Microsoft Intune中的新增功能 - 前几个月

2023 年 10 月 23 日 (服务版本 2310)

应用管理

适用于 Android 公司门户 应用的用户的更新

如果用户启动低于 2021 年 11 月) (版本 5.0.5333.0 的 Android 公司门户 应用版本，他们将看到一条提示，鼓励他们更新 Android 公司门户 应用。 如果 Android 公司门户 版本较旧的用户尝试使用最新版本的 Authenticator 应用进行新设备注册，此过程可能会失败。 若要解决此行为，请更新 Android 公司门户 应用。

iOS 设备的最低 SDK 版本警告

iOS 设备上的 iOS 条件启动设置 的最小 SDK 版本 现在包括 警告 操作。 如果不满足最低 SDK 版本要求，此操作会警告最终用户。

有关详细信息，请参阅 iOS 应用保护策略设置。

Apple LOB 和应用商店应用的最低 OS

可以将最低操作系统配置为 Apple 业务线应用和 iOS/iPadOS 应用商店应用的最新 Apple OS 版本。 可以设置 Apple 应用的最低操作系统，如下所示：

• 适用于 iOS/iPadOS 业务线应用的 iOS/iPadOS 17.0
• 适用于 macOS 业务线应用的 macOS 14.0
• 适用于 iOS/iPadOS 应用商店应用的 iOS/iPadOS 17.0

应用于：

• iOS/iPadOS
• macOS

Android (AOSP) 支持业务线 (LOB) 应用

可以使用 “必需 ”和“卸载”组分配在 AOSP 设备上安装和 卸载 必需的 LOB 应用。

应用于：

• Android

若要详细了解如何管理 LOB 应用，请参阅将 Android 业务线应用添加到Microsoft Intune。

非托管 macOS PKG 应用的配置脚本

现在可以在非托管 macOS PKG 应用中配置预安装脚本和安装后脚本。 此功能比自定义 PKG 安装程序更灵活。 配置这些脚本是可选的，需要 macOS 设备的 Intune 代理 v2309.007 或更高版本。

有关将脚本添加到非托管 macOS PKG 应用的详细信息，请参阅 添加非托管 macOS PKG 应用。

设备配置

设置目录和管理模板中提供了 FSLogix 设置

设置目录和管理模板中提供了 FSLogix 设置 ， (ADMX) 进行配置。

以前，若要在 Windows 设备上配置 FSLogix 设置，请使用 Intune 中的 ADMX 导入功能导入这些设置。

应用于：

• Windows 10
• Windows 11

有关这些功能的详细信息，请参阅：

• 使用设置目录配置设置
• 使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
• 什么是 FSLogix？

在托管 Google Play 应用中使用委托的范围，这些应用在 Android Enterprise 设备上配置增强的权限

在托管 Google Play 应用中，可以使用委托的范围为应用授予增强的权限。

当应用包含委托范围时，可以在设备配置文件中配置以下设置， (设备>配置>Create>Android Enterprise for platform >Fully Managed、Dedicated 和 Corporate-Owned Work Profile>Device Restrictions for Profile type >Applications) ：

• 允许其他应用安装和管理证书：管理员可以为此权限选择多个应用。 向所选应用授予对证书安装和管理的访问权限。
• 允许此应用访问 Android 安全日志：管理员可以为此权限选择一个应用。 所选应用有权访问安全日志。
• 允许此应用访问 Android 网络活动日志：管理员可以为此权限选择一个应用。 所选应用有权访问网络活动日志。

若要使用这些设置，托管的 Google Play 应用必须使用委托的范围。

应用于：

• Android Enterprise 完全托管设备
• Android Enterprise 专用设备
• 具有工作配置文件的 Android Enterprise 公司拥有的设备

有关此功能的详细信息，请参阅：

• Android 的内置应用配置
• Android Enterprise 设备设置列表，用于允许或限制使用 Intune > 应用程序的公司拥有的设备上的功能

Samsung 终止了对 Android 设备管理员 (DA) 设备上的展台模式的支持

Samsung 将 Android 设备管理员上使用的 Samsung Knox 展台 API 标记为在 Knox 3.7 (Android 11) 中弃用。

虽然这些功能可能会继续工作，但不能保证它将继续工作。 三星不会修复可能出现的 bug。 有关 Samsung 对已弃用 API 的支持的详细信息，请参阅弃用 API 后提供哪种类型的支持？ (打开 Samsung 的网站) 。

相反，可以使用专用设备管理通过Intune来管理展台设备。

应用于：

• Android 设备管理员 (DA)

导入和导出设置目录策略

Intune设置目录列出了所有可以配置的设置，所有设置都在一个位置 (设备>配置>Create>新策略> 选择平台> For Profile，选择“设置目录) ”。

可以导入和导出设置目录策略：

• 若要导出现有策略，请选择配置文件>，选择省略号>“导出 JSON”。
• 若要导入以前导出的设置目录策略，请选择“Create>导入策略>”，选择以前导出的 JSON 文件。

有关设置目录的详细信息，请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

注意

此功能将继续推出。可能需要几周后才能在租户中提供它。

用于阻止用户使用同一密码解锁设备以及使用工作配置文件访问 Android Enterprise 个人拥有设备上的工作配置文件的新设置

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，用户可以使用相同的密码解锁设备并访问工作配置文件。

有一个新设置，可以强制实施不同的密码来解锁设备并访问工作配置文件 (设备>配置>Create>Android Enterprise>Personally Owned Work Profile for platform >Device Restrictions for profile for profile type) ：

• 设备和工作配置文件的一个锁： “阻止” 可阻止用户对设备和工作配置文件上的锁屏界面使用相同的密码。 最终用户需要输入设备密码才能解锁设备，并输入其工作配置文件密码才能访问其工作配置文件。 设置为“未配置” (默认) 时，Intune不会更改或更新此设置。 默认情况下，OS 可能允许用户使用单个密码访问其工作配置文件。

此设置是可选的，不会影响现有配置文件。

目前，如果工作配置文件密码不符合策略要求，则设备用户会看到通知。 设备未标记为不合规。 正在为工作配置文件创建单独的符合性策略，并将在未来版本中提供。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备 (BYOD)

有关可以在个人拥有的设备上配置工作配置文件的设置列表，请参阅 Android Enterprise 设备设置列表，以允许或限制使用Intune的个人拥有设备上的功能。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到配置文件类型的“设备>配置>Create>macOS>设置目录”。

隐私 > 隐私首选项策略控制：

• 系统策略应用数据

限制:

• 强制仅限设备上的听写

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

设备注册

个人 iOS/iPadOS 设备使用 JIT 注册进行基于 Web 的设备注册

Intune支持基于 Web 的设备注册， (JIT) 通过 Apple 设备注册设置的个人设备注册。 JIT 注册减少了在整个注册体验中向用户显示的身份验证提示数，并跨设备建立 SSO。 Intune 公司门户的 Web 版本上进行注册，无需公司门户应用。 此外，此注册方法使没有托管 Apple ID 的员工和学生能够注册设备和访问批量购买的应用。

有关详细信息，请参阅 为 iOS 设置基于 Web 的设备注册。

设备管理

汇报Intune加载项页

“租户管理”下的“Intune加载项”页包括“你的加载项”、“所有加载项”和“功能”。 它提供了一个增强的视图来查看你的试用版或购买的许可证、你已授权在租户中使用的附加功能，以及 Microsoft 管理中心中对新计费体验的支持。

有关详细信息，请参阅使用 Intune Suite 加载项功能。

适用于 Android 的远程帮助现已正式发布

远程帮助正式适用于 Zebra 和 Samsung 的 Android Enterprise 专用设备。

借助远程帮助，IT 专业人员可以远程查看设备屏幕，并在有人参与和无人参与的情况下完全控制设备屏幕，从而快速高效地诊断和解决问题。

应用于：

• 由 Zebra 或 Samsung 制造的 Android Enterprise 专用设备

有关详细信息，请参阅 Android 上的远程帮助。

设备安全性

在设置目录中为 Apple 设备配置声明性软件更新和密码策略

可以使用 Apple 的声明性设备管理 (DDM) 配置来管理软件更新和密码 (设备>配置>Create>iOS/iPadOS 或 macOS 平台>配置文件类型>声明性设备管理) 。

有关 DDM 的详细信息，请参阅 Apple 的声明性设备管理 (DDM) (打开 Apple 网站) 。

DDM 允许在强制截止时间之前安装特定更新。 当设备处理整个软件更新生命周期时，DDM 的自治特性提供了改进的用户体验。 它提示用户更新可用，并下载、准备设备进行安装、& 安装更新。

在设置目录中，声明性 设备管理 > 软件更新中提供了以下声明性软件更新设置：

• 详细信息 URL：显示更新详细信息的网页 URL。 通常，此 URL 是由组织托管的网页，用户可以选择是否需要组织特定的更新帮助。
• 目标内部版本：将设备更新到的目标内部版本，例如 20A242。 生成版本可以包含补充版本标识符，例如 20A242a。 如果输入的内部版本与输入 的“目标 OS 版本” 值不一致，则 “目标 OS 版本” 值优先。
• 目标本地日期时间：指定何时强制安装软件更新的本地日期时间值。 如果用户在此时间之前未触发软件更新，则设备会强制安装它。
• 目标 OS 版本：将设备更新到的目标 OS 版本。 此值是 OS 版本号，如 16.1。 还可以包含补充版本标识符，例如 16.1.1。

有关此功能的详细信息，请参阅 使用设置目录管理软件更新。

在设置目录中，声明性设备管理>密码中提供了以下声明性密码设置：

• 自动设备锁定：输入系统自动锁定设备之前用户可以空闲的最长时间。
• 最大宽限期：输入用户无需密码即可解锁设备的最大时间段。
• 最大失败尝试次数：输入之前错误密码尝试的最大次数：
  • iOS/iPadOS 擦除设备
  • macOS 锁定设备
• 最小密码长度：输入密码必须具有的最小字符数。
• 密码重用限制：输入以前使用过的不能使用的密码数。
• 需要复杂密码：设置为 True 时，需要复杂密码。 复杂密码没有重复字符，也没有递增或递减字符，如 123 或 CBA。
• 设备上需要密码：设置为 True 时，用户必须设置密码才能访问设备。 如果未设置其他密码限制，则对密码的长度或质量没有任何要求。

应用于：

• iOS/iPadOS 17.0 及更高版本
• macOS 14.0 及更高版本

有关设置目录的信息，请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

Mvision Mobile 现在为 Trellix Mobile Security

Intune移动威胁防御合作伙伴Mvision Mobile 已过渡到 Trellix Mobile Security。 通过此更改，我们更新了文档和Intune管理中心 UI。 例如， Mvision Mobile 连接器 现在是 Trellix Mobile Security。 Mvision Mobile 连接器的现有安装也会更新到 Trellix Mobile Security。

如果对此更改有任何疑问，请联系 Trellix Mobile Security 代表。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 兄弟工业有限公司的BuddyBoard
• Microsoft Corporation Microsoft Loop

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

策略符合性和设置合规性的更新报告现已正式发布

以下设备符合性报告已公开预览版，现已正式发布：

• 策略符合性
• 设置合规性

此次正式发布后，两个报表的旧版本已从 Intune 管理中心停用，不再可用。

有关这些更改的详细信息，请参阅 上的 Intune 支持团队博客https://aka.ms/Intune/device_compl_report。

租户管理

Intune管理中心主页更新

Intune管理中心主页经过重新设计，具有全新的外观和更动态的内容。 “状态”部分已简化。 可以在聚焦部分中浏览Intune相关功能。 从Intune中获取更多内容部分提供了指向Intune社区和博客的链接，Intune客户成功。 此外，文档和培训部分提供了指向Intune新增功能、开发中的功能和更多培训的链接。 在Microsoft Intune管理中心，选择“主页”。

2023 年 10 月 16 日当周

租户管理

endpoint.microsoft.com URL 重定向到 intune.microsoft.com

此前，已宣布Microsoft Intune管理中心有一个新的 URL (https://intune.microsoft.com) 。

URL https://endpoint.microsoft.com 现在重定向到 https://intune.microsoft.com。

2023 年 9 月 18 日 (服务版本 2309)

应用管理

适用于 Windows 正式版的 MAM

现在，可以通过 Microsoft Edge 在个人 Windows 设备上启用对组织数据的受保护 MAM 访问。 此功能使用以下功能：

• Intune应用程序配置策略 (ACP) 自定义 Microsoft Edge 中的组织用户体验
• Intune应用程序保护策略 (应用) 来保护组织数据并确保使用 Microsoft Edge 时客户端设备正常运行
• Windows 安全中心中心威胁防御与 Intune 应用集成，用于检测个人 Windows 设备上的本地运行状况威胁
• 应用程序保护条件访问：在通过 Microsoft Entra ID 授予受保护的服务访问权限之前，确保设备受保护且正常运行。

Intune适用于 Windows 的移动应用程序管理 (MAM) 适用于Windows 11版本 10.0.22621 (22H2) 或更高版本。 此功能包括Microsoft Intune (2309 版本) 、Microsoft Edge (v117 稳定分支及更高版本) 的支持更改，以及 Windows 安全中心 Center (v 1.0.2309.xxxxx 及更高版本) 。 应用保护条件访问以公共预览版提供。

主权云支持有望在将来推出。 有关详细信息，请参阅 windows 应用保护策略设置。

设备配置

未成功部署的 OEMConfig 配置文件不会显示为“挂起”

对于 Android Enterprise 设备，可以创建配置策略来配置 OEMConfig 应用 (设备>配置>Create>Android Enterprise for platform >OEMConfig 的配置文件类型) 。

以前，超过 350 KB 的 OEMConfig 配置文件显示“挂起”状态。 此行为已更改。 超过 350 KB 的 OEMConfig 配置文件不会部署到设备。 处于挂起状态的配置文件或大于 350 KB 的配置文件不会显示。 仅显示成功部署的配置文件。

此更改仅是 UI 更改。 不会对相应的 Microsoft Graph API 进行更改。

若要在Intune管理中心监视配置文件挂起状态，请转到“设备>配置>”“选择配置文件>设备状态”。

应用于：

• Android Enterprise

有关 OEM 配置的详细信息，请参阅在 Microsoft Intune 中使用和管理 OEMConfig 的 Android Enterprise 设备。

配置刷新设置位于 Windows 预览体验成员的设置目录中

在 Windows 设置目录中，可以配置 配置刷新。 借助此功能，你可以设置 Windows 设备重新应用以前收到的策略设置的节奏，而无需设备检查Intune。

配置刷新：

• 启用配置刷新
• 刷新节奏 (分钟)

应用于：

• Windows 11

有关设置目录的详细信息，请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

Apple 设置目录中现在提供托管设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

“托管设置”命令中的设置在“设置目录”中可用。 在Microsoft Intune管理中心，可以在“设备>配置>Create>iOS/iPadOS>设置目录”中查看配置文件类型的这些设置。

托管设置 > 应用分析：

• 已启用：如果为 true，则启用与应用开发人员共享应用分析。 如果为 false，则禁用共享应用分析。

应用于：

• 共享 iPad

托管设置 > 辅助功能设置：

• 启用加粗文本
• 已启用灰度
• 已启用“增加对比度”
• 启用“减少运动”
• 已启用降低透明度
• 文本大小
• 启用触摸调节
• 已启用 Voice Over
• 已启用缩放

托管设置 > 软件更新设置：

• 建议节奏：此值定义系统向用户提供软件更新的方式。

托管设置 > 时区：

• 时区：Internet 号码分配机构 (IANA) 时区数据库名称。

应用于：

• iOS/iPadOS

托管设置 > 蓝牙：

• 已启用：如果为 true，则启用蓝牙设置。 如果为 false，请禁用蓝牙设置。

托管设置 > MDM 选项：

• 受监督时允许的激活锁定：如果为 true，则当用户启用“查找我”时，受监督设备会向激活锁注册自身。

应用于：

• iOS/iPadOS
• macOS

有关这些设置的详细信息，请参阅 Apple 的开发人员网站。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有一个新设置。 若要查看此设置，请在 Microsoft Intune 管理中心中，转到配置文件类型的“设备>配置>Create>macOS>设置目录”。

> Microsoft Defender云提供的保护首选项：

• 云块级别

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

Intune与 Zebra 救生员空中服务集成已正式发布

Microsoft Intune支持与 Zebra Lifeguard 无线服务集成，这使你可以通过无线方式向注册Intune的合格 Zebra 设备提供 OS 更新和安全修补程序。 可以选择要部署的固件版本、设置计划以及错开更新下载和安装。 还可以针对何时发生更新设置最低电池电量、充电状态和网络条件要求。

此集成现已正式发布，适用于运行 Android 8 或更高版本的 Android Enterprise 专用和完全托管的 Zebra 设备。 它还需要 Zebra 帐户和Intune计划 2 或Microsoft Intune Suite。

以前，此功能以公共预览版提供，可供免费使用。 此版本正式发布后，此解决方案现在需要附加许可证以供使用。

有关许可详细信息，请参阅Intune加载项。

设备注册

使用工作配置文件注册 Android Enterprise 的完全托管和公司拥有的设备在注册过程中的 SSO 支持

Intune支持在 Android Enterprise 设备上使用工作配置文件完全托管或公司拥有的单一登录 (SSO) 。 在注册期间添加 SSO 后，注册其设备的最终用户只需使用其工作或学校帐户登录一次。

应用于：

• 具有工作配置文件的 Android Enterprise 公司拥有的设备
• Android Enterprise 完全托管设备

有关这些注册方法的详细信息，请参阅：

• 设置 Android Enterprise 公司拥有的工作配置文件设备的 Intune 注册
• 为 Android Enterprise 完全托管设备设置注册

设备管理

macOS 上的远程帮助简介

远程帮助 Web 应用允许用户连接到 macOS 设备并加入仅查看远程协助会话。

应用于：

• 11 大苏尔
• 12 蒙特利
• 13 文图拉

有关 macOS 上的远程帮助的详细信息，请参阅 远程帮助。

管理证书到期日期

管理证书过期日期作为 “设备” 工作负荷中的一列提供。 可以筛选管理证书的到期日期范围，还可以导出过期日期与筛选器匹配的设备列表。

可通过选择“设备所有设备>”在管理中心Microsoft Intune获取此信息。

Windows Defender应用程序控制 (WDAC) 引用已更新为适用于企业的应用控制

Windows 已Windows Defender应用程序控制 (WDAC) 重命名为适用于企业的应用控制。 通过此更改，Intune文档中的引用和Intune管理中心将更新，以反映此新名称。

Intune支持 iOS/iPadOS 15.x 作为最低版本

Apple 发布了 iOS/iPadOS 版本 17。 现在，Intune支持的最低版本是 iOS/iPadOS 15.x。

应用于：

• iOS/iPadOS

有关此更改的详细信息，请参阅规划更改：Intune正在迁移以支持 iOS/iPadOS 15 及更高版本。

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况，其支持声明略有细微差别。 有关详细信息，请参阅 无用户设备的受支持与允许的 iOS/iPadOS 版本的支持声明。

政府租户对终结点安全性应用程序控制策略和托管安装程序的支持

我们已向以下主权云环境添加了对使用终结点安全性 应用程序控制策略和配置托管安装程序的支持：

• 美国政府云
• 世纪互联在中国

对应用程序控制策略和托管安装程序的支持最初 在 2023 年 6 月以预览版发布。 Intune 中的应用程序控制策略是 Defender 应用程序控制 (WDAC) 的实现。

设备安全性

Windows 365设备的终结点特权管理支持

现在可以使用 Endpoint Privilege Management 来管理Windows 365设备上的应用程序提升， (也称为云电脑) 。

此支持不包括 Azure 虚拟桌面。

Endpoint Privilege Management 的发布者提供的提升报告

我们发布了名为 “发布者提升报告 ”的新报表，用于 Endpoint Privilege Management (EPM) 。 使用此 新报表 ，可以查看所有托管和非托管提升，这些提升由提升的应用的发布者聚合。

可以在 Intune 管理中心的 EPM 报表节点中找到报表。 导航到 “终结点安全>终结点特权管理 ”，然后选择“ 报告 ”选项卡。

macOS 支持Intune终结点检测和响应的终结点安全策略

Intune终结点检测和响应的终结点安全策略 (EDR) 现在支持 macOS。 为了启用此支持，我们添加了 适用于 macOS 的新 EDR 模板配置文件。 将此配置文件用于通过 Intune 注册的 macOS 设备和通过 Defender for Endpoint 安全设置管理方案选择加入公共预览版管理的 macOS 设备。

适用于 macOS 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记” 类别的以下设置：

• 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。
• 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。

若要详细了解适用于 macOS 的 Defender for Endpoint 设置，请参阅 Defender 文档中的在 macOS 上设置Microsoft Defender for Endpoint首选项。

Linux 支持Intune终结点检测和响应的终结点安全策略

Intune终结点检测和响应的终结点安全策略 (EDR) 现在支持 Linux。 为了启用此支持，我们添加了 适用于 Linux 的新 EDR 模板配置文件。 将此配置文件用于注册Intune的 Linux 设备和通过 Defender for Endpoint 安全设置管理方案的选择加入公共预览版管理的 Linux 设备。

适用于 Linux 的 EDR 模板包括 Defender for Endpoint 中的 “设备标记 ”类别的以下设置：

• 标记的值 - 每个标记只能设置一个值。 标记的类型是唯一的，不应在同一配置文件中重复。
• 标记的类型 – GROUP 标记，使用指定值标记设备。 标记反映在设备页上的管理中心中，可用于筛选和分组设备。

若要详细了解适用于 Linux 的 Defender for Endpoint 设置，请参阅 Defender 文档中的 Set preferences for Microsoft Defender for Endpoint on Linux。

监视和疑难解答

更新了 Windows 10 及更高版本的更新通道的报告

Windows 10 及更高版本的更新通道的报告已更新为使用Intune改进的报告基础结构。 这些更改与其他Intune功能引入的类似改进一致。

对于 Windows 10 及更高版本的更新通道报表的此更改，在 Intune 管理中心中选择更新通道策略时，没有用于“概述”、“管理”或“监视”选项的左窗格导航。 相反，策略视图会打开一个窗格，其中包含以下策略详细信息：

• Essentials - 包括策略名称、创建和修改日期以及更多详细信息。
• 设备和用户检查状态 - 此视图是默认报表视图，包括：
  • 此策略的设备状态的高级概述，以及用于打开更全面的报表视图的 “查看报告 ”按钮。
  • 分配给策略的设备返回的不同设备状态值的简化表示形式和计数。 简化条形图和图表取代了以前的报告表示形式中显示的圆环图。
• 另外两个报表磁贴，用于打开更多报表。 这些磁贴包括：
  • 设备分配状态 – 此报告与以前的设备状态和用户状态报告（不再可用）合并了相同的信息。 但是，通过此更改，基于用户名的透视和钻取不再可用。
  • 按设置状态 – 此新报表提供与默认设置配置不同的每个设置的成功指标，从而提供可能未成功部署到组织的设置的新见解。
• 属性 - 查看策略的每个配置页的详细信息，包括 编辑 每个区域配置文件详细信息的选项。

有关Windows 10及更高版本更新通道的报告的详细信息，请参阅针对Microsoft Intune Windows 更新报表一文中的针对Windows 10的更新通道和更高版本的策略的报告。

基于角色的访问权限

更新 UpdateEnrollment 的范围

随着 新角色 UpdateEnrollment 的引入， UpdateOnboarding 的范围将得到更新。

自定义和内置角色的 UpdateOnboarding 设置已修改为仅管理或更改 Android Enterprise 绑定，以托管 Google Play 和其他帐户范围的配置。 任何使用 UpdateOnboarding 的内置角色现在都将包含 UpdateEnrollmentProfiles 。

资源名称正在从 Android for work 更新到 Android Enterprise。

有关详细信息，请参阅 Microsoft Intune 的基于角色的访问控制 (RBAC)。

2023 年 9 月 11 日当周

设备配置

远程帮助上的远程启动简介

借助远程启动，帮助程序可以通过向用户的设备发送通知，从Intune在帮助者和用户的设备上无缝启动远程帮助。 此功能允许支持人员和共享者快速连接到会话，而无需交换会话代码。

应用于：

• windows 10/11

有关详细信息，请参阅 远程帮助。

2023 年 9 月 4 日当周

设备管理

Microsoft Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Microsoft Intune已于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持， (GMS) 。 在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。

如果当前使用设备管理员管理，建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。

有关详细信息，请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。

2023 年 8 月 28 日当周

设备配置

Windows 和 Android 支持 SCEP 和 PFX 证书配置文件的 4096 位密钥大小

Intune适用于 Windows 和 Android 设备的 SCEP 证书配置文件和 PKCS 证书配置文件现在支持密钥大小 (位) 4096。 此密钥大小可用于选择编辑的新配置文件和现有配置文件。

• SCEP 配置文件始终包含 密钥大小 (位) 设置，现在支持 4096 作为可用的配置选项。
• PKCS 配置文件不包括直接 设置的密钥大小 (位) 。 相反，管理员必须 修改证书颁发机构上的证书模板 ，以将 “最小密钥大小 ”设置为 4096。

如果使用第三方证书颁发机构 (CA) ，则可能需要联系供应商以获取有关实现 4096 位密钥大小的帮助。

更新或部署新的证书配置文件以利用此新密钥大小时，建议使用交错部署方法。 此方法有助于避免同时在大量设备上产生对新证书的过度需求。

使用此更新时，请注意 Windows 设备上的以下限制：

• 仅 软件密钥存储提供程序 (KSP) 支持 4096 位密钥存储。 以下项不支持存储此大小的密钥：
  • 硬件 TPM (受信任的平台模块) 。 解决方法是使用软件 KSP 进行密钥存储。
  • Windows Hello 企业版。 目前没有解决方法。

租户管理

多个管理员审批的访问策略现已正式发布

多个管理员审批的访问策略已推出公共预览版，现已正式发布。 使用这些策略，可以保护资源（例如应用部署），方法是要求对部署的任何更改在应用该更改之前，由资源 审批者 中的一组用户之一批准。

有关详细信息，请参阅 使用访问策略要求多个管理批准。

2023 年 8 月 21 日 (服务版本 2308)

应用管理

托管主屏幕提示最终用户授予确切的警报权限

托管主屏幕使用确切的警报权限执行以下操作：

• 在设备上处于非活动状态的设定时间后自动注销用户
• 在设定的处于非活动状态的时间段后启动屏幕保护程序
• 在用户退出展台模式的某个时间段后自动重新启动 MHS

对于运行 Android 14 及更高版本的设备，默认情况下，将拒绝确切的警报权限。 为了确保关键用户功能不受影响，系统会在首次启动托管主屏幕时提示最终用户授予确切的警报权限。 有关详细信息，请参阅配置适用于 Android 企业的 Microsoft 托管主屏幕 应用和 Android 开发人员文档。

托管主屏幕通知

对于运行面向 API 级别 33 的 Android 13 或更高版本的 Android 设备，默认情况下，应用程序无权发送通知。 在以前版本的 托管主屏幕中，当管理员启用了自动重新启动托管主屏幕时，会显示一条通知，提醒用户重新启动。 为了适应对通知权限的更改，在管理员启用了自动重新启动托管主屏幕的情况下，应用程序现在将显示一条 Toast 消息，提醒用户重新启动。 托管主屏幕能够自动授予此通知的权限，因此管理员配置托管主屏幕以适应 API 级别 33 的通知权限更改，无需进行更改。 有关 Android 13 (API 级别 33) 通知消息的详细信息，请参阅 Android 开发人员文档。 有关托管主屏幕的详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

新的 macOS Web 剪辑应用类型

在 Intune 中，最终用户可以将 Web 应用固定到 macOS 设备上的扩展坞 (应用>macOS>添加>macOS Web 剪辑) 。

应用于：

• macOS

有关可配置的设置的详细信息，请参阅将 Web 应用添加到Microsoft Intune。

Win32 应用可配置安装时间

在 Intune 中，可以设置可配置的安装时间来部署 Win32 应用。 此时间以分钟为单位。 如果应用安装时间长于设置的安装时间，则系统将无法安装应用。 最大超时值为 1440 分钟 (1 天) 。 有关 Win32 应用的详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

Samsung Knox 条件启动检查

可以在 Samsung Knox 设备上添加更多设备运行状况泄露检测。 在新的 Intune 应用保护策略中使用条件启动检查，可以要求在兼容的 Samsung 设备上执行硬件级设备篡改检测和设备证明。 有关详细信息，请参阅 Microsoft Intune 中 Android 应用保护策略设置的条件启动部分中的 Samsung Knox 设备证明设置。

设备配置

android 公共预览版中的远程帮助

远程帮助以公共预览版的形式提供，适用于 Zebra 和 Samsung 的 Android Enterprise 专用设备。 借助远程帮助，IT 专业人员可以远程查看设备屏幕，并在有人参与和无人参与的情况下完全控制设备屏幕，从而快速高效地诊断和解决问题。

应用于：

• 由 Zebra 或 Samsung 制造的 Android Enterprise 专用设备

有关详细信息，请参阅 Android 上的远程帮助。

组策略分析已正式发布

组策略分析已正式发布 (GA) 。 使用组策略分析分析本地组策略对象 (GPO) 将其迁移到Intune策略设置。

应用于：

• Windows 11
• Windows 10

有关组策略分析的详细信息，请参阅在 Microsoft Intune 中使用组策略分析分析本地 GPO。

Apple 设置目录中提供的新 SSO、登录、限制、密码和篡改防护设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>配置>Create>iOS/iPadOS 或 macOS>设置目录”以获取配置文件类型。

iOS/iPadOS 17.0 及更高版本

限制:

• 在 Mac 上允许 iPhone 小组件

macOS

> Microsoft Defender篡改防护：

• 进程的参数
• 进程路径
• 进程的签名标识符
• 进程的团队标识符
• 进程排除

macOS 13.0 及更高版本

认证 >Extensible 单一登录 (SSO) ：

• 帐户显示名称
• 其他组
• 管理员组
• 身份验证方法
• 授权权限
• 组
• 授权组
• 启用授权
• 在登录时启用Create用户
• 登录频率
• 新建用户授权模式
• 帐户名
• 全名
• 令牌到用户的映射
• 用户授权模式
• 使用共享设备密钥

macOS 14.0 及更高版本

登录 > 登录窗口行为：

• 自动登录密码
• 自动登录用户名

限制:

• 允许 ARD 远程管理修改
• 允许蓝牙共享修改
• 允许云自由格式
• 允许文件共享修改
• 允许 Internet 共享修改
• 允许创建本地用户
• 允许打印机共享修改
• 允许远程 Apple 事件修改
• 允许启动磁盘修改
• 允许时间计算机备份

安全 > 密码：

• 密码内容说明
• 密码内容正则表达式

设备注册

具有新式身份验证的 iOS/iPadOS 设置助手的实时注册和合规性修正现已正式发布

恰好 (JIT) 注册和新式身份验证设置助手的合规性修正现已推出预览版，现已正式发布。 使用实时注册时，设备用户无需使用 公司门户 应用进行Microsoft Entra注册和合规性检查。 JIT 注册和合规性修正嵌入到用户的预配体验中，因此他们可以查看其符合性状态，并在尝试访问的工作应用中执行操作。 此外，这会跨设备建立单一登录。 有关如何设置 JIT 注册的详细信息，请参阅 设置实时注册。

正在等待 iOS/iPadOS 自动设备注册的最终配置现已正式发布

现在正式发布， 等待最终配置 可在设置助手结束时提供锁定体验，以确保在设备上安装关键设备配置策略。 锁定体验适用于面向新注册配置文件和现有注册配置文件的设备。 支持的设备包括:

• 使用新式身份验证使用设置助理注册的 iOS/iPadOS 13+ 设备
• 在没有用户关联的情况下注册的 iOS/iPadOS 13+ 设备
• 使用Microsoft Entra ID共享模式注册的 iOS/iPadOS 13+ 设备

此设置在设置助理中的现装自动设备注册体验期间应用一次。 设备用户不会再次体验它，除非他们重新注册其设备。 默认情况下，为新的注册配置文件启用等待最终配置。 有关如何启用等待最终配置的信息，请参阅 Create Apple 注册配置文件。

设备管理

对 Android 通知权限提示行为的更改

我们更新了 Android 应用处理通知权限的方式，以与 Google 最近对 Android 平台所做的更改保持一致。 由于 Google 更改，向应用授予通知权限，如下所示：

• 在运行 Android 12 及更早版本的设备上：默认情况下，允许应用向用户发送通知。
• 在运行 Android 13 及更高版本的设备上：通知权限因应用目标 API 而异。
  • 面向 API 32 及更低版本的应用：Google 添加了通知权限提示，当用户打开应用时显示该提示。 管理应用仍然可以配置应用，以便自动向其授予通知权限。
  • 面向 API 33 及更高版本的应用：应用开发人员定义何时显示通知权限提示。 管理应用仍然可以配置应用，以便自动向其授予通知权限。

现在，应用面向 API 33，你和设备用户将看到以下更改：

• 用于工作配置文件管理的公司门户：用户在首次打开公司门户的个人实例中看到通知权限提示。 用户在 公司门户 的工作配置文件实例中看不到通知权限提示，因为工作配置文件中的公司门户自动允许通知权限。 用户可以在“设置”应用中将应用通知静音。
• 用于设备管理员管理的公司门户：用户在首次打开公司门户应用时看到通知权限提示。 用户可以在“设置”应用中调整应用通知设置。
• Microsoft Intune应用：对现有行为没有更改。 用户看不到提示，因为自动允许Microsoft Intune应用发送通知。 用户可以在“设置”应用中调整某些应用通知设置。
• Microsoft Intune适用于 AOSP 的应用：对现有行为没有更改。 用户看不到提示，因为自动允许Microsoft Intune应用发送通知。 用户无法在“设置”应用中调整应用通知设置。

设备安全性

用于部署 Defender 更新的 Defender 更新控件现已正式发布

用于管理Microsoft Defender更新设置的 Intune Endpoint 安全防病毒策略的 Defender 更新控件配置文件现已正式发布。 此配置文件可用于Windows 10、Windows 11和 Windows Server 平台。 在公共预览版中，此配置文件可用于Windows 10及更高版本的平台。

该配置文件包括用于设备和用户接收与每日安全智能更新、每月平台更新和每月引擎更新相关的 Defender 汇报推出发布通道的设置。

此配置文件包括以下设置，这些设置均直接从 Defender CSP - Windows 客户端管理获取。

• 引擎汇报通道
• 平台汇报通道
• 安全智能汇报通道

这些设置也可从Windows 10及更高版本的配置文件的设置目录中获取。

终结点特权管理的应用程序的提升报告

我们为 Endpoint Privilege Management (EPM) 的应用程序发布了名为 “提升报告 ”的新报告。 使用此 新报表 ，可以查看所有托管和非托管提升，这些提升由提升的应用程序聚合。 此报表可帮助你识别可能需要提升规则才能正常运行的应用程序，包括子进程规则。

可以在 Intune 管理中心的 EPM 报表节点中找到报表。 导航到 “终结点安全>终结点特权管理 ”，然后选择“ 报告 ”选项卡。

适用于 macOS 防病毒策略的新设置

macOS 设备的Microsoft Defender防病毒配置文件已更新为另外 9 个设置和 3 个新设置类别：

防病毒引擎 - 以下设置是此类别中的新增设置：

• 按需扫描的并行度 – 指定按需扫描的并行度。 此设置对应于用于执行扫描并影响 CPU 使用率的线程数，以及按需扫描的持续时间。
• 启用文件哈希计算 - 启用或禁用文件哈希计算功能。 启用此功能后，Windows Defender计算它扫描的文件的哈希。 此设置有助于提高自定义指示器匹配项的准确性。 但是，启用“启用文件哈希计算”可能会影响设备性能。
• 更新定义后运行扫描 - 指定在设备上下载新的安全智能更新后是否启动进程扫描。 启用此设置会在设备的正在运行的进程上触发防病毒扫描。
• 扫描存档文件 - 如果为 true，Defender 将解压缩存档并扫描其中的文件。 否则，将跳过存档内容，从而提高扫描性能。

网络保护 - 包含以下设置的新类别：

• 强制级别 – 配置此设置以指定是 禁用、 处于审核模式还是 强制实施网络保护。

防篡改 - 包含以下设置的新类别：

• 强制级别 - 指定是 禁用篡改保护、处于 审核模式还是 强制实施篡改保护。

用户界面首选项 - 包含以下设置的新类别：

• 控制对使用者版本的登录 - 指定用户是否可以登录到Microsoft Defender的使用者版本。
• 显示/隐藏状态菜单图标 – 指定状态菜单图标 (显示在屏幕右上角，) 是否隐藏。
• 用户发起的反馈 - 指定用户是否可以通过转到“帮助>发送反馈”向 Microsoft提交反馈。

创建的新配置文件包括原始设置和新设置。 现有配置文件会自动更新以包含新设置，每个新设置都设置为“ 未配置 ”，直到你选择编辑该配置文件来更改它。

有关如何在企业组织中为 macOS 上的Microsoft Defender for Endpoint设置首选项的详细信息，请参阅在 macOS 上设置Microsoft Defender for Endpoint首选项。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Mackey LLC (iOS) 的 VerityRMS

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

CloudDesktop 日志现在随 Windows 诊断 数据一起收集

从 Windows 设备收集诊断Intune远程操作现在将数据包含在日志文件中。

日志文件：

• %temp%\CloudDesktop*.log

Intune终结点分析中的异常情况检测设备队列已正式发布

Intune终结点分析中的异常情况检测设备队列现已正式发布。

设备队列在与高严重性或中等严重性异常相关的设备中标识。 设备根据一个或多个共同因素（例如应用版本、驱动程序更新、OS 版本、设备模型）关联到组中。 相关组将包含详细视图，其中包含有关该组中所有受影响设备之间的常见因素的关键信息。 还可以查看当前受异常和“有风险”设备的细分。 “有风险”设备尚未显示异常症状。

有关详细信息，请参阅 终结点分析中的异常情况检测。

改进了 Endpoint Analytics 中设备时间线的用户体验

终结点分析中用于设备时间线的用户界面 (UI) 得到改进，并包括更高级的功能 (对排序、搜索、筛选和导出) 的支持。 在终结点分析中查看特定设备时间线时，可以按事件名称或详细信息进行搜索。 还可以筛选事件，选择设备上显示的事件的源和级别时间线并选择感兴趣的时间范围。

有关详细信息，请参阅增强的设备时间线。

符合性策略和报告的汇报

我们对Intune合规性策略和报告进行了多项改进。 通过这些更改，报表更符合设备配置文件和报表的使用体验。 我们更新了 合规性报告文档 ，以反映可用的合规性报告改进。

合规性报告改进包括：

• Linux 设备的符合性详细信息。
• 重新设计的报表是最新和简化的，更新的报表版本开始替换旧报表版本，这些版本将保留一段时间。
• 查看符合性策略时，没有左窗格导航。 相反，策略视图打开到一个窗格，该窗格默认为“监视”选项卡及其设备状态视图。
  • 此视图提供此策略的设备状态的高级概述，支持钻取以查看完整报告，以及同一策略的按设置状态视图。
  • 圆环图替换为分配了策略的设备返回的不同设备状态值的简化表示形式和计数。
  • 可以选择“属性”选项卡以查看策略详细信息，并查看和编辑其配置和分配。
  • 删除Essentials部分，这些详细信息显示在策略的“属性”选项卡中。
• 更新的状态报告支持按列排序、使用筛选器和搜索。 结合这些增强功能，可以透视报表以显示当时要查看的特定详细信息子集。 通过这些增强功能，我们删除了 用户状态 报告，因为它已变得多余。 现在，在查看默认设备状态报表时，可以通过在“用户主体名称”列上排序或在搜索框中搜索特定用户名来集中显示用户状态中提供的相同信息。
• 查看状态报表时，在钻取更深入的见解或详细信息时，Intune显示的设备计数现在在不同的报表视图之间保持一致。

有关这些更改的详细信息，请参阅 上的 Intune 支持团队博客https://aka.ms/Intune/device_compl_report。

2023 年 8 月 14 日当周

应用管理

使用“关闭应用商店应用程序”设置禁用最终用户对应用商店应用的访问，并允许托管Intune应用商店应用

在 Intune中，可以使用新的应用商店应用类型将应用商店应用部署到设备。

现在，可以使用 关闭应用商店应用程序 策略来禁用最终用户对应用商店应用的直接访问。 禁用后，最终用户仍可以从 Windows 公司门户 应用和Intune应用管理访问和安装应用商店应用。 如果要允许在Intune外部随机安装应用商店应用，请不要配置此策略。

前面的“仅在 Microsoft Store 应用内显示专用应用商店”策略不会阻止最终用户使用 Windows 程序包管理器 winget API 直接访问应用商店。 因此，如果目标是阻止在客户端设备上随机安装非托管应用商店应用程序，则建议使用 “关闭应用商店应用程序 ”策略。 不要使用 “仅在 Microsoft Store 应用内显示专用存储”策略 。 应用于：

• Windows 10 及更高版本

有关详细信息，请参阅将 Microsoft Store 应用添加到Microsoft Intune。

2023 年 8 月 7 日当周

基于角色的访问控制

在资源 Android for work 下引入新的基于角色的访问控制 (RBAC) 权限

引入新的 RBAC 权限，用于在资源 Android for work 下Intune创建自定义角色。 权限 更新注册配置文件 允许管理员管理或更改用于注册设备的 AOSP 和 Android 企业设备所有者注册配置文件。

有关详细信息，请参阅Create自定义角色。

2023 年 7 月 31 日当周

设备安全性

Intune终结点安全磁盘加密策略的新 BitLocker 配置文件

我们发布了为终结点安全磁盘加密策略创建新的 BitLocker 配置文件的新体验。 编辑以前创建的 BitLocker 策略的体验保持不变，你可以继续使用它们。 此更新仅适用于为 Windows 10 及更高版本平台创建的新 BitLocker 策略。

此更新是持续 推出的终结点安全策略新配置文件的一部分，该配置文件从 2022 年 4 月开始。

应用管理

使用 Windows 公司门户卸载 Win32 和 Microsoft Store 应用

如果应用分配为可用并由最终用户按需安装，则最终用户可以使用 Windows 公司门户卸载 Win32 应用和 Microsoft Store 应用。 对于 Win32 应用，可以选择启用或禁用此功能， (默认) 。 对于 Microsoft Store 应用，此功能始终处于打开状态，可供最终用户使用。 如果最终用户可以卸载应用，则最终用户将能够为 Windows 公司门户中的应用选择“卸载”。 相关信息请参阅将应用添加到 Microsoft Intune。

2023 年 7 月 24 日 (服务版本 2307)

应用管理

Intune支持新的 Google Play Android 管理 API

已对托管 Google Play 公共应用在 Intune 中的管理方式进行了更改。 这些更改旨在支持 Google 的 Android 管理 API ， (打开 Google 的网站) 。

应用于：

• Android Enterprise

若要详细了解对管理员和用户体验的更改，请参阅支持提示：Intune移动到支持新的 Google Play Android 管理 API。

Android Enterprise 公司拥有的设备的应用报表

现在，可以查看一个报表，其中包含在设备上找到的所有应用，适用于 Android Enterprise 公司拥有的方案，包括系统应用。 通过选择“应用监视>发现的应用>”，可在管理中心Microsoft Intune获取此报告。 你将看到设备上检测到已安装的所有应用的应用程序名称和版本。 应用信息最长可能需要 24 小时才能填充报表。

有关相关信息，请参阅Intune发现的应用。

将非托管 PKG 类型应用程序添加到托管 macOS 设备 [公共预览版]

现在，可以使用适用于 macOS 设备的 Intune MDM 代理，将非托管 PKG 类型应用程序上传并部署到托管的 macOS 设备。 使用此功能可以部署自定义 PKG 安装程序，例如未签名的应用和组件包。 可以通过为应用类型选择“应用>macOS>添加>macOS 应用 (PKG) ”，在 Intune 管理中心添加 PKG 应用。

应用于：

• macOS

有关详细信息，请参阅将非托管 macOS PKG 应用添加到Microsoft Intune。 若要部署托管 PKG 类型应用，可以继续将 macOS 业务线 (LOB) 应用添加到Microsoft Intune。 有关适用于 macOS 设备的 Intune MDM 代理的详细信息，请参阅 macOS Microsoft Intune管理代理。

适用于 iOS/iPadOS Web 剪辑应用类型的新设置

在 Intune中，可以将 Web 应用固定到 iOS/iPadOS 设备 (应用>iOS/iPadOS>添加>iOS/iPadOS Web 剪辑) 。 添加 Web 剪辑时，有可用的新设置：

• 全屏：如果配置为 “是”，则会在不使用浏览器的情况下以全屏 Web 应用的形式启动 Web 剪辑。 没有 URL，也没有搜索栏，也没有书签。
• 忽略清单范围：如果配置为 “是”，全屏 Web 剪辑可以在不显示 Safari UI 的情况下导航到外部网站。 否则，当导航离开 Web 剪辑的 URL 时，将显示 Safari UI。 当 “全屏 ”设置为“ 否”时，此设置不起作用。 在 iOS 14 及更高版本中可用。
• 预编译：如果配置为 “是”，则阻止 Apple 的应用程序启动器 (SpringBoard) 向图标添加“shine”。
• 目标应用程序捆绑标识符：输入应用程序捆绑标识符，该标识符指定打开 URL 的应用程序。 在 iOS 14 及更高版本中可用。

应用于：

• iOS/iPadOS

有关详细信息，请参阅将 Web 应用添加到Microsoft Intune。

添加Windows PowerShell脚本时更改为默认设置

在 Intune 中，可以使用策略将Windows PowerShell脚本部署到 Windows 设备， (设备>脚本>添加>Windows 10及更高版本) 。 添加Windows PowerShell脚本时，会配置一些设置。 为了增加Intune的默认安全行为，以下设置的默认行为已更改：

• “使用登录凭据运行此脚本”设置默认为“是”。 以前，默认值为 “否”。
• “强制脚本签名检查”设置默认为“是”。 以前，默认值为 “否”。

此行为适用于添加的新脚本，不适用于现有脚本。

应用于：

• Windows 10 及更高版本（Windows 10 家庭版除外）

有关在 Intune 中使用Windows PowerShell脚本的详细信息，请参阅在 Intune 中的 Windows 10/11 设备上使用 PowerShell 脚本。

设备配置

添加了对范围标记的支持

现在，可以在公共预览版) 中使用 Zebra LifeGuard 无线集成 (创建部署时添加范围标记。

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在Microsoft Intune管理中心，可以在“设备>配置>Create macOS”中查看这些设置，>了解配置文件类型的平台>设置目录。

Microsoft AutoUpdate (MAU) ：

• 当前频道 (每月)

> Microsoft Defender用户界面首选项：

• 控制对使用者版本的登录

Microsoft Office > Microsoft Outlook：

• 禁用 Do not send response

用户体验 > 停靠：

• MCX 扩展坞特殊文件夹

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

MAC 地址终结点的合规性检索服务支持

现在，我们已向合规性检索服务添加了 MAC 地址支持。

CR 服务的初始版本包括仅使用Intune设备 ID 的支持，目的是消除管理内部标识符（如序列号和 MAC 地址）的需要。 通过此更新，喜欢使用 MAC 地址而不是证书身份验证的组织可以在实现 CR 服务时继续这样做。

虽然此更新向 CR 服务添加了 MAC 地址支持，但我们建议将基于证书的身份验证与证书中包含的Intune设备 ID 一起使用。

有关 CR 服务作为 Intune 网络访问控制 (NAC) 服务的替代的信息，请参阅 Intune https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696博客。

Intune安全基线中的设置见解已正式发布

宣布在 Microsoft Intune 中正式发布“设置见解”。

设置见解功能增加了对设置的见解，让你对类似组织已成功采用的配置充满信心。 设置见解目前可用于安全基线。

导航到 “终结点安全性安全>基线”。 创建和编辑工作流时，这些见解可用于使用灯泡的所有设置。

设备安全性

对 Azure 虚拟桌面上的 Windows 的篡改防护支持

Intune现在支持使用终结点安全防病毒策略来管理 Azure 虚拟桌面多会话设备上的 Windows 的篡改防护。 对篡改防护的支持要求设备在应用启用篡改保护的策略之前加入到Microsoft Defender for Endpoint。

用于终结点特权管理的 EpmTools PowerShell 模块

EpmTools PowerShell 模块现在可用于 Intune Endpoint Privilege Management (EPM) 。 EpmTools 包括 Get-FileAttributes 等 cmdlet，可用于检索文件详细信息以帮助生成准确的提升规则，以及可用于排查或诊断 EPM 策略部署的其他 cmdlet。

有关详细信息，请参阅 EpmTools PowerShell 模块。

用于管理子进程的提升规则的终结点特权管理支持

使用 Intune Endpoint Privilege Management (EPM) 可以管理允许哪些文件和进程在 Windows 设备上以管理员身份运行。 现在，EPM 提升规则 支持新设置 “子进程行为”。

使用 子进程行为，规则可以管理托管进程创建的任何子进程的提升上下文。 选项包括：

• 允许托管进程创建的所有子进程始终作为提升进程运行。
• 仅当子进程与管理其父进程的规则匹配时，才允许其作为提升的进程运行。
• 拒绝所有子进程在提升的上下文中运行，在这种情况下，它们以标准用户身份运行。

Endpoint Privilege Management 作为Intune加载项提供。 有关详细信息，请参阅使用 Intune 套件加载项功能。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 多莱！ for Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

已更新的“设置符合性和策略符合性”的报告以公共预览版提供

我们发布了两份新报告作为公共预览版，用于Intune设备符合性。 可以在Intune管理中心的“报告>设备符合性>报告”选项卡中找到这些新的预览报表：

• 设置符合性 (预览版)
• 策略符合性 (预览版)

这两个报表都是现有报表的新实例，对旧版本进行了改进，包括：

• Linux 设置和设备的详细信息
• 支持排序、搜索、筛选、导出和分页视图
• 向下钻取报表以获取更深入的详细信息，这些详细信息将根据所选列进行筛选。
• 设备以一次表示。 此行为与原始报表形成鲜明对比，如果多个用户使用该设备，原始报表可能会多次对设备进行计数。

最终，设备>监视器管理中心中仍可用的旧报表版本将停用。

2023 年 7 月 10 日当周

应用管理

汇报到应用配置策略报告

作为我们不断改进Intune报告基础结构的一部分，有几个用户界面 (UI) 应用配置策略报告的更改。 UI 已更新为以下更改：

• 应用配置策略工作负荷的“概述”部分中没有“用户状态”磁贴或“不适用设备”磁贴。
• 应用配置策略工作负荷的“监视”部分没有用户安装状态报告。
• “应用配置策略”工作负荷的“监视”部分下的“设备安装状态报告”不再在“状态”列中显示“挂起”状态。

可以通过选择“应用>”“应用配置策略”，在管理中心Microsoft Intune配置策略报告。

2023 年 7 月 3 日当周

设备管理

Intune对 Android 13 上的 Zebra 设备的支持

Zebra 将在其设备上发布对 Android 13 的支持。 有关详细信息，请参阅 迁移到 Android 13 (打开 Zebra 网站) 。

• Android 13 上的临时问题

  Intune团队在 Zebra 设备上对 Android 13 进行了全面测试。 除设备管理员 (DA) 设备的以下两个临时问题外，一切都继续正常工作。

  对于运行 Android 13 且已注册 DA 管理的 Zebra 设备：

  1. 应用安装不会以无提示方式进行。 相反，如果用户允许通知) 请求允许应用安装的权限，公司门户应用 (会收到通知。 如果用户在出现提示时不接受应用安装，则不会安装该应用。 用户将在通知抽屉中收到永久通知，直到他们允许安装。

  2. 新的 MX 配置文件不适用于 Android 13 设备。 新注册的 Android 13 设备不会从 MX 配置文件接收配置。 以前应用于已注册设备的 MX 配置文件将继续应用。

  在 7 月晚些时候的更新中，这些问题将得到解决，并且行为将恢复到以前的方式。

• 将设备更新到 Android 13

  很快，你将能够使用 Intune 的 Zebra LifeGuard 无线集成将 Android Enterprise 专用和完全托管的设备更新到 Android 13。 有关详细信息，请参阅 Zebra LifeGuard 空中集成与 Microsoft Intune。

  在迁移到 Android 13 之前，请查看 迁移到 Android 13 (打开 Zebra 网站) 。

• 适用于 Android 13 上的 Zebra 设备的 OEMConfig

  Android 13 上的 Zebra 设备的 OEMConfig 需要使用 Zebra 的新 Zebra OEMConfig 提供支持的 MX OEMConfig 应用 (打开 Google Play 商店) 。 此新应用还可以在运行 Android 11 的 Zebra 设备上使用，但不能在早期版本上使用。

  有关此应用的详细信息，请转到 适用于 Android 11 及更高版本的新 Zebra OEMConfig 应用 博客文章。

  旧版 Zebra OEMConfig 应用 (打开 Google Play 商店，) 只能在运行 Android 11 及更早版本的 Zebra 设备上使用。

有关Intune Android 13 支持的更多常规信息，请转到对 Android 13 的 Day Zero 支持和Microsoft Intune博客文章。

设备安全性

Defender for Endpoint 安全设置管理增强功能，以及公共预览版中对 Linux 和 macOS 的支持

使用 Defender for Endpoint 安全设置管理，可以使用 Intune 的终结点安全策略来管理载入到 Defender for Endpoint 但未注册Intune的设备上的 Defender 安全设置。

现在，可以从Microsoft Defender门户中选择加入公共预览版，以访问此方案的多项增强功能：

• Intune的终结点安全策略在 中可见，可以从Microsoft Defender门户中进行管理。 这使安全管理员能够保留在 Defender 门户中以管理 Defender 和用于 Defender 安全设置管理的Intune终结点安全策略。

• 安全设置管理支持将Intune终结点安全防病毒策略部署到运行 Linux 和 macOS 的设备。

• 对于 Windows 设备，安全设置管理现在支持Windows 安全中心体验配置文件。

• 新的载入工作流消除了Microsoft Entra混合加入先决条件。 Microsoft Entra混合加入要求阻止许多 Windows 设备成功加入 Defender for Endpoint 安全设置管理。 通过此更改，这些设备现在可以完成注册并开始处理安全设置管理策略。

• Intune为无法完全注册Microsoft Entra ID的设备在 Microsoft Entra ID 中创建综合注册。 综合注册是在 Microsoft Entra ID 中创建的设备对象，使设备能够接收和报告Intune安全设置管理策略。 此外，如果具有合成注册的设备完全注册，则从Microsoft Entra ID中删除合成注册，以遵循完整注册。

如果未选择加入 Defender for Endpoint 公共预览版，则以前的行为将保持不变。 在这种情况下，虽然可以查看适用于 Linux 的防病毒配置文件，但不能将其部署为仅受 Defender 管理的设备支持。 同样，当前可用于注册Intune设备的 macOS 配置文件不能部署到 Defender 管理的设备。

应用于：

• Linux
• macOS
• Windows

2023 年 6 月 26 日当周

设备配置

Android (AOSP) 支持分配筛选器

Android (AOSP) 支持分配筛选器。 为 Android (AOSP) 创建筛选器时，可以使用以下属性：

• DeviceName
• 制造商
• 模型
• DeviceCategory
• oSVersion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

有关筛选器的详细信息，请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

应用于：

• Android

Windows 设备的按需修正

公共预览版中的新设备操作允许你在单个 Windows 设备上按需运行修正。 “ 运行修正 设备”操作允许你解决问题，而无需等待修正按其分配的计划运行。 还可以在设备的“监视”部分的“修正”下查看修正状态。

“运行修正设备”操作即将推出，可能需要几周时间才能到达所有客户。

有关详细信息，请参阅 修正。

设备管理

Intune 中的 Windows 驱动程序更新管理已正式发布

宣布在 Microsoft Intune 中正式发布 Windows 驱动程序更新管理。 使用驱动程序更新策略，可以查看已分配给策略的Windows 10和Windows 11设备的推荐和适用的驱动程序更新列表。 适用的驱动程序更新是可以更新设备驱动程序版本的驱动程序更新。 驱动程序更新策略自动更新，以在驱动程序制造商发布新更新时添加新更新，并删除不再应用于具有该策略的任何设备的旧驱动程序。

可以为以下两种审批方法之一配置更新策略：

• 使用 自动批准，由驱动程序制造商发布并添加到策略的每个新 建议 驱动程序都将自动批准部署到适用设备。 在设备上安装自动批准的更新之前，可以为自动审批设置的策略配置延迟期。 此延迟使你有时间查看驱动程序并在必要时暂停其部署。

• 通过手动审批，所有新的驱动程序更新都会自动添加到策略，但管理员必须在Windows 更新将其部署到设备之前显式批准每个更新。 手动批准更新时，可以选择Windows 更新开始将其部署到设备的日期。

为了帮助你管理驱动程序更新，请查看策略并拒绝不想安装的更新。 还可以无限期暂停任何已批准的更新，并重新提供暂停的更新以重启其部署。

此版本还包括 驱动程序更新报告 ，这些报告提供成功摘要、每个已批准的驱动程序的每个设备更新状态以及错误和故障排除信息。 还可以选择单个驱动程序更新，并在包含该驱动程序版本的所有策略中查看有关该更新的详细信息。

若要了解如何使用 Windows 驱动程序更新策略，请参阅使用 Microsoft Intune 管理 Windows 驱动程序更新的策略。

应用于：

• Windows 10
• Windows 11

2023 年 6 月 19 日 (服务版本 2306)

应用管理

MAM for Microsoft Edge 商业版 [预览版]

现在，可以通过 Microsoft Edge 在个人 Windows 设备上启用对组织数据的受保护 MAM 访问。 此功能使用以下功能：

• Intune应用程序配置策略 (ACP) 自定义 Microsoft Edge 中的组织用户体验
• Intune应用程序保护策略 (应用) 来保护组织数据并确保使用 Microsoft Edge 时客户端设备正常运行
• Windows Defender客户端威胁防御与 Intune 应用集成，用于检测个人 Windows 设备上的本地运行状况威胁
• 应用程序保护条件访问，以确保设备在通过Microsoft Entra ID授予受保护的服务访问权限之前受到保护且正常运行

有关详细信息，请参阅预览版：应用保护 Windows 的策略设置。

若要参与公共预览版， 请完成选择加入表单。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

设置目录中提供了一个新设置。 在 Microsoft Intune 管理中心中，可以在设备>配置>Create>iOS/iPadOS 或 macOS 中查看这些设置，了解配置文件类型的平台>设置目录。

iOS/iPadOS

网络 > 网络使用规则：

• SIM 规则

macOS

认证 >Extensible 单一登录 (SSO) ：

• 身份验证方法
• 拒绝的捆绑标识符
• 注册令牌

完整磁盘加密 > FileVault：

• 输出路径
• 用户名
• Password
• UseKeyChain

设备固件配置接口 (DFCI) 支持华硕设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在Microsoft Intune管理中心中，选择“设备>配置>Create>Windows 10及更高版本”，以选择“平台>模板>”“设备固件配置接口”以获取配置文件类型。

某些运行 Windows 10/11 的华硕设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请参阅：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

在 Intune 中删除 Saaswedo Datalert 电信费用管理

在Intune，可以使用 Saaswedo 的 Datalert 电信费用管理来管理电信费用。 此功能已从 Intune 中删除。 此删除操作包括：

• 电信费用管理连接器

• 电信费用 RBAC 类别

  • 读取 权限
  • 更新 权限

有关 Saaswedo 的详细信息，请参阅 datalert 服务不可用 (打开 Saaswedo 的网站) 。

应用于：

• Android
• iOS/iPadOS

Intune安全基线中的设置见解

“设置”见解功能将见解添加到安全基线，让你对类似组织成功采用的配置充满信心。

导航到 “终结点安全性安全>基线”。 创建和编辑工作流时，这些见解以灯泡的形式提供。

设备管理

预览版中新的终结点安全应用程序控制策略

作为公共预览版，可以使用新的终结点安全策略类别“应用程序控制”。 终结点安全应用程序控制策略包括：

• 将 Intune 管理扩展设置为租户范围的托管安装程序的策略。 作为托管安装程序启用后，在启用托管安装程序) 到 Windows 设备后，通过 Intune (部署的应用被Intune标记为已安装。 使用应用程序控制策略管理要允许或阻止哪些应用在托管设备上运行时，此标记将非常有用。

• 作为 Defender 应用程序控制 (WDAC) 实现的应用程序控制策略。 使用终结点安全应用程序控制策略，可以轻松配置允许受信任的应用在托管设备上运行的策略。 受信任的应用由托管安装程序或从应用商店安装。 除了内置信任设置，这些策略还支持自定义 XML 进行应用程序控制，以便允许其他源运行其他应用以满足组织要求。

若要开始使用此新策略类型，请参阅使用应用程序控制策略管理 Windows 设备的已批准应用和适用于Microsoft Intune的托管安装程序

应用于：

• Windows 10
• Windows 11

终结点分析可用于政府云中的租户

在此版本中，终结点分析可用于政府云中的租户。

详细了解 终结点分析。

远程帮助中的会话内连接模式切换简介

在远程帮助中，你现在可以利用会话内连接模式切换功能。 此功能有助于在完全控制模式和仅视图模式之间轻松切换，从而提供灵活性和便利性。

有关远程帮助的详细信息，请参阅 远程帮助。

应用于：

• windows 10/11

设备安全性

终结点特权管理报表的更新

Intune的 Endpoint Privilege Management (EPM) 报表现在支持将完整的报告有效负载导出到 CSV 文件。 通过此更改，现在可以从Intune中的提升报表导出所有事件。

终结点特权管理现在可在顶级菜单上使用提升的访问权限选项运行，Windows 11

在Windows 11设备上，“使用提升的访问权限运行”的 Endpoint Privilege Management 选项现在作为顶级右键单击选项提供。 在此更改之前，标准用户需要选择“显示更多选项”，才能在Windows 11设备上查看“使用提升的访问权限运行”提示。

Endpoint Privilege Management 作为Intune加载项提供。 有关详细信息，请参阅使用 Intune 套件加载项功能。

应用于：

• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText， Inc. (iOS)
• MyQ Roger：OCR 扫描仪 PDF by MyQ spol。 s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile by Vbrick Systems

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Microsoft Intune故障排除窗格现已正式发布

Intune故障排除窗格现已正式发布。 它提供有关用户设备、策略、应用程序和状态的详细信息。 故障排除窗格包括以下信息：

• 策略、合规性和应用程序部署状态的摘要。
• 支持导出、筛选和排序所有报表。
• 支持通过排除策略和应用程序进行筛选。
• 支持筛选到用户的单个设备。
• 有关可用设备诊断和已禁用设备的详细信息。
• 有关三天或三天以上未签入服务的脱机设备的详细信息。

可以通过选择“故障排除 + 支持>故障排除”，在 Microsoft Intune 管理中心找到故障排除窗格。

更新了 Intune 中的“故障排除 + 支持”窗格

Intune管理中心的“故障排除 + 支持”窗格已通过将“角色和范围”报表合并为单个报表进行了更新。 此报表现在包括来自Intune和Microsoft Entra ID的所有相关角色和范围数据，从而提供更精简、更高效的体验。 有关相关信息，请参阅使用故障排除仪表板帮助公司用户。

下载移动应用诊断

现已正式发布，可在 Intune 管理中心访问用户提交的移动应用诊断，包括通过公司门户应用（包括 Windows、iOS、Android、Android AOSP 和 macOS）发送的应用日志。 此外，还可以通过 Microsoft Edge 检索应用保护日志。 有关详细信息，请参阅公司门户应用日志和使用适用于 iOS 和 Android 的 Microsoft Edge 访问托管应用日志。

2023 年 6 月 12 日当周

设备管理

适用于 Android 开源设备的 Microsoft Intune 支持来自宏达和 Pico 的新设备

适用于 Android 开放源代码 项目设备 (AOSP) 的 Microsoft Intune现在支持以下设备：

• HTC Vive XR Elite
• Pico Neo 3 Pro
• Pico 4

有关更多信息，请参阅：

• Microsoft Intune 支持的操作系统和浏览器

• Android 开源项目支持的设备

应用于：

• Android (AOSP)

应用管理

适用于企业的 Microsoft Store或适用于教育的 Microsoft Store

从适用于企业的 Microsoft Store或适用于教育的 Microsoft Store添加的应用不会部署到设备和用户。 应用在报告中显示为“不适用”。 已部署的应用不受影响。 使用 新的 Microsoft Store 应用 将 Microsoft Store 应用部署到设备或用户。 有关相关信息，请参阅计划更改：在适用于企业的 Microsoft Store应用不再部署和删除适用于企业的 Microsoft Store应用时，终止对适用于企业的 Microsoft Store和教育应用的支持。

有关详细信息，请参阅以下资源：

• 更新以Intune与 Windows 上的 Microsoft Store 集成
• 使用Intune拥抱 Microsoft Store 的未来：分步指南
• 通过Intune教育版拥抱 Microsoft Store 的未来：分步指南

2023 年 6 月 5 日当周

设备配置

Android Enterprise 11+ 设备可以使用 Zebra 的最新 OEMConfig 应用版本

在 Android Enterprise 设备上，可以使用 OEMConfig 在 Microsoft Intune (设备>配置>Create Android Enterprise for platform > OEMConfig) 中添加、>创建和自定义特定于 OEM 的设置。

有一个新的 Zebra OEMConfig 由 MX OEMConfig 应用提供支持 ，它更符合 Google 的标准。 此应用支持 Android Enterprise 11.0 及更新的设备。

旧 版 Zebra OEMConfig 应用继续支持 Android 11 及更早版本的设备。

在托管 Google Play 中，有两个版本的 Zebra OEMConfig 应用。 请务必选择适用于 Android 设备版本的正确应用。

有关 OEMConfig 和Intune的详细信息，请参阅在 Microsoft Intune 中使用和管理具有 OEMConfig 的 Android Enterprise 设备。

应用于：

• Android Enterprise 11.0 及更新版本

2023 年 5 月 29 日当周

设备管理

Intune UI 将 Windows Server 设备显示为不同于适用于Microsoft Defender for Endpoint安全管理的 Windows 客户端

为了支持Microsoft Defender for Endpoint安全管理 (MDE 安全配置) 方案，Intune现在将Microsoft Entra ID中的 Windows 设备区分为运行 Windows Server 的设备或 Windows（适用于运行 Windows Server 的设备）运行Windows 10或Windows 11。

通过此更改，可以改进MDE安全配置的策略目标。 例如，可以使用仅包含 Windows Server 设备的动态组，或者仅使用 (Windows 10/11) 的 Windows 客户端设备。

有关此更改的详细信息，请参阅Intune客户成功博客 Windows Server 设备现已在 Microsoft Intune、Microsoft Entra ID 和 Defender for Endpoint 中识别为新 OS。

租户管理

Windows 11的组织消息现已正式发布

使用组织消息向员工提供品牌化、个性化的行动号召。 从超过 25 条消息中进行选择，这些消息支持员工通过设备载入和生命周期管理，采用 15 种不同语言。 可以将消息分配给Microsoft Entra用户组。 它们显示在任务栏正上方、通知区域或运行Windows 11的设备上的“入门”应用中。 消息会根据在 Intune 中配置的频率继续显示或重新出现，直到用户访问自定义 URL 为止。

此版本中添加的其他特性和功能包括：

• 在第一条消息之前确认许可要求。
• 从八个新主题中为任务栏消息选择。
• 为消息提供自定义名称。
• 添加范围组和范围标记。
• 编辑计划邮件的详细信息。

作用域标记以前对组织消息不可用。 添加范围标记支持后，Intune将默认范围标记添加到 2023 年 6 月之前创建的每条消息。 想要访问这些邮件的管理员必须与具有相同标记的角色相关联。 有关可用功能和如何设置组织消息的详细信息，请参阅 组织消息概述。

2023 年 5 月 22 日 (服务版本 2305)

应用管理

更新到 macOS shell 脚本的最大运行时间限制

根据客户反馈，我们将更新适用于 macOS 的 Intune 代理 (版本 2305.019) ，以将最大脚本运行时间延长到 60 分钟。 以前，macOS 的 Intune 代理仅允许 shell 脚本运行长达 15 分钟，然后才能将脚本报告为失败。 macOS 2206.014 及更高版本的 Intune 代理支持 60 分钟的超时。

分配筛选器支持应用保护策略和应用配置策略

分配筛选器支持 MAM 应用保护策略和应用配置策略。 创建新筛选器时，可以使用以下属性微调 MAM 策略目标：

• 设备管理类型
• 设备制造商
• 设备型号
• 操作系统版本
• 应用程序版本
• MAM 客户端版本

重要

使用 设备类型 目标的所有新应用保护策略和编辑的应用保护策略都会替换为分配筛选器。

有关筛选器的详细信息，请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

更新 Intune 中的 MAM 报告

MAM 报告已经过简化和大修，现在使用Intune最新的报告基础结构。 这样做的好处包括提高数据准确性和即时更新。 可以通过选择“应用>监视器”，在Microsoft Intune管理中心找到这些简化的 MAM 报表。 所有可用的 MAM 数据都包含在新的应用保护状态报告和应用配置状态报告中。

全局安静时间应用策略设置

全局静默时间设置允许创建策略，以便为最终用户计划静默时间。 这些设置会自动将 iOS/iPadOS 和 Android 平台上的 Microsoft Outlook 电子邮件和 Teams 通知静音。 这些策略可用于限制下班后收到的最终用户通知。 有关详细信息，请参阅 静默时间通知策略。

设备配置

在 远程帮助 中引入增强聊天

通过远程帮助引入增强聊天功能。 通过新的和增强的聊天，你可以维护所有消息的连续线程。 此聊天支持特殊字符和其他语言，包括中文和阿拉伯语。

有关远程帮助的详细信息，请参阅 远程帮助。

应用于：

• windows 10/11

远程帮助管理员可以引用审核日志会话

对于远程帮助，除了现有会话报告外，管理员现在还可以引用在 Intune 中创建的审核日志会话。 此功能使管理员能够引用过去的事件，以便对日志活动进行故障排除和分析。

有关远程帮助的详细信息，请参阅 远程帮助。

应用于：

• Windows 10
• Windows 11

使用设置目录在Windows 11设备上打开/关闭个人数据加密

设置目录包括数百个可以配置和部署到设备的设置。

在设置目录中，可以打开/关闭 个人数据加密 (PDE) 。 PDE 是 Windows 11 版本 22H2 中引入的一项安全功能，可为 Windows 提供更多加密功能。

PDE 不同于 BitLocker。 PDE 加密单个文件和内容，而不是整个卷和磁盘。 可以将 PDE 与其他加密方法（例如 BitLocker）配合使用。

有关设置目录的详细信息，请参阅：

• 使用设置目录以在 Windows、iOS/iPadOS 和 macOS 设备上配置设置
• 可以使用 Intune 中的设置目录完成的常见任务

此功能适用于：

• Windows 11

Visual Studio ADMX 设置位于设置目录和管理模板中

Visual Studio 设置包含在设置目录和管理模板 (ADMX) 中。 以前，若要在 Windows 设备上配置 Visual Studio 设置，请使用 ADMX 导入来导入这些设置。

有关这些策略类型的详细信息，请参阅：

• 使用设置目录配置设置
• 使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
• Visual Studio 管理模板 (ADMX)

应用于：

• Windows 10
• Windows 11

组策略分析支持范围标记

在组策略分析中，导入本地 GPO。 该工具会分析 GPO，并显示可在Intune中使用 (且不能) 的设置。

在 Intune 中导入 GPO XML 文件时，可以选择现有的范围标记。 如果未选择范围标记，则会自动选择 “默认 范围标记”。 以前，在导入 GPO 时，分配给你的范围标记会自动应用于 GPO。

只有该范围标记内的管理员才能看到导入的策略。 不在该范围标记中的管理员看不到导入的策略。

此外，其作用域标记内的管理员可以迁移他们有权查看的导入策略。 若要将导入的 GPO 迁移到设置目录策略，范围标记必须与导入的 GPO 相关联。 如果未关联范围标记，则无法迁移到设置目录策略。 如果未选择作用域标记，则会自动应用默认范围标记。

有关范围标记和组策略分析的详细信息，请参阅：

• 在 Microsoft Intune 中使用组策略分析分析本地 GPO
• 使用导入的 GPO Create设置目录策略
• 针对分散 IT 使用基于角色的访问控制（RBAC）和范围标记

介绍Intune与 Zebra Lifeguard 空中服务 (公共预览版的集成)

Microsoft Intune现在以公共预览版提供，支持与 Zebra Lifeguard 无线服务集成，这使你可以通过无线方式向注册Intune的合格 Zebra 设备提供 OS 更新和安全修补程序。 可以选择要部署的固件版本、设置计划以及错开更新下载和安装。 还可以针对何时发生更新设置最低电池电量、充电状态和网络条件要求。

适用于运行 Android 8 或更高版本且需要 Zebra 帐户的 Android Enterprise 专用和完全托管 Zebra 设备。

具有工作配置文件的 Android Enterprise 个人拥有设备的新 Google 域允许列表设置

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，可以配置限制设备功能和设置的设置。

目前，有一个 “添加和删除帐户 ”设置，可允许将 Google 帐户添加到工作配置文件。 对于此设置，选择“ 允许所有帐户类型”时，还可以配置：

• Google 域允许列表：限制用户在工作配置文件中仅添加某些 Google 帐户域。 可以导入允许的域列表，或使用 格式将其添加到管理中心 contoso.com 。 默认情况下，如果留空，OS 可能允许在工作配置文件中添加所有 Google 域。

有关可配置的设置的详细信息，请参阅 Android Enterprise 设备设置列表，以允许或限制使用 Intune的个人拥有的设备的功能。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

将主动修正重命名为修正并移动到新位置

主动修正现在是“修正”，可从 “设备>修正”获取。 在下一Intune服务更新之前，仍可以在新位置和现有报表>终结点分析位置中找到修正。

新 设备体验预览版中当前不提供修正。

应用于：

• Windows 10
• Windows 11

现已在美国政府 GCC High 和 DoD Intune 中提供修正

(以前称为主动修正) 的修正现已在美国政府 GCC High 和 DoD 的 Microsoft Intune中提供。

应用于：

• Windows 10
• Windows 11

Create Windows 设备上的 VPN 配置文件的入站和出站网络流量规则

注意

此设置将在未来版本中推出，可能是 2308 Intune 版本。

可以创建一个设备配置文件，用于将 VPN 连接部署到设备 (设备>配置>Create>Windows 10及更高版本的平台>模板>VPN 配置文件类型) 。

在此 VPN 连接中，可以使用 应用和流量规则 设置来创建网络流量规则。

可以配置新的 “方向 ”设置。 使用此设置可允许来自 VPN 连接的入站和出站流量：

• 出站 (默认) ：仅允许使用 VPN 流向外部网络/目标的流量。 入站流量被阻止进入 VPN。
• 入站：仅允许来自外部网络/源的流量使用 VPN 流动。 阻止出站流量进入 VPN。

有关可以配置的 VPN 设置（包括网络流量规则设置）的详细信息，请参阅使用 Intune 添加 VPN 连接的 Windows 设备设置。

应用于：

• Windows 10 及更高版本

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在Microsoft Intune管理中心，可以在“设备>配置>Create macOS”中查看这些设置，>了解配置文件类型的平台>设置目录。

> Microsoft Defender防病毒引擎：

• 在存档文件中扫描
• 启用文件哈希计算

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

适用于 macOS 的擦除设备操作和新的擦除行为设置

现在可以对 macOS 设备使用 擦除 设备操作，而不是 Erase。 还可以将 “清除行为” 设置配置为 “擦除 ”操作的一部分。

使用此新密钥可以控制具有 Apple Silicon 或 T2 安全芯片的 Mac 上的擦除回退行为。 若要查找此设置，请导航到“设备”操作区域中的“设备>”macOS>[选择设备]>“概述>擦除”。

有关“清除行为”设置的详细信息，请转到 Apple 的平台部署站点 擦除 Apple 设备 - Apple 支持。

应用于：

• macOS

设备注册

帐户驱动的 Apple 用户注册适用于 iOS/iPadOS 15+ 设备 (公共预览版)

Intune支持帐户驱动用户注册，这是适用于 iOS/iPadOS 15+ 设备的 Apple 用户注册的全新改进变体。 新选项现已提供公共预览版，它利用实时注册，无需在注册期间公司门户应用。 设备用户可以直接在“设置”应用中启动注册，从而获得更短、更高效的载入体验。 可以使用使用公司门户的现有基于配置文件的用户注册方法继续面向 iOS/iPadOS 设备。 运行 iOS/iPadOS 版本 14.8.1 及更早版本的设备不受此更新影响，可以继续使用现有方法。 有关详细信息，请参阅 设置帐户驱动的 Apple 用户注册。

设备安全性

Microsoft 365 Office 应用的新安全基线

我们发布了新的安全基线，可帮助你管理 M365 Office 应用的安全配置。 此新基线使用更新的模板和体验，该模板和体验使用Intune设置目录中的统一设置平台。 可以在 office) 的 Microsoft 365 应用版 企业基线设置 (查看新基线中的设置列表。

新的Intune安全基线格式使可用于Intune设置目录中的设置的表示形式保持一致。 这种一致性有助于解决过去设置名称和设置实现时可能产生冲突的问题。 新格式还改进了Intune管理中心中基线的报告体验。

Microsoft 365 Office 应用基线可帮助你快速将配置部署到满足 Microsoft Office 和安全团队安全建议的 Office 应用。 与所有基线一样，默认基线表示建议的配置。 可以修改默认基线以满足组织的要求。

若要了解详细信息，请参阅 安全基线概述。

应用于：

• Windows 10
• Windows 11

Microsoft Edge 版本 112 的安全基线更新

我们发布了 Microsoft Edge Intune安全基线版本 112 的新版本。 除了为 Microsoft Edge 发布此新版本外，新基线还使用更新的模板体验，该体验使用Intune设置目录中的统一设置平台。 可以在 Microsoft Edge 基线设置中查看新基线中的设置列表 ， (版本 112 及更高版本) 。

新的Intune安全基线格式使可用于Intune设置目录中的设置的表示形式保持一致。 这种一致性有助于解决过去设置名称和设置实现时可能产生冲突的问题。 新格式还改进了Intune管理中心中基线的报告体验。

新的基线版本可用后，为 Microsoft Edge 创建的所有新配置文件都使用新的基线格式和版本。 当新版本成为默认基线版本时，你可以继续使用以前为旧版 Microsoft Edge 创建的配置文件。 但是，无法为旧版 Microsoft Edge 创建新的配置文件。

若要了解详细信息，请参阅 安全基线概述。

应用于：

• Windows 10
• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 成就者公司
• Board.Vision for iPad by Trusted Services PTE。 有限公司。
• Global Relay Communications Inc. 的全球中继
• Incorta (BestBuy) 由 Incorta， Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon for Intune by Klaxoon (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2023 年 5 月 8 日当周

设备配置

设备固件配置接口 (DFCI) 支持 Dynabook 设备

对于 Windows 10/11 设备，可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在Microsoft Intune管理中心中，选择“设备>配置>Create>Windows 10及更高版本”，以选择“平台>模板>”“设备固件配置接口”以获取配置文件类型。

某些运行 Windows 10/11 的 Dynabook 设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请参阅：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

通过下载服务器对 Windows 电脑进行 eSIM 批量激活现已在设置目录中提供

现在可以使用设置目录对 Windows eSIM 电脑执行大规模配置。 使用配置文件配置 (SM-DP+) 下载服务器。

设备收到配置后，会自动下载 eSIM 配置文件。 有关详细信息，请参阅 下载服务器的 eSIM 配置。

应用于：

• Windows 11
• 支持 eSIM 的设备

2023 年 5 月 1 日当周

应用管理

macOS shell 脚本最大运行时间限制

我们修复了导致具有长时间运行的 shell 脚本的Intune租户无法报告回脚本运行状态的问题。 macOS Intune 代理停止运行时间超过 15 分钟的任何 macOS shell 脚本。 这些脚本报告为失败。 从 macOS Intune代理版本 2305.019 强制实施新行为。

适用于 macOS 的 DMG 应用安装

适用于 macOS 的 DMG 应用安装功能现已正式发布。 Intune支持 DMG 应用的必需和卸载分配类型。 适用于 macOS 的 Intune 代理用于部署 DMG 应用。 有关相关信息，请参阅 将 DMG 类型应用程序部署到托管 macOS 设备。

弃用适用于企业的 Microsoft Store和教育

适用于企业的 Microsoft Store连接器在Microsoft Intune管理中心不再可用。 从适用于企业的 Microsoft Store或适用于教育的 Microsoft Store添加的应用不会与Intune同步。 以前同步的应用将继续可用并部署到设备和用户。

现在还可以从Microsoft Intune管理中心的“应用”窗格中删除适用于企业的 Microsoft Store应用，以便在移动到新的 Microsoft Store 应用类型时可以清理环境。

有关相关信息，请参阅计划更改：在适用于企业的 Microsoft Store应用将不部署和删除适用于企业的 Microsoft Store应用时，终止对适用于企业的 Microsoft Store和教育应用的支持。

设备配置

远程帮助现在支持条件访问功能

管理员现在可以在为远程帮助设置策略和条件时利用条件访问功能。 例如，多重身份验证、安装安全更新以及锁定对特定区域或 IP 地址远程帮助的访问。

有关更多信息，请参阅：

• 条件访问
• 远程帮助

设备安全性

更新了终结点安全防病毒策略中Microsoft Defender的设置

我们已更新终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件中的可用设置。 可以在 Intune 管理中心中找到此配置文件，请参阅 Endpoint Security>防病毒>平台：Windows 10、Windows 11和 Windows Server>配置文件：Microsoft Defender防病毒。

• 已添加以下设置：

  • 按流量计费的连接汇报
  • 禁用 Tls 分析
  • 禁用 Http 分析
  • 禁用 Dns 分析
  • 禁用基于 Tcp 的 Dns 分析
  • 禁用 Ssh 分析
  • 平台汇报通道
  • 引擎汇报通道
  • 安全智能汇报通道
  • 允许网络保护下一级
  • 允许在 Win 服务器上处理数据报
  • 启用 Dns Sinkhole

  有关这些设置的详细信息，请参阅 Defender CSP。 还可以通过Intune设置目录获取新设置。

• 以下设置已弃用：

  • 允许入侵防护系统

  此设置现在显示，其中包含 “已弃用” 标记。 如果以前在设备上应用了此弃用的设置，则设置值将更新为 NotApplicable ，并且对设备没有影响。 如果在设备上配置了此设置，则对设备没有影响。

应用于：

• Windows 10
• Windows 11

2023 年 4 月 17 日 (服务版本 2304)

应用管理

对 iOS/iPadOS 和 macOS 设备上的 iCloud 应用备份和还原行为的更改

作为应用设置，可以选择“阻止 iOS/iPadOS 和 macOS 设备的 iCloud 应用备份 ”。 无法备份 iOS/iPadOS 上的托管App Store应用和业务线 (LOB) 应用，以及 macOS 设备上的托管App Store应用， (macOS LOB 应用不支持此功能，) 用户和设备许可的 VPP/非 VPP 应用。 此更新包括新的和现有的App Store/LOB 应用发送的 VPP 和没有 VPP，这些应用将添加到Intune并面向用户和设备。

阻止备份指定的托管应用可确保在注册设备并从备份中还原时，可以通过Intune正确部署这些应用。 如果管理员为其租户中的新应用或现有应用配置此新设置，则可以并且将为设备重新安装托管应用。 但是，Intune不允许备份它们。

此新设置通过修改应用的属性显示在管理中心Microsoft Intune。 对于现有应用，可以选择 “应用>iOS/iPadOS ”或 “macOS>”，选择“应用>属性> 分配 编辑”。 如果未设置组分配，请选择“ 添加组 ”以添加组。 修改 “VPN”、“ 删除设备时卸载”或 “以可移动方式安装”下的设置。 然后，选择“ 阻止 iCloud 应用备份”。 “ 阻止 iCloud 应用备份 ”设置用于阻止备份应用程序的应用数据。 设置为 “否 ”以允许 iCloud 备份应用。

有关详细信息，请参阅更改 iOS/iPadOS 和 macOS 设备上的应用程序备份和还原行为和将应用分配到具有Microsoft Intune的组。

阻止 Apple VPP 应用的自动更新

可以使用 “阻止 自动更新”设置，在每应用分配级别控制 Apple VPP 的自动更新行为。 Microsoft Intune管理中心提供此设置，方法是选择“应用>”iOS/iPadOS 或 macOS>选择批量购买计划应用>属性>分配>选择Microsoft Entra组>应用设置。

应用于：

• iOS/iPadOS
• macOS

设备配置

汇报 macOS 设置目录

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了一个新设置。 在Microsoft Intune管理中心，可以在“设备>配置>Create macOS”中查看这些设置，>了解配置文件类型的平台>设置目录。

新设置位于：

Microsoft AutoUpdate (MAU) > [目标应用]：

• 更新通道替代

以下设置已弃用：

Microsoft AutoUpdate (MAU) > [目标应用]：

• 频道名称 (已弃用)

隐私 > 隐私首选项策略控制 > 服务 > 侦听事件或屏幕捕获：

• Allowed

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到使用设置目录Create策略。

适用于 Apple 设备的 Microsoft Enterprise SSO 插件现已正式发布

在 Microsoft Intune 中，有一个 Microsoft Enterprise SSO 插件。 此插件为使用 Microsoft Entra ID 进行身份验证的 iOS/iPadOS 和 macOS 应用和网站提供单一登录 (SSO) 。

此插件现已正式发布 (GA) 。

有关在 Intune 中为 Apple 设备配置 Microsoft Enterprise SSO 插件的详细信息，请转到Microsoft Intune中的 Microsoft Enterprise SSO 插件。

应用于：

• iOS/iPadOS
• macOS

对受监督的 macOS 设备禁用激活锁定设备操作

现在，可以使用 Intune 中的“禁用激活锁定设备”操作绕过 Mac 设备上的激活锁定，而无需当前用户名或密码。 此新操作可在设备>macOS> 中选择列出的设备>禁用激活锁之一。

有关管理激活锁的详细信息，请参阅使用Intune绕过 iOS/iPadOS 激活锁或 Apple 网站上的激活锁 for iPhone、iPad 和 iPod touch - Apple 支持。

应用于：

• macOS 10.15 或更高版本

ServiceNow 集成现已正式发布 (GA)

现已正式发布，可以查看与在故障排除工作区中选择的用户关联的 ServiceNow 事件列表Intune。 此新功能可在 “故障排除 + 支持> ”下选择用户 >ServiceNow Incidents 下提供。 显示的事件具有与源事件的直接链接，并显示事件的关键信息。 列出的所有事件都会将事件中标识的“调用方”链接到选择了“故障排除”的用户。

有关详细信息，请转到 使用故障排除门户帮助公司用户。

支持管理员控制组织消息传递的更多权限

借助更多权限，管理员可以控制从组织消息创建和部署的内容的传递以及从 Microsoft 向用户传递内容。

更新 组织消息控制组织邮件 的 RBAC 权限确定谁可以更改组织消息切换以允许或阻止 Microsoft 直接邮件。 此权限还会添加到 组织消息管理器 内置角色。

必须修改管理组织消息的现有自定义角色，才能添加此权限，以便用户修改此设置。

• 有关基于角色的访问控制 (RBAC) 的详细信息，请参阅包含Microsoft Intune的 RBAC。
• 有关组织邮件先决条件的详细信息，请参阅 组织邮件先决条件。

设备管理

ICMP 类型的终结点安全防火墙规则支持

现在，可以使用 IcmpTypesAndCodes 设置配置 Internet 控制消息协议 的入站和出站规则， (ICMP) 作为防火墙规则的一部分。 此设置在 Windows 10、Windows 11 和 Windows Server 平台的 Microsoft Defender 防火墙规则配置文件中可用。

应用于：

• Windows 11 及更高版本

使用公共预览版) (Intune策略管理 Windows LAPS

现在以公共预览版提供，使用 Microsoft Intune 帐户保护策略管理 Windows 本地管理员密码解决方案 (Windows LAPS) 。 若要开始，请参阅Intune对 Windows LAPS 的支持。

Windows LAPS 是一项 Windows 功能，可用于管理和备份已加入Microsoft Entra或已加入Windows Server Active Directory的设备上的本地管理员帐户的密码。

若要管理 LAPS，Intune配置内置于 Windows 设备的 Windows LAPS 配置服务提供程序 (CSP) 。 它优先于 Windows LAPS 配置的其他源，例如 GPO 或 Microsoft 旧版 LAPS 工具。 Intune管理 Windows LAPS 时可以使用的一些功能包括：

• 定义适用于设备上的本地管理员帐户的密码要求，例如复杂性和长度。
• 配置设备以按计划轮换其本地管理员帐户密码。 然后，在Microsoft Entra ID或本地 Active Directory中备份帐户和密码。
• 使用管理中心中的Intune设备操作，手动轮换帐户的密码。。
• 从Intune管理中心内查看帐户详细信息，例如帐户名称和密码。 此信息可帮助你恢复其他无法访问的设备。
• 使用Intune报告监视 LAPS 策略，以及设备上次手动或按计划轮换密码的时间。

应用于：

• Windows 10
• Windows 11

适用于 macOS 软件更新策略的新设置

macOS 软件更新策略现在包含以下设置，以帮助管理何时在设备上安装更新。 当 所有其他更新 更新类型配置为 以后安装时，这些设置可用：

• 最大用户延迟数：当 “所有其他更新” 更新类型配置为 “稍后安装”时，此设置允许指定用户在安装次要 OS 更新之前可以推迟该更新的最大次数。 系统每天提示用户一次。 适用于运行 macOS 12 及更高版本的设备。

• 优先级：当 “所有其他更新” 更新类型配置为 “稍后安装”时，此设置允许你为下载和准备次要 OS 更新的计划优先级指定 “低 ”或“ 高 ”值。 适用于运行 macOS 12.3 及更高版本的设备。

有关详细信息，请参阅使用Microsoft Intune策略管理 macOS 软件更新。

应用于：

• macOS

新合作伙伴门户页面简介

现在可以从合作伙伴门户页面管理 HP 或 Surface 设备上的硬件特定信息。

HP 链接将你带到 HP Connect，你可以在其中更新、配置和保护 HP 设备上的 BIOS。 Microsoft Surface 链接可转到 Surface 管理门户，你可以在其中深入了解设备符合性、支持活动和保修范围。

若要访问“合作伙伴门户”页，必须启用“设备”窗格预览，然后导航到 “设备>合作伙伴门户”。

应用和驱动程序Windows 更新兼容性报告现已正式发布

以下Microsoft Intune Windows 更新兼容性报告已推出预览版，现已正式发布：

• Windows 功能更新设备就绪情况报告 - 此报告提供有关与所选 Windows 版本升级或更新相关的兼容性风险的每个设备信息。

• Windows 功能更新兼容性风险报告 - 此报表提供组织中所选 Windows 版本的主要兼容性风险的摘要视图。 可以使用此报告来了解哪些兼容性风险会影响组织中最多的设备。

这些报表可帮助你计划从 Windows 10 升级到 11，或用于安装最新的 Windows 功能更新。

设备安全性

Microsoft Intune Endpoint Privilege Management已正式发布

Microsoft Endpoint Privilege Management (EPM) 现已正式发布，不再处于预览状态。

使用 Endpoint Privilege Management，管理员可以设置策略，允许标准用户执行通常为管理员保留的任务。 为此，请为 自动 和 用户确认的 工作流配置策略，以提升所选应用或进程的运行时权限。 然后，将这些策略分配给没有管理员权限运行最终用户的用户或设备。 设备收到策略后，EPM 代表用户代理提升，允许他们提升已批准的应用程序，而无需完全管理员权限。 EPM 还包括内置见解和报告。

现在，EPM 已退出预览版，需要另一个许可证才能使用。 可以选择只添加 EPM 的独立许可证，也可以将 EPM 许可证作为Microsoft Intune Suite的一部分。 有关详细信息，请参阅使用 Intune 套件加载项功能。

虽然终结点特权管理现已正式发布，但 EPM 的报表 将转换为 预览版功能，并在从预览版中删除之前收到一些更多增强功能。

支持使用Intune防火墙规则策略标记 WDAC 应用程序 ID

Intune的Microsoft Defender防火墙规则配置文件（作为终结点安全防火墙策略的一部分提供）现在包括策略应用 ID 设置。 此设置在 MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP 中介绍，并支持指定Windows Defender应用程序控制 (WDAC) 应用程序 ID 标记。

借助此功能，可以将防火墙规则的范围限定为一个应用程序或一组应用程序，并依赖 WDAC 策略来定义这些应用程序。 通过使用标记链接到 WDAC 策略并依赖于 WDAC 策略，防火墙规则策略无需依赖绝对文件路径的防火墙规则选项，也不需要使用可降低规则安全性的可变文件路径。

使用此功能需要设置包含 AppId 标记的 WDAC 策略，然后可以在Intune Microsoft Defender防火墙规则中指定这些标记。

有关详细信息，请参阅Windows Defender应用程序控制文档中的以下文章：

• 关于 Windows 的应用程序控制
• WDAC 应用程序 ID (AppId) 标记指南

应用于：

• windows 10/11

Intune终结点安全攻击面减少策略的新应用和浏览器隔离配置文件

我们发布了为终结点安全攻击面减少策略创建新的 应用和浏览器隔离 配置文件的新体验。 编辑以前创建的应用和浏览器隔离策略的体验保持不变，你可以继续使用它们。 此更新仅适用于为 Windows 10 及更高版本平台创建的新应用和浏览器隔离策略。

此更新是持续 推出的终结点安全策略新配置文件的一部分，该配置文件从 2022 年 4 月开始。

此外，新配置文件包括对它所包括设置的以下更改：

• 阻止来自非企业批准的站点的外部内容 - 此设置将从更新的配置文件中删除，因为它仅受 Microsoft Edge 旧版 支持。 Microsoft Edge 旧版支持已于 2021 年 3 月结束。 Microsoft 365 应用告别 Internet Explorer 11，Windows 10日落Microsoft Edge 旧版 - Microsoft 社区中心。

• 剪贴板文件类型 – 此设置将添加到更新的配置文件中，并确定可从主机复制到应用程序防护环境的内容类型，反之亦然。 可以在 WindowsDefenderApplicationGuard CSP 文档中的设置 /ClipboardFileType 中查看此新设置的 CSP。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• ixArma by INAX-APPS (iOS)
• myBLDNG by Bldng.ai (iOS)
• RICOH Spaces V2 by Ricoh Digital Services
• Firstup - Intune by Firstup， Inc. (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

基于角色的访问控制

新为组织邮件分配 (RBAC) 权限

为组织邮件分配 RBAC 权限确定谁可以将目标Microsoft Entra组分配给组织邮件。 若要访问 RBAC 权限，请登录到 Microsoft Intune 管理中心，然后转到“租户管理>角色”。

此权限还会添加到 组织消息管理器 内置角色。 必须修改管理组织消息的现有自定义角色，才能添加此权限，以便用户修改此设置。

• 有关基于角色的访问控制 (RBAC) 的详细信息，请参阅包含Microsoft Intune的 RBAC。
• 有关组织邮件先决条件的详细信息，请参阅 组织邮件先决条件。

租户管理

删除组织邮件

现在可以从Microsoft Intune中删除组织邮件。 删除邮件后，该邮件将从Intune中删除，并且不再显示在管理中心。 无论邮件状态如何，都可以随时删除该邮件。 删除活动邮件后，Intune会自动取消这些邮件。 有关详细信息，请参阅 删除组织邮件。

查看组织消息的审核日志

使用审核日志跟踪和监视Microsoft Intune中的组织消息事件。 若要访问日志，请登录到 Microsoft Intune 管理中心，然后转到“租户管理>审核日志”。 有关详细信息，请参阅Intune活动的审核日志。

2023 年 4 月 10 日当周

设备配置

Windows 10多会话 VM 的用户配置支持现已正式发布

你现在可以：

• 使用 设置目录 配置用户范围策略，并将其分配给用户组。
• 配置用户证书并将其分配给用户。
• 将 PowerShell 脚本配置为在用户上下文中安装并分配给用户。

应用于：

• Windows 10
• 在 Azure 公共云和Azure 政府云中创建的虚拟机

2023 年 4 月 3 日当周

设备配置

将 Google 帐户添加到具有工作配置文件的 Android Enterprise 个人拥有的设备

在具有工作配置文件的 Android Enterprise 个人拥有的设备上，可以配置限制设备功能和设置的设置。 目前，有 一个“添加和删除帐户” 设置。 此设置可防止在工作配置文件中添加帐户，包括阻止 Google 帐户。

此设置已更改。 现在可以添加 Google 帐户。 “添加和删除帐户”设置选项包括：

• 阻止所有帐户类型：阻止用户在工作配置文件中手动添加或删除帐户。 例如，将 Gmail 应用部署到工作配置文件时，可以阻止用户在此工作配置文件中添加或删除帐户。

• 允许所有帐户类型：允许所有帐户，包括 Google 帐户。 这些 Google 帐户被阻止从 托管的 Google Play 商店安装应用。

  此设置需要：

  • 80970100或更高版本的 Google Play 应用版本

• 允许除默认) (Google 帐户以外的所有帐户类型：Intune不会更改或更新此设置。 默认情况下，OS 可能允许在工作配置文件中添加帐户。

有关可配置的设置的详细信息，请转到 Android Enterprise 设备设置列表，以使用 Intune 允许或限制个人拥有的设备上的功能。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

2023 年 3 月 27 日当周

应用管理

更新 macOS DMG 应用

现在可以更新使用 Intune 部署 (DMG) macOS 应用类型的应用。 若要编辑已在 Intune 中创建的 DMG 应用，请使用与原始 DMG 应用相同的捆绑标识符上传应用更新。 有关信息，请参阅将 macOS DMG 应用添加到 Microsoft Intune。

在预预配期间安装所需的应用

注册状态页 (ESP) 配置文件中提供了新的切换，允许你选择是否要在 Windows Autopilot 预预配技术人员阶段尝试安装所需的应用程序。 我们知道，在预预配期间需要安装尽可能多的应用程序，以减少最终用户的设置时间。 如果应用安装失败，ESP 将继续执行，ESP 配置文件中指定的应用除外。 若要启用此功能，需要编辑注册状态页配置文件，方法是在名为“技术人员阶段中仅失败所选应用”的新设置上选择“是”。 仅当已选择阻止应用时，才会显示此设置。 有关 ESP 的信息，请转到 设置注册状态页。

2023 年 3 月 20 日 (服务版本 2303)

应用管理

Win32 应用的更多最低操作系统版本

安装 Win32 应用时，Intune支持 Windows 10 和 11 个的最低操作系统版本。 在Microsoft Intune管理中心，选择“应用>”“Windows>添加>Windows 应用 (Win32) ”。 在“最低操作系统”旁边的“要求”选项卡中，选择一个可用的操作系统。 其他 OS 选项包括：

• Windows 10 21H2
• Windows 10 22H2
• Windows 11 21H2
• Windows 11 22H2

管理 VPP 应用不再需要托管应用权限

只能使用分配的移动应用权限查看和管理 VPP 应用 。 以前，需要 托管应用 权限才能查看和管理 VPP 应用。 此更改不适用于仍需要分配托管应用权限的教育版租户Intune。 有关Intune中权限的详细信息，请参阅自定义角色权限。

设备配置

macOS 设置目录中提供的新设置和设置选项

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在Microsoft Intune管理中心，可以在“设备>配置>Create macOS”中查看这些设置，>了解配置文件类型的平台>设置目录。

新设置包括：

> Microsoft Defender篡改防护：

• 强制级别

Microsoft Office > Microsoft OneDrive：

• 自动上传带宽百分比
• 自动且无提示地启用文件夹备份功能， (也称为“已知文件夹移动)
• 阻止应用下载仅联机文件
• 阻止外部同步
• 禁用自动登录
• 禁用下载 Toast
• 禁用个人帐户
• 禁用教程
• 重定向用户文件夹后，向用户显示通知
• 启用按需文件
• 为 Office 应用启用同步编辑
• 强制用户使用文件夹备份功能 (又称“已知文件夹移动)
• 隐藏停靠图标
• 忽略命名文件
• 在文件夹备份中包括 ~/桌面 (又名已知文件夹移动)
• 在文件夹备份中包括 ~/文档 (也称为已知文件夹移动)
• 在登录时打开
• 阻止用户使用文件夹备份功能 (也称为“已知文件夹移动)
• 提示用户启用文件夹备份功能 (又名已知文件夹移动)
• 设置最大下载吞吐量
• 设置最大上传吞吐量
• SharePoint 优先级
• SharePoint Server Front Door URL
• SharePoint Server 租户名称

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请转到使用设置目录Create策略。

添加自定义 Bash 脚本以配置 Linux 设备

在 Intune 中，可以添加现有 Bash 脚本来配置 Linux 设备 (设备>Linux>配置脚本) 。

创建此脚本策略时，可以设置脚本在 (用户或根) 中运行的上下文、脚本运行频率以及执行应重试的次数。

有关此功能的详细信息，请转到使用自定义 Bash 脚本在 Microsoft Intune 中配置 Linux 设备。

应用于：

• Linux Ubuntu 桌面

设备注册

支持 iOS/iPadOS 自动设备注册 (公共预览版)

现在，Intune以公共预览版提供，支持在符合条件的新 iOS/iPadOS 自动设备注册配置文件中使用名为 Await final configuration 的新设置。 此设置在设置助理中启用开箱即用的锁定体验。 在安装大多数Intune设备配置策略之前，它可以防止设备用户访问受限内容或更改设备上的设置。 可以在现有自动设备注册配置文件中配置设置，也可以在新配置文件中配置设置， (设备>iOS/iPadOS>/iPadOS 注册>计划令牌>Create配置文件) 。 有关详细信息，请参阅 Create Apple 注册配置文件。

新设置使Intune管理员能够控制设备到类别的映射

控制Intune 公司门户中设备类别提示的可见性。 现在可以向最终用户隐藏提示，并将设备到类别的映射保留给Intune管理员。 管理中心的 “租户管理>自定义>设备类别”下提供了新设置。 有关详细信息，请参阅 设备类别。

支持完全托管设备的多个注册配置文件和令牌

Create并管理 Android Enterprise 完全托管设备的多个注册配置文件和令牌。 借助这项新功能，现在可以使用 EnrollmentProfileName 动态设备属性自动将注册配置文件分配给完全托管的设备。 租户附带的注册令牌保留在默认配置文件中。 有关详细信息，请参阅设置 Android Enterprise 完全托管设备的Intune注册。

适用于 iPad 的新Microsoft Entra一线员工体验 (公共预览版)

此功能将于 4 月中旬开始向租户推出。

Intune现在支持使用 Apple 自动设备注册的 iPhone 和 iPad 的一线员工体验。 现在，可以通过零接触注册在Microsoft Entra ID共享模式下启用的设备。 有关如何为共享设备模式配置自动设备注册的详细信息，请参阅在Microsoft Entra共享设备模式下为设备设置注册。

应用于：

• iOS/iPadOS

设备管理

对日志配置的终结点安全防火墙策略支持

现在可以在 终结点安全防火墙策略 中配置设置，以配置防火墙日志记录选项。 这些设置可以在 Windows 10 及更高版本的平台的 Microsoft Defender 防火墙配置文件模板中找到，并且可用于该模板中的域、专用和公共配置文件。

以下是防火墙 配置服务提供程序 (CSP) 中的新设置：

• 启用日志成功Connections
• 日志文件路径
• 启用日志丢弃的数据包
• 启用日志忽略规则

应用于：

• Windows 11

移动宽带的终结点安全防火墙规则支持 (MBB)

终结点安全防火墙策略中的接口类型设置现在包括移动宽带选项。 接口类型在Microsoft Defender防火墙规则配置文件中提供，适用于支持 Windows 的所有平台。 有关此设置和选项的使用信息，请参阅 防火墙配置服务提供程序 (CSP) 。

应用于：

• Windows 10
• Windows 11

网络列表管理器设置的终结点安全防火墙策略支持

我们已向 终结点安全防火墙策略添加了一对网络列表管理器设置。 若要帮助确定Microsoft Entra设备何时位于或不在本地域子网中，可以使用网络列表管理器设置。 此信息可帮助正确应用防火墙规则。

以下设置位于名为“网络列表管理器”的新类别中，该类别在 Windows 10、Windows 11 和 Windows Server 平台的 Microsoft Defender 防火墙配置文件模板中提供：

• 允许的 Tls 身份验证终结点
• 配置的 Tls 身份验证网络名称

有关网络分类设置的信息，请参阅 NetworkListManager CSP。

应用于：

• Windows 10
• Windows 11

管理中心中的“设备”区域的改进 (公共预览版)

管理中心中的“设备”区域现在具有更一致的 UI，具有更强大的控件和改进的导航结构，以便你可以更快地找到所需的信息。 若要选择加入公共预览版并试用新体验，请转到 “设备” 并翻转页面顶部的开关。 改进包括：

• 一个新的以方案为中心的导航结构。
• 平台透视的新位置，用于创建更一致的导航模型。
• 缩短行程，帮助你更快地到达目的地。
• 监视和报告位于管理工作流中，使你无需离开工作流即可轻松访问关键指标和报表。
• 一种跨列表视图的一致方式，用于搜索、排序和筛选数据。

有关更新的 UI 的详细信息，请参阅在 Microsoft Intune 中试用新设备体验。

设备安全性

Microsoft Intune Endpoint Privilege Management (公共预览版)

作为公共预览版，现在可以使用 Microsoft Intune Endpoint Privilege Management。 使用 Endpoint Privilege Management，管理员可以设置策略，允许标准用户执行通常为管理员保留的任务。 可以在终结点安全>终结点特权管理Intune管理中心配置终结点特权管理。

使用公共预览版，可以为 自动 和 用户确认 的工作流配置策略，以提升所选应用或进程的运行时权限。 然后，将这些策略分配给没有管理员权限运行最终用户的用户或设备。 收到策略后，Endpoint Privilege Management 将代表用户代理提升，允许他们提升已批准的应用程序，而无需完全的管理员权限。 预览版还包括终结点特权管理的内置见解和报告。

若要了解如何激活公共预览版并使用 Endpoint Privilege Management 策略，请从将 Endpoint Privilege Management 与 Microsoft Intune 配合使用开始。 Endpoint Privilege Management 是 Intune Suite 产品/服务的一部分，在保持公共预览版时可以免费试用。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• EVALARM by GroupKom GmbH (iOS)
• ixArma by INAX-APPS (Android)
• 地震 |Intune由 Seismic Software， Inc.
• Microsoft Viva Engage由 Microsoft (正式 Microsoft Yammer)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Endpoint Privilege Management 的诊断数据收集

为了支持 Endpoint Privilege Management 的发布，我们更新了从 Windows 设备收集诊断，以包括以下数据，这些数据是从启用了 Endpoint Privilege Management 的设备收集的：

• 注册表项：

  • HKLM\SOFTWARE\Microsoft\EPMAgent

• 命令：

  • %windir%\system32\pnputil.exe /enum-drivers

• 日志文件：

  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

查看挂起和失败组织消息的状态

我们已向组织消息报告详细信息添加了另外两种状态，以便更轻松地在管理中心跟踪挂起和失败的消息。

• 挂起：消息尚未计划，目前正在进行中。
• 失败：由于服务错误，消息无法计划。

有关报告详细信息的信息，请参阅 查看组织邮件的报告详细信息。

与租户附加设备相关的更多报告信息

现在可以在 Endpoint Security 工作负载下的现有防病毒报告中查看租户附加设备的信息。 新列区分由 Intune 管理的设备与由 Configuration Manager 管理的设备。 选择“终结点安全性>防病毒”，可在管理中心Microsoft Intune获取此报告信息。

2023 年 3 月 13 日当周

设备管理

Meta Quest 2 和 Quest Pro 目前仅在美国) (Android 开源设备的Microsoft Intune处于开放 Beta 版中

适用于 Android 开放源代码 项目设备的 Microsoft Intune (AOSP) 已欢迎 Meta Quest 2 和 Quest Pro 进入美国市场的开放 Beta 版。

有关详细信息，请转到Microsoft Intune支持的操作系统和浏览器

应用于：

• Android (AOSP)

应用管理

适用于 Android 的 Intune 应用 SDK 的受信任的根证书管理

如果 Android 应用程序需要本地或专用证书颁发机构颁发的 SSL/TLS 证书来提供对内部网站和应用程序的安全访问，则适用于 Android 的 Intune App SDK 现在支持证书信任管理。 有关详细信息和示例，请参阅 受信任的根证书管理。

UWP 应用的系统上下文支持

除了用户上下文，还可以从 Microsoft Store 应用部署通用 Windows 平台 (UWP) 应用， ( 系统上下文中的新) 。 如果在系统上下文中部署了预配 的.appx 应用，则会为登录的每个用户自动安装该应用。 如果单个最终用户卸载用户上下文应用，该应用仍显示为已安装，因为它仍处于预配状态。 此外，还必须为设备上的任何用户安装应用。 我们的一般建议是在部署应用时不要混合使用安装上下文。 Microsoft Store 应用中的 Win32 应用 (新) 已支持系统上下文。

2023 年 3 月 6 日当周

应用管理

将 Win32 应用部署到设备组

现在可以将具有 可用 意向的 Win32 应用部署到设备组。 有关详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

设备管理

Microsoft Intune管理中心的新 URL

Microsoft Intune管理中心有一个新 URL：https://intune.microsoft.com。 以前使用的 URL 将继续工作， https://endpoint.microsoft.com但会在 2023 年底重定向到新 URL。 建议执行以下操作，以避免Intune访问和自动脚本出现问题：

• 更新登录名或自动化以指向 https://intune.microsoft.com。
• 根据需要更新防火墙，以允许访问新 URL。
• 将新 URL 添加到收藏夹和书签。
• 通知支持人员并更新 IT 管理员文档。

租户管理

将 CMPivot 查询添加到收藏夹文件夹

可以将常用查询添加到 CMPivot 中的 收藏夹 文件夹。 CMPivot 允许你通过租户附加快速评估Configuration Manager管理的设备的状态并采取措施。 该功能与Configuration Manager控制台中已有的功能类似。 此添加有助于将所有最常用的查询保存在一个位置。 还可以向查询添加标记，以帮助搜索和查找查询。 保存在 Configuration Manager 控制台中的查询不会自动添加到收藏夹文件夹中。 需要创建新查询并将其添加到此文件夹。 有关 CMPivot 的详细信息，请参阅 租户附加：CMPivot 使用情况概述。

设备注册

注册状态页现在支持新的 Microsoft Store 应用

“注册状态”页 (ESP) 现在支持 Windows Autopilot 期间新的 Microsoft Store 应用程序。 此更新可以更好地支持新的 Microsoft Store 体验，并且应从 Intune 2303 开始向所有租户推出。 有关相关信息，请参阅 设置注册状态页。

2023 年 2 月 27 日当周

设备配置

支持在 Android Enterprise 公司拥有的完全托管和 Android Enterprise 公司拥有的工作配置文件设备上定位设备

现在可以在 Android Enterprise 公司拥有的完全托管和 Android Enterprise 公司拥有的工作配置文件设备上使用“定位设备”。 借助此功能，管理员可以按需查找丢失或被盗的公司设备。

在 Microsoft Intune 管理中心，需要使用设备配置文件 (设备>配置>Create>Android Enterprise for platform >Device Restrictions for profile type) 启用该功能。

在“查找完全托管和公司拥有的工作配置文件设备的设备”切换开关上选择“允许”，然后选择适用的组。 选择“设备”，然后选择“所有设备”时，找到“设备可用”。 从你管理的设备列表中，选择受支持的设备，然后选择 “定位设备 远程”操作。

有关使用Intune查找丢失或被盗设备的信息，请转到：

• 使用 Intune 定位丢失或被盗设备

应用于：

• Android Enterprise 公司拥有的完全托管
• Android Enterprise 公司拥有的专用设备
• Android Enterprise 公司拥有的工作配置文件

Intune加载项

Microsoft Intune Suite为Microsoft Intune提供任务关键型高级终结点管理和安全功能。

可以在Microsoft Intune管理中心的租户管理>Intune加载项下找到要Intune的加载项。

有关详细信息，请参阅使用 Intune Suite 加载项功能。

在“Intune故障排除”工作区中查看 ServiceNow 事件 (预览版)

在公共预览版中，可以查看与你在 Intune“故障排除”工作区中选择的用户关联的 ServiceNow 事件列表。 此新功能可在 “故障排除 + 支持> ”下选择用户 >ServiceNow Incidents 下提供。 显示的事件列表具有指向源事件的直接链接，并显示事件的关键信息。 列出的所有事件都会将事件中标识的“调用方”链接到选择了“故障排除”的用户。

有关详细信息，请转到 使用故障排除门户帮助公司用户。

设备安全性

适用于 MAM 的 Microsoft Tunnel现已正式发布

现已推出预览版并正式发布，可将 Microsoft Tunnel for Mobile Application Management 添加到租户。 MAM 隧道支持来自未注册 的 Android 和 iOS 设备的连接。 此解决方案为租户提供了一个轻型 VPN 解决方案，允许移动设备访问公司资源，同时遵循安全策略。

此外，适用于 iOS 的 MAM Tunnel 现在支持 Microsoft Edge。

以前，适用于 Android 和 iOS 的 MAM 的 Tunnel 以公共预览版提供，可供免费使用。 此版本正式发布后，此解决方案现在需要附加许可证以供使用。

有关许可详细信息，请参阅Intune加载项。

应用于：

• Android
• iOS

租户管理

组织消息现在支持自定义目标 URL

现在可以将任何自定义目标 URL 添加到任务栏、通知区域和“入门”应用中的组织消息。 此功能适用于Windows 11。 仍支持使用Microsoft Entra处于计划或活动状态的已注册域创建的消息。 有关详细信息，请参阅Create组织消息。

2023 年 2 月 20 日 (服务版本 2302)

应用管理

作为 LOB 和应用商店应用的最低 OS 要求提供的最新 iOS/iPadOS 版本

可以将 iOS/iPadOS 16.0 指定为业务线和应用商店应用部署的最低操作系统。 通过选择“应用iOS/iPadOS> iOS应用商店应用>”或“业务线应用”，Microsoft Intune管理中心提供了此设置选项。 有关管理应用的详细信息，请参阅将应用添加到Microsoft Intune。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Egnyte for Intune by Egnyte

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备配置

Endpoint Manager 管理中心已重命名为 Intune 管理中心

Microsoft Endpoint Manager 管理中心现在称为 Microsoft Intune 管理中心。

筛选器的新“关联分配”选项卡

分配应用或策略时，可以使用不同的设备属性（如设备制造商、型号和所有权）筛选分配。 可以创建筛选器并将其与工作分配相关联。

创建筛选器后，会出现一个新的 “关联分配”选项卡。此选项卡显示所有策略分配、接收筛选器分配的组，以及筛选器是否使用 “排除” 或 “包括”：

1. 登录到Microsoft Intune管理中心。
2. 转到 “设备>筛选器> ”“选择现有筛选器 >”“关联分配”选项卡。

有关筛选器的详细信息，请转到：

• 在 Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Intune 中创建筛选器时的设备属性、运算符和规则编辑

iOS/iPadOS 模型信息中包含的大小和代系

可以在硬件设备详细信息中的 Model 属性中查看已注册的 iOS/iPadOS 设备的大小和代系。

转到 “设备 > ”“所有设备> ”选择列出的设备之一，然后选择“ 硬件 ”以打开其详细信息。 例如，iPad Pro 11 英寸 (第三代) 设备型号而不是 iPad Pro 3 的显示器。 有关详细信息，请转到：查看Intune中的设备详细信息

应用于：

• iOS/iPadOS

对受监督的 iOS/iPadOS 设备禁用激活锁定设备操作

可以使用 Intune 中的“禁用激活锁定设备”操作绕过 iOS/iPadOS 设备上的激活锁，而无需当前用户名或密码。

此新操作可在 “设备 > ”“iOS/iPadOS >”下选择列出的设备> 之一“禁用激活锁”。

有关管理激活锁的详细信息，请参阅使用Intune绕过 iOS/iPadOS 激活锁，或在 Apple 网站上访问适用于 iPhone、iPad 和 iPod touch 的激活锁 - Apple 支持。

应用于：

• iOS/iPadOS

允许临时企业功能控制在设置目录中可用

在本地组策略中，有 一个通过服务引入的“启用功能”（默认设置为关闭 ）。

在Intune中，此设置称为“允许临时企业功能控制”，可在“设置目录”中使用。 此服务会添加默认关闭的功能。 设置为 “允许”时，将启用并打开这些功能。

有关此功能的详细信息，请转到：

• AllowTemporaryEnterpriseFeatureControl 策略 CSP
• 博客：持续创新的商业控制

此策略设置启用的 Windows 功能应在 2023 年晚些时候发布。 Intune现在发布此策略设置，以增强你的认知和准备，这是在将来的Windows 11版本中使用此设置之前。

有关设置目录的详细信息，请转到 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

应用于：

• Windows 11

设备管理

设备控制支持打印机保护 (预览版)

在公共预览版中，攻击面减少策略的设备控制配置文件现在支持 打印机保护的可重用设置组。

Microsoft Defender for Endpoint设备控制打印机保护使你能够审核、允许或阻止打印机，无论在Intune中存在或不包含排除项。 它允许阻止用户通过非企业网络打印机或未经批准的 USB 打印机进行打印。 此功能为在家办公和远程工作场景添加了另一层安全和数据保护。

应用于：

• Windows 10
• Windows 11

支持删除通过安全管理为 Microsoft Defender for Endpoint 管理的过时设备

现在可以从 Microsoft Intune 管理中心内删除通过 Microsoft Defender for Endpoint 安全管理解决方案管理的设备。 查看设备的“概述”详细信息时，“删除”选项和其他设备管理选项一起显示。 若要查找此解决方案管理的设备，请在管理中心转到“设备>所有设备”，然后选择在“托管者”列中显示 MDEJoined 或 MDEManaged 的设备。

Apple 设置目录中提供的新设置和设置选项

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在 Microsoft Intune 管理中心中，可以在设备>配置>Create>iOS/iPadOS 或 macOS 中查看这些设置，了解配置文件类型的平台>设置目录。

新设置包括：

登录 > 服务管理 - 托管登录项：

• 团队标识符

Microsoft Office > Microsoft Office：

• Office 激活Email地址

应用于：

• macOS

网络 > 域：

• 跨站点跟踪防护宽松域

应用于：

• iOS/iPadOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

设备安全性

使用终结点安全防病毒策略管理Microsoft Defender更新行为 (预览版)

作为终结点安全防病毒策略的公共预览版的一部分，可以使用 Windows 10 及更高版本的平台的新配置文件 Defender 更新控件来管理Microsoft Defender的更新设置。 新配置文件包括推出发布通道的设置。 通过推出通道，设备和用户会收到与日常安全智能更新、每月平台更新和每月引擎更新相关的 Defender 汇报。

此配置文件包括以下设置，这些设置均直接从 Defender CSP - Windows 客户端管理获取。

• 引擎汇报通道
• 平台汇报通道
• 安全智能汇报通道

这些设置也可从Windows 10及更高版本的配置文件的设置目录中获取。

应用于：

• Windows 10
• Windows 11

2023 年 2 月 6 日当周

租户管理

应用建议和见解来丰富Configuration Manager站点运行状况和设备管理体验

现在可以使用 Microsoft Intune 管理中心查看Configuration Manager网站的建议和见解。 这些建议可帮助你改进站点运行状况和基础结构，并丰富设备管理体验。

建议包括：

• 如何简化基础结构
• 增强设备管理
• 提供设备见解
• 改善网站的运行状况

若要查看建议，请打开Microsoft Intune管理中心，转到“租户管理>连接器和令牌>Microsoft 终结点Configuration Manager”，然后选择一个站点以查看该站点的建议。 选择后，“ 建议 ”选项卡将显示每个见解以及 “了解详细信息” 链接。 此链接将打开有关如何应用该建议的详细信息。

有关详细信息，请参阅启用Microsoft Intune租户附加 - Configuration Manager。

2023 年 1 月 30 日当周

设备管理

Android 开源设备的 Microsoft Intune上支持的 HTC Vive Focus 3

适用于 Android 开放源代码 项目设备的Microsoft Intune (AOSP) 现在支持HTC Vive Focus 3。

有关详细信息，请转到Microsoft Intune支持的操作系统和浏览器

应用于：

• Android (AOSP)

介绍远程帮助中对激光笔的支持

在远程帮助中，现在可以在 Windows 上提供帮助时使用激光笔。

有关远程帮助的详细信息，请转到远程帮助。

应用于：

• windows 10/11

2023 年 1 月 23 日 (服务版本 2301)

应用管理

配置是否在 Windows 公司门户中显示Configuration Manager应用

在Intune中，你可以选择是显示还是隐藏Configuration Manager应用显示在 Windows 公司门户中。 通过选择“租户管理>自定义”，此选项在管理中心Microsoft Intune可用。 在 “设置”旁边，选择“ 编辑”。 “显示或隐藏Configuration Manager应用程序”选项位于窗格的“应用源”部分中。 有关配置公司门户应用的相关信息，请参阅如何配置Intune 公司门户应用、公司门户网站和Intune应用。

阻止将网页固定到托管主屏幕应用

在使用 托管主屏幕 的 Android Enterprise 专用设备上，现在可以使用应用配置来配置托管主屏幕应用，以阻止将浏览器网页固定到托管主屏幕。 新 key 值为 block_pinning_browser_web_pages_to_MHS。 有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

设备管理

android 版Microsoft Intune应用中可见的宽限期状态

适用于 Android 的 Microsoft Intune 应用现在显示宽限期状态，以考虑不符合合规性要求但仍在其给定宽限期内的设备。 用户可以看到设备必须合规的日期，以及有关如何变得合规的说明。 如果他们未在给定日期前更新设备，则设备将标记为不符合。 有关详细信息，请参阅以下文档：

• 配置符合性策略，其中包含针对非合规性的操作
• 检查符合性状态

适用于 macOS 的软件更新策略现已正式发布

适用于 macOS 设备的软件更新策略现已正式发布。 此正式版适用于运行 macOS 12 (Monterey) 及更高版本的受监督设备。 正在对此功能进行改进。

有关详细信息，请参阅使用Microsoft Intune策略管理 macOS 软件更新。

Windows Autopilot 设备诊断

Windows Autopilot 诊断可从单个设备的 Autopilot 部署监视器或设备诊断监视器Microsoft Intune管理中心下载。

设备注册

注册通知现已正式发布

注册通知现已正式发布，并在 Windows、Apple 和 Android 设备上受支持。 只有用户驱动的注册方法才支持此功能。 有关详细信息，请参阅 设置注册通知。

在设置助理中跳过或显示“地址条款”窗格

配置Microsoft Intune以在 Apple 自动设备注册期间跳过或显示名为“地址条款”的新“设置助理”窗格。 “ 地址条款 ”允许 iOS/iPadOS 和 macOS 设备上的用户通过选择系统寻址方式（女性化、中性或男性化）来个性化其设备。 默认情况下，该窗格在注册期间可见，并且可用于所选语言。 可以在运行 iOS/iPadOS 16 及更高版本以及 macOS 13 及更高版本的设备上隐藏它。 有关 Intune 中支持的“设置助理”屏幕的详细信息，请参阅：

• Mac 的“设置助理”屏幕
• 适用于 iOS/iPadOS 的设置助手屏幕

设备安全性

适用于 iOS/iPadOS 的 Microsoft Tunnel for Mobile Application Management (Preview)

作为公共预览版，可以使用移动应用程序管理 (MAM) 到适用于 iOS/iPadOS 的 Microsoft Tunnel VPN 网关。 对于尚未注册Intune的 iOS 设备的此预览版，这些未注册设备上的受支持应用可以在处理公司数据和资源时使用 Microsoft Tunnel 连接到组织。 此功能包括 VPN 网关对以下项的支持：

• 使用新式身份验证保护对本地应用和资源的访问
• 单一登录和条件访问

有关详细信息，请转到：

• 适用于 iOS/iPadOS 的 Microsoft Tunnel for Mobile Application Management 管理指南 (公共预览版)
• 适用于 MAM 的 Microsoft Tunnel iOS SDK 开发人员指南

应用于：

• iOS/iPadOS

针对Microsoft Defender for Endpoint的安全设置管理的攻击面减少策略支持

通过MDE安全配置方案管理的设备支持攻击面减少策略。 若要将此策略用于使用Microsoft Defender for Endpoint但未注册Intune的设备：

1. 在“终结点安全性”节点中，创建新的 攻击面减少 策略。
2. 选择“Windows 10”、“Windows 11”和“Windows Server”作为“平台”。
3. 为配置文件选择“攻击面减少规则”。

应用于：

• Windows 10
• Windows 11

SentinelOne - 新的移动威胁防御合作伙伴

现在，可以使用 SentinelOne 作为集成的移动威胁防御 (MTD) 合作伙伴Intune。 通过在 Intune 中配置 SentinelOne 连接器，可以使用基于合规性策略中风险评估的条件访问来控制移动设备对公司资源的访问。 SentinelOne 连接器还可以将风险级别发送到应用保护策略。

设备配置

设备固件配置接口 (DFCI) 支持 Fujitsu 设备

对于 Windows 10/11 设备，可以创建一个 DFCI 配置文件来管理 UEFI (BIOS) 设置 (设备>配置>Create>Windows 10以及平台>模板>设备固件配置接口的配置文件类型) 。

某些运行 Windows 10/11 的 Fujitsu 设备已启用 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

支持在运行 Android (AOSP) 的设备上执行批量设备操作

现在可以为运行 Android (AOSP) 的设备完成“批量设备操作”。 运行 Android (AOSP) 的设备支持的批量设备操作是删除、擦除和重启。

应用于：

• Android (AOSP)

更新了设置目录中 iOS/iPadOS 和 macOS 设置的说明

设置目录列出了可以配置的所有设置，所有设置都位于一个位置。 对于 iOS/iPadOS 和 macOS 设置，对于每个设置类别，将更新说明以包含更多详细信息。

有关设置目录的详细信息，请转到：

• 使用设置目录以在 Windows、iOS/iPadOS 和 macOS 设备上配置设置
• 可以使用 Intune 中的设置目录完成的常见任务

应用于：

• iOS/iPadOS
• macOS

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在 Microsoft Intune 管理中心中，可以在设备>配置>Create>iOS/iPadOS 或 macOS 中查看这些设置，了解配置文件类型的平台>设置目录。

新设置包括：

帐户 > 订阅的日历：

• 帐户说明
• 帐户主机名
• 帐户密码
• 帐户使用 SSL
• 帐户用户名

应用于：

• iOS/iPadOS

网络 > 域：

• 跨站点跟踪防护宽松域

应用于：

• macOS

以下设置也位于"设置目录"中。 以前，它们仅在模板中可用：

文件保管库：

• 用户输入缺失信息

应用于：

• macOS

限制:

• 分级区域

应用于：

• iOS/iPadOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

按设备的Microsoft Entra联接类型 () deviceTrustType 筛选应用和策略分配

分配应用或策略时，可以使用不同的设备属性（如设备制造商、操作系统 SKU 等）筛选分配。

新的设备筛选器属性deviceTrustType可用于Windows 10及更高版本的设备。 使用此属性，可以根据Microsoft Entra联接类型筛选应用和策略分配。 这些值包括已联接Microsoft Entra、Microsoft Entra混合联接和已注册Microsoft Entra。

有关可使用的筛选器和设备属性的详细信息，请转到：

• 在 Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Intune 中创建筛选器时的设备属性、运算符和规则编辑

应用于：

• Windows 10 及更高版本

监视和疑难解答

在Microsoft Intune管理中心下载移动应用诊断 (公共预览版)

现在，在管理中心访问用户提交的移动应用诊断，包括通过适用于 Android 的 公司门户 应用、Android (AOSP) 或 Windows 发送的应用日志，以后会支持 iOS、macOS 和 Microsoft Edge for iOS。 有关访问移动应用诊断公司门户的详细信息，请参阅配置公司门户。

使用诊断文件进行 WinGet 故障排除

WinGet 是一个命令行工具，可用于在Windows 10和Windows 11设备上发现、安装、升级、删除和配置应用程序。 在 Intune 中使用 Win32 应用管理时，现在可以使用以下文件位置来帮助排查 WinGet 问题：

• %TEMP%\winget\defaultstate*.log
• Microsoft-Windows-AppXDeployment/Operational
• Microsoft-Windows-AppXDeploymentServer/Operational

Intune故障排除窗格更新

“Intune故障排除”窗格的新体验提供有关用户设备、策略、应用程序和状态的详细信息。 故障排除窗格包括以下信息：

• 策略、合规性和应用程序部署状态的摘要。
• 支持导出、筛选和排序所有报表。
• 支持通过排除策略和应用程序进行筛选。
• 支持筛选到用户的单个设备。
• 有关可用设备诊断和已禁用设备的详细信息。
• 有关三天或三天以上未签入服务的脱机设备的详细信息。

可以通过选择“故障排除 + 支持>故障排除”，在 Microsoft Intune 管理中心找到故障排除窗格。 若要在预览期间查看新体验，请选择“ 预览即将进行的故障排除”更改并提供反馈 以显示 “故障排除预览 ”窗格，然后选择“ 立即试用”。

没有符合性策略的设备的新报表 (预览版)

我们已将名为“设备没有符合性策略”的新报告添加到了可以通过Microsoft Intune管理中心的“报告”节点访问的设备符合性报告。 此报表以预览版提供，它使用较新的报告格式，可提供更多功能。

若要了解此新组织报告，请参阅 不合规策略的设备 (组织) 。

此报表的旧版本仍可通过管理中心的 “设备 > 监视器 ”页获得。 最终，旧版报表将停用，但目前仍可用。

服务运行状况需要管理关注的租户问题的消息

Microsoft Intune管理中心中的“服务运行状况和消息中心”页现在可以显示环境中需要操作的问题的消息。 这些消息是发送到租户的重要通信，用于提醒管理员环境中可能需要采取措施才能解决的问题。

可以通过转到“租户管理>租户状态”，然后选择“服务运行状况和消息中心”选项卡，在 Microsoft Intune 管理中心查看环境中需要操作的问题的消息。

有关管理中心的此页的详细信息，请参阅“Intune租户状态”页上的“查看租户详细信息”。

租户管理

改进了多个证书连接器的 UI 体验

我们已将分页控件添加到 “证书连接器” 视图，以帮助改进配置了超过 25 个证书连接器时的体验。 使用新控件，可以查看连接器记录的总数，并在查看证书连接器时轻松导航到特定页面。

若要查看证书连接器，请在Microsoft Intune管理中心，转到租户管理>连接器和令牌>证书连接器。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 由电压安全性提供的电压 SecureMail

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

脚本

在 Endpoint Analytics 中预览 PowerShell 脚本包内容

管理员现在可以查看 PowerShell 脚本内容的预览，以便进行主动修正。 内容显示在具有滚动功能的灰显框中。 管理员无法在预览中编辑脚本的内容。 在“Microsoft Intune管理中心”中，选择“报告>终结点分析>”“主动修正”。 有关详细信息，请参阅 用于主动修正的 PowerShell 脚本。

2023 年 1 月 16 日当周

应用管理

Win32 应用取代 GA

Win32 应用取代 GA 的功能集可用。 它添加了对在 ESP 期间具有取代性的应用的支持，还允许在同一应用子图中添加取代 & 依赖项关系。 有关详细信息，请参阅 Win32 应用取代改进。 有关 Win32 应用取代的信息，请参阅 添加 Win32 应用取代。

2023 年 1 月 9 日当周

设备配置

公司门户应用在具有工作配置文件的 Android Enterprise 12+ 个人拥有的设备上强制实施密码复杂性设置

在具有工作配置文件的 Android Enterprise 12+ 个人拥有的设备上，可以创建设置密码复杂性的合规性策略和/或设备配置文件。 从 2211 版本开始，此设置可在 Intune 管理中心中使用：

• 设备>配置>> Create Android Enterprise for Platform > Personal-owned with a work profile
• 设备>合规性策略>Create策略>Android Enterprise for platform > Personally owned with a work profile

公司门户应用强制实施密码复杂性设置。

有关此设置以及可在个人拥有的设备上配置的工作配置文件的其他设置的详细信息，请转到：

• Intune中 Android Enterprise 的设备符合性设置
• Intune中 Android Enterprise 的设备限制设置列表

应用于：

• 具有工作配置文件的 Android Enterprise 12+ 个人拥有的设备

2022 年 12 月 19 日当周

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Appian Corporation (Android) Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2022 年 12 月 12 日 (服务版本 2212)

设备配置

远程帮助客户端应用包括用于在租户级别设置中禁用聊天功能的新选项

在 远程帮助 应用中，管理员可以从新的租户级别设置中禁用聊天功能。 打开禁用聊天功能会删除远程帮助应用中的聊天按钮。 可以在 Microsoft Intune 的租户管理下的“远程帮助设置”选项卡中找到此设置。

有关详细信息，请参阅为租户配置远程帮助。

适用于：Windows 10/11

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在Microsoft Intune管理中心，可以在“设备>配置>Create macOS”中查看这些设置，>了解配置文件类型的平台>设置目录。

新设置包括：

文件保管库 > 文件保管库选项：

• 阻止禁用 FV
• 阻止启用 FV

限制:

• 允许修改蓝牙

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

iOS、iPadOS 和 macOS 设备上的 SSO 扩展请求有默认设置

创建单一登录应用扩展配置文件时，需要配置一些设置。 以下设置对所有 SSO 扩展请求使用以下默认值：

• AppPrefixAllowList 密钥

  • macOS 默认值： com.microsoft.,com.apple.
  • iOS/iPadOS 默认值： com.apple.

• browser_sso_interaction_enabled 键

  • macOS 默认值： 1
  • iOS/iPadOS 默认值： 1

• disable_explicit_app_prompt 键

  • macOS 默认值： 1
  • iOS/iPadOS 默认值： 1

如果配置的值不是默认值，则配置的值将覆盖默认值。

例如，不配置 AppPrefixAllowList 密钥。 默认情况下，所有 Microsoft 应用 (com.microsoft.) 和所有 Apple 应用 (com.apple.) 在 macOS 设备上启用 SSO。 可以通过向列表添加其他前缀（例如 com.contoso.）来覆盖此行为。

有关企业 SSO 插件的详细信息，请转到在 Microsoft Intune 中使用 iOS/iPadOS 和 macOS 设备上的 Microsoft Enterprise SSO 插件。

应用于：

• iOS/iPadOS
• macOS

设备注册

Android Enterprise 专用设备的注册令牌生存期延长至 65 年

现在可以为 Android Enterprise 专用设备创建有效期长达 65 年的注册配置文件。 如果你有现有配置文件，注册令牌仍将在创建配置文件时选择的任何日期过期，但在续订期间，可以延长生存期。 有关创建注册配置文件的详细信息，请参阅为 Android Enterprise 专用设备设置Intune注册。

设备管理

更新 macOS 策略现在可用于所有受监督设备

macOS 设备的软件更新策略现在适用于所有 macOS 受监督的设备。 以前，只有通过自动设备注册 (ADE) 注册的设备才有资格接收更新。 有关为 macOS 配置更新策略的详细信息，请参阅使用Microsoft Intune策略管理 macOS 软件更新。

应用于：

• macOS

Windows 功能更新和加速质量更新的策略和报告现已正式发布

用于管理功能更新和质量更新 (加速更新) Windows 10及更高版本的策略和报表均已推出预览版，现已正式发布。

有关这些策略和报告的详细信息，请参阅：

• 功能更新策略
• 加快质量更新策略
• Windows 更新合规性报告

应用于：

• windows 10/11

2022 年 11 月 28 日当周

应用管理

Intune 中的 Microsoft Store 应用

现在可以在 Intune 中搜索、浏览、配置和部署 Microsoft Store 应用。 新的 Microsoft Store 应用类型是使用 Windows 程序包管理器实现的。 此应用类型具有扩展的应用目录，其中包括 UWP 应用和 Win32 应用。 此功能的推出预计将在 2022 年 12 月 2 日完成。 有关详细信息，请参阅将 Microsoft Store 应用添加到Microsoft Intune。

租户管理

多个管理员审批 (公共预览版) 的访问策略

在公共预览版中，可以使用Intune访问策略来要求第二个管理员审批帐户在应用更改之前批准更改。 此功能称为多个管理员审批 (MAA) 。

创建访问策略来保护某种类型的资源，例如应用部署。 每个访问策略还包括一组用户，他们是策略保护的更改的 审批者 。 当资源（如应用部署配置）受到访问策略的保护时，对部署所做的任何更改（包括创建、删除或修改现有部署）将不适用，直到该访问策略的审批者组的成员评审并批准该更改。

审批者还可以拒绝请求。 请求更改的个人和审批者可以提供有关更改的备注，或者更改被批准或拒绝的原因。

以下资源支持访问策略：

• 应用 - 适用于 应用部署，但不适用于应用保护策略。
• 脚本 – 适用于将脚本部署到运行 macOS 或 Windows 的设备。

有关详细信息，请参阅 使用访问策略要求多个管理批准。

设备安全性

Microsoft Tunnel for Mobile Application Management for Android (Preview)

作为公共预览版，现在可以将 Microsoft Tunnel 用于未注册的设备。 此功能称为 Microsoft Tunnel for Mobile Application Management (MAM) 。 此预览版支持 Android，并且无需对现有 Tunnel 基础结构进行任何更改，即可支持用于以下对象的 Tunnel VPN 网关：

• 使用新式身份验证保护对本地应用和资源的访问
• 单一登录和条件访问

若要使用 Tunnel MAM，未注册的设备必须安装 Microsoft Edge、Microsoft Defender for Endpoint和公司门户。 然后，可以使用Microsoft Intune管理中心为未注册的设备配置以下配置文件：

• 托管应用的应用配置文件，用于在设备上配置Microsoft Defender以用作 Tunnel 客户端应用。
• 托管应用的第二个应用配置文件，用于配置 Microsoft Edge 以连接到 Tunnel。
• 用于启用 Microsoft Tunnel 连接的自动启动的应用保护配置文件。

应用于：

• Android Enterprise

2022 年 11 月 14 日 (服务版本 2211)

应用管理

控制托管 Google Play 应用的显示

可以将托管 Google Play 应用分组到集合中，并控制在Intune中选择应用时集合的显示顺序。 还可以仅通过搜索使应用可见。 通过选择“应用所有应用>添加>托管 Google Play应用>”，Microsoft Intune管理中心提供此功能。 有关详细信息，请参阅直接在 Intune 管理中心中添加托管 Google Play 应用商店应用。

设备配置

具有工作配置文件的 Android Enterprise 12+ 个人拥有设备的新密码复杂性设置

在具有工作配置文件的 Android Enterprise 11 及更早版本的个人拥有设备上，可以设置以下密码设置：

• 设备>合 规>Android Enterprise for platform >个人拥有的工作配置文件>系统安全性>必需密码类型， 最小密码长度
• 设备>配置>Android Enterprise for platform >个人拥有的工作配置文件>设备限制>工作配置文件设置>必需密码类型， 最小密码长度
• 设备>配置>Android Enterprise for Platform >个人拥有的工作配置文件>设备限制>需要密码>类型， 最小密码长度

Google 正在弃用工作配置文件的 Android 12+ 个人拥有设备的 “必需密码类型 ”和 “最小密码长度 ”设置，并将其替换为新的密码复杂性要求。 有关此更改的详细信息，请转到 Android 13 的天零支持。

新的 密码复杂性 设置具有以下选项：

• 无：Intune不会更改或更新此设置。 默认情况下，OS 可能不需要密码。
• 低：阻止重复 (4444) 或有序 (1234、4321、2468) 序列的模式或 PIN。
• 中：阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度、字母长度或字母数字长度必须至少为四个字符。
• 高：阻止重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN。 长度必须至少为 8 个字符。 字母或字母数字长度必须至少为六个字符。

在 Android 12+ 上，如果当前在符合性策略或设备配置文件中使用 “必需密码类型 ”和 “最小密码长度 ”设置，则建议改用新的 “密码复杂性 ”设置。

如果继续使用 “所需密码类型 ”和 “最小密码长度 ”设置，并且未配置 “密码复杂性 ”设置，则运行 Android 12+ 的新设备可能默认为 “高 密码复杂性”。

有关这些设置的详细信息以及配置了已弃用设置的现有设备会发生什么情况，请转到：

• 具有工作配置文件的 Android Enterprise 个人拥有的设备 - 配置文件设置列表
• 具有工作配置文件的 Android Enterprise 个人拥有的设备 - 合规性策略设置列表

应用于：

• 具有工作配置文件的 Android Enterprise 12.0 及更新的个人拥有的设备

iOS/iPadOS 和 macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中提供了新的设置。 在 Microsoft Intune 管理中心中，可以在设备>配置>Create>iOS/iPadOS 或 macOS 中查看这些设置，了解配置文件类型的平台>设置目录。

新设置包括：

网络 > DNS 设置：

• DNS 协议
• 服务器地址
• 服务器名称
• 服务器 URL
• 补充匹配域
• 按需规则
• 操作
• 操作参数
• DNS 域匹配
• DNS 服务器地址匹配
• 接口类型匹配
• SSID 匹配
• URL 字符串探测
• 禁止禁用

文件保管库：

• 推迟
• 延迟不要在用户注销时询问
• 在用户登录时延迟强制最大绕过尝试次数
• 启用
• 显示恢复密钥
• 使用恢复密钥

文件保管库 > 文件保管库恢复密钥托管：

• 设备密钥
• 位置

限制:

• 允许 Air Play 传入请求

应用于：

• macOS

Web > Web 内容筛选器：

• 允许列表书签
• 已启用自动筛选
• 拒绝列表 URL
• 筛选器浏览器
• 筛选器数据提供程序捆绑标识符
• 筛选器数据提供程序指定要求
• 筛选等级
• 筛选器数据包提供程序捆绑标识符
• 筛选器数据包提供程序指定要求
• 筛选数据包
• 筛选器套接字
• 筛选器类型
• 组织
• Password
• 允许的 URL
• 插件捆绑 ID
• 服务器地址
• 用户定义的名称
• 用户名
• 供应商配置

应用于：

• iOS/iPadOS
• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

设备固件配置接口 (DFCI) 支持松下设备

对于 Windows 10/11 设备，可以创建一个 DFCI 配置文件来管理 UEFI (BIOS) 设置 (设备>配置>Create>Windows 10以及平台>模板>设备固件配置接口的配置文件类型) 。

从 2022 年秋季开始，将针对 DFCI 启用运行 Windows 10/11 的新松下设备。 因此，管理员可以创建 DFCI 配置文件来管理 BIOS，然后将配置文件部署到这些松下设备。

请联系设备供应商或设备制造商，确保获得符合条件的设备。

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows 10
• Windows 11

使用设置目录在 macOS 设备上提供登录和后台项目管理支持

在 macOS 设备上，可以创建一个策略，当用户登录到其 macOS 设备时自动打开项目。 例如，可以打开应用、文档和文件夹。

在 Intune 中，设置目录包括设备>配置>Create>macOS 中的新服务管理设置，用于平台>设置目录>登录>服务管理。 这些设置可以防止用户在其设备上禁用托管登录名和后台项。

有关设置目录的详细信息，请转到：

• 使用设置目录配置设置
• 可以使用设置目录完成的常见任务

应用于：

• macOS 13 及更新版本

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Varicent by Varicent US OpCo Corporation
• myBLDNG by Bldng.ai
• Stratospherix Ltd Intune企业文件
• ArcGIS Indoors for Intune by ESRI
• 会议按决策按决策 AS
• Idenprotect Go by Apply Mobile Ltd

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

查看 Microsoft Intune 管理中心中的云电脑连接运行状况检查和错误

现在可以在Microsoft Intune管理中心查看连接运行状况检查和错误，以帮助了解用户是否遇到连接问题。 还有一个故障排除工具，可帮助解决连接问题。 若要查看检查，请选择“设备>>Windows 365”Azure 网络连接>“在”概述“列表中选择>一个连接。

租户管理

为Windows 11 (公共预览版) 传递组织消息

使用Microsoft Intune向其设备上的员工传递重要消息和行动号召。 组织消息是预配置的消息，旨在改善远程和混合工作方案中的员工通信。 它们可用于帮助员工适应新角色、了解有关其组织的详细信息，以及随时了解新的更新和培训。 可以在任务栏正上方、通知区域或Windows 11设备上的“入门”应用中传递消息。

在公共预览版期间，可以：

• 从要分配给Microsoft Entra用户组的各种预配置的常见消息中进行选择。
• 添加组织的徽标。
• 在将设备用户重定向到特定位置的消息中包含自定义目标 URL。
• 以深色和浅色主题以 15 种受支持的语言预览消息。
• 计划传递窗口和消息频率。
• 跟踪消息的状态以及它们收到的查看和单击次数。 视图和单击数由消息聚合。
• 取消计划或活动消息。
• 在名为“组织消息管理器”的Intune中配置新的内置角色，该角色允许分配的管理员查看和配置邮件。

所有配置都需要在Microsoft Intune管理中心内完成。 Microsoft 图形 API不能与组织消息一起使用。 有关详细信息，请参阅 组织消息概述。

2022 年 11 月 7 日当周

应用管理

终止对 Windows 信息保护的支持

不注册的 Windows 信息保护 (WIP) 策略已被弃用。 如果不注册，则无法再创建新的 WIP 策略。 在 2022 年 12 月之前，可以修改现有策略，直到弃用 无注册 方案完成。 有关详细信息，请转到计划更改：终止对 Windows 信息保护的支持。

设备配置

Windows 11多会话 VM 的用户配置支持现已正式发布

你现在可以：

• 使用 设置目录 配置用户范围策略，并分配给用户组，包括 ADMX 引入的策略
• 配置用户证书并将其分配给用户
• 配置 PowerShell 脚本以在用户上下文中安装并分配给用户

应用于：

• Windows 11
• 在 Azure 公共云和Azure 政府云中创建的虚拟机

2022 年 10 月 31 日当周

应用管理

Intune的主要 MTD 服务应用保护策略设置

Intune现在支持Microsoft Defender for Endpoint和一个非移动威胁防御 (MTD) 连接器，以“打开”每个平台的应用保护策略评估。 此功能支持客户可能需要在Microsoft Defender for Endpoint和非 Microsoft MTD 服务之间迁移的方案。 而且，他们不希望通过应用保护策略中的风险分数暂停保护。 在标题为“主要 MTD 服务”的条件启动运行状况检查下引入了一个新设置，以指定应为最终用户强制实施哪个服务。 有关详细信息，请参阅 Android 应用保护策略设置 和 iOS 应用保护策略设置。

2022 年 10 月 24 日 (服务版本 2210)

应用管理

将筛选器与托管设备的应用配置策略配合使用

在为托管设备部署应用配置策略时，可以使用筛选器来优化分配范围。 必须先使用适用于 iOS 和 Android 的任何可用属性 创建筛选器 。 然后，在Microsoft Intune管理中心，可以通过选择“应用>”“应用配置策略”“添加>托管设备”并转到“分配”页来分配托管应用配置策略>。 选择组后，可以通过选择筛选器并决定在 “包括 ”或“ 排除” 模式下使用它来优化策略的适用性。 有关筛选器的详细信息，请参阅在管理中心Microsoft Intune分配应用、策略和配置文件时使用筛选器。

设备配置

组策略分析在管理员导入组策略对象时自动应用分配给管理员的范围标记

在组策略分析中，可以导入本地 GPO，以查看支持基于云的 MDM 提供程序的策略设置，包括Microsoft Intune。 还可以看到任何已弃用的设置或设置不可用。

现在，当这些管理员将 GPO 导入到组策略分析中时，将自动应用分配给管理员的范围标记。

例如，管理员为其角色分配了 夏洛特、 伦敦或 波士顿 范围标记：

• 具有 Charlotte 作用域标记的管理员导入 GPO。
• Charlotte 范围标记会自动应用于导入的 GPO。
• 具有 Charlotte 范围标记的所有管理员都可以看到导入的对象。
• 仅具有 London 或 波士顿范围标记 的管理员无法看到 夏洛特 管理员导入的对象。

要使管理员查看分析或将导入的 GPO 迁移到Intune策略，这些管理员必须具有与执行导入的管理员相同的范围标记之一。

有关此类功能的详细信息，请参阅：

• 在 Microsoft Intune 中使用组策略分析分析本地 GPO
• 针对分散 IT 使用基于角色的访问控制（RBAC）和范围标记

应用于：

• Windows 11
• Windows 10

Microsoft Intune的新网络终结点

新的网络终结点已添加到我们的文档中，以适应添加到 Intune 服务的新 Azure 缩放单元 (ASU) 。 建议使用最新的 IP 地址列表更新防火墙规则，以确保Microsoft Intune的所有网络终结点都是最新的。

对于完整列表，请转到Microsoft Intune的网络终结点。

使用Windows 11 SE操作系统 SKU 筛选应用和组策略分配

分配应用或策略时，可以使用不同的设备属性（如设备制造商、操作系统 SKU 等）筛选分配。

提供了两个新的Windows 11 SE操作系统 SKU。 可以在分配筛选器中使用这些 SKU 来包括或排除Windows 11 SE设备，使其无法应用面向组的策略和应用程序。

有关可使用的筛选器和设备属性的详细信息，请转到：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Microsoft Intune 中创建筛选器时的设备属性、运算符和规则编辑

应用于：

• Windows 11 SE

iOS/iPadOS 和 macOS 设置目录中提供的新设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。

设置目录中提供了新设置。 在 Microsoft Intune 管理中心中，可以在设备>配置>Create>iOS/iPadOS 或 macOS 中查看这些设置，了解配置文件类型的平台>设置目录。

新设置包括：

网络 > 手机网络：

• 启用XLAT464

应用于：

• iOS/iPadOS

隐私 > 隐私首选项策略控制：

• 系统策略应用捆绑包

应用于：

• macOS

限制:

• 允许快速安全响应安装
• 允许快速删除安全响应

应用于：

• iOS/iPadOS
• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

Windows 设备上的设备固件配置接口 (DFCI) 配置文件的新设置

可以创建一个 DFCI 配置文件，使 Windows OS 能够将管理命令从 Intune传递到 UEFI (统一可扩展固件接口) (设备>配置>Create>Windows 10及更高版本用于平台>模板>设备固件配置接口)

可以使用此功能来控制 BIOS 设置。 可以在 DFCI 策略中配置一些新设置：

• 相机：

  • 前置摄像头
  • 红外相机
  • 后置摄像头

• 收音机：

  • WWAN
  • Nfc

• 端口

  • SD 卡

有关 DFCI 配置文件的详细信息，请转到：

• 在 Microsoft Intune 中使用 Windows 设备上的设备固件配置接口 (DFCI) 配置文件
• DFCI 配置文件设置列表

应用于：

• 受支持的 UEFI 上的 Windows 11
• 支持 UEFI 上的 Windows 10 RS5 (1809) 及更高版本

设备注册

具有新式身份验证的 iOS/iPadOS 设置助手支持实时注册 (公共预览版)

Intune支持实时 (JIT) 注册 iOS/iPadOS 注册方案，这些方案使用设置助理与新式身份验证。 JIT 注册减少了在整个预配体验中向用户显示的身份验证提示数，从而为他们提供更无缝的载入体验。 它无需使用 公司门户 应用进行Microsoft Entra注册和合规性检查，并跨设备建立单一登录。 JIT 注册以公共预览版提供，适用于通过 Apple 自动设备注册并运行 iOS/iPadOS 13.0 或更高版本的设备。 有关详细信息，请参阅 自动设备注册的身份验证方法。

设备管理

连接 Intune (公共预览版中的 Chrome OS 设备)

在 Microsoft Intune 管理中心查看在 Chrome OS 上运行的公司或学校拥有的设备。 现在，在公共预览版中，可以在 Google 管理员 控制台与 Microsoft Intune 管理中心之间建立连接。 有关 Chrome OS 终结点的设备信息会同步到Intune，可在设备清单列表中查看。 管理中心还提供基本的远程操作，例如重启、擦除和丢失模式。 有关如何设置连接的详细信息，请参阅 配置 Chrome Enterprise 连接器。

使用 Intune 管理 macOS 软件更新

现在，可以使用Intune策略来管理使用自动设备注册 (ADE) 注册的设备的 macOS 软件更新。 请参阅在 Intune 中管理 macOS 软件更新策略。

Intune支持以下 macOS 更新类型：

• 关键更新
• 固件更新
• 配置文件更新
• (OS、内置应用) 的所有其他更新

除了计划设备更新的时间外，还可以管理行为，例如：

• 下载并安装：下载或安装更新，具体取决于当前状态。
• 仅下载：下载软件更新而不安装。
• 立即安装：下载软件更新并触发重启倒计时通知。
• 仅通知：下载软件更新并通过App Store通知用户。
• 稍后安装：下载软件更新并在以后安装。
• 未配置：未对软件更新执行任何操作。

有关管理 macOS 软件更新的 Apple 信息，请参阅 Apple 平台部署文档中的管理 Apple 设备的软件更新 - Apple 支持 。 Apple 在 Apple 安全更新 - Apple 支持中维护安全更新列表。

从 Microsoft Intune 管理中心内取消预配 Jamf Pro

现在可以从 Microsoft Intune 管理中心取消预配 Jamf Pro 以Intune集成。 如果不再有权访问 Jamf Pro 控制台，此功能可能很有用，也可以通过该控制台取消预配集成。

此功能与在 Jamf Pro 控制台中断开 Jamf Pro 的连接类似。 因此，删除集成后，组织的 Mac 设备在 90 天后将从Intune中删除。

适用于在 iOS/iPadOS 上运行的单个设备的新硬件详细信息

选择“设备”>“所有设备”>“选择列出的设备之一”并打开其 硬件 详细信息。 以下新详细信息在各个设备的“ 硬件 ”窗格中提供：

• 电池电量：显示介于 0 和 100 之间的任意位置的设备的电池电量，如果无法确定电池电量，则默认为 null。 此功能适用于运行 iOS/iPadOS 5.0 及更高版本的设备。
• 常驻用户：显示共享 iPad 设备上的当前用户数，如果无法确定用户数，则默认为 null。 此功能适用于运行 iOS/iPadOS 13.4 及更高版本的设备。

有关详细信息，请转到使用Microsoft Intune查看设备详细信息。

适用对象

• iOS/iPadOS

在 $null 筛选器中使用值

将应用和策略分配给组时，可以使用筛选器根据 (租户管理>筛选器>创建的规则分配策略Create) 。 这些规则使用不同的设备属性，例如类别或注册配置文件。

现在，可以将 值与 和 -NotEquals 运算符一$null起使用-Equals。

例如，在以下方案中使用 $null 值：

• 你希望面向未将类别分配给设备的所有设备。
• 你希望面向没有向设备分配注册配置文件属性的设备。

有关可以创建的筛选器和规则的详细信息，请转到：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Microsoft Intune 中创建筛选器时的设备属性、运算符和规则编辑

应用于：

• Android 设备管理员
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10/11

设备安全性

设备控制配置文件中可移动存储的可重用设置组 (预览)

在公共预览版中，可以将 可重用的设置组 与攻击面减少策略 中的设备控制配置文件 结合使用。

设备控制配置文件的可重用组包括一组设置，这些设置支持管理可移动存储的读取、写入和执行访问权限。 常见方案的示例包括：

• 阻止写入和执行对所有项的访问，但允许特定的已批准的 USB
• 审核对所有的写入和执行访问权限，但阻止特定的未经批准的 USB
• 仅允许特定用户组访问共享电脑上的特定可移动存储

应用于：

• Windows 10 或更高版本

Microsoft Defender防火墙规则的可重用设置组 (预览)

在公共预览版中，可以使用可重用的设置组，这些设置可用于Microsoft Defender防火墙规则的配置文件。 可重用组是一次定义的远程 IP 地址和 FQDN 的集合，然后可与一个或多个防火墙规则配置文件一起使用。 无需在每个可能需要它们的单个配置文件中重新配置同一组 IP 地址。

可重用设置组的功能包括：

• 添加一个或多个远程 IP 地址。

• 添加一个或多个可自动解析为远程 IP 地址的 FQDN，或者在关闭组的自动解析时为一个或多个简单关键字添加 FQDN。

• 将每个设置组与一个或多个防火墙规则配置文件结合使用，不同的配置文件可以支持组的不同访问配置。

  例如，可以创建两个防火墙规则配置文件，这些配置文件引用相同的可重用设置组，并将每个配置文件分配给不同的设备组。 第一个配置文件可以阻止对可重用设置组中所有远程 IP 地址的访问，而第二个配置文件可以配置为允许访问。

• 对正在使用的设置组的编辑将自动应用于使用该组的所有防火墙规则配置文件。

基于每个规则的攻击面减少规则排除

现在可以 为攻击面减少规则策略配置每个规则排除项。 每个规则排除是通过新的每规则设置 ASR“仅按规则排除”来启用的。

创建或编辑攻击面减少规则策略并将支持排除的设置从默认的 “未配置” 更改为任何其他可用选项时，新的每设置排除选项将变为可用。 仅按规则排除的 ASR 设置实例的任何配置仅应用于该设置。

可以使用设置“仅攻击面减少排除项”来继续配置适用于设备上所有攻击 面减少规则的全局排除项。

应用于：

• windows 10/11

注意

ASR 策略不支持 “仅按规则排除 ASR ”的合并功能，当多个策略为同一设备冲突配置 “仅按规则排除 ASR ”时，可能会导致策略冲突。 若要避免冲突，请将 “仅按规则排除 ASR”的配置 合并到单个 ASR 策略中。 我们正在研究在未来更新中为 仅按规则排除的 ASR 添加策略合并。

授予应用在 Android Enterprise 设备上以静默方式使用证书的权限

现在可以在注册为 完全托管、专用和 Corporate-Owned 工作配置文件的 Android Enterprise 设备上配置证书的无提示使用。

此功能在证书配置文件配置工作流中的新 “应用 ”页上可用，具体方法是将 “证书访问权限 ”设置为 “以静默方式授予”， (要求用户批准其他应用) 。 通过此配置，你随后选择的应用会以无提示方式使用该证书。 所有其他应用将继续使用默认行为，即需要用户批准。

此功能仅支持 Android Enterprise 完全托管、专用和 Corporate-Owned 工作配置文件的以下证书配置文件：

• 派生的凭据
• 导入的 PKCS
• PKCS
• SCEP

Microsoft Intune应用的应用内通知

Android 开源项目 (AOSP) 设备用户现在可以在 Microsoft Intune 应用中接收合规性通知。 此功能仅在基于 AOSP 用户的设备上可用。 有关详细信息，请参阅 AOSP 符合性通知。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• MyITOps， Ltd 为 Intune的 MyITOps
• MURAL - Tactivos， Inc 的视觉协作

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2022 年 10 月 17 日当周

应用管理

Android 设备上托管应用的增强应用选取器

Android 设备用户可以在 Intune 公司门户 应用中选择、查看和删除其默认应用选择。 公司门户安全地存储设备用户对托管应用的默认选择。 用户可以转到“设置”“默认应用>”“查看默认值”>，查看和删除公司门户应用中的选择。 此功能是托管应用的 Android 自定义应用选取器增强功能，托管应用是 Android MAM SDK 的一部分。 有关如何查看默认应用的详细信息，请参阅 查看和编辑默认应用。

2022 年 10 月 10 日当周

设备管理

Microsoft Endpoint Manager 品牌更改

从 2022 年 10 月 12 日开始，将不再使用 Microsoft Endpoint Manager 的名称。 今后，我们将基于云的统一终结点管理称为Microsoft Intune，将本地管理称为Microsoft Configuration Manager。 随着高级管理的推出，Microsoft Intune是我们 Microsoft 不断壮大的终结点管理解决方案产品系列的名称。 有关详细信息，请参阅终结点管理技术社区博客上的 官方公告 。 正在更改文档以删除 Microsoft Endpoint Manager。

有关详细信息，请参阅Intune文档。

Windows 公司门户中可见的宽限期状态

Windows 公司门户现在显示宽限期状态，以考虑不符合合规性要求但仍在给定宽限期内的设备。 将显示用户需要合规的日期以及如何合规的说明。 如果用户未在给定日期前更新其设备，则其设备状态将更改为不符合。 有关设置宽限期的详细信息，请参阅 配置符合性策略，并针对不符合 操作和 从设备详细信息页检查访问权限。

Microsoft Intune 中提供的 Linux 设备管理

Microsoft Intune现在支持对运行 Ubuntu Desktop 22.04 或 20.04 LTS 的设备进行 Linux 设备管理。 Intune管理员无需执行任何操作即可在 Microsoft Intune 管理中心中启用 Linux 注册。 Linux 用户可以自行 注册受支持的 Linux 设备 ，并使用 Microsoft Edge 浏览器在线访问公司资源。

在管理中心，可以：

• 在 Microsoft Edge 中强制实施条件访问策略。
• Create Linux 设备符合性策略，其中包含有关以下内容的规则：
  • 允许的分发
  • 自定义符合性
  • 设备加密
  • 密码策略
• 使用符合 POSIX 的 shell 脚本进行发现，并应用 JSON 文件来定义要使用的自定义设置的自定义符合性设置。

2022 年 10 月 3 日当周

设备安全性

不符合性警告消息包含链接

在 远程帮助 中，已向“查看设备符合性信息”通知添加了一个链接，它允许帮助者详细了解设备在Microsoft Intune中不符合的原因。

有关详细信息，请转到：

• Microsoft Intune 远程帮助

• 监视设备符合性

适用范围：Windows 10/11

2022 年 9 月 26 日当周

监视和疑难解答

在Microsoft Intune管理中心打开“帮助和支持”，而不会丢失上下文

现在?，可以使用Microsoft Intune管理中心中的图标打开帮助和支持会话，而不会丢失管理中心中的当前焦点节点。 图标 ? 始终位于管理中心标题栏的右上角。 此更改增加了访问 帮助和支持的另一种方法。

选择 时 ?，管理中心将在新的独立并排窗格中打开帮助和支持视图。 通过打开此单独窗格，你可以自由导航支持体验，而不会影响原始位置，并专注于管理中心。

2022 年 9 月 19 日当周 (服务版本 2209)

应用管理

Microsoft Intune的新应用类型

作为管理员，你可以创建和分配两种新类型的Intune应用：

• iOS/iPadOS Web 剪辑
• Windows Web 链接

这些新应用类型的工作方式与现有的 Web 链接 应用程序类型类似，但它们仅适用于其特定平台，而 Web 链接应用程序则适用于所有平台。 使用这些新应用类型，可以分配给组，也可以使用分配筛选器来限制分配范围。 此功能位于 Microsoft Intune 管理中心>“应用>所有应用>添加” 中。

设备管理

Microsoft Intune即将终止对Windows 8.1的支持

Microsoft Intune于 2022 年 10 月 21 日终止对运行 Windows 8.1 的设备的支持。 在此日期之后，将不再提供有助于保护运行Windows 8.1设备的技术支持和自动更新。 此外，由于业务线应用的旁加载方案仅适用于Windows 8.1设备，因此Intune不再支持Windows 8.1旁加载。 旁加载正在安装，然后运行或测试 Microsoft Store 未加密的应用。 在 Windows 10/11 中，“旁加载”只是将设备配置策略设置为包含“受信任的应用安装”。 有关详细信息，请参阅规划更改：终止对Windows 8.1的支持。

工作分配中可见的组成员计数

在管理中心分配策略时，现在可以看到组中的用户和设备数。 拥有这两个计数有助于确定正确的组，并在应用工作分配之前了解分配的影响。

设备配置

向 Android Enterprise 设备添加自定义支持信息时的新锁屏界面消息

在 Android Enterprise 设备上，可以创建一个设备限制配置文件，该配置文件在设备上显示自定义支持消息 (设备>配置>Create>Android Enterprise>完全托管、专用和企业拥有的工作配置文件平台>设备限制配置文件类型>自定义支持信息) 。

有一个新设置可以配置：

• 锁屏界面消息：添加设备锁屏界面上显示的消息。

配置 锁屏界面消息时，还可以使用以下设备令牌来显示特定于设备的信息：

• {{AADDeviceId}}：Microsoft Entra设备 ID
• {{AccountId}}：Intune租户 ID 或帐户 ID
• {{DeviceId}}：Intune设备 ID
• {{DeviceName}}：Intune设备名称
• {{domain}}：域名
• {{EASID}}：Exchange 活动同步 ID
• {{IMEI}}：设备的 IMEI
• {{mail}}：用户的Email地址
• {{MEID}}：设备的 MEID
• {{partialUPN}}：符号前的 @ UPN 前缀
• {{SerialNumber}}：设备序列号
• {{SerialNumberLast4Digits}}：设备序列号的最后四位数字
• {{UserId}}：Intune用户 ID
• {{UserName}}：用户名
• {{userPrincipalName}}：用户的 UPN

注意

变量不会在 UI 中验证，并且区分大小写。 因此，你可能会看到保存的配置文件输入不正确。 例如，如果输入 {{DeviceID}}，而不是 {{deviceid}} 或 {{DEVICEID}}，则显示文本字符串而不是设备的唯一 ID。 请务必输入正确的信息。 支持所有小写或所有大写变量，但不支持混合变量。

有关此设置的详细信息，请参阅使用 Intune 允许或限制功能的 Android Enterprise 设备设置。

应用于：

• Android 7.0 及更高版本
• Android Enterprise 公司拥有的完全托管
• Android Enterprise 公司拥有的专用设备
• Android Enterprise 公司拥有的工作配置文件

在 Windows 设备的设置目录中筛选用户范围或设备范围

创建设置目录策略时，可以使用“添加设置>”添加筛选器以基于 Windows OS 版本 (设备>配置>Create>Windows 10及更高版本来筛选配置文件类型) 的平台>设置目录。

添加筛选器时，还可以按用户范围或设备范围筛选设置。

有关设置目录的详细信息，请转到 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置。

应用于：

• Windows 10
• Windows 11

Android 开源项目 (AOSP) 平台已正式发布

(AOSP) 平台的 Android 开源项目上运行的企业自有设备的Microsoft Intune管理现已正式发布， (正式版) 。 此功能包括作为公共预览版的一部分提供的完整功能套件。

目前，Microsoft Intune仅支持适用于 RealWear 设备的新 Android (AOSP) 管理选项。

• 部署指南：在 Microsoft Intune 中管理 Android 设备
• 部署指南：在 Microsoft Intune 中注册 Android 设备

应用于：

• Android 开源项目 （AOSP）

设备固件配置接口 (DFCI) 现在支持 Acer 设备

对于 Windows 10/11 设备，可以创建一个 DFCI 配置文件来管理 UEFI (BIOS) 设置 (设备>配置>Create>Windows 10以及平台>模板>设备固件配置接口的配置文件类型) 。

运行 Windows 10/11 的新 Acer 设备将在 2022 年晚些时候为 DFCI 启用。 因此，管理员可以创建 DFCI 配置文件来管理 BIOS，然后将配置文件部署到这些 Acer 设备。

请联系设备供应商或设备制造商，确保获得符合条件的设备。

有关 Intune 中的 DFCI 配置文件的详细信息，请转到使用设备固件配置接口 (Microsoft Intune 中的 Windows 设备上的 DFCI) 配置文件。

应用于：

• Windows 10
• Windows 11

iOS/iPadOS 和 macOS 设置目录中提供的新设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。

设置目录中提供了新的设置。 在 Microsoft Intune 管理中心中，可以在设备>配置>Create>iOS/iPadOS 或 macOS 中查看这些设置，了解配置文件类型的平台>设置目录。

新设置包括：

帐户 > LDAP：

• LDAP 帐户说明
• LDAP 帐户主机名
• LDAP 帐户密码
• LDAP 帐户使用 SSL
• LDAP 帐户用户名
• LDAP 搜索设置

应用于：

• iOS/iPadOS
• macOS

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

隐私 > 隐私首选项策略控制：

• 辅助功能
• 通讯簿
• Apple 事件
• 日历
• 照相机
• 文件提供程序状态
• 侦听事件
• 媒体库
• 麦克风
• Photos
• Post 事件
• Reminders
• 屏幕捕获
• 语音识别
• 系统策略所有文件
• 系统策略桌面文件夹
• 系统策略文档文件夹
• 系统策略下载文件夹
• 系统策略网络卷
• 系统策略可移动卷
• 系统策略 Sys 管理员文件

应用于：

• macOS

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

设备注册

(公共预览版) 设置注册通知

注册通知通过电子邮件或推送通知通知设备用户在Microsoft Intune注册新设备时。 出于安全目的，可以使用注册通知。 他们可以通知用户并帮助他们报告注册错误的设备，或者在招聘或入职过程中与员工通信。 注册通知现可在公共预览版中试用，适用于 Windows、Apple 和 Android 设备。 只有用户驱动的注册方法才支持此功能。

设备安全性

将符合性策略分配给“所有设备”组

“ 所有设备 ”选项现在可用于 合规性策略 分配。 使用此选项，可以将符合性策略分配给组织中与策略平台匹配的所有已注册设备。 无需创建包含所有设备的Microsoft Entra组。

当包含 “所有设备 ”组时，可以排除单个设备组以进一步优化分配范围。

Trend Micro - 新的移动威胁防御合作伙伴

现在，可以使用 Trend Micro Mobile Security 即服务作为集成的移动威胁防御 (MTD) 合作伙伴与 Intune。 通过在 Intune 中配置 Trend MTD 连接器，可以使用基于风险评估的条件访问来控制移动设备对公司资源的访问。

有关更多信息，请参阅：

• 移动威胁防御与 Intune 集成

宽限期状态在 Intune 公司门户 网站上可见

Intune 公司门户网站现在显示宽限期状态，以考虑不符合合规性要求但仍在其给定宽限期内的设备。 将显示用户需要合规的日期以及如何合规的说明。 如果他们未在给定日期前更新其设备，则其状态将更改为不符合。 有关设置宽限期的详细信息，请参阅 配置符合性策略以及针对不符合操作的操作。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• RingCentral for Intune by RingCentral， Inc.
• MangoApps， Work from Anywhere by MangoSpring， Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2022 年 9 月 12 日当周

设备管理

Intune现在需要 iOS/iPadOS 14 及更高版本

随着苹果发布的 iOS/iPadOS 16，Microsoft Intune和Intune 公司门户现在将需要 iOS/iPadOS 14 及更高版本。 有关详细信息，请参阅 Intune 中支持的操作系统和浏览器。

Intune现在需要 macOS 11.6 及更高版本

随着苹果发布的 macOS 13 Ventura、Microsoft Intune、公司门户应用和Intune MDM 代理现在将需要 macOS 11.6 (Big Sur) 及更高版本。 有关详细信息，请参阅 Intune 中支持的操作系统和浏览器。

2022 年 9 月 5 日当周

设备管理

远程帮助版本：4.0.1.13 版本

远程帮助 4.0.1.13 引入了修补程序，以解决阻止用户同时打开多个会话的问题。 修复还解决了应用在没有焦点的情况下启动的问题，并阻止键盘导航和屏幕阅读器在启动时工作。

有关详细信息，请转到将远程帮助与Intune和Microsoft Intune

2022 年 8 月 29 日当周

应用管理

更新了适用于 Android 的 Microsoft Intune App SDK

更新了适用于 Android 的 Intune App SDK 的开发人员指南。 更新后的指南提供了以下阶段：

• 规划集成
• MSAL 先决条件
• MAM 入门
• MAM 集成基础知识
• 多标识
• 应用配置
• 应用参与功能

有关详细信息，请参阅 Intune Android 应用 SDK。

2022 年 8 月 22 日当周

设备管理

对租户附加设备使用Intune基于角色的访问控制 (RBAC)

从 Microsoft Intune 管理中心与租户附加设备交互时，现在可以使用Intune基于角色的访问控制 (RBAC) 。 例如，使用 Intune 作为基于角色的访问控制颁发机构时，具有Intune技术支持操作员角色的用户不需要从Configuration Manager分配的安全角色或其他权限。 有关详细信息，请参阅Intune租户附加客户端的基于角色的访问控制。

2022 年 8 月 15 日 (服务版本 2208)

应用管理

Android 强生物识别更改检测

正在修改 Intune 中的 Android 指纹而不是 PIN 访问设置，该设置允许最终用户使用指纹身份验证而不是 PIN。 此更改允许要求最终用户设置强生物识别。 而且，如果检测到强生物识别的更改，可以要求最终用户 (应用) PIN 确认其应用保护策略。 可以通过选择“>>应用应用保护策略Create Android”，在 Microsoft Intune 管理中心找到Android 应用保护策略>。 有关详细信息，请参阅 Microsoft Intune 中的 Android 应用保护策略设置。

Microsoft Intune 应用中适用于 Android (AOSP) 的非合规性详细信息

Android (AOSP) 用户可以在 Microsoft Intune 应用中查看不符合的原因。 这些详细信息描述了设备被标记为不符合的原因。 对于注册为用户关联的 Android (AOSP) 设备的设备，可在设备详细信息页上获取此信息。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Nexis Newsdesk Mobile by LexisNexisNexis
• 我的门户由 MangoApps (Android)
• Re：Work Enterprise by 9Folders， Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备注册

从 Microsoft Intune 管理中心配置零接触注册

现在，可以从 Microsoft Intune 管理中心配置 Android 零接触注册。 此功能使你可以将零接触帐户链接到Intune、添加支持信息、配置启用零接触的设备以及自定义预配附加项。 有关如何从管理中心启用零接触的详细信息，请参阅 使用 Google Zero Touch 注册。

设备管理

Windows 10/11 设备符合性的自定义设置现已正式发布

对以下自定义功能的支持已正式发布：

• 使用 PowerShell 脚本Create Windows 设备的自定义符合性策略设置。
• Create显示在 公司门户 应用中的自定义符合性规则和修正消息。

应用于：

• windows 10/11

查看 macOS shell 脚本和自定义属性的内容

将脚本上传到Intune后，可以查看 macOS shell 脚本和自定义属性的内容。 可以通过选择“设备>macOS”，在Microsoft Intune管理中心查看 Shell 脚本和自定义属性。 有关详细信息，请参阅在 Intune 中使用 macOS 设备上的 shell 脚本。

适用于 Android (AOSP) 企业设备的重置密码远程操作

可以从 Microsoft Intune 管理中心为 Android 开源项目 (AOSP) 企业设备使用“重置密码”远程操作。

有关远程操作的信息，请参阅：

• 在 Intune 中重置或删除设备密码
• 使用 Intune 远程重启设备
• 使用Intune远程锁定设备

应用于：

• Android 开源项目 （AOSP）

设备配置

对 Android (AOSP) 设备的证书配置文件支持

现在，可以将简单证书注册协议 (SCEP) 证书配置文件 与运行 Android 开源项目 (AOSP) 平台的公司所有和无用户设备配合使用。

导入、创建和管理自定义 ADMX 和 ADML 管理模板

可以创建使用内置 ADMX 模板的设备配置策略。 在 Microsoft Intune 管理中心，为平台>模板管理模板>选择“设备>配置>Create>Windows 10及更高版本”。

还可以将自定义和第三方/合作伙伴 ADMX 和 ADML 模板导入Intune管理中心。 导入后，可以创建设备配置策略、将策略分配给设备以及管理策略中的设置。

有关信息，请转到：

• 将自定义 ADMX 和 ADML 管理模板导入到 Intune
• 概述：使用 Windows 10/11 模板在 Microsoft Intune 中配置组策略设置。

应用于：

• Windows 11
• Windows 10

将 HTTP 代理添加到 Android Enterprise 上的 Wi-Fi 设备配置文件

在 Android Enterprise 设备上，可以使用基本和企业设置创建 Wi-Fi 设备配置文件。 在 Microsoft Intune 管理中心中，为平台 >Wi-Fi 选择“设备>配置>Create>Android 企业>完全托管、专用和 Corporate-Owned 工作配置文件”。

创建配置文件时，可以使用 PAC 文件配置 HTTP 代理，也可以手动配置设置。 可以为组织中的每个 Wi-Fi 网络配置 HTTP 代理。

配置文件准备就绪后，可以将此配置文件部署到完全托管、专用和 Corporate-Owned 工作配置文件设备。

有关可配置的 Wi-Fi 设置的详细信息，请转到在 Microsoft Intune 中添加 Android Enterprise 专用和完全托管设备的 Wi-Fi 设置。

应用于：

• Android Enterprise 公司拥有的完全托管式专用工作配置文件

iOS/iPadOS 设置目录支持声明性设备管理 (DDM)

在使用 用户注册注册的 iOS/iPadOS 15+ 设备上，设置目录在配置设置时自动使用 Apple 的声明性设备管理 (DDM) 。

• 使用 DDM 不需要执行任何操作。 该功能内置于设置目录中。
• 对设置目录中的现有策略没有任何影响。
• 未启用 DDM 的 iOS/iPadOS 设备继续使用 Apple 的标准 MDM 协议。

有关详细信息，请转到：

• 满足声明性设备管理 (打开 Apple 网站)
• Microsoft 简化了 Apple 更新的Intune注册
• 使用设置目录以在 Windows、iOS/iPadOS 和 macOS 设备上配置设置

应用于：

• 使用 Apple 用户注册注册的 iOS/iPadOS 15 或更高版本设备

设置目录中提供的新 macOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录中提供了新设置。 在Microsoft Intune管理中心中，选择“设备>配置>Create>macOS”for platform >Settings catalog for profile type。

新设置包括：

Microsoft 自动更新：

• 当前频道
• 最终倒计时计时器的分钟数

限制:

• 允许通用控件

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

认证 >可扩展单一登录：

• 扩展数据
• 扩展标识符
• Hosts
• Realm
• 屏幕锁定行为
• 团队标识符
• 类型
• URL

认证 >Extensible 单一登录 > Extensible 单一登录 Kerberos：

• 扩展数据
• 允许自动登录
• 允许密码更改
• 凭据捆绑 ID ACL
• 凭据使用模式
• 自定义用户名标签
• 延迟用户设置
• 域领域映射
• 帮助文本
• 在捆绑 ID ACL 中包含 Kerberos 应用
• 在捆绑包 ID ACL 中包含托管应用
• 是默认领域
• 监视凭据缓存
• 仅执行 Kerberos
• 首选 KDC
• 主体名称
• 密码更改 URL
• 密码通知天数
• 密码 Req 复杂性
• 密码请求历史记录
• 密码请求长度
• Password Req Min Age
• 密码请求文本
• 需要 TLS for LDAP
• 要求用户状态
• 网站代码
• 同步本地密码
• 使用站点自动发现
• 扩展标识符
• Hosts
• Realm
• 团队标识符
• 类型

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

应用于：

• macOS

设置目录中的新 iOS/iPadOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录中提供了新的 iOS/iPadOS 设置。 在Microsoft Intune管理中心中，选择“设备>配置>Create>iOS/iPadOS”，以获取配置文件类型的平台>“设置目录”。 以前，这些设置仅在模板中可用：

认证 >可扩展单一登录：

• 扩展数据
• 扩展标识符
• Hosts
• Realm
• 屏幕锁定行为
• 团队标识符
• 类型
• URL

认证 >Extensible 单一登录 > Extensible 单一登录 Kerberos：

• 扩展数据
• 允许自动登录
• 凭据捆绑 ID ACL
• 域领域映射
• 帮助文本
• 在捆绑包 ID ACL 中包含托管应用
• 是默认领域
• 首选 KDC
• 主体名称
• 要求用户状态
• 网站代码
• 使用站点自动发现
• 扩展标识符
• Hosts
• Realm
• 团队标识符
• 类型

系统配置 > 锁屏界面消息：

• 资产标记信息
• 锁屏界面脚注

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

应用于：

• iOS/iPadOS

监视和疑难解答

新的不合规设备和设置报告

在 “报告>设备符合性>报告”中，有一个新的 “不符合设备和设置” 组织报告。 此报告：

• Lists每个不符合要求的设备。
• 对于每个不符合要求的设备，它会显示设备不符合的符合性策略设置。

有关此报表的详细信息，请转到 不合规设备和设置报告， (组织) 。

2022 年 8 月 1 日当周

设备安全性

禁止在 Microsoft Tunnel 网关服务器上使用 UDP 连接

现在，你可以禁止 Microsoft Tunnel 服务器使用 UDP。 禁止使用 UDP 后，VPN 服务器仅支持来自隧道客户端的 TCP 连接。 如果要仅支持使用 TCP 连接，设备必须将 作为 Microsoft 隧道客户端应用的 Microsoft Defender for Endpoint 的正式发布版本用作隧道客户端应用。

要禁用 UDP，请 创建或编辑 Microsoft 隧道网关的 服务器配置，并选中名为“禁用 UDP 连接”的新选项的复选框。

应用管理

适用于 Windows 批量应用安装的公司门户

Windows 公司门户现在允许用户选择多个应用并批量安装。 在 Windows 公司门户的“应用”选项卡中，选择页面右上角的多选视图按钮。 然后，选中需要安装的每个应用旁边的复选框。 接下来，选择“安装所选”按钮以开始安装。 所有所选应用同时安装，无需用户右键单击每个应用或导航到每个应用的页面。 有关详细信息，请参阅在设备上安装和共享应用和如何配置Intune 公司门户应用、公司门户网站和Intune应用。

2022 年 7 月 25 日当周（服务版本 2207）

设备管理

从 Microsoft Intune 应用启动 AOSP 设备的符合性检查

现在可以从 Microsoft Intune 应用为 AOSP 设备启动符合性检查。 转到“设备详细信息”。 此功能在通过 Microsoft Intune 应用注册为用户关联 (Android) AOSP 设备的设备上可用。

监视在 Mac 上的启动引导托管状态

在 Microsoft Intune 管理中心中监视已注册 Mac 的启动令牌托管状态。 Intune 中名为 Bootstrap 令牌托管 的新硬件属性报告是否已在 Intune 中托管启动令牌。 有关 macOS 的启动令牌支持的详细信息，请参阅 Bootstrap 令牌。

为 Android Enterprise 设备启用通用条件模式

对于 Android Enterprise 设备，可以使用新的设置 “通用条件”模式 来启用一组提升的安全标准，这些标准通常仅由高度敏感的组织（例如政府机构）使用。

应用于：

• Android 5.0 及更高版本
• Android Enterprise 公司拥有的完全托管
• Android Enterprise 公司拥有的专用设备
• Android Enterprise 公司拥有的工作配置文件

为 Android Enterprise - 完全托管、专用和公司拥有的工作配置文件 配置 设备限制 模板时，系统安全 类别中会找到新设置 “通用条件”模式。

接收 通用条件模式 设置为“要求”策略的设备，提升包含但不限于以下内容的安全组件：

• 蓝牙长期密钥的 AES-GCM 加密
• Wi-Fi 配置存储
• 阻止启动加载程序下载模式，软件更新的手动方法
• 强制对密钥删除进行附加密钥归零
• 阻止未经身份验证的蓝牙进行连接
• 要求 FOTA 更新具有 2048 位 RSA-PSS 签名

详细了解通用条件：

• commoncriteriaportal.org 中的 信息技术安全评估通用标准
• Android 管理 API 文档中的CommonCriteriaMode
• Knox 深入探讨：samsungknox.com 的常见条件模式

适用于在 iOS/iPadOS 和 macOS 上运行的各个设备的新硬件详细信息

在“Microsoft Intune管理中心”中，选择“设备>”“所有设备>”，选择列出的设备之一并打开“硬件详细信息”。 以下新详细信息可在单个设备的“硬件”窗格中找到：

• 产品名称：显示设备的产品名称，例如 iPad8,12。 适用于 iOS/iPadOS 和 macOS 设备。

有关详细信息，请参阅 使用 Microsoft Intune 查看设备详细信息。

应用于：

• iOS/iPadOS、macOS

远程帮助版本：4.0.1.12 版本

远程帮助 4.0.1.12 引入了各种修补程序，以解决未进行身份验证时出现的“稍后重试”消息。 修补程序还包括改进的自动更新功能。

有关详细信息，请参阅将远程帮助与 Intune

设备注册

Intune支持在 iOS/iPadOS 和 macOS 设置助理期间使用新式身份验证从另一台设备登录

通过自动设备注册 (ADE) 的用户现在可以通过从另一台设备登录来进行身份验证。 此选项适用于使用新式身份验证通过设置助理注册的 iOS/iPadOS 和 macOS 设备。 提示设备用户从另一台设备登录的屏幕嵌入到安装助理中，并在注册期间向他们显示。 有关用户登录过程的详细信息，请参阅[获取Intune 公司门户应用 (../user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device)。

检测和管理 Windows Autopilot 设备上的硬件更改

Microsoft Intune 现在将在检测到已注册 Autopilot 的设备上的硬件更改时通知你。 可以在管理中心查看和管理所有受影响的设备。 此外，你可以从 Windows Autopilot 中删除受影响的设备，然后再次注册它，以便考虑硬件更改。

设备配置

设置目录中的新 macOS Microsoft AutoUpdate (MAU) 设置

设置目录支持 Microsoft AutoUpdate (MAU) (设备>配置>Create>macOS 的平台>设置目录的配置文件类型) 的设置。

现提供以下设置：

Microsoft 自动更新：

• 自动确认数据收集策略
• 强制更新前的天数
• 延迟更新
• 禁用 Office 预览体验成员资格
• 启用自动更新
• 启用更新检查
• 启用扩展日志记录
• 启动时注册应用
• 更新缓存服务器
• 更新频道
• 更新检查频率（分钟）
• 更新程序优化技术

这些设置可用于配置以下应用程序的首选项：

• 公司门户
• Microsoft 自动更新
• Microsoft Defender
• Microsoft Defender ATP
• Microsoft Edge
• Microsoft Edge Beta
• Microsoft Edge Canary
• Microsoft Edge Dev
• Microsoft Excel
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft 远程桌面
• Microsoft Teams
• Microsoft Word
• OneDrive
• Skype for Business

有关设置目录的详细信息，请转到：

• 可以使用 Intune 中的设置目录完成的任务
• 使用 Microsoft Intune 中的设置目录创建策略

有关可以配置的 Microsoft AutoUpdate 设置的详细信息，请转到：

• 使用首选项管理 Office for Mac 的隐私控制 - 部署 Office。
• 设置 Microsoft AutoUpdate 更新的截止时间

应用于：

• macOS

设置目录中的新 iOS/iPadOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录中提供了新的 iOS/iPadOS 设置， (设备>配置>Create>iOS/iPadOS 平台>设置目录配置文件类型) 。

新设置包括：

网络 > 手机网络：

• 允许的协议掩码
• 国内漫游中允许的协议掩码
• 漫游中允许的协议掩码
• 身份验证类型
• 名称
• Password
• 代理端口
• 代理服务器
• 用户名

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

用户体验 > 通知：

• 分组类型
• 预览类型
• 在 Car Play 中显示

印刷 > Air Print：

• 强制 TLS
• 端口

应用管理 > 应用锁定：

• 禁用自动锁定
• 禁用设备轮换
• 禁用响铃开关
• 禁用睡眠唤醒按钮
• 禁用触控
• 禁用音量按钮
• 启用辅助触控
• 启用反转颜色
• 启用单声道音频
• 启用朗读选择
• 启用语音控制
• 启用旁白
• 启用缩放
• 辅助触控
• 反转色
• 语音控制
• 旁白
• 缩放

网络 > 域：

• Safari 密码自动填充域

网络 > 网络使用规则：

• 应用程序规则
• 允许蜂窝数据
• 允许漫游蜂窝数据
• 应用标识符匹配项

限制:

• 允许帐户修改
• 允许活动延续
• 允许添加 Game Center 好友
• 允许隔空投送
• 允许无线打印
• 允许无线打印凭据存储
• 允许无线打印 iBeacon 发现
• 允许应用蜂窝数据修改
• 允许应用剪辑
• 允许应用安装
• 允许应用删除
• 允许 Apple 个性化广告
• 允许助理
• 允许助理用户生成的内容
• 允许助理在锁定时使用
• 允许自动更正
• 允许自动解锁
• 允许自动下载应用
• 允许修改蓝牙
• 允许书店
• 允许书店情色内容
• 允许照相机
• 允许修改蜂窝计划
• 允许聊天
• 允许云备份
• 允许云文档同步
• 允许云密钥链同步
• 允许云照片库
• 允许云专用中继
• 允许键盘连续路径
• 允许查找定义
• 允许修改设备名称
• 允许诊断提交
• 允许修改诊断提交
• 允许听写
• 允许启用限制
• 允许信任企业应用
• 允许企业簿备份
• 允许企业簿元数据同步
• 允许擦除内容和设置
• 允许 ESIM 修改
• 允许显式内容
• 允许文件网络驱动器访问
• 允许文件 USB 驱动器访问
• 允许查找我的设备
• 允许查找我的好友
• 允许查找我的好友修改
• 允许指纹解锁
• 允许指纹修改
• 允许 Game Center
• 允许漫游时提取全局后台
• 允许主机配对
• 允许在应用内购买
• 允许 iTunes
• 允许键盘快捷方式
• 允许列出的应用捆绑 ID
• 允许锁屏界面控制中心
• 允许锁屏界面通知视图
• 允许锁屏界面视图
• 允许邮件隐私保护
• 允许托管应用云同步
• 允许托管的写入非托管联系人
• 允许多人游戏
• 允许音乐服务
• 允许新闻
• 允许 NFC
• 允许修改通知
• 允许从托管到非托管打开
• 允许从非托管到托管打开
• 允许 OTAPKI 更新
• 允许配对监视
• 允许锁定时使用密码本
• 允许密码修改
• 允许密码自动填充
• 允许密码邻近请求
• 允许密码共享
• 允许个人热点修改
• 允许照片流
• 允许播客
• 允许键盘预测
• 允许对新设备进行邻近设置
• 允许无线电服务
• 允许远程屏幕观察
• 允许 Safari
• 允许屏幕截图
• 允许共享设备临时会话
• 允许共享流
• 允许拼写检查
• 允许聚焦 Internet 结果
• 允许删除系统应用
• 允许 UI 应用安装
• 允许 UI 配置文件安装
• 允许非托管读取托管联系人
• 允许未配对的外部启动恢复
• 允许不受信任的 TLS 提示
• 允许 USB 受限模式
• 允许视频会议
• 允许语音拨号
• 允许创建 VPN
• 允许壁纸修改
• 自治单应用模式允许的应用 ID
• 阻止的应用捆绑 ID
• 强制执行的软件更新延迟
• 强制空投非托管
• 强制空投传出请求配对密码
• 强制无线打印受信任的 TLS 要求
• 强制助手猥亵内容筛选器
• 强制在自动填充前进行身份验证
• 强制执行自动日期和时间
• 强制课堂自动加入班级
• 强制课堂请求权限离开班级
• 强制课堂取消提示的应用和设备锁定
• 强制延迟的软件更新
• 强制加密的备份
• 强制 iTunes 应用商店密码输入
• 强制限制广告跟踪
• 强制仅限设备上的听写
• 强制仅限设备上的转换
• 强制手表手腕检测
• 强制 WiFi 开机
• 仅强制 WiFi 连接到允许的网络
• 需要托管粘贴板
• Safari 接受 Cookie
• Safari 允许自动填充
• Safari 允许 JavaScript
• Safari 允许弹出窗口
• Safari 强制欺诈警告

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

应用于：

• iOS/iPadOS

设置目录中提供的新 macOS 设置

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 设置目录 (设备>配置>Create>macOS 平台>配置文件类型的设置目录) 中提供了新设置。

新设置包括：

系统配置 > 系统扩展：

• 可移动系统扩展

以下设置也位于设置目录中。 以前，它们仅在模板中可用：

系统配置 > 系统扩展：

• 允许用户重写
• 允许的系统扩展类型
• 允许的系统扩展
• 允许的团队标识符

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录Create策略。

应用于：

• macOS

创建筛选器时预览设备中的新搜索功能

在 Microsoft Intune 管理中心，可以创建筛选器，然后在 (设备>筛选器>分配应用和策略时使用这些筛选器Create) 。

创建筛选器时，可以选择 预览设备 以查看符合筛选条件的已注册设备列表。 在 预览版设备中，还可以使用设备名称、OS 版本、设备型号、设备制造商、主要用户的用户主体名称和设备 ID 搜索列表。

有关筛选器的详细信息，请转到在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

2022 年 7 月 18 日当周

设备管理

帮助调试 WMI 问题的新事件查看器

Intune收集诊断的远程操作已扩展，以收集有关 Windows Management Instrumentation (WMI) 应用问题的详细信息。

新的事件查看者包括：

• Microsoft-Windows-WMI-Activity/Operational
• Microsoft-Windows-WinRM/Operational

有关 Windows 设备诊断的详细信息，请参阅 从 Windows 设备收集诊断。

2022 年 7 月 4 日当周

设备管理

每个设备模型的终结点分析分数

终结点分析现在 按设备模型显示分数。 这些分数可帮助管理员在环境中跨设备模型的情况下确定用户体验。 所有终结点分析报表中均提供每个模型和每个设备的分数，包括 随处工作 报表。

监视和疑难解答

使用收集诊断来收集有关 Windows 加速更新的详细信息

Intune的远程操作收集诊断现在收集有关部署到设备的 Windows 加速更新的更多详细信息。 在排查加速更新问题时，可以使用此信息。

所收集的新详细信息包括：

• 文件：C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
• 注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate

2022 年 6 月 27 日当周（服务版本 2206）

应用管理

Web 公司门户的企业反馈策略

反馈设置现在可用于通过 Microsoft 365 应用版 管理中心解决当前登录用户的 Microsoft 365 企业反馈策略。 这些设置用于确定是否可以为 Web 公司门户中的用户启用反馈或必须禁用反馈。 有关相关信息，请参阅配置公司门户和Microsoft Intune应用的反馈设置。

Android 企业版专用设备和 Android (AOSP) 设备的应用保护策略

Intune托管的 Android Enterprise 专用设备注册Microsoft Entra ID共享模式和 Android (AOSP) 设备现在可以接收应用保护策略，并且可以与其他 Android 设备类型分开定位。 有关详细信息，请参阅使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。 有关 Android 企业版专用设备和 Android (AOSP) 的详细信息，请参阅 Android 企业版专用设备。

设备安全性

分配了“终结点安全管理员”管理员角色的用户可以修改移动威胁防御连接器设置

我们更新了内置 Endpoint Security Manager 管理员角色的权限。 该角色现在对移动威胁防御类别的“修改”权限设置为“是”。 本次更改后，分配此角色的用户有权更改租户的移动威胁防御连接器 (MTD 连接器) 设置。 以前，此权限设置为“否”。

如果错过了之前关于此即将发生的更改的通知，现在正是审阅分配了租户的“终结点安全管理员”角色的用户的时候。 如果任何角色不应具有编辑 MTD 连接器设置的权限，请更新其角色权限或创建仅包含移动威胁防御的读取权限的自定义角色。

查看内置终结点安全管理员角色的完整权限列表。

改进了对 Android 企业版完全托管设备的证书配置文件支持

我们改进了对 Android Enterprise 完全托管 (设备所有者) 设备的 PKCS 和 SCEP 证书配置文件支持。 现在，可以使用 Intune 设备 ID 变量 CN={{DeviceID}} 作为这些设备的证书 (SAN) 的使用者替代名称。

设备配置

对 Android (AOSP) 设备的证书配置文件支持

现在，可以将以下证书配置文件用于运行 Android 开源项目 (AOSP) 平台的企业拥有和用户无用户设备：

• 受信任的证书配置文件
• PKCS 证书配置文件

Windows 10/11 设备上 DFCI 配置文件的新设置

在 Windows 10/11 设备上，可以创建设备固件配置接口 (DFCI) 配置文件 (设备>配置>Create>Windows 10及更高版本，用于平台>模板>设备固件配置接口，用于配置文件类型) 。

借助 DFCI 配置文件，Intune 可以使用 DFCI 固件层将管理命令传递到 UEFI（统一可扩展固件接口）。 此固件层使配置能够更灵活地应对恶意攻击。 DFCI 还通过灰显托管设置来限制最终用户对 BIOS 的控制。

可以配置一些新设置：

• 麦克风和扬声器：

  • 麦克风

• 收音机：

  • 蓝牙
  • Wi-Fi

• 端口：

  • USB 类型 A

• 唤醒设置：

  • LAN 唤醒
  • 通电唤醒

有关详细信息，请参阅以下资源：

• 在 Microsoft Intune 中使用 Windows 设备上的设备固件配置接口配置文件
• Microsoft Intune 中的 UEFI 设置的设备固件配置接口 (DFCI) 配置文件设置

应用于：

• windows 10/11

向 Android 企业版设备添加自定义支持信息

在 Android Enterprise 设备上，可以创建一个设备限制配置文件，用于管理设备设置 (设备>配置>Create>Android Enterprise>完全托管、专用和企业拥有的工作配置文件，用于平台>设备限制配置文件类型>自定义支持信息) 。

可以配置一些新设置：

• 短支持消息：当用户尝试更改托管设置时，可以添加系统对话框窗口中向用户显示的短消息。
• 长支持消息：可以添加“设置>安全>设备管理应用>设备策略”中显示的长消息。

默认情况下，会显示 OEM 默认消息。 部署自定义消息时，还会部署 Intune 默认消息。 如果未为设备的默认语言输入自定义消息，则会显示 Intune 默认消息。

例如，为英语和法语部署自定义消息。 用户将设备的默认语言更改为西班牙语。 由于未将自定义消息部署到西班牙语，因此会显示 Intune 默认消息。

Intune 默认消息在终结点管理员管理中心（设置>语言 + 区域）中为所有语言翻译。 语言设置值决定着 Intune 使用的默认语言。 默认情况下，该值设置为“英语”。

在策略中，可以自定义以下语言的消息：

• 捷克语
• 德语
• 英语（美国）
• 西班牙语（西班牙）
• 法语（法国）
• 匈牙利语
• 印度尼西亚语
• 意大利语
• 日语
• 韩语
• 荷兰语
• 波兰语
• 葡萄牙语（巴西）
• 葡萄牙语（葡萄牙）
• 俄语
• 瑞典语
• 土耳其语
• 中文（简体）
• 中文（繁体）

有关可以配置的这些设置和其他设备的详细信息，请参阅使用 Intune 允许或限制功能的 Android Enterprise 设备设置。

应用于：

• Android 7.0 及更高版本
• Android Enterprise 公司拥有的完全托管 (COBO)
• Android Enterprise 公司拥有的专用设备 (COSU)
• Android Enterprise 公司拥有的工作配置文件 (COPE)

创建 Wi-Fi 配置文件并将其部署到 Android AOSP 设备

创建配置文件并将 Wi-Fi 配置文件部署到 Android AOSP 设备。

有关这些设置的详细信息，请参阅在 Microsoft Intune 中为 Android (AOSP) 设备添加 Wi-Fi 设置。

应用于：

• Android (AOSP)

设置目录在 Windows 和 macOS 设备上为通常可用 (GA)

设置目录为通常可用 (GA)。 有关详细信息，请转到：

• 使用设置目录配置设置
• 可以使用 Intune 中的设置目录完成的任务

应用于：

• macOS
• Windows 10/11

组策略分析中的迁移功能支持主权云

使用组策略分析，可以导入本地 GPO，并使用这些 GPO 创建设置目录策略。 以前，主权云不支持此迁移功能。

现在，主权云上支持迁移功能。

有关此类功能的详细信息，请参阅：

• 在 Microsoft Endpoint Manager 中使用组策略分析分析本地 GPO
• 使用 Microsoft Endpoint Manager 中导入的 GPO 创建设置目录策略

iOS/iPadOS 平台位于设置目录中

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 iOS/iPadOS 平台和某些设置现在可在设置目录 (设备>配置>Create>iOS/iPadOS 平台>设置目录配置文件类型) 。

新设置包括：

帐户 > Caldav：

• 卡 DAV 帐户说明
• 卡 DAV 主机名
• 卡 DAV 密码
• 卡 DAV 端口
• 卡 DAV 主体 URL
• 卡 DAV 使用 SSL
• 卡 DAV 用户名

帐户 > Carddav：

• 卡 DAV 帐户说明
• 卡 DAV 主机名
• 卡 DAV 密码
• 卡 DAV 端口
• 卡 DAV 主体 URL
• 卡 DAV 使用 SSL
• 卡 DAV 用户名

AirPlay：

• 允许列表

• Password

• 配置文件删除密码：

• 删除密码

代理 > 全局 HTTP 代理：

• 允许代理受限登录
• 允许代理 PAC 回退
• 代理 PAC URL
• 代理密码
• 代理服务器
• 代理服务器端口
• 代理类型
• 代理用户名

以下设置也位于"设置目录"中。 以前，它们仅在模板中可用：

网络 > 域：

• 电子邮件域

印刷 > Air Print：

• 打印机
• IP 地址
• 资源路径

限制:

• 允许活动延续
• 允许添加 Game Center 好友
• 允许隔空投送
• 允许自动解锁
• 允许照相机
• 允许云文档同步
• 允许云密钥链同步
• 允许云照片库
• 允许云专用中继
• 允许诊断提交
• 允许听写
• 允许擦除内容和设置
• 允许指纹解锁
• 允许 Game Center
• 允许多人游戏
• 允许音乐服务
• 允许密码修改
• 允许密码自动填充
• 允许密码邻近请求
• 允许密码共享
• 允许远程屏幕观察
• 允许屏幕截图
• 允许聚焦 Internet 结果
• 允许壁纸修改
• 强制执行的软件更新延迟
• 强制课堂自动加入班级
• 强制课堂请求权限离开班级
• 强制课堂取消提示的应用和设备锁定
• 强制延迟的软件更新
• Safari 允许自动填充

安全 > 密码：

• 允许简单密码
• 强制 PIN
• 最大失败尝试次数
• 最大宽限期
• 最大非活动性
• 最大 PIN 期限（以天为单位）
• 最小复杂字符数
• 最小长度
• PIN 历史记录
• 需要字母数字密码

用户体验 > 通知：

• 警报类型
• 已启用徽章
• 捆绑标识符
• 已启用严重警报
• 已启用通知
• 在锁屏界面显示
• 在通知中心显示
• 已启用声音

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

应用于：

• iOS/iPadOS

在 Windows 设备的有线网络设备配置文件中使用 TEAP 身份验证

在 Windows 设备上，可以创建一个有线网络设备配置文件，该配置文件支持可扩展身份验证协议 (EAP) (设备>配置>Create>Windows 10以及更高版本的平台>模板>有线网络配置文件类型) 。

创建配置文件时，可以使用 TUNNEL 可扩展身份验证协议 (TEAP)。

有关有线网络的详细信息，请参阅在 Microsoft Intune 中的 macOS 和 Windows 设备上添加和使用有线网络设置。

应用于：

• Windows 11
• Windows 10

使用密码、PIN 或模式解锁 Android Enterprise 企业拥有的工作配置文件 (COPE) 设备上的工作配置文件

在 Android Enterprise 设备上，可以创建一个设备限制配置文件，用于管理设备设置 (设备>配置>Create>Android Enterprise>完全托管、专用和企业拥有的工作配置文件，用于平台>设备配置文件类型的设备限制) 。

在 Android Enterprise COPE 设备上，可以配置工作配置文件密码>必需的解锁频率设置。 使用此设置可选择用户需要多长时间才能使用强身份验证方法解锁工作配置文件。

有关此设置的详细信息，请参阅使用 Intune 允许或限制功能的 Android Enterprise 设备设置。

应用于：

• Android 8.0 及更高版本
• Android Enterprise 公司拥有的工作配置文件 (COPE)

设置目录中的新 macOS 设置

设置目录具有新的 macOS 设置，可以配置 (设备>配置>Create>macOS 平台>配置文件类型的设置目录) ：

帐户 > Caldav：

• Cal DAV 帐户说明
• Cal DAV 主机名
• Cal DAV 密码
• Cal DAV 端口
• Cal DAV 主体 URL
• Cal DAV 使用 SSL
• Cal DAV 用户名

帐户 > Carddav：

• 卡 DAV 帐户说明
• 卡 DAV 主机名
• 卡 DAV 密码
• 卡 DAV 端口
• 卡 DAV 主体 URL
• 卡 DAV 使用 SSL
• 卡 DAV 用户名

用户体验 > 停靠：

• 允许扩展坞修补程序替代
• 自动隐藏
• 自动隐藏不可变
• 内容不可变
• 双击行为
• 双击行为不可变
• 大尺寸
• 启动动画
• 启动动画不可变
• 缩放
• 放大大小不可变
• 放大不可变
• MCX 扩展坞特殊文件夹
• 最小化效果
• 最小化效果不可变
• 最小化为应用程序不可变
• 最小化为应用程序
• Orientation
• 持久性应用
• 持久性其他
• 位置不可变
• 显示指示器不可变
• 显示进程指示器
• 显示最近
• 显示最新不可变
• 大小不可变
• 静态应用
• 仅静态
• 静态其他
• 磁贴大小
• 窗口选项卡
• 窗口选项卡不可变

系统配置>节能：

• 桌面电源
• 桌面计划
• 待机时销毁 FV 密钥
• 笔记本电脑电池电源
• 笔记本电脑电源
• 睡眠已禁用

系统配置 > 系统日志记录：

• 启用专用数据

系统配置 > 时间服务器：

• 时间服务器
• 时区

以下设置也位于"设置目录"中。 以前，它们仅在模板中可用：

安全 > 密码：

• 允许简单密码
• 下一次身份验证时更改
• 强制 PIN
• 最大失败尝试次数
• 最大宽限期
• 最大非活动性
• 最大 PIN 期限（以天为单位）
• 最小复杂字符数
• 最小长度
• 登录重置失败之前的分钟数
• PIN 历史记录
• 需要字母数字密码

使用"设置"目录创建的策略与使用模板创建的策略之间没有任何冲突解决方法。 在设置目录中创建新策略时，请确保没有与当前策略冲突的设置。

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用 Microsoft Intune中的设置目录创建策略。

应用于：

• macOS

macOS 设置目录中的新 Microsoft Office 和 Microsoft Outlook 首选项设置

设置目录支持 Microsoft Office 和 Microsoft Outlook (设备>配置>Create>macOS 平台>配置文件类型) 设置目录的首选项设置。

可使用以下设置：

Microsoft Office > Microsoft Office：

• 允许分析用户内容的体验和功能
• 允许下载用户内容的体验和功能
• 允许宏修改 Visual Basic 项目
• 允许可选的连接体验
• 允许 Visual Basic 宏使用系统 API
• 后台辅助功能检查
• 默认为打开的本地文件 - 保存
• 诊断数据级别
• 禁用云字体
• 禁用第三方存储外接程序目录
• 禁用用户调查
• 启用自动登录
• 阻止执行所有 Visual Basic 宏
• 阻止 Visual Basic 宏使用外部动态库
• 阻止 Visual Basic 宏使用旧版 MacScript
• 阻止 Visual Basic 宏使用管道进行通信
• 应用启动时显示模板库
• “显示新增功能”对话框
• Visual Basic 宏策略

Microsoft Office > Microsoft Outlook：

• 允许 S - 没有匹配电子邮件地址的 MIME 证书
• 允许的电子邮件域
• 默认域名
• 默认天气位置
• 禁用“不转发”选项
• 禁用自动更新天气位置
• 禁用电子邮件签名
• 禁用导出到 OLM 文件
• 禁止从 OLM 和 PST 文件导入
• 禁用垃圾邮件设置
• 禁用 Microsoft 365 加密选项
• 禁用 Microsoft Teams 会议支持
• 禁用 S - MIME
• 禁用 Skype for Business 会议支持
• 下载嵌入图像
• 启用新 Outlook
• 在“我的电脑”文件夹上隐藏
• 在任务窗格中隐藏“Outlook 入门”控件
• 隐藏“个性化新 Outlook”对话框
• 设置考虑 S - MIME 证书的顺序
• 设置主题
• 指定一周的第一天
• 信任 Office 365 自动发现重定向
• 使用基于域的字体嵌入，而不是 Office 365

有关设置目录的详细信息，请参阅：

• 可以使用 Intune 中的设置目录完成的任务
• 使用 Microsoft Intune 中的设置目录创建策略

有关可配置的 Microsoft Office 和 Outlook 设置的详细信息，请参阅：

• 使用首选项管理 Office for Mac 的隐私控制 - 部署 Office。
• 设置 Outlook for Mac 首选项 - 部署 Office

应用于：

• macOS

设备管理

远程重启并关闭 macOS 设备

可以使用设备操作远程重启或关闭 macOS 设备。 这些设备操作适用于运行 macOS 10.13 及更高版本的设备。

有关详细信息，请参阅使用 Microsoft Intune 重启设备。

适用于 Android (AOSP) 企业设备的更多远程操作

对于 Android 开源项目 (AOSP) 企业设备，你很快就可以从Microsoft Intune管理中心使用更多远程操作 - 重新启动和远程锁定。

有关上述功能的详细信息，请参阅：

• 使用 Intune 远程重启设备
• 使用Intune远程锁定设备

应用于：

• Android 开源项目 （AOSP）

Windows 11多会话 VM 的用户配置支持以公共预览版提供

可以执行下列操作：

• 使用 设置目录 配置用户范围策略，并将其分配给用户组
• 配置用户证书并将其分配给用户
• 配置 PowerShell 脚本以在用户上下文中安装并分配给用户

应用于：

• Windows 11

注意

对 Windows 10 多会话版本的用户支持将在今年稍后推出。

如需了解更多信息，请参阅使用 Azure 虚拟桌面多会话和 Microsoft Intune 的指南

查看托管设备的组成员身份

在 Intune 的“设备”工作负载的“监视”部分中，可以查看托管设备的所有Microsoft Entra组的组成员身份。 可以通过登录到 Microsoft Endpoint Manager 管理中心并选择“设备>”“所有设备>”选择“设备>组成员身份”来选择“组成员身份”。 有关详细信息，请参阅设备组成员身份报告。

改进了证书报告详细信息

我们已更改了在查看设备和证书配置文件的证书详细信息时Intune显示的内容。 若要查看报表，请在 Microsoft Endpoint Manager 管理中心 转到 >“设备>监视>证书”。

通过改进的报告视图，Intune显示以下信息：

• 有效证书
• 过去 30 天内被吊销的证书
• 过去 30 天内过期的证书

报告不再显示设备上无效或不再存在的证书的详细信息。

设备注册

在已注册的 macOS 设备上利用启动令牌

Bootstrap 令牌支持（以前为公共预览版）现已正式提供给所有 Microsoft Intune 客户，包括 GCC High 和 Microsoft Azure 政府云租户。 Intune 现在支持在运行 macOS 版本 10.15 或更高版本的已注册设备上使用启动令牌。

引导令牌允许非管理员用户拥有更高的 MDM 权限，并代表 IT 管理员执行特定的软件功能。在以下方面支持启动令牌：

• 受监督的设备（在 Intune 中，这是所有用户批准的注册）
• 通过 Apple 自动设备注册在 Intune 中注册的设备

有关启动令牌如何与 Intune 配合使用的详细信息，请参阅设置 macOS 设备的注册。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Condeco by Condeco Limited
• RICOH Spaces by Ricoh Digital Services

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2022 年 6 月 13 日当周

设备安全性

Microsoft Tunnel 对 Red Hat Enterprise Linux 8.6 的支持

现在，可以将 Red Hat Enterprise Linux (RHEL) 8.6 与 Microsoft Tunnel 配合使用。 除了 RHEL 8.5 支持所需的要求之外，没有其他要求。

与 RHEL 8.5 一样，可以使用 就绪工具 (mst-readiness) 检查 Linux 内核中是否存在 ip_tables 模块。 默认情况下，RHEL 8.6 不会加载ip_tables模块。

对于不加载模块的 Linux 服务器，我们提供了结构立即加载它们，并将 Linux 服务器配置为在启动时自动加载它们。

2022 年 6 月 6 日当周

应用管理

通过应用保护策略提供照片库数据传输支持

现在可以选择将 照片库 包含为受支持的应用程序存储服务。 通过从 “允许用户打开所选服务中的数据 ”或“ 允许用户将数据保存到 Intune 中的所选服务”设置中选择 “照片 库”，可以允许托管帐户允许传 入 和传出数据，以便将设备的照片库传入和 传出 到 iOS 和 Android 平台上的托管应用。 在Microsoft Intune管理中心，选择“应用>应用保护策略>Create策略”。 选择 "iOS/iPadOS" 或 "Android" 。 此设置作为 数据保护 步骤的一部分提供，专门适用于 策略托管应用。 有关详细信息，请参阅 数据保护。

UI 改进显示 Android 注册可用，非必需

我们更新了 Android 应用的公司门户中的图标，以便用户能够更轻松地了解设备注册何时可供他们使用，但又不是必需的。 如果设备注册可用性设置为“可用”，管理中心中没有提示 (租户管理员>自定义>Create或编辑策略>设置) ，则会出现新的图标。

这些更改包括：

• 在“设备”屏幕上，用户将不会再看到未注册设备旁边的红色感叹号。
• 在“设备详细信息”屏幕上，用户将不会再看到注册消息旁边的红色感叹号。 相反，他们将看到 i) 图标 ( 信息。

若要查看更改的屏幕截图，请参阅 Intune 最终用户应用的 UI 更新。

设备管理

Windows 更新应用和驱动程序的兼容性报告（公共预览版）

在公共预览版中，现提供两个 Windows 更新兼容性报告，以帮助你为 Windows 升级或更新做好准备。 这些报告填补了一个缺口，此缺口目前由桌面分析所覆盖，而桌面分析计划于 2022 年 11 月 30 日停用。

使用这些报告来帮助你计划从 Windows 10 升级到 11 或安装最新的 Windows 功能更新：

• Windows 功能更新设备就绪情况报告（预览版）- 此报告提供了与所选 Windows 版本的升级或更新相关的兼容性风险的每台设备信息。
• Windows 功能更新兼容性风险报告 (预览版)- 此报告提供了针对所选 Windows 版本的整个组织中最高兼容性风险的摘要视图。 可以使用此报告了解哪些兼容性风险影响组织中最大数量的设备。

这些报告将在接下来的一周内向租户推出。 如果尚未看到它们，请大概一天后再回来查看。 若要了解这些报表的先决条件、许可、可用信息，请参阅 Windows 更新兼容性报告。

2022 年 5 月 30 日当周 (服务版本 2205)

应用管理

iOS 公司门户所需的最低版本

从 2022 年 6 月 1 日开始，支持的最低 iOS 公司门户应用版本将为 v5.2205。 如果用户运行的是 v5.2204 或更低版本，系统会在登录时提示他们进行更新。 如果已启用 阻止使用 App Store 安装应用 设备限制设置，则可能需要向使用该设置的相关设备推送更新。 否则，无需执行任何操作。 如果你有支持人员，请让他们知道更新公司门户应用的提示。 大多数情况下，用户将应用更新设置为自动更新，因此他们无需执行任何操作即可收到更新的公司门户应用。 有关详细信息，请参阅 Intune 公司门户。

当设备所有权从个人更改为公司时，将自动发送推送通知

现在，对于 iOS/iPad 和 Android 设备，当设备的 所有权类型从个人更改为公司 时，将自动发送推送通知。 通知通过设备上的公司门户应用推送。

通过此更改，我们删除了之前用于管理此通知行为的公司门户配置设置。

iOS/iPadOS 通知需要 3 月公司门户或更高版本

在 Intune 的 5 月 (2205) 服务版本中，我们对 iOS/iPadOS 通知进行了服务端更新，要求用户拥有 3 月公司门户应用 (版本 5.2203.0) 或更高版本。 如果使用的功能可以生成 iOS/iPadOS 公司门户推送通知，则必须确保用户更新 iOS/iPadOS 公司门户以继续接收推送通知。 在功能上没有其他更改。 有关详细信息，请参阅更新公司门户应用。

通过上传 PKG 类型的安装程序文件部署 macOS LOB 应用现已正式发布

现在，可以通过将 PKG 类型的安装程序文件上传到 Intune 来部署 macOS 业务线 (LOB) 应用。 此功能已退出公共预览版，现已正式发布。

若要从Microsoft Intune管理中心添加 macOS LOB 应用，请选择“应用>macOS>添加>业务线应用”。 此外，部署 macOS LOB 应用不再需要 macOS App Wrapping Tool。 有关详细信息，请参阅如何将 macOS 业务线 (LOB) 应用添加到 Microsoft Intune。

改进了“托管应用”窗格上的报表体验

“托管应用”窗格已更新，以便更好地显示设备的托管应用详细信息。 可在显示设备上主要用户和其他用户的托管应用详细信息之间切换，也可在没有任何用户的情况下显示设备的应用详细信息。 最初加载报表时，将使用设备的主要用户显示生成的应用详细信息，如果没有主用户，则显示时没有主用户。 有关详细信息，请参阅 管理应用报表。

MSfB 许可证和 Apple VPP 许可证

从用户中删除 Intune 许可证将不再吊销通过适用于企业的 Microsoft Store 或 Apple VPP 授予的应用许可证。 有关详细信息，请参阅如何使用Microsoft Intune管理从适用于企业的 Microsoft Store批量购买的应用、撤销 iOS 应用许可证和Microsoft Intune许可。

面向未授权用户的报告

Intune在用户未获得许可时将不再从所有Intune报表中删除这些用户。 在从Microsoft Entra ID中删除用户之前，Intune将继续在大多数常见方案中报告用户。 有关报告的相关信息，请参阅 Intune 报表。

设备安全性

Intune终结点安全攻击面减少策略的新设备控制配置文件

在 2022 年 4 月开始的终结点安全策略新配置文件的持续推出过程中，我们发布了一个新的设备控制配置文件模板，用于Intune中的终结点安全攻击面减少策略。 此配置文件替换了以前适用于 Windows 10 及更高版本 平台的同名配置文件。

通过此替换，將只能创建新配置文件的实例。 但是，以前创建的任何使用旧配置文件结构的配置文件仍可用于使用、编辑和部署。

新的设备控制配置文件:

• 包括原始配置文件中提供的所有设置。
• 引入了旧配置文件中未提供的五个新设置。

这五个新设置侧重于可移动设备，如 USB 设备:

• 阻止安装可移动设备
• WPD 设备: 拒绝读取访问
• WPD 设备: 拒绝读取访问 (用户)
• WPD 设备: 拒绝写入访问
• WPD 设备: 拒绝写入访问 (用户)

设备配置

使用密码、PIN 或模式在设置的时间后解锁 Android Enterprise 设备

在 Android Enterprise 设备上，可以创建一个设备限制配置文件，用于管理设备设置 (设备>配置>Create>Android Enterprise>完全托管、专用和企业拥有的工作配置文件，用于平台>设备配置文件类型的设备限制) 。

在“设备密码”和“工作配置文件密码”中，提供了一个新的“必需解锁频率”设置。 选择用户必须使用强身份验证方法 (密码、PIN 或模式) 解锁设备的时间。 选项包括：

• 自上次固定、密码或模式解锁后 24 小时: 屏幕在用户上次使用强身份验证方法解锁设备或工作配置文件后 24 小时锁定。
• 设备默认值 (默认值): 使用设备的默认时间锁定屏幕。

2.3.4. 高级密码管理 (打开 Android 网站)

有关可以配置的设置列表，请转到 Android Enterprise 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• Android 8.0 及更高版本
• Android Enterprise 公司拥有的完全托管 (COBO)
• Android Enterprise 公司拥有的专用设备 (COSU)
• Android Enterprise 公司拥有的工作配置文件 (COPE)

使用设置目录在 Windows 11 设备上创建通用打印策略

许多组织正在将其打印机基础结构迁移到使用 通用打印 的云。

在 Intune 管理中心中，可以使用设置目录创建通用打印策略 (设备>配置>Create>Windows 10及更高版本的平台>设置目录的配置文件类型>打印机预配) 。 部署策略时，用户会从已注册的通用打印打印机列表中选择打印机。

有关详细信息，请转到在 Microsoft Intune 中创建通用打印策略。

应用于：

• Windows 11

设置目录中的新 macOS 设置

设置目录具有新的 macOS 设置，可以配置 (设备>配置>Create>macOS 平台>配置文件类型的设置目录) ：

帐户 > 帐户：

• 禁用来宾帐户
• 启用来宾账户

网络 > 防火墙：

• 允许已签名
• 允许已签名的应用
• 启用日志记录
• 日志记录选项

家长控制 > 家长控制时间限制：

• 已启用家庭控制
• 时间限制

代理 > 网络代理配置：

• 代理
• 异常列表
• 允许回退
• FTP 启用
• FTP 被动
• FTP 端口
• FTP 代理
• Gopher 启用
• Gopher 端口
• Gopher 代理
• HTTP 启用
• HTTP 端口
• HTTP 代理
• HTTPS 启用
• HTTPS 端口
• HTTPS 代理
• 代理自动配置启用
• 代理自动配置 URL 字符串
• 允许代理受限登录
• RTSP 启用
• RTSP 端口
• RTSP 代理
• SOCKS 启用
• SOCKS 端口整数
• SOCKS 代理

安全 > 智能卡：

• 允许智能卡
• 检查证书信任
• 强制使用智能卡
• 每个用户一张卡
• 令牌删除操作
• 用户配对

软件更新:

• 允许预发布安装
• 已启用自动检查
• 自动下载
• 自动安装应用更新
• 自动安装 Mac OS 更新
• 配置数据安装
• 关键更新安装
• 限制软件更新要求管理员安装

用户体验 > Screensaver 用户：

• 空闲时间
• 模块名称
• 模块路径

使用"设置"目录创建的策略与使用模板创建的策略之间没有任何冲突解决方法。 在设置目录中创建新策略时，请确保没有与当前策略冲突的设置。

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用 Microsoft Intune中的设置目录创建策略。

应用于：

• macOS

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• cBrain A/S 提供的 F2 管理器 Intune
• cBrain A/S 提供的 F2 Touch Intune (Android)
• Microsoft 提供的 Microsoft Lists (Android)
• Microsoft Lens - Microsoft 提供的 PDF 扫描程序
• Diligent Corporation 提供的 Diligent Boards
• Provectus Technologies GmbH 提供的 Secure Contacts
• MangoSpring Inc 的 MangoApps 提供的 My Portal

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备管理

租户附加设备的软件更新页面

为租户附加设备提供了一个新的“软件更新”页面。 此页面会显示设备上软件更新的状态。 可以查看哪些更新已成功安装、安装失败，以及已分配但尚未安装。 使用更新状态的时间戳有助于进行故障排除。 有关详细信息，请参阅租户附加：管理中心中的软件更新。

适用于 iOS/iPadOS 上应用同步的 Microsoft Defender for Endpoint 支持

必须先选择加入Microsoft Defender for Endpoint预览版，然后才能使用此功能。 若要选择加入，请联系 mdatpmobile@microsoft.com。

使用 Microsoft Defender for Endpoint 作为移动威胁防御应用程序时，可以将 Defender for Endpoint 配置为从 iOS/iPadOS 设备Intune请求应用程序清单数据。 现在提供以下两个设置:

• 为 iOS 设备启用应用同步：设置为“打开”，以允许Microsoft Defender for Endpoint从Intune请求 iOS 应用程序的元数据用于威胁分析目的。 此 iOS 设备必须已注册 MDM，并将在设备签入期间提供更新的应用数据。

• 在个人拥有的 iOS/iPadOS 设备上发送完整的应用程序清单数据：此设置控制应用程序清单数据。 当 Defender for Endpoint 同步应用数据并请求应用清单列表时，Intune与 Microsoft Defender for Endpoint 共享此数据。

  设置为“打开”时，Defender for Endpoint 可以从个人拥有的 iOS/iPadOS 设备的Intune请求应用程序列表。 此列表包括非托管应用和通过 Intune 部署的应用。

  设置为 “关闭”时，不会提供有关非托管应用的数据。 Intune 会共享通过 Intune 部署的应用的数据。

支持在 Android Enterprise 公司拥有的工作配置文件设备上停用

现在，可以使用 Microsoft Intune 管理中心中的停用管理员操作从 Android Enterprise 公司拥有的工作配置文件设备中删除工作配置文件，包括所有公司应用、数据和策略。 转到Intune管理中心>“设备”窗格“>所有设备>”，然后选择要停用的设备的名称，然后选择“停用”。

选择“停用”时，设备将从 Intune 管理中取消注册。 但是，与你的个人资料关联的所有数据和应用在设备上保持不变。 有关详细信息，请参阅 使用 Microsoft Intune 停用或擦除设备。

设备注册

Apple 自动设备注册注册配置文件的改进

两个安装助手跳过窗格 (以前在 Intune 公共预览版中发布) 现已正式发布，可在 Intune 中使用。 这些屏幕通常在 Apple 自动设备注册 (ADE) 期间显示在安装助手中。 在 Intune 中设置注册配置文件时，可以配置屏幕可见性。 Intune支持的屏幕设置在“设置助理”选项卡下的设备注册配置文件中提供。新的跳过窗格包括：

• 窗格名称: 入门

  • 适用于 iOS/iPadOS 13 及更高版本。
  • 默认情况下，在 ADE 期间，此窗格显示在“安装助手”中。

• 窗格名称: 使用 Apple Watch 自动解锁

  • 适用于 macOS 12 及更高版本。
  • 默认情况下，在 ADE 期间，此窗格显示在“安装助手”中。

公共预览版的功能没有变化。

从 Windows Autopilot 注册到共同管理

在 Windows Autopilot 过程中，可以在 Intune 中配置设备注册以启用共同管理。 此行为以协调的方式在配置管理器和 Intune 之间指导工作负载权限。

如果设备是 Autopilot 注册状态页面 (ESP) 策略 的目标，则设备将等待配置管理器。 配置管理器客户端安装、向站点注册，并应用生产共同管理策略。 然后，Autopilot ESP 将继续运行。

有关详细信息，请参阅 如何使用 Autopilot注册到共同管理。

2022 年 5 月 9 日当周

设备安全性

使用 Defender for Endpoint 进行安全管理已正式发布

Microsoft Intune和Microsoft Defender for Endpoint (MDE) 团队很高兴地宣布 Defender for Endpoint 安全设置管理正式发布。 作为此正式版的一部分，对防病毒、终结点检测和响应以及防火墙规则的支持现已正式发布。 此正式版适用于 Windows Server 2012 R2 和更高版本，以及Windows 10和Windows 11客户端。 将来，预览容量中将支持其他平台和配置文件。

有关详细信息，请参阅使用Microsoft Intune管理设备上的Microsoft Defender for Endpoint。

设备管理

远程帮助的提升增强功能

启动会话时，将不再分配提升权限。 现在，只有在请求 JIT (恰时) 访问权限时，才会应用提升权限。 选择工具栏上的按钮时，将请求访问。 分配提升权限后，共享器的注销行为已修改，如下所示：

• 如果管理员 (帮助程序) 结束远程帮助会话，则不会注销 (共享者) 的用户。
• 如果共享者尝试结束会话，系统会提示他们，如果继续，他们将注销。
• 如果共享者是其设备上的本地管理员，则帮助程序将无法使用访问 UAC 提示选项，因为他们可以指导共享者在其自己的配置文件下执行提升的操作。 有关远程帮助的详细信息，请参阅使用远程帮助

2022 年 5 月 2 日所在周

应用管理

更新托管 Google Play 应用的优先级

可以使用工作配置文件在专用、完全托管或企业拥有的 Android Enterprise 设备上设置托管 Google Play 应用的更新优先级。 在更新优先级应用设置中选择推迟后，设备将在检测到新版本应用后等待 90 天，然后再安装应用更新。 有关详细信息，请参阅使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。

2022 年 4 月 25 日当周(服务版本 2204)

应用管理

更新的应用配置策略列表

已在 Intune 中修改 应用配置策略 列表。 此列表将不再包含 已分配 列。 若要查看是否已分配应用配置策略，请导航到Microsoft Intune管理中心>“应用>配置策略>”选择策略>“属性”。

Android 设备的密码复杂性

Intune 中的 需要设备锁 设置已扩展为包含值(低复杂性、中复杂性 和 高复杂性)。 如果设备锁不符合最低密码要求，可以 发出警告、 擦除数据或 阻止 最终用户访问托管应用中的托管帐户。 此功能面向在 Android 11+ 上运行的设备。 对于在 Android 11 及更低版本上运行的设备，将复杂性值设置为 低、中或 高 将默认执行 低复杂性 的预期行为。 有关详细信息，请参阅 Microsoft Intune 中的 Android 应用保护策略设置。 管理

对 Win32 应用日志收集的改进

通过 Intune 管理扩展收集 Win32 应用日志的功能已移动到 Windows 10 设备诊断平台，从而将收集日志的时间从 1-2 小时缩短为 15 分钟。 我们还将日志大小从 60 mb 增加到 250 mb。 除了性能改进之外，每个设备的“设备诊断监视操作”和“托管应用监视器”下也提供了应用日志。 有关如何收集诊断的信息，请参阅 从 Windows 设备收集诊断 和 使用 Intune 对 Win32 应用安装进行故障排除。

设备管理

Windows 10 和 Windows 11 企业版多会话已正式发布

除了现有功能之外，现在还可以:

• 选择 平台 Windows 10、Windows 11 和 Windows 服务器时，在“端点安全中心”下配置配置文件。
• 管理在美国政府社区 (GCC) 高级和 DoD 中Azure 政府云中创建的 Windows 10 和 Windows 11 企业版多会话 VM。

有关详细信息，请参阅 Windows 10/11 Enterprise 多会话远程桌面。

Android (AOSP)用户可在 Microsoft Intune 应用中使用的设备操作

AOSP 设备用户现在可以在 Microsoft Intune 应用中重命名已注册的设备。 此功能在 Intune 中注册为用户关联 （Android） AOSP 设备的设备上可用。 有关 Android (AOSP)管理的详细信息，请参阅 为 Android (AOSP)企业所有的用户关联设备设置 Intune 注册。

支持 Andriod 企业所有的工作配置文件和完全托管（COBO 和 COP）设备上的音频警报

现在，可以使用设备操作 播放丢失的设备声音 在设备上触发警报声音，以帮助查找丢失或被盗的 Android Enterprise 公司拥有的工作配置文件和完全托管的设备。 更多相关信息，请参阅 定位丢失或被盗设备。

设备注册

Apple 自动设备注册(公共预览版)的新注册配置文件设置

我们添加了两项新的设置助理设置，它们可与 Apple 自动设备注册结合使用。 每项设置可控制注册期间显示的设置助理窗格的可见性。 默认情况下，注册期间会显示设置助理窗格，因此，如果要隐藏设置，则必须在 Microsoft Intune 中进行调整。

新的设置助理设置包括：

• 入门 (预览) ：在注册期间显示或隐藏“入门”窗格。 适用于运行 iOS/iPadOS 13 及更高版本的设备。
• 使用 Apple Watch 自动解锁 (预览) ：在注册期间显示或隐藏“使用 Apple Watch 解锁 Mac”窗格。 适用于运行 macOS 12 及更高版本的设备。

要为自动设备注册配置设置助理设置，请在 Microsoft Intune 中 创建 iOS/iPadOS 注册配置文件 或 macOS 注册配置文件。

设备安全性

Microsoft Defender for Endpoint 作为适用于 iOS 的 Tunnel 客户端应用现已正式发布

在 iOS/iPadOS 上使用支持 Microsoft Tunnel 的 Microsoft Defender for Endpoint 不再是预览版，现已正式发布。 正式发布后，可从 App store 下载并部署适用于 iOS 的 Defender for Endpoint 应用的新版本。 如果你一直将预览版用作适用于 iOS 的 Tunnel 客户端应用，我们建议你尽快升级到适用于 iOS 的最新 Defender for Endpoint 应用，以获得最新更新和修补程序的优势。

从 2022 年 8 月 30 日开始，连接类型名为 Microsoft Tunnel。

在此版本中，到 6 月底，独立 Tunnel 客户端应用和作为适用于 iOS 的 Tunnel 客户端应用的 Defender for Endpoint 预览版都将弃用，并从支持中删除。 弃用后不久，独立 Tunnel 客户端应用将不再正常运行，且不再支持打开与 Microsoft Tunnel 的连接。

如果仍在使用适用于 iOS 的独立隧道应用，请计划迁移到 Microsoft Defender for Endpoint 应用。 在独立应用支持结束之前迁移，并且其连接到 Tunnel 的支持将停止工作。

攻击面减少规则配置文件

租户附加设备的 攻击面减少规则(ConfigMgr) 配置文件现为公共预览版。 有关详细信息，请参阅 租户附加: 创建并部署攻击面减少策略。

设备配置

终结点安全配置文件支持筛选器

使用筛选器时有一些新功能：

• 为 Windows 设备创建设备配置文件时，每个策略报告会在“设备和用户检查状态 (设备>配置>”中显示报告信息，选择现有策略) 。

  选择View 报表时，报表具有分配筛选器列。 使用此列确定筛选器是否已成功应用于策略。

• 终结点安全策略支持筛选器。 因此，分配终结点安全策略时，可以使用筛选器根据创建的规则分配策略。

• 创建新的终结点安全策略时，它会自动使用新的设备配置文件报告。 查看每个策略报告时，它还具有 “分配筛选器” 列， (设备>配置> 选择现有终结点安全策略 >查看报告) 。 使用此列确定筛选器是否已成功应用于策略。

有关筛选器的详细信息，请参阅：

• 分配应用、策略和配置文件时使用筛选器
• 筛选器支持的平台、策略和应用类型的列表

应用于：

• 所有平台

不适用于：

• 管理模板（Windows 10/11）
• 设备固件配置接口 （DFCI） （Windows 10/11）
• OEMConfig (Android Enterprise)

使用导入的 GPO 和组策略分析Create设置目录策略

使用组策略分析，可以导入本地 GPO 并查看 Microsoft Intune 中支持的设置。 它还显示所有弃用的设置，或者不可用于 MDM 提供程序的设置。

分析运行时，会看到已准备好迁移的设置。 有一个 “迁移 ”选项，该选项使用导入的设置创建设置目录配置文件。 然后，你可以将此配置文件分配给组。

有关详细信息，请转到使用Microsoft Intune中导入的 GPO Create设置目录策略。

应用于：

• Windows 11
• Windows 10

适用于 Windows 设备的新的有线网络设备配置文件

Windows 10/11 设备 >> (设备配置Create> Windows 10平台>模板>有线网络有一个新的有线网络设备配置文件，用于配置文件类型) 。

使用此配置文件可配置常见的有线网络设置，包括身份验证、EAP 类型、服务器信任等。 有关可配置的设置的详细信息，请转到“在 Microsoft Intune 中为 Windows 设备添加有线网络设置”。

应用于：

• Windows 11
• Windows 10

“管理模板”和“设置目录”中的 "ADMX_" 策略 CSP 设置适用于 Windows 专业版

以 "ADMX_" 开头的 Windows 策略 CSP 设置 适用于运行 Windows 专业版的 Windows 设备。 之前，这些设置在运行 Windows 专业版的设备上显示为 不适用。

可以使用管理模板和设置目录在策略中配置这些“ADMX_”设置，并将策略部署到设备 (设备>配置>Create>Windows 10及更高版本，用于平台>模板>设置目录或管理模板或配置文件类型) 。

要使用此 "ADMX_" 设置集，必须在 Windows 10/11 设备上安装以下更新:

• Windows 11: 2022 年 3 月 28 日— KB5011563 (OS 内部版本 22000.593)预览版

• Windows 10 (20H1、20H2、21H1、21H2): 2022 年 3 月 22 日—KB5011543 (OS 内部版本 19042.1620、19043.1620、19044.1620)预览版

有关这些功能的详细信息，请转到:

• 使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
• 使用设置目录以在 Windows 和 macOS 设备上配置设置
• “移动设备管理”博客文章中最新的组策略设置奇偶校验

要查看所有支持 Windows 专业版的 ADMX 设置列表，请转到“Windows 策略 CSP 设置”。 任何以 "ADMX_" 开头的设置都支持 Windows 专业版。

应用于：

• Windows 11
• Windows 10

“设置目录”中的新 macOS 设置

设置目录具有新的 macOS 设置，可以配置 (设备>配置>Create>macOS 平台>配置文件类型的设置目录) ：

帐户 > 移动帐户：

• 请求安全令牌身份验证旁路
• 登录时创建
• 过期删除废弃的秒数
• 创建时发出警告
• 创建时发出警告，允许从不

应用管理 > 自治单应用模式：

• 捆绑标识符
• 团队标识符

应用管理 > NS 扩展管理：

• 允许的扩展
• 拒绝的扩展点
• 拒绝的扩展

App Store:

• 禁用软件更新通知
• 仅限制存储软件更新
• restrict-store-disable-app-adoption

认证 > 目录服务：

• AD 允许多域身份验证
• AD 允许多域身份验证标志
• AD 在登录时创建移动帐户
• AD 在登录标志处创建移动帐户
• AD 默认用户外壳
• AD 默认用户外壳标志
• AD 域管理员组列表
• AD 域管理员组列表标志
• AD 强制主页本地
• AD 强制主页本地标志
• AD 映射 GGID 属性
• AD 映射 GGID 属性标志
• AD 映射 GID 属性
• AD 映射 GID 属性标志
• AD 映射 UID 属性
• AD 映射 UID 属性标志
• AD 装载样式
• AD 命名空间
• AD 命名空间标志
• AD 组织单位
• AD 数据包加密
• AD 数据包加密标志
• AD 数据包签名
• AD 数据包签名标志
• AD 首选 DC 服务器
• AD 首选 DC 服务器标志
• AD 限制 DDNS
• AD 限制 DDNS 标志
• AD 信任更改传递间隔天数
• AD 信任更改通过间隔天数标志
• AD 使用 Windows UNC 路径
• AD 使用 Windows UNC 路径标志
• AD 在创建 MA 前警告用户标志
• 客户端 ID
• 说明
• Password
• 用户名

认证 > 标识：

• Prompt
• 提示消息

登录 > 登录窗口登录项：

• 禁用登录项抑制

媒体管理光盘刻录:

• 刻录支持

家长控制 > 家长控制应用程序限制：

• 已启用家庭控制

家长控制 > 家长控制内容筛选器：

• 已启用允许列表
• 筛选允许列表
• 筛选阻止列表
• 网站允许列表
• 地址
• 页标题
• 使用内容筛选器

家长控制 > 家长控制词典：

• 家长控制

家长控制 > 家长控制游戏中心：

• 允许的 GK 功能帐户修改

系统配置 > 文件提供程序：

• 允许托管文件提供程序请求归属

系统配置 > Screensaver：

• 请求密码
• 请求密码延迟
• 登录窗口空闲时间
• 登录窗口模块路径

用户体验 > Finder：

• 禁止刻录
• 禁止连接到
• 禁止弹出
• 禁止转到文件夹
• 在桌面上显示外部硬盘驱动器
• 在桌面上显示硬盘驱动器
• 在桌面上显示已装载的服务器
• 在桌面上显示可移动媒体
• 对空回收站发出警告

用户体验 > 托管菜单附加项：

• 机场
• 电池
• 蓝牙
• 时钟
• CPU
• 延迟秒数
• 显示
• 弹出
• Fax
• HomeSync
• iChat
• 墨迹
• IrDA
• 最大等待秒数
• PCCard
• PPP
• PPPoE
• 远程桌面
• 脚本菜单
• 空格
• 同步
• 文本输入
• TimeMachine
• 辅助功能
• User
• 卷
• VPN
• WWAN

用户体验 > 通知：

• 警报类型
• 已启用徽章
• 已启用严重警报
• 已启用通知
• 在锁屏界面显示
• 在通知中心显示
• 已启用声音

用户体验 > 时间机器：

• 自动备份
• 备份所有卷
• 备份大小 MB
• 备份跳过系统
• 基本路径
• 移动备份
• 跳过路径

Xsan:

• San 身份验证方法

Xsan > Xsan 首选项：

• 拒绝 DLC
• 拒绝装载
• 仅装载
• 首选 DLC
• 使用 DLC

以下设置也位于"设置目录"中。 以前，它们仅在模板中可用：

应用管理 > 关联的域：

• 启用直接下载

网络 > 内容缓存：

• 允许缓存删除
• 允许个人缓存
• 允许共享缓存
• 自动激活
• 自动启用系绳缓存
• 缓存限制
• 数据路径
• 拒绝系绳缓存
• 显示警报
• 保持唤醒状态
• 侦听范围
• 仅侦听范围
• 与同辈和家长一同侦听
• 仅本地子网
• 日志客户端标识
• 家长选择策略
• 家长
• 对等筛选器范围
• 对等侦听范围
• 仅对等本地子网
• 端口
• 公共范围

限制:

• 允许活动延续
• 允许添加 Game Center 好友
• 允许隔空投送
• 允许自动解锁
• 允许照相机
• 允许云通讯簿
• 允许云书签
• 允许云日历
• 允许云桌面和文档
• 允许云文档同步
• 允许云密钥链同步
• 允许云邮件
• 允许云备注
• 允许云照片库
• 允许云专用中继
• 允许云提醒
• 允许内容缓存
• 允许诊断提交
• 允许听写
• 允许擦除内容和设置
• 允许指纹解锁
• 允许 Game Center
• 允许 iTunes 文件共享
• 允许多人游戏
• 允许音乐服务
• 允许密码修改
• 允许密码自动填充
• 允许密码邻近请求
• 允许密码共享
• 允许远程屏幕观察
• 允许屏幕截图
• 允许聚焦 Internet 结果
• 允许壁纸修改
• 强制执行的指纹超时
• 强制执行的软件更新延迟
• 强制执行的软件更新主要操作系统推迟安装延迟
• 强制执行的软件更新次要操作系统推迟安装延迟
• 强制执行的软件更新非操作系统推迟安装延迟
• 强制课堂自动加入班级
• 强制课堂请求权限离开班级
• 强制课堂取消提示的应用和设备锁定
• 强制延迟的应用软件更新
• 强制延迟的主要软件更新
• 强制延迟的软件更新
• Safari 允许自动填充

使用"设置"目录创建的策略与使用模板创建的策略之间没有任何冲突解决方法。 在设置目录中创建新策略时，请确保没有与当前策略冲突的设置。

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用 Microsoft Intune中的设置目录创建策略。

应用于：

• macOS

2022 年 4 月

应用管理

卸载托管 macOS 设备上的 DMG 类型应用程序（公共预览版）

可以使用卸载分配类型从Microsoft Intune中删除托管 macOS 设备上的 DMG 类型应用程序。 可以通过选择>“应用 macOS macOS 应用 (”，在管理中心Microsoft Intune查找macOS>DMG 应用。DMG) 。 有关详细信息，请参阅将 macOS DMG 应用添加到 Microsoft Intune。

设备管理

更新设备诊断文件夹结构

Intune 现在以更新的格式导出 Windows 设备诊断数据。 使用更新的格式，收集的日志将命名为与收集的数据匹配，收集多个文件时，将创建一个文件夹。 使用早期格式时，zip 文件使用未标识其内容的编号文件夹的平面结构。

若要利用此诊断日志记录更新，设备必须安装以下更新之一：

• Windows 11 - KB5011563
• Windows 10 - KB5011543

这些更新可通过 2022 年 4 月 12 日的 Windows 更新提供。

Microsoft Intune高级加载项

Microsoft Intune引入了新的集中式体验，以帮助 IT 管理员识别高级加载项功能。 可以添加这些功能，以支付另一个可用于Microsoft Intune的许可费用。 第一个高级加载项是远程帮助。

可以在 Intune 中的“租户管理”>“高级加载项”下找到高级加载项。 “摘要”边栏选项卡会显示已发布的所有高级加载项、简短说明和加载项的状态。 可以看到每个加载项的状态为“活动”或“可供试用或购买”。 全局和计费管理员可以使用高级加载项功能开始试用或购买高级加载项的许可证。

有关高级加载项的详细信息，请参阅将高级加载项功能与 Intune 配合使用。

设备安全性

端点安全策略的新配置文件模板和设置结构

我们已开始发布新的 终结点安全配置文件模板 ，这些模板使用设置目录中的设置格式。 每个新的配置文件模板都包含与它替换的旧配置文件相同的设置，同时进行了以下改进：

• 设置名称与 Windows CSP 名称匹配：大多数情况下，新配置文件中的每个设置名称都与设置配置的 CSP 名称匹配。 但是，在Intune UI 中，我们已向该名称添加了空格，以使设置名称更易于阅读。 例如，Intune UI 中名为“允许 USB 连接”的设置配置名为 AllowUSBConnection 的 CSP。

• 设置选项与 Windows CSP 的选项一致：设置选项现在直接与 Windows CSP 所描述和支持的选项一致，并增加了一个选项。 此外，还添加了“未配置”选项。 当设置设置为“未配置”时，该Intune配置文件不会主动管理该设置。 当配置文件从“未配置”设置的活动配置更改为“未配置”时，Intune停止在设备上主动强制实施该设置的配置。

• 设置指南取自 Windows CSP：Intune UI 中有关设置的信息直接取自 Windows CSP 内容，“了解详细信息”链接可打开相关 CSP 的文档或包括该 CSP 的内容页面。 CSP 定义和管理设置行为。

当新的平台和配置文件模板可用于某策略类型时，同名的旧配置文件将不再可用于创建新配置文件。 相反，新配置文件必须使用新的配置文件和设置格式。 最终，旧配置文件将支持转换为新的配置文件格式。 在该转换可用之前，仍可使用、编辑和部署现有配置文件。

以下配置文件模板现在以新的设置格式提供：

策略类型	平台	配置文件（模板）名称
防病毒	Windows 10、Windows 11 和 Windows Server	Windows 安全体验
防病毒	Windows 10、Windows 11 和 Windows Server	Windows Defender 防病毒
防病毒	Windows 10、Windows 11 和 Windows Server	Windows Defender 防病毒排除项
防火墙	Windows 10、Windows 11 和 Windows Server	Microsoft Defender 防火墙
防火墙	Windows 10、Windows 11 和 Windows Server	Microsoft Defender 防火墙规则
终结点检测和响应	Windows 10、Windows 11 和 Windows Server	终结点检测和响应
攻击面减少	Windows 10 及更高版本	攻击面减少规则
攻击面减少	Windows 10 及更高版本	漏洞保护

2022 年 3 月

应用管理

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• INKscreen LLC Intune CAPTOR™

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

iOS/iPadOS 通知需要 3 月公司门户更新

如果使用的功能可以生成 iOS/iPadOS 公司门户推送通知，则需要确保用户在 2022 年 3 月或 4 月更新 iOS/iPadOS 公司门户。 在功能上没有其他更改。 我们将在 Intune 的 5 月 （2205） 服务版本中对 iOS/iPadOS 通知进行服务端更新。 公司门户更新将在服务更改之前发布，因此大多数用户已拥有更新的应用，并且不会受到影响。 但是，应通知用户此更改，以确保所有用户继续接收组织发送的推送通知。 有关详细信息，请参阅更新公司门户应用。

为公司门户和Microsoft Intune应用配置反馈设置

提供反馈设置，用于通过 Microsoft 365 应用版 管理中心解决当前登录用户的 Microsoft 365 企业反馈策略。 这些设置用于确定是否可以为用户启用反馈或必须禁用反馈。 此功能适用于Intune 公司门户和Microsoft Intune应用。 有关相关信息，请参阅配置公司门户和Microsoft Intune应用的反馈设置。

通过上传 PKG 类型的安装程序文件部署 macOS LOB 应用（公共预览版）

现在可以上传 PKG 类型的安装程序文件并将其部署为 macOS 业务线应用。 可以通过选择“应用> macOS 添加业务线应用”，从Microsoft Intune管理中心添加>macOS> LOB 应用。 有关 macOS LOB 应用的详细信息，请参阅 如何将 macOS 业务线应用添加到 Microsoft Intune。

使用 Android 12L OS 时的应用 UI

Android 12L OS 包含旨在改进大型和折叠双屏设备上 Android 12 体验的新功能。 Intune应用现在支持 Android 双屏设备上的 Android 12L OS。

使用托管主屏幕应用显示 Android 企业设备序列号

在使用 托管主屏幕 的 Android Enterprise 专用设备上，客户现在可以使用应用配置来配置托管主屏幕应用，以显示所有受支持的操作系统版本 (8 及更高版本的设备的序列号) 。 有关托管主屏幕应用的信息，请参阅配置适用于 Android 企业的 Microsoft 托管主屏幕应用。

设备管理

请参阅 Android Enterprise 设备上的 IPv4 地址和 Wi-Fi 子网 ID

客户可以查看为 Android Enterprise 公司拥有的完全托管、专用和工作配置文件设备报告的 IPv4 地址和 Wi-Fi 子网 ID。

Android （AOSP） 用户可以在 Intune 应用中查看所有设备

AOSP 设备用户现在可以在Microsoft Intune应用中查看其托管设备和设备属性的列表。 此功能在 Intune 中注册为用户关联 （Android） AOSP 设备的设备上可用。

批量更新适用于 iOS/iPadOS 的 eSim 手机网络数据计划（公共预览版）

现在可以执行批量设备操作（设备>批量设备操作>更新手机网络数据），以便在支持它的 iOS/iPadOS 设备上远程激活或更新手机网络数据计划。 此功能目前为公共预览版。 有关详细信息，请参阅 使用批量设备操作。

批量擦除 iOS/iPadOS 设备时保留手机网络数据计划

执行批量设备操作（设备>批量设备操作>擦除）从 Intune 远程擦除 iOS/iPadOS 设备时，设备上的任何手机网络数据计划都将保留。 但是，如果想要删除设备的数据计划，则可以在擦除设备时选中一个复选框并删除手机网络数据计划。 有关详细信息，请参阅 使用批量设备操作。

冻结 Android Enterprise 公司拥有的设备的系统更新安装

对于运行版本 9.0 及更高版本的 Android Enterprise 公司拥有的设备，可以配置冻结期，在此期间无法安装系统或安全更新。

若要配置冻结，请使用 Intune 设备限制配置文件设置一个或多个可每年重复的块。 每个块最长可以是 90 天，但是当允许安装系统更新时，在冻结期之间至少必须有 60 天。

有关配置冻结期的信息，请参阅 Android Enterprise 设备设置中的系统更新冻结期以允许或限制使用 Intune 的功能。

有关实现冻结的 Android 要求的信息，请参阅 Google 开发人员文档中的 FreezePeriod。

设备安全性

租户附加：防病毒配置文件

Endpoint Security Microsoft Defender 防病毒配置文件现已正式发布。 有关详细信息，请参阅 租户附加：从管理中心创建和部署防病毒策略。

监视和疑难解答

AppxPackaging 事件查看器是收集诊断的一部分

Intune远程操作收集诊断将从 Windows 设备收集更多详细信息。  （设备>Windows>选择 Windows 设备>收集诊断）

新详细信息包括 Microsoft-Windows-AppxPackaging/Operational 事件查看器和以下 Office 日志文件，以帮助排查 Office 安装问题：

%windir%\temp\%computername%*.log
%windir%\temp\officeclicktorun*.log

设备配置

设备配置文件的新报告体验

现在为设备配置文件提供了新的报告体验。 此报告体验不包括 Windows 管理模板 （ADMX）、具有 OEMConfig 的 Android Enterprise 设备和设备固件配置接口 （DFCI） 配置文件类型。

我们将继续更新 Intune 的报表体验，以增强一致性、准确性、组织和数据表示形式，从而提供整体的"分面"每个策略报告的 Intune。 新体验更新了"每个策略概述"页，以从环形图切换到设备/用户签入时快速更新的更简要概述图表。

每个策略视图提供三个报表：

• 设备和用户签入状态 - 此报表将以前拆分为单独设备状态和用户状态报告的信息组合在一起。 此报表显示设备配置文件的设备和用户签入列表，其中包含签入状态和上次签入时间。 打开报表时，聚合图表将保留在页面顶部，并且数据将与列表数据保持一致。 使用筛选器列查看分配筛选器选项。
• 设备分配状态 - 此报表显示设备配置文件中已分配设备的最新状态数据。 Intune 报告将包括挂起的状态信息。
• 每个设置状态 - 此报表显示设备配置文件中粒度设置级别的设备和用户签入 成功、 冲突、 错误 状态的摘要。 此报表使用我们提供给其他报表的相同一致性和性能更新和导航工具。

可以使用更多向下钻取，并且每个报表支持更多工作分配筛选器。 有关每个报表的详细信息，请参Intune 报表。

Google Chrome 设置位于"设置目录"和"管理模板

Google Chrome 设置包含在设置目录和管理模板 （ADMX） 中。 以前，若要在 Windows 设备上配置 Google Chrome 设置，请创建自定义 OMA-URI 设备配置策略。

有关这些策略类型的详细信息，请参阅：

• 使用设置目录以在 Windows 和 macOS 设备上配置设置
• 使用 ADMX 模板在 Microsoft Intune 中配置组策略设置

应用于：

• windows 10/11

设置目录中的新 macOS 设置

设置目录具有新的 macOS 设置，可以配置 (设备>配置>Create>macOS 平台>配置文件类型的设置目录) ：

用户体验 > 辅助功能：

• 关闭视图远点
• 已启用关闭视图热键
• 近点关闭视图
• 关闭视图滚动滚轮切换
• 关闭视图平滑图像
• 对比度
• 闪存屏幕
• 鼠标驱动程序
• 鼠标驱动程序光标大小
• 鼠标驱动程序忽略触控板
• 鼠标驱动程序初始延迟
• 鼠标驱动程序最大速度
• 慢键
• 慢键蜂鸣声开启
• 慢键延迟
• 立体声作为单声道
• 粘滞键
• 粘滞键在修饰符上发出蜂鸣声
• 粘滞键显示窗口
• 关闭密钥时进行语音转移
• 黑底白字

Air Play:

• 允许列表
• Password

用户体验>桌面：

• 替代图片路径

偏好 > 全局首选项：

• 自动注销延迟
• 已启用多个会话

印刷 > 打印：

• 要求管理员在本地打印

安全 > 安全首选项：

• 不允许防火墙 UI
• 不允许锁定消息 UI
• 不允许密码重置 UI

偏好 > 系统首选项：

• 禁用的首选项窗格
• 已启用首选项窗格

偏好 > 用户首选项：

• 禁用使用云密码

以下设置也位于"设置目录"中。 以前，它们仅在模板中可用：

印刷 > Air Print：

• IP 地址
• 资源路径

网络 > 防火墙：

• Allowed
• 捆绑包 Id
• 阻止所有传入
• 启用防火墙
• 启用隐藏模式

登录 > 登录项：

• 隐藏

登录 > 登录窗口行为：

• 管理员主机信息
• 允许列表
• 拒绝列表
• 禁用控制台访问
• 立即禁用屏幕锁定
• 隐藏管理员用户
• 隐藏本地用户
• 包括网络用户
• 登录时已禁用注销
• 登录窗口文本
• 登录时禁用电源
• 已禁用重新启动
• 登录时已禁用重启
• 显示全名
• 显示托管的其他用户
• 关机禁用
• 关机登录时禁用
• 睡眠已禁用

系统策略 > 系统策略控制：

• 允许标识的开发人员
• 启用评估

系统策略>系统策略托管：

• 禁用替代

使用"设置"目录创建的策略与使用模板创建的策略之间没有任何冲突解决方法。 在设置目录中创建新策略时，请确保没有与当前策略冲突的设置。

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用 Microsoft Intune中的设置目录创建策略。

应用于：

• macOS

设备注册

在已注册的 macOS 设备上利用启动令牌（公共预览版）

Intune 现在支持在运行 macOS 版本 10.15 或更高版本的已注册设备上使用启动令牌。 引导令牌允许非管理员用户拥有更高的 MDM 权限，并代表 IT 管理员执行特定的软件功能。令牌在以下方面受支持：

• 受监督的设备（在 Intune 中，这是所有用户批准的注册）
• 通过 Apple 自动设备注册在 Intune 中注册的设备

启动令牌将于 2022 年 3 月 26 日开始运行，在所有租户中开始运行可能需要更长时间。

有关启动令牌如何与 Intune 配合使用的详细信息，请参阅设置 macOS 设备的注册。

注册运行 Apple silicon 的 macOS 虚拟机

使用适用于 macOS 的 公司门户 应用注册在 Apple silicon 上运行的虚拟机。 Intune 仅支持将 macOS 虚拟机用于测试目的。 有关在 Intune 中注册虚拟机的详细信息，请参设置 macOS 设备的注册。

基于角色的访问控制

Android （AOSP） 将支持作用域标记和 RBAC 设置

为 Android （AOSP） 创建策略时，可以使用基于角色的访问控制 （RBAC） 和范围标记。

有关这些功能的详细信息，请参阅：

• Microsoft Intune 中的基于角色的访问控制 (RBAC)。
• 使用分布式 IT 的 RBAC 和范围标记

应用于：

• Android 开源项目 （AOSP）

2022 年 2 月

应用管理

公司门户应用中的高级日志记录设置

启用高级日志记录设置适用于 iOS/iPadOS 和 macOS 上的 Intune 公司门户应用版本 v5.2202 及更高版本。 设备用户可以在设备上启用或禁用高级日志记录。 通过打开高级日志记录，详细的日志报告将被发送给 Microsoft 以解决问题。 默认情况下，“启用高级日志记录”设置将关闭。 除非组织 IT 管理员另有指示，否则设备用户应保留此设置。有关详细信息，请参阅与 Microsoft 共享公司门户使用情况数据和管理 macOS 公司门户首选项。

设备配置

Apple 自动设备注册的手机网络数据计划

在配置自动设备注册 (ADE) 时，作为 iOS/iPadOS 注册配置文件的一部分，现在可以配置设备以激活手机网络数据。 配置此选项将发送一个命令，用于为组织启用 eSim 的手机网络设备激活手机网络数据计划。 运营商必须为设备预配激活，然后才能使用此命令激活数据计划。 此设置适用于运行使用 ADE 注册的 iOS/iPadOS 13.0 及更高版本的设备。 有关详细信息，请参阅使用 Apple 的自动设备注册自动注册 iOS/iPadOS 设备。

设备管理

支持 Android 专用 (COSU) 设备上的音频警报

现在，可以使用 “播放丢失的设备声音 设备”操作在设备上触发警报声，以帮助查找丢失或被盗的 Android Enterprise 专用设备。 更多相关信息，请参阅 定位丢失或被盗设备。

在 iOS/iPadOS 设备上创建按需 VPN 设备配置策略时的 UI 更新

可以为 iOS/iPadOS 设备创建按需 VPN 连接， (设备>配置>Create>iOS/iPadOS 平台 VPN，>用于配置文件类型>自动 VPN>按需 VPN) 。

UI 已更新，以更接近 Apple 的技术命名。 若要查看可配置的按需 VPN 设置，请转到 iOS 和 iPadOS 设备上的自动 VPN 设置。

应用于：

• iOS/iPadOS

在 Android Enterprise 上，在企业 Wi-Fi 配置文件上使用“自动连接”设置

在 Android Enterprise 设备上，可以创建 Wi-Fi 配置文件，其中包括常见的企业 Wi-Fi 设置 (设备>配置>Create>Android Enterprise for platform >Full Managed、Dedicated 和 Corporate-Owned 工作配置文件>Wi-Fi for profile 类型 >Enterprise for Wi-Fi type) 。

你可以配置 自动连接 设置，该设置在设备处于范围内时自动连接到 Wi-Fi 网络。

若要查看可以配置的设置，请转到为 Android Enterprise 专用设备和完全托管设备添加 Wi-Fi 设置。

应用于：

• Android Enterprise 公司拥有的完全托管 (COBO)
• Android Enterprise 公司拥有的专用设备 (COSU)

组策略分析迁移就绪情况报告中弃用的状态会自动重新评估 GPO

使用 组策略 Analytics，可以导入组策略对象 (GPO)， 以查看 MDM 提供程序中支持的设置，包括 Microsoft Intune。 它还显示所有弃用的设置，或者不可用于 MDM 提供程序的设置。

Intune 产品团队更新映射逻辑。 更新时，将自动重新评估已弃用的设置。 以前，必须重新导入 GPO。

有关组策略分析和报告的详细信息，请参阅在 Microsoft Intune 中使用组策略分析 (GPO) 分析本地组策略对象。

应用于：

• Windows 11
• Windows 10

为 Android (AOSP) 用户关联的设备创建使用条款

要求 Android (AOSP) 用户在注册其设备之前接受 Intune 公司门户应用中的条款和条件。 此功能仅适用于企业拥有的与用户关联的设备。 有关在 Intune 中创建使用条款的信息，请参阅用户访问条款和条件。

对Microsoft Intune或Microsoft Intune注册云应用强制实施Microsoft Entra使用条款

在自动设备注册期间，使用 Microsoft Intune 云应用和/或 Microsoft Intune 注册云应用强制实施条件访问，Microsoft Entra iOS 和 iPadOS 设备上的使用条款接受策略。 选择“用新式验证的安装助理”使作为身份验证方法时，此功能可用。 这两个云应用现在都确保用户在注册和/或公司门户登录期间接受使用条款（如果条件访问策略需要）。

设置目录中的新 macOS 设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 创建设置目录策略时，有新的设置可用于 macOS 设备 (设备>配置>Create>macOS 平台>设置目录配置文件类型) 。

新设置包括：

• > 域Email域

• 打印 > 打印：

  • 允许本地打印机
  • 默认打印机
    • 设备 URI
    • 显示名称
  • 页脚字体名称
  • 页脚字体大小
  • 打印页脚
  • 打印 MAC 地址
  • 要求管理员添加打印机
  • 仅显示托管打印机
  • 用户打印机列表
    • 设备 URI
    • 显示名称
    • 位置
    • 模型
    • PPD URL
    • 打印机已锁定

• 配置文件删除密码 > 删除密码

• 全局 HTTP 代理：

  • 允许代理受限登录
  • 允许代理 PAC 回退
  • 代理 PAC URL
  • 代理密码
  • 代理服务器
  • 代理服务器端口
  • 代理类型
  • 代理用户名

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

设备安全性

Microsoft Tunnel 对 Red Hat Enterprise Linux 8.5 的支持

现在可以将 Red Hat Enterprise Linux （RHEL） 8.5 与 Microsoft Tunnel配合使用。

为了支持 RHEL 8.5，我们还更新了就绪工具 (mst-readiness) ，并针对 Linux 内核中是否存在 ip_tables 模块提供了新的检查。 默认情况下，RHEL 8.5 不会加载ip_tables模块。

对于不加载模块的 Linux 服务器，我们提供了结构立即加载它们，并将 Linux 服务器配置为在启动时自动加载它们。

移动威胁防御合作伙伴 Zimperium 现已在 GCC High 租户中提供

Zimperium 现已在美国 GCC High 环境中作为移动威胁防御 (MTD) 合作伙伴提供。

借助此支持，可在 GCC High 租户中启用的 MTD 连接器列表中找到适用于 Zimperium 的Intune连接器。

GCC High 环境是一个更加管控的环境，只有受 GCC High 环境支持的那些 MTD 合作伙伴的连接器才可用。 有关 GCC High 租户中的支持的详细信息，请参阅 Microsoft Intune 美国政府 GCC High 和 DoD 服务说明。

管理 Intune 发送给第三方 MTD 合作伙伴的 iOS/iPadOS 设备的应用清单数据

现在可以为 Intune 发送给所选第三方移动威胁防御 （MTD） 合作伙伴的个人拥有的 iOS/iPadOS 设备配置应用程序清单数据的类型。

若要控制应用清单数据，请配置以下设置，作为合作伙伴移动威胁防护连接器MDM 合规性策略的一部分：

• 在个人拥有的 iOS/iPadOS 设备上发送完整的应用程序清单数据

  此设置的选项包括：

  • 打开 - 如果 MTD 合作伙伴同步应用数据并从Intune请求 iOS/iPadOS 应用程序的列表，则该列表包括非托管应用 (未通过Intune) 部署的应用以及通过Intune部署的应用。 此行为是当前行为。
  • 关闭 - 不会提供有关非托管应用的数据，并且 MTD 合作伙伴仅接收有关通过Intune部署的应用的详细信息。

对于公司设备，有关托管应用和非托管应用的数据将继续包含在 MTD 供应商对应用数据的请求中。

监视和疑难解答

远程帮助正在Microsoft Intune管理中心内移动

Microsoft Intune管理中心中的“远程帮助”页已移动，现在可以直接在租户管理下使用，而不是连接器和令牌。 有关远程帮助的详细信息，请参阅使用远程帮助。

2022 年 1 月

应用管理

将 DMG 类型应用程序部署到托管 macOS 设备

可以使用所需的分配类型从Microsoft Intune将 DMG 类型应用程序上载和部署到托管 Mac。 DMG 是 Apple 磁盘映像文件的文件扩展名。 DMG 类型的应用是使用适用于 macOS 的 Microsoft Intune MDM 代理进行部署。 可以通过选择“应用>>>macOS 添加 macOS 应用 (DMG) ”，从 Microsoft Intune 管理中心添加DMG 应用。 有关详细信息，请参阅将 macOS DMG 应用添加到 Microsoft Intune。

设备管理

创建 Windows VPN 配置文件时选择用户或设备范围

可以为 Windows 设备创建 VPN 配置文件，用于配置 VPN 设置 (设备>配置>Create>Windows 10及更高版本的平台>模板>VPN 配置文件) 。

创建配置文件时，请使用 将此 VPN 配置文件与用户/设备范围设置配合使用，以将配置文件应用于用户范围或设备范围：

• 用户范围：VPN 配置文件安装在设备上的用户帐户中。
• 设备范围：VPN 配置文件安装在设备上下文中，并适用于设备上的所有用户。

现有 VPN 配置文件将应用于其现有范围，并且不受此更改的影响。 所有 VPN 配置文件都安装在用户范围 中，但启用了设备隧道的配置文件除外，这需要设备范围。

有关当前可以配置的 VPN 设置的详细信息，请参阅 Windows 设备设置以使用 Intune 添加 VPN 连接。

应用于：

• Windows 11
• Windows 10

筛选器已正式发布(GA)

可以使用筛选器根据不同的设备属性在工作负荷分配（如策略和应用）中包括或排除设备。 筛选器现已正式发布 (GA) 。

有关筛选器的详细信息，请参阅分配应用、策略和配置文件时使用筛选器。

Android Enterprise 设备的自动设备清理规则支持

Intune 支持创建规则，以自动删除显示为非活动、过时或无响应的设备。 现在，可以将这些清理规则用于以前不支持这些清理规则的 Android Enterprise 设备。 现在支持以下规则：

• Android Enterprise 完全托管
• Android Enterprise 专用
• Android Enterprise 公司拥有的工作配置文件

若要了解清理规则的详细信息，请参阅 使用清理规则自动删除设备。

使用收集诊断功能通过 Intune 远程操作从 Windows 365 设备收集更多详细信息

Intune的远程操作收集诊断现在从 Windows 365 (Coud-PC) 设备收集更多详细信息。 Windows 365 设备的最新详细信息包括以下注册表数据：

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\WebRTC Redirector
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Teams\

有关支持 Windows 365 设备远程操作的信息，请参阅 远程管理 Windows 365 设备。

租户附加功能已正式发布(GA)

以下 租户附加 功能现已正式发布：

• 客户端详细信息
• 应用程序
• 设备日程表
• 资源浏览器
• CMPivot
• 脚本
• BitLocker 恢复密钥
• 集合

部署前预览筛选的设备列表

现在，在 Microsoft Intune 中创建或编辑筛选器时，可以预览已筛选设备的列表。 新视图无需应用测试筛选器，因为可以立即预览筛选器对设备的影响，并调整筛选规则以实现所需的结果。 有关在 Microsoft Intune 中使用筛选器的详细信息，请参阅创建筛选器。

设备安全性

适用于 iOS/iPadOS 的 Microsoft Defender for Endpoint 应用中的 Tunnel 客户端功能的公共预览版

适用于 iOS/iPadOS 的 Microsoft Tunnel 客户端功能正在迁移到 Microsoft Defender for Endpoint 应用中。 使用此预览版，你可以开始使用 Microsoft Defender for Endpoint 预览版作为受支持设备的 Tunnel 应用。 现有的 Tunnel 客户端仍然可用，但最终将逐步淘汰，以支持 Defender for Endpoint 应用。

此公共预览版适用于：

• iOS/iPadOS

对于此预览，你已从苹果应用商店下载一个预览版的 Microsoft Defender for Endpoint，然后将支持的设备从独立的 Tunnel 客户端应用迁移到预览应用。 有关详细信息，请参阅迁移到 Microsoft Defender for Endpoint 应用。

在公共预览版设备上配置本地组用户的新帐户保护策略

在公共预览版中，可以使用 Intune 帐户保护策略的新配置文件来管理 Windows 10 和 11 设备上内置本地组的成员身份。

每台 Windows 设备都附带一组内置本地组。 每个本地组都包含一组具有组内权限的用户。 使用终结点安全帐户保护策略的新本地用户组成员身份（预览版）配置文件，可以管理哪些用户是这些本地组的成员。

若要配置本地组成员身份，请选择要修改的内置本地帐户，然后在组中选择要添加、删除或替换为其他用户的用户。 每台接收到策略的设备都会更新这些本地组的成员。 通过使用 策略 CSP - LocalUsersAndGroups来修改每台设备上的组成员身份。

若要了解更多信息，请参阅在 Windows 设备上管理本地组。

脚本/开发人员

Intune 数据仓库更新

实体applicationInventory已从Intune Data Warehouse中删除。 现在可在 UI 中和通过 Intune 的导出 API 使用新数据集。 有关详细信息，请参阅使用图形 API 导出 Intune 报告。

2021 年 12 月

应用管理

适用于 Microsoft 托管主屏幕 应用的更多会话 PIN 限制

适用于 Android Enterprise 的 托管主屏幕 应用现在可以对用户的会话 PIN 实施更多限制。 具体而言，托管主屏幕现在提供：

• 定义会话 PIN 最小长度的功能。
• 能够定义用户在从托管主屏幕注销之前必须成功输入其会话 PIN 的最大尝试次数。
• 定义复杂性值的功能，这些值可限制用户不能使用重复 (444) 或有序（123、321、246）模式创建 PIN。

有关详细信息，请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用 和 允许或限制使用 Intune 的功能的 Android Enterprise 设备设置。

设备配置

新选项，用于查看设备配置配置文件中具有错误或冲突的配置文件数

在Intune管理中心，有一个新的“X 策略错误或冲突”选项。 选择此选项后，会自动转到 设备>监视>分配故障 报告。 此报告可帮助对错误和冲突进行故障排除。

此新选项在 Intune 管理中心的以下位置可用：

• 主页
• 仪表板

有关详细信息，请参阅 在 Microsoft Intune 中监视设备配置文件 和 分配故障报告。

应用于：

• Windows 11
• Windows 10

适用于 iOS/iPadOS 和 macOS 设备的新超时和阻止 iCloud 专用中继设置

在 iOS/iPadOS 和 macOS 设备上，可以创建设备限制策略，该策略管理设备上的功能 (设备>配置>Create>iOS/iPadOS 或 macOS 平台>设备限制) 。

有新的设置:

• iOS/iPadOS:
  • 阻止 iCloud 专用中继: 在受监督的设备上，此设置会阻止用户使用 iCloud 专用中继 (打开 Apple 的网站)。
• macOS
  • 阻止 iCloud 专用中继: 在受监督的设备上，此设置会阻止用户使用 iCloud 专用中继 (打开 Apple 的网站)。
  • 超时: 用户可以使用触摸 ID (例如指纹)解锁设备。 使用此设置以要求用户在处于非活动状态一段时间后输入密码。 默认的非活动期为 48 小时。 处于非活动状态 48 小时后，设备会提示输入密码，而非触摸 ID。

应用于：

• iOS/iPadOS 15 及更高版本
• macOS 12 及更高版本

Android Enterprise 企业所有的设备(具有工作配置文件)的新设备限制设置

在 Android Enterprise 设备上，可以配置控制设备功能的设置 (设备>配置>Create>Android Enterprise 平台>配置文件类型>常规) 的设备限制。

对于具有工作配置文件的 Android Enterprise 企业所有的设备，有新的设置:

• 在个人配置文件中搜索工作联系人并显示工作联系人呼叫者 ID
• 在工作配置文件和个人配置文件之间进行复制和粘贴
• 工作配置文件和个人配置文件之间的数据共享

有关当前可以配置的设置的详细信息，请参阅 使用 Intune 允许或限制功能的 Android Enterprise 设备设置。

应用于：

• Android Enterprise 公司拥有的工作配置文件 (COPE)

设置目录在美国政府 GCC High 和 DoD 上受支持

设置目录在美国政府 GCC High 和 DoD 上提供并受支持。

有关设置目录及其含义的详细信息，请参阅 使用设置目录在 Windows 和 macOS 设备上配置设置。

应用于：

• macOS
• Windows 11
• Windows 10

在 Android Enterprise 完全托管的、企业所有的专用工作配置文件设备的 Wi-Fi 配置文件中输入证书公用名称

在 Android Enterprise 设备上，可以创建一个 Wi-Fi 配置文件，用于配置企业 Wi-Fi 设置， (设备>配置>Create>Android Enterprise for platform >Full Managed、Dedicated 和 Corporate-Owned Work Profile>Wi-Fi，用于配置文件类型) 。

选择 Enterprise 时，有新的 Radius 服务器名称 设置。 此设置是在客户端对 Wi-Fi 接入点进行身份验证期间 Radius 服务器提供的证书中使用的 DNS 名称。 例如，输入 Contoso.com、uk.contoso.com 或 jp.contoso.com。

如果多个 Radius 服务器的完全限定的域名中具有相同的 DNS 后缀，则只能输入后缀。 例如，可以输入 contoso.com。

输入此值时，用户设备可以绕过连接到 Wi-Fi 网络时有时显示的动态信任对话框。

需要了解的内容:

• 面向 Android 11 或更高版本的新 Wi-Fi 配置文件可能需要配置此设置。 否则，设备可能无法连接到 Wi-Fi 网络。

有关当前可以配置的设置的详细信息，请参阅 Android Enterprise 完全托管的、企业所有的专用工作配置文件 Wi-Fi 设置。

应用于：

• Android Enterprise 公司拥有的工作配置文件 (COPE)
• Android Enterprise 公司拥有的完全托管 (COBO)
• Android Enterprise 专用设备 (COSU)

Windows 设备上 Microsoft Edge 96、97 和 Microsoft Edge 更新服务的新“管理模板”设置

在 Intune 中，可以使用管理模板配置 Microsoft Edge 设置 (设备>配置>Create>Windows 10及更高版本，以配置配置文件类型) 的平台>模板>管理模板。

Microsoft Edge 96、97 和 Microsoft Edge 更新程序提供了新的管理模板设置，包括 目标通道替代 支持。 使用 目标渠道替代，以便用户获取 扩展稳定 发布周期选项，该选项可以使用组策略或通过 Intune 进行设置。

有关更多信息，请参阅：

• 配置 Microsoft Intune 中的 Microsoft Edge 策略设置
• Microsoft Edge 频道概述
• Microsoft Edge 浏览器策略文档

应用于：

• Windows 11
• Windows 10
• Microsoft Edge

设备注册

将设备类型筛选器应用于 Windows 和 Apple 注册限制策略 (预览版)

使用 注册限制 中的新分配筛选器根据设备类型包括或排除设备。 例如，通过应用 操作系统 SKU 分配筛选器，可以允许个人设备同时阻止运行 Windows 10 家庭版的设备。 筛选器可以应用于 Windows、macOS 和 iOS 注册策略，Android 支持将在以后推出。 筛选器还为注册限制启用新的设置体验。 有关如何创建筛选器的详细信息，请参阅 创建筛选器。 若要了解更多关于使用带有注册限制的筛选器信息，请参阅 设置注册限制。

在 Windows 注册状态页配置文件分配上使用筛选器

筛选器允许你根据不同的设备属性在策略或应用分配中包括或排除设备。 (ESP) 配置文件创建注册状态页时，可以在分配配置文件时使用筛选器。 所有用户 和 所有设备 分配选项也将可用。 在Microsoft Intune管理中心，选择“设备>注册设备>注册状态页>Create”。 有关筛选器的详细信息，请参阅 分配应用、策略和配置文件时使用筛选器。 有关 ESP 配置文件的详细信息，请参阅 设置注册状态页面。

设备管理

从管理中心内启动远程帮助

现在可以从Microsoft Intune管理中心内启动远程帮助。 为此，请在管理中心内转到 所有设备 并选择需要协助的设备。 然后选择“新建远程帮助会话”，该会话可从设备视图顶部的远程操作栏中获取。

终结点分析筛选

现在可以向 终结点分析 报告中的表 添加筛选器。 使用筛选器可以发现环境中的趋势或潜在问题。

使用筛选器在管理中心中分配终结点分析主动修正脚本 - 公共预览版

在Intune管理中心，可以创建筛选器，然后在分配应用和策略时使用这些筛选器。 可以使用筛选器分配以下策略：

• 终结点分析主动修正 Windows PowerShell 脚本 (报告>终结点分析>主动修正)

有关筛选器的详细信息，请参阅分配应用、策略和配置文件时使用筛选器。

应用于：

• Windows 11
• Windows 10

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Centrallo LLC 的 Groupdolists

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

BlackBerry – 新的移动威胁防御合作伙伴

现在可以将 BlackBerry Protect Mobile (由 Cylance AI 提供支持) 用作 Intune 的集成移动威胁防御(MTD)合作伙伴。 通过在 Intune 中连接 BlackBerry Protect Mobile MTD 连接器，可以使用基于风险评估的条件访问以控制移动设备对企业资源的访问权限。

有关更多信息，请参阅：

• 移动威胁防御与 Intune 集成
• BlackBerry UES 文档

监视和疑难解答

用于Windows 10诊断的新事件查看器

我们已将一个新的事件查看器添加到 Windows 设备诊断中， 高级安全性/防火墙的 Microsoft-Windows-Windows 防火墙。 事件查看器可帮助你排查防火墙问题。 有关 Windows 设备诊断的详细信息，请参阅 从 Windows 设备收集诊断。

公司门户网站中的设备合规性状态

最终用户可以更轻易地从公司门户网站查看其设备的合规性状态。 终端用户可以导航到 公司门户 网站，然后选择 “设备” 页面以查看设备状态。 设备将列出，其状态为 可以访问公司资源、正在检查访问 或 无法访问公司资源。 有关详细信息，请参阅从公司门户网站管理应用和如何配置Intune 公司门户应用、公司门户网站和Intune应用。

2021 年 11 月

应用管理

为托管 Google Play 应用启用应用更新优先级

可以在具有工作配置文件 Android Enterprise 设备的专用、完全托管和企业拥有的托管 Google Play 应用上设置更新优先级。 选择高优先级以在开发人员发布更新后立即更新应用，无论设备上的收费状态、Wi-Fi 功能或最终用户活动如何。 有关详细信息，请参阅使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。

清除使用共享设备模式注册（公共预览）的 Android Enterprise 专用设备的会话之间的应用数据

使用 Intune，可以选择清除尚未与共享设备模式集成的应用程序的应用数据，以确保登录会话之间的用户隐私。 用户将需要从与Microsoft Entra共享设备模式集成的应用程序中启动注销，以便 IT 指定的应用清除其数据。 此功能将适用于在 Android 9 或更高版本上注册共享设备模式的 Android Enterprise 专用设备。

导出已发现的应用列表基础数据

除了导出汇总的已发现应用列表数据之外，你还可以导出更广泛的基础数据。 当前汇总的导出体验提供汇总的聚合数据，但新体验还提供原始数据。 原始数据导出将为你导出整个数据集，用于创建汇总的聚合报表。 原始数据会列出每个设备以及为该设备发现的每个应用。 此功能已添加到 Intune 控制台，以替换 Intune Data Warehouse 应用程序清单数据集。 在Microsoft Intune管理中心中，选择“应用>监视>已发现的应用>导出”以显示导出选项。 有关详细信息，请参阅Intune发现的应用和使用 Graph API 导出Intune报表。

显示特定于平台的应用列表时的筛选器改进

在 Microsoft Intune 管理中心显示特定于平台的应用列表时，筛选器已得到改进。 以前，导航到特定于平台的应用列表时，无法对列表使用应用类型筛选器。 通过此更改，可以应用筛选器 (包括特定于平台的应用列表上的应用类型和分配状态筛选器) 。 有关详细信息，请参阅 Intune 报表。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• PenPoint by Pen-Link, Ltd.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

Win32 应用取代和依赖关系的新 RBAC 权限

添加了新的Microsoft Intune权限，用于创建和编辑 Win32 应用与其他应用的取代和依赖项关系。 该权限在移动应用类别下，选择关联即可。 从 2202 服务版本开始，Intune管理员在 Microsoft Intune 管理中心创建或编辑 Win32 应用时需要此权限来添加取代和依赖项应用。 若要在管理中心Microsoft Intune查找此权限，请选择“租户管理>角色”“>所有角色>Create”。 此权限已添加到以下内置角色：

• 应用程序管理员
• 学校管理员

有关详细信息，请参阅在 Intune 中Create自定义角色。

设备安装状态报告中不再显示不适用的状态条目

根据所选应用，“设备安装状态”报表提供了设备列表以及特定应用的状态信息。 与设备相关的应用安装详细信息包括：“UPN”、“平台”、“版本”、“状态”、“状态详细信息”和“上次签入”。 如果设备的平台不同于应用程序的平台，而不是显示条目状态详细信息的"不适用"，则将不再提供该条目。 例如，如果已选择 Android 应用，并且该应用面向 iOS 设备，而不是提供 不适用 设备状态值，则该条目的设备状态不会显示在 设备安装状态 报表中。 若要查找此报表，请在Microsoft Intune管理中心，选择“应用>所有应用>选择应用>设备安装状态”。 有关详细信息，请参阅 应用的设备安装状态报告 (操作) 。

适用于 Edge 95 和 Edge 更新程序的新 ADMX 设置

已将 Edge 95 和 Edge 更新程序的新 ADMX 设置添加到管理模板。 这些设置包括对“目标通道替代”的支持，它允许客户随时使用组策略或通过Intune选择加入扩展稳定发布周期选项。 在“Microsoft Intune管理中心”中，选择“设备>配置>Create”。 然后， 选择平台>Windows 10 及更新然后个人资料>模版>管理模版。 有关详细信息，请参阅 Microsoft Edge 通道概述、Microsoft Edge 浏览器策略文档和在 Microsoft Intune 中配置 Microsoft Edge 策略设置。

安装公司门户期间的新隐私许可屏幕

我们为 Android 公司门户添加了新的隐私许可屏幕，以满足某些应用商店（例如中国的应用商店）的隐私要求。 人员首次从这些存储区安装公司门户时，会在安装过程中看到新屏幕。 屏幕说明了 Microsoft 收集的信息及其使用方式。 用户必须同意条款，然后才能使用该应用。 在此版本之前安装公司门户的用户将看不到新屏幕。

更新 Android 公司门户和 Intune 应用以获取自定义通知

我们已对 Intune 11 月 (2111) 服务版本的自定义通知进行了服务端更新。 为了获得最佳用户体验，自定义通知要求用户更新到 2021 年 10 月发布的 Android 公司门户 (版本 5.0.5291.0 的最新版本（) ）或 android Intune 应用 (版本 2021.09.04（) 2021 年 9 月发布）。 如果用户在Intune 11 月 (2111) 服务发布之前未更新，并且他们收到自定义通知，他们将收到更新应用以查看通知的通知。 更新应用后，他们将在应用的“通知”部分中看到组织发送的消息。 有关详细信息，请参阅使用 Intune 发送自定义通知。

设备管理

每个设备评分的终结点分析

终结点分析中的每设备分数现已推出预览版并正式发布。 按设备分数可帮助你识别可能影响用户体验的设备。 在向支持人员拨打电话之前，查看每个设备的分数可能有助于查找并解决最终用户问题。

安全措施保留现在在功能更新失败报告中可见

当设备由于安全保留而被阻止安装 Windows 更新时，可以在Microsoft Intune管理中心>功能更新失败报告中查看有关该保留的详细信息。

具有安全措施保留的设备在报告中显示为出现错误的设备。 查看此类设备的详细信息时，警报信息 列显示 安全措施保留，而 部署错误代码 列显示安全措施保留的 ID。

当已知设备上检测到某些内容会导致更新后体验不佳时，Microsoft 偶尔会设置保护措施来阻止在设备上安装更新。 例如，软件或驱动程序是实施安全措施保留的常见原因。 在解决基础问题且可以安全地安装更新之前，该保留一直有效。

若要了解更多关于有效安全措施保留及其解决方法期望的信息，请转到 https://aka.ms/WindowsReleaseHealth 上的 windows 版本运行状况仪表板。

针对预发布版本管理 Windows 更新的改进

我们改进了对 Windows 10 及更高版本使用更新通道来管理预发布版本的 Windows 更新的体验。 这些改进包括：

• “启用预发布版本 ”是 更新通道的“更新通道设置 ”页上的一个新控件。 使用此设置将分配的设备配置为更新到预发布版本。 可以选择以下预发布版本列表：

  • Beta 版频道
  • 开发人员频道
  • Windows 预览体验成员 - 版本预览

  有关预发行版本的详细信息，请参阅 Windows 预览体验成员 网站。

• 分配了为 Windows 10 及更高版本更新通道策略的设备将不会在 Autopilot 期间更改 ManagePreviewBuilds 设置。 当此设置在 Autopilot 期间更改时，会强制重新启动另一台设备。

使用适用于 Windows 10 和更高版本的更新通道升级到 Windows 11

Windows 10 及更高版本更新 Ring 有一个新设置。 此设置可将符合条件的设备从Windows 10升级到Windows 11：

• 将Windows 10设备升级到最新Windows 11版本：默认情况下，此设置设置为“否”。 如果设置为“是”，则接收此策略的合格Windows 10设备更新为最新版本的Windows 11。

  设置为“是”时，Intune将显示一个信息框，确认通过部署此设置，即表示你接受升级设备的 Microsoft 许可条款。 信息框还包含 Microsoft 许可条款的链接。

有关更新通道的详细信息，请参阅适用于 Windows 10 和更高版本的更新通道。

已从 UI 中删除适用于 iOS/iPadOS 的禁用激活锁定远程设备操作

Intune 中不再提供禁用激活锁定的远程设备操作。 可以绕过激活锁定，详情请见使用 Intune 在受监督的 iOS/iPadOS 设备上禁用激活锁定。

此远程操作已被删除，因为禁用 iOS/iPadOS 激活锁定功能的操作未按预期工作。

安全基线汇报

我们有一对针对安全基线的更新，其中添加了以下设置：

• Windows 10 及更高版本的安全基线（适用于 Windows 10 和 Windows 11）新的基线版本为 2021 年 11 月，并将 Microsoft 浏览器中使用的扫描脚本添加到了 Microsoft Defender 类别。 此基线没有其他更改。

• Windows 365 安全基线（预览版）新的基线版本为版本 2110 并添加以下两个设置，而不进行其他更改：

  • 已将 Microsoft 浏览器中使用的扫描脚本添加到 Microsoft Defender 类别。
  • 已将启用篡改保护以防止 Microsoft Defender 被禁用添加到 Windows Security，这是使用此基线版本添加的新类别。

计划更新基线至最新版本。 若要了解各版本之间的更改，请参阅 比较基线版本以了解如何导出介绍这些更改的 .CSV 文件。

为 Windows 10/11 设备（公共预览版）使用设备符合性的自定义设置

作为公共预览版，适用于 Windows 10 和 Windows 11 设备的设备符合性策略支持向设备符合性策略添加自定义设置。 自定义设置的结果将与其他合规性策略详细信息一起显示在 Microsoft Intune 管理中心。

若要使用自定义设置，请创建以下内容并将其添加到管理中心以支持自定义合规性设置：

• JSON 文件–JSON 文件详细介绍了自定义设置及其符合性值。 JSON 还包括你向用户提供的信息，了解如何在不符合时修正设置。
• PowerShell 脚本–PowerShell 脚本将部署到运行该脚本的设备，以确定 JSON 文件中定义的设置的状态，并将其报告回 Intune。

JSON 和脚本准备就绪后，可以创建包含自定义设置的标准符合性策略。 包含自定义设置的选项位于名为自定义合规性的新合规性设置类别中。

若要了解详细信息，包括 JSON 和 PowerShell 脚本的示例，请参阅自定义合规性设置。

适用于 Windows 10 及更高版本的功能更新的新计划选项

我们添加了三个推出选项，以支持改进计划，当Windows 10及更高版本的功能更新策略可供设备安装时。 这些新选项包括：

• 尽快提供更新 - 提供更新没有延迟，这是之前的行为。
• 在特定日期提供更新 - 使用此选项后，你将选择Windows 更新向接收此策略的设备提供此更新的第一天。
• 使更新逐渐可用 - 使用此选项，Windows 更新将接收此策略的设备划分为不同的组，这些组根据开始组时间、结束组时间和在组之间等待的天数进行计算。 然后，Windows 更新会一次向这些组提供更新，直到最后一个组。 此过程有助于在已配置的时间内分配更新的可用性。 与同时向所有设备提供更新相比，它可以减少对网络的影响。

有关详细信息（包括逐步可用性），请参阅 Windows 更新的推出选项。

Microsoft Intune管理中心中提供的 Windows 设备的新详细信息

Windows 10和Windows 11设备的以下详细信息现已收集，可以在Microsoft Intune管理中心的设备详细信息窗格中查看：

• 系统管理 BIOS 版本
• TPM 制造商版本
• TPM 制造商 ID

从“所有设备”窗格导出详细信息时，也会包含这些详细信息。

共享 iPad 的设置现已正式发布

四个共享 iPad 设置现已处于预览状态，在创建 Apple 注册配置文件时已正式发布。 这些设置在自动设备注册 (ADE) 期间应用。

适用于 iPadOS 14.5 及更高版本的共享 iPad 模式:

• 仅要求共用的 iPad 临时设置: 将设备配置为只允许用户查看登录体验的来宾版本，且必须以来宾用户身份登录。 他们无法使用托管的 Apple ID 登录。
• 临时会话注销之前处于非活动状态的最长秒数: 如果指定时间后没有任何活动，则临时会话会自动注销。
• 在用户会话注销之前处于非活动状态的最长秒数: 如果指定时间后没有任何活动，则用户会话会自动注销。

适用于 iPadOS 13.0 及更高版本的共享 iPad 模式:

• 在共享 iPad 需要密码之前屏幕锁定后的最长秒数:如果屏幕锁定超过此时间，则需要设备密码才能解锁设备。

有关在共享 iPad 模式下设置设备的详细信息，请参阅创建 Apple 注册配置文件。

复制设置目录配置文件

设置目录配置文件现在支持重复。 若要创建现有配置文件的副本，请选择“ 复制”。 副本包含与原始配置文件相同的设置配置和范围标记，但未附加任何分配。 若要详细了解设置目录，请参阅使用设置目录在 Windows 和 macOS 设备上配置设置。

随时随地工作报表

随时随地工作 报告已替换 终结点分析 中 建议的软件 报告。 随时随地工作 报告包含 Windows、云管理、云标识和云预配的指标。 有关详细信息，请参阅 随时随地工作报表 一文。

已弃用 Android 设备管理员的位置

2021 年 10 月，已弃用对注册为 Android 设备管理员的设备在设备合规性策略中使用位置的支持。 使用位置通常称为网络围栏。

对于 Android 设备管理员，依赖于网络围栏功能的策略和依赖关系将不再起作用。 如前所述，我们正在重新设想对网络隔离的支持。 更多信息将在可用时共享。

设备安全性

查看租户附加设备的 BitLocker 恢复密钥

现在可以在 Microsoft Intune 管理中心查看租户附加设备的 BitLocker 恢复密钥。 恢复密钥继续存储在本地以供租户连接的设备使用，但管理中心的可见性旨在从管理中心内帮助支持人员方案。

若要查看密钥，Intune 帐户必须具有 Intune RBAC 权限才能查看 BitLocker 密钥，并且必须与具有集合角色配置服务器相关本地权限的本地用户关联，需要 Read BitLocker 恢复密钥权限。

具有正确权限的用户可以通过转到设备>Windows 设备>选择设备>恢复密钥。

运行版本 2107 或更高版本Configuration Manager站点支持此功能。 对于运行版本 2107 的站点，需要安装更新汇总以支持已加入Microsoft Entra设备。 有关详细信息，请参阅 KB11121541。

BitLocker 设置已添加到设置目录

我们向 Microsoft Intune 设置目录添加了 9 个以前仅在组策略 (GP) 中可用的 BitLocker 设置。 若要访问设置，请转到“设备配置”>，并为运行 Windows 10 及更高版本的设备创建设置目录配置文件。 然后在设置目录中搜索 BitLocker 以查看与 BitLocker 相关的所有设置。 有关设置目录的详细信息，请参阅使用设置目录创建策略。 添加的设置包括：

• 为组织提供唯一标识符
• 强制固定数据驱动器上的驱动器加密类型
• 允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN
• 允许增强型启动 PIN
• 不允许标准用户更改 PIN 或密码
• 启用 BitLocker 身份验证，要求盖板上的预启动键盘输入
• 强制操作系统驱动器上的驱动器加密类型
• 控制在可移除驱动器上对 BitLocker 的使用
• 强制可移除数据驱动器上的驱动器加密类型

使用 Defender for Endpoint 进行安全管理 (公共预览版)

此功能以公共预览版提供，并将在未来几周内逐步向租户推出。 当Microsoft Intune管理中心和Microsoft Defender for Endpoint中显示相关切换时，可以确认租户已收到此功能。

使用 Microsoft Defender for Endpoint 进行安全管理是一个新的配置通道。 使用此通道管理未注册到 Microsoft Intune 的设备上的Microsoft Defender for Endpoint (MDE) 的安全配置。 在此方案中，设备上的 Defender for Endpoint 检索、强制实施和报告从 Microsoft Intune部署的 Defender for Endpoint 策略。 这些设备已加入Microsoft Entra ID，并且与使用 Intune 和 Configuration Manager 管理的其他设备一起显示在 Microsoft Intune 管理中心中。

有关详细信息，请参阅使用Microsoft Intune管理设备上的Microsoft Defender for Endpoint。

监视和疑难解答

远程帮助应用以公共预览版的形式提供

作为公共预览版，可以将 远程帮助 应用与Intune租户一起使用。 使用 远程帮助，直接向 Azure Active 进行身份验证的用户可以通过在设备之间连接远程帮助会话来远程协助他人。

使用由Intune基于角色的访问控制管理远程帮助中的权限，可以控制：

• 谁有权帮助他人
• 他们在帮助他人时可以执行的操作

远程帮助的功能包括：

• 为租户启用远程帮助 – 如果选择启用远程帮助，则会在租户范围内启用其使用。
• 需要组织登录 - 若要使用 远程帮助，帮助者和共享者都必须使用组织的 Microsoft Entra 帐户登录。
• 将远程帮助用于未注册的设备 - 可以选择允许向未注册Intune的设备提供帮助。
• 合规性警告 - 在连接到设备之前，如果设备不符合其分配的策略，帮助程序会看到有关该设备的不合规警告。 此警告不会阻止访问，但提供有关在会话期间使用敏感数据（如管理凭据）的风险的透明度。
• 基于角色的访问控制 – 管理员可以设置 RBAC 规则，以确定帮助者的访问权限范围，以及他们在提供帮助时可以执行的操作。
• 特权提升 - 如果需要，具有正确 RBAC 权限的帮助程序可以与共享者计算机上的 UAC 提示进行交互以输入凭据。
• 监视活动远程帮助会话，并查看有关过去会话的详细信息 - 在Microsoft Intune管理中心，可以查看报告，其中包括有关谁帮助谁、在什么设备上帮助以及帮助时间长等详细信息。 你还将找到有关活动会话的详细信息。

此功能将在下周推出，应很快可供租户使用。 有关详细信息，请参阅使用远程帮助。

MDM 支持在组策略分析工具中自动刷新的数据

现在，每当 Microsoft 对 Intune 中的映射更改时，GP 分析工具中的 MDM 支持列都会自动更新以反映更改。 自动化比之前的行为有所改进，需要重新导入组策略对象 (GPO) 以刷新数据。 有关组策略分析的详细信息，请参阅使用组策略分析。

2021 年 10 月

应用管理

使用应用保护策略管理 iOS/iPadOS 通用链接

可以通过应用程序保护策略 (APP) 设置为 iOS/IPadOS 应用配置托管通用链接和通用链接豁免。 托管通用链接允许 http/s 链接打开到已注册的 APP 保护应用程序，而不是受保护的浏览器。 通用链接豁免允许 http/s 链接打开到已注册的未受保护应用程序，而不是受保护的浏览器。 更多相关信息，请参阅 数据传输 和 通用链接。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

• Appian 公司推出的 Appian for Intune
• SpaceConnect Pty Ltd 提供的空间连接
• 对齐排列的 AssetScan for Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

Android 个人拥有和公司拥有的工作配置文件的已连接应用支持

现在，可以允许用户为受支持的应用启用连接应用体验。 此应用配置设置使用户能够跨工作和个人应用实例连接应用信息。 在“Microsoft Intune管理中心”中，选择“应用>”“应用配置策略>”“添加>托管设备”。 有关详细信息，请参阅 为受管理的 Android Enterprise 设备添加应用配置策略。

改进了在 Android 公司门户应用中保存日志时的流

在 Android 公司门户应用中，当用户下载 Android 公司门户日志的副本时，他们现在能够选择将日志将保存在哪个文件夹中。 若要保存 Android 公司门户日志，用户可以选择 设置>诊断日志>保存日志。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

• Branchfire, Inc. 的 iAnnotate for Intune/O365
• 智能自动化国际 Pty 有限公司的 Intune 仪表盘
• Wonderush 有限公司的 HowNow

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备注册

用户分配

上周，我们对 Autopilot 用户注册期间的认证体验进行了更改。 此更改会影响在完成注册之前将用户分配到特定设备的所有 Autopilot 部署。

一次性自我部署和预配

我们对 Windows Autopilot 自部署模式和预配模式体验进行了更改，在设备重新使用过程中添加了删除设备记录的步骤。 此更改会影响 Autopilot 配置文件设置为自我部署或预预配模式的所有 Windows Autopilot 部署。 此更改仅在设备重新使用或重置并尝试重新部署时影响设备。 更多相关信息，请参阅 更新到 Windows Autopilot 登录和部署体验。

设备管理

删除特定 Android Enterprise 设备上的 Wi-Fi MAC 地址

Intune将不再显示新注册的个人拥有的工作配置文件设备和由运行 Android 9 及更高版本的设备管理员管理的设备 Wi-Fi MAC 地址。 Google 要求所有应用程序在 2021 年 11 月之前以 API 30 为目标进行更新。 通过此更改，Android 可以阻止应用收集设备使用的 MAC 地址。 有关详细信息，请参阅 硬件设备详细信息。

使用功能更新将设备升级到 Windows 11

可以使用 Windows 10 及更高版本的功能更新 将满足 Windows 11 最低要求的设备升级到 Windows 11。 这一点与配置新的功能更新策略一样简单，该策略指定可用的 Windows 11 版本作为要部署的功能更新。

更多相关信息，请参阅 将设备升级到 Windows 11。

Windows 11 硬件准备情况见解

终结点分析 中的 从任意位置开始工作 报告现在提供 Windows 11 硬件准备情况 见解。 可以快速确定有多少已注册设备满足 Windows 11 的最低系统要求，以及哪些要求是组织内的主要障碍。 深入查看设备层面的 Windows 11 硬件准备状态。 更多相关信息，请参阅 Windows 11 硬件准备情况。

Microsoft Intune中的 Microsoft Surface 管理门户简介

鉴于我们持续致力于为商业客户提供最佳体验，我们与 Microsoft 团队合作，将 Surface 管理简化为Microsoft Intune内的单个视图。

如果你领导一个拥有数千台设备的大型组织，或者管理中小型企业的 IT，则可以深入了解所有 Surface 设备的运行状况。 在此门户中，还可以监视设备保修和支持请求。 Microsoft Surface 管理门户现在可供美国客户使用，稍后将在全球范围内推出。 有关 Microsoft Surface 和新管理门户的最新信息，请参阅 Surface IT Pro 博客。

阻止或允许适用于 Android Enterprise 公司拥有的工作配置文件设备的个人应用

在设备配置中，可以创建将在设备上阻止或允许的个人应用列表。 可以选择将该设置保留为未配置，或在个人配置文件中创建阻止或允许的应用列表。 此设置在 Microsoft Intune 管理中心中可用，方法是选择“设备>”“Android>配置文件>Create>”新建策略”。 有关 Android Enterprise 公司拥有的工作配置文件设备设置的信息，请参阅 Android Enterprise 设备设置，以允许或限制使用 Intune 的功能。

在 iOS/iPadOS 和 macOS 上配置 Kerberos 单一登录扩展时的新设置

在 iOS/iPadOS 和 macOS 设备上配置 Kerberos SSO 扩展时，有新的设备功能设置可用。 在Microsoft Intune管理中心，选择“设备>iOS/iPadOS 或 macOS>配置文件>”Create>“新策略>”选择“设备功能”，用于配置文件>单一登录应用扩展>Kerberos for SSO 应用扩展类型。 有关详细信息，请参阅 Intune 中的 iOS/iPadOS设备功能设置和 macOS 设备功能设置。

公共预览版中的四个新的共享 iPad 注册设置

Intune 中提供了四个新的共享 iPad 设置以供公共预览版使用。 这些设置在自动设备注册时应用。

适用于 iPadOS 14.5 及更高版本的共享 iPad 模式:
- 仅需要共享 iPad 临时设置：配置设备，以便用户仅看到登录体验的来宾版本，并且必须以来宾用户身份登录。 他们无法使用托管的 Apple ID 登录。 - 临时会话注销之前处于非活动状态的最大秒数：如果指定时间后没有任何活动，则临时会话会自动注销。- 用户会话注销之前处于非活动状态的最大秒数：如果指定时间后没有任何活动，则用户会话会自动注销。

适用于 iPadOS 13.0 及更高版本的共享 iPad 模式:
- 共享 iPad 需要密码之前屏幕锁定后的最大秒数：如果屏幕锁定超过此时间，则需要设备密码才能解锁设备。

介绍适用于企业设备的 Android (AOSP) 管理

可以使用Microsoft Intune来管理在 Android 开源项目 (AOSP) 平台上运行的公司拥有的设备。 Microsoft Intune目前仅支持 RealWear 设备的新 Android (AOSP) 管理选项。 管理功能包括：

• 将设备作为用户关联的设备或共享设备进行配置。
• 部署设备配置和合规性配置文件。

有关如何设置 Android (AOSP) 管理的更多信息，请参阅 注册 Android 设备。

设备安全性

MFA 改变了 Windows Autopilot 的注册流

为了提高Microsoft Entra ID的基线安全性，我们在设备注册期间更改了多重身份验证 (MFA) Microsoft Entra行为。 以前，如果用户在设备注册过程中完成了 MFA，则在注册完成后，MFA 声明会转到用户状态。 今后，注册后不会保留 MFA 声明，并且系统会提示用户针对任何需要按策略进行 MFA 的应用重做 MFA。 更多相关信息，请参阅 Windows Autopilot MFA 对注册流的更改。

管理 Windows 10 企业版多会话 VM 的 Windows 10 安全更新

当前可以使用 设置目录 以管理 Windows 企业版多会话 VM 的质量 (安全) 更新的 Windows 更新设置。 若要查找设置，可以在设置目录中对多会话 VM 使用：

1. 为 Windows 10 创建使用设置目录的设备配置策略，并为 企业多会话 配置设置筛选器。

2. 接下来，展开 适用于企业的 Windows 更新 类别，从可用于多会话 VM 的更新设置中进行选择。

设置包括:

• 活动小时数结束 - 请参阅 CSP： Update/ActiveHoursEnd
• 活动时间最大范围- 请参阅 CSP: Update/ActiveHoursMaxRange
• 活动时间开始 - 请参阅 CSP: Update/ActiveHoursStart
• 阻止“暂停更新”能力 - 请参阅 CSP: Update/SetDisablePauseUXAccess
• 配置截止宽限期 - 请参阅 CSP: Update/ConfigureDeadlineGracePeriod
• 延迟质量更新周期 (天) - 请参阅 CSP: Update/DeferQualityUpdatesPeriodInDays
• 暂停质量更新的开始时间 - 请参阅 CSP: Update/PauseQualityUpdatesStartTime
• 质量更新的最后期限 (天) - 请参阅 CSP: Update/ConfigureDeadlineForQualityUpdates

2021 年 9 月

应用管理

提供新应用类别是为了更好地以应用保护策略为目标

通过创建应用类别，我们改进了Microsoft Intune的用户体验，你可以使用这些类别来更轻松、更快速地针对应用保护策略。 这些类别是 所有公共应用、Microsoft 应用 和 Core Microsoft 应用。 创建定向应用保护策略后，可选择 查看将作为目标的应用列表，以查看将受此策略影响的应用列表。 由于对新应用的支持，我们将动态更新这些类别来适当地包含这些应用，并且你的策略将自动应用到所选类别中的所有应用。 如果需要，还可继续针对单个应用制定策略。 有关详细信息，请参阅 如何创建和分配应用保护策略 和 通过 Intune 创建和部署 Windows 信息保护 (WIP) 策略。

同步 iOS/iPadOS/macOS 公司门户版本

iOS/iPadOS 公司门户和 macOS 公司门户的版本将在下一个版本中同步到版本 5.2019。 今后，iOS/iPadOS 和 macOS 公司门户应用将具有相同的版本号。 有关详细信息，请参阅如何配置Intune 公司门户应用、公司门户网站和Intune应用。

设备配置

内置应用和文件浏览的新 iOS 设备限制设置

可以在 iOS 设备上配置两个新的设备限制设置 (设备>iOS/iPadOS>配置文件>Create>“新建策略”，然后在 Intune 中选择“配置文件) 的设备限制”。

• 阻止 Siri 进行翻译(内置应用): 禁用与 Siri 服务器的连接，使用户无法使用 Siri 翻译文本。 适用于 iOS 和 iPadOS 版本 15 及更高版本。
• 允许复制/粘贴受托管打开 (App Store、文档查看、游戏) 的影响：根据你在企业应用中配置了“阻止查看非托管应用中的公司文档”和“阻止查看非公司文档”的方式，强制实施复制/粘贴限制。

有关 Intune 中 iOS 设备限制配置文件的详细信息，请参阅 使用 Intune 允许或限制功能的 iOS 和 iPadOS 设备设置。

新的 macOS 设备限制设置阻止用户擦除设备上的所有内容和设置

有一个新的 macOS 设备限制设置可用 (设备>macOS>配置文件>Create“新建策略>”，>然后在 Intune 中选择“模板>”“配置文件) 的”设备限制”。

阻止用户擦除设备上的所有内容和设置(常规): 禁用受监督设备上的重置选项，使用户无法将其设备重置为出厂设置。

更多关于 Intune 中的 macOS 设备限制配置文件的信息，请参阅 macOS 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• macOS 版本 12 和更高版本

为 MacOS 提供新软件更新限制设置

配置 macOS 设备限制配置文件 (设备>macOS>配置文件>时，有五个新的软件更新设置可用Create“新建策略>”，>然后在 Intune 中选择“模板>”“配置文件) 的设备限制”。

• 延迟软件更新(常规): 阻止用户在延迟期后看到某些类型的新发布的更新。 延迟软件更新不会停止或更改计划的更新。 可以延迟的软件更新类型包括: 主要 OS 软件更新，次要 OS 软件更新，非 OS 软件更新 或三者的任意组合。
• 延迟软件更新的默认可见性(常规): 将所有软件更新的默认可见性延迟至多 90 天。 延迟期过后，更新将对用户开放。 此值优先于默认可见性值。 适用于 macOS 版本 10.13.4 及更高版本。
• 将主要 OS 软件更新的可见性延迟 (常规) ：将主要 OS 软件更新的可见性延迟长达 90 天。 延迟期过后，更新将对用户开放。 此值优先于默认可见性值。 适用于 macOS 版本 11.3 及更高版本。
• 延迟次要 OS 软件更新的可见性(常规): 将次要 OS 软件更新的可见性延迟至多 90 天。 延迟期过后，更新将对用户开放。 此值优先于默认可见性值。 适用于 macOS 版本 11.3 及更高版本。
• 延迟非 OS 软件更新的可见性(常规): 将非 OS 软件更新 (例如 Safari 更新) 的可见性延迟至多 90 天。 延迟期过后，更新将对用户开放。 此值优先于默认可见性值。 适用于 macOS 版本 11.0 及更高版本。

更多关于 Intune 中的 macOS 设备限制配置文件的信息，请参阅 macOS 设备设置，以允许或限制使用 Intune 的功能。

Android Enterprise 的新设备限制设置: 开发人员设置

Android Enterprise 设备 (AndroidEnterprise>Configuration 配置文件>有一个新的设备>限制设置Create>在 Intune 中为配置文件) 选择“设备限制”。

• 开发人员设置：设置为 “允许”时，用户可以访问其设备上的开发人员设置。 默认情况下，它设置为 未配置。 适用于完全托管的、专用的和企业拥有的工作配置文件设备。

更多有关 Android Enterprise 设备限制配置文件的信息，请参阅 Android Enterprise 设备设置，以允许或限制使用 Intune 的功能。

新的设备限制设置阻止与配对的蓝牙设备共享工作配置文件联系人

企业拥有的工作配置文件设备的新设备限制设置可防止用户与配对的蓝牙设备（如汽车或移动设备）共享其工作配置文件联系人。 若要配置设置，请转到“设备>配置>Create>Android Enterprise for platform >Device restrictions for profile”。

• 设置名称： 通过蓝牙 (工作配置文件级别的联系人共享)
• 设置切换:
• 阻止: 阻止用户通过蓝牙共享工作配置文件联系人。
• 未配置：不对设备强制实施任何限制，因此用户可以通过蓝牙共享其工作配置文件联系人。

设备管理

Intune 现在支持 iOS/iPadOS 13 及更高版本

Microsoft Intune (包括 Intune 公司门户和 Intune 应用保护策略) 现在需要 iOS/iPadOS 13 及更高版本。

Intune 现在支持 macOS 10.15 及更高版本

Intune 注册和公司门户现在支持 macOS 10.15 及更高版本。 不支持更早版本。

新的 Android 设备筛选选项

在 Intune 中 所有设备 列表中按 OS 筛选时，现在可以选择以下 Android 注册类型:

• Android（个人拥有的工作配置文件）
• Android (公司拥有的工作配置文件)
• Android (完全托管)
• Android (专用)
• Android (设备管理员)

在Microsoft Intune管理中心，选择“设备>所有设备”，并查看特定 Android 注册类型的 OS 列。 更多有关 Android 注册类型的信息，请参阅 Intune 报表。

策略集的“设置目录”策略

除了基于模板的配置文件之外，还可以将基于 设置目录 的配置文件添加到策略集中。 设置目录 是可配置的所有设置的列表。 若要在管理中心Microsoft Intune创建策略集，请选择“设备>策略集>Create>”。 有关详细信息，请参阅使用策略集对管理对象集合进行分组，以及使用设置目录在 Windows 和 macOS 设备上配置设置。

为 Android Enterprise 专用设备配置托管主屏幕登录设置

使用使用Microsoft Entra共享设备模式注册的 Android Enterprise 专用设备时，现在可以在设备配置中配置托管主屏幕登录设置。 不再需要使用应用程序配置来进行这些设置。 有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

使用功能更新将设备升级到 Windows 11

可以使用 Windows 10 及更高版本的功能更新 将满足 Windows 11 最低要求的设备升级到 Windows 11。 这一点与配置新的功能更新策略一样简单，该策略指定可用的 Windows 11 版本作为要部署的功能更新。

对 Windows 设备使用收集诊断的远程操作作为批量设备操作

我们已将“收集诊断远程操作”添加为可为 Windows 设备运行的批量设备操作。 作为 Windows 设备的 批量设备操作，使用 收集诊断 一次从最多 25 台设备收集 Windows 设备日志，而不中断设备用户。

支持在 Android Enterprise 专用设备上定位设备远程操作

可以使用 定位设备 远程操作获取联机丢失或被盗的 Android Enterprise 专用设备的当前位置。 如果尝试查找当前处于非联机状态的设备，则会看到其最后一个已知位置，但前提是该设备在过去七天内能够使用Intune检查。

更多相关信息，请参阅 定位丢失或被盗设备。

Android Enterprise 专用设备支持重命名远程操作

现在可以在 Android Enterprise 专用设备上使用 重命名 远程操作。 可以单独和批量重命名设备。 使用批量重命名操作时，设备名称必须包含一个可添加随机数或设备序列号的变量。

有关详细信息，请参阅 在 Intune 中重命名设备

添加了新的Microsoft Entra设备 ID 和Intune设备 ID 搜索参数

在设备>中搜索设备时，现在可以通过Microsoft Entra设备 ID 或Intune设备 ID 进行搜索。 更多有关 Intune 中可用设备信息的列表，请参阅 使用 Microsoft Intune 查看设备详细信息。

设备安全性

租户附加: 终结点安全策略的设备状态

可以查看租户附加设备的终结点安全策略的状态。 可以为租户连接的客户端所有终结点安全策略类型访问 设备状态 页面。 更多相关信息，请参阅终结点安全策略类型的 设备状态。

配置服务器租户附加的攻击面减少配置文件

我们添加了两个终结点安全配置文件，用于攻击面减少策略，可用于通过Configuration Manager租户附加管理的设备。 这些配置文件以预览版提供，其管理的设置与用于Intune管理的设备的类似命名配置文件相同。 为 Windows 10 及更高版本 (ConfigMgr) 平台配置减少攻击面策略时，会发现这些新配置文件。

租户附加的新配置文件:

• 漏洞保护(ConfigMgr)(预览) - 漏洞保护有助于防止恶意软件利用漏洞感染设备和传播。 漏洞保护包含多种可应用于操作系统或单个应用的缓解措施。
• Web 保护 (ConfigMgr)(预览) - Microsoft Defender for Endpoint 中的 Web 保护使用网络保护来保护计算机免受网络威胁。 Web 保护在没有 Web 代理的情况下阻止 Web 威胁，并且可以在计算机离开或本地时保护它们。 Web 保护将停止访问网络钓鱼网站、恶意软件载体、攻击站点、不受信任或低信誉站点，以及自定义指示器列表中已阻止的站点。

扩展了对租户附加设备的Windows Defender安全中心的支持

我们更新了终结点安全防病毒策略中的Windows 安全中心体验 (预览) 配置文件，以支持使用Configuration Manager租户附加管理的设备进行更多设置。

以前，此配置文件仅限于为租户附加设备提供防篡改保护。 更新后的配置文件现在包括 Windows Defender 安全中心的设置。 可以 使用这些新设置 来管理已使用 Intune 托管设备的类似名称配置文件管理的租户附加设备的相同详细信息。

更多有关此配置文件的信息，请参阅 终结点安全反病毒策略。

Intune 应用

来自 iOS/iPadOS 公司门户应用的通知

现在，来自 iOS/iPadOS 公司门户应用的通知将使用默认的 Apple 声音传送到设备，而不是静默传送。 若要通过 iOS/iPadOS 公司门户应用关闭通知声音，请选择“设置”>“通知”>“公司门户”，然后选择“声音”切换开关。 有关详细信息，请参阅公司门户应用通知。

监视和疑难解答

专注于设备配置的组织报表

我们已发布新的 设备配置 组织报表。 此报表将替换在“设备>监视器”下的“Microsoft Intune管理中心”中找到的现有分配状态报告。 使用 设备配置 报表可以生成租户中设备处于成功、错误、冲突或不适用状态的配置文件列表。 可以使用配置文件类型、操作系统和状态筛选器。 返回的结果将提供搜索、排序、筛选、分页和导出功能。 除了设备配置详细信息外，此报告还将提供资源访问详细信息，以及新的“设置目录”配置文件详细信息。 有关详细信息，请参阅Intune报表。

更新了 Microsoft Intune 管理中心中的支持体验

适用于Intune和共同管理支持流，我们更新了Microsoft Intune管理中心中改进的支持体验。 新体验可指导你对特定问题的疑难解答见解和基于 Web 的解决方案进行了解，以便更快地解决问题。

若要了解有关此更改的详细信息，请参阅 支持博客文章。

安全措施保留现在在功能更新失败报告中可见

当设备由于安全保留而被阻止安装 Windows 更新时，可以在Microsoft Intune管理中心>功能更新失败报告中查看有关该保留的详细信息。

具有安全措施保留的设备在报告中显示为出现错误的设备。 查看此类设备的详细信息时，警报信息 列显示 安全措施保留，而 部署错误代码 列显示安全措施保留的 ID。

当已知设备上检测到某些内容会导致更新后体验不佳时，Microsoft 偶尔会设置保护措施来阻止在设备上安装更新。 例如，软件或驱动程序是实施安全措施保留的常见原因。 在解决基础问题且可以安全地安装更新之前，该保留一直有效。

若要了解更多关于有效安全措施保留及其解决方法期望的信息，请转到 https://aka.ms/WindowsReleaseHealth 上的 windows 版本运行状况仪表板。

更新到分配失败的操作报告

安全基线 和终结点安全配置文件已添加到现有 分配失败 报告中。 使用 策略类型 列对配置文件类型进行区分，并且能够进行筛选。 已对报告应用基于角色的访问控制 (RBAC) 权限，以筛选管理员可以看到的策略集。 这些 RBAC 权限包括安全基线权限、设备配置权限和设备合规性策略权限。 报表显示给定配置文件处于错误和冲突状态的设备数。 可以向下钻取到这些设备或用户的详细列表，以及设置详细信息。 可以通过选择“设备>监视器”或“终结点安全>监视器”，在管理中心Microsoft Intune找到分配失败报告。 更多相关信息，请参阅 分配失败报告 (操作)。

2021 年 8 月

Windows 365 现已正式发布

Windows 365 是 Microsoft 提供的一项新服务，可为最终用户自动创建云电脑。 云电脑是一种新的混合个人计算类别，它利用云和访问设备的强大功能来提供完整且个性化的 Windows 虚拟机。 管理员可以使用Microsoft Intune来定义为每个用户的云电脑预配的配置和应用程序。 最终用户可以从任意设备和任何位置访问他们的云电脑。 Windows 365将最终用户的云电脑和数据存储在云中，而不是存储在设备上，从而提供安全体验。

有关 Windows 365 的详细信息，请参阅 Windows 365。

有关如何在组织中管理 Windows 365 的文档，请参阅 Windows 365 文档。

应用管理

设备筛选器评估报表现在包含已分配应用的筛选结果

如果使用筛选器将应用分配为可用，现在可以在设备上使用筛选器评估报告来确定应用是否已可供安装。 可以看到每个设备的此报告，在 “设备 > ”“所有设备” > 下，选择“设备 > 筛选器评估 (预览) ”。

• 有关筛选器的详细信息，请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。
• 有关筛选器报表的详细信息，请参阅在 Microsoft Intune 中筛选报表和故障排除。

应用于：

• Android 设备管理员
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

对条件启动策略的另一个 Android SafetyNet 评估类型支持

条件启动现在支持 SafetyNet 设备证明的子设置。 如果选择条件启动所需的 SafetyNet 设备证明 ，则可以指定使用特定的 SafetyNet 评估类型。 此评估类型是硬件支持的密钥。 作为评估类型的现有硬件支持的密钥将指示设备的更高完整性。 如果不支持硬件支持的密钥的设备是此设置的目标，则 MAM 策略将阻止这些设备。 有关 SafetyNet 评估和硬件支持的密钥支持的详细信息，请参阅 Android 开发人员文档中的 评估类型。 有关 Android 条件启动设置的详细信息，请参阅条件启动。

更新为 iOS 和 Android 设备的 Outlook S/MIME 设置

使用托管应用选项时，现在可以在 iOS 和 Android 设备上启用 Outlook S/MIME 设置来始终签名和/或始终加密。 使用托管应用时，可以通过选择“应用>应用配置策略”，在管理中心Microsoft Intune找到此设置。 此外，还可以为托管应用和托管设备在 iOS 和 Android 设备上为 Outlook S/MIME 添加 LDAP（轻型目录访问协议）URL。 有关详细信息，请参阅适用于Microsoft Intune的应用配置策略。

托管 Google Play 应用的范围标记

范围标记确定了具有特定权限的管理员可以在 Intune 中查看哪些对象。 Intune 中大多数新创建的项会接受创建者的范围标记。 此方案不适用于托管的 Google Play 应用商店应用。 现在，你能够在“托管 Google Play 连接器”窗格上选择性地分配要应用于新同步的所有托管 Google Play 应用的作用域标记。 所选范围标记仅适用于新的托管 Google Play 应用，而不适用于租户中已批准的托管 Google Play 应用。 有关详细信息，请参阅使用Intune将托管 Google Play 应用添加到 Android Enterprise 设备和使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。

macOS LOB 应用的内容将显示在 Intune 中

Intune 现在可以在控制台中显示 macOS LOB 应用（.intunemac 文件）的内容。 可以在 Intune 控制台中查看和编辑在添加 macOS LOB 应用时从 .intunemac 文件捕获的应用检测详细信息。 上传 PKG 文件时，将自动创建检测规则。 在Microsoft Intune管理中心，选择“应用>所有应用>添加”。 通过选择业务线应用类型和包含.intunemac文件的应用包文件继续。 有关详细信息，请参阅如何将 macOS 业务线 (LOB) 应用添加到 Microsoft Intune。

应用管理

适用于 macOS 设备的 Intune 公司门户现已成为通用应用

下载适用于 macOS 设备版本 2.18.2107 及更高版本的 Intune 公司门户时，会安装在 Apple Silicon Mac 上以本机方式运行的该应用的新通用版本。 同一应用在 Intel Mac 计算机上安装该应用的 x64 版本。 有关详细信息，请参阅为 macOS 应用添加公司门户。

设备配置

新版 Microsoft Intune 证书连接器

我们发布了适用于 Microsoft Intune 的证书连接器的新版本，版本 6.2108.18.0。 此更新包括:

• 修复方法，用于在管理中心Microsoft Intune正确显示当前连接器状态。
• 正确报告 SCEP 证书传递失败的修补程序。

有关证书连接器的详细信息，包括连接器版本和更新的列表，请参阅 Microsoft Intune 证书连接器。

在 Windows 10/11 设备上的 DFCI 配置文件上使用筛选器

在Intune中，可以根据不同的属性创建筛选器以目标设备。 (DFCI) 配置文件创建设备固件配置接口时，可以在分配配置文件时使用筛选器。

• 有关筛选器的详细信息，请参阅分配应用、策略和配置文件时使用筛选器。
• 有关 DFCI 配置文件的详细信息，请参阅在 Windows 设备上使用设备固件配置接口配置文件。

应用于：

• 受支持的 UEFI 上的 Windows 11
• 支持 UEFI 上的 Windows 10 RS5 (1809) 及更高版本

macOS 设备上自定义设备配置文件的新部署通道设置

为 macOS 设备创建自定义设备限制策略时， (设备>配置>Create>macOS 平台>模板>自定义配置文件) 提供新的部署通道设置。

使用 部署通道 设置将配置文件部署到用户通道或设备通道。 如果将配置文件发送到错误通道，则部署可能会失败。 有关在设备配置文件或用户配置文件中使用有效负载的详细信息，请参阅特定于配置文件的有效负载密钥（打开 Apple 开发人员网站）。

有关 Intune 中自定义 macOS 配置文件的更多信息，请参阅使用 macOS 设备的自定义设置。

应用于：

• macOS

使用 Wi-Fi iOS/iPadOS 14.5 及更高版本的配置文件设置来使用 Wi-Fi 网络设置

为 iOS/iPadOS 设备创建设备限制策略时， (设备>配置>Create>iOS/iPadOS 平台>设备限制配置文件) 有一个新设置可用：

• 要求设备使用通过配置文件设置的 Wi-Fi 网络：设置为“是”可以要求设备只使用通过配置文件设置的 Wi-Fi 网络。

若要查看当前可配置的设置，请转到 使用 Intune 允许或限制功能的 iOS 和 iPadOS 设备设置。

应用于：

• iOS/iPadOS 14.5 及更高版本

新的 macOS 设备配置文件设置，并更改为 iOS/iPadOS 设置名称

可以在 macOS 10.13 设备上配置新设置，以及更新 (设备>配置>Create>macOS 平台>模板>配置文件类型的设备限制) ：

• 阻止添加 Game Center 好友（App Store、文档查看和游戏）：阻止用户向 Game Center 添加好友。
• 阻止 Game Center（App Store、文档查看和游戏）：禁用 Game Center，Game Center 图标从主屏幕中删除。
• 阻止 Game Center 中的多玩家游戏（App Store、文档查看和游戏）：使用 Game Center 时阻止多玩家游戏。
• 阻止修改墙纸（常规）：阻止更改墙纸。

若要查看当前可配置的设置，请转到便于允许或限制功能的 macOS 设备设置。

此外，iOS/iPadOS 阻止多人游戏设置名称正在游戏中心 (设备>配置中更改为“阻止多人游戏Create>>iOS/iPadOS 平台>配置文件类型的设备限制) 。

有关此设置的详细信息，请转到便于允许或限制功能的 iOS 和 iPadOS 设备设置。

应用于：

• iOS/iPadOS
• macOS 10.13 及更高版本

更多 iOS/iPadOS 主屏幕布局网格大小选项

在 iOS/iPadOS 设备上，可以在主屏幕上配置网格大小， (设备>配置>Create>iOS/iPadOS 平台>设备功能，用于配置文件>主屏幕布局) 。 例如，可以将网格大小设置为 4 列 x 5 行。

网格大小将有更多选项：

• 4 列 x 5 行
• 4 列 x 6 行
• 5 列 x 6 行

若要查看当前可配置的主屏幕布局设置，请转到用于在 Intune 中使用常见 iOS/iPadOS 功能的设备设置。

应用于：

• iOS/iPadOS

将证书服务器名称添加到具有工作配置文件的 Android Enterprise 个人拥有的设备上的企业 Wi-Fi 配置文件中

在 Android 设备上，可以将基于证书的身份验证用于个人设备上的 Wi-Fi 网络，其工作配置文件 (设备>配置>Create>Android Enterprise for platform >Personally owned work profile>Wi-Fi) 。

使用“企业”Wi-Fi 类型，并选择“EAP 类型”时，有一个新的“证书服务器名称”设置。 使用此设置添加证书使用的证书服务器域名列表。 例如，输入 srv.contoso.com。

在 Android 11 及更高版本的设备上，如果使用“企业”Wi-Fi 类型，则必须添加证书服务器名称。 如果不添加证书服务器名称，用户将遇到连接问题。

有关可在 Android Enterprise 设备上配置的 Wi-Fi 设置详细信息，请参阅在 Microsoft Intune 中添加适用于 Android Enterprise专用设备和完全托管设备的 Wi-Fi 设置。

应用于：

• 带工作配置文件的 Android Enterprise 个人拥有的设备

设备注册

使用 Apple 设置助理的新式身份验证方法已不再处于预览版状态，可用于自动设备注册

Apple 设置助理的新式身份验证方法现已不再处于预览版状态，已正式发布并可用于自动执行设备注册。

有关如何在 iOS/iPadOS 设备上使用此身份验证方法的信息，请参阅 使用 Apple 自动设备注册自动注册 iOS/iPadOS 设备。

有关如何在 macOS 设备上使用此身份验证方法的信息，请参阅 自动向 Apple Business Manager 或 Apple School Manager 注册 macOS 设备。

设备管理

每个设备评分的终结点分析

为了帮助你识别可能影响用户体验的设备， 终结点分析 显示每个设备的一些分数。 在向支持人员拨打电话之前，查看每个设备的分数可能有助于查找并解决最终用户问题。 可以按每个设备的终结点分析、启动性能和应用程序可靠性分数显示和排序。 有关详细信息，请参阅按设备评分。

将 Windows Hello 企业版添加到 Windows 10 诊断

我们已将Windows Hello 企业版操作事件查看器中的信息添加到为Windows 10设备诊断收集的数据。 请参阅收集的数据。

设备安全性

更改为 macOS 上 Microsoft Defender for Endpoint 的设置目录中的设置

我们已向Intune设置目录添加了八个新设置，用于管理 macOS 上的Microsoft Defender for Endpoint。

可以在设置目录中的以下四个类别下找到新设置。 有关这些设置的信息，请参阅 Mac 上的 Microsoft Defender for Endpoint文档中的 在 macOS 上设置 Microsoft Defender for Endpoint 的首选项。

• Microsoft Defender - 防病毒引擎:

  • 不允许的威胁操作
  • 排除项合并
  • 扫描历史记录大小
  • 扫描结果保留期
  • 威胁类型合并

• Microsoft Defender - 云提供的保护首选项:

  • 自动安全智能更新

• Microsoft Defender - 用户界面首选项:

  • 用户启动的反馈

• Microsoft Defender - 网络保护 - 此类别是目录中Microsoft Defender for Endpoint的新类别：

  • 强制级别

确认隧道网关服务器可以从Microsoft Intune管理中心内访问内部网络

我们已将功能添加到 Microsoft Intune 管理中心，以确认隧道网关服务器可以访问内部网络，而无需有人直接访问服务器。 若要启用此功能，需在每个 Tunnel 网关站点的属性中配置名为“内部网络访问 URL”的新选项检查。

将 URL 从内部网络添加到 Tunnel 网关站点后，该站点中的每个服务器会定期尝试访问该 URL，然后报告结果。

此内部网络访问检查的状态在服务器的“运行状况检查”选项卡上报告为“内部网络可访问性”。此检查的状态值包括：

• 正常 - 服务器可以访问站点属性中指定的 URL。
• 不正常 - 服务器无法访问站点属性中指定的 URL。
• 未知 - 如果尚未在站点属性中设置 URL，则会显示此状态，该状态对站点的总体状态没有影响。

服务器需要升级到最新版本的 Tunnel 网关服务器软件，才能使此功能正常运行。

适用于 Android Enterprise 个人拥有的工作配置文件的 SafetyNet 硬件支持的密钥证明的符合性设置

我们为 Android Enterprise 个人拥有的工作配置文件设备添加了新的设备符合性设置，即[所需的 SafetyNet 评估类型] (。/protect/compliance-policy-create-android-for-work.md#google-play-protect---for-personally owned-work-profile) 。 将“SafetyNet 设备证明”配置为“检查基本完整性”或“检查基本完整性和认证设备”后，此新设置可供使用。 新设置:

所需的 SafetyNet 评估类型：

• 未配置 (默认为基本评估) – 此设置为默认设置。
• 硬件支持的密钥 - 要求硬件支持的密钥证明用于 SafetyNet 评估。 不支持硬件支持的密钥证明的设备被标记为不合规。

有关 SafetyNet 以及哪些设备支持硬件支持的密钥证明的详细信息，请参阅 Android SafetyNet 文档中的 评估类型。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• cBrain A/S 的 F2 Touch Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

在 Windows 客户端设备上使用组策略分析时，导出 GPO XML 文件大小增加到 4 MB

在Microsoft Intune中，可以使用组策略分析来分析本地 GPO，并确定 GPO 在云中的转换方式。 若要使用此功能，需要将 GPO 导出为 XML 文件。 XML 文件大小已从 750 KB 增加到 4 MB。

有关使用组策略分析的详细信息，请参阅在 Microsoft Intune 中使用组策略分析 (GPO) 分析本地组策略对象。

应用于：

• Windows 11
• Windows 10

已更新设备配置报告

所有设备配置和终结点安全配置文件现在已合并到一个报表中。 你可以在包含已改进数据的新报表中查看应用于设备的所有策略。 例如，可以在新的“策略类型”字段中看到配置文件类型之间的区别。 此外，选择策略将提供有关应用于设备的设置和设备状态的更多详细信息。 已应用基于角色的访问控制 (RBAC) 权限，以根据权限筛选配置文件列表。 在Intune管理中心，你将选择“设备>”“所有设备>>”选择设备“”设备配置“，以查看此报告（如果可用）。 若要了解详细信息，请参阅 Microsof Intune 报表。

Intune 防病毒报告的新详细信息

我们已将两个新详细信息列添加到 Windows 10 不正常终结点报表和防病毒代理状态报表中。

新详细信息包括:

• MDE 载入状态 - (HealthState/OnboardingState) 标识设备上是否存在 Microsoft Defender for Endpoint 代理。
• MDE 感知运行状态 - (HealthState/SenseIsRunning) 报告设备上 Microsoft Defender for Endpoint 运行状况传感器的操作状态。

有关这些设置的详细信息，请参阅 WindowsAdvancedThreatProtection CSP。

自定义 Microsoft Tunnel 网关服务器的运行状况阈值

你现在可以自定义阈值，用来确定 Microsoft Tunnel 网关的多个指标的运行状况。

运行状况状态指标具有默认值，用于确定状态报告为 “正常”、“ 警告”还是 “不正常”。 当你自定义指标时，需要更改指标状态的性能要求。 可以自定义以下指标：

• CPU 使用率
• 内存使用率
• 磁盘空间使用情况
• 延迟

当你更改阈值后，更改将应用于租户中的所有 Tunnel 服务器。 此外，你还可以选择一个选项来将所有指标重置为其默认值。

更新阈值后，“运行状况检查”选项卡中的值将自动更新，以反映基于更新阈值的状态。

查看 Microsoft Tunnel Gateway 服务器的运行状况趋势

你能够以图表形式针对多个 Microsoft Tunnel 网关运行状况指标查看运行状况趋势。 运行状况趋势图表可用于从“运行状况”页中选择的各个服务器。

支持趋势图表的指标包括：

• Connections
• CPU 使用率
• 磁盘空间使用情况
• 内存使用率
• 平均延迟
• 吞吐量

2021 年 7 月

设备配置

改进了对注册为适用于企业的共享 iPad 的 iPadOS 设备的支持（公共预览版）

我们已为适用于企业的共享 iPad 添加了对用户分配的设备配置策略的支持。

通过这一更改，当分配的用户组中的用户在设备上处于活动状态时，系统会将主屏幕布局以及分配给用户组的大多数设备限制等设置应用于共享 iPad 设备

Microsoft Intune 的证书连接器合并了单独的证书连接器

我们发布了适用于 Microsoft Intune 的证书连接器。 此新连接器将代替适用于 SCEP 和 PKCS 的单独证书连接器的使用，并包括以下功能：

• 配置该连接器的每个实例以支持一个或多个以下功能：
  • SCEP
  • PKCS
  • PFX 导入的证书
  • 证书吊销
• 对连接器服务使用普通的 Active Directory 帐户或系统帐户。
• 根据租户位置，选择“政府”和“商业环境”。
• 无需为 SCEP 与 NDES 集成选择客户端证书。
• 自动更新至连接器的最新版本。 还支持手动更新此连接器。
• 改进了日志记录。

先前的连接器仍受支持，但不再可供下载。 如果需要安装新连接器或重新安装连接器，请安装新的 Microsoft Intune 证书连接器。

Windows Autopilot 诊断页（公共预览版）

“注册状态”页上的可用设置从“允许用户收集与安装错误有关的日志”更新为了“为最终用户打开日志收集和诊断页”，以支持 Windows 11 中提供的 Windows Autopilot 诊断页。 有关详细信息，请参阅 Windows Autopilot 中的新增功能。

设备管理

使用筛选器在 Intune 管理中心 （公共预览版）中分配 Windows 客户端更新通道

在Intune管理中心，可以创建筛选器，然后在分配应用和策略时使用这些筛选器。

分配 Windows 客户端更新环策略时，可以使用筛选器（设备>Windows>Windows 10更新通道）。 可以基于设备属性（如 OS 版本、设备制造商等）筛选用于获取更行通道策略的设备。 创建筛选器后，可在分配软件更新策略时使用筛选器。

• 有关筛选器的详细信息，请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。
• 有关 Windows 10 更新通道策略的详细信息，请参阅 Intune 中的 Windows 10 更新通道策略。

应用于：

• Windows 11
• Windows 10

“收集诊断信息”这一远程操作已转移到正式发布

使用“收集诊断信息”这一远程操作，可以从公司设备收集诊断信息，无需中断或等待最终用户操作。 收集的诊断信息将包括 MDM、Autopilot、事件查看器、注册表项、Configuration Manager 客户端、网络和其他关键的疑难解答日志。 有关详细信息，请参阅从 Windows 设备收集诊断。

Microsoft HoloLens 中现已正式推出 Autopilot 支持

有关详细信息，请参阅适用于 HoloLens 2 的 Windows Autopilot。

设备安全性

随时随地工作报表

终结点分析有一个名为“随时随地工作”的新报表。 随时随地工作 报表是 推荐软件 报表的演变。 新报表包含 Windows 10、云管理、云标识和云预配的指标。 有关详细信息，请参阅 随时随地工作报表 一文。

对 macOS 上的 Microsoft Defender for Endpoint 的设置目录支持

我们已将用于在 macOS 上管理Microsoft Defender for Endpoint的设置添加到Intune设置目录，以在 macOS 上配置Microsoft Defender for Endpoint。

可以在设置目录中的以下四个类别下找到新设置。 有关这些设置的信息，请参阅“Mac 上的 Microsoft Defender for Endpoint”文档中的在 macOS 上设置 Microsoft Defender for Endpoint 的首选项。

Microsoft Defender - 防病毒引擎:

• 允许的威胁
• 启用被动模式
• 启用实时保护
• 扫描排除项
• 威胁类型设置

Microsoft Defender - 云提供的保护首选项：

• 诊断集合级别
• 启用 - 禁用自动示例提交
• 启用 - 禁用云提供的保护

Microsoft Defender - EDR 首选项：

• 设备标记
• 启用 - 禁用早期预览版

Microsoft Defender - 用户界面首选项：

• 显示 - 隐藏状态菜单图标

Intune 应用

对适用于 macOS 的公司门户的 SSO 应用扩展屏幕的改进

我们改进了Intune 公司门户身份验证屏幕，该屏幕提示 macOS 用户使用单一登录 (SSO) 登录其帐户。 用户现在可以执行以下操作：

• 查看请求 SSO 的应用。
• 选择“不再询问我”以选择退出将来的 SSO 请求。
• 通过转到“公司门户>首选项”并取消选择“不要要求我使用此帐户的单一登录”，选择重新加入 SSO 请求。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

• Webex for Intune by Cisco Systems, Inc.
• LumApps for Intune by LumApps
• ArchXtract (MDM) by CEGB CO., Ltd.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2021 年 6 月

应用管理

Android 公司门户应用和 Intune 应用现支持葡萄牙语(葡萄牙)

Android 公司门户应用和 Android Intune 应用现支持葡萄牙语(葡萄牙)（语言代码 pt-PT）。 Intune 已支持葡萄牙语(巴西)。

对查看托管应用状态的改进

我们添加了一些改进，改进了 Intune 显示已部署到用户或设备的托管应用的状态信息的方式。

Intune现在仅显示特定于你正在查看的设备平台的应用。 我们还引入了对 Android 和 Windows 平台的性能增强和更多支持。

更新了 Apple VPP 应用的默认许可证类型

为 Apple Volume Purchase Program (VPP) 应用创建新分配时，默认许可证类型现在为 设备。 现有分配将保持不变。 有关 Apple VPP 应用的详细信息，请参阅如何使用 Microsoft Intune 管理通过 Apple Business Manager 购买的 iOS 和 macOS 应用。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

• Hitachi Solutions, Ltd. 的机密文件查看器
• STR Software 的 AventX Mobile Work Orders
• Slack for Intune（由 Slack Technologies, Inc. 提供）
• Dynamics 365 Sales（由 Microsoft 提供）
• Leap Work for Intune（由 LeapXpert Limited 提供）
• iManage Work 10 for Intune（由 iManage, LLC 提供）
• Microsoft Whiteboard（由 Microsoft 提供）（Android 版本）

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备配置

在 iOS/iPadOS 设备上管理 Safari 中的 Cookie 和跨站点跟踪

为 iOS/iPadOS 设备创建设备限制策略时，可以在 Safari 应用中管理 cookie， (设备>配置>Create>iOS/iPadOS 平台>配置文件>内置应用) 的设备限制。

“Safari Cookie”设置已更新，以帮助管理 Cookie 和跨站点跟踪。 有关此设置的更多信息，请参阅 iOS/iPadOS 设备的内置应用。

应用于：

• iOS/iPadOS 版本 4 及更高版本

设备注册

企业 Android 注册期间会自动启用浏览器访问

现在，在以下设备的新注册过程中会自动启用浏览器访问：

• 使用Microsoft Entra共享设备模式注册的 Android Enterprise 专用设备
• Android Enterprise 完全托管设备
• Android Enterprise 公司拥有的工作配置文件设备

合规设备可以使用浏览器访问受条件访问保护的资源。

此更改对已注册的设备没有影响。

Intune 支持 Android Enterprise 公司拥有的使用工作配置文件的设备

Intune 现正式支持 Android Enterprise 公司拥有的使用工作配置文件的设备。 有关详细信息，请参阅正式发布 Android Enterprise 公司拥有的使用工作配置文件的设备

设备管理

对“设置目录配置文件”、“风险评分”和“威胁级别”合规性策略设置使用筛选器

使用筛选器分配策略时，可以：

• 对使用“风险评分”和“威胁级别”设置的合规性策略使用筛选器。
• 对使用“设置目录”配置文件类型的配置文件使用筛选器。

有关可以执行的操作的信息，请参阅筛选器支持的平台、策略和应用类型列表。

应用于：

• Android 设备管理员
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

为 Android Enterprise 创建筛选器时，请使用 EnrollmentProfileName 属性

在Intune中，可以根据不同的属性（包括设备名称、制造商等）创建筛选器以目标设备。 在 iOS/iPadOS 和 Windows 10/11 设备上，可以使用注册配置文件名称创建筛选器。 注册配置文件名称属性适用于 Android Enterprise 设备。

若要查看可配置的筛选器属性，请转到创建筛选器时的设备属性、运算符和规则编辑。

应用于：

• Android Enterprise

新的 iOS/iPadOS 远程操作允许更新 eSIM 手机网络计划 (公共预览版)

新的“更新手机网络数据计划(预览)”操作允许在支持它的 iOS/iPadOS 设备上远程激活 eSIM 手机网络计划。 此功能目前为公共预览版。 有关详细信息，请参阅更新手机网络数据计划。

租户附加:登出

虽然我们知道客户通过启用租户附加获得了巨大价值，但极少数情况下可能需要登出层次结构。 例如，可能需要在删除本地环境的灾难恢复方案后退出。 若要从Microsoft Intune管理中心中删除Configuration Manager层次结构，请选择“租户管理”、“连接器和令牌”，然后选择“Microsoft 终结点Configuration Manager”。 选择要登出的站点的名称，然后选择 删除。 有关详细信息，请参阅 启用租户附加。

设备安全性

适用于 Android 上的 Microsoft Tunnel 的 Microsoft Defender for Endpoint 不再是预览版

支持 Android 上 Microsoft Tunnel 功能的 Microsoft Defender for Endpoint 应用不再是预览版，现已全面推出。 借此更改:

• 不再需要选择使用 Defender of Endpoint 作为 Android 上的隧道应用。
• 适用于 Android 的独立应用现已弃用，将于 2022 年 1 月 31 日终止支持后从 Google 应用商店中删除。

计划为 Android 上的 Microsoft Tunnel 应用下载和使用更新的 Microsoft Defender for Endpoint 应用。 如果已参与预览版，请从 Google Play 商店使用新版本的 Defender for Endpoint 更新设备。 如果仍使用独立隧道应用，请在独立应用支持结束之前计划迁移到 Microsoft Defender for Endpoint 应用。

适用于 iOS 的独立隧道应用仍为预览版。

监视和疑难解答

主动修正的导出选项

主动修正为脚本包，它可以在用户意识到问题之前检测并修复用户设备上的常见支持问题。 为了帮助你轻松分析返回的输出，我们添加了“导出”选项，用于将输出另存为 .csv 文件。 有关详细信息，请参阅 主动修正。

更新的证书报表

“证书”报表（显示当前使用的设备证书）已更新，以包含更好的功能来搜索、分页、排序和导出报表。 在Microsoft Intune管理中心，选择“设备>监视>证书”。 有关 Intune 报表的详细信息，请参阅 Intune 报表。

2021 年 5 月

应用管理

改进了面向 Android 和 iOS/iPadOS 用户的条件访问消息传送

Microsoft Entra ID更新了条件访问屏幕上的措辞，以更好地向用户解释访问和设置要求。 Android 和 iOS/iPadOS 用户在尝试从未注册Intune管理的设备访问公司资源时，会看到此屏幕。 有关此更改的详细信息，请参阅 Microsoft Entra ID 中的新增功能。

为应用安装失败计数提供的新磁贴

“主页”、“仪表板” 和 “应用概览” 窗格现在提供已更新的图块，以显示租户应用安装失败的数量。 在Microsoft Intune管理中心中，选择“主页”以查看“主页”窗格，或选择“仪表板”以查看“仪表板”窗格。 选择“应用”>“概览”可查看“应用概览”窗格。 有关详细信息，请参阅 Intune 报表。

设备配置

“设置目录”中的“每设置状态”报告

创建 设置目录 配置文件时，可以看到每个状态有多少设备，包括成功、冲突和错误， (设备>配置> 选择策略) 。 此报表包括“每个设置状态”：

• 显示受特定设置影响的设备总数。
• 具有可搜索、排序、筛选、导出和转到下一页/上一页的控件。

若要详细了解设置目录，请参阅使用设置目录在 Windows 和 macOS 设备上配置设置。

面向 iOS/iPadOS 14.5 设备及更高版本的新设置

为 iOS/iPadOS 设备创建设备限制策略时， (设备>配置>Create>iOS/iPadOS 平台>设备限制配置文件) 提供新的设置：

• 阻止 Apple Watch 自动解锁: 设置为 “是” 可以阻止用户使用 Apple Watch 解锁其设备。
• 允许用户使用未配对的设备引导设备进入恢复模式：设置为“是”可以允许用户使用未配对的设备引导设备进入恢复模式。
• 阻止 Siri 听写: 设置为 “是” 可以禁用与 Siri 服务器的连接，这样用户就不能使用 Siri 听写文本。

若要查看这些设置，请转到允许或限制使用 Intune 的功能的 iOS 和 iPadOS 设备设置。

应用于：

• iOS/iPadOS 14.5 及更高版本

设备管理

不再支持在带有工作配置文件的 Android Enterprise 企业拥有的设备上执行“重启”远程操作

不再支持在带有工作配置文件的企业拥有的设备上执行“重启”远程操作。 对于带有工作配置文件的企业拥有的设备，已从“设备”页中删除“重启”按钮。 如果你尝试使用批量设备操作重启设备，那么企业拥有的工作配置文件设备将不会重启，这些设备操作将被标记为“不受支持”。 批量设备操作中包含的其他设备类型将会对此操作正常重启。

Windows 10/11 企业多会话支持（公共预览版）

Windows 10/11 企业版多会话是 Azure 上 Azure 虚拟桌面独占的新远程桌面会话主机，允许多个并发用户会话。 此功能为用户提供熟悉的 Windows 客户端体验，而 IT 可以从多会话的成本优势中受益，并使用现有的每用户 Microsoft 365 许可。

Microsoft Intune允许你使用基于设备的配置（例如共享的、无用户的 Windows 客户端）来管理多会话远程桌面。 现在，可以在 Intune 中自动注册Microsoft Entra混合联接的 VM，并使用 OS 范围策略和应用作为目标。

可以执行下列操作：

• 使用 Azure 上的 Azure 虚拟桌面专用的 Windows 10/11 企业多会话 SKU 托管多个并发用户会话。
• 使用基于设备的配置（例如共享的无用户Windows 10/11 企业客户端）管理多会话远程桌面。
• 在 Intune 中自动注册Microsoft Entra混合加入的虚拟机，并使用设备范围策略和应用将其作为目标。

有关详细信息，请参阅 Windows 10/11 Enterprise 多会话远程桌面。

使用筛选器在管理中心Intune分配策略

将应用或策略分配给组时，可以使用新的“筛选器”选项。 若要创建筛选器，请转到：

• 设备>筛选器>创建
• 应用>筛选器>创建
• 租户管理>筛选器>创建。

可以使用设备属性筛选受影响设备的范围。 例如，可以筛选 OS 版本、设备制造商等。 创建筛选器后，可以在分配策略或配置文件时使用筛选器。

有关详细信息，请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

应用于：

• Android 设备管理员
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

使用 Intune 策略加速安装Windows 10/11 安全更新

在公共预览版中，可以使用 Intune 的Windows 10质量更新策略来加快将最新的 Windows 10/11 安全更新安装到使用 Intune 管理的设备。

当你加速更新时，设备可以尽快开始下载和安装更新，而无需等待设备检查更新。 除了加速安装更新之外，使用此策略还会使现有的更新部署策略和过程保持不变。

为了帮助监视加速更新，可以使用以下选项：

• Windows 加速更新报表
• 加速更新失败设备报表

设备安全性

Windows 安全体验配置文件支持三状态设置

对于Windows 10设备，我们已将双状态设置更新为 Endpoint 安全防病毒策略Windows 安全中心体验配置文件中的三态设置。

之前，配置文件中的大多数设置只支持“是”和“未配置”这两个选项。 今后，这些相同的设置现在包括“是”、“未配置”和新选项“否”。

• 对于现有配置文件，设置为“未配置”的设置仍为“未配置”。 现在，在新建配置文件或编辑现有配置文件时，可以选择显式指定“否”。

此外，以下信息适用于Windows 安全中心应用设置中隐藏病毒和威胁防护区域的配置，以及Windows 安全中心应用设置中的子隐藏勒索软件数据恢复选项：

• 如果父设置 (隐藏病毒和威胁防护区域) 设置为 “未配置” ，并且子设置设置为 “是”，则父设置和子设置设置为 “未配置”。

新 Microsoft Tunnel 网关版本

我们发布了 新版本 的 Microsoft Tunnel 网关。 它包含以下更改:

• 次要 Bug 修复。
• 具有所有依赖项的安全更新的映像更新。

对于配置为自动更新的站点，Tunnel 网关服务器将自动更新到新版本。 对于配置为手动更新的站点，需要批准更新。

政府云的 Jamf 托管 macOS 设备的条件访问现已可用

现在，可以使用 Intune 的合规性引擎评估政府云的 Jamf 托管 macOS 设备。 为此，请激活 Jamf 的合规性连接器。 有关详细信息，请参阅将 Jamf Pro 与 Intune 集成以确保合规性。

Microsoft Tunnel 网关更改

我们将于本月为 Microsoft Tunnel 网关发布两个更新：

• Microsoft Tunnel 网关现已正式发布
  在此服务版本中，Microsoft Tunnel 网关不再是预览版，现已全面推出。 尽管 Microsoft Tunnel 网关服务器组件不再是预览状态，但以下 Microsoft Tunnel 客户端应用仍为预览版：

  • 适用于 Android 的 Microsoft Tunnel 独立应用
  • 适用于 iOS 的 Microsoft Tunnel 独立应用
  • 支持适用于 Android 的 Microsoft Tunnel 的 Microsoft Defender for Endpoint

• Microsoft Tunnel VPN 配置文件中对适用于 Android 的 Microsoft Defender for Endpoint 的自定义设置支持

  将 Microsoft Defender for Endpoint 用作适用于 Android 的 Microsoft Tunnel 客户端应用和移动威胁防御 (MTD) 应用时，现在可以使用 Microsoft Tunnel VPN 配置文件中的自定义设置来配置 Microsoft Defender for Endpoint。

  在此场景中，使用自定义设置在 VPN 配置文件中将 Microsoft Defender for Endpoint 配置为无需为 Microsoft Defender for Endpoint 部署单独的应用配置文件。

  对于以下平台，可以选择使用 VPN 配置文件中的自定义设置，也可以为 Microsoft Defender for Endpoint 使用单独的应用配置文件：

  • Android Enterprise 完全托管
  • Android Enterprise 公司拥有的工作配置文件

  但是，对于 Android Enterprise 个人拥有的工作配置文件，只能使用具有自定义设置的 VPN 配置文件。 接收Microsoft Defender for Endpoint和 Microsoft Tunnel VPN 配置文件的单独应用配置文件的个人拥有的工作配置文件设备可能无法连接到 Microsoft Tunnel。

监视和疑难解答

新操作报表可提供应用安装状态

新“应用安装状态”报表提供了包含版本和安装详细信息的应用列表。 应用安装详细信息作为单独列包含在列表中。 此外，安装详细信息提供设备和用户的应用安装和失败总数。 用户还可对此报表进行排序和搜索。 在Microsoft Intune管理中心，选择“应用>监视>应用安装状态”。 有关 Intune 报表的详细信息，请参阅 Intune 报表。

新操作报表可提供基于设备的应用安装状态

根据所选应用，新的“设备安装状态”报表提供了设备列表以及与特定应用相关的状态信息。 与设备相关的应用安装详细信息包括：“UPN”、“平台”、“版本”、“状态”、“状态详细信息”和“上次签入”。 用户还可对此报表进行排序、筛选和搜索。 在Microsoft Intune管理中心，选择“应用>”“所有应用>”“选择应用>设备安装状态”。 有关 Intune 报表的详细信息，请参阅 Intune 报表。

新操作报表可提供基于用户的应用安装状态

根据所选应用，新的“用户安装状态”报表提供了用户列表以及与特定应用相关的状态信息。 与用户相关的应用安装详细信息包括：“名称”、“UPN”、“失败”、“安装”、“挂起的安装”、“未安装”和“不适用”。 用户还可对此报表进行排序、筛选和搜索。 在Microsoft Intune管理中心，选择“应用>”“所有应用>”选择应用>“”用户安装状态”。 有关 Intune 报表的详细信息，请参阅 Intune 报表。

使用 Graph API v1.0 或 beta 版本导出 Intune 报表

Intune 报表导出 API 现在 Graph v1.0 中提供，并会在 Graph beta 版本中继续提供。 有关详细信息，请参阅Intune报表和使用 Graph API 导出Intune报表。

脚本

Android 开放源代码项目设备支持的新属性值

managementAgentType 枚举现支持 IntuneAosp 属性值。 此属性的 ManagementAgentTypeID 值为 2048。 它表示由 Intune 的 MDM 为 Android 开放源代码项目 (AOSP) 设备管理的设备类型。 有关详细信息，请参阅 Intune Data Warehouse API 的 beta 部分中的 managementAgentType。

2021 年 4 月

应用管理

更新了 iOS 公司门户中的隐私屏幕

我们在公司门户隐私屏幕中添加了更多文本，以阐明公司门户如何使用收集的数据。 它向用户保证收集的数据仅用于验证设备是否符合其组织的策略。

设备分配的必需应用的安装状态

最终用户可从 Windows 公司门户或公司门户网站的“已安装应用”页面查看设备分配的必备应用的安装状态和详细信息。 此功能是对用户分配的必备应用的安装状态和详细信息的补充。 若要了解有关公司门户的详细信息，请参阅如何配置 Intune 公司门户应用、公司门户网站和 Intune 应用。

控制台中显示的 Win32 应用版本

Win32 应用的版本现在显示在Microsoft Intune管理中心。 应用版本将在“所有应用”列表中提供，用户可在该列表中按照 Win32 应用进行筛选，然后选择可选的“版本”列。 在Microsoft Intune管理中心，选择“应用>所有应用>列>版本”，在应用列表中显示应用版本。 有关详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

iOS 设备上应用条件启动的最高操作系统版本设置

使用 Intune 应用保护策略，可添加新的条件启动设置，确保最终用户不会使用任何预发布版或 beta 版的操作系统内部版本访问 iOS 设备上的工作或学校帐户数据。 此设置可确保最终用户在 iOS 设备上正式使用新的操作系统功能之前，所有操作系统版本都已经过审核。 在Microsoft Intune管理中心，选择“应用>应用保护策略”。 有关详细信息，请参阅 如何创建和分配应用保护策略。

设备配置

Apple 设置助理（公共预览版）的全新新式身份验证方法

在创建自动设备注册配置文件时，现在可以选择一种新的身份验证方法:使用新式身份验证的设置助理。 这种方法提供了设置助理的全面安全性，但避免了“在设备上安装公司门户时，最终用户停滞在无法使用的设备上”问题。 在设置助手屏幕期间，用户必须使用Microsoft Entra多重身份验证进行身份验证。 若要获得对受条件访问保护的公司资源的访问权限，此功能需要在注册后在 公司门户 应用中进行另一个Microsoft Entra登录。 正确的公司门户版本会自动作为必需的应用发送到 iOS/iPadOS 设备。 对于 macOS，以下是用于在设备上获取公司门户的选项 - 添加适用于 macOS 的公司门户应用。

用户进入主屏幕后，注册即可完成，用户可以自由使用设备获取不受条件访问保护的资源。 当用户在设置屏幕后进入主屏幕时，将建立用户相关性。 但是，在公司门户登录之前，设备不会完全注册到 Microsoft Entra ID。 在公司门户登录之前，设备不会显示在Microsoft Entra 管理中心中给定用户的设备列表中。 如果租户为这些设备或用户启用了多重身份验证，则会要求用户在安装助手注册期间完成多重身份验证。 多重身份验证不是必需的，但如果需要，它可用于条件访问中的此身份验证方法。

这种方法具有以下可用于安装公司门户的选项:

• 对于 iOS/iPadOS：为 iOS/iPadOS 选择此流程时，将不存在“安装公司门户”设置。 当最终用户转到主屏幕时，公司门户应用将是设备上具有正确应用配置策略的设备上必需的应用。 若要访问受条件访问保护的资源并完全Microsoft Entra注册，注册后，用户必须使用Microsoft Entra凭据登录到 公司门户 应用。
• 对于 macOS：用户必须登录到公司门户才能完成Microsoft Entra注册并获得对受条件访问保护的资源的访问权限。 在主页上登录后，最终用户不会锁定到 公司门户 应用。 但是，需要对 公司门户 应用进行另一次登录才能访问公司资源并符合要求。 有关详细信息，请参阅 添加 macOS 公司门户应用。

有关如何在 iOS/iPadOS 设备上使用此身份验证方法的信息，请参阅使用 Apple 自动设备注册自动注册 iOS/iPadOS 设备。

有关如何在 macOS 设备上使用此身份验证方法的信息，请参阅 自动向 Apple Business Manager 或 Apple School Manager 注册 macOS 设备。

更新了 Android Enterprise 设备的 OEMConfig 策略报告

在 Android Enterprise 设备上，可通过创建 OEMConfig 策略来添加、创建和自定义特定于 OEM 的设置。 现在，更新后的策略报告还可显示用户、设备和策略中每项设置的成功状态。

若要了解详细信息，请参阅在 Microsoft Intune 中通过 OEMConfig 使用和管理 Android Enterprise 设备。

应用于：

• Android Enterprise

在运行 14.2 和更高版本的 iOS/iPadOS 设备上禁用 NFC 配对

在受监督的 iOS/iPadOS 设备上，可以创建一个设备限制配置文件，以禁用 NFC (设备>配置>Create>iOS/iPadOS 平台>配置文件设备限制>已连接设备>禁用近场通信 (NFC) ) 。 禁用此功能后，可阻止设备与其他启用 NFC 的设备配对并禁用 NFC。

若要查看此设置，请转到使用 Intune 在 iOS 和 iPadOS 设备进行设置以允许或限制功能。

应用于：

• iOS/iPadOS 14.2 及更高版本

设备管理

查找 Windows 客户端设备的设备远程操作

用户现在可使用新的查找设备远程操作来获取设备的地理位置。 支持的设备包括:

• Windows 11
• Windows 10 版本 20H2 (10.0.19042.789) 或更高版本
• Windows 10 版本 2004 (10.0.19041.789) 或更高版本
• Windows 10 版本 1909 (10.0.18363.1350) 或更高版本
• Windows 10 版本 1809 (10.0.17763.1728) 或更高版本

若要查看新操作，请登录到Microsoft Intune管理中心，然后选择“设备”>“Windows>”选择“设备>”“查找设备”。

此操作的工作方式与目前的 Apple 设备的查找设备操作 类似 (但不包括任何丢失模式功能)。

若要执行此远程操作，必须在设备上启用位置服务。 若 Intune 无法获取设备位置，且用户已在设备设置中设置了默认位置，则会显示默认位置。

Microsoft Intune终止对 Android 5.x 的支持

Microsoft Intune不再支持 Android 5.x 设备。

支持显示公司 Android Enterprise 设备的电话号码

对于 (专用、完全托管和完全托管的工作配置文件) 的企业 Android Enterprise 设备，关联的设备电话号码现在显示在Microsoft Intune管理中心。 如果设备关联多个号码，则只显示一个号码。

适用于 iOS/iPadOS 设备的 EID 属性支持

eSIM 标识符 (EID) 是嵌入式 SIM 卡 (eSIM) 的唯一标识符。 EID 属性现在会显示在 iOS/iPadOS 设备的硬件详细信息页面上。

对预配Microsoft Entra共享设备的Intune支持

使用自动配置为Microsoft Entra共享设备模式的 Microsoft Authenticator 预配 Android Enterprise 专用设备的功能现已正式发布。 有关如何使用此注册类型的详细信息，请参阅设置 Android Enterprise 专用设备的 Intune 注册。

查看功能更新配置文件中有关终止支持的详细信息

为了帮助你规划使用 Intune 部署的Windows 10功能更新的服务终止，Microsoft Intune管理中心中提供了功能汇报配置文件的新信息列。

第一个新列显示状态。 此状态标识配置文件中的更新何时接近或已结束服务。 第二列显示服务结束日期。 当更新服务结束时，它不再部署到设备，并且可以从Intune中删除策略。

新增列和详细信息包括：

• 支持 – 此列显示功能更新的状态：

  • 受支持 – 该更新支持分发。
  • 支持即将终止 – 该更新距离其服务终止日期不足两个月。
  • 不支持 – 该更新不再受支持，已达到其服务终止日期。

• 支持终止日期 – 此列显示配置文件中该功能更新的服务终止日期。

有关 Windows 10 版本服务终止日期的详细信息，请参阅 Windows 版本运行状况文档中的 windows 10 版本信息。

设备安全性

使用防病毒配置文件阻止或允许合并设备上的防病毒排除列表

用户现可在“Microsoft Defender 防病毒”配置文件中配置“Defender 本地管理员合并”设置来阻止合并 Windows 10 设备上的 Microsoft Defender 防病毒软件本地排除列表。

Microsoft Defender 防病毒软件的排除列表可在本地设备上配置，也可由 Intune 防病毒策略指定：

• 合并排除列表时，本地定义的排除项与Intune中的排除项合并。
• 阻止合并时，只有来自策略指定的排除项才会在设备上生效。

有关此功能和相关设置的详细信息，请参阅 Microsoft Defender 防病毒排除项。

改进了 Surface Duo 设备上的条件访问流

我们简化了 Surface Duo 设备上的条件访问流。 这些更改会自动完成，不需要管理员进行任何配置更新。 (“终结点安全”>“条件访问”)

在 Duo 设备上：

• 现在，如果条件访问阻止了对资源的访问，用户将被重定向到设备上预安装的公司门户应用。 以前，用户会被重定向到公司门户应用的 Google Play 商店列表。
• 现在，对于注册为个人拥有的工作配置文件的设备，用户在尝试使用其工作凭据登录个人版应用时，会被重定向到工作版公司门户，且系统会在此显示指导消息。 以前，用户已发送到个人版本的 公司门户 应用的 Google Play 应用商店列表。 他们必须重新启用个人公司门户应用才能看到指导消息。

应用于 Tunnel 网关服务器升级的配置选项

我们添加了一些选项，可帮助用户管理 Microsoft Tunnel 网关服务器的升级。 应用于站点配置的新选项包括：

• 为每个隧道站点设置一个维护时段。 此时段定义了分配给该站点的隧道服务器可以开始升级的时间。

• 配置服务器升级类型，以确定该站点的所有服务器如何进行升级。 可以在以下的选项中选择:

  • 自动 - 该站点的所有服务器将在提供服务器新版本后尽快升级。
  • 手动 - 只有在管理员明确选择允许升级之后，该站点上的服务器才会升级。

• “运行状况检查”选项卡现在可显示服务器的软件版本状态，以帮助用户了解隧道服务器软件过期的时间。 状态包括:

  • 正常 - 已更新到最新的软件版本。
  • 警告 - 落后一个版本
  • 不正常 - 落后两个或更多版本

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

• 由 Omnipresence Technologies, Inc. 提供的 Omnipresence Go
• 由 Building Robotics, Inc. 提供的 Comfy
• 由 M-Files Corporation 提供的 M-Files for Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

新 UI 可用于在新操作报表中筛选数据

新操作报表现在支持新 UI，可用于添加数据筛选器。 新筛选器改进了使用体验，可帮助用户优化和查看报表数据，及进行数据切片。 有关 Intune 报表的详细信息，请参阅 Intune 报表。

终结点分析中的 Windows 重启频率报表现已公开发布

目前，IT 工作人员可通过终结点分析启动性能来了解如何调节和优化 PC 启动时间。 但是，重启频率可能会对用户体验造成影响，因为由于蓝屏而每天重新启动的设备即使启动时间很快，用户体验也会很差。 现在，我们添加了关于组织内重启频率的报表，以帮助识别存在问题的设备。 有关详细信息，请参阅终结点分析中的重启频率。

2021 年 3 月

应用管理

适用于 macOS 设备的 Intune 管理代理现已成为通用应用

从 Microsoft Intune 为 macOS 设备部署 shell 脚本或自定义属性时，它会部署在 Apple Silicon Mac 计算机上本机运行的 Intune 管理代理应用的新通用版本。 同一部署在 Intel Mac 计算机上安装 x64 版本的应用。 若要在 Apple Silicon Mac 上运行 x64 (Intel) 版本的应用，需要使用 Rosetta 2。 若要在 Apple Silicon Macs 上自动安装 Rosetta 2，可以在 Intune 中部署 shell 脚本。 有关详细信息，请参阅 适用于 macOS 的 Microsoft Intune 管理代理。

适用于 macOS 设备的 Microsoft 365 应用版现在是通用应用

从 Microsoft Intune 为 macOS 设备部署Microsoft 365 应用版时，它将部署在 Apple Silicon Mac 上本机运行的新通用版应用。 同一部署在运行 macOS 10.14 及更高版本的 Intel Mac 上安装该应用的 x64 版本。 若要为 macOS 添加Microsoft 365 应用版，请在Microsoft Intune管理中心>“应用>所有应用>添加”。 在“Microsoft 365 应用版”下的“应用类型”列表中选择“macOS”。 有关详细信息，请参阅使用Microsoft Intune将 Microsoft 365 分配到 macOS 设备。

Microsoft Launcher 应用的更多配置键

你现在可以在 Android Enterprise 公司拥有的完全托管设备上设置微软桌面的文件夹配置设置。 通过使用应用配置策略和配置键值，可以为文件夹形状、全屏打开的文件夹和文件夹滚动方向设置值。 此外，除了定位应用和 Web 链接，还可以将文件夹放置在主屏幕上。 此外，还可以选择允许最终用户修改应用中的文件夹样式值。 有关 Microsoft Launcher 的详细信息，请参阅 使用 Intune 为 Android Enterprise 配置 Microsoft Launcher。

支持 Intune 中的 Win32 应用取代

我们已在 Intune 中启用了应用取代的公开预览版。 现在，你可以创建应用之间的取代关系，从而可以更新现有的 Win32 应用，并将其替换为该应用的更新版本或者完全不同的 Win32 应用。 有关详细信息，请参阅 Win32 应用取代。

Android 设备上的应用条件启动的最高 OS 版本设置

使用 Intune 应用保护策略，可以添加新的条件启动设置，确保最终用户不使用任何预发行版或 beta 版本的 OS 访问 Android 设备上的工作或学校帐户数据。 此设置可确保在最终用户主动使用 Android 设备上的新的 OS 功能之前，所有 OS 版本都经过了审核。 在 Microsoft Intune 管理中心，此设置位于应用>应用保护策略中。 有关详细信息，请参阅 如何创建和分配应用保护策略。

设备配置

新版 PFX 证书连接器

我们发布了新版本的 PFX 证书连接器，版本 6.2101.16.0。 此更新添加了对 PFX 创建流的改进，以防止托管连接器的本地服务器上的证书请求文件重复。

若要详细了解证书连接器 (包括两个证书连接器的连接器版本的列表)，请参阅 证书连接器。

将 Cisco AnyConnect 用作 Windows 10/11 和 Windows Holographic for Business 的 VPN 连接类型

可以使用 Cisco AnyConnect 作为连接类型创建 VPN 配置文件 (设备>配置>Create>Windows 10及更高版本的平台 >VPN 用于配置文件 >Cisco AnyConnect 的连接类型) ，而无需使用自定义配置文件。

此策略使用 Microsoft Store 中提供的 Cisco AnyConnect 应用。 它不使用 Cisco AnyConnect 桌面应用程序。

有关 Intune 中 VPN 配置文件的详细信息，请参阅 创建 VPN 配置文件以连接到 VPN 服务器。

应用于：

• Windows 11
• Windows 10
• Windows Holographic for Business

在 Windows 10/11 设备上以单个应用展台模式运行Microsoft Edge版本 87 及更高版本

在 Windows 客户端设备上，将设备配置为作为运行一个应用的展台运行，或者运行多个应用 (设备>配置>Create>Windows 10及更高版本的平台>模板>展台) 。 选择单应用模式后，可以执行以下操作:

• 运行 Microsoft Edge 版本 87 及更高版本。
• 选择“添加 Microsoft Edge 旧版浏览器”，运行 Microsoft Edge 版本 77 及更早版本。

有关可以在展台模式下配置的设置的详细信息，请参阅 Windows 客户端设备的展台设置。

应用于：

• 单应用展台模式下的 Windows 11
• 在单应用展台模式下Windows 10
• Microsoft Edge 版本 87 及更高版本
• Microsoft Edge 版本 77 及更低版本

管理模板在“设置目录”中可用，并且具有更多设置

在 Intune 中，可以使用管理模板为配置文件) 的平台管理模板创建策略 (设备>配置>>Create Windows 10及更高版本>。

在“设置目录”中，管理模板也可用， (设备>配置>Create>Windows 10及更高版本的>配置文件) 的“设置目录”中具有更多设置。

在此版本中，管理员可以配置仅存在于本地组策略中且在基于云的 MDM 中不可用的其他设置。 这些设置可用于 Windows 预览体验成员 客户端终结点版本，并可能向后移植到市场中的 Windows 版本，例如 1909、2004 或 2010。

如果要创建管理模板并使用 Windows 公开的所有可用设置，请使用“设置目录”。

有关更多信息，请参阅：

• 使用 Windows 10/11 模板配置组策略设置
• 使用设置目录配置设置

应用于：

• Windows 11
• Windows 10

更多 Microsoft Edge 设置，在 macOS 的设置目录中删除了设置类别

在 macOS 设备上，可以使用设置目录配置 Microsoft Edge 版本 77 及更新版本 (设备>配置>Create>macOS 以用于平台>设置目录) 。

此版本中的内容：

• 添加了更多 Microsoft Edge 设置。
• 暂时会删除设置类别。 若要查找特定设置，请使用“Microsoft Edge - 全部”类别，或搜索设置名称。 有关设置的列表，请参阅 Microsoft Edge - 策略。

有关设置目录的详细信息，请参阅 使用设置目录配置设置。

应用于：

• macOS
• Microsoft Edge

云配置中的Windows 10/11 作为引导式方案提供

云配置中的 Windows 10/11 是 Microsoft 推荐的适用于 Windows 10/11 的设备配置。 云配置中的 Windows 10/11 针对云进行了优化，专为具有重点工作流需求的用户设计。

有一个引导式方案，可自动添加应用，并创建在云配置中配置Windows 10/11 设备的策略。

有关详细信息，请参阅云配置中的 Windows 10/11 引导式方案。

应用于：

• Windows 11
• Windows 10

设备注册

注册程序令牌的同步状态

已删除“注册程序令牌”窗格中列出的自动设备注册令牌的同步状态，以最大程度地避免混淆。 继续显示每个令牌的信息。 可使用注册程序令牌通过 Apple Business Manager 和 Apple School Manager 管理自动设备注册。 在Microsoft Intune管理中心，可以通过选择“设备>”“iOS/iPadOSiOS/iPadOS注册>计划令牌”来查找 iOS>/iPadOS 设备的令牌列表。 若要查找 macOS 设备的令牌列表，请选择“设备”>“macOS”>“macOS 注册”>“注册程序令牌”。 有关详细信息，请参阅自动注册 iOS/iPadOS 设备和自动注册 macOS 设备。

设备管理

增加每个注册令牌的 iOS/iPadOS 和 macOS 设备的建议最大数量

以前，我们建议每个自动设备注册 (ADE) 令牌的 iOS/iPadOS 或 macOS 设备数不超过 60,000 个。 现在，这个建议的限制已增加到每个令牌 200,000 台设备。 有关 ADE 令牌的详细信息，请参阅 通过使用 Apple 自动设备注册自动注册 iOS/iPadOS 设备。

更新“所有设备”视图和“导出报表”中的列名

为了准确反映列中的数据，我们已将“所有设备”视图和“导出报表”中的列名称更新为 “主要用户 UPN”、“ 主要用户电子邮件地址”和“ 主要用户显示名称”。

终止对 Internet Explorer 11 的支持

Intune 将于 2021 年 3 月 31 日终止支持 Internet Explorer 11 对管理门户 Web 应用 UI 的管理员访问权限。 请在该日期前改用 Edge 或其他受支持的浏览器，以管理基于 Azure 构建的所有 Microsoft 服务。

收集诊断信息远程操作

使用“收集诊断信息”这个新的远程操作，可以从公司设备收集日志，无需中断或等待最终用户操作。 收集的日志将包括 MDM、Autopilot、事件查看器、密钥、Configuration Manager 客户端、网络和其他关键的疑难解答日志。 有关详细信息，请参阅从 Windows 设备收集诊断。

用于导出设备数据的新选项

导出设备数据时，可以使用以下新选项：

• 仅在导出的文件中包括所选的列。
• 将所有清单数据包括在导出的文件中。 若要查看这些选项，请转到Microsoft Intune管理中心>设备>所有设备>导出。

设备安全性

在 Android Enterprise 设备的 SCEP 和 PKCS 证书配置文件的使用者和 SAN 中使用变量 CN={{UserPrincipalName}}

现在，可以在 Android 设备的 PKCS 证书配置文件或 SCEP 证书配置文件的使用者或 SAN 中使用用户属性 CN={{UserPrincipalName}} 变量。 此支持要求设备具有用户，例如通过以下方式注册的设备：

• Android Enterprise 完全托管设备
• Android Enterprise 个人拥有的工作配置文件

没有用户关联的设备（例如注册为 Android Enterprise 专用的设备）不支持用户属性。 例如，当设备上没有用户时，主题或 SAN 中使用的 CN={{UserPrincipalName}} 配置文件无法获取用户主体名称。

在 Android 和 iOS 的 Defender for Endpoint 中使用应用保护策略

现在，你可以在运行 Android 或 iOS 的设备中使用应用保护策略中的 Microsoft Defender for Endpoint。

• 将 MAM 条件启动策略配置为包括来自 iOS 设备和 Android 设备上 Microsoft Defender for Endpoint 的最大允许威胁级别信号。
• 根据设备是否符合预期的威胁级别，选择“阻止访问”或“擦除数据”。

配置后，系统将提示最终用户安装并设置可用 App Store 中提供的 Microsoft Defender for Endpoint 应用。 作为先决条件，必须设置 Microsoft Defender for Endpoint 连接器，并启用切换按钮以将风险数据发送到你的应用保护策略。 有关详细信息，请参阅应用保护策略概述和在 Microsoft Intune 中使用Microsoft Defender for Endpoint。

配置攻击表面减少规则，以阻止恶意软件通过 WMI 获得持久性

现在，你可以在“终结点安全”中将名为“通过 WMI 事件订阅阻止持久性”的规则配置为攻击面减少规则配置文件的一部分。

此规则可防止恶意软件滥用 WMI 来达到设备上的持久性。 无文件威胁使用各种策略来保持隐藏状态，以避免在文件系统中被看到，并获得定期执行控制。 某些威胁可能会滥用 WMI 存储库和事件模型，使其保持隐藏状态。

配置为适用于终结点安全的攻击面减少的设置策略时，可以使用以下选项：

• 未配置 (默认) – 设置将返回到 Windows 默认值，这是关闭的，不会阻止持久性。
• 阻止 - 阻止通过 WMI 保持持久性。
• 审核– 评估此规则在启用（设置为"阻止"）时对组织的影响。
• 禁用 - 禁用此规则。 暂留不会被阻止。

此规则不支持 “警告” 选项，也可用作 “设置”目录中的设备配置设置。

Microsoft Tunnel 更新

我们发布了 新版本 的 Microsoft Tunnel 网关，其中包括以下更改：

• 修复了各种 Bug 并增强了功能。

Tunnel 网关服务器将自动更新为新版本。

Microsoft Tunnel Gateway 服务器的运行状况详细信息

我们添加了在 Microsoft Intune 管理中心内查看 Tunnel 网关服务器的详细健康状态信息的功能。

在新的“运行状况检查”选项卡上，可以看到以下信息：

• 上次签入 - 服务器上次签入到 Intune 的时间。
• 当前连接数 - 上次签入时的活动连接数
• 吞吐量 - 在最后检查时遍历服务 NIC 的每秒兆位数。
• CPU 使用率 - 平均 CPU 使用率。
• 内存使用率 - 平均内存使用率。
• 延迟 - IP 数据包遍历 NIC 的平均时间。
• TLS 证书的到期状态和到期前的天数 - 用于保护隧道的客户端到服务器通信的 TLS 证书保持有效的时间。

适用于 Android 的 Microsoft Defender for Endpoint 应用中的 Tunnel 客户端功能的公共预览版

正如在 Ignite 上宣布的那样，Microsoft Tunnel 客户端功能正在迁移到 Microsoft Defender for Endpoint 应用中。 使用此预览版，你可以开始使用 Microsoft Defender for Endpoint 预览版作为受支持设备的 Tunnel 应用。 现有的 Tunnel 客户端仍然可用，但最终将逐步淘汰，以支持 Defender for Endpoint 应用。

此公共预览版适用于：

• Android Enterprise
  • 完全托管
  • 公司拥有的工作配置文件
  • 个人拥有的工作配置文件

对于此预览版，你必须选择加入才能获取对 Microsoft Defender for Endpoint 预览版的访问权限，然后将受支持的设备从独立的 Tunnel 客户端应用迁移到预览版应用。 有关详细信息，请参阅迁移到 Microsoft Defender for Endpoint 应用。

Intune 应用

Microsoft Launcher 配置密钥

对于 Android Enterprise 完全托管的设备，适用于 Intune 应用的 Microsoft Launcher 现在提供更多自定义。 在 Launcher 中，可以配置显示的应用和 Web 链接集，以及这些应用和 Web 链接的顺序。 应用配置的所示应用列表和位置（顺序）合并在一起，简化了主屏幕的自定义设置。 有关详细信息，请参阅配置微软桌面。

适用于 macOS 设备的 Microsoft Edge 将成为通用应用

从 Microsoft Intune 部署适用于 macOS 设备的 Microsoft Edge 应用时，它将部署在 Apple Silicon Mac 上本机运行的新通用版应用。 同一部署在 Intel Mac 上安装 x64 版本的应用。 若要添加 Microsoft Edge for macOS，请在 Microsoft Intune 管理中心>应用>所有应用>添加。 在“Microsoft Edge 版本 77 及更高版本”下的“应用类型”列表中，选择“macOS”。 有关详细信息，请参阅使用 Microsoft Intune 将 Microsoft Edge 添加到 macOS 设备。

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

• Cogosense Technology Inc. 的 FleetSafer
• Mazrica Inc. 的 Senses
• Fuze, Inc. 的 Fuze Mobile for Intune
• Movius Interactive Corporation 的 MultiLine for Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

改进了在 iOS/iPadOS 公司门户应用中的通知体验

公司门户应用现在可以存储和显示从Microsoft Intune管理中心发送到用户的 iOS/iPadOS 设备的推送通知。 已选择接收公司门户推送通知的用户可以在公司门户的“通知”选项卡中查看和管理你发送到其设备的自定义存储的消息。 有关详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

公司门户网站改进了加载性能

为了提高页面加载性能，现将分批加载应用图标。 最终用户在访问公司门户网站时，可能会看到其某些应用程序的占位符图标。 之后立即会加载相关图标。 有关公司门户的详细信息，请参阅如何自定义 Intune 公司门户应用、公司门户网站和 Intune 应用和从公司门户网站管理应用。

监视和疑难解答

Microsoft 采用分数中的终结点分析

Microsoft 采用分数中有一个新的 Endpoint Analytics 页面，用于与Microsoft Intune以外的其他角色共享组织级别的见解。 了解设备如何为最终用户的体验做出贡献对于确保用户实现目标至关重要。 有关详细信息，请参阅 Microsoft 采用分数中的终结点分析。

终结点分析应用程序可靠性报表

终结点分析中提供了新的 应用程序可靠性 报告。 查看此报表可了解托管电脑上的桌面应用程序中存在的潜在问题。 可以快速识别影响最终用户工作效率的热门应用程序，并查看这些应用程序的聚合应用使用情况和应用故障指标。 可以通过钻取特定设备并查看应用可靠性事件的时间线进行故障排除。 此报表预计将在 2021 年 3 月推出公共预览版。 有关详细信息，请参阅终结点分析应用程序可靠性。

终结点分析中的重启频率（预览版）

目前，IT 工作人员可通过终结点分析启动性能来了解如何调节和优化 PC 启动时间。 但是，重启频率可能会对用户体验造成影响，因为由于蓝屏而每天重新启动的设备即使启动时间很快，用户体验也会很差。 现在，我们添加了有关组织内重启频率的预览版报表，以帮助识别存在问题的设备。 有关详细信息，请参阅终结点分析中的重启频率（预览版）。

基于角色的访问控制

Microsoft Tunnel 网关的基于角色的访问权限更新

为帮助控制谁有权管理 Microsoft Tunnel，我们为基于 Intune 角色的访问控制添加了 Microsoft Tunnel 网关作为新的权限组。 这一新组包括以下权限：

• 创建 - 配置 Microsoft Tunnel 网关服务器、服务器配置和站点。
• 更新（修改）- 更新 Microsoft Tunnel 网关服务器、服务器配置和站点。
• 删除 - 删除 Microsoft Tunnel 网关服务器、服务器配置和站点。
• 读取 - 查看 Microsoft Tunnel 网关服务器、服务器配置和站点。

默认情况下，Intune管理员和Microsoft Entra管理员具有这些权限。 你还可以将这些权限添加到为 Intune 租户创建的自定义角色中。

范围标签支持 Intune for Government 和世纪互联的自定义策略

现在，可以将范围标签分配给由世纪互联运营的 Intune for Government 和 Intune 的自定义策略。 为此，请转到“Microsoft Intune管理中心>租户管理>自定义”，其中可以看到“作用域标记配置选项”。

脚本编写

使用图形 API 导出本地化的 Intune 报表数据

现在可以指定使用 Microsoft Intune报表导出 API 导出的报表数据只能包含本地化列，也可以包含本地化和未本地化的列。 默认情况下，大多数报表都选择了本地化列和非本地化列选项，这将防止中断性变更。 若要了解报表的相关信息，请参阅使用 Graph API 导出 Intune 报表和使用 Graph API 提供的 Intune 报表和属性。

2021 年 2 月

应用管理

最终用户可从 Windows 公司门户重启应用

使用 Windows 公司门户，最终用户可以在进度似乎已停止或卡住的情况下重启应用安装。 如果应用安装进度在两小时内没有变化，则允许此功能。 有关详细信息，请参阅将应用添加到 Microsoft Intune。

配置是否可移动必需的 iOS/iPadOS 应用

现在可以配置最终用户是否将必需的 iOS/iPadOS 应用安装为可移动应用。 此新设置将应用于 iOS 应用商店、LOB 和内置应用。 可以通过选择“应用>iOS/iPadOS>添加”，在Microsoft Intune管理中心找到此设置。 设置应用分配时，可以选择“安装为可移动”。 默认值为“是”，表示应用是可移动的。 iOS 14 上的现有所需安装已更新为默认（可移动）设置值。 有关 iOS/iPadOS 应用的详细信息，请参阅 Microsoft Intune 应用管理。

共享的 iPad 设备上支持的业务线应用

现在可以在共享的 iPad 设备上部署业务线 (LOB) 应用。 必须根据需要将业务线应用分配给包含 Microsoft Intune 管理中心的共享 iPad 设备的设备组。 在Microsoft Intune管理中心，选择“应用>所有应用>添加”。 有关详细信息，请参阅将 iOS/iPadOS 业务线应用添加到 Microsoft Intune。

Microsoft Endpoint Configuration Manager 连接器

用于Microsoft Configuration Manager的连接器现在显示在管理中心。 若要查看连接器，请转到“租户管理”>“连接器和令牌”>“Microsoft Endpoint Configuration Manager”。 选择运行版本 2006 或更高版本的Configuration Manager层次结构以显示详细信息。

设备配置

Google 的合规性屏幕会自动显示在以展台模式运行的 Android Enterprise 9.0+ 专用设备上

在 Intune 中，可以在 Android Enterprise 设备上创建设备配置密码策略和设备合规性密码策略。

创建策略时，在展台模式下运行的 Android Enterprise 专用设备会自动使用 Google 的合规性屏幕。 这些屏幕指导并强制用户设置符合策略规则的密码。

有关创建密码和展台策略的详细信息，请参阅：

• 将设备标记为合规或不合规的 Android Enterprise 设置
• 允许或限制功能的 Android Enterprise 设备设置

应用于：

• 展台模式下的 Android Enterprise 9 和更高版本

新版 PFX 证书连接器

我们发布了新版本的 PFX 证书连接器，版本 6.2101.13.0。 此新连接器版本为 PFX 连接器增加了日志记录方面的改进：

• 事件日志的新位置，其中日志划分为管理员日志、操作日志和调试日志
• 管理员日志和操作日志默认为 50 MB 并已启用自动存档功能。
• PKCS 导入、PKCS 创建和吊销的 EventID。

若要详细了解证书连接器 (包括两个证书连接器的连接器版本的列表)，请参阅 证书连接器。

新版 PFX 证书连接器

我们发布了新版本的 PFX 证书连接器，即版本 6.2009.2.0。 这一新版连接器具有以下特点:

• 改进连接器的升级，以持久保存运行连接器服务的帐户。

若要详细了解证书连接器 (包括两个证书连接器的连接器版本的列表)，请参阅 证书连接器。

使用设备配置在托管主屏幕上创建文件夹并设置网格大小

在 Android Enterprise 专用设备上，可以配置托管主屏幕设置 (设备>配置>Create>Android Enterprise for platform >完全托管、专用和 Corporate-Owned 工作配置文件>设备限制，以用于配置文件>设备体验) 。

在多应用展台模式下使用托管主屏幕时，有一个“自定义应用布局”设置。 利用此设置，你可以：

• 创建文件夹，将应用添加到这些文件夹，然后将该文件夹置于托管主屏幕上。 无需对文件夹进行排序。

• 选择是否对托管主屏幕上的应用和文件夹进行排序。 如果需要排序，还可以执行以下操作：

  • 设置网格大小。
  • 将应用和文件夹添加到网格中的不同位置。

以前，你必须使用应用配置策略。

有关详细信息，请参阅 Android Enterprise 专用设备设备体验设置。

应用于：

• Android Enterprise 专用设备

使用设置目录在 macOS 设备上配置 Microsoft Edge 浏览器

目前在 macOS 设备上，可以使用.plist首选项文件配置 Microsoft Edge 浏览器， (设备>配置>Create>macOS for platform >首选项文件，用于配置文件) 。

有一个更新的 UI 用于配置 Microsoft Edge 浏览器：设备>配置>Create>macOS for platform >的配置文件设置目录。 选择所需的 Microsoft Edge 设置，然后进行配置。 在配置文件中，还可以添加设置或删除现有设置。

若要查看可配置的设置列表，请前往 Microsoft Edge - 策略。 请确保 macOS 列为受支持的平台。 如果设置目录中没有某些设置，则建议仅继续使用首选项文件。

有关更多信息，请参阅：

• 设置目录
• 使用 Intune 将属性列表文件添加到 macOS 设备

若要查看已配置的策略，请打开 Microsoft Edge，并转到 edge://policy。

应用于：

• macOS 上的 Microsoft Edge 浏览器版本 77 和更高版本

将 NetMotion Mobility 用作 Android Enterprise 设备的 VPN 连接类型

创建 VPN 配置文件时，NetMotion Mobility 可作为 Android Enterprise 的 VPN 连接类型：

• 设备>配置>> Create Android Enterprise>完全托管、专用和 Corporate-Owned 工作配置文件>VPN，适用于连接类型的配置文件 >NetMotion Mobility
• 设备>配置>> Create适用于连接类型的配置文件 NetMotion Mobility的 Android 企业>个人拥有的工作>配置文件 >VPN

有关 Intune 中 VPN 配置文件的详细信息，请参阅 创建 VPN 配置文件以连接到 VPN 服务器。

应用于：

• Android Enterprise 个人拥有的工作配置文件
• Android Enterprise 公司拥有的完全托管式专用工作配置文件

为 macOS 和 Windows 客户端设备创建设备配置文件时设置目录和模板

为 macOS 和 Windows 10/11 设备创建设备配置文件时，会 (设备>配置>Create>macOS 或平台) Windows 10及更高版本创建 UI 更新。

此配置文件显示“设置目录”和“模板”:

• 设置目录：使用此选项从头开始，并从可用设置库中选择所需设置。 对于 macOS，设置目录包含用于配置 Microsoft Edge 版本 77 和更高版本的设置。 Windows 客户端的设置目录包括许多现有设置和新设置，所有这些都位于一个位置。
• 模版: 使用此选项可配置所有现有配置文件，例如设备限制、设备功能、VPN、Wi-Fi 等。

此更改只是 UI 更改，不会影响现有配置文件。

有关详细信息，请参阅设置目录。

应用于：

• macOS
• Windows 11
• Windows 10

受监督的 iOS/iPadOS 设备上的主屏幕布局更新

在 iOS/iPadOS 设备上，可以配置主屏幕布局 (设备>配置>Create>iOS/iPadOS 平台>用于配置文件>主屏幕布局) 的设备功能。 在 Intune 中，主屏幕布局功能已更新：

- 主屏幕布局具有新的设计。 此功能可让管理员实时查看应用和应用图标在页面上、程序坞和文件夹内的显示效果。 在此新设计器中添加应用时，无法添加单独的页面。 但是，当你将 9 个或更多应用添加到文件夹时，这些应用会自动转入下一页。 现有策略不受影响，无需更改。 设置值将传输到新 UI，而不会产生负面影响。 设备上的设置行为不变。 - 将 web 链接 (web 应用) 添加到页面或停靠。 请确保只添加一次 Web 链接的特定 URL。 现有策略不受影响，无需更改。

有关可以配置的设置的详细信息（包括主屏幕布局），请参阅用于在 Intune 中使用常见 iOS/iPadOS 功能的 iOS/iPadOS 设备设置。

应用于：

• iOS/iPadOS 受监督设备

限制 iOS/iPadOS 设备上 Apple 个性化广告

在 iOS/iPadOS 设备上，可以配置 Apple 个性化广告。 启用后，个性化广告在 App Store、Apple News 和股票应用 (设备>配置>Create>iOS/iPadOS 平台>设备限制配置文件>通用>限制 Apple 个性化广告) 。

此设置仅影响个性化广告。 配置此设置会关闭“设置”>“隐私”>“Apple 广告”。 它不会影响App Store、Apple 新闻和股票应用中的非个性化广告。 有关 Apple 广告策略的详细信息，请参阅 Apple 广告和隐私（打开 Apple 官网）。

要查看您可以在 Intune 中配置的当前设置，请参阅用于允许或限制功能的 iOS 和 iPadOS 设备设置。

应用于：

• iOS/iPadOS 14.0 和更新版本，使用设备注册或自动设备注册来注册设备

管理模板包括 Microsoft Edge 版本 88 的新策略

可以配置和部署适用于 Microsoft Edge 版本 88 的新 ADMX 设置。 若要查看新策略，请访问 Microsoft Edge 发行说明。

有关 Intune 中此功能的详细信息，请参阅配置 Microsoft Edge 策略设置。

应用于：

• Windows 11
• Windows 10

电子邮件通知中针对不合规性的区域设置支持

合规性策略现支持通知消息模板，其中包含不同区域设置的单独消息。 支持多种语言不再要求为每个区域设置创建单独的模板和策略。

在模板中配置特定于区域设置的邮件时，不合规的最终用户会根据其 Microsoft 365 首选语言接收相应的本地化电子邮件通知消息。 还可以在模板中指定一个本地化消息作为默认消息。 当模板未为其区域设置包含特定消息时，默认消息将发送给未设置首选语言的用户。

设备注册

隐藏更多 Apple 自动设备注册安装助手屏幕

现在可以设置自动设备注册 (ADE) 配置文件，以隐藏适用于 iOS/iPadOS 14.0 以上版本和 macOS 11 以上版本设备的安装助手屏幕：

• “已完成还原”，适用于 iOS/iPadOS 14.0 以上版本。
• “已完成软件更新”，适用于 iOS/iPadOS 14.0 以上版本。
• 辅助功能，适用于 macOS 11 以上版本（mac 设备必须连接到以太网）。

设备管理

将设备安全策略从基本移动性和安全性迁移到 Intune

策略迁移工具可让你将基本移动性和安全性（以前称为 MDM for Office 365 或 Office MDM）部署的移动设备管理 (MDM) 设备安全策略永久性迁移到标准 Intune MDM 配置文件和合规性策略。 使用此工具将彻底禁止以后在基本移动性和安全性设备安全策略中创建和编辑策略。

若要使用此工具，必须:

• 已为基本移动性和安全性管理的设备的所有用户购买（但尚未分配）Intune 许可证。
• 如果已购买 Intune for Education 订阅，请联系支持人员核实资格。

有关详细信息，请参阅将移动设备策略从基本移动性和安全性迁移到 Intune。

公司拥有的 Windows 设备的“属性”页上的子网 ID 和 IP 地址

公司拥有的 Windows 设备的“属性”页上现显示子网 ID 和 IP 地址。 若要查看它们，请转到Intune管理中心>“设备>”“所有设备>”选择公司拥有的 Windows 设备>属性。

设备安全性

Intune 支持 Microsoft Defender 应用程序防护，现包括独立 Windows 环境

在终结点安全攻击面减少策略中在Intune应用和浏览器隔离配置文件中配置启用应用程序防护时，可以在启用应用程序防护时从以下选项中进行选择：

• Microsoft Edge - 以前可用
• 独立 Windows 环境 - 已通过此更新进行更新
• Microsoft Edge和独立 Windows 环境 - 此更新新增功能

在此版本之前，此设置名为“启用 Edge 应用程序防护(选项)”。

此设置的新选项将应用程序防护支持扩展到 Edge 的 URL 之外。 现在可以启用应用程序防护，通过在硬件隔离的 Windows VM 环境（容器）中打开潜在威胁来帮助保护设备。 例如，通过对独立 Windows 环境的支持，应用程序防护可在独立的 Windows VM 中打开不受信任的 Office 文档。

借此更改:

• Intune 现支持在 Windows MDM CSP 中找到的所有值: AllowWindowsDefenderApplicationGuard。
• 为了帮助你了解在使用单独 Windows 环境时对设备用户的影响，请参阅 Windows 安全文档中的 应用程序防护测试场景。
• 有关应用程序防护和对 Office 应用的支持的详细信息，请参阅 Microsoft 365 文档中的 Office 应用程序防护。

攻击面减少策略中新的应用程序防护设置

我们已将两个新设置添加到Intune终结点安全攻击面减少策略的应用和浏览器隔离配置文件：

• 应用程序防护允许相机和麦克风访问 - 通过应用程序防护应用管理对设备相机和麦克风的访问。
• 应用程序防护允许从用户设备使用根证书颁发机构 - 指定一个或多个根证书指纹时，匹配的证书将传输到 Microsoft Defender 应用程序防护容器。

有关详细信息，请参阅应用和浏览器隔离设置。

安全基线汇报

以下安全基线提供了新版本：

• MDM 安全基线(Windows 10 安全性)
• Microsoft Defender for Endpoint 基线

更新的基线版本引入了对最新设置的支持，以帮助维护各个产品团队推荐的最佳做法配置。

若要了解各版本之间的更改，请参阅 比较基线版本以了解如何导出介绍这些更改的 .CSV 文件。

终结点安全防火墙报表

我们在 Endpoint Security 中添加了两个新报表，这些报表专用于防火墙策略：

• 可在“终结点安全性”节点中找到关闭了防火墙的 Windows 10 MDM 设备，其中显示“关闭了防火墙的 Windows 10 设备”列表。 此报表通过设备名称、设备 ID、用户信息和防火墙状态标识每个设备。
• Windows 10 MDM 防火墙状态是组织报表，可在“报表”节点中找到，它列出了 Windows 10 设备的防火墙状态。 此报表显示状态信息，包括防火墙是启用、禁用、受限还是暂时禁用。

Defender 防病毒报表的摘要视图

我们更新了Microsoft Intune管理中心的“报告”节点中Microsoft Defender防病毒报表的视图。 现在，在“报表”节点中选择“Microsoft Defender防病毒”时，会看到“摘要”选项卡的默认视图，以及“报表”的第二个选项卡。 可以在“ 报告 ”选项卡中找到以前可用的 防病毒代理状态 和 检测到的恶意软件 组织报告。

新“摘要”选项卡显示以下信息：

• 显示防病毒报表的聚合详细信息。
• 包括一个 刷新选项，该选项更新每个防病毒状态的设备的数量。
• 反映在防病毒代理状态组织报表中找到的相同数据，现在可以从“报表”选项卡进行访问。

在 Android 和 iOS/iPadOS 上为更多移动威胁防御合作伙伴应用保护策略支持

2019 年 10 月，Intune 应用保护策略增加了使用 Microsoft 威胁防护合作伙伴提供的数据的功能。

通过此更新，我们将此支持扩展到以下合作伙伴，以便使用应用保护策略根据设备的运行状况来阻止或选择性地擦除用户的公司数据：

• Android、iOS 和 iPadOS 上的 McAfee MVision Mobile

有关详细信息，请参阅 使用 Intune 创建移动威胁防御应用保护策略。

延长了 SCEP 和 PKCS 配置文件的证书有效期

在证书配置文件中，Intune 现支持对简单证书注册协议 (SCEP) 和公钥加密标准 (PKCS) 使用长达 24 个月的证书有效期。 此更改比上一个支持期增加了 12 个月。

该支持适用于 Windows 和 Android。 iOS/iPadOS 和 macOS 会忽略证书有效期。

监视和疑难解答

全新的共同管理资格组织报表

共同管理资格报表可为可共同管理的设备提供资格评估。 通过共同管理，可以使用配置管理器和 Microsoft Intune 并行管理 Windows 10 设备。 可以通过选择“报告>云附加设备>”选项卡“>共同管理资格”，在 Microsoft Intune 管理中心查看此报告的摘要。 若要了解相关信息，请参阅 Intune 报表。

全新的共同管理的工作负荷组织报表

共同管理的工作负荷报表提供当前共同管理的设备的报表。 通过共同管理，可以使用配置管理器和 Microsoft Intune 并行管理 Windows 10 设备。 可以通过选择“报告云附加设备>”>选项卡“共同管理的工作负载”，>在 Microsoft Intune 管理中心查看此报表。 有关详细信息，请参阅 Intune 报表。

Log Analytics 包括设备详细信息日志

Intune 设备详细信息日志现在可用。 在“Microsoft Intune管理中心”中，选择“报告>日志分析”。 可以关联一组设备详细信息，以生成自定义查询和 Azure 工作簿。 有关详细信息，请参阅 Azure Monitor 集成报表（专业）。

基于角色的访问控制

“注册状态”页的范围标记支持

现在可以将范围标记分配给“注册状态”页，以便只有你定义的角色才能看到它。 有关详细信息，请参阅创建注册状态页配置文件并将其分配到组。

脚本

更多Data Warehouse beta 属性

现在可以使用 Intune Data Warehouse beta API 获取更多属性。 以下属性通过 beta API 中的设备实体公开：

• SubnetAddressV4Wifi - IPV4 Wi-Fi 连接的子网地址。
• IpAddressV4Wifi - IPV4 Wi-Fi 连接的 IP 地址。

有关详细信息，请参阅 Microsoft Intune Data Warehouse API。

2021 年 1 月

应用管理

IOS、macOS 和 Web 公司门户的应用程序图标更新

我们更新了 iOS、macOS 和 Web 公司门户的应用图标。 目前 Windows 公司门户仍使用此图标。 最终用户在其设备的应用程序启动器和主屏幕、Apple App Store以及公司门户应用中的体验中看到新图标。

个人拥有的工作配置文件中的 Android Enterprise 系统应用支持

现在可以将 Android Enterprise 系统应用部署到 Android Enterprise 个人拥有的工作配置文件设备。 系统应用是托管的 Google Play 商店中未显示且通常预安装在设备上的应用。 部署系统应用后，你将无法卸载、隐藏或以其他方式删除该应用。 有关系统应用的信息，请参阅 将 Android Enterprise 系统应用添加到 Microsoft Intune。

删除依赖关系中的 Win32 应用

如果向 Intune 添加的 Win32 应用处于依赖关系中，则不能将其删除。 只有删除了依赖关系之后，才能删除这些应用。 此要求适用于依赖关系中的父应用和子应用。 此外，此要求还确保正确实施依赖项，并且依赖项行为更具可预测性。 有关详细信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

自定义策略的范围标记支持

你现在可以向自定义策略分配范围标记。 为此，请转到“Microsoft Intune管理中心>租户管理>自定义”，其中可以看到“作用域标记配置选项”。 对于由世纪互联运营的 Intune for Government 或 Intune，此功能现已可用。

在 Android 工作配置文件注册期间浏览器访问权限自动启用

在新的 Android Enterprise 个人拥有的工作配置文件注册期间，浏览器访问权限现在已在设备上自动启用。 通过此更改，合规设备可以使用浏览器访问受条件访问保护的资源，而无需执行其他操作。 在此更改之前，用户必须启动公司门户并选择“设置>”“启用浏览器访问>”。

此更改对已注册的设备没有影响。

Win32 应用下载进度栏

现在，在下载 Win32 应用时，最终用户将在 Windows 公司门户中看到一个进度栏。 此功能可帮助客户更好地了解应用安装进度。

Android 公司门户应用图标的更新

我们更新了 Android 公司门户应用图标，为设备用户创建更现代的外观体验。 若要查看新图标的外观，请访问 Google Play 上的 Intune 公司门户列表。

设备配置

Microsoft Tunnel 现在支持 Red Hat Enterprise Linux 8

你现在可以将 Red Hat Enterprise Linux (RHEL) 8 Microsoft Tunnel 结合使用。 若要使用 RHEL 8，无需执行任何操作。 支持已添加到 Docker 容器，可自动更新。 此外，此更新还会禁止某些无关的日志记录。

新版 PFX 证书连接器

我们发布了新版本的 PFX 证书连接器，版本 6.2009.1.9。 这一新版连接器具有以下特点:

• 对连接器证书续订的改进。

若要详细了解证书连接器 (包括两个证书连接器的连接器版本的列表)，请参阅 证书连接器。

监视和疑难解答

使用图形 API 导出 Intune 报表时的更新

使用 exportJobs 图形 API 导出 Intune 报表时，如果不为设备报表选择任何列，将得到默认列集。 为避免混淆，我们已从默认列集中删除列。 已删除的列是 PhoneNumberE164Format、_ComputedComplianceState、_OS 和 OSDescription。 这些列仍可在你需要时供你选择，但仅显式提供，而不是默认包含。 如果你已经基于设备导出的默认列构建了自动化，并且该自动化使用上述任何列，则需要重构流程以显式选择这些列以及任何其他相关列。 有关详细信息，请参阅使用图形 API 导出 Intune 报告。

2020 年 12 月

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Dynamics 365 Remote Assist
• Box - 云内容管理
• STid Mobile ID
• FactSet 3.0
• 适用于 Intune 的 Notate
• Field Service (Dynamics 365)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2020 年 11 月

应用管理

改进了 Android 公司门户中的工作配置文件消息

我们已更新 Android 公司门户的消息，以便更好地引入和解释工作配置文件的工作方式。 将显示新的消息传送：

• 完成工作配置文件设置流程后：用户将看到一个新的信息性屏幕，其中介绍了在何处查找工作应用，其中包含帮助文档的链接。
• 当用户在个人资料中意外重新启用公司门户应用时：我们重新设计了屏幕 (你的设备现在有一个仅用于工作) 的配置文件，其中包含更清晰的说明和新插图，以引导用户访问其工作应用，以及帮助文档的链接。
• 在 “帮助 ”页上：在“ 常见问题 ”部分中，有一个新链接，指向有关如何设置工作配置文件和查找应用的帮助文档。

PowerShell 脚本在应用之前执行，减少超时

PowerShell 脚本有一些更新：

• Microsoft Intune管理扩展执行流将恢复为先处理 PowerShell 脚本，然后运行 Win32 应用。
• 若要解决注册状态页 (ESP) 超时问题，PowerShell 脚本在 30 分钟后超时。 以前，他们在 60 分钟后超时。

有关详细信息，请参阅 在 Intune 中Windows 10 设备上使用 PowerShell 脚本。

设备配置

适用于 Android Enterprise 专用设备的电源菜单、状态栏通知和更严格的设置

在运行单应用或多应用展台模式Intune注册的 Android Enterprise 专用设备上，可以：

• 限制电源菜单、系统错误警告和对“设置”应用的访问权限。
• 选择用户是否可以看到主页和概述按钮以及通知。

若要配置这些设置，请创建设备限制配置文件：设备>配置>Create>Android Enterprise for platform >完全托管、专用和企业拥有的工作配置文件>设备限制>常规。

有关这些设置以及可配置的其他设置的详细信息，请转到 Android Enterprise 设备设置以允许或限制使用 Intune 的功能。

应用于：

• Android Enterprise 专用设备

iOS/iPadOS 设备上应用通知的新显示预览设置

在 iOS/iPadOS 设备上，有一个显示预览设置 (设备>配置>Create>iOS/iPadOS 平台>设备功能配置文件>应用通知) 。 使用此设置可以选择何时在设备上显示最近的应用通知预览。

有关应用通知设置以及可配置的其他设置的详细信息，请参阅 设备设置以使用常见 iOS/iPadOS 功能。

Microsoft Tunnel for iOS 的按需规则

Microsoft Tunnel 现在支持 iOS/iPad 设备的按需规则。 使用按需规则，可以在满足特定 FQDN 或 IP 地址的条件时指定 VPN 的使用。

若要使用 Microsoft Tunnel 为 iOS/iPadOS 配置按需规则，请在设备配置策略中配置适用于 iOS/iPadOS 的 VPN 配置文件。 在“配置文件配置设置”页上，选择“Microsoft Tunnel”作为“连接类型”，然后你将有权配置按需 VPN 规则。

有关可以配置的按需 VPN 规则的信息，请参阅 自动 VPN 设置。

应用于：

• iOS/iPadOS

Windows 10和较新设备上的 Wi-Fi 配置文件的更多身份验证设置

运行 Windows 10 和更新 (设备>配置> Wi-Fi 配置文件的新设置和功能Create>Windows 10及更高版本的平台 >Wi-Fi for profile >Enterprise) ：

• 身份验证模式：对用户、设备进行身份验证或使用来宾身份验证。

• 每次登录时记住凭据：强制用户在连接到 VPN 时输入凭据。 或者，缓存凭据，以便用户只输入其凭据一次。

• 更精细地控制身份验证行为，包括：

  • 身份验证期间
  • 身份验证重试延迟期
  • 开始周期
  • 最大 EAPOL-Start 消息数
  • 最大身份验证失败次数

• 使用单独的 VLAN 进行设备和用户身份验证：使用单一登录时，Wi-Fi 配置文件可以根据用户的凭据使用不同的虚拟 LAN。 Wi-Fi 服务器必须支持此功能。

若要查看这些设置以及可以配置的所有设置，请转到为Intune中Windows 10及更高版本的设备添加 Wi-Fi 设置。

应用于：

• Windows 10 及更高版本

设备管理

个人拥有的工作配置文件术语

为了避免混淆，工作配置文件 Android Enterprise 管理方案的术语将在整个Intune文档和用户界面中更改为“具有工作配置文件的个人拥有的设备”或个人拥有的工作配置文件。 此更改将其与“公司拥有的工作配置文件” (COPE) 管理方案区分开来。

Windows Autopilot for HoloLens 2 (预览版)

适用于HoloLens 2设备的 Windows Autopilot 现在以公共预览版提供。 管理员不再需要注册其租户进行外部测试。 有关使用 Autopilot for HoloLens 的详细信息，请参阅 Windows Autopilot for HoloLens 2。

终止对 iOS 11 的支持

Intune注册和公司门户现在支持 iOS 版本 12 及更高版本。 旧版本不受支持，但将继续接收策略。

终止对 macOS 10.12 的支持

自 macOS Big Sur 发布以来，Intune注册和公司门户现在支持 macOS 版本 10.13 及更高版本。 不支持旧版本。

设备安全性

用于终结点安全性的设备控制配置文件的新设置

我们添加了一个新设置 ，即“阻止对可移动存储的写入访问 ” 设备控制配置文件 ，以便在终结点安全性中减少攻击面策略。 设置为 “是”时，将阻止对可移动存储的写入访问。

对攻击面减少规则配置文件中的设置的改进

我们更新了 攻击面减少规则配置文件中适用设置的选项，该配置文件是终结点证券攻击面减少策略的一部分。

我们已为现有选项（如 “禁用 ”和 “启用”）提供了跨设置的一致性，并添加了一个新选项 “警告”：

• 警告 - 在运行Windows 10版本 1809 或更高版本的设备上，设备用户会收到一条消息，指示他们可以绕过此设置。 例如，在 “阻止 Adobe Reader 创建子进程”设置中， “警告 ”选项向用户提供绕过该阻止并允许 Adobe Reader 创建子进程的选项。 在运行早期版本的 Windows 10 的设备上，该规则强制实施该行为，而没有绕过该行为的选项。

终结点安全设备控制配置文件中 USB 设备 ID 的策略合并支持 攻击面减少策略

我们已将 USB 设备 ID 的策略合并 支持添加到终结点安全攻击面减少策略 的设备控制 配置文件。 针对策略合并评估 设备控制 配置文件中的以下设置：

• 允许按设备标识符安装硬件设备
• 按设备标识符阻止硬件设备安装
• 允许按安装程序类安装硬件设备
• 按安装程序类阻止硬件设备安装
• 允许按设备实例标识符安装硬件设备
• 按设备实例标识符阻止硬件设备安装

策略合并适用于跨适用于设备的不同配置文件的每个设置的配置。 它不包括不同设置之间的评估，即使两个设置密切相关。

有关合并内容以及如何在设备上合并和应用每个受支持设置的和阻止列表的更详细示例，请参阅设备控制配置文件 设置的策略合并 。

改进了终结点安全性的防病毒状态操作报告

我们已向 Windows Defender 防病毒的防病毒状态操作报告添加了新详细信息，这是终结点安全策略报告。

以下新信息列将可用于每个设备：

• 产品状态 – 设备上Windows Defender的状态。
• 篡改保护 - 是否已启用或禁用篡改防护。
• 虚拟机 – 设备是虚拟机，还是物理设备。

改进了攻击面减少规则的规则合并

攻击面减少规则现在支持合并不同策略中的设置的新行为，以便为每个设备创建策略的超集。 仅合并不冲突的设置，而冲突的设置不会添加到规则的超集。 以前，如果两个策略包含单个设置的冲突，则这两个策略被标记为冲突，并且不会部署任何配置文件中的设置。

攻击面减少规则合并行为如下所示：

• 针对应用规则的每个设备评估以下配置文件中的攻击面减少规则：
  • 设备>配置策略>终结点保护配置文件>Microsoft Defender攻击防护>攻击面减少。
  • 终结点安全性 > 攻击面减少策略 >攻击面减少规则。
  • 终结点安全>安全基线>Microsoft Defender for Endpoint基线>攻击面减少规则。
• 没有冲突的设置将添加到设备的超集策略中。
• 当两个或多个策略具有冲突设置时，不会将冲突设置添加到组合策略中。 不冲突的设置将添加到适用于设备的超集策略。
• 仅会保留用于冲突设置的配置。

MVISION Mobile - 新的移动威胁防御合作伙伴

可以根据 MVISION Mobile 进行的风险评估，使用条件访问来控制移动设备对公司资源的访问，MVISION Mobile 是 McAfee 提供的一种与 Microsoft Intune 集成的移动威胁防御解决方案。

监视和疑难解答

新Intune操作报告，以帮助排查配置文件问题

公共预览版中提供了新的 分配失败 操作报告，以帮助排查针对设备的配置文件的错误和冲突。 此报表将显示租户的配置文件列表，以及处于错误或冲突状态的设备数。 使用此信息，你可以向下钻取配置文件，以查看与该配置文件相关的处于故障状态的设备和用户的列表。 此外，还可以进一步向下钻取，查看与失败原因相关的设置和设置详细信息的列表。 你可以对整个报表中的所有记录进行筛选、排序和搜索。 在Microsoft Intune管理中心，可以通过选择“设备>监视>分配失败” (预览) 查找此报告。 有关 Intune 报表的详细信息，请参阅 Intune 报表。

Azure 虚拟桌面 VM 的报告更新

以下设置在策略报告中标记为 不适用 ：

• BitLocker 设置
• 设备加密
• Defender 应用程序防护 设置
• Defender 篡改防护
• Wi-Fi 配置文件

不符合策略报告有助于排查错误或不符合的设备

在预览版中，新的 “不符合策略 ”报表是一种操作报告，可用于帮助排查针对设备的合规性策略的错误和冲突。 “不符合策略”报告显示具有一个或多个错误或处于不符合策略状态的符合性策略列表。

使用此报表可以：

• 查看设备符合性策略（设备处于不合规或错误状态），然后钻取以查看处于失败状态的设备列表和用户列表。
• 进一步向下钻取，查看导致失败的设置和设置信息的列表。
• 对报表中的所有记录进行筛选、排序和搜索。 我们已将分页控件和改进的导出功能添加到 csv 文件。
• 确定何时出现问题，并简化故障排除。

有关监视设备符合性的详细信息，请参阅监视Intune设备符合性策略。

2020 年 10 月

应用管理

当注册设置为不可用时，需要注册的应用处于隐藏状态

对于设备注册设置设置为“不可用”的用户，分配了“适用于已注册设备”和“必需意向”的应用不会显示在公司门户中。 仅当从未注册的设备（包括具有 MAM 托管应用程序的未注册设备）查看公司门户应用或网站时，此更改才适用。 无论设备注册设置的值如何，从已注册设备查看公司门户的用户仍可以看到这些应用。 有关详细信息，请参阅设备注册设置选项。

对 iOS 公司门户隐私消息自定义的改进

现在，你可以在 iOS 公司门户中自定义隐私消息。 除了以前支持自定义组织看不到的内容外，还可以自定义组织可以在 iOS 公司门户中向最终用户显示的隐私消息中看到的内容。 若要支持此功能，设备至少需要运行 公司门户 版本 4.11 才能查看有关可以看到的内容的自定义消息。 通过选择“租户管理>自定义”，Microsoft Intune管理中心将提供此功能。 有关详细信息，请参阅公司门户隐私消息。

在 COPE 设备上 (MAM) 的 Android 应用保护策略

新添加的移动应用程序管理 (MAM) 支持在 Android Enterprise 公司拥有的设备上启用 Android 应用保护策略，其工作配置文件 (COPE) 。 有关应用保护策略的详细信息，请参阅应用保护策略概述。

Android 设备的最大公司门户版本期限

可以将年龄限制设置为 Android 设备的 公司门户 应用版本的最大天数。 此设置可确保最终用户在几天内) (公司门户应用版本的特定范围内。 如果未满足设备的设置，则会触发此设置的选定操作。 操作包括 阻止访问、 擦除数据或 警告。 可以通过选择“应用>应用保护策略>Create策略，在Microsoft Intune管理中心找到此设置。 “最大公司门户版本期限 (天) ”设置将在“条件启动”步骤的“设备条件”部分提供。 有关详细信息，请参阅 Android 应用保护策略设置 - 条件启动。

Mac LOB 应用将作为 macOS 11 及更高版本上的托管应用受支持

Intune支持“安装为托管应用”属性，该属性可为部署到 macOS 11 及更高版本的 Mac 业务线 (LOB) 应用配置。 启用此设置后，Mac LOB 应用将作为托管应用安装在受支持的设备上， (macOS 11 及更高版本) 。 可以在受支持的设备上使用 卸载 分配类型删除托管业务线应用， (macOS 11 及更高) 。 此外，删除 MDM 配置文件会从设备中删除所有托管应用。 在Microsoft Intune管理中心，选择“应用>macOS>添加”。 有关添加应用的详细信息，请参阅将应用添加到Microsoft Intune。

使 Outlook S/MIME 电子邮件始终进行签名或加密

在 iOS/iPadOS 和 Android Enterprise 设备的应用配置下创建 Outlook 电子邮件配置文件时，可以启用 Outlook S/MIME 电子邮件始终签名或加密。 在创建 Outlook 应用配置策略时选择 “托管设备” 时，设置可用。 可以通过选择“应用”“应用>配置策略>”“添加>托管设备”，在管理中心Microsoft Intune找到此设置。 有关详细信息，请参阅适用于Microsoft Intune的应用配置策略。

Win32 应用支持工作区加入 (WPJ) 设备

现有 Win32 应用支持加入工作区 (WPJ) 设备。 PowerShell 脚本（以前在 WPJ 设备上不受支持）现在可以部署到 WPJ 设备。 具体而言，设备上下文 PowerShell 脚本适用于 WPJ 设备，但用户上下文 PowerShell 脚本将被忽略，这是设计。 用户上下文脚本将在 WPJ 设备上被忽略，并且不会向Microsoft Intune控制台报告。 有关 PowerShell 的详细信息，请参阅在 Intune Windows 10 设备上使用 PowerShell 脚本。

设备配置

设备固件配置接口 (DFCI) 已正式发布

DFCI 是 UEFI) 框架 (开源统一可扩展固件接口。 它允许使用 Microsoft Intune 安全地管理 Windows Autopilot 设备的 UEFI (BIOS) 设置。 它还限制最终用户对固件配置的控制。

与传统的 UEFI 管理不同，DFCI 无需管理第三方解决方案。 它还使用 Microsoft Intune 进行云管理，从而提供零接触固件管理。 DFCI 还访问现有的 Windows Autopilot 设备信息进行授权。

有关此功能的详细信息，请参阅在 Intune 中使用 Windows 设备上的 DFCI 配置文件。

重要

Intune管理中心中的 DFCI 策略报告未按预期工作。 所有策略都报告了“挂起”状态。 此行为已修复。

在 Android Enterprise 基本 Wi-Fi 配置文件上使用“自动连接”设置

在 Android Enterprise 设备上，可以创建包含常见 Wi-Fi 设置（例如连接名称）的基本 Wi-Fi 配置文件。 你可以配置 自动连接 设置，该设置在设备处于范围内时自动连接到 Wi-Fi 网络。

若要查看这些设置，请转到 为 Android Enterprise 专用和完全托管设备添加 Wi-Fi 设置。

应用于：

• Android Enterprise 公司拥有的完全托管式专用工作配置文件

新的用户体验和新的使用关联域在 macOS 设备上启用直接下载设置

在 macOS 设备上创建关联的域配置文件时，用户体验将更新 (设备>配置>Create>macOS for platform >Device features for profile >associated domains) 。 你仍输入应用 ID 和域。

在使用用户批准的设备注册或自动设备注册注册的 macOS 11+ 受监督设备上，可以使用 “启用直接下载” 设置。 启用直接下载允许直接从设备下载域数据，而不是通过内容分发网络 (CDN) 下载。

有关详细信息，请参阅 macOS 设备上的关联域。

应用于：

• macOS 11+ (监督)

macOS 设备上的新锁定密码设置

(设备>配置>创建 macOS 密码配置文件时，可以使用新设置Create>macOS 平台>配置文件密码) 的设备限制>：

• 允许的最大登录尝试次数：用户在设备锁定之前可以尝试连续登录的最大次数为 2-11 次。 将此值设置为更大的数字。 不建议将此值设置为 2 或 3，因为错误很常见。

  适用于所有注册类型。

• 锁定持续时间：选择锁定持续时间（以分钟为单位）。 在设备锁定期间，登录屏幕处于非活动状态，用户无法登录。 锁定持续时间结束后，用户可以再次登录。 若要使用此设置，请配置 “允许的最大登录尝试次数 ”设置。

  适用于 macOS 10.10 及更新版本以及所有注册类型。

若要查看这些设置，请转到 macOS 密码设备限制。

应用于：

• macOS

Android Enterprise 设备上所需的密码类型默认设置正在更改

在 Android Enterprise 设备上，可以创建一个设备密码配置文件， (设备>配置>Create>Android Enterprise for platform >Full Managed、Dedicated 和 Corporate-Owned Work Profile>设备限制>设备密码) 设置所需的密码类型。

“必需密码类型”设置默认设置将从“数字”更改为“设备默认值”。

现有配置文件不受影响。 新配置文件将自动使用 设备默认值。

选择“ 设备默认值 ”时，大多数设备不需要密码。 如果要要求用户在其设备上设置密码，请将 “所需密码类型 ”设置配置为比 “设备默认值”更安全的内容。

若要查看可以限制的设置，请转到 Android Enterprise 设备设置以允许或限制功能。

应用于：

• Android Enterprise

配置 macOS Microsoft Enterprise SSO 插件

重要

在 macOS 上，Microsoft Entra SSO 扩展在Intune用户界面中列出，但未按预期工作。 此功能现已有效，可在公共预览版中使用。

Microsoft Entra团队创建了重定向单一登录 (SSO) 应用扩展。 此应用扩展允许 macOS 10.15+ 用户访问支持 Apple SSO 功能的 Microsoft 应用、组织应用和网站。 它使用Microsoft Entra ID和一次登录进行身份验证。

使用 Microsoft Enterprise SSO 插件版本，可以在 Intune (设备>配置中使用新的 Microsoft Entra 应用扩展类型配置 SSO扩展>Create>macOS for platform >Device features for profile >单一登录应用扩展> SSO 应用扩展类型>Microsoft Entra ID) 。

若要使用 Microsoft Entra SSO 应用扩展类型获取 SSO，用户需要在 macOS 设备上安装并登录到 公司门户 应用。

有关 macOS SSO 应用扩展的详细信息，请参阅 单一登录应用扩展。

应用于：

• macOS 10.15 及更高版本

Android 设备管理员的设备限制配置文件中密码设置的更改

最近，我们为 Android 设备管理员添加了“密码复杂性”作为“设备符合性策略”和“设备限制”的新设置。 现在，我们已为这两种策略类型的设置添加了更多 UI 更改，以帮助Intune适应 Android 版本 10 及更高版本中的密码更改。 这些更改有助于确保密码设置继续按预期应用于设备。

对于这两种策略类型的密码设置，你将发现对Intune UI 的以下更改，这不会影响现有配置文件：

• 根据设置适用的设备版本（如 Android 9 及更早版本或 Android 10 及更高版本），将设置重新组织到各个部分。
• 汇报 UI 中的标签和示例文本。
• 说明如何以 数字 、 字母顺序或字母 数字形式引用 PIN。

应用于：

• Android 设备管理员

新版 PFX 证书连接器

我们发布了新版本的 PFX 证书连接器，版本 6.2008.60.612。 这一新版连接器具有以下特点:

• 修复了将 PKCS 证书传递到 Android Enterprise 完全托管设备的问题。 此问题为要求必须使用旧版的加密密钥存储提供程序 (KSP)。 现在也可以使用下一代加密技术 (CNG) 密钥存储提供程序。
• 对 PFX 证书连接器的 CA 帐户的更改：你指定的用户名和密码（凭据）现在用于颁发证书和吊销证书。 以前，这些凭据只用于吊销证书。

若要详细了解证书连接器 (包括两个证书连接器的连接器版本的列表)，请参阅 证书连接器。

设备注册

对预配Microsoft Entra共享设备的Intune支持

借助 Intune，现在可以将 Microsoft Authenticator 自动配置为Microsoft Entra共享设备模式预配 Android Enterprise 专用设备。 有关如何使用此注册类型的详细信息，请参阅设置 Android Enterprise 专用设备的Intune注册。

新的和更新的规划、设置和注册部署指南

将重写现有的规划和迁移指南，并使用新指南进行更新。 还有一些新的部署指南侧重于 Android、iOS/iPadOS、macOS 和 Windows 设备的Intune设置和注册。

有关详细信息，请转到Microsoft Intune规划指南、部署指南：设置或移动到Microsoft Intune和部署指南：在Microsoft Intune中注册设备。

设备安全性

Microsoft Tunnel 更新

我们发布了 新版本 的 Microsoft Tunnel 网关，其中包括以下更改：

• 日志记录的修补程序。 在隧道服务器上运行 journalctl -t mstunnel_monitor 命令行时，查看 Microsoft Tunnel 系统日志。
• 错误修补程序

Tunnel 网关服务器将自动更新为新版本。

为更多合作伙伴应用保护 Android 和 iOS/iPadOS 上的策略支持

2019 年 10 月，Intune 应用保护策略增加了使用 Microsoft 威胁防护合作伙伴提供的数据的功能。

通过此更新，我们将此支持扩展到以下两个合作伙伴，以便使用应用保护策略根据设备的运行状况阻止或选择性地擦除用户的公司数据：

• 在 Android、iOS 和 iPadOS 上Check Point Sandblast
• Android、iOS 和 iPadOS 上的 Symantec Endpoint Security

有关详细信息，请参阅 使用 Intune 创建移动威胁防御应用保护策略。

Intune安全任务包括有关Microsoft Defender for Endpoint TVM 中配置错误设置的详细信息

Microsoft Intune安全任务现在针对威胁漏洞管理 (TVM) 发现的错误配置进行报告并提供修正详细信息。 报告给Intune的错误配置仅限于可以提供修正指南的问题。

TVM 是Microsoft Defender for Endpoint的一部分。 在此更新之前，TVM 中的详细信息仅包括应用程序的详细信息和修正步骤。

查看安全任务时，你将找到一个名为 “修正类型 ”的新列，用于标识问题类型：

• 应用程序 - 易受攻击的应用程序和修正步骤。 此问题类型已在此更新之前的“安全任务”中提供。
• 配置 - TVM 的一种新详细信息类别，用于识别错误配置，并提供帮助你修正这些错误的步骤。

有关安全任务的详细信息，请参阅使用Intune修正Microsoft Defender for Endpoint识别的漏洞。

租户附加设备的终结点安全防火墙策略

作为公共预览版，可以将防火墙的终结点安全策略部署到使用 Configuration Manager 管理的设备。 此方案要求在受支持的 Configuration Manager 版本与 Intune 订阅之间配置租户附加。

运行 Windows 10 及更高版本的设备支持租户附加设备的防火墙策略，并且要求环境使用控制台内修补程序KB4578605运行 Configuration Manager Current Branch 2006。

有关详细信息，请参阅支持租户附加Intune终结点安全策略的要求。

通过阻止和允许列表管理硬件设备安装的扩展设置

在 作为 终结点安全 攻击面减少策略一部分的设备控制配置文件中，我们修订并 扩展了用于管理硬件设备安装的设置。 现在，你将找到使用设备 ID、设置类和实例标识符定义阻止列表和单独允许列表的设置。 现在提供以下六个设置：

• 允许按设备标识符安装硬件设备
• 按设备标识符阻止硬件设备安装
• 允许按安装程序类安装硬件设备
• 按安装程序类阻止硬件设备安装
• 允许按设备实例标识符安装硬件设备
• 按设备实例标识符阻止硬件设备安装

其中每个设置都支持“ 是”、“ 否”和“ 未配置”选项。 配置 “是”后，可以为该设置定义阻止或允许列表。 在设备上，允许列表中指定的硬件可以安装或更新。 但是，如果在阻止列表中指定了相同的硬件，则阻止将覆盖允许列表，并阻止安装或更新硬件。

终结点安全防火墙规则的改进

我们进行了多项更改，以改善在终结点安全防火墙策略的 Microsoft Defender 防火墙规则配置文件中配置防火墙规则的体验。

改进包括：

• 改进了 UI 中的布局，包括用于组织视图的节标题。
• 增加说明字段的字符限制。
• IP 地址条目的验证。
• 对 IP 地址列表进行排序。
• 从 IP 地址列表中清除条目时 选择所有 地址的选项。

在 iOS 合规性策略中使用Microsoft Defender for Endpoint

作为公共预览版，现在可以使用Intune设备符合性策略将 iOS 设备载入到Microsoft Defender for Endpoint。

载入已注册的 iOS/iPadOS 设备后，适用于 iOS 的合规性策略可以使用来自Microsoft Defender的威胁级别信号。 这些信号与可用于 Android 和Windows 10设备的信号相同。

Defender for iOS 应用应在年底前从公共预览版迁移到正式发布版。

Endpoint Security 防病毒策略的安全体验配置文件现在具有三态选项

我们在 Endpoint 安全防病毒策略的 Windows 安全中心 体验配置文件中为设置添加了第三种配置状态。 此更新适用于Windows 10及更高版本 ) 的Windows 安全中心体验。

例如，如果某个设置以前提供了 “未配置 ”和“ 是”，如果平台支持，则现在可以选择“ 否”。

Edge 安全基线的更新版本

我们已将 Edge 的新安全基线添加到Intune：2020 年 9 月 (Edge 版本 85 及更高版本) 。

更新的基线版本引入了对最新设置的支持，以帮助维护各个产品团队推荐的最佳做法配置。

若要了解各版本之间的更改，请参阅 比较基线版本以了解如何导出介绍这些更改的 .CSV 文件。

新的 Microsoft Tunnel 版本

我们发布了 新版本 的 Microsoft Tunnel 网关。 新版本中包含以下更改：

• Microsoft Tunnel 现在以 syslog 格式将操作和监视详细信息记录到 Linux 服务器日志中。 在隧道服务器上运行journalctl -t命令行时，可以查看 Microsoft Tunnel 系统日志。
• 各种 Bug 修复。

监视和疑难解答

新的Windows 10功能更新失败报告

功能更新失败操作报告提供了针对具有Windows 10功能更新策略并尝试更新的设备的故障详细信息。 在Microsoft Intune管理中心，选择“设备>监视>功能更新失败”以查看此报告。 有关详细信息，请参阅 功能更新失败报告。

汇报防病毒报告

防病毒代理状态报告和检测到的恶意软件报告都已更新。 这些报表现在显示数据可视化效果，并提供了更多信息列， (SignatureUpdateOverdue、 MalwareID、 displayName 和 InitialDetectionDateTime) 。 此外，防病毒代理状态报告中还包含远程操作。 有关详细信息，请参阅 防病毒代理状态报告 和 检测到的恶意软件报告。

更新了Microsoft Intune的帮助和支持

“帮助和支持”体验使用机器学习来显示有助于解决问题的解决方案、诊断和见解。 我们更新了 Microsoft Intune 管理中心中的帮助和支持页面，提供了一种新的、更易于导航、一致的 UX 体验。 新的 UX 现已在控制台的所有边栏选项卡中推出，可帮助我们获取更相关的帮助。

现在，你将在管理中心内找到以下基于云的产品/服务的 更新和整合支持体验 ：

• Intune
• 配置管理器
• 协同管理
• Microsoft 托管桌面

脚本

在“Intune故障排除”窗格中查看 PowerShell 脚本

现在可以在“故障排除”窗格中查看分配的 PowerShell 脚本。 PowerShell 脚本提供与Intune Windows 10客户端通信，以运行企业管理任务，例如高级设备配置和故障排除。 有关详细信息，请参阅 在 Intune 中Windows 10 设备上使用 PowerShell 脚本。

在托管 Mac 上使用 shell 脚本收集自定义设备或用户属性

可以创建自定义属性配置文件，以便使用 shell 脚本从托管 macOS 设备收集自定义属性。 可以通过选择“设备>”“macOS>自定义属性”，在Microsoft Intune管理中心找到此功能。 有关详细信息，请参阅在 Intune 中使用 macOS 设备上的 shell 脚本。

2020 年 9

应用管理

改进了 Android 公司门户中的工作配置文件消息

公司门户屏幕先前标题为“你已半途而废！” 已更新，以更好地解释工作配置文件管理的工作原理。 如果用户在完成工作配置文件注册后在个人资料中重新启用公司门户，则会看到此屏幕。 在某些 Android OS 版本上注册工作配置文件期间，他们也可能看到此屏幕，如帮助文档 “使用 Android 工作配置文件注册”中所示。

在 Windows 公司门户中统一交付 Microsoft Entra Enterprise 和 Office Online 应用程序

在 2006 版本中，我们宣布在 公司门户 网站上统一交付 Microsoft Entra Enterprise 和 Office Online 应用程序。 Windows 公司门户支持此功能。 在Intune的“自定义”窗格中，选择“在 Windows 公司门户中隐藏或显示Microsoft Entra企业应用程序和 Office Online 应用程序。 每个最终用户都会从所选的 Microsoft 服务中看到其整个应用程序目录。 默认情况下，每个应用源将设置为 “隐藏”。 在Microsoft Intune管理中心，选择“租户管理>自定义”以查找此配置设置。 有关详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

包含格式文本的 Windows 公司门户应用说明

使用 markdown，现在可以使用 Windows 公司门户中的富文本显示应用说明。 有关公司门户的详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

应用保护策略允许管理员配置传入组织数据位置

现在可以控制允许哪些受信任的数据源打开到组织文档中。 与组织数据应用保护策略选项的现有 “保存副本” 类似，可以定义受信任的传入数据位置。 此功能与以下应用保护策略设置相关：

• 保存组织数据的副本
• 将数据打开到组织文档中
• 允许用户从选定服务打开数据

在Microsoft Intune管理中心，选择“应用>应用保护策略>Create策略”。 若要使用此功能，Intune策略管理的应用程序必须实现对此控件的支持。 有关详细信息，请参阅 iOS 应用保护策略设置 和 Android 应用保护策略设置。

设备配置

COPE 预览版更新：为具有工作配置文件的 Android Enterprise 公司拥有的设备创建工作配置文件密码要求的新设置

现在，通过新设置，管理员可以为具有工作配置文件的 Android Enterprise 公司拥有的设备设置工作配置文件密码要求：

• 所需密码类型
• 最短密码长度
• 密码还剩多少天到期
• 必须有多少个密码后用户才能重用密码
• 登录失败多少次后擦除设备

有关详细信息，请参阅使用 Intune 允许或限制功能的 Android Enterprise 设备设置。

COPE 预览版更新：使用工作配置文件为 Android Enterprise 公司拥有的设备配置个人配置文件的新设置

对于具有工作配置文件的 Android Enterprise 公司拥有的设备，可以配置一些新设置，这些设置仅适用于个人配置文件 (设备>配置>Create>Android Enterprise for platform >完全托管、专用和 Corporate-Owned 工作配置文件>的设备限制配置文件>配置文件) ：

• 相机：使用此设置可阻止在个人使用期间访问相机。
• 屏幕捕获：使用此设置可在个人使用期间阻止屏幕捕获。
• 允许用户从个人配置文件中的未知源启用应用安装：使用此设置可允许用户在个人配置文件中安装来自未知源的应用。

应用于：

• 具有工作配置文件的 Android Enterprise 公司拥有的设备，支持个人的设备。

若要查看可以配置的所有设置，请转到 Android Enterprise 设备设置以允许或限制功能。

使用组策略分析分析本地 GPO

在“设备>组策略分析”中，可以在Intune管理中心 (GPO) 导入组策略对象。 导入时，Intune会自动分析 GPO，并显示Intune中具有等效设置的策略。 它还显示已弃用或不再受支持的 GPO。 有关更深入的信息，请转到 报表>组策略分析> 迁移就绪情况报告。

有关此功能的详细信息，请参阅组策略分析。

应用于：

• Windows 10 及更高版本

在 iOS/iPadOS 上阻止应用剪辑，并在 macOS 设备上延迟非 OS 软件更新

在 iOS/iPadOS 和 macOS 设备上创建设备限制配置文件时，有一些新设置：

iOS/iPadOS 14.0+ 块应用剪辑

• 适用于 iOS/iPadOS 14.0 及更新。
• 设备必须使用设备注册或自动设备注册 (受监督设备) 。
• “阻止应用剪辑”设置阻止托管设备上的应用剪辑 (设备>配置>Create>iOS/iPadOS 平台>配置文件>常规) 的设备限制。 阻止后，用户无法添加任何应用剪辑，并且现有应用剪辑将被删除。

macOS 11+ 延迟软件更新

• 适用于 macOS 11 及更新版本。 在受监督的 macOS 设备上，设备必须具有用户批准的设备注册，或通过自动设备注册进行注册。
• 现有的“延迟软件更新”设置现在可以延迟 OS 和非 OS 更新 (设备>配置>Create>macOS 平台>配置文件>常规) 的设备限制。 软件更新的现有 延迟可见性 设置适用于 OS 和非 OS 更新。 延迟非 OS 软件更新不会影响计划的更新。
• 现有策略的行为不会更改、影响或删除。 现有策略将自动迁移到具有相同配置的新设置。

若要查看可以配置的设备限制设置，请参阅 iOS/iPadOS 和 macOS。

在 iOS/iPadOS 和 macOS 设备上使用每应用 VPN 或按需 VPN 的新设置

可以在设备>配置>Create>iOS/iPadOS 或 macOS 中为平台 > VPN 配置自动 VPN 配置文件，以用于配置文件>自动 VPN。 可以配置新的每应用 VPN 设置：

• 防止用户禁用自动 VPN：创建自动 按应用 VPN 或 按需 VPN 连接时，可以强制用户保持自动 VPN 启用和运行。
• 关联域：创建自动 每应用 VPN 连接时，可以在 VPN 配置文件中添加自动启动 VPN 连接的关联域。 有关关联域的详细信息，请参阅 关联的域。
• 排除的域：创建自动 每应用 VPN 连接时，可以添加在连接每个应用 VPN 时可以绕过 VPN 连接的域。

若要查看这些设置以及可以配置的其他设置，请转到 iOS/iPadOS VPN 设置 和 macOS VPN 设置。

为 iOS/iPadOS 设备设置每应用虚拟专用网络 (VPN) 。

应用于：

• iOS/iPadOS 14 及更新版
• macOS Big Sur (macOS 11)

设置 iOS/iPadOS 设备上的 IKEv2 VPN 连接的最大传输单位

从 iOS/iPadOS 14 及更新的设备开始，在使用 IKEv2 VPN 连接时，可以配置自定义最大传输单元 (MTU) ， (设备>配置>Create>iOS/iPadOS 平台 >VPN，用于配置文件 >IKEv2 的连接类型) 。

有关此设置以及可配置的其他设置的详细信息，请参阅 IKEv2 设置。

应用于：

• iOS/iPadOS 14 及更新版

iOS/iPadOS 设备上电子邮件配置文件的每个帐户 VPN 连接

从 iOS/iPadOS 14 开始，可以根据用户使用的帐户通过 VPN 路由本机邮件应用的电子邮件流量。 在 Intune 中，可以配置每个帐户的 VPN 配置文件 VPN 设置 (设备>配置>Create>iOS/iPadOS for 平台>Email配置文件>Exchange ActiveSync电子邮件设置) 。

此功能允许你选择用于基于帐户的 VPN 连接的按应用 VPN 配置文件。 当用户在“邮件”应用中使用其组织帐户时，每应用 VPN 连接会自动打开。

若要查看此设置以及可配置的其他设置，请转到 为 iOS 和 iPadOS 设备添加电子邮件设置。

应用于：

• iOS/iPadOS 14 及更新版

在 iOS/iPadOS 设备上的 Wi-Fi 网络上禁用 MAC 地址随机化

从 iOS/iPadOS 14 开始，默认情况下，设备在连接到网络时显示随机 MAC 地址，而不是物理 MAC 地址。 出于隐私原因，建议使用此行为，因为很难按设备的 MAC 地址跟踪设备。 此功能还会破坏依赖于静态 MAC 地址的功能，包括网络访问控制 (NAC) 。

可以在 Wi-Fi 配置文件中按网络禁用 MAC 地址随机化 (设备>配置>Create>iOS/iPadOS for platform >Wi-Fi for profile >Basic 或 Enterprise for Wi-Fi type) 。

若要查看此设置以及可配置的其他设置，请转到 为 iOS 和 iPadOS 设备添加 Wi-Fi 设置。

应用于：

• iOS/iPadOS 14 及更新版

设备控制配置文件的新设置

我们已将一对设置添加到设备控制配置文件，用于运行Windows 10或更高版本的设备的攻击面减少策略：

• 可移动存储
• 仅) (HoloLens 的 USB 连接

攻击面减少策略是 Intune 中的终结点安全的一部分。

设备注册

注册状态页显示关键展台策略

现在，你将能够在“注册状态”页上看到跟踪的以下策略

• 分配的访问权限
• 展台浏览器设置
• Edge 浏览器设置

目前不会跟踪所有其他展台策略。

设备管理

支持适用于 Zebra 设备的 PowerPrecision 和 PowerPrecision+ 电池

在设备的硬件详细信息页上，现在可以看到有关使用 PowerPrecision 和 PowerPrecision+ 电池的 Zebra 设备的以下信息：

• 由 Zebra (PowerPrecision+ 电池确定的健康状态分级仅)
• 消耗的完全充电周期数
• 上次在设备中找到电池的上次检查日期
• 上次在设备中找到的电池组序列号

COPE 预览版更新：使用工作配置文件重置 Android Enterprise 公司拥有的设备的工作配置文件密码

现在，可以使用工作配置文件在 Android Enterprise 公司拥有的设备上重置工作配置文件密码。 有关详细信息，请参阅 重置密码。

重命名已加入Microsoft Entra共同管理的设备

现在可以重命名已加入Microsoft Entra共同管理的设备。 有关详细信息，请参阅重命名Intune中的设备。

租户附加：管理中心中的设备时间线

当Configuration Manager通过租户附加将设备同步到Microsoft Intune时，可以看到事件时间线。 此时间线显示设备上过去的活动，可帮助你解决问题。 有关详细信息，请参阅租户附加：管理中心中的设备时间线。

租户附加：管理中心中的资源浏览器

在Microsoft Intune管理中心，可以使用资源浏览器查看已上传Configuration Manager设备的硬件清单。 有关详细信息，请参阅 租户附加：管理中心中的资源浏览器。

租户附加：来自管理中心的 CMPivot

将 CMPivot 的强大功能引入Microsoft Intune管理中心。 允许其他角色（如支持人员）从云中针对单个ConfigMgr托管设备发起实时查询，并将结果返回给管理中心。 此功能具有 CMPivot 的传统优势。 它使 IT 管理员和其他指定角色能够快速评估其环境中的设备状态并采取措施。

有关管理中心的 CMPivot 的详细信息，请参阅 CMPivot 先决条件、 CMPivot 概述和 CMPivot 示例脚本。

租户附加：从管理中心运行脚本

将Configuration Manager本地运行脚本功能的强大功能引入Microsoft Intune管理中心。 允许其他角色（如支持人员）从云中针对单个Configuration Manager托管设备实时运行 PowerShell 脚本。 此功能提供了 PowerShell 脚本的所有传统优势，这些脚本已由 Configuration Manager 管理员对此新环境进行定义和批准。 有关详细信息，请参阅 租户附加：从管理中心运行脚本。

预览版中租户附加设备的篡改保护策略

在预览版中，我们添加了一个新配置文件，Intune终结点安全防病毒策略，可用于在租户附加设备上管理篡改防护：Windows 安全中心体验 (预览版) 。

创建新的防病毒策略时，新配置文件位于 Windows 10 和 Windows Server (ConfigMgr) 平台下。

需要配置Configuration Manager租户附加设备，并将设备与Intune同步，然后才能将Intune终结点安全策略用于租户附加设备。

此外，请注意使用和支持Intune策略的篡改防护所需的特定先决条件。

设备安全性

预览版中的 Microsoft Tunnel 网关 VPN 解决方案

现在可以部署 Microsoft Tunnel 网关 ，以提供对 iOS 和 Android Enterprise 上的本地资源的远程访问， (完全托管、Corporate-Owned 工作配置文件、工作配置文件) 设备。

Microsoft Tunnel 支持使用新式身份验证的每应用和完整设备 VPN、拆分隧道和条件访问功能。 隧道可以支持多个网关服务器，以实现高可用性，以实现生产就绪性。

Android 设备的生物识别身份验证支持

除了指纹之外，新的 Android 设备还利用了一组更多样化的生物识别技术。 当 OEM 实现对非指纹生物识别的支持时，最终用户有可能使用此功能实现安全访问和更好的体验。 Intune 2009 年版本允许最终用户使用指纹或人脸解锁，具体取决于 Android 设备支持的内容。 你可以配置是否可以使用指纹之外的所有生物特征类型来进行身份验证。 有关详细信息，请参阅 Android 设备的应用保护体验。

设备终结点安全配置中的新详细信息

现在可以在设备 终结点安全配置中查看设备的更多详细信息。 当你深入查看已部署到设备的策略的状态详细信息时，你将找到以下设置：

• UPN (用户主体名称) ：UPN 标识将哪个终结点安全配置文件分配给设备上的给定用户。 此信息有助于区分设备上的多个用户和分配给设备的配置文件或基线的多个条目。

有关详细信息，请参阅 解决安全基线的冲突。

终结点安全角色的扩展 RBAC 权限

Intune的 Endpoint Security Manager 角色具有更多基于角色的访问控制， (RBAC) 远程任务的权限。

此角色授予对Microsoft Intune管理中心的访问权限。 它可由管理安全性和合规性功能（包括安全基线、设备符合性、条件访问和Microsoft Defender for Endpoint）的个人使用。

远程任务的新权限包括：

• 立即重新启动
• 远程锁定
• 旋转 BitLockerKeys (预览版)
• 轮换 FileVault 密钥
• 同步设备
• Microsoft Defender
• 启动配置管理器操作

若要查看任何Intune RBAC 角色的完整权限集，请转到 (租户管理员>Intune角色>选择角色>“权限) ”。

安全基线更新

以下安全基线提供了新版本：

• MDM 安全基线(Windows 10 安全性)
• Microsoft Defender for Endpoint 基线

更新的基线版本引入了对最新设置的支持，以帮助维护各个产品团队推荐的最佳做法配置。

若要了解各版本之间的更改，请参阅 比较基线版本以了解如何导出介绍这些更改的 .CSV 文件。

使用终结点安全配置详细信息确定设备策略冲突的来源

为了帮助解决冲突，现在可以深入了解安全基线配置文件，以查看所选设备的 终结点安全配置 。 然后，可以选择显示 “冲突” 或 “错误”的设置。 继续深入查看详细信息列表，其中包括属于冲突的配置文件和策略。

如果随后选择一个冲突源的策略，Intune打开该策略“概述”窗格，可在其中查看或修改策略配置。

在浏览安全基线时，可以将以下策略类型标识为冲突源：

• 设备配置策略
• 终结点安全策略

有关详细信息，请参阅 解决安全基线的冲突。

支持 iOS 和 macOS 设备上密钥大小为 4096 的证书

为 iOS/iPadOS 或 macOS 设备配置 SCEP 证书 配置文件时，现在可以指定 密钥大小 (位) 4096 位。

Intune支持以下平台的 4096 位密钥：

• iOS 14 及更高版本
• macOS 11 及更高版本

若要配置 SCEP 证书配置文件，请参阅Create SCEP 证书配置文件。

Android 11 弃用了将受信任的根证书部署到设备管理员注册的设备

从 Android 11 开始，受信任的根证书不能再在以 Android 设备管理员身份注册的设备上安装受信任的根证书。 此限制不会影响 Samsung Knox 设备。 对于非 Samsung 设备，用户必须在设备上手动安装受信任的根证书。

在设备上手动安装受信任的根证书后，可以使用 SCEP 将证书预配到设备。 仍必须创建 受信任的证书 策略并将其部署到设备，并将该策略链接到 SCEP 证书 配置文件。

• 如果受信任的根证书位于设备上，则 SCEP 证书配置文件可以成功安装。
• 如果在设备上找不到受信任的证书，则 SCEP 证书配置文件将失败。

有关详细信息，请参阅适用于 Android 设备管理员的受信任的证书配置文件。

用于终结点安全防火墙策略中更多设置的三态选项

我们已将第三种配置状态添加到终结点安全防火墙策略中用于Windows 10的更多设置。

更新了以下设置：

• 有状态文件传输协议 (FTP) 现在支持 “未配置”、“ 允许”和 “已禁用”。
• 要求密钥模块仅忽略它们不支持的身份验证套件现在支持“未配置”、“已启用”和“已禁用”。

改进了适用于 Android Enterprise 的证书部署

我们改进了对使用 Outlook S/MIME 证书在 Android Enterprise 设备上加密和签名的支持，这些设备注册为完全托管、专用和 Corporate-Owned 工作配置文件。 以前，使用 S/MIME 需要设备用户允许访问。 现在，无需用户交互即可使用 S/MIME 证书。

若要将 S/MIME 证书部署到支持的 Android 设备，请使用 PKCS 导入的证书配置文件 或 SCEP 证书配置文件 进行设备配置。 Create Android Enterprise 的配置文件，然后从“完全托管”、“专用”和“Corporate-Owned 工作配置文件”类别中选择“PKCS 导入的证书”。

改进了安全基线报表中的状态详细信息

我们已开始改进 安全基线的许多状态详细信息。 现在，在查看有关已部署的基线版本的信息时，你将看到更有意义和更详细的状态。

具体而言，选择基线、选择 “版本”和“选择该基线的实例”时，初始“概述”将显示以下信息：

• 安全基线状况 图表 - 此图表现在显示以下状态详细信息：
  • 匹配默认基线 – 此状态将替换 “匹配”基线 ，并标识设备配置何时与默认 (未修改) 基线配置匹配。
  • 匹配自定义设置 - 此状态标识设备配置何时与已配置 (自定义) 和部署的基线匹配。
  • 配置错误 - 此状态是一个汇总，表示设备的三个状态条件： 错误、 挂起或 冲突。 其他视图中提供了这些单独的状态，如下所述。
  • 不适用 - 此状态表示无法接收策略的设备。 例如，该策略更新特定于最新版本的 Windows 的设置，但设备运行不支持该设置的较旧 (早期) 版本。
• 按类别划分的安全基线状况 - 此视图是按类别显示设备状态的列表视图。 可用列镜像大部分安全基线状况图表，但为了代替“错误配置”，你会看到构成错误配置状态的三列：
  • 错误：无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
  • 冲突：两个设置都应用于同一设备，Intune 无法解决冲突。 管理员应进行审核。
  • 挂起：设备尚未签入 Intune，无法接收策略。

设备管理员注册设备的 Android 10 及更高版本密码复杂性的新设置

为了在注册为 Android 设备管理员的设备上支持 Android 10 及更高版本的新选项，我们向设备符合性策略和设备限制策略添加了一个名为“密码复杂性”的新设置。 使用这个新设置来管理密码强度的 度量值 ，该度量值将影响密码类型、长度和质量。

密码复杂性不适用于 Samsung Knox 设备。 在这些设备上，密码长度和类型设置将覆盖密码复杂性。

密码复杂性支持以下选项：

• 无 - 无密码
• 低 - 密码满足以下条件之一：
  • 模式
  • 具有重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN
• 中 - 密码满足以下条件之一：
  • 没有重复 (4444 的 PIN) 或排序 (1234、4321、2468) 序列，长度至少为 4
  • 字母顺序，长度至少为 4
  • 字母数字，长度至少为 4
• 高 - 密码满足以下条件之一：
  • 没有重复 (4444) 或排序的 PIN (1234、4321、2468) 序列，长度至少为 8
  • 字母顺序，长度至少为 6
  • 字母数字，长度至少为 6

此新设置仍在进行中。 2020 年 10 月下旬，密码复杂性将在设备上生效。

如果将 “密码复杂性” 设置为“ 无”以外的值，则还必须配置其他设置。 其他设置可确保使用的密码不符合复杂性要求的最终用户会收到更新其密码的警告。

• 设备符合性：将 “需要密码才能解锁移动设备 ”设置为 “需要”。
• 设备限制：将“密码”设置为“需要”

如果未将其他设置设置为“需要”，则密码较弱的用户不会收到警告。

监视和疑难解答

终结点分析已正式发布

终结点分析旨在提高用户工作效率，并通过提供用户体验见解来降低 IT 支持成本。 这些见解使 IT 能够通过主动支持优化最终用户体验，并通过评估配置更改对用户的影响来检测用户体验的回归。 有关详细信息，请参阅 终结点分析。

操作报表中列出的设备的批量操作

作为Microsoft Intune安全性下发布的新防病毒报告的一部分，检测到的恶意软件操作报告Windows 10提供了适用于报告中所选设备的批量操作。 操作包括“重启”、“快速扫描”和“完全扫描”。 有关详细信息，请参阅Windows 10检测到的恶意软件报告。

使用图形 API 导出Intune报表

已迁移到 Intune 报告基础结构的所有报表都可用于从单个顶级导出 API 导出。 有关详细信息，请参阅使用图形 API 导出 Intune 报告。

针对Windows 10和更新的新增和改进Microsoft Defender防病毒报告

我们将在 Microsoft Intune Windows 10 上为 Microsoft Defender 防病毒添加四个新报表。 这些报告包括：

• 两个操作报告，Windows 10不正常的终结点和检测到的恶意软件Windows 10。 在“Microsoft Intune管理中心”中，选择“终结点安全>防病毒”。
• 两个组织报告： 防病毒代理状态 和 检测到的恶意软件。 在Microsoft Intune管理中心，选择“报告>Microsoft Defender防病毒”。

有关详细信息，请参阅Intune报表和管理Microsoft Intune中的终结点安全性。

新的Windows 10功能更新报告

Windows 10功能更新报告提供针对Windows 10功能更新策略的设备符合性的总体视图。 在Microsoft Intune管理中心，选择“报告>Windows 更新”以查看此报表的摘要。 若要查看特定策略的报告，请从 “Windows 更新 ”工作负荷中选择“ 报表 ”选项卡，然后打开 “Windows 功能更新报告”。 有关详细信息，请参阅Windows 10功能更新。

2020 年 8 月

应用管理

在删除 Apple VPP 令牌之前吊销的关联许可证

删除 Microsoft Intune 中的 Apple VPP 令牌时，与该令牌关联的所有Intune分配的许可证都会在删除之前自动吊销。

对 Android 公司门户 应用中的“更新设备设置”页的改进，以显示说明

在 Android 设备上的公司门户应用中，“更新设备设置”页面列出了需要更新以符合要求的设置。 用户展开问题以查看详细信息，并且可以看到“解决”按钮。

此用户体验已得到改进。 默认展开列出的设置，以显示说明和“解决”按钮（如果适用）。 以前，默认将问题折叠起来。 这一新的默认行为会减少单击次数，因此用户可以更快地解决问题。

公司门户添加了Configuration Manager应用程序支持

公司门户现在支持Configuration Manager应用程序。 借助此功能，最终用户可以在公司门户中同时看到 Configuration Manager 和 Intune 为共同受管理客户部署的应用程序。 这一新版公司门户将为所有共同管理的客户显示部署了 Configuration Manager 的应用。 此支持将帮助管理员整合其不同的最终用户门户体验。 有关详细信息，请参阅在共同受管理设备上使用公司门户应用。

设备配置

将 NetMotion 用作 iOS/iPadOS 和 macOS 设备的 VPN 连接类型

创建 VPN 配置文件时，NetMotion 可作为 VPN 连接类型 (设备>配置>Create>iOS/iPadOS 或 macOS 作为平台 >VPN，用于配置文件 >NetMotion 的连接类型) 。

有关 Intune 中 VPN 配置文件的详细信息，请参阅 创建 VPN 配置文件以连接到 VPN 服务器。

应用于：

• iOS/iPadOS
• macOS

Windows 10 Wi-Fi配置文件的更多受保护可扩展身份验证协议 (PEAP) 选项

在Windows 10设备上，可以使用可扩展身份验证协议 (EAP) 创建 Wi-Fi 配置文件， (设备>配置>Create>Windows 10及更高版本的平台 >Wi-Fi 对配置文件>企业) 对 Wi-Fi 连接进行身份验证。

选择“受保护的 EAP (PEAP) 时，有新的设置可用：

• 在 PEAP 阶段 1 中执行服务器验证：在 PEAP 协商阶段 1 中，服务器通过证书验证进行验证。
  • 在 PEAP 阶段 1 中禁用服务器验证的用户提示：在 PEAP 协商阶段 1 中，不会显示要求为受信任的证书颁发机构授权新的 PEAP 服务器的用户提示。
• 需要加密绑定：阻止连接到在 PEAP 协商期间不使用加密绑定的 PEAP 服务器。

若要查看可以配置的设置，请转到为Windows 10及更高版本的设备添加 Wi-Fi 设置。

应用于：

• Windows 10 及更高版本

阻止用户使用人脸和虹膜扫描解锁 Android Enterprise 工作配置文件设备

现在可以阻止用户在设备级别或工作配置文件级别使用人脸或虹膜扫描来解锁其工作配置文件管理的设备。 可以在设备>配置>Create>Android Enterprise for platform >Work profile Device restrictions for profile Work profile >settings and Password 部分中设置>此功能。

有关详细信息，请参阅 Android Enterprise 设备设置，以允许或限制使用 Intune 的个人拥有设备上的功能。

应用于：

• Android Enterprise 工作配置文件

通过 Microsoft Enterprise SSO 插件在更多 iOS/iPadOS 应用上使用 SSO 应用扩展

适用于 Apple 设备的 Microsoft 企业 SSO 插件可用于支持 SSO 应用扩展的所有应用。 在 Intune 中，此功能意味着该插件适用于移动 iOS/iPadOS 应用，这些应用不使用 Microsoft 身份验证库 (适用于 Apple 设备的 MSAL) 。 应用不需要使用 MSAL，但它们确实需要使用Microsoft Entra终结点进行身份验证。

若要将 iOS/iPadOS 应用配置为将 SSO 与插件配合使用，请在 iOS/iPadOS 配置文件中添加应用捆绑标识符 (设备>配置>Create>iOS/iPadOS 平台>设备功能配置文件>单一登录应用扩展>Microsoft Entra ID SSO 应用扩展类型>应用捆绑 ID) 。

若要查看可以配置的当前 SSO 应用扩展设置，请转到 单一登录应用扩展。

应用于：

• iOS/iPadOS

PFX 证书连接器的新版本和 PKCS 证书配置文件支持的更改

我们发布了新版本的 PFX 证书连接器，版本 6.2008.60.607。 这一新版连接器具有以下特点:

• 支持除 Windows 8.1 之外的所有受支持平台上的 PKCS 证书配置文件

  我们已在 PFX 证书连接器中整合了所有 PCKS 支持。 因此，如果不在环境中使用 SCEP，并且未将 NDES 用于其他意向，则可以删除 Microsoft 证书连接器并从环境中卸载 NDES。

• 由于 Microsoft 证书连接器未删除功能，因此可以继续使用它们来支持 PKCS 证书配置文件。

• 支持对 Outlook S/MIME 吊销证书

• 需要 .NET Framework 4.7.2

有关证书连接器的详细信息（包括两个证书连接器的连接器版本列表），请参阅 证书连接器

设备管理

租户附加：从管理中心安装应用程序

现在可以从 Microsoft Intune 管理中心为租户附加设备实时启动应用程序安装。 有关详细信息，请参阅 租户附加：从管理中心安装应用程序。

设备安全性

将终结点安全性防病毒策略部署到租户附加的设备 (预览版)

作为预览版，可以将防病毒的终结点安全策略部署到使用 Configuration Manager 管理的设备。 此方案要求在受支持的 Configuration Manager 版本与 Intune 订阅之间配置租户附加。 支持以下版本的Configuration Manager：

• Configuration Manager current branch 2006

有关详细信息，请参阅[Intune终结点安全策略的要求] (。/protect/tenant-attach-intune.md# requirements-for-intune-endpoint-security-policies) 以支持租户附加。

终结点安全防病毒策略排除项的更改

我们引入了两项更改，用于管理配置为 Endpoint Security 防病毒策略一部分的Microsoft Defender防病毒排除列表。 这些更改有助于防止不同策略之间的冲突，并解决以前部署的策略中可能存在的排除列表冲突。

这两项更改都适用于以下Microsoft Defender防病毒配置服务提供程序 (CSP) 的策略设置：

• Defender/ExcludedPaths
• Defender/ExcludedExtensions
• Defender/ExcludedProcesses

更改包括：

• 新配置文件类型：Microsoft Defender防病毒排除 - 将此新配置文件类型用于 Windows 10 及更高版本，以定义仅侧重于防病毒排除的策略。 此配置文件通过将排除列表与其他策略配置分开来帮助简化对排除列表的管理。

  可以配置的排除项包括 Defender 进程、文件扩展名以及不希望Microsoft Defender扫描的文件和文件夹。

• 策略合并 - Intune现在将你在单独配置文件中定义的排除项列表合并为一个要应用于每个设备或用户的排除项列表。 例如，如果面向具有三个单独策略的用户，则这三个策略中的排除列表合并到一个Microsoft Defender防病毒排除的超集中，这些超集随后将应用于该用户。

导入和导出 Windows 防火墙规则的地址范围列表

我们已支持使用 .csv 文件将地址范围导入或导出到终结点安全的防火墙策略中的Microsoft Defender防火墙规则配置文件。 以下 Windows 防火墙规则设置现在支持导入和导出：

• 本地地址范围
• 远程地址范围

我们还改进了对本地和远程地址范围条目的验证，以帮助防止重复或无效条目。

有关这些设置的详细信息，请参阅Microsoft Defender防火墙规则的设置。

设置来自第三方 MDM 提供程序的设备符合性状态

Intune现在支持第三方 MDM 解决方案作为设备符合性详细信息的来源。 此第三方合规性数据可用于通过与 Microsoft Intune 集成，在 iOS 和 Android 上强制实施 Microsoft 365 应用的条件访问策略。 Intune评估第三方提供程序的符合性详细信息以确定设备是否受信任，然后在 Microsoft Entra ID 中设置条件访问属性。 将继续从Microsoft Intune管理中心或Microsoft Entra 管理中心中创建Microsoft Entra条件访问策略。

此版本支持以下第三方 MDM 提供程序（作为公共预览版）：

• VMware Workspace ONE UEM (以前称为 AirWatch)

此更新将面向全球客户推出。 应在下周内看到此功能。

Intune 应用

自定义品牌图像现在显示在 Windows 公司门户 个人资料页中

作为Microsoft Intune管理员，你可以将自定义品牌图像上传到Intune。 此图像在 Windows 公司门户 应用中的用户个人资料页上显示为背景图像。 有关详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

2020 年 7 月

应用管理

在 Android 公司门户 和 Intune 应用中更新设备图标

我们更新了 Android 设备上的公司门户和Intune应用中的设备图标，以创建更现代的外观，并与 Microsoft Fluent Design System保持一致。 有关详细信息，请参阅更新到适用于 iOS/iPadOS 和 macOS 的 公司门户 应用中的图标。

Exchange 本地连接器支持

Intune从 2007 年 7 月 () 版开始从 Intune 服务中删除对 Exchange 本地连接器功能的支持。 目前，具有活动连接器的现有客户可以继续使用当前功能。 没有活动连接器的新客户和现有客户将无法再从Intune创建新连接器或管理Exchange ActiveSync (EAS) 设备。 对于这些客户，Microsoft 建议使用 Exchange 混合新式身份验证 (HMA) 来保护对 Exchange 本地的访问。 HMA 同时启用了 Intune 应用保护策略（也称为 MAM）和条件访问（通过适用于 Exchange 内部部署的 Outlook Mobile）。

适用于 iOS 和 Android 设备上的 Outlook 的 S/MIME，无需注册

现在，可以使用托管应用的应用配置策略为 iOS 和 Android 设备上的 Outlook 启用 S/MIME。 无论设备注册状态如何，此功能都允许策略交付。 在“Microsoft Intune管理中心”中，选择“应用>”“应用配置策略>”“添加>托管应用”。 此外，还可以选择是否允许用户在 Outlook 中更改此设置。 但是，若要自动将 S/MIME 证书部署到 Outlook for iOS 和 Android，必须注册设备。 有关 S/MIME 的一般信息，请参阅 S/MIME 概述以在 Intune 中对电子邮件进行签名和加密。 有关 Outlook 配置设置的详细信息，请参阅 Microsoft Outlook 配置设置 和 在没有设备注册的情况下为托管应用添加应用配置策略。 有关 Outlook for iOS 和 Android S/MIME 信息，请参阅 S/MIME 方案和配置密钥 - S/MIME 设置。

设备配置

适用于Windows 10和较新设备的新 VPN 设置

使用 IKEv2 连接类型创建 VPN 配置文件时，可以使用新设置配置 (设备>配置>Create>Windows 10及更高版本，用于配置文件>基本 VPN) 的平台 >VPN：

• 设备隧道：允许设备自动连接到 VPN，而无需任何用户交互，包括用户登录。 此功能要求启用Always On，并使用计算机证书作为身份验证方法。
• 加密套件设置：配置用于保护 IKE 和子安全关联的算法，以便匹配客户端和服务器设置。

若要查看可配置的设置，请转到 Windows 设备设置以使用 Intune 添加 VPN 连接。

应用于：

• Windows 10 及更高版本

在 Android Enterprise 设备上的设备限制配置文件中配置更多 Microsoft Launcher 设置 (COBO)

在 Android Enterprise 完全托管设备上，可以使用设备限制配置文件 (设备>配置>Create>Android Enterprise for platform >Device Owner only>Device restrictions>Device experience>Fully managed) 来配置更多 Microsoft Launcher 设置。

若要查看这些设置，请转到 Android Enterprise 设备设置以允许或限制功能。

还可以使用 应用配置文件配置 Microsoft Launcher 设置。

应用于：

• Android Enterprise 设备所有者完全托管的设备 (COBO)

Android Enterprise 设备所有者专用设备上的托管主屏幕新功能 (COSU)

在 Android Enterprise 设备上，管理员可以使用设备配置文件在专用设备上自定义托管主屏幕，使用多应用展台模式 (设备>配置>Create>Android Enterprise for platform >Device Owner For> profile >Device experience>专用设备>多应用) 。

具体而言，你可以：

• 自定义图标、更改屏幕方向，并在锁屏提醒图标上显示应用通知
• 隐藏托管设置快捷方式
• 更轻松地访问调试菜单
• Create允许的 Wi-Fi 网络列表
• 更轻松地访问设备信息

有关详细信息，请参阅 用于允许或限制功能的 Android Enterprise 设备设置 和 此博客。

应用于：

• Android Enterprise 设备所有者、专用设备 (COSU)

针对 Microsoft Edge 84 更新的管理模板

适用于 Microsoft Edge 的 ADMX 设置已更新。 最终用户现在可以配置和部署在 Edge 84 中添加的新 ADMX 设置。 有关详细信息，请参阅 Edge 84 发行说明。

设备注册

iOS 公司门户将支持 Apple 的自动设备注册，无需用户关联

现在，使用 Apple 自动设备注册注册的设备上支持 iOS 公司门户，而无需分配用户。 最终用户可以登录到 iOS 公司门户，以在未使用设备相关性注册的 iOS/iPadOS 设备上将自己确定为主要用户。 有关自动设备注册的详细信息，请参阅 使用 Apple 的自动设备注册自动注册 iOS/iPadOS 设备。

公司拥有的、支持个人的设备 (预览版)

Intune现在支持 Android Enterprise 公司拥有的设备，其工作配置文件适用于 OS 版本 Android 8 及更高版本。 具有工作配置文件的公司自有设备是 Android Enterprise 解决方案集中的企业管理方案之一。 此方案适用于供公司和个人使用的单用户设备。 此公司拥有的、个人启用 (COPE) 方案提供：

• 工作和个人配置文件容器化
• 面向管理员的设备级控制
• 保证最终用户的个人数据和应用程序将保持私密

第一个公共预览版将包括将包含在正式发布版本中的一部分功能。 将滚动添加更多功能。 将在第一个预览版中提供的功能包括：

• 注册：管理员可以创建具有未过期的唯一令牌的多个注册配置文件。 可以通过 NFC、令牌输入、QR 码、零接触或 Knox 移动注册来完成设备注册。
• 设备配置：现有完全托管和专用设备设置的子集。
• 设备符合性：当前可用于完全托管设备的符合性策略。
• 设备操作：删除设备 (恢复出厂设置) 、重启设备和锁定设备。
• 应用管理：应用分配、应用配置和关联的报告功能
• 条件访问

有关公司拥有的工作配置文件预览版的详细信息，请参阅 支持博客。

设备管理

租户附加：在管理中心ConfigMgr客户端详细信息 (预览)

现在可以在Microsoft Intune管理中心查看ConfigMgr客户端详细信息，包括集合、边界组成员身份和特定设备的实时客户端信息。 有关详细信息，请参阅租户附加：管理中心中的ConfigMgr客户端详细信息 (预览版) 。

汇报 macOS 设备的远程锁定操作

对 macOS 设备的远程锁定操作的更改包括：

• 恢复引脚在删除前显示 30 天 (而不是 7 天) 。
• 如果管理员打开了第二个浏览器，并尝试从其他选项卡或浏览器再次触发命令，Intune允许命令执行。 但报告状态设置为“失败”，而不是生成新引脚。
• 如果上一个命令仍处于挂起状态或设备尚未签入，则不允许管理员发出另一个远程锁定命令。 这些更改旨在防止在多个远程锁定命令后覆盖正确的引脚。

设备操作报告区分擦除和保护擦除

设备操作报告现在区分擦除操作和受保护的擦除操作。 若要查看报告，请转到“其他) ”下的“Microsoft Intune管理中心>设备>监视>设备操作 (”。

设备安全性

Microsoft Defender防火墙规则迁移工具预览

作为公共预览版，我们正在开发一个基于 PowerShell 的工具，该工具将迁移Microsoft Defender防火墙规则。 安装并运行该工具时，它会自动为Intune创建终结点安全防火墙规则策略。 这些规则基于Windows 10客户端的当前配置。 有关详细信息，请参阅 终结点安全防火墙规则迁移工具概述。

用于将租户附加设备载入到Microsoft Defender for Endpoint的终结点检测和响应策略已正式发布

作为 Intune 中终结点安全性的一部分，终结点检测和响应 (EDR) 策略可用于由 Configuration Manager 管理的设备。

若要将 EDR 策略与受支持版本的 Configuration Manager 的设备配合使用，请为Configuration Manager配置租户附加。 完成租户附加配置后，可以将 EDR 策略部署到由Configuration Manager管理的设备加入到Microsoft Defender for Endpoint。

终结点安全攻击面减少策略的设备控制配置文件中提供了蓝牙设置

我们已将管理Windows 10设备上的蓝牙的设置添加到终结点安全攻击面减少策略的设备控制配置文件中。 这些设置与设备 配置的设备限制配置文件中提供的设置相同。

使用适用于Windows 10设备的终结点安全防病毒策略管理定义更新的源位置

Windows 10 设备的终结点安全防病毒策略的汇报类别有新设置。 这些设置可帮助你管理设备获取更新定义的方式：

• 定义用于下载定义更新的文件共享
• 定义下载定义更新的源顺序

使用新设置，可以将 UNC 文件共享添加为定义更新的下载源位置，并定义联系不同源位置的顺序。

改进了安全基线节点

我们进行了一些更改，以提高Microsoft Intune管理中心中安全基线节点的可用性。 现在，当你钻取到 终结点安全>基线 并选择安全基线类型（如 MDM 安全基线）时，会显示 “配置文件 ”窗格。 在“配置文件”窗格中，可以查看为该基线类型创建的配置文件。 以前，控制台会显示一个“概述”窗格，其中包含的聚合数据汇总并不总是与各个配置文件的报表中找到的详细信息相匹配。

未更改，可以从“配置文件”窗格中选择要钻取的配置文件，以查看“ 监视器”下可用的配置文件属性和各种报表。 同样，在与“配置文件”相同的级别上，你仍然可以选择“ 版本 ”来查看已部署的该配置文件类型的各种版本。 钻取到某个版本时，还可以访问报表，类似于配置文件报表。

Windows 的派生凭据支持

现在可以将派生凭据用于 Windows 设备。 此功能扩展了对 iOS/iPadOS 和 Android 的现有支持，并将适用于相同的派生凭据提供程序：

• Entrust
• Intercede
• DISA Purebred

对寡妇的支持包括使用派生凭据对 Wi-Fi 或 VPN 配置文件进行身份验证。 对于 Windows 设备，派生凭据是从客户端应用颁发的，该应用由你使用的派生凭据提供程序提供。

管理由设备用户加密（而不是由Intune加密的设备）的 FileVault 加密

Intune现在可以在由设备用户加密的 macOS 设备上（而不是通过Intune策略）上管理 FileVault 磁盘加密。 此方案需要：

• 要从启用 FileVault 的Intune接收磁盘加密策略的设备。
• 使用公司门户网站将加密设备的个人恢复密钥上传到Intune的设备用户。 若要上传密钥，请为其加密的 macOS 设备选择 “存储恢复密钥 ”选项。

用户上传恢复密钥后，Intune轮换密钥以确认密钥有效。 Intune现在可以像使用策略直接加密设备一样管理密钥和加密。 如果用户需要恢复其设备，他们可以使用以下位置中的任何设备访问恢复密钥：

• 公司门户网站
• 适用于 iOS/iPadOS 的公司门户应用
• 适用于 Android 的公司门户应用
• Intune 应用

在 macOS FileVault 磁盘加密期间，对设备用户隐藏个人恢复密钥

使用终结点安全策略配置 macOS FileVault 磁盘加密时，请使用 隐藏恢复密钥 设置来防止在设备加密时向设备用户显示 个人恢复密钥 。 通过在加密期间隐藏密钥，你可以帮助确保密钥的安全，因为用户在等待设备加密时无法将其写下来。

以后，如果需要恢复，用户可以通过以下选项使用任何设备查看其个人恢复密钥：

• Intune 公司门户网站
• iOS/iPadOS 公司门户应用
• Android 公司门户 应用
• Intune应用

改进了设备的安全基线详细信息视图

现在，你可以深入了解设备的详细信息，以查看适用于设备的安全基线的设置详细信息。 设置显示在简单的平面列表中，其中包括设置类别、设置名称和状态。 有关详细信息，请参阅 查看每台设备的终结点安全配置。

监视和疑难解答

设备符合性日志现在以英语显示

Intune DeviceComplianceOrg 日志以前只有 ComplianceState、OwnerType 和 DeviceHealthThreatLevel 的枚举。 现在，这些日志在列中包含英语信息。

Power BI 合规性报告模板 V2.0

Power BI 模板应用使 Power BI 合作伙伴无需编写代码即可生成 Power BI 应用，并将其部署到任何 Power BI 客户。 管理员可以将 Power BI 合规性报告模板的版本从 V1.0 更新到 V2.0。 V2.0 包括改进的设计，以及对作为模板一部分显示的计算和数据所做的更改。 有关详细信息，请参阅使用 Power BI 连接到Data Warehouse和更新模板应用。 另请参阅博客文章宣布推出具有Intune Data Warehouse的 Power BI 合规性报表的新版本。

基于角色的访问控制

分配配置文件和更新配置文件权限更改

自动化设备注册流的“分配配置文件”和“更新配置文件”的基于角色的访问控制权限已更改：

分配配置文件：具有此权限的管理员还可以将配置文件分配给令牌，并将默认配置文件分配给自动设备注册的令牌。

更新配置文件：具有此权限的管理员只能更新自动设备注册的现有配置文件。

若要查看这些角色，请转到Microsoft Intune管理中心>租户管理>角色>所有角色>Create>权限>角色。

脚本编写

Data Warehouse v1.0 属性

可以使用 Intune Data Warehouse v1.0 提供更多属性。 以下属性现在通过 设备 实体公开：

• ethernetMacAddress - 此设备的唯一网络标识符。
• office365Version - 设备上安装的 Microsoft 365 版本。

以下属性现在通过 devicePropertyHistories 实体公开：

• physicalMemoryInBytes - 物理内存（以字节为单位）。
• totalStorageSpaceInBytes - 总存储容量（以字节为单位）。

有关详细信息，请参阅 Microsoft Intune Data Warehouse API。

2020 年 6 月

应用管理

托管应用的电信数据传输保护

在受保护的应用中检测到超链接电话号码时，Intune 检查分配的应用保护策略是否允许将该号码转移到拨号器应用。 当从策略托管应用启动此类内容传输时，可以选择如何处理此类内容传输。 在 Microsoft Intune 中创建应用保护策略时，请从“将组织数据发送到其他应用”中选择托管应用选项，然后从“传输电信数据”中选择一个选项。 有关此数据保护设置的详细信息，请参阅 Microsoft Intune 和 iOS 应用保护策略设置中的 Android 应用保护策略设置。

在 Windows 公司门户中统一交付 Microsoft Entra Enterprise 和 Office Online 应用程序

在Intune的“自定义”窗格中，可以选择在公司门户中同时隐藏或显示Microsoft Entra企业应用程序和 Office Online 应用程序。 每个最终用户都会从所选的 Microsoft 服务中看到其整个应用程序目录。 默认情况下，每个应用源将设置为 “隐藏”。 此功能将首先在 公司门户 网站中生效，预计 Windows 公司门户会提供支持。 在Microsoft Intune管理中心，选择“租户管理>自定义”以查找此配置设置。 有关详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

针对 macOS 注册体验的公司门户改进

用于 macOS 注册的公司门户提供的注册过程更简单，与用于 iOS 注册的公司门户高度一致。 设备用户将看到：

• 流畅的用户界面。
• 改进的注册清单。
• 更清晰的设备注册说明。
• 改进的疑难解答选项。

有关公司门户的详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

iOS/iPadOS 和 macOS 公司门户的设备改进页面

我们已对“公司门户设备”页面进行了更改，以改善 iOS/iPadOS 和 Mac 用户的应用体验。 除了创建更现代的外观外，我们还在具有定义的节标题的单个列下重新组织了设备详细信息，以便用户可以更轻松地查看其设备状态。 我们还为设备不符合要求的用户添加了更清晰的消息传递和故障排除步骤。 有关公司门户的详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。 若要手动同步设备，请参阅 手动同步 iOS 设备。

适用于 iOS/iPadOS 公司门户 应用的云设置

iOS/iPadOS 公司门户的新云设置允许用户将其身份验证重定向到组织的相应云。 默认情况下，该设置配置为 “自动”，它将身份验证定向到用户设备自动检测到的云。 如果组织的身份验证必须重定向到云，而不是自动检测到 (云（例如公共或政府) ），则用户可以通过选择“设置”应用>公司门户>云来手动选择相应的云。 仅当用户从其他设备登录且其设备不会自动检测到相应的云时，才应将云设置从“自动”更改为“自动”。

复制 Apple VPP 令牌

具有相同 令牌位置 的 Apple VPP 令牌现在标记为 “重复 ”，并在删除重复令牌后再次同步。 你仍然可以为标记为重复的令牌分配和撤销许可证。 但是，一旦令牌标记为重复，购买的新应用和书籍的许可证可能不会反映。 若要查找租户的 Apple VPP 令牌，请在管理中心Microsoft Intune，选择“租户管理>连接器和令牌>”“Apple VPP 令牌”。 有关 VPP 令牌的详细信息，请参阅如何使用 Microsoft Intune 管理通过 Apple 批量购买计划购买的 iOS 和 macOS 应用。

汇报 iOS/iPadOS 公司门户中的信息性屏幕

公司门户 for iOS/iPadOS 中的信息性屏幕已更新，以更好地解释管理员可以在设备上查看和执行的操作。 这些说明仅涉及公司拥有的设备。 只更新了文本，没有对管理员可以在用户设备上看到或执行的操作进行实际修改。 若要查看更新的屏幕，请转到Intune最终用户应用的 UI 更新。

更新了 Android APP 条件启动最终用户体验

2006 年版本的 Android 公司门户具有基于 2005 版本中的更新的更改。 2005 年，我们推出了一项更新，其中应用保护策略发出警告、阻止或擦除的 Android 设备的最终用户会看到一条整页消息，其中描述了警告、阻止或擦除的原因以及修正问题的步骤。 在 2006 年，首次分配应用保护策略的 Android 应用用户将通过引导流来修正导致其应用访问被阻止的问题。

新提供的适用于 Intune 的受保护应用

现在可以使用以下受保护的应用：

• BlueJeans 视频会议
• Cisco Jabber for Intune
• Tableau Mobile for Intune
• 零Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备配置

在 macOS 设备上的 Wi-Fi 配置文件中添加多个根证书用于 EAP-TLS 身份验证

在 macOS 设备上，可以创建 Wi-Fi 配置文件，并选择“可扩展身份验证协议 (EAP) 身份验证类型 (设备>配置>Create>macOS for platform >Wi-Fi for profile >Wi-Fi 类型设置为 Enterprise) 。

将 EAP 类型 设置为 EAP-TLS、 EAP-TTLS 或 PEAP 身份验证时，可以添加多个根证书。 以前，只能添加一个根证书。

有关可配置的设置的详细信息，请参阅在 Microsoft Intune 中添加 macOS 设备的 Wi-Fi 设置。

应用于：

• macOS

在Windows 10和较新的设备上将 PKCS 证书与 Wi-Fi 配置文件配合使用

可以使用 SCEP 证书对 Windows Wi-Fi 配置文件进行身份验证 (设备>配置>Create>Windows 10及更高版本对配置文件类型>企业>EAP 类型) 的平台 >Wi-Fi 进行身份验证。 现在，可以将 PKCS 证书与 Windows Wi-Fi 配置文件一起使用。 此功能允许用户在租户中使用新的或现有的 PKCS 证书配置文件对 Wi-Fi 配置文件进行身份验证。

有关可配置的 Wi-Fi 设置的详细信息，请参阅在 Intune 中添加Windows 10及更高版本的设备的 Wi-Fi 设置。

应用于：

• Windows 10 及更高版本

macOS 设备的有线网络设备配置文件

新的 macOS 设备配置文件可用于配置有线网络 (设备>配置>Create>macOS for platform >Wired Network for profile) 。 使用此功能创建 802.1x 配置文件来管理有线网络，并将这些有线网络部署到 macOS 设备。

有关此功能的详细信息，请参阅 macOS 设备上的有线网络。

应用于：

• macOS

使用 Microsoft Launcher 作为完全托管的 Android Enterprise 设备的默认启动器

在 Android Enterprise 设备所有者设备上，可以将 Microsoft Launcher 设置为完全托管设备的默认启动器 (设备>配置>Create>Android Enterprise for platform >Device owner device owner>device restrictions for profile >Device experience) 。 若要配置所有其他 Microsoft Launcher 设置，请使用 应用配置策略。

此外，还有一些其他 UI 更新，包括 专用设备 正在重命名为 设备体验。

若要查看可以限制的所有设置，请参阅 Android Enterprise 设备设置以允许或限制使用 Intune 的功能。

应用于：

• Android Enterprise 设备所有者完全托管的设备 (COBO)

使用自治单应用模式设置将 iOS 公司门户 应用配置为登录/注销应用

在 iOS/iPadOS 设备上，可以将应用配置为在自治单应用模式下运行， (ASAM) 。 现在，公司门户应用支持 ASAM，并且可以配置为“登录/注销”应用。 在此模式下，用户必须登录到 公司门户 应用才能使用设备上的其他应用和“主屏幕”按钮。 当他们注销公司门户应用时，设备将返回到单应用模式，并锁定公司门户应用。

若要将公司门户配置为在 ASAM 中，请转到“设备>配置>Create>iOS/iPadOS”平台>“”配置文件>自治单应用模式的设备限制”。

有关详细信息，请参阅 自治单应用模式 (ASAM) 和 单应用模式 (打开 Apple 网站) 。

应用于：

• iOS/iPadOS

在 macOS 设备上配置内容缓存

在 macOS 设备上，可以创建配置内容缓存的配置文件， (设备>配置>Create>macOS for platform >Device features for profile) 。 使用这些设置可删除缓存、允许共享缓存、设置磁盘上的缓存限制等。

有关内容缓存的详细信息，请参阅 ContentCaching (打开 Apple 网站) 。

若要查看可以配置的设置，请转到 Intune 中的 macOS 设备功能设置。

应用于：

• macOS

在 Android Enterprise 上使用 OEMConfig 添加新的架构设置，并搜索现有架构设置

在 Intune中，可以使用 OEMConfig 管理 Android Enterprise 设备上的设置 (设备>配置>Create>Android Enterprise for platform >OEMConfig for profile) 。 使用 配置设计器时，会显示应用架构中的属性。 现在，在 配置设计器中，你可以：

• 将新设置添加到应用架构。
• 搜索应用架构中的新设置和现有设置。

有关 Intune 中的 OEMConfig 配置文件的详细信息，请参阅在 Microsoft Intune 中使用和管理具有 OEMConfig 的 Android Enterprise 设备。

应用于：

• Android Enterprise

阻止共享 iPad 设备上的共享 iPad 临时会话

在 Intune 中，有一个新的阻止共享 iPad 临时会话设置，该设置阻止共享 iPad 设备上的临时会话 (设备>配置>Create>iOS/iPadOS 平台>配置文件类型>共享 iPad) 的设备限制。 启用后，最终用户无法使用来宾帐户。 他们必须使用托管的 Apple ID 和密码登录到设备。

有关详细信息，请参阅 iOS 和 iPadOS 设备设置以允许或限制功能。

应用于：

• 运行 iOS/iPadOS 13.4 及更新版的共享 iPad 设备

设备注册

自带设备可以使用 VPN 进行部署

新的 Autopilot 配置文件“跳过域连接检查”开关允许使用自己的第三方/合作伙伴 Win32 VPN 客户端部署Microsoft Entra混合加入设备，而无需访问公司网络。 若要查看新的切换，请转到Microsoft Intune管理中心>设备>Windows>注册>部署配置文件>Create配置文件> (OOBE) 的全新体验。

可以将注册状态页配置文件设置为设备组

以前，“注册状态”页 (ESP) 配置文件只能面向用户组。 现在，还可以将它们设置为目标设备组。 有关详细信息，请参阅 设置注册状态页。

自动设备注册同步错误

将报告 iOS/iPadOS 和 macOS 设备的新错误，包括

• 电话号码中的字符无效，如果该字段为空，则为空。
• 配置文件的配置名称无效或空。
• 游标值无效/已过期;如果未找到游标，则为 。
• 已拒绝或过期的令牌。
• 部门字段为空或长度过长。
• Apple 找不到配置文件，需要创建一个新配置文件。
• 已删除的 Apple Business Manager 设备的计数将添加到概述页，可在其中查看设备状态。

适用于企业的共享 iPad

可以使用 Intune 和 Apple Business Manager 轻松安全地设置共享 iPad，以便多个员工可以共享设备。 Apple 的 共享 iPad 为多个用户提供个性化体验，同时保留用户数据。 使用托管 Apple ID，用户可以在登录到其组织中的任何共享 iPad 后访问其应用、数据和设置。 共享 iPad 适用于联合标识。

若要查看此功能，请转到Microsoft Intune管理中心>设备>iOS>注册>注册计划令牌>选择令牌>配置文件>Create配置文件>iOS。 在 “管理设置” 页上，选择“ 不使用用户相关性注册 ”，你将看到 “共享 iPad” 选项。

需要：iPadOS 13.4 及更高版本。 此版本添加了对使用共享 iPad 的临时会话的支持，以便用户可以在没有托管 Apple ID 的情况下访问设备。 注销后，设备会擦除所有用户数据，以便设备立即可供使用，无需擦除设备。

更新了 Apple 自动设备注册的用户界面

用户界面已更新，以将 Apple 的设备注册计划替换为自动设备注册，以反映 Apple 术语。

设备管理

适用于 macOS 的设备远程锁定引脚

macOS 设备远程锁定引脚的可用性已从 7 天增加到 30 天。

更改共同管理设备上的主用户

可以为共同管理的 Windows 设备更改设备的主要用户。 有关如何查找和更改它的详细信息，请参阅查找Intune设备的主要用户。 此功能将在未来几周内逐步推出。

设置Intune主用户还会设置Microsoft Entra所有者属性

此新功能在设置Intune主用户的同时，自动在新注册Microsoft Entra混合加入设备的所有者属性。 有关主要用户的详细信息，请参阅查找Intune设备的主要用户。

此行为是注册过程的更改，仅适用于新注册的设备。 对于现有的Microsoft Entra混合联接设备，必须手动更新“Microsoft Entra所有者”属性。 若要更新，可以使用 更改主要用户功能 或 脚本。

当Windows 10设备Microsoft Entra混合联接时，设备的第一个用户将成为Intune的主要用户。 目前，未在相应的Microsoft Entra设备对象上设置用户。 将Microsoft Entra 管理中心中的所有者属性与管理中心 Microsoft Intune中的主要用户属性进行比较时，此行为会导致不一致。 Microsoft Entra owner 属性用于保护对 BitLocker 恢复密钥的访问。 该属性不会在Microsoft Entra混合联接的设备上填充。 此限制会阻止从Microsoft Entra ID设置 BitLocker 恢复的自助服务。 这项即将推出的功能解决了此限制。

设备安全性

在 macOS 设备的 FileVault 2 加密过程中，对用户隐藏恢复密钥

我们已向 macOS Endpoint Protection 模板中的 FileVault 类别添加了一个新设置：隐藏恢复密钥。 此设置在 FileVault 2 加密期间对最终用户隐藏个人密钥。

若要查看加密 macOS 设备的个人恢复密钥，设备用户可以转到以下任何位置，并选择获取 macOS 设备的 恢复密钥 ：

• iOS/iPadOS 公司门户应用
• Intune应用
• 公司门户网站
• Android 公司门户应用

支持使用 Outlook on Android 完全托管的 S/MIME 签名和加密证书

现在，可以在运行 Android Enterprise 完全托管的设备上使用 Outlook 的证书进行 S/MIME 签名和加密。

此功能扩展了上个月为其他 Android 版本添加的支持， (支持 Outlook on Android) S/MIME 签名和加密证书。 可以使用 SCEP 和 PKCS 导入的证书配置文件来预配这些证书。

有关此支持的详细信息，请参阅 Exchange 文档中 的 Outlook for iOS 和 Android 中的敏感度标记和保护 。

将指向公司门户网站的链接添加到电子邮件中，以用于不合规

配置通知消息模板以发送不合规电子邮件通知时，请使用新设置公司门户网站链接自动包含指向公司门户网站的链接。 设置为 “启用”时，具有基于此模板接收电子邮件的不合规设备的用户可以使用链接打开网站，详细了解其设备不合规的原因。

在 Android 合规性策略中使用Microsoft Defender for Endpoint

现在可以使用 Intune 将 Android 设备载入 Microsoft for Endpoint。 注册的设备加入后，适用于 Android 的合规性策略可以使用来自Microsoft Defender for Endpoint的威胁级别信号。 这些信号与以前可用于Windows 10设备的信号相同。

为 Android 设备配置 Defender for Endpoint Web 保护

将 Microsoft Defender for Endpoint 用于 Android 设备时，可以配置Microsoft Defender for Endpoint Web 保护以禁用钓鱼扫描功能，或阻止扫描使用 VPN。

根据 Android 设备注册Intune的方式，以下选项可用：

• Android 设备管理员 - 使用自定义 OMA-URI 设置禁用 Web 保护功能，或在扫描期间仅禁用 VPN。
• Android Enterprise 工作配置文件 - 使用应用配置文件和配置设计器禁用所有 Web 保护功能。

授权

管理员不再需要Intune许可证来访问Microsoft Intune管理中心

现在可以设置租户范围的切换，以删除管理员访问Intune管理中心和查询图形 API 的Intune许可证要求。 删除许可证要求后，永远无法恢复它。

注意

某些操作（包括 Teamviewer 连接器流）仍需要Intune许可证才能完成。

监视和疑难解答

使用终结点分析提高用户工作效率并降低 IT 支持成本

下周将推出此功能。终结点分析旨在通过提供对用户体验的见解来提高用户工作效率并降低 IT 支持成本。 通过这些见解，IT 可以使用主动支持来优化最终用户体验，并通过评估配置更改对用户的影响来检测用户体验回归。 有关详细信息，请参阅 终结点分析预览版。

使用脚本包主动修正最终用户设备问题

可以在最终用户设备上创建并运行脚本包，以主动查找并修复组织中最主要的支持问题。 部署脚本包有助于减少支持调用。 选择创建自己的脚本包或部署我们在环境中编写和使用的脚本包之一，以减少支持票证。 Intune，可以查看已部署脚本包的状态并监视检测和修正结果。 在“Microsoft Intune管理中心”中，选择“报告>终结点分析>”“主动修正”。 有关详细信息，请参阅 主动修正。

脚本

macOS 设备上 Shell 脚本的可用性

适用于 macOS 设备的 Shell 脚本现在可供政府云和中国客户使用。 有关 shell 脚本的详细信息，请参阅在 Intune 中使用 macOS 设备上的 shell 脚本。

2020 年 5 月

应用管理

ARM64 设备上的 Windows 32 位 (x86) 应用

部署为 ARM64 设备的 Windows 32 位 (x86) 应用现在将显示在公司门户中。 有关 Windows 32 位应用的详细信息，请参阅 Win32 应用管理。

Windows 公司门户应用图标

Windows 公司门户 应用的图标已更新。 有关公司门户的详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

更新公司门户应用中适用于 iOS/iPadOS 和 macOS 的图标

我们更新了公司门户中的图标，以创建在双屏设备上受支持的更新式外观，并与 Microsoft Fluent Design System 保持一致。 若要查看更新的图标，请转到Intune最终用户应用的 UI 更新。

在公司门户中自定义自助服务设备操作

可以自定义在公司门户应用和网站中向最终用户显示的可用自助服务设备操作。 为了帮助防止意外的设备操作，可以通过选择“租户管理>自定义”来为公司门户应用配置这些设置。 提供了以下选项：

• 公司 Windows 设备上的“隐藏 删除 ”按钮。
• 隐藏公司 Windows 设备上的“重置”按钮。
• 隐藏企业 iOS 设备上的 “重置 ”按钮。
• 企业 iOS 设备上的“隐藏 删除 ”按钮。 有关详细信息，请参阅公司门户中的用户自助服务设备操作。

自动更新 VPP 可用应用

当为 VPP 令牌启用自动应用汇报时，发布为批量购买计划 (VPP ) 可用应用的应用将自动更新。 以前，VPP 可用应用未自动更新。 相反，最终用户必须转到公司门户并重新安装应用（如果有较新的版本可用）。 所需的应用将继续支持自动更新。

Android 公司门户用户体验

在 2005 版 Android 公司门户中，应用保护策略发出警告、阻止或擦除的 Android 设备的最终用户将看到新的用户体验。 最终用户将看到一条整页消息，描述警告、阻止或擦除的原因以及解决问题的步骤，而不是当前的对话体验。 有关详细信息，请参阅 Microsoft Intune 中的 Android 设备和Android 应用保护策略设置的应用保护体验。

支持 macOS 公司门户 中的多个帐户

macOS 设备上的公司门户现在缓存用户帐户，使登录更加轻松。 用户不再需要在每次启动应用程序时登录到 公司门户。 此外，如果缓存了多个用户帐户，公司门户将显示帐户选取器，因此用户不必输入其用户名。

新提供的受保护应用

现在可以使用以下受保护的应用：

• Board Papers
• Breezy for Intune
• Hearsay Relate for Intune
• isEC7 Mobile Exchange Delegate for Intune
• lexmark for Intune
• Meetio Enterprise
• Microsoft Whiteboard
• 现在®移动 - Intune
• Qlik Sense Mobile
• ServiceNow® 代理 - Intune
• ServiceNow® 载入 - Intune
• Smartcrypt for Intune
• Tact for Intune
• 零 - 律师电子邮件

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

从公司门户搜索Intune文档

现在可以直接从 macOS 应用的公司门户搜索Intune文档。 在菜单栏中，选择“帮助>搜索并输入搜索的关键字以快速查找问题的答案。

适用于 Android 的公司门户指导用户在工作配置文件注册后获取应用

我们改进了公司门户中的应用内指南，可便于用户更轻松地查找和安装应用。 注册工作配置文件管理后，用户将看到一条说明如何在徽章版 Google Play 中查找建议的应用的消息。 使用 Android 配置文件注册设备中的最后一步已更新为显示这条新消息。 用户还将在左侧的公司门户抽屉中看到新的“获取应用”链接。 为了为这些新的和改进的体验让位，已删除 “应用 ”选项卡。 若要查看更新的屏幕，请转到Intune最终用户应用的 UI 更新。

设备配置

对 Zebra Technologies 设备的 OEMConfig 支持的改进

Intune完全支持 Zebra OEMConfig 提供的所有功能。 使用 Android Enterprise 和 OEMConfig 管理 Zebra Technologies 设备的客户可以将多个 OEMConfig 配置文件部署到一台设备。 客户还可以查看有关其 Zebra OEMConfig 配置文件状态的丰富报告。

有关详细信息，请参阅在 Microsoft Intune 中将多个 OEMConfig 配置文件部署到 Zebra 设备。

其他 OEM 的 OEMConfig 行为没有变化。

应用于：

• Android Enterprise
• 支持 OEMConfig 的 Zebra Technologies 设备。 有关支持的具体详细信息，请联系 Zebra。

在 macOS 设备上配置系统扩展

在 macOS 设备上，可以创建内核扩展配置文件以在内核级别配置设置 (设备>配置>适用于平台>的内核扩展配置文件) 。 Apple 最终将弃用内核扩展，并在将来的版本中将其替换为系统扩展。

系统扩展在用户空间中运行，无权访问内核。 目标是提高安全性，提供更多最终用户控制，同时限制内核级别的攻击。 内核扩展和系统扩展都允许用户安装扩展操作系统本机功能的应用扩展。

在 Intune 中，可以配置内核扩展和系统扩展 (设备>配置>macOS，用于平台>配置文件) 系统扩展。 内核扩展适用于 10.13.2 及更新版本。 系统扩展适用于 10.15 及更新版本。 从 macOS 10.15 到 macOS 10.15.4，内核扩展和系统扩展可以并行运行。

若要了解 macOS 设备上的这些扩展，请参阅 添加 macOS 扩展。

应用于：

• macOS 10.15 及更高版本

在 macOS 设备上配置应用和处理隐私首选项

随着 macOS Catalina 10.15 的发布，Apple 添加了新的安全和隐私增强功能。 默认情况下，应用程序和进程在未经用户同意的情况下无法访问特定数据。 如果用户未提供同意，应用程序和进程可能无法正常运行。 Intune添加了对设置的支持，使 IT 管理员能够在运行 macOS 10.14 及更高版本的设备上代表最终用户允许或禁止数据访问许可。 这些设置将确保应用程序和进程继续正常运行，并减少提示数。

有关可管理的设置的详细信息，请参阅 macOS 隐私首选项。

应用于：

• macOS 10.14 及更新版本

设备注册

注册限制支持范围标记

现在可以将范围标记分配给注册限制。 为此，请转到Microsoft Intune管理中心>设备>注册限制>Create限制。 Create任一类型的限制，你将看到“作用域标记”页。 有关详细信息，请参阅创建注册限制。

对HoloLens 2设备的 Autopilot 支持

Windows Autopilot 现在支持HoloLens 2设备。 有关使用 Autopilot for HoloLens 的详细信息，请参阅 Windows Autopilot for HoloLens 2。

设备管理

为 iOS 批量使用同步远程操作

现在，一次最多可以在 100 个 iOS 设备上使用同步远程操作。 若要查看此功能，请转到Microsoft Intune管理中心>设备>所有设备>批量设备操作。

自动设备同步间隔可减少到 12 小时

对于 Apple 的自动设备注册，Intune与 Apple Business Manager 之间的自动设备同步间隔已从 24 小时缩短到 12 小时。 有关同步的详细信息，请参阅 同步托管设备。

设备安全性

Android 设备上 DISA Purebred 的派生凭据支持

现在可以在 Android Enterprise 完全托管设备上将 DISA Purebred 用作 派生凭据 提供程序。 支持包括检索 DISA Purebred 的派生凭据。 可以将派生凭据用于应用身份验证、Wi-Fi、VPN 或 S/MIME 签名和/或对支持凭据的应用进行加密。

发送推送通知作为不合规操作

现在可以 为不合规配置操作 ，以便在用户设备无法满足符合性策略的条件时向用户发送推送通知。 新操作是 向最终用户发送推送通知，并支持 Android 和 iOS 设备。

当用户在其设备上选择推送通知时，将打开公司门户或Intune应用，以显示有关他们不合规的原因的详细信息。

终结点安全内容和新功能

Intune Endpoint Security 的文档现已提供。 在Microsoft Intune管理中心的终结点安全节点中，可以：

• Create重点安全策略并将其部署到托管设备
• 配置与Microsoft Defender for Endpoint的集成，并管理安全任务有助于修正 Defender for Endpoint 团队识别的风险设备的风险
• 配置安全基线
• 管理设备合规性和条件访问策略
• 在为客户端附加配置Configuration Manager时，查看Intune和Configuration Manager的所有设备的符合性状态。

除了内容可用性之外，本月 Endpoint Security 还新增了以下内容：

• 终结点安全策略已推出预览版 ，现已准备好在生产环境中使用（已 正式发布），但有两个例外：

  • 在新的公共预览版中，可以将Microsoft Defender防火墙规则配置文件用于Windows 10防火墙策略。 对于此配置文件的每个实例，最多可以配置 150 个防火墙规则来补充Microsoft Defender防火墙配置文件。
  • 帐户保护安全策略仍为预览版。

• 现在可以 创建终结点安全策略的副本。 重复保留原始策略的设置配置，但获取新名称。 然后，在编辑新策略实例以添加组之前，新策略实例不会包含对组的任何分配。 可以复制以下策略：

  • 防病毒
  • 磁盘加密
  • 防火墙
  • 终结点检测和响应
  • 攻击面减少
  • 帐户保护

• 现在可以 创建安全基线的副本。 重复保留原始基线的设置配置，但获取新名称。 在编辑新的基线实例以添加组之前，新的基线实例不包含任何分配给组的分配。

• 提供了有关终结点安全防病毒策略的新报告：Windows 10不正常的终结点。 此报表是查看终结点安全防病毒策略时可以选择的新页面。 报表显示 MDM 管理的Windows 10设备的防病毒状态。

支持使用 Android 版 Outlook 进行 S/MIME 签名和加密证书

现在，可以通过 Outlook on Android 使用证书进行 S/MIME 签名和加密。 借助此支持，可以使用 SCEP、PKCS 和 PKCS 导入的证书配置文件来预配这些证书。 支持以下 Android 平台：

• Android Enterprise Work Profile
• Android 设备管理员

即将推出对 Android Enterprise 完全托管设备的支持。

有关此支持的详细信息，请参阅 Exchange 文档中 的 Outlook for iOS 和 Android 中的敏感度标记和保护 。

使用终结点检测和响应策略将设备载入 Defender for Endpoint

将终结点安全策略用于终结点检测和响应 (EDR) ，以便为部署Microsoft Defender for Endpoint加入和配置设备。 EDR 支持由 Intune (MDM) 管理的 Windows 设备的策略，以及由 Configuration Manager 管理的 Windows 设备的单独策略。

若要将策略用于Configuration Manager设备，必须设置Configuration Manager以支持 EDR 策略。 设置包括：

• 为 租户附加配置配置管理器。
• 为Configuration Manager安装控制台内更新，以启用对 EDR 策略的支持。 此更新仅适用于已启用 租户附加的层次结构。
• 将设备集合从层次结构同步到 Microsoft Intune 管理中心。

监视和疑难解答

设备报表 UI 更新

报表概述窗格现在将提供“摘要”和“报表”选项卡。在Microsoft Intune管理中心，选择“报表”，然后选择“报表”选项卡以查看可用的报表类型。 有关详细信息，请参阅 Intune 报表。

脚本编写

macOS 脚本支持

macOS 的脚本支持现已正式发布。 此外，我们还添加了对用户分配的脚本和已使用 Apple 自动设备注册 (以前设备注册计划) 的 macOS 设备的支持。 有关详细信息，请参阅在 Intune 中使用 macOS 设备上的 shell 脚本。

应用管理

Microsoft Office 365 专业增强版重命名

Microsoft Office 365 专业增强版重命名为 Microsoft 365 企业应用版。 若要了解详细信息，请参阅Office 365 专业增强版的名称更改。 在我们的文档中，我们通常将其称为Microsoft 365 应用版。 在Microsoft Intune管理中心，可以通过选择“应用Windows>添加”来查找应用>套件。 有关添加应用的信息，请参阅将应用添加到Microsoft Intune。

管理 Android Enterprise 设备上的 Outlook 的 S/MIME 设置

可以使用应用配置策略来管理运行 Android Enterprise 的设备上的 Outlook 的 S/MIME 设置。 还可以选择是否允许设备用户在 Outlook 设置中启用或禁用 S/MIME。 若要使用适用于 Android 的应用配置策略，请在Microsoft Intune管理中心转到“应用”>“应用配置策略>”“添加>托管设备”。 有关配置 Outlook 设置的详细信息，请参阅 Microsoft Outlook 配置设置。

托管 Google Play 应用的预发布测试

使用 Google Play 的封闭式测试轨道进行应用预发布测试的组织可以使用Intune管理这些轨道。 你可以选择性地将发布到 Google Play 预生产轨道的应用分配给试点组，以便执行测试。 在Intune中，可以查看应用是否发布了预生产生成测试跟踪，并能够将该跟踪分配给Microsoft Entra用户或设备组。 此功能适用于我们当前支持的所有 Android Enterprise 方案， (工作配置文件、完全托管和专用) 。 在Microsoft Intune管理中心，可以通过选择“应用Android>添加”来添加托管 Google Play 应用>。 有关详细信息，请参阅 使用托管的 Google Play 封闭式测试轨道。

Microsoft Teams 现已包含在 Microsoft 365 for macOS 中

除了现有的 Microsoft 365 应用 (Word、Excel、PowerPoint、Outlook 和 OneNote) 之外，Microsoft Intune中分配了 Microsoft 365 for macOS 的用户现在还会收到 Microsoft Teams。 Intune将识别已安装其他 Office for macOS 应用的现有 Mac 设备。 然后，在设备下次使用 Intune 签入时，它将尝试安装 Microsoft Teams。 在 Microsoft Intune 管理中心，可以通过选择“应用>> macOS添加”找到适用于 macOS 的 Office 365 套件。 有关详细信息，请参阅使用Microsoft Intune将Office 365分配给 macOS 设备。

更新到 Android 应用配置策略

Android 应用配置策略已更新，允许管理员在创建应用配置文件之前选择设备注册类型。 正在为基于注册类型 (工作配置文件或设备所有者) 的证书配置文件添加此功能。

通过此更新：

1. 如果创建新的配置文件，并且为设备注册类型选择了“工作配置文件”和“设备所有者配置文件”，则无法将证书配置文件与应用配置策略相关联。
2. 如果创建了新配置文件，并且仅选择了“工作配置文件”，则可以使用在“设备配置”下创建的工作配置文件证书策略。
3. 如果创建了新配置文件，并且仅选择了“设备所有者”，则可以使用在“设备配置”下创建的“设备所有者”证书策略。

重要

在 2020 年 4 月版本 (-2004 年 4 月版本发布此功能之前创建的现有策略) ，对于设备注册类型，没有任何证书配置文件，则默认为工作配置文件和设备所有者配置文件。 此外，在此功能发布之前创建且具有关联证书配置文件的现有策略将默认为“工作配置文件”。

此外，我们将添加适用于工作配置文件和设备所有者注册类型的 Gmail 和 Nine 电子邮件配置文件，包括在两种电子邮件配置类型上使用证书配置文件。 在“工作配置文件的设备配置”下创建的任何 Gmail 或 Nine 策略将继续应用于设备。 不要将它们移动到应用配置策略。

在Microsoft Intune管理中心，可以通过选择“应用>”“应用配置策略”来查找应用配置策略。 有关应用配置策略的详细信息，请参阅适用于Microsoft Intune的应用配置策略。

更改设备所有权类型时的推送通知

你可以将推送通知配置为在用户设备所有权类型已从个人更改为企业时发送给 Android 和 iOS 公司门户用户作为隐私。 默认情况下，此推送通知设置为“关闭”。 可以通过选择“租户管理>自定义”，在Microsoft Intune管理中心找到此设置。 若要详细了解设备所有权如何影响最终用户，请参阅 更改设备所有权。

“自定义”窗格的组目标支持

可以将 “自定义 ”窗格中的设置定位到用户组。 若要在Intune中查找这些设置，请导航到Microsoft Intune管理中心，选择“租户管理>自定义”。 有关自定义的详细信息，请参阅如何自定义Intune 公司门户应用、公司门户网站和Intune应用。

设备配置

iOS、iPadOS 和 macOS 上支持的多个“评估每次连接尝试”按需 VPN 规则

Intune用户体验允许在同一 VPN 配置文件中使用评估每个连接尝试操作 (设备>配置>Create>iOS/iPadOS 或 macOS for platform >VPN for profile >自动 VPN>按需) 。

它只遵循列表中的第一个规则。 此行为是固定的，Intune评估列表中的所有规则。 每个规则都按照它在按需规则列表中的显示顺序进行评估。

注意

如果你有使用这些按需 VPN 规则的现有 VPN 配置文件，则下次更改 VPN 配置文件时将应用修补程序。 例如，进行次要更改，例如将连接更改为名称，然后保存配置文件。

如果使用 SCEP 证书进行身份验证，此更改会导致重新颁发此 VPN 配置文件的证书。

应用于：

• iOS/iPadOS
• macOS

有关 VPN 配置文件的详细信息，请参阅 Create VPN 配置文件。

iOS/iPadOS 设备上的 SSO 和 SSO 应用扩展配置文件中的更多选项

在 iOS/iPadOS 设备上，你可以：

• 在 SSO 配置文件 (设备>配置>Create>iOS/iPadOS for platform >Device features for profile >Single Sign-on) 中，将 Kerberos 主体名称设置为 SSO 配置文件中的安全帐户管理器 (SAM) 帐户名称。
• 在 SSO 应用扩展配置文件 (设备>配置>Create>iOS/iPadOS for platform >Device Features for profile >单一登录应用扩展) 中，使用新的 SSO 应用扩展类型配置 iOS/iPadOS Microsoft Entra扩展，单击次数更少。 可以在共享设备模式下为设备启用Microsoft Entra扩展，并将特定于扩展的数据发送到扩展。

应用于：

• iOS/iPadOS 13.0+

有关在 iOS/iPadOS 设备上使用单一登录的详细信息，请参阅 单一登录应用扩展概述 和 单一登录设置列表。

适用于 macOS 设备的新 shell 脚本设置

为 macOS 设备配置 shell 脚本时，现在可以配置以下新设置：

• 隐藏设备上的脚本通知
• 脚本频率
• 脚本失败时重试的最大次数

有关详细信息，请参阅在 Intune 中使用 macOS 设备上的 shell 脚本。

设备注册

在存在默认配置文件时删除 Apple 自动设备注册令牌

以前，无法删除默认配置文件，这意味着无法删除与其关联的自动设备注册令牌。 现在，可以在以下情况下删除令牌：

• 未向令牌分配任何设备
• 存在默认配置文件 为此，请删除默认配置文件，然后删除关联的令牌。 有关详细信息，请参阅从 Intune 中删除 ADE 令牌。

纵向扩展了对 Apple 自动设备注册和 Apple Configurator 2 设备、配置文件和令牌的支持

为了帮助分布式 IT 部门和组织，Intune现在支持每个令牌最多 1000 个注册配置文件，每个令牌支持 2000 个自动设备注册 (以前称为 DEP) Intune 令牌，每个令牌支持 75,000 个设备。 每个注册配置文件的设备没有特定限制，低于每个令牌的最大设备数。

Intune现在最多支持 1000 个 Apple Configurator 2 配置文件。

有关详细信息，请参阅 限制。

“所有设备”页列条目更改

在“ 所有设备 ”页上， “托管者 ”列的条目已更改：

• 现在显示Intune而不是 MDM
• 现在显示共同托管，而不是 MDM/ConfigMgr 代理

导出值保持不变。

设备管理

受信任的平台管理器 (TPM) 版本信息现在位于“设备硬件”页上

现在可以在设备的硬件页上看到 TPM 版本号， (Microsoft Intune管理中心>“设备>”在“系统机箱) ”下选择设备>硬件>外观。

Microsoft Intune租户附加：设备同步和设备操作

Microsoft Intune将Configuration Manager和Intune合并到一个控制台中。 从 Configuration Manager 版本 2002 开始，可以将Configuration Manager设备上传到云服务，并在管理中心对其执行操作。 有关详细信息，请参阅Microsoft Intune租户附加：设备同步和设备操作。

监视和疑难解答

收集日志以更好地排查分配给 macOS 设备的脚本问题

现在可以收集日志，以便改进分配给 macOS 设备的脚本的故障排除。 最多可以收集 60 MB 的日志 (压缩) 或 25 个文件（以先出现者为准）。 有关详细信息，请参阅 使用日志收集排查 macOS shell 脚本策略问题。

安全性

使用证书预配 Android Enterprise 完全托管设备的派生凭据

Intune现在支持使用派生凭据作为 Android 设备的身份验证方法。 派生凭据是国家标准与技术研究院 (NIST) 800-157 标准的实现，用于将证书部署到设备。 我们对 Android 的支持扩展了对运行 iOS/iPadOS 的设备的支持。

派生凭据依赖于使用个人身份验证 (PIV) 或通用访问卡 (CAC) 卡，例如智能卡。 若要获取其移动设备的派生凭据，用户从 Microsoft Intune 应用开始，并遵循你所使用的提供程序唯一的注册工作流。 所有提供程序的共同要求是在计算机上使用智能卡向派生凭据提供程序进行身份验证。 然后，该提供程序向设备颁发一个证书，该证书派生自用户的智能卡。

可以使用派生凭据作为 VPN 和 WiFi 设备配置文件的身份验证方法。 还可以将其用于应用身份验证，以及支持它的应用程序的 S/MIME 签名和加密。

Intune现在支持 Android 中的以下派生凭据提供程序：

• Entrust
• Intercede

第三个提供商 DISA Purebred 将在将来的版本中用于 Android。

Microsoft Edge 安全基线现已正式发布

新版本的 Microsoft Edge 安全基线现已推出， (正式发布) 正式发布。 以前的 Microsoft Edge 基线为预览版。 新的基线版本为 2020 年 4 月 (Microsoft Edge 版本 80 及更高版本) 。

发布此新基线后，将无法再基于以前的基线版本创建配置文件，但可以继续使用这些版本创建的配置文件。 还可以选择 更新现有配置文件以使用最新的基线版本。

2020 年 3 月

应用管理

改进了适用于 Android 的公司门户中的登录体验

我们即将更新适用于 Android 的公司门户应用中多个登录屏幕的布局，让用户体验更现代化、更简洁。 有关改进的介绍，请参阅 应用 UI 中的新增功能。

下载 Win32 应用内容时配置传递优化代理

可以将传递优化代理配置为基于分配在后台或前台模式下下载 Win32 应用内容。 对于现有的 Win32 应用，内容将继续在后台模式下下载。 在Microsoft Intune管理中心，选择“应用>”“所有应用>”，选择“Win32 应用>属性”。 选择“分配”旁边的“编辑”。 通过在“必需”部分的“模式”下选择“包括”来编辑作业。 可以在 “应用 设置”部分找到新设置。 有关传递优化的详细信息，请参阅 Win32 应用管理 - 传递优化。

适用于 iOS 的公司门户支持横向模式

用户现在可以使用所选的屏幕方向注册其设备、查找应用并获取 IT 支持。 除非用户将屏幕锁定为纵向模式，否则应用会自动检测并调整屏幕以适应纵向或横向模式。

对 macOS 设备的脚本支持 (公共预览版)

可以向 macOS 设备添加和部署脚本。 此支持扩展了配置 macOS 设备的能力，超出了在 macOS 设备上使用本机 MDM 功能的功能。 有关详细信息，请参阅在 Intune 中使用 macOS 设备上的 shell 脚本。

macOS 和 iOS 公司门户更新

macOS 和 iOS 公司门户的“配置文件”窗格已更新为包含注销按钮。 此外，还对 macOS 公司门户中的“配置文件”窗格进行了 UI 改进。 有关公司门户的详细信息，请参阅如何配置Microsoft Intune 公司门户应用。

将 Web 剪辑重定向到 iOS 设备上的 Microsoft Edge

需要在受保护的浏览器中打开的 iOS 设备上 (固定的 Web 应用) 新部署的 Web 剪辑将在 Microsoft Edge 中打开，而不是在Intune Managed Browser中打开。 必须重新定位预先存在的 Web 剪辑，以确保它们在 Microsoft Edge 中打开，而不是在托管浏览器中打开。 有关详细信息，请参阅将 Microsoft Edge 与 Microsoft Intune 配合使用来管理 Web 访问和将 Web 应用添加到Microsoft Intune。

将Intune诊断工具与 Microsoft Edge for Android 配合使用

Microsoft Edge for Android 现已与Intune诊断工具集成。 与 Microsoft Edge for iOS 上的体验类似，在 URL 栏中输入“about：intunehelp” (地址框) 设备上的 Microsoft Edge 将启动Intune诊断工具。 此工具将提供详细的日志。 可以指导用户收集这些日志并将其发送到其 IT 部门，或查看特定应用的 MAM 日志。

Intune品牌打造和自定义汇报

我们更新了名为“品牌和自定义”的Intune窗格，并进行了改进，其中包括：

• 将窗格重命名为“自定义”。
• 改进设置的组织和设计。
• 改进设置文本和工具提示。

若要在Intune中查找这些设置，请导航到Microsoft Intune管理中心，选择“租户管理>自定义”。 有关现有自定义的信息，请参阅如何配置Microsoft Intune 公司门户应用。

用户的个人加密恢复密钥

提供了一项新的Intune功能，使用户能够通过 Android 公司门户 应用程序或通过 Android Intune 应用程序检索 Mac 设备的个人加密 FileVault 恢复密钥。 公司门户应用程序和Intune应用程序中都有一个链接，它将打开 Chrome 浏览器到 Web 公司门户用户可以看到访问其 Mac 设备所需的 FileVault 恢复密钥。 有关加密的详细信息，请参阅将设备加密与Intune配合使用。

优化的专用设备注册

我们正在优化 Android Enterprise 专用设备的注册，使与 Wi-Fi 关联的 SCEP 证书更容易应用于 2019 年 11 月 22 日之前注册的专用设备。 对于新注册，Intune应用将继续安装，但最终用户在注册期间不再需要执行“启用Intune代理”步骤。 安装将在后台自动进行，无需最终用户交互即可部署和设置与 Wi-Fi 关联的 SCEP 证书。

随着Intune服务后端的部署，这些更改在整个 3 月分阶段推出。 到 3 月底，所有租户都将有此新行为。 有关详细信息，请参阅 支持 Android Enterprise 专用设备中的 SCEP 证书。

设备配置

在 Windows 设备上创建管理模板时的新用户体验

根据客户反馈以及我们迁移到新的 Azure 全屏体验，我们已使用文件夹视图重建了管理模板配置文件体验。 我们尚未对任何设置或现有配置文件进行更改。 因此，现有配置文件将保持不变，并可在新视图中使用。 你仍可以通过选择“ 所有设置”并使用搜索来导航所有设置选项。 树视图按计算机和用户配置拆分。 可以在其关联的文件夹中找到 Windows、Office 和 Microsoft Edge 设置。

应用于：

• Windows 10 及更高版本

具有 IKEv2 VPN 连接的 VPN 配置文件可以始终在 iOS/iPadOS 设备上使用

在 iOS/iPadOS 设备上，可以创建一个 VPN 配置文件，该配置文件使用 IKEv2 连接 (设备>配置>Create>iOS/iPadOS 平台 >VPN，用于配置文件类型) 。 现在，可以使用 IKEv2 配置 Always-On。 配置后，IKEv2 VPN 配置文件会自动连接，并 (保持连接或快速重新连接) VPN。 即使在网络之间移动或重启设备，它也会保持连接。

在 iOS/iPadOS 上，Always-On VPN 仅限于 IKEv2 配置文件。

若要查看可以配置的 IKEv2 设置，请转到 Microsoft Intune 中的 iOS 设备上添加 VPN 设置。

应用于：

• iOS/iPadOS

删除 OEM 中的捆绑包和捆绑阵列 Android Enterprise 设备上的设备配置配置文件

在 Android Enterprise 设备上，创建和更新 OEMConfig (设备>配置>Create>Android Enterprise for platform >OEMConfig for profile type) 。 用户现在可以使用 Intune 中的配置设计器删除捆绑包和捆绑包数组。

有关 OEMConfig 配置文件的详细信息，请参阅在 Microsoft Intune 中使用和管理 OEMConfig 的 Android Enterprise 设备。

应用于：

• Android Enterprise

配置 iOS/iPadOS Microsoft Entra SSO 应用扩展

Microsoft Entra团队创建了重定向单一登录 (SSO) 应用扩展，允许 iOS/iPadOS 13.0+ 用户通过一次登录访问 Microsoft 应用和网站。 以前使用 Microsoft Authenticator 应用中转身份验证的所有应用将继续使用新的 SSO 扩展获取 SSO。 使用 Microsoft Entra SSO 应用扩展版本，可以使用重定向 SSO 应用扩展类型配置 SSO 扩展 (设备>配置>Create>iOS/iPadOS 平台>设备功能配置文件类型>单一登录应用扩展) 。

应用于：

• iOS 13.0 及更高版本
• iPadOS 13.0 及更高版本

有关 iOS SSO 应用扩展的详细信息，请参阅 单一登录应用扩展。

从 iOS/iPadOS 设备限制配置文件中删除企业应用信任设置修改设置

在 iOS/iPadOS 设备上，创建设备限制配置文件 (设备>配置>Create>iOS/iPadOS 平台>配置文件类型) 的设备限制。 Apple 删除了企业应用信任设置修改设置，并从 Intune 中删除。 如果当前在配置文件中使用此设置，则它没有任何影响，并且将从现有配置文件中删除。 此设置也会从 Intune 中的任何报表中删除。

应用于：

• iOS/iPadOS

若要查看可以限制的设置，请转到 iOS 和 iPadOS 设备设置以允许或限制功能。

故障排除：挂起的 MAM 策略通知更改为信息图标

“故障排除”边栏选项卡上挂起的 MAM 策略的通知图标已更改为信息性图标。

配置符合性策略时的 UI 更新

我们更新了用于在Microsoft Intune管理中心创建合规性策略的 UI， (设备>符合性策略>策略>Create策略) 。 我们提供了一个新的用户体验，其中包括你之前使用的相同设置和详细信息。 新体验遵循类似向导的过程来创建符合性策略。 它包括一个页面，你可以在其中为策略添加分配，以及一个“查看 + Create”页，你可以在其中查看配置，然后再创建策略。

停用不符合的设备

我们为不符合的设备添加了一个新操作，你可以将其添加到任何策略，以 停用不合规的设备。 新操作“停用不符合要求的设备”会导致从设备中删除所有公司数据，并删除由Intune管理的设备。 当达到配置的值（以天为单位）并且此时设备符合停用条件时，此操作将运行。 最小值为 30 天。 需要显式 IT 管理员批准才能使用 停用不符合 的设备部分停用设备，其中管理员可以停用所有符合条件的设备。

支持 iOS Enterprise Wi-Fi 配置文件中的 WPA 和 WPA2

适用于 iOS 的企业 Wi-Fi 配置文件 现在支持 “安全类型” 字段。 对于 “安全类型”，可以选择 WPA Enterprise 或 WPA/WPA2 Enterprise，然后指定 EAP 类型的选择。 (设备>配置>Create并选择“适用于平台的 iOS/iPadOS”，然后选择“Wi-Fi”用于“配置文件) ”。

新的企业选项类似于适用于 iOS 的基本 Wi-Fi 配置文件。

证书、电子邮件、VPN 和 Wi-Fi、VPN 配置文件的新用户体验

我们已更新Intune管理中心 (设备>配置>Create) 的用户体验，用于创建和修改以下配置文件类型。 新体验提供与以前相同的设置，但使用类似向导的体验，不需要如此多的水平滚动。 无需使用新体验修改现有配置。

• 派生凭据
• 电子邮件
• PKCS 证书
• PKCS 导入的证书
• SCEP 证书
• 受信任的证书
• VPN
• Wi-Fi

改进了在 Android 和 Android Enterprise 设备上创建设备限制配置文件时的用户界面体验

为 Android 或 Android Enterprise 设备创建配置文件时，Intune管理中心中的体验将更新。 此更改会影响以下设备配置文件 (设备>配置>Create>Android 设备管理员或适用于平台) 的 Android Enterprise：

• 设备限制：Android 设备管理员
• 设备限制：Android Enterprise 设备所有者
• 设备限制：Android Enterprise 工作配置文件

有关可配置的设备限制的详细信息，请参阅 Android 设备管理员 和 Android Enterprise。

改进了在 iOS/iPadOS 和 macOS 设备上创建配置文件时的用户界面体验

为 iOS 或 macOS 设备创建配置文件时，Intune管理中心中的体验将更新。 此更改会影响以下设备配置文件 (设备>配置>Create>iOS/iPadOS 或 macOS for platform) ：

• 自定义：iOS/iPadOS、macOS
• 设备功能：iOS/iPadOS、macOS
• 设备限制：iOS/iPadOS、macOS
• 终结点保护：macOS
• 扩展：macOS
• 首选项文件：macOS

在 macOS 设备上的设备功能中隐藏用户配置设置

在 macOS 设备上创建设备功能配置文件时， (“设备>配置Create>macOS> 平台设备功能”“隐藏用户配置”设置“”隐藏用户>配置>“) 。

此功能在 macOS 设备上的“用户 & 组 登录项”应用列表中设置应用的隐藏复选标记。 现有配置文件在列表中将此设置显示为“未配置”。 若要配置此设置，管理员可以更新现有配置文件。

设置为 “隐藏”时，将选中应用的“隐藏”复选框，并且用户无法更改它。 它还会在用户登录到其设备后对用户隐藏应用。

有关可配置的设置的详细信息，请参阅 macOS 设备功能设置。

此功能适用于：

• macOS

设备注册

配置是否在适用于 Android 和 iOS 的 公司门户 中提供注册

可以配置 Android 和 iOS 设备上的公司门户中的设备注册是否提供提示、在无提示的情况下可用或用户不可用。 若要在Intune中查找这些设置，请导航到Microsoft Intune管理中心，然后选择“租户管理>自定义>编辑>设备注册”。

支持设备注册设置要求最终用户具有以下公司门户版本：

• iOS 上的公司门户：版本 4.4 或更高版本
• Android 上的公司门户：版本 5.0.4715.0 或更高版本

有关现有公司门户自定义的详细信息，请参阅如何配置Microsoft Intune 公司门户应用。

设备管理

Android 设备上的新 Android 报表概述页

我们在 Android 设备概述页中向 Microsoft Intune 管理中心添加了一份报告，其中显示了每个设备管理解决方案中已注册的 Android 设备数。 此图表 (Azure 控制台中已有的相同图表) 显示工作配置文件、完全托管、专用和设备管理员注册的设备计数。 若要查看报表，请选择 “设备>Android>概述”。

引导用户从 Android 设备管理员管理到工作配置文件管理

我们将发布适用于 Android 设备管理员平台的新符合性设置。 如果设备由设备管理员管理，则此设置允许你使设备不符合要求。

在这些不符合要求的设备上，在 “更新设备设置” 页上，用户将看到 “移动到新的设备管理设置” 消息。 如果他们点击“ 解决 ”按钮，将引导他们完成以下操作：

1. 从设备管理员管理取消注册
2. 注册工作配置文件管理
3. 解决合规性问题

Google 正在减少新 Android 版本中的设备管理员支持，以使用 Android Enterprise 实现更丰富、更安全的新式设备管理。 Intune只能对运行 Android 10 及更高版本的设备管理员管理的 Android 设备提供到 2020 年第 2 季度的完全支持。 此时之后运行 Android 10 或更高版本的 Samsung) (设备管理员管理的设备将无法完全管理。 具体而言，受影响的设备不会收到新的密码要求。

有关此设置的详细信息，请参阅 将 Android 设备从设备管理员移动到工作配置文件管理。

Microsoft Intune管理中心的新 URL

为了与去年 Ignite 发布的Microsoft Intune一致，我们已将 Microsoft Intune 管理中心的 URL (以前为 Microsoft 365 设备管理) 更改为 https://intune.microsoft.com。

更改 Windows 设备的主要用户

可以更改 Windows 混合和已加入Microsoft Entra设备的主用户。 为此，请转到“>Intune设备>”“所有设备>”选择“设备>属性>”“主要用户”。 有关详细信息，请参阅 更改设备的主要用户。

还为此任务创建了 (托管设备/设置主用户) 的新 RBAC 权限。 权限已添加到内置角色，包括支持人员操作员、学校管理员和 Endpoint Security Manager。

此功能以预览版的形式向全球客户推出。 在接下来的几周内，你应该会看到该功能。

Microsoft Intune租户附加：设备同步和设备操作

Microsoft Intune将Configuration Manager和Intune合并到一个控制台中。 从 Configuration Manager 技术预览版 2002.2 开始，可以将Configuration Manager设备上传到云服务，并在管理中心对其执行操作。 有关详细信息，请参阅 Configuration Manager技术预览版 2002.2 中的功能。

在安装此更新之前，请查看Configuration Manager技术预览文章。 本文介绍使用技术预览版的一般要求和限制、如何在版本之间更新以及如何提供反馈。

批量远程操作

现在可以针对以下远程操作发出批量命令：重启、重命名、Autopilot 重置、擦除和删除。 若要查看新的批量操作，请转到Microsoft Intune管理中心>设备>所有设备>批量操作。

所有设备列表改进的搜索、排序和筛选

改进了“所有设备”列表，以提高性能、搜索、排序和筛选。 有关详细信息，请参阅 此支持提示。

监视和疑难解答

Data Warehouse现在提供 MAC 地址

Intune Data Warehouse提供 MAC 地址作为新属性 (EthernetMacAddress 实体中的 device) ，以允许管理员在用户和主机 mac 地址之间关联。 此属性有助于访问特定用户并排查网络上发生的事件。 管理员还可以在 Power BI 报表 中使用此属性来生成更丰富的报表。 有关详细信息，请参阅Intune Data Warehouse设备实体。

Data Warehouse设备清单属性

可以使用 Intune Data Warehouse获取更多设备清单属性。 以下属性现在通过 设备 beta 集合公开：

• ethernetMacAddress - 此设备的唯一网络标识符。
• model - 设备型号。
• office365Version - 设备上安装的 Microsoft 365 版本。
• windowsOsEdition - 操作系统版本。

以下属性现在通过 devicePropertyHistory beta 集合公开：

• physicalMemoryInBytes - 物理内存（以字节为单位）。
• totalStorageSpaceInBytes - 总存储容量（以字节为单位）。

有关详细信息，请参阅 Microsoft Intune Data Warehouse API。

帮助和支持工作流更新以支持更多服务

我们更新了Microsoft Intune管理中心的“帮助和支持”页，你现在可以在其中选择你所使用的管理类型。 通过此更改，可以从以下管理类型中进行选择：

• Configuration Manager (包括桌面分析)
• Intune
• 协同管理

安全性

使用以安全管理员为中心的策略预览版作为终结点安全性的一部分

作为公共预览版，我们在Microsoft Intune管理中心的“终结点安全”节点下添加了几个新策略组。 作为安全管理员，你可以使用这些新策略专注于设备安全性的特定方面，以管理相关设置的离散组，而无需更大的设备配置策略正文的开销。

除了Microsoft Defender防病毒的新防病毒策略 (请参阅以下) ，这些新预览策略和配置文件中的每个新设置都与你目前通过设备配置文件配置的相同设置。

以下是所有处于预览状态的新策略类型及其可用的配置文件类型：

• 防病毒 (预览版) ：

  • macOS：

    • 防病毒 - 管理 macOS 的防病毒策略设置，以管理 mac Microsoft Defender for Endpoint。

  • Windows 10 及更高版本：

    • Microsoft Defender防病毒 - 管理云保护、防病毒排除、修正、扫描选项等的防病毒策略设置。

      Microsoft Defender防病毒的防病毒配置文件是一个例外，它引入了作为设备限制配置文件的一部分找到的设置的新实例。 以下新的防病毒设置：

      • 与在设备限制中找到的设置相同，但支持配置为设备限制时不可用的第三个选项。
      • 当 Endpoint Protection 的共同管理工作负荷滑块设置为Intune时，应用于使用 Configuration Manager 共同管理的设备。

    计划使用新的防病毒>Microsoft Defender防病毒配置文件来代替通过设备限制配置文件对其进行配置。

  • Windows 安全中心体验 - 管理最终用户可以在Microsoft Defender安全中心查看的Windows 安全中心设置以及他们收到的通知。 这些设置与作为设备配置 Endpoint Protection 配置文件可用的设置相同。

• 磁盘加密 (预览版) ：

  • macOS：
    • FileVault
  • Windows 10 及更高版本：
    • BitLocker

• 防火墙 (预览版) ：

  • macOS：
    • macOS 防火墙
  • Windows 10 及更高版本：
    • Microsoft Defender 防火墙

• 终结点检测和响应 (预览版) ：

  • Windows 10及更高版本：-Windows 10 Intune

• 攻击面减少 (预览版) ：

  • Windows 10 及更高版本：
    • 应用和浏览器隔离
    • Web 保护功能
    • 应用程序控制
    • 攻击面减少规则
    • 设备控制
    • 漏洞保护

• 帐户保护 (预览版) ：

  • Windows 10 及更高版本：
    • 帐户保护

2020 年 2 月

应用管理

适用于 macOS 的 Microsoft Defender for Endpoint 应用

Intune提供了一种将适用于 macOS 的 Microsoft Defender for Endpoint 应用部署到托管 Mac 设备的简单方法。 有关详细信息，请参阅使用 Microsoft Intune 和 Microsoft Defender for Endpoint for Mac 向 macOS 设备添加Microsoft Defender for Endpoint。

macOS 公司门户用户体验改进

我们对 macOS 设备注册体验和适用于 Mac 的 公司门户 应用进行了改进。 你将看到以下改进：

• 在注册期间提供更好的 Microsoft AutoUpdate 体验，可确保用户拥有最新版本的公司门户。
• 注册过程中的增强符合性检查步骤。
• 支持复制的事件 ID，以便用户可以更快地将错误从其设备发送到公司支持团队。

有关注册和适用于 Mac 的 公司门户 应用的详细信息，请参阅使用 公司门户 应用注册 macOS 设备。

应用保护 Better Mobile 策略现在支持 iOS 和 iPadOS

2019 年 10 月，Intune 应用保护策略增加了使用 Microsoft 威胁防护合作伙伴提供的数据的功能。 通过此更新，你可以使用应用保护策略来阻止或选择性地擦除用户公司数据，具体取决于使用 iOS 和 iPadOS 上的 Better Mobile 的设备运行状况。 有关详细信息，请参阅 使用 Intune 创建移动威胁防御应用保护策略。

Windows 10 设备上的 Microsoft Edge 版本 77 及更高版本

Intune现在支持在Windows 10设备上卸载 Microsoft Edge 版本 77 及更高版本。 有关详细信息，请参阅将 Microsoft Edge for Windows 10 添加到Microsoft Intune。

从公司门户的 Android 工作配置文件注册中删除了屏幕

从公司门户中的 Android 工作配置文件注册流中删除了“下一步是什么?”屏幕，简化用户体验。 请转到使用 Android 工作配置文件注册，查看更新后的 Android 工作配置文件注册流。

公司门户应用提高了性能

公司门户 应用已更新，以支持使用 ARM64 处理器的设备（如 Surface Pro X）提高性能。以前，公司门户在模拟 ARM32 模式下运行。 现在，在版本 10.4.7080.0 及更高版本中，公司门户应用是针对 ARM64 进行本机编译的。 有关公司门户应用的详细信息，请参阅如何配置Microsoft Intune 公司门户应用。

Microsoft 的新 Office 应用

Microsoft 的新 Office 应用现已正式发布，可供下载和使用。 Office 应用是一种综合体验，用户可以在单个应用中跨 Word、Excel 和 PowerPoint 工作。 可以使用应用保护策略将应用作为目标，以确保所访问的数据受到保护。

有关详细信息，请参阅如何使用 Office 移动预览应用启用Intune应用保护策略。

设备配置

在 iOS 设备上使用 Cisco AnyConnect VPN (NAC) 启用网络访问控制

在 iOS 设备上，可以创建 VPN 配置文件，并使用不同的连接类型，包括 Cisco AnyConnect (设备>配置>Create>iOS for platform >VPN，用于配置文件类型 >Cisco AnyConnect，用于连接类型) 。

可以使用 Cisco AnyConnect (NAC) 启用网络访问控制。 若要使用此功能，请执行以下操作：

1. 在 Cisco Identity Services 引擎管理员指南中，使用将 Microsoft Intune 配置为 MDM 服务器中的步骤在 Azure 中配置 Cisco 标识服务引擎 (ISE) 。
2. 在Intune设备配置文件中，选择“启用网络访问控制 (NAC) 设置”。

若要查看所有可用的 VPN 设置，请转到 在 iOS 设备上配置 VPN 设置。

设备注册

Apple MDM 推送证书页上的序列号

Apple MDM 推送证书页现在显示序列号。 如果对创建证书的 Apple ID 的访问权限丢失，则需要序列号才能重新获得对 Apple MDM Push 证书的访问权限。 若要查看序列号，请转到 设备>iOS iOS>注册>Apple MDM 推送证书。

设备管理

用于将 OS 更新推送到已注册的 iOS/iPadOS 设备的新更新计划选项

在为 iOS/iPadOS 设备计划操作系统更新时，可以从以下选项中进行选择。 这些选项适用于使用 Apple Business Manager 或 Apple School Manager 注册类型的设备。

• 在下一个检查更新
• 在计划时间内更新
• 在计划时间之外更新

对于后两个选项，可以创建多个时间窗口。

若要查看新选项，请转到Intune管理中心>设备>iOS>/iPadOS>的更新策略Create配置文件。

选择要推送到已注册设备的 iOS/iPadOS 更新

可以选择特定的 iOS/iPadOS 更新 (，但最新更新) 除外，以推送到使用 Apple Business Manager 或 Apple School Manager 注册的设备。 此类设备必须设置设备配置策略，以将软件更新可见性延迟一段时间。 若要查看此功能，请转到Intune管理中心>设备>iOS>/iPadOS> 的更新策略Create配置文件。

现在以压缩 CSV 格式从“所有设备”列表导出

“ 设备>所有设备 ”页的导出现在采用压缩 CSV 格式。

Windows 7 终止扩展支持

Windows 7 已于 2020 年 1 月 14 日终止扩展支持。 Intune已弃用对同时运行 Windows 7 的设备的支持。 帮助保护电脑的技术支持和自动更新不再可用。 应升级到 Windows 10。 有关详细信息，请参阅 规划更改博客文章。

设备安全性

改进了Intune报告体验

Intune现在提供了改进的报告体验。 有新的报表类型、更好的报表组织、更集中的视图、改进的报表功能以及更一致和更及时的数据。 报告体验将从公共预览版迁移到正式版， (正式发布) 。 此外，正式发布将在 Microsoft Intune 管理中心的磁贴上提供本地化支持、bug 修复、设计改进和聚合设备符合性数据。

新的报表类型侧重于以下信息：

• 操作 - 提供具有负面运行状况焦点的新记录。
• 组织 - 提供总体状态的更广泛摘要。
• 历史 - 提供一段时间内的模式和趋势。
• 专业 - 允许使用原始数据创建自己的自定义报表。

第一组新报表侧重于设备符合性。 有关详细信息，请参阅博客 - Microsoft Intune报告框架和Intune报表。

合并了 UI 中安全基线的位置

通过从多个 UI 位置删除安全基线，我们整合了在 Microsoft Intune 管理中心中查找安全基线的路径。 若要查找安全基线，现在使用以下路径： 终结点安全性安全>基线。

扩展了对导入的 PKCS 证书的支持

我们扩展了对使用 导入的 PKCS 证书 的支持，以支持 Android Enterprise 完全托管的设备。 通常，导入 PFX 证书用于 S/MIME 加密方案，其中用户的所有设备上都需要加密证书，以便进行电子邮件解密。

以下平台支持导入 PFX 证书：

• Android - 设备管理员
• Android Enterprise - 完全托管
• Android Enterprise - 工作配置文件
• iOS
• Mac
• Windows 10

查看设备的终结点安全配置

我们已在 Microsoft Intune 管理中心更新选项的名称，以查看应用于特定设备的终结点安全配置。 此选项重命名为 终结点安全配置 ，因为它显示了在安全基线之外创建的适用安全基线和其他策略。 以前，此选项名为 “安全基线”。

基于角色的访问控制

Intune角色用户界面即将发生更改

Microsoft Intune管理中心>租户管理>角色的用户界面已改进为更方便用户且更直观的设计。 此体验提供与现在使用的相同设置和详细信息，但新体验采用类似于向导的过程。

2020 年 1 月

应用管理

Intune对适用于 macOS 的 Microsoft Edge 版本 77 部署通道的支持

Microsoft Intune现在支持适用于 macOS 的 Microsoft Edge 应用的稳定部署通道。 稳定通道是建议在企业环境中广泛部署 Microsoft Edge 的通道。 它每六周更新一次，每个版本都整合 了 Beta 版渠道的改进。 除了稳定通道和 Beta 频道，Intune还支持开发通道。 公共预览版为 macOS 的 Microsoft Edge 版本 77 及更高版本提供稳定和开发频道。 默认情况下，浏览器的自动更新为“打开”。 有关详细信息，请参阅使用 Microsoft Intune 为 macOS 设备添加 Microsoft Edge。

Intune Managed Browser停用

Intune Managed Browser将停用。 使用 Microsoft Edge 获取受保护的 Intune 浏览器体验。

将应用添加到 Intune 时用户体验发生更改

通过 Intune 将应用添加到 时，会有新的用户体验。 此体验提供之前使用的相同设置和详细信息，但在将应用添加到Intune之前，新体验遵循类似向导的过程。 此新体验还会在添加应用之前提供审阅页面。 在Microsoft Intune管理中心，选择“应用>所有应用>添加”。 有关详细信息，请参阅将应用添加到 Microsoft Intune。

需要重启 Win32 应用

可以要求 Win32 应用在成功安装后必须重启。 此外，可以选择在必须重启之前 (宽限期) 的时间。

在 Intune 中配置应用时的用户体验更改

在 Intune 中创建应用配置策略时，会有新的用户体验。 此体验提供之前使用的相同设置和详细信息，但新体验在将策略添加到Intune之前遵循类似向导的过程。 在Microsoft Intune管理中心，选择“应用>应用配置策略>添加”。 有关详细信息，请参阅适用于Microsoft Intune的应用配置策略。

Intune Microsoft Edge for Windows 10 部署通道的支持

Microsoft Intune现在支持 Microsoft Edge (版本 77 及更高版本的稳定部署通道，Windows 10 应用) 。 稳定通道是用于在企业环境中广泛部署适用于Windows 10的 Microsoft Edge 的建议通道。 此频道每六周更新一次，每个版本包含 Beta 版渠道的改进。 除了稳定通道和 Beta 频道，Intune还支持开发通道。 有关详细信息，请参阅 Microsoft Edge for Windows 10 - 配置应用设置。

Microsoft Outlook for iOS 的 S/MIME 支持

Intune支持传送 S/MIME 签名和加密证书，这些证书可与 iOS 设备上的 Outlook for iOS 配合使用。 有关详细信息，请参阅 Outlook for iOS 和 Android 中的敏感度标签和保护。

使用 Microsoft 连接缓存服务器缓存 Win32 应用内容

可以在Configuration Manager分发点上安装 Microsoft 连接缓存服务器，以缓存Intune Win32 应用内容。 有关详细信息，请参阅 microsoft Connected Cache in Configuration Manager - 支持Intune Win32 应用。

设备配置

改进了配置Exchange ActiveSync本地连接器 UI 时的用户界面体验

我们更新了配置本地连接器Exchange ActiveSync的体验。 更新后的体验使用单个窗格来配置、编辑和汇总本地连接器的详细信息。

将自动代理设置添加到 Android Enterprise 工作配置文件的 Wi-Fi 配置文件

在 Android Enterprise Work Profile 设备上，可以创建 Wi-Fi 配置文件。 选择 Wi-Fi 企业类型时，还可以输入 Wi-Fi 网络上使用的可扩展身份验证协议 (EAP) 类型。

现在，选择企业类型时，还可以输入自动代理设置，包括代理服务器 URL，例如 proxy.contoso.com。

若要查看可配置的当前 Wi-Fi 设置，请转到在 Microsoft Intune 中为运行 Android Enterprise 和 Android 展台的设备添加 Wi-Fi 设置。

应用于：

• Android Enterprise 工作配置文件

设备注册

阻止设备制造商的 Android 注册

可以根据设备制造商阻止设备注册。 此功能适用于 Android 设备管理员和 Android Enterprise 工作配置文件设备。 若要查看注册限制，请转到Microsoft Intune管理中心>设备>注册限制。

对 iOS/iPadOS Create注册类型配置文件 UI 的改进

对于 iOS/iPadOS 用户注册，Create注册类型配置文件“设置”页已简化，以改进注册类型选择过程，同时保持相同的功能。 若要查看新 UI，请转到Microsoft Intune管理中心>“设备>iOS iOS>注册>注册类型>Create配置文件>设置”页。 有关详细信息，请参阅在 Intune 中Create用户注册配置文件。

设备管理

设备详细信息中的新信息

以下信息现在位于设备的 “概述 ”页上：

• 内存容量 (设备上的物理内存量)
• 存储容量 (设备上的物理存储量)
• CPU 体系结构

iOS 绕过激活锁定远程操作已重命名为“禁用激活锁”

远程操作 “绕过激活锁 ”已重命名为 “禁用激活锁”。 有关详细信息，请参阅使用 Intune禁用 iOS 激活锁。

Autopilot 设备的Windows 10功能更新部署支持

Intune现在支持使用Windows 10功能更新部署来面向 Autopilot 注册的设备。

Windows 10功能更新策略不能在 Windows Autopilot 开箱即用体验期间应用 (OOBE) 。 它们仅在设备完成预配（通常是一天）后的第一次扫描Windows 更新应用。

监视和疑难解答

Windows Autopilot 部署报告 (预览版)

新报告详细说明了通过 Windows Autopilot 部署的每个设备。 有关详细信息，请参阅 Autopilot 部署报告。

基于角色的访问控制

新Intune内置角色终结点安全管理员

新的Intune内置角色可用：终结点安全管理器。 通过此新角色，管理员可以在Intune中完全访问 Endpoint Manager 节点，并有权访问其他区域。 此角色是Microsoft Entra ID中“安全管理员”角色的扩展。 如果当前仅将全局管理员作为角色，则无需更改。 如果使用角色，并且想要 Endpoint Security Manager 提供的粒度，请在角色可用时分配该角色。 有关内置角色的详细信息，请参阅 基于角色的访问控制。

Windows 10管理模板 (ADMX) 配置文件现在支持范围标记

现在可以 (ADMX) 将范围标记分配给管理模板配置文件。 为此，请转到“Intune>>配置”>，在“属性范围标记”>列表中选择>管理模板配置文件。 有关范围标记的详细信息，请参阅 将范围标记分配给其他对象。

2019 年 12 月

应用管理

从加密的 macOS 设备检索个人恢复密钥

最终用户可以使用 iOS 公司门户 应用检索其个人恢复密钥 (FileVault 密钥) 。 拥有个人恢复密钥的设备必须已注册 Intune，并且通过 Intune 使用 FileVault 加密。 使用 iOS 公司门户 应用，最终用户可以通过选择“获取恢复密钥”在其加密的 macOS 设备上检索其个人恢复密钥。 还可以通过选择加密和注册的 macOS 设备>获取恢复密钥的设备>，从Intune检索恢复密钥。 有关 FileVault 的详细信息，请参阅 适用于 macOS 的 FileVault 加密。

iOS 和 iPadOS 用户许可的 VPP 应用

对于用户注册的 iOS 和 iPadOS 设备，将不再向最终用户显示部署为可用的新创建的设备许可 VPP 应用程序。 但是，最终用户将继续在公司门户中看到所有用户许可的 VPP 应用。 有关 VPP 应用的详细信息，请参阅如何使用 Microsoft Intune 管理通过 Apple 批量购买计划购买的 iOS 和 macOS 应用。

通知 - Windows 10 1703 (RS2) 将退出支持

从 2018 年 10 月 9 日开始，Windows 10 1703 (RS2) 从 Microsoft 平台对家庭版、专业版和专业工作站版的支持中移出。 对于Windows 10 企业版和教育版，Windows 10 1703 (RS2) 于 2019 年 10 月 8 日退出平台支持。 从 2019 年 12 月 26 日起，我们将 Windows 公司门户 应用程序的最低版本更新为 Windows 10 1709 (RS3) 。 运行 1709 之前版本的计算机将不再从 Microsoft Store 接收应用程序的更新版本。 我们之前已将此更改传达给通过消息中心管理旧版Windows 10的客户。 有关详细信息，请参阅 Windows 生命周期事实数据表。

应用管理

迁移到 Microsoft Edge 进行托管浏览方案

随着Intune Managed Browser即将停用，我们对应用保护策略进行了更改，以简化将用户转移到 Edge 所需的步骤。 我们已将应用保护策略设置 “限制与其他应用传输 Web 内容 ”的选项更新为以下选项之一：

• 任何应用
• Intune Managed Browser
• Microsoft Edge
• 非托管浏览器

选择 Microsoft Edge 时，最终用户将看到条件访问消息，通知他们托管浏览方案需要 Microsoft Edge。 如果尚未登录，系统会提示他们使用其Microsoft Entra帐户下载并登录到 Microsoft Edge。 此行为等效于将应用配置设置 com.microsoft.intune.useEdge 设置为 True，将启用 MAM 的应用设为 目标。 使用策略托管浏览器设置的现有应用保护策略现在将Intune Managed Browser选中，并且不会看到行为更改。 因此，如果你已将 useEdge 应用配置设置设置为 True，则用户将看到使用 Microsoft Edge 的消息。 我们鼓励所有使用托管浏览方案的客户通过 限制与其他应用传输 Web 内容 来更新其应用保护策略，以确保用户看到适当的指导，以过渡到 Microsoft Edge，无论他们从哪个应用启动链接。

为组织帐户配置应用通知内容

Intune应用保护策略 (Android 和 iOS 设备上的应用) 允许你控制组织帐户的应用通知内容。 可以选择一个选项 (“允许”、“阻止组织数据”或“阻止) 指定如何为所选应用显示组织帐户的通知。 此功能需要应用程序的支持，并且可能不适用于所有启用 APP 的应用程序。 Outlook for iOS 版本 4.15.0 (或更高版本) 和 Outlook for Android 4.83.0 (或更高版本) 将支持此设置。 该设置在控制台中可用，但该功能将在 2019 年 12 月 16 日之后开始生效。 有关 APP 的详细信息，请参阅 什么是应用保护策略？。

Microsoft 应用图标更新

应用保护策略和应用配置策略的应用目标窗格中用于 Microsoft 应用的图标已更新。

需要在 Android 上使用批准的键盘

作为应用保护策略的一部分，可以指定“ 已批准的键盘 ”设置，以管理哪些 Android 键盘可用于托管 Android 应用。 当用户打开托管应用并且尚未使用该应用的已批准键盘时，系统会提示他们切换到其设备上已安装的已批准的键盘之一。 如果需要，他们会看到一个链接，用于从 Google Play 商店下载已批准的键盘，他们可以安装和设置该键盘。 当用户的活动键盘不是批准的键盘之一时，用户才能编辑托管应用中的文本字段。

设备配置

汇报Windows 10设备的管理模板

可以使用 Microsoft Intune 中的 ADMX 模板来控制和管理 Microsoft Edge、Office 和 Windows 的设置。 Intune中的管理模板进行了以下策略设置更新：

• 添加了对 Microsoft Edge 版本 78 和 79 的支持。
• 包括管理模板文件中的 2019 年 11 月 11 日 ADMX 文件， (ADMX/ADML) 以及适用于 Microsoft 365 企业应用版、Office 2019 和 Office 2016 的 Office 自定义工具。

有关 Intune 中的 ADMX 模板的详细信息，请参阅使用Windows 10模板在 Microsoft Intune 中配置组策略设置。

应用于：

• Windows 10 及更高版本

更新了 iOS、iPadOS 和 macOS 设备上的应用和网站的单一登录体验

Intune为 iOS、iPadOS 和 macOS 设备添加了更多单一登录 (SSO) 设置。 现在可以配置由组织或标识提供者编写的重定向 SSO 应用扩展。 使用这些设置为使用新式身份验证方法（如 OAuth 和 SAML2）的应用和网站配置无缝单一登录体验。

这些新设置扩展了 SSO 应用扩展的先前设置和 Apple 的内置 Kerberos 扩展 (设备>配置>Create>iOS/iPadOS 或 macOS 平台类型>设备功能配置文件类型) 。

若要查看可以配置的完整 SSO 应用扩展设置，请转到 iOS 上的 SSO 和 macOS 上的 SSO。

应用于：

• iOS/iPadOS
• macOS

我们更新了适用于 iOS 和 iPadOS 设备的两个设备限制设置，以更正其行为

对于 iOS 设备，可以创建设备限制配置文件，这些配置文件允许无线 PKI 更新和阻止 USB 受限模式 (设备>配置>Create>iOS/iPadOS 平台>配置文件类型的设备限制) 。 在此版本之前，以下设置的 UI 设置和说明不正确，现已更正。 从此版本开始，设置行为如下所示：

阻止无线 PKI 更新： 阻止 会阻止用户接收软件更新，除非设备已连接到计算机。 未配置 (默认) ：允许设备在不连接到计算机的情况下接收软件更新。

• 以前，此设置允许将其配置为： 允许，让用户无需将设备连接到计算机即可接收软件更新。 设备锁定时允许 USB 配件： 允许 USB 配件与锁定超过一小时的设备交换数据。 未配置 (默认) 不会更新设备上的 USB 受限模式，如果锁定超过一小时，USB 配件将阻止从设备传输数据。
• 以前，此设置允许将其配置为： 阻止 以在受监督的设备上禁用 USB 受限模式。

有关可配置的设置的详细信息，请参阅 iOS 和 iPadOS 设备设置，以允许或限制使用 Intune 的功能。

此功能适用于：

• OS/iPadOS

阻止用户在 Android Enterprise 设备所有者设备上的托管密钥存储中配置证书凭据

在 Android Enterprise 设备所有者设备上，可以配置一个新设置，阻止用户在托管密钥存储 (设备>配置>Create>Android Enterprise for platform >Device Owner Only > Device Restrictions for profile type >Users + Accounts) 。

新的Microsoft Configuration Manager共同管理许可

Configuration Manager具有软件保障的客户可以Intune Windows 10电脑进行共同管理，而无需购买其他Intune共同管理许可证。 客户不再需要为其最终用户分配单个Intune/EMS 许可证，以共同管理Windows 10。

• 由 Configuration Manager 管理并注册到共同管理的设备与Intune独立的 MDM 托管电脑拥有几乎相同的权限。 但是，重置后，无法使用 Autopilot 重新预配它们。
• Windows 10使用其他方式注册到 Intune 的设备需要完整的Intune许可证。
• 其他平台上的设备仍需要完整的Intune许可证。

有关详细信息，请参阅 许可条款。

设备管理

受保护的擦除操作现已可用

现在可以使用“擦除设备”操作对设备执行受保护的擦除。 受保护的擦除与标准擦除相同，只是无法通过关闭设备来绕过它们。 受保护的擦除将继续尝试重置设备，直到成功。 在某些配置中，此操作可能会使设备无法重新启动。 有关详细信息，请参阅 停用或擦除设备。

已将设备以太网 MAC 地址添加到设备的“概述”页

现在可以在设备详细信息页上看到设备的以太网 MAC 地址 (设备>所有设备> 选择设备 >概述。

设备安全性

改进了启用基于设备的条件访问策略时共享设备上的体验

在实施策略时，我们检查了用户的最新符合性评估，从而改进了与多个用户共享设备上的体验，这些用户针对基于设备的条件访问策略。 有关详细信息，请参阅以下概述文章：

• 条件访问的 Azure 概述
• Intune设备符合性概述

使用 PKCS 证书配置文件预配具有证书的设备

现在，可以使用 PKCS 证书配置文件向运行 Android for Work、iOS/iPadOS 和 Windows 的设备 颁发证书，这些配置文件与 Wi-Fi 和 VPN 等配置文件相关联。 以前，这三个平台仅支持基于用户的证书，而基于设备的支持仅限于 macOS。

注意

Wi-Fi 配置文件不支持 PKCS 证书配置文件。 相反，在使用 EAP 类型时，请使用 SCEP 证书配置文件。

若要使用基于设备的证书，请在为受支持的平台 创建 PKCS 证书配置文件 时，选择 “设置”。 现在，你将看到 “证书类型”设置，该设置支持“设备”或“用户”选项。

监视和疑难解答

集中式审核日志

新的集中式审核日志体验现在将所有类别的审核日志收集到一个页面中。 可以筛选日志以获取要查找的数据。 若要查看审核日志，请转到 租户管理>审核日志。

审核日志活动详细信息中包含的范围标记信息

审核日志活动详细信息现在包括支持范围标记) Intune对象的作用域标记信息 (。 有关审核日志的详细信息，请参阅 使用审核日志跟踪和监视事件。

2019 年 11 月

应用管理

选择性擦除应用数据时 UI 更新

已更新用于选择性擦除Intune中的应用数据的 UI。 UI 更改包括：

• 使用在一个窗格中压缩的向导样式格式的简化体验。
• 要包含分配的创建流的更新。
• 在创建新策略之前或编辑属性时查看属性时设置的所有内容的汇总页。 此外，编辑属性时，摘要将仅显示所编辑属性类别中的项列表。

有关详细信息，请参阅如何仅从Intune托管的应用擦除公司数据。

iOS 和 iPadOS 第三方键盘支持

2019 年 3 月，我们宣布取消对 iOS 应用保护策略设置第三方键盘的支持。 此功能将恢复Intune，同时支持 iOS 和 iPadOS。 若要启用此设置，请访问新的或现有的 iOS/iPadOS 应用保护策略的“数据保护”选项卡，并在“数据传输”下找到“第三方键盘”设置。

此策略设置的行为与之前的实现略有不同。 在使用 SDK 版本 12.0.16 及更高版本的多标识应用中，最终用户将无法在其组织和个人帐户中选择第三方/合作伙伴键盘，并且应用保护策略针对此设置配置为 “阻止”。 使用 SDK 版本 12.0.12 及更低版本的应用将继续表现出我们的博客文章标题 已知问题：个人帐户在 iOS 中未阻止第三方键盘的行为。

改进了 公司门户 中的 macOS 注册体验

用于 macOS 注册的公司门户提供的注册过程更简单，与用于 iOS 注册的公司门户高度一致。 设备用户现在可以看到：

• 流畅的用户界面。
• 改进的注册清单。
• 更清晰的设备注册说明。
• 改进的疑难解答选项。

从 Windows 公司门户应用启动的 Web 应用

最终用户现在可以直接从 Windows 公司门户 应用启动 Web 应用。 最终用户可以选择 Web 应用，然后选择“ 在浏览器中打开”选项。 已发布的 Web URL 直接在 Web 浏览器中打开。 此功能将在下周推出。 有关 Web 应用的详细信息，请参阅向 Microsoft Intune 添加 Web 应用。

Windows 10公司门户中的新分配类型列

>公司门户“已安装应用>分配类型”列已被组织重命名为“必需”。 在该列下，用户将看到 “是” 或“ 否 ”值，以指示其组织需要应用或将其设置为可选应用。 之所以进行这些更改，是因为设备用户对可用应用的概念感到困惑。 用户可以在设备上安装和共享应用中找到有关从公司门户安装应用的详细信息。 有关为用户配置公司门户应用的详细信息，请参阅如何配置Microsoft Intune 公司门户应用。

设备配置

面向需要 Jamf 管理的 macOS 用户组

可以面向特定用户组，这些用户组将获取 由 Jamf 管理的 macOS 设备。 此目标使你能够将 Jamf 符合性集成应用于一部分 macOS 设备，而其他设备由Intune管理。 如果已使用 Jamf 集成，默认情况下，“所有用户”组将成为集成的目标。

在 iOS 设备上创建Email设备配置文件时的新Exchange ActiveSync设置

在 iOS/iPadOS 设备上，可以在设备配置文件中配置电子邮件连接 (设备>配置>Create>iOS/iPadOS 平台>Email配置文件类型) 。

提供了新的Exchange ActiveSync设置，包括：

• 要同步的 Exchange 数据：选择要同步 (或阻止同步日历、联系人、提醒、便笺和Email) 的 Exchange 服务。
• 允许用户更改同步设置：允许 (或阻止) 用户在其设备上更改这些服务的同步设置。

有关这些设置的详细信息，请转到 Intune 中Email iOS 设备的配置文件设置。

应用于：

• iOS 13.0 及更高版本
• iPadOS 13.0 及更高版本

阻止用户将个人 Google 帐户添加到 Android Enterprise 完全托管的专用设备

在 Android Enterprise 完全托管的专用设备上，有一个新设置可防止用户创建个人 Google 帐户 (设备>配置>Create>Android Enterprise for platform >Device Owner Only > Device Restrictions for profile type >Users and Accounts settings>Personal Google Accounts) 。

若要查看可配置的设置，请转到 Android Enterprise 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• Android Enterprise 完全托管设备
• Android Enterprise 专用设备

iOS/iPadOS 设备限制配置文件中删除了 Siri 命令设置的服务器端日志记录

在 iOS 和 iPadOS 设备上，将从 Microsoft Intune 管理中心中删除 Siri 命令的服务器端日志记录设置 (设备>配置>Create>iOS/iPadOS 平台>配置文件类型>内置应用) 的设备限制。

此设置对设备没有影响。 若要从现有配置文件中删除设置，请打开配置文件，进行任何更改，然后保存配置文件。 配置文件已更新，并且将从设备中删除设置。

若要查看可以配置的所有设置，请参阅 iOS 和 iPadOS 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• iOS/iPadOS

Windows 10功能更新 (公共预览版)

现在可以将Windows 10功能更新部署到Windows 10设备。 Windows 10功能更新是一种新的软件更新策略，用于设置你希望设备安装并保留在其中Windows 10的版本。 可以将此新策略类型与现有Windows 10更新通道一起使用。

接收Windows 10功能更新策略的设备安装指定版本的 Windows，然后保留在该版本，直到策略被编辑或删除。 运行更高版本的 Windows 的设备将保留其当前版本。 在特定版本的 Windows 中保留的设备仍可以从Windows 10更新通道安装该版本的质量和安全更新。

这一新类型的策略将于本周开始向租户推出。 如果此策略尚不可用于租户，它将很快推出。

在 macOS 应用程序的 plist 文件中添加和更改密钥信息

在 macOS 设备上，现在可以创建一个设备配置文件，用于上传与应用或设备关联的属性列表文件 (.plist) (设备>配置>Create>macOS for platform >首选项文件，用于配置文件类型) 。

只有某些应用支持托管首选项，这些应用可能不允许你管理所有设置。 请务必上传用于配置设备通道设置的属性列表文件，而不是用户通道设置。

有关此功能的详细信息，请参阅使用 Microsoft Intune 向 macOS 设备添加属性列表文件。

应用于：

• 运行 10.7 及更新的 macOS 设备

设备管理

编辑 Autopilot 设备的设备名称值

可以编辑已加入Microsoft Entra Autopilot 设备的“设备名称”值。 有关详细信息，请参阅 编辑 Autopilot 设备属性。

编辑 Autopilot 设备的组标记值

可以编辑 Autopilot 设备的组标记值。 有关详细信息，请参阅 编辑 Autopilot 设备属性。

监视和疑难解答

更新的支持体验

从今天开始，针对Intune获取帮助和支持的更新和简化的控制台内体验将推广到租户。 如果此新体验尚不可用，它将很快推出。

我们改进了控制台内搜索和针对常见问题的反馈，以及你用于联系支持人员的工作流。 打开支持问题时，会看到有关何时可以收到回调或电子邮件回复的实时估计。 顶级和统一支持客户可以为其问题指定严重性，以帮助更快地获得支持。

改进了公共预览版) (Intune报告体验

Intune现在提供了改进的报告体验。 它包括新的报表类型、更好的报表组织、更集中的视图、改进的报表功能以及更一致和更及时的数据。 新的报表类型侧重于：

• 操作 - 提供具有负面运行状况焦点的新记录。
• 组织 - 提供总体状态的更广泛摘要。
• 历史 - 提供一段时间内的模式和趋势。
• 专业 - 允许使用原始数据创建自己的自定义报表。

第一组新报表侧重于设备符合性。 有关详细信息，请参阅博客 - Microsoft Intune报告框架和Intune报表。

基于角色的访问控制

复制自定义或内置角色

现在可以复制内置角色和自定义角色。 有关详细信息，请参阅 复制角色。

学校管理员角色的新权限

两个新权限（ 分配配置文件 和 同步设备）已添加到学校管理员角色 >权限>注册计划。 同步配置文件权限允许组管理员同步 Windows Autopilot 设备。 分配配置文件权限允许他们删除用户启动的 Apple 注册配置文件。 它还授予他们管理 Autopilot 设备分配和 Autopilot 部署配置文件分配的权限。 有关所有学校管理员/组管理员权限的列表，请参阅 分配组管理员。

安全性

BitLocker 密钥轮换

可以使用Intune设备操作为运行 Windows 版本 1909 或更高版本的托管设备远程轮换 BitLocker 恢复密钥。 若要有资格轮换恢复密钥，必须将设备配置为支持恢复密钥轮换。

汇报专用设备注册以支持 SCEP 设备证书部署

Intune现在支持将 SCEP 设备证书部署到 Android Enterprise 专用设备，以便基于证书访问 Wi-Fi 配置文件。 Microsoft Intune应用必须存在于设备上，才能使部署正常工作。 因此，我们更新了 Android Enterprise 专用设备的注册体验。 新注册仍以 QR、NFC、Zero-touch 或设备标识符) 启动相同的 (，但现在有一个步骤要求用户安装Intune应用。 现有设备将开始滚动安装应用。

Intune企业到企业协作的审核日志

企业到企业 (B2B) 协作使你可以安全地与任何其他组织的来宾用户共享公司的应用程序和服务，同时保持对自己的公司数据的控制。 Intune现在支持 B2B 来宾用户的审核日志。 例如，当来宾用户进行更改时，Intune可以通过审核日志捕获此数据。 有关详细信息，请参阅什么是 Microsoft Entra B2B 中的来宾用户访问？

Microsoft Azure 政府支持安全基线

托管在 Microsoft Azure 政府 上的Intune实例现在可以使用安全基线来帮助保护用户和设备的安全。

2019 年 10 月

应用管理

在适用于 Android 的公司门户应用中改进了清单设计

使用轻型设计和新图标更新了适用于 Android 的公司门户应用中的安装清单。 这些更改与 iOS 版 公司门户 应用的最新更新一致。 有关更改的并行比较，请参阅 应用 UI 中的新增功能。 若要查看更新的注册步骤，请参阅使用 Android 工作配置文件注册和注册 Android 设备。

Windows 10 S 模式设备上的 Win32 应用

可以在Windows 10 S 模式托管设备上安装和运行 Win32 应用。 对于此任务，可以使用 Windows Defender 应用程序控制 (WDAC) PowerShell 工具为 S 模式创建一个或多个补充策略。 使用 Device Guard 签名门户签署补充策略，然后通过Intune上传和分发策略。 在Intune中，可以通过选择“客户端应用>Windows 10 S 补充策略”找到此功能。 有关详细信息，请参阅 在 S 模式设备上启用 Win32 应用。

根据日期和时间设置 Win32 应用可用性

作为管理员，你可以为所需的 Win32 应用配置开始时间和截止时间。 在开始时，Intune管理扩展将启动应用内容下载并缓存它。 应用将在截止时间安装。 对于可用应用，启动时间将决定应用在公司门户中何时可见。 有关详细信息，请参阅 Intune Win32 应用管理。

要求根据 Win32 应用安装后的宽限期重启设备

可以要求设备在 Win32 应用成功安装后必须重启。 有关详细信息，请参阅 Win32 应用管理。

适用于 iOS 公司门户 的深色模式

深色模式适用于 iOS 公司门户。 用户可以下载公司应用、管理其设备，并根据设备设置在所选的配色方案中获得 IT 支持。 iOS 公司门户将自动匹配最终用户的深色或浅色模式的设备设置。 有关详细信息，请参阅适用于 iOS 的 Microsoft Intune 公司门户 上的深色模式简介。 有关 iOS 公司门户的详细信息，请参阅如何配置 Microsoft Intune 公司门户 应用。

Android 公司门户强制实施的最低应用版本

通过使用应用保护策略的“最小公司门户版本”设置，可以指定在最终用户设备上强制实施的特定最低定义公司门户版本。 此条件启动设置允许在未满足值时 阻止访问、 擦除数据或 警告 作为可能的操作。 此值的可能格式遵循 [Major].[Minor]， [Major].[Minor]。[Build]或 [Major].[Minor]。[生成]。[修订] 模式。

最小公司门户版本设置（如果已配置）将影响获取公司门户版本 5.0.4560.0 的任何最终用户以及公司门户的任何未来版本。 此设置不会对使用早于发布此功能的版本公司门户的用户产生任何影响。 在其设备上使用应用自动更新的最终用户可能不会看到此功能中的任何对话框，因为他们可能使用的是最新的 公司门户 版本。 此设置仅适用于 Android，对已注册和未注册的设备提供应用保护。 有关详细信息，请参阅 Android 应用保护策略设置 - 条件启动。

将移动威胁防御应用添加到未注册的设备

可以创建Intune应用保护策略，该策略可以根据设备的运行状况阻止或选择性地擦除用户公司数据。 设备的运行状况使用所选的移动威胁防御 (MTD) 解决方案确定。 此功能目前Intune已注册设备作为设备符合性设置存在。 借助这项新功能，我们扩展了移动威胁防御供应商的威胁检测功能，以在未注册的设备上正常运行。 在 Android 上，此功能需要设备上的最新公司门户。 在 iOS 上，当应用将最新的 Intune SDK (v 12.0.15+) 集成时，此功能将可用。 当第一个应用采用最新的 Intune SDK 时，我们将更新新增功能一文。 其余应用将以滚动方式提供。 有关详细信息，请参阅 使用 Intune 创建移动威胁防御应用保护策略。

适用于 Android 工作配置文件的可用 Google Play 应用报告

对于 Android Enterprise 工作配置文件、专用和完全托管设备上的可用应用安装，可以查看应用安装状态和托管 Google Play 应用的已安装版本。 有关详细信息，请参阅如何监视应用保护策略、使用Intune管理 Android 工作配置文件设备和托管的 Google Play 应用类型。

适用于 Windows 10 和 macOS 的 Microsoft Edge 版本 77 及更高版本 (公共预览版)

Microsoft Edge 版本 77 及更高版本将可用于部署到运行 Windows 10 和 macOS 的电脑。

公共预览版提供适用于 Windows 10 的 Dev 和 Beta 频道，以及适用于 macOS 的 Beta 版频道。 部署仅以英语 (EN) ，但最终用户可以在“设置语言”>下的浏览器中更改显示语言。 Microsoft Edge 是安装在系统上下文中的 Win32 应用，其体系结构 (x86 OS 上的 x86 应用，x64 OS 上的 x64 应用) 。 此外，浏览器的自动更新默认为 “打开 ”，并且无法卸载 Microsoft Edge。 有关详细信息，请参阅将 Microsoft Edge for Windows 10 添加到 Microsoft Intune 和 Microsoft Edge 文档。

更新到应用保护 UI 和 iOS 应用预配 UI

更新了在 Intune 中创建和编辑应用保护策略和 iOS 应用预配配置文件的 UI。 UI 更改包括：

• 通过使用在一个边栏选项卡中压缩的向导样式格式的简化体验。
• 要包含分配的创建流的更新。
• 在创建新策略之前或编辑属性时查看属性时设置的所有内容的汇总页。 此外，编辑属性时，摘要将仅显示所编辑属性类别中的项列表。

有关详细信息，请参阅如何创建和分配应用保护策略和使用 iOS 应用预配配置文件。

Intune引导方案

Intune现在提供引导方案来帮助完成Intune中的特定任务或任务集。 引导式方案是一系列自定义步骤， (工作流) 围绕一个端到端用例。 常见方案是根据管理员、用户或设备在组织中扮演的角色定义的。 这些工作流通常需要一系列精心安排的配置文件、设置、应用程序和安全控制，以提供最佳用户体验和安全性。 新的引导方案包括：

• 部署 Microsoft Edge 移动版
• 保护 Microsoft Office 移动应用
• 云托管的新式桌面

有关详细信息，请参阅Intune引导方案概述。

应用配置变量可用

创建应用配置策略时，可以将配置变量包含在 AAD_Device_ID 配置设置中。 在“Intune”中，选择“客户端应用”“>应用配置策略>添加”。 输入配置策略详细信息，然后选择“ 配置设置” 以查看“ 配置设置” 边栏选项卡。 有关详细信息，请参阅 托管 Android Enterprise 设备的应用配置策略 - 使用配置设计器。

Create组称为策略集的管理对象

策略集允许创建对现有管理实体的一系列引用，这些实体需要作为单个概念单元进行标识、定位和监视。 策略集不会替换现有概念或对象。 可以继续在Intune中分配单个对象，并且可以引用单个对象作为策略集的一部分。 因此，对这些单个对象所做的任何更改都将反映在策略集中。 在“Intune”中，选择“策略集>Create创建新的策略集。

设备配置

'

Windows 10 及更高版本的设备的新设备固件配置接口配置文件 (公共预览版)

在 Windows 10 及更高版本中，可以创建设备配置文件来控制平台) (设备>配置>Create>Windows 10及更高版本的设置和功能。 在此更新中，有一种新的设备固件配置接口配置文件类型，允许Intune管理 UEFI (BIOS) 设置。

有关此功能的详细信息，请参阅在 Microsoft Intune 中使用 Windows 设备上的 DFCI 配置文件。

应用于：

• 在支持的固件上Windows 10 RS5 (1809) 及更新版本

用于创建和编辑Windows 10更新通道的 UI 更新

我们更新了用于为 Intune 创建和编辑Windows 10 Update Ring 的 UI。 对 UI 的更改包括：

• 一种向导样式的格式压缩为单个边栏选项卡，这会消除之前在配置更新通道时看到的边栏选项卡扩展。
• 在完成环的初始配置之前，修订后的工作流包括分配。
• 一个摘要页，可用于在保存和部署新的更新通道之前查看所做的所有配置。 编辑更新环时，摘要仅显示所编辑属性类别中设置的项目列表。

用于创建和编辑 iOS 软件更新策略的 UI 更新

我们更新了用于为Intune创建和编辑 iOS 软件更新策略的 UI 体验。 对 UI 的更改包括：

• 精简为单个边栏选项卡的向导样式格式，它与之前在配置更新策略时看到的边栏选项卡扩展一起消失。
• 在完成策略的初始配置之前，修订后的工作流包括分配。
• 一个摘要页，可用于在保存和部署新策略之前查看所做的所有配置。 编辑策略时，摘要仅显示所编辑属性类别中设置的项列表。

已从Windows 更新环中删除参与重启设置

如前所述，Intune的Windows 10更新通道现在支持截止时间设置，不再支持参与重启。 在 Intune 中配置或管理更新通道时，参与重启的设置不再可用。

此更改与最近的 Windows 服务更改一致，在运行 Windows 10 1903 或更高版本的设备上，截止时间将取代参与重启的配置。

阻止在 Android Enterprise 工作配置文件设备上安装来自未知源的应用

在 Android Enterprise 工作配置文件设备上，用户永远无法安装来自未知来源的应用。 在此更新中，有一个新设置 - 阻止从个人配置文件中的未知源安装应用。 默认情况下，此设置会阻止用户将来自未知源的应用旁加载到设备上的个人配置文件中。

若要查看可以配置的设置，请转到 Android Enterprise 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• Android Enterprise 工作配置文件

在 Android Enterprise 设备所有者设备上Create全局 HTTP 代理

在 Android Enterprise 设备上，可以配置全局 HTTP 代理以满足组织的 Web 浏览标准， (设备>配置>Create>Android Enterprise for platform >Device owner Device restrictions > for profile type >Connectivity) 。 配置后，所有 HTTP 流量都将使用此代理。

若要配置此功能并查看配置的所有设置，请转到 Android Enterprise 设备设置以允许或限制使用 Intune 的功能。

应用于：

• Android Enterprise 设备所有者

Android 设备管理员和 Android Enterprise 上的 Wi-Fi 配置文件中删除了自动连接设置

在 Android 设备管理员和 Android Enterprise 设备上，可以创建 Wi-Fi 配置文件来配置不同的设置 (设备>配置>Create>Android 设备管理员或 Android Enterprise for Platform >Wi-Fi for profile type) 。 在此更新中，将删除 “自动连接” 设置，因为它 不受 Android 支持。

如果在 Wi-Fi 配置文件中使用此设置，则可能已注意到 “自动连接 ”不起作用。 无需执行任何操作，但请注意，此设置将在Intune用户界面中删除。

若要查看当前设置，请转到 Android Wi-Fi 设置 或 Android Enterprise Wi-Fi 设置。

应用于：

• Android 设备管理员
• Android Enterprise

受监督的 iOS 和 iPadOS 设备的新设备配置设置

在 iOS 和 iPadOS 设备上，可以创建配置文件来限制设备上的功能和设置 (设备>配置>Create>iOS/iPadOS 平台>配置文件类型的设备限制) 。 在此更新中，有一些可以控制的新设置：

• 在“文件”应用中访问网络驱动器
• 访问“文件”应用中的 USB 驱动器
• Wi-Fi 始终处于打开状态

若要查看这些设置，请转到 iOS 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• iOS 13.0 及更高版本
• iPadOS 13.0 及更高版本

设备注册

切换为仅在由现 (OOBE) 预配的设备上显示注册状态页

现在可以选择仅在 Autopilot OOBE 预配的设备上显示“注册状态”页。

若要查看新的切换，请选择“Intune>设备注册>Windows 注册>注册状态页>Create配置文件>设置>仅显示由全新体验预配 (OOBE) 的设备的页面。

指定使用工作配置文件或设备管理员注册注册的 Android 设备操作系统版本

使用Intune设备类型限制，可以使用设备的 OS 版本来指定哪些用户设备将使用 Android Enterprise 工作配置文件注册或 Android 设备管理员注册。 有关详细信息，请参阅创建注册限制。

设备管理

Intune支持 iOS 11 及更高版本

Intune注册和公司门户现在支持 iOS 版本 11 及更高版本。 不支持旧版本。

重命名 Windows 设备的新限制

重命名 Windows 设备时，必须遵循新规则：

• 15 个字符或更少 (必须小于或等于 63 个字节，不包括尾随 NULL)
• 非 Null 或空字符串
• 允许的 ASCII：字母（a-z、A-Z）、数字 (0-9) 和连字符
• 允许的 Unicode：characters >= 0x80，必须是有效的 UTF8，必须是 IDN 可映射 (即 RtlIdnToNameprepUnicode 成功;请参阅 RFC 3492)
• 名称不得只包含数字
• 名称中不能包含空格
• 不允许的字符： { | } ~ [ \ ] ^ ' ： ; < = > ？ & @ ! " # $ % ` ( ) + / , . _ *)

有关详细信息，请参阅重命名Intune中的设备。

“设备”上的“新建 Android 报表”概述页

设备概述页的新报表显示每个设备管理解决方案中已注册的 Android 设备数。 此图表显示工作配置文件、完全托管、专用和设备管理员注册的设备计数。 若要查看报表，请选择“>Intune”“设备>概述”。

设备安全性

Microsoft Edge 基线 (预览版)

我们添加了 Microsoft Edge 设置的安全基线预览版。

适用于 macOS 的 PKCS 证书

现在可以 将 PKCS 证书与 macOS 配合使用。 可以选择 PKCS 证书作为 macOS 的配置文件类型，并部署具有 自定义使用者和使用者可选名称字段的用户和设备证书。

适用于 macOS 的 PKCS 证书还支持新设置 “允许所有应用访问”。 使用此设置，可以启用所有关联的应用对证书私钥的访问。 有关此设置的详细信息，请参阅 上的 https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdfApple 文档。

使用证书预配 iOS 移动设备的派生凭据

Intune支持使用派生凭据作为身份验证方法，以及使用 iOS 设备的 S/MIME 签名和加密。 派生凭据是 国家标准与技术研究院 (NIST) 800-157 标准的实现，用于将证书部署到设备。

派生凭据依赖于使用个人身份验证 (PIV) 或通用访问卡 (CAC) 卡，例如智能卡。 若要获取其移动设备的派生凭据，用户请从 公司门户 应用中开始，并遵循你所使用的提供商唯一的注册工作流。 所有提供程序的共同要求是在计算机上使用智能卡向派生凭据提供程序进行身份验证。 然后，该提供程序向设备颁发一个证书，该证书派生自用户的智能卡。

Intune支持以下派生凭据提供程序：

• DISA Purebred
• Entrust
• Intercede

使用派生凭据作为用于 VPN、Wi-Fi 和电子邮件的设备配置文件的身份验证方法。 还可以将它们用于应用身份验证以及 S/MIME 签名和加密。

有关标准的详细信息，请参阅 www.nccoe.nist.gov 中的派生 PIV 凭据。

使用 图形 API 将本地用户主体名称指定为 SCEP 证书的变量

使用 Intune 图形 API时，可以将 onPremisesUserPrincipalName 指定为 SCEP 证书的使用者可选名称 (SAN) 变量。

'

Microsoft 365 设备管理

改进了 Microsoft 365 设备管理 中的管理体验

更新和简化的管理体验现已在 Microsoft 365 设备管理 专家工作区https://endpoint.microsoft.com中正式发布，包括：

• 更新的导航：你将找到一个简化的第一级导航，该导航按逻辑对功能进行分组。
• 新平台筛选器：可以在“设备和应用”页上选择单个平台，该平台仅显示所选平台的策略和应用。
• 新的主页：在新主页上快速查看服务运行状况、租户状态、新闻等。 有关这些改进的详细信息，请参阅Microsoft Tech Community网站上的企业移动性 + 安全性博客文章。

Microsoft 365 设备管理中的 Endpoint Security 节点简介

终结点安全节点现已在 Microsoft 365 设备管理 专家工作区中https://endpoint.microsoft.com正式发布，该工作区将保护终结点的功能组合在一起，例如：

• 安全基线：预先配置的设置组，可帮助你应用 Microsoft 推荐的已知设置组和默认值。
• 安全任务：利用Microsoft Defender实现终结点威胁和漏洞管理 (TVM) ，并使用Intune来修正终结点弱点。
• Microsoft Defender for Endpoint：集成Microsoft Defender for Endpoint，以帮助防止安全漏洞。

这些设置将继续从其他适用的节点（如设备）访问。 无论在何处访问和启用这些功能，当前配置的状态都将相同。

有关这些改进的详细信息，请参阅 Microsoft Tech Community 网站上的 Intune Customer Success 博客文章。

2019年九月

应用管理

托管的 Google Play 专用 LOB 应用'

Intune现在允许 IT 管理员通过嵌入在 Intune 控制台中的 iframe 将专用 Android LOB 应用发布到托管 Google Play。 以前，IT 管理员需要将 LOB 应用直接发布到 Google 的 Play 发布控制台，这需要多个步骤且非常耗时。 此新功能允许通过最少的步骤轻松发布 LOB 应用，而无需离开Intune控制台。 管理员不再需要在 Google 中手动注册为开发人员，也不再需要支付 Google 25 美元的注册费。 使用托管 Google Play 的任何 Android Enterprise 管理方案都可以利用此功能， (工作配置文件、专用设备、完全托管设备和非注册设备) 。 从Intune，选择“客户端应用>应用>添加”。 然后，从“应用类型”列表中选择“托管 Google Play”。 有关托管 Google Play 应用的详细信息，请参阅使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。

Windows 公司门户 体验

正在更新 Windows 公司门户。 可以在 Windows 公司门户中的“应用”页上使用多个筛选器。 “设备详细信息”页也在更新，用户体验得到改进。 我们正在向所有客户推出这些更新，预计在下周结束之前完成。

对 Web 应用的 macOS 支持

可以使用 macOS 公司门户将 Web 应用（允许向 Web 上的 URL 添加快捷方式）安装到 Dock。 最终用户可以从 macOS 公司门户中 Web 应用的应用详细信息页访问“安装”操作。 有关 Web 链接应用类型的详细信息，请参阅将应用添加到Microsoft Intune和将 Web 应用添加到Microsoft Intune。

对 VPP 应用的 macOS 支持

当 apple VPP 令牌在 Intune 中同步时，使用 Apple Business Manager 购买的 macOS 应用会显示在控制台中。 可以使用 Intune 控制台为组分配、撤销和重新分配设备和基于用户的许可证。 Microsoft Intune通过以下方式帮助你管理在公司购买的 VPP 应用：

• 报告应用商店中的许可证信息。
• 跟踪已使用的许可证数。
• 帮助你防止安装比组织拥有的更多应用副本。

有关Intune和 VPP 的详细信息，请参阅使用Microsoft Intune管理批量购买的应用和书籍。

托管 Google Play iframe 支持

Intune现在支持通过托管 Google Play iframe 直接在 Intune 控制台中添加和管理 Web 链接。 此功能允许 IT 管理员提交 URL 和图标图形，然后将这些链接部署到设备，就像常规 Android 应用一样。 使用托管 Google Play 的任何 Android Enterprise 管理方案都可以利用此功能， (工作配置文件、专用设备、完全托管设备和非注册设备) 。 从Intune，选择“客户端应用>应用>添加”。 然后，从“应用类型”列表中选择“托管 Google Play”。 有关托管 Google Play 应用的详细信息，请参阅使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。

在 Zebra 设备上以无提示方式安装 Android LOB 应用

在 Zebra 设备上安装 Android 业务线 (LOB) 应用时，无需同时提示下载和安装 LOB 应用，而是以无提示方式安装应用。 在“Intune”中，选择“客户端应用>应用>添加”。 在 “选择应用类型 ”窗格中，选择“ 业务线应用”。 有关详细信息，请参阅将 Android 业务线应用添加到Microsoft Intune。

目前，下载 LOB 应用后，用户设备上将显示 下载成功 通知。 只能通过点击通知阴影中的“ 全部清除 ”来消除通知。 此通知问题将在即将发布的版本中得到修复，并且安装将无提示且无视觉指示器。

读取和写入Intune应用的图形 API操作

应用程序可以使用应用标识调用Intune 图形 API，无需用户凭据即可使用读取和写入操作。 有关访问适用于Intune的 Microsoft 图形 API的详细信息，请参阅在 Microsoft Graph 中使用Intune。

适用于 iOS Intune App SDK 的受保护数据共享和加密

应用保护策略启用加密时，适用于 iOS 的 Intune 应用 SDK 将使用 256 位加密密钥。 所有应用都需要具有 SDK 版本 8.1.1 才能允许受保护的数据共享。

对 Microsoft Intune 应用的更新

适用于 Android 的 Microsoft Intune 应用已更新，具有以下改进：

• 更新并改进了布局，包含最重要操作的底部导航。
• 添加了另一个显示用户个人资料的页面。
• 在应用中为用户添加了对可操作通知（例如需要更新其设备设置）的显示。
• 添加了对自定义推送通知的显示，将应用与适用于 iOS 和 Android 的公司门户应用中最近新增的支持保持一致。 有关详细信息，请参阅使用 Intune 发送自定义通知。 ""

对于 iOS 设备，自定义公司门户的注册过程隐私屏幕

使用 Markdown，可以自定义最终用户在 iOS 注册期间看到的公司门户隐私屏幕。 具体而言，你可以自定义组织在设备上看不到或无法执行的操作列表。 有关详细信息，请参阅如何配置Intune 公司门户应用。

设备配置

支持适用于 iOS 的 IKEv2 VPN 配置文件

在此更新中，可以使用 IKEv2 协议为 iOS 本机 VPN 客户端创建 VPN 配置文件。 IKEv2 是设备>配置>中的新连接类型Create>iOS for platform >VPN 的配置文件类型>“连接类型”。

这些 VPN 配置文件配置本机 VPN 客户端，因此不会安装 VPN 客户端应用或将应用推送到托管设备。 此功能要求设备Intune (MDM 注册) 注册。

若要查看可以配置的当前 VPN 设置，请转到 在 iOS 设备上配置 VPN 设置。

应用于：

• iOS

iOS 和 macOS 设置的设备功能、设备限制和扩展配置文件按注册类型显示

在 Intune 中，为 iOS 和 macOS 设备创建配置文件 (设备>配置>Create>iOS 或 macOS 平台>设备功能、设备限制或配置文件类型扩展) 。

在此更新中，Intune管理中心中的可用设置按其适用的注册类型进行分类：

• iOS

  • 用户注册
  • 设备注册
  • 自动化设备注册 (监督)
  • 所有注册类型

• macOS

  • 用户已批准
  • 设备注册
  • 自动设备注册
  • 所有注册类型

应用于：

• iOS

在展台模式下运行的受监督 iOS 设备的新语音控制设置

在 Intune 中，可以创建策略以将受监督的 iOS 设备作为展台运行，或将专用设备 (设备>配置>Create>iOS 用于平台>配置文件类型>展台) 的设备限制。

在此更新中，有一些可以控制的新设置：

• 语音控制：在展台模式下启用设备上的语音控制。
• 语音控制修改：允许用户在展台模式下更改设备上的语音控制设置。

若要查看当前设置，请转到 iOS 展台设置。

应用于：

• iOS13.0 及更高版本

对 iOS 和 macOS 设备上的应用和网站使用单一登录

在此更新中，iOS 和 macOS 设备的一些新单一登录设置 (设备>配置>Create>iOS 或 macOS 平台>设备功能配置文件类型) 。

使用这些设置来配置单一登录体验，尤其是对于使用 Kerberos 身份验证的应用和网站。 可以选择通用凭据单一登录应用扩展和 Apple 的内置 Kerberos 扩展。

若要查看可配置的当前设备功能，请转到 iOS 设备功能和macOS 设备功能。

应用于：

• iOS 13。 和更新
• macOS 10.15 及更高版本

将域关联到 macOS 10.15+ 设备上的应用

在 macOS 设备上，可以配置不同的功能，并使用策略 (设备>配置>Create>macOS 平台>配置文件类型的设备功能) 将这些功能推送到设备。 在此更新中，可以将域关联到应用。 此功能有助于与与应用相关的网站共享凭据，并可用于 Apple 的单一登录扩展、通用链接和密码自动填充。

若要查看可配置的当前功能，请转到 Intune 中的 macOS 设备功能设置。

应用于：

• macOS 10.15 及更高版本

在 iOS 受监督的设备上显示或隐藏应用时，在 iTunes 应用商店 URL 中使用“iTunes”和“应用”

在Intune中，可以创建策略来显示或隐藏受监督的 iOS 设备上的应用 (设备>配置>Create>iOS 平台>配置文件类型的>设备限制显示或隐藏应用) 。

可以输入 iTunes 应用商店 URL，例如 https://itunes.apple.com/us/app/work-folders/id950878067?mt=8。 在此更新中， apps 和 itunes 都可以在 URL 中使用，例如：

• https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
• https://apps.apple.com/us/app/work-folders/id950878067?mt=8

有关这些设置的详细信息，请参阅 显示或隐藏应用。

应用于：

• iOS

Windows 10符合性策略密码类型值更清晰且与 CSP 匹配

在Windows 10设备上，可以创建一个符合性策略，该策略需要特定密码功能 (设备符合性>策略>Create策略>Windows 10及更高版本用于平台>系统安全性) 。 在此更新中：

• 密码类型值更清晰，并更新为匹配 DeviceLock/AlphanumericDevicePasswordRequired CSP。
• 密码过期 (天) 设置已更新为允许 1-730 天的值。

有关Windows 10符合性设置的详细信息，请参阅Windows 10及更高版本的设置，以将设备标记为合规或不合规。

应用于：

• Windows 10 及更高版本

更新了用于配置 Microsoft Exchange 本地访问的 UI

我们更新了可在其中 配置访问 Microsoft Exchange 本地访问的控制台。 Exchange 本地访问的所有配置现在都可以在 启用 Exchange 本地访问控制的控制台的同一个窗格中使用。

允许或限制将应用小组件添加到 Android Enterprise 工作配置文件设备上的主屏幕

在 Android Enterprise 设备上，可以在工作配置文件中配置功能 (设备>配置>Create>Android Enterprise for platform >工作配置文件仅限>配置文件类型的设备限制) 。 在此更新中，可以允许用户将工作配置文件应用公开的小组件添加到设备主屏幕。

若要查看可配置的设置，请转到 Android Enterprise 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• Android Enterprise 工作配置文件

设备注册

新租户将默认退出 Android 设备管理员管理

Android 的设备管理员功能已被 Android Enterprise 取代。 因此，建议改用 Android Enterprise 进行新注册。 在未来的更新中，新租户需要完成 Android 注册中的以下先决条件步骤才能使用设备管理员管理：转到Intune>设备注册>Android 注册>个人和公司拥有的设备具有设备管理权限>使用设备管理员管理设备。

现有租户的环境不会发生任何更改。

有关 Intune 中的 Android 设备管理员的详细信息，请参阅 Android 设备管理员注册。

与配置文件关联的 DEP 设备列表

现在可以看到 Apple 自动设备注册计划 (DEP) 与配置文件关联的设备的分页列表。 可以从列表中的任何页面搜索列表。 若要查看列表，请转到Intune>设备注册>Apple 注册>计划令牌>选择令牌>配置文件>，选择“监视) ”下的配置文件>“”分配的设备 (”。

预览版中的 iOS 用户注册

Apple 的 iOS 13.1 版本包括用户注册，这是一种适用于 iOS 设备的全新轻型管理形式。 它可用于代替设备注册或自动设备注册， (以前是个人拥有设备的设备注册计划) 。 Intune预览版支持此功能集，方法是让你：

• 目标用户注册到用户组。
• 使最终用户能够在注册其设备时选择较轻的用户注册或更强大的设备注册。

从 2019 年 9 月 24 日发布 iOS 13.1 开始，我们正在向所有客户推出这些更新，预计在下周结束之前完成。

应用于：

• iOS 13.1 及更高版本

设备管理

更多 Android 完全托管支持

我们已为 Android 完全托管设备添加了以下支持：

• 完全托管 Android 的 SCEP 证书可用于作为设备所有者管理的设备上的证书身份验证。 工作配置文件设备上已支持 SCEP 证书。 使用设备所有者的 SCEP 证书，可以：
  • 在 Android Enterprise 的“DO”部分下创建 SCEP 配置文件
  • 将 SCEP 证书链接到 DO Wi-Fi 配置文件进行身份验证
  • 将 SCEP 证书链接到用于身份验证的 DO VPN 配置文件
  • 通过 AppConfig) 将 SCEP 证书链接到用于身份验证 (的 do Email 配置文件
• Android Enterprise 设备支持系统应用。 在 Intune，通过选择“客户端应用应用添加”来添加 Android Enterprise 系统应用>>。 在 “应用类型 ”列表中，选择“ Android Enterprise 系统应用”。 有关详细信息，请参阅将 Android Enterprise 系统应用添加到Microsoft Intune。
• 在 “设备符合性>Android 企业>设备所有者”中，可以创建设置 Google SafetyNet 证明级别的符合性策略。
• 在 Android Enterprise 完全托管设备上，支持移动威胁防御提供商。 在 “设备符合性>Android 企业>设备所有者”中，可以选择可接受的威胁级别。 使用Intune列出当前设置，将设备标记为合规或不符合的 Android Enterprise 设置。
• 在 Android Enterprise 完全托管设备上，现在可以通过应用配置策略配置 Microsoft Launcher 应用，以便在完全托管的设备上实现标准化最终用户体验。 Microsoft Launcher 应用可用于个性化你的 Android 设备。 使用应用以及 Microsoft 帐户或工作/学校帐户，可以访问个性化订阅源中的日历、文档和最近的活动。

通过此更新，Intune对 Android Enterprise 完全托管的支持现已正式发布。

应用于：

• Android Enterprise 完全托管设备

将自定义通知发送到单个设备

现在可以选择单个设备，然后使用远程设备操作 仅向该设备发送自定义通知。

擦除和密码重置操作不适用于使用用户注册进行注册的 iOS 设备

用户注册是一种新型的 Apple 设备注册。 使用用户注册注册设备时，擦除和密码重置远程操作将不适用于此类设备。

Intune对 iOS 13 和 macOS Catalina 设备的支持

Intune现在支持管理 iOS 13 和 macOS Catalina 设备。 有关详细信息，请参阅Microsoft Intune iOS 13 和 iPadOS 支持博客文章。

Intune对 iPadOS 和 iOS 13.1 设备的支持

Intune现在支持管理 iPadOS 和 iOS 13.1 设备。 有关详细信息，请参阅此博客文章。

设备安全性

对客户端驱动的恢复密码轮换的 BitLocker 支持

使用 Intune Endpoint Protection 设置在运行 Windows 版本 1909 或更高版本的设备上为 BitLocker 配置客户端驱动的恢复密码轮换。

此设置在 OS 驱动器恢复 (固定数据驱动器上使用 bootmgr 或 WinRE) 和恢复密码解锁后启动客户端驱动的恢复密码刷新。 此设置将刷新使用的特定恢复密码，并且卷上其他未使用的密码保持不变。 有关详细信息，请参阅 ConfigureRecoveryPasswordRotation 的 BitLocker CSP 文档。

Windows Defender防病毒的篡改防护

使用 Intune 管理 Windows Defender 防病毒的篡改防护。 使用设备配置文件进行Windows 10终结点保护时，可以在Microsoft Defender 安全中心组中找到篡改防护的设置。 可以将“篡改防护”设置为 “已启用 ”以打开“回火保护限制”，将“ 已禁用” 设置为“将其关闭”，或设置“ 未配置 ”以保留设备的当前配置。

有关篡改防护的详细信息，请参阅 Windows 文档中 的防止使用篡改防护进行安全设置更改 。

Windows Defender防火墙的高级设置现已正式发布

终结点保护Windows Defender自定义防火墙规则（配置为设备配置文件的一部分）已退出公共预览版， (GA) 正式发布。 可以使用这些规则指定应用程序、网络地址和端口的入站和出站行为。 这些规则于 7 月作为公共预览版发布。

监视和疑难解答

Intune用户界面更新 - 租户状态仪表板

租户状态仪表板的用户界面已更新为与 Azure 用户界面样式保持一致。 有关详细信息，请参阅 租户状态。

基于角色的访问控制

范围标记现在支持使用条款策略

现在可以将 范围标记 分配给使用条款策略。 为此，请转到Intune>设备注册>条款和条件>在“属性范围>标记>选择范围标记”列表中选择>一项。

2019 年 8 月

应用管理

在设备取消注册时控制 iOS 应用卸载行为

当设备在用户或设备组级别取消注册时，管理员可以管理是删除还是保留在设备上。

适用于企业的 Microsoft Store应用分类

你可以对适用于企业的 Microsoft Store应用进行分类。 为此，请选择“Intune>客户端应用”“>应用>选择适用于企业的 Microsoft Store应用>信息>类别”。 在下拉菜单中，分配类别。

为Microsoft Intune应用用户自定义通知

适用于 Android 的 Microsoft Intune 应用现在支持显示自定义推送通知，使其与 iOS 和 Android 公司门户 应用中最近添加的支持保持一致。 有关详细信息，请参阅使用 Intune 发送自定义通知。

设备配置

使用Windows 10及更新的管理模板配置 Microsoft Edge 设置

在Windows 10和较新的设备上，可以创建管理模板以在 Intune 中配置组策略设置。 在此更新中，可以配置适用于 Microsoft Edge 版本 77 及更新版本的设置。

若要详细了解管理模板，请参阅使用Windows 10模板在 Intune 中配置组策略设置。

应用于：

• windows RS4+) (Windows 10及更高版本

多应用模式下 Android Enterprise 专用设备的新功能

在 Intune中，可以控制 Android Enterprise 专用设备上的展台式体验中的功能和设置 (设备>配置>Create>Android Enterprise 仅适用于平台>设备所有者，配置文件类型的设备限制) 。

在此更新中，将添加以下功能：

• 专用设备>多应用：可以通过在设备上向上轻扫或浮动在屏幕上显示 虚拟主页按钮 ，以便用户可以移动它。
• 专用设备>多应用： 手电筒访问 允许用户使用手电筒。
• 专用设备>多应用： 媒体音量控制 允许用户使用滑块控制设备的媒体音量。
• 专用设备>多应用： 启用屏幕保护程序，上传自定义图像，并控制显示屏幕保护程序时。

若要查看当前设置，请转到 Android Enterprise 设备设置，以允许或限制使用 Intune 的功能。

应用于：

• Android Enterprise 专用设备

Android Enterprise 完全托管设备的新应用和配置文件

使用配置文件，可以配置将 VPN、电子邮件和 Wi-Fi 设置应用于 Android Enterprise 设备所有者 (完全托管) 设备的设置。 在此更新中，你可以：

• 使用 应用配置策略 部署 Outlook、Gmail 和 Nine Work 电子邮件设置。
• 使用设备配置文件部署 受信任的根证书设置。
• 使用设备配置文件部署 VPN 和 Wi-Fi 设置。

重要

使用此功能，用户可以使用其 VPN、Wi-Fi 和电子邮件配置文件的用户名和密码进行身份验证。 目前，基于证书的身份验证不可用。

应用于：

• Android Enterprise 设备所有者 (完全托管)

控制用户在登录 macOS 设备时打开的应用、文件、文档和文件夹

可以在 macOS 设备上启用和配置功能 (设备>配置>Create>macOS 平台>配置文件类型的设备功能) 。

在此更新中，有一个新的登录项设置，用于控制当用户登录到已注册的设备时打开哪些应用、文件、文档和文件夹。

若要查看当前设置，请转到 Intune 中的 macOS 设备功能设置。

应用于：

• macOS

截止时间替换Windows 更新环的参与重启设置

为了与最近的 Windows 服务更改保持一致，Intune的Windows 10更新通道现在支持截止时间设置。 截止时间 确定设备何时安装功能和安全更新。 在运行 Windows 10 1903 或更高版本的设备上，截止时间将取代参与重启的配置。 将来，最后期限也将取代早期版本的Windows 10的参与重启。

如果未配置截止时间，设备将继续使用其参与的重启设置，但Intune将在将来的更新中弃用对参与重启设置的支持。

计划对所有Windows 10设备使用截止时间。 截止时间设置到位后，可以将参与重启的Intune配置更改为“未配置”。 设置为“未配置”时，Intune停止管理设备上的这些设置，但不会从设备中删除设置的最后配置。 因此，为参与重启设置的最后一个配置将保持活动状态，并在设备上使用，直到这些设置被Intune以外的方法修改为止。 稍后，当 Windows 的设备版本更改或Intune截止时间支持扩展到设备 Windows 版本时，设备将开始使用已到位的新设置。

支持多个Microsoft Intune证书连接器

Intune现在支持为 PKCS 操作安装和使用多个Microsoft Intune证书连接器。 此更改支持连接器的负载均衡和高可用性。 每个连接器实例都可以处理来自 Intune 的证书请求。 如果一个连接器不可用，其他连接器将继续处理请求。

若要使用多个连接器，无需升级到最新版本的连接器软件。

新设置和对现有设置的更改，以限制 iOS 和 macOS 设备上的功能

可以创建配置文件来限制运行 iOS 和 macOS (设备>配置>Create>iOS 或 macOS 的平台类型>设备限制) 的设置。 此更新包括以下功能：

• 在 macOS>设备限制>云和存储上，使用新的 “移交 ”设置阻止用户在一台 macOS 设备上开始工作，并继续在另一台 macOS 或 iOS 设备上工作。

  若要查看当前设置，请转到 macOS 设备设置，以允许或限制使用 Intune 的功能。

• 对于 iOS>设备限制，有一些更改：

  • 内置应用>查找仅受监督) 的 iPhone (：在“查找我的应用”功能中阻止此功能的新设置。
  • 内置应用>“查找我的朋友” (仅受监督) ：在“查找我的应用”功能中阻止此功能的新设置。 ​
  • 无线>仅) (监督 Wi-Fi 状态的修改 ：阻止用户打开或关闭设备上的 Wi-Fi 的新设置。
  • 键盘和字典>QuickPath (仅受监督) ：阻止 QuickPath 功能的新设置。
  • 云和存储： 活动延续 已重命名为 Handoff。

  若要查看当前设置，请转到 iOS 设备设置以允许或限制使用 Intune 的功能。

应用于：

• macOS 10.15 及更高版本
• iOS 13 及更新版

iOS 13.0 版本中，某些不受监督的 iOS 设备限制将变为受监督

在此更新中，某些设置适用于具有 iOS 13.0 版本的仅限监督的设备。 如果在 iOS 13.0 版本之前配置了这些设置并将其分配给非监督设备，则这些设置仍将应用于这些无监督设备。 设备升级到 iOS 13.0 后，它们仍然适用。 备份和还原的无监督设备上会删除这些限制。

这些设置包括：

• App Store、文档查看和游戏
  • 应用商店
  • 显式 iTunes、音乐、播客或新闻内容
  • 添加游戏中心好友
  • 多人游戏
• 内置应用
  • 照相机
    • FaceTime
  • Safari
    • 自动填充
• 云和存储
  • 备份到 iCloud
  • 阻止 iCloud 文档同步
  • 阻止 iCloud 密钥链同步

若要查看当前设置，请转到 iOS 设备设置以允许或限制使用 Intune 的功能。

应用于：

• iOS 13.0 及更高版本

改进了 macOS FileVault 加密的设备状态

我们更新了 macOS 设备上 FileVault 加密的多个 设备状态消息 。

报告中的某些Windows Defender防病毒扫描设置显示“失败”状态

在 Intune 中，可以创建策略以使用 Windows Defender 防病毒扫描Windows 10设备 (设备>配置>Create>Windows 10及更高版本，以针对平台>配置文件类型的>设备限制Windows Defender防病毒) 。 执行 每日快速扫描的时间 和 执行报告的系统扫描类型 显示失败状态，而实际为成功状态。

在此更新中，此行为已修复。 因此， 执行每日快速扫描的时间 和 执行设置的系统扫描类型 在扫描成功完成时显示成功状态，当设置无法应用时显示失败状态。

有关Windows Defender防病毒设置的详细信息，请参阅Windows 10 (及更新) 设备设置以允许或限制使用 Intune 的功能。

Zebra Technologies 是 Android Enterprise 设备上 OEMConfig 支持的 OEM

在 Intune 中，可以使用 OEMConfig (设备>>配置Create>Android Enterprise for platform > OEMConfig（用于配置文件类型) ）创建设备配置文件，并将设置应用于 Android Enterprise 设备。

在此更新中，Zebra Technologies 是 oemConfig (OEM) 受支持的原始设备制造商。 有关 OEMConfig 的详细信息，请参阅 通过 OEMConfig 使用和管理 Android Enterprise 设备。

应用于：

• Android 企业版

设备注册

默认范围标记

新的内置默认范围标记现已推出。 支持范围标记的所有未标记Intune对象将自动分配给默认范围标记。 默认范围标记将添加到所有现有角色分配，以保持与当前管理员体验的奇偶校验。 如果不希望管理员查看具有默认范围标记Intune对象，请从角色分配中删除默认范围标记。 此功能类似于 Configuration Manager 中的安全作用域功能。 有关详细信息，请参阅 将 RBAC 和范围标记用于分布式 IT。

Android 注册设备管理员支持

Android 设备管理员注册选项已添加到 Android 注册页， (Intune>设备注册>Android 注册) 。 默认情况下，仍将为所有租户启用 Android 设备管理员。 有关详细信息，请参阅 Android 设备管理员注册。

在设置助手中跳过更多屏幕

可以设置设备注册计划配置文件以跳过以下设置助理屏幕：

• 对于 iOS
  • 外观
  • Express 语言
  • 首选语言
  • 设备间迁移
• 对于 macOS
  • 屏幕时间
  • 触控 ID 设置

有关设置助理自定义的详细信息，请参阅Create适用于 iOS 的 Apple 注册配置文件和Create macOS 的 Apple 注册配置文件。

将用户列添加到 Autopilot 设备 CSV 上传过程

现在可以将用户列添加到 Autopilot 设备的 CSV 上传中。 此功能允许你在导入 CSV 时批量分配用户。 有关详细信息，请参阅使用 Windows Autopilot 在 Intune 中注册 Windows 设备。

设备管理

将自动设备清理时间限制配置为 30 天

可以将自动设备清理时间限制设置为最短为 30 天 (而不是上次登录后) 之前的 90 天限制。 为此，请转到Intune>>>设置设备清理规则。

Android 设备硬件页上包含的内部版本号

每个 Android 设备的“硬件”页上的新条目包括设备的操作系统内部版本号。 有关详细信息，请参阅在 Intune 中查看设备详细信息。

2019 年 7 月

应用管理

用户和组的自定义通知

从 公司门户 应用程序向使用 Intune 管理的 iOS 和 Android 设备上的用户发送自定义推送通知。 这些移动推送通知可通过自由文本进行高度自定义，并且可用于任何目的。 可以将这些用户定位到组织中的不同用户组。 有关详细信息，请参阅 自定义通知。

Google 的设备策略控制器应用

托管主屏幕应用现在提供对 Google Android 设备策略应用的访问权限。 托管主屏幕应用是一个自定义启动器，用于在 Intune 中注册为 Android Enterprise (AE) 使用多应用展台模式的专用设备。 出于支持和调试目的，可以访问 Android 设备策略应用，或将用户引导到 Android 设备策略应用。 此启动功能在设备注册并锁定到托管主屏幕时可用。 无需其他安装即可使用此功能。

适用于 iOS 和 Android 设备的 Outlook 保护设置

现在，可以使用简单的Intune管理员控件配置 Outlook for iOS 和 Android 的常规应用和数据保护配置设置，而无需注册设备。 常规应用配置设置提供与管理员在注册设备上管理 Outlook for iOS 和 Android 时可以启用的设置奇偶校验。 有关 Outlook 设置的详细信息，请参阅 部署 Outlook for iOS 和 Android 应用配置设置。

托管主屏幕和托管设置图标

托管主屏幕应用图标和托管设置图标已更新。 托管主屏幕应用仅由在 Intune 中注册为 Android Enterprise (AE) 专用设备并在多应用展台模式下运行的设备使用。 有关 托管主屏幕 应用的详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

Android Enterprise 专用设备上的 Android 设备策略

可以从托管主屏幕应用的调试屏幕访问 Android 设备策略应用程序。 托管主屏幕应用仅由在 Intune 中注册为 Android Enterprise (AE) 专用设备并在多应用展台模式下运行的设备使用。 有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

iOS 公司门户更新

iOS 应用管理提示上的公司名称将替换当前的“i.manage.microsoft.com”文本。 例如，当用户尝试从公司门户安装 iOS 应用或用户允许管理应用时，用户将看到其公司名称而不是“i.manage.microsoft.com”。 此功能将在未来几天内向所有客户推出。

Android Enterprise 设备上的Microsoft Entra ID和应用

加入完全托管的 Android Enterprise 设备时，用户现在将在初始设置其新设备或恢复出厂设置设备期间向 Microsoft Entra ID 注册。 以前，对于完全托管的设备，安装完成后，用户必须手动启动Microsoft Intune应用才能开始Microsoft Entra注册。 现在，当用户在初始设置后登录设备主页时，设备已注册和注册。

除了Microsoft Entra ID更新，完全托管的 Android Enterprise 设备上现在还支持Intune应用保护策略 (APP) 。 当我们推出此功能时，此功能将变为可用。有关详细信息，请参阅使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。

设备配置

创建Windows 10设备配置文件时使用“适用性规则”

为平台>适用性规则) 创建Windows 10设备配置文件 (设备>配置>>Create Windows 10。 在此更新中，可以创建 适用性规则 ，使配置文件仅适用于特定版本或特定版本。 例如，创建一个配置文件来启用某些 BitLocker 设置。 添加配置文件后，请使用适用性规则，以便配置文件仅适用于运行Windows 10 企业版的设备。

若要添加适用性规则，请参阅 适用性规则。

适用于：Windows 10及更高版本

使用令牌在 iOS 和 macOS 设备的自定义配置文件中添加特定于设备的信息

可以在 iOS 和 macOS 设备上使用自定义配置文件来配置未内置到Intune (设备>配置>Create>iOS 或 macOS 平台>自定义配置文件类型) 的设置和功能。 在此更新中，可以将令牌添加到文件 .mobileconfig 以添加特定于设备的信息。 例如，可以添加到 Serial Number: {{serialnumber}} 配置文件以显示设备的序列号。

若要创建自定义配置文件，请参阅 iOS 自定义设置 或 macOS 自定义设置。

应用于：

• iOS
• macOS

为 Android Enterprise 创建 OEMConfig 配置文件时的新配置设计器

在 Intune，可以创建一个设备配置文件，该配置文件使用 OEMConfig 应用 (设备配置文件>> Create配置文件 > Android Enterprise for platform > OEMConfig for profile type) 。 创建配置文件时，将打开 JSON 编辑器，其中包含要更改的模板和值。

此更新包括一个配置Designer，具有改进的用户体验，显示嵌入在应用中的详细信息，包括标题、说明等。 JSON 编辑器仍然可用，并显示你在配置Designer所做的任何更改。

若要查看当前设置，请转到 通过 OEMConfig 使用和管理 Android Enterprise 设备。

适用于：Android Enterprise

更新了用于配置Windows Hello的 UI

我们更新了你在其中配置Intune以使用Windows Hello 企业版的控制台。 所有配置设置现在都可以在控制台的同一个窗格中使用，可在其中启用对Windows Hello的支持。

Intune PowerShell SDK

Intune PowerShell SDK（通过 Microsoft Graph 提供对Intune API 的支持）已更新到版本 6.1907.1.0。

SDK 现在支持：

• 适用于Azure 自动化。
• 支持仅应用身份验证读取操作。
• 支持将友好的缩写名称作为别名。
• 符合 PowerShell 命名约定。 具体而言， PSCredential cmdlet) 上的 Connect-MSGraph 参数 (已重命名为 Credential。
• 支持在使用 Invoke-MSGraphRequest cmdlet 时手动指定标头的值Content-Type。

有关详细信息，请参阅 PowerShell SDK for Microsoft Intune 图形 API。

管理适用于 macOS 的 FileVault

可以使用 Intune 管理 macOS 设备的 FileVault 密钥加密。 若要加密设备，请使用 Endpoint Protection 设备配置文件。

对 FileVault 的支持包括：

• 加密未加密的设备
• 设备个人恢复密钥的托管
• 自动或手动轮换个人加密密钥
• 企业设备的密钥检索

最终用户还可以使用 公司门户 网站获取其加密设备的个人恢复密钥。

我们还扩展了加密报告，以包括 有关 BitLocker 的 FileVault 边信息的信息，以便你可以在一个位置查看所有设备加密详细信息。

Windows 10管理模板中的新 Office、Windows 和 OneDrive 设置

可以在 Intune 中创建管理模板，这些模板模拟本地组策略管理 (设备>配置>Create>Windows 10及更高版本，用于配置文件类型) 的平台>管理模板。

此更新包括可添加到模板的更多 Office、Windows 和 OneDrive 设置。 使用这些新设置，现在可以配置超过 2500 个 100% 基于云的设置。

若要了解有关此功能的详细信息，请参阅使用Windows 10模板在 Intune 中配置组策略设置。

适用于：Windows 10及更高版本

设备注册

注册限制汇报

已更新新租户的注册限制，以便默认情况下允许 Android Enterprise 工作配置文件。 现有租户不会发生任何更改。 若要使用 Android Enterprise 工作配置文件，仍需要将 Intune 帐户连接到托管的 Google Play 帐户。

Apple 注册和注册限制的 UI 更新

以下两个进程都使用向导样式的用户界面：

• Apple 设备注册。 有关详细信息，请参阅 使用 Apple 的设备注册计划自动注册 iOS 设备。
• 注册限制创建。 有关详细信息，请参阅创建注册限制。

处理 Android Q 设备的公司设备标识符的预配置

在 Android Q (v10) 中，Google 将删除旧版托管 (设备管理员) Android 设备上的 MDM 代理收集设备标识符信息的功能。 管理员可以 预先配置设备序列号列表或 IMEI ，以自动将这些设备标记为公司拥有的设备。 此功能不适用于设备管理员管理的 Android Q 设备。 无论是上传设备的序列号还是 IMEI，在注册期间始终将其视为个人Intune。 注册后，可以手动将所有权切换到公司。 此行为仅影响新注册，现有注册设备不受影响。 此更改不会影响使用工作配置文件管理的 Android 设备，它们将继续像现在一样工作。 此外，注册为设备管理员的 Android Q 设备将无法再将Intune控制台中的序列号或 IMEI 报告为设备属性。

Android Enterprise 注册的图标已更改， (工作配置文件、专用设备和完全托管的设备)

Android Enterprise 注册配置文件的图标已更改。 若要查看新图标，请转到Intune>>注册配置文件下的“注册 Android>注册”查看。

Windows 诊断数据收集更改

对于运行 Windows 10 版本 1903 及更高版本的设备，诊断数据收集的默认值已更改。 从 Windows 10 1903 开始，默认启用诊断数据收集。 Windows 诊断数据是 Windows 设备中有关设备以及 Windows 和相关软件性能的重要技术数据。 有关详细信息，请参阅 在组织中配置 Windows 诊断数据。 除非在 Autopilot 配置文件中使用 System/AllowTelemetry 进行其他设置，否则 Autopilot 设备也会选择使用“完整”遥测。

Windows Autopilot 重置删除设备的主要用户

如果设备使用 Autopilot 重置，设备的主要用户将会遭删除。 在重置后登录的下一个用户将被设置为主要用户。 此功能将在未来几天内向所有客户推出。

设备管理

改进设备位置

可以使用“ 查找设备” 操作放大到设备的确切坐标。 有关查找丢失的 iOS 设备的详细信息，请参阅 查找丢失的 iOS 设备。

设备安全性

Windows Defender防火墙 (公共预览版) 的高级设置

使用 Intune 将自定义防火墙规则作为设备配置文件的一部分来管理Windows 10上的终结点保护。 规则可以指定应用程序、网络地址和端口的入站和出站行为。

更新了用于管理安全基线的 UI

我们已针对安全基线更新了 Intune 控制台中的创建和编辑体验。 这些更改包括：

简化为单个边栏选项卡的简单向导样式格式。 在一个边栏选项卡中。 这种新设计可以消除需要 IT 专业人员向下钻取到多个单独窗格的边栏选项卡扩展。
现在，可以在创建和编辑体验过程中创建作业，而无需稍后返回来分配基线。 我们添加了在创建新基线之前和编辑现有基线时可以查看的设置摘要。 编辑时，摘要仅显示所编辑属性的一个类别中设置的项列表。

2019 年 6 月

应用管理

配置允许哪个浏览器链接到组织数据

Intune应用保护策略 (Android 和 iOS 设备上的应用) 现在允许将组织 Web 链接传输到 Intune Managed Browser 或 Microsoft Edge 以外的特定浏览器。 有关 APP 的详细信息，请参阅 什么是应用保护策略？。

“所有应用”页标识联机/脱机适用于企业的 Microsoft Store应用

“所有应用”页现在包含标签，用于将 适用于企业的 Microsoft Store (MSFB) 应用标识为联机或脱机应用。 每个 MSFB 应用现在都包含 联机 或 脱机的后缀。 应用详细信息页还包括许可证类型和支持设备上下文安装 (脱机许可应用仅) 信息。

在 Windows 共享设备上公司门户应用

用户现在可以在 Windows 共享设备上访问 公司门户 应用。 最终用户将在设备磁贴上看到 “共享 ”标签。 此功能适用于 Windows 公司门户 应用版本 10.3.45609.0 及更高版本。

从新版公司门户网页查看所有已安装应用

公司门户网站的新增“已安装应用”页面将列出用户设备上安装的所有（要求安装和允许安装的）托管应用。 除了分配类型，用户还可以看到应用的发布者、发布日期和当前安装状态。 如果你并未要求或允许用户安装任何应用，则用户将看到一条消息，说明尚未安装任何公司应用。 若要查看 Web 上的新页面，请转到公司门户网站，然后选择“已安装的应用”。

新增视图，可相应用用户显示设备上安装的所有托管应用

现在，适用于 Windows 的公司门户应用将列出用户设备上安装的所有（要求安装和允许安装的）托管应用。 用户还可以看到已尝试和待处理的应用安装及其当前状态。 如果你并未要求或允许用户安装应用，则用户将看到一条消息，说明尚未安装任何公司应用。 若要查看新视图，请转到公司门户的导航窗格，并选择“应用”>“已安装应用”。

Microsoft Intune 应用中的新功能

我们已向适用于 Android 的 Microsoft Intune 应用（预览版）添加新功能。 完全托管的 Android 设备上的用户现在可以：

• 查看和管理通过 Intune 公司门户或 Microsoft Intune 应用注册的设备。
• 联系他们的组织以获取支持。
• 向 Microsoft 发送反馈。
• 如果组织已制定相关条款和条件，请进行查阅。

显示 GitHub 上提供的 Intune SDK 集成的新示例应用

msintuneappsdk GitHub 帐户添加了适用于 iOS (Swift) 、Android、Xamarin.iOS、Xamarin Forms 和 Xamarin.Android 的新示例应用程序。 这些应用旨在补充我们现有的文档，并提供有关如何将 Intune APP SDK 集成到你自己的移动应用中的演示。 如果你的应用开发人员需要更多Intune SDK 指南，请参阅以下链接示例：

• Chatr - 本机 iOS (Swift) 即时消息应用，使用 Azure Active Directory 身份验证库 (ADAL) 进行中转身份验证。
• 任务程序 - 使用 ADAL 进行中转身份验证的本机 Android 待办事项列表应用。
• 任务程序 - 使用 ADAL 进行中转身份验证的 Xamarin.Android 待办事项列表应用，此存储库还具有 Xamarin。Forms应用。
• Xamarin.iOS 示例应用 - 裸机 Xamarin.iOS 示例应用。

设备配置

在 macOS 设备上配置内核扩展的设置

在 macOS 设备上，可以 (设备>>配置创建设备配置文件Create>为平台) 选择 macOS。 此更新包括一组新的设置，可用于在设备上配置和使用内核扩展。 可以添加特定扩展，或者允许来自特定合作伙伴或开发人员的所有扩展。

若要详细了解此功能，请参阅 内核扩展概述 和 内核扩展设置。

适用于：macOS 10.13.2 及更高版本

Windows 10设备的“仅应用商店”设置中的应用包括更多配置选项

为 Windows 设备创建设备限制配置文件时，可以使用“仅应用商店中的应用”设置，以便用户仅从 Windows App Store (设备>配置>Create>Windows 10及更高版本安装应用，以便对配置文件类型) 进行平台>设备限制。 在此更新中，此设置已展开，以支持更多选项。

若要查看新设置，请转到Windows 10 (和更新) 设备设置以允许或限制功能。

适用于：Windows 10及更高版本

将多个 Zebra 移动扩展设备配置文件部署到设备、同一用户组或同一设备组

在 Intune 中，可以在设备配置文件中使用 Zebra 移动性扩展 (MX) ，为未内置于 Intune 的 Zebra 设备自定义设置。 目前，可以将一个配置文件部署到单个设备。 在此更新中，可以将多个配置文件部署到：

• 同一用户组
• 同一设备组
• 单个设备

在 Microsoft Intune 使用和管理 Zebra 移动性扩展的 Zebra 设备展示了如何在Intune中使用 MX。

适用于：Android

iOS 设备上的某些展台设置使用“阻止”进行设置，替换“允许”

在 iOS 设备上创建设备限制配置文件 (设备>配置>Create>iOS 平台>设备限制配置文件类型>展台) 时，将设置“自动锁定”、“响铃开关”、“屏幕旋转”、“屏幕睡眠”按钮和“音量”按钮。

在此更新中，值为 “阻止 (阻止功能) 和 未配置 (允许功能) 。 若要查看设置，请转到 iOS 设备设置以允许或限制功能。

适用于：iOS

在 iOS 设备上使用人脸 ID 进行密码身份验证

为 iOS 设备创建设备限制配置文件时，可以使用指纹作为密码。 在此更新中，指纹密码设置还允许面部识别 (设备>配置>Create>iOS平台>设备限制配置文件类型>密码) 。 因此，以下设置已更改：

• 指纹解锁 现在为 触控 ID 和人脸 ID 解锁。
• 指纹修改 (仅受监督) 现在只有 触摸 ID 和人脸 ID 修改 (监督) 。

人脸 ID 在 iOS 11.0 及更高版本中可用。 若要查看设置，请转到 iOS 设备设置以允许或限制使用 Intune 的功能。

适用于：iOS

限制 iOS 设备上的游戏和应用商店功能现在取决于分级区域

在 iOS 设备上，可以允许或限制与游戏、应用商店和查看文档相关的功能 (设备>配置>Create>iOS 平台>配置文件类型>App Store、文档查看、游戏) 的设备限制。 还可以选择“分级”区域，例如美国。

在此更新中， “应用” 功能被移动到 “分级”区域的子级，并且依赖于 “分级”区域。 若要查看设置，请转到 iOS 设备设置以允许或限制使用 Intune 的功能。

适用于：iOS

设备注册

Windows Autopilot 支持Microsoft Entra混合联接

除了现有的Microsoft Entra联接支持) 外，面向现有设备的 Windows Autopilot现在还支持Microsoft Entra混合联接 (。 适用于Windows 10版本 1809 及更高版本的设备。 有关详细信息，请参阅 面向现有设备的 Windows Autopilot。

设备管理

查看 Android 设备的安全修补程序级别

现在可以看到 Android 设备的安全修补程序级别。 为此，请选择“Intune>设备>”“所有设备>选择设备>硬件”。 “ 操作系统 ”部分列出了修补程序级别。

将范围标记分配给安全组中的所有托管设备

现在可以将范围标记分配给安全组，安全组中的所有设备也将与这些范围标记相关联。 还将为这些组中的所有设备分配范围标记。 使用此功能设置的范围标记将覆盖使用当前设备范围标记流设置的范围标记。 有关详细信息，请参阅 使用分布式 IT 的 RBAC 和范围标记。

设备安全性

将关键字 (keyword) 搜索与安全基线配合使用

创建或编辑安全基线配置文件时，可以在新的搜索栏中指定关键字。 搜索栏筛选包含搜索条件的可用设置组。

安全基线功能现已正式发布

安全基线功能已推出预览版，现已正式发布 (GA) 。 GA 表示该功能已准备好在生产环境中使用。 但是，各个基线模板可以保持预览状态，并按自己的计划进行评估并发布到正式版。

MDM 安全基线模板现已正式发布

MDM 安全基线模板已退出预览版，现已正式发布 (GA) 。 GA 模板被标识 为 2019 年 5 月的 MDM 安全基线。 此功能是一个新模板，而不是从预览版升级。 作为新模板，你需要查看 它包含的设置，然后创建新配置文件以将模板部署到设备。 其他安全基线模板可以保留为预览版。 有关可用基线的列表，请参阅 可用安全基线。

除了作为新模板， 2019 年 5 月的 MDM 安全基线 模板还包括我们最近在开发文章中宣布的两个设置：

• 锁定上方：从锁定的屏幕中语音激活应用
• DeviceGuard：下次重启设备时，使用基于虚拟化的安全性 (VBS) 。

2019 年 5 月的 MDM 安全基线还包括添加多个新设置、删除其他设置以及修订一个设置的默认值。 有关从预览版到正式版的更改的详细列表，请参阅 新模板中的更改内容。

安全基线版本控制

Intune支持版本控制的安全基线。 借助此支持，随着每个安全基线的新版本的发布，你可以更新现有安全基线配置文件以使用较新的基线版本，而无需从头开始重新创建和部署新基线。

还可以查看有关每个基线的信息。 可以查看使用基线的单个配置文件的数量、配置文件使用的不同基线版本的数量，以及特定安全基线的最新版本。 有关详细信息，请参阅安全基线。

已移动“使用安全密钥登录”设置

不再将名为“使用安全密钥进行登录”的标识保护的设备配置设置作为“配置Windows Hello 企业版”的子设置找到。 它现在是始终可用的顶级设置，即使未启用Windows Hello 企业版的使用也是如此。 有关详细信息，请参阅 标识保护。

基于角色的访问控制

已分配的组管理员的新权限

Intune的内置学校管理员角色现在具有为托管应用创建、读取、更新和删除 (CRUD) 权限。 如果你在 Intune 教育版中被分配为组管理员，则现在可以创建、查看、更新和删除 iOS MDM 推送证书、iOS MDM 服务器令牌和 iOS VPP 令牌以及你拥有的所有现有权限。 若要执行上述任一操作，请转到“租户设置>iOS 设备管理”。

应用程序可以使用图形 API在没有用户凭据的情况下调用读取操作

应用程序可以使用应用标识调用Intune 图形 API读取操作，而无需用户凭据。 有关访问适用于Intune的 Microsoft 图形 API的详细信息，请参阅在 Microsoft Graph 中使用Intune。

将范围标记应用于适用于企业的 Microsoft Store应用

现在可以将范围标记应用于适用于企业的 Microsoft Store应用。 有关范围标记的详细信息，请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。

2019 年 5 月

应用管理

报告 Android 设备上可能有害的应用

Intune现在提供有关 Android 设备上可能有害的应用的更多报告信息。

Windows 公司门户 应用

Windows 公司门户 应用现在将有一个标记为“设备”的新页面。 “ 设备 ”页将向最终用户显示其所有已注册的设备。 用户使用版本 10.3.4291.0 及更高版本时，将在 公司门户 中看到此更改。 有关配置公司门户的信息，请参阅如何配置Microsoft Intune 公司门户应用。

Intune策略更新身份验证方法和公司门户应用安装

在已通过 Apple 公司设备注册方法之一通过设置助理注册的设备上，Intune不支持从应用商店手动安装应用时公司门户。 只有在注册期间使用 Apple 设置助理进行身份验证时，此更改才相关。 此更改还仅影响通过以下方式注册的 iOS 设备：

• Apple 配置器
• Apple Business Manager
• Apple School Manager
• Apple 设备注册计划 (DEP)

如果用户从应用商店安装公司门户应用，然后尝试通过它注册这些设备，他们将收到错误。 预计这些设备仅在注册期间通过Intune自动推送时使用公司门户。 Azure 门户中Intune中的注册配置文件将更新，以便可以指定设备的身份验证方式以及设备是否接收公司门户应用。 如果希望 DEP 设备用户具有公司门户，则需要在注册配置文件中指定首选项。

此外，iOS 中的“识别设备”屏幕公司门户将被删除。 因此，想要启用条件访问或部署公司应用的管理员必须更新 DEP 注册配置文件。 仅当 DEP 注册使用设置助理进行身份验证时，此要求才适用。 在这种情况下，必须将公司门户推送到设备上。 为此，请选择“Intune>设备注册>”“Apple 注册>计划令牌>”“选择令牌”“配置文件>”>，选择配置文件>“属性>”，将“安装公司门户”设置为“是”。

若要在已注册的 DEP 设备上安装公司门户，需要转到Intune>客户端应用，并使用应用配置策略将其推送为托管应用。

配置最终用户如何使用应用保护策略更新业务线 (LOB) 应用

现在，你可以配置最终用户可以在何处获取业务线 (LOB) 应用的更新版本。 最终用户将在 “最小应用版本 条件启动”对话框中看到此功能，这将提示最终用户更新到 LOB 应用的最低版本。 必须将这些更新详细信息作为 LOB 应用保护策略的一部分提供， (应用) 。 此功能在 iOS 和 Android 上可用。 在 iOS 上，此功能要求使用包装工具) 与适用于 iOS v. 10.0.7 或更高版本的 Intune SDK 集成 (或包装应用。 在 Android 上，此功能需要最新的公司门户。 若要配置最终用户更新 LOB 应用的方式，应用需要向该应用发送一个托管应用配置策略， com.microsoft.intune.myappstore其中包含密钥 。 发送的值将定义最终用户将从哪个应用商店中下载应用。 如果应用是通过公司门户部署的，则值必须为 CompanyPortal。 对于任何其他应用商店，必须输入完整的 URL。

Intune管理扩展 PowerShell 脚本

可以将 PowerShell 脚本配置为使用用户在设备上的管理员权限运行。 有关详细信息，请参阅在 Intune 和 Win32 应用管理中使用 Windows 10 设备上的 PowerShell 脚本。

Android Enterprise 应用管理

为了使 IT 管理员能够更轻松地配置和使用 Android Enterprise 管理，Intune会自动将四个与 Android Enterprise 相关的常见应用添加到 Intune 管理中心。 四个 Android Enterprise 应用是以下应用：

• Microsoft Intune - 用于 Android Enterprise 完全托管方案。
• Microsoft Authenticator - 如果你使用双重验证，可帮助你登录到帐户。
• Intune 公司门户 - 用于应用保护策略 (APP) 和 Android Enterprise 工作配置文件方案。
• 托管主屏幕 - 用于 Android Enterprise 专用/展台方案。

以前，IT 管理员需要在 托管的 Google Play 商店 中手动查找和批准这些应用，作为设置的一部分。 此更改删除了以前手动执行的步骤，使客户能够更轻松、更快速地使用 Android Enterprise 管理。

管理员将在首次将Intune租户连接到托管 Google Play 时看到这四个应用自动添加到其Intune应用列表。 有关详细信息，请参阅将 Intune 帐户连接到托管 Google Play 帐户。 对于已连接其租户或已使用 Android Enterprise 的租户，管理员无需执行任何操作。 这四个应用将在 2019 年 5 月服务推出完成后的 7 天内自动显示。

设备配置

更新了适用于Microsoft Intune的 PFX 证书连接器

Microsoft Intune的 PFX 证书连接器有更新。 此更新解决了继续重新处理现有 PFX 证书的问题，这会导致连接器停止处理新请求。

Intune Defender for Endpoint (公共预览版) 的安全任务

在公共预览版中，可以使用 Intune 来管理Microsoft Defender for Endpoint的安全任务。 这种与 Defender for Endpoint 的集成，并添加了一种基于风险的方法，用于发现终结点漏洞和错误配置、确定优先级并修正这些漏洞和错误配置，同时缩短发现到缓解之间的时间。

检查Windows 10设备符合性策略中的 TPM 芯片集

许多Windows 10及更高版本的设备都具有受信任的平台模块 (TPM) 芯片集。 此更新包括一个新的符合性设置，用于检查设备上的 TPM 芯片版本。

Windows 10及更高版本的符合性策略设置介绍了此设置。

适用于：Windows 10及更高版本

阻止最终用户修改其个人 HotSpot 并在 iOS 设备上禁用 Siri 服务器日志记录

在 iOS 设备上创建设备限制配置文件 (设备>配置>Create>iOS 平台>配置文件类型) 的设备限制。 此更新包括可以配置的新设置：

• 内置应用：Siri 命令的服务器端日志记录
• 无线：用户修改个人热点 (仅受监督)

若要查看这些设置，请转到 适用于 iOS 的内置应用设置 和 适用于 iOS 的无线设置。

适用于：iOS 12.2 及更新

适用于 macOS 设备的新课堂应用设备限制设置

可以为 macOS 设备创建设备配置文件， (设备>配置>Create>macOS 平台>配置文件类型的设备限制) 。 此更新包括新的课堂应用设置、阻止屏幕截图的选项以及用于禁用 iCloud 照片库的选项。

若要查看当前设置，请转到 macOS 设备设置，以允许或限制使用 Intune 的功能。

适用于：macOS

已重命名用于访问应用商店的 iOS 密码设置

“访问应用商店的密码”设置已重命名为“所有购买都需要 iTunes Store 密码” (设备>配置>Create>iOS for platform >Device restrictions for profile type >App store、Doc 查看和游戏) 。

若要查看可用设置，请转到App Store、文档查看、游戏 iOS 设置。

适用于：iOS

Microsoft Defender for Endpoint基线 (预览版)

我们已为Microsoft Defender for Endpoint设置添加了安全基线预览版。 如果环境满足使用Microsoft Defender for Endpoint的先决条件，则此基线可用。

适用于 iOS 和 Android 设备的 Outlook 签名和生物识别设置

现在可以指定是否在 iOS 和 Android 设备上的 Outlook 中启用默认签名。 此外，还可以选择允许用户在 iOS 版 Outlook 中更改生物识别设置。

网络访问控制 (NAC) iOS 设备的 F5 访问支持

F5 发布了 BIG-IP 13 的更新，允许在 Intune iOS 上实现 F5 访问的 NAC 功能。 若要使用此功能，请执行以下操作：

• 将 BIG-IP 更新为 13.1.1.5 刷新。 不支持 BIG-IP 14。
• 将 BIG-IP 与 NAC 的 Intune 集成。 概述：使用终结点管理系统配置 APM 以进行设备状态检查中的步骤。
• 在 Intune 中检查 VPN 配置文件中的启用网络访问控制 (NAC ) 设置。

若要查看可用设置，请转到 在 iOS 设备上配置 VPN 设置。

适用于：iOS

更新了适用于Microsoft Intune的 PFX 证书连接器

我们发布了适用于Microsoft Intune的 PFX 证书连接器的更新，将轮询间隔从 5 分钟减少到 30 秒。

设备注册

Autopilot 设备 OrderID 属性名称更改为组标记

为了更直观，Autopilot 设备上的 OrderID 属性名称已更改为 组标记。 使用 CSV 上传 Autopilot 设备信息时，必须使用组标记作为列标题，而不是 OrderID。

windows 注册状态页 (ESP) 现已正式发布

注册状态页现已推出预览版。 有关详细信息，请参阅 设置注册状态页。

Intune用户界面更新 - Autopilot 注册配置文件创建

用于创建 Autopilot 注册配置文件的用户界面已更新为与 Azure 用户界面样式保持一致。 有关详细信息，请参阅 Create Autopilot 注册配置文件。 今后，更多Intune方案将更新为此新 UI 样式。

为所有 Windows 设备启用 Autopilot 重置

Autopilot 重置现在适用于所有 Windows 设备，甚至未配置为使用注册状态页的设备。 如果在初始设备注册期间未为设备配置注册状态页，则设备将在登录后直接转到桌面。 可能需要长达 8 小时才能同步并在 Intune 中显示符合要求。 有关详细信息，请参阅 使用远程 Windows Autopilot 重置重置设备。

搜索所有设备时不需要确切的 IMEI 格式

搜索 “所有设备”时，无需在 IMEI 号码中包含空格。

在 Apple 门户中删除设备将反映在Intune门户中

如果设备从 Apple 的设备注册计划或 Apple Business Manager 门户中删除，则设备将在下次同步期间自动从Intune中删除。

注册状态页现在跟踪 Win32 应用

此功能仅适用于运行 Windows 10 版本 1903 及更高版本的设备。 有关详细信息，请参阅 设置注册状态页。

设备管理

使用 图形 API批量重置和擦除设备

现在，可以使用 图形 API批量重置和擦除多达 100 台设备。

监视和疑难解答

加密报告已退出公共预览版

BitLocker 和设备加密报告现已正式发布，不再属于公共预览版。

2019 年 4 月

应用管理

iOS 版公司门户应用的用户体验更新

适用于 iOS 设备的公司门户应用的主页已经过重新设计。 经此更改后，主页将更好地遵循 iOS UI 模式，更易于查找应用和电子书。

对 iOS 12 设备用户的公司门户注册的更改

iOS 注册屏幕和步骤公司门户已更新，以与 Apple iOS 12.2 中发布的 MDM 注册更改保持一致。 更新的工作流提示用户执行以下操作：

• 允许 Safari 在返回公司门户应用之前打开公司门户网站并下载管理配置文件。
• 打开“设置”应用以在其设备上安装管理配置文件。
• 返回公司门户应用以完成注册。

要了解更新的注册步骤和屏幕，请参阅在 Intune 中注册 iOS 设备。

适用于 Android 应用保护策略的 OpenSSL 加密

Android 设备上的Intune应用保护策略 (应用) 现在使用符合 FIPS 140-2 的 OpenSSL 加密库。 有关详细信息，请参阅 Microsoft Intune 中的 Android 应用保护策略设置的加密部分。

启用 Win32 应用依赖项

作为管理员，你可以要求在安装 Win32 应用之前将其他应用作为依赖项安装。 具体而言，设备必须安装依赖应用 () ，然后才能安装 Win32 应用。 在“Intune”中，选择“客户端应用>应用>添加”以显示“添加应用”边栏选项卡。 选择“ Windows 应用 (Win32) ”作为 “应用类型”。 添加应用后，可以选择“ 依赖项 ”以添加在安装 Win32 应用之前必须安装的依赖应用。 有关详细信息，请参阅 Intune独立 - Win32 应用管理。

适用于企业的 Microsoft Store应用的应用版本安装信息

应用安装报告包括适用于企业的 Microsoft Store应用的应用版本信息。 在“Intune”中，选择“客户端应用>应用”。 选择适用于企业的 Microsoft Store应用，然后在“监视”部分下选择“设备安装状态”。

Win32 应用要求规则的新增内容

可以根据 PowerShell 脚本、注册表值和文件系统信息创建要求规则。 在“Intune”中，选择“客户端应用>应用>添加”。 然后在“添加应用”边栏选项卡中选择“Windows 应用 (Win32) ”作为“应用类型”。 选择“ 要求>添加 ”以配置更多要求规则。 然后，选择“ 文件类型”、“ 注册表”或“ 脚本 ”作为 “要求类型”。 有关详细信息，请参阅 Win32 应用管理。

将 Win32 应用配置为安装在已注册Microsoft Entra Intune设备上

你可以分配 Win32 应用以安装在已注册Intune Microsoft Entra加入的设备上。 有关 Intune 中的 Win32 应用的详细信息，请参阅 Win32 应用管理。

设备概述显示主用户

“设备概述”页将显示“主要用户”，也称为“用户设备相关性用户” (UDA) 。 若要查看设备的“主用户”，请选择“Intune>”“>删除所有设备>选择设备”。 主用户将显示在 “概述 ”页顶部附近。

适用于 Android Enterprise 工作配置文件设备的托管 Google Play 应用报告

对于部署到 Android Enterprise 工作配置文件设备的托管 Google Play 应用，可以查看设备上安装的应用的特定版本号。 此功能仅适用于所需的应用。

iOS 第三方键盘

由于 iOS 平台更改，Intune应用保护策略 (APP) 对适用于 iOS 的第三方键盘设置的支持不再受支持。 无法在 Intune 管理员 控制台中配置此设置，并且不会在 Intune App SDK 的客户端上强制实施此设置。

设备配置

更新了证书连接器

我们发布了Intune证书连接器和适用于Microsoft Intune的 PFX 证书连接器的更新。 新版本修复了几个已知问题。

在 macOS 设备上设置登录设置和控制重启选项

在 macOS 设备上，可以创建设备配置文件 (设备>配置>Create>选择 macOS 作为平台>设备功能，以便配置文件类型) 。 此更新包括新的登录窗口设置，例如显示自定义横幅、选择用户登录方式、显示或隐藏电源设置等。

若要查看这些设置，请转到 macOS 设备功能设置。

在 Android Enterprise 上配置 WiFi，在多应用展台模式下运行的设备所有者专用设备

在多应用展台模式下作为专用设备运行时，可以在 Android Enterprise（设备所有者）上启用设置。 在此更新中，你可以让用户配置和连接到 WiFi 网络 (Intune>>设备配置>Create>Android Enterprise for platform >Device owner，以及配置文件类型>专用设备>展台模式的设备限制：多应用>WiFi 配置) 。

若要查看可以配置的所有设置，请转到 Android Enterprise 设备设置以允许或限制功能。

适用于：在多应用展台模式下运行的 Android Enterprise 专用设备

在 Android Enterprise（在多应用展台模式下运行的设备所有者专用设备）上配置蓝牙和配对

在多应用展台模式下作为专用设备运行时，可以在 Android Enterprise（设备所有者）上启用设置。 在此更新中，可以允许最终用户启用蓝牙，并通过蓝牙 (配对设备Intune>>设备配置>Create>Android Enterprise 仅适用于平台>设备所有者，配置文件类型>专用设备>展台模式的设备限制：多应用>蓝牙配置) 。

若要查看可以配置的所有设置，请转到 Android Enterprise 设备设置以允许或限制功能。

适用于：在多应用展台模式下运行的 Android Enterprise 专用设备

在 Intune 中Create并使用 OEMConfig 设备配置文件

在此更新中，Intune支持使用 OEMConfig 配置 Android Enterprise 设备。 具体来说，可以使用 OEMConfig>> (设备配置Create Android Enterprise for platform) 创建设备配置文件，>并将设置应用于 Android Enterprise 设备。

目前对 OEM 的支持基于每个 OEM。 如果所需的 OEMConfig 应用在 OEMConfig 应用列表中不可用，请联系 IntuneOEMConfig@microsoft.com。

若要了解有关此功能的详细信息，请转到在 Microsoft Intune 中使用和管理 OEMConfig 中的 Android Enterprise 设备。

适用于：Android Enterprise

Windows 更新通知

我们已向Windows 更新环配置添加了两个用户体验设置，你可以在Intune控制台中对其进行管理。 你现在可以：

• 阻止或允许用户 扫描 Windows 更新。
• 管理用户看到的Windows 更新通知级别。

Android Enterprise、设备所有者的新设备限制设置

在 Android Enterprise 设备上，可以创建设备限制配置文件以允许或限制功能、设置密码规则等 (设备>配置>Create>选择 Android Enterprise 作为平台>“仅限>设备所有者”配置文件类型的设备限制) 。

此更新包括新的密码设置，允许完全访问 Google Play Store 中的应用，用于完全托管的设备，等等。 若要查看当前设置列表，请转到 Android Enterprise 设备设置以允许或限制功能。

适用于：Android Enterprise 完全托管的设备

检查Windows 10设备符合性策略中的 TPM 芯片集

此功能已延迟，应稍后发布。

更新了Windows 10及更高版本的设备上的 Microsoft Edge Browser 的 UI 更改

创建设备配置文件时，可以允许或限制Windows 10及更高版本的设备上的 Microsoft Edge 功能 (设备>配置>Create>Windows 10及更高版本的平台、>配置文件类型 >Microsoft Edge Browser) 的设备限制。 在此更新中，Microsoft Edge 设置更具描述性，更易于理解。

若要查看这些功能，请转到 Microsoft Edge 浏览器设备限制设置。

应用于：

• Windows 10 及更高版本
• Microsoft Edge 版本 45 及更早版本

扩展了对 Android Enterprise 完全托管设备的支持 (预览版)

仍在公共预览版中，我们已在 2019 年 1 月首次宣布对 Android Enterprise 完全托管设备的支持范围进行了扩展，包括：

• 在完全托管的专用设备上，可以创建符合性策略，以包括密码规则和操作系统要求 (设备符合性>策略>Create策略>Android Enterprise for platform Device owner for profile > type) 。

  在专用设备上，设备可能显示为 “不符合”。 条件访问在专用设备上不可用。 请务必完成任何任务或操作，使专用设备符合分配的策略。

• 条件访问 - 适用于 Android 的条件访问策略也适用于 Android Enterprise 完全托管的设备。 用户现在可以使用 Microsoft Intune 应用在 Microsoft Entra ID 中注册其完全托管的设备。 然后，查看并解决访问组织资源时出现的任何合规性问题。

• 新的最终用户应用 (Microsoft Intune 应用) - 有一个名为 Microsoft Intune 的 Android 完全托管设备的新最终用户应用。 这个新应用是轻量级和现代的，在功能上与公司门户应用类似，但适用于完全托管的设备。 有关详细信息，请参阅 Google Play 上的 Microsoft Intune 应用。

若要设置 Android 完全托管设备，请转到 设备注册>Android 注册>公司拥有的完全托管用户设备。 对完全托管的 Android 设备的支持仍处于预览状态，某些Intune功能可能无法完全正常运行。

若要了解有关此预览版的详细信息，请参阅我们的博客Microsoft Intune - Android Enterprise 完全托管设备的预览版 2。

使用合规性管理器为Microsoft Intune创建评估

合规性管理器 (打开另一个 Microsoft 站点，) 是 Microsoft 服务信任门户中基于工作流的风险评估工具。 它使你能够跟踪、分配和验证组织与 Microsoft 服务相关的法规合规性活动。 可以使用 Microsoft 365、Azure、Dynamics、专业服务和Intune创建自己的合规性评估。 Intune有两个可用评估 - FFIEC 和 GDPR。

合规性管理器通过分解由 Microsoft 管理的控件和组织管理的控件，帮助你集中精力。 可以完成评估，然后导出并打印评估。

联邦金融机构考试委员会 (FFIEC) ( 打开另一个 Microsoft 网站，) 合规性是 FFIEC 发布的一组网上银行标准。 这是使用Intune的金融机构要求最多的评估。 它解释Intune如何帮助满足与公有云工作负载相关的 FFIEC 网络安全准则。 Intune的 FFIEC 评估是合规性管理器中的第二个 FFIEC 评估。

在以下示例中，可以看到 FFIEC 控件的明细。 Microsoft 涵盖 64 个控件。 你负责其余 12 个控件。

一般数据保护条例 (GDPR) (打开另一个 Microsoft 网站，) 是欧盟 (欧盟) 法律，可帮助保护个人及其数据的权利。 GDPR 是最需要帮助遵守隐私法规的评估。

在以下示例中，可以看到 GDPR 控件的明细。 Microsoft 涵盖 49 个控件。 你负责其余 66 个控件。

设备注册

配置配置文件以在设置助手期间跳过某些屏幕

创建 macOS 注册配置文件时，可以将其配置为在用户通过设置助理时跳过以下任何屏幕：

• 外观
• 显示色调
• iCloudStorage 如果创建新的配置文件或编辑配置文件，则所选跳过屏幕需要与 Apple MDM 服务器同步。 用户可以手动同步设备，以便不会延迟获取配置文件更改。 有关详细信息，请参阅 使用设备注册计划或 Apple School Manager 自动注册 macOS 设备。

注册公司 iOS 设备时的批量设备命名

使用 Apple 公司注册方法之一 (DEP/ABM/ASM) 时，可以将设备名称格式设置为自动命名传入的 iOS 设备。 可以指定在模板中包含设备类型和序列号的格式。 为此，请选择Intune>设备注册>Apple 注册>计划令牌>选择令牌>Create配置文件>设备命名格式。 可以编辑现有配置文件，但只有新同步的设备才会应用名称。

更新了注册状态页上的默认超时消息

我们更新了当注册状态页 (ESP) 超过 ESP 配置文件中指定的超时值时用户看到的默认超时消息。 新的默认消息是用户看到的内容，并帮助他们了解在其 ESP 部署中要采取的后续操作。

设备管理

停用不符合的设备

此功能已延迟，并计划在将来发布。

监视和疑难解答

Intune Data Warehouse反映到 beta 版的 V1.0 更改

V1.0 在 1808 年首次引入时，它在一些显著方面与 beta API 不同。 在 1903 年，这些更改将反映回 beta API 版本。 如果你有使用 beta API 版本的重要报表，我们强烈建议将这些报表切换到 V1.0 以避免中断性变更。 有关详细信息，请参阅 Intune Data Warehouse API 的更改日志。

(公共预览版) 监视安全基线状态

我们已向安全基线的监视添加了 按类别的视图 。 (安全基线仍以预览) 。 按类别视图显示基线中的每个类别，以及属于该类别的每个状态组的设备百分比。 现在可以看到有多少设备与各个类别不匹配、配置错误或不适用。

基于角色的访问控制

Apple VPP 令牌的范围标记

现在可以向 Apple VPP 令牌添加范围标记。 只有分配具有相同范围标记的用户才能访问具有该标记的 Apple VPP 令牌。 使用该令牌购买的 VPP 应用和电子书将继承其范围标记。 有关范围标记的详细信息，请参阅 使用 RBAC 和范围标记。

2019 年 3 月

应用管理

部署 Microsoft Visio 和 Microsoft Project

如果你拥有这些应用的许可证，则现在可以部署 Microsoft Visio Pro for Microsoft 365 和 Microsoft Project Online Desktop Client 作为独立应用，以便使用 Microsoft Intune Windows 10设备。 从Intune，选择“客户端应用>”“应用>添加”以显示“添加应用”边栏选项卡。 在“添加应用”边栏选项卡上，选择“Windows 10”作为“应用类型”。 然后，选择“ 配置应用套件 ”以选择要安装的应用。 有关适用于Windows 10设备的 Microsoft 365 应用的详细信息，请参阅使用Microsoft Intune将 Microsoft 365 应用分配到Windows 10设备。

Microsoft Visio Pro for Office 365产品名称更改

Microsoft Visio Pro for Office 365现在称为 Microsoft Visio Online 计划 2。 有关 Microsoft Visio 的详细信息，请参阅 Visio Online 计划 2。 有关Office 365适用于Windows 10设备的应用的详细信息，请参阅使用Microsoft Intune将Office 365应用分配给Windows 10设备。

Intune应用保护策略 (应用) 字符限制设置

Intune管理员可以使用其他应用策略设置指定Intune APP 限制剪切、复制和粘贴的例外。 作为管理员，可以指定可从托管应用剪切或复制的字符数。 此设置允许将指定数量的字符共享到任何应用，而不考虑“限制使用其他应用剪切、复制和粘贴”设置。 适用于 Android 的 Intune 公司门户 应用版本需要版本 5.0.4364.0 或更高版本。 有关详细信息，请参阅 iOS 数据保护、 Android 数据保护和 查看客户端应用保护日志。

用于Microsoft 365 企业应用版部署的 Office 部署工具 (ODT) XML

在 Intune 管理中心中创建Microsoft 365 企业应用版部署实例时，可以提供 Office 部署工具 (ODT) XML。 如果现有Intune UI 选项不能满足你的需求，此功能可提高可自定义性。 有关详细信息，请参阅使用 Office 部署工具的Microsoft Intune和配置选项将 Microsoft 365 应用分配到Windows 10设备。

应用图标现在将显示自动生成的背景

在 Windows 公司门户 应用中，应用图标现在将显示基于图标的主要颜色自动生成的背景， (如果) 检测到它。 如果适用，此背景将替换以前在应用磁贴上可见的灰色边框。 用户将在 10.3.3451.0 之后的 公司门户 版本中看到此更改。

Windows 批量注册后，使用 公司门户 应用安装可用应用

使用 Windows 批量注册 (预配包) 注册到 Intune 的 Windows 设备可以使用 公司门户 应用来安装可用的应用。 有关公司门户应用的详细信息，请参阅手动添加Windows 10 公司门户和如何配置Microsoft Intune 公司门户应用。

Microsoft Teams 应用可以选择为 Office 应用套件的一部分

Microsoft Teams 应用可以作为Microsoft 365 企业应用版部署应用套件安装的一部分包含或排除。 此功能适用于Microsoft 365 企业应用版部署内部版本号 16.0.11328.20116+。 用户必须注销，然后登录到设备才能完成安装。 在“Intune”中，选择“客户端应用>应用>添加”。 选择Office 365套件应用类型之一，然后选择“配置应用套件”。

设备配置

在Windows 10及更高版本的设备上以展台模式运行多个应用时自动启动应用

在Windows 10及更高版本的设备上，可以在展台模式下运行设备，并运行许多应用。 在此更新中，有一个 AutoLaunch 设置 (设备>配置>Create>Windows 10以及更高版本的平台>展台配置文件类型>多应用展台) 。 使用此设置在用户登录到设备时自动启动应用。

若要查看所有展台设置的列表和说明，请参阅Windows 10及更高版本的设备设置，以在 Intune 中作为展台运行。

适用于：Windows 10及更高版本

操作日志还显示有关不合规设备的详细信息

将Intune日志路由到 Azure Monitor 功能时，还可以路由操作日志。 在此更新中，操作日志还提供有关不合规设备的信息。

有关此功能的详细信息，请参阅在 Intune 中将日志数据发送到存储、事件中心或日志分析。

在更多Intune工作负载中将日志路由到 Azure Monitor

在 Intune 中，可以将审核和操作日志路由到 Azure Monitor (Intune>监视>诊断设置) 的事件中心、存储和日志分析。 在此更新中，可以在更多Intune工作负载（包括合规性、配置、客户端应用等）中路由这些日志。

若要详细了解如何将日志路由到 Azure Monitor，请参阅 将日志数据发送到存储、事件中心或日志分析。

在 Intune 的 Android Zebra 设备上Create和使用移动性扩展

在此更新中，Intune支持配置 Android Zebra 设备。 具体而言，可以创建设备配置文件，并使用移动扩展 (MX) 配置文件将设置应用到 Android Zebra 设备，这些配置文件由 StageNow (设备>配置>CreateAndroid 平台 > MX 配置文件 (>Zebra 仅) 配置文件类型) 。

有关此功能的详细信息，请参阅在 Intune 中使用和管理具有移动性扩展的 Zebra 设备。

适用于：Android

设备管理

公共预览版 (Windows 10设备的加密报表)

使用新的加密报告 (预览版) 查看有关Windows 10设备的加密状态的详细信息。 可用详细信息包括设备 TPM 版本、加密准备情况和状态、错误报告等。

从公共预览版 (Intune门户访问 BitLocker 恢复密钥)

现在，可以使用 Intune 从 Microsoft Entra ID 查看有关 BitLocker 密钥 ID 和 BitLocker 恢复密钥的详细信息。

Microsoft Edge 支持 iOS 和 Android 设备上的Intune方案

Microsoft Edge 将支持与Intune Managed Browser相同的所有管理方案，并添加了对最终用户体验的改进。 Intune策略启用的 Microsoft Edge 企业功能包括：

• Dual-Identity
• 应用保护策略集成
• Azure 应用程序代理集成
• 托管收藏夹和主页快捷方式。

有关详细信息，请参阅 Microsoft Edge 支持。

Exchange Online/Intune连接器弃用仅 EAS 设备的支持

Intune控制台不再支持查看和管理使用 Intune 连接器连接到Exchange Online的仅限 EAS 的设备。 相反，你具有以下选项：

• 在移动设备管理 (MDM) 中注册设备
• 使用Intune应用保护策略管理设备
• 使用 exchange 控件，如 Exchange Online 中的客户端和移动中所述

使用 [name] 搜索确切设备的“所有设备”页

现在可以搜索确切的设备名称。 转到Intune>>搜索框中的“删除所有设备>”，将设备名称{}括起来以搜索完全匹配。 例如 ，{Device12345}。

监视和疑难解答

在“租户状态”页上支持更多连接器

“租户状态”页现在显示其他连接器的状态信息，包括终结点和其他移动威胁防御连接器的Windows Defender。

从 Microsoft Intune 中的“Data Warehouse”边栏选项卡支持 Power BI 合规性应用

以前，“Intune Data Warehouse”边栏选项卡中的“下载 Power BI 文件”链接下载了Intune Data Warehouse报表 (.pbix 文件) 。 此报表已替换为 Power BI 合规性应用。 Power BI 合规性应用不需要特殊加载或设置。 它将直接在 Power BI 联机门户中打开，并根据凭据专门显示Intune租户的数据。 在Intune中，选择“Intune”边栏选项卡右侧的“设置Intune Data Warehouse”链接。 然后，选择“ 获取 Power BI 应用”。 有关详细信息，请参阅使用 Power BI 连接到Data Warehouse。

基于角色的访问控制

向Intune授予对某些Microsoft Entra角色的只读访问权限

Intune已向以下Microsoft Entra角色授予只读访问权限。 通过Microsoft Entra角色授予的权限取代Intune基于角色的访问控制 (RBAC) 授予的权限。

对Intune审核数据的只读访问权限：

• 合规管理员
• 合规数据管理员

对所有Intune数据的只读访问权限：

• 安全管理员
• 安全操作员
• 安全信息读取者

有关详细信息，请参阅基于角色的访问控制。

iOS 应用预配配置文件的范围标记

可以将范围标记添加到 iOS 应用预配配置文件，以便只有同时分配了该范围标记的角色的人员才能访问 iOS 应用预配配置文件。 有关详细信息，请参阅 使用 RBAC 和范围标记。

应用配置策略的范围标记

可以向应用配置策略添加范围标记，以便只有同时分配了该范围标记的角色的人员才能访问应用配置策略。 应用配置策略只能面向分配相同范围标记的应用或与之关联。 有关详细信息，请参阅 使用 RBAC 和范围标记。

Microsoft Edge 支持 iOS 和 Android 设备上的Intune方案

Microsoft Edge 将支持与Intune Managed Browser相同的所有管理方案，并添加了对最终用户体验的改进。 Intune策略启用的 Microsoft Edge 企业功能包括：

• Dual-Identity
• 应用保护策略集成
• Azure 应用程序代理集成
• 托管收藏夹和主页快捷方式。

有关详细信息，请参阅 Microsoft Edge 支持。

2019 年 2 月

应用管理

Intune macOS 公司门户深色模式

Intune macOS 公司门户现在支持 macOS 的深色模式。 在 macOS 10.14+ 设备上启用深色模式时，公司门户会将其外观调整为反映该模式的颜色。

Intune将在 Android 设备上使用 Google Play 保护 API

一些 IT 管理员面临 BYOD 环境，即最终用户将他们的移动电话 Root 或越狱。 这种行为虽然有时不是恶意行为，但会导致绕过许多为保护最终用户设备上的组织数据而设置的Intune策略。 因此，Intune为已注册和未注册的设备提供根和越狱检测。 在此版本中，Intune现在将使用 Google Play 保护 API 添加到针对未注册设备的现有根检测检查中。 虽然 Google 不共享发生的全部根检测检查，但我们希望这些 API 能够检测出于任何原因（从设备自定义到能够在旧设备上获取较新的 OS 更新）为其设备生根的用户。 然后，可以阻止这些用户访问公司数据，或者可以从其已启用策略的应用擦除其公司帐户。

为了获得更多价值，IT 管理员现在将在“Intune应用保护”边栏选项卡中拥有多个报告更新。 “已标记的用户”报告将显示通过 Google Play 保护的 SafetyNet API 扫描检测到的用户。 “可能有害的应用”报告将显示通过 Google 验证应用 API 扫描检测到的应用。 此功能在 Android 上可用。

“故障排除”边栏选项卡中提供的 Win32 应用信息

现在可以从“Intune应用故障排除”边栏选项卡收集 Win32 应用安装的失败日志文件。 有关应用安装故障排除的详细信息，请参阅排查应用安装问题和排查 Win32 应用问题。

iOS 应用的应用状态详细信息

存在与以下方案相关的新应用安装错误消息：

• 在共享 iPad 上安装 VPP 应用失败
• 禁用应用商店时失败
• 找不到应用的 VPP 许可证
• 无法使用 MDM 提供程序安装系统应用
• 设备处于丢失模式或展台模式时无法安装应用
• 用户未登录到App Store时无法安装应用

在“Intune”中，选择“客户端应用>应用>”“应用名称”“>设备安装状态”。 新的错误消息将在 “状态详细信息 ”列中提供。

适用于 Windows 10 的公司门户应用中的全新应用类别屏幕

添加了名为“应用类别”的新屏幕，以改善适用于 Windows 10 的公司门户中的应用浏览和选择体验。 用户现在可以看到他们的应用按照“特别推荐”、“教育”和“工作效率”等类别进行排序。 此更改将出现在公司门户 10.3.3451.0 版及更高版本中。 若要查看新屏幕，请参阅 应用 UI 中的新增功能。 有关公司门户中的应用的详细信息，请参阅在设备上安装和共享应用。

Power BI 合规性应用

使用 Intune 合规性 (Data Warehouse) 应用在 Power BI Online 中访问Intune Data Warehouse。 借助此 Power BI 应用，你现在可以访问和共享预创建的报表，而无需进行任何设置，也无需离开 Web 浏览器。 有关详细信息，请参阅 更改日志 - Power BI 合规性应用。

设备配置

PowerShell 脚本可以在 64 位设备上的 64 位主机上运行

将 PowerShell 脚本添加到设备配置文件时，脚本始终在 32 位中执行，即使在 64 位操作系统上也是如此。 通过此更新，管理员可以在 64 位设备上的 64 位 PowerShell 主机上运行脚本， (设备>脚本和修正>平台 scrpts> 在64 位 PowerShell 主机) 中添加>配置>运行脚本。

有关使用 PowerShell 的详细信息，请参阅 Intune 中的 PowerShell 脚本。

适用于：Windows 10及更高版本

系统会提示 macOS 用户更新其密码

Intune在 macOS 设备上强制实施 ChangeAtNextAuth 设置。 此设置会影响具有符合性密码策略或设备限制密码配置文件的最终用户和设备。 系统会提示最终用户一次更新其密码。 每当用户首次运行需要身份验证的任务（例如登录到设备）时，都会发生此提示。 执行任何需要管理权限（例如请求密钥链访问权限）时，系统也会提示用户更新其密码。

管理员所做的任何新的或现有的密码策略更改会再次提示最终用户更新其密码。

应用于：
macOS

将 SCEP 证书分配给无用户 macOS 设备

可以使用设备属性将简单证书注册协议 (SCEP) 证书分配给 macOS 设备（包括没有用户关联的设备），并将证书配置文件与 Wi-Fi 或 VPN 配置文件相关联。 此功能扩展了我们已向具有和没有运行 Windows、iOS 和 Android 的用户相关性的设备分配 SCEP 证书 的支持。 在为 macOS 配置 SCEP 证书配置文件时，此更新添加了用于选择 “设备的 证书类型”的选项。

应用于：

• macOS

Intune条件访问 UI 更新

我们对Intune控制台中条件访问的 UI 进行了改进。 这些改进包括：

• 已将“Intune条件访问”边栏选项卡替换为Microsoft Entra ID中的边栏选项卡。 此功能可确保你能够从Intune控制台中访问条件访问 (这些Microsoft Entra技术) 的完整范围设置和配置。
• 我们已将“ 本地访问 ”边栏选项卡重命名为 Exchange 访问，并将 Exchange 服务连接器 设置重新定位到此重命名的边栏选项卡。 此更改合并了 配置和监视与 Exchange 联机和本地相关的详细信息的位置。

展台浏览器和 Microsoft Edge 浏览器应用可以在展台模式下的Windows 10设备上运行

可以在展台模式下使用Windows 10设备来运行一个或多个应用。 此更新包括对在展台模式下使用浏览器应用的几项更改，包括：

• 添加 Microsoft Edge 浏览器或展台浏览器以在展台设备上作为应用运行 (设备>配置>新配置文件>Windows 10以及更高版本，用于平台>展台配置文件类型) 。

• 新功能和设置可用于允许或限制 (设备>配置>新配置文件>Windows 10及更高版本的平台>配置文件类型的设备限制) ，包括：

• Microsoft Edge 浏览器：

  • 使用 Microsoft Edge 展台模式
  • 空闲时间后刷新浏览器

• 收藏夹和搜索：

  • 允许对搜索引擎进行更改

有关这些设置的列表，请参阅：

• Windows 10及更高版本的设备设置作为展台运行
• Microsoft Edge 浏览器版本 45 及更早版本的设备限制
• 收藏夹和搜索设备限制

适用于：Windows 10及更高版本

适用于 iOS 和 macOS 设备的新设备限制设置

可以在运行 iOS 和 macOS 的设备上限制某些设置和功能， (设备>配置>新配置文件>iOS 或 macOS 平台>配置文件类型的设备限制) 。 此更新添加了更多可以控制的功能和设置，包括设置屏幕时间、更改 eSIM 设置和手机网络计划，以及 iOS 设备上的更多功能。 此外，还会延迟用户对软件更新的可见性，并阻止 macOS 设备上的内容缓存。

若要查看可以限制的功能和设置，请参阅：

• iOS 设备限制设置
• macOS 设备限制设置

应用于：

• iOS
• macOS

Android Enterprise 设备上的“展台”设备现在称为“专用设备”

为了与 Android 术语保持一致，展台更改为适用于 Android 企业设备的专用设备 (设备>配置>Create> **Android Enterprise for platform >Device Owner Only>Device Restrictions>Dedicated devices) 。

若要查看可用设置，请转到 “设备设置”以允许或限制功能。

应用于：
Android Enterprise

Safari 和延迟用户软件更新可见性 iOS 设置正在Intune UI 中移动

对于 iOS 设备，可以设置 Safari 设置并配置软件汇报。 在此更新中，这些设置将移动到Intune UI 的不同部分：

• Safari 设置已从 Safari (设备>配置>新配置文件>iOS for platform >设备配置文件类型的设备限制) 到 内置应用。
• iOS 设备的 延迟用户软件更新可见性 设置 (适用于 iOS) 的 软件更新>更新策略 将移至 设备限制>常规。 有关对现有策略的影响的详细信息，请参阅 iOS 软件更新。

有关设置的列表，请参阅：

• iOS 设备限制
• iOS 软件更新

此功能适用于：

• iOS

在设备设置中启用限制将重命名为 iOS 设备上的屏幕时间

可以在受监督的 iOS 设备上的设备设置中配置启用限制 (设备>配置>新配置文件>iOS for platform >设备限制 配置文件类型 >常规) 。 在此更新中，此设置重命名为 “屏幕时间”， (仅受监督) 。

行为相同。 具体来说：

• iOS 11.4.1 及更早版本： “阻止” 可阻止最终用户在设备设置中设置自己的限制。
• iOS 12.0 及更高版本： “阻止” 可阻止最终用户在设备设置中设置自己的 屏幕时间 ，包括内容 & 隐私限制。 升级到 iOS 12.0 的设备将不再在设备设置中看到“限制”选项卡。 这些设置位于 “屏幕时间”。

有关设置的列表，请参阅 iOS 设备限制。

应用于：

• iOS

Intune PowerShell 模块

Intune PowerShell 模块通过 Microsoft Graph 提供对 Intune API 的支持，现已在 Microsoft PowerShell 库中提供。

• 有关如何使用此模块的详细信息
• 使用此模块的方案示例

改进了对传递优化的支持

我们已在 Intune 中扩展了对配置传递优化的支持。 现在，你可以配置传递优化设置的扩展列表，并将其直接从 Intune 控制台定位到你的设备。

设备管理

重命名已注册的 Windows 设备

现在可以将已注册Windows 10设备重命名 (RS4 或更高版本) 。 若要执行此操作，请选择“Intune>设备”“>所有设备>”选择“重命名设备>”。 此功能目前不支持重命名混合Microsoft Entra Windows 设备。

自动将范围标记分配给具有该作用域的管理员创建的资源

当管理员创建资源时，分配给管理员的任何范围标记将自动分配给这些新资源。

监视和疑难解答

注册失败报告将移动到“设备注册”边栏选项卡

“失败的注册”报告已移动到“设备注册”边栏选项卡的“监视”部分。 添加了两个新列 (注册方法和 OS 版本) 。

公司门户放弃报告已重命名为“未完成用户注册”

公司门户放弃报告已重命名为“未完成用户注册”。

2019 年 1 月

应用管理

Intune 应用 PIN

作为 IT 管理员，你现在可以配置最终用户可以等待的天数，直到必须更改其Intune应用 PIN。 新设置是在天数后重置 PIN，可通过选择“Intune>客户端应用>应用保护策略>Create策略>设置>访问要求Azure 门户。 此功能适用于 iOS 和 Android 设备，支持正整数值。

Intune设备报告字段

Intune提供了更多设备报告字段，包括应用注册 ID、Android 制造商、型号和安全修补程序版本以及 iOS 模型。 在 Intune中，可通过选择“客户端应用>应用保护状态”和“应用保护报告：iOS、Android”来使用这些字段。 此外，这些参数还有助于配置设备制造商 (Android) 允许 列表、Android 和 iOS) (设备型号 的允许 列表，以及最低 Android 安全修补程序版本设置。

Win32 应用的 Toast 通知

可以禁止显示每个应用分配的最终用户 Toast 通知。 在Intune，选择“客户端应用”>“应用>”，选择“应用>分配>包括组”。

Intune应用保护策略 UI 更新

我们更改了Intune应用保护的设置和按钮的标签，使每个标签更易于理解。 一些更改包括：

• 控件从 “是 / ”否 “控件更改为主要 阻止 / 允许 和 禁用 / 启用 控件。 标签也会更新。
• 设置已重新格式化，因此设置及其标签在控件中并排显示，以提供更好的导航。

默认设置和设置数保持不变，但此更改允许用户更轻松地了解、导航和利用设置来应用选定的应用保护策略。 有关信息，请参阅 iOS 设置 和 Android 设置。

Outlook 的更多设置

现在可以使用 Intune为 Outlook for iOS 和 Android 配置以下设置：

• 仅允许在 iOS 和 Android 的 Outlook 中使用工作或学校帐户
• 为 Microsoft 365 和混合新式身份验证本地帐户部署新式身份验证
• 选择“基本身份验证”时，将 SAMAccountName 用于电子邮件配置文件中的用户名字段
• 允许保存联系人
• 配置外部收件人邮件提示
• 配置 重点收件箱
• 需要生物识别才能访问 Outlook for iOS
• 阻止外部图像

注意

如果使用 Intune 应用保护策略来管理对公司标识的访问，应考虑不要启用需要生物识别。 有关详细信息，请参阅 需要公司凭据来访问iOS 访问设置 和 Android 访问设置。

有关详细信息，请参阅 Microsoft Outlook 配置设置。

删除 Android Enterprise 应用

可以从 Microsoft Intune 中删除托管的 Google Play 应用。 若要删除托管的 Google Play 应用，请在Azure 门户中打开Microsoft Intune，然后选择“客户端应用>应用”。 从应用列表中，选择托管的 Google Play 应用右侧的省略号 (...) ，然后从显示的列表中选择“ 删除 ”。 从应用列表中删除托管的 Google Play 应用时，托管的 Google Play 应用将自动取消批准。

托管 Google Play 应用类型

托管的 Google Play 应用类型允许你专门将托管的 Google Play 应用添加到Intune。 作为Intune管理员，你现在可以在Intune内浏览、搜索、批准、同步和分配已批准的托管 Google Play 应用。 不再需要单独浏览到托管的 Google Play 控制台，也不再需要重新进行身份验证。 在“Intune”中，选择“客户端应用>应用>添加”。 在 “应用类型 ”列表中，选择“ 托管 Google Play ”作为应用类型。

默认 Android PIN 键盘

对于在 PIN 类型为 Numeric 的 Android 设备上设置了Intune应用保护策略 (应用) PIN 的最终用户，他们现在将看到默认的 Android 键盘，而不是以前设计的固定 Android 键盘 UI。 对于 数字 和/或 密码的 PIN 类型，在 Android 和 iOS 上使用默认键盘时，此更改是一致的。 有关 Android 上的最终用户访问设置（例如应用 PIN）的详细信息，请参阅 Android 访问要求。

设备配置

管理模板以公共预览版提供，并已移至其自己的配置文件

Intune (设备配置>中的管理模板 管理模板) 目前以公共预览版提供。 通过此更新：

• 管理模板包括大约 300 个可在Intune中管理的设置。 以前，这些设置仅存在于组策略编辑器中。
• 管理模板以公共预览版提供。
• 管理模板正在从设备配置>管理模板迁移到设备>配置>Create>Windows 10及更高版本，用于平台>配置文件类型的管理模板。
• 已启用报告

若要详细了解此功能，请转到Windows 10模板以配置组策略设置。

适用于：Windows 10及更高版本

使用 S/MIME 为用户加密和签名多个设备

此更新包括使用新的导入证书配置文件 (设备>配置>进行 S/MIME 电子邮件加密Create>选择平台 >PKCS 导入的证书配置文件类型) 。 在 Intune 中，可以导入 PFX 格式的证书。 然后，Intune可以将相同的证书传送到由单个用户注册的多个设备。 此功能还包括：

• 本机 iOS 电子邮件配置文件支持使用 PFX 格式的导入证书启用 S/MIME 加密。
• Windows Phone 10 台设备上的本机邮件应用会自动使用 S/MIME 证书。
• 专用证书可以跨多个平台传递。 但是，并非所有电子邮件应用都支持 S/MIME。
• 在其他平台上，可能需要手动配置邮件应用以启用 S/MIME。
• Email支持 S/MIME 加密的应用可能会以 MDM 不支持的方式处理检索 S/MIME 电子邮件加密的证书，例如从其发布者的证书存储中读取。 有关此功能的详细信息，请参阅 S/MIME 概述以对电子邮件进行签名和加密。 支持：Windows、Windows Phone 10、macOS、iOS、Android

在Windows 10及更高版本设备上使用 DNS 设置时自动连接和保留规则的新选项

在Windows 10及更高版本的设备上，可以创建一个 VPN 配置文件，其中包含用于解析域的 DNS 服务器列表，例如 contoso.com。 此更新包括用于名称解析的新设置 (设备>配置>Create>选择Windows 10及更高版本的平台>选择配置文件类型 >DNS 设置>的 VPN添加) ：

• 自动连接： 启用后，当设备与你输入的域（例如 contoso.com）联系时，设备会自动连接到 VPN。
• 持久：默认情况下，只要设备使用此 VPN 配置文件连接，所有名称解析策略表 (NRPT) 规则都处于活动状态。 在 NRPT 规则上将此设置设置为 “启用” 时，即使 VPN 断开连接，该规则在设备上仍保持活动状态。 规则一直保留到删除 VPN 配置文件或手动删除规则之前，可以使用 PowerShell 完成此操作。 Windows 10 VPN 设置介绍了这些设置。

对Windows 10设备上的 VPN 配置文件使用受信任的网络检测

使用受信任的网络检测时，可以阻止 VPN 配置文件在用户已位于受信任的网络上时自动创建 VPN 连接。 通过此更新，可以添加 DNS 后缀，以便在运行 Windows 10 及更高版本的设备上启用受信任的网络检测 (设备>配置>Create>Windows 10及更高版本的平台 >VPN 配置文件类型) 。 Windows 10 VPN 设置列出当前 VPN 设置。

管理多个用户使用Windows Holographic for Business设备

目前，可以使用自定义 OMA-URI 设置在Windows 10和Windows Holographic for Business设备上配置共享电脑设置。 在此更新中，将添加新配置文件，以配置共享设备设置 (设备>配置>Create>Windows 10及更高版本的>共享多用户设备) 。 若要了解有关此功能的详细信息，请转到Intune用于管理共享设备的设置。 适用于：Windows 10及更高版本，Windows Holographic for Business

新建Windows 10更新设置

对于Windows 10更新通道，可以配置：

• 自动更新行为 - 使用新选项“重置为默认值”，在运行 2018 年 10 月更新的计算机上还原Windows 10的原始自动更新设置
• 阻止用户暂停 Windows 更新 - 配置新的软件更新设置，使你能够阻止或允许用户从其计算机的 “设置” 暂停更新安装。

iOS 电子邮件配置文件可以使用 S/MIME 签名和加密

可以创建包含不同设置的电子邮件配置文件。 此更新包括可用于在 iOS 设备上签名和加密电子邮件通信的 S/MIME 设置 (设备>配置>Create>为配置文件类型) 选择 iOS for 平台>Email。 iOS 电子邮件配置设置 列出了设置。

某些 BitLocker 设置支持 Windows 10 专业版 版本

可以创建配置文件，用于在Windows 10设备（包括 BitLocker）上设置终结点保护设置。 此更新为某些 BitLocker 设置添加了对 Windows 10 Professional 版本的支持。 若要查看这些保护设置，请转到Windows 10的终结点保护设置。

共享设备配置在 Azure 门户中重命名为 iOS 设备的锁屏消息

为 iOS 设备创建配置文件时，可以添加 共享设备配置 设置以在锁屏界面上显示特定文本。 此更新包括以下更改：

• Azure 门户中的共享设备配置设置重命名为“锁屏界面消息 (仅受监督) ” (设备>配置>Create>选择 iOS for platform > 选择配置文件类型>“锁屏界面消息) 的设备功能”。
• 添加锁屏界面消息时，可以在资产标记信息和锁屏界面脚注中插入序列号、设备名称或其他特定于设备的值作为变量。 例如，可以输入 Device name: {{devicename}} 或使用 Serial number is {{serialnumber}} 大括号。 iOS 令牌 列出了可以使用的可用令牌。 用于在锁屏界面上显示消息的设置 列出了设置。

添加到 iOS 设备的新App Store、文档查看、游戏设备限制设置

在“设备>配置>Create>iOS for platform>”App Store中>，添加了以下设置：允许托管应用将联系人写入非托管联系人帐户 允许非托管应用从托管联系人帐户读取 要查看这些设置，请转到 iOS 设备限制。

Android Enterprise 设备所有者设备的新通知、提示和密钥保护设置

此更新在以设备所有者身份运行时，包括 Android Enterprise 设备上的多项新功能。 若要使用这些功能，请转到“设备>配置Create>>在平台中，选择”Android Enterprise> In Profile 类型“，选择”仅>设备所有者设备限制”。

新功能包括：

• 禁止显示系统通知，包括来电、系统警报、系统错误等。
• 建议跳过首次打开的应用的入门教程和提示。
• 禁用高级键锁设置，例如相机、通知、指纹解锁等。

若要查看设置，请转到 Android Enterprise 设备限制设置。

Android 企业设备所有者设备可以使用Always On VPN 连接

在此更新中，可以在 Android 企业设备所有者设备上使用 Always-on VPN 连接。 当用户解锁设备、设备重启或无线网络更改时，始终启用 VPN 连接保持连接或立即重新连接。 还可以将连接置于“锁定”模式，这会阻止所有网络流量，直到 VPN 连接处于活动状态。 可以在“设备>配置>Create>Android 企业”中启用 Always-On VPN，了解“仅限>设备所有者”连接设置的平台>设备限制。 若要查看设置，请转到 Android Enterprise 设备限制设置。

用于在Windows 10设备上结束任务管理器中的进程的新设置

此更新包括一个新设置，用于在Windows 10设备上使用任务管理器结束进程。 使用设备配置文件 (设备>配置>Create>在平台中，选择“Windows 10>在配置文件类型”中，选择“设备限制>”“常规设置”) ，选择允许或阻止此设置。 若要查看这些设置，请转到Windows 10设备限制设置。 适用于：Windows 10及更高版本

将 Microsoft 建议的设置与安全基线 (公共预览版)

Intune与其他专注于安全性的服务集成，包括Windows Defender for Endpoint 和 Office 365 Defender for Endpoint。 客户要求在 Microsoft 365 服务中制定通用策略和一组连贯的端到端安全工作流。 我们的目标是调整策略，以构建桥梁安全操作和常见管理员任务的解决方案。 在Intune，我们的目标是通过发布一组 Microsoft 建议的“安全基线” (Intune>安全基线) 来实现此目标。 管理员可以直接从这些基线创建安全策略，然后将其部署到其用户。 还可以自定义最佳做法建议，以满足组织的需求。 Intune确保设备符合这些基线，并通知管理员不合规的用户或设备。

此功能以公共预览版提供，因此现在创建的任何配置文件都不会转移到正式发布) (安全基线模板。 不应计划在生产环境中使用这些预览模板。

若要详细了解安全基线，请参阅在 Intune 中Create Windows 10安全基线。

此功能适用于：Windows 10及更高版本

非管理员可以在加入Microsoft Entra ID Windows 10设备上启用 BitLocker

在 Windows 10 设备上启用 BitLocker 设置 (设备>配置>Create>Windows 10及更高版本为>配置文件类型 >Windows 加密) 的平台终结点保护启用 BitLocker 设置时，可以添加 BitLocker 设置。

此更新包括一个新的 BitLocker 设置，允许标准用户 (非管理员) 启用加密。

若要查看设置，请转到Windows 10的终结点保护设置。

检查Configuration Manager符合性

此更新包括新的Configuration Manager符合性设置 (设备符合性>策略>Create策略>Windows 10及更高版本>Configuration Manager符合性) 。 Configuration Manager向Intune合规性发送信号。 使用此设置，可以要求所有Configuration Manager信号返回合规。

例如，你需要在设备上安装所有软件更新。 在Configuration Manager中，此要求具有“已安装”状态。 如果设备上的任何程序处于未知状态，则设备在Intune不符合要求。

Configuration Manager符合性介绍了此设置。

适用于：Windows 10及更高版本

使用设备配置文件在受监督的 iOS 设备上自定义壁纸

为 iOS 设备创建设备配置文件时，可以自定义某些功能 (设备>配置>Create>iOS for platform >Device features for profile type) 。 此更新包括允许管理员在主屏幕或锁屏界面上使用 .png、.jpg 或.jpeg图像的新 壁纸 设置。 这些壁纸设置仅适用于受监督的设备。

有关这些设置的列表，请参阅 iOS 设备功能设置。

Windows 10展台已正式发布

在此更新中，Windows 10 及更高版本的设备上的展台功能已正式发布 (GA) 。 若要查看可以添加和配置的所有设置，请参阅 Windows 10 (及更高版本的展台设置，) 。

Android Enterprise 的设备限制 > 设备所有者中删除了通过蓝牙共享的联系人

为 Android Enterprise 设备创建设备限制配置文件时，可以通过 蓝牙设置进行联系人共享 。 在此更新中， (设备>配置>Create>Android Enterprise for platform >Device Restrictions > Device owner for profile type >General) 中删除了“通过蓝牙共享联系人”设置。

Android 企业设备所有者管理不支持 通过蓝牙共享联系人 设置。 因此，删除此设置后，它不会影响任何设备或租户，即使已在环境中启用和配置此设置也是如此。

若要查看当前设置列表，请转到 Android Enterprise 设备设置以允许或限制功能。

适用于：Android 企业设备所有者

设备注册

更详细的注册限制失败消息传送

如果未满足注册限制，则提供更详细的错误消息。 若要查看这些消息，请转到 Intune>Troubleshoot> 并检查“注册失败”表。

设备管理

对 Android 公司拥有的完全托管设备的支持预览

Intune现在支持完全托管的 Android 设备，这是一种企业拥有的“设备所有者”方案，其中设备由 IT 严格管理，并且与单个用户关联。 此功能允许管理员管理整个设备，强制实施对工作配置文件不可用的扩展策略控制范围，并限制用户仅从托管的 Google Play 安装应用。 有关详细信息，请参阅设置 android 完全托管设备的Intune注册和注册专用设备或完全托管设备。

此功能为预览版。 某些Intune功能（如证书、合规性和条件访问）目前不适用于 Android 完全托管用户设备。

对不带注册设备的 WIP 的选择性擦除支持

Windows 信息保护 无注册 (WIP-WE) 允许客户在Windows 10设备上保护其公司数据，而无需进行完整的 MDM 注册。 使用 WIP-WE 策略保护文档后，Intune管理员可以选择性地擦除受保护的数据。 通过选择用户和设备并发送擦除请求，通过 WIP-WE 策略保护的所有数据都将变得不可用。 从Azure 门户Intune，选择“移动应用>应用选择性擦除”。

监视和疑难解答

租户状态仪表板

新的 “租户状态”页 提供一个位置，可在其中查看租户的状态和相关详细信息。 仪表板分为四个区域：

• 租户详细信息 - 显示包括租户名称和位置、MDM 机构、租户中注册设备总数以及许可证计数的信息。 本部分还列出了租户的当前服务版本。
• 连接器状态 - 显示有关已配置的可用连接器的信息，还可以列出尚未启用的连接器。
  根据每个连接器的当前状态，它们被标记为“正常”、“警告”或“不正常”。 选择连接器以钻取并查看详细信息或为其配置详细信息。
• Intune服务运行状况 - 显示有关租户的活动事件或中断的详细信息。 本部分中的信息直接从 Office 消息中心检索。
• Intune新闻 - 显示租户的活动消息。 消息包括租户收到最新Intune功能时的通知等内容。 本部分中的信息直接从 Office 消息中心检索。

公司门户 for Windows 10 的新帮助和支持体验

新的公司门户帮助 & 支持页面可帮助用户排查应用和访问问题并请求帮助。 在新页面中，他们可以通过电子邮件发送错误和诊断日志详细信息，并查找组织的支持人员详细信息。 他们还将找到一个常见问题解答部分，其中包含指向相关Intune文档的链接。

Intune的新帮助和支持体验

在接下来的几天内，我们将向所有租户推出新的“帮助和支持”体验。 此新体验可用于Intune，在使用Azure 门户中的Intune边栏选项卡时可以访问。 借助新体验，你可以用自己的语言描述问题，并接收故障排除见解和基于 Web 的修正内容。 这些解决方案通过基于规则的机器学习算法提供，由用户查询驱动。 除了特定于问题的指南外，还可以使用新案例创建工作流通过电子邮件或电话打开支持案例。

此新体验取代了以前的“帮助和支持”体验。 它是一组静态的预选选项，基于打开“帮助和支持”时你位于的主机区域。

有关详细信息，请参阅如何获取对Microsoft Intune的支持。

新的操作日志，以及将日志发送到 Azure Monitor 服务的功能

Intune具有内置的审核日志记录，用于跟踪更改时的事件。 此更新包括新的日志记录功能，包括：

• 操作日志 (预览) ，其中显示了注册的用户和设备的详细信息，包括成功和失败的尝试。
• 审核日志和操作日志可以发送到 Azure Monitor，包括存储帐户、事件中心和日志分析。 这些服务允许存储、使用 Splunk 和 QRadar 等分析，以及获取日志记录数据的可视化效果。

在 Intune 中将日志数据发送到存储、事件中心或日志分析提供了有关此功能的详细信息。

跳过 iOS DEP 设备上的更多设置助手屏幕

除了当前可以跳过的屏幕外，还可以设置 iOS DEP 设备以在用户注册设备时跳过设置助手中的以下屏幕：显示音调、隐私、Android 迁移、主页按钮、iMessage & FaceTime、载入、观看迁移、外观、屏幕时间、软件更新、SIM 设置。 若要选择要跳过的屏幕，请转到 “设备注册>”“Apple 注册>计划令牌> ”选择令牌 >“”配置文件“> 选择”配置文件 >“”属性>“”设置助手“自定义> 项，选择 ”隐藏 “以用于要跳过 >”确定“的任何屏幕。 如果创建新的配置文件或编辑配置文件，则所选跳过屏幕需要与 Apple MDM 服务器同步。 用户可以手动同步设备，以便不会延迟获取配置文件更改。

Android Enterprise APP-WE 应用部署

对于未注册应用保护策略（无注册 (APP-WE) 部署方案）中的 Android 设备，现在可以使用托管 Google Play 向用户部署应用商店应用和 LOB 应用。 具体而言，你可以为最终用户提供应用目录和安装体验，这些体验不再需要最终用户通过允许从未知源进行安装来松动其设备的安全状况。 此外，此部署方案将提供改进的最终用户体验。

基于角色的访问控制

应用的作用域标记

可以创建范围标记来限制角色和应用的访问权限。 你可以向应用添加范围标记，以便只有同时分配了该范围标记的角色的人员才能访问该应用。 目前，从托管 Google Play 添加到Intune的应用或使用 Apple Volume Purchase Program (VPP) 购买的应用无法分配作用域标记， (计划) 未来的支持。 有关详细信息，请参阅 使用范围标记筛选策略。

2018 年 12 月

应用管理

应用程序传输安全性汇报

Microsoft Intune支持传输层安全性 (TLS) 1.2+，以提供一流的加密，确保默认情况下Intune更安全，并与 Microsoft 365 等其他 Microsoft 服务保持一致。 为了满足此要求，iOS 和 macOS 公司门户将强制实施 Apple 更新的应用程序传输安全性 (ATS) 要求，这还需要 TLS 1.2+。 ATS 用于通过 HTTPS 对所有应用通信强制实施更严格的安全性。 此更改会影响使用 iOS 和 macOS 公司门户 应用的Intune客户。 有关详细信息，请参阅Intune支持博客。

Intune应用 SDK 将支持 256 位加密密钥

当应用保护策略启用加密时，适用于 Android 的 Intune 应用 SDK 现在使用 256 位加密密钥。 SDK 将继续支持 128 位密钥，以便与使用旧版 SDK 的内容和应用兼容。

macOS 设备需要 Microsoft 自动更新版本 4.5.0

若要继续接收公司门户和其他 Office 应用程序的更新，由 Intune 管理的 macOS 设备必须升级到 Microsoft 自动更新 4.5.0。 用户可能已经为其 Office 应用拥有此版本。

设备管理

Intune需要 macOS 10.12 或更高版本

Intune现在需要 macOS 版本 10.12 或更高版本。 使用早期 macOS 版本的设备无法使用公司门户注册到Intune。 若要获得支持帮助和新功能，用户必须将设备升级到 macOS 10.12 或更高版本，并将公司门户升级到最新版本。

2018 年 11 月

应用管理

在公司拥有的受监督 iOS 设备上卸载应用

可以在公司拥有的受监督 iOS 设备上删除任何应用。 可以通过针对具有 卸载 分配类型的用户或设备组来删除任何应用。 对于个人或无监督的 iOS 设备，你将继续只能删除使用 Intune 安装的应用。

下载 Intune Win32 应用内容

Windows 10 RS3 及更高版本的客户端将在 Windows 10 客户端上使用传递优化组件下载Intune Win32 应用内容。 传递优化提供默认启用的对等功能。 目前，可以通过组策略配置传递优化。 有关详细信息，请参阅 适用于 Windows 10 的传递优化。

最终用户设备和应用内容菜单

最终用户现在可以在设备和应用上使用上下文菜单来触发常见操作，例如重命名设备或检查符合性。

在托管主屏幕应用中设置自定义背景

我们将添加一个设置，允许你在 Android Enterprise、多应用、展台模式设备上自定义托管主屏幕应用的背景外观。 若要配置自定义 URL 背景，请转到Azure 门户设备配置中的Intune>。 选择当前设备配置文件或创建新配置文件以编辑其展台设置。 若要查看展台设置，请参阅 Android Enterprise 设备限制。

应用保护策略分配保存并应用

现在可以更好地控制 应用保护策略分配。 选择 “分配” 以设置或编辑策略的分配时，必须在更改应用之前 保存 配置。 使用 “放弃” 清除所做的所有更改，而不保存对“包括”或“排除”列表所做的任何更改。 通过要求“保存”或“放弃”，只会为你打算的用户分配应用保护策略。

适用于 Windows 10 及更高版本的新 Microsoft Edge 浏览器设置

此更新包括新设置，可帮助控制和管理设备上的 Microsoft Edge 浏览器版本 45 及更早版本。 有关这些设置的列表，请参阅 Windows 10 (和更新) 的设备限制。

具有应用保护策略的新应用支持

现在可以使用Intune应用保护策略管理以下应用：

• Stream (iOS)
• (Android、iOS)
• PowerApps (Android、iOS)
• 流 (Android、iOS)

使用应用保护策略保护公司数据并控制这些应用的数据传输，就像其他Intune策略托管应用一样。 注意：如果 Flow 在控制台中尚不可见，请在创建或编辑和应用保护策略时添加 Flow。 为此，请使用 “+ 更多应用” 选项，然后在输入字段中指定 Flow 的应用 ID 。 对于 Android，请使用 com.microsoft.flow，对于 iOS，请使用 com.microsoft.procsimo。

设备配置

支持 iOS 电子邮件配置文件中的 iOS 12 OAuth

Intune的 iOS 电子邮件配置文件支持 iOS 12 开放授权 (OAuth) 。 若要查看此功能，请创建一个新的配置文件 (设备>配置>Create>iOS for platform >Email配置文件类型) ，或更新现有的 iOS 电子邮件配置文件。 如果在已部署到用户的配置文件中启用 OAuth，系统会提示用户重新进行身份验证，并再次下载其电子邮件。

iOS 电子邮件配置文件 包含有关在电子邮件配置文件中使用 OAuth 的详细信息。

网络访问控制 (NAC) 支持 Citrix SSO for iOS

Citrix 发布了 Citrix Gateway 的更新，以允许在 Intune 中为 Citrix SSO for iOS 提供网络访问控制 (NAC) 。 可以选择在 Intune 中的 VPN 配置文件中包含设备 ID，然后将此配置文件推送到 iOS 设备。 需要安装 Citrix Gateway 的最新更新才能使用此功能。

在 iOS 设备上配置 VPN 设置 提供了有关使用 NAC 的详细信息，包括一些其他要求。

显示 iOS 和 macOS 版本号和内部版本号

在 “设备符合性>”“设备符合性”中，显示了 iOS 和 macOS 操作系统版本，并可在符合性策略中使用。 此更新包括内部版本号，这两个平台均可配置。 发布安全更新后，Apple 通常会保留版本号，但会更新内部版本号。 通过在合规性策略中使用内部版本号，可以轻松检查是否安装了漏洞更新。 若要使用此功能，请参阅 iOS 和 macOS 合规性策略。

更新环正在替换为Windows 10及更高版本的传递优化设置

传递优化是适用于 Windows 10 及更高版本的新配置文件。 此功能提供更简化的体验，将软件更新交付到组织中的设备。 此更新还有助于使用配置文件在新的和现有的更新通道中提供设置。 若要配置传递优化配置文件，请参阅Windows 10 (和更新) 传递优化设置。

添加到 iOS 和 macOS 设备的新设备限制设置

此更新包括与 iOS 12 一起发布的 iOS 和 macOS 设备的新设置：

iOS 设置：

• 常规：阻止应用删除 (仅受监督)
• 常规：阻止 USB 受限模式 (仅监督)
• 常规：强制自动日期和时间 (仅受监督)
• 密码：阻止密码自动填充 (受监督)
• 密码：阻止仅受监督 () 的密码邻近感应请求
• 密码：仅受监督) (阻止密码共享

macOS 设置：

• 密码：阻止密码自动填充
• 密码：阻止密码邻近感应请求
• 密码：阻止密码共享

若要了解有关这些设置的详细信息，请参阅 iOS 和 macOS 设备限制设置。

设备注册

Microsoft Entra混合联接设备的 Autopilot 支持 (预览版)

现在可以使用 Autopilot 设置Microsoft Entra混合联接设备。 设备必须加入组织的网络才能使用混合 Autopilot 功能。 有关详细信息，请参阅使用 Intune 和 Windows Autopilot 部署Microsoft Entra混合联接设备。 此功能将在未来几天内在用户群中推出。 因此，在帐户推出之前，你可能无法执行这些步骤。

选择在“注册状态”页上跟踪的应用

可以在注册状态页上选择跟踪的应用。 在安装这些应用之前，用户无法使用该设备。 有关详细信息，请参阅 设置注册状态页。

按序列号对 Autopilot 设备的搜索

现在可以按序列号搜索 Autopilot 设备。 为此，请选择“设备注册>Windows 注册>设备>”，在“按序列号搜索”框中键入序列号，>按 Enter。

跟踪 Office 专业增强版的安装

用户可以使用“注册状态”页跟踪 Office 专业增强版的安装进度。 有关详细信息，请参阅 设置注册状态页。

VPP 令牌过期或公司门户许可证不足的警报

如果在 DEP 注册期间使用批量购买计划 (VPP) 预配公司门户，Intune在 VPP 令牌即将过期以及公司门户许可证不足时发出警报。

apple School Manager 帐户的 macOS 设备注册计划支持

Intune现在支持在 macOS 设备上为 Apple School Manager 帐户使用设备注册计划。 有关详细信息，请参阅 使用 Apple School Manager 或设备注册计划自动注册 macOS 设备。

新的Intune设备订阅 SKU

为了帮助降低在企业中管理设备的成本，现已推出新的基于设备的订阅 SKU。 此Intune设备 SKU 按月对每台设备进行许可。 价格因许可计划而异。 它直接通过 Microsoft 365 管理中心、企业协议 ( EA) 、Microsoft 产品和服务协议 (MPSA) 、Microsoft 开放协议和云解决方案提供商 (CSP) 提供。

设备管理

在 Android 设备上暂时暂停展台模式以进行更改

在多应用展台模式下使用 Android 设备时，IT 管理员可能需要对设备进行更改。 此更新包括新的多应用展台设置，这些设置允许 IT 管理员使用 PIN 暂时暂停展台模式，并访问整个设备。 若要查看展台设置，请参阅 Android Enterprise 设备限制。

在 Android Enterprise 展台设备上启用虚拟主页按钮

新的设置允许用户点击其设备上的软键按钮，以在多应用展台设备上托管主屏幕应用和其他分配的应用之间进行切换。 如果用户的展台应用未正确响应“后退”按钮，此设置非常有用。 可以为公司拥有的单一使用 Android 设备配置此设置。 若要启用或禁用虚拟主页按钮，请转到Azure 门户设备配置中的Intune>。 选择当前设备配置文件或创建新配置文件以编辑其展台设置。 若要查看展台设置，请参阅 Android Enterprise 设备限制。

2018 年 10 月

应用管理

使用公司门户应用访问密钥配置文件属性

最终用户现在可以从公司门户应用访问密钥帐户属性和操作，例如密码重置。

iOS 上的应用设置可能会阻止第三方键盘

在 iOS 设备上，Intune管理员可以在策略保护的应用中访问组织数据时阻止使用第三方/合作伙伴键盘。 当应用程序保护策略 (APP) 设置为阻止第三方/合作伙伴键盘时，设备用户在首次使用第三方/合作伙伴键盘与公司数据交互时会收到一条消息。 除本机键盘以外的所有选项都将被阻止，设备用户将看不到它们。 设备用户只能看到一次对话框消息。

托管 Android 和 iOS 设备上Intune应用的用户帐户访问权限

作为Microsoft Intune管理员，你可以控制哪些用户帐户添加到托管设备上的 Microsoft Office 应用程序。 可以将访问权限限制为仅允许的组织用户帐户，并在已注册的设备上阻止个人帐户。

Outlook iOS 和 Android 应用配置策略

现在，你可以为使用 ActiveSync 协议进行基本身份验证的本地用户创建适用于 iOS 和 Android 的 Outlook iOS 和 Android 应用配置策略。 在为 Outlook for iOS 和 Android 启用时，将添加更多配置设置。

Microsoft 365 企业应用版语言包

作为Intune管理员，你可以为通过 Intune 管理的Microsoft 365 企业应用版应用部署其他语言。 可用语言列表包括语言包 类型 (核心、部分和校对) 。 在Azure 门户中，选择“Microsoft Intune>客户端应用>>添加”。 在“添加应用”边栏选项卡的“应用类型”列表中，选择“Office 365套件”下的“Windows 10”。 在“应用套件设置”边栏选项卡中选择“语言”。

Windows 业务线 (LOB) 应用文件扩展名

Windows LOB 应用的文件扩展名现在将包括 .msi、、.appx.appxbundle、 .msix和 .msixbundle。 可以通过选择“客户端>应用应用添加”，在 Microsoft Intune中添加应用>。 将显示“ 添加应用 ”窗格，允许你选择 “应用类型”。 对于 Windows LOB 应用，请选择“ 业务线 应用”作为应用类型，选择 “应用包”文件，然后输入具有相应扩展名的安装文件。

使用 Intune Windows 10 应用部署

在业务线 (LOB) 应用和适用于企业的 Microsoft Store应用的现有支持的基础上，管理员可以使用Intune将其组织的大多数现有应用程序部署到Windows 10设备上的最终用户。 管理员可以为Windows 10用户添加、安装和卸载各种格式的应用程序，例如 MSI、Setup.exe 或 MSP。 Intune将在下载和安装之前评估要求规则，使用 Windows 10 操作中心通知最终用户状态或重新启动要求。 此功能将有效地阻止有兴趣将此工作负载转移到Intune和云的组织。 此功能目前为公共预览版，我们预计在未来几个月内会向该功能添加大量新功能。

应用保护策略 (应用) Web 数据设置

将更新 Android 和 iOS 设备上 Web 内容的应用策略设置，以更好地处理 http 和 https Web 链接，以及通过 iOS 通用链接和 Android 应用链接传输数据。

最终用户设备和应用内容菜单

最终用户现在可以使用设备和应用的上下文菜单来触发常见操作，例如重命名设备或检查符合性。

Windows 公司门户键盘快捷方式

最终用户现在可以使用键盘快捷方式（快捷键）在 Windows 公司门户中触发应用和设备操作。

在指定的超时后需要非生物识别 PIN

通过在管理员指定的超时后要求使用非生物识别 PIN，Intune通过限制使用生物识别来访问公司数据，为启用了 MAM) 的应用 (移动应用程序管理提供更高的安全性。 这些设置会影响依赖触控 ID (iOS) 、人脸 ID (iOS) 、Android 生物识别或其他未来生物识别身份验证方法访问其启用了 APP/MAM 的应用程序的用户。 这些设置使Intune管理员能够更精细地控制用户访问，从而消除了具有多个指纹或其他生物识别访问方法的设备可能会向不正确的用户显示公司数据的情况。 在Azure 门户中，打开Microsoft Intune。 选择“客户端应用>应用保护策略>添加策略>设置”。 找到特定设置 的 Access 部分。 有关访问设置的信息，请参阅 iOS 设置 和 Android 设置。

在已注册 iOS MDM 的设备上Intune应用数据传输设置

可以将 iOS MDM 注册设备上的Intune应用数据传输设置与指定已注册用户的标识（也称为用户主体名称 (UPN) ）分开。 不使用 IntuneMAMUPN 的管理员不会观察到行为更改。 当此功能可用时，使用 IntuneMAMUPN 来控制已注册设备上的数据传输行为的管理员应查看新设置并根据需要更新其应用设置。

Windows 10 Win32 应用

可以将 Win32 应用配置为在单个用户的用户上下文中安装，而不是为设备的所有用户安装应用。

Windows Win32 应用和 PowerShell 脚本

最终用户不再需要登录设备即可安装 Win32 应用或执行 PowerShell 脚本。

客户端应用安装疑难解答

可以通过查看“故障排除”边栏选项卡中标有 “应用安装 ”的列来排查客户端应用安装成功 问题 。 若要查看“故障排除”边栏选项卡，请在Intune门户中，选择“帮助和支持”下的“故障排除”。

设备配置

在运行 Windows 10 的设备上，在 VPN 配置文件中Create DNS 后缀

(设备>>>配置Create Windows 10及更高版本的平台 > VPN 配置文件类型) 创建 VPN 设备配置文件时，请输入一些 DNS 设置。 通过此更新，还可以在 Intune 中输入多个 DNS 后缀。 使用 DNS 后缀时，可以使用其短名称搜索网络资源，而不是使用 FQDN () 的完全限定域名。 此更新还允许更改 Intune 中 DNS 后缀的顺序。 Windows 10 VPN 设置列出当前的 DNS 设置。 适用于：Windows 10设备

支持适用于 Android 企业工作配置文件的始终启用 VPN

在此更新中，可以在 Android 企业设备上使用具有托管工作配置文件的 Always-On VPN 连接。 当用户解锁设备、设备重启或无线网络更改时，始终启用 VPN 连接保持连接或立即重新连接。 还可以将连接置于“锁定”模式，这会阻止所有网络流量，直到 VPN 连接处于活动状态。 可以在设备>配置>Create>Android企业中为平台>设备限制>连接设置启用 Always-on VPN。

向无用户设备颁发 SCEP 证书

目前，证书是向用户颁发的。 通过此更新，可以将 SCEP 证书颁发给设备，包括无用户设备（例如展台 (设备>配置>Create>Windows 10以及用于配置文件) 的平台 >SCEP 证书的更高版本。 其他更新包括：

• SCEP 配置文件中的 Subject 属性现在是自定义文本框，可以包含新变量。

• SCEP 配置文件中的 “使用者”可选名称 (SAN) 属性现在是表格式，可以包含新变量。 在表中，管理员可以添加属性并在自定义文本框中填写值。 SAN 将支持以下属性：

  • DNS
  • 电子邮件地址
  • UPN

  可以在自定义值文本框中使用静态文本添加这些新变量。 例如，可以将 DNS 属性添加为 DNS = {{AzureADDeviceId}}.domain.com。

  注意

  大括号、分号和管道符号 “ { } ; | ” 在 SAN 的静态文本中不起作用。 大括号只能包含要接受或 SubjectSubject alternative name的新设备证书变量之一。

新的设备证书变量：

"{{AAD_Device_ID}}",
"{{Device_Serial}}",
"{{Device_IMEI}}",
"{{SerialNumber}}",
"{{IMEINumber}}",
"{{AzureADDeviceId}}",
"{{WiFiMacAddress}}",
"{{IMEI}}",
"{{DeviceName}}",
"{{FullyQualifiedDomainName}}",
"{{MEID}}",

注意

• {{FullyQualifiedDomainName}} 仅适用于 Windows 和已加入域的设备。
• 在主题或 SAN 中为设备证书指定设备属性（例如 IMEI、序列号和完全限定的域名）时，请注意，这些属性可能会被有权访问设备的人员欺骗。

Create SCEP 证书配置文件列出创建 SCEP 配置文件时的当前变量。

适用于：Windows 10 及更高版本以及 iOS，Wi-Fi

远程锁定不符合要求的设备

当设备不符合要求时，可以针对远程锁定设备的符合性策略创建操作。 在“Intune>设备符合性”中，创建新策略，或选择现有策略>“属性”。 选择“不合规>的操作”“添加”，然后选择远程锁定设备。 支持在：

• Android
• iOS
• macOS
• Windows 10 移动版
• Windows Phone 8.1 及更高版本

Azure 门户中的Windows 10及更高版本的展台配置文件改进

此更新包括以下对Windows 10展台设备配置文件的改进 (设备>配置>Create> Windows 10以及针对配置文件类型) 的平台>展台预览版的更高版本：

• 目前，可以在同一设备上创建多个展台配置文件。 通过此更新，Intune将仅支持每台设备一个展台配置文件。 如果单个设备上仍需要多个展台配置文件，可以使用自定义 URI。
• 在 多应用展台 配置文件中，可以为应用程序网格中的 “开始”菜单布局 选择应用程序磁贴大小和顺序。 如果希望进行更多自定义，可以继续上传 XML 文件。
• 展台浏览器设置正在移动到 展台 设置中。 目前，展台 Web 浏览器设置在Azure 门户中有自己的类别。 适用于：Windows 10及更高版本

在 iOS 设备上更改指纹或人脸 ID 时出现 PIN 提示

用户在 iOS 设备上进行生物识别更改后，现在会提示输入 PIN。 此功能包括对已注册指纹或人脸 ID 的更改。 提示的计时取决于 在 (分钟后重新检查访问要求的配置方式) 超时。 如果未设置 PIN，系统会提示用户设置 PIN。

此功能仅适用于 iOS，并且需要集成适用于 iOS 的 Intune APP SDK 版本 9.0.1 或更高版本的应用程序参与。 必须集成 SDK，以便可以在目标应用程序上强制执行行为。 此集成陆续进行，取决于特定应用程序团队。 参与的一些应用包括 WXP、Outlook、托管浏览器和Viva Engage。

iOS VPN 客户端上的网络访问控制支持

通过此更新，在为 Cisco AnyConnect、F5 Access 和适用于 iOS 的 Citrix SSO 创建 VPN 配置文件时，有一个新设置用于启用网络访问控制 (NAC) 。 此设置允许将设备的 NAC ID 包含在 VPN 配置文件中。 目前，没有任何 VPN 客户端或 NAC 合作伙伴解决方案支持此新的 NAC ID。 我们会通过 支持博客文章 随时通知你。

若要使用 NAC，需要：

1. 选择加入以允许Intune在 VPN 配置文件中包含设备 ID
2. 使用直接来自 NAC 提供商的指导更新 NAC 提供商的软件/固件

有关 iOS VPN 配置文件中的此设置的信息，请参阅在 Microsoft Intune 的 iOS 设备上添加 VPN 设置。 有关网络访问控制的详细信息，请参阅网络访问控制 (NAC) 与 Intune 集成。

适用于：iOS

从设备中删除电子邮件配置文件，即使只有一个电子邮件配置文件

以前， 如果 电子邮件配置文件是唯一的电子邮件配置文件，则无法从设备中删除电子邮件配置文件。 在此更新中，此行为会更改。 现在，你可以删除电子邮件配置文件，即使它是设备上唯一的电子邮件配置文件。 有关详细信息，请参阅使用 Intune 将电子邮件设置添加到设备。

PowerShell 脚本和Microsoft Entra ID

Intune 中的 PowerShell 脚本可以面向Microsoft Entra设备安全组。

Android、Android 企业版的新“所需密码类型”默认设置

(Intune>设备符合性策略>Create Android或Android Enterprise for Platform > System Security) 创建新的符合性>策略>时，“所需密码类型”的默认值将更改：

发件人：设备默认到：至少为数字

适用于：Android、Android Enterprise

若要查看这些设置，请转到 Android 和 Android Enterprise。

在Windows 10 Wi-Fi配置文件中使用预共享密钥

通过此更新，可以将预共享密钥 (PSK) 与 WPA/WPA2-Personal 安全协议配合使用，对Windows 10的 Wi-Fi 配置文件进行身份验证。 还可以在 2018 年 10 月更新Windows 10为设备指定按流量计费的网络的成本配置。

目前，必须导入 Wi-Fi 配置文件，或创建自定义配置文件才能使用预共享密钥。 Windows 10的 Wi-Fi 设置列出了当前设置。

从设备中删除 PKCS 和 SCEP 证书

在某些情况下，PKCS 和 SCEP 证书保留在设备上。 即使从组中删除策略、删除配置或符合性部署，或者管理员更新现有 SCEP 或 PKCS 配置文件，它们也会保留。

此更新会更改行为。 在某些情况下，PKCS 和 SCEP 证书将从设备中删除，在某些情况下，这些证书保留在设备上。 有关这些方案，请参阅在 Microsoft Intune 中删除 SCEP 和 PKCS 证书。

在 macOS 设备上使用 Gatekeeper 实现合规性

此更新包括 macOS Gatekeeper，用于评估设备的符合性。 若要设置 Gatekeeper 属性， 请为 macOS 设备添加设备符合性策略。

设备注册

将 Autopilot 配置文件应用于尚未注册 Autopilot 的已注册 Win 10 设备

可以将 Autopilot 配置文件应用于尚未注册 Autopilot 的已注册 Win 10 设备。 在 Autopilot 配置文件中，选择“ 将所有目标设备转换为 Autopilot ”选项，将非 Autopilot 设备自动注册到 Autopilot 部署服务。 等待 48 小时来处理注册。 取消注册并重置设备后，Autopilot 将对其进行预配。

Create多个注册状态页配置文件并将其分配给Microsoft Entra组

现在可以创建多个注册状态页配置文件 并将其分配给 Azure ADD 组。

在 Intune 中从设备注册计划迁移到 Apple Business Manager

Apple Business Manager (ABM) 适用于 Intune，你可以将帐户从设备注册计划 (DEP) 升级到 ABM。 Intune 中的过程相同。 若要将 Apple 帐户从 DEP 升级到 ABM，请转到 https://support.apple.com/HT208817。

设备注册概述页上的警报和注册状态选项卡

警报和注册失败现在显示在“设备注册概述”页上的单独选项卡上。

注册放弃报告

设备>注册监视器下提供了一份提供已放弃注册详细信息的新报告。 有关详细信息，请参阅 公司门户放弃报告。

新的Microsoft Entra使用条款功能

Microsoft Entra ID具有一个使用条款功能，你可以使用该功能，而不是现有的Intune条款和条件。 Microsoft Entra ID使用条款功能在显示条款以及何时显示条款方面提供了更大的灵活性、更好的本地化支持、对术语呈现方式的更多控制以及改进的报告。 Microsoft Entra ID使用条款功能需要Microsoft Entra ID P1，这也是企业移动性 + 安全性 E3套件的一部分。 若要了解详细信息，请参阅 管理公司的用户访问条款和条件一文。

Android 设备所有者模式支持

对于 Samsung Knox 移动注册，Intune现在支持将设备注册到 Android 设备所有者管理模式。 首次打开设备时，使用 WiFi 或手机网络的用户只需点击几下即可注册。 有关详细信息，请参阅使用 Samsung 的 Knox 移动注册自动注册 Android 设备。

设备管理

软件汇报的新设置

• 现在可以配置一些通知，以提醒最终用户完成最新软件更新安装所需的重启。
• 现在可以为工作时间以外的重启配置重启警告提示，以支持 BYOD 方案。

按相关器 ID 对已注册 Windows Autopilot 的设备进行分组

Intune现在支持在通过 Configuration Manager 使用 Autopilot 为现有设备注册时，按相关器 ID 对 Windows 设备进行分组。 交换码 ID 是 Autopilot 配置文件的参数。 Intune将自动将 Microsoft Entra 设备属性 enrollmentProfileName 设置为等于 OfflineAutopilotprofile-〈correlator ID〉。 此功能允许通过脱机 Autopilot 注册的 enrollmentprofileName 属性基于相关器 ID 创建任意Microsoft Entra动态组。 有关详细信息，请参阅 面向现有设备的 Windows Autopilot。

Intune应用保护策略

Intune应用保护策略允许为Intune受保护的应用（例如 Microsoft Outlook 和 Microsoft Word）配置各种数据保护设置。 我们已为 iOS 和 Android 更改了这些设置的外观，以便更轻松地查找单个设置。 有三类策略设置：

• 数据重定位 - 此组包括数据丢失防护 (DLP) 控制措施，例如剪切、复制、粘贴和另存为限制。 这些设置确定用户如何与应用中的数据交互。
• 访问要求 - 此组包含用于确定最终用户如何在工作上下文中访问应用的按应用 PIN 选项。
• 条件启动 - 此组包含最低 OS 设置、越狱和根设备检测以及脱机宽限期等设置。

设置的功能不会更改，但在策略创作流中工作时会更容易找到它们。

限制应用，并阻止对 Android 设备上的公司资源的访问

在“设备符合性>策略>Create策略>Android>系统安全性”中，“设备安全性”部分下有一个新设置，名为“受限应用”。 如果设备上安装了某些应用，则 受限应用 设置使用合规性策略来阻止访问公司资源。 在从设备中删除受限应用之前，设备被视为不符合要求。 应用于：

• Android

Intune 应用

Intune将支持 LOB 应用的最大包大小为 8 GB

Intune将业务线 (LOB) 应用的最大包大小增加到 8 GB。 有关详细信息，请参阅将应用添加到 Microsoft Intune。

为公司门户应用添加自定义品牌图像

作为Microsoft Intune管理员，可以上传自定义品牌图像。 此图像将在 iOS 公司门户 应用中的用户个人资料页上显示为背景图像。 有关配置公司门户应用的详细信息，请参阅如何配置 Microsoft Intune 公司门户应用。

在最终用户计算机上更新 Office 时，Intune将维护 Office 本地化语言

Intune在最终用户计算机上安装 Office 时，最终用户会自动获得与以前的 .MSI Office 安装相同的语言包。 有关详细信息，请参阅使用Microsoft Intune将 Microsoft 365 应用分配到Windows 10设备。

监视和疑难解答

Microsoft 365 设备管理 门户中的新Intune支持体验

我们将在 Microsoft 365 设备管理 门户中为Intune推出新的帮助和支持体验。 借助新体验，你可以用自己的语言描述问题，并接收故障排除见解和基于 Web 的修正内容。 这些解决方案通过基于规则的机器学习算法提供，由用户查询驱动。

除了特定于问题的指南外，还可以使用新案例创建工作流通过电子邮件或电话打开支持案例。

对于参与推出的客户，此新体验取代了当前的“帮助和支持”体验。 它是一组静态的预选选项，基于打开“帮助和支持”时你位于的主机区域。

此新的“帮助和支持”体验正在向某些租户推出，但不是所有租户，可在 设备管理 门户中使用。 此新体验的参与者是从可用的Intune租户中随机选择的。 扩展推出时，将添加新租户。

有关详细信息，请参阅如何获取对Microsoft Intune的支持中的帮助和支持体验。

适用于Intune的 PowerShell 模块 - 预览版可用

新的 PowerShell 模块通过 Microsoft Graph 提供对 Intune API 的支持，现已在 GitHub 上提供预览版。 有关如何使用此模块的详细信息，请参阅该位置中的自述文件。

2018 年 9 月

应用管理

删除重复的应用保护状态磁贴

“客户端应用 - 概述”页和“客户端应用 - 应用保护状态”页中都显示了 iOS的用户状态和 Android磁贴的用户状态。 已从 “客户端应用 - 概述 ”页中删除状态磁贴，以避免重复。

设备配置

支持更多第三方证书颁发机构 (CA)

通过使用简单证书注册协议 (SCEP) ，你现在可以使用 Windows、iOS、Android 和 macOS 在移动设备上颁发新证书和续订证书。

设备注册

Intune移动到支持 iOS 10 及更高版本

Intune注册、公司门户和托管浏览器现在仅支持运行 iOS 10 及更高版本的 iOS 设备。 若要为组织中受影响的设备或用户检查，请转到Azure 门户设备>“所有设备”中的Intune>。 按 OS 进行筛选，然后选择“ 列 ”以显示 OS 版本详细信息。 要求这些用户将其设备升级到受支持的 OS 版本。

如果你有下面列出的任何设备，或者想要注册下面列出的任何设备，请知道它们仅支持 iOS 9 及更早版本。 若要继续访问Intune 公司门户，必须将这些设备升级到支持 iOS 10 或更高版本的设备：

• iPhone 4S
• iPod Touch
• iPad 2
• iPad (第三代)
• iPad Mini (第一代)

设备管理

Microsoft 365 设备管理管理中心

Microsoft 365 的承诺之一是简化管理，多年来，我们集成了后端 Microsoft 365 服务，以提供端到端方案，例如Intune和Microsoft Entra条件访问。 新的 Microsoft 365 管理中心 是整合、简化和集成管理体验的地方。 设备管理的专家工作区可以轻松访问组织所需的所有设备和应用管理信息和任务。 我们预计此功能将成为企业最终用户计算团队的主要云工作区。

2018 年 8 月

应用管理

针对自定义和 Pulse Secure 连接类型的 iOS 每应用 VPN 配置文件的数据包隧道支持

使用 iOS 每应用 VPN 配置文件时，可以选择使用应用层隧道 (应用代理) 或数据包级隧道 (数据包隧道) 。 这些选项可用于以下连接类型：

• 自定义 VPN
• Pulse Secure 如果不确定要使用哪个值，请参阅 VPN 提供商的文档。

在设备上显示 iOS 软件更新时延迟

在 Intune >Software 汇报>更新 iOS 策略中，可以配置不希望设备安装任何更新的日期和时间。 在将来的更新中，可以在设备上明显显示软件更新时延迟 1-90 天。 在 Microsoft Intune中配置 iOS 更新策略，列出当前设置。

Microsoft 365 企业应用版版本

使用 Intune 将Microsoft 365 企业应用版应用分配给Windows 10设备时，可以选择 Office 版本。 在Azure 门户中，选择“Microsoft Intune>应用>添加应用”。 然后，从“类型”下拉列表中选择“Office 365 专业增强版套件 (Windows 10) ”。 选择“ 应用套件设置” 以显示关联的边栏选项卡。 将 “更新通道 ”设置为一个值，例如 “每月”。 （可选）通过选择“ 是”，从最终用户设备中删除其他版本的 Office (msi) 。 选择“ 特定 ”，在最终用户设备上为所选频道安装特定版本的 Office。 此时，可以选择要使用的 特定版本的 Office。 可用版本将随时间而变化。 因此，创建新部署时，可用版本可能较新，并且没有某些旧版本可用。 当前部署将继续部署旧版本，但版本列表将按通道持续更新。 有关详细信息，请参阅Microsoft 365 应用版的更新通道概述。

支持注册 Windows 10 VPN 的 DNS 设置

通过此更新，可以将Windows 10 VPN 配置文件配置为使用内部 DNS 动态注册分配给 VPN 接口的 IP 地址，而无需使用自定义配置文件。 有关当前可用的 VPN 配置文件设置的信息，请参阅Windows 10 VPN 设置。

macOS 公司门户安装程序现在在安装程序文件名中包含版本号

iOS 自动应用更新

自动应用更新适用于 iOS 版本 11.0 及更高版本的设备和用户许可应用。

设备配置

Windows Hello将面向用户和设备

创建Windows Hello 企业版策略时，它适用于组织内的所有用户， (租户范围的) 。 通过此更新，还可以使用设备配置策略 (>> 设备配置策略CreateIdentity Protection> Windows Hello 企业版 >) 将策略应用于特定用户或特定设备。

在 Azure 门户 的 Intune 中，设备注册和设备配置中现在都存在Windows Hello配置和设置。 设备注册 面向整个组织 (租户范围的) ，并支持 Windows Autopilot (OOBE) 。 设备配置使用在检查期间应用的策略面向设备和用户。

此功能适用于：

• Windows 10 及更高版本
• Windows Holographic for Business

Zscaler 是 iOS 上的 VPN 配置文件的可用连接

(设备>>配置Create>iOS 平台 > VPN 配置文件类型) 创建 iOS VPN 配置文件时，有多种连接类型，包括 Cisco、Citrix 等。 此更新将 Zscaler 添加为连接类型。

运行 iOS 的设备 VPN 设置 列出了可用的连接类型。

适用于Windows 10的企业 Wi-Fi 配置文件的 FIPS 模式

现在可以为Intune Azure 门户中的Windows 10的企业 Wi-Fi 配置文件启用联邦信息处理标准 (FIPS) 模式。 如果在 Wi-Fi 配置文件中启用 FIPS 模式，请确保已在 Wi-Fi 基础结构上启用它。

Intune中Windows 10及更高版本的设备的 Wi-Fi 设置介绍如何创建 Wi-Fi 配置文件。

在Windows 10及更高版本的设备上控制 S 模式 - 公共预览版

通过此功能更新，可以创建一个设备配置文件，用于将Windows 10设备切换出 S 模式，或阻止用户将设备切换出 S 模式。 此功能Intune>设备>配置>Windows 10及更高>版本的升级和模式切换中提供。

S 模式下Windows 10简介提供有关 S 模式的详细信息。

适用于：预览版) 的最新 Windows 预览体验成员 版本 (。

终结点配置包的Windows Defender自动添加到配置文件

在 Intune 中使用 Defender for Endpoint 和载入设备时，以前必须下载配置包并将其添加到配置文件中。 通过此更新，Intune自动从Windows Defender安全中心获取包，并将其添加到配置文件中。 适用于 Windows 10 及更高版本。

要求用户在设备设置过程中进行连接

现在可以将设备配置文件设置为要求设备先连接到网络，然后再在Windows 10设置期间通过“网络”页。 虽然此功能处于预览阶段，但需要 Windows 预览体验成员版本 1809 或更高版本才能使用此设置。 适用于：预览版) 的最新 Windows 预览体验成员 版本 (。

限制应用，并阻止对 iOS 和 Android Enterprise 设备上的公司资源的访问

在“设备符合性>策略Create>策略>iOS>系统安全性”中，有一个新的“受限应用程序”设置。 如果设备上安装了某些应用，则此新设置使用符合性策略来阻止访问公司资源。 在从设备中删除受限应用之前，设备被视为不符合要求。

适用于：iOS

适用于 iOS 的新式 VPN 支持更新

此更新添加了对以下 iOS VPN 客户端的支持：

• F5 Access (3.0.1 及更高版本)
• Citrix SSO
• Palo Alto Networks GlobalProtect 5.0 及更高版本

同样在此更新中：

• 现有 F5 Access 连接类型已重命名为适用于 iOS 的 F5 Access 旧版 。
• 现有的 Palo Alto Networks GlobalProtect 连接类型已重命名为 Palo Alto Networks GlobalProtect (适用于 iOS 的旧) 。 具有这些连接类型的现有配置文件可继续使用其各自的旧版 VPN 客户端。 如果在 iOS 中使用 Cisco 旧版 AnyConnect、F5 Access 旧版、Citrix VPN 或 Palo Alto Networks GlobalProtect 版本 4.1 及更早版本，则应迁移到新应用。 尽快移动到新应用，以确保在 iOS 设备更新到 iOS 12 时可以使用 VPN 访问。

有关 iOS 12 和 VPN 配置文件的详细信息，请参阅Microsoft Intune支持团队博客。

导出 Azure 经典门户合规性策略，以在Intune Azure 门户重新创建这些策略

在 Azure 经典门户中创建的符合性策略将被弃用。 可以查看和删除任何现有符合性策略，但无法更新它们。 如果需要将任何符合性策略迁移到当前Intune Azure 门户，可以将策略导出为逗号分隔的文件 (.csv 文件) 。 然后，使用文件中的详细信息在Intune Azure 门户重新创建这些策略。

重要

Azure 经典门户停用后，将无法再访问或查看合规性策略。 因此，在 Azure 经典门户停用之前，请务必导出策略并在Azure 门户中重新创建策略。

更好的移动 - 新的移动威胁防御合作伙伴

可以根据 Better Mobile（一种与Microsoft Intune集成的移动威胁防御解决方案）进行的风险评估，使用条件访问来控制移动设备对公司资源的访问。

设备注册

在用户登录之前，将公司门户锁定为单应用模式

如果在 DEP 注册期间通过公司门户而不是设置助理对用户进行身份验证，现在可以在单应用模式下运行公司门户。 此选项在设置助理完成后立即锁定设备，以便用户必须登录才能访问设备。 此过程可确保设备完成载入，并且不会在没有任何用户绑定的情况下处于孤立状态。

将用户和友好名称分配给 Autopilot 设备

现在可以 将用户分配到单个 Autopilot 设备。 使用 Autopilot 设置其设备时，管理员还可以提供友好名称来问候用户。 适用于：预览版) 的最新 Windows 预览体验成员 版本 (。

在 DEP 注册期间，使用 VPP 设备许可证预预配公司门户

现在可以使用批量购买计划 (VPP) 设备许可证，在设备注册计划 (DEP) 注册期间预预配公司门户。 为此，在创建或编辑注册配置文件时，请指定要用于安装公司门户的 VPP 令牌。 请确保令牌不会过期，并且有足够的许可证用于公司门户应用。 如果令牌过期或许可证用尽，Intune将改为推送App Store 公司门户。 此步骤将提示输入 Apple ID。

需要确认才能删除用于公司门户预预配的 VPP 令牌

如果在 DEP 注册期间使用批量购买计划 (VPP) 令牌来预预配公司门户，则现在需要确认才能删除批量购买计划。

阻止 Windows 个人设备注册

可以在 Intune 中阻止 Windows 个人设备注册移动设备管理。 使用此功能无法阻止注册Intune电脑代理的设备。 此功能将在未来几周内推出，因此可能无法在用户界面中立即看到它。

在 Autopilot 配置文件中指定计算机名称模式

可以 指定计算机名称模板 ，以在 Autopilot 注册期间生成和设置 计算机名称 。 适用于：预览版) 的最新 Windows 预览体验成员 版本 (。

对于 Windows Autopilot 配置文件，隐藏公司登录页和域错误页上的更改帐户选项

有 新的 Windows Autopilot 配置文件选项 供管理员隐藏公司登录和域错误页上的更改帐户选项。 隐藏这些选项需要在 Microsoft Entra ID 中配置公司品牌。 适用于：预览版) 的最新 Windows 预览体验成员 版本 (。

macOS 对 Apple 设备注册计划的支持

Intune现在支持将 macOS 设备注册到 Apple 设备注册计划 (DEP) 。 有关详细信息，请参阅 使用 Apple 的设备注册计划自动注册 macOS 设备。

设备管理

删除 Jamf 设备

可以通过转到“设备>”选择“Jamf 设备删除”来删除 JAMF 管理的设备>。

将术语更改为“停用”和“擦除”

为了与图形 API一致，Intune用户界面和文档更改了以下术语：

• 删除公司数据 将更改为“停用”
• 恢复出厂设置 将更改为 擦除

如果管理员尝试删除 MDM 推送证书，则确认对话框

如果有人尝试删除 Apple MDM 推送证书，则确认对话框会显示相关 iOS 和 macOS 设备的数量。 如果证书被删除，则需要重新注册这些设备。

Windows 安装程序的安全设置

可以允许用户控制应用安装。 如果启用，将允许由于安全冲突而停止的安装继续。 你可以指示 Windows 安装程序在系统上安装任何程序时使用提升的权限。 此外，还可以启用 Windows 信息保护 (WIP) 项编制索引，并将有关这些项目的元数据存储在未加密的位置。 禁用策略后，不会为 WIP 保护的项编制索引，也不会显示在 Cortana 或文件资源管理器的结果中。 默认情况下，这些选项的功能处于禁用状态。

注意

Microsoft 弃用了 Windows Cortana 独立应用。 Cortana 生产力助手仍然可用。 有关 Windows 客户端上已弃用的功能的详细信息，请转到 Windows 客户端的已弃用功能。

公司门户网站的新用户体验更新

我们已根据客户反馈向公司门户网站添加新功能。 可从设备上体验到现有功能和可用性的重大改进。 站点区域（例如设备详细信息、反馈和支持以及设备概述）收到了新的、现代的响应式设计。 你还会看到：

• 简化了跨所有设备平台的工作流
• 改进了设备标识和注册流
• 更多有用的错误消息
• 更友好的语言，减少了专业技术性术语
• 能够共享指向应用的直接链接
• 改善了大型应用目录的性能
• 为所有用户增加了辅助功能

已更新 Intune 公司门户网站文档以体现这些更改。 若要查看应用增强功能的示例，请参阅Intune最终用户应用的 UI 更新。

监视和疑难解答

合规性报告中的增强越狱检测

增强的越狱检测设置状态现在显示在Intune管理中心的所有符合性报告中。

基于角色的访问控制

策略的范围标记

可以创建范围标记来限制对Intune资源的访问。 将作用域标记添加到角色分配，然后将范围标记添加到配置文件。 角色将仅有权访问具有 (匹配范围标记的配置文件的资源，或者没有范围标记) 。

2018 年 7 月

应用管理

业务线 (LOB) macOS 应用支持

Microsoft Intune允许在注册时将 macOS LOB 应用部署为“必需”或“可用”。 最终用户可以使用适用于 macOS 的 公司门户 或 公司门户 网站获取部署为“可用”的应用。

对展台模式的 iOS 内置应用支持

除了应用商店应用和托管应用，你现在还可以选择在 iOS 设备上以展台模式运行的 Built-In 应用 (，例如 Safari) 。

编辑Microsoft 365 企业应用版应用部署

作为Microsoft Intune管理员，你可以更好地编辑Microsoft 365 企业应用版应用部署。 此外，不再需要删除部署即可更改套件的任何属性。 在Azure 门户中，选择“Microsoft Intune>客户端应用>”。 从应用列表中，选择Microsoft 365 企业应用版套件。

更新Intune适用于 Android 的应用 SDK 现已推出

适用于 Android 的 Intune App SDK 的更新版本可用于支持 Android P 版本。 如果你是应用开发人员并使用适用于 Android 的 Intune SDK，则必须安装更新版本的 Intune 应用 SDK，以确保 Android 应用中的Intune功能在 Android P 设备上继续按预期工作。 此版本的 Intune 应用 SDK 提供执行 SDK 更新的内置插件。 无需重写任何集成的现有代码。 有关详细信息，请参阅适用于 Android 的 Intune SDK。 如果对Intune使用旧的刻字样式，建议使用公文包图标。 有关品牌打造的详细信息，请参阅 此 GitHub 存储库。

适用于 Windows 的公司门户应用中的更多同步机会

适用于 Windows 的公司门户应用现在允许直接从 Windows 任务栏和“开始”菜单启动同步。 如果唯一的任务是同步设备并访问公司资源，那么此功能极其有用。 若要访问新功能，请右键单击固定到任务栏或“开始”菜单的公司门户图标。 在菜单选项（也称为跳转列表）中，选择“同步此设备”。 公司门户将打开“设置”页并启动同步。有关新功能的介绍，请参阅 UI 中的新增功能。

适用于 Windows 的公司门户应用中的全新浏览体验

现在，在适用于 Windows 的 公司门户 应用中浏览或搜索应用时，可以在现有“磁贴”视图和新添加的“详细信息”视图之间切换。 新视图列出应用程序详细信息，例如名称、发布者、发布日期和安装状态。

通过“应用”页的“已安装”视图，可查看有关已完成和进行中的应用安装的详细信息。 若要查看新视图的外观，请参阅 UI 中的新增功能。

改进了设备注册管理员公司门户应用体验

当设备注册管理器 (DEM) 登录到适用于 Windows 的 公司门户 应用时，应用现在将仅列出 DEM 的当前正在运行的设备。 此改进将减少以前应用尝试显示所有 DEM 注册的设备时发生的超时。

基于未经批准的设备供应商和型号阻止应用访问

Intune IT 管理员可以通过Intune应用保护策略强制实施 Android 制造商和/或 iOS 模型的指定列表。 IT 管理员可以为 Android 策略和 iOS 策略的设备模型提供以分号分隔的制造商列表。 Intune应用保护策略仅适用于 Android 和 iOS。 可对此指定列表执行两个单独的操作：

• 阻止在未指定的设备上访问应用。
• 或者，选择性地擦除未指定的设备上的公司数据。

如果不满足通过策略的要求，用户将无法访问目标应用程序。 根据设置，用户可能会被阻止，或者有选择地擦除应用中的公司数据。 在 iOS 设备上，此功能需要应用程序 (（如 WXP、Outlook、Managed Browser Viva Engage) ）的参与，以集成 Intune APP SDK，以便将此功能与目标应用程序强制实施。 此集成陆续进行，取决于特定应用程序团队。 在 Android 上，此功能需要最新的公司门户。

在最终用户设备上，Intune客户端将根据应用程序保护策略Intune边栏选项卡中指定的字符串的简单匹配执行操作。 此行为完全取决于设备报告的值。 因此，建议 IT 管理员确保预期行为准确无误。 若要检查准确性，请基于面向小型用户组的不同设备制造商和型号测试此设置。 在“Microsoft Intune”中，选择“客户端应用>应用保护策略”以查看和添加应用保护策略。 有关应用保护策略的详细信息，请参阅 什么是应用保护策略 和使用 应用保护策略访问操作选择性地擦除数据。

访问 macOS 公司门户预发行版本

使用 Microsoft AutoUpdate，可以通过加入预览体验计划来提前注册以接收生成。 注册后，可以在最终用户可用之前使用更新的公司门户。 有关详细信息，请参阅Microsoft Intune博客。

设备配置

在 macOS 设备上使用防火墙设置Create设备符合性策略

(设备符合性策略创建新的 macOS 符合性>策略>时Create策略>平台：macOS>系统安全) ，有一些新的防火墙设置可用：

• 防火墙：配置在环境中处理传入连接的方式。
• 传入连接： 阻止 除基本 Internet 服务（如 DHCP、Bonjour 和 IPSec）所需的连接之外的所有传入连接。 此设置还会阻止所有共享服务。
• 隐藏模式： 启用 隐藏模式以防止设备响应探测请求。 设备继续响应已授权应用的传入请求。

适用于：macOS 10.12 及更高版本

Windows 10 及更高版本的新 Wi-Fi 设备配置文件

目前，可以使用 XML 文件导入和导出 Wi-Fi 配置文件。 通过此更新，可以像其他平台一样，直接在 Intune 中创建 Wi-Fi 设备配置文件。

若要创建配置文件，请打开“设备>配置Create>>Windows 10及更高版本的>Wi-Fi。

适用于 Windows 10 及更高版本。

展台 - 已过时，灰显，无法更改

展台 (预览版) 功能 (设备>配置>Create>Windows 10及更高版本的>设备限制) 已过时，并替换为Windows 10及更高版本的展台设置。 在此更新中， 展台 - 过时 功能灰显，无法更改或更新用户界面。

若要启用展台模式，请参阅Windows 10及更高版本的展台设置。

适用于 Windows 10 及更高版本，Windows Holographic for Business

使用第三方/合作伙伴证书颁发机构的 API

在此更新中，有一个 Java API，使第三方证书颁发机构能够与 Intune 和 SCEP 集成。 然后，用户可以将 SCEP 证书添加到配置文件，并使用 MDM 将其应用于设备。

目前，Intune支持使用 Active Directory 证书服务进行 SCEP 请求。

切换以显示或不显示展台浏览器上的“结束会话”按钮

现在可以配置展台浏览器是否显示“结束会话”按钮。 可以在 “设备>配置>展台 (预览版”) >展台 Web 浏览器中查看控件。 如果启用，当用户选择按钮时，应用会提示确认以结束会话。 确认后，浏览器将清除所有浏览数据并导航回默认 URL。

Create eSIM 手机网络配置文件

在 “设备>配置”中，可以创建 eSIM 手机网络配置文件。 可以导入包含移动运营商提供的手机网络激活代码的文件。 然后，可以将这些配置文件部署到已启用 eSIM LTE Windows 10设备，例如Surface Pro LTE 和其他支持 eSIM 的设备。

检查 设备是否支持 eSIM 配置文件。

适用于 Windows 10 及更高版本。

使用访问工作或学校设置选择设备类别

如果已启用设备组映射，则通过“设置帐户>访问工作或学校”中的“连接”>按钮注册后，系统会提示Windows 10上的用户选择设备类别。

使用 sAMAccountName 作为电子邮件配置文件的帐户用户名

可以使用本地 sAMAccountName 作为 Android、iOS 和 Windows 10 电子邮件配置文件的帐户用户名。 还可以从 domain Microsoft Entra ID 中的 或 ntdomain 属性获取域。 或者，输入自定义静态域。

若要使用此功能，必须将 属性从本地 Active Directory环境同步sAMAccountName到Microsoft Entra ID。

适用于 Android、iOS、Windows 10 及更高版本

请参阅冲突中的设备配置文件

在 “设备>配置”中，显示了现有配置文件的列表。 在此更新中，将添加一个新列，提供有关具有冲突的配置文件的详细信息。 可以选择冲突行以查看具有冲突的设置和配置文件。

有关 管理配置文件的详细信息。

设备符合性的新状态

在 “设备符合性>策略”> 中选择策略 >“概述”中，将添加以下新状态：

• 成功
• error
• 冲突
• 等待
• 不适用 显示不同平台的设备计数的关系图。 例如，如果你正在查看 iOS 配置文件，则新磁贴会显示也分配给此配置文件的非 iOS 设备的计数。 请参阅 设备符合性策略。

设备合规性支持第三方/合作伙伴防病毒解决方案

(设备符合性策略创建设备符合性>策略>时Create策略>平台：Windows 10及更高版本的>“设置>系统安全性) ”时，有新的“设备安全性”选项：

• 防病毒：设置为“需要”时，可以使用在 Windows 安全中心 中心注册的防病毒解决方案（例如 Symantec 和 Windows Defender）检查合规性。
• 反间谍软件：设置为“需要”时，可以使用在 Windows 安全中心 中心注册的反间谍软件解决方案（例如 Symantec 和 Windows Defender）检查合规性。

适用于：Windows 10及更高版本

设备注册

自动将使用 Samsung Knox 移动注册注册的 Android 设备标记为“公司”

默认情况下，使用 Samsung Knox 移动注册注册的 Android 设备现在在“设备所有权”下标记为公司。 在使用 Knox 移动注册进行注册之前，无需使用 IMEI 或序列号手动标识公司设备。

注册计划令牌列表中的“没有配置文件的设备”列

在注册计划令牌列表中，有一个新列显示未分配配置文件的设备数。 此功能可帮助管理员在将配置文件分发给用户之前将配置文件分配给这些设备。 若要查看新列，请转到 设备注册>Apple 注册>注册计划令牌。

设备管理

在“设备”边栏选项卡上批量删除设备

现在可以在“设备”边栏选项卡上一次删除多个设备。 选择 “设备>”“所有设备> ”选择要删除 >的设备“删除”。 对于无法删除的设备，将显示警报。

Android for Work 和 Play for Work 的 Google 名称更改

Intune更新了“Android for Work”术语，以反映 Google 品牌更改。 不再使用术语“Android for Work”和“Play for Work”。 根据上下文使用不同的术语：

• “Android 企业”是指整体新式 Android 管理堆栈。
• “工作配置文件”或“配置文件所有者”是指使用工作配置文件管理的 BYOD 设备。
• “托管的 Google Play”是指 Google 应用商店。

删除设备的规则

可以使用新规则自动删除在设置的天数内未签入的设备。 若要查看新规则，请转到“Intune”窗格，选择“设备”，然后选择“设备清理规则”。

对 Android 设备的公司拥有的一次性支持

Intune现在支持高度托管、锁定的展台式 Android 设备。 借助此功能，管理员可以进一步锁定对单个应用或少量应用使用设备的使用。 而且，它可以防止用户在设备上启用其他应用或执行其他操作。 若要设置 Android 展台，请转到Intune>设备注册>Android 注册>展台和任务设备注册。 有关详细信息，请参阅 设置 Android 企业展台设备的注册。

按行查看上传的重复公司设备标识符

上传公司 ID 时，Intune现在提供任何重复项的列表，并提供替换或保留现有信息的选项。 选择 “设备注册>公司设备标识符>添加标识符”后，如果存在重复项，则将显示报告。

手动添加公司设备标识符

现在可以手动添加公司设备 ID。 选择 “设备注册>公司设备标识符>添加”。

2018 年 6 月

应用管理

Microsoft Edge 移动版对Intune应用保护策略的支持

适用于移动设备的 Microsoft Edge 浏览器现在支持 Intune 中定义的应用保护策略。

检索展台模式下适用于企业的 Microsoft Store应用的关联应用用户模型 ID (AUMID)

Intune现在可以检索适用于企业的 Microsoft Store (WSfB) 应用的应用用户模型 ID (AUMID) ，以提供改进的展台配置文件配置。

有关适用于企业的 Microsoft Store应用的详细信息，请参阅从适用于企业的 Microsoft Store管理应用。

“新建公司门户品牌”页

公司门户品牌页面具有新的布局、消息和工具提示。

设备配置

Pradeo - 新的移动威胁防御合作伙伴

可以根据 Pradeo（一种与 Microsoft Intune 集成的移动威胁防御解决方案）进行的风险评估，使用条件访问来控制移动设备对公司资源的访问。

将 FIPS 模式与 NDES 证书连接器配合使用

在启用了联邦信息处理标准 (FIPS) 模式的计算机上安装 NDES 证书连接器时，颁发和撤销证书无法按预期工作。 在此更新中，NDES 证书连接器中包含对 FIPS 的支持。

此更新还包括：

• NDES 证书连接器需要 .NET 4.5 框架，该框架自动包含在 Windows Server 2016 和 Windows Server 2012 R2 中。 以前，.NET 3.5 Framework 是所需的最低版本。
• NDES 证书连接器包含 TLS 1.2 支持。 因此，如果安装了 NDES 证书连接器的服务器支持 TLS 1.2，则使用 TLS 1.2。 如果服务器不支持 TLS 1.2，则使用 TLS 1.1。 目前，TLS 1.1 用于设备和服务器之间的身份验证。

有关详细信息，请参阅 配置和使用 SCEP 证书 和 配置和使用 PKCS 证书。

支持 Palo Alto Networks GlobalProtect VPN 配置文件

通过此更新，可以在Intune (设备>配置>Create>配置文件 VPN) 中选择 Palo Alto Networks GlobalProtect 作为VPN 连接类型>。 在此版本中，支持以下平台：

• iOS
• Windows 10

本地设备安全选项设置的新增功能

现在可以为Windows 10设备配置更多本地设备安全选项设置。 这些设置在 Microsoft 网络客户端、Microsoft 网络服务器、网络访问和安全性以及交互式登录等领域可用。 创建Windows 10设备配置策略时，请在 Endpoint Protection 类别中找到这些设置。

在Windows 10设备上启用展台模式

在Windows 10设备上，可以创建配置文件并启用展台模式 (设备>配置>Create>Windows 10及更高版本的>设备限制>展台) 。 在此更新中， 展台 (预览) 设置重命名为 展台， (过时) 。 不再建议使用已过时的展台 () ，但会在 7 月更新之前继续运行。 展台 (过时) 将替换为新的展台配置文件类型 (> Create Windows 10>Kiosk (预览) ) ，其中包含用于在 Windows 10 RS4 及更高版本上配置展台的设置。

适用于 Windows 10 及更高版本。

设备配置文件图形用户图表已返回

在改进设备配置文件图形图表上显示的数字计数时， (设备>配置> 选择现有的配置文件 >概述) ，图形用户图表已暂时删除。

通过此更新，图形用户图表将恢复，并显示在Azure 门户中。

设备注册

支持无需用户身份验证的 Windows Autopilot 注册

Intune现在支持无需用户身份验证的 Windows Autopilot 注册。 此功能是 Windows Autopilot 部署配置文件“Autopilot 部署模式”设置为 “自部署”中的一个新选项。 设备必须运行 Windows 10 Insider Preview 版本 17672 或更高版本，并且必须拥有 TPM 2.0 芯片才能成功完成此类注册。 由于不需要用户身份验证，因此应仅将此选项分配给你有权物理控制的设备。

为 Autopilot 配置 OOBE 时的新语言/区域设置

新的配置设置可用于在全新体验期间为 Autopilot 配置文件设置语言和区域。 若要查看新设置，请选择设备注册>Windows 注册>部署配置文件>Create配置文件>部署模式 = 自部署>默认设置配置。

用于配置设备键盘的新设置

新设置可用于在全新体验期间为 Autopilot 配置文件配置键盘。 若要查看新设置，请选择设备注册>Windows 注册>部署配置文件>Create配置文件>部署模式 = 自部署>默认设置配置。

Autopilot 配置文件移动到组目标

可以将 Autopilot 部署配置文件分配给包含 Autopilot 设备的Microsoft Entra组。

设备管理

按设备位置设置符合性

在某些情况下，你可能希望将对公司资源的访问限制为由网络连接定义的特定位置。 现在可以根据设备的 IP 地址 (设备符合性位置) 创建符合性>策略。 如果设备移动超出 IP 范围，则设备无法访问公司资源。

适用于：Android 设备 6.0 及更高版本，已更新公司门户应用

防止Windows 10 企业版 RS4 Autopilot 设备上的使用者应用和体验

可以阻止在 Windows 10 企业版 RS4 Autopilot 设备上安装使用者应用和体验。 若要查看此功能，请转到 Intune>Devices>配置>Create>Windows 10或更高版本，了解平台>配置文件的设备限制类型>配置>Windows 聚焦>使用者功能。

从Windows 10软件更新中卸载最新版本

如果在Windows 10计算机上发现中断性问题，可以选择卸载 (回滚) 最新功能更新或最新质量更新。 卸载某功能或质量更新仅适用于设备所在的服务通道。 卸载将触发策略，以还原Windows 10计算机上的以前的更新。 具体来说，对于功能更新，可以限制卸载最新版本的 2-60 天。 若要设置软件更新卸载选项，请从Azure 门户的“Microsoft Intune”边栏选项卡中选择“软件更新”。 然后，从“软件更新”边栏选项卡中选择“Windows 10更新通道”。 然后，可以从“概述”部分选择“卸载”选项。

搜索 IMEI 和序列号的所有设备

现在可以在“所有设备”边栏选项卡上搜索 IMEI 和序列号， (电子邮件、UPN、设备名称和管理名称仍可用) 。 在“Intune”中，选择“设备>”“所有设备>”，在搜索框中输入搜索。

管理名称字段可编辑

现在可以在设备的 “属性” 边栏选项卡上编辑管理名称字段。 若要编辑此字段，请选择 “设备”>“所有设备> ”选择“设备 >属性”。 可以使用管理名称字段来唯一标识设备。

新建“所有设备”筛选器：设备类别

现在可以按设备类别筛选 “所有 设备”列表。 为此，请选择 “设备>”“所有设备>筛选>设备”类别。

使用 TeamViewer 屏幕共享 iOS 和 macOS 设备

管理员现在可以连接到 TeamViewer，并启动与 iOS 和 macOS 设备的屏幕共享会话。 iPhone、iPad 和 macOS 用户可以实时与任何其他桌面或移动设备共享其屏幕。

多个 Exchange 连接器支持

不再限制为每个租户一个Microsoft Intune Exchange Connector。 Intune现在支持多个 Exchange 连接器，以便你可以设置Intune多个本地 Exchange 组织的条件访问。

使用Intune本地 Exchange 连接器，可以管理设备对本地 Exchange 邮箱的访问。 访问基于设备是否在 Intune 中注册并符合Intune设备符合性策略。 若要设置连接器，请从 Azure 门户下载Intune本地 Exchange 连接器，并将其安装在 Exchange 组织中的服务器上。 在Microsoft Intune 仪表板上，选择“本地访问”，然后在“设置”下，选择“Exchange ActiveSync连接器”。 下载 Exchange 本地连接器，并将其安装在 Exchange 组织中的服务器上。 不仅限于每个租户一个 Exchange 连接器。 因此，如果你有其他 Exchange 组织，则可以按照相同的过程为每个额外的 Exchange 组织下载和安装连接器。

新设备硬件详细信息：CCID

芯片卡接口设备 (CCID) 现在包含每个设备的信息。 若要查看它，请选择“设备”>“所有设备>”选择“网络详细信息”下的“设备>硬件>检查”>

将所有用户和所有设备分配为范围组

现在可以在范围组中分配所有用户、所有设备以及所有用户和所有设备。 选择Intune角色>所有角色>策略和配置文件管理员>分配>选择分配 >范围 (组) 。

iOS 和 macOS 设备现在包含的 UDID 信息

若要查看 iOS 和 macOS 设备的唯一设备标识符 (UDID) ，请转到 “设备”>“所有设备> 选择设备 >硬件”。 UDID 仅适用于公司设备 (，如“设备>”下的“所有设备>选择设备属性>”>设备所有权) 。

Intune 应用

改进了应用安装故障排除

在Microsoft Intune MDM 管理的设备上，有时应用安装可能会失败。 当这些应用安装失败时，了解失败原因或排查问题可能很困难。 我们将提供应用故障排除功能的公共预览版。 你会注意到每个设备下都有一个名为 “托管应用”的新节点。 此节点列出了通过 INTUNE MDM 传递的应用。 在节点中，有一个应用安装状态列表。 如果选择单个应用，则会显示该特定应用的故障排除视图。 在故障排除视图中，你将看到应用的端到端生命周期，例如应用创建、修改、定向和交付到设备时。 此外，如果应用安装不成功，将显示错误代码和有关错误原因的有用消息。

Intune应用保护策略和 Microsoft Edge

适用于移动设备的 Microsoft Edge 浏览器 (iOS 和 Android) 现在支持Microsoft Intune应用保护策略。 使用 Microsoft Edge 应用程序中的公司Microsoft Entra帐户登录的 iOS 和 Android 设备的用户将受到Intune的保护。 在 iOS 设备上， “需要 Web 内容托管浏览器” 策略允许用户在管理浏览器时在 Microsoft Edge 中打开链接。

2018 年 5 月

应用管理

配置应用保护策略

在Azure 门户中，你现在只需转到Intune，而不是转到“Intune应用保护服务”边栏选项卡。 现在，Intune内只有一个应用保护策略的位置。 所有应用保护策略都位于Intune应用保护策略下的“移动应用”边栏选项卡上。 此集成有助于简化云管理管理。 请记住，所有应用保护策略都已在Intune，你可以修改以前配置的任何策略。 Intune应用策略保护 (应用) 和条件访问 (CA) 策略现在位于条件访问下，可以在“Microsoft Intune”边栏选项卡的“管理”部分或“Microsoft Entra ID”边栏选项卡的“安全性”部分下找到。 有关修改条件访问策略的详细信息，请参阅 Microsoft Entra ID 中的条件访问。 有关详细信息，请参阅 什么是应用保护策略？

设备配置

需要安装策略、应用、证书和网络配置文件

管理员可以阻止最终用户访问 Windows 10 RS4 桌面，直到Intune在预配 Autopilot 设备期间安装策略、应用、证书和网络配置文件。 有关详细信息，请参阅 设置注册状态页。

设备注册

Samsung Knox 移动注册支持

将 Intune 与 Samsung Knox 移动注册 (KME) 配合使用时，可以注册大量公司拥有的 Android 设备。 首次打开设备时，使用 WiFi 或手机网络的用户只需点击几下即可注册。 使用 Knox 部署应用时，可以使用蓝牙或 NFC 注册设备。 有关详细信息，请参阅使用 Samsung 的 Knox 移动注册自动注册 Android 设备。

监视和疑难解答

在Windows 10公司门户中请求帮助

当用户启动工作流以获取问题帮助时，Windows 10的公司门户现在会将应用日志直接发送到 Microsoft。 此功能可更轻松地排查和解决向 Microsoft 提出的问题。

2018 年 4 月

应用管理

Android 上 MAM PIN 的密码支持

Intune管理员可以设置应用程序启动要求来强制实施密码而不是数字 MAM PIN。 如果已配置，则用户需要在系统提示时设置并使用密码，然后才能访问启用 MAM 的应用程序。 密码定义为至少具有一个特殊字符或大写/小写字母的数字 PIN。 Intune支持密码的方式与现有数字 PIN 类似...能够设置最小长度，允许通过Intune管理中心重复字符和序列。 此功能需要 Android 上的最新版本公司门户。 此功能已可用于 iOS。

业务线 (LOB) macOS 应用支持

Microsoft Intune将提供从Azure 门户安装 macOS LOB 应用的功能。 GitHub 中可用的工具预处理了 macOS LOB 应用后，可以将该应用添加到Intune。 在Azure 门户，从“Intune”边栏选项卡中选择“客户端应用”。 在 “客户端应用” 边栏选项卡上，选择 “应用>添加”。 在 “添加应用” 边栏选项卡上，选择“ 业务线应用”。

适用于 Android Enterprise 的内置所有用户和所有设备组工作配置文件应用分配

可以使用内置的 “所有用户 ”和 “所有设备” 组进行 Android Enterprise 工作配置文件应用分配。 有关详细信息，请参阅在Microsoft Intune中包含和排除应用分配。

Intune将重新安装用户卸载的所需应用

如果最终用户卸载所需的应用，Intune会在 24 小时内自动重新安装应用，而不是等待 7 天的重新评估周期。

更新配置应用保护策略的位置

在 Microsoft Intune 服务内的Azure 门户中，我们将暂时将你从“Intune应用保护服务”边栏选项卡重定向到“移动应用”边栏选项卡。 所有应用保护策略都已位于应用配置下Intune的“移动应用”边栏选项卡上。 无需Intune应用保护，只需转到Intune。 在 2018 年 4 月，我们将停止重定向并完全删除“Intune应用保护服务”边栏选项卡，以便Intune内只有一个应用保护策略的位置。

这对我有何影响？ 此更改将影响Intune独立客户和Configuration Manager) 客户的混合 (Intune。 此集成将有助于简化云管理管理。

我需要如何准备来应对此项更改？ 将Intune标记为收藏夹而不是“Intune应用保护服务”边栏选项卡，并确保熟悉Intune“移动应用”边栏选项卡中的应用保护策略工作流。 我们将在短时间内重定向，然后删除 “应用保护 ”边栏选项卡。 请记住，所有应用保护策略都已在Intune并且可以修改任何条件访问策略。 有关修改条件访问策略的详细信息，请参阅 Microsoft Entra ID 中的条件访问。 有关详细信息，请参阅 什么是应用保护策略？

设备配置

设备配置文件图表和状态列表显示组中的所有设备

(设备>配置) 配置设备配置文件时，可以选择设备配置文件，例如 iOS。 将此配置文件分配给包含 iOS 设备和非 iOS 设备的组。 图形图表计数显示配置文件应用于 iOS 和非 iOS 设备， (设备>配置> 选择现有配置文件 >概述) 。 在“ 概述 ”选项卡中选择图形图表时， “设备状态 ”将列出组中的所有设备，而不仅仅是 iOS 设备。

在此更新中， “设备>配置> ” (图形图表选择现有配置文件 >“概述 ”) 仅显示特定设备配置文件的计数。 例如，如果配置设备配置文件适用于 iOS 设备，则图表仅列出 iOS 设备的计数。 选择图形图表并打开 “设备状态 ”仅列出 iOS 设备。

进行此更新时，将暂时删除图形用户图表。

Windows 10 Always On VPN

目前，可以使用自定义虚拟专用网络 (使用 OMA-URI 创建的 VPN) 配置文件，在Windows 10设备上使用Always On。

通过此更新，管理员可以直接在Azure 门户Intune中为Windows 10 VPN 配置文件启用Always On。 Always On VPN 配置文件将在出现时自动连接：

• 用户登录到其设备
• 设备上的网络更改
• 设备上的屏幕在关闭后重新打开

教育配置文件的新打印机设置

对于教育配置文件，“打印机”类别下提供了新设置：“打印机”、“默认打印机”、“添加新打印机”。

在个人配置文件中显示来电者 ID - Android Enterprise 工作配置文件

在设备上使用个人配置文件时，最终用户可能无法看到工作联系人的来电显示详细信息。

通过此更新， Android 企业>设备限制>工作配置文件设置中有一个新设置：

• 在个人个人资料中显示工作联系人呼叫者 ID

启用 (未) 配置时，个人配置文件中会显示工作联系人呼叫者详细信息。 阻止后，个人个人资料中不会显示工作联系人呼叫者号码。

适用于：Android OS v6.0 及更新版本的 Android 工作配置文件设备

添加到终结点保护设置的新Windows Defender Credential Guard 设置

通过此更新，Windows Defender Credential Guard (设备>配置>终结点保护) 包含以下设置：

• Windows Defender Credential Guard：启用基于虚拟化的安全性的 Credential Guard。 启用此功能有助于在下一次重新启动时保护凭据，同时启用了 具有安全启动的平台安全级别 和 基于虚拟化的安全性 。 选项包括：

  • 已禁用：如果以前使用“ 启用且未锁定”选项启用了 Credential Guard，则它会远程关闭 Credential Guard。

  • 使用 UEFI 锁启用：确保无法使用注册表项或使用组策略禁用 Credential Guard。 若要在使用此设置后禁用 Credential Guard，必须将组策略设置为“已禁用”。 然后，使用物理存在的用户从每台计算机中删除安全功能。 这些步骤清除 UEFI 中保留的配置。 只要 UEFI 配置仍然存在，就启用 Credential Guard。

  • 在未锁定的情况下启用：允许使用 组策略 远程禁用 Credential Guard。 使用此设置的设备必须至少Windows 10 (版本 1511) 运行。

配置 Credential Guard 时，会自动启用以下依赖技术：

• 启用基于虚拟化的安全性 (VBS) ：在下次重新启动时打开基于虚拟化的安全性 (VBS) 。 基于虚拟化的安全性使用 Windows 虚拟机监控程序来支持安全服务，并且需要安全启动。
• 使用直接内存访问的安全启动 (DMA) ：启用具有安全启动和直接内存访问的 VBS。 DMA 保护需要硬件支持，并且仅在正确配置的设备上启用。

在 SCEP 证书上使用自定义使用者名称

可以使用 OnPremisesSamAccountName 作为 SCEP 证书配置文件上的自定义主题中的公用名称。 例如，可以使用 CN={OnPremisesSamAccountName})。

在 Android Enterprise 工作配置文件上阻止相机和屏幕捕获

为 Android 设备配置设备限制时，有两个新属性可供阻止：

• 相机：阻止访问设备上的所有相机
• 屏幕捕获：阻止屏幕捕获，还阻止内容显示在没有安全视频输出的显示设备上

适用于 Android Enterprise 工作配置文件。

使用适用于 iOS 的 Cisco AnyConnect 客户端

为 iOS 创建新的 VPN 配置文件时，现在有两个选项： Cisco AnyConnect 和 Cisco Legacy AnyConnect。 Cisco AnyConnect 配置文件支持 4.0.7x 和更新版本。 现有的 iOS Cisco AnyConnect VPN 配置文件标记为 “Cisco 旧版 AnyConnect”，并像现在一样继续使用 Cisco AnyConnect 4.0.5x 和旧版本。

注意

此更改仅适用于 iOS。 对于 Android、Android Enterprise 工作配置文件和 macOS 平台，仍然只有一个 Cisco AnyConnect 选项。

设备注册

使用 macOS High Sierra 10.13.2+ 设备的用户的新注册步骤

macOS high Sierra 10.13.2 引入了“用户已批准”MDM 注册的概念。 批准的注册允许Intune管理某些安全敏感设置。 有关详细信息，请参阅此处的 Apple 支持文档： https://support.apple.com/HT208019。

使用 macOS 公司门户注册的设备被视为“未经用户批准”，除非最终用户打开“系统首选项”并手动提供审批。 为此，macOS 公司门户现在指示 macOS 10.13.2 及更高版本上的用户在注册过程结束时手动批准其注册。 Intune管理中心将报告已注册设备是否获得用户批准。

Jamf 注册的 macOS 设备现在可以注册到 Intune

macOS 公司门户版本 1.3 和 1.4 未成功将 Jamf 设备注册到 Intune。 macOS 门户版本 1.4.2 修复了此问题。

更新了适用于 Android 的 公司门户 应用中的帮助体验

我们更新了适用于 Android 的 公司门户 应用中的帮助体验，以符合 Android 平台的最佳做法。 现在，当用户在应用中遇到问题时，他们可以点击“菜单帮助”>并：

• 将诊断日志上传到 Microsoft。
• 向公司支持人员发送描述问题和事件 ID 的电子邮件。

若要检查更新的帮助体验，请参阅报告适用于 Android 的 公司门户 或 Intune 应用中的问题。

新的注册失败趋势图和失败原因表

在“注册概述”页上，可以查看注册失败的趋势和失败的前五个原因。 通过在图表或表格上选择，可以深入了解详细信息，以查找故障排除建议和修正建议。

设备管理

Defender for Endpoint 和Intune完全集成

Defender for Endpoint 显示Windows 10设备的风险级别。 在Windows Defender安全中心，可以创建与Microsoft Intune的连接。 创建后，将使用Intune合规性策略来确定可接受的威胁级别。 如果超出威胁级别，则Microsoft Entra条件访问策略可以阻止对组织内不同应用的访问。

此功能允许 Defender for Endpoint 扫描文件、检测威胁并报告Windows 10设备上的任何风险。

请参阅在 Intune 中启用具有条件访问的 Defender for Endpoint。

支持无用户设备

Intune支持评估无用户设备（例如Microsoft Surface Hub）上的合规性。 合规性策略可以面向特定设备。 因此，对于没有关联用户的设备，可以确定符合性 (和不合规) 。

删除 Autopilot 设备

Intune管理员可以删除 Autopilot 设备。

改进了设备删除体验

在从Intune中删除设备之前，不再需要删除公司数据或恢复出厂设置设备。

若要查看新体验，请登录到Intune并选择“设备>”“所有设备>”，设备名称为“>删除”。

如果仍需要擦除/停用确认，可以在删除之前发出“删除公司数据”和“恢复出厂设置”，从而使用标准设备生命周期路由。

处于“丢失”模式时，在 iOS 上播放声音

当受监督的 iOS 设备处于移动设备管理 (MDM) 丢失模式时，你可以播放声音 (设备>所有设备>选择 iOS 设备>概述>更多) 。 声音将继续播放，直到设备从“丢失”模式中删除，或用户禁用设备上的声音。 适用于 iOS 设备 9.3 及更新。

在Intune设备上进行的搜索中阻止或允许 Web 结果

管理员现在可以阻止在设备上进行搜索的 Web 结果。

改进了 Apple MDM 推送证书上传失败的错误消息

错误消息说明续订现有 MDM 证书时必须使用相同的 Apple ID。

在虚拟机上测试 macOS 的公司门户

我们发布了指南，以帮助 IT 管理员在 Parallels Desktop 和 VMware Fusion 中的虚拟机上测试适用于 macOS 的 公司门户 应用。 有关详细信息，请参阅 注册用于测试的虚拟 macOS 计算机。

Intune 应用

iOS 版公司门户应用的用户体验更新

我们发布了适用于 iOS 的 公司门户 应用的主要用户体验更新。 此更新具有经过完全重新设计的视觉效果，包括现代化的外观。 我们保留了应用的功能，但提高了其可用性和可访问性。

你还会看到：

• 对 iPhone X 的支持。
• 应用启动速度和响应加载速度更快，可节省用户时间。
• 更多进度栏，为用户提供最新的状态信息。
• 改进了用户上传日志的方式，因此可在出现问题时更轻松地报告该问题。

若要查看更新的外观，请转到 应用 UI 中的新增功能。

使用 Intune APP 和 CA 保护本地 Exchange 数据

现在可以使用Intune应用策略保护 (APP) 和条件访问 (CA) ，通过 Outlook Mobile 保护对本地 Exchange 数据的访问。 若要在Azure 门户中添加或修改应用保护策略，请选择“Microsoft Intune>客户端应用>应用保护策略”。 在使用此功能之前，请确保满足 Outlook for iOS 和 Android 要求。

用户界面

改进了Windows 10 公司门户中的设备磁贴

磁贴已更新，以便弱视用户更易于访问，并且对屏幕阅读工具的性能更好。

在适用于 macOS 的 公司门户 应用中发送诊断报告

更新了适用于 macOS 设备的公司门户应用，以改进用户报告Intune相关错误的方式。 在 公司门户 应用中，员工可以：

• 将诊断报告直接上传到 Microsoft 开发人员团队。
• 向公司的 IT 支持团队Email事件 ID。

有关详细信息，请参阅 为 macOS 发送错误。

Intune适应公司门户应用中的Fluent Design System Windows 10

适用于 Windows 10 的 Intune 公司门户应用经已更新 Fluent Design System 的导航窗格视图。 在这款应用旁边，你会注意到一个静态、垂直的所有顶级页面列表。 选择任意链接以快速查看页面并在页面之间切换。 此功能是几个更新中的第一个，这些更新是持续努力的一部分，以在Intune中创建更具适应性、更同理心和更熟悉的体验。 若要查看更新的外观，请转到 应用 UI 中的新增功能。

2018 年 3 月

应用管理

针对 Microsoft Intune 的 iOS 业务线 (LOB) 应用的过期警报

在Azure 门户中，Intune向即将过期的 iOS 业务线应用发出警报。 上传新版本的 iOS 业务线应用后，Intune会从应用列表中删除过期通知。 此过期通知仅对新上传的 iOS 业务线应用有效。 在 iOS LOB 应用预配配置文件过期前 30 天出现警告。 过期后，警报将更改为“已过期”。

使用十六进制代码自定义公司门户主题

可以使用十六进制代码在公司门户应用中自定义主题颜色。 输入十六进制代码时，Intune确定在文本颜色和背景色之间提供最高对比度级别的文本颜色。 可以在客户端应用中>根据颜色预览文本颜色和公司徽标公司门户。

基于 Android Enterprise 的组包括和排除应用分配

Android Enterprise (以前称为 Android for Work) 支持包括和排除组，但不支持预先创建的 “所有用户 ”和 “所有设备 ”内置组。 有关详细信息，请参阅在Microsoft Intune中包含和排除应用分配。

设备管理

将所有设备导出到 IE、Microsoft Edge 或 Chrome 中的 CSV 文件中

在 “设备>”“所有设备”中，可以将设备 导出 到 CSV 格式的列表。 具有 >10,000 台设备的 Internet Explorer (IE) 用户可以成功将其设备导出到多个文件中。 每个文件最多包含 10,000 台设备。

具有 30,000 台设备的 >Microsoft Edge 和 Chrome 用户可以成功将其设备导出到多个文件中。 每个文件最多包含 30,000 台设备。

管理设备 提供了有关可对所管理设备执行的操作的更多详细信息。

Intune 服务中的新安全增强功能

我们在 Azure 上的Intune中引入了一个切换开关，Intune独立客户可以使用该开关将未分配任何策略的设备视为) 符合 ( 安全功能，或在) 上将这些设备视为不符合 (安全功能。 只有在评估设备符合性后，此功能才能确保访问资源。

此功能对你的影响会有所不同，具体取决于你是否已分配符合性策略。

• 如果你是新帐户或现有帐户，并且未将任何符合性策略分配给设备，则切换开关会自动设置为“符合”。 该功能在控制台中作为默认设置处于关闭状态。 不会对最终用户造成影响。
• 如果你是现有帐户，并且有任何设备分配了符合性策略，则切换开关会自动设置为 “不符合”。 随着 3 月更新的推出，该功能作为默认设置打开。

如果将符合性策略与条件访问 (CA) 结合使用，并且已启用该功能，则 CA 会阻止任何未分配至少一个符合性策略的设备。 与这些设备关联的最终用户（以前被允许访问电子邮件）将失去访问权限，除非你向所有设备分配了至少一个符合性策略。

尽管默认切换状态在 UI 中立即显示，Intune服务 3 月更新，但不会立即强制实施此切换状态。 对切换所做的任何更改都不会影响设备符合性，直到我们将你的帐户设置为具有有效切换。 完成帐户外部测试后，我们会通过消息中心通知你。 在 3 月更新Intune服务后，外部测试可能需要几天时间。

有关详细信息，请转到 https://aka.ms/compliance_policies。

增强的越狱检测

增强的越狱检测是一种新的符合性设置，可改进Intune评估越狱设备的方式。 此设置会导致设备更频繁地检查Intune，这会使用设备的定位服务并影响电池使用。

重置 Android O 设备的密码

可以使用工作配置文件重置已注册的 Android 8.0 设备的密码。 向 Android 8.0 设备发送“重置密码”请求时，它会向当前用户设置新的设备解锁密码或托管配置文件质询。 密码或质询已发送并立即生效。

将符合性策略定向到设备组中的设备

可以将符合性策略面向用户组中的用户。 通过此更新，可以将符合性策略定向到设备组中的设备。 作为设备组一部分的设备不会收到任何符合性操作。

“新建管理名称”列

设备边栏选项卡上提供了名为 “管理名称 ”的新列。 此列是根据以下公式为每个设备分配的自动生成的不可编辑名称：

• 所有设备的默认名称： 〈username〉〈em〉〈devicetype〉〈/em〉〈enrollmenttimestamp〉
• 对于批量添加的设备： 〈PackageId/ProfileId〉〈em〉〈DeviceType〉〈/em〉〈EnrollmentTime〉

此列在“设备”边栏选项卡中是可选的。 默认情况下，它不可用，只能使用列选择器访问它。 设备名称不受此新列的影响。

每 15 分钟提示 iOS 设备输入 PIN

将符合性或配置策略应用到 iOS 设备后，系统会提示用户每 15 分钟设置一次 PIN。 在设置 PIN 之前，系统会不断提示用户。

计划自动更新

Intune允许你控制使用 Windows 更新 Ring 设置安装自动更新。 通过此更新，可以计划重复更新，包括周、日和时间。

使用完全可分辨名称作为 SCEP 证书的主题

创建 SCEP 证书配置文件时，输入“使用者名称”。 通过此更新，可以使用完全可分辨的名称作为主题。 对于 “使用者名称”，选择“ 自定义”，然后输入 CN={{OnPrem_Distinguished_Name}}。 若要使用 {{OnPrem_Distinguished_Name}} 变量，请确保使用 Microsoft Entra Connect 与Microsoft Entra ID同步onpremisesdistingishedname用户属性。

设备配置

启用蓝牙联系人共享 - Android for Work

默认情况下，Android 会阻止工作配置文件中的联系人与蓝牙设备同步。 因此，蓝牙设备的呼叫方 ID 上不会显示工作配置文件联系人。

通过此更新， Android for Work>Device 限制>工作配置文件设置中将有一个新设置：

• 通过蓝牙共享联系人

Intune管理员可以配置这些设置以启用共享。 将设备与显示免手动使用的呼叫方 ID 的基于汽车的蓝牙设备配对时，此功能非常有用。 启用后，将显示工作配置文件联系人。 如果未启用，则不会显示工作配置文件联系人。

配置 Gatekeeper 以控制 macOS 应用下载源

你可以通过控制从中下载应用的位置，将 Gatekeeper 配置为保护设备免受应用的限制。 可以配置以下下载源：Mac App Store、Mac App Store和标识的开发人员或 Anywhere。 你可以配置用户是否可以使用 control-click 来替代这些 Gatekeeper 控件来安装应用。

可以在“设备>配置>Create>macOS>终结点保护”下找到这些设置。

配置 Mac 应用程序防火墙

可以配置 Mac 应用程序防火墙。 可以使用应用程序防火墙控制每个应用程序的连接，而不是基于每个端口的连接。 借助此功能，可以更轻松地获得防火墙保护的优势，并有助于防止不需要的应用控制为合法应用打开的网络端口。

可以在“设备>配置Create>>macOS>终结点保护”下找到此功能。

启用防火墙设置后，可以使用两种策略配置防火墙：

• 阻止所有传入连接

  可以阻止目标设备的所有传入连接。 如果选择执行此操作，则会阻止所有应用的传入连接。

• 允许或阻止特定应用

  可以允许或阻止特定应用接收传入连接。 还可以启用隐藏模式，以防止对探测请求的响应。

详细的错误代码和消息

在设备配置中，可以看到更详细的错误代码和错误消息。 此改进报告显示设置、这些设置的状态以及有关故障排除的详细信息。

更多信息

• 阻止所有传入连接

  此设置阻止所有共享服务 (（如文件共享和屏幕共享) ）接收传入连接。 仍允许接收传入连接的系统服务包括：

  • configd - 实现 DHCP 和其他网络配置服务

  • mDNSResponder - 实现 Bonjour

  • racoon - 实现 IPSec

    若要使用共享服务，请确保将 “传入连接 ”设置为 “未配置 (不 阻止) 。

• 隐藏模式

  启用此设置可阻止计算机响应探测请求。 计算机仍会回答已授权应用的传入请求。 忽略意外的请求，例如 ICMP (ping) 。

在设备重启时禁用检查

Intune可让你控制软件更新的管理。 在此更新中， “重启检查” 属性可用，并且默认启用。 若要跳过重启设备 (（例如活动用户、电池电量等) 时发生的典型检查），请选择“ 跳过”。

可用于部署圈的新 Windows 10 Insider Preview 频道

创建Windows 10部署通道时，现在可以选择以下Windows 10 Insider Preview 服务通道：

• Windows 预览体验成员内部版本 （ Fast）
• Windows 预览体验成员内部版本 （ 速度缓慢）
• 发布 Windows 预览体验成员内部版本

有关这些频道的详细信息，请参阅 管理 Insider Preview 内部版本。 有关在 Intune 中创建部署通道的详细信息，请参阅在 Intune 中管理软件更新。

新的Windows Defender攻击防护设置

六个新的 攻击面减少 设置和扩展 的受控文件夹访问：文件夹保护 功能现已推出。 可在以下位置找到这些设置：设备配置\配置文件
Create配置文件\Endpoint Protection\Windows Defender Exploit Guard。

攻击面减少

设置名称	设置选项	说明
高级勒索软件防护	已启用、审核、未配置	使用积极的勒索软件防护。
标记从 Windows 本地安全机构子系统窃取凭据	已启用、审核、未配置	标记从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据。
从 PSExec 和 WMI 命令创建进程	阻止、审核、未配置	阻止源自 PSExec 和 WMI 命令的进程创建。
从 USB 运行的不受信任的和未签名的进程	阻止、审核、未配置	阻止从 USB 运行的不受信任和未签名的进程。
不符合流行率、年龄或受信任列表条件的可执行文件	阻止、审核、未配置	阻止运行可执行文件，除非它们符合流行性、年龄或受信任的列表条件。

文件夹限制访问

设置名称	设置选项	说明
文件夹保护 (已) 实现	未配置、启用、仅审核 (已实现) New 阻止磁盘修改、审核磁盘修改

保护文件和文件夹免受不友好的应用进行未经授权的更改。

启用：防止不受信任的应用修改或删除受保护文件夹中的文件以及写入磁盘扇区。

仅阻止磁盘修改：
阻止不受信任的应用写入磁盘扇区。 不受信任的应用仍然可以修改或删除受保护文件夹中的文件。|

Intune 应用

Microsoft Entra网站可能需要 Intune Managed Browser 应用并支持托管浏览器 (公共预览版单一登录)

使用Microsoft Entra ID，现在可以将移动设备上网站的访问限制为Intune Managed Browser应用。 在托管浏览器中，网站数据将保持安全，并且独立于最终用户个人数据。 此外，托管浏览器将支持受Microsoft Entra ID保护的站点的单一登录功能。 通过登录到托管浏览器，或者在设备上使用由 Intune 管理的其他应用使用托管浏览器，托管浏览器可以访问受Microsoft Entra ID保护的公司站点。 最终用户无需输入其凭据。

此功能适用于 Outlook Web Access (OWA) 和 SharePoint Online 等网站，以及通过 Azure 应用 代理访问的 Intranet 资源等其他公司网站。 有关详细信息，请参阅Microsoft Entra条件访问中的访问控制。

适用于 Android 视觉对象的公司门户应用

我们已更新适用于 Android 的公司门户应用以遵循 Android 的材料设计准则。 可以在 应用 UI 中的新增 功能一文中查看新图标的图像。

公司门户注册已改进

使用 Windows 10 版本 1709 及更新版本上的 公司门户注册设备的用户现在无需离开应用即可完成注册的第一步。

HoloLens 和 Surface Hub 现在显示在设备列表中

添加了对向适用于 Android 的 公司门户 应用显示注册Intune HoloLens 和 Surface Hub 设备的支持。

批量购买计划的自定义书籍类别 (VPP) 电子书

可以创建自定义电子书类别，然后将 VPP 电子书分配给这些自定义电子书类别。 然后，最终用户可以看到新创建的电子书类别和分配给类别的书籍。 有关系详细信息，请参阅使用 Microsoft Intune 管理批量购买的应用和书籍。

适用于 Windows 的 公司门户 应用的支持更改发送反馈选项

从 2018 年 4 月 30 日开始，适用于 Windows 的 公司门户 应用中的“发送反馈”选项仅适用于运行 Windows 10 周年更新 (1607) 及更高版本的设备。 使用适用于 Windows 的 公司门户 应用时，不再支持发送反馈的选项：

• Windows 10,1507 版本
• Windows 10,1511 版本
• Windows Phone 8.1

如果你的设备在 Windows 10 RS1 或更高版本上运行，请从应用商店下载最新版本的 Windows 公司门户 应用。 如果运行的版本不受支持，请继续通过以下渠道发送反馈：

• Windows 10 上的反馈中心应用
• Email WinCPfeedback@microsoft.com

新建Windows Defender 应用程序防护设置

• 启用图形加速：管理员可以为Windows Defender 应用程序防护启用虚拟图形处理器。 此设置：

  • 允许 CPU 将图形呈现卸载到 vGPU。
  • 在使用图形密集型网站或在容器中观看视频时，可以提高性能。

• SaveFilestoHost：管理员可以启用文件从容器中运行的 Microsoft Edge 传递到主机文件系统。 启用此设置后，用户可将文件从容器中的 Microsoft Edge 下载到主机文件系统。

基于管理状态的 MAM 保护策略

可以根据设备的管理状态来定位 MAM 策略：

• Android 设备 - 可以面向非托管设备、Intune托管设备和Intune托管 Android Enterprise Profiles (以前的 Android for Work) 。

• iOS 设备 - 可以将非托管设备 (仅) 或Intune托管设备定位 MAM。

  注意

  • 此功能的 iOS 支持将在整个 2018 年 4 月推出。

有关详细信息，请参阅 基于设备管理状态的目标应用保护策略。

改进了 Windows 适用的公司门户应用中的语言

我们对 Windows 10 适用的公司门户中的语言进行了改进，使其更加用户友好，并且更适合你的公司。 若要查看我们已完成操作的一些示例图像，请参阅 应用 UI 中的新增功能。

有关用户隐私的文档新增内容

为了使最终用户能够更好地控制其数据和隐私，我们发布了文档更新，其中介绍了如何使用 公司门户 应用查看和删除本地存储的数据。 可以在以下位置找到这些更新：

• Android：如何从Intune中删除 Android 设备
• Android，如果用户拒绝了使用条款： 如果你拒绝了“使用条款”，请删除设备管理
• iOS：从 Intune 中删除 iOS 设备
• Windows：从Intune中删除 Windows 设备

2018 年 2 月

设备注册

Intune对多个 Apple DEP/Apple School Manager 帐户的支持

Intune现在支持从多达 100 个不同的 Apple 设备注册计划 (DEP) 或 Apple School Manager 帐户注册设备。 对于注册配置文件和设备，可以单独管理上传的每个令牌。 可以根据上传的 DEP/School Manager 令牌自动分配不同的注册配置文件。 如果上传了多个 School Manager 令牌，则一次只能与Microsoft 学校数据同步共享一个令牌。

迁移后，用于通过 Graph 管理 Apple DEP 或 ASM 的 beta Graph API 和已发布的脚本将不再有效。 新的 beta Graph API 正在开发中，将在迁移后发布。

请参阅每个用户的注册限制

在“故障排除”边栏选项卡上，现在可以通过从“分配”列表中选择“注册限制”来查看每个用户有效的注册限制。

Apple 批量注册用户身份验证的新选项

注意

新租户会立即看到此情况。 对于现有租户，此功能将在 4 月推出。 在此推出完成之前，你可能无法访问这些新功能。

Intune现在提供对以下注册方法使用 公司门户 应用对设备进行身份验证的选项：

• Apple 设备注册计划
• Apple School Manager
• Apple Configurator 注册

使用 公司门户 选项时，可以在不阻止这些注册方法的情况下强制实施Microsoft Entra多重身份验证。

使用“公司门户”选项时，Intune跳过 iOS 设置助手中的用户身份验证进行用户关联注册。 此功能意味着设备最初注册为无用户设备，因此不会接收用户组的配置或策略。 它仅接收设备组的配置和策略。 但是，Intune将自动在设备上安装 公司门户 应用。 启动并登录到 公司门户 应用的第一个用户将与 Intune 中的设备相关联。 此时，用户将收到其用户组的配置和策略。 如果不重新注册，则无法更改用户关联。

Intune对多个 Apple DEP/Apple School Manager 帐户的支持

Intune现在支持从多达 100 个不同的 Apple 设备注册计划 (DEP) 或 Apple School Manager 帐户注册设备。 对于注册配置文件和设备，可以单独管理上传的每个令牌。 可以根据上传的 DEP/School Manager 令牌自动分配不同的注册配置文件。 如果上传了多个 School Manager 令牌，则一次只能与Microsoft 学校数据同步共享一个令牌。

迁移后，用于通过 Graph 管理 Apple DEP 或 ASM 的 beta Graph API 和已发布的脚本将不再有效。 新的 beta Graph API 正在开发中，将在迁移后发布。

通过安全网络进行远程打印

PrinterOn 的无线移动打印解决方案使用户能够随时随地通过安全网络进行远程打印。 PrinterOn 将与适用于 iOS 和 Android 的 Intune APP SDK 集成。 可以通过Intune管理中心的“Intune应用保护策略”边栏选项卡将应用保护策略定向到此应用。 最终用户可以通过 Play Store 或 iTunes 下载应用“PrinterOn for Microsoft”，以便在其Intune生态系统中使用。

macOS 公司门户对使用设备注册管理器的注册的支持

用户现在可以在 macOS 公司门户注册时使用设备注册管理器。

设备管理

Windows Defender 运行状况状态和威胁状态报告

了解Windows Defender的运行状况和状态是管理 Windows 电脑的关键。 通过此更新，Intune向Windows Defender代理的状态和运行状况添加新的报告和操作。 使用 设备符合性工作负载中的状态汇总报告，可以查看需要以下任何操作的设备：

• 签名更新
• Restart
• 手动干预
• 完全扫描
• 需要干预的其他代理状态

每个状态类别的钻取报表列出了需要注意的单个电脑或报告为 “清理”的电脑。

设备限制的新隐私设置

现在有两个新的隐私设置可用于设备：

• 发布用户活动：设置 “阻止”时，此设置将阻止任务切换器中最近使用的资源的共享体验和发现。
• 仅限本地活动：设置 “阻止”时，此设置仅基于本地活动阻止共享体验和发现任务切换器中最近使用的资源。

Microsoft Edge 浏览器的新设置

现在，Microsoft Edge 浏览器版本为 45 及更早版本的设备提供了两个新设置：收藏夹文件的路径和收藏夹的更改。

应用管理

应用程序的协议异常

现在可以为Intune移动应用程序管理 (MAM) 数据传输策略创建例外，以打开特定的非托管应用程序。 此类应用程序必须受到 IT 的信任。 除了创建的例外情况外，数据传输仍仅限于Intune管理的应用程序，前提是你的数据传输策略仅设置为托管应用。 可以使用 (iOS) 协议或包 (Android) 来创建限制。

例如，可以将 Webex 包作为例外添加到 MAM 数据传输策略。 此异常允许托管 Outlook 电子邮件中的 Webex 链接直接在 Webex 应用程序中打开。 在其他非托管应用程序中，数据传输仍将受到限制。 有关详细信息，请参阅 应用的数据传输策略例外。

Windows 信息保护 (WIP) Windows 搜索结果中的加密数据

Windows 信息保护 (WIP) 策略中的设置现在允许你控制是否在 Windows 搜索结果中包含 WIP 加密的数据。 通过选择“允许 Windows 搜索索引器”在 Windows 信息保护策略的“高级设置”中搜索加密项，设置此应用保护策略选项。 必须将应用保护策略设置为Windows 10平台，并且必须将应用策略注册状态设置为“使用注册”。 有关详细信息，请参阅允许 Windows 搜索索引器搜索加密项目。

配置自我更新的移动 MSI 应用

可以将已知的自更新移动 MSI 应用配置为忽略版本检查进程。 此功能对于避免进入争用状态非常有用。 例如，当应用开发人员自动更新应用时，Intune可能会发生这种类型的争用情况。 两者都可能尝试在 Windows 客户端上强制实施应用版本，这可能会造成冲突。 对于这些自动更新的 MSI 应用，可以在“应用信息”边栏选项卡中配置“忽略应用版本”设置。 当此设置切换到“是”时，Microsoft Intune将忽略 Windows 客户端上安装的应用版本。

Intune 中支持的相关应用许可证集

Azure 门户中的Intune现在支持将相关应用许可证集作为 UI 中的单个应用项。 此外，从 适用于企业的 Microsoft Store 同步的任何脱机许可应用都将合并到单个应用条目中，并且单个包中的任何部署详细信息都将迁移到单个条目。 若要查看Azure 门户中的相关应用许可证集，请从“客户端应用”边栏选项卡中选择“应用许可证”。

设备配置

用于自动加密的 Windows 信息保护 (WIP) 文件扩展名

Windows 信息保护 (WIP) 策略中的设置现在允许你指定从服务器消息块复制时自动加密哪些文件扩展名， (SMB) 共享在公司边界内，如 WIP 策略中定义。

配置 Surface Hub 的资源帐户设置

现在可以远程配置 Surface Hub 的资源帐户设置。

Surface Hub 使用资源帐户对 Skype/Exchange 进行身份验证，以便可以加入会议。 你需要创建一个唯一的资源帐户，以便 Surface Hub 可以在会议中显示为会议室。 例如，会议室 B41/6233 等资源帐户。

注意

• 如果将字段留空，将覆盖设备上以前配置的属性。

• 资源帐户属性可以在 Surface Hub 上动态更改。 例如，如果启用了密码轮换。 因此，Azure 控制台中的值可能需要一些时间来反映设备上的现实情况。

  若要了解 Surface Hub 上当前配置的内容，可以将资源帐户信息包含在硬件清单中， (硬件清单中已有 7 天的间隔) 或作为只读属性。 若要在远程操作发生后提高准确性，可以在运行操作以更新 Surface Hub 上的帐户/参数后立即获取参数的状态。

攻击面减少

设置名称	设置选项	说明
从电子邮件执行受密码保护的可执行内容	阻止、审核、未配置	阻止运行通过电子邮件下载的受密码保护的可执行文件。
高级勒索软件防护	已启用、审核、未配置	使用积极的勒索软件防护。
标记从 Windows 本地安全机构子系统窃取凭据	已启用、审核、未配置	标记从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据。
从 PSExec 和 WMI 命令创建进程	阻止、审核、未配置	阻止源自 PSExec 和 WMI 命令的进程创建。
从 USB 运行的不受信任的和未签名的进程	阻止、审核、未配置	阻止从 USB 运行的不受信任和未签名的进程。
不符合流行率、年龄或受信任列表条件的可执行文件	阻止、审核、未配置	阻止运行可执行文件，除非它们符合流行性、年龄或受信任的列表条件。

文件夹限制访问

设置名称	设置选项	说明
文件夹保护 (已) 实现	未配置、启用、仅审核 (已实现) New 阻止磁盘修改、审核磁盘修改

保护文件和文件夹免受不友好的应用进行未经授权的更改。

启用：防止不受信任的应用修改或删除受保护文件夹中的文件以及写入磁盘扇区。

仅阻止磁盘修改：
阻止不受信任的应用写入磁盘扇区。 不受信任的应用仍然可以修改或删除受保护文件夹中的文件。|

为Windows 10及更高版本的符合性策略添加了系统安全性设置

现已提供Windows 10符合性设置的新增功能，包括要求防火墙和Windows Defender防病毒。

Intune 应用

支持从适用于企业的 Microsoft Store脱机应用

从适用于企业的 Microsoft Store购买的脱机应用现在已同步到Azure 门户。 可以将这些应用部署到设备组或用户组。 脱机应用由 Intune 安装，而不是由应用商店安装。

防止最终用户在工作配置文件中手动添加或删除帐户

将 Gmail 应用部署到 Android for Work 配置文件时，现在可以使用 Android for Work Device 限制配置文件中的 “添加和删除帐户 ”设置，阻止最终用户在工作配置文件中手动添加或删除帐户。

2018 年 1 月

设备注册

有关过期令牌和即将过期的令牌的警报

概述页现在显示过期令牌和即将过期的令牌的警报。 为单个令牌选择警报时，将转到令牌的详细信息页。 如果选择具有多个令牌的警报，则会转到具有其状态的所有令牌的列表。 管理员应在到期日期之前续订其令牌。

设备管理

macOS 设备的远程“Erase”命令支持

管理员可以为 macOS 设备远程发出 Erase 命令。

重要

erase 命令不能反转，应谨慎使用。

erase 命令从设备中删除所有数据，包括操作系统。 它还会将设备从Intune管理中删除。 不会向用户发出警告，发出命令后会立即进行擦除。

必须配置 6 位数的恢复 PIN。 此 PIN 可用于解锁擦除的设备，此时将开始重新安装操作系统。 开始擦除后，PIN 会显示在Intune设备概述边栏选项卡上的状态栏中。 只要擦除正在进行，PIN 就会一直保留。 擦除完成后，设备将从Intune管理中完全消失。 请务必记录恢复 PIN，以便正在还原设备的任何人都可以使用它。

撤销 iOS 批量购买计划令牌的许可证

可以吊销给定 VPP 令牌的所有 iOS 批量购买计划的许可证 (VPP) 应用。

应用管理

撤销 iOS Volume-Purchase 计划应用

对于具有一个或多个 iOS Volume-Purchase 计划 (VPP) 应用的给定设备，可以吊销设备的关联基于设备的应用许可证。 撤销应用许可证不会从设备卸载相关的 VPP 应用。 若要卸载 VPP 应用，必须将分配操作更改为 “卸载”。 有关详细信息，请参阅如何使用 Microsoft Intune 管理通过批量购买计划购买的 iOS 应用。

使用内置应用类型将 Microsoft 365 移动应用分配到 iOS 和 Android 设备

借助 内置 应用类型，可以更轻松地创建 Microsoft 365 应用并将其分配给你管理的 iOS 和 Android 设备。 这些应用包括 Microsoft 365 应用，例如 Word、Excel、PowerPoint 和 OneDrive。 可以将特定应用分配给应用类型并编辑应用信息配置。

基于组包括和排除应用分配

在应用分配期间和选择分配类型后，你可以选择要包括的组和要排除的组。

设备配置

可以通过包括和排除分配将应用程序配置策略分配给组

可以使用包含和排除分配的组合，将应用程序配置策略分配给一组用户和设备。 可以将分配选择为自定义选择组或虚拟组。 虚拟组可以包括 “所有用户”、“ 所有设备”或 “所有用户 + 所有设备”。

支持Windows 10版本升级策略

可以创建Windows 10版本升级策略，将Windows 10设备升级到 Windows 10 教育版、Windows 10 教育版 N、Windows 10 Professional、Windows 10 Professional N Windows 10专业教育和Windows 10职业教育 N.

有关Windows 10版本升级的详细信息，请参阅如何配置Windows 10版本升级。

Intune的条件访问策略只能从Azure 门户

从此版本开始，必须在Microsoft Entra ID条件访问Azure 门户>中配置和管理条件访问策略。 为方便起见，还可以从Azure 门户中的Intune访问此边栏选项卡，>Intune条件访问。

汇报合规性电子邮件

当发送电子邮件来报告不符合要求的设备时，将包含有关不符合设备的详细信息。

Intune 应用

Android 设备的“解析”操作的新功能

适用于 Android 的 公司门户 应用正在扩展更新设备设置的“解决”操作，以解决设备加密问题。

公司门户 应用中可用于Windows 10的远程锁定

最终用户现在可以从 公司门户 应用远程锁定其设备，以便Windows 10。 不会为他们正在使用的本地设备显示此功能。

更轻松地解决适用于 Windows 10 的 公司门户 应用的合规性问题

使用 Windows 设备的最终用户可以在 公司门户 应用中点击不符合原因。 如果可能，此功能会将他们直接带到设置应用中的正确位置，以解决问题。

2017

2017 年 12 月

新的自动重新部署设置

自动 重新部署 设置允许具有管理权限的用户在设备锁屏界面上使用 Ctrl + Win + R 删除所有用户数据和设置。 设备会自动重新配置并重新注册到管理中。 可以在“设备限制>常规>自动重新部署”下>找到此设置Windows 10。 有关详细信息，请参阅Intune Windows 10的设备限制设置。

支持 Windows 10 版本升级策略中的其他源版本

现在可以使用 Windows 10 版本升级策略从其他Windows 10版本 (Windows 10 专业版、Windows 10 专业版教育版、Windows 10云等 ) 升级。 在此版本之前，受支持的版本升级路径更加有限。 有关详细信息，请参阅如何配置Windows 10版本升级。

新的 Windows Defender 安全中心 (WDSC) 设备配置文件设置

Intune在名为 Windows Defender 安全中心的终结点保护下添加了设备配置文件设置的新部分。 IT 管理员可以配置安全中心应用最终用户可以访问Windows Defender支柱。 如果 IT 管理员隐藏Windows Defender安全中心应用中的支柱，则与隐藏支柱相关的所有通知不会显示在用户的设备上。

管理员可以使用这些支柱来隐藏Windows Defender安全中心设备配置文件设置：

• 病毒和威胁防护
• 设备性能和运行状况
• 防火墙和网络保护
• 应用和浏览器控件
• 系列选项

IT 管理员还可以自定义用户接收的通知。 例如，可以配置用户是接收 WDSC 中可见支柱生成的所有通知，还是仅接收关键通知。 非关键通知包括Windows Defender防病毒活动的定期摘要，以及扫描完成后的通知。 所有其他通知都被视为关键通知。 此外，还可以自定义通知内容本身，例如，可以提供 IT 联系人信息以嵌入在用户设备上显示的通知中。

对 SCEP 和 PFX 证书处理的多个连接器支持

使用本地 NDES 连接器向设备传递证书的客户现在可以在单个租户中配置多个连接器。

此新功能支持以下方案：

• 高可用性

每个 NDES 连接器从Intune拉取证书请求。 如果一个 NDES 连接器脱机，另一个连接器可以继续处理请求。

客户使用者名称可以使用AAD_DEVICE_ID变量

在 Intune 中创建 SCEP 证书配置文件时，现在可以在生成自定义使用者名称时使用 AAD_DEVICE_ID 变量。 使用此 SCEP 配置文件请求证书时，变量将替换为发出证书请求的设备Microsoft Entra设备 ID。

使用 Intune 的设备符合性引擎管理 Jamf 注册的 macOS 设备

现在，可以使用 Jamf 将 macOS 设备状态信息发送到Intune，然后评估其是否符合 Intune 控制台中定义的策略。 根据设备符合性状态和其他条件 (（例如位置、用户风险等 ) ），条件访问将强制 macOS 设备访问与Microsoft Entra ID（包括 Microsoft 365）连接的云和本地应用程序的合规性。 详细了解如何 为 Jamf 托管的设备设置 Jamf 集成 和 强制实施合规性。

新建 iOS 设备操作

现在可以关闭 iOS 10.3 受监督设备。 此操作会立即关闭设备，而不会向最终用户发出警告。 在“设备”工作负载中选择设备时，可以在设备属性中找到“关机 (监督) 操作。

禁止更改 Samsung Knox 设备的日期/时间

我们添加了一项新功能，可用于阻止 Samsung Knox 设备上的日期和时间更改。 可以在 “设备>配置>设备限制 (Android) >常规”中找到此功能。

支持的 Surface Hub 资源帐户

添加了一个新的设备操作，以便管理员可以定义和更新与 Surface Hub 关联的资源帐户。

Surface Hub 使用资源帐户通过 Skype/Exchange 进行身份验证，以便可以加入会议。 可以创建唯一的资源帐户，以便 Surface Hub 在会议中显示为会议室。 例如，资源帐户可能显示为 会议室 B41/6233。 通常需要为会议室位置以及需要更改其他资源帐户参数时配置 Surface Hub 的资源帐户 (称为设备帐户) 。

当管理员想要更新设备上的资源帐户时，他们必须提供与设备关联的当前 Active Directory/Microsoft Entra凭据。 如果设备启用了密码轮换，管理员必须转到Microsoft Entra ID才能查找密码。

注意

所有字段都会在捆绑包中发送，并覆盖以前配置的所有字段。 空字段也会覆盖现有字段。

下面是管理员可以配置的设置：

• 资源帐户

  • Active Directory 用户

    domainname\username 或用户主体名称 (UPN) ： user@domainname.com

  • Password

• 必须使用指定的资源帐户设置可选资源帐户参数 ()

  • 密码轮换期

    出于安全原因，确保 Surface Hub 每周自动更新帐户密码。 若要在启用设置后配置任何参数，Microsoft Entra ID 中的帐户必须先重置密码。

  • SIP (会话初始协议) 地址

    仅在自动发现失败时使用。

  • "电子邮件"

    Email设备/资源帐户的地址。

  • Exchange 服务器

    仅当自动发现失败时才需要。

  • 日历同步

    指定是否启用日历同步和其他 Exchange 服务器服务。 例如：会议同步。

在 macOS 设备上安装 Office 应用

你现在可以在 macOS 设备上安装 Office 应用。 使用此新应用类型，可以安装 Word、Excel、PowerPoint、Outlook 和 OneNote。 这些应用还附带 Microsoft AutoUpdate (MAU) ，以帮助使应用保持安全和最新。

删除 iOS 批量购买计划令牌

可以使用控制台删除 iOS 批量购买计划 (VPP) 令牌。 如果 VPP 令牌的实例重复，则可能需要此功能。

名为“当前用户”的新实体集合仅限于当前处于活动状态的用户数据

Users 实体集合包含企业中具有分配许可证的所有Microsoft Entra用户。 例如，用户可能会添加到 Intune然后在上个月删除。 虽然报表时此用户不存在，但数据中存在用户和状态。 可以创建一个报表，用于显示数据中用户历史存在的持续时间。

相比之下，新的 Current User 实体集合仅包含尚未删除的用户。 Current User 实体集合仅包含当前处于活动状态的用户。 有关 当前用户 实体集合的信息，请参阅 当前用户实体的参考。

更新了图形 API

在此版本中，我们更新了一些处于 beta 版Intune的 Graph API。 有关详细信息，请查看每月图形 API更改日志。

Intune支持 Windows 信息保护 (WIP) 拒绝的应用

可以在Intune中指定拒绝的应用。 如果应用被拒绝，则会阻止该应用访问公司信息，这实际上与允许的应用列表相反。 有关详细信息，请参阅 Windows 信息保护的建议阻止列表。

2017 年 11 月

排查注册问题

“ 故障排除 ”工作区现在显示用户注册问题。 有关问题的详细信息和建议的修正步骤可帮助管理员和技术支持操作员解决问题。 某些注册问题不会捕获，某些错误可能没有修正建议。

组分配的注册限制

作为Intune管理员，你现在可以为用户组创建自定义设备类型和设备限制注册限制。

Intune Azure 门户允许创建每个限制类型的最多 25 个实例，然后可以将其分配给用户组。 组分配的限制将替代默认限制。

限制类型的所有实例都在严格有序的列表中进行维护。 此顺序定义解决冲突的优先级值。 受多个限制实例影响的用户仅受具有最高优先级值的实例的限制。 可以通过将给定实例拖动到列表中的其他位置来更改该实例的优先级。

将 Android for Work 设置从 Android For Work 注册菜单迁移到“注册限制”菜单后，将发布此功能。 由于此迁移可能需要几天时间，因此可能会在 11 月版本的其他部分升级帐户，然后才能看到组分配已针对注册限制启用。

支持多个网络设备注册服务 (NDES) 连接器

NDES 允许在没有域凭据的情况下运行的移动设备基于简单证书注册协议 (SCEP) 获取证书。 此更新支持多个 NDES 连接器。

独立于 Android 设备管理 Android for Work 设备

Intune支持独立于 Android 平台管理 Android for Work 设备的注册。 这些设置在 “设备注册>注册限制>”“设备类型限制”下管理。 (它们以前位于 设备注册>Android for Work Enrollment>Android for Work Enrollment Settings.)

默认情况下，Android for Work 设备设置与 Android 设备的设置相同。 但是，在更改 Android for Work 设置之后，这些设置将不再存在。

如果阻止个人 Android for Work 注册，则只有企业 Android 设备可以注册为 Android for Work。

使用新设置时，请考虑以下几点：

如果以前从未加入过 Android for Work 注册

新的 Android for Work 平台在默认设备类型限制中被阻止。 加入该功能后，可以允许设备向 Android for Work 注册。 为此，请更改默认值或创建新的设备类型限制以取代默认设备类型限制。

如果已加入 Android for Work 注册

如果之前已加入，则情况取决于你选择的设置：

Setting	默认设备类型限制中的 Android for Work 状态	注释
以 Android 身份管理所有设备	Blocked	所有 Android 设备都必须在没有 Android for Work 的情况下注册。
将受支持的设备作为 Android for Work 进行管理	Allowed	支持 Android for Work 的所有 Android 设备都必须向 Android for Work 注册。
仅作为 Android for Work 管理这些组中用户支持的设备	Blocked	已创建单独的设备类型限制策略以替代默认值。 此策略定义之前选择的组，以允许 Android for Work 注册。 将继续允许所选组中的用户注册其 Android for Work 设备。 所有其他用户都受到限制，无法注册 Android for Work。

在所有情况下，都保留预期的法规。 无需执行任何操作即可在你的环境中维护 Android for Work 的全球或每组限额。

Android 上的 Google Play 保护支持

随着 Android Oreo 的发布，Google 引入了一套名为 Google Play Protect 的安全功能，允许用户和组织运行安全应用和保护 Android 映像。 Intune现在支持 Google Play 保护功能，包括 SafetyNet 远程证明。 管理员可以设置合规性策略要求，要求配置 Google Play 保护并正常运行。

SafetyNet 设备证明设置要求设备与 Google 服务连接，以验证设备是否正常运行且未受到威胁。 管理员还可以设置 Android for Work 的配置文件设置，要求 Google Play 服务验证已安装的应用。 如果设备不符合 Google Play 保护要求，条件访问可能会阻止用户访问公司资源。

• 了解如何 创建设备合规性策略以启用 Google Play 保护。

允许从托管应用使用的文本协议

Intune应用 SDK 管理的应用可以发送短信。

应用安装报告已更新为包含“安装挂起”状态

“应用安装状态报告”现在包含“用户和设备”的“挂起安装”计数，该报表可通过客户端应用工作负载中的“应用”列表访问每个应用。

适用于移动威胁检测的 iOS 11 应用清单 API

Intune从个人和公司拥有的设备收集应用清单信息，并使其可供移动威胁检测 (MTD) 提供商（如 Lookout for Work）提取。 你可以从 iOS 11+ 设备的用户那里收集应用清单。

应用清单
来自公司拥有的 iOS 11+ 和个人拥有设备的清单将发送给 MTD 服务提供商。 应用清单中的数据包括：

• 应用程序 ID
• 应用版本
• 应用内部版本号
• 应用名称
• 应用程序包大小
• 应用动态大小
• 应用是否已验证
• 应用是否托管

将混合 MDM 用户和设备迁移到Intune独立

新流程和工具现在可用于在Azure 门户中将用户及其设备从混合 MDM 移动到Intune，使你能够执行以下任务：

• 将策略和配置文件从 Configuration Manager 控制台复制到 Azure 门户 中的Intune
• 将部分用户移动到Azure 门户中的Intune，同时将其余用户保留在混合 MDM 中
• 将设备迁移到Azure 门户中的Intune，而无需重新注册它们

本地 Exchange 连接器高可用性支持

Exchange 连接器使用指定的客户端访问服务器 (CAS) 创建与 Exchange 的连接后，连接器现在能够发现其他 CAS。 如果主 CAS 变得不可用，连接器将故障转移到另一个 CAS（如果可用），直到主 CAS 变为可用。 有关详细信息，请参阅 本地 Exchange 连接器高可用性支持。

远程重启 iOS 设备 (仅受监督)

现在，可以使用设备操作触发受监督的 iOS 10.3+ 设备重启。 有关使用设备重启操作的详细信息，请参阅使用Intune远程重启设备。

注意

此命令需要受监督的设备和 设备锁 访问权限。 设备会立即重启。 密码锁定的 iOS 设备在重启后不会重新加入 Wi-Fi 网络;重启后，它们可能无法与服务器通信。

iOS 的单一登录支持

可以为 iOS 用户使用单一登录。 编码为在单一登录有效负载中查找用户凭据的 iOS 应用可使用此有效负载配置更新。 还可以使用 UPN 和 Intune设备 ID 来配置主体名称和领域。 有关详细信息，请参阅配置 iOS 设备单一登录Intune。

为个人设备添加“查找我的 iPhone”

现在可以查看 iOS 设备是否已打开激活锁。 此功能以前可以在经典门户的 Intune中找到。

使用 Intune 远程锁定托管 macOS 设备

可以锁定丢失的 macOS 设备，并设置 6 位数的恢复 PIN。 锁定后， “设备概述 ”边栏选项卡会显示 PIN，直到发送另一个设备操作。

有关详细信息，请参阅使用Intune远程锁定托管设备。

支持新的 SCEP 配置文件详细信息

管理员现在可以在 Windows、iOS、macOS 和 Android 平台上创建 SCEP 配置文件时设置更多设置。 管理员可以设置 IMEI、序列号或公用名，包括主题名称格式的电子邮件。

恢复出厂设置期间保留数据

将Windows 10版本 1709 及更高版本重置为出厂设置时，可以使用新功能。 管理员可以指定是否通过恢复出厂设置在设备上保留设备注册和其他预配数据。

以下数据通过恢复出厂设置保留：

• 与设备关联的用户帐户
• 计算机状态 (域加入，Microsoft Entra已加入)
• MDM 注册
• OEM 安装的应用 (应用商店和 Win32 应用)
• 用户个人资料
• 用户配置文件之外的用户数据
• 用户自动登录

不会保留以下数据：

• 用户文件
• 用户安装的应用 (应用商店和 Win32 应用)
• 非默认设备设置

窗口 10 显示更新通道分配

进行故障排除时，对于正在查看的用户，可以看到任何Windows 10更新通道分配。

终结点报告频率设置的Windows Defender

Defender for Endpoint 服务允许管理员管理托管设备的报告频率。 借助新的 “加快遥测报告频率 ”选项，Defender for Endpoint 可以更频繁地收集数据并评估风险。 用于报告的默认值可优化速度和性能。 提高报告频率对于高风险设备很有价值。 可以在设备配置中的终结点配置文件Windows Defender中找到此设置。

审核更新

Intune审核提供与Intune相关的更改操作记录。 所有创建、更新、删除和远程任务操作都会捕获并保留一年。 Azure 门户提供了每个工作负荷中过去 30 天的审核数据的视图，并且可筛选。 相应的图形 API允许检索去年存储的审核数据。

审核位于 MONITOR 组下。 每个工作负荷都有一个 “审核日志 ”菜单项。

公司门户适用于 macOS 的应用可用

macOS 上的Intune 公司门户应用具有更新的体验。 它显示用户为其注册的所有设备所需的所有信息和符合性通知。 并且，将Intune 公司门户部署到设备后，适用于 macOS 的 Microsoft AutoUpdate 将提供更新。 可以通过从 macOS 设备登录到 Intune 公司门户 网站来下载适用于 macOS 的新Intune 公司门户。

Microsoft Planner现在是移动应用管理的一部分， (MAM) 已批准的应用列表

适用于 iOS 和 Android 的 Microsoft Planner 应用现在是已批准的移动应用管理的一部分， (MAM) 。 可以通过所有租户Azure 门户中的“Intune应用保护”边栏选项卡配置应用。

• 详细了解 已批准的应用的 MAM 列表。

Per-App iOS 设备上的 VPN 要求更新频率

管理员现在可以删除 iOS 设备上应用的 Per-App VPN 要求;受影响的设备将在其下一个Intune 检查之后进行，这通常在 15 分钟内发生。

支持 Exchange 连接器的 System Center Operations Manager 管理包

适用于 Exchange 连接器的 System Center Operations Manager 管理包现在可用于帮助你分析 Exchange 连接器日志。 当需要排查问题时，此功能提供了监视服务的不同方法。

Windows 10设备的共同管理

共同管理是一种解决方案，可提供从传统管理到新式管理的桥梁，并提供使用分阶段方法进行过渡的路径。 共同管理是一种解决方案，其中Windows 10设备由Configuration Manager和Microsoft Intune同时管理。 设备已加入 Active Directory (AD) 和Microsoft Entra ID。 如果不能一次移动所有项，此配置会提供一个随着时间的推移以适合组织的速度进行现代化改造的路径。

按 OS 版本限制 Windows 注册

作为Intune管理员，你现在可以为设备注册指定Windows 10的最低版本和最高版本。 可以在“ 平台配置” 边栏选项卡中设置这些限制。

Intune将继续支持注册Windows 8.1电脑和手机。 但是，只有Windows 10版本可以设置最小和最大限制。 若要允许注册 8.1 设备，请将最小限制留空。

Windows Autopilot 未分配设备的警报

Microsoft Intune设备注册>概述页上，Windows Autopilot 未分配设备>的新警报可用。 此警报显示 Autopilot 程序中未分配 Autopilot 部署配置文件的设备数。 使用警报中的信息创建配置文件并将其分配给未分配的设备。 选择警报时，会看到 Windows Autopilot 设备的完整列表及其详细信息。 有关详细信息，请参阅 使用 Windows Autopilot 部署计划注册 Windows 设备。

“设备”列表的“刷新”按钮

由于设备列表不会自动刷新，因此可以使用新的“刷新”按钮更新显示在列表中的设备。

支持 Symantec Cloud Certification Authority (CA)

Intune现在支持 Symantec Cloud CA，它允许Intune证书连接器从 Symantec Cloud CA 向Intune托管设备颁发 PKCS 证书。 如果已将 Intune 证书连接器与 Microsoft Certification 颁发机构 (CA) 配合使用，则可以使用现有的 Intune 证书连接器设置来添加 Symantec CA 支持。

添加到设备清单的新项

已注册 设备获取的清单现在可以使用以下新项：

• Wi-Fi MAC 地址
• 总存储空间
• 总可用空间
• MEID
• 订户运营商

在设备上通过最低 Android 安全修补程序设置应用访问权限

管理员能够定义必须在设备上安装的最低 Android 安全修补程序，以便访问托管帐户下的托管应用程序。

注意

此功能仅限制 Google 在 Android 8.0+ 设备上发布的安全修补程序。

应用条件启动支持

IT 管理员现在可以通过 Azure 管理门户设置要求，以在应用程序启动时通过移动应用管理 (MAM) 强制实施密码而不是数字 PIN。 如果已配置，则用户需要在系统提示时设置并使用密码，然后才能访问启用 MAM 的应用程序。 密码定义为至少具有一个特殊字符或大写/小写字母的数字 PIN。 此版本的 Intune 仅在 iOS 上启用此功能。 Intune支持密码的方式与数字 PIN 类似，它设置最小长度，允许重复字符和序列。 此功能要求 (WXP、Outlook、Managed Browser Viva Engage) 的应用程序将 Intune App SDK 与此功能的代码集成，以便在目标应用程序中强制实施密码设置。

设备安装状态报表中业务线的应用版本号

在此版本中，设备安装状态报告显示适用于 iOS 和 Android 的业务线应用的应用版本号。 可以使用此信息对应用进行故障排除，或查找运行过时应用版本的设备。

管理员现在可以使用设备配置文件在设备上配置防火墙设置

管理员可以为设备打开防火墙，还可以为域、专用和公共网络配置各种协议。 可以在“Endpoint Protection”配置文件中找到这些防火墙设置。

Windows Defender 应用程序防护有助于保护设备免受组织定义的不受信任的网站

管理员可以使用 Windows 信息保护工作流或设备配置下的新“网络边界”配置文件，将站点定义为“受信任”或“公司”。 如果使用 Microsoft Edge 查看它们，则 64 位Windows 10设备受信任网络边界上未列出的任何站点将在 Hyper-V 虚拟计算机的浏览器中打开。

应用程序防护可以在设备配置文件的“Endpoint Protection”配置文件中找到。 从那里，管理员可以配置虚拟化浏览器与主机、不受信任的站点和受信任站点之间的交互，以及存储虚拟化浏览器中生成的数据。 若要在设备上使用应用程序防护，必须先配置网络边界。 为设备仅定义一个网络边界非常重要。

Windows 10 企业版 上的Windows Defender应用程序控制提供仅信任授权应用的模式

由于每天创建数千个新的恶意文件，使用基于防病毒签名的检测来对抗恶意软件可能不再提供足够的防御来抵御新的攻击。 在 Windows 10 企业版 上使用Windows Defender应用程序控制，可以将设备配置从信任应用的模式（除非受防病毒或其他安全解决方案阻止）更改为操作系统仅信任企业授权的应用的模式。 将信任分配给Windows Defender应用程序控制中的应用。

使用 Intune，可以在“仅审核”模式或强制模式下配置应用程序控制策略。 在“仅审核”模式下运行时，不会阻止应用。 “仅审核”模式记录本地客户端日志中的所有事件。 还可以配置是否仅允许 Windows 组件和 Microsoft Store 应用运行，或者配置是否允许运行智能安全图定义的具有良好信誉的其他应用。

Window Defender 攻击防护是一组新的入侵防护功能，用于Windows 10

Window Defender 攻击防护包括自定义规则，可降低应用程序的可利用性、防止宏和脚本威胁、自动阻止与低信誉 IP 地址的网络连接，以及保护数据免受勒索软件和未知威胁的影响。 Windows Defender Exploit Guard 由以下组件组成：

• 攻击面减少 提供了允许你防止宏、脚本和电子邮件威胁的规则。
• 受控文件夹访问权限 会自动阻止对受保护文件夹的内容的访问。
• 网络筛选器 阻止从任何应用到低代表 IP/域的出站连接
• Exploit Protection 提供可用于保护应用程序免受攻击的内存、控制流和策略限制。

在 Windows 10 设备的 Intune 中管理 PowerShell 脚本

Intune管理扩展允许在 Intune 中上传 PowerShell 脚本，以在Windows 10设备上运行。 该扩展补充了Windows 10移动设备管理 (MDM) 功能，使你能够更轻松地迁移到新式管理。 有关详细信息，请参阅在 Windows 10 设备的 Intune 中管理 PowerShell 脚本。

Windows 10的新设备限制设置

• 仅限移动设备 (消息) - 禁用测试或彩信
• 密码 - 用于启用 FIPS 并使用Windows Hello设备辅助设备进行身份验证的设置
• 显示 - 用于打开或关闭旧版应用的 GDI 缩放的设置

Windows 10展台模式设备限制

可以将Windows 10设备用户限制为展台模式，从而将用户限制为一组预定义应用。 为此，请创建Windows 10设备限制配置文件并设置展台设置。

展台模式支持两种模式： 单个应用 (允许用户仅运行一个应用) 或 多个应用 ， (允许访问一组应用) 。 定义用户帐户和设备名称，以确定) 支持的应用。 当用户登录时，他们仅限于定义的应用。 若要了解详细信息，请参阅 AssignedAccess CSP。

展台模式需要：

• Intune必须是 MDM 颁发机构。
• 应用必须已安装在目标设备上。
• 必须 正确预配设备。

用于创建网络边界的新设备配置文件

可以在其他设备配置文件中找到名为 “网络边界 ”的新设备配置文件。 使用此配置文件可定义要被视为企业和受信任的联机资源。 必须先为设备定义网络边界，然后才能在设备上使用 Windows Defender 应用程序防护 和 Windows 信息保护 等功能。 请务必为每个设备仅定义一个网络边界。

可以定义要被视为受信任的企业云资源、IP 地址范围和内部代理服务器。 定义后，网络边界可由其他功能（例如Windows Defender 应用程序防护和 Windows 信息保护）使用。

Windows Defender防病毒的两个新设置

文件阻止级别

Setting	详细信息
未配置	“未配置”使用默认Windows Defender防病毒阻止级别，并提供强检测，而不会增加检测合法文件的风险。
高	“高 ”应用强检测级别。
高 +	High + 为“高级”提供了可能影响客户端性能的更多保护措施。
零容忍	零容忍会 阻止所有未知的可执行文件。

虽然不太可能，但设置为 “高 ”可能会导致检测到某些合法文件。 建议将“文件阻止级别”设置为默认值“ 未配置”。

云文件扫描的超时扩展

Setting	详情
秒数 (0-50)	指定Windows Defender防病毒在等待来自云的结果时阻止文件的最长时间。 默认为 10 秒：此处指定的任何其他时间 (最多 50 秒，) 添加到这 10 秒。 在大多数情况下，扫描所花费的时间比最大值少得多。 延长时间允许云彻底调查可疑文件。 建议启用此设置并指定至少 20 秒。

为Windows 10设备添加了 Citrix VPN

可以为其Windows 10设备配置 Citrix VPN。 在为 Windows 10 及更高版本配置 VPN 时，可以在“基本 VPN”边栏选项卡中的“选择连接类型”列表中选择 Citrix VPN。

注意

存在适用于 iOS 和 Android 的 Citrix 配置。

Wi-Fi 连接支持 iOS 上的预共享密钥

客户可以将 Wi-Fi 配置文件配置为将预共享密钥 (PSK) 用于 iOS 设备上的 WPA/WPA2 个人连接。 当设备注册到Intune时，这些配置文件将推送到用户的设备。

将配置文件推送到设备后，下一步取决于配置文件配置。 如果设置为自动连接，则它会在下次需要网络时进行连接。 手动连接配置文件时，用户必须手动激活连接。

访问 iOS 的托管应用日志

已安装托管浏览器的最终用户现在可以查看所有 Microsoft 已发布应用的管理状态，并发送日志以排查其托管 iOS 应用的问题。

了解如何在 iOS 设备上的托管浏览器中启用故障排除模式，请参阅 如何使用 iOS 上的托管浏览器访问托管应用日志。

在适用于 iOS 的公司门户（版本 2.9.0）中对设备设置工作流的改进

在适用于 iOS 的 公司门户 应用中，设备设置工作流已得到改进。 语言更贴近用户，并尽可能地将屏幕合并。 在整个设置文本中使用公司名称，该语言更特定于你的公司。 可以在 应用 UI 页的新增功能中查看此更新的工作流。

用户实体包含Data Warehouse数据模型中的最新用户数据

Intune Data Warehouse数据模型的第一个版本仅包含最新的历史Intune数据。 报表创建者无法捕获用户的当前状态。 在此更新中，将使用最新的用户数据填充 User 实体 。

2017 年 10 月

iOS 和 Android 业务线应用版本号可见

Intune中的应用现在显示 iOS 和 Android 业务线应用的版本号。 该数字显示在应用列表和应用概述边栏选项卡中的Azure 门户中。 最终用户可以在 公司门户 应用和 Web 门户中查看应用编号。

完整版本号 完整版本号标识应用的特定版本。 该数字显示为 版本 (内部 版本) 。 例如，2.2 (2.2.17560800)

完整版本号包含两个组件：

• 版本
  版本号是应用的可读版本号。 最终用户使用此信息来标识应用的不同版本。

• 内部版本号
  内部版本号是一个内部编号，可用于应用检测和以编程方式管理应用。 内部版本号是指引用代码中更改的应用的迭代。

在 Microsoft Intune 应用 SDK 入门中详细了解版本号和开发业务线应用。

设备和应用管理集成

现在，Intune的移动设备管理 (MDM) 和移动应用程序管理 (MAM) 都可以从Azure 门户访问，Intune开始围绕应用程序和设备管理集成 IT 管理员体验。 这些更改旨在简化设备和应用管理体验。

详细了解Intune支持团队博客中宣布的 MDM 和 MAM 更改。

Apple 设备的新注册警报

注册的概述页将为 IT 管理员显示有关 Apple 设备管理的有用警报。 当 Apple MDM 推送证书时，警报将显示在“概述”页上：

• 即将过期或已过期
• 设备注册计划令牌即将过期或已过期时
• 设备注册计划中存在未分配的设备时

无需设备注册即可替换应用配置的支持令牌

对于未注册的设备上的应用，可以将令牌用于应用配置中的动态值。 有关详细信息，请参阅 为没有设备注册的托管应用添加应用配置策略。

更新适用于 Windows 10 的公司门户应用

适用于 Windows 10 的公司门户应用的“设置”页面已更新，以使设置和预期的用户操作在所有设置中更加一致。 其更新也旨在匹配其他 Windows 应用的布局。 可以在 应用 UI 页面的新增功能 中找到之前/之后的图像。

通知最终用户可查看Windows 10设备的设备信息

我们已将“所有权类型”添加到Windows 10公司门户应用的“设备详细信息”屏幕。 此功能允许用户直接从此页面从最终用户文档Intune找到有关隐私的详细信息。他们还能够在“关于”屏幕上找到此信息。

Android 版公司门户应用的反馈提示

适用于 Android 的 公司门户 应用现在请求最终用户反馈。 此反馈将直接发送给 Microsoft，并为最终用户提供在公共 Google Play 商店中查看应用的机会。 反馈不是必需的，并且可以轻松消除，以便用户可以继续使用应用。

帮助用户通过适用于 Android 的 公司门户 应用帮助自己

适用于 Android 的 公司门户 应用为最终用户添加了说明，帮助他们了解并尽可能自行解决新用例。

• 如果最终用户已达到允许添加的最大设备数，则将引导他们Microsoft Entra 管理中心删除设备。
• 最终用户需要遵循的步骤来帮助他们 修复 Samsung Knox 设备上的激活错误 或 关闭省电模式。 如果这两种解决方案都无法解决问题，我们将提供有关如何在适用于 Android 的 公司门户 或 Intune 应用中报告问题的说明。

适用于 Android 设备的新“解决”操作

适用于 Android 的 公司门户 应用在“更新设备设置”页上引入了“解决”操作。 选择此选项会将最终用户直接转到导致其设备不符合的设置。 适用于 Android 的 公司门户 应用目前支持对设备密码、USB 调试和未知源设置执行此操作。

Android 公司门户中的设备设置进度指示器

当用户注册其设备时，适用于 Android 的 公司门户 应用会显示设备设置进度指示器。 该指示器显示新状态，从“正在设置设备...”开始，然后是“正在注册你的设备...”，然后是“完成设备注册...”。

iOS 公司门户上基于证书的身份验证支持

我们在适用于 iOS 的 公司门户 应用中添加了对基于证书的身份验证 (CBA) 的支持。 具有 CBA 的用户输入其用户名，然后点击“使用证书登录”链接。 适用于 Android 和 Windows 的 公司门户 应用已支持 CBA。 可以在登录 公司门户 应用页上了解详细信息。

现在，无需提示注册即可安装具有或不具有注册功能的应用。

现在，无需提示注册即可安装 Android 公司门户 应用上已注册或未注册的公司应用。

Microsoft Intune 中的Windows Autopilot Deployment计划支持

现在可以将 Microsoft Intune 与 Windows Autopilot Deployment 计划配合使用，使用户能够在不涉及 IT 的情况下预配其公司设备。 可以自定义 (OOBE) 的现用体验，并引导用户加入其设备以Microsoft Entra ID并在Intune中注册。 Microsoft Intune和 Windows Autopilot 协同工作，无需部署、维护和管理操作系统映像。 有关详细信息，请参阅 使用 Windows Autopilot 部署计划注册 Windows 设备。

设备注册快速入门

快速入门现已在 设备注册 中提供，并提供用于管理平台和配置注册过程的参考表。 每个项目的简要说明和文档链接以及分步说明提供了有用的文档来简化入门。

设备分类

“设备概述”边栏选项卡的已注册设备>平台图表按平台组织设备，包括 Android、iOS、macOS 和 Windows。 运行其他操作系统的设备分组为“其他”。另一类包括黑莓、诺基亚等公司制造的设备。

若要了解租户中受影响的设备，请选择“ 管理 > 所有设备 ”，然后使用 “筛选” 来限制 OS 字段。

Zimperium - 新的移动威胁防御合作伙伴

可以根据 Zimperium（一种与 Microsoft Intune 集成的移动威胁防御解决方案）进行的风险评估，使用条件访问来控制移动设备对公司资源的访问。

与Intune集成的工作原理

根据从运行 Zimperium 的设备收集的遥测数据评估风险。 可以根据通过Intune设备符合性策略启用的 Zimperium 风险评估配置 EMS 条件访问 (CA) 策略。 然后，使用 CA 策略允许或阻止不合规的设备根据检测到的威胁访问公司资源。

Windows 10设备限制配置文件的新设置

我们将向 Windows Defender SmartScreen 类别中的Windows 10设备限制配置文件添加新设置。

有关Windows 10设备限制配置文件的详细信息，请参阅Windows 10及更高版本的设备限制设置。

对 Windows 和 Windows Mobile 设备的远程支持

Intune现在可以使用单独购买的 TeamViewer 软件，使你能够向运行 Windows 和 Windows Mobile 设备的用户提供远程帮助。

使用Windows Defender扫描设备

现在，可以在托管的 Windows 10 设备上使用 Windows Defender 防病毒运行快速扫描、完全扫描和更新签名。 从设备的“概述”边栏选项卡中，选择要在设备上运行的操作。 在将命令发送到设备之前，系统会提示你确认操作。

快速扫描：快速扫描扫描恶意软件注册启动的位置，例如注册表项和已知的 Windows 启动文件夹。 快速扫描平均需要 5 分钟。 结合 Always-on 实时保护 设置（在文件打开、关闭时以及用户导航到文件夹时扫描文件），快速扫描有助于提供针对系统或内核中的恶意软件的保护。 完成扫描后，用户可以在其设备上看到扫描结果。

完全扫描：在遇到恶意软件威胁的设备上，完全扫描非常有用，以确定是否有任何需要更彻底清理的非活动组件，并且对于运行按需扫描非常有用。 完全扫描可能需要一个小时才能运行。 完成扫描后，用户可以在其设备上看到扫描结果。

更新签名：更新签名命令更新防病毒恶意软件定义和签名Windows Defender。 此功能有助于确保Windows Defender防病毒在检测恶意软件方面有效。 此功能仅适用于Windows 10设备，等待设备 Internet 连接。

“启用/禁用”按钮将从Intune Azure 门户的“Intune证书颁发机构”页中删除

在 Intune 上设置证书连接器时，我们无需执行额外的步骤。 目前，下载证书连接器，然后在 Intune 控制台中启用它。 但是，如果在 Intune 控制台中禁用连接器，连接器将继续颁发证书。

此更改对我有何影响？

从 10 月开始，“启用/禁用”按钮将不再显示在Azure 门户的“证书颁发机构”页上。 连接器功能保持不变。 证书仍部署到在 Intune 中注册的设备。 可以继续下载并安装证书连接器。 若要停止颁发证书，现在请卸载证书连接器，而不是将其禁用。

我需要如何准备来应对此项更改？

如果当前禁用了证书连接器，则应将其卸载。

Windows 10 协同版设备限制配置文件的新设置

在此版本中，我们已向Windows 10 协同版设备限制配置文件添加了许多新设置，以帮助你控制 Surface Hub 设备。

有关此配置文件的详细信息，请参阅Windows 10 协同版设备限制设置。

阻止 Android 设备的用户更改其设备日期和时间

可以使用 Android 自定义设备策略 来阻止 Android 设备用户更改设备的日期和时间。

若要使用此功能，请使用设置 URI ./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange配置 Android 自定义策略。 将值设置为 TRUE，然后将其分配给所需的组。

BitLocker 设备配置

Windows 加密>基础设置包括针对另一个磁盘加密设置的新警告，该设置允许禁用用户设备上可能正在使用的其他磁盘加密的警告提示。 警告提示在设备上设置 BitLocker 之前需要最终用户同意，并阻止 BitLocker 设置，直到最终用户确认。 新设置将禁用最终用户警告。

适用于企业的批量购买计划应用现在将同步到Intune租户

第三方开发人员可以将应用私下分发到授权的批量购买计划 (vPP) iTunes Connect 中指定的企业成员。 VPP for Business 成员可以登录到批量购买计划App Store并购买其应用。

在此版本中，最终用户购买的 VPP for Business 应用现在将开始同步到其Intune租户。

选择 Apple 国家/地区应用商店以同步 VPP 应用

上传 VPP 令牌时，可以 (VPP) 国家/地区存储配置批量购买计划。 Intune 将同步指定 VPP 国家/地区应用商店中所有区域设置对应的 VPP 应用。

注意

目前，Intune仅同步 VPP 国家/地区存储中的 VPP 应用，这些应用与创建Intune租户时所在的Intune区域设置相匹配。

在 Android for Work 中阻止在工作配置文件和个人配置文件之间复制和粘贴

在此版本中，你可以配置 Android for Work 的工作配置文件，以阻止在工作应用和个人应用之间复制和粘贴。 可以在工作配置文件设置中的 Android for Work Platform 的设备限制配置文件中找到此新设置。

Create iOS 应用仅限于特定区域 Apple App Store

可以在创建 Apple App Store托管应用期间指定国家/地区区域设置。

注意

目前，只能创建位于美国国家/地区商店中的 Apple App Store托管应用。

更新 iOS VPP 用户和设备许可的应用

可以将 iOS VPP 令牌配置为通过Intune服务更新为该令牌购买的所有应用。 Intune将检测应用商店中的 VPP 应用更新，并在设备签入时自动将其推送到设备。

有关设置 VPP 令牌和启用自动更新的步骤，请参阅[如何使用 Microsoft Intune 管理通过批量购买计划购买的 iOS 应用] (。/apps/vpp-apps-ios) 。

添加到Intune Data Warehouse数据模型的用户设备关联实体集合

现在，可以使用关联用户和设备实体集合的用户设备关联信息生成报表和数据可视化效果。 可以通过 Power BI 文件 (PBIX) 从Data Warehouse Intune页、通过 OData 终结点或开发自定义客户端来访问数据模型。

查看Windows 10更新通道的策略符合性

可以从“软件更新每个更新圈>部署状态”中查看Windows 10更新通道的策略报告。 策略报告包括已配置的更新通道的部署状态。

列出具有旧版 iOS 的 iOS 设备的新报表

“软件更新”工作区中提供了“过期的 iOS 设备”报表。 在报表中，可以查看受监督的 iOS 设备列表，这些设备是 iOS 更新策略的目标，并且具有可用更新。 对于每个设备，可以查看设备未自动更新的状态。

查看应用保护策略分配以便进行故障排除

在此即将发布的版本中，应用保护策略选项将添加到故障排除边栏选项卡上提供的“分配”下拉列表中。 现在可以选择应用保护策略，查看分配给所选用户的应用保护策略。

对公司门户中的设备设置工作流的改进

我们改进了适用于 Android 的公司门户应用中的设备安装工作流。 语言更贴近你公司的用语习惯，在可能的情况下我们还对屏幕进行了合并。 可以在 应用 UI 中的新增功能页中 查看这些更改。

改进了有关 Android 设备上联系人访问权限请求的指导

适用于 Android 的 公司门户 应用通常需要最终用户接受“联系人”权限。 如果最终用户拒绝此访问权限，他们现在将看到一条应用内通知，提醒他们向其授予条件访问。

适用于 Android 的安全启动修正

使用 Android 设备的最终用户可以在 公司门户 应用中点击不符合的原因。 如果可能，它会将它们直接带到设置应用中的正确位置来解决问题。

在适用于 Android Oreo 的 公司门户 应用上为最终用户推送通知

最终用户会看到更多通知，以指示 Android Oreo 公司门户 应用何时执行后台任务，例如从Intune服务检索策略。 此功能：

• 提高最终用户对公司门户何时在其设备上执行管理任务的透明度。
• 是 Android Oreo 公司门户 应用公司门户 UI 整体优化的一部分

对 Android Oreo 中启用的新 UI 元素有进一步的优化。 最终用户会看到更多通知，这些通知将在公司门户执行后台任务（例如从Intune服务检索策略）时向他们指示。 这增加了最终用户对公司门户何时在设备上执行管理任务的透明度。

具有工作配置文件的适用于 Android 的 公司门户 应用的新行为

使用工作配置文件注册 Android for Work 设备时，工作配置文件中的公司门户应用在设备上执行管理任务。

除非你在个人配置文件中使用启用了 MAM 的应用，否则适用于 Android 的 公司门户 应用不再具有任何用途。 为了改进工作配置文件体验，Intune会在成功注册工作配置文件后自动隐藏个人公司门户应用。

通过浏览 Play Store 中的公司门户并点击“启用”，可以随时在个人个人资料中启用适用于 Android 的 公司门户 应用。

Windows 8.1和Windows Phone 8.1 移动到持续模式的公司门户

从 2017 年 10 月开始，适用于 Windows 8.1 和 Windows Phone 8.1 的 公司门户 应用将迁移到持续模式。 这些平台将继续支持应用和现有方案，例如注册和符合性。 这些应用将继续通过现有发布渠道（如 Microsoft Store）下载。

一旦处于持续模式，这些应用将仅接收关键安全更新。 不会为这些应用发布其他更新或功能。 对于新功能，建议将设备更新为Windows 10或Windows 10 移动版。

阻止不受支持的 Samsung Knox 设备注册

公司门户应用仅尝试注册受支持的 Samsung Knox 设备。 为了避免阻止 MDM 注册的 Knox 激活错误，仅当设备出现在 Samsung 发布的设备列表中时，才会尝试设备注册。 Samsung 设备的型号可以支持 Knox，而其他设备则不支持。 在购买和部署之前，请验证 Knox 与设备经销商的兼容性。 可以在 Android 和 Samsung Knox Standard 策略设置中找到已验证设备的完整列表。

终止对 Android 4.3 及更低版本的支持

托管应用和适用于 Android 的 公司门户 应用需要 Android 4.4 及更高版本才能访问公司资源。 到 12 月，所有已注册的设备将在 12 月强制停用，导致无法访问公司资源。 如果在不使用 MDM 的情况下使用应用保护策略，则应用不会收到更新，并且其体验质量会随着时间的推移而降低。

通知最终用户可以在已注册的设备上看到哪些设备信息

我们将在所有公司门户应用上将“所有权类型”添加到“设备详细信息”屏幕。 此功能：

• 允许用户直接从 公司可以看到哪些信息一 文中了解有关隐私的详细信息。
• 即将在所有公司门户应用上推出。 我们在 9 月宣布了适用于 iOS 的此信息。

2017 年 9 月

Intune支持 iOS 11

Intune支持 iOS 11。 此支持已在 Intune 支持博客上宣布。

终止对 iOS 8.0 的支持

适用于 iOS 的托管应用和公司门户应用需要 iOS 9.0 及更高版本才能访问公司资源。 在此 9 月之前未更新的设备将无法再访问公司门户或这些应用。

添加到公司门户应用的刷新操作，用于Windows 10

Windows 10的 公司门户 应用允许用户通过拉取刷新或在桌面上按 F5 来刷新应用中的数据。

通知最终用户 iOS 可以看到哪些设备信息

我们已将“所有权类型”添加到适用于 iOS 的 公司门户 应用上的“设备详细信息”屏幕。 此功能允许用户直接从此页面从最终用户文档Intune找到有关隐私的详细信息。他们还能够在“关于”屏幕上找到此信息。

允许最终用户在不注册的情况下访问适用于 Android 的 公司门户 应用

最终用户将很快无需注册其设备来访问适用于 Android 的 公司门户 应用。 使用应用保护策略的组织中的最终用户在打开公司门户应用时将不再收到注册其设备的提示。 最终用户还可以从公司门户安装应用，而无需注册设备。

适用于 Android 的公司门户应用的表述更易于理解

适用于 Android 的 公司门户 应用的注册过程已使用新文本简化，使最终用户能够更轻松地注册。 若有自定义注册文档，不妨进行更新，以反映新屏幕。 可以在Intune最终用户应用页面的 UI 更新中找到示例图像。

添加到 Windows 信息保护允许策略的Windows 10 公司门户应用

Windows 10 公司门户 应用已更新为支持 Windows 信息保护 (WIP) 。 可以将应用添加到 WIP 允许策略。 通过此更改，应用不再需要添加到 “豁免 ”列表。

2017 年 8 月

对设备概述的改进

对设备概述的改进现在会显示已注册的设备，但不包括由Exchange ActiveSync管理的设备。 Exchange ActiveSync设备的管理选项与已注册的设备不同。 若要在Azure 门户Intune按平台查看已注册设备数和已注册设备数，请转到“设备>概述”。

对Intune收集的设备清单的改进

在此版本中，我们对你管理的设备收集的清单信息进行了以下改进：

• 对于 Android 设备，现在可以向设备清单添加一列，显示每个设备的最新修补程序级别。 将 “安全修补程序级别 ”列添加到设备列表以查看修补程序级别。
• 筛选设备视图时，现在可以按注册日期筛选设备。 例如，只能显示在指定的日期之后注册的设备。
• 我们对 “上次签入日期 ”项使用的筛选器进行了改进。
• 在设备列表中，现在可以显示公司拥有设备的电话号码。 此外，可以使用筛选器窗格按电话号码搜索设备。

有关设备清单的详细信息，请参阅如何查看Intune设备清单。

对 macOS 设备的条件访问支持

现在可以设置条件访问策略，该策略要求 Mac 设备注册到 Intune 并符合其设备符合性策略。 例如，用户可以下载适用于 macOS 的 Intune 公司门户 应用，并将其 Mac 设备注册到Intune。 Intune评估 Mac 设备是否符合 PIN、加密、OS 版本和系统完整性等要求。

• 详细了解 macOS 设备的条件访问支持。

公司门户 macOS 应用以公共预览版提供

适用于 macOS 的 公司门户 应用现已作为 企业移动性 + 安全性 中的条件访问公共预览版的一部分提供。 此版本支持 macOS 10.11 及更高版本。 在 https://aka.ms/macOScompanyportal获取它。

Windows 10的新设备限制设置

在此版本中，我们为Windows 10设备限制配置文件添加了以下类别的新设置：

• Windows Defender SmartScreen
• 应用商店

汇报 BitLocker 设置的 Windows 10 endpoint Protection 设备配置文件

在此版本中，我们对 BitLocker 设置在Windows 10终结点保护设备配置文件中的工作方式进行了以下改进：

• 在 “BitLocker OS 驱动器设置”下，对于 使用不兼容的 TPM 芯片设置 BitLocker，选择“ 阻止”时，以前此值将导致 BitLocker 实际被允许。 现在，它会在选中 BitLocker 时阻止它。
• 在 BitLocker OS 驱动器设置下，对于设置 基于证书的数据恢复代理，现在可以显式阻止基于证书的数据恢复代理。 但是，默认情况下，允许代理。
• 在 BitLocker 固定数据驱动器设置下，对于设置 数据恢复代理，现在可以显式阻止数据恢复代理。 有关详细信息，请参阅 Windows 10 及更高版本的终结点保护设置。

Android 公司门户用户和应用保护策略用户的新登录体验

最终用户现在可以使用 Android 公司门户 应用浏览应用、管理设备以及查看 IT 联系人信息，而无需注册其 Android 设备。 此外，如果最终用户已使用受Intune应用保护策略保护的应用并启动 Android 公司门户，则最终用户不再收到注册设备的提示。

Android 公司门户 应用中用于切换电池优化的新设置

适用于 Android 的 公司门户 应用中的“设置”页具有一个新设置，允许用户轻松关闭公司门户和 Microsoft Authenticator 应用的电池优化。 设置中显示的应用名称因管理工作帐户的应用而异。 我们建议用户关闭电池优化，以提高同步电子邮件和数据的工作应用的性能。

OneNote for iOS 的多标识支持

最终用户现在可以通过 Microsoft OneNote for iOS 使用不同的帐户 (工作和个人) 。 应用保护策略可以应用于工作笔记本中的公司数据，而不会影响其个人笔记本。 例如，策略可以允许用户在工作笔记本中查找信息，但会阻止用户将工作笔记本和企业数据复制和粘贴到个人笔记本。

• 详细了解支持 Intune 的应用保护和多身份的应用。

允许和阻止 Samsung Knox Standard 设备上的应用的新设置

在此版本中，我们将添加新 的设备限制设置 ，让你可以指定以下应用列表：

• 允许用户安装的应用
• 阻止用户运行的应用
• 设备上对用户隐藏的应用

可以按 URL、包名称或从管理的应用列表中指定应用。

来自 Intune 的新Microsoft Entra基于应用的条件访问策略 UI 链接

IT 管理员现在可以通过Microsoft Entra工作负载中的新条件访问策略 UI 设置基于应用的条件策略。 Azure 门户的“Intune应用保护”部分中的基于应用的条件访问将暂时保留，并将并行强制执行。 Intune工作负载中还有一个指向新条件访问策略 UI 的便捷链接。

• 详细了解Microsoft Entra ID上基于应用的条件访问。

2017 年 7 月

按 OS 版本限制 Android 和 iOS 设备注册限制

Intune现在支持按操作系统版本号限制 iOS 和 Android 注册。 在 “设备类型限制”下，IT 管理员现在可以设置平台配置，以限制最低和最大操作系统值之间的注册。 Android 操作系统版本必须指定为 Major.Minor.Build.Rev，其中 Minor、Build 和 Rev 是可选的。 iOS 版本必须指定为 Major.Minor.Build，其中 Minor 和 Build 是可选的。 详细了解 设备注册限制。

注意

不限制通过 Apple 注册计划或 Apple Configurator 进行注册。

限制 Android、iOS 和 macOS 设备个人拥有的设备注册

Intune可以通过将公司设备 IMEI 号码添加到允许列表来限制个人设备注册。 Intune现在已使用设备序列号将此功能扩展到 iOS、Android 和 macOS。 通过将序列号上传到Intune，可以将设备预声明为公司拥有的设备。 使用注册限制，可以阻止个人拥有 (BYOD) 设备，仅允许注册公司拥有的设备。 详细了解 设备注册限制。

若要导入序列号，请转到 设备注册>公司设备标识符>添加。 上传 .CSV 文件 (无标头，两列表示序列号和详细信息（如 IMEI 号码) ）。 若要限制个人拥有的设备，请转到 设备注册>注册限制。 在“ 设备类型限制”下，选择“ 默认 ”，然后选择“ 平台配置”。 可以 允许 或 阻止 iOS、Android 和 macOS 个人拥有的设备。

强制设备与Intune同步的新设备操作

在此版本中，我们添加了一个新的设备操作，该操作强制所选设备使用Intune立即检查。 当设备签入时，该设备会立即收到已分配给自己的任何挂起的操作或策略。 此操作可帮助你立即验证已分配的策略并对其进行故障排除，而无需等待下一个计划的检查。 有关详细信息，请参阅 同步设备

强制受监督的 iOS 设备自动安装最新的可用软件更新

软件更新工作区提供了一个新策略，你可以在其中强制受监督的 iOS 设备自动安装最新的可用软件更新。 有关详细信息，请参阅 配置 iOS 更新策略

Check Point SandBlast Mobile - 新的移动威胁防御合作伙伴

可以根据检查点 SandBlast Mobile 进行的风险评估，使用条件访问来控制移动设备对公司资源的访问。 Checkpoint SandBlast Mobile 是一种与Microsoft Intune集成的移动威胁防御解决方案。

如何与Intune集成？

风险基于从运行检查点 SandBlast Mobile 的设备收集的遥测数据进行评估。 可以根据通过Intune设备符合性策略启用的检查点 SandBlast 移动风险评估来配置 EMS 条件访问策略。 可以根据检测到的威胁允许或阻止不符合要求的设备访问公司资源。

部署适用于企业的 Microsoft Store中可用的应用

在此版本中，管理员现在可以分配可用适用于企业的 Microsoft Store。 设置为可用时，最终用户可以从公司门户应用或网站安装应用，而无需重定向到 Microsoft Store。

公司门户网站的 UI 更新

我们对公司门户网站的 UI 进行了多次更新，以增强最终用户体验。

• 应用磁贴的增强功能：如果) 检测到图标，则应用图标现在将显示自动生成的背景， (图标的主要颜色。 如果适用，此背景将替换以前在应用磁贴上可见的灰色边框。

  公司门户网站在即将发布的版本中尽可能显示大图标。 我们建议 IT 管理员使用最小大小为 120 x120 像素的高分辨率图标发布应用。

• 导航更改：导航栏项将移动到左上角的汉堡菜单。 已删除“类别”页。 用户现在可以在浏览时按类别筛选内容。

• 汇报特色应用：我们在网站上添加了一个专用页面，用户可以在其中浏览你选择使用的应用，并对主页上的“特色”部分进行了一些 UI 调整。

公司门户网站的 iBooks 支持

我们已向 公司门户 网站添加了一个专用页面，允许用户浏览和下载 iBook。

技术支持故障排除详细信息

Intune更新了故障排除显示，并将其添加到它为管理员和技术支持人员提供的信息中。 现在可以看到一个 “分配” 表，该表汇总了基于组成员身份的用户的所有分配。 此列表包括：

• 移动应用程序
• 合规性策略
• 配置文件

此外，“设备”表现在包括Microsoft Entra联接类型和符合Microsoft Entra列。 有关详细信息，请参阅 帮助用户排查问题。

Intune Data Warehouse (公共预览版)

Intune Data Warehouse每天对数据进行采样，以提供租户的历史视图。 可以使用 Power BI 文件 (PBIX) 、与许多分析工具兼容的 OData 链接或与 REST API 交互来访问数据。 有关详细信息，请参阅使用Intune Data Warehouse。

适用于Windows 10公司门户应用的浅色和深色模式

最终用户可以为 Windows 10 自定义 公司门户 应用的颜色模式。 用户能够在公司门户应用的“设置”部分中进行更改。 更改将在用户重启应用后显示。 对于Windows 10版本 1607 及更高版本，应用模式将默认为系统设置。 对于Windows 10版本 1511 及更早版本，应用模式将默认为浅色模式。

允许最终用户在 公司门户 应用中标记其设备组，以便Windows 10

最终用户现在可以通过直接从公司门户应用中标记设备来选择其设备所属的组，以便Windows 10。

2017 年 6 月

Intune管理员的新基于角色的管理访问权限

正在添加新的条件访问管理员角色，用于查看、创建、修改和删除Microsoft Entra条件访问策略。 以前，只有全局管理员和安全管理员具有此权限。 Intune管理员可以被授予此角色权限，以便他们有权访问条件访问策略。

使用序列号标记公司拥有的设备

Intune现在支持将 iOS、macOS 和 Android 序列号作为公司设备标识符上传。 目前无法使用序列号来阻止个人设备注册，因为序列号在注册期间未验证。 不久将发布按序列号阻止个人设备。

适用于 iOS 设备的新远程操作

在此版本中，我们为管理 Apple Classroom 应用的共享 iPad 设备添加了两个新的远程设备操作：

• 注销当前用户 - 注销所选 iOS 设备的当前用户。
• 删除用户 - 删除从 iOS 设备上的本地缓存中选择的用户。

支持使用 iOS Classroom 应用共享 iPad

在此版本中，我们扩展了对管理 iOS Classroom 应用的支持，以包括使用托管 Apple ID 登录到共享 iPad 的学生。

对Intune内置应用的更改

以前，Intune包含许多可快速分配的内置应用。 根据你的反馈，我们已删除此列表，你将不再看到内置应用。 但是，如果已分配任何内置应用，这些应用仍将在应用列表中可见。 可以根据需要继续分配这些应用。 在更高版本中，我们计划添加一种更简单的方法，以从Azure 门户选择和分配内置应用。

更轻松地安装 Microsoft 365 应用

企业应用类型的新Microsoft 365 应用版使你可以轻松地将Microsoft 365 企业应用版应用分配给你管理的设备，以运行最新版本的 Windows 10。 此外，如果你拥有 Microsoft Project 和 Microsoft Visio 的许可证，还可以安装它们。 所需的应用捆绑在一起，并在 Intune 控制台的应用列表中显示为一个应用。 有关详细信息，请参阅如何添加适用于Windows 10的 Microsoft 365 应用。

支持从适用于企业的 Microsoft Store脱机应用

从 适用于企业的 Microsoft Store 购买的脱机应用现在将同步到Azure 门户。 然后，可以将这些应用部署到设备组或用户组。 脱机应用由 Intune 安装，而不是由应用商店安装。

Microsoft Teams 现在是已批准应用的基于应用的 CA 列表的一部分

适用于 iOS 和 Android 的 Microsoft Teams 应用现在是针对 Exchange 和 SharePoint Online 的基于应用的条件访问策略的已批准应用的一部分。 可以通过Azure 门户中的“Intune应用保护”边栏选项卡配置应用，以向当前使用基于应用的条件访问的所有租户配置应用。

托管浏览器和应用代理集成

Intune Managed Browser现在可以与 Microsoft Entra 应用程序代理服务集成，以允许用户访问内部网站，即使他们正在远程工作也是如此。 浏览器的用户像平常一样输入站点 URL，托管浏览器通过应用程序代理 Web 网关路由请求。 有关详细信息，请参阅 使用托管浏览器策略管理 Internet 访问。

Intune Managed Browser的新应用配置设置

在此版本中，我们为适用于 iOS 和 Android 的 Intune Managed Browser 应用添加了更多配置。 现在可以使用应用配置策略为浏览器配置默认主页和书签。 有关详细信息，请参阅 使用托管浏览器策略管理 Internet 访问

Windows 10的 BitLocker 设置

现在可以使用新的Intune设备配置文件为Windows 10设备配置 BitLocker 设置。 例如，可以要求对设备进行加密，并配置在 BitLocker 打开时应用的进一步设置。 有关详细信息，请参阅 Windows 10 及更高版本的终结点保护设置。

Windows 10设备限制配置文件的新设置

在此版本中，我们为Windows 10设备限制配置文件添加了以下类别的新设置：

• Windows Defender
• 手机网络和连接
• 锁定的屏幕体验
• 隐私
• 搜索
• Windows 聚焦
• Microsoft Edge 浏览器

有关Windows 10设置的详细信息，请参阅Windows 10及更高版本的设备限制设置。

公司门户 Android 应用现在为应用保护策略提供了新的最终用户体验

根据客户反馈，已修改适用于 Android 的公司门户应用，以便显示“访问公司内容”按钮。 其目的在于，使最终用户在仅需要访问支持应用保护策略（Intune 移动应用程序管理的一项功能）的应用时，无需完成不必要的注册过程。 可以在 应用 UI 页的新增功能 上查看这些更改。

新增可轻松删除公司门户的菜单操作

根据用户反馈，适用于 Android 的公司门户应用新添加了一个菜单操作，可启动对设备中公司门户的删除。 此操作可将设备从 Intune 管理中删除，以便用户删除设备中的应用。 可以在应用 UI 页面和 Android 最终用户文档中的新增功能中查看这些更改。

与 Windows 10 创意者更新的应用同步改进

适用于 Windows 10 的公司门户应用现在自动启动与 Windows 10 创意者更新（版本 1709）的设备应用安装请求同步。 此行为将减少在“挂起同步”状态期间应用安装停止的问题。 此外，用户可以从应用内手动启动同步。 可以在 应用 UI 页的新增功能 上查看这些更改。

Windows 10 公司门户的全新引导式体验

适用于 Windows 10 的公司门户应用将为尚未被标识或注册的设备提供引导式的 Intune 演练体验。 新体验提供了分步说明，指导用户注册到条件访问功能所需的Microsoft Entra ID () 和 MDM 注册 (设备管理功能) 所需的。 引导式体验可从公司门户主页获取。 如果用户未完成注册和注册，则可以继续使用该应用，但会体验到有限的功能。

此更新仅在运行 Windows 10 周年更新（内部版本 1607）或更高版本的设备上可见。 可以在 应用 UI 页的新增功能 上查看这些更改。

Microsoft Intune和条件访问管理中心已正式发布

我们宣布新Intune在 Azure 门户 管理控制台和条件访问管理控制台中正式发布。 通过Azure 门户中的Intune，现在可以在一个合并的管理体验中管理所有Intune MAM 和 MDM 功能，并使用Microsoft Entra分组和目标。 Azure 中的条件访问将跨Microsoft Entra ID和Intune的丰富功能汇集在一个统一的控制台中。 从管理体验中，迁移到 Azure 平台允许使用新式浏览器。

现在，portal.azure.com Azure 门户中没有预览标签即可看到Intune。

目前，现有客户无需执行任何操作。 如果你在消息中心收到一系列消息之一，要求你采取行动，以便我们可以迁移组，则需要执行操作。 你还可能会收到一条消息中心通知，通知你由于我们这一端的 bug，迁移需要更长的时间。 我们正努力继续迁移任何受影响的客户。

对适用于 iOS 的公司门户应用中应用磁贴的改进

我们更新了主页上的应用磁贴设计，以反映你为公司门户设置的品牌颜色。 有关详细信息，请参阅 应用 UI 中的新增功能。

适用于 iOS 的公司门户应用现在可使用帐户选取器

如果 iOS 设备用户在登录公司门户使用其工作或学校帐户登录其他 Microsoft 应用，则他们可能会看到我们的新帐户选取器。 有关详细信息，请参阅 应用 UI 中的新增功能。

2017 年 5 月

在不取消注册托管设备的情况下更改 MDM 机构

现在可以更改 MDM 机构，而无需联系Microsoft 支持部门，也无需取消注册和重新注册现有托管设备。 在Configuration Manager控制台中，可以将 MDM 机构从 Set 更改为 Configuration Manager (混合) 更改为Microsoft Intune (独立) ，反之亦然。

改进了 Samsung Knox 启动 PIN 通知

当最终用户需要在 Samsung Knox 设备上设置启动 PIN 才能符合加密要求时，在点击通知时，向最终用户显示的通知会将他们带到“设置”应用中的确切位置。 此前，通知会将最终用户带到密码更改屏幕。

Apple School Manager (ASM) 共享 iPad 支持

Intune现在支持使用 Apple School Manager (ASM) 代替 Apple 设备注册计划，以提供 iOS 设备的现成注册。 使用适用于共享 iPad 的 Classroom 应用需要 ASM 载入，并且需要启用通过Microsoft 学校数据同步 (SDS) 将数据从 ASM 同步到Microsoft Entra ID。 有关详细信息，请参阅 使用 Apple School Manager 启用 iOS 设备注册。

注意

配置共享 iPad 以使用 Classroom 应用需要 Azure 中尚不可用的 iOS 教育版配置。 此功能将很快添加。

使用 TeamViewer 为 Android 设备提供远程协助

Intune现在可以使用单独购买的 TeamViewer 软件，使你能够向运行 Android 设备的用户提供远程协助。 有关详细信息，请参阅为Intune托管的 Android 设备提供远程协助。

MAM 的新应用保护策略条件

现在可以为 MAM 设置要求，而无需强制实施以下策略的注册用户：

• 最低应用程序版本
• 操作系统最低版本
• 目标应用程序的最低Intune应用 SDK 版本 (仅限 iOS)

此功能在 Android 和 iOS 上均可用。 Intune支持对 OS 平台版本、应用程序版本和 Intune APP SDK 实施最低版本。 在 iOS 上，集成 SDK 的应用程序还可以在 SDK 级别设置最低版本强制实施。 如果在上述三个不同级别未满足应用保护策略的最低要求，则用户将无法访问目标应用程序。 此时，用户可以删除其多标识应用程序的帐户 () 、关闭应用程序或更新 OS 或应用程序的版本。

还可以配置设置，以提供建议进行 OS 或应用程序升级的非阻止通知。 此通知可以关闭，应用程序可以正常使用。

有关详细信息，请参阅 iOS 应用保护策略设置 和 Android 应用保护策略设置。

为 Android for Work 配置应用配置

应用商店中的某些 Android 应用支持托管配置选项，这些选项允许 IT 管理员控制应用在工作配置文件中的运行方式。 借助 Intune，你现在可以查看应用支持的配置，并使用配置设计器或 JSON 编辑器从Azure 门户对其进行配置。 有关详细信息，请参阅 使用 Android for Work 的应用配置。

无需注册的 MAM 的新应用配置功能

现在无需注册通道即可通过 MAM 创建应用配置策略。 此功能等效于移动设备管理 (MDM) 应用配置中提供的应用配置策略。 有关在不注册的情况下使用 MAM 的应用配置示例，请参阅使用托管浏览器策略通过 Microsoft Intune 管理 Internet 访问。

为托管浏览器配置允许和阻止的 URL 列表

使用应用配置设置，现在可以为Intune Managed Browser配置允许和阻止的域和 URL 列表。 无论浏览器是在托管设备还是非托管设备上使用，都可以配置这些设置。 有关详细信息，请参阅通过 Microsoft Intune 使用托管浏览器策略管理 Internet 访问。

应用保护策略支持视图

IT 支持用户现在可以在“故障排除”边栏选项卡中检查用户许可证状态和分配给用户的应用保护策略应用的状态。 有关详细信息，请参阅 故障排除。

在 iOS 设备上控制网站访问

现在，可以使用以下两种方法之一控制 iOS 设备的用户可以访问的网站：

• 使用 Apples 内置 Web 内容筛选器添加允许和阻止的 URL。

• 仅允许 Safari 浏览器访问指定的网站。 书签是在 Safari 中为指定的每个网站创建的。

有关详细信息，请参阅 适用于 iOS 设备的 Web 内容筛选器设置。

Android for Work 应用的预配置设备权限

对于部署到 Android for Work 设备工作配置文件的应用，现在可以为各个应用配置权限状态。 默认情况下，需要设备权限（例如访问位置或设备相机）的 Android 应用将提示用户接受或拒绝权限。 例如，如果应用使用设备的麦克风，则系统会提示最终用户授予应用使用麦克风的权限。 此功能允许你代表最终用户定义权限。 你可以配置对) 自动拒绝的权限而不通知用户，b) 自动批准而不通知用户，或者 c) 提示用户接受或拒绝。 有关详细信息，请参阅 Microsoft Intune 中的 Android for Work 设备限制设置。

为 Android for Work 设备定义特定于应用的 PIN

具有作为 Android for Work 设备管理的工作配置文件的 Android 7.0 及更高版本的设备允许管理员定义仅适用于工作配置文件中的应用的密码策略。 选项包括：

• 仅定义设备范围的密码策略 - 此选项是用户必须用来解锁其整个设备的密码。
• 仅定义工作配置文件密码策略 - 每当打开工作配置文件中的任何应用时，都会提示用户输入密码。
• 定义设备和工作配置文件策略 - IT 管理员可以选择以不同的优势定义设备密码策略和工作配置文件密码策略， (例如，用于解锁设备的四位数 PIN，但使用六位数 PIN 打开任何工作应用) 。

有关详细信息，请参阅 Microsoft Intune 中的 Android for Work 设备限制设置。

注意

这仅适用于 Android 7.0 及更高版本。 默认情况下，最终用户可以使用两个单独定义的 PIN，也可以选择将两个定义的 PIN 合并为两个最强的 PIN。

Windows 10设备的新设置

我们添加了新的 Windows 设备限制设置，用于控制无线显示、设备发现、任务切换和 SIM 卡错误消息等功能。

汇报证书配置

创建 SCEP 证书配置文件时，对于 “使用者名称格式”， “自定义 ”选项可用于 iOS、Android 和 Windows 设备。 在此更新之前， “自定义” 字段仅适用于 iOS 设备。 有关详细信息，请参阅Create SCEP 证书配置文件。

创建 PKCS 证书配置文件时，对于使用者可选名称，“自定义Microsoft Entra”属性可用。 选择“自定义Microsoft Entra属性”时，“部门”选项可用。 有关详细信息，请参阅 创建 PKCS 证书配置文件。

配置可在 Android 设备处于展台模式时运行的多个应用

当 Android 设备处于展台模式时，以前只能配置一个允许运行的应用。 现在，可以使用应用 ID、应用商店 URL 或通过选择已管理的 Android 应用来配置多个应用。 有关详细信息，请参阅 展台模式设置。

2017 年 4 月

支持管理 Apple Classroom 应用

现在可以在 iPad 设备上管理 iOS Classroom 应用。 使用正确的课堂和学生数据在教师 iPad 上设置 Classroom 应用，然后配置注册到课堂的学生 iPad，以便你可以使用该应用控制它们。 有关详细信息，请参阅 配置 iOS 教育版设置。

支持 Android 应用的托管配置选项

Intuune 现在可以在 Play 应用商店中配置支持托管配置选项的 Android 应用。 此功能允许 IT 查看应用支持的配置值列表，并提供引导式一流 UI，以允许他们配置这些值。

适用于复杂 PIN 的新 Android 策略

现在可以在运行 Android 5.0 及更高版本的设备的 Android 设备配置文件中设置所需的 数字复杂密码 类型。 使用此设置可防止设备用户创建包含重复或连续数字（如 1111 或 1234）的 PIN。

支持 Android for Work 设备

• 管理密码和工作配置文件设置

  此新的 Android for Work 设备限制策略现在允许你在管理的 Android for Work 设备上管理密码和工作配置文件设置。

• 允许在工作配置文件和个人资料之间共享数据

此 Android for Work 设备限制配置文件现在具有新的选项，可帮助你配置工作配置文件和个人配置文件之间的数据共享。

• 限制在工作配置文件和个人配置文件之间复制和粘贴

  Android for Work 设备的新自定义设备配置文件现在允许限制是否允许在工作应用和个人应用之间进行复制和粘贴操作。

有关详细信息，请参阅 Android for Work 的设备限制。

将 LOB 应用分配到 iOS 和 Android 设备

现在可以将适用于 iOS (.ipa 文件的业务线 (LOB) 应用) 和 Android (.apk 文件) 分配给用户或设备。

适用于 iOS 的新设备策略

• 主屏幕上的应用 - 控制用户在 iOS 设备的主屏幕上看到的应用。 此策略会更改主屏幕的布局，但不部署任何应用。

• Connections AirPrint 设备 - 控制 iOS 设备的最终用户可以连接到 (网络打印机) AirPrint 设备。

• Connections AirPlay 设备 - 控制 iOS 设备的最终用户可以连接到哪些 AirPlay 设备 (，例如 Apple TV) 。

• 自定义锁屏界面消息 - 配置在其 iOS 设备的锁屏界面上显示的自定义消息，以替换默认锁屏界面消息。 有关详细信息，请参阅 在 iOS 设备上激活丢失模式

限制 iOS 应用的推送通知

在Intune设备限制配置文件中，现在可以为 iOS 设备配置以下通知设置：

• 完全打开或关闭指定应用的通知。
• 打开或关闭指定应用的通知中心内的通知。
• 指定警报类型， “无”、“ 横幅”或 “模式警报”。
• 指定是否允许此应用使用锁屏提醒。
• 指定是否允许通知声音。

将 iOS 应用配置为在单应用模式下自主运行

现在可以使用Intune设备配置文件将 iOS 设备配置为在自治单应用模式下运行指定的应用。 配置此模式并运行应用后，设备将锁定。 它只能运行该应用。 例如，配置允许用户在设备上进行测试的应用。 当应用的操作完成或你删除此策略时，设备将恢复其正常状态。

在 iOS 设备上为电子邮件和 Web 浏览配置受信任的域

从 iOS 设备限制配置文件中，现在可以配置以下 域设置：

• 未标记的电子邮件域 - 用户发送或接收与此处指定的域不匹配的电子邮件将标记为不受信任。

• 托管 Web 域 - 从此处指定的 URL 下载的文档将被视为托管 (Safari) 。

• Safari 密码自动填充域 - 用户只能从与此处指定的模式匹配的 URL 在 Safari 中保存密码。 若要使用此设置，设备必须处于监督模式，并且不为多个用户配置。 (iOS 9.3+)

iOS 公司门户中可用的 VPP 应用

现在可以将 iOS 批量购买的 (VPP) 应用分配为 “可用 安装”给最终用户。 最终用户需要 Apple Store 帐户才能安装应用。

从 Apple VPP Store 同步电子书

现在，你可以将你从 Apple 批量购买计划商店购买的书籍与Intune同步，并将这些书籍分配给用户。

Samsung Knox Standard 设备的多用户管理

Intune现在支持运行 Samsung Knox Standard 的设备进行多用户管理。 因此，最终用户可以使用其Microsoft Entra凭据登录和注销设备。 无论设备是否正在使用，都进行集中管理。 最终用户登录时，他们有权访问应用并获取应用的任何策略。 当用户注销时，将清除所有应用数据。

Windows 设备限制设置

我们添加了对更多 Windows 设备限制设置的支持，例如 Microsoft Edge 浏览器支持、设备锁屏界面自定义、开始菜单自定义、Windows 聚焦搜索集壁纸和代理设置。

对Windows 10 创意者更新的多用户支持

我们为运行Windows 10 创意者更新且已加入域Microsoft Entra的设备添加了对多用户管理的支持。 当不同的标准用户使用其Microsoft Entra凭据登录到设备时，他们将收到分配给其用户名的任何应用和策略。 用户当前无法将公司门户用于安装应用等自助服务方案。

Windows 10电脑的全新启动

Windows 10电脑的新“全新启动”设备操作现已推出。 当你发出此操作时，将删除电脑上安装的所有应用。 电脑会自动更新到最新版本的 Windows。 自动更新后，它可以帮助删除通常随新电脑一起提供的预安装 OEM 应用。 可以配置是否在发出此设备操作时保留用户数据。

Windows 10升级路径

现在可以创建版本升级策略，将设备升级到以下Windows 10版本：

• Windows 10 Professional
• Windows 10 Professional N
• Windows 10专业教育
• Windows 10专业教育 N

批量注册Windows 10设备

现在，可以将运行 Windows 10 创意者更新的大量设备加入到使用 Windows 配置Designer (WCD) Microsoft Entra ID和Intune。 若要为Microsoft Entra租户启用批量 MDM 注册，请创建预配包。 包应使用 Windows 配置Designer将设备加入到Microsoft Entra租户，并将包应用于要批量注册和管理的公司拥有的设备。 将包应用到设备后，他们将加入Microsoft Entra ID、注册Intune，并准备好让Microsoft Entra用户登录。 Microsoft Entra用户是这些设备上的标准用户，并接收分配的策略和所需的应用。 目前不支持自助服务和公司门户方案。

PIN 和托管存储位置的新 MAM 设置

现在有两个新应用设置可用于帮助你 (MAM) 方案进行移动应用程序管理：

• 在管理设备 PIN 时禁用应用 PIN - 检测已注册设备上是否存在设备 PIN，如果是，则绕过应用保护策略触发的应用 PIN。 此设置可减少在已注册设备上打开启用了 MAM 的应用程序的用户显示 PIN 提示的次数。 此功能适用于 Android 和 iOS。

• 选择可将公司数据保存到的存储服务 - 允许指定要在其中保存公司数据的存储位置。 用户可以保存到所选存储位置服务，这意味着将阻止未列出的所有其他存储位置服务。

  支持的存储位置服务列表：

  • OneDrive
  • Business SharePoint Online
  • 本地存储

技术支持故障排除门户

新的故障排除门户允许技术支持操作员和Intune管理员查看用户及其设备，并执行任务来解决Intune技术问题。

2017 年 3 月

支持 iOS 丢失模式

对于 iOS 9.3 及更高版本设备，Intune添加了对丢失模式的支持。 现在可以锁定设备，以防止所有使用，并显示设备锁屏界面的消息和联系人电话号码。

在管理员禁用丢失模式之前，最终用户将无法解锁设备。 启用“丢失模式”后，可以使用“定位设备”操作在Intune控制台中在地图上显示设备的地理位置。

设备必须是公司拥有的 iOS 设备，并通过处于监督模式的 DEP 进行注册。

有关详细信息，请参阅什么是Microsoft Intune设备管理？

“设备操作”报表的改进

我们对设备操作报告进行了改进，提高了性能。 此外，现在可以按状态筛选报表。 例如，可以筛选报表以仅显示已完成的设备操作。”

自定义应用类别

现在可以为添加到Intune的应用创建、编辑和分配类别。 目前，只能用英语指定类别。 请参阅如何将应用添加到Intune。

将 LOB 应用分配给具有未注册设备的用户

现在，无论其设备是否注册了Intune，你都可以将应用商店中的业务线应用分配给用户。 如果用户的设备未注册到 Intune，则必须转到 公司门户 网站进行安装，而不是公司门户应用。

新的合规性报告

现在，你已获得合规性报告，提供公司中设备的符合性状况，并允许你快速排查用户遇到的与合规性相关的问题。 可以查看有关的信息

• 设备的总体符合性状态
• 单个设置的符合性状态
• 单个策略的符合性状态

还可以使用这些报表向下钻取到单个设备，以查看影响该设备的特定设置和策略。

直接访问 Apple 注册方案

对于 2017 年 1 月之后创建的Intune帐户，Intune已使用 Azure 门户 中的“注册设备”工作负载启用对 Apple 注册方案的直接访问。 以前，只能通过Azure 门户中的链接访问 Apple 注册预览版。 Intune在 2017 年 1 月之前创建的帐户需要一次性迁移才能在 Azure 中提供这些功能。 迁移计划尚未公布，但详细信息将尽快公布。 如果现有帐户无法访问预览版，我们强烈建议创建一个试用帐户来测试新体验。

2017 年 2 月

限制移动设备注册的功能

Intune添加新的注册限制，以控制允许注册的移动设备平台。 Intune将移动设备平台分隔为 iOS、macOS、Android、Windows 和 Windows Mobile。

• 限制移动设备注册不会限制电脑客户端注册。
• 仅适用于 iOS 和 Android，还有另一个选项可阻止注册个人拥有的设备。

Intune将所有新设备标记为个人设备，除非 IT 管理员采取措施将其标记为公司拥有的设备，如本文中所述。

在托管设备上查看所有操作

新的 “设备操作” 报表显示谁在设备上执行了恢复出厂设置等远程操作，并显示该操作的状态。 请参阅 什么是设备管理？。

非托管设备可以访问分配的应用

作为公司门户网站上的设计更改的一部分，iOS 和 Android 用户可以在其非托管设备上安装分配给他们的应用，即“无需注册即可使用”。 用户可以使用其Intune凭据登录到公司门户网站，并查看分配给他们的应用列表。 “无需注册即可使用”应用的应用包可通过公司门户网站下载。 需要注册安装的应用不受此更改的影响，因为如果用户想要安装这些应用，系统会提示用户注册其设备。

自定义应用类别

现在可以为添加到Intune的应用创建、编辑和分配类别。 目前，只能用英语指定类别。 请参阅如何将应用添加到Intune。

显示设备类别

现在可以在设备列表中以列的形式查看设备类别。 还可以从“设备属性”边栏选项卡的“属性”部分编辑类别。 请参阅如何将应用添加到Intune。

配置适用于企业的 Windows 更新 设置

Windows 即服务是为Windows 10提供更新的新方法。 从Windows 10开始，任何新的功能汇报和质量汇报将包含以前所有更新的内容。 只要安装了最新更新，就知道Windows 10设备是最新的。 与以前版本的 Windows 不同的是，现在必须安装完整的更新，而不是部分更新。

通过使用 Windows 更新 for Business，可以简化更新管理体验，从而无需批准设备组的单个更新。 你仍可以通过配置更新推出策略来管理环境中的风险，Windows 更新可确保在正确的时间安装更新。 Microsoft Intune可以在设备上配置更新设置，并让你能够延迟更新安装。 Intune不存储更新，而只存储更新策略分配。 设备直接访问更新Windows 更新。使用Intune配置和管理Windows 10更新通道。 更新环包含一组设置，用于配置安装Windows 10更新的时间和方式。 有关详细信息，请参阅配置 Windows 更新 for Business 设置。