):

• Defender/ExcludedPaths
• Defender/ExcludedExtensions
• Defender/ExcludedProcesses

Ниже приведены следующие изменения:

• Новый тип профиля: исключения антивирусной программы Microsoft Defender. Используйте этот новый тип профиля для Windows 10 и более поздних версий, чтобы определить политику, ориентированную только на исключения антивирусной программы. Этот профиль помогает упростить управление списками исключений, отделяя их от других конфигураций политик.

  К исключениям, которые можно настроить, относятся процессы Defender, расширения файлов, а также файлы и папки, которые вы не хотите Microsoft Defender сканировать.

• Слияние политик— Intune теперь объединяет список исключений, определенных в отдельных профилях, в единый список исключений, применяемых к каждому устройству или пользователю. Например, если вы нацеливаетесь на пользователя с тремя отдельными политиками, списки исключений из этих трех политик объединяются в один надмножество Microsoft Defender исключений антивирусной программы, которые затем применяются к этому пользователю.

Импорт и экспорт списков диапазонов адресов для правил брандмауэра Windows

Добавлена поддержка импорта или экспорта списка диапазонов адресов с помощью .csv файлов в профиле правил брандмауэра Microsoft Defender в политике брандмауэра для безопасности конечных точек. Следующие параметры правил брандмауэра Windows теперь поддерживают импорт и экспорт:

• Диапазоны локальных адресов
• Диапазоны удаленных адресов

Мы также улучшили проверку как локальной, так и удаленной записи диапазона адресов, чтобы предотвратить дублирование или недопустимые записи.

Дополнительные сведения об этих параметрах см. в разделе Параметры для правил брандмауэра Microsoft Defender.

Настройка состояния соответствия устройств от сторонних поставщиков MDM

Intune теперь поддерживает сторонние решения MDM в качестве источника сведений о соответствии устройств. Эти сторонние данные о соответствии требованиям можно использовать для применения политик условного доступа для приложений Microsoft 365 в iOS и Android путем интеграции с Microsoft Intune. Intune оценивает сведения о соответствии от стороннего поставщика, чтобы определить, является ли устройство доверенным, а затем задает атрибуты условного доступа в Microsoft Entra ID. Вы продолжите создавать политики условного доступа Microsoft Entra в Центре администрирования Microsoft Intune или в Центр администрирования Microsoft Entra.

В этом выпуске поддерживаются следующие сторонние поставщики MDM в качестве общедоступной предварительной версии:

• VMware Workspace ONE UEM (ранее известный как AirWatch)

Это обновление развертывается для клиентов по всему миру. Эта возможность должна появиться в течение следующей недели.

Приложения Intune

Пользовательское изображение торговой марки теперь отображается на странице профиля windows Корпоративный портал

Администратор Microsoft Intune может отправить пользовательское изображение торговой марки в Intune. Это изображение отображается в качестве фонового изображения на странице профиля пользователя в приложении windows Корпоративный портал. Дополнительные сведения см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Июль 2020 г.

Управление приложениями

Обновление значков устройств в приложениях Корпоративный портал и Intune на Android

Мы обновили значки устройств в Корпоративный портал и Intune приложения на устройствах Android, чтобы создать более современный внешний вид и обеспечить соответствие система Fluent Design Майкрософт. Дополнительные сведения см. в разделе Обновление до значков в приложении Корпоративный портал для iOS/iPadOS и macOS.

Поддержка локального соединителя Exchange

Intune удаляет поддержку функции локального соединителя Exchange из службы Intune начиная с выпуска 2007 года (июль). Существующие клиенты с активным соединителем могут продолжить работу с текущими функциональными возможностями в настоящее время. Новые клиенты и существующие клиенты, у которых нет активного соединителя, больше не смогут создавать новые соединители или управлять устройствами Exchange ActiveSync (EAS) из Intune. Для этих клиентов корпорация Майкрософт рекомендует использовать гибридную современную проверку подлинности Exchange (HMA) для защиты доступа к локальной среде Exchange. HMA включает политики Защиты приложений Intune (также известные как MAM) и условный доступ с помощью Outlook Mobile для локальной организации Exchange.

S/MIME для устройств Outlook на устройствах iOS и Android без регистрации

Теперь вы можете включить S/MIME для устройств Outlook на устройствах iOS и Android с помощью политики конфигурации приложений для управляемых приложений. Эта функция позволяет выполнять доставку политик независимо от состояния регистрации устройства. В центре администрирования Microsoft Intune выберите Приложения>Политики конфигурации приложений>Добавить>управляемые приложения. Кроме того, вы можете выбрать, следует ли разрешить пользователям изменять этот параметр в Outlook. Однако для автоматического развертывания сертификатов S/MIME в Outlook для iOS и Android необходимо зарегистрировать устройство. Общие сведения о S/MIME см. в статье Общие сведения о S/MIME для подписывания и шифрования электронной почты в Intune. Дополнительные сведения о параметрах конфигурации Outlook см. в разделах Параметры конфигурации Microsoft Outlook и Добавление политик конфигурации приложений для управляемых приложений без регистрации устройств. Сведения о Outlook для iOS и Android S/MIME см. в разделах Сценарии S/MIME и Ключи конфигурации — параметры S/MIME.

Конфигурация устройства

Новые параметры VPN для Windows 10 и более новых устройств

При создании профиля VPN с помощью типа подключения IKEv2 можно настроить новые параметры (Конфигурация>устройств>Create>Windows 10 и более поздних версий для VPN платформы > для базового VPN профиля:>

• Device Tunnel. Позволяет устройствам автоматически подключаться к VPN без какого-либо взаимодействия с пользователем, включая вход пользователя. Эта функция требует включения Always On и использования сертификатов компьютера в качестве метода проверки подлинности.
• Параметры набора шифрования. Настройте алгоритмы, используемые для защиты IKE и дочерних связей безопасности, которые позволяют сопоставлять параметры клиента и сервера.

Чтобы просмотреть параметры, которые можно настроить, перейдите в раздел Параметры устройства Windows, чтобы добавить VPN-подключения с помощью Intune.

Применимо к:

• Windows 10 и более новые версии

Настройка дополнительных параметров Microsoft Launcher в профиле ограничений устройств на устройствах Android Enterprise (COBO)

На полностью управляемых устройствах Android Enterprise можно настроить дополнительные параметры Microsoft Launcher с помощью профиля ограничений устройств (Конфигурация>устройств>Create>Android Enterprise для платформы >Только владелец> устройстваОграничения>устройств Интерфейс устройства>полностью управляется).

Чтобы просмотреть эти параметры, перейдите в раздел Параметры устройства Android Enterprise, чтобы разрешить или ограничить функции.

Вы также можете настроить параметры Microsoft Launcher с помощью профиля конфигурации приложения.

Применимо к:

• Полностью управляемые устройства владельца устройства Android Enterprise (COBO)

Новые возможности для Управляемый главный экран на выделенных устройствах владельца устройства Android Enterprise (COSU)

На устройствах Android Enterprise администраторы могут использовать профили конфигурации устройств для настройки Управляемый главный экран на выделенных устройствах с помощью режима киоска с несколькими приложениями (Конфигурация>устройств>Create>Android Enterprise дляплатформы> Ограничения только> для устройств владельца устройства для профиля >взаимодействие с устройствами>Выделенное устройство>с несколькими приложениями).

В частности, можно делать следующее.

• Настройка значков, изменение ориентации экрана и отображение уведомлений приложений на значках значков значков
• Скрытие ярлыка управляемых параметров
• Упрощенный доступ к меню отладки
• Create список разрешенных сетей Wi-Fi
• Упрощенный доступ к сведениям об устройстве

Дополнительные сведения см. в разделе Параметры устройства Android Enterprise для разрешения или ограничения функций и в этом блоге.

Применимо к:

• Владелец устройства Android Enterprise, выделенные устройства (COSU)

Административные шаблоны, обновленные для Microsoft Edge 84

Параметры ADMX, доступные для Microsoft Edge, обновлены. Теперь конечные пользователи могут настраивать и развертывать новые параметры ADMX, добавленные в Edge 84. Дополнительные сведения см. в заметках о выпуске Edge 84.

Регистрация устройства

iOS Корпоративный портал будет поддерживать автоматическую регистрацию устройств Apple без сопоставления пользователей

Теперь Корпоративный портал iOS поддерживается на устройствах, зарегистрированных с помощью автоматической регистрации устройств Apple без необходимости назначения пользователя. Пользователь может войти в Корпоративный портал iOS, чтобы зарегистрироваться в качестве основного пользователя на устройстве iOS/iPadOS, зарегистрированном без сопоставления устройств. Дополнительные сведения об автоматической регистрации устройств см. в статье Автоматическая регистрация устройств iOS/iPadOS с помощью автоматической регистрации устройств Apple.

Корпоративные устройства с личной поддержкой (предварительная версия)

Intune теперь поддерживает корпоративные устройства Android Enterprise с рабочим профилем для ос Android 8 и более поздних версий. Корпоративные устройства с рабочим профилем — это один из сценариев корпоративного управления в наборе решений Android Enterprise. Этот сценарий предназначен для устройств с одним пользователем, предназначенных для корпоративного и личного использования. Этот корпоративный сценарий с личной поддержкой (COPE) предлагает следующие возможности:

• контейнеризация рабочих и личных профилей
• Управление на уровне устройства для администраторов
• гарантия для конечных пользователей, что их персональные данные и приложения останутся частными;

Первый выпуск общедоступной предварительной версии будет включать подмножество функций, которые будут включены в общедоступный выпуск. Дополнительные функции будут добавлены на последовательной основе. Функции, которые будут доступны в первой предварительной версии:

• Регистрация. Администраторы могут создавать несколько профилей регистрации с уникальными маркерами, срок действия которого не истекает. Регистрация устройства может выполняться с помощью NFC, ввода маркера, QR-кода, Zero Touch или Knox Mobile Enrollment.
• Конфигурация устройства. Подмножество существующих полностью управляемых и выделенных параметров устройства.
• Соответствие устройств. Политики соответствия требованиям, доступные в настоящее время для полностью управляемых устройств.
• Действия с устройством: удаление устройства (сброс до заводских настроек), перезагрузка устройства и блокировка устройства.
• Управление приложениями: назначения приложений, конфигурация приложения и связанные с ними возможности создания отчетов
• Условный доступ

Дополнительные сведения о корпоративной версии с предварительным просмотром рабочего профиля см. в блоге службы поддержки.

Управление устройствами

Присоединение клиента: ConfigMgr сведения о клиенте в Центре администрирования (предварительная версия)

Теперь в Центре администрирования Microsoft Intune можно просмотреть сведения о клиенте ConfigMgr, включая коллекции, членство в группах границ и сведения о клиентах в режиме реального времени для определенного устройства. Дополнительные сведения см. в разделе Подключение клиента: ConfigMgr сведения о клиенте в Центре администрирования (предварительная версия).

Обновления к действию удаленной блокировки для устройств macOS

Изменения в действии удаленной блокировки для устройств macOS:

• Контакт восстановления отображается в течение 30 дней перед удалением (вместо семи дней).
• Если администратор открыл второй браузер и пытается снова запустить команду из другой вкладки или браузера, Intune позволяет выполнить команду. Но для состояния отчета задано значение Сбой, а не создание нового контакта.
• Администратору не разрешено выдавать другую команду удаленной блокировки, если предыдущая команда все еще находится в ожидании или если устройство не вернулось обратно. Эти изменения предназначены для предотвращения перезаписи правильного пин-кода после нескольких команд удаленной блокировки.

Отчет о действиях устройства различает очистку и защищенную очистку

В отчете Действия устройства теперь различаются действия очистки и защищенной очистки. Чтобы просмотреть отчет, перейдите в Microsoft Intune Центр> администрированияУстройства>мониторинг>действий устройств (в разделе Другое).

Безопасность устройств

предварительная версия средства миграции правил брандмауэра Microsoft Defender

В качестве общедоступной предварительной версии мы работаем над средством на основе PowerShell, которое будет переносить правила брандмауэра Microsoft Defender. При установке и запуске средства автоматически создаются политики правил брандмауэра для безопасности конечных точек для Intune. Правила основаны на текущей конфигурации клиента Windows 10. Дополнительные сведения см. в статье Общие сведения о средстве миграции правил брандмауэра безопасности конечных точек.

Политика обнаружения конечных точек и реагирования для подключения устройств, подключенных к клиенту, к Microsoft Defender для конечной точки является общедоступной

В рамках безопасности конечных точек в Intune политики обнаружения конечных точек и реагирования (EDR) для использования с устройствами, управляемыми Configuration Manager, являются общедоступными.

Чтобы использовать политику EDR с устройствами из поддерживаемой версии Configuration Manager, настройте подключение клиента для Configuration Manager. После завершения настройки подключения клиента можно развернуть политики EDR для подключения устройств, управляемых Configuration Manager, к Microsoft Defender для конечной точки.

Параметры Bluetooth доступны в профилях управления устройствами для политики сокращения направлений атак с безопасностью конечных точек.

Мы добавили параметры для управления Bluetooth на Windows 10 устройствах в профиль управления устройствамидля политики сокращения направлений атак безопасности конечных точек. Эти параметры являются теми же параметрами, которые были доступны в профилях ограничений устройств для конфигурации устройства.

Управление исходными расположениями для обновлений определений с помощью политики антивирусной защиты конечных точек для Windows 10 устройств

Существуют новые параметры для Обновления категории антивирусной политики безопасности конечных точек для Windows 10 устройств. Эти параметры помогут вам управлять тем, как устройства получают определения обновлений:

• Определение общих папок для скачивания обновлений определений
• Определение порядка источников для скачивания обновлений определений

С помощью новых параметров можно добавить общие папки UNC в качестве исходных расположений для скачивания для обновлений определений и определить порядок связи с различными исходными расположениями.

Узел улучшенных базовых показателей безопасности

Мы внесли некоторые изменения, чтобы повысить удобство использования узла базовых показателей безопасности в Центре администрирования Microsoft Intune. Теперь при детализации вразделе Базовые показатели безопасности>конечных точек, а затем выберите тип базовых показателей безопасности, например базовый план безопасности MDM, появится панель Профили. В области Профили отображаются профили, созданные для этого типа Базовый план. Ранее в консоли была панель "Обзор", которая включала сводку агрегированных данных, которая не всегда соответствовала сведениям в отчетах для отдельных профилей.

Без изменений в области Профили можно выбрать профиль для детализации, чтобы просмотреть свойства профилей и различные отчеты, доступные в разделе Монитор. Аналогичным образом, на том же уровне, что и профили, вы по-прежнему можете выбрать Версии , чтобы просмотреть различные версии этого типа профиля, который вы развернули. При детализации до версии вы также получаете доступ к отчетам, похожим на отчеты профиля.

Поддержка производных учетных данных для Windows

Теперь вы можете использовать производные учетные данные с устройствами Windows. Эта функция расширяет существующую поддержку iOS/iPadOS и Android и будет доступна для одних и те же поставщиков производных учетных данных:

• Entrust
• Intercede
• DISA Purebred

Поддержка для Widows включает использование производных учетных данных для проверки подлинности Wi-Fi или профилей VPN. Для устройств Windows производные учетные данные выдаются из клиентского приложения, предоставленного поставщиком производных учетных данных, который вы используете.

Управление шифрованием FileVault для устройств, зашифрованных пользователем устройства, а не Intune

Intune теперь можно использовать для управления шифрованием дисков FileVault на устройстве macOS, зашифрованном пользователем устройства, а не политикой Intune. Для этого сценария требуются:

• Устройство для получения политики шифрования дисков от Intune, которое включает FileVault.
• Пользователь устройства, который будет использовать веб-сайт Корпоративный портал для отправки личного ключа восстановления для зашифрованного устройства в Intune. Чтобы отправить ключ, они выбирают параметр Сохранить ключ восстановления для зашифрованного устройства macOS.

После того как пользователь отправит свой ключ восстановления, Intune сменит ключ, чтобы убедиться, что ключ действителен. Intune теперь может управлять ключом и шифрованием, как если бы она использовала политику для шифрования устройства напрямую. Если пользователю потребуется восстановить свое устройство, он может получить доступ к ключу восстановления с помощью любого устройства из следующих расположений:

• веб-сайт Корпоративный портал
• Приложение Корпоративный портал для iOS/iPadOS
• Приложение Корпоративный портал для Android
• Приложение Intune

Скрытие личного ключа восстановления от пользователя устройства во время шифрования диска FileVault в macOS

При использовании политики безопасности конечной точки для настройки шифрования дисков fileVault macOS используйте параметр Скрыть ключ восстановления , чтобы предотвратить отображение личного ключа восстановления для пользователя устройства во время шифрования устройства. Скрывая ключ во время шифрования, вы можете обеспечить его безопасность, так как пользователи не смогут записать его во время ожидания шифрования устройства.

Позже, если потребуется восстановление, пользователь может использовать любое устройство для просмотра своего личного ключа восстановления с помощью параметров:

• веб-сайт Корпоративный портал Intune
• Приложение iOS/iPadOS Корпоративный портал
• Приложение android Корпоративный портал
• Приложение Intune

Улучшенное представление сведений о базовых показателях безопасности для устройств

Теперь вы можете детализировать сведения об устройстве, чтобы просмотреть сведения о параметрах базовых показателей безопасности, которые применяются к устройству. Параметры отображаются в простом неструктурированном списке, который включает категорию параметров, имя параметра и состояние. Дополнительные сведения см. в разделе Просмотр конфигураций безопасности конечных точек на устройство.

Управление и устранение неполадок

Журналы соответствия устройств теперь на английском языке

В журналах Intune DeviceComplianceOrg ранее были перечисления только для ComplianceState, OwnerType и DeviceHealthThreatLevel. Теперь эти журналы содержат сведения на английском языке в столбцах.

Шаблон отчета о соответствии Power BI версии 2.0

Приложения-шаблоны Power BI позволяют партнерам Power BI создавать приложения Power BI практически без написания кода и развертывать их для любого клиента Power BI. Администраторы могут обновить версию шаблона отчета о соответствии Power BI с версии 1.0 до версии 2.0. Версия 2.0 включает улучшенную структуру и изменения в вычислениях и данных, которые отображаются в рамках шаблона. Дополнительные сведения см. в разделах Подключение к Data Warehouse с помощью Power BI и Обновление приложения-шаблона. Кроме того, см. запись блога Объявление новой версии отчета о соответствии Power BI с помощью Intune Data Warehouse.

Управление доступом на основе ролей

Назначение профиля и изменение разрешений на обновление профиля

Для параметра Назначение профиля и обновление профиля для потока автоматической регистрации устройств изменены разрешения на управление доступом на основе ролей:

Назначение профиля. Администраторы с этим разрешением также могут назначать профили маркерам, а профиль по умолчанию — маркеру для автоматической регистрации устройств.

Обновление профиля. Администраторы с этим разрешением могут обновлять существующие профили только для автоматической регистрации устройств.

Чтобы просмотреть эти роли, перейдите в Microsoft Intune Центр>администрирования>> Роли клиентаВсе роли>Create>Роли> клиентов.

Скрипты

свойства Data Warehouse версии 1.0

Дополнительные свойства доступны с помощью Intune Data Warehouse версии 1.0. Следующие свойства теперь предоставляются через сущность devices :

• ethernetMacAddress — уникальный сетевой идентификатор этого устройства.
• office365Version — Версия Microsoft 365, установленная на устройстве.

Следующие свойства теперь предоставляются через сущность devicePropertyHistories :

• physicalMemoryInBytes — физическая память в байтах.
• totalStorageSpaceInBytes — общая емкость хранилища в байтах.

Дополнительные сведения см. в разделе API Microsoft Intune Data Warehouse.

Июнь 2020 г.

Управление приложениями

Защита передачи телекоммуникационных данных для управляемых приложений

При обнаружении гиперссыленного номера телефона в защищенном приложении Intune проверка, если назначенная политика защиты приложений разрешает перенос номера в приложение абонента. Вы можете выбрать способ обработки этого типа передачи содержимого, когда он инициируется из приложения, управляемого политикой. При создании политики защиты приложений в Microsoft Intune выберите параметр управляемого приложения в разделе Отправка данных организации в другие приложения, а затем выберите параметр Передача телекоммуникационных данных в. Дополнительные сведения об этом параметре защиты данных см. в разделе Параметры политики защиты приложений Android в Microsoft Intune и параметры политики защиты приложений iOS.

Унифицированная доставка приложений Microsoft Entra Enterprise и Office Online в Windows Корпоративный портал

В области Настройка Intune можно выбрать скрыть или показатькак Microsoft Entra корпоративные приложения, так и приложения Office Online в Корпоративный портал. Каждый пользователь видит весь каталог приложений из выбранной службы Майкрософт. По умолчанию для каждого источника приложения будет задано значение Скрыть. Эта функция сначала войдет в силу на веб-сайте Корпоративный портал с поддержкой в windows Корпоративный портал, как ожидается, будет следовать. В Центре администрирования Microsoft Intune выберитеНастройкаадминистрирования> клиента, чтобы найти этот параметр конфигурации. Дополнительные сведения см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Улучшения в Корпоративный портал для процесса регистрации macOS

Корпоративный портал для процесса регистрации macOS имеет более простой процесс регистрации, который более тесно соответствует корпоративному порталу для регистрации устройств iOS. Пользователи устройств увидят:

• Более изящный пользовательский интерфейс.
• Улучшенный контрольный список регистрации.
• Более четкие инструкции по регистрации устройств.
• Улучшенные способы устранения неполадок.

Дополнительные сведения о Корпоративный портал см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Улучшения страницы "Устройства" на корпоративных порталах iOS/iPadOS и macOS

Мы внесли изменения на страницу Корпоративный портал устройства, чтобы улучшить работу приложений для пользователей iOS/iPadOS и Mac. Помимо создания более современного внешнего вида, мы реорганизовали сведения об устройстве в одном столбце с определенными заголовками разделов, чтобы пользователям было проще видеть состояние устройства. Мы также добавили более четкие действия по обмену сообщениями и устранению неполадок для пользователей, чьи устройства не соответствуют требованиям. Дополнительные сведения о Корпоративный портал см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune. Сведения о синхронизации устройства вручную см. в статье Синхронизация устройства iOS вручную.

Параметр облака для приложения iOS/iPadOS Корпоративный портал

Новый параметр облака для Корпоративный портал iOS/iPadOS позволяет пользователям перенаправлять проверку подлинности в соответствующее облако вашей организации. По умолчанию для параметра задано значение Автоматически, которое направляет проверку подлинности в облако, которое автоматически обнаруживается устройством пользователя. Если проверка подлинности для вашей организации должна быть перенаправлена в облако, отличное от облака, которое обнаруживается автоматически (например, общедоступное или для государственных организаций), пользователи могут вручную выбрать соответствующее облако, выбрав приложение >"Параметры"Корпоративный портал>Cloud. Пользователям следует изменить параметр "Облако " на "Автоматически", только если они входят с другого устройства и соответствующее облако не обнаруживается автоматически.

Дублирование токенов Apple VPP

Токены Apple VPP с тем же расположением маркера теперь помечаются как дублирующиеся и могут быть синхронизированы снова при удалении повторяющегося маркера. Вы по-прежнему можете назначать и отменять лицензии для токенов, помеченных как повторяющиеся. Однако лицензии для новых приложений и книг, приобретенных, могут не отображаться после пометки маркера как дубликата. Чтобы найти токены Apple VPP для клиента, в центре администрирования Microsoft Intune выберите Соединители администрирования> клиентови токены Токены>Apple VPP. Дополнительные сведения о токенах VPP см. в статье Управление приложениями iOS и macOS, приобретенными по программе Apple Volume Purchase Program, с помощью Microsoft Intune.

Обновления информационный экран в Корпоративный портал для iOS/iPadOS

Обновлен информационный экран в Корпоративный портал для iOS/iPadOS, чтобы лучше объяснить, что администратор может видеть и делать на устройствах. Эти уточнения касаются только корпоративных устройств. Был изменен только текст; фактические изменения того, что администратор может просматривать и делать на устройствах пользователей, отсутствовали. Чтобы просмотреть обновленные экраны, перейдите в раздел Обновления пользовательского интерфейса для Intune приложений конечных пользователей.

Обновленный интерфейс условного запуска приложений Android для конечных пользователей

Выпуск Android Корпоративный портал 2006 года содержит изменения, которые создаются на основе обновлений выпуска 2005 года. В 2005 году мы развернули обновление, в котором конечные пользователи устройств Android, которым политика защиты приложений выдала предупреждение, блокировку или очистку, видят полную страницу сообщения с описанием причины предупреждения, блокировки или очистки, а также действий по устранению проблем. В 2006 году пользователи приложений Android, впервые назначаемые политике защиты приложений, будут приниматься через интерактивный поток для устранения проблем, которые приводят к блокировке доступа к приложениям.

Новые защищенные приложения для Intune

Теперь доступны следующие защищенные приложения:

• Видеоконференции BlueJeans
• Cisco Jabber для Intune
• Tableau Mobile для Intune
• ZERO для Intune

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Конфигурация устройства

Добавление нескольких корневых сертификатов для проверки подлинности EAP-TLS в профилях Wi-Fi на устройствах macOS

На устройствах macOS можно создать профиль Wi-Fi и выбрать тип проверки подлинности EAP (Конфигурация>устройств>Create>macOS для платформы >Wi-Fi для профиля, для параметра Тип Wi-Fi для профиля > для параметра Корпоративный).

Если для типа EAP задано значение EAP-TLS, EAP-TTLS или проверка подлинности PEAP , можно добавить несколько корневых сертификатов. Ранее можно было добавить только один корневой сертификат.

Дополнительные сведения о параметрах, которые можно настроить, см. в статье Добавление параметров Wi-Fi для устройств macOS в Microsoft Intune.

Применимо к:

• macOS

Использование сертификатов PKCS с профилями Wi-Fi на Windows 10 и более новых устройствах

Вы можете проверить подлинность профилей Windows Wi-Fi с помощью сертификатов SCEP (Конфигурация>устройств>Create>Windows 10 и более поздних версий для платформы >Wi-Fi для типа > профиля Enterprise>EAP type). Теперь вы можете использовать сертификаты PKCS с профилями windows Wi-Fi. Эта функция позволяет пользователям проходить проверку подлинности Wi-Fi профилей с помощью новых или существующих профилей сертификатов PKCS в клиенте.

Дополнительные сведения о параметрах Wi-Fi, которые можно настроить, см. в статье Добавление Wi-Fi параметров для Windows 10 и более поздних устройств в Intune.

Применимо к:

• Windows 10 и более новые версии

Профили конфигурации устройств проводной сети для устройств macOS

Доступен новый профиль конфигурации устройства macOS, который настраивает проводные сети (конфигурация>устройств>Create>macOS для платформы >Проводная сеть для профиля). Используйте эту функцию для создания профилей 802.1x для управления проводными сетями и развертывания этих проводных сетей на устройствах macOS.

Дополнительные сведения об этой функции см. в разделе Проводные сети на устройствах macOS.

Применимо к:

• macOS

Использование Microsoft Launcher в качестве средства запуска по умолчанию для полностью управляемых устройств Android Enterprise

На устройствах владельца устройств Android Enterprise можно установить Microsoft Launcher в качестве средства запуска по умолчанию для полностью управляемых устройств (Конфигурация>устройств>Create>Android Enterprise для платформы >Ограничения устройства владельца>устройства для профиля >взаимодействия с устройствами). Чтобы настроить все остальные параметры Microsoft Launcher, используйте политики конфигурации приложений.

Кроме того, существуют некоторые другие обновления пользовательского интерфейса, в том числе выделенные устройства , переименованные в интерфейс устройства.

Чтобы просмотреть все параметры, которые можно ограничить, см. раздел Параметры устройства Android Enterprise для разрешения или ограничения функций с помощью Intune.

Применимо к:

• Полностью управляемые устройства владельца устройства Android Enterprise (COBO)

Использование параметров режима автономного единого приложения для настройки приложения Корпоративный портал iOS в приложение для входа и выхода

На устройствах iOS/iPadOS можно настроить запуск приложений в автономном режиме одного приложения (ASAM). Теперь приложение Корпоративный портал поддерживает ASAM и может быть настроено как приложение для входа и выхода. В этом режиме пользователи должны войти в приложение Корпоративный портал, чтобы использовать другие приложения и кнопку "Домой" на устройстве. При выходе из приложения Корпоративный портал устройство возвращается в режим одного приложения и блокирует приложение Корпоративный портал.

Чтобы настроить Корпоративный портал в ASAM, перейдите враздел Конфигурация>устройств>Create>iOS/iPadOS для ограничения платформы> Устройства для режима автономного> единого приложения профиля.

Дополнительные сведения см. в разделах Режим автономного одного приложения (ASAM) и режим одного приложения (открывается веб-сайт Apple).

Применимо к:

• iOS/iPadOS

Настройка кэширования содержимого на устройствах macOS

На устройствах macOS можно создать профиль конфигурации, который настраивает кэширование содержимого (Конфигурация>устройств>Create>macOS для платформы >Функции устройства для профиля). Используйте эти параметры, чтобы удалить кэш, разрешить общий кэш, установить ограничение кэша на диске и многое другое.

Дополнительные сведения о кэшировании содержимого см. в разделе ContentCaching (открывается веб-сайт Apple).

Чтобы просмотреть параметры, которые можно настроить, перейдите к разделу Параметры функций устройства macOS в Intune.

Применимо к:

• macOS

Добавление новых параметров схемы и поиск существующих параметров схемы с помощью OEMConfig в Android Enterprise

В Intune можно использовать OEMConfig для управления параметрами на устройствах Android Enterprise (Конфигурация>устройств>Create>Android Enterprise для платформы >OEMConfig для профиля). При использовании конструктора конфигураций отображаются свойства схемы приложения. Теперь в конструкторе конфигураций можно:

• Добавьте новые параметры в схему приложения.
• Поиск для новых и существующих параметров в схеме приложения.

Дополнительные сведения о профилях OEMConfig в Intune см. в статье Использование устройств Android Enterprise и управление ими с ПОМОЩЬЮ OEMConfig в Microsoft Intune.

Применимо к:

• Android Enterprise

Блокировка временных сеансов общего iPad на общих устройствах iPad

В Intune есть новый параметр Блокировать общие временные сеансы iPad, который блокирует временные сеансы на общих устройствах iPad (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для профиля типа >"Общий iPad"). Если этот параметр включен, конечные пользователи не смогут использовать учетную запись гостя. Они должны войти на устройство с управляемым идентификатором Apple и паролем.

Дополнительные сведения см. в разделе Параметры устройства iOS и iPadOS для разрешения или ограничения функций.

Применимо к:

• Общие устройства iPad под управлением iOS/iPadOS 13.4 и более поздней версии

Регистрация устройства

Перенос собственных устройств может использовать VPN для развертывания

Новый переключатель "Пропустить проверку подключения к домену" профиля Autopilot позволяет развертывать Microsoft Entra устройства гибридного присоединения без доступа к корпоративной сети с помощью vpn-клиента Win32 стороннего или партнерского поставщика. Чтобы просмотреть новый переключатель, перейдите в Microsoft Intune Центр> администрированияУстройства> WindowsПрофили> развертываниярегистрации>Windows>Create профиль>Встроенный интерфейс (OOBE).

Профили страницы состояния регистрации можно задать для групп устройств

Ранее профили страницы состояния регистрации (ESP) могли быть предназначены только для групп пользователей. Теперь вы также можете задать для них целевые группы устройств. Дополнительные сведения см. в разделе Настройка страницы состояния регистрации.

Ошибки автоматической синхронизации регистрации устройств

Новые ошибки будут сообщаться для устройств iOS/iPadOS и macOS, включая

• Недопустимые символы в номере телефона или если поле пусто.
• Недопустимое или пустое имя конфигурации для профиля.
• Недопустимое или истекающее значение курсора или значение, если курсор не найден.
• Маркер отклонен или истек.
• Поле "Отдел" пусто или слишком длинное.
• Профиль не найден Компанией Apple, и необходимо создать новый профиль.
• Количество удаленных устройств Apple Business Manager будет добавлено на страницу обзора, где отображается состояние устройств.

Общие iPad для бизнеса

Вы можете использовать Intune и Apple Business Manager, чтобы легко и безопасно настроить общий iPad, чтобы несколько сотрудников могли совместно использовать устройства. Общий iPad от Apple предоставляет персонализированный интерфейс для нескольких пользователей, сохраняя пользовательские данные. С помощью управляемого идентификатора Apple ID пользователи могут получить доступ к своим приложениям, данным и параметрам после входа в любой общий iPad в своей организации. Общий iPad работает с федеративными удостоверениями.

Чтобы увидеть эту функцию, перейдите в Microsoft Intune центре> администрированияУстройства>iOS> регистрациятокены> программы регистрацииiOS>выберите маркер>Профили>Create профиль>iOS. На странице Параметры управления выберите Регистрация без сопоставления пользователей , и вы увидите параметр Общий iPad .

Требуется: iPadOS 13.4 и более поздних версий. В этом выпуске добавлена поддержка временных сеансов с общим iPad, чтобы пользователи могли получить доступ к устройству без управляемого идентификатора Apple ID. После выхода устройство стирает все данные пользователя, чтобы устройство сразу же было готово к использованию, что устраняет необходимость в очистке устройства.

Обновленный пользовательский интерфейс для автоматической регистрации устройств Apple

Пользовательский интерфейс был обновлен, чтобы заменить программу регистрации устройств Apple на автоматическую регистрацию устройств, чтобы отразить терминологию Apple.

Управление устройствами

Пин-код удаленной блокировки устройства доступен для macOS

Доступность контактов удаленной блокировки для устройств macOS увеличена с 7 до 30 дней.

Изменение основного пользователя на совместно управляемых устройствах

Вы можете изменить основного пользователя устройства для совместно управляемых устройств Windows. Дополнительные сведения о том, как найти и изменить его, см. в статье Поиск основного пользователя Intune устройства. Эта функция будет развертываться постепенно в течение следующих нескольких недель.

Задание основного пользователя Intune также задает свойство владельца Microsoft Entra

Эта новая функция автоматически задает свойство владельца на вновь зарегистрированных Microsoft Entra гибридных присоединенных устройствах в то же время, когда задано Intune основного пользователя. Дополнительные сведения о основном пользователе см. в разделе Поиск основного пользователя Intune устройства.

Это поведение является изменением процесса регистрации и применяется только к новым зарегистрированным устройствам. Для существующих Microsoft Entra устройств с гибридным присоединением необходимо вручную обновить свойство Microsoft Entra Owner. Для обновления можно использовать функцию Изменить основного пользователя или скрипт.

Когда Windows 10 устройства становятся Microsoft Entra гибридным присоединением, первый пользователь устройства становится основным пользователем в Intune. В настоящее время пользователь не задан в соответствующем объекте устройства Microsoft Entra. Это приводит к несоответствию при сравнении свойства владельца из Центр администрирования Microsoft Entra с основным свойством пользователя в центре администрирования Microsoft Intune. Свойство владельца Microsoft Entra используется для защиты доступа к ключам восстановления BitLocker. Свойство не заполняется на Microsoft Entra устройствах с гибридным присоединением. Это ограничение предотвращает самостоятельную настройку восстановления BitLocker с Microsoft Entra ID. Эта предстоящая функция устраняет это ограничение.

Безопасность устройств

Скрытие ключа восстановления от пользователей во время шифрования FileVault 2 для устройств macOS

Мы добавили новый параметр в категорию FileVault в шаблоне macOS Endpoint Protection : Скрыть ключ восстановления. Этот параметр скрывает личный ключ от конечного пользователя во время шифрования FileVault 2.

Чтобы просмотреть личный ключ восстановления зашифрованного устройства macOS, пользователь устройства может перейти в любое из следующих расположений и выбрать получить ключ восстановления для устройства macOS:

• Приложение корпоративного портала iOS/iPadOS
• Приложение Intune
• Веб-сайт корпоративного портала
• Приложение корпоративного портала Android

Поддержка сертификатов подписывания и шифрования S/MIME с помощью Полностью управляемого приложения Outlook в Android

Теперь вы можете использовать сертификаты для подписывания и шифрования S/MIME с помощью Outlook на устройствах под управлением Android Enterprise Fully Managed.

Эта функция расширяет поддержку, добавленную в прошлом месяце для других версий Android (поддержка сертификатов подписывания и шифрования S/MIME в Outlook для Android). Эти сертификаты можно подготовить с помощью профилей импортированных сертификатов SCEP и PKCS.

Дополнительные сведения об этой поддержке см. в разделе Метка конфиденциальности и защита в Outlook для iOS и Android документации по Exchange.

Добавление ссылки на веб-сайт службы поддержки корпоративного портала в сообщения электронной почты о несоответствии

При настройке шаблона уведомления для отправки Уведомления по электронной почте за несоответствие используйте новый параметр Корпоративный портал Ссылка на веб-сайт, чтобы автоматически включить ссылку на веб-сайт Корпоративный портал. Если задано значение Включить, пользователи с несовместимыми устройствами, получающие электронную почту на основе этого шаблона, могут использовать ссылку, чтобы открыть веб-сайт, чтобы узнать больше о том, почему их устройство не соответствует требованиям.

Использование Microsoft Defender для конечной точки в политиках соответствия требованиям для Android

Теперь вы можете использовать Intune для подключения устройств Android к Microsoft for Endpoint. После подключения зарегистрированных устройств политики соответствия для Android могут использовать сигналы уровня угрозы от Microsoft Defender для конечной точки. Эти сигналы являются теми же сигналами, которые можно было использовать ранее для Windows 10 устройств.

Настройка веб-защиты Defender для конечной точки для устройств Android

При использовании Microsoft Defender для конечной точки для устройств Android можно настроить Microsoft Defender для конечной точки веб-защиту, чтобы отключить функцию проверки фишинга или запретить сканирование через VPN.

В зависимости от того, как устройство Android регистрируется в Intune, доступны следующие параметры:

• Администратор устройства Android. Используйте настраиваемые параметры OMA-URI, чтобы отключить функцию веб-защиты или отключить только vpn во время сканирования.
• Рабочий профиль Android Enterprise— используйте профиль конфигурации приложения и конструктор конфигураций, чтобы отключить все возможности веб-защиты.

Лицензирование

Администраторам больше не требуется лицензия Intune для доступа к центру администрирования Microsoft Intune

Теперь можно задать переключатель на уровне клиента, который удаляет требование Intune лицензии для администраторов для доступа к центру администрирования Intune и API графа запросов. После удаления требования к лицензии вы никогда не сможете восстановить его.

Примечание.

Для выполнения некоторых действий, включая поток соединителя Teamviewer, по-прежнему требуется лицензия на Intune.

Управление и устранение неполадок

Использование аналитики конечных точек для повышения производительности пользователей и снижения затрат на ИТ-поддержку

В течение следующей недели эта функция будет развернута. Аналитика конечных точек направлена на повышение производительности пользователей и снижение затрат на ИТ-поддержку за счет предоставления аналитических сведений о пользовательском интерфейсе. Эти полезные сведения позволяют ИТ-службе оптимизировать работу пользователей благодаря профилактической поддержке и обнаруживать регрессию во взаимодействии с пользователем, оценивая влияние изменений в конфигурации на пользователя. Дополнительные сведения см. в разделе Предварительная версия аналитики конечных точек.

Упреждающее устранение проблем с устройствами пользователей с помощью пакетов сценариев

Вы можете создавать и запускать пакеты сценариев на устройствах конечных пользователей, чтобы заблаговременно находить и устранять основные проблемы с поддержкой в организации. Развертывание пакетов скриптов поможет сократить количество обращений в службу поддержки. Выберите создание собственных пакетов скриптов или развертывание одного из пакетов скриптов, которые мы написали и использовали в нашей среде, чтобы сократить количество запросов в службу поддержки. Intune позволяет просматривать состояние развернутых пакетов скриптов и отслеживать результаты обнаружения и исправления. В центре администрирования Microsoft Intune выберите Отчеты>Аналитика конечных> точекупреждающие исправления. Дополнительные сведения см. в разделе Предупредительные меры.

Сценарии

Доступность сценариев оболочки на устройствах macOS

Скрипты оболочки для устройств macOS теперь доступны для клиентов облака для государственных организаций и Китая. Дополнительные сведения о сценариях оболочки см. в статье Использование сценариев оболочки на устройствах macOS в Intune.

Май 2020 г.

Управление приложениями

32-разрядные приложения Windows (x86) на устройствах ARM64

32-разрядные приложения Windows (x86), развернутые как доступные для устройств ARM64, теперь будут отображаться в Корпоративный портал. Дополнительные сведения о 32-разрядных приложениях Windows см. в статье Управление приложениями Win32.

Значок приложения Корпоративный портал Windows

Обновлен значок приложения windows Корпоративный портал. Дополнительные сведения о Корпоративный портал см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Обновление значков в приложении Корпоративного портала для iOS/iPadOS и macOS

Мы обновили значки на Корпоративном портале, чтобы улучшить вид на устройствах с двумя экранами и привести их в соответствие с дизайном интерфейса Microsoft Office Fluent. Чтобы просмотреть обновленные значки, перейдите в раздел Обновления пользовательского интерфейса для Intune приложений конечных пользователей.

Настройка действий самостоятельного устройства в Корпоративный портал

Вы можете настроить доступные действия устройств самообслуживания, которые отображаются для конечных пользователей в приложении и веб-сайте Корпоративный портал. Чтобы предотвратить непреднамеренные действия устройства, можно настроить эти параметры для приложения Корпоративный портал, выбравНастройкаадминистрирования> клиента. Доступны следующие действия:

• Скрыть кнопку Удалить на корпоративном устройстве с Windows.
• Скрыть кнопку Сброс на корпоративных устройствах с Windows.
• Скрыть кнопку Сброс на корпоративных устройствах iOS.
• Кнопка Скрыть удалить на корпоративных устройствах iOS. Дополнительные сведения см. в статье Действия пользователей с устройствами самообслуживания из Корпоративный портал.

Автоматическое обновление доступных приложений VPP

Приложения, опубликованные в рамках программы volume Purchase Program (VPP), будут автоматически обновляться при включении автоматического Обновления приложений для токена VPP. Ранее доступные приложения VPP не обновлялись автоматически. Вместо этого конечные пользователи должны были перейти к Корпоративный портал и переустановить приложение, если была доступна более новая версия. Необходимые приложения по-прежнему поддерживают автоматические обновления.

Взаимодействие с android Корпоративный портал

В выпуске Android Корпоративный портал 2005 года конечные пользователи устройств Android, которые получают предупреждение, блокировку или очистку с помощью политики защиты приложений, увидят новый пользовательский интерфейс. Вместо текущего диалогового окна конечные пользователи увидят полностраничные сообщения с описанием причины предупреждения, блокировки или очистки, а также действий по устранению проблемы. Дополнительные сведения см. в разделе защита приложений интерфейс для устройств Android и параметры политики защиты приложений Android в Microsoft Intune.

Поддержка нескольких учетных записей в Корпоративный портал для macOS

Теперь Корпоративный портал на устройствах macOS кэширует учетные записи пользователей, что упрощает вход. Пользователям больше не нужно входить в Корпоративный портал каждый раз, когда они запускают приложение. Кроме того, в Корпоративный портал будет отображаться средство выбора учетных записей, если кэшируются несколько учетных записей пользователей, чтобы пользователям не приходилось вводить свое имя пользователя.

Новые защищенные приложения

Теперь доступны следующие защищенные приложения:

• Board Papers
• Breezy для Intune
• Hearsay Relate for Intune
• Делегат ISEC7 Mobile Exchange для Intune
• Lexmark для Intune
• Meetio Enterprise
• Microsoft Whiteboard
• Теперь® mobile — Intune
• Qlik Sense Mobile
• Агент ServiceNow® — Intune
• Подключение ServiceNow® — Intune
• Smartcrypt для Intune
• Такт для Intune
• Ноль — электронная почта для адвокатов

Дополнительные сведения о защищенных приложениях см. в разделе Защищенные приложения Microsoft Intune.

Поиск Intune документации из Корпоративный портал

Теперь вы можете искать документацию по Intune непосредственно в приложении Корпоративный портал для macOS. В строке меню выберите Справка>Поиск и введите ключевые слова поиска, чтобы быстро найти ответы на свои вопросы.

Корпоративный портал для Android помогает пользователям получать приложения после регистрации рабочего профиля

Мы улучшили встроенное руководство по работе для Корпоративного портала, чтобы пользователи могли легко находить и устанавливать приложения. После регистрации для управления рабочим профилем пользователи получат сообщение о том, как найти рекомендуемые приложения в версии Google Play с эмблемой. Последний шаг при регистрации устройства с помощью профиля Android был обновлен для отображения нового сообщения. Пользователи также увидят новую ссылку Получить приложения на панели Корпоративного портала слева. Чтобы облегчить эти новые и улучшенные возможности, вкладка ПРИЛОЖЕНИЯ была удалена. Чтобы просмотреть обновленные экраны, перейдите в раздел Обновления пользовательского интерфейса для Intune приложений конечных пользователей.

Конфигурация устройства

Улучшения поддержки OEMConfig для устройств Zebra Technologies

Intune полностью поддерживает все функции, предоставляемые Zebra OEMConfig. Клиенты, управляющие устройствами Zebra Technologies с помощью Android Enterprise и OEMConfig, могут развернуть несколько профилей OEMConfig на одном устройстве. Клиенты также могут просматривать многофункциональные отчеты о состоянии своих профилей Zebra OEMConfig.

Дополнительные сведения см. в статье Развертывание нескольких профилей OEMConfig на устройствах Zebra в Microsoft Intune.

Поведение OEMConfig для других изготовителей оборудования не изменилось.

Применимо к:

• Android Enterprise
• Устройства Zebra Technologies, поддерживающие OEMConfig. Для получения дополнительных сведений о поддержке обратитесь в Zebra.

Настройка системных расширений на устройствах macOS

На устройствах macOS можно создать профиль расширений ядра, чтобы настроить параметры на уровне ядра (Конфигурация>устройств>macOS для платформы >Расширения ядра для профиля). Apple в конечном итоге устаревает расширения ядра и заменяет их системными расширениями в будущем выпуске.

Системные расширения выполняются в пользовательском пространстве и не имеют доступа к ядру. Цель состоит в том, чтобы повысить безопасность и обеспечить больший контроль конечных пользователей, одновременно ограничивая атаки на уровне ядра. Расширения ядра и системные расширения позволяют пользователям устанавливать расширения приложений, расширяющие собственные возможности операционной системы.

В Intune можно настроить как расширения ядра, так и системные расширения (конфигурация>устройств>macOS для платформы >Расширения системы для профиля). Расширения ядра применяются к версии 10.13.2 и более поздней версии. Системные расширения применяются к версии 10.15 и более поздней версии. От macOS 10.15 до macOS 10.15.4 расширения ядра и системные расширения могут работать параллельно.

Дополнительные сведения об этих расширениях на устройствах macOS см. в статье Добавление расширений macOS.

Применимо к:

• macOS 10.15 и более поздние версии.

Настройка параметров конфиденциальности приложений и обработки на устройствах macOS

С выпуском macOS Catalina 10.15 Компания Apple добавила новые улучшения безопасности и конфиденциальности. По умолчанию приложения и процессы не могут получить доступ к определенным данным без согласия пользователя. Если пользователи не предоставляют согласие, приложения и процессы могут не работать. Intune добавлена поддержка параметров, позволяющих ИТ-администраторам разрешать или запрещать согласие на доступ к данным от имени конечных пользователей на устройствах под управлением macOS 10.14 и более поздних версий. Эти параметры обеспечивают правильную работу приложений и процессов и сокращают количество запросов.

Дополнительные сведения о параметрах, которыми вы можете управлять, см. в разделе Параметры конфиденциальности macOS.

Применимо к:

• macOS 10.14 и более поздней версии

Регистрация устройства

Ограничения регистрации поддерживают теги область

Теперь вы можете назначать область теги ограничениям регистрации. Для этого перейдите Microsoft Intune Центр> администрирования Ограничениярегистрации>устройств>Create ограничение. Create любого типа ограничения, и вы увидите страницу Теги области. Дополнительные сведения см. в статье Установка ограничений регистрации.

Поддержка Autopilot для HoloLens 2 устройств

Windows Autopilot теперь поддерживает HoloLens 2 устройства. Дополнительные сведения об использовании Autopilot для HoloLens см. в статье Windows Autopilot для HoloLens 2.

Управление устройствами

Массовое использование удаленного действия синхронизации для iOS

Теперь вы можете использовать удаленное действие синхронизации на 100 устройствах iOS одновременно. Чтобы увидеть эту функцию, перейдите в Microsoft Intune Центр> администрированияУстройства>Все устройства>Массовые действия устройств.

Интервал автоматической синхронизации устройств до 12 часов

Для автоматической регистрации устройств Apple интервал автоматической синхронизации устройств между Intune и Apple Business Manager был сокращен с 24 часов до 12 часов. Дополнительные сведения о синхронизации см. в разделе Синхронизация управляемых устройств.

Безопасность устройств

Поддержка производных учетных данных для DISA Purebred на устройствах Android

Теперь вы можете использовать DISA Purebred в качестве поставщика производных учетных данных на полностью управляемых устройствах Android Enterprise. Поддержка включает получение производных учетных данных для DISA Purebred. Производные учетные данные можно использовать для проверки подлинности приложений, Wi-Fi, VPN или S/MIME для подписывания и (или) шифрования с приложениями, которые их поддерживают.

Отправка push-уведомлений в качестве действия для несоответствия

Теперь можно настроить действие для несоответствия , которое отправляет пользователю push-уведомление, если его устройство не соответствует условиям политики соответствия. Новое действие — Отправить push-уведомление конечному пользователю и поддерживает устройства Android и iOS.

Когда пользователи выбирают push-уведомление на своем устройстве, откроется приложение Корпоративный портал или Intune, чтобы отобразить сведения о том, почему они несоответствуют.

Содержимое безопасности конечной точки и новые функции

Теперь доступна документация по Intune Endpoint Security. В узле безопасность конечной точки Центра администрирования Microsoft Intune вы можете:

• Create и развертывание ориентированных политик безопасности на управляемых устройствах
• Настройка интеграции с Microsoft Defender для конечной точки и управление задачами безопасности помогают устранять риски для устройств, подверженных риску, как определено командой разработчиков Defender для конечной точки
• Настройка базовых конфигураций безопасности
• Управление соответствием устройств и политиками условного доступа
• Просмотр состояния соответствия для всех устройств как с Intune, так и с Configuration Manager, если Configuration Manager настроен для подключения клиента.

В дополнение к доступности содержимого в этом месяце в Endpoint Security появились следующие новые возможности:

• Политики безопасности конечных точекнедоступны для предварительнойверсии и теперь готовы к использованию в рабочих средах, как общедоступные, за двумя исключениями:

  • В новой общедоступной предварительной версии можно использовать профиль правил брандмауэра Microsoft Defender для политики брандмауэра Windows 10. С каждым экземпляром этого профиля можно настроить до 150 правил брандмауэра для дополнения профилей брандмауэра Microsoft Defender.
  • Политика безопасности защиты учетных записей остается в предварительной версии.

• Теперь можно создать дубликат политик безопасности конечных точек. Дубликаты сохраняют конфигурацию параметров исходной политики, но получают новое имя. Затем новый экземпляр политики не включает назначения группам, пока вы не измените новый экземпляр политики, чтобы добавить их. Можно дублировать следующие политики:

  • антивирусная программа
  • Шифрование диска
  • Брандмауэр
  • Обнаружение и нейтрализация атак на конечные точки
  • Сокращение направлений атак
  • Защита учетной записи

• Теперь можно создать дубликат базового плана безопасности. Дубликаты сохраняют конфигурацию параметров исходного базового плана, но получают новое имя. Новый базовый экземпляр не включает назначения группам, пока вы не измените новый экземпляр базового плана, чтобы добавить их.

• Доступен новый отчет о политике антивирусной программы безопасности конечных точек: Windows 10 неработоспособных конечных точек. Этот отчет является новой страницей, который можно выбрать при просмотре политики антивирусной защиты конечной точки. В отчете отображается состояние антивирусной программы Windows 10 устройств, управляемых MDM.

Поддержка сертификатов подписывания и шифрования S/MIME в Outlook для Android

Теперь вы можете использовать сертификаты для подписывания и шифрования S/MIME в Outlook для Android. Благодаря этой поддержке эти сертификаты можно подготавливать с помощью профилей импортированных сертификатов SCEP, PKCS и PKCS. Поддерживаются следующие платформы Android:

• Рабочий профиль Android Enterprise
• Администратор устройств Android

Скоро появится поддержка полностью управляемых устройств Android Enterprise.

Дополнительные сведения об этой поддержке см. в разделе Метка конфиденциальности и защита в Outlook для iOS и Android документации по Exchange.

Использование политики обнаружения конечных точек и реагирования для подключения устройств к Defender для конечной точки

Используйте политику безопасности конечных точек для обнаружения конечных точек и реагирования (EDR), чтобы подключить и настроить устройства для развертывания Microsoft Defender для конечной точки. EDR поддерживает политику для устройств Windows, управляемых Intune (MDM), и отдельную политику для устройств Windows, управляемых Configuration Manager.

Чтобы использовать политику для Configuration Manager устройств, необходимо настроить Configuration Manager для поддержки политики EDR. Настройка включает в себя:

• Настройте Configuration Manager для присоединения клиента.
• Установите обновление в консоли для Configuration Manager, чтобы включить поддержку политик EDR. Это обновление применяется только к иерархиям, в которых включено подключение клиента.
• Синхронизация коллекций устройств из иерархии в Центр администрирования Microsoft Intune.

Управление и устранение неполадок

Обновление пользовательского интерфейса отчетов устройств

В области обзора отчетов теперь будут представлены вкладка Сводка и Отчеты. В центре администрирования Microsoft Intune выберите Отчеты, а затем перейдите на вкладку Отчеты, чтобы просмотреть доступные типы отчетов. Дополнительные сведения см. в статье Отчеты Intune.

Скрипты

Поддержка сценариев macOS

Поддержка сценариев для macOS теперь общедоступна. Кроме того, мы добавили поддержку сценариев, назначаемых пользователем, и устройств macOS, которые были зарегистрированы с помощью автоматической регистрации устройств Apple (ранее — Программа регистрации устройств). Дополнительные сведения см. в статье Использование сценариев оболочки на устройствах macOS в Intune.

Управление приложениями

переименование Microsoft Office 365 профессиональный плюс

Microsoft Office 365 профессиональный плюс переименовываются в Приложения Microsoft 365 для предприятий. Дополнительные сведения см. в статье Изменение имени для Office 365 профессиональный плюс. В нашей документации мы обычно будем называть его Приложения Microsoft 365. В центре администрирования Microsoft Intune вы можете найти набор приложений, выбрав Приложения>Windows>Добавить. Сведения о добавлении приложений см. в статье Добавление приложений в Microsoft Intune.

Управление параметрами S/MIME для Outlook на устройствах Android Enterprise

Политики конфигурации приложений можно использовать для управления параметром S/MIME для Outlook на устройствах под управлением Android Enterprise. Вы также можете выбрать, разрешать или не разрешать пользователям устройств включать или отключать S/MIME в параметрах Outlook. Чтобы использовать политики конфигурации приложений для Android, в центре администрирования Microsoft Intune перейдите в раздел Политикиконфигурации приложений>>Добавление>управляемых устройств. Дополнительные сведения о настройке параметров Для Outlook см. в разделе Параметры конфигурации Microsoft Outlook.

Тестирование предварительной версии для управляемых приложений Google Play

Организации, использующие закрытые тестовые треки Google Play для предварительного тестирования приложений, могут управлять этими дорожками с помощью Intune. Вы можете выборочно назначать приложения, опубликованные в предварительных рабочих треках Google Play, пилотным группам для выполнения тестирования. В Intune вы можете узнать, опубликовано ли в приложении тестовое средство предварительной сборки, и назначить этот трек Microsoft Entra группам пользователей или устройств. Эта функция доступна для всех поддерживаемых в настоящее время сценариев Android Enterprise (рабочий профиль, полностью управляемый и выделенный). В центре администрирования Microsoft Intune можно добавить приложение Управляемое приложение Google Play, выбрав Приложения Android>>Добавить. Дополнительные сведения см. в статье Работа с управляемыми трассами закрытого тестирования Google Play.

Microsoft Teams теперь включен в Microsoft 365 для macOS

Пользователи, которым назначен Microsoft 365 для macOS в Microsoft Intune, теперь будут получать Microsoft Teams в дополнение к существующим приложениям Microsoft 365 (Word, Excel, PowerPoint, Outlook и OneNote). Intune распознает существующие устройства Mac, на которых установлены другие приложения Office для macOS. Затем он попытается установить Microsoft Teams при следующем входе устройства с Intune. В центре администрирования Microsoft Intune можно найти Office 365 Suite для macOS, выбрав Приложения>macOS>Добавить. Дополнительные сведения см. в статье Назначение Office 365 устройствам macOS с помощью Microsoft Intune.

Обновление политик конфигурации приложений Android

Политики конфигурации приложений Android были обновлены, чтобы администраторы могли выбирать тип регистрации устройства перед созданием профиля конфигурации приложения. Эта функция добавляется в учетную запись для профилей сертификатов, основанных на типе регистрации (рабочий профиль или владелец устройства).

В этом обновлении:

1. Если для типа регистрации устройства выбран новый профиль, а рабочий профиль и профиль владельца устройства выбраны, вы не сможете связать профиль сертификата с политикой конфигурации приложения.
2. Если создан новый профиль и выбран только рабочий профиль, можно использовать политики сертификатов рабочего профиля, созданные в разделе Конфигурация устройства.
3. Если создан новый профиль и выбран только владелец устройства, можно использовать политики сертификатов владельца устройства, созданные в разделе Конфигурация устройства.

Важно!

Существующие политики, созданные до выпуска этой функции (выпуск за апрель 2020 г. — 2004 г.), с которыми не связаны профили сертификатов, по умолчанию будут иметь значение Рабочий профиль и Профиль владельца устройства для типа регистрации устройства. Кроме того, существующие политики, созданные до выпуска этой функции с связанными с ними профилями сертификатов, по умолчанию будут иметь значение Только рабочий профиль.

Кроме того, мы добавляем профили конфигурации электронной почты Gmail и Nine, которые будут работать как для рабочих профилей, так и для типов регистрации владельца устройства, включая использование профилей сертификатов в обоих типах конфигурации электронной почты. Все политики Gmail или Девять, созданные в разделе Конфигурация устройства для рабочих профилей, будут по-прежнему применяться к устройству. Вы не перемещаете их в политики конфигурации приложений.

В Центре администрирования Microsoft Intune можно найти политики конфигурации приложений, выбрав Приложения>Политики конфигурации приложений. Дополнительные сведения о политиках конфигурации приложений см. в статье Политики конфигурации приложений для Microsoft Intune.

Push-уведомление об изменении типа владения устройством

Вы можете настроить push-уведомление для отправки пользователям Android и iOS Корпоративный портал при изменении типа владения устройством с личного на корпоративное в качестве конфиденциальности. По умолчанию для этого push-уведомления задано значение "Отключено". Этот параметр можно найти в Центре администрирования Microsoft Intune, выбравНастройкаадминистрирования> клиента. Дополнительные сведения о том, как владение устройством влияет на конечных пользователей, см. в статье Изменение владельца устройства.

Поддержка нацеливания на группы для области "Настройка"

Параметры в области Настройка можно нацелить на группы пользователей. Чтобы найти эти параметры в Intune, перейдите в центр администрирования Microsoft Intune и выберитеНастройкаадминистрирования> клиента. Дополнительные сведения о настройке см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

Конфигурация устройства

Несколько правил VPN по запросу "Оценка каждой попытки подключения", поддерживаемых в iOS, iPadOS и macOS

Пользовательский интерфейс Intune позволяет использовать несколько правил VPN по запросу в одном профиле VPN с действием Оценка каждой> попытки подключения (конфигурация>устройств>CreateiOS/iPadOS или macOS для vpn платформы > для профиля >Автоматическое VPN-подключение>по запросу).

Он выполнил только первое правило в списке. Это поведение исправлено, и Intune оценивает все правила в списке. Каждое правило оценивается в том порядке, в который оно отображается в списке правил по запросу.

Примечание.

Если у вас есть профили VPN, использующие эти правила VPN по запросу, исправление применяется при следующем изменении профиля VPN. Например, внесите незначительное изменение, например измените имя подключения, а затем сохраните профиль.

Если вы используете сертификаты SCEP для проверки подлинности, это изменение приведет к повторной выдаче сертификатов для этого профиля VPN.

Применимо к:

• iOS/iPadOS
• macOS

Дополнительные сведения о профилях VPN см. в разделе Create профили VPN.

Дополнительные параметры в профилях расширений приложений единого входа и единого входа на устройствах iOS/iPadOS

На устройствах iOS/iPadOS вы можете:

• В разделе Профили единого входа (Конфигурация>устройств>Create>iOS/iPadOS для функций платформы >Устройства для профиля >единого входа) задайте имя субъекта Kerberos в качестве имени учетной записи диспетчера учетных записей безопасности (SAM) в профилях единого входа.
• В разделе Профили расширений приложений единого входа (конфигурация>устройств>Create>iOS/iPadOS для платформы >Функции устройства для расширения приложения единого входа профиля>) настройте расширение Microsoft Entra iOS/iPadOS с меньшим количеством щелчков с помощью нового типа расширения приложения единого входа. Вы можете включить расширение Microsoft Entra для устройств в режиме общего устройства и отправить в расширение данные, относящиеся к расширению.

Применимо к:

• iOS/iPadOS 13.0+

Дополнительные сведения об использовании единого входа на устройствах iOS/iPadOS см. в разделах Общие сведения о расширении приложения единого входа и Список параметров единого входа.

Новые параметры скрипта оболочки для устройств macOS

При настройке скриптов оболочки для устройств macOS теперь можно настроить следующие новые параметры:

• Скрытие уведомлений скрипта на устройствах
• Частота скриптов
• Максимальное количество повторных попыток в случае сбоя скрипта

Дополнительные сведения см. в статье Использование сценариев оболочки на устройствах macOS в Intune.

Регистрация устройства

Удаление маркера автоматической регистрации устройств Apple при наличии профиля по умолчанию

Ранее не удавалось удалить профиль по умолчанию, что означало, что вы не могли удалить связанный с ним токен автоматической регистрации устройств. Теперь маркер можно удалить в следующих случаях:

• маркеру не назначены устройства
• Присутствует профиль по умолчанию. Для этого удалите профиль по умолчанию, а затем удалите связанный маркер. Дополнительные сведения см. в статье Удаление маркера ADE из Intune.

Масштабируемая поддержка автоматической регистрации устройств Apple и Apple Configurator 2 устройств, профилей и маркеров

Чтобы помочь распределенным ИТ-отделам и организациям, Intune теперь поддерживает до 1000 профилей регистрации на маркер, 2000 маркеров автоматической регистрации устройств (ранее — DEP) на учетную запись Intune и 75 000 устройств на маркер. Не существует определенного ограничения для устройств на профиль регистрации, ниже максимального количества устройств на токен.

Intune теперь поддерживает до 1000 профилей Apple Configurator 2.

Дополнительные сведения см. в разделе Ограничения.

Изменения в записи столбца страницы всех устройств

На странице Все устройства записи столбца Управляемые изменены:

• Intune теперь отображается вместо MDM
• Совместное управление теперь отображается вместо АГЕНТА MDM/ConfigMgr

Значения экспорта не изменяются.

Управление устройствами

Сведения о версии доверенного платформенного диспетчера (TPM) теперь на странице "Оборудование устройства"

Теперь номер версии доверенного платформенного модуля можно просмотреть на странице оборудования устройства (Microsoft Intune Центре> администрированияУстройства> выберите устройство >Вид оборудования> в разделе Корпус системы).

подключение клиента Microsoft Intune: синхронизация устройств и действия устройства

Microsoft Intune объединяет Configuration Manager и Intune в одну консоль. Начиная с Configuration Manager версии 2002, вы можете отправлять Configuration Manager устройства в облачную службу и выполнять действия с ними в Центре администрирования. Дополнительные сведения см. в разделе подключение клиента Microsoft Intune: синхронизация устройств и действия устройства.

Управление и устранение неполадок

Сбор журналов для улучшения устранения неполадок скриптов, назначенных устройствам macOS

Теперь вы можете собирать журналы для улучшения устранения неполадок скриптов, назначенных устройствам macOS. Вы можете собирать журналы размером до 60 МБ (сжатых) или 25 файлов, в зависимости от того, что произойдет первым. Дополнительные сведения см. в статье Устранение неполадок с политиками сценариев оболочки macOS с помощью сбора журналов.

Безопасность

Производные учетные данные для подготовки полностью управляемых устройств Android Enterprise с помощью сертификатов

Intune теперь поддерживает использование производных учетных данных в качестве метода проверки подлинности для устройств Android. Производные учетные данные — это реализация стандарта 800-157 Национального института стандартов и технологий (NIST) для развертывания сертификатов на устройствах. Поддержка Android расширяется на устройствах под управлением iOS/iPadOS.

Производные учетные данные зависят от использования карта проверки личных удостоверений (PIV) или общей карточки доступа (CAC), например смарт-карта. Чтобы получить производные учетные данные для своего мобильного устройства, пользователи запускают в приложении Microsoft Intune и следуют рабочему процессу регистрации, уникальному для используемого поставщика. Общим для всех поставщиков является требование использовать смарт-карта на компьютере для проверки подлинности в производном поставщике учетных данных. Затем этот поставщик выдает на устройство сертификат, производный от интеллектуальной карта пользователя.

Производные учетные данные можно использовать в качестве метода проверки подлинности для профилей конфигурации устройств для VPN и Wi-Fi. Их также можно использовать для проверки подлинности приложений, а также подписывания и шифрования S/MIME для приложений, поддерживающих эту функцию.

Intune теперь поддерживает следующие поставщики производных учетных данных в Android:

• Entrust
• Intercede

Третий поставщик, DISA Purebred, будет доступен для Android в будущем выпуске.

Базовые показатели безопасности Microsoft Edge теперь общедоступны

Теперь доступна новая версия базовых показателей безопасности Microsoft Edge , выпущенная как общедоступная версия. Предыдущий базовый план Microsoft Edge был в предварительной версии. Новая базовая версия — апрель 2020 г. (Microsoft Edge версии 80 и более поздних).

С выпуском этого нового базового плана вы больше не сможете создавать профили на основе предыдущих базовых версий, но вы можете продолжать использовать профили, созданные с этими версиями. Вы также можете обновить существующие профили, чтобы использовать последнюю базовую версию.

Март 2020 г.

Управление приложениями

Улучшен вход на Корпоративный портал для Android

Мы обновили макет нескольких экранов входа в приложении Корпоративного портала для Android, чтобы сделать интерфейс более современным, простым и аккуратным. Дополнительные сведения об улучшениях см. в статье Новые возможности пользовательского интерфейса приложения.

Настройка агента оптимизации доставки при скачивании содержимого приложения Win32

Агент оптимизации доставки можно настроить для скачивания содержимого приложения Win32 в фоновом режиме или режиме переднего плана на основе назначения. Для существующих приложений Win32 содержимое будет по-прежнему загружаться в фоновом режиме. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения> выберитеСвойства приложения >Win32. Выберите Изменить рядом с элементом Назначения. Измените назначение, выбрав Включить в разделе Обязательный режим. Новый параметр можно найти в разделе Параметры приложения . Дополнительные сведения об оптимизации доставки см. в разделе Управление приложениями Win32 — оптимизация доставки.

Корпоративный портал для iOS поддерживает альбомный режим

Теперь пользователи могут регистрировать свои устройства, находить приложения и получать ИТ-поддержку, используя ориентацию экрана по своему выбору. Приложение будет автоматически обнаруживать и настраивать экраны в соответствии с книжным или альбомным режимом, если только пользователи не заблокируют экран в книжном режиме.

Поддержка сценариев для устройств macOS (общедоступная предварительная версия)

Вы можете добавлять и развертывать скрипты на устройствах macOS. Эта поддержка расширяет возможности настройки устройств macOS за пределы возможностей mdm на устройствах macOS. Дополнительные сведения см. в статье Использование сценариев оболочки на устройствах macOS в Intune.

обновления Корпоративный портал macOS и iOS

В области Профиль Корпоративный портал macOS и iOS добавлена кнопка выхода. Кроме того, в области "Профиль" в Корпоративный портал macOS были внесены улучшения пользовательского интерфейса. Дополнительные сведения о Корпоративный портал см. в статье Настройка приложения Microsoft Intune Корпоративный портал.

Перенацеливать веб-клипы в Microsoft Edge на устройствах iOS

Недавно развернутые веб-клипы (закрепленные веб-приложения) на устройствах iOS, которые необходимо открыть в защищенном браузере, будут открываться в Microsoft Edge, а не в Intune Managed Browser. Необходимо перенацелить уже существующие веб-клипы, чтобы они были открыты в Microsoft Edge, а не в управляемом браузере. Дополнительные сведения см. в разделах Управление веб-доступом с помощью Microsoft Edge с Microsoft Intune и Добавление веб-приложений в Microsoft Intune.

Использование средства диагностики Intune с Microsoft Edge для Android

Microsoft Edge для Android теперь интегрирован с Intune средством диагностики. Как и в Microsoft Edge для iOS, ввод "about:intunehelp" в строку URL-адреса (поле адреса) Microsoft Edge на устройстве запустит средство диагностики Intune. Это средство предоставит подробные журналы. Пользователи могут собирать и отправлять эти журналы в ИТ-отдел или просматривать журналы MAM для определенных приложений.

Обновления для Intune фирменной символики и настройки

Мы обновили область Intune с именем "Фирменная символика и настройка", включив в нее следующие улучшения:

• Переименование области в Настройка.
• Улучшение организации и проектирования параметров.
• Улучшение текста и подсказок параметров.

Чтобы найти эти параметры в Intune, перейдите в центр администрирования Microsoft Intune и выберитеНастройкаадминистрирования> клиента. Сведения о существующей настройке см. в статье Настройка приложения Microsoft Intune Корпоративный портал.

Личный зашифрованный ключ восстановления пользователя

Доступна новая функция Intune, которая позволяет пользователям получать личные зашифрованные ключи восстановления FileVault для устройств Mac через приложение Android Корпоративный портал или приложение Android Intune. В приложении Корпоративный портал и в приложении Intune есть ссылка, которая откроет браузер Chrome на веб-Корпоративный портал где пользователь может увидеть ключ восстановления FileVault, необходимый для доступа к устройствам Mac. Дополнительные сведения о шифровании см. в статье Использование шифрования устройств с Intune.

Оптимизированная регистрация выделенного устройства

Мы оптимизируем регистрацию для выделенных устройств Android Enterprise и упрощаем применение сертификатов SCEP, связанных с Wi-Fi, на выделенных устройствах, зарегистрированных до 22 ноября 2019 г. Для новых регистраций приложение Intune будет продолжать устанавливаться, но конечным пользователям больше не нужно будет выполнять шаг Включить агент Intune во время регистрации. Установка происходит в фоновом режиме автоматически, и сертификаты SCEP, связанные с Wi-Fi, можно развернуть и задать без взаимодействия с пользователем.

Эти изменения развертываются поэтапно в течение марта по мере развертывания серверной части службы Intune. Все клиенты будут иметь это новое поведение к концу марта. Дополнительные сведения см. в разделе Поддержка сертификатов SCEP на выделенных устройствах Android Enterprise.

Конфигурация устройства

Новый пользовательский интерфейс при создании административных шаблонов на устройствах Windows

На основе отзывов клиентов и перехода на новый полноэкранный интерфейс Azure мы перестроили интерфейс профиля административных шаблонов с представлением папок. Мы не вносили изменений в параметры или существующие профили. Таким образом, существующие профили останутся прежними и будут доступны в новом представлении. Вы по-прежнему можете перемещаться по всем параметрам, выбрав Все параметры и используя поиск. Представление дерева разделено по конфигурациям компьютеров и пользователей. Параметры Windows, Office и Microsoft Edge находятся в связанных папках.

Применимо к:

• Windows 10 и более новые версии

Профили VPN с VPN-подключениями IKEv2 могут использовать всегда включено с устройствами iOS/iPadOS

На устройствах iOS/iPadOS можно создать профиль VPN, использующий подключение IKEv2 (Конфигурация>устройств>Create>iOS/iPadOS для vpn платформы > для типа профиля). Теперь вы можете настроить always-on с помощью IKEv2. После настройки профили VPN IKEv2 подключаются автоматически и остаются на связи (или быстро повторно подключаются) к VPN. Он остается на связи даже при перемещении между сетями или перезапуске устройств.

В iOS/iPadOS постоянная VPN ограничена профилями IKEv2.

Чтобы просмотреть параметры IKEv2, которые можно настроить, перейдите в раздел Добавление параметров VPN на устройствах iOS в Microsoft Intune.

Применимо к:

• iOS/iPadOS

Удаление пакетов и массивов пакетов в профилях конфигурации устройств OEMConfig на устройствах Android Enterprise

На устройствах Android Enterprise вы создаете и обновляете профили OEMConfig (Конфигурация>устройств>Create>Android Enterprise для платформы >OEMConfig для типа профиля). Теперь пользователи могут удалять пакеты и массивы пакетов с помощью конструктора конфигураций в Intune.

Дополнительные сведения о профилях OEMConfig см. в статье Использование устройств Android Enterprise и управление ими с помощью OEMConfig в Microsoft Intune.

Применимо к:

• Android Enterprise

Настройка расширения приложения единого входа для iOS/iPadOS Microsoft Entra

Команда Microsoft Entra создала расширение приложения единого входа (SSO) перенаправления, чтобы пользователи iOS/iPadOS 13.0+ могли получить доступ к приложениям и веб-сайтам Майкрософт с помощью одного входа. Все приложения, которые ранее выполняли проверку подлинности с помощью приложения Microsoft Authenticator, будут по-прежнему получать единый вход с помощью нового расширения единого входа. В выпуске расширения приложения Microsoft Entra единого входа вы можете настроить расширение единого входа с типом расширения приложения для перенаправления (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Функции устройства для типа > профиля Единый вход расширения приложения).

Применимо к:

• iOS 13.0 и более поздние версии.
• iPadOS 13.0 и более поздние версии.

Дополнительные сведения о расширениях приложений единого входа iOS см. в разделе Расширение приложения для единого входа.

Параметр изменения параметров доверия корпоративного приложения удаляется из профилей ограничений устройств iOS/iPadOS

На устройствах iOS/iPadOS создается профиль ограничений устройств (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для типа профиля). Параметр изменения параметров доверия корпоративного приложения удаляется Apple и удаляется из Intune. Если вы используете этот параметр в профиле, он не оказывает влияния и удаляется из существующих профилей. Этот параметр также удаляется из всех отчетов в Intune.

Применимо к:

• iOS/iPadOS

Чтобы просмотреть параметры, которые можно ограничить, перейдите в раздел Параметры устройства iOS и iPadOS, чтобы разрешить или ограничить функции.

Устранение неполадок: уведомление об ожидающей политике MAM изменено на информационный значок

Значок уведомления для ожидающей политики MAM в колонке Устранение неполадок был изменен на информационный значок.

Обновление пользовательского интерфейса при настройке политики соответствия требованиям

Мы обновили пользовательский интерфейс для создания политик соответствия в Центре администрирования Microsoft Intune (политики>соответствия>устройств>Create политика). У нас есть новый пользовательский интерфейс, включающий те же параметры и сведения, которые вы использовали ранее. Новый интерфейс следует мастеру процесса создания политики соответствия. Она включает страницу, на которой можно добавить назначения для политики, и страницу "Проверка и Create", на которой можно просмотреть конфигурацию перед созданием политики.

Прекращение поддержки устройств, не соответствующих требованиям

Мы добавили новое действие для несоответствующих устройств, которое можно добавить в любую политику, чтобы снять с учета несоответствующее устройство. Новое действие снимите с учета несоответствующее устройству, приводит к удалению всех корпоративных данных с устройства, а также удаляет устройство из управления Intune. Это действие выполняется при достижении настроенного значения в днях, и в этот момент устройство становится доступным для прекращения использования. Минимальное значение — 30 дней. Чтобы снять с учета устройства с учета устройства с помощью раздела Списание несоответствующих устройств , потребуется явное утверждение ИТ-администраторов, где администраторы могут снять с учета все соответствующие устройства.

Поддержка WPA и WPA2 в профилях iOS Enterprise Wi-Fi

Профили корпоративных Wi-Fi для iOS теперь поддерживают поле Тип безопасности . В поле Тип безопасности можно выбрать вариант WPA Enterprise или WPA/WPA2 Enterprise, а затем указать для типа EAP. (Устройства>Конфигурации>Create и выберите iOS/iPadOS для платформы, а затем — Wi-Fi для профиля).

Новые параметры Enterprise похожи на те, которые были доступны для базового профиля Wi-Fi для iOS.

Новый пользовательский интерфейс для сертификатов, электронной почты, VPN и Wi-Fi, профилей VPN

Мы обновили пользовательский интерфейс в Центре администрирования Intune (Конфигурация>устройств>Create) для создания и изменения следующих типов профилей. В новом интерфейсе представлены те же параметры, что и раньше, но используется интерфейс, аналогичный мастеру, который не требует столько горизонтальной прокрутки. Вам не нужно изменять существующие конфигурации с помощью нового интерфейса.

• Производные учетные данные
• Электронная почта
• Сертификат PKCS
• Импортированный сертификат PKCS
• Сертификат SCEP
• Надежный сертификат
• VPN
• Wi-Fi

Улучшен интерфейс пользователя при создании профилей ограничений устройств на устройствах Android и Android Enterprise

При создании профиля для устройств Android или Android Enterprise интерфейс в центре администрирования Intune обновляется. Это изменение влияет на следующие профили конфигурации устройств (Конфигурация>устройств>Create>Администратор устройства Или Android Enterprise для платформы):

• Ограничения устройств: администратор устройств Android
• Ограничения устройств: владелец устройства Android Enterprise
• Ограничения устройств: рабочий профиль Android Enterprise

Дополнительные сведения об ограничениях устройств, которые можно настроить, см. в разделе Администратор устройств Android и Android Enterprise.

Улучшенный интерфейс пользователя при создании профилей конфигурации на устройствах iOS/iPadOS и macOS

При создании профиля для устройств iOS или macOS интерфейс центра администрирования Intune обновляется. Это изменение влияет на следующие профили конфигурации устройств (конфигурация>устройств>Create>iOS/iPadOS или macOS для платформы):

• Пользовательский: iOS/iPadOS, macOS
• Функции устройства: iOS/iPadOS, macOS
• Ограничения устройств: iOS/iPadOS, macOS
• Защита конечных точек: macOS
• Расширения: macOS
• Файл предпочтений: macOS

Скрытие от параметра конфигурации пользователя в функциях устройств на устройствах macOS

При создании профиля конфигурации функций устройства на устройствах macOS отображается новый параметр конфигурации Скрыть от пользователя (Конфигурация>устройств>Create>macOS для платформы >Функции устройства для элементов входа в профиль>).

Эта функция устанавливает флажок скрыть приложение в списке Пользователи & Группы приложения элементов входа на устройствах macOS. Существующие профили отображают этот параметр в списке как ненастроенный. Чтобы настроить этот параметр, администраторы могут обновлять существующие профили.

Если установлено значение Скрыть, флажок скрыть устанавливается для приложения, и пользователи не могут его изменить. Он также скрывает приложение от пользователей после входа пользователей на свои устройства.

Дополнительные сведения о параметрах, которые можно настроить, см. в разделе Параметры функций устройства macOS.

Данная функция применяется к:

• macOS

Регистрация устройства

Настройка доступности регистрации в Корпоративный портал для Android и iOS

Вы можете настроить, доступна ли регистрация устройств в Корпоративный портал на устройствах Android и iOS с запросами, доступна ли без запросов или недоступна для пользователей. Чтобы найти эти параметры в Intune, перейдите в центр администрирования Microsoft Intune и выберите Настройка администрирования>> клиентаИзменить>регистрацию устройств.

Для поддержки параметра регистрации устройств пользователи должны использовать следующие версии Корпоративного портала:

• Корпоративный портал в iOS: версия 4.4 или более поздняя
• Корпоративный портал для Android — версия 5.0.4715.0 или более поздняя.

Дополнительные сведения о существующей настройке Корпоративный портал см. в статье Настройка приложения Microsoft Intune Корпоративный портал.

Управление устройствами

Страница обзора нового отчета Android на устройствах Android

Мы добавили отчет в Центр администрирования Microsoft Intune на странице обзора устройств Android, в котором показано, сколько устройств Android было зарегистрировано в каждом решении для управления устройствами. На этой диаграмме (как и на той же диаграмме, уже существующей в консоли Azure) показаны количество устройств с рабочим профилем, полностью управляемым, выделенным и зарегистрированным администратором устройства. Чтобы просмотреть отчет, выберите Устройства>Android>Обзор.

Руководство пользователей из управления администраторами устройств Android к управлению рабочими профилями

Мы выпускаем новый параметр соответствия для платформы администратора устройств Android. Этот параметр позволяет сделать устройство несоответствующим, если оно управляется с помощью администратора устройства.

На этих устройствах, не соответствующих требованиям, на странице Обновление параметров устройства пользователи увидят сообщение О переходе на новое управление устройствами. Если они нажмут кнопку Разрешить , они будут руководствоваться следующими сведениями:

1. Отмена регистрации в управлении администраторами устройств
2. Регистрация в управлении рабочими профилями
3. Устранение проблем с соответствием требованиям

Google сокращает поддержку администраторов устройств в новых выпусках Android, чтобы перейти на современное, более многофункциональное и более безопасное управление устройствами с помощью Android Enterprise. Intune может обеспечить полную поддержку только управляемых администратором устройств Android под управлением Android 10 и более поздних версий до 2-го квартала CY2020. Устройствами, управляемыми администратором (кроме Samsung), на которых по истечении этого времени работает Android 10 или более поздняя версия, полностью управляться не удастся. В частности, затронутые устройства не будут получать новые требования к паролю.

Дополнительные сведения об этом параметре см. в разделе Перемещение устройств Android от администратора устройств к управлению рабочим профилем.

Новый URL-адрес центра администрирования Microsoft Intune

В соответствии с объявлением о Microsoft Intune на Ignite в прошлом году мы изменили URL-адрес центра администрирования Microsoft Intune (ранее Microsoft 365 Управление устройствами) на https://intune.microsoft.com.

Изменение основного пользователя для устройств с Windows

Вы можете изменить основного пользователя для гибридных и Microsoft Entra присоединенных устройств Windows. Для этого перейдите в раздел Intune>Устройства>Все устройства> выберитеосновной пользовательсвойств> устройства>. Дополнительные сведения см. в разделе Изменение основного пользователя устройства.

Для этой задачи также было создано новое разрешение RBAC (Управляемые устройства или задать основного пользователя). Разрешение добавлено для встроенных ролей, включая оператора службы поддержки, администратора учебного заведения и диспетчера безопасности конечных точек.

Эта функция развертывается для клиентов по всему миру в режиме предварительной версии. Вы увидите эту функцию в течение следующих нескольких недель.

подключение клиента Microsoft Intune: синхронизация устройств и действия устройства

Microsoft Intune объединяет Configuration Manager и Intune в одну консоль. Начиная с версии Configuration Manager technical preview 2002.2, вы можете отправить свои Configuration Manager устройства в облачную службу и выполнить действия с ними в Центре администрирования. Дополнительные сведения см. в разделе Функции в Configuration Manager technical preview версии 2002.2.

Перед установкой этого обновления ознакомьтесь со статьей Configuration Manager technical preview. В этой статье вы узнаете об общих требованиях и ограничениях для использования технической предварительной версии, способах обновления между версиями и способах предоставления отзывов.

Массовые удаленные действия

Теперь можно выполнять массовые команды для следующих удаленных действий: перезапуск, переименование, сброс autopilot, очистка и удаление. Чтобы просмотреть новые массовые действия, перейдите в Microsoft Intune Центр> администрированияУстройства>Все устройства>Массовые действия.

Список всех устройств, улучшенный поиск, сортировка и фильтрация

Список Всех устройств был улучшен для повышения производительности, поиска, сортировки и фильтрации. Дополнительные сведения см. в этой подсказке по поддержке.

Управление и устранение неполадок

Теперь Data Warehouse предоставляет MAC-адрес.

Intune Data Warehouse предоставляет MAC-адрес в качестве нового свойства (EthernetMacAddress) в сущностиdevice, чтобы администраторы могли коррелировать между mac-адресом пользователя и узла. Это свойство помогает связаться с конкретными пользователями и устранять неполадки, возникающие в сети. Администраторы также могут использовать это свойство в отчетах Power BI для создания расширенных отчетов. Дополнительные сведения см. в Intune Data Warehouse сущности устройства.

Data Warehouse свойств инвентаризации устройств

С помощью Intune Data Warehouse доступны дополнительные свойства инвентаризации устройств. Следующие свойства теперь предоставляются через бета-версию коллекции устройств :

• ethernetMacAddress — уникальный сетевой идентификатор этого устройства.
• model — модель устройства.
• office365Version — Версия Microsoft 365, установленная на устройстве.
• windowsOsEdition — версия операционной системы.

Следующие свойства теперь предоставляются через бета-версию коллекции devicePropertyHistory :

• physicalMemoryInBytes — физическая память в байтах.
• totalStorageSpaceInBytes — общая емкость хранилища в байтах.

Дополнительные сведения см. в разделе API Microsoft Intune Data Warehouse.

Обновление рабочего процесса справки и поддержки для поддержки дополнительных служб

Мы обновили страницу справки и поддержки в Центре администрирования Microsoft Intune, где теперь вы выбираете используемый тип управления. С помощью этого изменения можно выбрать один из следующих типов управления:

• Configuration Manager (включает Аналитика компьютеров)
• Intune
• Совместное управление

Безопасность

Использование предварительной версии политик, ориентированных на безопасность администраторов, в рамках безопасности конечных точек

В качестве общедоступной предварительной версии мы добавили несколько новых групп политик в узле Безопасность конечной точки в Центре администрирования Microsoft Intune. Администратор безопасности может использовать эти новые политики, чтобы сосредоточиться на конкретных аспектах безопасности устройств, чтобы управлять дискретными группами связанных параметров без дополнительных затрат на больший текст политики конфигурации устройств.

За исключением новой политики антивирусной программы для Microsoft Defender Антивирусная программа (см. ниже), параметры в каждой новой предварительной версии политик и профилей являются теми же параметрами, которые вы можете уже настроить с помощью профилей конфигурации устройств.

Ниже приведены новые типы политик, которые находятся в предварительной версии, и доступные для них типы профилей.

• Антивирусная программа (предварительная версия):

  • macOS

    • Антивирусная программа. Управление параметрами политики антивирусной программы для macOS для управления Microsoft Defender для конечной точки для Mac.

  • Windows 10 и более поздних версий:

    • антивирусная программа Microsoft Defender. Управление параметрами политики антивирусной программы для облачной защиты, исключений антивирусной программы, исправлений, параметров сканирования и многого другого.

      Профиль антивирусной программы для Microsoft Defender Антивирусная программа представляет собой исключение, которое представляет новый экземпляр параметров, которые находятся как часть профиля ограничения устройства. Новые параметры антивирусной программы:

      • Те же параметры, что и в ограничениях устройств, но поддерживают третий вариант конфигурации, который недоступен при настройке в качестве ограничения устройства.
      • Применяется к устройствам, совместно управляемым с помощью Configuration Manager, если ползунок рабочей нагрузки совместного управления для Endpoint Protection имеет значение Intune.

    Запланируйте использование нового профиля антивирусной>программы Microsoft Defender антивирусной программы вместо настройки с помощью профиля ограничения устройств.

  • Безопасность Windows. Управление параметрами Безопасность Windows, которые пользователи могут просматривать в Центре безопасности Microsoft Defender и получаемые уведомления. Эти параметры не изменяются по сравнению с параметрами, доступными в качестве профиля Endpoint Protection конфигурации устройства.

• Шифрование дисков (предварительная версия):

  • macOS
    • FileVault
  • Windows 10 и более поздних версий:
    • BitLocker

• Брандмауэр (предварительная версия):

  • macOS
    • Брандмауэр macOS
  • Windows 10 и более поздних версий:
    • Брандмауэр в Microsoft Defender

• Обнаружение и ответ конечной точки (предварительная версия):

  • Windows 10 и более поздних версий: -Windows 10 Intune

• Сокращение направлений атаки (предварительная версия):

  • Windows 10 и более поздних версий:
    • Изоляция приложений и браузеров
    • Веб-защита
    • Элемент управления приложениями
    • Правила сокращения направлений атак
    • Управление устройством
    • Защита от эксплойтов

• Защита учетных записей (предварительная версия):

  • Windows 10 и более поздних версий:
    • Защита учетной записи

Февраль 2020 г.

Управление приложениями

приложение Microsoft Defender для конечной точки для macOS

Intune предоставляет простой способ развертывания приложения Microsoft Defender для конечной точки для macOS на управляемых устройствах Mac. Дополнительные сведения см. в статье Добавление Microsoft Defender для конечной точки на устройства macOS с помощью Microsoft Intune и Microsoft Defender для конечной точки для Mac.

Улучшения взаимодействия с macOS Корпоративный портал

Мы внесли улучшения в процесс регистрации устройств macOS и приложение Корпоративный портал для Mac. Вы увидите следующие улучшения:

• Улучшенная функция автоматического обновления Майкрософт во время регистрации, которая обеспечит пользователям последнюю версию Корпоративный портал.
• Расширенное соответствие проверка шаг во время регистрации.
• Поддержка скопированных идентификаторов инцидентов, чтобы пользователи могли быстрее отправлять сообщения об ошибках со своих устройств в службу поддержки вашей компании.

Дополнительные сведения о регистрации и приложении Корпоративный портал для Mac см. в статье Регистрация устройства macOS с помощью приложения Корпоративный портал.

политики защита приложений для Better Mobile теперь поддерживают iOS и iPadOS

В октябре 2019 года в политику защиты приложений Intune добавлена возможность использования данных от наших партнеров по защите от угроз Майкрософт. С помощью этого обновления вы можете использовать политику защиты приложений для блокировки или выборочной очистки корпоративных данных пользователей на основе работоспособности устройства с помощью Better Mobile в iOS и iPadOS. Дополнительные сведения см. в статье Создание политики защиты приложения Mobile Threat Defense в Intune.

Microsoft Edge версии 77 и более поздних на Windows 10 устройствах

Intune теперь поддерживает удаление Microsoft Edge версии 77 и более поздних версий на Windows 10 устройствах. Дополнительные сведения см. в статье Добавление Microsoft Edge для Windows 10 в Microsoft Intune.

Экран удален с корпоративного портала, регистрация рабочего профиля Android

Из процесса регистрации рабочего профиля Android на корпоративном портале удален экран Что дальше?, чтобы упростить взаимодействие с пользователем. Перейдите к разделу Регистрация в рабочем профиле Android, чтобы просмотреть обновленный процесс регистрации рабочего профиля Android.

улучшенная производительность приложения Корпоративный портал

Приложение Корпоративный портал было обновлено для поддержки повышения производительности устройств, использующих процессоры ARM64, таких как Surface Pro X. Ранее Корпоративный портал работал в эмулированном режиме ARM32. Теперь в версии 10.4.7080.0 и более поздних версиях приложение Корпоративный портал изначально компилируется для ARM64. Дополнительные сведения о приложении Корпоративный портал см. в разделе Настройка приложения Microsoft Intune Корпоративный портал.

Новое приложение Office от Майкрософт

Новое приложение Microsoft Office теперь доступно для скачивания и использования. Приложение Office — это объединенный интерфейс, в котором пользователи могут работать в Word, Excel и PowerPoint в рамках одного приложения. Вы можете выбрать приложение с помощью политики защиты приложений, чтобы обеспечить защиту данных, к которым осуществляется доступ.

Дополнительные сведения см. в статье Включение Intune политик защиты приложений с помощью предварительной версии приложения Office для мобильных устройств.

Конфигурация устройства

Включение управления доступом к сети (NAC) с помощью Cisco AnyConnect VPN на устройствах iOS

На устройствах iOS можно создать профиль VPN и использовать различные типы подключений, включая Cisco AnyConnect (Конфигурация>устройств>Create>iOS для VPN платформы > для типа > профиля Cisco AnyConnect для типа подключения).

Вы можете включить управление доступом к сети (NAC) с помощью Cisco AnyConnect. Чтобы использовать эту функцию, выполните следующие действия:

1. В руководстве по администратору ядра служб идентификации Cisco выполните действия, описанные в разделе Настройка Microsoft Intune в качестве сервера MDM, чтобы настроить подсистему служб идентификации Cisco (ISE) в Azure.
2. В профиле конфигурации устройства Intune выберите параметр Включить контроль доступа сети (NAC).

Чтобы просмотреть все доступные параметры VPN, перейдите в раздел Настройка параметров VPN на устройствах iOS.

Регистрация устройства

Серийный номер на странице push-сертификата Apple MDM

На странице Push-сертификата Apple MDM теперь отображается серийный номер. Серийный номер необходим для восстановления доступа к push-сертификату Apple MDM в случае потери доступа к идентификатору Apple ID, создавшего сертификат. Чтобы просмотреть серийный номер, перейдите в раздел Устройства>iOSрегистрация >iOS>Apple MDM Push Certificate.

Управление устройствами

Новые параметры расписания обновлений для отправки обновлений ОС на зарегистрированные устройства iOS/iPadOS

При планировании обновлений операционной системы для устройств iOS/iPadOS можно выбрать один из следующих вариантов. Эти параметры применяются к устройствам, которые использовали типы регистрации Apple Business Manager или Apple School Manager.

• Обновление при следующем проверка
• Обновление в запланированное время
• Обновление вне запланированного времени

Для последних двух вариантов можно создать несколько временных окон.

Чтобы просмотреть новые параметры, перейдите в Intune центр > администрирования Устройства>iOS>Политики обновления для iOS/iPadOS>Create профиль.

Выбор обновлений iOS/iPadOS для отправки на зарегистрированные устройства

Вы можете выбрать определенное обновление iOS/iPadOS (за исключением последнего) для отправки на устройства, зарегистрированные с помощью Apple Business Manager или Apple School Manager. Для таких устройств должна быть настроена политика конфигурации устройств, чтобы отложить видимость обновлений программного обеспечения на некоторое количество дней. Чтобы просмотреть эту функцию, перейдите в Intune центр > администрирования Устройства>iOS>. Политики обновления для iOS и iPadOS>Create профиль.

Экспорт из списка "Все устройства" теперь в формате ZIP-файла CSV

Экспорты со страницы Устройства>Все устройства теперь имеют формат ZIP-файла CSV.

Windows 7 прекращает расширенную поддержку

Поддержка Windows 7 закончилась 14 января 2020 г. Intune нерекомендуемую поддержку для устройств под управлением Windows 7 одновременно. Техническая помощь и автоматические обновления, помогающие защитить компьютер, больше не доступны. Необходимо выполнить обновление до Windows 10. Дополнительные сведения см. в записи блога Plan for Change (Планирование изменений).

Безопасность устройств

Улучшенные возможности создания отчетов Intune

Intune теперь обеспечивает улучшенную работу с отчетами. Существуют новые типы отчетов, улучшенная организация отчетов, более целенаправленные представления, улучшенные функции отчетов, а также более согласованные и своевременные данные. Интерфейс создания отчетов будет перемещен с общедоступной предварительной версии на общедоступную версию (общедоступную версию). Кроме того, общедоступная версия предоставляет поддержку локализации, исправления ошибок, улучшения проектирования и агрегирование данных о соответствии устройств на плитках в центре администрирования Microsoft Intune.

Новые типы отчетов ориентированы на следующие сведения:

• Операционный — предоставляет свежие записи с отрицательным фокусом на работоспособности.
• Организация — предоставляет более широкую сводку общего состояния.
• Исторический: предоставляет шаблоны и тенденции за определенный период времени.
• Специализированный: позволяет использовать необработанные данные для создания собственных пользовательских отчетов.

Первый набор новых отчетов посвящен соответствию устройств. Дополнительные сведения см. в статье Блог — платформа отчетов Microsoft Intune и Intune отчеты.

Консолидировано расположение базовых показателей безопасности в пользовательском интерфейсе

Мы объединили пути для поиска базовых показателей безопасности в Центре администрирования Microsoft Intune путем удаления базовых показателей безопасности из нескольких расположений пользовательского интерфейса. Чтобы найти базовые показатели безопасности, используйте следующий путь:Базовые показатели безопасности >конечных точек.

Расширенная поддержка импортированных сертификатов PKCS

Мы расширили поддержку использования импортированных сертификатов PKCS для поддержкиполностью управляемых устройств Android Enterprise. Как правило, импорт PFX-сертификатов используется для сценариев шифрования S/MIME, когда сертификаты шифрования пользователя требуются на всех устройствах, чтобы можно было расшифровать электронную почту.

Следующие платформы поддерживают импорт сертификатов PFX:

• Android — администратор устройств
• Android Enterprise — полностью управляемый
• Android Enterprise — рабочий профиль
• iOS
• Mac
• Windows 10

Просмотр конфигурации безопасности конечных точек для устройств

Мы обновили имя параметра в Центре администрирования Microsoft Intune для просмотра конфигураций безопасности конечных точек, применимых к конкретному устройству. Этот параметр переименован в конфигурацию безопасности конечной точки , так как в нем отображаются применимые базовые показатели безопасности и другие политики, созданные за пределами базовых показателей безопасности. Ранее этот параметр назывался Базовые показатели безопасности.

Управление доступом на основе ролей

Intune ролей изменения пользовательского интерфейса

Пользовательский интерфейс дляролейадминистрирования клиентацентра >администрирования> Microsoft Intune улучшен до более понятного и интуитивно понятного дизайна. Этот интерфейс предоставляет те же параметры и сведения, что и сейчас, однако в новом интерфейсе используется процесс, аналогичный мастеру.

Январь 2020 г.

Управление приложениями

Intune поддержка канала развертывания Microsoft Edge версии 77 для macOS

Microsoft Intune теперь поддерживает стабильный канал развертывания для приложения Microsoft Edge для macOS. Стабильный канал — это рекомендуемый канал для широкого развертывания Microsoft Edge в корпоративных средах. Он обновляется каждые шесть недель, каждый выпуск включает улучшения из бета-канала . Помимо стабильных и бета-каналов, Intune поддерживает канал разработки. Общедоступная предварительная версия предлагает стабильные каналы и каналы разработки для Microsoft Edge версии 77 и более поздних версий для macOS. Автоматическое обновление браузера по умолчанию включено. Дополнительные сведения см. в статье Добавление Microsoft Edge для устройств macOS с помощью Microsoft Intune.

Прекращение Intune Managed Browser

Intune Managed Browser будет снят с учета. Используйте Microsoft Edge для взаимодействия с защищенным браузером в Intune.

Пользовательский интерфейс изменяется при добавлении приложений в Intune

Добавлен новый пользовательский интерфейс при добавлении приложений через Intune. Этот интерфейс предоставляет те же параметры и сведения, что и ранее, однако перед добавлением приложения в Intune новый интерфейс следует процедуре, аналогичной мастеру. Этот новый интерфейс также предоставляет страницу проверки перед добавлением приложения. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения>Добавить. Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune.

Требовать перезапуск приложений Win32

После успешной установки можно потребовать перезапуска приложения Win32. Кроме того, вы можете выбрать период времени (льготный период) перед перезапуском.

Изменение пользовательского интерфейса при настройке приложений в Intune

При создании политик конфигурации приложений в Intune появился новый пользовательский интерфейс. Этот интерфейс предоставляет те же параметры и сведения, что и ранее, однако перед добавлением политики в Intune новый интерфейс следует процедуре, подобной мастеру. В Центре администрирования Microsoft Intune выберите Приложения Политики>конфигурации приложений>Добавить. Дополнительные сведения см. в статье Политики конфигурации приложений для Microsoft Intune.

Intune поддержка канала развертывания Microsoft Edge для Windows 10

Microsoft Intune теперь поддерживает стабильный канал развертывания для приложения Microsoft Edge (версии 77 и более поздних) для Windows 10. Стабильный канал — это рекомендуемый канал для развертывания Microsoft Edge для Windows 10 в корпоративных средах. Этот канал обновляется каждые шесть недель, каждый выпуск включает улучшения из бета-канала . Помимо стабильных и бета-каналов, Intune поддерживает канал разработки. Дополнительные сведения см. в статье Microsoft Edge для Windows 10 — настройка параметров приложения.

Поддержка S/MIME для Microsoft Outlook для iOS

Intune поддерживает доставку сертификатов подписывания и шифрования S/MIME, которые можно использовать с Outlook для iOS на устройствах iOS. Дополнительные сведения см. в статье Метка конфиденциальности и защита в Outlook для iOS и Android.

Кэширование содержимого приложения Win32 с помощью сервера microsoft Connected Cache

Сервер microsoft Connected Cache можно установить на точках распространения Configuration Manager для кэширования Intune содержимого приложения Win32. Дополнительные сведения см. в разделе Microsoft Connected Cache in Configuration Manager . Поддержка приложений Intune Win32.

Конфигурация устройства

Улучшен интерфейс пользователя при настройке Exchange ActiveSync пользовательского интерфейса локального соединителя

Мы обновили интерфейс настройки локального соединителя Exchange ActiveSync. Обновленный интерфейс использует одну панель для настройки, редактирования и сводных сведений о локальных соединителях.

Добавление автоматических параметров прокси-сервера в профили Wi-Fi для рабочих профилей Android Enterprise

На устройствах Android Enterprise Work Profile можно создавать Wi-Fi профили. При выборе типа Wi-Fi Enterprise можно также ввести тип EAP, используемый в Wi-Fi сети.

Теперь при выборе типа Enterprise можно также ввести параметры автоматического прокси-сервера, включая URL-адрес прокси-сервера, например proxy.contoso.com.

Чтобы просмотреть текущие параметры Wi-Fi, которые можно настроить, перейдите в раздел Добавление параметров Wi-Fi для устройств с Android Enterprise и киоском Android в Microsoft Intune.

Применимо к:

• Рабочий профиль Android Enterprise

Регистрация устройства

Блокировка регистраций Android по изготовителю устройства

Вы можете запретить регистрацию устройств в зависимости от производителя устройства. Эта функция применяется к устройствам администратора устройств Android и устройств с рабочим профилем Android Enterprise. Чтобы просмотреть ограничения регистрации, перейдите в Microsoft Intune центр> администрирования Ограничениярегистрацииустройств>.

Усовершенствования пользовательского интерфейса профиля типа регистрации iOS/iPadOS Create

Для регистрации пользователей iOS/iPadOS страница параметровпрофиля типа регистрации Create оптимизирована, чтобы улучшить процесс выбора типа регистрации, сохранив при этом те же функциональные возможности. Чтобы просмотреть новый пользовательский интерфейс, перейдите на страницу Microsoft Intune Центр> администрированияУстройства>типы> регистрации >iOS iOS> Createстраницу параметровпрофиля>. Дополнительные сведения см. в разделе Create профиля регистрации пользователей в Intune.

Управление устройствами

Новые сведения в сведениях об устройстве

Теперь на странице Обзор для устройств доступны следующие сведения:

• Емкость памяти (объем физической памяти на устройстве)
• Емкость хранилища (объем физического хранилища на устройстве)
• Архитектура ЦП

Удаленное действие "Обход блокировки активации iOS" переименовано в "Отключить блокировку активации"

Удаленная блокировка обхода активации была переименована в Отключить блокировку активации. Дополнительные сведения см. в разделе Отключение блокировки активации iOS с помощью Intune.

поддержка развертывания обновлений компонентов Windows 10 для устройств Autopilot

Intune теперь поддерживает нацеливание на зарегистрированные устройства Autopilot с помощью Windows 10 развертываний обновлений компонентов.

Windows 10 политики обновления компонентов не могут применяться во время запуска windows Autopilot(OOBE). Они применяются только при первом клиентский компонент Центра обновления Windows сканирования после завершения подготовки устройства, что обычно составляет день.

Управление и устранение неполадок

Отчеты о развертывании Windows Autopilot (предварительная версия)

В новом отчете содержатся сведения о каждом устройстве, развернутом с помощью Windows Autopilot. Дополнительные сведения см. в статье Отчет о развертывании Autopilot.

Управление доступом на основе ролей

Новый Intune встроенной роли Диспетчер безопасности конечных точек

Доступна новая Intune встроенная роль: диспетчер безопасности конечных точек. Эта новая роль предоставляет администраторам полный доступ к узлу Endpoint Manager в Intune и доступ только к другим областям. Роль представляет собой расширение роли "Администратор безопасности" с Microsoft Entra ID. Если в настоящее время в качестве ролей у вас просто есть глобальные администраторы, изменения не требуются. Если вы используете роли и хотите, чтобы степень детализации, которую предоставляет диспетчер безопасности конечных точек, назначьте эту роль, когда роль будет доступна. Дополнительные сведения о встроенных ролях см. в разделе Управление доступом на основе ролей.

Windows 10 профили административных шаблонов (ADMX) теперь поддерживают теги область

Теперь вы можете назначать область теги профилям административных шаблонов (ADMX). Для этого перейдите к Intune>Устройства>Конфигурация> выберите профиль административных шаблонов в списке >Теги области свойств>. Дополнительные сведения о тегах область см. в статье Назначение тегов область другим объектам.

Декабрь 2019 г.

Управление приложениями

Получение личного ключа восстановления с зашифрованных устройств macOS

Конечные пользователи могут получить свой личный ключ восстановления (ключ FileVault) с помощью приложения iOS Корпоративный портал. Устройство с личным ключом восстановления необходимо зарегистрировать в Intune и зашифровать с помощью FileVault через Intune. С помощью приложения Корпоративный портал iOS пользователь может получить личный ключ восстановления на зашифрованном устройстве macOS, выбрав Получить ключ восстановления. Вы также можете получить ключ восстановления из Intune, выбрав Устройства>— зашифрованное и зарегистрированное устройство> macOSПолучить ключ восстановления. Дополнительные сведения о FileVault см. в разделе Шифрование FileVault для macOS.

Приложения VPP с лицензией на iOS и iPadOS

Для зарегистрированных пользователей устройств iOS и iPadOS конечные пользователи больше не будут представлены только что созданные приложения VPP с лицензией устройств, развернутые как доступные. Однако конечные пользователи по-прежнему будут видеть все лицензированные приложения VPP в Корпоративный портал. Дополнительные сведения о приложениях VPP см. в статье Управление приложениями iOS и macOS, приобретенными по программе Apple Volume Purchase Program, с помощью Microsoft Intune.

Примечание. Windows 10 1703 (RS2) будет перемещена поддержка

Начиная с 9 октября 2018 г. Windows 10 1703 (RS2) вышел из поддержки платформы Майкрософт для выпусков Home, Pro и Pro для рабочих станций. Для выпусков Windows 10 Корпоративная и образовательных учреждений Windows 10 1703 (RS2) не поддерживает платформу 8 октября 2019 г. Начиная с 26 декабря 2019 г. мы обновим минимальную версию приложения windows Корпоративный портал до Windows 10 1709 (RS3). Компьютеры с версиями до 1709 больше не будут получать обновленные версии приложения из Microsoft Store. Ранее мы сообщали об этом изменении клиентам, которые управляют более старыми версиями Windows 10 через центр сообщений. Дополнительные сведения см. в справке о жизненном цикле Windows.

Управление приложениями

Миграция в Microsoft Edge для сценариев управляемого просмотра

По мере приближения к прекращению использования Intune Managed Browser мы внесли изменения в политики защиты приложений, чтобы упростить действия, необходимые для перемещения пользователей в Edge. Мы обновили параметры для параметра политики защиты приложений Ограничить передачу веб-содержимого с помощью других приложений , чтобы они были одними из следующих:

• Любое приложение
• Intune Managed Browser
• Microsoft Edge
• Неуправляемый браузер

При выборе Microsoft Edge конечные пользователи увидят сообщения условного доступа, уведомляющие их о том, что Microsoft Edge требуется для сценариев управляемого просмотра. Им будет предложено скачать и войти в Microsoft Edge с помощью учетных записей Microsoft Entra, если они еще не выполнили вход. Это поведение будет эквивалентно выбору приложений с поддержкой MAM с параметром com.microsoft.intune.useEdge " True". Существующие политики защиты приложений, использующие параметр Браузеры, управляемые политикой, теперь будут выбраны Intune Managed Browser, и вы не увидите никаких изменений в поведении. Таким образом, если для параметра конфигурации приложения useEdge задано значение True, пользователи увидят обмен сообщениями для использования Microsoft Edge. Мы рекомендуем всем клиентам, использующим сценарии с управляемым просмотром, обновить свои политики защиты приложений с помощью ограничения передачи веб-содержимого с помощью других приложений , чтобы убедиться, что пользователи видят правильное руководство по переходу на Microsoft Edge независимо от того, с какого приложения они запускают ссылки.

Настройка содержимого уведомлений приложения для учетных записей организации

Intune политики защиты приложений (APP) на устройствах Android и iOS позволяют управлять содержимым уведомлений приложений для учетных записей организации. Можно выбрать параметр (Разрешить, Заблокировать данные организации или Заблокировано), чтобы указать, как уведомления для учетных записей организации отображаются для выбранного приложения. Эта функция требует поддержки со стороны приложений и может быть доступна не для всех приложений с поддержкой ПРИЛОЖЕНИй. Outlook для iOS версии 4.15.0 (или более поздней) и Outlook для Android 4.83.0 (или более поздней) будут поддерживать этот параметр. Параметр доступен в консоли, но функциональность начнет действовать после 16 декабря 2019 г. Дополнительные сведения о приложении см. в статье Что такое политики защиты приложений?.

Обновление значков приложений Майкрософт

Значки, используемые для приложений Майкрософт в области нацеливания приложений для политик защита приложений и политик конфигурации приложений, обновлены.

Требовать использования утвержденных клавиатур на Android

В рамках политики защиты приложений можно указать параметр Утвержденные клавиатуры , чтобы управлять тем, какие клавиатуры Android можно использовать с управляемыми приложениями Android. Когда пользователь открывает управляемое приложение и еще не использует утвержденную клавиатуру для этого приложения, ему будет предложено переключиться на одну из утвержденных клавиатур, уже установленных на его устройстве. При необходимости они получают ссылку на скачивание утвержденной клавиатуры из Google Play Store, которую они могут установить и настроить. Пользователь может изменять текстовые поля в управляемом приложении только в том случае, если активная клавиатура не является одной из утвержденных клавиатур.

Конфигурация устройства

Обновления к административным шаблонам для Windows 10 устройств

Шаблоны ADMX можно использовать в Microsoft Intune для управления параметрами Microsoft Edge, Office и Windows и управления ими. Административные шаблоны в Intune внесли следующие обновления параметров политики:

• Добавлена поддержка Microsoft Edge версий 78 и 79.
• Включает файлы ADMX от 11 ноября 2019 г. в файлы административных шаблонов (ADMX/ADML) и центр развертывания Office для Приложения Microsoft 365 для предприятий, Office 2019 и Office 2016.

Дополнительные сведения о шаблонах ADMX в Intune см. в статье Использование шаблонов Windows 10 для настройки параметров групповой политики в Microsoft Intune.

Применимо к:

• Windows 10 и более поздние версии

Обновлен интерфейс единого входа для приложений и веб-сайтов на устройствах iOS, iPadOS и macOS.

Intune добавлено больше параметров единого входа для устройств iOS, iPadOS и macOS. Теперь вы можете настроить расширения приложений единого входа перенаправления, написанные вашей организацией или поставщиком удостоверений. Используйте эти параметры, чтобы настроить простой единый вход для приложений и веб-сайтов, использующих современные методы проверки подлинности, такие как OAuth и SAML2.

Эти новые параметры расширяют предыдущие параметры для расширений приложений единого входа и встроенное расширение Kerberos от Apple (Конфигурация>устройств>Create>iOS/iPadOS или macOS для типа > платформы Функции устройства для типа профиля).

Чтобы просмотреть полный набор параметров расширения приложения единого входа, которые можно настроить, перейдите в раздел Единый вход в iOS и Единый вход в macOS.

Применимо к:

• iOS/iPadOS
• macOS

Мы обновили два параметра ограничений устройств для устройств iOS и iPadOS, чтобы исправить их поведение.

Для устройств iOS можно создать профили ограничений устройств, которые разрешают обновления PKI по беспроводной сети и блокируют ограниченный режим USB (конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для типа профиля). До этого выпуска параметры пользовательского интерфейса и описания для следующих параметров были неверными, и теперь они были исправлены. Начиная с этого выпуска, поведение параметров выглядит следующим образом:

Блокировать обновления PKI по беспроводной сети. Блокировать запрещает пользователям получать обновления программного обеспечения, если устройство не подключено к компьютеру. Не настроено (по умолчанию): позволяет устройству получать обновления программного обеспечения без подключения к компьютеру.

• Ранее этот параметр позволял настраивать его как Разрешить, что позволяет пользователям получать обновления программного обеспечения без подключения своих устройств к компьютеру. Разрешить usb-аксессуары, пока устройство заблокировано. Разрешить позволяет USB-аксессуарам обмениваться данными с устройством, которое было заблокировано более часа. Не настроено (по умолчанию) не обновляет режим ограничения USB на устройстве, и usb-аксессуары будут заблокированы для передачи данных с устройства, если они заблокированы более часа.
• Ранее этот параметр позволял настраивать его как : Блокировать , чтобы отключить режим ограниченного usb на защищенных устройствах.

Дополнительные сведения о настройке параметра см. в разделе Параметры устройства iOS и iPadOS для разрешения или ограничения функций с помощью Intune.

Данная функция применяется к:

• OS/iPadOS

Запретить пользователям настраивать учетные данные сертификата в управляемом хранилище ключей на устройствах владельца устройства Android Enterprise

На устройствах с владельцем устройств Android Enterprise можно настроить новый параметр, который запрещает пользователям настраивать учетные данные сертификата в управляемом хранилище ключей (Конфигурация>устройств>Create>Android Enterprise для платформы Ограничения только > владельца устройства для типа > профиля Пользователи и учетные записи).>

Новое лицензирование Microsoft Configuration Manager совместного управления

Configuration Manager клиенты с Software Assurance могут получить Intune совместное управление для Windows 10 компьютеров без необходимости приобретать другую лицензию Intune для совместного управления. Клиентам больше не нужно назначать пользователям отдельные лицензии Intune/EMS для совместного управления Windows 10.

• Устройства, управляемые Configuration Manager и зарегистрированные в совместном управлении, имеют почти те же права, что и Intune автономных компьютеров, управляемых MDM. Однако после сброса их невозможно повторно подготовить с помощью Autopilot.
• Windows 10 устройствам, зарегистрированным в Intune с помощью других средств, требуются полные лицензии Intune.
• Устройствам на других платформах по-прежнему требуются полные лицензии Intune.

Дополнительные сведения см. в разделе Условия лицензирования.

Управление устройствами

Действие защищенной очистки теперь доступно

Теперь можно использовать действие Очистка устройства для выполнения защищенной очистки устройства. Защищенные очистки такие же, как и стандартные очистки, за исключением того, что их невозможно обойти, выключив устройство. Защищенная очистка будет продолжать пытаться сбросить устройство до успешного выполнения. В некоторых конфигурациях это действие может привести к невозможности перезагрузки устройства. Дополнительные сведения см. в статье Снятие с учета или очистка устройств.

Mac-адрес Ethernet устройства, добавленный на страницу "Обзор" устройства

Теперь вы можете просмотреть MAC-адрес Ethernet устройства на странице сведений об устройстве (Устройства>Все устройства> выберите обзор устройства>.

Безопасность устройств

Улучшено взаимодействие с общим устройством при включении политик условного доступа на основе устройств

Мы улучшили взаимодействие с общим устройством с несколькими пользователями, для которых используется политика условного доступа на основе устройств, проверив последнюю оценку соответствия для пользователя при применении политики. Дополнительные сведения см. в следующих обзорных статьях:

• Общие сведения об Azure для условного доступа
• Общие сведения о соответствии устройств Intune

Использование профилей сертификатов PKCS для подготовки устройств с сертификатами

Теперь профили сертификатов PKCS можно использовать для выдачи сертификатов устройствам под управлением Android for Work, iOS/iPadOS и Windows, если они связаны с профилями, такими как для Wi-Fi и VPN. Ранее эти три платформы поддерживали только пользовательские сертификаты, при этом поддержка на основе устройств ограничивалась macOS.

Примечание.

Профили сертификатов PKCS не поддерживаются с Wi-Fi профилями. Вместо этого используйте профили сертификатов SCEP при использовании типа EAP.

Чтобы использовать сертификат на основе устройства, при создании профиля сертификата PKCS для поддерживаемых платформ выберите Параметры. Теперь вы увидите параметр тип сертификата, который поддерживает параметры устройства или пользователя.

Управление и устранение неполадок

Централизованные журналы аудита

Новый централизованный журнал аудита теперь собирает журналы аудита для всех категорий в одну страницу. Вы можете отфильтровать журналы, чтобы получить нужные данные. Чтобы просмотреть журналы аудита, перейдите в разделЖурналы аудитаадминистрирования> клиента.

Сведения о тегах области, включенные в сведения о действиях в журнале аудита

Сведения о действиях в журнале аудита теперь содержат сведения о тегах область (для Intune объектов, поддерживающих теги область). Дополнительные сведения о журналах аудита см. в статье Использование журналов аудита для отслеживания и мониторинга событий.

Ноябрь 2019 г.

Управление приложениями

Обновление пользовательского интерфейса при выборочной очистке данных приложения

Обновлен пользовательский интерфейс для выборочной очистки данных приложения в Intune. Изменения пользовательского интерфейса включают:

• Упрощенное взаимодействие с использованием формата мастера, сжатого в одной области.
• Обновление потока создания для включения назначений.
• Сводная страница всех элементов, заданных при просмотре свойств, перед созданием новой политики или при редактировании свойства. Кроме того, при редактировании свойств в сводке будет отображаться только список элементов из категории редактируемых свойств.

Дополнительные сведения см. в статье Очистка только корпоративных данных из приложений, управляемых Intune.

Поддержка клавиатуры сторонних производителей в iOS и iPadOS

В марте 2019 года мы объявили об удалении поддержки для iOS защита приложений политики настройки сторонних клавиатур. Функция возвращается к Intune с поддержкой iOS и iPadOS. Чтобы включить этот параметр, перейдите на вкладку Защита данных новой или существующей политики защиты приложений iOS/iPadOS и найдите параметр Сторонние клавиатуры в разделе Передача данных.

Поведение этого параметра политики немного отличается от предыдущей реализации. В приложениях с несколькими удостоверениями, использующих пакет SDK версии 12.0.16 и более поздних версий, предназначенных для политик защиты приложений с параметром Блокировать, конечные пользователи не смогут выбрать сторонние или партнерские клавиатуры как в своей организации, так и в личных учетных записях. Приложения, использующие пакет SDK версии 12.0.12 и более ранних версий, по-прежнему будут демонстрировать поведение, описанное в заголовке блога Известная проблема: клавиатуры сторонних производителей не заблокированы в iOS для личных учетных записей.

Улучшена регистрация macOS в Корпоративный портал

Корпоративный портал для процесса регистрации macOS имеет более простой процесс регистрации, который более тесно соответствует корпоративному порталу для регистрации устройств iOS. Пользователи устройства теперь видят:

• Более изящный пользовательский интерфейс.
• Улучшенный контрольный список регистрации.
• Более четкие инструкции по регистрации устройств.
• Улучшенные способы устранения неполадок.

Веб-приложения, запускаемые из приложения корпоративного портала Windows

Конечные пользователи теперь могут запускать веб-приложения непосредственно из приложения windows Корпоративный портал. Конечные пользователи могут выбрать веб-приложение, а затем выбрать параметр Открыть в браузере. Опубликованный URL-адрес открывается непосредственно в веб-браузере. Эта функция будет перенесена на следующую неделю. Дополнительные сведения о веб-приложениях в Intune см. в этой статье.

Новый столбец типа назначения в Корпоративный портал для Windows 10

Столбец типназначенияустановленных приложений> Корпоративный портал > переименован в Обязательный для вашей организации. В этом столбце пользователи увидят значение Да или Нет , указывающее, что приложение является обязательным или необязательным для их организации. Эти изменения были внесены из-за того, что пользователи устройств были смущены понятием доступных приложений. Дополнительные сведения об установке приложений пользователи могут найти из Корпоративный портал в разделе Установка приложений и предоставление общего доступа к приложениям на устройстве. Дополнительные сведения о настройке приложения Корпоративный портал для пользователей см. в статье Настройка приложения Microsoft Intune Корпоративный портал.

Конфигурация устройства

Для целевых групп пользователей macOS требуется управление Jamf

Вы можете выбрать определенные группы пользователей, которые будут получать устройства macOS под управлением Jamf. Это позволяет применять интеграцию соответствия Jamf к подмножествам устройств macOS, в то время как другие устройства управляются Intune. Если вы уже используете интеграцию Jamf, по умолчанию для нее будет использоваться группа Все пользователи.

Новые параметры Exchange ActiveSync при создании профиля конфигурации устройства Email на устройствах iOS

На устройствах iOS/iPadOS можно настроить подключение по электронной почте в профиле конфигурации устройства (Конфигурация>устройств>Create>iOS/iPadOS для платформы> Email для типа профиля).

Доступны новые параметры Exchange ActiveSync, в том числе:

• Обмен данными для синхронизации. Выберите службы Exchange для синхронизации (или блокировать синхронизацию) для календаря, контактов, напоминаний, заметок и Email.
• Разрешить пользователям изменять параметры синхронизации. Разрешить (или запретить) пользователям изменять параметры синхронизации для этих служб на своих устройствах.

Дополнительные сведения об этих параметрах см. в Email параметрах профиля для устройств iOS в Intune.

Применимо к:

• iOS 13.0 и более поздние версии.
• iPadOS 13.0 и более поздние версии.

Запретить пользователям добавлять личные учетные записи Google на полностью управляемые и выделенные устройства Android Enterprise

На полностью управляемых и выделенных устройствах Android Enterprise есть новый параметр, который запрещает пользователям создавать личные учетные записи Google (Конфигурация>устройств>Create>Android Enterprise для платформы Только владелец > устройства Ограничения устройств для типа > профиля Пользователи и параметры учетных записей Личные учетные>записи Google).>

Чтобы просмотреть параметры, которые можно настроить, перейдите в раздел Параметры устройства Android Enterprise, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• Полностью управляемые устройства Android Enterprise
• Выделенные устройства Android Enterprise

Ведение журнала на стороне сервера для параметра команд Siri удалено в профиле ограничений устройств iOS/iPadOS

На устройствах iOS и iPadOS параметр ведения журнала на стороне сервера для команд Siri удаляется из центра администрирования Microsoft Intune (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для встроенных приложений типа > профиля).

Этот параметр не влияет на устройства. Чтобы удалить параметр из существующих профилей, откройте профиль, внесите изменения и сохраните профиль. Профиль обновляется, а параметр удаляется с устройств.

Чтобы просмотреть все параметры, которые можно настроить, см. раздел Параметры устройства iOS и iPadOS для разрешения или ограничения функций с помощью Intune.

Применимо к:

• iOS/iPadOS

обновления компонентов Windows 10 (общедоступная предварительная версия)

Теперь вы можете развертывать обновления компонентов Windows 10 на Windows 10 устройствах. Windows 10 обновления компонентов — это новая политика обновления программного обеспечения, которая задает версию Windows 10, которую требуется установить и сохранить на устройствах. Этот новый тип политики можно использовать вместе с существующими кругами обновления Windows 10.

Устройства, получающие Windows 10 политику обновлений компонентов, устанавливают указанную версию Windows, а затем остаются в этой версии до тех пор, пока политика не будет изменена или удалена. Устройства под управлением более поздней версии Windows остаются в текущей версии. Устройства, хранящиеся в определенной версии Windows, по-прежнему могут устанавливать обновления качества и системы безопасности для этой версии из Windows 10 кругов обновлений.

Этот новый тип политики начинает развертывание для клиентов на этой неделе. Если эта политика еще не доступна для вашего клиента, она появится в ближайшее время.

Добавление и изменение сведений о ключах в PLIST-файлах для приложений macOS

На устройствах macOS теперь можно создать профиль конфигурации устройства, который отправляет файл списка свойств (PLIST), связанный с приложением или устройством (Конфигурация>устройств>Create>macOS для платформы >файл предпочтений для типа профиля).

Только некоторые приложения поддерживают управляемые настройки, и эти приложения могут не позволить управлять всеми параметрами. Обязательно отправьте файл списка свойств, который настраивает параметры канала устройства, а не параметры пользовательского канала.

Дополнительные сведения об этой функции см. в статье Добавление файла списка свойств на устройства macOS с помощью Microsoft Intune.

Применимо к:

• Устройства macOS под управлением версии 10.7 и более поздней версии

Управление устройствами

Изменение имени устройства для устройств Autopilot

Вы можете изменить значение Имя устройства для Microsoft Entra присоединенных устройств Autopilot. Дополнительные сведения см. в разделе Изменение атрибутов устройства Autopilot.

Изменение значения тега группы для устройств Autopilot

Вы можете изменить значение тега группы для устройств Autopilot. Дополнительные сведения см. в разделе Изменение атрибутов устройства Autopilot.

Управление и устранение неполадок

Обновленное взаимодействие с поддержкой

С сегодняшнего дня для клиентов развертывается обновленный и упрощенный интерфейс в консоли для получения справки и поддержки по Intune. Если этот новый интерфейс еще недоступен для вас, он появится в ближайшее время.

Мы улучшили поиск в консоли и отзывы о распространенных проблемах, а также рабочий процесс, используемый для обращения в службу поддержки. При открытии проблемы в службе поддержки вы увидите оценки в режиме реального времени, когда можно ожидать обратного вызова или ответа по электронной почте. Клиенты службы поддержки Premier и Unified могут указать серьезность для своей проблемы, чтобы быстрее получить поддержку.

Улучшенный интерфейс создания отчетов Intune (общедоступная предварительная версия)

Intune теперь обеспечивает улучшенную работу с отчетами. Она включает в себя новые типы отчетов, улучшенную организацию отчетов, более целенаправленные представления, улучшенные функции отчетов и более согласованные и своевременные данные. Новые типы отчетов ориентированы на:

• Операционный — предоставляет свежие записи с отрицательным фокусом на работоспособности.
• Организация — предоставляет более широкую сводку общего состояния.
• Исторический: предоставляет шаблоны и тенденции за определенный период времени.
• Специализированный: позволяет использовать необработанные данные для создания собственных пользовательских отчетов.

Первый набор новых отчетов посвящен соответствию устройств. Дополнительные сведения см. в статье Блог — платформа отчетов Microsoft Intune и Intune отчеты.

Управление доступом на основе ролей

Дублирование пользовательских или встроенных ролей

Теперь можно копировать встроенные и настраиваемые роли. Дополнительные сведения см. в разделе Копирование роли.

Новые разрешения для роли администратора учебного заведения

Впрограммы регистрации с ролью > администратора учебного заведения добавлены два новых разрешения — Назначение профиля и устройство синхронизации>. Разрешение на синхронизацию профиля позволяет администраторам групп синхронизировать устройства Windows Autopilot. Разрешение на назначение профиля позволяет им удалять профили регистрации Apple, инициированные пользователем. Она также дает им разрешение на управление назначениями устройств Autopilot и назначениями профилей развертывания Autopilot. Список всех разрешений администратора учебного заведения или администратора группы см. в разделе Назначение администраторов групп.

Безопасность

Смена ключа BitLocker

Вы можете использовать действие Intune устройства для удаленной смены ключей восстановления BitLocker для управляемых устройств под управлением Windows версии 1909 или более поздней. Чтобы обеспечить смену ключей восстановления, устройства должны быть настроены на поддержку смены ключей восстановления.

Обновления для регистрации выделенных устройств для поддержки развертывания сертификата устройства SCEP

Intune теперь поддерживает развертывание сертификатов устройств SCEP на выделенных устройствах Android Enterprise для доступа к профилям Wi-Fi на основе сертификатов. Приложение Microsoft Intune должно присутствовать на устройстве для развертывания. В результате мы обновили процесс регистрации для выделенных устройств Android Enterprise. Новые регистрации по-прежнему запускаются одинаково (с QR, NFC, zero-touch или идентификатором устройства), но теперь есть шаг, который требует, чтобы пользователи устанавливали приложение Intune. Существующие устройства начнут автоматически устанавливать приложение на последовательной основе.

Intune журналы аудита для совместной работы между организациями

Совместная работа "бизнес—бизнес" (B2B) позволяет безопасно делиться приложениями и службами вашей компании с гостевыми пользователями из любой другой организации, сохраняя при этом контроль над собственными корпоративными данными. Intune теперь поддерживает журналы аудита для гостевых пользователей B2B. Например, когда гостевые пользователи вносят изменения, Intune могут записывать эти данные с помощью журналов аудита. Дополнительные сведения см. в статье Что такое доступ гостевых пользователей в Microsoft Entra B2B?

Базовые показатели безопасности поддерживаются в Microsoft Azure для государственных организаций

Экземпляры Intune, размещенные в Microsoft Azure для государственных организаций, теперь могут использовать базовые показатели безопасности для защиты и защиты пользователей и устройств.

Октябрь 2019

Управление приложениями

Улучшен дизайн контрольного списка настройки в приложении Корпоративного портала для Android

Контрольный список настройки в приложении Корпоративного портала для Android получил упрощенный дизайн и новые значки. Изменения соответствуют последним обновлениям, внесенным в приложение Корпоративный портал для iOS. Параллельное сравнение изменений см. в статье Новые возможности в пользовательском интерфейсе приложения. Дополнительные сведения об обновлении шагов регистрации см. в статьях Регистрация с помощью рабочего профиля Android и Регистрация устройства с Android.

Приложения Win32 на устройствах Windows 10 S-режиме

Вы можете устанавливать и запускать приложения Win32 на управляемых устройствах Windows 10 S-режиме. Для выполнения этой задачи можно создать одну или несколько дополнительных политик для S-режима с помощью средств PowerShell для управления приложениями Защитник Windows (WDAC). Подписывание дополнительных политик на портале подписи Device Guard, а затем отправка и распространение политик через Intune. В Intune вы найдете эту возможность, выбрав Клиентские приложения>Windows 10 дополнительные политики S. Дополнительные сведения см. в разделе Включение приложений Win32 на устройствах S-режима.

Настройка доступности приложений Win32 на основе даты и времени

Администратор может настроить время начала и крайний срок для требуемого приложения Win32. Во время запуска расширение управления Intune запустит скачивание и кэширование содержимого приложения. При наступлении крайнего срока приложение будет установлено. Для доступных приложений время запуска определяет, когда приложение отображается в Корпоративный портал. Дополнительные сведения см. в разделе управление приложениями Intune Win32.

Требовать перезагрузку устройства в зависимости от льготного периода после установки приложения Win32

После успешной установки приложения Win32 можно потребовать перезагрузки устройства. Дополнительные сведения см. в разделе Управление приложениями Win32.

Темный режим для iOS Корпоративный портал

Для Корпоративный портал iOS доступен темный режим. Пользователи могут скачивать корпоративные приложения, управлять своими устройствами и получать ИТ-поддержку в выбранной цветовой схеме в зависимости от параметров устройства. Корпоративный портал iOS будет автоматически соответствовать параметрам устройства конечного пользователя для темного или светлого режима. Дополнительные сведения см. в статье Введение темного режима в Microsoft Intune Корпоративный портал для iOS. Дополнительные сведения о Корпоративный портал iOS см. в статье Настройка приложения Microsoft Intune Корпоративный портал.

Минимальная версия приложения для Android Корпоративный портал

С помощью параметра минимальной версии Корпоративный портал политики защиты приложений можно указать определенную минимальную определенную версию Корпоративный портал, которая применяется на устройстве конечного пользователя. Этот параметр условного запуска позволяет блокировать доступ, очищать данные или предупреждать о возможных действиях, если значение не выполнено. Возможные форматы для этого значения соответствуют [Major].[ Минор], [Майор].[ Дополнительный]. [Сборка], или [Основной].[ Дополнительный]. [Сборка]. [Редакция] Узор.

Параметр минимальной версии Корпоративный портал, если он настроен, повлияет на любого конечного пользователя, который получает версию 5.0.4560.0 Корпоративный портал и любые будущие версии Корпоративный портал. Этот параметр не повлияет на пользователей, использующих версию Корпоративный портал, которая старше версии, с помощью которых выпущена эта функция. Конечные пользователи, использующие автоматическое обновление приложений на своем устройстве, скорее всего, не увидят диалоги из этой функции, учитывая, что они, скорее всего, будут использовать последнюю версию Корпоративный портал. Этот параметр предназначен только для Android с защитой приложений для зарегистрированных и незарегистрированных устройств. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android — условный запуск.

Добавление приложений для защиты от угроз на мобильных устройствах на незарегистрированные устройства

Вы можете создать Intune политику защиты приложений, которая может блокировать или выборочно очищать корпоративные данные пользователей на основе работоспособности устройства. Работоспособность устройства определяется с помощью выбранного решения Mobile Threat Defense (MTD). Эта возможность существует в настоящее время с Intune зарегистрированных устройств в качестве параметра соответствия устройств. С помощью этой новой функции мы расширяем функцию обнаружения угроз от поставщика Mobile Threat Defense для работы на незарегистрированных устройствах. В Android для этой функции требуется последняя Корпоративный портал на устройстве. В iOS эта функция будет доступна для использования, если приложения интегрируют последнюю версию пакета SDK для Intune (версия 12.0.15 и более поздней версии). Мы обновим статью Новые возможности, когда первое приложение примет последнюю версию пакета SDK для Intune. Остальные приложения станут доступны на последовательной основе. Дополнительные сведения см. в статье Создание политики защиты приложения Mobile Threat Defense в Intune.

Доступные отчеты приложений Google Play для рабочих профилей Android

Для доступных установок приложений в рабочем профиле Android Enterprise, выделенных и полностью управляемых устройствах можно просмотреть состояние установки приложения и установленную версию управляемых приложений Google Play. Дополнительные сведения см. в разделах Мониторинг политик защиты приложений, Управление устройствами рабочего профиля Android с помощью Intune и Управляемый тип приложения Google Play.

Microsoft Edge версии 77 и более поздних для Windows 10 и macOS (общедоступная предварительная версия)

Microsoft Edge версии 77 и более поздних будут доступны для развертывания на компьютерах под управлением Windows 10 и macOS.

Общедоступная предварительная версия предлагает каналы разработки и бета-версии для Windows 10 и канал бета-версии для macOS. Развертывание выполняется только на английском языке (EN), однако конечные пользователи могут изменить язык интерфейса в браузере в разделе Языки параметров>. Microsoft Edge — это приложение Win32, установленное в системном контексте и в подобных архитектурах (приложение x86 в ОС x86 и приложение x64 в ОС x64). Кроме того, автоматические обновления браузера по умолчанию включены, и Microsoft Edge невозможно удалить. Дополнительные сведения см. в статье Добавление Microsoft Edge для Windows 10 в Microsoft Intune и документацию по Microsoft Edge.

Обновление пользовательского интерфейса защиты приложений и пользовательского интерфейса подготовки приложений iOS

Обновлен пользовательский интерфейс для создания и изменения политик защиты приложений и профилей подготовки приложений iOS в Intune. Изменения пользовательского интерфейса включают:

• Упрощение работы с использованием формата в стиле мастера, сжатого в одной колонке.
• Обновление потока создания для включения назначений.
• Сводная страница всех элементов, заданных при просмотре свойств, перед созданием новой политики или при редактировании свойства. Кроме того, при редактировании свойств в сводке будет отображаться только список элементов из категории редактируемых свойств.

Дополнительные сведения см. в разделах Создание и назначение политик защиты приложений и Использование профилей подготовки приложений iOS.

Intune интерактивные сценарии

Intune теперь предоставляет интерактивные сценарии, которые помогут вам выполнить определенную задачу или набор задач в Intune. Интерактивный сценарий — это настраиваемая серия шагов (рабочий процесс), сосредоточенная вокруг одного комплексного варианта использования. Распространенные сценарии определяются на основе роли администратора, пользователя или устройства в вашей организации. Для этих рабочих процессов обычно требуется коллекция тщательно управляемых профилей, параметров, приложений и элементов управления безопасностью, чтобы обеспечить лучший пользовательский интерфейс и безопасность. К новым интерактивным сценариям относятся:

• Развертывание Microsoft Edge для мобильных устройств
• Защита мобильных приложений Microsoft Office
• Современные компьютеры, управляемые облаком

Дополнительные сведения см. в статье Обзор Intune интерактивных сценариев.

Доступна переменная конфигурации приложения

При создании политики конфигурации приложений можно включить AAD_Device_ID переменную конфигурации в качестве части параметров конфигурации. В Intune выберите Клиентские приложения>Политики конфигурации приложений>Добавить. Введите сведения о политике конфигурации и выберите Параметры конфигурации , чтобы просмотреть колонку Параметры конфигурации . Дополнительные сведения см. в статье Политики конфигурации приложений для управляемых устройств Android Enterprise — использование конструктора конфигураций.

Create группы объектов управления, называемые наборами политик

Наборы политик позволяют создать набор ссылок на уже существующие сущности управления, которые должны идентифицироваться, нацеливаться и отслеживаться как единое целое. Наборы политик не заменяют существующие понятия или объекты. Вы можете продолжать назначать отдельные объекты в Intune и ссылаться на отдельные объекты в составе набора политик. Таким образом, любые изменения в этих отдельных объектах будут отражены в наборе политик. В Intune выберите Наборы> политик Create чтобы создать новый набор политик.

Конфигурация устройства

'

Новый профиль интерфейса конфигурации встроенного ПО устройства для Windows 10 и более поздних версий (общедоступная предварительная версия)

На Windows 10 и более поздних версиях можно создать профиль конфигурации устройства для управления параметрами ифункциями (Конфигурация>устройств>Create>Windows 10 и более поздних версий для платформы). В этом обновлении появился новый тип профиля интерфейса конфигурации встроенного ПО устройства, который позволяет Intune управлять параметрами UEFI (BIOS).

Дополнительные сведения об этой функции см. в статье Использование профилей DFCI на устройствах Windows в Microsoft Intune.

Применимо к:

• Windows 10 RS5 (1809) и более поздней версии в поддерживаемом встроенном ПО

Обновление пользовательского интерфейса для создания и редактирования кругов обновления Windows 10

Мы обновили возможности пользовательского интерфейса для создания и редактирования Windows 10 кругов обновления для Intune. В пользовательский интерфейс внесены следующие изменения:

• Формат в стиле мастера, сжатый в одну колонку, который устраняет растянутые колонки, наблюдавшиеся ранее при настройке кругов обновления.
• Измененный рабочий процесс включает назначения, прежде чем завершить начальную настройку круга.
• Страница сводки, с помощью нее можно просмотреть все выполненные конфигурации перед сохранением и развертыванием нового круга обновлений. При редактировании круга обновления в сводке отображается только список элементов, заданный в категории измененных свойств.

Обновление пользовательского интерфейса для создания и редактирования политики обновления программного обеспечения iOS

Мы обновили интерфейс пользовательского интерфейса для создания и редактирования политик обновления программного обеспечения iOS для Intune. В пользовательский интерфейс внесены следующие изменения:

• Формат в стиле мастера, сжатый в одну колонку, что устраняет растянутое ранее расширение колонки при настройке политик обновления.
• Измененный рабочий процесс включает назначения, прежде чем завершить начальную настройку политики.
• Страница сводки, с помощью нее можно просмотреть все выполненные конфигурации перед сохранением и развертыванием новой политики. При редактировании политики в сводке отображается только список элементов, заданный в категории измененных свойств.

Параметры задействованного перезапуска удаляются из клиентский компонент Центра обновления Windows кругов

Как было объявлено ранее, круги обновления Windows 10 Intune теперь поддерживают параметры для крайних сроков и больше не поддерживают задействованный перезапуск. Параметры для занятой перезагрузки больше не доступны при настройке кругов обновления или управлении ими в Intune.

Это изменение соответствует последним изменениям обслуживания Windows, а на устройствах, работающих Windows 10 1903 или более поздней версии, крайние сроки заменяют конфигурации для задействованного перезапуска.

Запретить установку приложений из неизвестных источников на устройствах с рабочим профилем Android Enterprise

На устройствах с рабочим профилем Android Enterprise пользователи не могут устанавливать приложения из неизвестных источников. В этом обновлении есть новый параметр — Запретить установку приложений из неизвестных источников в личном профиле. По умолчанию этот параметр не позволяет пользователям загружать приложения из неизвестных источников в личный профиль на устройстве.

Чтобы просмотреть параметры, которые можно настроить, перейдите в раздел Параметры устройства Android Enterprise, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• Рабочий профиль Android Enterprise

Create глобального прокси-сервера HTTP на устройствах владельцев устройств Android Enterprise

На устройствах Android Enterprise вы можете настроить глобальный прокси-сервер HTTP в соответствии со стандартами веб-браузера вашей организации (Конфигурация>устройств>Create>Android Enterprise для платформы Ограничения владельца > устройства для типа >профиля Подключение).> После настройки весь ТРАФИК HTTP будет использовать этот прокси-сервер.

Чтобы настроить эту функцию и просмотреть все настроенные параметры, перейдите в раздел Параметры устройства Android Enterprise, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• владелец устройства Android Enterprise

Настройка автоматического подключения удаляется в профилях Wi-Fi администратора устройств Android и Android Enterprise

На устройствах администратора устройств Android и Android Enterprise можно создать профиль Wi-Fi для настройки различных параметров (Конфигурация>устройств>Create>Администратор устройства Android или Android Enterprise для платформы >Wi-Fi для типа профиля). В этом обновлении параметр Подключиться автоматически удаляется, так как он не поддерживается Android.

Если вы используете этот параметр в профиле Wi-Fi, возможно, вы заметили, что автоматическое подключение не работает. Вам не нужно предпринимать никаких действий, но имейте в виду, что этот параметр удален в пользовательском интерфейсе Intune.

Чтобы просмотреть текущие параметры, перейдите в раздел Параметры android Wi-Fi или Параметры Android Enterprise Wi-Fi.

Применимо к:

• Администратор устройств Android
• Android Enterprise

Новые параметры конфигурации устройств для защищенных устройств iOS и iPadOS

На устройствах iOS и iPadOS можно создать профиль для ограничения функций и параметров на устройствах (Конфигурация>устройств>Create>iOS/iPadOS для платформы >Ограничения устройств для типа профиля). В этом обновлении есть новые параметры, которые можно контролировать:

• Доступ к сетевому диску в приложении "Файлы"
• Доступ к USB-накопителю в приложении "Файлы"
• Wi-Fi всегда включен

Чтобы просмотреть эти параметры, перейдите в раздел Параметры устройства iOS, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• iOS 13.0 и более поздние версии.
• iPadOS 13.0 и более поздние версии.

Регистрация устройства

Переключение, чтобы отобразить страницу состояния регистрации только на устройствах, подготовленных с помощью встроенного интерфейса (OOBE)

Теперь можно выбрать отображение страницы состояния регистрации только на устройствах, подготовленных OOBE Autopilot.

Чтобы просмотреть новый переключатель, выберите Intune>Страница> состояния регистрации>>WindowsРегистрация устройства CreateПараметры>профиля>отображают страницу только для устройств, подготовленных с помощью встроенного интерфейса (OOBE).

Укажите, какие версии операционной системы Android регистрировать с помощью рабочего профиля или регистрации администратора устройства.

Используя ограничения Intune типа устройства, можно использовать версию ОС устройства, чтобы указать, какие устройства пользователей будут использовать регистрацию рабочего профиля Android Enterprise или регистрацию администратора устройств Android. Дополнительные сведения см. в статье Установка ограничений регистрации.

Управление устройствами

Intune поддерживает iOS 11 и более поздних версий

Intune регистрация и Корпоративный портал теперь поддерживают iOS 11 и более поздних версий. Более старые версии не поддерживаются.

Новые ограничения для переименования устройств Windows

При переименовании устройства с Windows необходимо соблюдать новые правила:

• 15 символов или меньше (должно быть меньше или равно 63 байтам, не включая конечный null)
• Не допускается значение NULL или пустая строка
• Разрешенные символы ASCII: буквы (a–z, A–Z), цифры (0–9) и дефисы
• Разрешено в Юникоде: символы >= 0x80, должны быть допустимыми UTF8, должны быть idN-mappable (то есть RtlIdnToNameprepUnicode успешно; см. RFC 3492).
• Имя не должно состоять из одних цифр.
• В имени нет пробелов.
• Запрещенные символы: { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)

Дополнительные сведения см. в статье Переименование устройства в Intune.

Новый отчет Android на странице обзора устройств

В новом отчете на странице "Обзор устройств" отображается количество устройств Android, зарегистрированных в каждом решении для управления устройствами. На этой диаграмме показано число устройств с рабочим профилем, полностью управляемым, выделенным и зарегистрированным администратором устройства. Чтобы просмотреть отчет, выберите Intune>Устройства>Обзор.

Безопасность устройств

Базовые показатели Microsoft Edge (предварительная версия)

Мы добавили предварительную версию базовых показателей безопасности для параметров Microsoft Edge.

Сертификаты PKCS для macOS

Теперь вы можете использовать сертификаты PKCS с macOS. Вы можете выбрать сертификат PKCS в качестве типа профиля для macOS и развернуть сертификаты пользователей и устройств с настраиваемыми полями альтернативного имени субъекта и субъекта.

Сертификат PKCS для macOS также поддерживает новый параметр Разрешить доступ всем приложениям. С помощью этого параметра вы можете включить доступ ко всем связанным приложениям к закрытому ключу сертификата. Дополнительные сведения об этом параметре см. в документации Apple по адресу https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf.

Производные учетные данные для подготовки мобильных устройств iOS с помощью сертификатов

Intune поддерживает использование производных учетных данных в качестве метода проверки подлинности, а также для подписывания и шифрования S/MIME для устройств iOS. Производные учетные данные — это реализация стандарта 800-157 Национального института стандартов и технологий (NIST) для развертывания сертификатов на устройствах.

Производные учетные данные зависят от использования карта проверки личных удостоверений (PIV) или общей карточки доступа (CAC), например смарт-карта. Чтобы получить производные учетные данные для своего мобильного устройства, пользователи запускают в приложении Корпоративный портал и следуют рабочему процессу регистрации, уникальному для используемого поставщика. Общим для всех поставщиков является требование использовать смарт-карта на компьютере для проверки подлинности в производном поставщике учетных данных. Затем этот поставщик выдает на устройство сертификат, производный от интеллектуальной карта пользователя.

Intune поддерживает следующие поставщики производных учетных данных:

• DISA Purebred
• Entrust
• Intercede

Производные учетные данные используются в качестве метода проверки подлинности для профилей конфигурации устройств для VPN, Wi-Fi и электронной почты. Их также можно использовать для проверки подлинности приложения, а также подписывания и шифрования S/MIME.

Дополнительные сведения о стандарте см. в разделе Производные учетные данные PIV на www.nccoe.nist.gov.

Используйте API Graph, чтобы указать локальное имя участника-пользователя в качестве переменной для сертификатов SCEP.

При использовании Intune API Graph можно указать onPremisesUserPrincipalName в качестве переменной для альтернативного имени субъекта (SAN) для сертификатов SCEP.

'

Microsoft 365 Управление устройствами

Улучшенные возможности администрирования в Microsoft 365 Управление устройствами

Обновленный и упрощенный интерфейс администрирования теперь доступен в рабочей области Microsoft 365 Управление устройствами специалиста по адресу https://endpoint.microsoft.com, в том числе:

• Обновленная навигация. Вы найдете упрощенную навигацию первого уровня, которая логически группируют функции.
• Новые фильтры платформ. На страницах Устройства и приложения можно выбрать одну платформу, на которой отображаются только политики и приложения для выбранной платформы.
• Новая домашняя страница: на новой домашней странице быстро отображается работоспособность служб, состояние клиента, новости и т. д. Дополнительные сведения об этих улучшениях см. в записи блога Enterprise Mobility + Security на веб-сайте Microsoft Tech Community.

Знакомство с узлом Endpoint Security в Microsoft 365 Управление устройствами

Узел Endpoint Security теперь общедоступен в Microsoft 365 Управление устройствами рабочей области специалиста по адресу https://endpoint.microsoft.com, которая объединяет возможности для защиты конечных точек, например:

• Базовые показатели безопасности. Предварительно настроенная группа параметров, помогающая применять известные группы параметров и значения по умолчанию, рекомендованные корпорацией Майкрософт.
• Задачи безопасности. Воспользуйтесь преимуществами Microsoft Defender для управления угрозами и уязвимостями конечных точек (TVM) и используйте Intune для устранения уязвимостей конечных точек.
• Microsoft Defender для конечной точки: интегрированные Microsoft Defender для конечной точки для предотвращения нарушений безопасности".

Эти параметры будут по-прежнему доступны с других применимых узлов, таких как устройства. Текущее настроенное состояние будет одинаковым независимо от того, где вы обращаетесь к этим возможностям и включаете их.

Дополнительные сведения об этих улучшениях см. в записи блога Intune успеха клиентов на веб-сайте Microsoft Tech Community.

Сентябрь 2019

Управление приложениями

Управляемые частные бизнес-приложения Google Play

Intune теперь ИТ-администраторы могут публиковать частные бизнес-приложения Android в Управляемом Google Play с помощью iframe, встроенного в консоль Intune. Ранее ИТ-администраторам требовалось публиковать бизнес-приложения непосредственно в консоли публикации Google Play, что требовало нескольких действий и занимало много времени. Эта новая функция позволяет легко публиковать бизнес-приложения с минимальным набором шагов, не выходя из консоли Intune. Администраторам больше не нужно будет вручную регистрироваться в качестве разработчика в Google, и больше не нужно будет платить Google $ 25 за регистрацию. Любой из сценариев управления Android Enterprise, в котором используется Управляемый Google Play, может воспользоваться этой функцией (рабочий профиль, выделенные, полностью управляемые и незарегистрированные устройства). В Intune выберите Клиентские приложения>Приложения>Добавить. Затем выберите Управляемый Google Play в списке Тип приложения . Дополнительные сведения об управляемых приложениях Google Play см. в статье Добавление управляемых приложений Google Play на устройства Android Enterprise с помощью Intune.

Взаимодействие с Windows Корпоративный портал

Корпоративный портал Windows обновляется. На странице Приложения в Корпоративный портал Windows можно использовать несколько фильтров. Страница Сведений об устройстве также обновляется с улучшением пользовательского интерфейса. Мы находимся в процессе развертывания этих обновлений для всех клиентов и ожидаем, что они будут завершены к концу следующей недели.

Поддержка macOS для веб-приложений

Веб-приложения, которые позволяют добавить ярлык к URL-адресу в Интернете, можно установить в dock с помощью Корпоративный портал macOS. Конечные пользователи могут получить доступ к действию Установить на странице сведений о приложении для веб-приложения в Корпоративный портал macOS. Дополнительные сведения о типе приложения веб-ссылки см. в разделах Добавление приложений в Microsoft Intune и Добавление веб-приложений в Microsoft Intune.

Поддержка macOS для приложений VPP

Приложения macOS, приобретенные с помощью Apple Business Manager, отображаются в консоли при синхронизации маркеров Apple VPP в Intune. Вы можете назначать, отзывать и переназначить лицензии устройств и пользователей для групп с помощью консоли Intune. Microsoft Intune помогает управлять приложениями VPP, приобретенными для использования в вашей компании, с помощью:

• Предоставление сведений о лицензии из магазина приложений.
• Отслеживание количества использованных лицензий.
• Помогает предотвратить установку большего количества копий приложения, чем у вашей организации.

Дополнительные сведения о Intune и VPP см. в статье Управление приложениями и книгами, приобретенными томами, с помощью Microsoft Intune.

Поддержка управляемых iframe в Google Play

Intune теперь обеспечивает поддержку добавления веб-ссылок и управления ими непосредственно в консоли Intune с помощью управляемого iframe Google Play. Эта функция позволяет ИТ-администраторам отправлять URL-адреса и графические значки, а затем развертывать эти ссылки на устройствах, как и в обычных приложениях Android. Любой из сценариев управления Android Enterprise, в котором используется Управляемый Google Play, может воспользоваться этой функцией (рабочий профиль, выделенные, полностью управляемые и незарегистрированные устройства). В Intune выберите Клиентские приложения>Приложения>Добавить. Затем выберите Управляемый Google Play в списке Тип приложения . Дополнительные сведения об управляемых приложениях Google Play см. в статье Добавление управляемых приложений Google Play на устройства Android Enterprise с помощью Intune.

Автоматическая установка бизнес-приложений Android на устройствах Zebra

При установке бизнес-приложений Android (LOB) на устройствах Zebra вместо запроса на скачивание и установку бизнес-приложения вы можете установить приложение автоматически. В Intune выберите Клиентские приложения>Приложения>Добавить. В области Выбор типа приложения выберите Бизнес-приложение. Дополнительные сведения см. в статье Добавление бизнес-приложения Android в Microsoft Intune.

В настоящее время после скачивания бизнес-приложения на устройстве пользователя появится уведомление об успешном скачивании . Уведомление можно закрыть, только нажав кнопку Очистить все в оттенке уведомления. Эта проблема с уведомлениями будет устранена в предстоящем выпуске, и установка будет выполняться без каких-то визуальных индикаторов.

Операции чтения и записи API Graph для приложений Intune

Приложения могут вызывать Intune API Graph с операциями чтения и записи с помощью удостоверения приложения без учетных данных пользователя. Дополнительные сведения о доступе к microsoft API Graph для Intune см. в статье Работа с Intune в Microsoft Graph.

Защищенный общий доступ к данным и шифрование для пакета SDK для приложений Intune для iOS

Пакет SDK для приложений Intune для iOS будет использовать 256-разрядные ключи шифрования, если шифрование включено политиками защиты приложений. Все приложения должны иметь пакет SDK версии 8.1.1, чтобы разрешить общий доступ к защищенным данным.

Обновления приложения Microsoft Intune

Приложение Microsoft Intune для Android получило такие обновления:

• В интерфейс добавлена нижняя панель навигации с основными действиями.
• Добавлена еще одна страница с профилем пользователя.
• Теперь отображаются уведомления с возможностью совершения действий пользователем, таких как обновление параметров устройства.
• Теперь отображаются пользовательские push-уведомления для согласования приложения с приложением Корпоративного портала для iOS и Android, в которое недавно добавлена такая поддержка. Дополнительные сведения см. в статье Отправка настраиваемых уведомлений в Intune. ""

Для устройств iOS настройте экран конфиденциальности процесса регистрации Корпоративный портал

С помощью Markdown можно настроить экран конфиденциальности Корпоративный портал, который пользователи видят во время регистрации iOS. В частности, можно настроить список вещей, которые ваша организация не может видеть или делать на устройстве. Дополнительные сведения см. в разделе Настройка приложения Корпоративный портал Intune.

Конфигурация устройства

Поддержка профилей VPN IKEv2 для iOS

В этом обновлении можно создать профили VPN для собственного VPN-клиента iOS с помощью протокола IKEv2. IKEv2 — это новый тип подключения вразделе Конфигурация>устройств>Create>iOS для VPN платформы > для типа >профиля Тип подключения.

Эти профили VPN настраивают собственный VPN-клиент, поэтому приложения VPN-клиента не устанавливаются и не отправляются на управляемые устройства. Для этой функции требуется, чтобы устройства были зарегистрированы в Intune (регистрация MDM).

Чтобы просмотреть текущие параметры VPN, которые можно настроить, перейдите в раздел Настройка параметров VPN на устройствах iOS.

Применимо к:

• iOS

Функции устройств, ограничения устройств и профили расширений для параметров iOS и macOS отображаются по типу регистрации

В Intune вы создаете профили для устройств iOS и macOS (конфигурация>устройств>Create>iOS или macOS для функций платформы>, ограничения устройств или расширения для типа профиля).

В этом обновлении доступные параметры в центре администрирования Intune классифицируются по типу регистрации, к которым они применяются:

• iOS

  • Регистрация пользователей
  • Регистрация устройства
  • Автоматическая регистрация устройств (защищенное)
  • Все типы регистрации

• macOS

  • Утверждено пользователем
  • Регистрация устройства
  • Автоматическая регистрация устройств
  • Все типы регистрации

Применимо к:

• iOS

Новые параметры голосового управления для защищенных устройств iOS, работающих в режиме киоска

В Intune можно создать политики для запуска защищенных устройств iOS в качестве киоска или выделенного устройства (Конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для типа > профиля Киоск).

В этом обновлении есть новые параметры, которые можно контролировать:

• Голосовое управление. Включает голосовое управление на устройстве в режиме киоска.
• Изменение голосового управления. Разрешить пользователям изменять параметр Голосовое управление на устройстве в режиме киоска.

Чтобы просмотреть текущие параметры, перейдите в раздел Параметры киоска iOS.

Применимо к:

• iOS 13.0 и более поздних версий

Использование единого входа для приложений и веб-сайтов на устройствах iOS и macOS

В этом обновлении появились новые параметры единого входа для устройств iOS и macOS (конфигурация>устройств>Create>iOS или macOS для платформы >Функции устройства для типа профиля).

Эти параметры используются для настройки единого входа, особенно для приложений и веб-сайтов, использующих проверку подлинности Kerberos. Вы можете выбрать между универсальным расширением приложения единого входа с учетными данными или встроенным расширением Kerberos от Apple.

Чтобы просмотреть текущие функции устройств, которые можно настроить, перейдите к разделу Функции устройств iOS и функции устройств macOS.

Применимо к:

• iOS 13.' и более новые
• macOS 10.15 или более поздней версии.

Связывание доменов с приложениями на устройствах macOS 10.15 и более поздних версий

На устройствах macOS можно настроить различные функции и отправить их на устройства с помощью политики (Конфигурация>устройств>Create>macOS для платформы >Функции устройства для типа профиля). В этом обновлении можно связать домены с приложениями. Эта функция помогает делиться учетными данными с веб-сайтами, связанными с приложением, и может использоваться с расширением единого входа Apple, универсальными ссылками и автоматическим заполнением пароля.

Чтобы просмотреть текущие функции, которые можно настроить, перейдите в раздел Параметры функций устройства macOS в Intune.

Применимо к:

• macOS 10.15 и более поздние версии.

Использование "iTunes" и "apps" в URL-адресе магазина приложений iTunes при отображении или скрытии приложений на защищенных устройствах iOS

В Intune можно создавать политики для отображения или скрытия приложений на защищенных устройствах iOS (Конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для типа > профиля Показывать или скрывать приложения).

Вы можете ввести URL-адрес магазина приложений iTunes, например https://itunes.apple.com/us/app/work-folders/id950878067?mt=8. В этом обновлении в URL-адресе можно использовать и appsitunes , например:

• https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
• https://apps.apple.com/us/app/work-folders/id950878067?mt=8

Дополнительные сведения об этих параметрах см. в статье Отображение и скрытие приложений.

Применимо к:

• iOS

Windows 10 значения типа пароля политики соответствия понятнее и соответствуют CSP

На Windows 10 устройствах можно создать политику соответствия требованиям, которая требует определенных функций паролей (политики>соответствия> устройств Create политика>Windows 10 и более поздних версий для системной безопасности платформы>). В этом обновлении:

• Значения типа пароля более понятны и обновлены в соответствии с поставщиком CSP DeviceLock/AlphanumericDevicePasswordRequired.
• Параметр Срок действия пароля (дни) обновлен, чтобы разрешить значения от 1 до 730 дней.

Дополнительные сведения о параметрах соответствия Windows 10 см. в разделе Windows 10 и более поздних версий, чтобы пометить устройства как соответствующие или несоответствующие.

Применимо к:

• Windows 10 и более поздние версии

Обновленный пользовательский интерфейс для настройки локального доступа к Microsoft Exchange

Мы обновили консоль, в которой вы настраиваете локальный доступ к Microsoft Exchange. Все конфигурации локального доступа к Exchange теперь доступны на той же панели консоли, где вы включаете локальное управление доступом Exchange.

Разрешить или ограничить добавление мини-приложений на начальный экран на устройствах с рабочим профилем Android Enterprise

На устройствах Android Enterprise можно настроить функции в рабочем профиле (Конфигурация>устройств>Create>Профиль >Android Enterprise для платформы > Только ограничения устройств для типа профиля). В этом обновлении можно разрешить пользователям добавлять мини-приложения, предоставляемые приложениями рабочего профиля, на начальный экран устройства.

Чтобы просмотреть параметры, которые можно настроить, перейдите в раздел Параметры устройства Android Enterprise, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• Рабочий профиль Android Enterprise

Регистрация устройства

Новые клиенты по умолчанию будут удалены от управления администраторами устройств Android

Возможности администратора устройств Android были заменены Android Enterprise. Поэтому вместо этого рекомендуется использовать Android Enterprise для новых регистраций. В будущем обновлении новым клиентам потребуется выполнить следующие предварительные действия в разделе Регистрация Android, чтобы использовать управление администраторами устройств. Перейдите в раздел Intune>Регистрация>устройств Android>Личные и корпоративные устройства с правами> администрирования устройствИспользуйте администратор устройств для управления устройствами.

Существующие клиенты не будут испытывать никаких изменений в своих средах.

Дополнительные сведения об администраторе устройств Android в Intune см. в разделе Регистрация администратора устройств Android.

Список устройств DEP, связанных с профилем

Теперь вы можете просмотреть страничный список устройств Программы автоматической регистрации устройств Apple (DEP), связанных с профилем. Поиск в списке можно выполнять на любой странице списка. Чтобы просмотреть список, перейдите в раздел Intune>Регистрация> AppleРегистрация Токены> программырегистрации> Apple выберите токен >Профили> выбирают профиль >Назначенные устройства (в разделе Монитор).

Регистрация пользователей iOS в предварительной версии

Выпуск Apple iOS 13.1 включает регистрацию пользователей, новую форму упрощенного управления для устройств iOS. Его можно использовать вместо регистрации устройств или автоматической регистрации устройств (ранее — программа регистрации устройств) для личных устройств. Предварительная версия Intune поддерживает этот набор функций, позволяя:

• Целевая регистрация пользователей для групп пользователей.
• Предоставьте конечным пользователям возможность выбирать между более легкой регистрацией пользователей или более надежной регистрацией устройств при регистрации своих устройств.

Начиная с 24.09.2019 с выпуском iOS 13.1, мы находимся в процессе развертывания этих обновлений для всех клиентов и ожидаем, что они будут завершены к концу следующей недели.

Применимо к:

• iOS 13.1 и более поздних версий

Управление устройствами

Дополнительная поддержка полностью управляемого android

Мы добавили следующую поддержку для полностью управляемых устройств Android:

• Сертификаты SCEP для полностью управляемого Android доступны для проверки подлинности сертификатов на устройствах, управляемых в качестве владельца устройства. Сертификаты SCEP уже поддерживаются на устройствах с рабочим профилем. С помощью сертификатов SCEP для владельца устройства вы можете:
  • создание профиля SCEP в разделе DO Android Enterprise
  • связывание сертификатов SCEP с профилем DO Wi-Fi для проверки подлинности
  • связывание сертификатов SCEP с профилями DO VPN для проверки подлинности
  • связывание сертификатов SCEP с профилями DO Email для проверки подлинности (с помощью AppConfig)
• Системные приложения поддерживаются на устройствах Android Enterprise. В Intune добавьте системное приложение Android Enterprise, выбрав Клиентские приложения>Добавить приложения>. В списке Тип приложения выберите Системное приложение Android Enterprise. Дополнительные сведения см. в статье Добавление системных приложений Android Enterprise в Microsoft Intune.
• В разделе Соответствие устройств>Android Enterprise>Device Owner можно создать политику соответствия требованиям, которая задает уровень аттестации Google SafetyNet.
• На полностью управляемых устройствах Android Enterprise поддерживаются поставщики мобильной защиты от угроз. В разделе Соответствие устройств>Android Enterprise Device Owner (Владелец устройстваAndroid Enterprise>) можно выбрать допустимый уровень угрозы. Параметры Android Enterprise для пометки устройств как совместимых или несовместимых с помощью Intune перечисляет текущие параметры.
• На полностью управляемых устройствах Android Enterprise приложение Microsoft Launcher теперь можно настроить с помощью политик конфигурации приложений, чтобы обеспечить стандартизированный интерфейс пользователя на полностью управляемом устройстве. Приложение Microsoft Launcher можно использовать для персонализации устройства Android. Используя приложение вместе с учетной записью Майкрософт или рабочей или учебной учетной записью, вы можете получить доступ к календарю, документам и недавним действиям в персонализированном веб-канале.

В этом обновлении теперь общедоступна Intune поддержка Android Enterprise Fully Managed.

Применимо к:

• Полностью управляемые устройства Android Enterprise

Отправка пользовательских уведомлений на одно устройство

Теперь можно выбрать одно устройство, а затем использовать действие удаленного устройства для отправки настраиваемого уведомления только на это устройство.

Действия очистки и сброса секретного кода недоступны для устройств iOS, зарегистрированных с помощью регистрации пользователей.

Регистрация пользователей — это новый тип регистрации устройств Apple. При регистрации устройств с помощью регистрации пользователей удаленные действия очистки и сброса секретного кода будут недоступны для таких устройств.

Intune поддержка устройств iOS 13 и macOS Catalina

Intune теперь поддерживает управление устройствами iOS 13 и macOS Catalina. Дополнительные сведения см. в записи блога о поддержке Microsoft Intune для iOS 13 и iPadOS.

Intune поддержка устройств iPadOS и iOS 13.1

Intune теперь поддерживает управление устройствами iPadOS и iOS 13.1. Дополнительные сведения см. в этой записи блога.

Безопасность устройств

Поддержка BitLocker для смены паролей на основе восстановления на основе клиента

Используйте Intune параметры Endpoint Protection, чтобы настроить смену паролей восстановления на основе клиента для BitLocker на устройствах под управлением Windows версии 1909 или более поздней.

Этот параметр инициирует обновление пароля восстановления на основе клиента после восстановления диска ОС (с помощью bootmgr или WinRE) и разблокирует пароль восстановления на фиксированном диске с данными. Этот параметр обновляет конкретный используемый пароль восстановления, а другие неиспользуемые пароли на томе остаются неизменными. Дополнительные сведения см. в документации по BitLocker CSP для ConfigureRecoveryPasswordRotation.

Защита от незаконного изменения для антивирусной программы Защитник Windows

Используйте Intune для управления защитой от незаконного изменения для антивирусной программы Защитник Windows. Параметр защиты от незаконного изменения можно найти в группе Центр безопасности в Microsoft Defender при использовании профилей конфигурации устройств для защиты Windows 10 конечных точек. Вы можете задать для параметра Защита от незаконного изменения значение Включено , чтобы включить ограничения защиты от временных настроек , отключить их , или установить параметр Не настроено , чтобы оставить текущую конфигурацию устройства на месте.

Дополнительные сведения о защите от незаконного изменения см. в статье Предотвращение изменения параметров безопасности с помощью защиты от незаконного изменения документации Windows.

Расширенные параметры брандмауэра Защитник Windows теперь общедоступны

Защитник Windows настраиваемые правила брандмауэра для защиты конечных точек, которые настраиваются как часть профиля конфигурации устройства, недоступны для общедоступной предварительной версии и являются общедоступными. Эти правила можно использовать для указания входящего и исходящего поведения приложений, сетевых адресов и портов. Эти правила были выпущены в июле в качестве общедоступной предварительной версии.

Управление и устранение неполадок

Intune обновление пользовательского интерфейса — панель мониторинга состояния клиента

Пользовательский интерфейс панели мониторинга состояния клиента обновлен в соответствии со стилями пользовательского интерфейса Azure. Дополнительные сведения см. в разделе Состояние клиента.

Управление доступом на основе ролей

Теги области теперь поддерживают политики условий использования

Теперь вы можете назначать область теги политикам условий использования. Для этого перейдите в раздел Intune>Условия регистрации>>устройств выберите элемент в списке >Свойства>Теги> области выберите тег область.

Август 2019

Управление приложениями

Управление поведением удаления приложений iOS при отмене регистрации устройства

Администраторы могут управлять удалением или сохранением приложения на устройстве при отмене регистрации устройства на уровне пользователя или группы устройств.

Классификация приложений Microsoft Store для бизнеса

Вы можете классифицировать приложения Microsoft Store для бизнеса. Для этого выберите Intune>Клиентные приложения>Выберите>категориюсведений о> приложении Microsoft Store для бизнеса.> В раскрывающемся меню назначьте категорию.

Настраиваемые уведомления для пользователей приложений Microsoft Intune

Приложение Microsoft Intune для Android теперь поддерживает отображение пользовательских push-уведомлений, что соответствует поддержке, недавно добавленной в приложениях Корпоративный портал для iOS и Android. Дополнительные сведения см. в статье Отправка настраиваемых уведомлений в Intune.

Конфигурация устройства

Настройка параметров Microsoft Edge с помощью административных шаблонов для Windows 10 и более новых версий

На Windows 10 и более новых устройствах можно создавать административные шаблоны для настройки параметров групповой политики в Intune. В этом обновлении можно настроить параметры, которые применяются к Microsoft Edge версии 77 и более поздних.

Дополнительные сведения об административных шаблонах см. в статье Использование шаблонов Windows 10 для настройки параметров групповой политики в Intune.

Применимо к:

• Windows 10 и более поздних версий (Windows RS4+)

Новые возможности выделенных устройств Android Enterprise в режиме нескольких приложений

В Intune вы можете управлять функциями и параметрами в режиме киоска на выделенных устройствах Android Enterprise (Конфигурация>устройств>Create>Android Enterpriseтолько для владельца устройства платформы>, Ограничения устройств для типа профиля).

В этом обновлении добавляются следующие функции:

• Выделенные устройства>Несколько приложений: кнопку "Виртуальный домой" можно показать, проведя пальцем вверх по устройству или плавая по экрану, чтобы пользователи могли перемещать ее.
• Выделенные устройства>Использование нескольких приложений: доступ к фонарику позволяет пользователям использовать фонарик.
• Выделенные устройства>Несколько приложений. Элемент управления громкость мультимедиа позволяет пользователям управлять громкость мультимедиа устройства с помощью ползунка.
• Выделенные устройства>Использование нескольких приложений: включение скринсейвера, отправка пользовательского изображения и управление при отображении скринсейвера.

Чтобы просмотреть текущие параметры, перейдите в раздел Параметры устройства Android Enterprise, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• Выделенные устройства Android Enterprise

Новые профили приложений и конфигурации для полностью управляемых устройств Android Enterprise

С помощью профилей можно настроить параметры, которые применяют параметры VPN, электронной почты и Wi-Fi к устройствам владельца устройства Android Enterprise (полностью управляемого). В этом обновлении можно:

• Используйте политики конфигурации приложений для развертывания параметров Outlook, Gmail и Девяти рабочих сообщений электронной почты.
• Используйте профили конфигурации устройств для развертывания параметров доверенного корневого сертификата.
• Используйте профили конфигурации устройств для развертывания параметров VPN и Wi-Fi .

Важно!

С помощью этой функции пользователи проходят проверку подлинности с использованием имени пользователя и пароля для профилей VPN, Wi-Fi и электронной почты. В настоящее время проверка подлинности на основе сертификатов недоступна.

Применимо к:

• Владелец устройства Android Enterprise (полностью управляемый)

Управление приложениями, файлами, документами и папками, которые открываются при входе пользователей на устройства macOS

Вы можете включить и настроить функции на устройствах macOS (Конфигурация>устройств>Create>macOS для платформы >Функции устройства для типа профиля).

В этом обновлении есть новый параметр Элементы входа, который позволяет управлять тем, какие приложения, файлы, документы и папки открываются при входе пользователя на зарегистрированное устройство.

Чтобы просмотреть текущие параметры, перейдите к разделу Параметры функций устройства macOS в Intune.

Применимо к:

• macOS

Крайние сроки заменяют параметры задействованного перезапуска для клиентский компонент Центра обновления Windows кругов

В соответствии с последними изменениями в обслуживании Windows круги обновления Windows 10 Intune теперь поддерживают параметры крайних сроков. Крайние сроки определяют, когда устройство устанавливает обновления компонентов и системы безопасности. На устройствах, работающих Windows 10 1903 или более поздней версии, крайние сроки заменяют конфигурации для задействованного перезапуска. В будущем сроки заменят задействованный перезапуск в более ранних версиях Windows 10 также.

Если вы не настроите крайние сроки, устройства по-прежнему будут использовать свои параметры перезапуска, однако Intune не рекомендуется поддерживать параметры задействованного перезапуска в будущем обновлении.

Запланируйте использование крайних сроков для всех Windows 10 устройств. После установки параметров крайних сроков можно изменить конфигурации Intune для задействованного перезапуска, чтобы они не были настроены. Если задано значение Не настроено, Intune перестает управлять этими параметрами на устройствах, но не удаляет последние конфигурации для параметра с устройства. Таким образом, последние конфигурации, заданные для включенного перезапуска, остаются активными и используются на устройствах до тех пор, пока эти параметры не будут изменены методом, отличным от Intune. Позже, когда изменится версия Windows для устройств или когда Intune поддержка крайних сроков будет расширена до версии Windows для устройств, устройство начнет использовать новые параметры, которые уже установлены.

Поддержка нескольких соединителей сертификатов Microsoft Intune

Intune теперь поддерживает установку и использование нескольких соединителей сертификатов Microsoft Intune для операций PKCS. Это изменение поддерживает балансировку нагрузки и высокую доступность соединителя. Каждый экземпляр соединителя может обрабатывать запросы сертификатов от Intune. Если один соединитель недоступен, другие соединители продолжают обрабатывать запросы.

Чтобы использовать несколько соединителей, не нужно обновлять программное обеспечение соединителя до последней версии.

Новые параметры и изменения существующих параметров для ограничения функций на устройствах iOS и macOS

Вы можете создавать профили для ограничения параметров на устройствах под управлением iOS и macOS (Конфигурация>устройств>Create>iOS или macOS для типов >платформы Ограничения устройств). Это обновление включает в себя следующие функции:

• Вограничениях> устройств macOS>в облаке и хранилище используйте новый параметр Передачи, чтобы запретить пользователям начать работу на одном устройстве macOS и продолжить работу на другом устройстве macOS или iOS.

  Чтобы просмотреть текущие параметры, перейдите в раздел Параметры устройства macOS, чтобы разрешить или ограничить функции с помощью Intune.

• Вограничениях устройствiOS> есть несколько изменений:

  • Встроенные приложения>Поиск iPhone (только в защищенном режиме) — новый параметр, который блокирует эту функцию в функции "Найти мое приложение".
  • Встроенные приложения>Поиск друзей (только в защищенном режиме) — новый параметр, который блокирует эту функцию в функции "Найти мое приложение". ​
  • Беспроводной>Изменение состояния Wi-Fi (только в защищенном режиме) — новый параметр, который запрещает пользователям включать или отключать Wi-Fi на устройстве.
  • Клавиатура и словарь>QuickPath (только в защищенном режиме) — новый параметр, который блокирует функцию QuickPath.
  • Облако и хранилище. Продолжение действия переименовано в Handoff.

  Чтобы просмотреть текущие параметры, перейдите в раздел Параметры устройства iOS, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• macOS 10.15 и более поздние версии.
• iOS 13 и более поздней версии

Некоторые неконтролируемые ограничения устройств iOS станут защищенными только с выпуском iOS 13.0

В этом обновлении некоторые параметры применяются к защищенным устройствам с выпуском iOS 13.0. Если эти параметры настроены и назначены неконтролируемым устройствам до выпуска iOS 13.0, эти параметры по-прежнему применяются к этим неконтролируемым устройствам. Они также применяются после обновления устройств до iOS 13.0. Эти ограничения удаляются на неконтролируемых устройствах, резервные копии которых создаются и восстанавливаются.

К этим параметрам относятся:

• App Store, просмотр документов, игры
  • Магазин приложений
  • Явное содержимое iTunes, музыка, подкаст или содержимое новостей
  • Добавление друзей в Game Center
  • Многопользовательские игры
• Встроенные приложения
  • Камера
    • Facetime
  • Safari
    • Автозаполнение
• Облако и хранилище
  • Резервное копирование в iCloud
  • Блокировка синхронизации документов iCloud
  • Блокировать синхронизацию цепочки ключей с iCloud

Чтобы просмотреть текущие параметры, перейдите в раздел Параметры устройства iOS, чтобы разрешить или ограничить функции с помощью Intune.

Применимо к:

• iOS 13.0 и более поздние версии.

Улучшено состояние устройства для шифрования FileVault для macOS

Мы обновили несколько сообщений о состоянии устройства для шифрования FileVault на устройствах macOS.

Некоторые Защитник Windows параметры проверки антивирусной программы в отчете отображают состояние "Сбой"

В Intune можно создать политики для проверки Защитник Windows антивирусной программы для Windows 10 устройств (Конфигурация>устройств>Create>Windows 10 и более поздних версий на наличие ограничений платформы> Устройства для типа >профиля.Защитник Windows Антивирусная программа). В параметрах Время выполнения ежедневной быстрой проверки и Тип проверки системы для создания отчетов отображается состояние сбоя, если это состояние успешного выполнения.

В этом обновлении это поведение исправлено. Таким образом, в параметрах Время выполнения ежедневной быстрой проверки и Тип проверки системы для выполнения параметров отображается состояние успешного завершения сканирования, а в случае неудачного применения параметров отображается состояние сбоя.

Дополнительные сведения о параметрах антивирусной программы Защитник Windows см. в разделе Windows 10 (и более новых) параметров устройства для разрешения или ограничения функций с помощью Intune.

Zebra Technologies — это поддерживаемый oem для OEMConfig на устройствах Android Enterprise

В Intune можно создавать профили конфигурации устройств и применять параметры к устройствам Android Enterprise с помощью OEMConfig (Конфигурация>устройств>Create>Android enterprise для платформы >OEMConfig для типа профиля).

В этом обновлении Zebra Technologies является поддерживаемым производителем исходного оборудования (OEM) для OEMConfig. Дополнительные сведения о OEMConfig см. в статье Использование устройств Android Enterprise и управление ими с помощью OEMConfig.

Применимо к:

• Android enterprise

Регистрация устройства

Теги область по умолчанию

Теперь доступен новый встроенный тег область по умолчанию. Все объекты Intune без тегов, поддерживающие теги область, автоматически назначаются тегу область по умолчанию. Тег область по умолчанию добавляется ко всем существующим назначениям ролей для обеспечения четности с интерфейсом администратора. Если вы не хотите, чтобы администратор видел объекты Intune с тегом область по умолчанию, удалите тег область по умолчанию из назначения роли. Эта функция аналогична функции областей безопасности в Configuration Manager. Дополнительные сведения см. в статье Использование RBAC и область тегов для распределенной ИТ-службы.

Поддержка администраторов устройств регистрации Android

Параметр регистрации администратора устройства Android добавлен на страницу регистрации Android (Intune>Регистрация>Android). Администратор устройств Android по-прежнему будет включен по умолчанию для всех клиентов. Дополнительные сведения см. в разделе Регистрация администратора устройств Android.

Пропустить дополнительные экраны в помощнике по настройке

Вы можете настроить профили программы регистрации устройств, чтобы пропустить следующие экраны помощника по настройке:

• Для iOS
  • Оформление
  • Экспресс-язык
  • Предпочтительный язык
  • Миграция с устройства на устройство
• Для macOS
  • Экранное время
  • Настройка Touch ID

Дополнительные сведения о настройке помощника по настройке см. в разделе Create профиля регистрации Apple для iOS и Create профиля регистрации Apple для macOS.

Добавление столбца пользователя в процесс отправки CSV устройства Autopilot

Теперь вы можете добавить столбец пользователя в отправку CSV-файла для устройств Autopilot. Эта функция позволяет массово назначать пользователей во время импорта CSV-файла. Дополнительные сведения см. в статье Регистрация устройств Windows в Intune с помощью Windows Autopilot.

Управление устройствами

Настройка ограничения времени автоматической очистки устройства до 30 дней

Вы можете установить ограничение времени автоматической очистки устройства в течение 30 дней (вместо предыдущего ограничения в 90 дней) после последнего входа. Для этого перейдите в раздел Intune>Устройства>Настройка>правил очистки устройств.

Номер сборки, включенный на странице "Оборудование устройства Android"

Новая запись на странице Оборудование для каждого устройства Android содержит номер сборки операционной системы устройства. Дополнительные сведения см. в разделе Просмотр сведений об устройстве в Intune.

Июль 2019

Управление приложениями

Настраиваемые уведомления для пользователей и групп

Отправка пользовательских push-уведомлений из приложения Корпоративный портал пользователям на устройствах iOS и Android, которыми вы управляете с помощью Intune. Эти мобильные push-уведомления легко настраиваются с помощью бесплатного текста и могут использоваться для любых целей. Их можно нацелить на различные группы пользователей в организации. Дополнительные сведения см. в разделе Пользовательские уведомления.

Приложение Google Device Policy Controller

Теперь приложение Управляемый главный экран предоставляет доступ к приложению Google "Политика устройств Android". Приложение Управляемый главный экран — это настраиваемое средство запуска, используемое для устройств, зарегистрированных в Intune в качестве выделенных устройств Android Enterprise (AE), использующих режим киоска с несколькими приложениями. Вы можете получить доступ к приложению "Политика устройств Android" или направлять пользователей к приложению "Политика устройств Android" для поддержки и отладки. Эта возможность запуска доступна во время регистрации и блокировки устройства в Управляемый главный экран. Для использования этой функции другие установки не требуются.

Параметры защиты Outlook для устройств iOS и Android

Теперь вы можете настроить общие параметры конфигурации приложений и защиты данных для Outlook для iOS и Android с помощью простых элементов управления Intune администрирования без регистрации устройств. Общие параметры конфигурации приложения обеспечивают равенство с параметрами, которые администраторы могут включить при управлении Outlook для iOS и Android на зарегистрированных устройствах. Дополнительные сведения о параметрах Outlook см. в разделе Развертывание параметров конфигурации приложений Outlook для iOS и Android.

значки Управляемый главный экран и управляемых параметров

Обновлены значок приложения Управляемый главный экран и значок Управляемые параметры. Приложение Управляемый главный экран используется только устройствами, зарегистрированными в Intune в качестве выделенных устройств Android Enterprise (AE) и работающими в режиме киоска с несколькими приложениями. Дополнительные сведения о приложении Управляемый главный экран см. в разделе Настройка приложения Microsoft Управляемый главный экран для Android Enterprise.

Политика устройств Android на выделенных устройствах Android Enterprise

Вы можете получить доступ к приложению "Политика устройств Android" на экране отладки приложения Управляемый главный экран. Приложение Управляемый главный экран используется только устройствами, зарегистрированными в Intune в качестве выделенных устройств Android Enterprise (AE) и работающими в режиме киоска с несколькими приложениями. Дополнительные сведения см. в статье Настройка приложения Microsoft Управляемый главный экран для Android Enterprise.

Обновления Корпоративный портал iOS

Название вашей компании в запросах управления приложениями iOS заменит текущий текст "i.manage.microsoft.com". Например, пользователи будут видеть название своей компании вместо "i.manage.microsoft.com", когда пользователи пытаются установить приложение iOS из Корпоративный портал или когда пользователи разрешают управление приложением. Эта функция будет развернута для всех клиентов в течение следующих нескольких дней.

Microsoft Entra ID и APP на устройствах Android Enterprise

При подключении полностью управляемых устройств Android Enterprise пользователи теперь зарегистрируются в Microsoft Entra ID во время начальной настройки нового устройства или устройства сброса до заводских настроек. Ранее для полностью управляемого устройства после завершения настройки пользователю приходилось вручную запускать приложение Microsoft Intune, чтобы начать Microsoft Entra регистрацию. Теперь, когда пользователь попадает на домашнюю страницу устройства после начальной настройки, устройство регистрируется и регистрируется.

Помимо обновлений Microsoft Entra ID, политики защиты приложений (APP) Intune теперь поддерживаются на полностью управляемых устройствах Android Enterprise. Эта функция станет доступна по мере ее развертывания. Дополнительные сведения см. в статье Добавление управляемых приложений Google Play на устройства Android Enterprise с помощью Intune.

Конфигурация устройства

Использование "правил применимости" при создании Windows 10 профилей конфигурации устройств

Вы создаете Windows 10 профили конфигурации устройств (Конфигурация>устройств>Create>Windows 10для правил применимости платформы>). В этом обновлении можно создать правило применимости , чтобы профиль применялось только к определенному выпуску или конкретной версии. Например, создайте профиль, который включает некоторые параметры BitLocker. После добавления профиля используйте правило применимости, чтобы профиль применялось только к устройствам, работающим Windows 10 Корпоративная.

Сведения о добавлении правила применимости см. в разделе Правила применимости.

Область применения: Windows 10 и более поздних версий

Использование маркеров для добавления сведений об устройстве в настраиваемые профили для устройств iOS и macOS

Настраиваемые профили на устройствах iOS и macOS можно использовать для настройки параметров и функций, не встроенных в Intune (Конфигурация>устройств>Create>iOS или macOS для платформы >Настраиваемый для типа профиля). В этом обновлении вы можете добавлять маркеры к .mobileconfig файлам, чтобы добавить сведения об устройстве. Например, можно добавить Serial Number: {{serialnumber}} в файл конфигурации, чтобы отобразить серийный номер устройства.

Сведения о создании пользовательского профиля см. в разделе Пользовательские параметры iOS или настраиваемые параметры macOS.

Применимо к:

• iOS
• macOS

Новый конструктор конфигураций при создании профиля OEMConfig для Android Enterprise

В Intune можно создать профиль конфигурации устройства, использующий приложение OEMConfig (Профили конфигурации > устройств Create профиль > Android enterprise для платформы > OEMConfig для типа > профиля). При создании профиля откроется редактор JSON с шаблоном и значениями, которые нужно изменить.

Это обновление включает в себя Designer конфигурации с улучшенным взаимодействием с пользователем, который отображает сведения, внедренные в приложение, включая заголовки, описания и многое другое. Редактор JSON по-прежнему доступен и отображает все изменения, внесенные в Designer конфигурации.

Чтобы просмотреть текущие параметры, перейдите в раздел Использование устройств Android Enterprise и управление ими с помощью OEMConfig.

Область применения: Android Enterprise

Обновлен пользовательский интерфейс для настройки Windows Hello

Мы обновили консоль, в которой вы настраиваете Intune для использования Windows Hello для бизнеса. Все параметры конфигурации теперь доступны на той же панели консоли, где включена поддержка Windows Hello.

пакет SDK Intune PowerShell

Пакет SDK Intune PowerShell, который обеспечивает поддержку API Intune через Microsoft Graph, обновлен до версии 6.1907.1.0.

Пакет SDK теперь поддерживает:

• Работает с служба автоматизации Azure.
• Поддерживает операции чтения проверки подлинности только для приложений.
• Поддерживает понятные сокращенные имена в качестве псевдонимов.
• Соответствует соглашениям об именовании PowerShell. В частности, PSCredential параметр (в командлете Connect-MSGraph ) был переименован в Credential.
• Поддерживает ручное указание значения заголовка Content-Type при использовании командлета Invoke-MSGraphRequest .

Дополнительные сведения см. в статье Пакет SDK PowerShell для Microsoft Intune API Graph.

Управление FileVault для macOS

Вы можете использовать Intune для управления шифрованием ключа FileVault для устройств macOS. Для шифрования устройств используйте профиль конфигурации устройства для защиты конечных точек.

Поддержка FileVault включает:

• Шифрование незашифрованных устройств
• Депонирования личного ключа восстановления устройства
• Автоматическая или ручная смена личных ключей шифрования
• Получение ключей для корпоративных устройств

Пользователи также могут использовать веб-сайт Корпоративный портал, чтобы получить личный ключ восстановления для своих зашифрованных устройств.

Мы также расширили отчет о шифровании, включив в него сведения о FileVault , а также сведения о BitLocker, чтобы вы могли просматривать все сведения о шифровании устройства в одном месте.

Новые параметры Office, Windows и OneDrive в Windows 10 административных шаблонах

Вы можете создавать административные шаблоны в Intune, которые имитируют локальное управление групповой политикой (конфигурация>устройств>Create>Windows 10 и более поздних версий для административного шаблона платформы > для типа профиля).

Это обновление включает дополнительные параметры Office, Windows и OneDrive, которые можно добавить в шаблоны. С помощью этих новых параметров теперь можно настроить более 2500 параметров, которые являются 100 % облачными.

Дополнительные сведения об этой функции см. в статье Использование шаблонов Windows 10 для настройки параметров групповой политики в Intune.

Область применения: Windows 10 и более поздних версий

Регистрация устройства

Обновления для ограничений регистрации

Ограничения регистрации для новых клиентов были обновлены, так что рабочие профили Android Enterprise разрешены по умолчанию. Существующие клиенты не будут меняться. Чтобы использовать рабочие профили Android Enterprise, необходимо подключить учетную запись Intune к управляемой учетной записи Google Play.

Обновления пользовательского интерфейса для регистрации Apple и ограничения регистрации

В обоих следующих процессах используется пользовательский интерфейс в стиле мастера.

• Регистрация устройства Apple. Дополнительные сведения см. в статье Автоматическая регистрация устройств iOS с помощью программы регистрации устройств Apple.
• Создание ограничения регистрации. Дополнительные сведения см. в статье Установка ограничений регистрации.

Обработка предварительной настройки идентификаторов корпоративных устройств для устройств Android Q

В Android Q (версия 10) Google удаляет возможность для агентов MDM на устройствах Android с устаревшим управлением (администратор устройств) собирать сведения об идентификаторах устройств. Администраторы могут предварительно настроить список серийных номеров устройств или IME, которые автоматически помеируют эти устройства как корпоративные. Эта функция не будет работать на устройствах Android Q, управляемых администратором устройств. Независимо от того, передается ли серийный номер или IMEI устройства, он всегда будет считаться личным во время Intune регистрации. После регистрации вы можете вручную переключить права владения на корпоративные. Это влияет только на новые регистрации, а существующие зарегистрированные устройства не затрагиваются. Это изменение не влияет на устройства Android, управляемые с помощью рабочих профилей, и они продолжают работать так же, как и сегодня. Кроме того, устройства Android Q, зарегистрированные в качестве администратора устройств, больше не смогут сообщать серийный номер или IMEI в консоли Intune в качестве свойств устройства.

Значки изменились для регистраций Android Enterprise (рабочий профиль, выделенные устройства и полностью управляемые устройства)

Значки для профилей регистрации Android Enterprise изменились. Чтобы просмотреть новые значки, перейдите к Intune>Просмотр>регистрации> Android в разделе Профили регистрации.

Изменение сбора диагностических данных Windows

Значение по умолчанию для сбора диагностических данных изменилось для устройств под управлением Windows 10 версии 1903 и более поздних. Начиная с Windows 10 1903, сбор диагностических данных включен по умолчанию. Диагностические данные Windows — это важные технические данные с устройств Windows об устройстве, а также о производительности Windows и связанного программного обеспечения. Дополнительные сведения см. в статье Настройка диагностических данных Windows в организации. Устройства Autopilot также выбираются для полной телеметрии, если иное не задано в профиле Autopilot с помощью System/AllowTelemetry.

Сброс Windows Autopilot удаляет основного пользователя устройства

Когда на устройстве сбрасывается режим Autopilot, основной пользователь устройства удаляется. Следующий пользователь, который войдет в систему после сброса, будет назначен в качестве основного пользователя. Эта функция будет развернута для всех клиентов в течение следующих нескольких дней.

Управление устройствами

Улучшение расположения устройства

Вы можете увеличить масштаб до точных координат устройства с помощью действия Найти устройство . Дополнительные сведения о поиске потерянных устройств iOS см. в разделе Поиск потерянных устройств iOS.

Безопасность устройств

Дополнительные параметры брандмауэра Защитник Windows (общедоступная предварительная версия)

Используйте Intune для управления настраиваемыми правилами брандмауэра в рамках профиля конфигурации устройства для защиты конечных точек на Windows 10. Правила могут указывать входящее и исходящее поведение приложений, сетевых адресов и портов.

Обновленный пользовательский интерфейс для управления базовыми показателями безопасности

Мы обновили интерфейс создания и изменения в консоли Intune для наших базовых показателей безопасности. К таким изменениям относятся:

Более простой формат мастера, сжатый в одной колонке. в одной колонке. Эта новая конструкция позволяет сократить разрастание колонки, в связи с чем ИТ-специалисты должны детализировать несколько отдельных областей.
Теперь вы можете создавать назначения в рамках процесса создания и редактирования, а не возвращаться позже для назначения базовых показателей. Мы добавили сводку параметров, которые можно просмотреть перед созданием нового базового плана и при редактировании существующего. При редактировании сводка отображает только список элементов, заданных в одной категории редактируемых свойств.

Июнь 2019 г.

Управление приложениями

Настройка браузера, который может связываться с данными организации

Intune политики защиты приложений (APP) на устройствах Android и iOS теперь позволяют переносить веб-ссылки организации в определенный браузер за пределы Intune Managed Browser или Microsoft Edge. Дополнительные сведения о приложении см. в статье Что такое политики защиты приложений?.

Страница "Все приложения" определяет сетевые и автономные приложения Microsoft Store для бизнеса

На странице Все приложения теперь есть метки для идентификации приложений Microsoft Store для бизнеса (MSFB) как сетевых или автономных приложений. Теперь каждое приложение MSFB содержит суффикс для параметра "В сети" или "Вне сети". На странице сведений о приложении также содержатся сведения о типе лицензии и поддержке установки контекста устройства (только для автономных лицензированных приложений).

приложение Корпоративный портал на общих устройствах Windows

Теперь пользователи могут получать доступ к приложению Корпоративный портал на общих устройствах Windows. Пользователи увидят общую метку на плитке устройства. Эта функция применяется к приложению Windows Корпоративный портал версии 10.3.45609.0 и более поздних версий.

Просмотр всех установленных приложений с новой веб-страницы Корпоративного портала

На новой странице Установленные приложения веб-сайта Корпоративного портала приводятся все управляемые приложения (как требуемые, так и доступные), установленные на устройствах пользователя. Наряду с типом назначения пользователи могут просматривать издателя, дату публикации и текущее состояние установки приложения. Если ваша организация не опубликовала для пользователей никаких обязательных или доступных приложений, пользователи увидят сообщение о том, что ни одного корпоративного приложения не установлено. Чтобы просмотреть новую страницу в Интернете, перейдите на веб-сайт Корпоративный портал и выберите Установленные приложения.

Новое представление всех установленных на устройстве приложений для пользователей

Приложение Корпоративного портала для Windows теперь показывает все управляемые приложения (как требуемые, так и доступные), установленные на пользовательском устройстве. Пользователи также могут просматривать попытки установки и ожидающие установки приложения, а также их текущее состояние. Если ваша организация не опубликовала для пользователей никаких обязательных или доступных приложений, пользователи увидят сообщение о том, что ни одного корпоративного приложения не установлено. Чтобы открыть новое представление, в области навигации Корпоративного портала выберите Приложения>Установленные приложения.

Новые возможности в приложении Microsoft Intune

Мы добавили новые возможности в приложение Microsoft Intune (предварительная версия) для Android. Теперь на полностью управляемых устройствах Android пользователям доступны следующие возможности:

• просмотр и контроль устройств, зарегистрированных через Корпоративный портал Intune или приложение Microsoft Intune;
• обращение в службу поддержки организации;
• отправка отзывов в корпорацию Майкрософт;
• просмотр условий, назначенных их организацией.

Новые примеры приложений, демонстрирующие интеграцию пакета SDK для Intune, доступные на сайте GitHub

В учетную запись msintuneappsdk GitHub добавлены новые примеры приложений для iOS (Swift), Android, Xamarin.iOS, Xamarin Forms и Xamarin.Android. Эти приложения предназначены для дополнения существующей документации и демонстрации того, как интегрировать пакет SDK для Intune APP в собственные мобильные приложения. Если вы являетесь разработчиком приложений, которым требуется больше Intune руководства по пакету SDK, ознакомьтесь со следующими связанными примерами:

• Chatr — собственное приложение для обмена мгновенными сообщениями iOS (Swift), которое использует библиотеку проверки подлинности Azure Active Directory (ADAL) для проверки подлинности через брокер.
• Taskr — собственное приложение списка дел Android, использующее ADAL для проверки подлинности через посредника.
• Taskr — приложение со списком дел Xamarin.Android, использующее ADAL для проверки подлинности через брокер. Этот репозиторий также содержит Xamarin. Forms приложение.
• Пример приложения Xamarin.iOS — пример приложения barebones Xamarin.iOS.

Конфигурация устройства

Настройка параметров для расширений ядра на устройствах macOS

На устройствах macOS можно создать профиль конфигурации устройства (Конфигурация>устройств>Create> выбрать macOS для платформы). Это обновление включает новую группу параметров, которые позволяют настраивать и использовать расширения ядра на устройствах. Вы можете добавить определенные расширения или разрешить все расширения от определенного партнера или разработчика.

Дополнительные сведения об этой функции см. в статье Общие сведения о расширениях ядра и параметры расширений ядра.

Область применения: macOS 10.13.2 и более поздних версий

Параметр "Только приложения из Магазина" для Windows 10 устройств включает дополнительные параметры конфигурации

При создании профиля ограничений устройств для устройств Windows можно использовать параметр Приложения только из Магазина, чтобы пользователи устанавливали приложения только из App Store Windows (Конфигурация>устройств>Create>Windows 10 и более поздних версий для ограничений устройств платформы> для типа профиля). В этом обновлении этот параметр расширен для поддержки дополнительных параметров.

Чтобы просмотреть новый параметр, перейдите в раздел Windows 10 (и более новых) параметров устройства, чтобы разрешить или ограничить функции.

Область применения: Windows 10 и более поздних версий

Развертывание нескольких профилей устройств расширений мобильности Zebra на устройстве, в одной группе пользователей или одной группе устройств

В Intune вы можете использовать расширения мобильности Zebra (MX) в профиле конфигурации устройства для настройки параметров для устройств Zebra, которые не встроены в Intune. В настоящее время можно развернуть один профиль на одном устройстве. В этом обновлении можно развернуть несколько профилей в:

• Одна и та же группа пользователей
• Одна и та же группа устройств
• Одно устройство

Использование устройств Zebra и управление ими с помощью расширений Zebra Mobility Extensions в Microsoft Intune показывает, как использовать MX в Intune.

Область применения: Android

Некоторые параметры киоска на устройствах iOS задаются с помощью "Блокировать", заменяя "Разрешить"

При создании профиля ограничений устройств на устройствах iOS (Конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для типа > профиля Киоск) вы устанавливаете автоматическую блокировку, переключатель звонка, поворот экрана, кнопку спящего режима и кнопку громкости.

В этом обновлении значения: Блокировать (блокирует функцию) и Не настроено (разрешает функцию). Чтобы просмотреть параметры, перейдите в раздел Параметры устройства iOS, чтобы разрешить или ограничить функции.

Область применения: iOS

Использование идентификатора лица для проверки подлинности по паролю на устройствах iOS

При создании профиля ограничений устройств для устройств iOS можно использовать отпечаток пальца для пароля. В этом обновлении параметры пароля отпечатков пальцев также разрешают распознавание лиц (конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для типа > профиля Пароль). В результате изменились следующие параметры:

• Теперь разблокировка с помощью отпечатков пальцев — Touch ID и Face ID разблокировка.
• Изменение отпечатков пальцев (только в защищенном режиме) теперь является изменением Touch ID и Face ID (только в защищенном режиме).

Идентификатор лица доступен в iOS 11.0 и более поздних версиях. Чтобы просмотреть параметры, перейдите в раздел Параметры устройства iOS, чтобы разрешить или ограничить функции с помощью Intune.

Область применения: iOS

Ограничение возможностей игр и магазина приложений на устройствах iOS теперь зависит от региона оценок

На устройствах iOS можно разрешить или ограничить функции, связанные с играми, магазином приложений и просмотром документов (Конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для App Store типа > профиля, просмотр документов, игры). Вы также можете выбрать регион Рейтинги, например США.

В этом обновлении функция "Приложения " перемещается в дочерний регион "Рейтинги" и зависит от региона "Рейтинги". Чтобы просмотреть параметры, перейдите в раздел Параметры устройства iOS, чтобы разрешить или ограничить функции с помощью Intune.

Область применения: iOS

Регистрация устройства

Поддержка Windows Autopilot для Microsoft Entra гибридного присоединения

Windows Autopilot для существующих устройств теперь поддерживает Microsoft Entra гибридное присоединение (в дополнение к существующей поддержке Microsoft Entra присоединения). Применяется к устройствам Windows 10 версии 1809 и более поздних версий. Дополнительные сведения см. в разделе Windows Autopilot для существующих устройств.

Управление устройствами

См. сведения об уровне исправлений безопасности для устройств Android

Теперь вы можете просмотреть уровень исправлений для системы безопасности для устройств Android. Для этого выберите Intune>Устройства>Все устройства> выберите устройство> Оборудование. Уровень исправления указан в разделе Операционная система .

Назначение тегов область всем управляемым устройствам в группе безопасности

Теперь вы можете назначать область теги группе безопасности, и все устройства в группе безопасности также будут связаны с этими область тегами. Всем устройствам в этих группах также будет назначен тег область. Теги область, заданные с этой функцией, перезаписывают теги область, заданные текущим потоком тегов область устройства. Дополнительные сведения см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.

Безопасность устройств

Использование ключевое слово поиска с базовыми показателями безопасности

При создании или изменении профилей базовых показателей безопасности можно указать ключевые слова на панели нового Поиск. Панель поиска фильтрует доступные группы параметров, содержащие условия поиска.

Функция базовых показателей безопасности теперь общедоступна

Функция базовых показателей безопасности недоступна в режиме предварительной версии и теперь общедоступна. Общедоступная версия означает, что компонент готов к использованию в рабочей среде. Однако отдельные базовые шаблоны могут оставаться в предварительной версии и оцениваться и выпускаться в общедоступную версию по собственным расписаниям.

Шаблон "Базовый план безопасности MDM" стал общедоступным.

Шаблон "Базовые показатели безопасности MDM" вышел из предварительной версии и теперь является общедоступным. Шаблон общедоступной версии определяется как базовый план безопасности MDM за май 2019 г. Эта функция является новым шаблоном, а не обновлением с предварительной версии. В качестве нового шаблона необходимо просмотреть содержащиеся в нем параметры, а затем создать новые профили для развертывания шаблона на устройстве. Другие шаблоны базовых показателей безопасности могут оставаться в предварительной версии. Список доступных базовых показателей см. в разделе Доступные базовые показатели безопасности.

Помимо того, что шаблон является новым, шаблон Базовые показатели безопасности MDM за май 2019 г. включает два параметра, о которых мы недавно объявили в нашей статье о разработке:

• Выше Блокировка: голосовая активация приложений с заблокированного экрана
• DeviceGuard. Используйте безопасность на основе виртуализации (VBS) при следующей перезагрузке устройств.

Базовые показатели безопасности MDM за май 2019 г. также включают добавление нескольких новых параметров, удаление других и изменение значения по умолчанию одного параметра. Подробный список изменений с предварительной версии на общедоступную версию см. в разделе Что изменилось в новом шаблоне.

Управление версиями базовых показателей безопасности

Базовые показатели безопасности для Intune поддерживают управление версиями. Благодаря этой поддержке по мере выпуска новых версий каждого базового плана безопасности можно обновить существующие профили базовых показателей безопасности, чтобы использовать более новую базовую версию без необходимости повторного создания и развертывания новой базовой базы с нуля.

Вы также можете просмотреть сведения о каждом базовом плане. Вы можете просмотреть количество отдельных профилей, использующих базовый план, количество различных версий базовых показателей, используемых профилями, и время последнего выпуска конкретного базового плана безопасности. Дополнительные сведения см. в статье о базовых показателях системы безопасности.

Параметр Использовать ключи безопасности для входа перемещен.

Параметр конфигурации устройства для защиты идентификации с именем Использование ключей безопасности для входа больше не находится в разделе Настройка Windows Hello для бизнеса. Теперь это параметр верхнего уровня, который всегда доступен, даже если вы не включаете использование Windows Hello для бизнеса. Дополнительные сведения см. в разделе Защита идентификации.

Управление доступом на основе ролей

Новые разрешения для назначенных администраторов групп

Встроенная роль администратора учебного заведения Intune теперь имеет разрешения на создание, чтение, обновление и удаление (CRUD) для управляемых приложений. Если вы назначены администратором группы в Intune для образовательных учреждений, теперь вы можете создавать, просматривать, обновлять и удалять push-сертификат iOS MDM, маркеры сервера iOS MDM и маркеры IOS VPP вместе со всеми имеющимися у вас разрешениями. Чтобы выполнить любое из этих действий, перейдите в раздел Параметры> клиентаiOS Управление устройствами.

Приложения могут использовать API Graph для вызова операций чтения без учетных данных пользователя

Приложения могут вызывать операции Intune API Graph чтения с удостоверением приложения без учетных данных пользователя. Дополнительные сведения о доступе к microsoft API Graph для Intune см. в статье Работа с Intune в Microsoft Graph.

Применение тегов область к приложениям Microsoft Store для бизнеса

Теперь вы можете применять теги область к приложениям Microsoft Store для бизнеса. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

Май 2019 г.

Управление приложениями

Отчеты о потенциально опасных приложениях на устройствах Android

Intune теперь предоставляет дополнительные сведения о потенциально опасных приложениях на устройствах Android.

Приложение windows Корпоративный портал

Теперь в приложении Windows Корпоративный портал появится новая страница с надписью Устройства. На странице Устройства будут отображаться все зарегистрированные устройства конечных пользователей. Пользователи увидят это изменение в Корпоративный портал при использовании версии 10.3.4291.0 и более поздних версий. Сведения о настройке Корпоративный портал см. в статье Настройка приложения Microsoft Intune Корпоративный портал.

Intune политики обновляют метод проверки подлинности и Корпоративный портал установку приложений

На устройствах, уже зарегистрированных с помощью помощника по настройке с помощью одного из корпоративных методов регистрации устройств Apple, Intune не поддерживает Корпоративный портал, когда приложение устанавливается вручную из магазина приложений. Это изменение актуально только при проверке подлинности с помощью Помощника по настройке Apple во время регистрации. Это изменение также влияет только на устройства iOS, зарегистрированные с помощью:

• Конфигуратор Apple
• Apple Business Manager
• Apple School Manager
• Программа регистрации устройств Apple (DEP)

Если пользователи установят приложение Корпоративный портал из App Store, а затем попытаются зарегистрировать эти устройства через него, они получат сообщение об ошибке. Ожидается, что эти устройства будут использовать Корпоративный портал только при автоматической отправке Intune во время регистрации. Профили регистрации в Intune в портал Azure будут обновлены, чтобы можно было указать, как устройства проходят проверку подлинности и получают ли они Корпоративный портал приложение. Если вы хотите, чтобы пользователи устройств DEP имели Корпоративный портал, необходимо указать свои предпочтения в профиле регистрации.

Кроме того, удаляется экран "Определение устройства" в Корпоративный портал iOS. Поэтому администраторы, которые хотят включить условный доступ или развернуть корпоративные приложения, должны обновить профиль регистрации DEP. Это требование применяется только в том случае, если регистрация DEP проходит проверку подлинности с помощью помощника по настройке. В этом случае необходимо отправить Корпоративный портал на устройство. Для этого выберите Intune>Регистрация AppleРегистрация> AppleТокены> программырегистрации> выберите маркер >Профили> выберите для параметра Свойства> профиля >Установите Корпоративный порталзначение Да.

Чтобы установить Корпоративный портал на уже зарегистрированных устройствах DEP, необходимо перейти к Intune > Клиентские приложения и отправить его в качестве управляемого приложения с политиками конфигурации приложений.

Настройка того, как конечные пользователи обновляют бизнес-приложение с помощью политики защиты приложений

Теперь вы можете настроить, где конечные пользователи могут получить обновленную версию бизнес-приложения (LOB). Пользователи увидят эту функцию в диалоговом окне условного запуска минимальной версии приложения , в котором пользователям будет предложено обновить бизнес-приложение до минимальной версии. Эти сведения об обновлении необходимо указать в рамках политики защиты бизнес-приложений (APP). Эта функция доступна в iOS и Android. В iOS эта функция требует, чтобы приложение было интегрировано (или упаковано с помощью средства упаковки) с пакетом SDK для Intune для iOS версии 10.0.7 или более поздней версии. В Android для этой функции потребуется последняя Корпоративный портал. Чтобы настроить способ обновления бизнес-приложения конечным пользователем, приложению требуется политика конфигурации управляемого приложения, отправленная ему с ключом com.microsoft.intune.myappstore. Переданное значение определит, из какого хранилища пользователь скачает приложение. Если приложение развертывается с помощью Корпоративного портала, должно использоваться значение CompanyPortal. Для другого хранилища необходимо ввести полный URL-адрес.

Скрипты PowerShell для расширения управления Intune

Скрипты PowerShell можно настроить для выполнения с правами администратора пользователя на устройстве. Дополнительные сведения см. в разделе Использование скриптов PowerShell на Windows 10 устройствах в Intune и управлении приложениями Win32.

Управление приложениями Android Enterprise

Чтобы ИТ-администраторам было проще настраивать и использовать управление Android Enterprise, Intune автоматически добавит четыре распространенных приложения Android Enterprise в Центр администрирования Intune. Четыре приложения Android для бизнеса — это следующие приложения:

• Microsoft Intune — используется для полностью управляемых сценариев Android Enterprise.
• Microsoft Authenticator — помогает входить в учетные записи при использовании двухфакторной проверки подлинности.
• Корпоративный портал Intune — используется для сценариев использования политик защиты приложений (APP) и рабочих профилей Android Enterprise.
• Управляемый главный экран — используется для выделенных сценариев и сценариев киоска Android Enterprise.

Ранее ИТ-администраторам нужно было вручную находить и утверждать эти приложения в управляемом магазине Google Play в рамках настройки. Это изменение удаляет эти ранее выполняемые вручную действия, чтобы упростить и ускорить использование пользователями управления Android Enterprise.

Администраторы увидят, что эти четыре приложения автоматически добавляются в список приложений Intune во время первого подключения клиента Intune к управляемому Google Play. Дополнительные сведения см. в статье Подключение учетной записи Intune к управляемой учетной записи Google Play. Для клиентов, которые уже подключили свой клиент или уже используют Android Enterprise, администраторам не нужно ничего делать. Эти четыре приложения будут автоматически отображаться в течение 7 дней после завершения развертывания службы в мае 2019 года.

Конфигурация устройства

Обновлен соединитель сертификатов PFX для Microsoft Intune

Существует обновление соединителя сертификатов PFX для Microsoft Intune. Это обновление устраняет проблему, из-за которой существующие PFX-сертификаты продолжают обрабатываться повторно, из-за чего соединитель перестает обрабатывать новые запросы.

Intune задач безопасности для Defender для конечной точки (в общедоступной предварительной версии)

В общедоступной предварительной версии можно использовать Intune для управления задачами безопасности для Microsoft Defender для конечной точки. Эта интеграция с Defender для конечной точки и добавляет подход на основе рисков для обнаружения, определения приоритетов и исправления уязвимостей и неправильной настройки конечных точек, сокращая время между обнаружением и устранением рисков.

Проверка наличия набора микросхем доверенного платформенного модуля в политике соответствия устройств Windows 10

Многие устройства Windows 10 и более поздних версий имеют наборы микросхем доверенного платформенного модуля (TPM). Это обновление включает новый параметр соответствия, который проверяет версию микросхемы доверенного платформенного модуля на устройстве.

этот параметр описывается Windows 10 и более поздних версий политики соответствия.

Область применения: Windows 10 и более поздних версий

Запретить пользователям изменять свой личный hotSpot и отключить ведение журнала сервера Siri на устройствах iOS

Вы создаете профиль ограничений устройств на устройстве iOS (Конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для типа профиля). Это обновление включает новые параметры, которые можно настроить:

• Встроенные приложения: ведение журнала на стороне сервера для команд Siri
• Беспроводная связь: изменение пользователем личной хот-точки (только защищенное)

Чтобы просмотреть эти параметры, перейдите к параметрам встроенных приложений для iOS и беспроводных параметров для iOS.

Область применения: iOS 12.2 и более поздней версии

Новые параметры ограничений для приложений для аудитории для устройств macOS

Вы можете создать профили конфигурации устройств для устройств macOS (Конфигурация>устройств>Create>macOS для платформы >Ограничения устройств для типа профиля). Это обновление включает новые параметры приложения для аудитории, параметр для блокировки снимков экрана и параметр отключения библиотеки фотографий iCloud.

Чтобы просмотреть текущие параметры, перейдите в раздел Параметры устройства macOS, чтобы разрешить или ограничить функции с помощью Intune.

Область применения: macOS

Параметр "Пароль для доступа к магазину приложений" для iOS переименован

Параметр Пароль для доступа к магазину приложений переименован в Требовать пароль iTunes Store для всех покупок (Конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для типа > профиля App Store, просмотр документации и игры).

Чтобы просмотреть доступные параметры, перейдите в раздел App Store, Просмотр документов, Параметры iOS для игр.

Область применения: iOS

базовые Microsoft Defender для конечной точки (предварительная версия)

Мы добавили предварительную версию базовых показателей безопасности для Microsoft Defender для конечной точки параметров. Этот базовый план доступен, если ваша среда соответствует предварительным требованиям для использования Microsoft Defender для конечной точки.

Сигнатура Outlook и биометрические параметры для устройств iOS и Android

Теперь можно указать, включена ли сигнатура по умолчанию в Outlook на устройствах iOS и Android. Кроме того, вы можете разрешить пользователям изменять биометрические параметры в Outlook для iOS.

Поддержка контроль доступа сети (NAC) для доступа F5 для устройств iOS

F5 выпустила обновление для BIG-IP 13, которое позволяет использовать функции NAC для доступа F5 в iOS в Intune. Чтобы использовать эту функцию, выполните следующие действия:

• Обновление BIG-IP до версии 13.1.1.5. BIG-IP 14 не поддерживается.
• Интеграция BIG-IP с Intune для NAC. Действия в разделе Обзор. Настройка APM для проверки состояния устройств с помощью систем управления конечными точками.
• Проверьте параметр Включить контроль доступа сети (NAC) в профиле VPN в Intune.

Чтобы просмотреть доступный параметр, перейдите в раздел Настройка параметров VPN на устройствах iOS.

Область применения: iOS

Обновлен соединитель сертификатов PFX для Microsoft Intune

Мы выпустили обновление для соединителя сертификатов PFX для Microsoft Intune, которое снижает интервал опроса с 5 минут до 30 секунд.

Регистрация устройства

Имя атрибута OrderID устройства Autopilot изменено на тег группы

Чтобы сделать это более интуитивно понятным, имя атрибута OrderID на устройствах Autopilot было изменено на Тег группы. При использовании csv для отправки сведений об устройстве Autopilot необходимо использовать тег группы в качестве заголовка столбца, а не OrderID.

Страница состояния регистрации Windows (ESP) теперь общедоступна

Страница "Состояние регистрации" теперь доступна в режиме предварительной версии. Дополнительные сведения см. в разделе Настройка состояния регистрации.

Intune обновление пользовательского интерфейса — создание профиля регистрации Autopilot

Пользовательский интерфейс для создания профиля регистрации Autopilot был обновлен в соответствии со стилями пользовательского интерфейса Azure. Дополнительные сведения см. в разделе Create профиля регистрации Autopilot. В дальнейшем новые Intune сценарии будут обновлены до этого нового стиля пользовательского интерфейса.

Включение сброса Autopilot для всех устройств Windows

Сброс autopilot теперь работает на всех устройствах Windows, даже для устройств, не настроенных для использования страницы состояния регистрации. Если страница состояния регистрации не была настроена для устройства во время первоначальной регистрации устройства, устройство перейдет прямо на рабочий стол после входа. Синхронизация может занять до восьми часов и показаться соответствующим требованиям в Intune. Дополнительные сведения см. в разделе Сброс устройств с помощью удаленного сброса Windows Autopilot.

Точный формат IMEI не требуется при поиске на всех устройствах

При поиске на всех устройствах не нужно включать пробелы в номера IMEI.

Удаление устройства на портале Apple будет отражено на портале Intune

Если устройство удалено из программы регистрации устройств Apple или портала Apple Business Manager, оно будет автоматически удалено из Intune во время следующей синхронизации.

Страница состояния регистрации теперь отслеживает приложения Win32

Эта функция применяется только к устройствам под управлением Windows 10 версии 1903 и более поздних. Дополнительные сведения см. в разделе Настройка состояния регистрации.

Управление устройствами

Массовый сброс и очистка устройств с помощью API Graph

Теперь с помощью API Graph можно выполнить сброс и очистку до 100 устройств.

Управление и устранение неполадок

Отчет о шифровании отсутствует в общедоступной предварительной версии

Отчет по BitLocker и шифрованию устройств теперь общедоступен и больше не является частью общедоступной предварительной версии.

Апрель 2019 г.

Управление приложениями

Обновление пользовательского интерфейса в приложении корпоративного портала для iOS

Изменен дизайн домашней страницы приложения "Корпоративный портал" для устройств iOS. Благодаря этому изменению домашняя страница стала лучше соответствовать шаблонам пользовательского интерфейса iOS, а также предоставляет улучшенные возможности поиска для приложений и электронных книг.

Изменения в регистрации приложения "Корпоративный портал" для пользователей устройств с iOS 12

Корпоративный портал экранов и шагов регистрации iOS обновлен в соответствии с изменениями регистрации MDM, выпущенными в Apple iOS 12.2. Обновленный рабочий процесс запрашивает у пользователей выполнение следующих действий:

• Разрешить Safari открыть веб-сайт корпоративного портала и загрузить профиль управления перед возвратом в приложение корпоративного портала.
• Открыть приложение "Настройки" для установки профиля управления на своем устройстве.
• Вернуться в приложение "Корпоративный портал", чтобы завершить регистрацию.

Обновленные шаги регистрации и экраны см. в разделе Регистрация устройства iOS в Intune.

Шифрование OpenSSL для политик защиты приложений Android

Intune политики защиты приложений (APP) на устройствах Android теперь используют библиотеку шифрования OpenSSL, совместимую с FIPS 140-2. Дополнительные сведения см. в разделе о шифрованиипараметров политики защиты приложений Android в Microsoft Intune.

Включение зависимостей приложений Win32

Администратор может потребовать установки других приложений в качестве зависимостей перед установкой приложения Win32. В частности, устройство должно установить зависимые приложения перед установкой приложения Win32. В Intune выберите Клиентские приложения>Приложения>Добавить, чтобы отобразить колонку Добавить приложение. Выберите Приложение Windows (Win32) в качестве типа приложения. После добавления приложения можно выбрать Зависимости , чтобы добавить зависимые приложения, которые необходимо установить перед установкой приложения Win32. Дополнительные сведения см. в разделе Intune Автономное управление приложениями Win32.

Сведения об установке версии приложения для приложений Microsoft Store для бизнеса

Отчеты об установке приложений содержат сведения о версии приложения для Microsoft Store для бизнеса приложений. В Intune выберите Клиентские приложения>. Выберите приложение Microsoft Store для бизнеса, а затем выберите Состояние установки устройства в разделе Монитор.

Дополнения к правилам требований к приложениям Win32

Правила требований можно создавать на основе сценариев PowerShell, значений реестра и сведений о файловой системе. В Intune выберите Клиентские приложения>Приложения>Добавить. Затем выберите приложение Windows (Win32) в качестве типа приложения в колонке Добавление приложения . Выберите Требования>Добавить , чтобы настроить дополнительные правила требований. Затем выберите Тип файла, Реестр или Скрипт в качестве типа требования. Дополнительные сведения см. в разделе Управление приложениями Win32.

Настройка установки приложений Win32 на Intune зарегистрированных Microsoft Entra присоединенных устройствах

Приложения Win32 можно назначить для установки на Intune зарегистрированных Microsoft Entra присоединенных устройствах. Дополнительные сведения о приложениях Win32 в Intune см. в разделе Управление приложениями Win32.

В обзоре устройства отображается основной пользователь

На странице Обзор устройств отобразится основной пользователь, также называемый пользователем сходства пользователей с устройствами (UDA). Чтобы просмотреть основной пользователь для устройства, выберите Intune>Устройства>Все устройства> выбирают устройство. Основной пользователь появится в верхней части страницы Обзор .

Управляемые отчеты приложений Google Play для устройств с рабочим профилем Android Enterprise

Для управляемых приложений Google Play, развернутых на устройствах с рабочим профилем Android Enterprise, можно просмотреть конкретный номер версии приложения, установленного на устройстве. Эта функция применяется только к обязательным приложениям.

Сторонние клавиатуры iOS

Поддержка политики Intune защиты приложений (APP) для параметра "Сторонние клавиатуры" для iOS больше не поддерживается из-за изменения платформы iOS. Вы не сможете настроить этот параметр в консоли Intune Администратор, и он не будет применяться к клиенту в пакете SDK для приложений Intune.

Конфигурация устройства

Обновленные соединители сертификатов

Мы выпустили обновления для соединителя сертификатов Intune и соединителя сертификатов PFX для Microsoft Intune. Новые выпуски устраняют несколько известных проблем.

Настройка параметров входа и управление параметрами перезапуска на устройствах macOS

На устройствах macOS можно создать профиль конфигурации устройства (Конфигурация>устройств>Create> выбрать macOS для платформы >Функции устройства в качестве типа профиля. Это обновление включает новые параметры окна входа, такие как отображение пользовательского баннера, выбор способа входа пользователей, отображение или скрытие параметров питания и многое другое.

Чтобы просмотреть эти параметры, перейдите в раздел Параметры функций устройства macOS.

Настройка Wi-Fi на устройствах Android Enterprise, выделенных устройствах владельца устройства, работающих в режиме киоска с несколькими приложениями

Вы можете включить параметры в Android Enterprise, Владелец устройства при запуске в качестве выделенного устройства в режиме киоска с несколькими приложениями. В этом обновлении вы можете разрешить пользователям настраивать сети Wi-Fi и подключаться к нему (Intune>Конфигурация>> устройств Create>Android Enterprise только для владельца устройства платформы>, Ограничения устройств для типа профиля в режиме >киоскавыделенных устройств:конфигурация Wi-Fiдля нескольких> приложений>).

Чтобы просмотреть все параметры, которые можно настроить, перейдите в раздел Параметры устройства Android Enterprise для разрешения или ограничения функций.

Область применения: выделенные устройства Android Enterprise, работающие в режиме киоска с несколькими приложениями

Настройка Bluetooth и связывания на выделенных устройствах Android Enterprise, выделенных устройствах владельца устройства, работающих в режиме киоска с несколькими приложениями

Вы можете включить параметры в Android Enterprise, Владелец устройства при запуске в качестве выделенного устройства в режиме киоска с несколькими приложениями. В этом обновлении вы можете разрешить конечным пользователям включать Bluetooth и связывать устройства через Bluetooth (Intune>Устройства>конфигурации>Create>Android Enterpriseтолько для владельца устройства платформы>, Ограничения устройств для типа > профиля Выделенные устройстваРежим киоска:конфигурация Bluetoothдля нескольких> приложений>).

Чтобы просмотреть все параметры, которые можно настроить, перейдите в раздел Параметры устройства Android Enterprise для разрешения или ограничения функций.

Область применения: выделенные устройства Android Enterprise, работающие в режиме киоска с несколькими приложениями

Create и использование профилей конфигурации устройств OEMConfig в Intune

В этом обновлении Intune поддерживает настройку устройств Android Enterprise с помощью OEMConfig. В частности, можно создать профиль конфигурации устройства и применить параметры к устройствам Android Enterprise с помощью OEMConfig (Конфигурация>устройств>Create>Android enterprise for platform).

Поддержка oem-производителей в настоящее время осуществляется на основе каждого изготовителя оборудования. Если нужное приложение OEMConfig недоступно в списке приложений OEMConfig, обратитесь в .IntuneOEMConfig@microsoft.com

Дополнительные сведения об этой функции см. в статье Использование устройств Android Enterprise и управление ими с помощью OEMConfig в Microsoft Intune.

Область применения: Android enterprise

уведомления клиентский компонент Центра обновления Windows

Мы добавили два параметра взаимодействия с пользователем в конфигурации круга клиентский компонент Центра обновления Windows, которыми можно управлять в консоли Intune. Теперь вы можете:

• Блокировать или разрешать пользователям проверять наличие обновлений Windows.
• Управление уровнем уведомлений клиентский компонент Центра обновления Windows, который видят пользователи.

Новые параметры ограничения устройств для Android Enterprise, владелец устройства

На устройствах Android Enterprise можно создать профиль ограничения устройств, чтобы разрешить или ограничить функции, задать правила паролей и многое другое (Конфигурация>устройств>Create> выбрать Android Enterprise для владельца > платформы> Только ограничения устройств для типа профиля).

Это обновление включает новые параметры пароля, предоставляет полный доступ к приложениям в Google Play Store для полностью управляемых устройств и многое другое. Чтобы просмотреть текущий список параметров, перейдите в раздел Параметры устройства Android Enterprise для разрешения или ограничения функций.

Область применения: полностью управляемые устройства Android Enterprise

Проверка наличия набора микросхем доверенного платформенного модуля в политике соответствия устройств Windows 10

Эта функция откладывается и должна быть выпущена позже.

Обновлены изменения пользовательского интерфейса для браузера Microsoft Edge на устройствах Windows 10 и более поздних версий

При создании профиля конфигурации устройства можно разрешить или ограничить функции Microsoft Edge на Windows 10 и более поздних устройствах (Конфигурация>устройств>Create>Windows 10 и более поздних версий для платформы. > Ограничения устройств для профиля введите >Браузер Microsoft Edge. В этом обновлении параметры Microsoft Edge являются более описательными и более понятными.

Чтобы просмотреть эти функции, перейдите в раздел Параметры ограничений для устройств браузера Microsoft Edge.

Применимо к:

• Windows 10 и более поздние версии
• Microsoft Edge версии 45 и более ранних

Расширенная поддержка полностью управляемых устройств Android Enterprise (предварительная версия)

По-прежнему в общедоступной предварительной версии мы расширили нашу поддержку полностью управляемых устройств Android Enterprise в январе 2019 года, включив:

• На полностью управляемых и выделенных устройствах можно создать политики соответствия, чтобы включить правила паролей и требования к операционной системе (политики>соответствия> устройств Create политика>Android Enterprise для владельца устройства> для типа профиля.

  На выделенных устройствах устройство может отображаться как несоответствующее. Условный доступ недоступен на выделенных устройствах. Обязательно выполните все задачи или действия, чтобы выделенные устройства соответствовали назначенным политикам.

• Условный доступ . Политики условного доступа, применяемые к Android, также применяются к полностью управляемым устройствам Android Enterprise. Теперь пользователи могут зарегистрировать полностью управляемое устройство в Microsoft Entra ID с помощью приложения Microsoft Intune. Затем просмотрите и устраните все проблемы с соответствием требованиям для доступа к ресурсам организации.

• Новое приложение конечного пользователя (Microsoft Intune приложение) — существует новое приложение для пользователей для полностью управляемых устройств Android, которое называется Microsoft Intune. Это новое приложение является легким и современным и функциональным, как и приложение Корпоративный портал, но для полностью управляемых устройств. Дополнительные сведения см. в описании приложения Microsoft Intune в Google Play.

Чтобы настроить полностью управляемые устройства Android, перейдите в раздел Регистрация> устройствAndroid Регистрация>корпоративных и полностью управляемых пользовательских устройств. Поддержка полностью управляемых устройств Android остается в предварительной версии, и некоторые функции Intune могут быть не полностью функциональными.

Дополнительные сведения об этой предварительной версии см. в нашем блоге Microsoft Intune — Предварительная версия 2 для полностью управляемых устройств Android Enterprise.

Использование диспетчера соответствия требованиям для создания оценок для Microsoft Intune

Диспетчер соответствия требованиям (открывает другой сайт Майкрософт) — это средство оценки рисков на основе рабочих процессов на портале управления безопасностью служб Майкрософт. Она позволяет отслеживать, назначать и проверять действия организации по соответствию нормативным требованиям, связанные со службами Майкрософт. Вы можете создать собственную оценку соответствия требованиям с помощью Microsoft 365, Azure, Dynamics, профессиональных служб и Intune. Intune имеет две оценки: FFIEC и GDPR.

Диспетчер соответствия требованиям помогает сосредоточить усилия, разбивая элементы управления — элементы управления, управляемые корпорацией Майкрософт, и элементы управления, управляемые вашей организацией. Вы можете завершить оценки, а затем экспортировать и распечатать оценки.

Соответствие требованиям Федерального совета по проверке финансовых учреждений (FFIEC) (открывает другой сайт Майкрософт) — это набор стандартов для онлайн-банкинга, выданных FFIEC. Это самая запрашиваемая оценка для финансовых учреждений, которые используют Intune. Он интерпретирует, как Intune помогает соответствовать рекомендациям по кибербезопасности FFIEC, связанным с рабочими нагрузками общедоступного облака. Intune оценка FFIEC является второй оценкой FFIEC в диспетчере соответствия требованиям.

В следующем примере показана разбивка элементов управления FFIEC. Корпорация Майкрософт охватывает 64 элемента управления. Вы несете ответственность за оставшиеся 12 элементов управления.

Общий регламент по защите данных (GDPR) (открывает другой сайт Майкрософт) — это закон Европейского союза (ЕС), который помогает защитить права физических лиц и их данных. GDPR — это наиболее запрашиваемая оценка, помогая соблюдать правила конфиденциальности.

В следующем примере отображается разбивка по элементам управления GDPR. Корпорация Майкрософт охватывает 49 элементов управления. Вы несете ответственность за остальные 66 элементов управления.

Регистрация устройства

Настройка профиля для пропуска некоторых экранов во время помощника по настройке

При создании профиля регистрации macOS его можно настроить так, чтобы он пропускал любой из следующих экранов, когда пользователь проходит через помощник по настройке:

• Оформление
• Тон дисплея
• iCloudStorage Если вы создаете новый профиль или изменяете профиль, выбранные экраны пропуска должны синхронизироваться с сервером Apple MDM. Пользователи могут вручную синхронизировать устройства, чтобы не было задержки при выборе изменений профиля. Дополнительные сведения см. в статье Автоматическая регистрация устройств macOS с помощью программы регистрации устройств или Apple School Manager.

Массовое именование устройств при регистрации корпоративных устройств iOS

При использовании одного из корпоративных методов регистрации Apple (DEP/ABM/ASM) можно задать формат имени устройства, чтобы автоматически присваивать имя входящим устройствам iOS. В шаблоне можно указать формат, включающий тип устройства и серийный номер. Для этого выберите Intune>Регистрация appleРегистрация>> AppleРегистрация Токены> программы регистрацииВыберите токен>Create профиль>Формат именования устройств. Вы можете изменить существующие профили, но только новые синхронизированные устройства будут применяться к имени.

Обновлено сообщение о времени ожидания по умолчанию на странице состояния регистрации

Мы обновили сообщение о времени ожидания по умолчанию, которое пользователи видят, когда страница состояния регистрации (ESP) превышает значение времени ожидания, указанное в профиле ESP. Новое сообщение по умолчанию — это то, что видят пользователи, и помогает им понять, какие действия следует предпринять при развертывании ESP.

Управление устройствами

Прекращение поддержки устройств, не соответствующих требованиям

Эта функция была отложена и планируется в будущем выпуске.

Управление и устранение неполадок

Intune Data Warehouse изменений версии 1.0, отражающихся в бета-версии

Когда версия 1.0 была впервые представлена в 1808 году, она значительно отличалась от бета-версии API. В 1903 году эти изменения будут отражены в бета-версии API. Если у вас есть важные отчеты, использующие бета-версию API, настоятельно рекомендуется переключить эти отчеты на версию 1.0, чтобы избежать критических изменений. Дополнительные сведения см. в разделе Журнал изменений для API Intune Data Warehouse.

Мониторинг состояния базовых показателей безопасности (общедоступная предварительная версия)

Мы добавили представление по категориям для мониторинга базовых показателей безопасности. (Базовые показатели безопасности остаются в предварительной версии). Представление для каждой категории отображает каждую категорию из базового плана, а также процент устройств, которые попадают в каждую группу состояний для этой категории. Теперь вы можете увидеть, сколько устройств не соответствуют отдельным категориям, неправильно настроены или неприменимы.

Управление доступом на основе ролей

Теги области для токенов Apple VPP

Теперь вы можете добавлять теги область в токены Apple VPP. Только пользователи, которым назначен тот же тег область, будут иметь доступ к маркеру Apple VPP с этим тегом. Приложения И электронные книги VPP, приобретенные с помощью этого токена, наследуют его область теги. Дополнительные сведения о тегах область см. в разделе Использование RBAC и тегов область.

Март 2019 г.

Управление приложениями

Развертывание Microsoft Visio и Microsoft Project

Теперь вы можете развернуть Microsoft Visio Pro для Microsoft 365 и Microsoft Project Online desktop client в качестве независимых приложений для Windows 10 устройств с помощью Microsoft Intune, если у вас есть лицензии на эти приложения. В Intune выберите Клиентские приложения>Приложения>Добавить, чтобы отобразить колонку Добавить приложение. В колонке Добавление приложения выберите Windows 10в качестве типа приложения. Затем выберите Настроить Набор приложений , чтобы выбрать приложения для установки. Дополнительные сведения о приложениях Microsoft 365 для Windows 10 устройств см. в статье Назначение приложений Microsoft 365 Windows 10 устройствам с Microsoft Intune.

изменение названия продукта Microsoft Visio Pro для Office 365

Microsoft Visio Pro для Office 365 теперь будет называться Microsoft Visio Online (план 2). Дополнительные сведения о Microsoft Visio см. в статье Visio Online Plan 2. Дополнительные сведения о приложениях Office 365 для Windows 10 устройств см. в статье Назначение приложений Office 365 для Windows 10 устройств с Microsoft Intune.

параметр ограничения символов политики защиты приложений (APP) Intune

Intune администраторы могут указать исключение из параметра политики Intune ограничение приложений. Администратор может указать количество символов, которые можно вырезать или скопировать из управляемого приложения. Этот параметр позволяет совместно использовать указанное количество символов для любого приложения, независимо от параметра "Ограничить вырезания, копирования и вставки с помощью других приложений". Для Корпоративный портал Intune версии приложения для Android требуется версия 5.0.4364.0 или более поздняя. Дополнительные сведения см. в разделах Защита данных iOS, Защита данных Android и Проверка журналов защиты клиентских приложений.

XML-файл средства развертывания Office (ODT) для развертывания Приложения Microsoft 365 для предприятий

При создании экземпляра Приложения Microsoft 365 для предприятий развертывания в Центре администрирования Intune можно указать XML-файл средства развертывания Office (ODT). Эта функция обеспечивает большую возможность настройки, если существующие параметры пользовательского интерфейса Intune не соответствуют вашим потребностям. Дополнительные сведения см. в разделах Назначение приложений Microsoft 365 Windows 10 устройствам с Microsoft Intune и Параметры конфигурации для средства развертывания Office.

Значки приложений теперь будут отображаться с автоматически созданным фоном

В приложении Windows Корпоративный портал значки приложений теперь будут отображаться с автоматически созданным фоном на основе доминирующего цвета значка (если он может быть обнаружен). Если применимо, этот фон заменит серую границу, которая ранее была видна на плитках приложения. Пользователи увидят это изменение в версиях Корпоративный портал позже 10.3.3451.0.

Установка доступных приложений с помощью приложения Корпоративный портал после массовой регистрации Windows

Устройства Windows, зарегистрированные в Intune с помощью пакетной регистрации Windows (пакетов подготовки), могут использовать приложение Корпоративный портал для установки доступных приложений. Дополнительные сведения о приложении Корпоративный портал см. в разделах Добавление Windows 10 Корпоративный портал вручную и Настройка приложения Microsoft Intune Корпоративный портал.

Приложение Microsoft Teams можно выбрать как часть набора приложений Office

Приложение Microsoft Teams можно включить или исключить в рамках установки набора приложений Приложения Microsoft 365 для предприятий развертывания. Эта функция работает для сборки Приложения Microsoft 365 для предприятий развертывания 16.0.11328.20116 и более поздних версий. Для завершения установки пользователь должен выйти из системы, а затем войти на устройство. В Intune выберите Клиентские приложения>Приложения>Добавить. Выберите один из типов приложений Office 365 Suite, а затем выберите Настроить набор приложений.

Конфигурация устройства

Автоматический запуск приложения при запуске нескольких приложений в режиме киоска на Windows 10 и более поздних устройствах

На Windows 10 и более поздних устройствах можно запустить устройство в режиме киоска и запустить множество приложений. В этом обновлении есть параметр автозапуска (Конфигурация>устройств>Create Windows 10>и более поздних версий для киоска платформы > для типа > профиля Киоск с несколькими приложениями). Используйте этот параметр для автоматического запуска приложения при входе пользователя на устройство.

Список и описание всех параметров киоска см. в статье Windows 10 и более поздних версий параметров устройства для запуска в качестве киоска в Intune.

Область применения: Windows 10 и более поздних версий

В операционных журналах также отображаются сведения о несоответствующих устройствах

При маршрутизации Intune журналов в функции Azure Monitor можно также маршрутизировать операционные журналы. В этом обновлении операционные журналы также содержат сведения о несоответствующих устройствах.

Дополнительные сведения об этой функции см. в статье Отправка данных журнала в хранилище, концентраторы событий или аналитику журналов в Intune.

Маршрутизация журналов в Azure Monitor в более Intune рабочих нагрузках

В Intune можно направлять журналы аудита и операционные журналы в центры событий, хранилище и аналитику журналов в Azure Monitor (параметры диагностикиIntune>Мониторинг>). В этом обновлении эти журналы можно направлять в более Intune рабочих нагрузок, включая соответствие требованиям, конфигурации, клиентские приложения и многое другое.

Дополнительные сведения о маршрутизации журналов в Azure Monitor см. в статье Отправка данных журнала в хранилище, центры событий или log Analytics.

Create и использование расширений мобильности на устройствах Android Zebra в Intune

В этом обновлении Intune поддерживает настройку устройств Android Zebra. В частности, вы можете создать профиль конфигурации устройства и применить параметры к устройствам Android Zebra с помощью профилей Mobility Extensions (MX), созданных StageNow (Конфигурация>устройств>Create>Android для профиля MX платформы >(только Zebra) для типа профиля).

Дополнительные сведения об этой функции см. в статье Использование устройств Zebra и управление ими с помощью расширений мобильности в Intune.

Область применения: Android

Управление устройствами

Отчет о шифровании для устройств Windows 10 (в общедоступной предварительной версии)

Используйте новый отчет о шифровании (предварительная версия) для просмотра сведений о состоянии шифрования Windows 10 устройств. Доступные сведения включают версию доверенного платформенного модуля устройства, готовность и состояние шифрования, отчеты об ошибках и многое другое.

Доступ к ключам восстановления BitLocker с портала Intune (в общедоступной предварительной версии)

Теперь вы можете использовать Intune для просмотра сведений о идентификаторе ключа BitLocker и ключах восстановления BitLocker из Microsoft Entra ID.

Поддержка Microsoft Edge для сценариев Intune на устройствах iOS и Android

Microsoft Edge будет поддерживать все те же сценарии управления, что и Intune Managed Browser с добавлением улучшений в интерфейсе конечных пользователей. Корпоративные функции Microsoft Edge, включенные политиками Intune, включают:

• Dual-Identity
• интеграция политики защита приложений
• Интеграция с прокси-сервером приложений Azure
• Управляемые избранное и ярлыки домашней страницы.

Дополнительные сведения см. в разделе Поддержка Microsoft Edge.

Exchange Online и соединителя Intune не рекомендуется использовать поддержку только для устройств EAS

Консоль Intune больше не поддерживает просмотр устройств, доступных только для EAS, и управление ими, подключенными к Exchange Online с помощью соединителя Intune. Вместо этого у вас есть следующие варианты:

• Регистрация устройств в мобильной Управление устройствами (MDM)
• Использование политик защиты приложений Intune для управления устройствами
• Используйте элементы управления Exchange, как описано в разделе Клиенты и мобильные устройства в Exchange Online

Поиск страницу Все устройства для точного устройства с помощью [name]

Теперь можно искать точное имя устройства. Перейдите в раздел Intune>Устройства>Все устройства> в поле поиска, заключите имя {} устройства в , чтобы найти точное совпадение. Например, {Device12345}.

Управление и устранение неполадок

Поддержка дополнительных соединителей на странице Состояние клиента

На странице Состояние клиента теперь отображаются сведения о состоянии для других соединителей, включая Защитник Windows для конечной точки и других соединителей Mobile Threat Defense.

Поддержка приложения power BI Compliance в колонке Data Warehouse в Microsoft Intune

Ранее ссылка Скачать файл Power BI в колонке Intune Data Warehouse загрузила Intune Data Warehouse отчет (PBIX-файл). Этот отчет был заменен приложением power BI Compliance. Приложение Power BI Compliance не требует специальной загрузки или настройки. Он откроется непосредственно на веб-портале Power BI и отобразит данные специально для вашего клиента Intune на основе ваших учетных данных. В Intune щелкните ссылку Настроить Intune Data Warehouse в правой части колонки Intune. Затем выберите Получить приложение Power BI. Дополнительные сведения см. в статье Подключение к Data Warehouse с помощью Power BI.

Управление доступом на основе ролей

Предоставление доступа Intune только для чтения некоторым Microsoft Entra ролям

Intune доступ только для чтения предоставлен следующим Microsoft Entra ролям. Разрешения, предоставленные с Microsoft Entra ролями, заменяют разрешения, предоставленные Intune управления доступом на основе ролей (RBAC).

Доступ только для чтения к данным аудита Intune:

• Администратор соответствия требованиям
• Администратор данных соответствия требованиям

Доступ только для чтения ко всем Intune данным:

• Администратор безопасности
• Оператор безопасности
• Читатель сведений о безопасности

Дополнительные сведения см. в разделе Управление доступом на основе ролей.

Теги области для профилей подготовки приложений iOS

Вы можете добавить тег область в профиль подготовки приложений iOS, чтобы доступ к профилю подготовки приложений iOS имели только пользователи с ролями, которым также назначены область тег. Дополнительные сведения см. в разделе Использование RBAC и тегов область.

Теги области для политик конфигурации приложений

Вы можете добавить тег область в политику конфигурации приложений, чтобы только пользователи с ролями, которым также назначены область тег, имели доступ к политике конфигурации приложений. Политика конфигурации приложений может быть назначена только приложениям, которым назначен один и тот же тег область. Дополнительные сведения см. в разделе Использование RBAC и тегов область.

Поддержка Microsoft Edge для сценариев Intune на устройствах iOS и Android

Microsoft Edge будет поддерживать все те же сценарии управления, что и Intune Managed Browser с добавлением улучшений в интерфейсе конечных пользователей. Корпоративные функции Microsoft Edge, включенные политиками Intune, включают:

• Dual-Identity
• интеграция политики защита приложений
• Интеграция с прокси-сервером приложений Azure
• Управляемые избранное и ярлыки домашней страницы.

Дополнительные сведения см. в разделе Поддержка Microsoft Edge.

Февраль 2019 г.

Управление приложениями

Intune macOS Корпоративный портал темный режим

Корпоративный портал macOS Intune теперь поддерживает темный режим для macOS. При включении темного режима на устройстве macOS 10.14 и более поздних версий Корпоративный портал будет настраивать свой внешний вид в соответствии с цветами, отражающими этот режим.

Intune будет использовать API-интерфейсы Защиты Google Play на устройствах Android

Некоторые ИТ-администраторы сталкиваются с ландшафтом BYOD, где конечные пользователи корневым или джейлбрейк своего мобильного телефона. Это поведение, хотя иногда и не является злонамерельным, приводит к обходу многих Intune политик, которые задаются для защиты данных организации на устройствах конечных пользователей. Таким образом, Intune обеспечивает обнаружение корневых и джейлбрейков как для зарегистрированных, так и для незарегистрированных устройств. В этом выпуске Intune теперь будут использовать API-интерфейсы Защиты Google Play для добавления в существующие проверки обнаружения корней для незарегистрированных устройств. Хотя Google не использует все выполняемые проверки корневого обнаружения, мы ожидаем, что эти API будут обнаруживать пользователей, которые по какой-либо причине укореняют свои устройства, от настройки устройства до возможности получать более новые обновления ОС на старых устройствах. Эти пользователи могут быть заблокированы для доступа к корпоративным данным или их корпоративные учетные записи могут быть удалены из приложений с поддержкой политики.

Для получения дополнительной ценности ИТ-администратор теперь будет иметь несколько обновлений отчетов в колонке Intune Защита приложений. В отчете "Помеченные пользователи" будет показано, какие пользователи обнаружены с помощью проверки API SafetyNet в Google Play Protect. В отчете "Потенциально опасные приложения" показано, какие приложения обнаружены с помощью проверки API проверки приложений Google. Эта функция доступна в Android.

Сведения о приложении Win32, доступные в колонке "Устранение неполадок"

Теперь вы можете собирать файлы журнала сбоев для установки приложения Win32 из колонки "Устранение неполадок с приложением Intune". Дополнительные сведения об устранении неполадок с установкой приложений см. в разделах Устранение неполадок с установкой приложений и Устранение неполадок с приложением Win32.

Сведения о состоянии приложения для приложений iOS

Появляются новые сообщения об ошибках установки приложения, связанные со следующими сценариями:

• Сбой приложений VPP при установке на общий iPad
• Сбой при отключении магазина приложений
• Не удается найти лицензию VPP для приложения
• Сбой установки системных приложений с помощью поставщика MDM
• Не удается установить приложения, если устройство находится в режиме потери или в режиме киоска
• Не удается установить приложение, если пользователь не вошел в App Store

В Intune выберите Клиентские приложения>Приложения> "Имя приложения" >Состояние установки устройства. Новые сообщения об ошибках будут доступны в столбце Сведения о состоянии .

Новые категории приложений в приложении "Корпоративный портал" для Windows 10

Был добавлен новый экран Категории приложений, чтобы улучшить процесс просмотра и выбора приложения в приложении "Корпоративный портал" для Windows 10. Теперь пользователи будут видеть свои приложения, отсортированные по категориям, таким как Рекомендуемые, Образование и Офисная работа. Это изменение доступно в приложении "Корпоративный портал" версии 10.3.3451.0 и более поздних. Чтобы просмотреть новый экран, ознакомьтесь с разделом Новые возможности в пользовательском интерфейсе приложения. Дополнительные сведения о приложениях в Корпоративный портал см. в статье Установка приложений и предоставление общего доступа к ним на устройстве.

Приложение power BI Compliance

Получите доступ к Intune Data Warehouse в Power BI Online с помощью приложения Intune compliance (Data Warehouse). С помощью этого приложения Power BI вы можете получать доступ к предварительно созданным отчетам и делиться ими без каких-либо настроек и без выхода из веб-браузера. Дополнительные сведения см. в разделе Журнал изменений — приложение для соответствия требованиям Power BI.

Конфигурация устройства

Скрипты PowerShell могут выполняться на 64-разрядном узле на 64-разрядных устройствах

При добавлении скрипта PowerShell в профиль конфигурации устройства он всегда выполняется в 32-разрядных, даже в 64-разрядных операционных системах. С помощью этого обновления администратор может выполнять скрипт на 64-разрядном узле PowerShell на 64-разрядных устройствах (скрипты устройств> иscrpts> Platformдля исправления>) Добавить> скриптconfigure>Run в 64-разрядном узле PowerShell.

Дополнительные сведения об использовании PowerShell см. в статье Сценарии PowerShell в Intune.

Область применения: Windows 10 и более поздних версий

Пользователям macOS предлагается обновить пароль

Intune применяет параметр ChangeAtNextAuth на устройствах macOS. Этот параметр влияет на конечных пользователей и устройства с политиками соответствия пароля или профилями паролей ограничения устройств. Пользователям будет предложено обновить пароль один раз. Этот запрос возникает каждый раз, когда пользователь впервые запускает задачу, требующую проверки подлинности, например вход на устройство. Пользователям также может быть предложено обновить свой пароль при выполнении действий, требующих прав администратора, например при запросе связка ключей доступа.

При любых новых или существующих изменениях политики паролей администратор снова запрашивает у пользователей запрос на обновление пароля.

Применимо к:
macOS

Назначение сертификатов SCEP для устройства macOS без пользователя

Вы можете назначить сертификаты SCEP с помощью атрибутов устройств macOS, включая устройства без сопоставления пользователей, и связать профиль сертификата с профилями Wi-Fi или VPN. Эта функция расширяет поддержку, которую мы уже имеем для назначения сертификатов SCEP устройствам с сходством пользователей и без них, которые работают под управлением Windows, iOS и Android. Это обновление добавляет параметр выбора типа сертификата устройства при настройке профиля сертификата SCEP для macOS.

Применимо к:

• macOS

обновление пользовательского интерфейса условного доступа Intune

Мы внесли улучшения в пользовательский интерфейс для условного доступа в консоли Intune. К этим улучшениям относятся:

• Колонка условного доступа Intune заменена колонкой из Microsoft Entra ID. Эта функция обеспечивает доступ к полному набору параметров и конфигураций условного доступа (которая остается Microsoft Entra технологии) из консоли Intune.
• Мы переименовали колонку Локальный доступ в Доступ к Exchange и переместили настройку соединителя службы Exchange в эту переименованную колонку. Это изменение объединяет сведения о настройке и мониторинге сведений, связанных с Exchange Online и локальной средой.

Браузер киоска и браузер Microsoft Edge могут работать на Windows 10 устройствах в режиме киоска

Вы можете использовать Windows 10 устройствах в режиме киоска для запуска одного или нескольких приложений. Это обновление включает несколько изменений в использовании браузерных приложений в режиме киоска, в том числе:

• Добавьте браузер Microsoft Edge или браузер киоска для запуска в качестве приложений на устройстве киоска (Конфигурация>устройств>Новый профиль>Windows 10 и более поздних версийдля киоска платформы > для типа профиля).

• Доступны новые функции и параметры для разрешения или ограничения (Конфигурация>устройств>Новый профиль>Windows 10 и более поздних версий для ограничений платформы> Устройства для типа профиля), в том числе:

• Браузер Microsoft Edge:

  • Использование режима киоска Microsoft Edge
  • Обновление браузера после простоя

• Избранное и поиск:

  • Разрешить изменения в поисковой системе

Список этих параметров см. в следующих разделах:

• Windows 10 и более поздних версий параметров устройства для запуска в качестве киоска
• Ограничения для устройств в браузере Microsoft Edge версии 45 и более ранних версий
• Ограничения на избранное и поисковые устройства

Область применения: Windows 10 и более поздних версий

Новые параметры ограничения устройств для устройств iOS и macOS

Вы можете ограничить некоторые параметры и функции на устройствах под управлением iOS и macOS (Конфигурация>устройств>Новый профиль>iOS или macOS для платформы >Ограничения устройств для типа профиля). Это обновление добавляет дополнительные функции и параметры, которые можно контролировать, включая настройку экранного времени, изменение параметров eSIM и тарифных планов, а также многое другое на устройствах iOS. Кроме того, задерживает видимость пользователем обновлений программного обеспечения и блокирует кэширование содержимого на устройствах macOS.

Сведения о функциях и параметрах, которые можно ограничить, см. в следующих разделах:

• Параметры ограничения устройств iOS
• Параметры ограничений устройств macOS

Применимо к:

• iOS
• macOS

Устройства "Киоск" теперь называются "Выделенными устройствами" на устройствах Android Enterprise

В соответствии с терминологией Android киоск меняется на выделенные устройства для корпоративных устройств Android (Конфигурация>устройств>Create> **Android enterprise for platform >Device Owner Only>Device Restrictions(Выделенные устройства).>

Чтобы просмотреть доступные параметры, перейдите в раздел Параметры устройства для разрешения или ограничения функций.

Применимо к:
Android Enterprise

Параметры видимости обновлений программного обеспечения пользователей Safari и Задержка обновления программного обеспечения для пользователей перемещаются в пользовательском интерфейсе Intune

Для устройств iOS можно задать параметры Safari и настроить Обновления программного обеспечения. В этом обновлении эти параметры перемещаются в различные части пользовательского интерфейса Intune:

• Параметры Safari перемещены из Safari (Конфигурация>устройств>Новый профиль>iOS для платформы >Ограничения устройств для типа профиля) на Встроенные приложения.
• Параметр Задержка обновления программного обеспечения пользователей для защищенных устройств iOS (политики обновления >программного обеспечениядля iOS) переходит в раздел Ограничения> устройствОбщие. Дополнительные сведения о влиянии на существующие политики см. в разделе Обновления программного обеспечения iOS.

Список параметров см. в следующих разделах:

• Ограничения устройств iOS
• Обновления программного обеспечения iOS

Данная функция применяется к:

• iOS

Включение ограничений в параметрах устройства переименовано в экранное время на устройствах iOS.

Вы можете настроить включение ограничений в параметрах устройства на защищенных устройствах iOS (Конфигурация>устройств>Новый профиль>iOS для платформы >Ограничения устройств для типа > профиля Общие). В этом обновлении этот параметр переименован в Экранное время (только для защищенного режима).

Поведение совпадает. Это означает следующее:

• iOS 11.4.1 и более ранних версий: Блокировать запрещает конечным пользователям устанавливать собственные ограничения в параметрах устройства.
• iOS 12.0 и более поздних версий: Блокировать запрещает конечным пользователям задавать собственное время экрана в параметрах устройства, включая содержимое & ограничения конфиденциальности. Устройства, обновленные до iOS 12.0, больше не будут видеть вкладку ограничений в параметрах устройства. Эти параметры находятся в режиме экранного времени.

Список параметров см. в разделе Ограничения устройств iOS.

Применимо к:

• iOS

Intune модуль PowerShell

Модуль PowerShell Intune, который обеспечивает поддержку API Intune через Microsoft Graph, теперь доступен в microsoft коллекция PowerShell.

• Сведения об использовании этого модуля
• Примеры сценариев с использованием этого модуля

Улучшенная поддержка оптимизации доставки

Мы расширили поддержку в Intune для настройки оптимизации доставки. Теперь вы можете настроить расширенный список параметров оптимизации доставки и нацелить его на устройства прямо из консоли Intune.

Управление устройствами

Переименование зарегистрированного устройства Windows

Теперь вы можете переименовать зарегистрированное устройство Windows 10 (RS4 или более поздней версии). Для этого выберите Intune>Устройства>Все устройства> выберите устройство> Переименовать устройство. В настоящее время эта функция не поддерживает переименование гибридных Microsoft Entra устройствах Windows.

Автоматическое назначение тегов область ресурсам, созданным администратором с помощью этого область

Когда администратор создает ресурс, все теги область, назначенные администратору, будут автоматически назначены этим новым ресурсам.

Управление и устранение неполадок

Отчет о сбое регистрации перемещается в колонку Регистрация устройств

Отчет о неудачных регистрациях был перемещен в раздел Мониторинг колонки Регистрация устройств . Добавлены два новых столбца (метод регистрации и версия ОС).

Корпоративный портал отчет об отказе переименован в Неполные регистрации пользователей

Отчет об отказе Корпоративный портал переименован в Неполные регистрации пользователей.

Январь 2019 г.

Управление приложениями

ПИН-код для приложения Intune

Ит-администратор теперь может настроить количество дней, в течение которых пользователь может ждать изменения ПИН-кода приложения Intune. Новый параметр — сброс ПИН-кода через количество дней. Он доступен в портал Azure, выбрав Intune>Клиент приложения>защита приложений политики> CreateПараметры>политики>Требования к доступу. Эта функция, доступная для устройств iOS и Android , поддерживает положительное целочисленное значение.

Intune полях отчетов об устройствах

Intune предоставляет дополнительные поля отчетов об устройствах, включая идентификатор регистрации приложений, производителя Android, модель и версию исправлений для системы безопасности, а также модель iOS. В Intune эти поля доступны, выбрав Клиентские приложения>защита приложений состояние и выбрав Отчет о защите приложений: iOS, Android. Кроме того, эти параметры помогут настроить список разрешений для производителя устройства (Android), список разрешений для модели устройства (Android и iOS) и параметр минимальной версии исправлений для системы безопасности Android.

Всплывающие уведомления для приложений Win32

Вы можете отключить отображение всплывающих уведомлений конечных пользователей для каждого назначения приложения. В Intune выберите Клиентские приложения>Приложения> выберитеГруппыназначения>> включить.

обновление пользовательского интерфейса политик защиты приложений Intune

Мы изменили метки для параметров и кнопок для Intune защиты приложений, чтобы упростить понимание каждого из них. Ниже приведены некоторые изменения.

• Элементы управления изменяются с "да / нет", чтобы в основном блокировать / иотключать / элементы управленияenable. Метки также обновляются.
• Параметры переформатированы, поэтому параметр и его метка находятся рядом в элементе управления, чтобы обеспечить лучшую навигацию.

Параметры по умолчанию и количество параметров остаются неизменными, но это изменение позволяет пользователю лучше понимать, перемещаться и использовать параметры для применения выбранных политик защиты приложений. Дополнительные сведения см. в разделе Параметры iOS и Параметры Android.

Дополнительные параметры для Outlook

Теперь вы можете настроить следующие параметры Для Outlook для iOS и Android с помощью Intune:

• Разрешить использование только рабочих или учебных учетных записей в Outlook в iOS и Android
• Развертывание современной проверки подлинности для локальных учетных записей Microsoft 365 и гибридной современной проверки подлинности
• Используйте SAMAccountName для поля имя пользователя в профиле электронной почты, если выбрана обычная проверка подлинности.
• Разрешить сохранение контактов
• Настройка подсказок для внешних получателей
• Настройка сортировки папки "Входящие"
• Требовать биометрические данные для доступа к Outlook для iOS
• Блокировка внешних образов

Примечание.

Если вы используете политики защиты приложений Intune для управления доступом для корпоративных удостоверений, рекомендуется не включать биометрические данные. Дополнительные сведения см. в разделах Требовать корпоративные учетные данные для доступа к iOS иПараметры доступа Android.

Дополнительные сведения см. в разделе Параметры конфигурации Microsoft Outlook.

Удаление приложений Android Enterprise

Управляемые приложения Google Play можно удалить из Microsoft Intune. Чтобы удалить управляемое приложение Google Play, откройте Microsoft Intune в портал Azure и выберите Клиентские приложения>. В списке приложений выберите многоточие (...) справа от управляемого приложения Google Play, а затем выберите Удалить из отображаемого списка. При удалении управляемого приложения Google Play из списка приложений управляемое приложение Google Play автоматически не одобряется.

Управляемый тип приложения Google Play

Тип управляемого приложения Google Play позволяет специально добавлять управляемые приложения Google Play в Intune. Администратор Intune теперь может просматривать, искать, утверждать, синхронизировать и назначать утвержденные управляемые приложения Google Play в Intune. Вам больше не нужно переходить к управляемой консоли Google Play отдельно, и вам больше не нужно повторно выполнять проверку подлинности. В Intune выберите Клиентские приложения>Приложения>Добавить. В списке Тип приложения выберите Управляемый Google Play в качестве типа приложения.

Клавиатура Android PIN-кода по умолчанию

Для конечных пользователей, которые настроили ПИН-код Intune политики защиты приложений (APP) на своих устройствах Android с типом ПИН-кода Numeric, теперь они увидят клавиатуру Android по умолчанию вместо фиксированного пользовательского интерфейса клавиатуры Android, который был разработан ранее. Это изменение было сделано, чтобы обеспечить согласованность при использовании клавиатур по умолчанию в Android и iOS для обоих типов ПИН-кодов : числовой и (или) секретный код. Дополнительные сведения о параметрах доступа конечных пользователей в Android, таких как ПИН-код приложения, см. в разделе Требования к доступу Android.

Конфигурация устройства

Административные шаблоны находятся в общедоступной предварительной версии и перемещены в собственный профиль конфигурации

Административные шаблоны в Intune (административные шаблоныконфигурации> устройства) сейчас доступны в общедоступной предварительной версии. В этом обновлении:

• Административные шаблоны содержат около 300 параметров, которыми можно управлять в Intune. Ранее эти параметры существовали только в редакторе групповой политики.
• Административные шаблоны доступны в общедоступной предварительной версии.
• Административные шаблоны перемещаются изадминистративных шаблоновконфигурации> устройств вконфигурацию>устройств>Create>Windows 10 и более поздних версий для административных шаблонов платформы > для типа профиля.
• Отчеты включены

Дополнительные сведения об этой функции см. в разделе шаблоны Windows 10 для настройки параметров групповой политики.

Область применения: Windows 10 и более поздних версий

Использование S/MIME для шифрования и подписывания нескольких устройств для пользователя

Это обновление включает шифрование электронной почты S/MIME с помощью нового импортированного профиля сертификата (конфигурация>устройств>Create> выберите тип профиля импортированного сертификата PKCS платформы>. В Intune можно импортировать сертификаты в формате PFX. Intune может доставить эти же сертификаты на несколько устройств, зарегистрированных одним пользователем. Эта функция также включает в себя:

• Собственный профиль электронной почты iOS поддерживает включение шифрования S/MIME с использованием импортированных сертификатов в формате PFX.
• Собственное почтовое приложение на Windows Phone 10 устройствах автоматически использует сертификат S/MIME.
• Частные сертификаты могут быть доставлены на нескольких платформах. Но не все почтовые приложения поддерживают S/MIME.
• На других платформах может потребоваться вручную настроить почтовое приложение для включения S/MIME.
• Email приложения, поддерживающие шифрование S/MIME, могут обрабатывать получение сертификатов для шифрования электронной почты S/MIME способом, который mdm не поддерживает, например чтение из хранилища сертификатов издателя. Дополнительные сведения об этой функции см. в статье Общие сведения об S/MIME для подписывания и шифрования электронной почты. Поддерживается в: Windows, Windows Phone 10, macOS, iOS, Android

Новые параметры автоматического подключения и сохранения правил при использовании параметров DNS на Windows 10 и более поздних устройствах

На Windows 10 и более поздних устройствах можно создать профиль конфигурации VPN, включающий список DNS-серверов для разрешения доменов, например contoso.com. Это обновление включает новые параметры разрешения имен (Конфигурация>устройств>Create> Выберите Windows 10 и более поздние версии для платформы > Выберите VPN для типа > профиля, параметры> DNSДобавить):

• Автоматическое подключение. Если включено, устройство автоматически подключается к VPN, когда устройство обращается к вводимым домену, например contoso.com.
• Постоянный. По умолчанию все правила таблицы политики разрешения имен (NRPT) активны, пока устройство подключено с помощью этого профиля VPN. Если этот параметр включен для правила NRPT, правило остается активным на устройстве, даже если VPN отключается. Правило остается до тех пор, пока не будет удален профиль VPN или пока правило не будет удалено вручную, что можно сделать с помощью PowerShell. Windows 10 параметры VPN описываются.

Использование обнаружения доверенной сети для профилей VPN на Windows 10 устройствах

При использовании обнаружения доверенной сети можно запретить профилям VPN автоматически создавать VPN-подключение, если пользователь уже находится в доверенной сети. С помощью этого обновления можно добавить DNS-суффиксы, чтобы включить обнаружение доверенной сети на устройствах под управлением Windows 10 и более позднихверсий (Конфигурация> устройств >Create>Windows 10 и более поздних версий для VPN платформы > для типа профиля). Windows 10 параметрах VPN перечислены текущие параметры VPN.

Управление Windows Holographic for Business устройствами, используемыми несколькими пользователями

В настоящее время можно настроить параметры общего компьютера на Windows 10 и Windows Holographic for Business устройствах с помощью настраиваемого параметра OMA-URI. В этом обновлении будет добавлен новый профиль для настройки параметров общего устройства (Конфигурация>устройств>Create>Windows 10 и более поздних версий>Общее многопользовательское устройство). Дополнительные сведения об этой функции см. в разделе параметры Intune для управления общими устройствами. Область применения: Windows 10 и более поздних версий, Windows Holographic for Business

Новые параметры обновления Windows 10

Для кругов обновления Windows 10 можно настроить:

• Автоматическое обновление. Используйте новый параметр Сброс по умолчанию, чтобы восстановить исходные параметры автоматического обновления на компьютере Windows 10 на компьютерах с обновлением за октябрь 2018 г.
• Запретить пользователям приостановку обновлений Windows . Настройте новый параметр обновлений программного обеспечения, который позволяет блокировать или разрешать пользователям приостановить установку обновлений из параметров своих компьютеров.

Профили электронной почты iOS могут использовать подписывание и шифрование S/MIME

Вы можете создать профиль электронной почты с разными параметрами. Это обновление включает параметры S/MIME, которые можно использовать для подписывания и шифрования сообщений электронной почты на устройствах iOS (Конфигурация>устройств>Create> Выберите iOS для Email платформы > для типа профиля). Параметры конфигурации электронной почты iOS перечислены.

Некоторые параметры BitLocker поддерживают выпуск Windows 10 Pro

Вы можете создать профиль конфигурации, который задает параметры защиты конечных точек на Windows 10 устройствах, включая BitLocker. Это обновление добавляет поддержку Windows 10 профессиональный выпуск для некоторых параметров BitLocker. Чтобы просмотреть эти параметры защиты, перейдите в раздел Параметры защиты конечных точек для Windows 10.

Конфигурация общего устройства переименована в сообщение экрана блокировки для устройств iOS в портал Azure

При создании профиля конфигурации для устройств iOS можно добавить параметры конфигурации общего устройства , чтобы отобразить определенный текст на экране блокировки. Это обновление включает следующие изменения:

• Параметры конфигурации общих устройств в портал Azure переименовываются в "Сообщение экрана блокировки (только в защищенном режиме)" (Конфигурация>устройств>Create> Выберите iOS для платформы > Выберите функции устройства для типа > "Сообщение экрана блокировки").
• При добавлении сообщений на экране блокировки можно вставить серийный номер, имя устройства или другое значение, относящееся к устройству, в качестве переменной в разделе Сведения о теге ресурса и сноска экрана блокировки. Например, можно ввести Device name: {{devicename}} или Serial number is {{serialnumber}} использовать фигурные скобки. Маркеры iOS перечисляют доступные маркеры, которые можно использовать. Параметры для отображения сообщений на экране блокировки содержат список параметров.

Добавлены новые App Store, просмотр документов, параметры ограничений для игровых устройств, добавленные на устройства iOS

Вразделе Конфигурация>устройств>Create>iOS для платформы >Ограничения устройств для App Store типа > профиля, просмотра документов, игр добавлены следующие параметры: Разрешить управляемым приложениям записывать контакты в учетные записи неуправляемых контактов Разрешить неуправляемые приложения читать из учетных записей управляемых контактов. Чтобы просмотреть эти параметры, перейдите к ограничениям устройств iOS.

Новые уведомления, подсказки и параметры keyguard для устройств владельца устройства Android Enterprise

Это обновление включает в себя несколько новых функций на устройствах Android Enterprise при запуске от имени владельца устройства. Чтобы использовать эти функции, перейдите враздел Конфигурация>устройств>Create> на платформе, выберите Android Enterprise In Profile type (Тип профиляAndroid Enterprise>) и Выберите Только владелец>устройства Ограничения устройств.

К новым функциям относятся:

• Отключите отображение системных уведомлений, в том числе входящих вызовов, системных оповещений, системных ошибок и т. д.
• Предлагает пропустить начальные руководства и подсказки для приложений, которые открываются в первый раз.
• Отключите дополнительные параметры keyguard, такие как камера, уведомления, разблокировка по отпечатку пальца и многое другое.

Чтобы просмотреть параметры, перейдите в раздел Параметры ограничений устройств Android Enterprise.

Устройства владельца корпоративных устройств Android могут использовать Always On VPN-подключения

В этом обновлении вы можете использовать VPN-подключения Always-on на устройствах владельца корпоративных устройств Android. Постоянные VPN-подключения остаются на связи или немедленно повторно подключайтесь, когда пользователь разблокирует устройство, перезагружает устройство или когда изменяется беспроводная сеть. Вы также можете поместить подключение в режим блокировки, который блокирует весь сетевой трафик до тех пор, пока VPN-подключение не будет активным. Вы можете включить Always-on VPN вразделе Конфигурация>устройств>Create>Android enterprise для ограничения платформы> Устройства для параметров подключения только > для владельца устройства. Чтобы просмотреть параметры, перейдите в раздел Параметры ограничений устройств Android Enterprise.

Новый параметр для конечных процессов в диспетчере задач на Windows 10 устройствах

Это обновление включает новый параметр для завершения процессов с помощью диспетчера задач на Windows 10 устройствах. Используя профиль конфигурации устройства (Конфигурация>устройств>Create> На платформе выберите Windows 10> Тип профиля, выберите Общие параметры ограничений> устройств). Этот параметр можно разрешить или запретить. Чтобы просмотреть эти параметры, перейдите Windows 10 параметры ограничения устройств. Область применения: Windows 10 и более поздних версий

Использование рекомендуемых корпорацией Майкрософт параметров с базовыми показателями безопасности (общедоступная предварительная версия)

Intune интегрируется с другими службами, ориентированными на безопасность, включая Защитник Windows для конечной точки и Office 365 Defender для конечной точки. Клиенты просят общую стратегию и единый набор комплексных рабочих процессов безопасности в службах Microsoft 365. Наша цель — согласовать стратегии для создания решений, которые обустраивают операции безопасности и общие задачи администратора. В Intune мы стремимся достичь этой цели, опубликовав набор рекомендуемых корпорацией Майкрософт "Базовых показателей безопасности" (Intune>Базовые показатели безопасности). Администратор может создавать политики безопасности непосредственно из этих базовых показателей, а затем развертывать их для своих пользователей. Вы также можете настроить рекомендации в соответствии с потребностями вашей организации. Intune гарантирует, что устройства соответствуют этим базовым показателям, и уведомляет администраторов о пользователях или устройствах, которые не соответствуют требованиям.

Эта функция доступна в общедоступной предварительной версии, поэтому все профили, созданные сейчас, не будут переходить на общедоступные шаблоны базовых показателей безопасности. Не следует планировать использование этих шаблонов предварительной версии в рабочей среде.

Дополнительные сведения о базовых показателях безопасности см. в статье Create базовых показателей безопасности Windows 10 в Intune.

Эта функция применяется к: Windows 10 и более поздних версий

Пользователи, не являющиеся администраторами, могут включить BitLocker на Windows 10 устройствах, присоединенных к Microsoft Entra ID

При включении параметров BitLocker на Windows 10 устройствах (конфигурация>устройств>Create>Windows 10 и более поздних версий для защиты конечных точек платформы > для типа > профиля Windows Encryption) добавляются параметры BitLocker.

Это обновление включает новый параметр BitLocker, позволяющий стандартным пользователям (не администраторам) включать шифрование.

Чтобы просмотреть параметры, перейдите в раздел Параметры защиты конечных точек для Windows 10.

Проверка соответствия Configuration Manager

Это обновление включает новый параметр соответствия Configuration Manager (Политики>соответствия> устройств Create политика>Windows 10 и более поздние>версии Configuration Manager соответствие требованиям). Configuration Manager отправляет сигналы для соответствия требованиям Intune. С помощью этого параметра можно требовать, чтобы все Configuration Manager сигналы возвращали соответствие требованиям.

Например, необходимо установить все обновления программного обеспечения на устройствах. В Configuration Manager это требование имеет состояние "Установлено". Если какие-либо программы на устройстве находятся в неизвестном состоянии, устройство не соответствует Intune.

Configuration Manager соответствие описывает этот параметр.

Область применения: Windows 10 и более поздних версий

Настройка обоев на защищенных устройствах iOS с помощью профиля конфигурации устройства

При создании профиля конфигурации устройства для устройств iOS можно настроить некоторые функции (Конфигурация>устройств>Create>iOS для платформы >Функции устройства для типа профиля). Это обновление включает новые параметры обои , позволяющие администратору использовать изображение .png, .jpg или .jpeg на начальном экране или на экране блокировки. Эти параметры обои применяются только к защищенным устройствам.

Список этих параметров см. в разделе Параметры функций устройства iOS.

Windows 10 киоск общедоступен

В этом обновлении функция киоска на устройствах Windows 10 и более поздних версий становится общедоступной. Чтобы просмотреть все параметры, которые можно добавить и настроить, см. раздел Параметры киоска для Windows 10 (и более поздних версий).

Общий доступ к контактам через Bluetooth удален в разделе Ограничения > устройств Владелец устройства для Android Enterprise

При создании профиля ограничений устройств для устройств Android Enterprise используется параметр Общий доступ к контактам через Bluetooth . В этом обновлении параметр Общий доступ к контактам через Bluetooth удаляется (Конфигурация>устройств>Create>Android Enterprise для платформы >> Ограничения устройств Владелец устройства для типа > профиля Общие).

Параметр "Общий доступ к контактам через Bluetooth " не поддерживается для управления владельцем устройств Android Enterprise. Поэтому при удалении этого параметра он не повлияет ни на какие устройства или клиенты, даже если этот параметр включен и настроен в вашей среде.

Чтобы просмотреть текущий список параметров, перейдите в раздел Параметры устройства Android Enterprise для разрешения или ограничения функций.

Область применения: Владелец устройства Android Enterprise

Регистрация устройства

Более подробные сообщения об ограничениях регистрации

Более подробные сообщения об ошибках доступны, если не соблюдаются ограничения регистрации. Чтобы просмотреть эти сообщения, перейдите в раздел Intune>Troubleshoot> и проверка таблицу Сбои регистрации.

Управление устройствами

Предварительная версия поддержки корпоративных полностью управляемых устройств Android

Intune теперь поддерживает полностью управляемые устройства Android, корпоративный сценарий "владелец устройства", в котором устройства тесно управляются ИТ-отделами и связаны с отдельными пользователями. Эта функция позволяет администраторам управлять всем устройством, применять расширенный диапазон элементов управления политикой, недоступных для рабочих профилей, и ограничивает пользователей установкой приложений только из управляемого Google Play. Дополнительные сведения см. в разделах Настройка Intune регистрации полностью управляемых устройств Android и Регистрация выделенных или полностью управляемых устройств.

Эта функция находится в состоянии предварительной версии. Некоторые возможности Intune, такие как сертификаты, соответствие требованиям и условный доступ, в настоящее время недоступны на полностью управляемых пользовательских устройствах Android.

Поддержка выборочной очистки для устройств WIP без регистрации

Windows Information Protection без регистрации (WIP-WE) позволяет клиентам защищать корпоративные данные на Windows 10 устройствах без необходимости полной регистрации MDM. После защиты документов с помощью политики WIP-WE администратор Intune может выборочно очистить защищенные данные. Если выбрать пользователя и устройство и отправить запрос на очистку, все данные, защищенные с помощью политики WIP-WE, станут непригодными для использования. В Intune в портал Azure выберитеВыборочная очистка мобильного приложения>.

Управление и устранение неполадок

Панель мониторинга состояния клиента

Новая страница "Состояние клиента " предоставляет единое расположение, где можно просмотреть состояние и связанные сведения о клиенте. Панель мониторинга разделена на четыре области:

• Сведения о клиенте . Отображает сведения, включая имя и расположение клиента, центр MDM, общее количество зарегистрированных устройств в клиенте и количество лицензий. В этом разделе также перечислены текущие выпуски службы для клиента.
• Состояние соединителя — отображает сведения о доступных настроенных соединителях, а также список соединителей, которые еще не включены.
  В зависимости от текущего состояния каждого соединителя они помечаются как работоспособные, предупреждающие или неработоспособные. Выберите соединитель для детализации и просмотра сведений или настройки дополнительных сведений для него.
• Intune работоспособность службы — отображает сведения об активных инцидентах или сбоях для клиента. Сведения, приведенные в этом разделе, извлекаются непосредственно из Центра сообщений Office.
• Intune новости — отображаются активные сообщения для клиента. Сообщения содержат такие уведомления, как уведомления о получении клиентом последних Intune функций. Сведения, приведенные в этом разделе, извлекаются непосредственно из Центра сообщений Office.

Новые возможности справки и поддержки в Корпоративный портал для Windows 10

Новая страница поддержки Корпоративный портал & помогает пользователям устранять неполадки и запрашивать справку по проблемам с приложениями и доступом. На новой странице они могут отправить по электронной почте сведения об ошибках и журнале диагностики, а также найти сведения о службе технической поддержки своей организации. Они также найдут раздел часто задаваемых вопросов со ссылками на соответствующую Intune документацию.

Новый интерфейс справки и поддержки для Intune

В течение следующих нескольких дней мы развертываем новый интерфейс справки и поддержки для всех клиентов. Этот новый интерфейс доступен для Intune и доступен при использовании Intune колонки в портал Azure. Новый интерфейс позволяет описать проблему своими словами и получить аналитические сведения об устранении неполадок и веб-содержимое по исправлению. Эти решения предлагаются с помощью алгоритма машинного обучения на основе правил, управляемого запросами пользователей. Помимо рекомендаций по конкретным вопросам, вы используете рабочий процесс создания нового обращения, чтобы отправить обращение в службу поддержки по электронной почте или телефону.

Этот новый интерфейс заменяет предыдущий интерфейс справки и поддержки. Это был статический набор предварительно выбранных параметров, основанных на области консоли, в которую вы находитесь при открытии справки и поддержки.

Дополнительные сведения см. в разделе Как получить поддержку для Microsoft Intune.

Новые операционные журналы и возможность отправки журналов в службы Azure Monitor

Intune имеет встроенное ведение журнала аудита, которое отслеживает события по мере внесения изменений. Это обновление включает новые функции ведения журнала, в том числе:

• Операционные журналы (предварительная версия), в которых отображаются сведения о зарегистрированных пользователях и устройствах, включая успешные и неудачные попытки.
• Журналы аудита и операционные журналы можно отправлять в Azure Monitor, включая учетные записи хранения, концентраторы событий и log Analytics. Эти службы позволяют хранить, использовать аналитику, например Splunk и QRadar, а также получать визуализации данных ведения журнала.

Отправка данных журнала в хранилище, концентраторы событий или аналитику журналов в Intune предоставляет дополнительные сведения об этой функции.

Пропустить дополнительные экраны помощника по настройке на устройстве iOS DEP

Помимо экранов, которые в настоящее время можно пропустить, вы можете настроить устройства iOS DEP для пропуска следующих экранов в помощнике по настройке, когда пользователь регистрирует устройство: "Тон отображения", "Конфиденциальность", "Миграция Android", "Кнопка "Домой", iMessage & FaceTime, Onboarding, Watch Migration, Appearance, Screen Time, Software Update, SIM Setup. Чтобы выбрать экраны, которые следует пропустить, перейдите в раздел Регистрация устройств>.Токены> программырегистрации> Apple Выберите маркер >Профили> выберите профиль >Свойства>Настройка Помощник по настройке> выберите Скрыть для всех экранов, которые вы хотите пропустить >ОК. Если вы создаете новый профиль или изменяете профиль, выбранные экраны пропуска должны синхронизироваться с сервером Apple MDM. Пользователи могут вручную синхронизировать устройства, чтобы не было задержки при выборе изменений профиля.

Развертывание приложения Android Enterprise APP-WE

Для устройств Android в сценарии развертывания политики защиты приложений без регистрации (APP-WE) теперь можно использовать управляемый Google Play для развертывания приложений магазина и бизнес-приложений для пользователей. В частности, вы можете предоставить конечным пользователям каталог приложений и возможности установки, которые больше не требуют от конечных пользователей ослабления состояния безопасности своих устройств, разрешая установку из неизвестных источников. Кроме того, этот сценарий развертывания обеспечит улучшенное взаимодействие с конечными пользователями.

Управление доступом на основе ролей

Теги области для приложений

Вы можете создавать теги область, чтобы ограничить доступ для ролей и приложений. Вы можете добавить тег область в приложение, чтобы доступ к приложению имели только пользователи с ролями, которые область тег. В настоящее время приложениям, добавленным в Intune из управляемого Google Play, или приложениям, приобретенным по программе Apple Volume Purchase Program (VPP), нельзя назначать область тегов (планируется поддержка в будущем). Дополнительные сведения см. в статье Использование тегов область для фильтрации политик.

Декабрь 2018 г.

Управление приложениями

Обновления для безопасности транспорта приложений

Microsoft Intune поддерживает протокол TLS 1.2+ для обеспечения лучшего в своем классе шифрования, обеспечения безопасности Intune по умолчанию и соответствия другим службам Майкрософт, таким как Microsoft 365. Чтобы выполнить это требование, корпоративные порталы iOS и macOS будут применять обновленные требования Apple к безопасности транспорта приложений (ATS), которые также требуют TLS 1.2+. ATS используется для обеспечения более строгой безопасности во всех взаимодействиях приложений по протоколу HTTPS. Это изменение влияет на Intune клиентов, использующих приложения iOS и macOS Корпоративный портал. Дополнительные сведения см. в блоге поддержки Intune.

Пакет SDK для приложений Intune поддерживает 256-разрядные ключи шифрования.

Пакет SDK для приложений Intune для Android теперь использует 256-разрядные ключи шифрования, если шифрование включено политиками защиты приложений. Пакет SDK будет по-прежнему поддерживать 128-разрядные ключи для обеспечения совместимости с содержимым и приложениями, которые используют более старые версии пакета SDK.

Для устройств macOS требуется автоматическое обновление Майкрософт версии 4.5.0

Чтобы продолжить получать обновления для Корпоративный портал и других приложений Office, устройства macOS, управляемые Intune, должны обновиться до автоматического обновления Майкрософт 4.5.0. Возможно, у пользователей уже есть эта версия для приложений Office.

Управление устройствами

Intune требуется macOS 10.12 или более поздней версии

Intune теперь требуется macOS версии 10.12 или более поздней. Устройства, использующие предыдущие версии macOS, не могут использовать Корпоративный портал для регистрации в Intune. Чтобы получить поддержку и новые функции, пользователи должны обновить свое устройство до macOS 10.12 или более поздней версии и обновить Корпоративный портал до последней версии.

Ноябрь 2018 г.

Управление приложениями

Удаление приложений на корпоративных защищенных устройствах iOS

Вы можете удалить любое приложение на корпоративных защищенных устройствах iOS. Вы можете удалить любое приложение, нацелив пользователей или группы устройств с типом назначения Удаления . Для личных или неконтролируемых устройств iOS вы по-прежнему сможете удалять только приложения, установленные с помощью Intune.

Скачивание содержимого приложения Win32 Intune

Windows 10 клиенты RS3 и более поздних версий скачивают Intune содержимое приложения Win32 с помощью компонента оптимизации доставки в клиенте Windows 10. Оптимизация доставки обеспечивает одноранговую функциональность, которая включена по умолчанию. В настоящее время оптимизацию доставки можно настроить с помощью групповой политики. См. дополнительные сведения об оптимизации доставки для Windows 10.

Меню содержимого устройства и приложения пользователя

Конечные пользователи теперь могут использовать контекстное меню на устройстве и в приложениях для активации распространенных действий, таких как переименование устройства или проверка соответствия.

Настройка пользовательского фона в приложении Управляемый главный экран

Мы добавляем параметр, который позволяет настраивать фоновый внешний вид приложения Управляемый главный экран на устройствах Android Enterprise, в режиме киоска с несколькими приложениями. Чтобы настроить фон пользовательского URL-адреса, перейдите к Intune в конфигурации устройства портал Azure>. Выберите текущий профиль конфигурации устройства или создайте новый, чтобы изменить параметры киоска. Сведения о параметрах киоска см. в статье Ограничения устройств Android Enterprise.

сохранение и применение назначения политики защита приложений

Теперь у вас есть более полный контроль над назначениями политик защиты приложений. При выборе назначения для задания или изменения назначений политики необходимо сохранить конфигурацию, прежде чем будет применено изменение. Используйте команду Отменить , чтобы удалить все изменения, внесенные без сохранения изменений в списках Включить или Исключить. Если требуется сохранить или отменить, только пользователям, которые вы планируете, назначается политика защиты приложений.

Новые параметры браузера Microsoft Edge для Windows 10 и более поздних версий

Это обновление включает новые параметры для управления браузером Microsoft Edge версии 45 и более ранних версий и управления им на ваших устройствах. Список этих параметров см. в разделе Ограничение устройств для Windows 10 (и более новых версий).

Поддержка новых приложений с помощью политик защиты приложений

Теперь вы можете управлять следующими приложениями с помощью политик защиты приложений Intune:

• Stream (iOS)
• Do (Android, iOS)
• PowerApps (Android, iOS)
• Flow (Android, iOS)

Используйте политики защиты приложений для защиты корпоративных данных и управления передачей данных для этих приложений, как и для других приложений, управляемых политикой Intune. Примечание. Если поток еще не отображается в консоли, вы добавляете Flow при создании или изменении политик защиты приложений. Для этого используйте параметр + Другие приложения , а затем укажите идентификатор приложения для Flow в поле ввода. Для Android используйте com.microsoft.flow, а для iOS — com.microsoft.procsimo.

Конфигурация устройства

Поддержка IOS 12 OAuth в профилях электронной почты iOS

профили электронной почты iOS Intune поддерживают открытую авторизацию iOS 12 (OAuth). Чтобы увидеть эту функцию, создайте новый профиль (Конфигурация>устройств>Create>iOS для платформы> Email для типа профиля) или обновите существующий профиль электронной почты iOS. Если включить OAuth в профиле, который уже развернут для пользователей, пользователям будет предложено повторно пройти проверку подлинности и снова скачать электронную почту.

Профили электронной почты iOS содержат дополнительные сведения об использовании OAuth в профиле электронной почты.

Поддержка контроль доступа сети (NAC) для Citrix SSO для iOS

Citrix выпустила обновление для шлюза Citrix, чтобы разрешить сетевой контроль доступа (NAC) для Citrix SSO для iOS в Intune. Вы можете включить идентификатор устройства в профиль VPN в Intune, а затем отправить этот профиль на устройства iOS. Чтобы использовать эту функцию, необходимо установить последнее обновление шлюза Citrix.

Настройка параметров VPN на устройствах iOS содержит дополнительные сведения об использовании NAC, включая некоторые другие требования.

Отображаются номера версий iOS и macOS и номера сборки

В разделе Соответствие> устройствтребованиям устройства отображаются версии операционной системы iOS и macOS, которые можно использовать в политиках соответствия. Это обновление включает номер сборки, который можно настроить для обеих платформ. При выпуске обновлений для системы безопасности Apple обычно оставляет номер версии без изменений, но обновляет номер сборки. Используя номер сборки в политике соответствия требованиям, можно легко проверка, если установлено обновление уязвимостей. Чтобы использовать эту функцию, ознакомьтесь с политиками соответствия iOS и macOS .

Круги обновлений заменяются параметрами оптимизации доставки для Windows 10 и более поздних версий

Оптимизация доставки — это новый профиль конфигурации для Windows 10 и более поздних версий. Эта функция упрощает доставку обновлений программного обеспечения на устройства в организации. Это обновление также помогает предоставлять параметры в новых и существующих кругах обновления с помощью профиля конфигурации. Сведения о настройке профиля конфигурации оптимизации доставки см. в разделе Windows 10 (и более новых) параметров оптимизации доставки.

Новые параметры ограничений устройств, добавленные на устройства iOS и macOS

Это обновление включает новые параметры для устройств iOS и macOS, выпущенных с iOS 12:

Параметры iOS:

• Общие: блокировать удаление приложений (только защищенное)
• Общие: блокировать ограниченный режим USB (только защищенный)
• Общие. Принудительное автоматическое применение даты и времени (только в защищенном режиме)
• Пароль: блокировать автозаполнение пароля (только в защищенном режиме)
• Пароль: блокировать запросы на близкое взаимодействие с паролем (только защищенные)
• Пароль: блокировать общий доступ к паролям (только защищенный)

Параметры macOS:

• Пароль: блокировка автозаполнения пароля
• Пароль: блокировать запросы на близкое расположение паролей
• Пароль: блокировать общий доступ к паролям

Дополнительные сведения об этих параметрах см. в разделе Параметры ограничений устройств iOS и macOS .

Регистрация устройства

Поддержка Autopilot для устройств с гибридным присоединением Microsoft Entra (предварительная версия)

Теперь вы можете настроить Microsoft Entra устройства с гибридным присоединением с помощью Autopilot. Чтобы использовать гибридную функцию Autopilot, устройства должны быть присоединены к сети вашей организации. Дополнительные сведения см. в статье Развертывание Microsoft Entra гибридных устройств с помощью Intune и Windows Autopilot. Эта функция будет развернута в базе пользователей в течение следующих нескольких дней. Таким образом, вы не сможете выполнить эти действия до тех пор, пока они не будут развернуты в вашей учетной записи.

Выбор приложений, отслеживаемых на странице состояния регистрации

Вы можете выбрать, какие приложения отслеживаются, на странице состояния регистрации. Пока эти приложения не будут установлены, пользователь не сможет использовать устройство. Дополнительные сведения см. в разделе Настройка состояния регистрации.

Поиск для устройства Autopilot по серийному номеру

Теперь вы можете искать устройства Autopilot по серийному номеру. Для этого выберите Регистрация> устройствУстройства регистрации> Windowsвведите> серийный номер в поле Поиск по серийному номеру> нажмите клавишу ВВОД.

Отслеживание установки Office профессиональный плюс

Пользователи могут отслеживать ход установки Office профессиональный плюс с помощью страницы состояния регистрации. Дополнительные сведения см. в разделе Настройка состояния регистрации.

Оповещения об истечении срока действия маркера VPP или низкой лицензии Корпоративный портал

Если вы используете Программу приобретения корпоративных лицензий (VPP) для предварительной подготовки Корпоративный портал во время регистрации DEP, Intune оповещения о том, что срок действия маркера VPP скоро истечет, а лицензии для Корпоративный портал не работают.

Поддержка программы регистрации устройств macOS для учетных записей Apple School Manager

Intune теперь поддерживает использование программы регистрации устройств на устройствах macOS для учетных записей Apple School Manager. Дополнительные сведения см. в статье Автоматическая регистрация устройств macOS с помощью Apple School Manager или Программы регистрации устройств.

Номер SKU подписки на новое устройство Intune

Чтобы снизить затраты на управление устройствами на предприятиях, теперь доступен новый номер SKU подписки на основе устройств. Этот Intune номер SKU устройства лицензируется для каждого устройства на ежемесячной основе. Цена зависит от программы лицензирования. Он доступен непосредственно через Центр администрирования Microsoft 365, а также через Соглашение Enterprise (EA), Соглашение о продуктах и услугах Майкрософт (MPSA), Соглашения Microsoft Open и поставщик облачных решений (CSP).

Управление устройствами

Временная приостановка режима киоска на устройствах Android для внесения изменений

При использовании устройств Android в режиме киоска с несколькими приложениями ИТ-администратору может потребоваться внести изменения в устройство. Это обновление включает новые параметры киоска с несколькими приложениями, которые позволяют ИТ-администратору временно приостановить режим киоска с помощью ПИН-кода и получить доступ ко всему устройству. Сведения о параметрах киоска см. в статье Ограничения устройств Android Enterprise.

Включение виртуальной кнопки "Домой" на устройствах киоска Android Enterprise

Новый параметр позволяет пользователям нажимать кнопку обратимой клавиши на своем устройстве, чтобы переключаться между приложением Управляемый главный экран и другими назначенными приложениями на устройстве киоска с несколькими приложениями. Этот параметр полезен в сценариях, когда приложение киоска пользователя не реагирует должным образом на кнопку "Назад". Этот параметр можно настроить для корпоративных устройств Android с единым использованием. Чтобы включить или отключить кнопку Виртуальный домой, перейдите к Intune в конфигурации устройства портал Azure>. Выберите текущий профиль конфигурации устройства или создайте новый, чтобы изменить параметры киоска. Сведения о параметрах киоска см. в статье Ограничения устройств Android Enterprise.

Октябрь 2018 г.

Управление приложениями

Доступ к свойствам ключевого профиля с помощью приложения корпоративного портала

Конечные пользователи теперь могут получать доступ к основным свойствам и действиям учетной записи, таким как сброс пароля, из приложения корпоративного портала.

Сторонние клавиатуры могут быть заблокированы параметрами приложения в iOS

На устройствах iOS администраторы Intune могут блокировать использование сторонних или партнерских клавиатур при доступе к данным организации в приложениях, защищенных политикой. Если политика защиты приложений (APP) настроена на блокировку клавиатур сторонних или партнерских устройств, пользователь устройства получает сообщение при первом взаимодействии с корпоративными данными при использовании клавиатуры стороннего или партнерского. Все параметры, кроме собственной клавиатуры, блокируются, и пользователи устройств не увидят их. Пользователи устройств увидят диалоговое сообщение только один раз.

Доступ к учетной записи пользователей Intune приложений на управляемых устройствах Android и iOS

Как администратор Microsoft Intune вы можете контролировать, какие учетные записи пользователей добавляются в приложения Microsoft Office на управляемых устройствах. Вы можете ограничить доступ только разрешенными учетными записями пользователей организации и заблокировать личные учетные записи на зарегистрированных устройствах.

Политика конфигурации приложений Outlook для iOS и Android

Теперь вы можете создать политику конфигурации приложений Outlook для iOS и Android для iOS и Android для локальных пользователей, использующих обычную проверку подлинности с протоколом ActiveSync. Дополнительные параметры конфигурации будут добавлены по мере их включения для Outlook для iOS и Android.

языковые пакеты Приложения Microsoft 365 для предприятий

Администратор Intune может развертывать другие языки для Приложения Microsoft 365 для предприятий приложений, управляемых с помощью Intune. Список доступных языков включает тип языкового пакета (основной, частичный и правописания). В портал Azure выберите Microsoft Intune>Клиенты приложения>>Добавить. В списке Тип приложения колонки Добавление приложения выберите Windows 10 в разделе Office 365 Suite. Выберите Языки в колонке Параметры набора приложений .

Расширения файлов бизнес-приложений Windows (LOB)

Расширения файлов для бизнес-приложений Windows теперь будут включать .msi, , .appx.appxbundle, .msixи .msixbundle. Вы можете добавить приложение в Microsoft Intune, выбрав Клиентские приложения>Приложения>Добавить. Откроется панель Добавление приложения , в которой можно выбрать тип приложения. Для бизнес-приложений Windows выберите бизнес-приложение в качестве типа приложения, выберите файл пакета приложения и введите установочный файл с соответствующим расширением.

Windows 10 развертывания приложений с помощью Intune

Используя существующую поддержку бизнес-приложений (LOB) и приложений Microsoft Store для бизнеса, администраторы могут использовать Intune для развертывания большинства существующих приложений своей организации для конечных пользователей на Windows 10 устройствах. Администраторы могут добавлять, устанавливать и удалять приложения для Windows 10 пользователей в различных форматах, таких как MSIs, Setup.exe или MSP. Intune будет оценивать правила требований перед загрузкой и установкой, уведомляя конечных пользователей о требованиях к состоянию или перезагрузке с помощью центра уведомлений Windows 10. Эта функция позволит эффективно разблокировать организации, заинтересованные в перемещении рабочей нагрузки на Intune и облако. В настоящее время эта функция доступна в общедоступной предварительной версии, и мы планируем добавить в нее значительные новые возможности в течение следующих нескольких месяцев.

Параметры политики защиты приложений (APP) для веб-данных

Параметры политики приложений для веб-содержимого на устройствах Android и iOS будут обновлены для более эффективной обработки веб-ссылок http и https, а также передачи данных через универсальные ссылки iOS и ссылки на приложения Android.

Меню содержимого устройства и приложения пользователя

Теперь пользователи могут использовать контекстное меню на устройстве и в приложениях для активации распространенных действий, таких как переименование устройства или проверка соответствия.

Сочетания клавиш для корпоративного портала Windows

Теперь пользователи смогут активировать действия приложения и устройства на корпоративном портале Windows с помощью определенных сочетаний клавиш (ускорителей).

Требовать не биометрический ПИН-код после указанного времени ожидания

Требуя не биометрического ПИН-кода после истечения времени ожидания, указанного администратором, Intune обеспечивает улучшенную безопасность для приложений с поддержкой управления мобильными приложениями (MAM), ограничивая использование биометрической идентификации для доступа к корпоративным данным. Параметры влияют на пользователей, которые используют Touch ID (iOS), Face ID (iOS), Биометрические данные Android или другие будущие биометрические методы проверки подлинности для доступа к приложениям с поддержкой APP/MAM. Эти параметры позволяют администраторам Intune более детально контролировать доступ пользователей, устраняя случаи, когда устройство с несколькими отпечатками пальцев или другими методами биометрического доступа может выявить корпоративные данные для неправильного пользователя. В портал Azure откройте Microsoft Intune. Выберите Клиентские приложения>защита приложений политики> Добавитьпараметрыполитики>. Найдите раздел Доступ для определенных параметров. Сведения о параметрах доступа см. в разделе Параметры iOS и Параметры Android.

Intune параметры передачи данных APP на устройствах, зарегистрированных в MDM iOS

Вы можете отделить управление параметрами передачи данных Intune APP на устройствах, зарегистрированных в MDM iOS, от указания удостоверения зарегистрированного пользователя, также известного как имя участника-пользователя (UPN). Администраторы, не использующие IntuneMAMUPN, не будут наблюдать изменения в поведении. Если эта функция доступна, администраторы, использующие IntuneMAMUPN для управления поведением передачи данных на зарегистрированных устройствах, должны проверить новые параметры и обновить параметры приложения по мере необходимости.

приложения Windows 10 Win32

Вы можете настроить установку приложений Win32 в контексте пользователя для отдельных пользователей, а не установку приложения для всех пользователей устройства.

Приложения Windows Win32 и сценарии PowerShell

Пользователям больше не требуется вход на устройстве для установки приложений Win32 или выполнения сценариев PowerShell.

Устранение неполадок с установкой клиентского приложения

Чтобы устранить неполадки с успешной установкой клиентских приложений, просмотрите столбец Установка приложения в колонке Устранение неполадок . Чтобы просмотреть колонку Устранение неполадок, на портале Intune выберите Устранение неполадок в разделе Справка и поддержка.

Конфигурация устройства

Create DNS-суффиксы в профилях конфигурации VPN на устройствах с Windows 10

При создании профиля конфигурации VPN-устройства (конфигурация>устройств>Create>Windows 10 и более поздних версий типа профиля VPN платформы>) введите некоторые параметры DNS. С помощью этого обновления можно также ввести несколько DNS-суффиксов в Intune. При использовании DNS-суффиксов можно искать сетевой ресурс, используя его короткое имя, а не полное доменное имя (FQDN). Это обновление также позволяет изменить порядок DNS-суффиксов в Intune. Windows 10 параметрах VPN перечислены текущие параметры DNS. Область применения: Windows 10 устройств

Поддержка постоянных VPN-подключений для рабочих профилей Android для предприятий

В этом обновлении можно использовать VPN-подключения Always-on на корпоративных устройствах Android с управляемыми рабочими профилями. Постоянные VPN-подключения остаются на связи или немедленно повторно подключайтесь, когда пользователь разблокирует устройство, перезагружает устройство или когда изменяется беспроводная сеть. Вы также можете поместить подключение в режим блокировки, который блокирует весь сетевой трафик до тех пор, пока VPN-подключение не будет активным. Вы можете включить Always-on VPN вразделе Конфигурация>устройств>Create>Android enterprise для параметровподключенияк ограничениям> устройств платформы>.

Выдача сертификатов SCEP устройствам без пользователей

В настоящее время сертификаты выдаются пользователям. С помощью этого обновления сертификаты SCEP можно выдавать устройствам, в том числе устройствам без пользователей, таким как киоски (Конфигурация>устройств>Create>Windows 10 и более поздние версии для сертификата SCEP платформы > для профиля). К другим обновлениям относятся:

• Свойство Subject в профиле SCEP теперь является пользовательским текстовым полем и может включать новые переменные.

• Свойство альтернативного имени субъекта (SAN) в профиле SCEP теперь имеет табличный формат и может включать новые переменные. В таблице администратор может добавить атрибут и заполнить значение в пользовательском текстовом поле. SAN будет поддерживать следующие атрибуты:

  • DNS
  • Адрес электронной почты
  • UPN

  Эти новые переменные можно добавить статическим текстом в текстовое поле пользовательского значения. Например, атрибут DNS можно добавить как DNS = {{AzureADDeviceId}}.domain.com.

  Примечание.

  Фигурные скобки, точки с запятой и символы конвейера " { } ; | " не будут работать в статическом тексте SAN. Фигурные скобки должны включать только одну из новых переменных сертификата устройства, которые должны быть приняты для или SubjectSubject alternative name.

Новые переменные сертификата устройства:

"{{AAD_Device_ID}}",
"{{Device_Serial}}",
"{{Device_IMEI}}",
"{{SerialNumber}}",
"{{IMEINumber}}",
"{{AzureADDeviceId}}",
"{{WiFiMacAddress}}",
"{{IMEI}}",
"{{DeviceName}}",
"{{FullyQualifiedDomainName}}",
"{{MEID}}",

Примечание.

• {{FullyQualifiedDomainName}} Работает только для устройств Windows и присоединенных к домену устройств.
• При указании свойств устройства, таких как IMEI, серийный номер и полное доменное имя, в субъекте или san для сертификата устройства следует учитывать, что эти свойства могут быть спуфинированы пользователем с доступом к устройству.

Create профиле сертификата SCEP перечисляет текущие переменные при создании профиля конфигурации SCEP.

Область применения: Windows 10 и более поздних версий и iOS, поддерживается для Wi-Fi

Удаленная блокировка несоответствующих устройств

Если устройство не соответствует требованиям, можно создать действие для политики соответствия требованиям, которое блокирует устройство удаленно. В Intune >соответствие устройств создайте новую политику или выберите существующую политику Свойства.> Выберите Действия для несоответствия>Добавить и выберите удаленную блокировку устройства. Поддерживается в:

• Android
• iOS
• macOS
• Windows 10 Mobile
• Windows Phone 8.1 и более поздних версий

улучшения профиля киоска Windows 10 и более поздних версий в портал Azure

Это обновление включает следующие улучшения в профиле конфигурации устройства киоска Windows 10 (конфигурация>устройств>Create>Windows 10 и более поздние версии для предварительной версии киоска платформы > для типа профиля):

• В настоящее время можно создать несколько профилей киосков на одном устройстве. В этом обновлении Intune будет поддерживать только один профиль киоска на устройство. Если вам по-прежнему требуется несколько профилей киоска на одном устройстве, можно использовать настраиваемый URI.
• В профиле киоска с несколькими приложениями можно выбрать размер плитки приложения и порядок для макета меню "Пуск" в сетке приложения. Если вы предпочитаете больше настроек, вы можете продолжить отправку XML-файла.
• Параметры браузера киоска перемещаются в параметры киоска . В настоящее время параметры веб-браузера киоска имеют собственную категорию в портал Azure. Область применения: Windows 10 и более поздних версий

Запрос ПИН-кода при изменении отпечатков пальцев или идентификатора лица на устройстве iOS

Теперь пользователям будет предложено ввести ПИН-код после внесения биометрических изменений на устройстве iOS. Эта функция включает изменения зарегистрированных отпечатков пальцев или идентификатора лица. Время выполнения запроса зависит от конфигурации требований повторной проверки доступа по истечении времени ожидания (в минутах). Если ПИН-код не задан, пользователю будет предложено установить его.

Эта функция доступна только для iOS и требует участия приложений, которые интегрируют пакет SDK Intune APP для iOS версии 9.0.1 или более поздней. Интеграция пакета SDK нужна для того, чтобы принудительно применить это поведение для целевых приложений. Такая интеграция происходит регулярно и зависит от сотрудничества команд конкретных приложений. Некоторые приложения, которые участвуют, включают WXP, Outlook, Managed Browser и Viva Engage.

Поддержка управления доступом к сети в VPN-клиентах iOS

Это обновление позволяет включить сетевой контроль доступа (NAC) при создании профиля конфигурации VPN для Cisco AnyConnect, F5 Access и Citrix SSO для iOS. Этот параметр позволяет включить идентификатор NAC устройства в профиль VPN. В настоящее время нет VPN-клиентов или решений партнеров NAC, которые поддерживают этот новый идентификатор NAC. Мы будем информировать вас через нашу запись в блоге поддержки , когда они это делают.

Чтобы использовать NAC, вам потребуется:

1. Согласие на включение Intune идентификаторов устройств в профили VPN
2. Обновление программного обеспечения или встроенного ПО поставщика NAC с помощью инструкций непосредственно от поставщика NAC

Сведения об этом параметре в профиле VPN iOS см. в статье Добавление параметров VPN на устройствах iOS в Microsoft Intune. Дополнительные сведения об управлении доступом к сети см. в статье Интеграция управления сетевым доступом (NAC) с Intune.

Область применения: iOS

Удаление профиля электронной почты с устройства, даже если в нем есть только один профиль электронной почты

Ранее вы не могли удалить профиль электронной почты с устройства, если это единственный профиль электронной почты. С этим обновлением это поведение меняется. Теперь вы можете удалить профиль электронной почты, даже если это единственный профиль электронной почты на устройстве. Дополнительные сведения см. в статье Добавление параметров электронной почты на устройства с помощью Intune.

Скрипты и Microsoft Entra ID PowerShell

Сценарии PowerShell в Intune могут быть предназначены для Microsoft Entra групп безопасности устройств.

Новый параметр "Обязательный тип пароля" по умолчанию для Android, Android enterprise

При создании новой политики соответствия требованиям (Intune>Политики>соответствия устройствам>Create политика>Android или Android enterprise для платформенного > системного безопасности) изменится значение по умолчанию для параметра Обязательный тип пароля:

От: Устройство по умолчанию: по крайней мере числовое значение

Область применения: Android, Android Enterprise

Чтобы просмотреть эти параметры, перейдите в раздел Android и Android Enterprise.

Использование предварительно общего ключа в профиле Windows 10 Wi-Fi

С помощью этого обновления можно использовать предварительно общий ключ (PSK) с протоколом безопасности WPA/WPA2-Personal для проверки подлинности профиля конфигурации Wi-Fi для Windows 10. Вы также можете указать конфигурацию затрат для сети с лимитом для устройств Windows 10 обновлении за октябрь 2018 г.

В настоящее время необходимо импортировать профиль Wi-Fi или создать пользовательский профиль, чтобы использовать предварительно общий ключ. Параметры Wi-Fi для Windows 10 перечислены текущие параметры.

Удаление сертификатов PKCS и SCEP с устройств

В некоторых сценариях сертификаты PKCS и SCEP остались на устройствах. Они сохраняются даже при удалении политики из группы, удалении конфигурации или развертывания соответствия требованиям, а также при обновлении администратором существующего профиля SCEP или PKCS.

Это обновление изменяет поведение. Существует несколько сценариев, когда сертификаты PKCS и SCEP удаляются с устройств, а в некоторых случаях эти сертификаты остаются на устройстве. Эти сценарии см. в статье Удаление сертификатов SCEP и PKCS в Microsoft Intune.

Использование Gatekeeper на устройствах macOS для обеспечения соответствия требованиям

Это обновление включает в себя macOS Gatekeeper для оценки устройств на соответствие требованиям. Чтобы задать свойство Gatekeeper, добавьте политику соответствия устройств macOS.

Регистрация устройства

Применение профиля Autopilot к зарегистрированным устройствам Win 10, которые еще не зарегистрированы для Autopilot

Профили Autopilot можно применить к зарегистрированным устройствам Win 10, которые еще не были зарегистрированы для Autopilot. В профиле Autopilot выберите параметр Преобразовать все целевые устройства в Autopilot , чтобы автоматически зарегистрировать устройства, не относящиеся к Autopilot, в службе развертывания Autopilot. Регистрация завершится в течение 48 часов. Когда устройство будет отменено и сброшено, Autopilot подготовит его.

Create и назначьте Microsoft Entra группам несколько профилей страницы состояния регистрации.

Теперь вы можете создавать и назначать несколько профилей страницы состояния регистрации группам Azure ADD.

Миграция из программы регистрации устройств в Apple Business Manager в Intune

Apple Business Manager (ABM) работает в Intune, и вы можете обновить учетную запись с программы регистрации устройств (DEP) до ABM. Процесс в Intune выполняется так же. Чтобы обновить учетную запись Apple с DEP до ABM, перейдите на страницу https://support.apple.com/HT208817.

Вкладки состояния оповещений и регистрации на странице обзора регистрации устройства

Оповещения и сбои регистрации теперь отображаются на отдельных вкладках на странице обзора регистрации устройств.

Отчет об отказе в регистрации

Новый отчет с подробными сведениями о отмененных регистрациях доступен в разделе Монитор регистрации> устройств. Дополнительные сведения см. в разделе Отчет об отказе на корпоративном портале.

Новая функция Microsoft Entra условий использования

Microsoft Entra ID имеет функцию условий использования, которую можно использовать вместо существующих Intune условий. Функция Microsoft Entra ID условий использования обеспечивает большую гибкость в отношении условий отображения и времени их отображения, лучшую поддержку локализации, больший контроль над тем, как отображаются термины, а также улучшенные отчеты. Для Microsoft Entra ID условий использования требуется Microsoft Entra ID P1, который также является частью набора Enterprise Mobility + Security E3. Дополнительные сведения см. в статье Управление условиями для доступа пользователей в вашей компании.

Поддержка режима владельца устройства Android

В Samsung Knox Mobile Enrollment Intune теперь поддерживает регистрацию устройств в режиме управления владельцем устройств Android. Пользователи wi-fi или сотовых сетей могут зарегистрироваться с помощью всего нескольких касаний при первом включении устройств. Дополнительные сведения см. в статье Автоматическая регистрация устройств Android с помощью Samsung Knox Mobile Enrollment.

Управление устройствами

Новые параметры для программного обеспечения Обновления

• Теперь можно настроить некоторые уведомления, чтобы оповещать конечных пользователей о перезапусках, необходимых для завершения установки последних обновлений программного обеспечения.
• Теперь можно настроить предупреждение о перезапуске для перезапусков, выполняемых в нерабочее время, которые поддерживают сценарии BYOD.

Группирование устройств, зарегистрированных в Windows Autopilot, по идентификатору коррелятора

Intune теперь поддерживает группирование устройств Windows по идентификатору коррелятора при регистрации с помощью Autopilot для существующих устройств через Configuration Manager. Идентификатор коррелятора — это параметр файла конфигурации Autopilot. Intune автоматически установит для атрибута Microsoft Entra устройства enrollmentProfileName значение .OfflineAutopilotprofile-〈correlator ID〉 Эта функция позволяет создавать произвольные Microsoft Entra динамические группы на основе идентификатора коррелятора с помощью атрибута enrollmentprofileName для автономных регистраций Autopilot. Дополнительные сведения см. в разделе Windows Autopilot для существующих устройств.

политики защиты приложений Intune

Intune политики защиты приложений позволяют настраивать различные параметры защиты данных для Intune защищенных приложений, таких как Microsoft Outlook и Microsoft Word. Мы изменили внешний вид этих параметров для iOS и Android , чтобы упростить поиск отдельных параметров. Существует три категории параметров политики:

• Перемещение данных . Эта группа включает элементы управления защиты от потери данных (DLP), такие как ограничения вырезания, копирования, вставки и сохранения как. Эти параметры определяют, как пользователи взаимодействуют с данными в приложениях.
• Требования к доступу . Эта группа содержит параметры ПИН-кода для каждого приложения, которые определяют, как конечный пользователь обращается к приложениям в рабочем контексте.
• Условный запуск . Эта группа содержит такие параметры, как минимальные параметры ОС, обнаружение джейлбрейка и корневого устройства, а также льготные периоды в автономном режиме.

Функциональность параметров не меняется, но их будет проще найти при работе в потоке разработки политик.

Ограничивает приложения и блокирует доступ к ресурсам компании на устройствах Android.

Вразделе Политики>соответствия устройств>Create политика>Android System Security (Безопасность системыAndroid>) в разделе Безопасность устройства есть новый параметр с именем Ограниченные приложения. Параметр Ограниченные приложения использует политику соответствия для блокировки доступа к ресурсам компании, если на устройстве установлены определенные приложения. Устройство считается несовместимым до тех пор, пока ограниченные приложения не будут удалены с устройства. Применимо к:

• Android

Приложения Intune

Intune поддерживает максимальный размер пакета в 8 ГБ для бизнес-приложений.

Intune увеличен максимальный размер пакета до 8 ГБ для бизнес-приложений (LOB). Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune.

Добавление настраиваемого изображения фирменной символики в приложение "Корпоративный портал"

Администратор Microsoft Intune может отправить пользовательское изображение торговой марки. Это изображение будет отображаться в качестве фонового изображения на странице профиля пользователя в приложении iOS Корпоративный портал. Дополнительные сведения о настройке приложения "Корпоративный портал" см. в статье Настройка приложения корпоративного портала Microsoft Intune.

Intune будет поддерживать локализованный язык Office при обновлении Office на компьютерах пользователей

Когда Intune устанавливает Office на компьютерах пользователей, пользователи автоматически получают те же языковые пакеты, что и при предыдущих .MSI установках Office. Дополнительные сведения см. в статье Назначение приложений Microsoft 365 для Windows 10 устройств с Microsoft Intune.

Управление и устранение неполадок

Новый интерфейс поддержки Intune на портале microsoft 365 Управление устройствами

Мы развертываем новый интерфейс справки и поддержки для Intune на портале Microsoft 365 Управление устройствами. Новый интерфейс позволяет описать проблему своими словами и получить аналитические сведения об устранении неполадок и веб-содержимое по исправлению. Эти решения предлагаются с помощью алгоритма машинного обучения на основе правил, основанного на запросах пользователей.

Помимо рекомендаций по конкретной проблеме, вы также можете использовать рабочий процесс создания нового обращения, чтобы открыть обращение в службу поддержки по электронной почте или по телефону.

Для клиентов, которые являются частью развертывания, этот новый интерфейс заменяет текущий интерфейс справки и поддержки. Это был статический набор предварительно выбранных параметров, основанных на области консоли, в которую вы находитесь при открытии справки и поддержки.

Этот новый интерфейс справки и поддержки развертывается для некоторых, но не для всех клиентов и доступен на портале Управление устройствами. Участники этого нового интерфейса выбираются случайным образом из доступных Intune клиентов. При развертывании развертывания будут добавлены новые клиенты.

Дополнительные сведения см. в разделе Справка и поддержка в статье Как получить поддержку для Microsoft Intune.

Модуль PowerShell для Intune — доступна предварительная версия

Новый модуль PowerShell, который обеспечивает поддержку API Intune через Microsoft Graph, теперь доступен для предварительной версии на GitHub. Дополнительные сведения об использовании этого модуля см. в разделе README в этом расположении.

Сентябрь 2018 г.

Управление приложениями

Удаление дублирования плиток состояния защиты приложений

Плитки Состояние пользователя для iOS и Состояние пользователя для Android присутствовали как на странице "Клиентские приложения - обзор", так и на странице "Клиентские приложения " защита приложений состояния. Плитки состояния были удалены со страницы "Клиентские приложения — обзор" , чтобы избежать дублирования.

Конфигурация устройства

Поддержка дополнительных сторонних центров сертификации (ЦС)

С помощью протокола SCEP теперь можно выдавать новые сертификаты и обновлять сертификаты на мобильных устройствах с помощью Windows, iOS, Android и macOS.

Регистрация устройства

Intune переходит на поддержку iOS 10 и более поздних версий

Intune регистрации, Корпоративный портал и управляемый браузер теперь поддерживают только устройства iOS под управлением iOS 10 и более поздних версий. Чтобы проверка для устройств или пользователей, затронутых в вашей организации, перейдите по Intune в разделе портал Azure >Устройства>Все устройства. Отфильтруйте по ОС, а затем выберите Столбцы , чтобы просмотреть сведения о версии ОС. Попросите этих пользователей обновить свои устройства до поддерживаемой версии ОС.

Если у вас есть какие-либо из перечисленных ниже устройств или вы хотите зарегистрировать любое из перечисленных ниже устройств, знайте, что они поддерживают только iOS 9 и более ранних версий. Чтобы продолжить доступ к Корпоративный портал Intune, необходимо обновить эти устройства до устройств, поддерживающих iOS 10 или более поздней версии:

• iPhone 4S
• iPod Touch
• iPad 2
• iPad (3-го поколения)
• iPad Mini (1-го поколения)

Управление устройствами

Центр администрирования Microsoft 365 Управление устройствами

Одним из обещаний Microsoft 365 является упрощенное администрирование, и на протяжении многих лет мы интегрировали серверные службы Microsoft 365 для предоставления комплексных сценариев, таких как Intune и Microsoft Entra условный доступ. Новый центр администрирования Microsoft 365 — это место для консолидации, упрощения и интеграции возможностей администрирования. Специализированная рабочая область для Управление устройствами обеспечивает простой доступ ко всем сведениям и задачам управления устройствами и приложениями, которые необходимы вашей организации. Мы ожидаем, что эта функция станет основной облачной рабочей областью для команд корпоративных конечных пользователей.

Август 2018 г.

Управление приложениями

Поддержка туннеля пакетов для профилей VPN для iOS для отдельных приложений для пользовательских типов подключений и Pulse Secure

При использовании профилей VPN для iOS для каждого приложения можно использовать туннелирование на уровне приложения (app-proxy) или туннелирование на уровне пакетов (туннелирование пакетов). Эти параметры доступны для следующих типов подключений:

• Пользовательская сеть VPN
• Pulse Secure. Если вы не знаете, какое значение следует использовать, обратитесь к документации поставщика VPN.

Задержка при отображении обновлений программного обеспечения iOS на устройстве

В Intune >software Обновления>Update policies for iOS можно настроить дни и время, когда устройства не должны устанавливать обновления. В будущем обновлении можно отложить, когда обновление программного обеспечения отображается на устройстве, с 1 до 90 дней. Настройка политик обновления iOS в Microsoft Intune выводит список текущих параметров.

версия Приложения Microsoft 365 для предприятий

При назначении приложений Приложения Microsoft 365 для предприятий Windows 10 устройствам с помощью Intune можно выбрать версию Office. В портал Azure выберите Microsoft Intune>Приложения>добавить приложение. Затем выберите Office 365 профессиональный плюс Suite (Windows 10) в раскрывающемся списке Тип. Выберите Параметры набора приложений, чтобы отобразить связанную колонку. Задайте для параметра Канал обновления значение, например Ежемесячно. При необходимости удалите другую версию Office (MSI) с устройств конечных пользователей, выбрав Да. Выберите Специальный , чтобы установить определенную версию Office для выбранного канала на устройствах конечных пользователей. На этом этапе можно выбрать конкретную версию Office для использования. Доступные версии будут меняться со временем. Таким образом, при создании нового развертывания доступные версии могут быть более новыми и не иметь некоторых более старых версий. В текущих развертываниях будет по-прежнему развертываться более старая версия, но список версий будет постоянно обновляться для каждого канала. Дополнительные сведения см. в статье Обзор каналов обновления для Приложения Microsoft 365.

Поддержка параметра регистрации DNS для Windows 10 VPN

С помощью этого обновления можно настроить Windows 10 профили VPN для динамической регистрации IP-адресов, назначенных VPN-интерфейсу, с помощью внутренней службы DNS без использования пользовательских профилей. Сведения о текущих доступных параметрах профиля VPN см. в разделе параметры WINDOWS 10 VPN.

Установщик Корпоративный портал macOS теперь включает номер версии в имя файла установщика.

Автоматическое обновление приложений iOS

Автоматические обновления приложений работают как для приложений с лицензией устройств, так и для приложений с пользовательским лицензированием для iOS версии 11.0 и более поздних версий.

Конфигурация устройства

Windows Hello будут ориентированы на пользователей и устройства

При создании политики Windows Hello для бизнеса она применяется ко всем пользователям в организации (на уровне клиента). С помощью этого обновления политика также может применяться к определенным пользователям или определенным устройствам с помощью политикиконфигурации устройств (Конфигурация >устройств>Create>Защита>идентификаторов Windows Hello для бизнеса).

В Intune в портал Azure конфигурация и параметры Windows Hello теперь существуют как в регистрации устройств, так и в конфигурации устройства. Регистрация устройств ориентирована на всю организацию (на уровне клиента) и поддерживает Windows Autopilot (OOBE). Конфигурация устройств предназначена для устройств и пользователей, использующих политику, применяемую во время проверка.

Данная функция применяется к:

• Windows 10 и более поздние версии
• Windows Holographic for Business

Zscaler — это доступное подключение для профилей VPN в iOS.

При создании профиля конфигурации VPN-устройства iOS (конфигурация>устройств>Create> тип профиля VPNплатформыiOS>) существует несколько типов подключений, включая Cisco, Citrix и другие. Это обновление добавляет Zscaler в качестве типа подключения.

В параметрах VPN для устройств под управлением iOS перечислены доступные типы подключений.

Режим FIPS для профилей корпоративных Wi-Fi для Windows 10

Теперь вы можете включить режим федеральных стандартов обработки информации (FIPS) для профилей enterprise Wi-Fi для Windows 10 в Intune портал Azure. Убедитесь, что в инфраструктуре Wi-Fi включен режим FIPS, если он включен в профилях Wi-Fi.

Параметры Wi-Fi для устройств Windows 10 и более поздних версий в Intune показано, как создать профиль Wi-Fi.

Управление S-режимом на устройствах Windows 10 и более поздних версий — общедоступная предварительная версия

С помощью этого обновления можно создать профиль конфигурации устройства, который переключит устройство Windows 10 из S-режима или запретит пользователям переключать устройство из S-режима. Эта функция доступна вконфигурации>устройств> Intune >Windows 10 и более поздних версий>обновления и переключения режима выпуска.

Сведения о Windows 10 в S-режиме содержат дополнительные сведения о S-режиме.

Область применения: последняя сборка программы предварительной оценки Windows (в предварительной версии).

пакет конфигурации Защитник Windows для конечной точки автоматически добавляется в профиль конфигурации

При использовании Defender для конечной точки и подключении устройств в Intune ранее необходимо было скачать пакет конфигурации и добавить его в профиль конфигурации. В этом обновлении Intune автоматически получает пакет из центра безопасности Защитник Windows и добавляет его в профиль. Применяется к Windows 10 и более поздним версиям.

Требовать от пользователей подключения во время настройки устройства

Теперь вы можете настроить профили устройств так, чтобы устройство подключалось к сети, прежде чем переходить через страницу "Сеть" во время настройки Windows 10. Хотя эта функция доступна в предварительной версии, для использования этого параметра требуется windows Insider сборки 1809 или более поздней версии. Область применения: последняя сборка программы предварительной оценки Windows (в предварительной версии).

Ограничивает приложения и блокирует доступ к ресурсам компании на устройствах iOS и Android Enterprise.

Вразделе Политики>соответствия устройств>Create политика>безопасности системыiOS> есть новый параметр Ограниченные приложения. Этот новый параметр использует политику соответствия для блокировки доступа к ресурсам компании, если на устройстве установлены определенные приложения. Устройство считается несовместимым до тех пор, пока ограниченные приложения не будут удалены с устройства.

Область применения: iOS

Обновления поддержки современных VPN для iOS

В этом обновлении добавлена поддержка следующих VPN-клиентов iOS:

• F5 Access (версия 3.0.1 и более поздние версии)
• Citrix SSO
• Palo Alto Networks GlobalProtect версии 5.0 и более поздних

Кроме того, в этом обновлении:

• Существующий тип подключения F5 Access переименован в F5 Access Legacy для iOS.
• Существующий тип подключения Palo Alto Networks GlobalProtect переименован в Palo Alto Networks GlobalProtect (устаревшая версия) для iOS. Существующие профили с этими типами подключений продолжают работать с соответствующими устаревшими VPN-клиентами. Если вы используете Cisco Legacy AnyConnect, F5 Access Legacy, Citrix VPN или Palo Alto Networks GlobalProtect версии 4.1 и более ранних версий с iOS, вам следует перейти на новые приложения. Перейдите к новым приложениям как можно скорее, чтобы обеспечить доступность VPN-доступа для устройств iOS при обновлении до iOS 12.

Дополнительные сведения о профилях iOS 12 и VPN см. в блоге группы поддержки Microsoft Intune.

Экспорт классических политик соответствия портала Azure для повторного создания этих политик в Intune портал Azure

Политики соответствия требованиям, созданные на классическом портале Azure, будут нерекомендуемы. Вы можете просмотреть и удалить все существующие политики соответствия, но не можете обновить их. Если необходимо перенести политики соответствия в текущую Intune портал Azure, можно экспортировать политики как файл с разделив запятыми (.csv файл). Затем используйте сведения в файле, чтобы повторно создать эти политики в Intune портал Azure.

Важно!

После прекращения использования классического портала Azure вы больше не сможете получать доступ к политикам соответствия требованиям или просматривать их. Поэтому обязательно экспортируйте политики и повторно создайте их в портал Azure до прекращения использования классического портала Azure.

Better Mobile — новый партнер Mobile Threat Defense

Вы можете управлять доступом мобильных устройств к корпоративным ресурсам с помощью условного доступа на основе оценки рисков, проведенной Better Mobile, решением Mobile Threat Defense, которое интегрируется с Microsoft Intune.

Регистрация устройства

Блокировка Корпоративный портал в режиме одного приложения до входа пользователя

Теперь вы можете запустить Корпоративный портал в режиме одного приложения при проверке подлинности пользователя с помощью Корпоративный портал, а не помощника по настройке во время регистрации DEP. Этот параметр блокирует устройство сразу после завершения работы помощника по настройке, чтобы пользователь должен войти в систему для доступа к устройству. Этот процесс гарантирует, что устройство завершает подключение и не теряется в состоянии без привязки пользователя.

Назначение пользовательского и понятного имени устройству Autopilot

Теперь можно назначить пользователя одному устройству Autopilot. Администраторы также смогут давать понятные имена, чтобы приветствовать пользователя при настройке устройства с помощью Autopilot. Область применения: последняя сборка программы предварительной оценки Windows (в предварительной версии).

Использование лицензий устройств VPP для предварительной подготовки Корпоративный портал во время регистрации DEP

Теперь вы можете использовать лицензии на устройства программы приобретения корпоративных лицензий (VPP) для предварительной подготовки Корпоративный портал во время регистрации в рамках программы регистрации устройств (DEP). Для этого при создании или изменении профиля регистрации укажите маркер VPP, который необходимо использовать для установки Корпоративный портал. Убедитесь, что срок действия маркера не истек и у вас достаточно лицензий для Корпоративный портал приложения. В случаях, когда срок действия маркера истек или заканчивается, Intune отправляет App Store Корпоративный портал. На этом шаге будет предложено ввести идентификатор Apple ID.

Подтверждение, необходимое для удаления маркера VPP, который используется для предварительной подготовки Корпоративный портал

Теперь требуется подтверждение для удаления маркера программы приобретения томов (VPP), если маркер используется для предварительной подготовки Корпоративный портал во время регистрации DEP.

Блокировка регистрации личных устройств Windows

Вы можете запретить регистрацию личных устройств Windows с помощью управления мобильными устройствами в Intune. Устройства, зарегистрированные с помощью агента Intune ПК, не могут быть заблокированы с помощью этой функции. Эта функция развертывается в течение следующих нескольких недель, поэтому вы можете увидеть ее не сразу в пользовательском интерфейсе.

Указание шаблонов имен компьютеров в профиле Autopilot

Вы можете указать шаблон имени компьютера , чтобы создать и задать имя компьютера во время регистрации Autopilot. Область применения: последняя сборка программы предварительной оценки Windows (в предварительной версии).

Для профилей Windows Autopilot скройте параметры учетной записи изменения на странице входа компании и странице ошибки домена.

Есть новые параметры профиля Windows Autopilot для администраторов, чтобы скрыть параметры учетной записи изменения на страницах входа компании и ошибок домена. Для скрытия этих параметров необходимо настроить фирменную символику компании в Microsoft Entra ID. Область применения: последняя сборка программы предварительной оценки Windows (в предварительной версии).

Поддержка macOS для программы регистрации устройств Apple

Intune теперь поддерживает регистрацию устройств macOS в программе регистрации устройств Apple (DEP). Дополнительные сведения см. в статье Автоматическая регистрация устройств macOS с помощью программы регистрации устройств Apple.

Управление устройствами

Удаление устройств Jamf

Вы можете удалить устройства, управляемые JAMF, в разделе Устройства> выберите Удалить устройство > Jamf.

Измените терминологию на "списание" и "очистка"

Чтобы обеспечить соответствие API Graph, пользовательский интерфейс и документация Intune изменили следующие термины:

• Удаление данных компании будет изменено на "снимите с учета"
• Сброс до заводских настроек будет изменен для очистки

Диалоговое окно подтверждения, если администратор пытается удалить push-сертификат MDM

Если кто-либо пытается удалить push-сертификат Apple MDM, в диалоговом окне подтверждения отображается количество связанных устройств iOS и macOS. Если сертификат удален, эти устройства потребуется повторно зарегистрировать.

Параметры безопасности для установщика Windows

Вы можете разрешить пользователям управлять установкой приложений. Если этот параметр включен, установка, которая останавливается из-за нарушения безопасности, будет разрешена продолжить. Установщик Windows может использовать повышенные разрешения при установке любой программы в системе. Кроме того, можно включить индексирование элементов Windows Information Protection (WIP), а метаданные о них хранятся в незашифрованном расположении. Если политика отключена, защищенные элементы WIP не индексируются и не отображаются в результатах в Кортане или проводнике. Функциональность этих параметров отключена по умолчанию.

Примечание.

Корпорация Майкрософт не рекомендует использовать автономное приложение Windows Cortana. Помощник производительности Кортаны по-прежнему доступен. Дополнительные сведения об устаревших функциях в клиенте Windows см. в статье Нерекомендуемые функции для клиента Windows.

Обновление пользовательского интерфейса для веб-сайта корпоративного портала

Мы добавили новые функции на веб-сайт корпоративного портала с учетом отзывов клиентов. Удобство работы с порталом с помощью устройств значительно повысится, а функциональность расширится. Области сайта, такие как сведения об устройстве, отзывы и поддержка, а также обзор устройства, получили новый, современный и адаптивный дизайн. Другие возможности.

• оптимизированные рабочие процессы для всех платформ устройств;
• Улучшенные потоки идентификации и регистрации устройств
• более полезные сообщения об ошибках;
• более понятный язык, меньше технического жаргона;
• возможность делиться прямыми ссылками на приложения;
• улучшенная производительность для больших каталогов приложений;
• повышенная доступность для всех пользователей.

Документация веб-сайта корпоративного портала Intune была обновлена с учетом внесенных изменений. Пример улучшений приложений см. в разделе Обновления пользовательского интерфейса для Intune приложений конечных пользователей.

Управление и устранение неполадок

Расширенное обнаружение джейлбрейка в отчетах о соответствии требованиям

Состояние расширенного обнаружения джейлбрейка теперь отображается во всех отчетах о соответствии в Центре администрирования Intune.

Управление доступом на основе ролей

Теги области для политик

Вы можете создавать теги область, чтобы ограничить доступ к Intune ресурсам. Добавьте тег область в назначение роли, а затем добавьте тег область в профиль конфигурации. Роль будет иметь доступ только к ресурсам с профилями конфигурации с соответствующими тегами область (или без тега область).

Июль 2018 г.

Управление приложениями

Поддержка бизнес-приложений (LOB) для macOS

Microsoft Intune позволяет развертывать бизнес-приложения macOS как обязательные или доступные при регистрации. Конечные пользователи могут развертывать приложения как доступные с помощью Корпоративный портал для macOS или веб-сайта Корпоративный портал.

Поддержка встроенного приложения iOS для режима киоска

В дополнение к приложениям Магазина и управляемым приложениям теперь можно выбрать приложение Built-In (например, Safari), которое выполняется в режиме киоска на устройстве iOS.

Изменение развертываний приложений Приложения Microsoft 365 для предприятий

Администратор Microsoft Intune имеет больше возможностей для редактирования развертываний приложений Приложения Microsoft 365 для предприятий. Кроме того, вам больше не нужно удалять развертывания, чтобы изменить какие-либо свойства набора. В портал Azure выберите Microsoft Intune>Клиент приложения>. В списке приложений выберите Приложения Microsoft 365 для предприятий набор.

Теперь доступен обновленный пакет SDK для приложений Intune для Android

Для поддержки выпуска Android P доступна обновленная версия пакета SDK для приложений Intune для Android. Если вы являетесь разработчиком приложений и используете пакет SDK для Intune для Android, необходимо установить обновленную версию пакета SDK для приложений Intune, чтобы Intune в приложениях Android продолжали работать должным образом на устройствах Android P. Эта версия пакета SDK для приложений Intune предоставляет встроенный подключаемый модуль, который выполняет обновления пакета SDK. Вам не нужно переписывать существующий интегрированный код. Дополнительные сведения см. в разделе пакет SDK для Intune для Android. Если вы используете старый стиль badging для Intune, рекомендуется использовать значок портфеля. Сведения о фирменной символику см. в этом репозитории GitHub.

Дополнительные возможности синхронизации в приложении "Корпоративный портал" для Windows

Приложение "Корпоративный портал" для Windows теперь позволяет запускать синхронизацию непосредственно из панели задач Windows и из меню "Пуск". Это особенно полезно в тех случаях, если вам нужно только синхронизировать устройства и получить доступ к корпоративным ресурсам. Чтобы открыть новую функцию, щелкните правой кнопкой мыши значок корпоративного портала, закрепленный на панели задач или в меню "Пуск". В меню (иногда называемом списком переходов) выберите Синхронизировать это устройство. Корпоративный портал откроется на странице Параметры и инициирует синхронизацию. Дополнительные сведения о новых возможностях см. в статье Новые возможности пользовательского интерфейса.

Новые возможности обзора в приложении "Корпоративный портал" для Windows

Теперь при просмотре или поиске приложений в приложении Корпоративный портал для Windows можно переключаться между существующим представлением "Плитки" и только что добавленным представлением "Сведения". В новом представлении перечислены сведения о приложении, такие как имя, издатель, дата публикации и состояние установки.

В представлении Установленные на странице Приложения можно просматривать информацию о завершенных и выполняющихся установках приложений. Сведения о том, как выглядит новое представление, см . в статье Новые возможности пользовательского интерфейса.

Улучшенный интерфейс Корпоративный портал приложений для менеджеров регистрации устройств

Когда диспетчер регистрации устройств (DEM) входит в приложение Корпоративный портал для Windows, теперь приложение будет выводить только текущее работающее устройство DEM. Это улучшение позволит сократить время ожидания, которое ранее возникало при попытке приложения отобразить все устройства, зарегистрированные в DEM.

Блокировка доступа к приложениям на основе неутвержденных поставщиков устройств и моделей

ИТ-администратор Intune может применить указанный список производителей Android и (или) моделей iOS с помощью политик защиты приложений Intune. ИТ-администратор может предоставить разделенный точкой с запятой список производителей политик Android и моделей устройств для политик iOS. Intune политики защиты приложений предназначены только для Android и iOS. Для этого указанного списка можно выполнить два отдельных действия:

• Блокировка доступа приложений на не указанных устройствах.
• Или выборочная очистка корпоративных данных на не указанных устройствах.

Пользователь не сможет получить доступ к целевому приложению, если не будут выполнены требования политики. В зависимости от параметров пользователь может быть заблокирован или выборочно очищается от корпоративных данных в приложении. На устройствах iOS эта функция требует участия приложений (таких как WXP, Outlook, Управляемый браузер Viva Engage) для интеграции пакета SDK для приложений Intune для применения этой функции с целевыми приложениями. Такая интеграция происходит регулярно и зависит от сотрудничества команд конкретных приложений. В Android для этой функции требуется последняя Корпоративный портал.

На устройствах конечных пользователей клиент Intune будет выполнять действия на основе простого сопоставления строк, указанных в колонке Intune для политик защиты приложений. Это поведение полностью зависит от значения, которое сообщает устройство. Таким образом, ИТ-администратору рекомендуется убедиться, что предполагаемое поведение является точным. Чтобы проверка точность, проверьте этот параметр на основе различных производителей устройств и моделей, предназначенных для небольшой группы пользователей. В Microsoft Intune выберите Клиентские приложения>защита приложений политики для просмотра и добавления политик защиты приложений. Дополнительные сведения о политиках защиты приложений см. в разделах Что такое политики защиты приложений и Выборочная очистка данных с помощью действий доступа к политике защиты приложений.

Доступ к предварительной сборке macOS Корпоративный портал

С помощью автоматического обновления Майкрософт вы можете зарегистрироваться для раннего получения сборок, присоединившись к программе предварительной оценки. Регистрация позволит вам использовать обновленный Корпоративный портал, прежде чем он станет доступен для конечных пользователей. Дополнительные сведения см. в блоге Microsoft Intune.

Конфигурация устройства

Create политики соответствия устройств с помощью параметров брандмауэра на устройствах macOS

При создании новой политики соответствия требованиям macOS (политики>соответствия> устройств Create политика> Платформа:безопасность системыmacOS>) доступны некоторые новые параметры брандмауэра:

• Брандмауэр. Настройте способ обработки входящих подключений в вашей среде.
• Входящие подключения: блокировать все входящие подключения, кроме подключений, необходимых для базовых служб Интернета, таких как DHCP, Bonjour и IPSec. Этот параметр также блокирует все службы общего доступа.
• Скрытый режим. Включите скрытый режим, чтобы предотвратить реагирование устройства на запросы проверки. Устройство продолжает отвечать на входящие запросы для авторизованных приложений.

Применимо к: macOS 10.12 и более поздних версий

Новый профиль конфигурации устройства Wi-Fi для Windows 10 и более поздних версий

В настоящее время можно импортировать и экспортировать профили Wi-Fi с помощью XML-файлов. С помощью этого обновления вы можете создать профиль конфигурации устройства Wi-Fi непосредственно в Intune, как и на некоторых других платформах.

Чтобы создать профиль, откройтеКонфигурацию>устройств>Create>Windows 10 и более поздних версий>Wi-Fi.

Применяется к Windows 10 и более поздним версиям.

Киоск — устаревший неактивен и не может быть изменен

Функция киоска (предварительная версия) (Конфигурация>устройств>Create>Windows 10 и более поздние>ограничения устройств) устарела и заменена параметрами киоска для Windows 10 и более поздних версий. При этом обновлении функция Киоск — устаревшая становится неактивной, и пользовательский интерфейс нельзя изменить или обновить.

Чтобы включить режим киоска, см. раздел Параметры киоска для Windows 10 и более поздних версий.

Применимо к Windows 10 и более поздним версиям, Windows Holographic for Business

API для использования сторонних центров сертификации или центров сертификации партнеров

В этом обновлении существует API Java, который позволяет сторонним центрам сертификации интегрироваться с Intune и SCEP. Затем пользователи могут добавить сертификат SCEP в профиль и применить его к устройствам с помощью MDM.

В настоящее время Intune поддерживает запросы SCEP с использованием служб сертификатов Active Directory.

Переключение, чтобы показать или не показывать кнопку "Завершить сеанс" в браузере киоска

Теперь можно настроить отображение кнопки "Завершить сеанс" в браузерах киоска. Элемент управления можно просмотреть в разделе Киоскконфигурации>устройств>(предварительная версия)>Киоск веб-браузер. Если этот параметр включен, когда пользователь нажимает кнопку, приложение запрашивает подтверждение завершения сеанса. После подтверждения браузер очищает все данные браузера и возвращается к URL-адресу по умолчанию.

Create профиля конфигурации сотовой сети eSIM

Вразделе Конфигурацияустройств> можно создать профиль сотовой сети eSIM. Вы можете импортировать файл, содержащий коды активации сотовой связи, предоставленные оператором мобильной связи. Затем эти профили можно развернуть на устройствах с поддержкой eSIM LTE Windows 10, таких как Surface Pro LTE и другие устройства с поддержкой eSIM.

Проверьте, поддерживают ли ваши устройства профили eSIM.

Применяется к Windows 10 и более поздним версиям.

Выбор категорий устройств с помощью параметров Access Work или School

Если вы включили сопоставление групп устройств, пользователям Windows 10 теперь будет предложено выбрать категорию устройств после регистрации с помощью кнопки Подключиться в разделе Параметры>Учетные> записиДоступ к рабочей или учебной программе.

Используйте sAMAccountName в качестве имени пользователя учетной записи для профилей электронной почты.

Вы можете использовать локальный SAMAccountName в качестве имени пользователя учетной записи для профилей электронной почты для Android, iOS и Windows 10. Вы также можете получить домен из атрибута domain или ntdomain в Microsoft Entra ID. Или введите пользовательский статический домен.

Чтобы использовать эту функцию, необходимо синхронизировать sAMAccountName атрибут из среды локальная служба Active Directory с Microsoft Entra ID.

Применимо к Android, iOS, Windows 10 и более поздним версиям

Просмотр профилей конфигурации устройств в конфликте

Вразделе Конфигурацияустройств> отображается список существующих профилей. При этом обновлении добавляется новый столбец с подробными сведениями о профилях с конфликтом. Вы можете выбрать конфликтующую строку, чтобы просмотреть параметр и профиль с конфликтом.

Дополнительные сведения об управлении профилями конфигурации.

Новое состояние для устройств в соответствии с устройством

Вразделе Политики>соответствия устройств> выберите обзор политики>, добавляются следующие новые состояния:

• Удалось
• error
• Конфликта
• Ожидающие
• Неприменимо. Схема, показывающая количество устройств другой платформы, также показана. Например, если вы просматриваете профиль iOS, на новой плитке отображается количество устройств, не относящихся к iOS, которые также назначены этому профилю. См . статью Политики соответствия устройств.

Соответствие устройств поддерживает сторонние или партнерские антивирусные решения

При создании политики соответствия устройств (политики>соответствия устройств>Create политика>Платформа: Windows 10 и более поздние>>параметрыСистемная безопасность) существуют новые параметры безопасности устройств:

• Антивирусная программа. Если задано значение Требовать, вы можете проверка соответствие требованиям с помощью антивирусных решений, зарегистрированных в Безопасность Windows Center, таких как Symantec и Защитник Windows.
• Антишпионское ПО. Если задано значение Требовать, вы можете проверка соответствие с помощью антишпионских решений, зарегистрированных в центре Безопасность Windows, таких как Symantec и Защитник Windows.

Область применения: Windows 10 и более поздних версий

Регистрация устройства

Автоматически помечайте устройства Android, зарегистрированные с помощью Samsung Knox Mobile Enrollment, как "корпоративные"

По умолчанию устройства Android, зарегистрированные с помощью Samsung Knox Mobile Enrollment, теперь помечаются как корпоративные в разделе Владение устройствами. Вам не нужно вручную определять корпоративные устройства с помощью IMEI или серийных номеров перед регистрацией с помощью Knox Mobile Enrollment.

В списке маркеров программы регистрации устройств без профилей

В списке маркеров программы регистрации есть новый столбец, показывающий количество устройств без назначенного профиля. Эта функция помогает администраторам назначать профили этим устройствам, прежде чем передавать их пользователям. Чтобы просмотреть новый столбец, перейдитев раздел Регистрация > устройствApple Enrollment>Program Tokenment Program.

Управление устройствами

Колонка массового удаления устройств на устройствах

Теперь в колонке Устройства можно одновременно удалять несколько устройств. Выберите Устройства>Все устройства> выберите устройства, которые нужно удалить >Удалить. Для устройств, которые не удается удалить, будет отображаться оповещение.

Изменения имен Google для Android for Work и Play for Work

Intune обновлена терминология "Android for Work", чтобы отразить изменения фирменной символики Google. Термины Android for Work и Play for Work больше не используются. В зависимости от контекста используется другая терминология:

• "Android enterprise" относится к общему современному стеку управления Android.
• "Рабочий профиль" или "Владелец профиля" относится к устройствам BYOD, управляемым с помощью рабочих профилей.
• "Управляемый Google Play" относится к магазину приложений Google.

Правила удаления устройств

Доступны новые правила, позволяющие автоматически удалять устройства, которые не были зарегистрированы в течение заданного количества дней. Чтобы просмотреть новое правило, перейдите в область Intune, выберите Устройства и правила очистки устройств.

Корпоративная поддержка одноразового использования для устройств Android

Intune теперь поддерживает высокоуправляемые заблокированные устройства Android в стиле киоска. Эта функция позволяет администраторам дополнительно блокировать использование устройства для одного или небольшого набора приложений. Кроме того, пользователи не могут включать другие приложения или выполнять другие действия на устройстве. Чтобы настроить киоск Android, перейдите в раздел Intune >Регистрация> устройствAndroid и>задачи регистрации устройств. Дополнительные сведения см. в статье Настройка регистрации устройств android enterprise kiosk.

Проверка повторяющихся идентификаторов корпоративных устройств в каждой строке

При отправке корпоративных идентификаторов Intune теперь предоставляет список всех дубликатов и позволяет заменить или сохранить существующую информацию. Отчет появится при наличии дубликатов после выбора параметра Регистрация устройства>Корпоративные идентификаторы> устройствДобавить идентификаторы.

Добавление идентификаторов корпоративных устройств вручную

Теперь вы можете вручную добавлять идентификаторы корпоративных устройств. Выберите Регистрация устройств>Корпоративные идентификаторы> устройствДобавить.

Июнь 2018 г.

Управление приложениями

Поддержка microsoft Edge для мобильных устройств для политик защиты приложений Intune

Браузер Microsoft Edge для мобильных устройств теперь поддерживает политики защиты приложений, определенные в Intune.

Получение связанного идентификатора модели пользователя приложения (AUMID) для Microsoft Store для бизнеса приложений в режиме киоска

Intune теперь можно получить идентификаторы пользовательской модели приложений (AUMID) для приложений Microsoft Store для бизнеса (WSfB), чтобы обеспечить улучшенную конфигурацию профиля киоска.

Дополнительные сведения о приложениях Microsoft Store для бизнеса см. в разделе Управление приложениями из Microsoft Store для бизнеса.

Новая страница фирменной символики Корпоративный портал

Страница фирменной символики Корпоративный портал содержит новый макет, сообщения и подсказки.

Конфигурация устройства

Pradeo — новый партнер Mobile Threat Defense

Вы можете управлять доступом мобильных устройств к корпоративным ресурсам с помощью условного доступа на основе оценки рисков, проведенной Pradeo, решением Mobile Threat Defense, которое интегрируется с Microsoft Intune.

Использование режима FIPS с соединителем сертификатов NDES

При установке соединителя сертификатов NDES на компьютере с включенным режимом FIPS выдача и отзыв сертификатов не работали должным образом. В этом обновлении поддержка FIPS включена в соединитель сертификата NDES.

Это обновление также включает в себя:

• Соединителю сертификатов NDES требуется платформа .NET 4.5, которая автоматически включается в Windows Server 2016 и Windows Server 2012 R2. Ранее платформа .NET 3.5 была минимальной требуемой версией.
• Поддержка TLS 1.2 входит в состав соединителя сертификатов NDES. Таким образом, если сервер с установленным соединителем сертификата NDES поддерживает ПРОТОКОЛ TLS 1.2, используется ПРОТОКОЛ TLS 1.2. Если сервер не поддерживает TLS 1.2, используется ПРОТОКОЛ TLS 1.1. В настоящее время протокол TLS 1.1 используется для проверки подлинности между устройствами и сервером.

Дополнительные сведения см. в разделах Настройка и использование сертификатов SCEP и Настройка и использование сертификатов PKCS.

Поддержка профилей GLOBALProtect VPN Palo Alto Networks

С помощью этого обновления вы можете выбрать Palo Alto Networks GlobalProtect в качестве типа VPN-подключения для профилей VPN в Intune (Конфигурация>устройств>Create>Профиль ТИПА>VPN). В этом выпуске поддерживаются следующие платформы:

• iOS
• Windows 10

Дополнения к параметрам безопасности локального устройства

Теперь можно настроить дополнительные параметры безопасности локальных устройств для Windows 10 устройств. Эти параметры доступны в таких областях, как Microsoft Network Client, Microsoft Network Server, Сетевой доступ и безопасность, а также Интерактивный вход. Эти параметры находятся в категории Endpoint Protection при создании политики конфигурации устройств Windows 10.

Включение режима киоска на Windows 10 устройствах

На Windows 10 устройствах можно создать профиль конфигурации и включить режим киоска (Конфигурация>устройств>Create>Windows 10 и более поздние версии>Киоскограничений> устройств). В этом обновлении параметр Киоск (предварительная версия) переименован в Киоск (устаревший). Киоск (устаревший) больше не рекомендуется использовать, но будет работать до июльского обновления. Киоск (устаревший) заменяется новым типом профиля киоска (Create>Windows 10>Kiosk (предварительная версия)), который будет содержать параметры для настройки киосков в Windows 10 RS4 и более поздних версий.

Применяется к Windows 10 и более поздним версиям.

Графическая диаграмма пользователя профиля устройства возвращена

При улучшении числовых показателей, отображаемых на графической диаграмме профиля устройства (Конфигурация>устройств> выберите существующий профиль >Обзор), графическая пользовательская диаграмма была временно удалена.

В этом обновлении графическая диаграмма пользователя возвращается и отображается в портал Azure.

Регистрация устройства

Поддержка регистрации Windows Autopilot без проверки подлинности пользователя

Intune теперь поддерживает регистрацию Windows Autopilot без проверки подлинности пользователя. Эта функция является новым параметром в профиле развертывания Windows Autopilot "Режим развертывания Autopilot", который имеет значение Саморазвертывание. Для успешного завершения регистрации этого типа устройство должно работать Windows 10 Insider Preview сборки 17672 или более поздней версии и иметь микросхему TPM 2.0. Так как проверка подлинности пользователей не требуется, этот параметр следует назначать только устройствам, которыми вы имеете физический контроль.

Новый параметр языка или региона при настройке OOBE для Autopilot

Доступен новый параметр конфигурации, который позволяет задать язык и регион для профилей Autopilot во время работы с автоматическим интерфейсом. Чтобы просмотреть новый параметр, выберите Регистрация устройств>Windows>Профили> развертывания Create профиль>Режим = развертыванияСаморазвертывание>по умолчанию настроено.

Новый параметр для настройки клавиатуры устройства

Будет доступен новый параметр для настройки клавиатуры для профилей Autopilot во время работы с нестандартной версией. Чтобы просмотреть новый параметр, выберите Регистрация устройств>Windows>Профили> развертывания Create профиль>Режим = развертыванияСаморазвертывание>по умолчанию настроено.

Профили Autopilot, перемещающиеся в групповую таргетинг

Профили развертывания Autopilot можно назначать Microsoft Entra группам, содержащим устройства Autopilot.

Управление устройствами

Настройка соответствия по расположению устройства

В некоторых ситуациях может потребоваться ограничить доступ к корпоративным ресурсам определенным расположением, определенным сетевым подключением. Теперь можно создать политику соответствия (расположениясоответствия> устройств) на основе IP-адреса устройства. Если устройство выходит за пределы диапазона IP-адресов, оно не сможет получить доступ к корпоративным ресурсам.

Область применения: устройства Android версии 6.0 и более поздних версий с обновленным приложением Корпоративный портал

Запрет приложений и возможностей потребителей на устройствах Windows 10 Корпоративная RS4 Autopilot

Вы можете запретить установку пользовательских приложений и возможностей на устройствах WINDOWS 10 КОРПОРАТИВНАЯ RS4 Autopilot. Чтобы ознакомиться с этой функцией, перейдите в раздел Intune>Конфигурация>> устройств Create>Windows 10 или более поздней версии, чтобы узнать об ограничениях платформы> для типа > профиля Настройка> функцийWindows Spotlight>Consumer.

Удаление последних обновлений программного обеспечения Windows 10

При обнаружении критической проблемы на компьютерах Windows 10 можно удалить (откат) последнее обновление компонентов или последнее обновление качества. Удаление обновления компонентов или исправления доступно только для канала обслуживания устройства. При удалении активируется политика для восстановления предыдущего обновления на компьютерах Windows 10. В частности, для обновлений компонентов можно ограничить время от 2 до 60 дней, когда можно применить удаление последней версии. Чтобы задать параметры удаления обновлений программного обеспечения, выберите Обновления программного обеспечения в колонке Microsoft Intune в портал Azure. Затем выберите Windows 10 Круги обновлений в колонке Обновления программного обеспечения. Затем можно выбрать параметр Удалить в разделе Обзор .

Поиск всех устройств для IMEI и серийного номера

Теперь можно искать IMEI и серийные номера в колонке Все устройства (электронная почта, имя участника-пользователя, имя устройства и имя управления по-прежнему доступны). В Intune выберите Устройства>Все устройства>, введите поиск в поле поиска.

Поле имени управления будет редактироваться

Теперь можно изменить поле имени управления в колонке "Свойства " устройства. Чтобы изменить это поле, выберите Устройства>Все устройства> выберите свойства устройства>. Для уникальной идентификации устройства можно использовать поле имени управления.

Фильтр "Создать все устройства": категория устройств

Теперь можно фильтровать список Все устройства по категориям устройств. Для этого выберите Устройства>Все устройства>Фильтр категории>устройств.

Использование TeamViewer для демонстрации экрана устройств iOS и macOS

Теперь администраторы могут подключаться к TeamViewer и запускать сеанс демонстрации экрана на устройствах iOS и macOS. Пользователи iPhone, iPad и macOS могут делиться своими экранами в прямом эфире с любым другим настольным или мобильным устройством.

Поддержка нескольких соединителей Exchange

Вы больше не ограничены одним соединитель Microsoft Intune с Exchange на клиент. Intune теперь поддерживает несколько соединителей Exchange, что позволяет настроить условный доступ Intune с несколькими локальными организациями Exchange.

С помощью локального соединителя Exchange Intune вы можете управлять доступом устройств к локальным почтовым ящикам Exchange. Доступ зависит от того, зарегистрировано ли устройство в Intune и соответствует Intune политикам соответствия устройств. Чтобы настроить соединитель, скачайте Intune локальный соединитель Exchange из портал Azure и установите его на сервере в организации Exchange. На панели мониторинга Microsoft Intune выберите Локальный доступ, а затем в разделе Настройка выберите соединитель Exchange ActiveSync. Скачайте локальный соединитель Exchange и установите его на сервере в организации Exchange. Для каждого клиента не требуется только один соединитель Exchange. Таким образом, если у вас есть другие организации Exchange, вы можете выполнить этот же процесс, чтобы скачать и установить соединитель для каждой дополнительной организации Exchange.

Сведения о новом оборудовании устройства: CCID

Сведения об устройстве интерфейса чип-карты (CCID) теперь включаются для каждого устройства. Чтобы просмотреть его, выберите Устройства>Все устройства> выберите устройство> Аппаратное > проверка в разделе Сведения о сети>

Назначение всех пользователей и всех устройств в качестве групп область

Теперь можно назначить всех пользователей, всех устройств, всех пользователей и всех устройств в область группах. Выберите Intune роли>Все роли>Политики и диспетчер> профилейНазначения> выберите область назначения >(группы).

Сведения об UDID теперь включены для устройств iOS и macOS

Чтобы просмотреть уникальный идентификатор устройства (UDID) для устройств iOS и macOS, перейдите в раздел Устройства>Все устройства> выбирают устройство> Оборудование. UDID доступен только для корпоративных устройств (как указано в разделе Устройства>Все устройства> выбирают собственность устройства Свойства>устройства>).

Приложения Intune

Улучшено устранение неполадок при установке приложения

На Microsoft Intune устройствах, управляемых MDM, иногда установка приложений может завершиться сбоем. Если установка этих приложений завершается сбоем, может быть сложно понять причину сбоя или устранить неполадки. Мы поставляем общедоступную предварительную версию функций устранения неполадок приложений. Вы увидите новый узел под каждым отдельным устройством с именем Управляемые приложения. На этом узле перечислены приложения, которые были доставлены через Intune MDM. В узле есть список состояний установки приложения. Если выбрать отдельное приложение, для этого конкретного приложения будет отображаться представление устранения неполадок. В представлении устранения неполадок отображается полный жизненный цикл приложения, например, когда приложение было создано, изменено, целевое и доставлено на устройство. Кроме того, если установка приложения не завершилась успешно, вы получите код ошибки и полезное сообщение о причине ошибки.

Intune политики защиты приложений и Microsoft Edge

Браузер Microsoft Edge для мобильных устройств (iOS и Android) теперь поддерживает политики защиты приложений Microsoft Intune. Пользователи устройств iOS и Android, которые входят с помощью корпоративных Microsoft Entra учетных записей в приложении Microsoft Edge, будут защищены Intune. На устройствах iOS политика Требовать управляемый браузер для веб-содержимого позволяет пользователям открывать ссылки в Microsoft Edge при управлении браузером.

Май 2018 г.

Управление приложениями

Настройка политик защиты приложений

В портал Azure вместо того, чтобы перейти в колонку службы защиты приложений Intune, вы просто перейдете к Intune. Теперь в Intune есть только одно расположение для политик защиты приложений. Все политики защиты приложений находятся в колонке Мобильное приложение в Intune в разделе защита приложений политики. Эта интеграция помогает упростить администрирование управления облаком. Помните, что все политики защиты приложений уже находятся в Intune, и вы можете изменить любую из ранее настроенных политик. Intune политики защиты политики приложений (APP) и условного доступа (ЦС) теперь находятся в разделе Условный доступ, который можно найти в разделе Управление в колонке Microsoft Intune или в разделе Безопасность в колонке Microsoft Entra ID. Дополнительные сведения об изменении политик условного доступа см. в разделе Условный доступ в Microsoft Entra ID. Дополнительные сведения см. в статье Что такое политики защиты приложений?

Конфигурация устройства

Требовать установку политик, приложений, сертификатов и сетевых профилей

Администраторы могут запретить конечным пользователям доступ к рабочему столу Windows 10 RS4 до тех пор, пока Intune не установит политики, приложения, а также профили сертификатов и сетевых профилей во время подготовки устройств Autopilot. Дополнительные сведения см. в статье Настройка состояния регистрации.

Регистрация устройства

Поддержка регистрации samsung Knox mobile

При использовании Intune с Samsung Knox Mobile Enrollment (KME) вы можете зарегистрировать большое количество корпоративных устройств Android. Пользователи wi-fi или сотовых сетей могут зарегистрироваться с помощью всего нескольких касаний при первом включении устройств. При использовании приложения развертывания Knox устройства можно зарегистрировать с помощью Bluetooth или NFC. Дополнительные сведения см. в статье Автоматическая регистрация устройств Android с помощью Samsung Knox Mobile Enrollment.

Управление и устранение неполадок

Запрос помощи в Корпоративный портал для Windows 10

Теперь Корпоративный портал для Windows 10 будет отправлять журналы приложений непосредственно в корпорацию Майкрософт, когда пользователь инициирует рабочий процесс, чтобы получить помощь по проблеме. Эта функция упрощает устранение неполадок и устранение проблем, возникающих в корпорации Майкрософт.

Апрель 2018 г.

Управление приложениями

Поддержка секретных кодов для ПИН-кода MAM на Android

Intune администраторы могут задать требование запуска приложения для принудительного применения секретного кода вместо числового ПИН-кода MAM. При настройке пользователь должен задать и использовать секретный код при появлении запроса перед получением доступа к приложениям с поддержкой MAM. Секретный код определяется как числовой ПИН-код с по крайней мере одним специальным символом или верхним или нижним буквами. Intune поддерживает секретный код так же, как и существующий числовой ПИН-код... возможность задать минимальную длину, позволяя повторять символы и последовательности через центр администрирования Intune. Для этой функции требуется последняя версия Корпоративный портал на Android. Эта функция уже доступна для iOS.

Поддержка бизнес-приложений (LOB) для macOS

Microsoft Intune предоставит возможность устанавливать бизнес-приложения macOS из портал Azure. Бизнес-приложение macOS можно добавить в Intune после его предварительной обработки средством, доступным в GitHub. В портал Azure выберите Клиентские приложения в колонке Intune. В колонке Клиентские приложения выберите Добавить приложения>. В колонке Добавить приложение выберите Бизнес-приложение.

Встроенная группа "Все пользователи и все устройства" для назначения приложения рабочего профиля Android Enterprise

Вы можете использовать встроенные группы "Все пользователи и все устройства " для назначения приложения рабочего профиля Android Enterprise. Дополнительные сведения см. в статье Включение и исключение назначений приложений в Microsoft Intune.

Intune переустановит необходимые приложения, удаленные пользователями

Если пользователь удаляет необходимое приложение, Intune автоматически переустановит приложение в течение 24 часов, а не дожидаясь 7-дневного цикла повторной оценки.

Обновление места для настройки политик защиты приложений

В портал Azure в службе Microsoft Intune мы временно перенаправим вас из колонки службы защиты приложений Intune в колонку Мобильное приложение. Все политики защиты приложений уже находятся в колонке Мобильное приложение в Intune в конфигурации приложения. Вместо Intune защиты приложений вы просто перейдете к Intune. В апреле 2018 г. мы прекратим перенаправление и полностью удалим колонку службы защиты приложений Intune, чтобы в Intune было только одно расположение политик защиты приложений.

Как это повлияет на работу? Это изменение затронет как Intune автономных клиентов, так и гибридных клиентов (Intune с Configuration Manager). Эта интеграция поможет упростить администрирование управления облаком.

Как подготовиться к этому изменению? Пометьте Intune как избранное вместо колонки службы защиты приложений Intune и убедитесь, что вы знакомы с рабочим процессом политики защита приложений в колонке "Мобильное приложение" в Intune. Мы перенаправим в течение короткого периода времени, а затем удалим колонку Защита приложений . Помните, что все политики защиты приложений уже находятся в Intune, и вы можете изменить любые политики условного доступа. Дополнительные сведения об изменении политик условного доступа см. в разделе Условный доступ в Microsoft Entra ID. Дополнительные сведения см. в статье Что такое политики защиты приложений?

Конфигурация устройства

Диаграмма профилей устройств и список состояний, показывающие все устройства в группе

При настройке профиля устройства (конфигурацияустройств>) вы выбираете профиль устройства, например iOS. Этот профиль назначается группе, включающей устройства iOS и устройства, отличные от iOS. Графическая диаграмма показывает, что профиль применяется к устройствам iOS и устройств, отличных от iOS (Конфигурация>устройств> выберите существующий профиль >Обзор). При выборе графической диаграммы на вкладке Обзор в поле Состояние устройства выводятся все устройства в группе, а не только устройства iOS.

При этом обновлении на графической диаграмме (Конфигурация>устройств> выберите существующий профиль >Обзор) отображается только количество для конкретного профиля устройства. Например, если профиль устройства конфигурации применяется к устройствам iOS, на диаграмме отображается только количество устройств iOS. При выборе графической диаграммы и открытии состояния устройства отображаются только устройства iOS.

Пока выполняется это обновление, графическая пользовательская диаграмма временно удаляется.

ALWAYS ON VPN для Windows 10

В настоящее время Always On можно использовать на устройствах Windows 10 с помощью пользовательского профиля виртуальной частной сети (VPN), созданного с помощью OMA-URI.

С помощью этого обновления администраторы могут включить Always On для Windows 10 профилей VPN непосредственно в Intune в портал Azure. Always On профили VPN будут автоматически подключаться, когда:

• Пользователи входят в свои устройства
• Сеть на устройстве изменяется
• Экран на устройстве снова включается после выключения

Новые параметры принтера для профилей для образовательных учреждений

Для профилей образования новые параметры доступны в категории Принтеры : Принтеры, Принтер по умолчанию, Добавление новых принтеров.

Отображение идентификатора вызывающего объекта в личном профиле — рабочий профиль Android Enterprise

При использовании личного профиля на устройстве конечные пользователи могут не видеть сведения об идентификаторе звонящего из рабочего контакта.

В этом обновлении появился новый параметр в РазделеОграничения> устройств Android Enterprise> Параметрырабочего профиля:

• Отображение идентификатора абонента рабочего контакта в личном профиле

Если этот параметр включен (не настроен), сведения о вызывающем рабочем контакте отображаются в личном профиле. При блокировке номер звонящего рабочего контакта не отображается в личном профиле.

Область применения: устройства с рабочим профилем Android в ОС Android версии 6.0 и более поздней версии

Новые параметры Защитник Windows Credential Guard, добавленные в параметры защиты конечных точек

В этом обновлении Защитник Windows Credential Guard (Защита конечных точекконфигурации>устройств>) включает следующие параметры:

• Защитник Windows Credential Guard: включает Credential Guard с безопасностью на основе виртуализации. Включение этой функции помогает защитить учетные данные при следующей перезагрузке при включении уровня безопасности платформы с безопасной загрузкой и безопасностью на основе виртуализации . Варианты:

  • Отключено. Если Credential Guard ранее был включен с параметром Включено без блокировки", он отключает Credential Guard удаленно.

  • Включена блокировка UEFI. Гарантирует, что Credential Guard нельзя отключить с помощью раздела реестра или групповая политика. Чтобы отключить Credential Guard после использования этого параметра, необходимо задать для групповая политика значение Отключено. Затем удалите функции безопасности с каждого компьютера с физическим пользователем. Эти действия очищают конфигурацию, сохраненную в UEFI. Пока конфигурация UEFI сохраняется, Credential Guard включена.

  • Включено без блокировки. Позволяет удаленно отключить Credential Guard с помощью групповая политика. Устройства, использующие этот параметр, должны работать не менее Windows 10 (версия 1511).

При настройке Credential Guard автоматически включаются следующие зависимые технологии:

• Включить безопасность на основе виртуализации (VBS): включает безопасность на основе виртуализации (VBS) при следующей перезагрузке. Безопасность на основе виртуализации использует гипервизор Windows для обеспечения поддержки служб безопасности и требует безопасной загрузки.
• Безопасная загрузка с прямым доступом к памяти (DMA): включает VBS с безопасной загрузкой и прямым доступом к памяти. Защита DMA требует аппаратной поддержки и включена только на правильно настроенных устройствах.

Использование пользовательского имени субъекта в сертификате SCEP

Вы можете использовать общее имя OnPremisesSamAccountName в пользовательской теме в профиле сертификата SCEP. Например, можно использовать CN={OnPremisesSamAccountName}).

Блокировка камеры и захвата экрана в рабочих профилях Android Enterprise

При настройке ограничений для устройств Android доступны два новых свойства, которые можно заблокировать:

• Камера: блокирует доступ ко всем камерам на устройстве
• Снимок экрана: блокирует захват экрана, а также предотвращает отображение содержимого на устройствах с дисплеем, у которых нет безопасного вывода видео

Применимо к рабочим профилям Android Enterprise.

Использование клиента Cisco AnyConnect для iOS

При создании нового профиля VPN для iOS доступны два варианта: Cisco AnyConnect и Cisco Legacy AnyConnect. Профили Cisco AnyConnect поддерживают версии 4.0.7x и более поздние версии. Существующие профили VPN iOS Cisco AnyConnect помечены как Cisco Legacy AnyConnect и продолжают работать с Cisco AnyConnect 4.0.5x и более ранними версиями, как и сегодня.

Примечание.

Это изменение применяется только к iOS. По-прежнему существует только один вариант Cisco AnyConnect для android, рабочих профилей Android Enterprise и платформ macOS.

Регистрация устройства

Новые шаги регистрации для пользователей на устройствах с macOS High Sierra 10.13.2+

в macOS high Sierra 10.13.2 представлена концепция регистрации MDM "Утверждено пользователем". Утвержденные регистрации позволяют Intune управлять некоторыми параметрами, чувствительными к безопасности. Дополнительные сведения см. в документации по поддержке Apple здесь: https://support.apple.com/HT208019.

Устройства, зарегистрированные с помощью Корпоративный портал macOS, считаются "Не утверждены пользователем", если пользователь не откроет системные настройки и не предоставит утверждение вручную. С этой целью Корпоративный портал macOS теперь позволяет пользователям macOS 10.13.2 и более поздних версий вручную утвердить регистрацию в конце процесса регистрации. Центр администрирования Intune сообщит о том, утверждено ли зарегистрированное устройство пользователем.

Устройства macOS, зарегистрированные Jamf, теперь могут регистрироваться в Intune

В версиях 1.3 и 1.4 корпоративного портала macOS не удалось зарегистрировать устройства Jamf с Intune. Эта проблема устранена в версии 1.4.2 портала macOS.

Обновленный интерфейс справки в приложении Корпоративный портал для Android

Мы обновили интерфейс справки в приложении Корпоративный портал для Android в соответствии с рекомендациями для платформы Android. Теперь, когда пользователи сталкиваются с проблемой в приложении, они могут нажать меню>Справка и:

• Отправка журналов диагностики в корпорацию Майкрософт.
• Отправьте сообщение электронной почты с описанием проблемы и идентификатором инцидента сотруднику службы поддержки компании.

Чтобы проверка обновленный интерфейс справки, см. статью Сообщение о проблеме в приложении Корпоративный портал или Intune для Android.

Новая диаграмма тенденций сбоя регистрации и таблица причин сбоев

На странице Обзор регистрации можно просмотреть тенденцию сбоев регистрации и пять основных причин сбоев. Выбрав диаграмму или таблицу, вы можете детализировать сведения, чтобы найти советы по устранению неполадок и предложения по исправлению.

Управление устройствами

Defender для конечной точки и Intune полностью интегрированы

Defender для конечной точки показывает уровень риска Windows 10 устройств. В центре безопасности Защитник Windows можно создать подключение к Microsoft Intune. После создания для определения приемлемого уровня угрозы используется политика соответствия Intune. Если уровень угрозы превышен, политика условного доступа Microsoft Entra может заблокировать доступ к различным приложениям в вашей организации.

Эта функция позволяет Defender для конечной точки сканировать файлы, обнаруживать угрозы и сообщать о любых рисках на Windows 10 устройствах.

См. раздел Включение Defender для конечной точки с условным доступом в Intune.

Поддержка устройств без пользователей

Intune поддерживает возможность оценки соответствия на устройстве без пользователей, например на Microsoft Surface Hub. Политика соответствия требованиям может быть ориентирована на определенные устройства. Таким образом, можно определить соответствие (и несоответствие) для устройств, у которых нет связанного пользователя.

Удаление устройств Autopilot

Intune администраторы могут удалять устройства Autopilot.

Улучшено удаление устройства

Вам больше не нужно удалять корпоративные данные или сбрасывать устройство с заводских настроек перед удалением устройства из Intune.

Чтобы просмотреть новый интерфейс, войдите в Intune и выберите Устройства>Все устройства> имя устройства >Удалить.

Если вы по-прежнему хотите получить подтверждение очистки или снятия с учета, можно использовать стандартный маршрут жизненного цикла устройства, выполнив инструкции Удаление данных компании и Сброс заводских настроек перед Удалением.

Воспроизведение звуков в iOS в режиме пропажи

Если защищенные устройства iOS находятся в режиме потери мобильных Управление устройствами (MDM), вы можете воспроизводить звук (Устройства>Все устройства> выбирают устройство > iOS Обзор>подробнее). Звук продолжает воспроизводиться до тех пор, пока устройство не будет удалено из режима пропажи или пользователь не отключит звук на устройстве. Применяется к устройствам iOS версии 9.3 и более поздней версии.

Блокировать или разрешать веб-результаты при поиске на устройстве Intune

Теперь администраторы могут блокировать веб-результаты поиска на устройстве.

Улучшено сообщение об ошибках при сбое отправки push-сертификата Apple MDM

В сообщении об ошибке объясняется, что при обновлении существующего сертификата MDM необходимо использовать тот же идентификатор Apple ID.

Тестирование Корпоративный портал для macOS на виртуальных машинах

Мы опубликовали руководство, которое поможет ИТ-администраторам протестировать приложение Корпоративный портал для macOS на виртуальных машинах в Parallels Desktop и VMware Fusion. Дополнительные сведения см. в статье Регистрация виртуальных компьютеров macOS для тестирования.

Приложения Intune

Обновление пользовательского интерфейса в приложении корпоративного портала для iOS

Мы выпустили основное обновление пользовательского интерфейса для приложения Корпоративный портал для iOS. Обновление включает полностью переработанный и осовремененный интерфейс. Мы сохранили все функциональные возможности приложения, повысив удобство его использования и расширив специальные возможности.

Другие возможности.

• Поддержка iPhone X.
• Ускоренные запуск приложений и загрузка ответов, экономящие время пользователей.
• Дополнительные индикаторы выполнения, чтобы предоставить пользователям самые актуальные сведения о состоянии.
• Улучшенный способ отправки журналов, упрощающий работу с отчетами об ошибках.

Чтобы просмотреть обновленный внешний вид, перейдите в раздел Новые возможности в пользовательском интерфейсе приложения.

Защита локальных данных Exchange с помощью Intune APP и ЦС

Теперь вы можете использовать защиту Intune политики приложений (APP) и условный доступ (ЦС) для защиты доступа к локальным данным Exchange с помощью Outlook Mobile. Чтобы добавить или изменить политику защиты приложений в портал Azure, выберите Microsoft Intune>Клиентные приложения>защита приложений политики. Перед использованием этой функции убедитесь, что вы соответствуете требованиям Outlook для iOS и Android.

Пользовательский интерфейс

Улучшенные плитки устройств в Windows 10 Корпоративный портал

Плитки были обновлены, чтобы быть более доступными для пользователей с низким зрением и лучше работать с инструментами чтения с экрана.

Отправка диагностических отчетов в приложении Корпоративный портал для macOS

Приложение Корпоративный портал для устройств macOS было обновлено, чтобы улучшить, как пользователи сообщают об ошибках, связанных с Intune. В приложении Корпоративный портал сотрудники могут:

• Отправьте диагностические отчеты непосредственно в группу разработчиков Майкрософт.
• Email идентификатор инцидента в службу ИТ-поддержки вашей компании.

Дополнительные сведения см. в статье Отправка ошибок для macOS.

Intune адаптируется к система Fluent Design в приложении Корпоративный портал для Windows 10

Приложение "Корпоративный портал" для Windows 10 обновлено для включения представления навигации системы Fluent Design. В окне приложения сбоку находится статический вертикальный список всех страниц верхнего уровня. Выберите любую ссылку, чтобы быстро просмотреть страницы и переключаться между ними. Эта функция является первым из нескольких обновлений, которые являются частью текущих усилий по созданию более адаптивного, чуткого и знакомого интерфейса в Intune. Чтобы просмотреть обновленный внешний вид, перейдите в раздел Новые возможности в пользовательском интерфейсе приложения.

Март 2018 г.

Управление приложениями

Оповещения об истечении срока действия бизнес-приложений iOS для Microsoft Intune

В портал Azure Intune оповещает о бизнес-приложениях iOS, срок действия которых истекает. После отправки новой версии бизнес-приложения iOS Intune удаляет уведомление об истечении срока действия из списка приложений. Это уведомление об истечении срока действия будет активно только для недавно отправленных бизнес-приложений iOS. Предупреждение появляется за 30 дней до истечения срока действия профиля подготовки бизнес-приложения iOS. По истечении срока действия оповещение изменится на Просроченный.

Настройка тем Корпоративный портал с помощью шестнадцатеричных кодов

Вы можете настроить цвет темы в приложениях Корпоративный портал с помощью шестнадцатеричных кодов. При вводе шестнадцатеричного кода Intune определяет цвет текста, обеспечивающий наивысший уровень контрастности между цветом текста и цветом фона. Вы можете просмотреть цвет текста и логотип компании в клиентских приложениях>Корпоративный портал.

Включение и исключение назначений приложений на основе групп для Android Enterprise

Android Enterprise (прежнее название — Android for Work) поддерживает включение и исключение групп, но не поддерживает предварительно созданные встроенные группы "Все пользователи " и "Все устройства ". Дополнительные сведения см. в статье Включение и исключение назначений приложений в Microsoft Intune.

Управление устройствами

Экспорт всех устройств в CSV-файлы в IE, Microsoft Edge или Chrome

В разделе Устройства>Все устройства можно экспортировать устройства в список в формате CSV. Пользователи Internet Обозреватель (IE) с >10 000 устройств могут успешно экспортировать свои устройства в несколько файлов. Каждый файл содержит до 10 000 устройств.

Пользователи Microsoft Edge и Chrome с >30 000 устройств могут успешно экспортировать свои устройства в несколько файлов. Каждый файл содержит до 30 000 устройств.

Управление устройствами содержит дополнительные сведения о том, что можно делать с управляемыми устройствами.

Новые улучшения безопасности в службе Intune

Мы ввели переключатель в Intune в Azure, который Intune автономные клиенты могут использовать для обработки устройств без политики, назначенной как совместимая (функция безопасности отключена) или обработки этих устройств как несоответствующих (функция безопасности включена). Эта функция обеспечит доступ к ресурсам только после оценки соответствия устройств.

Эта функция влияет на вас по-разному в зависимости от того, назначены ли вам уже политики соответствия.

• Если вы являетесь новой или существующей учетной записью и не имеете политик соответствия, назначенных вашим устройствам, переключатель автоматически устанавливается в значение Соответствует. Функция отключена как параметр по умолчанию в консоли. Это не влияет на конечных пользователей.
• Если вы являетесь существующей учетной записью и у вас есть устройства, которым назначена политика соответствия, переключатель автоматически устанавливается в значение Не соответствует требованиям. Эта функция включена по умолчанию по мере развертывания обновления за март.

Если вы используете политики соответствия требованиям с условным доступом (ЦС) и включили эту функцию, все устройства, не назначаемые по крайней мере одной назначенной политикой соответствия, блокируются центром сертификации. Конечные пользователи, связанные с этими устройствами, которым ранее был разрешен доступ к электронной почте, теряют доступ, если вы не назначите хотя бы одну политику соответствия всем устройствам.

Хотя состояние переключения по умолчанию отображается в пользовательском интерфейсе сразу после обновления Intune службы за март, этот переключатель не применяется сразу. Любые изменения, внесенные в переключатель, не повлияют на соответствие устройству до тех пор, пока мы не переключим вашу учетную запись на рабочий переключатель. Мы сообщим вам через Центр сообщений, когда завершим тестирование вашей учетной записи. Тестирование может занять несколько дней после обновления службы Intune в марте.

Дополнительные сведения см. в https://aka.ms/compliance_policiesразделе .

Расширенное обнаружение джейлбрейка

Расширенное обнаружение джейлбрейка — это новый параметр соответствия, который улучшает Intune оценку устройств со снятой защитой. Этот параметр приводит к тому, что устройство чаще проверка с Intune, что использует службы определения местоположения устройства и влияет на использование батареи.

Сброс паролей для устройств Android O

Вы можете сбросить пароли для зарегистрированных устройств Android 8.0 с помощью рабочих профилей. При отправке запроса "Сброс пароля" на устройство Android 8.0 он задает новый пароль разблокировки устройства или запрос управляемого профиля для текущего пользователя. Пароль или запрос отправляется и немедленно вступает в силу.

Назначение политик соответствия требованиям устройствам в группах устройств

Политики соответствия требованиям можно нацеливать на пользователей в группах пользователей. С помощью этого обновления вы можете нацеливать политики соответствия на устройства в группах устройств. Устройства, предназначенные как часть групп устройств, не будут получать никаких действий по соответствию.

Столбец "Новое имя управления"

Новый столбец с именем Имя управления доступен в колонке устройства. Этот столбец является автоматически созданным, неизменяемым именем, назначенным каждому устройству на основе следующей формулы:

• Имя по умолчанию для всех устройств: 〈username〉〈em〉〈devicetype〉〈/em〉〈enrollmenttimestamp〉
• Для устройств с массовым добавлением: 〈PackageId/ProfileId〉〈em〉〈DeviceType〉〈/em〉〈EnrollmentTime〉

Этот столбец является необязательным в колонке устройства. Он недоступен по умолчанию, и доступ к нему можно получить только с помощью селектора столбцов. Этот новый столбец не влияет на имя устройства.

Устройствам iOS предлагается ввести ПИН-код каждые 15 минут

После применения политики соответствия или конфигурации к устройству iOS пользователям предлагается установить ПИН-код каждые 15 минут. Пользователи постоянно получают запросы, пока не будет задан ПИН-код.

Планирование автоматических обновлений

Intune позволяет управлять установкой автоматических обновлений с помощью клиентский компонент Центра обновления Windows параметров круга. С помощью этого обновления можно запланировать повторение обновлений, включая неделю, день и время.

Использование полностью различающегося имени в качестве субъекта сертификата SCEP

При создании профиля сертификата SCEP введите имя субъекта. С помощью этого обновления в качестве субъекта можно использовать полностью различающееся имя. В поле Имя субъекта выберите Пользовательский, а затем введите CN={{OnPrem_Distinguished_Name}}. Чтобы использовать {{OnPrem_Distinguished_Name}} переменную, обязательно синхронизируйте onpremisesdistingishedname атрибут пользователя с помощью Microsoft Entra Подключиться к Microsoft Entra ID.

Конфигурация устройства

Включение общего доступа к контактам Bluetooth — Android for Work

По умолчанию Android запрещает синхронизацию контактов в рабочем профиле с устройствами Bluetooth. В результате контакты рабочего профиля не отображаются в идентификаторе вызывающего устройства Bluetooth.

С этим обновлением в Android for WorkDevice restrictions (Ограничения рабочего устройства Android for Work >Device restrictions>— Параметры рабочего профиля):

• Обмен контактами по Bluetooth

Администратор Intune может настроить эти параметры, чтобы включить общий доступ. Эта функция полезна при связывании устройства с автомобильным устройством Bluetooth, которое отображает идентификатор вызывающего абонента для использования с помощью громкой связи. Если этот параметр включен, отображаются контакты рабочего профиля. Если этот параметр не включен, контакты рабочего профиля не будут отображаться.

Настройка Gatekeeper для управления источником загрузки приложений macOS

Вы можете настроить Gatekeeper для защиты устройств от приложений, контролируя, откуда можно скачать приложения. Вы можете настроить следующие источники загрузки: Mac App Store, Mac App Store и идентифицированных разработчиков или Anywhere. Чтобы переопределить эти элементы управления Gatekeeper, можно настроить, могут ли пользователи установить приложение, щелкнув элемент управления.

Эти параметры можно найти в разделеКонфигурация>устройств>Create>macOS>Endpoint Protection.

Настройка брандмауэра приложения Mac

Вы можете настроить брандмауэр приложения Mac. Брандмауэр приложений можно использовать для управления подключениями для каждого приложения, а не для каждого порта. Эта функция упрощает получение преимуществ защиты брандмауэра и помогает предотвратить получение нежелательными приложениями контроля над сетевыми портами, открытыми для законных приложений.

Эту функцию можно найти в разделеКонфигурация>устройств>Create>macOS>Endpoint Protection.

После включения параметра Брандмауэр можно настроить брандмауэр с помощью двух стратегий:

• Блокировка всех входящих подключений

  Вы можете заблокировать все входящие подключения для целевых устройств. Если вы решите сделать это, входящие подключения блокируются для всех приложений.

• Разрешение или блокировка определенных приложений

  Вы можете разрешить или запретить определенным приложениям получать входящие подключения. Вы также можете включить скрытый режим, чтобы предотвратить ответы на запросы проверки.

Подробные коды ошибок и сообщения

В конфигурации устройства доступны более подробные коды ошибок и сообщения об ошибках. В этом улучшенном отчете показаны параметры, состояние этих параметров и сведения об устранении неполадок.

Дополнительная информация

• Блокировка всех входящих подключений

  Этот параметр запрещает всем службам общего доступа (таким как общий доступ к файлам и экрану) получать входящие подключения. Системные службы, которым по-прежнему разрешено получать входящие подключения:

  • configd — реализует DHCP и другие службы конфигурации сети.

  • mDNSResponder — реализует Bonjour

  • racoon — реализует IPSec

    Чтобы использовать службы общего доступа, убедитесь, что для входящих подключенийзадано значение Не настроено (не блокировать).

• Скрытый режим

  Включите этот параметр, чтобы предотвратить реагирование компьютера на запросы проверки. Компьютер по-прежнему отвечает на входящие запросы для авторизованных приложений. Непредвиденные запросы, такие как ICMP (ping), игнорируются.

Отключение проверок при перезапуске устройства

Intune позволяет управлять обновлениями программного обеспечения. При этом обновлении свойство Перезапустить проверки доступно и включено по умолчанию. Чтобы пропустить типичные проверки, которые происходят при перезапуске устройства (например, активные пользователи, уровень заряда батареи и т. д.), выберите Пропустить.

Новые каналы предварительной оценки Windows 10, доступные для кругов развертывания

Теперь при создании круга развертывания Windows 10 можно выбрать следующие каналы обслуживания Windows 10 Insider Preview:

• Сборка программы предварительной оценки Windows ( Быстрая)
• Сборка программы предварительной оценки Windows ( Медленная)
• Выпуск сборки программы предварительной оценки Windows

Дополнительные сведения об этих каналах см. в разделе Управление сборками предварительной оценки. Дополнительные сведения о создании каналов развертывания в Intune см. в статье Управление обновлениями программного обеспечения в Intune.

Новые параметры Exploit Guard Защитник Windows

Теперь доступны шесть новых параметров сокращения направлений атаки и расширенный контролируемый доступ к папкам: возможности защиты папок . Эти параметры можно найти в разделе Конфигурация устройства\Профили.
Create profile\Endpoint protection\Защитник Windows Exploit Guard.

Сокращение направлений атак

Имя параметра	Параметры настройки	Описание
Расширенная защита от программ-шантажистов	Включено, аудит, не настроено	Используйте агрессивную защиту от программ-шантажистов.
Пометка кражи учетных данных из подсистемы локального центра безопасности Windows	Включено, аудит, не настроено	Пометка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe).
Процесс создания из команд PSExec и WMI	Блокировать, аудит, не настроено	Блокировать создание процессов, исходящих из команд PSExec и WMI.
Блокируются недоверенные и неподписанные процессы, запускаемые с USB-накопителей	Блокировать, аудит, не настроено	Блокировать недоверенные и неподписанные процессы, выполняемые с USB.
Исполняемые файлы, которые не соответствуют критериям распространенности, возраста или списка доверия	Блокировать, аудит, не настроено	Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.

Контролируемый доступ к папкам

Имя параметра	Параметры настройки	Описание
Защита папок (уже реализована)	Не настроено, включить, только аудит (уже реализовано) New Изменение блокировки диска, изменение диска аудита

Защита файлов и папок от несанкционированных изменений недружественными приложениями.

Включить. Запретить ненадежным приложениям изменять или удалять файлы в защищенных папках и записывать в секторы диска.

Только блокировать изменение диска:
Запретить ненадежным приложениям запись в секторы диска. Ненадежные приложения по-прежнему могут изменять или удалять файлы в защищенных папках.|

Приложения Intune

Microsoft Entra веб-сайтам может потребоваться приложение Intune Managed Browser и поддержка единого входа в Managed Browser (общедоступная предварительная версия)

С помощью Microsoft Entra ID теперь можно ограничить доступ к веб-сайтам на мобильных устройствах приложением Intune Managed Browser. В Управляемом браузере данные веб-сайта будут оставаться защищенными и отделяться от персональных данных конечных пользователей. Кроме того, Управляемый браузер будет поддерживать возможности единого входа для сайтов, защищенных Microsoft Entra ID. Вход в управляемый браузер или использование управляемого браузера на устройстве с другим приложением, управляемым Intune, позволяет управляемому браузеру получать доступ к корпоративным сайтам, защищенным Microsoft Entra ID. Конечным пользователям не нужно вводить свои учетные данные.

Эта функция применяется к таким сайтам, как Outlook Web Access (OWA) и SharePoint Online, а также к другим корпоративным сайтам, таким как ресурсы интрасети, доступ к которым осуществляется через прокси-сервер приложение Azure. Дополнительные сведения см. в разделе Управление доступом в Microsoft Entra условного доступа.

Корпоративный портал приложение для обновления визуальных элементов Android

Мы обновили приложение корпоративного портала для Android в соответствии с рекомендациями по материальному дизайну для Android. Изображения новых значков можно просмотреть в статье Новые возможности пользовательского интерфейса приложения .

Улучшена регистрация Корпоративный портал

Пользователи, регистрируя устройство с помощью Корпоративный портал Windows 10 сборки 1709 и более позднее, теперь могут выполнить первый шаг регистрации, не выходя из приложения.

HoloLens и Surface Hub теперь отображаются в списках устройств

Добавлена поддержка отображения зарегистрированных Intune устройств HoloLens и Surface Hub в приложении Корпоративный портал для Android.

Категории пользовательских книг для электронных книг программы volume-purchase (VPP)

Вы можете создать пользовательские категории электронных книг, а затем назначить электронные книги VPP этим пользовательским категориям электронных книг. Затем пользователи могут просматривать только что созданные категории электронных книг и книги, назначенные категориям. Дополнительные сведения см. в статье Управление приложениями и книгами, приобретенными по программе корпоративных закупок, с помощью Microsoft Intune.

Поддержка изменений для Корпоративный портал приложения для Windows отправки отзывов

Начиная с 30 апреля 2018 г. параметр Отправить отзыв в приложении Корпоративный портал для Windows будет работать только на устройствах с юбилейным обновлением Windows 10 (1607) и более поздних версий. Возможность отправки отзывов больше не поддерживается при использовании приложения Корпоративный портал для Windows с:

• выпуск Windows 10, 1507
• выпуск Windows 10, 1511
• Windows Phone 8.1

Если устройство работает на Windows 10 RS1 или более поздней версии, скачайте последнюю версию приложения windows Корпоративный портал из Магазина. Если вы используете неподдерживаемую версию, продолжайте отправлять отзывы по следующим каналам:

• Приложение "Центр отзывов" на Windows 10
• Email WinCPfeedback@microsoft.com

Новые параметры Защитник Windows Application Guard

• Включение ускорения графики. Администраторы могут включить виртуальный графический процессор для Защитник Windows Application Guard. Этот параметр:

  • Позволяет ЦП разгрузить отрисовку графики в VGPU.
  • Может повысить производительность при работе с графическими веб-сайтами или просмотре видео в контейнере.

• SaveFilestoHost. Администраторы могут разрешить передачу файлов из Microsoft Edge, запущенных в контейнере, в файловую систему узла. Включение этого параметра позволяет пользователям скачивать файлы из Microsoft Edge в контейнере в файловую систему узла.

Политики защиты MAM, нацеленные на основе состояния управления

Политики MAM можно нацелить на основе состояния управления устройством:

• Устройства Android. Вы можете использовать неуправляемые устройства, Intune управляемые устройства и Intune управляемые профили Android Enterprise (прежнее название — Android for Work).

• Устройства iOS. Вы можете использовать неуправляемые устройства (только MAM) или Intune управляемые устройства.

  Примечание.

  • Поддержка этой функции в iOS развертывается в течение апреля 2018 г.

Дополнительные сведения см. в разделе Целевые политики защиты приложений на основе состояния управления устройствами.

Улучшения, касающиеся языка, в приложении корпоративного портала для Windows

Мы усовершенствовали язык в приложении корпоративного портала для Windows 10 — теперь он более понятен пользователю и лучше соответствует особенностям вашей компании. Чтобы просмотреть некоторые примеры образов того, что мы сделали, ознакомьтесь с новыми пользовательский интерфейс приложения.

Новые дополнения к нашей документации о конфиденциальности пользователей

Чтобы предоставить конечным пользователям больший контроль над своими данными и конфиденциальностью, мы опубликовали обновления в нашей документации, в котором объясняется, как просматривать и удалять данные, хранящиеся локально, с помощью приложений Корпоративный портал. Эти обновления можно найти по адресу:

• Android: удаление устройства Android из Intune
• Android, если пользователь отклонил условия использования: удалите управление устройствами, если вы отклонили "Условия использования"
• iOS: удалите устройство iOS из Intune
• Windows: удаление устройства с Windows из Intune

Февраль 2018 г.

Регистрация устройства

Intune поддержка нескольких учетных записей Apple DEP и Apple School Manager

Intune теперь поддерживает регистрацию устройств с до 100 различных учетных записей Apple Device Enrollment Program (DEP) или Apple School Manager. Каждый отправленный маркер может управляться отдельно для профилей регистрации и устройств. Для каждого отправленного токена DEP или School Manager можно автоматически назначить другой профиль регистрации. Если отправлено несколько токенов School Manager, Синхронизация сведений о школе Microsoft одновременно может предоставляться только один из них.

После миграции бета-интерфейсы API Graph и опубликованные скрипты для управления Apple DEP или ASM через Graph больше не будут работать. Новые бета-версии API Graph находятся в стадии разработки и будут выпущены после миграции.

См. сведения об ограничениях регистрации для каждого пользователя.

В колонке Устранение неполадок теперь можно просмотреть ограничения регистрации , которые действуют для каждого пользователя, выбрав Ограничения регистрации в списке Назначения .

Новый вариант проверки подлинности пользователей для массовой регистрации Apple

Примечание.

Новые клиенты увидят это сразу. Для существующих клиентов эта функция развертывается до апреля. Пока это развертывание не будет завершено, у вас может не быть доступа к этим новым функциям.

Intune теперь вы можете проверить подлинность устройств с помощью приложения Корпоративный портал для следующих методов регистрации:

• Программа регистрации устройств Apple
• Apple School Manager
• Регистрация Конфигуратора Apple

При использовании параметра Корпоративный портал можно применить Microsoft Entra многофакторную проверку подлинности, не блокируя эти методы регистрации.

При использовании параметра Корпоративный портал Intune пропускает проверку подлинности пользователей в помощнике по настройке iOS для регистрации сходства пользователей. Эта функция означает, что устройство изначально зарегистрировано как устройство без пользователя и поэтому не получает конфигурации или политики групп пользователей. Он получает только конфигурации и политики для групп устройств. Однако Intune автоматически установит приложение Корпоративный портал на устройстве. Первый пользователь, который запустит приложение Корпоративный портал и войдет в нее, будет связан с устройством в Intune. На этом этапе пользователь получит конфигурации и политики своих групп пользователей. Связь пользователей невозможно изменить без повторной регистрации.

Intune поддержка нескольких учетных записей Apple DEP и Apple School Manager

Intune теперь поддерживает регистрацию устройств с до 100 различных учетных записей Apple Device Enrollment Program (DEP) или Apple School Manager. Каждый отправленный маркер может управляться отдельно для профилей регистрации и устройств. Для каждого отправленного токена DEP или School Manager можно автоматически назначить другой профиль регистрации. Если отправлено несколько токенов School Manager, Синхронизация сведений о школе Microsoft одновременно может предоставляться только один из них.

После миграции бета-интерфейсы API Graph и опубликованные скрипты для управления Apple DEP или ASM через Graph больше не будут работать. Новые бета-версии API Graph находятся в стадии разработки и будут выпущены после миграции.

Удаленная печать по безопасной сети

Решения для беспроводной мобильной печати PrinterOn позволяют пользователям удаленно печатать из любого места в любое время по безопасной сети. PrinterOn интегрируется с пакетом SDK для приложений Intune для iOS и Android. Политики защиты приложений можно нацелить на это приложение в колонке политики Intune защита приложений в Центре администрирования Intune. Конечные пользователи могут скачать приложение PrinterOn for Microsoft через Play Store или iTunes, чтобы использовать в своей экосистеме Intune.

macOS Корпоративный портал поддержку регистраций, использующих диспетчер регистрации устройств

Теперь пользователи могут использовать диспетчер регистрации устройств при регистрации в Корпоративный портал macOS.

Управление устройствами

Отчеты о состоянии работоспособности Защитника Windows и угрозах

Понимание работоспособности и состояния Защитник Windows является ключом к управлению компьютерами с Windows. В этом обновлении Intune добавляет новые отчеты и действия в состояние и работоспособность агента Защитник Windows. С помощью сводного отчета о состоянии в рабочей нагрузке Соответствие устройств можно просмотреть устройства, которым требуется выполнить любое из следующих действий:

• Обновление сигнатуры
• Перезапуск
• вмешательство вручную
• полная проверка
• другие состояния агента, требующие вмешательства

В отчете детализации для каждой категории состояния перечислены отдельные компьютеры, которым требуется внимание, или компьютеры, которые сообщают как Чистые.

Новые параметры конфиденциальности для ограничений устройств

Теперь для устройств доступны два новых параметра конфиденциальности:

• Публикация действий пользователей. Если задано значение Блокировать, этот параметр предотвращает совместное взаимодействие и обнаружение недавно использованных ресурсов в переключении задач.
• Только локальные действия. Если задано значение Блокировать, этот параметр предотвращает совместное взаимодействие и обнаружение недавно использованных ресурсов в коммутаторе задач только на основе локальных действий.

Новые параметры браузера Microsoft Edge

Теперь для устройств с браузером Microsoft Edge версии 45 и более ранних доступны два новых параметра: Путь к файлу избранного и Изменения в избранном.

Управление приложениями

Исключения протокола для приложений

Теперь можно создавать исключения для политики передачи данных Intune mobile Application Management (MAM), чтобы открывать определенные неуправляемые приложения. Ит-центр должен доверять таким приложениям. Помимо создаваемых исключений, передача данных по-прежнему ограничена приложениями, управляемыми Intune, если политика передачи данных настроена только для управляемых приложений. Ограничения можно создать с помощью протоколов (iOS) или пакетов (Android).

Например, можно добавить пакет Webex в качестве исключения в политику передачи данных MAM. Это исключение позволяет открывать ссылки Webex в управляемом сообщении электронной почты Outlook непосредственно в приложении Webex. Передача данных будет по-прежнему ограничена в других неуправляемых приложениях. Дополнительные сведения см. в разделе Исключения политики передачи данных для приложений.

Зашифрованные данные Windows Information Protection (WIP) в результатах поиска Windows

Параметр в политике windows Information Protection (WIP) теперь позволяет контролировать, включаются ли зашифрованные WIP-данные в результаты поиска Windows. Задайте этот параметр политики защиты приложений, выбрав Разрешить Индексатору Windows Поиск поиск зашифрованных элементов в дополнительных параметрах политики windows Information Protection. Для политики защиты приложений необходимо задать Windows 10 платформу, а для параметра Состояние регистрации политики приложений — значение С регистрацией. Дополнительные сведения см. в статье Разрешить индексатору Windows Поиск поиск зашифрованных элементов.

Настройка самообновляющегося мобильного приложения MSI

Вы можете настроить известное самообновяющийся мобильное приложение MSI, чтобы игнорировать версию проверка процесса. Эта возможность полезна, чтобы не попасть в состояние гонки. Например, этот тип состояния гонки может возникать при автоматическом обновлении приложения разработчиком приложения Intune. Оба могут попытаться применить версию приложения в клиенте Windows, что может привести к конфликту. Для этих автоматически обновляемых приложений MSI можно настроить параметр Игнорировать версию приложения в колонке Сведения о приложении . Если этот параметр переключится на Да, Microsoft Intune проигнорирует версию приложения, установленную в клиенте Windows.

Связанные наборы лицензий приложений, поддерживаемые в Intune

Intune в портал Azure теперь поддерживает связанные наборы лицензий приложений как один элемент приложения в пользовательском интерфейсе. Кроме того, все автономные лицензированные приложения, синхронизированные с Microsoft Store для бизнеса, будут объединены в одну запись приложения, а все сведения о развертывании из отдельных пакетов будут перенесены в одну запись. Чтобы просмотреть связанные наборы лицензий приложений в портал Azure, выберите Лицензии приложений в колонке Клиентские приложения.

Конфигурация устройства

Расширения файлов windows Information Protection (WIP) для автоматического шифрования

Параметр в политике Windows Information Protection (WIP) теперь позволяет указать, какие расширения файлов автоматически шифруются при копировании из общей папки SMB в пределах корпоративной границы, как определено в политике WIP.

Настройка параметров учетной записи ресурса для Surface Hub

Теперь вы можете удаленно настроить параметры учетной записи ресурсов для Surface Hub.

Учетная запись ресурса используется Surface Hub для проверки подлинности в Skype или Exchange, чтобы она могла присоединиться к собранию. Вам потребуется создать уникальную учетную запись ресурса, чтобы Surface Hub могла отображаться в собрании в качестве конференц-зала. Например, учетная запись ресурса, например конференц-зал B41/6233.

Примечание.

• Если оставить поля пустыми, вы переопределите ранее настроенные атрибуты на устройстве.

• Свойства учетной записи ресурса могут динамически изменяться в Surface Hub. Например, если смена пароля включена. Таким образом, возможно, что значения в консоли Azure потребуют некоторого времени, чтобы отразить реальность на устройстве.

  Чтобы понять, что в настоящее время настроено в Surface Hub, сведения об учетной записи ресурсов можно включить в инвентаризацию оборудования (с интервалом в 7 дней) или в качестве свойств только для чтения. Чтобы повысить точность после выполнения удаленного действия, можно получить состояние параметров сразу после выполнения действия для обновления учетной записи или параметров на Surface Hub.

Сокращение направлений атак

Имя параметра	Параметры настройки	Описание
Выполнение защищенного паролем исполняемого содержимого из электронной почты	Блокировать, аудит, не настроено	Запретить запуск защищенных паролем исполняемых файлов, скачанных по электронной почте.
Расширенная защита от программ-шантажистов	Включено, аудит, не настроено	Используйте агрессивную защиту от программ-шантажистов.
Пометка кражи учетных данных из подсистемы локального центра безопасности Windows	Включено, аудит, не настроено	Пометка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe).
Процесс создания из команд PSExec и WMI	Блокировать, аудит, не настроено	Блокировать создание процессов, исходящих из команд PSExec и WMI.
Блокируются недоверенные и неподписанные процессы, запускаемые с USB-накопителей	Блокировать, аудит, не настроено	Блокировать недоверенные и неподписанные процессы, выполняемые с USB.
Исполняемые файлы, которые не соответствуют критериям распространенности, возраста или списка доверия	Блокировать, аудит, не настроено	Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.

Контролируемый доступ к папкам

Имя параметра	Параметры настройки	Описание
Защита папок (уже реализована)	Не настроено, включить, только аудит (уже реализовано) New Изменение блокировки диска, изменение диска аудита

Защита файлов и папок от несанкционированных изменений недружественными приложениями.

Включить. Запретить ненадежным приложениям изменять или удалять файлы в защищенных папках и записывать в секторы диска.

Только блокировать изменение диска:
Запретить ненадежным приложениям запись в секторы диска. Ненадежные приложения по-прежнему могут изменять или удалять файлы в защищенных папках.|

Дополнения к параметрам безопасности системы для Windows 10 и более поздних политик соответствия требованиям

Теперь доступны дополнения к параметрам соответствия Windows 10, включая брандмауэр и антивирусную программу Защитник Windows.

Приложения Intune

Поддержка автономных приложений из Microsoft Store для бизнеса

Автономные приложения, приобретенные у Microsoft Store для бизнеса, теперь синхронизируются с портал Azure. Эти приложения можно развернуть в группах устройств или группах пользователей. Автономные приложения устанавливаются Intune, а не магазином.

Запретить пользователям добавлять или удалять учетные записи в рабочем профиле вручную

При развертывании приложения Gmail в профиле Android for Work теперь можно запретить пользователям добавлять или удалять учетные записи в рабочем профиле вручную с помощью параметра Добавление и удаление учетных записей в профиле ограничений устройств Android for Work.

Январь 2018 г.

Регистрация устройства

Оповещения о маркерах с истекшим сроком действия и маркерах, срок действия которых скоро истечет

Теперь на странице обзора отображаются оповещения о маркерах с истекшим сроком действия и маркерах, срок действия которых скоро истечет. Выбрав оповещение для одного маркера, вы перейдете на страницу сведений о маркере. Если выбрать оповещение с несколькими маркерами, вы перейдете к списку всех маркеров с их состоянием. Администраторы должны обновить свои токены до даты окончания срока действия.

Управление устройствами

Поддержка удаленной команды Erase для устройств macOS

Администраторы могут удаленно выполнить команду Стереть для устройств macOS.

Важно!

Команду erase нельзя отменить, и ее следует использовать с осторожностью.

Команда erase удаляет все данные, включая операционную систему, с устройства. Он также удаляет устройство из управления Intune. Предупреждение не выдается пользователю, и удаление происходит сразу после выполнения команды.

Необходимо настроить 6-значный ПИН-код восстановления. Этот ПИН-код можно использовать для разблокировки стертого устройства, после чего начнется переустановка операционной системы. После запуска очистки ПИН-код отображается в строке состояния в колонке обзора устройства в Intune. ПИН-код будет оставаться до тех пор, пока выполняется стирание. После завершения удаления устройство полностью исчезает из Intune управления. Обязательно запишите ПИН-код восстановления, чтобы любой, кто восстанавливает устройство, смог использовать его.

Отзыв лицензий для токена программы приобретения корпоративных лицензий iOS

Вы можете отозвать лицензию на все приложения iOS Volume Purchase Program (VPP) для заданного токена VPP.

Управление приложениями

Отзыв приложений iOS Volume-Purchase Program

Для определенного устройства с одним или несколькими приложениями iOS Volume-Purchase Program (VPP) можно отозвать лицензию на соответствующее приложение на основе устройства. Отзыв лицензии приложения не приведет к удалению связанного приложения VPP с устройства. Чтобы удалить приложение VPP, необходимо изменить действие назначения на Удалить. Дополнительные сведения см. в статье Управление приложениями iOS, приобретенными по программе volume-purchase program, с помощью Microsoft Intune.

Назначение мобильных приложений Microsoft 365 устройствам iOS и Android с помощью встроенного типа приложения

Тип встроенного приложения упрощает создание и назначение приложений Microsoft 365 для управляемых устройств iOS и Android. К этим приложениям относятся приложения Microsoft 365, такие как Word, Excel, PowerPoint и OneDrive. Вы можете назначить определенные приложения типу приложения и изменить конфигурацию сведений о приложении.

Включение и исключение назначений приложений на основе групп

Во время назначения приложения и после выбора типа назначения можно выбрать группы для включения и группы для исключения.

Конфигурация устройства

Вы можете назначить политику конфигурации приложения группам путем включения и исключения назначений.

Политику конфигурации приложения можно назначить группе пользователей и устройств, используя сочетание включения и исключения назначений. Назначения могут быть выбраны как пользовательский выбор групп или как виртуальная группа. Виртуальная группа может включать все пользователи, все устройства или Все пользователи + все устройства.

Поддержка политики обновления выпуска Windows 10

Вы можете создать политику обновления выпуска Windows 10, которая обновляет устройства Windows 10 до Windows 10 для образовательных учреждений, Windows 10 для образовательных учреждений N, Windows 10 Professional. Windows 10 профессиональный N, Windows 10 профессиональное образование и Windows 10 профессиональное образование N.

Дополнительные сведения об обновлениях Windows 10 выпусков см. в статье Настройка обновлений Windows 10 выпусков.

Политики условного доступа для Intune доступны только в портал Azure

Начиная с этого выпуска необходимо настроить политики условного доступа и управлять ими в портал Azure из Microsoft Entra ID>Кондиционный доступ. Для вашего удобства вы также можете получить доступ к этой колонке из Intune в портал Azure по адресу Intune>Conditional Access.

Обновления в сообщениях электронной почты о соответствии требованиям

При отправке сообщения электронной почты о несоответствующее устройство включаются сведения о несоответствующих устройствах.

Приложения Intune

Новые функции действия "Разрешить" для устройств Android

Приложение Корпоративный портал для Android расширяет действие "Разрешить" для обновления параметров устройства, чтобы устранить проблемы с шифрованием устройства.

Удаленная блокировка доступна в приложении Корпоративный портал для Windows 10

Теперь конечные пользователи могут удаленно блокировать свои устройства из приложения Корпоративный портал для Windows 10. Эта функция не будет отображаться для локального устройства, которое они активно используют.

Упрощение решения проблем соответствия приложению Корпоративный портал для Windows 10

Конечные пользователи с устройствами Windows могут использовать причину несоответствия в приложении Корпоративный портал. По возможности эта функция перенаправит их непосредственно в правильное расположение в приложении параметров, чтобы устранить проблему.

2017

Декабрь 2017 г.

Новый параметр автоматического повторного развертывания

Параметр Автоматическое повторное развертывание позволяет пользователям с правами администратора удалять все пользовательские данные и параметры с помощью клавиш CTRL+Win+R на экране блокировки устройства. Устройство автоматически перенастраиваться и повторно зарегистрироваться в управлении. Этот параметр можно найти в разделе Windows 10 > Ограничения > устройств Общий > автоматический повторное развертывание. Дополнительные сведения см. в Intune параметрах ограничения устройств для Windows 10.

Поддержка других исходных выпусков в политике обновления Windows 10 выпусков

Теперь вы можете использовать политику обновления Windows 10 выпусков для обновления с других выпусков Windows 10 (Windows 10 Pro, Windows 10 Pro для образовательных учреждений, Windows 10 cloud и т. д.). До этого выпуска поддерживаемые пути обновления выпуска были более ограниченными. Дополнительные сведения см. в статье Настройка обновлений Windows 10 выпусков.

Новые параметры профиля конфигурации устройств Центра безопасности Защитник Windows (WDSC)

Intune добавляет новый раздел параметров профиля конфигурации устройства в поле Endpoint Protection с именем Защитник Windows Центр безопасности. ИТ-администраторы могут настроить, к каким основным элементам приложения Центра безопасности Защитник Windows могут обращаться конечные пользователи. Если ИТ-администратор скрывает столб в приложении центра безопасности Защитник Windows, все уведомления, связанные со скрытым элементом, не отображаются на устройстве пользователя.

Администраторы могут использовать следующие компоненты для скрытия от параметров профиля конфигурации устройств центра безопасности Защитник Windows:

• Защита от вирусов и угроз
• Производительность и работоспособность устройства
• Защита брандмауэра и сети
• Управление приложениями и браузером
• Параметры семьи

ИТ-администраторы также могут настроить, какие уведомления получают пользователи. Например, можно настроить, будут ли пользователи получать все уведомления, созданные видимыми основными элементами в WDSC, или только критические уведомления. Некритические уведомления включают периодические сводки о действиях антивирусной программы Защитник Windows и уведомлениях о завершении сканирования. Все остальные уведомления считаются критически важными. Кроме того, можно также настроить само содержимое уведомлений, например предоставить контактные данные ИТ для внедрения в уведомления, отображаемые на устройствах пользователей.

Поддержка нескольких соединителей для обработки сертификатов SCEP и PFX

Клиенты, использующие локальный соединитель NDES для доставки сертификатов на устройства, теперь могут настроить несколько соединителей в одном клиенте.

Эта новая возможность поддерживает следующий сценарий:

• Высокая доступность

Каждый соединитель NDES извлекает запросы на сертификат из Intune. Если один соединитель NDES переходит в автономный режим, другой соединитель может продолжать обрабатывать запросы.

Имя субъекта клиента может использовать AAD_DEVICE_ID переменную

При создании профиля сертификата SCEP в Intune теперь можно использовать переменную AAD_DEVICE_ID при создании настраиваемого имени субъекта. При запросе сертификата с помощью этого профиля SCEP переменная заменяется Microsoft Entra идентификатором устройства, выполняющего запрос сертификата.

Управление устройствами macOS, зарегистрированными Jamf, с помощью подсистемы соответствия устройств Intune

Теперь вы можете использовать Jamf для отправки сведений о состоянии устройства macOS в Intune, которые затем будут оценивать их на соответствие политикам, определенным в консоли Intune. В зависимости от состояния соответствия устройств и других условий (таких как расположение, риск пользователя и т. д.), условный доступ будет обеспечивать соответствие для устройств macOS, обращаются к облачным и локальным приложениям, связанным с Microsoft Entra ID, включая Microsoft 365. Узнайте больше о настройке интеграции Jamf и обеспечении соответствия требованиям для устройств, управляемых Jamf.

Новое действие устройства iOS

Теперь вы можете завершить работу защищенных устройств iOS 10.3. Это действие немедленно завершает работу устройства без предупреждения для конечного пользователя. Действие Завершение работы (только в защищенном режиме) можно найти в свойствах устройства при выборе устройства в рабочей нагрузке Устройство .

Запретить изменение даты и времени на устройствах Samsung Knox

Мы добавили новую функцию, которая позволяет блокировать изменения даты и времени на устройствах Samsung Knox. Эту функцию можно найти в разделеОграничения конфигурации>устройств>(Android)>Общие.

Поддерживается учетная запись ресурсов Surface Hub

Добавлено новое действие устройства, чтобы администраторы могли определять и обновлять учетную запись ресурса, связанную с Surface Hub.

Учетная запись ресурса используется Surface Hub для проверки подлинности в Skype или Exchange, чтобы она могла присоединиться к собранию. Вы можете создать уникальную учетную запись ресурса, чтобы Surface Hub отображалась в собрании как конференц-зал. Например, учетная запись ресурса может отображаться как конференц-зал B41/6233. Учетную запись ресурса (известную как учетная запись устройства) для Surface Hub обычно необходимо настроить для расположения конференц-зала и при необходимости изменения других параметров учетной записи ресурсов.

Если администраторы хотят обновить учетную запись ресурса на устройстве, они должны предоставить текущие учетные данные Active Directory/Microsoft Entra, связанные с устройством. Если смена паролей включена для устройства, администраторы должны перейти к Microsoft Entra ID, чтобы найти пароль.

Примечание.

Все поля отправляются в пакет и перезаписывают все поля, которые были настроены ранее. Пустые поля также перезаписывают существующие поля.

Ниже перечислены параметры, которые могут настроить администраторы.

• Учетная запись ресурса

  • Пользователь Active Directory

    Domainname\username или User Principal Name (UPN): user@domainname.com

  • Password

• Необязательные параметры учетной записи ресурса (необходимо задать с помощью указанной учетной записи ресурса)

  • Период смены пароля

    Гарантирует, что пароль учетной записи автоматически обновляется Surface Hub каждую неделю в целях безопасности. Чтобы настроить параметры после включения параметра, учетная запись в Microsoft Entra ID должна сначала сбросить пароль.

  • Адрес SIP (протокол инициации сеанса)

    Используется только в случае сбоя автообнаружения.

  • Отправить сообщение

    Email адрес учетной записи устройства или ресурса.

  • Сервер Exchange Server

    Требуется только в случае сбоя автообнаружения.

  • Синхронизация календаря

    Указывает, включена ли синхронизация календарей и другие службы Exchange Server. Например, синхронизация собраний.

Установка приложений Office на устройствах macOS

Теперь вы сможете устанавливать приложения Office на устройствах macOS. Этот новый тип приложения позволяет устанавливать Word, Excel, PowerPoint, Outlook и OneNote. Эти приложения также поставляются с автоматическим обновлением Майкрософт (MAU), чтобы обеспечить безопасность и актуальность приложений.

Удаление токена программы приобретения томов iOS

С помощью консоли можно удалить токен iOS Volume Purchase Program (VPP). Эта функция может потребоваться при наличии повторяющихся экземпляров маркера VPP.

Новая коллекция сущностей с именем Current User ограничена текущими активными данными пользователей.

Коллекция сущностей Users содержит все Microsoft Entra пользователей с назначенными лицензиями на предприятии. Например, пользователь может быть добавлен в Intune, а затем удален в течение последнего месяца. Хотя этот пользователь отсутствует во время отчета, пользователь и состояние присутствуют в данных. Вы можете создать отчет, который будет отображать продолжительность исторического присутствия пользователя в ваших данных.

В отличие от этого, новая коллекция сущностей Current User содержит только пользователей, которые не были удалены. Коллекция сущностей Current User содержит только активных пользователей. Сведения о текущей коллекции сущностей пользователя см. в разделе Справочник по текущей сущности пользователя.

Обновленные API Graph

В этом выпуске мы обновили несколько API Graph для Intune, которые находятся в бета-версии. Дополнительные сведения см. в ежемесячном журнале изменений API Graph.

Intune поддерживает приложения, запрещенные для windows Information Protection (WIP)

В Intune можно указать запрещенные приложения. Если приложению запрещено, оно блокирует доступ к корпоративной информации, фактически противоположное списку разрешенных приложений. Дополнительные сведения см. в разделе Рекомендуемый список блокировок для Windows Information Protection.

Ноябрь 2017 г.

Устранение неполадок с регистрацией

В рабочей области Устранение неполадок теперь отображаются проблемы с регистрацией пользователей. Сведения о проблеме и предлагаемые действия по ее устранению могут помочь администраторам и операторам службы технической поддержки устранять неполадки. Некоторые проблемы с регистрацией не фиксируются, а некоторые ошибки могут не содержать предложений по исправлению.

Ограничения регистрации, назначаемые группой

Администратор Intune теперь может создавать настраиваемые ограничения на тип устройства и ограничение на регистрацию устройств для групп пользователей.

Intune портал Azure позволяет создать до 25 экземпляров каждого типа ограничения, которые затем можно назначить группам пользователей. Ограничения, назначаемые группой, переопределяют ограничения по умолчанию.

Все экземпляры типа ограничения хранятся в строго упорядоченном списке. Этот порядок определяет значение приоритета для разрешения конфликтов. Пользователь, на который распространяется несколько экземпляров ограничения, ограничен только экземпляром с наивысшим приоритетом. Вы можете изменить приоритет данного экземпляра, перетащив его в другую позицию в списке.

Эта функция будет выпущена при переносе параметров Android for Work из меню регистрации Android For Work в меню Ограничения регистрации. Так как эта миграция может занять несколько дней, ваша учетная запись может быть обновлена для других частей ноябрьского выпуска, прежде чем вы увидите, что назначение группы станет включенным для ограничения регистрации.

Поддержка нескольких соединителей службы регистрации сетевых устройств (NDES)

NDES позволяет мобильным устройствам, работающим без учетных данных домена, получать сертификаты на основе протокола SCEP. В этом обновлении поддерживается несколько соединителей NDES.

Управление устройствами Android for Work независимо от устройств Android

Intune поддерживает управление регистрацией устройств Android for Work независимо от платформы Android. Эти параметры управляются в разделеОграничения>регистрации> устройств Ограничениятипа устройства. (Ранее они находились в разделе Регистрация> устройств.Регистрация >Android for WorkПараметры регистрации Android for Work.)

По умолчанию параметры устройств Android for Work совпадают с параметрами для устройств Android. Однако после изменения параметров Android for Work больше не будет.

Если вы блокируете личную регистрацию Android for Work, только корпоративные устройства Android могут регистрироваться в качестве Android for Work.

При работе с новыми параметрами учитывайте следующие моменты.

Если вы никогда ранее не подключались к регистрации Android for Work

Новая платформа Android for Work заблокирована в разделе Ограничения типов устройств по умолчанию. После подключения функции вы можете разрешить устройствам регистрироваться в Android for Work. Для этого измените значение по умолчанию или создайте новое ограничение типа устройства, чтобы заменить ограничение типа устройства по умолчанию.

Если вы включили регистрацию Android for Work

Если вы ранее подключались, ваша ситуация зависит от выбранного параметра:

Setting	Состояние Android for Work в ограничении типа устройства по умолчанию	Примечания
Управление всеми устройствами как Android	Заблокировано	Все устройства Android должны регистрироваться без Android for Work.
Управление поддерживаемыми устройствами как Android for Work	Разрешено	Все устройства Android, поддерживающие Android for Work, должны быть зарегистрированы в Android for Work.
Управление поддерживаемыми устройствами только для пользователей в этих группах как Android for Work	Заблокировано	Для переопределения по умолчанию была создана отдельная политика ограничения типа устройства. Эта политика определяет ранее выбранные группы, чтобы разрешить регистрацию Android for Work. Пользователям в выбранных группах будет по-прежнему разрешено регистрировать устройства Android for Work. Всем остальным пользователям запрещено регистрироваться в Android for Work.

Во всех случаях ваши предполагаемые правила сохраняются. С вашей стороны не требуется никаких действий для поддержания глобальной или групповой квоты Android for Work в вашей среде.

Поддержка Google Play Protect на Android

С выпуском Android Oreo Компания Google представляет набор функций безопасности под названием Google Play Protect, которые позволяют пользователям и организациям запускать защищенные приложения и защищенные изображения Android. Intune теперь поддерживает функции Google Play Protect, включая удаленную аттестацию SafetyNet. Администраторы могут задавать требования к политике соответствия требованиям, которые требуют, чтобы Google Play Protect был настроен и работоспособен.

Параметр аттестации устройств SafetyNet требует, чтобы устройство подключилось к службе Google, чтобы убедиться, что устройство работоспособно и не скомпрометировано. Администраторы также могут задать параметр профиля конфигурации для Android for Work, чтобы требовать, чтобы установленные приложения проверялись службами Google Play. Если устройство не соответствует требованиям Google Play Protect, условный доступ может блокировать доступ пользователей к корпоративным ресурсам.

• Узнайте , как создать политику соответствия устройств для включения Google Play Protect.

Текстовый протокол, разрешенный из управляемых приложений

Приложения, управляемые пакетом SDK для приложений Intune, могут отправлять SMS-сообщения.

Отчет об установке приложения обновлен для включения состояния ожидания установки

Отчет о состоянии установки приложения , доступный для каждого приложения в списке приложений рабочей нагрузки Клиентские приложения , теперь содержит счетчик ожидающих установки для пользователей и устройств.

API инвентаризации приложений iOS 11 для обнаружения мобильных угроз

Intune собирает данные инвентаризации приложений как с личных, так и с корпоративных устройств и делает их доступными для поставщиков обнаружения угроз на мобильных устройствах (MTD), таких как Lookout for Work. Вы можете собирать данные инвентаризации приложений от пользователей устройств iOS 11+.

Перечень приложений
Инвентаризация с корпоративных устройств iOS 11+ и личных устройств отправляется поставщику услуг MTD. Перечень приложений содержит следующие данные:

• ИД приложения;
• версия приложения;
• короткая версия приложения;
• имя приложения;
• размер пакета приложения;
• динамический размер приложения;
• Приложение проверено или нет
• Приложение управляется или нет

Перенос пользователей и устройств гибридного управления мобильными устройствами в Intune автономный

Теперь доступны новые процессы и средства для перемещения пользователей и их устройств из гибридной MDM в Intune в портал Azure, что позволяет выполнять следующие задачи:

• Копирование политик и профилей из консоли Configuration Manager в Intune в портал Azure
• Перемещение подмножества пользователей в Intune в портал Azure, сохраняя остальные в гибридной среде MDM
• Перенос устройств в Intune в портал Azure без необходимости повторной регистрации устройств

Поддержка высокой доступности локального соединителя Exchange

После того как соединитель Exchange создаст подключение к Exchange с помощью указанного сервера клиентского доступа (CAS), соединитель теперь сможет обнаруживать другие caS. Если основной cas-сервер становится недоступным, соединитель будет выполнять отработку отказа на другой cas(если он доступен) до тех пор, пока основной cas-сервер не станет доступным. Дополнительные сведения см. в разделе Поддержка высокого уровня доступности локального соединителя Exchange.

Удаленный перезапуск устройства iOS (только в защищенном режиме)

Теперь вы можете активировать защищенное устройство iOS 10.3+ для перезапуска с помощью действия устройства. Дополнительные сведения об использовании действия перезапуска устройства см. в статье Удаленный перезапуск устройств с помощью Intune.

Примечание.

Для выполнения этой команды требуются защищенные устройства и право доступа к блокировке устройства . Устройство будет немедленно перезапущено. Устройства iOS с блокировкой секретного кода не будут повторно присоединены к сети Wi-Fi после перезапуска; После перезапуска они могут не иметь возможности взаимодействовать с сервером.

Поддержка единого входа для iOS

Вы можете использовать единый вход для пользователей iOS. Приложения iOS, которые кодируются для поиска учетных данных пользователя в полезных данных единого входа, работают с этим обновлением конфигурации полезных данных. Вы также можете использовать имя участника-пользователя и Intune идентификатор устройства для настройки имени участника и области. Дополнительные сведения см. в статье Настройка единого входа Intune для устройства iOS.

Добавление "Найти iPhone" для личных устройств

Теперь можно просмотреть, включена ли блокировка активации на устройствах iOS. Ранее эту функцию можно было найти в Intune на классическом портале.

Удаленная блокировка управляемого устройства macOS с помощью Intune

Вы можете заблокировать потерянное устройство macOS и задать 6-значный ПИН-код восстановления. Если он заблокирован, в колонке Обзор устройства отображается ПИН-код, пока не будет отправлено другое действие устройства.

Дополнительные сведения см. в статье Удаленная блокировка управляемых устройств с помощью Intune.

Поддержка новых сведений о профиле SCEP

Теперь администраторы могут задавать дополнительные параметры при создании профиля SCEP на платформах Windows, iOS, macOS и Android. Администраторы могут задать IMEI, серийный номер или общее имя, включая адрес электронной почты, в формате имени субъекта.

Хранение данных во время сброса до заводских настроек

При сбросе Windows 10 версии 1709 и более поздних до заводских параметров доступна новая возможность. Администраторы могут указать, хранятся ли на устройстве регистрация устройства и другие подготовленные данные посредством сброса к заводской настройке.

Следующие данные сохраняются в результате сброса до заводских настроек:

• Учетные записи пользователей, связанные с устройством
• Состояние компьютера (присоединение к домену, Microsoft Entra присоединено)
• Регистрация MDM
• Приложения, установленные oem (приложения Store и Win32)
• Профиль пользователя
• Данные пользователя за пределами профиля пользователя
• Автоматический вход пользователя

Следующие данные не сохраняются:

• Файлы пользователя
• Приложения, установленные пользователем (приложения Store и Win32)
• Параметры устройства, отличные от заданных по умолчанию

Отображаются назначения круга обновления в окне 10

При устранении неполадок для просматриваемого пользователя можно просмотреть любые Windows 10 назначения кругов обновления.

Защитник Windows для параметров частоты создания отчетов о конечных точках

Служба Defender для конечной точки позволяет администраторам управлять частотой отчетов для управляемых устройств. Благодаря новому параметру ускорения отчетов телеметрии Defender для конечной точки собирает данные и оценивает риски чаще. Значение по умолчанию для создания отчетов оптимизирует скорость и производительность. Увеличение частоты отчетности может быть полезным для устройств с высоким риском. Этот параметр можно найти в профиле Защитник Windows для конечной точки в разделе Конфигурации устройств.

Обновления аудита

Intune аудит предоставляет запись операций изменения, связанных с Intune. Все операции создания, обновления, удаления и удаленных задач фиксируются и хранятся в течение одного года. Портал Azure предоставляет представление данных аудита за последние 30 дней в каждой рабочей нагрузке и фильтруется. Соответствующий API Graph позволяет получить данные аудита, хранящиеся за последний год.

Аудит находится в группе MONITOR . Для каждой рабочей нагрузки есть пункт меню Журналы аудита .

Корпоративный портал приложение для macOS доступно

Приложение Корпоративный портал Intune в macOS имеет обновленный интерфейс. В нем отображаются все сведения и уведомления о соответствии, необходимые пользователям для всех зарегистрированных устройств. После развертывания Корпоративный портал Intune на устройстве автоматическое обновление (Майкрософт) для macOS будет предоставлять обновления. Вы можете скачать новую Корпоративный портал Intune для macOS, войдя на веб-сайт Корпоративный портал Intune с устройства macOS.

Планировщик (Майкрософт) теперь входит в список утвержденных приложений управления мобильными приложениями (MAM)

Приложение Планировщик (Майкрософт) для iOS и Android теперь входит в состав утвержденных приложений для управления мобильными приложениями (MAM). Приложение можно настроить с помощью колонки Intune Защита приложений в портал Azure для всех клиентов.

• Дополнительные сведения см. в списке утвержденных приложений MAM.

частота обновления требований VPN Per-App на устройствах iOS

Теперь администраторы могут удалять Per-App требования к VPN для приложений на устройствах iOS. затронутые устройства будут выполняться после следующего Intune проверка, что обычно происходит в течение 15 минут.

Поддержка пакета управления System Center Operations Manager для соединителя Exchange

Пакет управления System Center Operations Manager для соединителя Exchange теперь доступен для анализа журналов соединителя Exchange. Эта функция предоставляет различные способы мониторинга службы при необходимости устранения неполадок.

Совместное управление устройствами Windows 10

Совместное управление — это решение, которое обеспечивает мост от традиционного к современному управлению и предоставляет путь для перехода с помощью поэтапного подхода. Совместное управление — это решение, в котором Windows 10 устройствами одновременно управляют Configuration Manager и Microsoft Intune. Устройства присоединяются к Active Directory (AD) и Microsoft Entra ID. Эта конфигурация предоставляет вам путь к модернизации с течением времени, в том темпе, который подходит вашей организации, если вы не можете переместить все сразу.

Ограничение регистрации Windows по версии ОС

Администратор Intune теперь может указать минимальную и максимальную версию Windows 10 для регистрации устройств. Эти ограничения можно задать в колонке Конфигурации платформы .

Intune продолжит поддерживать регистрацию Windows 8.1 компьютеров и телефонов. Однако с минимальными и максимальными ограничениями можно задать только Windows 10 версии. Чтобы разрешить регистрацию устройств версии 8.1, оставьте минимальное ограничение пустым.

Оповещения для неназначенных устройств Windows Autopilot

Новое оповещение доступно для неназначенных устройств Windows Autopilot на странице Microsoft Intune>Обзор регистрации> устройств. Это оповещение показывает, сколько устройств из программы Autopilot не назначено профилей развертывания Autopilot. Используйте сведения в оповещении для создания профилей и назначения их неназначенных устройств. При выборе оповещения отображается полный список устройств Windows Autopilot и подробные сведения о них. Дополнительные сведения см. в статье Регистрация устройств Windows с помощью программы развертывания Windows Autopilot.

Кнопка "Обновить" для списка устройств

Так как список устройств не обновляется автоматически, можно использовать новую кнопку Обновить, чтобы обновить устройства, отображаемые в списке.

Поддержка Symantec Cloud Certification Authority (CA)

Intune теперь поддерживает Symantec Cloud CA, что позволяет соединителю сертификатов Intune выдавать сертификаты PKCS из облачного ЦС Symantec Intune управляемым устройствам. Если вы уже используете соединитель сертификатов Intune с центром Microsoft Certification (ЦС), вы можете использовать существующую настройку соединителя сертификатов Intune, чтобы добавить поддержку центра сертификации Symantec.

Новые элементы, добавленные в инвентаризацию устройств

Следующие новые элементы теперь доступны для инвентаризации зарегистрированных устройств:

• MAC-адрес Wi-Fi
• Общая вместимость хранилища
• Общий объем свободного места
• MEID
• Оператор подписчика

Настройка доступа для приложений с помощью минимального исправления для системы безопасности Android на устройстве

Администратор может определить минимальное исправление для системы безопасности Android, которое должно быть установлено на устройстве, чтобы получить доступ к управляемому приложению с помощью управляемой учетной записи.

Примечание.

Эта функция ограничивает только исправления для системы безопасности, выпущенные Google на устройствах Android 8.0 и более поздних версий.

Поддержка условного запуска приложения

ТЕПЕРЬ ИТ-администраторы могут установить требование на портале администрирования Azure для принудительного применения секретного кода вместо числового ПИН-кода через управление мобильными приложениями (MAM) при запуске приложения. При настройке пользователь должен задать и использовать секретный код при появлении запроса перед получением доступа к приложениям с поддержкой MAM. Секретный код определяется как числовой ПИН-код с по крайней мере одним специальным символом или верхним или нижним буквами. Этот выпуск Intune включает эту функцию только в iOS. Intune поддерживает секретный код так же, как и числовой ПИН-код, он задает минимальную длину, позволяя повторять символы и последовательности. Эта функция требует, чтобы приложения (WXP, Outlook, Управляемый браузер Viva Engage) интегрирули пакет SDK для Intune приложений с кодом для этой функции, чтобы параметры секретного кода применялись в целевых приложениях.

Номер версии приложения для бизнес-бизнеса в отчете о состоянии установки устройства

В этом выпуске в отчете о состоянии установки устройства отображается номер версии приложения для бизнес-приложений для iOS и Android. Эти сведения можно использовать для устранения неполадок приложений или поиска устройств с устаревшими версиями приложений.

Теперь администраторы могут настраивать параметры брандмауэра на устройстве с помощью профиля конфигурации устройства.

Администраторы могут включить брандмауэр для устройств, а также настроить различные протоколы для доменных, частных и общедоступных сетей. Эти параметры брандмауэра можно найти в профиле Endpoint Protection.

Защитник Windows Application Guard помогает защитить устройства от недоверенных веб-сайтов, как определено вашей организацией

Администраторы могут определять сайты как "доверенные" или "корпоративные", используя рабочий процесс windows Information Protection или новый профиль "Граница сети" в конфигурациях устройств. Если они просматриваются в Microsoft Edge, все сайты, которые не перечислены в 64-разрядной Windows 10 границе доверенной сети устройства, открываются в браузере на виртуальном компьютере Hyper-V.

Application Guard можно найти в профилях конфигурации устройств в профиле Endpoint Protection. Оттуда администраторы могут настроить взаимодействие между виртуализированным браузером и хост-компьютером, ненадежными сайтами и доверенными сайтами, а также хранить данные, созданные в виртуализированном браузере. Чтобы использовать Application Guard на устройстве, сначала необходимо настроить сетевую границу. Важно определить только одну границу сети для устройства.

Защитник Windows управление приложениями в Windows 10 Корпоративная предоставляет режим доверия только авторизованным приложениям

С тысячами новых вредоносных файлов, создаваемых каждый день, использование обнаружения на основе антивирусных сигнатур для борьбы с вредоносными программами может больше не обеспечить адекватную защиту от новых атак. Используя Защитник Windows управление приложениями на Windows 10 Корпоративная, вы можете изменить конфигурацию устройства с режима, в котором приложения являются доверенными, если не заблокированы антивирусной программой или другим решением безопасности, на режим, в котором операционная система доверяет только приложениям, авторизованным вашим предприятием. Вы назначаете доверие приложениям в Защитник Windows управления приложениями.

С помощью Intune можно настроить политики управления приложениями в режиме "только аудит" или в режиме принудительного применения. Приложения не блокируются при запуске в режиме "только аудит". Режим "Только аудит" регистрирует все события в журналах локальных клиентов. Вы также можете настроить, разрешено ли запускать только компоненты Windows и приложения Microsoft Store, или настроить, разрешено ли запускать другие приложения с хорошей репутацией, как определено в Графе интеллектуальной безопасности.

Exploit Guard в Защитнике Windows — это новый набор возможностей защиты от вторжений для Windows 10

Exploit Guard в Защитнике Windows включает настраиваемые правила для снижения уязвимости приложений, предотвращает угрозы макросов и сценариев, автоматически блокирует сетевые подключения к IP-адресам с низкой репутацией и может защитить данные от программ-шантажистов и неизвестных угроз. Защитник Windows Exploit Guard состоит из следующих компонентов:

• Сокращение направлений атаки предоставляет правила, позволяющие предотвратить угрозы макросов, сценариев и электронной почты.
• Управляемый доступ к папкам автоматически блокирует доступ к содержимому защищенным папкам.
• Фильтр сети блокирует исходящее подключение из любого приложения к ip-адресу или домену с низким уровнем производительности
• Защита от эксплойтов предоставляет ограничения памяти, потока управления и политики, которые можно использовать для защиты приложения от эксплойтов.

Управление сценариями PowerShell в Intune для Windows 10 устройств

Расширение управления Intune позволяет отправлять скрипты PowerShell в Intune для выполнения на Windows 10 устройствах. Расширение дополняет Windows 10 возможности управления мобильными устройствами (MDM) и упрощает переход к современному управлению. Дополнительные сведения см. в статье Управление скриптами PowerShell в Intune для Windows 10 устройств.

Новые параметры ограничения устройств для Windows 10

• Обмен сообщениями (только для мобильных устройств) — отключить тестирование или MMS-сообщения
• Пароль — параметры для включения FIPS и использования дополнительных устройств Windows Hello устройств для проверки подлинности.
• Отображение — параметры для включения или отключения масштабирования GDI для устаревших приложений

Windows 10 ограничения устройств в режиме киоска

Вы можете ограничить Windows 10 пользователей устройств режимом киоска, который ограничивает пользователей набором предопределенных приложений. Для этого создайте профиль ограничения Windows 10 устройств и задайте параметры киоска.

Режим киоска поддерживает два режима: одно приложение (позволяет пользователю запускать только одно приложение) или несколько ( разрешает доступ к набору приложений). Вы определяете учетную запись пользователя и имя устройства, которое определяет поддерживаемые приложения). Когда пользователь входит в систему, он ограничен определенными приложениями. Дополнительные сведения см. в статье AssignedAccess CSP.

Для режима киоска требуется следующее:

• Intune должен быть центром MDM.
• Приложения уже должны быть установлены на целевом устройстве.
• Устройство должно быть подготовлено должным образом.

Новый профиль конфигурации устройства для создания границ сети

Новый профиль конфигурации устройства под названием Граница сети можно найти в других профилях конфигурации устройства. Используйте этот профиль для определения сетевых ресурсов, которые вы хотите считать корпоративными и доверенными. Прежде чем на устройстве можно будет использовать такие функции, как Защитник Windows Application Guard и Windows Information Protection, необходимо определить границу сети для устройства. Важно определить только одну границу сети для каждого устройства.

Вы можете определить корпоративные облачные ресурсы, диапазоны IP-адресов и внутренние прокси-серверы, которые должны считаться доверенными. После определения границы сети могут использоваться другими функциями, такими как Защитник Windows Application Guard и Windows Information Protection.

Два новых параметра для антивирусной программы Защитник Windows

Уровень блокировки файлов

Setting	Сведения
Not Configured	Не настроено использует уровень блокировки антивирусной программы по умолчанию Защитник Windows и обеспечивает надежное обнаружение, не повышая риск обнаружения допустимых файлов.
Высокая	Высокий применяет строгий уровень обнаружения.
Высокий +	Высокий + предоставляет высокий уровень с дополнительными мерами защиты, которые могут повлиять на производительность клиента.
Нулевое отклонение	Нулевое отклонение блокирует все неизвестные исполняемые файлы.

Хотя это маловероятно, установка значения "Высокий" может привести к обнаружению некоторых допустимых файлов. Рекомендуется задать для параметра Уровень блокировки файлов значение по умолчанию Не настроено.

Расширение времени ожидания для сканирования файлов в облаке

Setting

Detail (Сведения)

Количество секунд (0–50)

Укажите максимальный период времени, в течение Защитник Windows антивирусная программа должна блокировать файл в ожидании результата из облака. Значение по умолчанию — 10 секунд: любое дополнительное время, указанное здесь (до 50 секунд), добавляется к этим 10 секундам. В большинстве случаев сканирование занимает гораздо меньше времени, чем максимальное. Увеличение времени позволяет облаку тщательно исследовать подозрительные файлы. Рекомендуется включить этот параметр и указать не менее 20 дополнительных секунд.

Citrix VPN добавлен для Windows 10 устройств

Вы можете настроить Citrix VPN для своих Windows 10 устройств. Вы можете выбрать Citrix VPN в списке Выберите тип подключения в колонке Базовый VPN при настройке VPN для Windows 10 и более поздних версий.

Примечание.

Конфигурация Citrix существует для iOS и Android.

Wi-Fi подключения поддерживают предварительно общие ключи в iOS

Клиенты могут настроить Wi-Fi профили для использования предварительно общих ключей (PSK) для личных подключений WPA/WPA2 на устройствах iOS. Эти профили отправляются на устройство пользователя при регистрации устройства в Intune.

После отправки профиля на устройство следующий шаг зависит от конфигурации профиля. Если настроено автоматическое подключение, он делает это при следующей необходимости в сети. Когда профиль подключается вручную, пользователь должен активировать подключение вручную.

Доступ к журналам управляемых приложений для iOS

Пользователи с установленным управляемым браузером теперь могут просматривать состояние управления всеми опубликованными приложениями Майкрософт и отправлять журналы для устранения неполадок в управляемых приложениях iOS.

Сведения о том, как включить режим устранения неполадок в Управляемом браузере на устройстве iOS, см. в статье Как получить доступ к журналам управляемых приложений с помощью управляемого браузера в iOS.

Улучшение рабочего процесса настройки устройств в приложении "Корпоративный портал" для iOS версии 2.9.0

Рабочий процесс настройки устройства был улучшен в приложении Корпоративный портал для iOS. Описание стало более понятно для пользователей. Мы также объединили экраны там, где это было возможно. Язык более специфичен для вашей компании, используя название вашей компании в тексте настройки. Этот обновленный рабочий процесс можно увидеть на странице новые возможности пользовательского интерфейса приложения.

Сущность пользователя содержит последние данные пользователя в модели данных Data Warehouse

Первая версия модели данных Intune Data Warehouse содержала только последние исторические Intune данные. Создателям отчетов не удалось записать текущее состояние пользователя. В этом обновлении сущность User заполняется последними данными пользователя.

Октябрь 2017 г.

Отображается номер версии бизнес-приложения iOS и Android

Теперь в приложениях Intune отображается номер версии бизнес-приложений для iOS и Android. Номер отображается в портал Azure в списке приложений и в колонке обзора приложения. Конечные пользователи могут видеть номер приложения в приложении Корпоративный портал и на веб-портале.

Полный номер версии Полный номер версии определяет конкретный выпуск приложения. Номер отображается как Version(Build). Например, 2.2(2.2.17560800)

Полный номер версии состоит из двух компонентов:

• Версия
  Номер версии — это доступный для чтения номер выпуска приложения. Эти сведения используются конечными пользователями для идентификации различных выпусков приложения.

• Номер сборки
  Номер сборки — это внутренний номер, который можно использовать при обнаружении приложения и для программного управления приложением. Номер сборки относится к итерации приложения, которое ссылается на изменения в коде.

Дополнительные сведения о номерах версий и разработке бизнес-приложений см. в статье Начало работы с пакетом SDK для приложений Microsoft Intune.

Интеграция управления устройствами и приложениями

Теперь, когда управление мобильными устройствами (MDM) Intune и управление мобильными приложениями (MAM) доступны из портал Azure, Intune начали интеграцию возможностей ИТ-администраторов в области управления приложениями и устройствами. Эти изменения предназначены для упрощения управления устройствами и приложениями.

Дополнительные сведения об изменениях MDM и MAM, объявленных в блоге группы поддержки Intune.

Новые оповещения о регистрации для устройств Apple

На странице обзора регистрации будут показаны полезные оповещения для ИТ-администраторов, касающиеся управления устройствами Apple. Оповещения будут отображаться на странице Обзор, когда push-сертификат Apple MDM:

• Истекает или уже истек срок действия
• Когда срок действия маркера программы регистрации устройств истек или уже истек
• При наличии неназначенных устройств в программе регистрации устройств

Поддержка замены маркеров для конфигурации приложения без регистрации устройства

Вы можете использовать маркеры для динамических значений в конфигурациях приложений для приложений на устройствах, которые не зарегистрированы. Дополнительные сведения см. в статье Добавление политик конфигурации приложений для управляемых приложений без регистрации устройств.

Обновления приложения "Корпоративный портал" для Windows 10

Страница настроек в приложении "Корпоративный портал" для Windows 10 обновлена, чтобы параметры и предполагаемые действия пользователя были более согласованными, а также для соответствия схеме других приложений Windows. Вы можете найти изображения до и после на странице новые возможности пользовательского интерфейса приложения .

Информирование конечных пользователей, какие сведения об устройстве можно просмотреть для Windows 10 устройств

Мы добавили тип владения на экран Сведения об устройстве в приложении Корпоративный портал для Windows 10. Эта функция позволяет пользователям узнать больше о конфиденциальности непосредственно на этой странице из документации Intune конечных пользователей. Они также смогут найти эту информацию на экране О программе.

Запросы обратной связи для приложения Корпоративный портал для Android

Теперь приложение Корпоративный портал для Android запрашивает отзывы пользователей. Этот отзыв отправляется непосредственно в корпорацию Майкрософт и предоставляет конечным пользователям возможность просмотреть приложение в общедоступном магазине Google Play. Отзыв не требуется, и его можно легко закрыть, чтобы пользователи могли продолжать использовать приложение.

Помощь пользователям с приложением Корпоративный портал для Android

Приложение Корпоративный портал для Android добавило инструкции для конечных пользователей, которые помогут им понять и, по возможности, самостоятельно решить новые варианты использования.

• Конечные пользователи будут направляться к Центр администрирования Microsoft Entra, чтобы удалить устройство, если они достигли максимального числа устройств, которое им разрешено добавить.
• Пользователям предоставляются действия, которые помогут устранить ошибки активации на устройствах Samsung Knox или отключить режим энергосбережения. Если ни одно из этих решений не решит проблему, мы предоставим объяснение того, как сообщить о проблеме в приложении Корпоративный портал или Intune для Android.

Новое действие "Разрешить", доступное для устройств Android

Приложение Корпоративный портал для Android представляет действие "Разрешить" на странице Обновление параметров устройства. При выборе этого параметра конечный пользователь будет напрямую обращаться к параметру, который приводит к несоответствию устройства. В настоящее время приложение Корпоративный портал для Android поддерживает это действие для параметров секретного кода устройства, отладки USB и неизвестных источников.

Индикатор хода выполнения настройки устройства в Android Корпоративный портал

В приложении Корпоративный портал для Android отображается индикатор хода выполнения настройки устройства, когда пользователь регистрирует свое устройство. Индикатор отображает новые состояния, начиная с "Настройка устройства...", затем "Регистрация устройства...", "Завершение регистрации устройства...", а затем "Завершение настройки устройства...".

Поддержка проверки подлинности на основе сертификатов в Корпоративный портал для iOS

Добавлена поддержка проверки подлинности на основе сертификатов (CBA) в приложении Корпоративный портал для iOS. Пользователи с CBA введите свое имя пользователя, а затем нажмите ссылку "Вход с помощью сертификата". CBA уже поддерживается в приложениях Корпоративный портал для Android и Windows. Дополнительные сведения см. на странице Корпоративный портал приложения.

Приложения, доступные с регистрацией или без нее, теперь можно установить без запроса на регистрацию.

Приложения компании, которые были доступны с регистрацией или без регистрации в приложении Android Корпоративный портал, теперь можно установить без запроса на регистрацию.

Поддержка программы Windows Autopilot Deployment в Microsoft Intune

Теперь вы можете использовать Microsoft Intune с программой Windows Autopilot Deployment, чтобы предоставить пользователям возможность подготавливать свои корпоративные устройства без участия ИТ. Вы можете настроить встроенный интерфейс (OOBE) и помочь пользователям присоединить свое устройство к Microsoft Entra ID и зарегистрироваться в Intune. Совместная работа Microsoft Intune и Windows Autopilot устраняет необходимость развертывания, обслуживания и управления образами операционной системы. Дополнительные сведения см. в разделе Регистрация устройств Windows с помощью программы развертывания Windows Autopilot.

Краткое руководство по регистрации устройств

Краткое руководство теперь доступно в разделе Регистрация устройств и содержит таблицу ссылок по управлению платформами и настройке процесса регистрации. Краткое описание каждого элемента и ссылки на документацию с пошаговыми инструкциями предоставляют полезную документацию для упрощения работы.

Классификация устройств

Диаграмма платформ зарегистрированных устройств в колонке Обзор устройств > упорядочивает устройства по платформам, включая Android, iOS, macOS и Windows. Устройства под управлением других операционных систем группируются в "Другие". В другую категорию входят устройства производства Blackberry, NOKIA и другие.

Чтобы узнать, какие устройства затронуты в клиенте, выберите Управление всеми устройствами>, а затем используйте фильтр, чтобы ограничить поле ОС.

Zimperium — новый партнер mobile Threat Defense

Вы можете управлять доступом мобильных устройств к корпоративным ресурсам с помощью условного доступа на основе оценки рисков, проведенной Zimperium, решением Mobile Threat Defense, которое интегрируется с Microsoft Intune.

Принцип работы интеграции с Intune

Риск оценивается на основе данных телеметрии, собираемой с устройств под управлением Zimperium. Политики условного доступа (ЦС) EMS можно настроить на основе оценки рисков Zimperium, включенной с помощью политик соответствия устройств Intune. Затем используйте политики ЦС, чтобы разрешить или заблокировать несоответствующие устройства для доступа к корпоративным ресурсам на основе обнаруженных угроз.

Новые параметры для профиля ограничения устройств Windows 10

Мы добавляем новые параметры в профиль ограничения Windows 10 устройств в категории SmartScreen Защитник Windows.

Дополнительные сведения о профиле ограничения Windows 10 устройств см. в разделе параметры ограничения устройств Windows 10 и более поздних версий.

Удаленная поддержка устройств Windows и Windows Mobile

Intune теперь можно использовать программное обеспечение TeamViewer, приобретенное отдельно, для предоставления удаленной помощи пользователям, работающим под управлением Windows и устройств Windows Mobile.

Сканирование устройств с помощью Защитник Windows

Теперь можно запустить быструю проверку, полную проверку и обновление подписей с помощью антивирусной программы Защитник Windows на управляемых Windows 10 устройствах. В колонке обзора устройства выберите действие, которое будет выполняться на устройстве. Вам будет предложено подтвердить действие перед отправкой команды на устройство.

Быстрая проверка. При быстрой проверке проверяются расположения, в которых регистрируется вредоносная программа, например разделы реестра и известные папки запуска Windows. Быстрая проверка занимает в среднем пять минут. В сочетании с параметром защиты always-on в режиме реального времени , который сканирует файлы, когда они открыты, закрыты и когда пользователь переходит в папку, быстрая проверка помогает обеспечить защиту от вредоносных программ, которые могут находиться в системе или ядре. Пользователи увидят результаты сканирования на своих устройствах по завершении.

Полная проверка. Полная проверка может быть полезна на устройствах, на которых обнаружена угроза вредоносных программ, чтобы определить, есть ли какие-либо неактивные компоненты, требующие более тщательной очистки, и полезно для выполнения проверок по запросу. Полная проверка может занять час. Пользователи увидят результаты сканирования на своих устройствах по завершении.

Обновление подписей. Команда обновления подписи обновляет Защитник Windows определения и подписи вредоносных программ антивирусной программы. Эта функция помогает гарантировать, что антивирусная программа Защитник Windows эффективна при обнаружении вредоносных программ. Эта функция доступна только для Windows 10 устройств, ожидающих подключения устройства к Интернету.

Кнопка Включить и отключить будет удалена со страницы центра сертификации Intune Intune портал Azure

Мы устраняем дополнительный шаг при настройке соединителя сертификатов на Intune. Сейчас вы скачиваете соединитель сертификатов и включаете его в консоли Intune. Однако если отключить соединитель в консоли Intune, соединитель продолжит выдавать сертификаты.

Как это изменение влияет на меня?

Начиная с октября кнопка Включить или отключить больше не будет отображаться на странице Центра сертификации в портал Azure. Функциональность соединителя остается неизменной. Сертификаты по-прежнему развертываются на устройствах, зарегистрированных в Intune. Вы можете продолжить скачивание и установку соединителя сертификатов. Чтобы остановить выдачу сертификатов, удалите соединитель сертификатов, а не отключаете его.

Как подготовиться к этому изменению?

Если соединитель сертификатов отключен, его следует удалить.

Новые параметры для профиля ограничения устройств Windows 10 для совместной работы

В этом выпуске мы добавили много новых параметров в профиль ограничения Windows 10 для совместной работы устройств, которые помогут вам управлять устройствами Surface Hub.

Дополнительные сведения об этом профиле см. в разделе параметры ограничения Windows 10 для совместной работы устройств.

Запретить пользователям устройств Android изменять дату и время устройства

Вы можете использовать настраиваемую политику устройств Android , чтобы запретить пользователям устройств Android изменять дату и время устройства.

Чтобы использовать эту функцию, настройте настраиваемую политику Android с помощью параметра URI ./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange. Задайте значение TRUE, а затем назначьте его требуемым группам.

Конфигурация устройства BitLocker

Базовые параметры шифрования > Windows содержат новое предупреждение для другого параметра шифрования дисков , которое позволяет отключить предупреждение для другого шифрования дисков, которое может использоваться на устройстве пользователя. Предупреждение требует согласия пользователя перед настройкой BitLocker на устройстве и блокирует настройку BitLocker до тех пор, пока пользователь не подтвердит ее. Новый параметр отключает предупреждение конечного пользователя.

Приложения программы volume Purchase Program для бизнеса теперь будут синхронизироваться с вашим клиентом Intune

Сторонние разработчики могут в частном порядке распространять приложения авторизованным участникам Программы приобретения корпоративных лицензий (VPP) для бизнеса, указанным в iTunes Connect. Участники VPP для бизнеса могут войти в программу Volume Purchase Program App Store и приобрести свои приложения.

В этом выпуске приложения VPP для бизнеса, приобретенные конечным пользователем, теперь начнут синхронизироваться со своими клиентами Intune.

Выберите Магазин apple для страны или региона для синхронизации приложений VPP

При отправке токена VPP можно настроить хранилище по стране или региону программы volume Purchase Program (VPP). Intune выполнит синхронизацию приложений VPP для всех региональных параметров на основе выбранной страны или региона для магазина VPP.

Примечание.

Сегодня Intune синхронизирует приложения VPP из магазина VPP в стране или регионе, которые соответствуют языковому стандарту Intune, в котором был создан клиент Intune.

Блокировка копирования и вставки между рабочими и личными профилями в Android for Work

В этом выпуске вы можете настроить рабочий профиль для Android for Work, чтобы блокировать копирование и вставку между рабочими и личными приложениями. Этот новый параметр можно найти в профиле ограничений устройств для android for Work Platform в разделе Параметры рабочего профиля.

Create приложений iOS, ограниченных определенными региональными магазинами приложений Apple

Вы можете указать языковой стандарт страны или региона во время создания управляемого приложения Apple App Store.

Примечание.

В настоящее время вы можете создавать только управляемые приложения Apple App Store, которые присутствуют в магазине для стран или регионов США.

Обновление приложений iOS VPP, лицензированных для пользователей и устройств

Вы можете настроить маркер VPP для iOS, чтобы обновить все приложения, приобретенные для этого маркера через службу Intune. Intune обнаружит обновления приложения VPP в магазине приложений и автоматически отправляет их на устройство при регистрации устройства.

Инструкции по настройке маркера VPP и включению автоматических обновлений см. в разделе [Управление приложениями iOS, приобретенными в рамках программы volume-purchase, с помощью Microsoft Intune] (.. /apps/vpp-apps-ios).

Коллекция сущностей ассоциации пользователей, добавленная в модель данных Intune Data Warehouse

Теперь вы можете создавать отчеты и визуализации данных, используя сведения об ассоциации пользователей и устройств, которые связывают коллекции сущностей пользователей и устройств. Доступ к модели данных можно получить через PBIX-файл Power BI, полученный на странице Data Warehouse Intune, через конечную точку OData или путем разработки пользовательского клиента.

Проверка соответствия политик для кругов обновления Windows 10

Отчет о политике для кругов обновлений Windows 10 можно просмотреть в разделе Состояние развертывания обновлений > по каждому кольцу обновления. Отчет о политике содержит состояние развертывания для настроенных кругов обновления.

Новый отчет со списком устройств iOS с более ранними версиями iOS

Отчет об устаревших устройствах iOS доступен в рабочей области Обновления программного обеспечения . В отчете можно просмотреть список защищенных устройств iOS, предназначенных для политики обновления iOS и имеющих доступные обновления. Для каждого устройства можно просмотреть состояние, по которой устройство не было обновлено автоматически.

Просмотр назначений политики защиты приложений для устранения неполадок

В этом предстоящем выпуске параметр политики защита приложений будет добавлен в раскрывающийся список Назначения, доступный в колонке устранения неполадок. Теперь можно выбрать политики защиты приложений, чтобы просмотреть политики защиты приложений, назначенные выбранным пользователям.

Улучшение процесса настройки устройств в приложении "Корпоративный портал"

В приложении "Корпоративный портал" для Android улучшен рабочий процесс настройки устройства. Описание стало более понятно для пользователей и привязано к вашей организации; мы также объединили экраны там, где это было возможно. Эти изменения можно увидеть на странице новые возможности пользовательского интерфейса приложения .

Улучшенное руководство по запросу доступа к контактам на устройствах Android

Приложению Корпоративный портал для Android часто требуется, чтобы пользователь принял разрешение "Контакты". Если пользователь отклонит этот доступ, он увидит уведомление из приложения, которое уведомляет его о предоставлении условного доступа.

Исправление безопасного запуска для Android

Пользователи с устройствами Android могут использовать причину несоответствия в приложении Корпоративный портал. По возможности они будут выполняться непосредственно в правильном расположении в приложении "Параметры", чтобы устранить проблему.

Push-уведомления для конечных пользователей в приложении Корпоративный портал для Android Oreo

Пользователи видят больше уведомлений, чтобы указать им, когда приложение Корпоративный портал для Android Oreo выполняет фоновые задачи, такие как получение политик из службы Intune. Эта функция:

• Повышает прозрачность для конечных пользователей при выполнении Корпоративный портал административных задач на устройстве.
• Является частью общей оптимизации пользовательского интерфейса Корпоративный портал для приложения Корпоративный портал для Android Oreo

Существуют дополнительные оптимизации для новых элементов пользовательского интерфейса, которые включены в Android Oreo. Конечные пользователи видят больше уведомлений, которые указывают на то, что Корпоративный портал выполняет фоновые задачи, такие как получение политики из службы Intune. Это повышает прозрачность для конечных пользователей при выполнении Корпоративный портал административных задач на устройстве.

Новое поведение приложения Корпоративный портал для Android с рабочими профилями

Когда вы регистрируете устройство Android for Work с рабочим профилем, это Корпоративный портал приложение в рабочем профиле, которое выполняет задачи управления на устройстве.

Если вы не используете приложение с поддержкой MAM в личном профиле, приложение Корпоративный портал для Android больше не будет использоваться. Чтобы улучшить работу с рабочим профилем, Intune автоматически скрывает личное приложение Корпоративный портал после успешной регистрации рабочего профиля.

Приложение Корпоративный портал для Android можно включить в любое время в личном профиле, выбрав Корпоративный портал в Play Store и нажав Кнопку Включить.

Корпоративный портал для Windows 8.1 и Windows Phone 8.1 переход к режиму поддержания

Начиная с октября 2017 года Корпоративный портал приложения для Windows 8.1 и Windows Phone 8.1 перейдут в режим поддержки. Приложения и существующие сценарии, такие как регистрация и соответствие требованиям, будут по-прежнему поддерживаться для этих платформ. Эти приложения будут по-прежнему доступны для скачивания через существующие каналы выпуска, такие как Microsoft Store.

После включения режима поддержки эти приложения будут получать только критически важные обновления для системы безопасности. Другие обновления или функции для этих приложений не будут выпущены. Для новых функций рекомендуется обновить устройства до Windows 10 или Windows 10 Mobile.

Блокировка неподдерживаемой регистрации устройств Samsung Knox

Приложение Корпоративный портал пытается зарегистрировать только поддерживаемые устройства Samsung Knox. Чтобы избежать ошибок активации Knox, которые препятствуют регистрации MDM, попытка регистрации устройства выполняется только в том случае, если устройство отображается в списке устройств, опубликованном Samsung. Устройства Samsung могут иметь номера моделей, которые поддерживают Knox, а другие — нет. Проверьте совместимость Knox с торговым посредником устройства перед покупкой и развертыванием. Полный список проверенных устройств можно найти в параметрах политики Android и Samsung Knox Standard.

Прекращение поддержки Android 4.3 и более ранних

Управляемым приложениям и приложению Корпоративный портал для Android потребуется Android 4.4 и более поздних версий для доступа к ресурсам компании. К декабрю все зарегистрированные устройства будут принудительно выведены из эксплуатации в декабре, что приведет к потере доступа к ресурсам компании. Если вы используете политики защиты приложений без MDM, приложения не будут получать обновления, а качество их работы со временем снизится.

Информирование конечных пользователей, какие сведения об устройстве можно просматривать на зарегистрированных устройствах

Мы добавляем тип владения на экран Сведения об устройстве во всех приложениях Корпоративный портал. Эта функция:

• Позволяет пользователям узнать больше о конфиденциальности непосредственно из статьи Какие сведения может видеть ваша компания?
• Скоро будет развернуто во всех Корпоративный портал приложениях. Мы объявили об этой информации для iOS в сентябре.

Сентябрь 2017 г.

Intune поддерживает iOS 11

Intune поддерживает iOS 11. Эта поддержка была объявлена ранее в блоге поддержки Intune.

Прекращение поддержки iOS 8.0

Управляемым приложениям и приложению Корпоративный портал для iOS потребуется iOS 9.0 и более поздних версий для доступа к ресурсам компании. Устройства, которые не были обновлены до сентября этого года, больше не смогут получить доступ к Корпоративный портал или этим приложениям.

Действие обновления добавлено в приложение Корпоративный портал для Windows 10

Приложение Корпоративный портал для Windows 10 позволяет пользователям обновлять данные в приложении, потянув за обновление или нажав клавишу F5 на настольных компьютерах.

Информирование конечных пользователей о том, какие сведения об устройстве можно просмотреть для iOS

Мы добавили тип владения на экран Сведения об устройстве в приложении Корпоративный портал для iOS. Эта функция позволяет пользователям узнать больше о конфиденциальности непосредственно на этой странице из документации Intune конечных пользователей. Они также смогут найти эту информацию на экране О программе.

Разрешить конечным пользователям доступ к приложению Корпоративный портал для Android без регистрации

Конечным пользователям скоро не придется регистрировать свое устройство для доступа к приложению Корпоративный портал для Android. Конечные пользователи в организациях, использующих политики защиты приложений, больше не будут получать запросы на регистрацию устройства при открытии приложения Корпоративный портал. Пользователи также смогут устанавливать приложения из Корпоративный портал без регистрации устройства.

В приложении корпоративного портала для Android текст стал более понятным

Процесс регистрации для приложения Корпоративный портал для Android был упрощен с новым текстом, чтобы упростить регистрацию конечным пользователям. Если у вас есть документация по пользовательской регистрации, необходимо обновить ее, чтобы отразить новые экраны. Примеры изображений можно найти на странице обновлений пользовательского интерфейса для Intune пользовательских приложений.

Windows 10 Корпоративный портал приложение добавлено в политику разрешения Information Protection Windows

Приложение Windows 10 Корпоративный портал обновлено для поддержки windows Information Protection (WIP). Приложение можно добавить в политику разрешений WIP. С этим изменением приложение больше не нужно добавлять в список Исключений .

Август 2017 г.

Общие сведения об улучшениях устройств

Улучшения в обзоре устройств теперь отображают зарегистрированные устройства, но исключают устройства, управляемые Exchange ActiveSync. Exchange ActiveSync устройства не имеют те же параметры управления, что и зарегистрированные устройства. Чтобы просмотреть количество зарегистрированных устройств и количество зарегистрированных устройств по платформе в Intune в портал Azure, перейдите в раздел Обзор устройств>.

Улучшения инвентаризации устройств, собираемые Intune

В этом выпуске мы внесли следующие улучшения в данные инвентаризации, собираемые устройствами, которыми вы управляете:

• Для устройств Android теперь можно добавить столбец в инвентаризацию устройств, который показывает последний уровень исправлений для каждого устройства. Добавьте столбец Уровень исправлений безопасности в список устройств, чтобы просмотреть уровень исправлений.
• При фильтрации представления устройств теперь можно фильтровать устройства по дате их регистрации. Например, можно отобразить только устройства, зарегистрированные после указанной даты.
• Мы улучшили фильтр, используемый элементом "Дата последней регистрации ".
• В списке устройств теперь можно отобразить номер телефона корпоративных устройств. Кроме того, вы можете использовать область фильтров для поиска устройств по номеру телефона.

Дополнительные сведения об инвентаризации устройств см. в разделе Просмотр Intune инвентаризации устройств.

Поддержка условного доступа для устройств macOS

Теперь можно задать политику условного доступа, которая требует, чтобы устройства Mac регистрировались в Intune и соответствовали политикам соответствия устройств. Например, пользователи могут скачать приложение Корпоративный портал Intune для macOS и зарегистрировать свои устройства Mac в Intune. Intune оценить, соответствует ли устройство Mac требованиям, таким как ПИН-код, шифрование, версия ОС и целостность системы.

• Дополнительные сведения о поддержке условного доступа для устройств macOS.

Корпоративный портал приложение для macOS находится в общедоступной предварительной версии

Приложение Корпоративный портал для macOS теперь доступно в рамках общедоступной предварительной версии условного доступа в Enterprise Mobility + Security. Этот выпуск поддерживает macOS 10.11 и более поздних версий. Получите его по адресу https://aka.ms/macOScompanyportal.

Новые параметры ограничения устройств для Windows 10

В этом выпуске мы добавили новые параметры для профиля ограничения Windows 10 устройств в следующих категориях:

• Фильтр SmartScreen Защитника Windows
• Магазин приложений

Обновления в профиль устройства защиты конечных точек Windows 10 для параметров BitLocker

В этом выпуске мы внесли следующие улучшения в работу параметров BitLocker в профиле устройства Windows 10 защиты конечных точек:

• В разделе Параметры диска ОС BitLocker для параметра BitLocker с не совместимой микросхемой доверенного платформенного модуля при выборе параметра Блокировать ранее это значение приводило к фактическому разрешению BitLocker. Теперь он блокирует BitLocker при выборе.
• В разделе Параметры диска ОС BitLocker для параметра Агента восстановления данных на основе сертификата теперь можно явно заблокировать агент восстановления данных на основе сертификата. Однако по умолчанию агент разрешен.
• В разделе Фиксированные параметры диска данных BitLocker для параметра Агент восстановления данных теперь можно явно заблокировать агент восстановления данных. Дополнительные сведения см. в статье Параметры защиты конечных точек для Windows 10 и более поздних версий.

Новый интерфейс входа для пользователей Android Корпоративный портал и пользователей политики защиты приложений

Конечные пользователи теперь могут просматривать приложения, управлять устройствами и просматривать контактные данные ИТ с помощью приложения Android Корпоративный портал без регистрации устройств Android. Кроме того, если пользователь уже использует приложение, защищенное Intune политиками защиты приложений, и запускает Корпоративный портал Android, пользователь больше не получает запрос на регистрацию устройства.

Новый параметр в приложении android Корпоративный портал для переключения оптимизации батареи

На странице Параметры в приложении Корпоративный портал для Android есть новый параметр, который позволяет пользователям легко отключить оптимизацию заряда для приложений Корпоративный портал и Microsoft Authenticator. Имя приложения, отображаемое в параметре, будет зависеть от того, какое приложение управляет рабочей учетной записью. Мы рекомендуем пользователям отключить оптимизацию заряда для повышения производительности рабочих приложений, которые синхронизируют электронную почту и данные.

Поддержка нескольких удостоверений для OneNote для iOS

Теперь пользователи могут использовать различные учетные записи (рабочие и личные) в Microsoft OneNote для iOS. защита приложений политики можно применять к корпоративным данным в рабочих записных книжках, не затрагивая их личные записные книжки. Например, политика может разрешить пользователю находить сведения в рабочих записных книжках, но не позволит пользователю копировать и вставка корпоративных данных из рабочей записной книжки в личную записную книжку.

• Ознакомьтесь с дополнительными сведениями о приложениях, поддерживающих защиту приложений и множественную идентификацию в Intune.

Новые параметры для разрешения и блокировки приложений на устройствах Samsung Knox Standard

В этом выпуске мы добавим новые параметры ограничения устройств , которые позволяют указать следующие списки приложений:

• Приложения, которые пользователи могут устанавливать
• Приложения, запуск которых заблокирован пользователями
• Приложения, скрытые от пользователя на устройстве

Вы можете указать приложение по URL-адресу, имени пакета или из списка приложений, которыми вы управляете.

Новая ссылка Microsoft Entra пользовательского интерфейса политики условного доступа на основе приложений из Intune

ТЕПЕРЬ ИТ-администраторы могут задавать условные политики на основе приложений с помощью нового пользовательского интерфейса политики условного доступа в рабочей нагрузке Microsoft Entra. Условный доступ на основе приложений, который находится в разделе Intune защита приложений портал Azure, останется там на время и будет применяться параллельно. Кроме того, в рабочей нагрузке Intune есть удобная ссылка на новый пользовательский интерфейс политики условного доступа.

• Дополнительные сведения об условном доступе на основе приложений в Microsoft Entra ID.

Июль 2017 г.

Ограничение регистрации устройств Android и iOS по версии ОС

Intune теперь поддерживает ограничение регистрации iOS и Android по номеру версии операционной системы. В разделе Ограничение типа устройства ИТ-администратор теперь может задать конфигурацию платформы, чтобы ограничить регистрацию в диапазоне от минимального до максимального значений операционной системы. Версии операционной системы Android должны быть указаны как Major.Minor.Build.Rev, где Дополнительный, Сборка и Rev являются необязательными. Версии iOS должны быть указаны как Major.Minor.Build, где Дополнительный и Сборка являются необязательными. Дополнительные сведения об ограничениях регистрации устройств.

Примечание.

Не ограничивает регистрацию с помощью программ регистрации Apple или Apple Configurator.

Ограничение регистрации личных устройств Android, iOS и macOS

Intune можно ограничить регистрацию личных устройств, добавив номера IMEI корпоративных устройств в список разрешений. Intune теперь расширил эту функцию для iOS, Android и macOS с помощью серийных номеров устройств. Отправив серийные номера в Intune, вы можете предварительно объявить устройства корпоративными. Используя ограничения на регистрацию, вы можете блокировать личные устройства (BYOD), разрешая регистрацию только для корпоративных устройств. Дополнительные сведения об ограничениях регистрации устройств.

Чтобы импортировать серийные номера, перейдите в раздел Регистрация>устройств Корпоративные идентификаторы> устройствДобавить. Отправьте файл .CSV (без заголовка, два столбца для серийного номера и такие сведения, как номера IMEI). Чтобы ограничить личные устройства, перейдите к разделу Ограничения регистрации устройств>. В разделе Ограничения типов устройств выберите значение По умолчанию , а затем — Конфигурации платформы. Вы можете разрешить или заблокировать личные устройства для iOS, Android и macOS.

Новое действие устройства для принудительной синхронизации устройств с Intune

В этом выпуске мы добавили новое действие устройства, которое заставляет выбранное устройство немедленно проверка с Intune. При возврате устройство сразу же получает все ожидающие действия или политики, которые были ему назначены. Это действие поможет вам немедленно проверить назначенные вами политики и устранить их, не дожидаясь следующего запланированного проверка. Дополнительные сведения см. в разделе Синхронизация устройства.

Заставить защищенные устройства iOS автоматически устанавливать последнее доступное обновление программного обеспечения

Новая политика доступна в рабочей области Обновления программного обеспечения, где можно принудительно установить последнее доступное обновление программного обеспечения для защищенных устройств iOS. Дополнительные сведения см. в статье Настройка политик обновления iOS.

Check Point SandBlast Mobile — новый партнер Mobile Threat Defense

Вы можете управлять доступом мобильных устройств к корпоративным ресурсам с помощью условного доступа на основе оценки рисков, проведенной Checkpoint SandBlast Mobile. Контрольная точка SandBlast Mobile — это мобильное решение для защиты от угроз, которое интегрируется с Microsoft Intune.

Как работает интеграция с Intune?

Риск оценивается на основе данных телеметрии, собранных с устройств, на которых запущена контрольная точка SandBlast Mobile. Вы можете настроить политики условного доступа EMS на основе оценки рисков SandBlast Mobile Checkpoint, включаемой с помощью политик соответствия устройств Intune. Вы можете разрешить или заблокировать доступ несоответствующих устройств к корпоративным ресурсам на основе обнаруженных угроз.

Развертывание приложения в Microsoft Store для бизнеса

В этом выпуске администраторы могут назначать Microsoft Store для бизнеса как доступные. Если задано значение доступно, конечные пользователи могут установить приложение из Корпоративный портал приложения или веб-сайта без перенаправления в Microsoft Store.

Обновления пользовательского интерфейса на веб-сайте Корпоративный портал

Мы внесли несколько обновлений в пользовательский интерфейс веб-сайта Корпоративный портал, чтобы улучшить взаимодействие с конечными пользователями.

• Улучшения плиток приложений. Значки приложений теперь будут отображаться с автоматически созданным фоном на основе доминирующего цвета значка (если он может быть обнаружен). Если применимо, этот фон заменяет серую границу, которая ранее была видна на плитках приложения.

  На веб-сайте Корпоративный портал по возможности отображаются большие значки в предстоящем выпуске. Рекомендуется, чтобы ИТ-администраторы публиковали приложения, используя значки с высоким разрешением с минимальным размером 120 x 120 пикселей.

• Изменения навигации. Элементы панели навигации перемещаются в меню гамбургера в левом верхнем углу. Страница "Категории" удалена. Теперь пользователи могут фильтровать содержимое по категориям во время просмотра.

• Обновления для избранных приложений: мы добавили на сайт специальную страницу, на которой пользователи могут просматривать приложения, которые вы выбрали, и внесли некоторые настройки пользовательского интерфейса в раздел Популярные на домашней странице.

Поддержка iBooks для веб-сайта Корпоративный портал

Мы добавили выделенную страницу на веб-сайт Корпоративный портал, которая позволяет пользователям просматривать и скачивать iBooks.

Сведения об устранении неполадок службы технической поддержки

Intune обновила дисплей для устранения неполадок и добавила к сведениям, которые он предоставляет администраторам и сотрудникам службы поддержки. Теперь вы можете просмотреть таблицу Назначения , в которую перечислены все назначения для пользователя на основе членства в группах. Этот список включает в себя:

• Мобильные приложения
• Политики соответствия
• профили конфигурации.

Кроме того, таблица Devices теперь содержит Microsoft Entra тип соединения и столбцы, соответствующие Microsoft Entra. Дополнительные сведения см. в статье Помощь пользователям в устранении неполадок.

Intune Data Warehouse (общедоступная предварительная версия)

Ежедневно Intune Data Warehouse примеры данных, чтобы получить представление об истории клиента. Доступ к данным можно получить с помощью файла Power BI (PBIX), канала OData, совместимого со многими средствами аналитики, или взаимодействия с REST API. Дополнительные сведения см. в разделе Использование Intune Data Warehouse.

Светлый и темный режимы, доступные для приложения Корпоративный портал для Windows 10

Пользователи могут настроить цветовой режим для приложения Корпоративный портал для Windows 10. Пользователь может внести изменения в раздел Параметры приложения Корпоративный портал. Изменение появится после перезапуска приложения пользователем. Для Windows 10 версии 1607 и более поздних в режиме приложения по умолчанию используется системный параметр. Для Windows 10 версии 1511 и более ранних версий в режиме приложения по умолчанию используется режим освещения.

Разрешить конечным пользователям отмечать свою группу устройств в приложении Корпоративный портал для Windows 10

Конечные пользователи теперь могут выбрать группу, к которой принадлежит их устройство, помечая ее непосредственно в приложении Корпоративный портал для Windows 10.

Июнь 2017 г.

Новый доступ на основе ролей для администраторов Intune

Добавляется новая роль администратора условного доступа для просмотра, создания, изменения и удаления Microsoft Entra политик условного доступа. Ранее только глобальные администраторы и администраторы безопасности имели это разрешение. Intune администраторам можно предоставить разрешение этой роли, чтобы у них был доступ к политикам условного доступа.

Пометка корпоративных устройств серийным номером

Intune теперь поддерживает отправку серийных номеров iOS, macOS и Android в качестве идентификаторов корпоративных устройств. Вы не можете использовать серийные номера, чтобы запретить регистрацию личных устройств в настоящее время, так как серийные номера не проверяются во время регистрации. Блокировка личных устройств по серийному номеру будет выпущена в ближайшее время.

Новые удаленные действия для устройств iOS

В этом выпуске мы добавили два новых удаленных действия для общих устройств iPad, которые управляют приложением Apple Classroom:

• Выход текущего пользователя — выйдите из системы текущего пользователя выбранного устройства iOS.
• Удалить пользователя — удаляет пользователя, выбранного из локального кэша на устройстве iOS.

Поддержка общих iPad в приложении iOS Classroom

В этом выпуске мы расширили поддержку управления приложением iOS Classroom, чтобы включить учащихся, которые входят в общие iPad с помощью управляемого идентификатора Apple ID.

Изменения в Intune встроенных приложений

Ранее Intune содержали множество встроенных приложений, которые можно было быстро назначить. На основе ваших отзывов мы удалили этот список, и вы больше не будете видеть встроенные приложения. Однако если вы уже назначили встроенные приложения, они по-прежнему будут отображаться в списке приложений. Вы можете продолжать назначать эти приложения по мере необходимости. В более позднем выпуске мы планируем добавить более простой метод для выбора и назначения встроенных приложений из портал Azure.

Упрощенная установка приложений Microsoft 365

Новый Приложения Microsoft 365 для типа приложений Enterprise упрощает назначение Приложения Microsoft 365 для предприятий приложений управляемым устройствам, на которых выполняется последняя версия Windows 10. Кроме того, вы также можете установить Microsoft Project и Microsoft Visio, если у вас есть лицензии для них. Нужные приложения объединяются вместе и отображаются в виде одного приложения в списке приложений в консоли Intune. Дополнительные сведения см. в статье Добавление приложений Microsoft 365 для Windows 10.

Поддержка автономных приложений из Microsoft Store для бизнеса

Автономные приложения, приобретенные на Microsoft Store для бизнеса, теперь будут синхронизированы с портал Azure. Затем эти приложения можно развернуть в группах устройств или группах пользователей. Автономные приложения устанавливаются Intune, а не магазином.

Microsoft Teams теперь входит в список утвержденных приложений ЦС на основе приложений

Приложение Microsoft Teams для iOS и Android теперь является частью утвержденных приложений для политик условного доступа на основе приложений для Exchange и SharePoint Online. Приложение можно настроить с помощью колонки Intune Защита приложений в портал Azure для всех клиентов, использующих условный доступ на основе приложений.

Интеграция управляемого браузера и прокси приложения

Теперь Intune Managed Browser может интегрироваться со службой прокси приложения Microsoft Entra, чтобы пользователи могли получать доступ к внутренним веб-сайтам, даже если они работают удаленно. Пользователи браузера вводят URL-адрес сайта, как обычно, и Управляемый браузер направляет запрос через веб-шлюз прокси приложения. Дополнительные сведения см. в статье Управление доступом к Интернету с помощью политик управляемого браузера.

Новые параметры конфигурации приложения для Intune Managed Browser

В этом выпуске мы добавили дополнительные конфигурации для приложения Intune Managed Browser для iOS и Android. Теперь вы можете использовать политику конфигурации приложений для настройки домашней страницы и закладок по умолчанию для браузера. Дополнительные сведения см. в статье Управление доступом к Интернету с помощью политик управляемого браузера.

Параметры BitLocker для Windows 10

Теперь вы можете настроить параметры BitLocker для Windows 10 устройств с помощью нового профиля устройства Intune. Например, можно потребовать, чтобы устройства были зашифрованы, а также настроить дополнительные параметры, применяемые при включении BitLocker. Дополнительные сведения см. в статье Параметры защиты конечных точек для Windows 10 и более поздних версий.

Новые параметры для профиля ограничения устройств Windows 10

В этом выпуске мы добавили новые параметры для профиля ограничения Windows 10 устройств в следующих категориях:

• Защитник Windows
• Сотовая связь и подключение
• Экран заблокирован
• Конфиденциальность
• Поиск
• Windows: интересное
• Браузер Microsoft Edge

Дополнительные сведения о параметрах Windows 10 см. в разделе Параметры ограничения устройств Windows 10 и более поздних версий.

Корпоративный портал приложение для Android теперь имеет новый интерфейс для конечных пользователей для политик защиты приложений

Руководствуясь отзывами клиентов, мы изменили приложение корпоративного портала для Android, добавив кнопку Доступ к содержимому компании. Это позволяет пользователям не проходить ненужную регистрацию, когда им нужен только доступ к приложениям, которые поддерживают политики защиты приложений — функцию управления мобильными приложениями Intune. Эти изменения можно увидеть на странице новые возможности пользовательского интерфейса приложения .

Новая команда меню для быстрого удаления корпоративного портала

Учитывая отзывы пользователей, в приложение корпоративного портала для Android была добавлена новая команда меню, позволяющая запустить процесс удаления корпоративного портала с устройства. Это действие дает возможность удалить устройство из системы управления Intune, что позволит пользователю удалить приложение с устройства. Эти изменения можно увидеть на странице новые возможности пользовательского интерфейса приложения и в документации для конечных пользователей Android.

Усовершенствование синхронизации приложений с Windows 10 Creators Update

Приложение Корпоративного портала для Windows 10 теперь будет автоматически инициировать синхронизацию запросов на установку приложений для устройств с обновлением Windows 10 Creators Update (версия 1709). Это позволит уменьшить проблему, связанную с остановкой установки приложений во время состояния "Ожидание синхронизации". Кроме того, пользователи могут вручную инициировать синхронизацию из приложения. Эти изменения можно увидеть на странице новые возможности пользовательского интерфейса приложения .

Новые интерактивные возможности приложения "Корпоративный портал" в Windows 10

Корпоративный портал для Windows 10 будет включать интерактивное пошаговое руководство Intune по работе с устройствами, которые не идентифицированы или не зарегистрированы. Новый интерфейс предоставляет пошаговые инструкции, которые помогут пользователю зарегистрироваться в Microsoft Entra ID (требуется для функций условного доступа) и регистрации MDM (требуется для функций управления устройствами). Эти пошаговые инструкции будут доступны на главной странице корпоративного портала. Пользователи могут продолжать использовать приложение, если они не завершат регистрацию и регистрацию, но будут работать с ограниченными функциональными возможностями.

Это обновление видно только на устройствах под управлением юбилейного обновления Windows 10 (сборка 1607) или более поздней версии. Эти изменения можно увидеть на странице новые возможности пользовательского интерфейса приложения .

Microsoft Intune и центры администрирования условного доступа являются общедоступными

Мы объявляем о общедоступной доступности новых Intune в консоли администрирования портал Azure и консоли администрирования условного доступа. Благодаря Intune в портал Azure теперь вы можете управлять всеми Intune возможностями MAM и MDM в едином интерфейсе администрирования, а также использовать Microsoft Entra группирования и нацеливания. Условный доступ в Azure предоставляет широкие возможности Microsoft Entra ID и Intune в единой консоли. А в административном интерфейсе переход на платформу Azure позволяет использовать современные браузеры.

Intune теперь отображается без метки предварительного просмотра в портал Azure на portal.azure.com.

В настоящее время для существующих клиентов не требуется никаких действий. Действие требуется, если вы получили одно из ряда сообщений в центре сообщений с просьбой принять меры, чтобы мы могли перенести ваши группы. Вы также можете получить уведомление центра сообщений о том, что миграция занимает больше времени из-за ошибок на нашей стороне. Мы постоянно продолжаем работу по переносу всех затронутых клиентов.

Улучшения, касающиеся плиток приложений, в приложении корпоративного портала для iOS

Макет плиток приложений на домашней странице был обновлен в соответствии с фирменными цветами, которые вы задаете для корпоративного портала. Дополнительные сведения см. в статье Новые возможности пользовательского интерфейса приложения.

Новое средство выбора учетной записи в приложении корпоративного портала для iOS

Пользователи устройств iOS могут увидеть наше новое средство выбора учетной записи при входе в Корпоративный портал, если они используют свою рабочую или учебную учетную запись для входа в другие приложения Майкрософт. Дополнительные сведения см. в статье Новые возможности пользовательского интерфейса приложения.

Май 2017 г.

Изменение центра MDM без отмены регистрации управляемых устройств

Теперь вы можете изменить центр MDM, не связываясь с служба поддержки Майкрософт, а также отменяя регистрацию и повторной регистрации существующих управляемых устройств. В консоли Configuration Manager можно изменить центр MDM с Set на Configuration Manager (гибридное) на Microsoft Intune (автономный) или наоборот.

Улучшенное уведомление для ПИН-кодов запуска Samsung Knox

Когда конечным пользователям нужно настроить ПИН-код запуска на устройствах Samsung Knox, чтобы обеспечить соответствие шифрованию, уведомление, отображаемое для конечных пользователей, приведет их к точному расположению в приложении "Параметры" при нажатии уведомления. Ранее уведомление приводило пользователя к экрану изменения пароля.

Поддержка Apple School Manager (ASM) с общим iPad

Intune теперь поддерживает использование Apple School Manager (ASM) вместо Программы регистрации устройств Apple, чтобы обеспечить готовую регистрацию устройств iOS. Подключение ASM требуется для использования приложения Classroom для общих iPads и требуется для синхронизации данных из ASM с Microsoft Entra ID через Синхронизация сведений о школе Microsoft (SDS). Дополнительные сведения см. в статье Включение регистрации устройств iOS с помощью Apple School Manager.

Примечание.

Для настройки общих iPads для работы с приложением Classroom требуются конфигурации iOS для образовательных учреждений в Azure, которые пока недоступны. Эта функция будет добавлена в ближайшее время.

Предоставление удаленной помощи устройствам Android с помощью TeamViewer

Intune теперь можно использовать программное обеспечение TeamViewer, приобретенное отдельно, чтобы предоставить удаленную помощь пользователям, работающим с устройствами Android. Дополнительные сведения см. в статье Предоставление удаленной помощи для Intune управляемых устройств Android.

Новые условия политик защиты приложений для MAM

Теперь можно установить требование для MAM без пользователей регистрации, которое применяет следующие политики:

• Минимальная версия приложения
• Минимальная версия операционной системы
• Минимальная Intune версии пакета SDK для приложений целевого приложения (только для iOS)

Эта функция доступна как в Android, так и в iOS. Intune поддерживает минимальное применение версий для версий платформ ОС, версий приложений и пакета SDK для Intune приложений. В iOS приложения с интегрированным пакетом SDK также могут устанавливать минимальное применение версии на уровне пакета SDK. Пользователь не сможет получить доступ к целевому приложению, если минимальные требования к политике защиты приложений не будут выполнены на трех разных уровнях, упомянутых выше. На этом этапе пользователь может удалить свою учетную запись (для приложений с несколькими удостоверениями), закрыть приложение или обновить версию ОС или приложения.

Вы также можете настроить параметры для предоставления неблокирующего уведомления, которое рекомендует обновление ОС или приложения. Это уведомление можно закрыть, а приложение можно использовать в обычном режиме.

Дополнительные сведения см. в разделах Параметры политики защиты приложений iOS и Параметры политики защиты приложений Android.

Настройка конфигураций приложений для Android for Work

Некоторые приложения Android из Магазина поддерживают параметры управляемой конфигурации, которые позволяют ИТ-администратору управлять запуском приложения в рабочем профиле. С помощью Intune теперь можно просматривать конфигурации, поддерживаемые приложением, и настраивать их из портал Azure с помощью конструктора конфигураций или редактора JSON. Дополнительные сведения см. в разделе Использование конфигураций приложений для Android for Work.

Новая возможность конфигурации приложений для MAM без регистрации

Теперь вы можете создавать политики конфигурации приложений с помощью канала MAM без регистрации. Эта функция эквивалентна политикам конфигурации приложений, доступным в конфигурации приложений для управления мобильными устройствами (MDM). Пример настройки приложения с помощью MAM без регистрации см. в статье Управление доступом к Интернету с помощью политик управляемого браузера с помощью Microsoft Intune.

Настройка списков разрешенных и заблокированных URL-адресов для управляемого браузера

С помощью параметров конфигурации приложений теперь можно настроить список разрешенных и заблокированных доменов и URL-адресов для Intune Managed Browser. Эти параметры можно настроить независимо от того, используется ли браузер на управляемом или неуправляемом устройстве. Дополнительные сведения см. в статье Управление доступом к Интернету с помощью политик управляемого браузера с Microsoft Intune.

представление службы технической поддержки политики защита приложений

Пользователи ИТ-службы поддержки теперь могут проверка состояние лицензии пользователя и состояние приложений политики защиты приложений, назначенных пользователям в колонке "Устранение неполадок". Дополнительные сведения см. в разделе Устранение неполадок.

Управление посещениями веб-сайтов на устройствах iOS

Теперь вы можете контролировать, какие веб-сайты могут посещать пользователи устройств iOS, используя один из следующих двух способов:

• Добавьте разрешенные и заблокированные URL-адреса с помощью встроенного в Apple фильтра веб-содержимого.

• Разрешить доступ только к указанным веб-сайтам в браузере Safari. Закладки создаются в Safari для каждого указанного сайта.

Дополнительные сведения см. в разделе Параметры фильтра веб-содержимого для устройств iOS.

Предварительная настройка разрешений устройств для приложений Android for Work

Для приложений, развернутых в рабочих профилях устройств Android for Work, теперь можно настроить состояние разрешений для отдельных приложений. По умолчанию приложения Android, которым требуются разрешения устройства, такие как доступ к расположению или камера устройства, будут предлагать пользователям принять или запретить разрешения. Например, если приложение использует микрофон устройства, пользователю будет предложено предоставить приложению разрешение на использование микрофона. Эта функция позволяет определять разрешения от имени конечного пользователя. Вы можете настроить разрешения для a) автоматического запрета без уведомления пользователя, б) автоматического утверждения без уведомления пользователя или c) запроса на принятие или отклонение. Дополнительные сведения см. в разделе Параметры ограничений устройств Android for Work в Microsoft Intune.

Определение ПИН-кода приложения для устройств Android for Work

Устройства Android 7.0 и более поздних версий с рабочим профилем, управляемым как устройство Android for Work, позволяют администратору определить политику секретного кода, которая применяется только к приложениям в рабочем профиле. Варианты:

• Определите только политику секретных кодов на уровне устройства. Этот параметр представляет собой секретный код, который пользователь должен использовать для разблокировки всего устройства.
• Определите только политику секретных кодов рабочего профиля. Пользователям будет предложено ввести секретный код при каждом открытии приложения в рабочем профиле.
• Определите политику как устройства, так и политику рабочего профиля. ИТ-администратор может определить политику секретных кодов устройства и политику секретного кода рабочего профиля с различными преимуществами (например, четырехзначный ПИН-код для разблокировки устройства, но шестизначный ПИН-код для открытия любого рабочего приложения).

Дополнительные сведения см. в разделе Параметры ограничений устройств Android for Work в Microsoft Intune.

Примечание.

Это доступно только в Android 7.0 и более поздних версиях. По умолчанию конечный пользователь может использовать два отдельно определенных ПИН-кодов или выбрать объединение двух определенных ПИН-кодов в самый сильный из двух.

Новые параметры для устройств Windows 10

Мы добавили новые параметры ограничений устройств Windows, которые управляют такими функциями, как беспроводные дисплеи, обнаружение устройств, переключение задач и sim-карты карта сообщения об ошибках.

Обновления к конфигурации сертификата

При создании профиля сертификата SCEP для формата имени субъекта параметр Custom доступен для устройств iOS, Android и Windows. До этого обновления поле Custom было доступно только для устройств iOS. Дополнительные сведения см. в разделе Create профиля сертификата SCEP.

При создании профиля сертификата PKCS для альтернативного имени субъекта доступен атрибут Custom Microsoft Entra. Параметр Department доступен при выборе настраиваемого атрибута Microsoft Entra. Дополнительные сведения см. в статье Создание профиля сертификата PKCS.

Настройка нескольких приложений, которые могут запускаться, когда устройство Android находится в режиме киоска

Когда устройство Android находится в режиме киоска, ранее можно было настроить только одно приложение, которое было разрешено запускать. Теперь можно настроить несколько приложений, используя идентификатор приложения, URL-адрес магазина или выбрав приложение Android, которым вы уже управляете. Дополнительные сведения см. в разделе Параметры режима киоска.

Апрель 2017 г.

Поддержка управления приложением Apple Classroom

Теперь вы можете управлять приложением iOS Classroom на устройствах iPad. Настройте приложение Classroom на iPad преподавателей с правильными данными класса и учащихся, а затем настройте iPad для учащихся, зарегистрированных в классе, чтобы вы могли управлять ими с помощью приложения. Дополнительные сведения см. в разделе Настройка параметров образования iOS.

Поддержка параметров управляемой конфигурации для приложений Android

Теперь Intuune может настраивать приложения Android в магазине Play, поддерживающие параметры управляемой конфигурации. Эта функция позволяет ИТ-службам просматривать список значений конфигурации, поддерживаемых приложением, и предоставляет интерактивный первоклассный пользовательский интерфейс, позволяющий настраивать эти значения.

Новая политика Android для сложных ПИН-кодов

Теперь вы можете задать обязательный тип пароля numeric complex в профиле устройства Android для устройств под управлением Android 5.0 и более поздних версий. Используйте этот параметр, чтобы запретить пользователям устройства создавать ПИН-код, содержащий повторяющиеся или последовательные числа, например 1111 или 1234.

Поддержка устройств Android for Work

• Управление параметрами паролей и рабочих профилей

  Эта новая политика ограничения устройств Android for Work теперь позволяет управлять параметрами паролей и рабочих профилей на устройствах Android for Work, которыми вы управляете.

• Разрешить общий доступ к данным между рабочими и личными профилями

Этот профиль ограничения устройств Android for Work теперь имеет новые параметры, которые помогут вам настроить общий доступ к данным между рабочими и личными профилями.

• Ограничение копирования и вставки между рабочими и личными профилями

  Новый настраиваемый профиль устройства для устройств Android for Work теперь позволяет ограничить, разрешены ли действия копирования и вставки между рабочими и личными приложениями.

Дополнительные сведения см. в разделе Ограничения устройств для Android for Work.

Назначение бизнес-приложений устройствам iOS и Android

Теперь вы можете назначать бизнес-приложения для iOS (IPA-файлы) и Android (.apk файлы) пользователям или устройствам.

Новые политики устройств для iOS

• Приложения на начальном экране . Определяет, какие приложения пользователи видят на начальном экране устройства iOS. Эта политика изменяет макет начального экрана, но не развертывает приложения.

• Connections к устройствам AirPrint. Определяет, к каким устройствам AirPrint (сетевым принтерам), к которым могут подключаться конечные пользователи устройств iOS.

• Connections к устройствам AirPlay— определяет, к каким устройствам AirPlay (например, Apple TV), к которым могут подключаться конечные пользователи устройств iOS.

• Настраиваемое сообщение на экране блокировки . Настраивает настраиваемое сообщение, отображаемое на экране блокировки устройства iOS, которое заменяет сообщение экрана блокировки по умолчанию. Дополнительные сведения см. в разделе Активация режима потери на устройствах iOS.

Ограничение push-уведомлений для приложений iOS

В профиле ограничения устройств Intune теперь можно настроить следующие параметры уведомлений для устройств iOS:

• Полностью включить или отключить уведомление для указанного приложения.
• Включите или отключите уведомление в центре уведомлений для указанного приложения.
• Укажите тип оповещения: Нет, Баннер или Модальное оповещение.
• Укажите, разрешены ли эмблемы для этого приложения.
• Укажите, разрешены ли звуки уведомлений.

Настройка приложений iOS для автономного запуска в режиме одного приложения

Теперь вы можете использовать профиль устройства Intune, чтобы настроить устройства iOS для запуска указанных приложений в автономном режиме одного приложения. Если этот режим настроен и приложение запущено, устройство блокируется. Он может запускать только это приложение. Примером является настройка приложения, которое позволяет пользователям проходить тест на устройстве. После завершения действий приложения или удаления этой политики устройство возвращается в нормальное состояние.

Настройка доверенных доменов для электронной почты и просмотра веб-страниц на устройствах iOS

В профиле ограничения устройств iOS теперь можно настроить следующие параметры домена:

• Домены электронной почты без пометок . Сообщения электронной почты, которые пользователь отправляет или получает, не соответствуют указанным здесь доменам, будут помечены как ненадежные.

• Управляемые веб-домены . Документы, скачанные с указанных здесь URL-адресов, будут считаться управляемыми (только Для Safari).

• Домены автоматического заполнения паролей Safari . Пользователи могут сохранять пароли в Safari только из URL-адресов, соответствующих указанным здесь шаблонам. Чтобы использовать этот параметр, устройство должно быть в защищенном режиме и не настроено для нескольких пользователей. (iOS 9.3 и более поздних версий)

Приложения VPP, доступные в iOS Корпоративный портал

Теперь вы можете назначить приложения iOS, приобретенные томами (VPP), как доступные установки для конечных пользователей. Для установки приложения пользователям потребуется учетная запись Apple Store.

Синхронизация электронных книг из Apple VPP Store

Теперь вы можете синхронизировать книги, приобретенные в магазине apple volume-purchase program, с Intune, и назначать книги пользователям.

Управление несколькими пользователями для устройств Samsung Knox Standard

Устройства под управлением Samsung Knox Standard теперь поддерживают многопользовательское управление Intune. Таким образом, конечные пользователи могут выполнять вход и выходить с устройства с помощью своих учетных данных Microsoft Entra. Устройство централизованно управляется независимо от того, используется оно или не используется. При входе конечных пользователей они получают доступ к приложениям и применяют к ним все политики. При выходе пользователей все данные приложения очищаются.

Параметры ограничения устройств Windows

Мы добавили поддержку дополнительных параметров ограничений устройств Windows, таких как поддержка браузера Microsoft Edge, настройка экрана блокировки устройства, настройки меню "Пуск", обои "Набор поиска в центре внимания Windows" и настройка прокси-сервера.

Поддержка нескольких пользователей для Windows 10 Creators Update

Добавлена поддержка многопользовательского управления для устройств, которые выполняют Windows 10 Creators Update и Microsoft Entra присоединены к домену. При входе на устройство с учетными данными Microsoft Entra разные стандартные пользователи получат все приложения и политики, назначенные их имени пользователя. В настоящее время пользователи не могут использовать Корпоративный портал для сценариев самообслуживания, таких как установка приложений.

Новый запуск для компьютеров Windows 10

Теперь доступно новое действие устройства "Новый запуск" для компьютеров Windows 10. При выполнении этого действия все приложения, установленные на компьютере, удаляются. Компьютер автоматически обновляется до последней версии Windows. При автоматическом обновлении он может помочь удалить предустановленные приложения OEM, которые часто поставляются с новым компьютером. Вы можете настроить, сохраняются ли данные пользователей при выполнении этого действия устройства.

пути обновления Windows 10

Теперь вы можете создать политику обновления выпуска для обновления устройств до следующих Windows 10 выпусков:

• Windows 10 Профессиональный
• Windows 10 Профессиональный N
• Windows 10 профессиональное образование
• Windows 10 профессиональное образование N

Устройства массовой регистрации Windows 10

Теперь вы можете присоединить большое количество устройств, на которых выполняется обновление Windows 10 Creators, Microsoft Entra ID и Intune с помощью Designer конфигурации Windows (WCD). Чтобы включить массовую регистрацию MDM для клиента Microsoft Entra, создайте пакет подготовки. Пакет должен присоединить устройства к клиенту Microsoft Entra с помощью Designer конфигурации Windows и применить пакет к корпоративным устройствам, которым вы хотите массово зарегистрировать и управлять ими. После применения пакета к устройствам они присоединятся к Microsoft Entra ID, регистрируются в Intune и будут готовы к входу пользователей Microsoft Entra. Microsoft Entra пользователи являются стандартными пользователями на этих устройствах и получают назначенные политики и необходимые приложения. Сценарии самообслуживания и Корпоративный портал сейчас не поддерживаются.

Новые параметры MAM для ПИН-кода и расположений управляемого хранилища

Теперь доступны два новых параметра приложения, которые помогут вам в сценариях управления мобильными приложениями (MAM):

• Отключить ПИН-код приложения при управлении ПИН-кодом устройства . Определяет наличие ПИН-кода устройства на зарегистрированном устройстве и, если да, обходит ПИН-код приложения, активированный политиками защиты приложений. Этот параметр позволяет уменьшить количество случаев отображения запроса ПИН-кода для пользователей, открывающих приложение с поддержкой MAM на зарегистрированном устройстве. Эта функция доступна как для Android, так и для iOS.

• Выберите, какие корпоративные данные служб хранилища можно сохранить в . Позволяет указать, в каких расположениях хранения будут сохраняться корпоративные данные. Пользователи могут сохранять файлы в выбранных службах расположения хранилища, что означает, что все другие службы расположения хранилища, не перечисленные в списке, будут заблокированы.

  Список поддерживаемых служб расположения хранилища:

  • OneDrive
  • Бизнес SharePoint Online
  • Локальное хранилище

Портал устранения неполадок службы технической поддержки

Новый портал устранения неполадок позволяет операторам службы технической поддержки и администраторам Intune просматривать пользователей и их устройства, а также выполнять задачи по устранению Intune технических проблем.

Март 2017 г.

Поддержка режима потери iOS

Для устройств iOS 9.3 и более поздних версий Intune добавлена поддержка режима потери. Теперь вы можете заблокировать устройство, чтобы запретить использовать и отображать сообщение и контактный номер телефона на экране блокировки устройства.

Пользователь не сможет разблокировать устройство, пока администратор не отключит режим пропажи. Если включен режим пропажи, можно использовать действие Найти устройство, чтобы отобразить географическое расположение устройства на карте в консоли Intune.

Устройство должно быть корпоративным устройством iOS и зарегистрировано через DEP в защищенном режиме.

Дополнительные сведения см. в статье Что такое управление устройствами Microsoft Intune?

Улучшения отчета о действиях устройства

Мы внесли улучшения в отчет о действиях с устройством, что повышает производительность. Кроме того, теперь можно фильтровать отчет по состоянию. Например, можно отфильтровать отчет, чтобы отобразить только выполненные действия устройства.

Категории пользовательских приложений

Теперь вы можете создавать, изменять и назначать категории для приложений, добавляемого в Intune. В настоящее время категории можно указать только на английском языке. См. раздел Добавление приложения в Intune.

Назначение бизнес-приложений пользователям с незарегистрированных устройств

Теперь вы можете назначать бизнес-приложения из магазина пользователям независимо от того, зарегистрированы ли их устройства в Intune. Если устройство пользователя не зарегистрировано в Intune, он должен перейти на веб-сайт Корпоративный портал, чтобы установить его, а не приложение Корпоративный портал.

Новые отчеты о соответствии

Теперь у вас есть отчеты о соответствии требованиям, которые обеспечивают соответствие устройств в вашей компании и позволяют быстро устранять проблемы, связанные с соответствием требованиям, с которыми сталкиваются ваши пользователи. Вы можете просмотреть сведения о

• Общее состояние соответствия устройств
• Состояние соответствия для отдельного параметра
• Состояние соответствия для отдельной политики

Эти отчеты также можно использовать для детализации отдельного устройства и просмотра определенных параметров и политик, влияющих на это устройство.

Прямой доступ к сценариям регистрации Apple

Для Intune учетных записей, созданных после января 2017 года, Intune включил прямой доступ к сценариям регистрации Apple с помощью рабочей нагрузки Регистрация устройств в портал Azure. Ранее предварительная версия регистрации Apple была доступна только по ссылкам в портал Azure. Intune учетных записей, созданных до января 2017 г., потребуется однократная миграция, прежде чем эти функции будут доступны в Azure. Расписание миграции пока не объявлено, но подробные сведения будут доступны как можно скорее. Мы настоятельно рекомендуем создать пробную учетную запись для тестирования нового интерфейса, если существующая учетная запись не может получить доступ к предварительной версии.

Февраль 2017 г.

Возможность ограничения регистрации мобильных устройств

Intune добавляются новые ограничения на регистрацию, которые управляют разрешенными для регистрации платформ мобильных устройств. Intune разделяет платформы мобильных устройств, такие как iOS, macOS, Android, Windows и Windows Mobile.

• Ограничение регистрации мобильных устройств не ограничивает регистрацию клиента ПК.
• Только для iOS и Android можно заблокировать регистрацию личных устройств.

Intune помечает все новые устройства как личные, если ИТ-администратор не примет мер, чтобы пометить их как корпоративные, как описано в этой статье.

Просмотр всех действий на управляемых устройствах

В новом отчете Действия устройства показано, кто выполнял удаленные действия, такие как сброс настроек на устройствах, и отображается состояние этого действия. См. раздел Что такое управление устройствами?

Неуправляемые устройства могут получать доступ к назначенным приложениям

В рамках изменений на веб-сайте Корпоративный портал пользователи iOS и Android могут устанавливать приложения, назначенные им, как "доступные без регистрации" на своих неуправляемых устройствах. Используя свои Intune учетные данные, пользователи могут войти на веб-сайт Корпоративный портал и просмотреть список назначенных им приложений. Пакеты приложений "доступны без регистрации" становятся доступными для скачивания на веб-сайте Корпоративный портал. Это изменение не влияет на приложения, требующие регистрации для установки, так как пользователям предлагается зарегистрировать свое устройство, если они хотят установить эти приложения.

Категории пользовательских приложений

Теперь вы можете создавать, изменять и назначать категории для приложений, добавляемого в Intune. В настоящее время категории можно указать только на английском языке. См. раздел Добавление приложения в Intune.

Отображение категорий устройств

Теперь категорию устройств можно просмотреть в виде столбца в списке устройств. Вы также можете изменить категорию в разделе свойств колонки свойств устройства. См. раздел Добавление приложения в Intune.

Настройка параметров клиентский компонент Центра обновления Windows для бизнеса

Windows как услуга — это новый способ предоставления обновлений для Windows 10. Начиная с Windows 10 все новые Обновления компонентов и Обновления качества будут содержать содержимое всех предыдущих обновлений. Если вы установили последнее обновление, вы знаете, что Windows 10 устройства обновлены. В отличие от предыдущих версий Windows, теперь необходимо устанавливать не отдельную часть обновления, а полное обновление.

С помощью клиентский компонент Центра обновления Windows для бизнеса можно упростить процесс управления обновлениями, чтобы не нужно утверждать отдельные обновления для групп устройств. Вы по-прежнему можете управлять рисками в своих средах, настроив стратегию развертывания обновлений, и клиентский компонент Центра обновления Windows убедитесь, что обновления установлены в нужное время. Microsoft Intune может настраивать параметры обновления на устройствах и позволяет отложить установку обновлений. Intune не хранит обновления, а только назначение политики обновления. Устройства получают доступ к клиентский компонент Центра обновления Windows непосредственно для обновлений. Используйте Intune для настройки кругов обновления Windows 10 и управления ими. Круг обновлений содержит группу параметров, которые настраивают время и способ установки обновлений Windows 10. Дополнительные сведения см. в разделе Настройка параметров клиентский компонент Центра обновления Windows для бизнеса.