Microsoft Intune 新增功能

  • 项目

了解 Microsoft Intune 每周新增功能。

还可以阅读:

注意

每个 每月更新 可能需要长达三天才能推出,其顺序如下:

  • 第 1 天: 亚太 (APAC)
  • 第 2 天: 欧洲、中东和非洲 (EMEA)
  • 第 3 天: 北美
  • 第 4 天起: Intune for Government

某些功能将在几周内推出,并且可能不会在第一周内向所有客户提供。

有关即将推出的 Intune 功能版本的列表,请参阅正在开发的 Microsoft Intune。 有关 Autopilot 的新信息,请参阅 Windows Autopilot 新增功能

可以使用 RSS 以在更新此页面时收到通知。 有关详细信息,请参 如何使用文档

2024 年 4 月 15 日当周

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Atom Edge by Arlanto Apps

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 4 月 1 日当周

设备管理

Intune 中的 Copilot 可在 Intune 管理中心 (公共预览版)

Intune 中的 Copilot 集成在 Intune 管理中心,可帮助你快速获取信息。 可以在 Intune 中使用 Copilot 执行以下任务:

Copilot 可以帮助你管理设置和策略

  • 有关设置的 Copilot 工具提示:向策略添加设置或查看现有策略中的设置时,会有一个新的 Copilot 工具提示。 选择工具提示时,你将获得基于 Microsoft 内容和建议的 AI 生成的指南。 可以查看每个设置的作用、设置的工作原理、任何建议的值以及设置是否在另一个策略中配置,等等。

  • 策略摘要生成器:在现有策略上,可获取策略的 Copilot 摘要。 摘要介绍了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。

Copilot 显示设备详细信息,可帮助进行故障排除

  • 有关设备的所有信息:在设备上,可以使用 Copilot 获取有关设备的关键信息,包括其属性、配置和状态信息。

  • 设备比较:使用 Copilot 比较两个设备的硬件属性和设备配置。 此功能可帮助你确定配置相似的两台设备之间的不同之处,尤其是在进行故障排除时。

  • 错误代码分析器:在设备视图中使用 Copilot 分析错误代码。 此功能可帮助你了解错误的含义并提供潜在的解决方法。

安全 Copilot 中的Intune功能

Intune具有安全 Copilot门户中提供的功能。 SOC 分析师和 IT 管理员可以使用这些功能来获取有关策略、设备、组成员身份等的详细信息。 在单个设备上,可以获取Intune特有的更具体信息,例如符合性状态、设备类型等。

还可以要求 Copilot 告知用户设备,并快速获取关键信息的摘要,包括指向用户设备的链接(Intune、设备 ID、注册日期、上次检查日期和符合性状态)。 如果你是 IT 管理员并正在查看用户,则此数据提供快速摘要。

作为正在调查可疑或可能遭到入侵的用户或设备的 SOC 分析师,注册日期和上次检查等信息可以帮助你做出明智的决策。

有关此类功能的详细信息,请参阅:

应用于:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

GCC 客户可以将远程帮助用于 Windows 和 Android 设备

Microsoft Intune Suite包括高级终结点管理和安全功能,包括远程帮助。

在 Windows 和已注册的 Android Enterprise 专用设备上,可以在美国政府 GCC 环境中使用远程帮助。

有关此类功能的详细信息,请参阅:

应用于:

  • windows 10/11
  • ARM64 设备上的 Windows 10/11
  • Windows 365
  • 注册为 Android Enterprise 专用设备的 Samsung 和 Zebra 设备

设备配置

OEM 的新 BIOS 设备配置文件

OEM 提供了新的 BIOS 配置和其他设置 设备配置策略。 管理员可以使用此新策略启用或禁用保护设备的不同 BIOS 功能。 在Intune设备配置策略中,添加 BIOS 配置文件,部署 Win32 应用,然后将策略分配给设备。

例如,管理员可以使用 Dell 命令工具 (打开 Dell 网站) 创建 BIOS 配置文件。 然后,将此文件添加到新的Intune策略。

有关此功能的详细信息,请转到在 Microsoft Intune 中的 Windows 设备上使用 BIOS 配置文件

适用对象

  • Windows 10 及更高版本

2024 年 3 月 25 日 (服务版本 2403)

Microsoft Intune Suite

Endpoint Privilege Management 的新提升类型

终结点特权管理具有新的文件提升类型, 支持已批准。 Endpoint Privilege Management 是 Microsoft Intune Suite 的功能组件,也可用作独立Intune加载项

支持批准的提升为默认提升响应和每个规则的提升类型提供了第三个选项。 与自动或用户确认不同,支持批准的提升请求需要Intune管理员管理哪些文件可以按具体情况提升运行。

借助支持批准的提升,用户可以请求审批,以提升自动规则或用户批准的规则未明确允许提升的应用程序。 这采用提升请求的形式,必须由可以批准或拒绝提升请求的Intune管理员进行评审。

请求获得批准后,系统会通知用户应用程序现在可以以提升身份运行,并且他们将在提升审批到期前 24 小时执行此操作。

应用于:

  • Windows 10
  • Windows 11

有关此新功能的详细信息,请参阅 支持批准的提升请求

应用管理

个人拥有的 Android 设备上具有工作配置文件的托管 Google Play 应用的扩展功能

有一些新功能已扩展到工作配置文件设备。 以下功能以前仅在公司拥有的设备上可用:

  • 适用于设备组的应用:可以使用Intune通过托管的 Google Play 商店向设备组提供应用。 以前,应用只能提供给用户组。

  • 更新优先级设置:可以使用 Intune 在具有工作配置文件的设备上配置应用更新优先级。 若要了解有关此设置的详细信息,请参阅 更新托管的 Google Play 应用

  • 必需应用在托管 Google Play 中显示为可用:可以使用Intune通过托管的 Google Play 商店向用户提供所需的应用。 作为现有策略一部分的应用现在显示为可用。

这些新功能将在几个月内分阶段推出。

应用于:

  • Android Enterprise 个人拥有的工作配置文件设备

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>配置>”“创建>iOS/iPadOSmacOS for platform >设置目录”,了解配置文件类型。

iOS/iPadOS

声明性设备管理 (DDM) > 密码

  • 最大密码期限(天)
  • 最小复杂字符数
  • 需要字母数字密码

限制:

  • 允许市场应用安装
macOS

声明性设备管理 (DDM) > 密码

  • 下一次身份验证时更改
  • 自定义正则表达式
  • 失败的尝试重置(以分钟为单位)
  • 最大密码期限(天)
  • 最小复杂字符数
  • 需要字母数字密码

完整磁盘加密 > FileVault

  • 恢复密钥轮换(以月为单位)

Windows 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置,请在Microsoft Intune管理中心,转到“设备>配置>创建>Windows 10及更高版本”,了解配置文件类型的平台>设置目录

  • 传递优化

    • 禁止在 VPN 上下载缓存服务器 - 当设备使用 VPN 进行连接时,此设置会阻止从 Microsoft 连接的缓存服务器下载。 默认情况下,使用 VPN 进行连接时,允许设备从 Microsoft 连接缓存下载。

    • DO 将小时数设置为限制后台下载带宽 - 此设置指定最大后台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽,占可用下载带宽的百分比。

    • DO 将小时数设置为限制前台下载带宽 - 此设置指定最大前台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽,占可用下载带宽的百分比。

    • DO Vpn 关键字 - 此策略允许设置一个或多个用于识别 VPN 连接的关键字。

  • 消息传送

    • 允许消息同步 - 此策略设置允许将手机网络短信备份和还原到 Microsoft 云服务。

  • Microsoft Defender防病毒

    • 指定扫描存档文件的最大深度
    • 指定要扫描的存档文件的最大大小

有关这些设置的详细信息,请参阅:

应用于:

  • Windows 10 及更高版本

添加到 Windows 设备的防病毒策略的新存档文件扫描设置

我们已将以下两个设置添加到适用于Windows 10和Windows 11设备的终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件:

使用防病毒策略,可以在Intune注册的设备和通过 Defender for Endpoint 安全设置管理方案管理的设备上管理这些设置。

设备配置>创建>中的设置目录中>也提供了这两个设置Windows 10及更高版本用于配置文件类型 >Defender 的平台>设置目录

应用于:

  • Windows 10
  • Windows 11

汇报工作分配筛选器

可以使用Intune分配筛选器根据创建的规则分配策略。

现在,你可以:

  • 对窗口 MAM 应用保护策略和应用配置策略使用托管应用分配筛选器。
  • 平台以及 托管应用托管设备 筛选器类型筛选现有分配筛选器。 当有多个筛选器时,此功能可更轻松地查找所创建的特定筛选器。

有关这些功能的详细信息,请参阅:

此功能适用于:

  • 以下平台上的托管设备

    • Android 设备管理员
    • Android Enterprise
    • Android (AOSP)
    • iOS/iPadOS
    • macOS
    • Windows 10/11

  • 以下平台上的托管应用

    • Android
    • iOS/iPadOS
    • Windows

设备管理

新的符合性设置允许使用硬件支持的安全功能验证设备完整性

名为“ 使用硬件支持的安全功能检查强完整性 ”的新符合性设置允许使用硬件支持的密钥证明来验证设备完整性。 如果配置此设置,则会将强完整性证明添加到 Google Play 的完整性判断评估中。 设备必须满足设备完整性才能保持合规性。 Microsoft Intune将不支持此类完整性的设备标记为不符合检查。

此设置在“ 设备运行状况>Google Play 保护”下的 Android Enterprise 完全托管、专用和企业拥有的工作配置文件中可用。 仅当配置文件中的“播放完整性判断”策略设置为 “检查基本完整性” 或“ 检查基本完整性 & 设备完整性”时,它才可用。

应用于:

  • Android Enterprise

有关详细信息,请参阅 设备符合性 - Google Play 保护

Android 工作配置文件、个人设备的新符合性设置

现在,可以在不影响设备密码的情况下为工作配置文件密码添加符合性要求。 所有新的Microsoft Intune设置在“系统安全性>工作配置文件安全性”下的 Android Enterprise 个人拥有的工作配置文件中提供,其中包括:

  • 需要密码才能解锁工作配置文件
  • 密码还剩多少天到期
  • 阻止重用的曾用密码数
  • 最长经过多少分钟的非活动状态后需要提供密码
  • 密码复杂性
  • 所需密码类型
  • 最短密码长度

如果工作配置文件密码不符合要求,公司门户将设备标记为不符合要求。 Intune符合性设置优先于Intune设备配置文件中的相应设置。 例如,如果符合性配置文件中的密码复杂性设置为“中等”,而配置文件中的密码复杂性设置为“高”,Intune将优先考虑并强制实施符合性。

应用于:

  • Android Enterprise 个人拥有的工作配置文件设备

有关详细信息,请参阅 合规性设置 - Android Enterprise

用于加速非安全更新的 Windows 质量更新支持

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于:

  • Windows 11设备

有关安装加速更新的详细信息,请参阅在 Microsoft Intune 中加快 Windows 质量更新

引入远程操作以暂停配置刷新强制间隔

在 Windows 设置目录中,可以配置 配置刷新。 借助此功能,你可以设置 Windows 设备重新应用以前收到的策略设置的节奏,而无需设备检查Intune。 设备将根据以前收到的策略重播和重新强制实施设置,以最大程度地减少配置偏差的可能性。

为了支持此功能,将添加远程操作以允许暂停操作。 如果管理员需要在设备上进行更改或运行修正进行故障排除或维护,他们可以在指定时间段内从Intune发出暂停。 当期限过期时,将再次强制实施设置。

可以从设备摘要页访问“ 暂停配置刷新 ”远程操作。

有关更多信息,请参阅:

设备安全性

更新了 Windows 版本 23H2 的安全基线

现在可以为 Windows 版本 23H2 部署Intune安全基线。 此新基线基于 Microsoft 下载中心的安全合规性工具包和基线中找到的 组策略 安全基线版本 23H2,仅包括适用于通过 Intune 管理的设备的设置。 使用此更新的基线有助于维护 Windows 设备的最佳做法配置。

此基线使用设置目录中的统一设置平台,该平台具有改进的用户界面和报告体验、与设置纹身相关的一致性和准确性改进,以及支持配置文件分配筛选器的新功能。

使用Intune安全基线可帮助你快速将配置部署到 Windows 设备,这些配置符合 Microsoft 适用的安全团队的安全建议。 与所有基线一样,默认基线表示建议的配置,你可以修改这些配置以满足组织的要求。

应用于:

  • Windows 10
  • Windows 11

若要查看包含的新基线设置及其默认配置,请参阅 Windows MDM 安全基线版本 23H2

使用 Podman 的无根实现来托管 Microsoft Tunnel

满足先决条件后,现在可以选择使用无根 Podman 容器来托管 Microsoft Tunnel 服务器。 使用 Podman for Red Hat Enterprise Linux (RHEL) 8.8 或更高版本来托管 Microsoft Tunnel 时,此功能可用。

使用无根 Podman 容器时,mstunnel 服务在非特权服务用户下运行。 此实现有助于限制容器转义的影响。 若要使用无根 Podman 容器,必须使用修改的命令行启动隧道安装脚本。

有关此 Microsoft Tunnel 安装选项的详细信息,请参阅 使用无根 Podman 容器

对Microsoft Defender for Endpoint Intune部署的改进

我们改进了并简化了使用 Intune 终结点检测和响应 (EDR) 策略时将设备加入到Microsoft Defender的体验、工作流和报告详细信息。 这些更改适用于由 Intune 和租户附加方案管理的 Windows 设备。 这些改进包括:

  • 更改 EDR 节点、仪表板和报表,以提高 Defender EDR 部署编号的可见性。 请参阅 关于终结点检测和响应节点

  • 一个新的租户范围选项,用于部署预配置的 EDR 策略,以简化将 Defender for Endpoint 部署到适用的 Windows 设备。 请参阅 使用预配置的 EDR 策略

  • 对Intune终结点安全节点的“概述”页所做的更改。 这些更改提供托管设备上的 Defender for Endpoint 设备信号报告的综合视图。 请参阅 使用预配置的 EDR 策略

这些更改适用于管理中心的终结点安全性、终结点检测和响应节点以及以下设备平台:

  • Windows 10
  • Windows 11

Windows 质量更新将支持加速非安全更新

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于:

  • Windows 11设备

有关安装加速更新的详细信息,请参阅在 Microsoft Intune 中加快 Windows 质量更新

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Cerby by Cerby, Inc.
  • OfficeMail Go by 9Folders, Inc.
  • DealCloud by Intapp, Inc.
  • Intapp 2.0 由 Intapp, Inc.

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 3 月 3 日当周

设备注册

对Windows Hello 企业版的注册设置进行的基于角色的访问控制更改

我们已在Windows Hello 企业版的注册区域中更新了基于角色的访问控制 (RBAC) 。 与Windows Hello 企业版相关的注册设置对于除Intune服务管理员之外的所有角色都是只读的。 Intune服务管理员可以创建和编辑Windows Hello 企业版注册设置。

有关详细信息,请参阅设备注册时Windows Hello中的基于角色的访问控制一文。

设备安全性

Windows Hello 企业版的新注册配置

Intune管理中心提供了新的Windows Hello 企业版注册设置“启用增强登录安全性”。 增强的登录安全性是一项Windows Hello功能,可防止恶意用户通过外部外围设备访问用户生物识别。

有关此设置的详细信息,请参阅创建Windows Hello 企业版策略

不合规电子邮件通知支持的 HTML 格式

Intune现在支持所有平台的不合规电子邮件通知 HTML 格式设置。 可以使用支持的 HTML 标记向组织的邮件添加斜体、URL 链接和项目符号列表等格式。

有关详细信息,请参阅 创建通知消息模板

2024 年 2 月 26 日当周

Microsoft Intune Suite

新建Microsoft 云 PKI服务

使用 Microsoft 云 PKI 服务简化和自动执行Intune托管设备的证书生命周期管理。 Microsoft 云 PKI是Microsoft Intune Suite的功能组件,也可用作独立Intune加载项。 基于云的服务为组织提供专用 PKI 基础结构,不需要本地服务器、连接器或硬件。 Microsoft 云 PKI自动颁发、续订和吊销支持 SCEP 证书设备配置文件的所有 OS 平台的证书。 颁发的证书可用于对 Wi-Fi、VPN 和其他支持基于证书的身份验证的服务进行基于证书的身份验证。 有关详细信息,请参阅Microsoft 云 PKI概述

应用于:

  • Windows
  • Android
  • iOS/iPadOS
  • macOS

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Cinebody by Super 6 LLC

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 2 月 19 日 (服务版本 2402)

应用管理

Android 应用的其他应用配置权限

可以使用应用配置策略为 Android 应用配置六个新权限。 这些权限包括以下权限:

  • 允许背景人体传感器数据
  • 媒体视频 (阅读)
  • 媒体图像 (读取)
  • 媒体音频 (读取)
  • 附近的 Wifi 设备
  • 附近的设备

有关如何使用 Android 应用的应用配置策略的详细信息,请参阅 为托管 Android Enterprise 设备添加应用配置策略

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Bob HR by Hi Bob Ltd
  • ePRINTit SAAS by ePRINTit USA LLC
  • Microsoft Corporation 的 Microsoft Copilot

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

更新到 Windows 上的 Intune 管理扩展

若要支持扩展功能和 bug 修复,请将 .NET Framework 4.7.2 或更高版本与 Windows 客户端上的 Intune 管理扩展配合使用。 如果 Windows 客户端继续使用早期版本的.NET Framework,Intune管理扩展将继续正常运行。 .NET Framework 4.7.2 自 2018 年 7 月 10 日起从 Windows 更新 提供,它包含在 Win10 1809 (RS5) 及更新中。 请注意,.NET Framework的多个版本可以在设备上共存。

设备配置

在 Endpoint Privilege Management (EPM) 策略上使用分配筛选器

可以使用分配筛选器根据创建的规则分配策略。 使用筛选器可以缩小策略的分配范围,例如将具有特定 OS 版本或特定制造商的设备作为目标。

可以在终结点特权管理 (EPM) 策略上使用筛选器。

有关更多信息,请参阅:

应用于:

  • Windows 10
  • Windows 11

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>配置>”“创建>iOS/iPadOSmacOS for platform >设置目录”,了解配置文件类型。

iOS/iPadOS

  • 限制

    • 允许实时语音邮件
    • 强制课堂无提示屏幕观察
    • 在擦除时强制保留 ESIM
macOS
  • 完整磁盘加密 > 设置助手中的 FileVault> 强制启用
  • 限制> 强制课堂无提示屏幕观察

有关更多信息,请参阅:

导入最多 20 个自定义 ADMX 和 ADML 管理模板

可以在 Microsoft Intune 中导入自定义 ADMX 和 ADML 管理模板。 以前,最多可以导入 10 个文件。 现在,最多可以上传 20 个文件。

应用于:

  • Windows 10
  • Windows 11

有关此功能的详细信息,请参阅将自定义 ADMX 和 ADML 管理模板导入Microsoft Intune (公共预览版)

用于在 Android Enterprise 设备上更新 MAC 地址随机化的新设置

Android Enterprise 设备上有一个新的 MAC 地址随机化设置 (设备>配置>创建>适用于平台的 Android Enterprise 完全托管、专用和 Corporate-Owned 工作配置文件>Wi-Fi,用于配置文件类型) 。>

从 Android 10 开始,连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 出于隐私原因,建议使用随机 MAC 地址,因为更难按 MAC 地址跟踪设备。 但是,随机 MAC 解决了依赖于静态 MAC 地址的中断功能,包括网络访问控制 (NAC) 。

选项包括:

  • 使用设备默认值:Intune不会更改或更新此设置。 默认情况下,连接到网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 用户对设置所做的任何更新将保留。

  • 使用随机 MAC:在设备上启用 MAC 地址随机化。 连接到新网络时,设备会显示随机 MAC 地址,而不是物理 MAC 地址。 如果用户在其设备上更改此值,则会在下一Intune同步时重置为“使用随机 MAC”。

  • 使用设备 MAC:强制设备显示其实际 Wi-Fi MAC 地址,而不是随机 MAC 地址。 此设置允许按其 MAC 地址跟踪设备。 仅在必要时使用此值,例如用于网络访问控制 (NAC) 支持。 如果用户在其设备上更改此值,则会在下一次同步Intune重置为“使用设备 MAC”。

应用于:

  • Android 13 及更新版本

有关可配置的 Wi-Fi 设置的详细信息,请参阅在 Microsoft Intune 中添加 Android Enterprise 专用和完全托管设备的 Wi-Fi 设置

在 Windows 设置目录中关闭 Windows 中的 Copilot 设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有一个新设置。 若要查看此设置,请在Microsoft Intune管理中心,转到“设备>配置>”“创建>适用于平台>的 Windows”配置文件类型的“设置目录”。

  • Windows AI > 在 Windows (用户) 中关闭 Copilot

    • 如果启用此策略设置,则用户无法使用 Copilot。 任务栏上不会显示 Copilot 图标。
    • 如果禁用或未配置此策略设置,用户可以在可供他们使用时使用 Copilot。

此设置使用 策略 CSP - WindowsAI

有关在 Intune 中配置设置目录策略(包括用户范围与设备范围)的详细信息,请参阅使用设置目录创建策略

应用于:

  • Windows 10 及更高版本

Windows Autopilot 自部署模式现已正式发布

Windows Autopilot 自部署模式现已正式发布,预览版已过期。 Windows Autopilot 自部署模式使你无需用户交互即可部署 Windows 设备。 设备连接到网络后,设备预配过程会自动启动:设备加入Microsoft Entra ID、注册Intune,并同步面向设备的所有基于设备的配置。 自部署模式可确保用户在应用所有基于设备的配置之前无法访问桌面。 OOBE 期间会显示 ESP) (注册状态页,以便用户可以跟踪部署的状态。 有关更多信息,请参阅:

此信息也发布在 Windows Autopilot:新增功能中。

预预配部署的 Windows Autopilot 现已正式发布

用于预预配部署的 Windows Autopilot 现已正式发布且已取消预览版。 组织使用 Windows Autopilot 进行预预配部署,这些组织希望确保设备在用户访问设备之前处于业务就绪状态。 通过预预配,管理员、合作伙伴或 OEM 可以从现成体验访问技术人员流, (OOBE) 并启动设备设置。 接下来,设备将发送给在用户阶段完成预配的用户。 预预配会提前提供大部分配置,以便最终用户可以更快地访问桌面。 有关更多信息,请参阅:

此信息也发布在 Windows Autopilot:新增功能中。

设备注册

用于在 Windows Autopilot 预预配期间安装所需应用的 ESP 设置

技术人员阶段仅失败所选阻止应用 设置现已正式发布,可在注册状态页 (ESP) 配置文件进行配置。 此设置仅显示在已选择 阻止应用的 ESP 配置文件中。

有关详细信息,请参阅“设置注册状态页”。

macOS 自动设备注册的新本地主帐户配置

为通过 Apple 自动设备注册在 Intune 中注册的 Mac 配置本地主帐户设置。 这些设置在运行 macOS 10.11 及更高版本的设备上受支持,在新的“ 帐户设置” 选项卡下的新的和现有的注册配置文件中可用。若要使此功能正常工作,必须使用用户设备相关性和以下身份验证方法之一配置注册配置文件:

  • 具有新式身份验证的设置助手
  • 设置助理 (旧版)

应用于:

  • macOS 10.11 及更高版本

有关 macOS 帐户设置的详细信息,请参阅在 Intune 中创建 Apple 注册配置文件

等待 macOS 自动设备注册的最终配置现已正式发布

await 最终配置现已正式发布,可在设置助手结束时启用锁定体验,以确保在设备上安装关键设备配置策略。 锁定体验适用于面向新注册配置文件和现有注册配置文件的设备,可通过以下身份验证方法之一进行注册:

  • 具有新式身份验证的设置助手
  • 设置助理 (旧版)
  • 没有用户设备相关性

应用于:

  • macOS 10.11 及更高版本

有关如何启用 await 最终配置的信息,请参阅 创建 Apple 注册配置文件

设备管理

AOSP 设备大约每 15 分钟检查一次新任务和通知

在向 Android (AOSP) 管理注册的设备上,Intune大约每 15 分钟尝试检查一次新任务和通知。 若要使用此功能,设备必须使用 Intune 应用版本 24.02.4 或更高版本。

应用于:

  • Android (AOSP)

有关更多信息,请参阅:

Microsoft Intune中政府云的新设备管理体验

在政府云中,Intune管理中心提供了新的设备管理体验。 “ 设备” 区域现在具有更一致的 UI,具有更强大的控件和改进的导航结构,因此你可以更快地找到所需的内容。

如果要在更新租户之前尝试新体验,请转到 “设备>概述”,选择“ 预览即将对设备进行的更改并提供反馈 通知”横幅,然后选择“ 立即试用”。

批量批准驱动程序

批量操作现在可用于 Windows 驱动程序更新策略。 通过批量操作,可以同时批准、暂停或拒绝多个驱动程序更新,从而节省时间和精力。

批量批准驱动程序时,还可以设置驱动程序可用于适用设备的日期,以便一起安装驱动程序。

应用于:

  • Windows 10
  • Windows 11

有关详细信息,请参阅 批量驱动程序更新

已解决适用于业务的应用控制策略限制

Windows 已解决以前记录的适用于企业的应用控制策略 (WDAC) 限制(将每台设备的活动策略数限制为 32)。 当设备上 活动超过 32 个策略时, 此问题涉及启动停止失败。

对于运行 Windows 10 1903 或更高版本且在 2024 年 3 月 12 日或之后发布的 Windows 安全更新的设备,此问题已得到解决。 旧版 Windows 应在将来的 Windows 安全更新中收到此修补程序。

应用于:

  • Windows 10版本 1903 及更高版本

若要详细了解适用于Intune的应用控制企业版策略,请参阅使用适用于企业的 App Control 策略管理 Windows 设备的已批准应用和适用于 Microsoft Intune 的托管安装程序

租户管理

自定义窗格支持排除组

“自定义”窗格现在支持在分配策略时选择要排除的组。 可以通过选择“租户管理>自定义,在Microsoft Intune管理中心找到此设置。

有关详细信息,请参阅在 Microsoft Intune 中分配策略

2024 年 1 月 29 日当周

Microsoft Intune Suite

Microsoft Intune 企业应用程序管理

企业应用程序管理提供了 Win32 应用程序的企业应用目录,这些应用程序可在 Intune 中轻松访问。 可以通过从企业应用程序目录中选择这些应用程序,将这些应用程序添加到租户。 将企业应用目录应用添加到 Intune 租户时,系统会自动提供默认安装、要求和检测设置。 也可以修改这些设置。 Intune在 Microsoft 存储中托管企业应用目录应用。

有关更多信息,请参阅:

Microsoft Intune 高级分析

Intune 高级分析提供组织中最终用户体验的全面可见性,并使用数据驱动的见解对其进行优化。 它包括设备查询、自定义设备范围的可见性、电池运行状况报告和用于排查设备问题的详细设备时间线,以及异常情况检测,以帮助识别设备资产中的潜在漏洞或风险。

  • 电池运行状况报告

    电池运行状况报告提供对组织设备中电池运行状况及其对用户体验的影响的可见性。 此报表中的分数和见解旨在帮助 IT 管理员做出资产管理和购买决策,在平衡硬件成本的同时改善用户体验。

  • 在单个设备上运行按需设备查询

    Intune可以快速获取有关设备状态的按需信息。 在所选设备上输入查询时,Intune实时运行查询。

    然后,返回的数据可用于响应安全威胁、对设备进行故障排除或做出业务决策。

    应用于:

    • Windows 设备

Intune 高级分析是Microsoft Intune Suite的一部分。 为了提高灵活性,这组新功能以及现有的高级分析功能现在也作为 Microsoft 订阅的单个加载项提供,其中包括Intune。

若要在租户或任何现有高级分析功能中使用设备查询和电池运行状况报告,必须具有以下任一功能的许可证:

  • Intune 高级分析加载项
  • Microsoft Intune Suite加载项

有关更多信息,请参阅:

2024 年 1 月 22 日 (服务版本 2401)

应用管理

在托管 Mac 上安装最大大小为 8 GB 的 DMG 和 PKG 应用

增加了可以在托管 Mac 上使用 Intune 安装的 DMG 和 PKG 应用的大小限制。 新限制为 8 GB,适用于使用适用于 macOS 的 Microsoft Intune 管理代理安装 (DMG 和非托管 PKG) 的应用。

有关 DMG 和 PKG 应用的详细信息,请参阅将 macOS DMG 应用添加到Microsoft Intune将非托管 macOS PKG 应用添加到Microsoft Intune

Intune支持适用于 Surface Hub 设备的应用商店签名 LOB 应用

Intune现在支持将存储签名的 LOB 应用 (单个文件.appx.msix.appxbundle 和 .msixbundle) 部署到 Surface Hub 设备。 通过对应用商店签名的 LOB 应用的支持,可以在停用适用于企业的 Microsoft Store后将脱机应用商店应用部署到 Surface Hub 设备。

将短信/彩信路由到特定应用

可以配置应用保护策略,以确定在从策略托管应用重定向后,最终用户打算发送短信/彩信时必须使用哪个短信/彩信应用。 当最终用户单击某个数字以发送短信/彩信时,应用保护设置将用于重定向到配置的短信/彩信应用。 此功能与 将消息传递数据传输到 iOS/iPadOS 和 Android 平台相关,并应用于 iOS/iPadOS 和 Android 平台。

有关详细信息,请参阅 iOS 应用保护策略设置Android 应用保护策略设置

最终用户应用 PIN 重置

对于需要 PIN 才能访问的托管应用,允许的最终用户现在可以随时重置应用 PIN。 通过在 iOS/iPadOS 和 Android 应用保护策略中选择用于访问的 PIN,可以在 Intune 中要求应用 PIN。

有关应用保护策略的详细信息,请参阅应用保护策略概述

最大应用包大小

付费客户将应用上传到 Intune 的最大包大小已从 8 GB 更改为 30 GB。 试用租户仍限制为 8 GB。

有关详细信息,请参阅 Microsoft Intune 中的 Win32 应用管理

设备配置

在 Android Enterprise 设备上禁用位置的新设置

在 Android Enterprise 设备上,有一个新设置允许管理员控制位置 (设备>配置>创建>适用于平台的 Android Enterprise 完全托管、专用和 Corporate-Owned 工作配置文件>设备限制配置文件类型>常规) :>

  • 位置“阻止” 可禁用设备上的 “位置” 设置,并阻止用户将其打开。 禁用此设置后,依赖于设备位置的任何其他设置都会受到影响,包括 “定位设备 远程”操作。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许使用设备上的位置。

应用于:

  • Android Enterprise

有关可配置的设置的详细信息,请参阅 Android Enterprise 设备设置列表,以允许或限制使用 Intune 的公司拥有的设备上的功能

iOS/iPadOS 和 macOS 设备上的设置目录中托管软件更新的日期和时间选取器

使用设置目录,可以在 iOS/iPadOS 和 macOS 设备上强制实施托管更新,方法是输入日期和时间 (设备>配置>为配置文件类型>声明性设备管理>软件更新) 创建>iOS/iPadOSmacOS for 平台>设置目录

以前,必须手动键入日期和时间。 现在,有一个日期和时间选取器用于 “目标本地日期时间 ”设置:

声明性设备管理 (DDM) > 软件更新

  • 目标本地日期时间

重要

如果在 2024 年 1 月版本之前使用此设置创建策略,则此值将显示 Invalid Date 此设置。 更新仍会正确安排,并使用最初配置的值,即使它显示 Invalid Date

若要配置新的日期和时间,可以删除 Invalid Date 这些值,并使用日期时间选取器选择新的日期和时间。 或者,可以创建新策略。

应用于:

  • iOS/iPadOS
  • macOS

有关在 Intune 中配置托管软件更新的详细信息,请参阅使用设置目录配置托管软件更新

设备管理

Microsoft Intune 中的新设备管理体验

我们正在Intune管理中心推出设备管理体验更新。 “ 设备” 区域现在具有更一致的 UI,具有更强大的控件和改进的导航结构,因此你可以更快地找到所需的内容。 新体验(以前为公共预览版)将在未来几周内逐步推出正式版。 在租户收到更新之前,公共预览体验将继续可用。

此新的管理中心体验的可用性因租户而异。 虽然少数人会立即看到此更新,但许多人可能几周内看不到新体验。 对于政府云,此体验的可用性估计在 2024 年 2 月下旬左右。

由于推出时间线,我们将尽快将文档更新为新体验,以帮助轻松过渡到新的管理中心布局。 在此转换期间,我们无法提供并排内容体验,并相信提供与新体验一致的文档可为更多客户带来更多价值。 如果要在更新租户之前尝试新体验并与文档过程保持一致,请转到 “设备>概述”,选择显示 “预览即将对设备进行的更改并提供反馈”的通知横幅,然后选择“ 立即试用”。

BlackBerry Protect Mobile 现在支持应用保护策略

现在,可以将Intune应用保护策略与由 Cylance AI) 提供支持的 BlackBerry 保护移动 (配合使用。 通过此更改,Intune支持 BlackBerry Protect Mobile 进行移动应用程序管理, (未注册设备的 MAM) 方案。 这包括将风险评估与条件访问结合使用,以及配置未注册设备的条件启动设置。

在配置 CylancePROTECT Mobile 连接器 (以前是 BlackBerry Mobile) 时,现在可以选择选项来为 Android 和 iOS/iPadOS 设备启用应用保护策略评估

有关详细信息,请参阅设置 BlackBerry 保护移动版和使用 Intune 创建移动威胁防御应用保护策略

设备安全性

对由 Microsoft Defender for Endpoint 管理的设备Intune Defender 更新控制策略的支持

现在,可以从 Microsoft Intune 管理中心使用 Defender 更新控制 (防病毒策略的终结点安全策略) 通过Microsoft Defender for Endpoint安全设置管理功能管理的设备。

  • Defender 更新控制 策略是终结点安全 防病毒策略的一部分。

使用 Windows 10、Windows 11 和 Windows Server 平台时,适用于以下各项:

  • Windows 10
  • Windows 11

提供此支持后,在 Defender for Endpoint 管理但未注册Intune时分配了此策略的设备现在将应用策略中的设置。 检查策略,确保只有你打算接收策略的设备才能获得该策略。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • PrinterOn Print by PrinterOn, Inc. (iOS/iPadOS)
  • Intune 由 MFB Technologies, Inc. (iOS/iPadOS)

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

监视和疑难解答

监视设备的报表

在Intune中,可以查看所有设备监视报告的新列表。 可以通过选择“设备>监视器”在管理中心Microsoft Intune找到这些报表。 “ 监视 ”窗格提供与配置、符合性、注册和软件更新相关的报告。 此外,还可以查看其他报表,例如 “设备操作”。

有关详细信息,请参阅 Intune 报表

导出的报表数据维护搜索结果

Intune现在可以在导出报表数据时维护报表搜索和筛选结果。 例如,使用 “不符合设备和设置” 报表时,将 OS 筛选器设置为“Windows”,然后搜索“电脑”,导出的数据将仅包含名称中带有“PC”的 Windows 设备。 直接调用 ExportJobs API 时,此功能也可用。

轻松上传 Microsoft Tunnel 服务器的诊断日志

现在,可以在Intune管理中心内单击一次,Intune为 Tunnel Gateway Server 启用、收集和提交 8 小时的详细日志。 然后,可以在与 Microsoft 合作时引用详细日志,以识别或解决 Tunnel 服务器的问题。

相比之下,详细日志的集合以前要求登录到服务器,运行手动任务和脚本以启用和收集详细日志,然后将其复制到可从中传输到 Microsoft 的位置。

若要查找此新功能,请在管理中心转到 “租户管理>”“Microsoft Tunnel 网关> ”,选择服务器 > ,选择“ 日志 ”选项卡。在此选项卡上,是名为 “发送详细服务器日志 ”的新部分,其中标有“ 发送日志”按钮,以及显示已收集并提交给 Microsoft 的各种日志集的列表视图。

选择“ 发送日志 ”按钮时:

  • Intune在收集详细日志之前捕获并提交当前服务器日志作为基线。
  • 详细日志记录在级别 4 自动启用,并运行 8 小时,以提供时间来重现问题,以便在这些日志中进行捕获。
  • 8 小时后,Intune提交详细日志,然后将服务器还原到其默认的详细级别 0 (0) ,以便正常操作。 如果以前将日志设置为在更高的详细级别运行,则可以在日志收集和上传完成后还原自定义详细级别。
  • 每次Intune收集和提交日志时,都会更新按钮下方的列表视图。
  • 按钮下方是过去日志提交的列表,其中显示了其详细级别和事件 ID,可在使用 Microsoft 引用一组特定的日志时使用该 ID。

有关此功能的详细信息,请参阅 轻松上传 Tunnel 服务器的诊断日志

2023 年 12 月 11 日 (服务版本 2312)

应用管理

支持将非托管 PKG 类型应用程序添加到托管 macOS 设备现已正式发布

现在,可以使用适用于 macOS 设备的 Intune MDM 代理,将非托管 PKG 类型应用程序上传并部署到托管的 macOS 设备。 使用此功能可以部署自定义 PKG 安装程序,例如未签名的应用和组件包。 可以通过为应用类型选择“应用>macOS>添加>macOS 应用 (PKG) ”,在 Intune 管理中心添加 PKG 应用。

应用于:

  • macOS

有关详细信息,请参阅将非托管 macOS PKG 应用添加到Microsoft Intune。 若要部署托管 PKG 类型应用,可以继续将 macOS 业务线 (LOB) 应用添加到Microsoft Intune。 有关适用于 macOS 设备的 Intune MDM 代理的详细信息,请参阅 macOS Microsoft Intune管理代理

政府云环境和中国的 21 Vianet 中支持 Windows MAM

美国政府社区 (GCC) 、美国政府社区 (GCC) High 和国防部 (DoD) 环境中的客户租户现在可以使用 Windows MAM。 有关相关信息,请参阅在 GCC High 和 DoD 环境中使用 Intune 部署应用以及 Windows MAM 的数据保护

此外,Windows MAM 适用于由世纪互联在中国运营的Intune。 有关详细信息,请参阅由世纪互联在中国运营的Intune

设备配置

更新了 Microsoft Edge v117 的安全基线

我们发布了 Microsoft Edge Intune安全基线版本 v117 的新版本。 此更新提供了对最新设置的支持,因此你可以继续维护 Microsoft Edge 的最佳做法配置。

我们还更新了此基线的 参考文章 ,你可以在其中查看此基线版本包含的设置的默认配置。

设备管理

对不符合电子邮件通知中的变量的支持

使用变量对用户设备不符合要求时发送的电子邮件通知进行个性化设置。 模板中包含的变量(如 {{username}}{{devicename}})将替换为用户接收的电子邮件中的实际用户名或设备名称。 所有平台都支持变量。

有关详细信息和支持的变量列表,请参阅 创建通知消息模板

更新了Microsoft Defender for Endpoint连接器的报表可视化效果

我们更新了 Microsoft Defender for Endpoint 连接器的报告可视化效果。 此 报表可视化效果 根据 Defender CSP 的状态显示已加入 Defender for Endpoint 的设备计数,并直观地与使用条形图表示具有不同状态值的设备百分比的其他最近报表视图保持一致。

设备安全性

添加到 Windows 设备的防病毒策略中用于计划防病毒扫描的新设置

我们已将两个设置添加到适用于Windows 10和Windows 11设备的终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件。 这两个设置协同工作,首先启用对设备防病毒扫描的随机开始时间的支持,然后定义随机扫描开始的时间范围。 由 Intune 管理的设备以及通过 Defender for Endpoint 安全设置管理方案管理的设备支持这些设置。

除了添加到 Microsoft Defender 防病毒配置文件之外,现在还可以从设置目录中获取这两种设置。

应用于:

  • Windows 10
  • Windows 11

Microsoft Tunnel 支持 Android Enterprise 的 VPN 配置文件中的直接代理排除列表

Intune现在支持在为适用于 Android 设备的 Microsoft Tunnel 配置 VPN 配置文件时配置代理排除列表。 使用排除列表,可以从代理设置中排除特定域,而无需使用代理自动配置 (PAC) 文件。 代理排除列表可用于 Microsoft Tunnel 和 适用于 MAM 的 Microsoft Tunnel。

在使用单个代理的环境中支持代理排除列表。 使用多个代理服务器时,排除列表不适用或不受支持,应继续使用 。PAC 文件。

应用于:

  • Android Enterprise

报告 TLS 证书吊销情况的 Microsoft Tunnel 服务器运行状况指标

我们已为 Microsoft Tunnel 添加了名为 TLS 证书吊销的新运行状况指标。 此新的运行状况指标通过访问联机证书状态协议 (TLS 证书中定义的 OCSP) 或 CRL 地址来报告隧道服务器 TLS 证书的状态。 可以通过导航到租户管理>Microsoft Tunnel 网关>运行状况状态,选择一个服务器,然后选择该服务器“运行状况检查”选项卡,查看Microsoft Intune管理中心中所有运行状况检查的此新检查的状态。

此指标作为现有 Tunnel 运行状况检查的一部分运行,并支持以下状态:

  • 正常:未吊销 TLs 证书
  • 警告:如果 TLS 证书被吊销,则无法检查
  • 不正常:TLS 证书已吊销,应更新

有关 TLS 证书吊销检查的详细信息,请参阅监视 Microsoft Tunnel

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Akumina EXP by Akumina Inc.

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2023 年 11 月 27 日当周

应用管理

在适用于 Android 设备的 Microsoft 365 (Office) 中配置脱机缓存

应用保护策略中将“保存到本地存储”设置设置为“已阻止”时,可以使用应用配置策略中的配置密钥来启用或禁用脱机缓存。 此设置仅适用于 Android 上的 Microsoft 365 (Office) 应用。

有关详细信息,请参阅 Microsoft 365 (Office) 中的数据保护设置

设备上的 Win32 应用宽限期设置

在已部署具有宽限期设置的 Win32 应用的设备上,没有管理权限的低权限用户现在可以与宽限期 UX 交互。 设备上的管理员继续能够与设备上的宽限期 UX 交互。

有关宽限期行为的详细信息,请参阅 设置 Win32 应用可用性和通知

托管主屏幕应用配置添加

Microsoft 托管主屏幕 (MHS) 现已更新为公共预览版,以改进核心工作流和用户体验。 除了一些用户界面更改外,还有一个新的顶部栏导航,管理员可以在其中配置要显示的设备标识属性。 此外,用户可以在顶部栏上请求权限时访问设置、登录/注销和查看通知。

可以添加其他设置来配置适用于 Android Enterprise 的 托管主屏幕 应用。 Intune现在支持 Android Enterprise 应用配置策略中的以下设置:

  • 启用更新的用户体验
  • 顶部栏主元素
  • 顶部栏辅助元素
  • 顶部栏用户名样式

有关详细信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用

适用于 .NET MAUI 的 Intune APP SDK

使用适用于 .NET MAUI 的 Intune APP SDK,可以针对包含 .NET 多平台应用 UI 的Intune开发 Android 或 iOS 应用。 使用此框架开发的应用将允许你强制实施Intune移动应用程序管理。 有关 Android 上的 .NET MAUI 支持,请参阅 Intune适用于 .NET MAUI 的应用 SDK - Android。 有关 iOS 上的 .NET MAUI 支持,请参阅 Intune适用于 .NET MAUI 的应用 SDK - iOS

2023 年 11 月 13 日 (服务版本 2311)

应用管理

在适用于 Android、Android AOSP 的应用中添加了新的宽限期状态

适用于 Android 的 Intune 公司门户 应用和适用于 Android AOSP 的 Microsoft Intune 应用现在对不符合合规性要求但仍在给定宽限期内的设备显示宽限期状态。 用户可以看到设备必须合规的日期,以及有关如何变得合规的说明。 如果用户未在给定日期前更新其设备,则设备将标记为不符合。

有关详细信息,请参阅以下文章:

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>配置>”“创建>iOS/iPadOSmacOS for platform >设置目录”,了解配置文件类型。

iOS/iPadOS

托管设置

  • 数据漫游
  • 个人热点
  • 语音漫游 (已弃用) :此设置在 iOS 16.0 中已弃用。 数据漫游是替换设置。
共享 iPad

托管设置

  • 诊断提交
macOS

> Microsoft Defender防病毒引擎

  • 启用被动模式 (弃用) :此设置已弃用。 强制级别是替换设置。
  • 启用实时保护 (已弃用) :此设置已弃用。 强制级别是替换设置。
  • 强制级别

Windows 设置目录中现在提供了用于管理适用于 Linux 的 Windows 子系统的设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

我们已将设置添加到 Windows 设置目录,适用于 Linux 的 Windows 子系统 ( WSL) 。 通过这些设置,Intune与 WSL 集成,因此管理员可以自行管理 WSL 部署和 Linux 实例中的控件。

若要查找这些设置,请在Microsoft Intune管理中心转到“设备>配置>创建新>策略>Windows 10及更高版本”,了解配置文件类型的平台>设置目录

适用于 Linux 的 Windows 子系统

  • 允许内核调试
  • 允许自定义网络配置
  • 允许自定义系统分发配置
  • 允许内核命令行配置
  • 允许自定义内核配置
  • 允许 WSL1
  • 允许适用于 Linux 的 Windows 子系统
  • 允许适用于 Linux 的 Windows 子系统的收件箱版本
  • 允许用户设置防火墙配置
  • 允许嵌套虚拟化
  • 允许直通磁盘装载
  • 允许调试 shell

应用于:

  • Windows 10
  • Windows 11

设备注册

共享设备模式下的 iOS/iPadOS 设备的注册现已正式发布

现已正式发布,可在 Microsoft Intune 管理中心进行配置,为处于共享设备模式的 iOS/iPadOS 设备设置自动设备注册。 共享设备模式是Microsoft Entra的一项功能,使一线员工能够全天共享单个设备,并根据需要登录和注销。

有关详细信息,请参阅 在共享设备模式下为设备设置注册

设备管理

管理中心中新设备体验的改进 (公共预览版)

我们已对 Microsoft Intune 管理中心中的新设备体验进行了以下更改:

  • 特定于平台的选项的其他入口点:从 “设备 ”导航菜单访问平台页面。
  • 监视报表的快速条目:选择指标卡的标题以转到相应的监视报告。
  • 改进了导航菜单:我们重新添加了图标,以在导航时提供更多的颜色和上下文。

在Microsoft Intune管理中心中翻转开关,以在公共预览版中试用新体验,并分享你的反馈。

有关更多信息,请参阅:

设备安全性

Linux 防病毒策略模板的其他设置

通过将以下设置添加到适用于 Linux 设备的 Microsoft Defender 防病毒模板,我们扩展了对 Linux 的支持:

  • cloudblocklevel
  • scanarhives
  • scanafterdefinitionupdate
  • maximumondemandscanthreads
  • behaviormonitoring
  • enablefilehashcomputation
  • networkprotection
  • enforcementlevel
  • nonexecmountpolicy
  • unmonitoredfilesystems

Intune 管理的设备以及仅由 Defender 通过 Defender for Endpoint 安全设置管理方案管理的设备,都支持适用于 Linux 的 Microsoft Defender 防病毒模板。

更新了 Microsoft 365 应用版 for Enterprise 的安全基线

我们发布了适用于企业的 Microsoft 365 应用版 Intune 安全基线版本 2306 的新版本。

Microsoft 365 Office 应用基线可帮助你快速将配置部署到满足 Microsoft Office 和安全团队安全建议的 Office 应用。 与所有基线一样,默认基线表示建议的配置。 可以修改默认基线以满足组织的要求。

我们还更新了此基线的 参考文章 ,你可以在其中查看此基线版本包含的设置的默认配置。

弃用和替换 Linux 和 macOS 终结点安全防病毒策略中的两个设置

我们已弃用 macOS 和 Linux 的防病毒Microsoft Defender防病毒配置文件的防病毒引擎类别中找到的两个设置。 这些配置文件作为Intune终结点安全防病毒策略的一部分提供。

对于每个平台,两个已弃用的设置将替换为一个新设置,该设置与Microsoft Defender for Endpoint管理设备配置的方式一致。

下面是两个已弃用的设置:

  • 启用实时保护 现在显示为 启用实时保护 (弃用)
  • 启用被动模式 现在显示为 启用被动模式 (弃用)

替换两个已弃用设置的新设置:

  • 强制级别 - 默认情况下,强制级别设置为 “被动 ”,并支持 “实时 ”和“ 按需”选项。

每个平台的 Intune 设置目录中也提供了这些设置,其中旧设置也标记为已弃用,并替换为新设置。

进行此更改后,配置了任一 已弃用 设置的设备将继续应用该配置,直到新设置 “强制级别”将设备作为目标。 一旦成为强制级别的目标,弃用的设置将不再应用于设备。

在将来的更新中,将从防病毒配置文件和设置目录中删除已弃用的设置,以Intune。

注意

适用于 Linux 的更改现已推出。 macOS 设置标记为已弃用,但 强制级别 设置在 12 月之前不可用。

应用于:

  • Linux
  • macOS

Microsoft Defender防火墙配置文件重命名为 Windows 防火墙

为了与 Windows 中的防火墙品牌更改保持一致,我们将更新终结点安全防火墙策略Intune配置文件的名称。 在名称Microsoft Defender防火墙的配置文件中,我们将用 Windows 防火墙替换该防火墙。

以下平台具有受影响的配置文件,只有配置文件名称受此更改影响:

  • Windows 10 及更高版本的 (ConfigMgr)
  • Windows 10、Windows 11 和 Windows Server

用于管理 Windows Hyper-V 防火墙设置的 Windows 防火墙的终结点安全防火墙策略

我们已将新设置添加到 Windows 防火墙配置文件, (以前Microsoft Defender防火墙) 终结点安全防火墙策略。 新设置可用于管理 Windows Hyper-V 设置。 若要配置新设置,请在 Microsoft Intune 管理中心,转到“终结点安全>防火墙>平台:Windows 10、Windows 11和 Windows Server> 配置文件:Windows 防火墙”。

以下设置已添加到 防火墙 类别:

  • 目标 - 当 Target 设置为 适用于 Linux 的 Windows 子系统 时,以下子设置适用:
    • 启用公用网络防火墙
    • 启用专用网络防火墙
    • 允许主机策略合并
    • 启用域网络防火墙
    • 启用环回

应用于:

  • Windows 10
  • Windows 11

有关这些设置的详细信息,请参阅 具有高级安全性的 Windows 防火墙

适用于 Windows Hyper-V 防火墙规则的新终结点安全防火墙策略配置文件

我们发布了名为 Windows Hyper-V 防火墙规则的新配置文件,你可以通过终结点安全防火墙策略的Windows 10、Windows 11和 Windows Server 平台路径找到该配置文件。 使用此配置文件可以管理适用于 Windows 上特定 Hyper-V 容器的防火墙设置和规则,包括适用于 Linux 的 Windows 子系统 (WSL) 和适用于 Android 的 Windows 子系统 (WSA) 等应用程序。

应用于:

  • Windows 10
  • Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • 嘿,Intune由公民公司。
  • Microsoft Corporation (iOS) 的 Microsoft Azure
  • KeePassium Labs (iOS) 的 KeePassium for Intune

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2023 年 11 月 6 日当周

应用管理

iOS 公司门户的最低版本更新

用户需要更新到 iOS 公司门户的 v5.2311.1。 如果已启用 阻止使用 App Store 安装应用 设备限制设置,则可能需要向使用该设置的相关设备推送更新。 否则,无需执行任何操作。

如果你有支持人员,你可能希望让他们知道更新公司门户应用的提示。 大多数情况下,用户将应用更新设置为自动更新,因此他们无需执行任何操作即可收到更新的公司门户应用。 系统将提示具有早期应用版本的用户更新到最新的公司门户应用。

设备安全性

Defender for Endpoint 安全设置管理增强功能和对 Linux 和 macOS 的支持已正式发布

Defender for Endpoint 安全设置管理 选择加入公共预览版 中引入的改进现已正式发布。

通过此更改,安全设置管理的默认行为包括为选择加入预览版添加的所有行为 , 而无需在 Microsoft Defender for Endpoint 中启用对预览功能的支持。 这包括 Linux 和 macOS 的以下终结点安全配置文件的正式发布和支持:

Linux

  • Microsoft Defender 防病毒
  • Microsoft Defender 防病毒软件排除
  • 终结点检测和响应

MacOS

  • Microsoft Defender 防病毒
  • Microsoft Defender 防病毒软件排除
  • 终结点检测和响应

有关详细信息,请参阅Intune文档中Microsoft Defender for Endpoint安全设置管理

设备管理

功能更新和报表支持Windows 11策略

功能更新策略上的新设置使组织能够将Windows 11部署到有资格升级的设备,同时确保不符合升级条件的设备使用单个策略的最新Windows 10功能更新。 因此,管理员无需创建或管理符合条件的和不符合条件的设备的组。

有关功能更新的详细信息,请参阅 Windows 10 及更高版本的功能更新

2023 年 10 月 30 日当周

设备安全性

Microsoft Edge 中的严格隧道模式可用于 Android 和 iOS/iPadOS 设备上的适用于 MAM 的 Microsoft Tunnel

在 Intune 中,可以在 Android 和 iOS/iPadOS 设备上使用 适用于移动应用管理的 Microsoft Tunnel (MAM) 。 使用 MAM 隧道,未在 Intune) 中注册的非托管设备 (设备可以访问本地应用和资源。

可以为 Microsoft Edge 配置新的 严格隧道模式 功能。 当用户使用组织帐户登录 Microsoft Edge 时,如果未连接 VPN,则 严格隧道模式 会阻止 Internet 流量。 当 VPN 重新连接时,Internet 浏览将再次可用。

若要配置此功能,请创建 Microsoft Edge 应用配置策略,并添加以下设置:

  • com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
  • True

应用于:

  • Android Enterprise 版本 10 及更高版本
  • iOS/iPadOS 版本 14 及更高版本

有关更多信息,请参阅:

2023 年 10 月 23 日 (服务版本 2310)

应用管理

适用于 Android 公司门户 应用的用户的更新

如果用户启动低于 2021 年 11 月) (版本 5.0.5333.0 的 Android 公司门户 应用版本,他们将看到一条提示,鼓励他们更新 Android 公司门户 应用。 如果 Android 公司门户 版本较旧的用户尝试使用最新版本的 Authenticator 应用进行新设备注册,此过程可能会失败。 若要解决此行为,请更新 Android 公司门户 应用。

iOS 设备的最低 SDK 版本警告

iOS 设备上的 iOS 条件启动设置 的最小 SDK 版本 现在包括 警告 操作。 如果不满足最低 SDK 版本要求,此操作会警告最终用户。

有关详细信息,请参阅 iOS 应用保护策略设置

Apple LOB 和应用商店应用的最低 OS

可以将最低操作系统配置为 Apple 业务线应用和 iOS/iPadOS 应用商店应用的最新 Apple OS 版本。 可以设置 Apple 应用的最低操作系统,如下所示:

  • 适用于 iOS/iPadOS 业务线应用的 iOS/iPadOS 17.0
  • 适用于 macOS 业务线应用的 macOS 14.0
  • 适用于 iOS/iPadOS 应用商店应用的 iOS/iPadOS 17.0

应用于:

  • iOS/iPadOS
  • macOS

Android (AOSP) 支持业务线 (LOB) 应用

可以使用 “必需 ”和“卸载”组分配在 AOSP 设备上安装和 卸载 必需的 LOB 应用。

应用于:

  • Android

若要详细了解如何管理 LOB 应用,请参阅将 Android 业务线应用添加到Microsoft Intune

非托管 macOS PKG 应用的配置脚本

现在可以在非托管 macOS PKG 应用中配置预安装脚本和安装后脚本。 此功能比自定义 PKG 安装程序更灵活。 配置这些脚本是可选的,需要 macOS 设备的 Intune 代理 v2309.007 或更高版本。

有关将脚本添加到非托管 macOS PKG 应用的详细信息,请参阅 添加非托管 macOS PKG 应用

设备配置

设置目录和管理模板中提供了 FSLogix 设置

设置目录和管理模板中提供了 FSLogix 设置 , (ADMX) 进行配置。

以前,若要在 Windows 设备上配置 FSLogix 设置,请使用 Intune 中的 ADMX 导入功能导入这些设置。

应用于:

  • Windows 10
  • Windows 11

有关这些功能的详细信息,请参阅:

在托管 Google Play 应用中使用委托的范围,这些应用在 Android Enterprise 设备上配置增强的权限

在托管 Google Play 应用中,可以使用委托的范围为应用授予增强的权限。

当应用包括委托的范围时,可以在设备配置文件中配置以下设置, (设备>配置>创建>适用于平台的 Android Enterprise 完全托管、专用和 Corporate-Owned 工作配置文件>设备限制,用于配置文件类型>应用程序) :>

  • 允许其他应用安装和管理证书:管理员可以为此权限选择多个应用。 向所选应用授予对证书安装和管理的访问权限。
  • 允许此应用访问 Android 安全日志:管理员可以为此权限选择一个应用。 所选应用有权访问安全日志。
  • 允许此应用访问 Android 网络活动日志:管理员可以为此权限选择一个应用。 所选应用有权访问网络活动日志。

若要使用这些设置,托管的 Google Play 应用必须使用委托的范围。

应用于:

  • Android Enterprise 完全托管设备
  • Android Enterprise 专用设备
  • 具有工作配置文件的 Android Enterprise 公司拥有的设备

有关此功能的详细信息,请参阅:

Samsung 终止了对 Android 设备管理员 (DA) 设备上的展台模式的支持

Samsung 将 Android 设备管理员上使用的 Samsung Knox 展台 API 标记为在 Knox 3.7 (Android 11) 中弃用。

虽然这些功能可能会继续工作,但不能保证它将继续工作。 三星不会修复可能出现的 bug。 有关 Samsung 对已弃用 API 的支持的详细信息,请参阅弃用 API 后提供哪种类型的支持? (打开 Samsung 的网站) 。

相反,可以使用专用设备管理通过Intune来管理展台设备

应用于:

  • Android 设备管理员 (DA)

导入和导出设置目录策略

Intune设置目录列出了可以配置的所有设置,所有设置都在一个位置 (设备>配置>创建新>策略> 选择平台> For Profile,选择“设置目录) ”。

可以导入和导出设置目录策略:

  • 若要导出现有策略,请选择配置文件>,选择省略号>“导出 JSON”。
  • 若要导入以前导出的设置目录策略,请选择“ 创建>导入策略> ”,选择以前导出的 JSON 文件。

有关设置目录的详细信息,请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置

注意

此功能将继续推出。可能需要几周后才能在租户中提供它。

用于阻止用户使用同一密码解锁设备以及使用工作配置文件访问 Android Enterprise 个人拥有设备上的工作配置文件的新设置

在具有工作配置文件的 Android Enterprise 个人拥有的设备上,用户可以使用相同的密码解锁设备并访问工作配置文件。

有一个新设置,可以强制实施不同的密码来解锁设备并访问工作配置文件 (设备>配置>为平台>创建>Android Enterprise>个人拥有的工作配置文件,配置文件类型的设备限制) :

  • 设备和工作配置文件的一个锁“阻止” 可阻止用户对设备和工作配置文件上的锁屏界面使用相同的密码。 最终用户需要输入设备密码才能解锁设备,并输入其工作配置文件密码才能访问其工作配置文件。 设置为“未配置” (默认) 时,Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户使用单个密码访问其工作配置文件。

此设置是可选的,不会影响现有配置文件。

目前,如果工作配置文件密码不符合策略要求,则设备用户会看到通知。 设备未标记为不合规。 正在为工作配置文件创建单独的符合性策略,并将在未来版本中提供。

应用于:

  • Android Enterprise 个人拥有的工作配置文件设备 (BYOD)

有关可以在个人拥有的设备上配置工作配置文件的设置列表,请参阅 Android Enterprise 设备设置列表,以允许或限制使用Intune的个人拥有设备上的功能

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置,请在Microsoft Intune管理中心,转到“设备>配置>”“创建>配置文件类型的 macOS>设置目录”。

隐私 > 隐私首选项策略控制

  • 系统策略应用数据

限制:

  • 强制仅限设备上的听写

应用于:

  • macOS

有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略

设备注册

个人 iOS/iPadOS 设备使用 JIT 注册进行基于 Web 的设备注册

Intune支持基于 Web 的设备注册, (JIT) 通过 Apple 设备注册设置的个人设备注册。 JIT 注册减少了在整个注册体验中向用户显示的身份验证提示数,并跨设备建立 SSO。 Intune 公司门户的 Web 版本上进行注册,无需公司门户应用。 此外,此注册方法使没有托管 Apple ID 的员工和学生能够注册设备和访问批量购买的应用。

有关详细信息,请参阅 为 iOS 设置基于 Web 的设备注册

设备管理

汇报Intune加载项页

“租户管理”下的“Intune加载项”页包括“你的加载项”、“所有加载项”“功能”。 它提供了一个增强的视图来查看你的试用版或购买的许可证、你已授权在租户中使用的附加功能,以及 Microsoft 管理中心中对新计费体验的支持。

有关详细信息,请参阅使用 Intune Suite 加载项功能

适用于 Android 的远程帮助现已正式发布

远程帮助正式适用于 Zebra 和 Samsung 的 Android Enterprise 专用设备。

借助远程帮助,IT 专业人员可以远程查看设备屏幕,并在有人参与和无人参与的情况下完全控制设备屏幕,从而快速高效地诊断和解决问题。

应用于:

  • 由 Zebra 或 Samsung 制造的 Android Enterprise 专用设备

有关详细信息,请参阅 Android 上的远程帮助

设备安全性

在设置目录中为 Apple 设备配置声明性软件更新和密码策略

可以使用 Apple 的声明性设备管理 (DDM) 配置来管理软件更新和密码, (设备>配置>创建>iOS/iPadOSmacOS for platform >设置目录 ,用于配置文件类型 >声明性设备管理) 。

有关 DDM 的详细信息,请参阅 Apple 的声明性设备管理 (DDM) (打开 Apple 网站) 。

DDM 允许在强制截止时间之前安装特定更新。 当设备处理整个软件更新生命周期时,DDM 的自治特性提供了改进的用户体验。 它提示用户更新可用,并下载、准备设备进行安装、& 安装更新。

在设置目录中,声明性 设备管理 > 软件更新中提供了以下声明性软件更新设置

  • 详细信息 URL:显示更新详细信息的网页 URL。 通常,此 URL 是由组织托管的网页,用户可以选择是否需要组织特定的更新帮助。
  • 目标内部版本:将设备更新到的目标内部版本,例如 20A242。 生成版本可以包含补充版本标识符,例如 20A242a。 如果输入的内部版本与输入 的“目标 OS 版本” 值不一致,则 “目标 OS 版本” 值优先。
  • 目标本地日期时间:指定何时强制安装软件更新的本地日期时间值。 如果用户在此时间之前未触发软件更新,则设备会强制安装它。
  • 目标 OS 版本:将设备更新到的目标 OS 版本。 此值是 OS 版本号,如 16.1。 还可以包含补充版本标识符,例如 16.1.1

有关此功能的详细信息,请参阅 使用设置目录管理软件更新

在设置目录中,声明性设备管理>密码中提供了以下声明性密码设置:

  • 自动设备锁定:输入系统自动锁定设备之前用户可以空闲的最长时间。
  • 最大宽限期:输入用户无需密码即可解锁设备的最大时间段。
  • 最大失败尝试次数:输入之前错误密码尝试的最大次数:
    • iOS/iPadOS 擦除设备
    • macOS 锁定设备
  • 最小密码长度:输入密码必须具有的最小字符数。
  • 密码重用限制:输入以前使用过的不能使用的密码数。
  • 需要复杂密码:设置为 True 时,需要复杂密码。 复杂密码没有重复字符,也没有递增或递减字符,如 123CBA
  • 设备上需要密码:设置为 True 时,用户必须设置密码才能访问设备。 如果未设置其他密码限制,则对密码的长度或质量没有任何要求。

应用于:

  • iOS/iPadOS 17.0 及更高版本
  • macOS 14.0 及更高版本

有关设置目录的信息,请参阅 使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置

Mvision Mobile 现在为 Trellix Mobile Security

Intune移动威胁防御合作伙伴Mvision Mobile 已过渡到 Trellix Mobile Security。 通过此更改,我们更新了文档和Intune管理中心 UI。 例如, Mvision Mobile 连接器 现在是 Trellix Mobile Security。 Mvision Mobile 连接器的现有安装也会更新到 Trellix Mobile Security。

如果对此更改有任何疑问,请联系 Trellix Mobile Security 代表。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • 兄弟工业有限公司的BuddyBoard
  • Microsoft Corporation Microsoft Loop

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

监视和疑难解答

策略符合性和设置合规性的更新报告现已正式发布

以下设备符合性报告已公开预览版,现已正式发布:

此次正式发布后,两个报表的旧版本已从 Intune 管理中心停用,不再可用。

有关这些更改的详细信息,请参阅 上的 Intune 支持团队博客https://aka.ms/Intune/device_compl_report

租户管理

Intune管理中心主页更新

Intune管理中心主页经过重新设计,具有全新的外观和更动态的内容。 “状态”部分已简化。 可以在聚焦部分中浏览Intune相关功能。 从Intune中获取更多内容部分提供了指向Intune社区和博客的链接,Intune客户成功。 此外,文档和培训部分提供了指向Intune新增功能开发中的功能和更多培训的链接。 在Microsoft Intune管理中心,选择“主页”。

2023 年 10 月 16 日当周

租户管理

endpoint.microsoft.com URL 重定向到 intune.microsoft.com

此前,已宣布Microsoft Intune管理中心有一个新的 URL (https://intune.microsoft.com) 。

URL https://endpoint.microsoft.com 现在重定向到 https://intune.microsoft.com

新增功能存档

对于前几个月,请参阅 新增功能存档

通知

这些通知提供了重要信息,可以帮助你为未来的 Intune 更改和功能做好准备。

更新到适用于 Android 的最新公司门户、适用于 iOS 的 Intune App SDK 和适用于 iOS 的 Intune 应用包装器

2024 年 6 月 1 日开始,我们将进行更新,以改进Intune移动应用程序管理 (MAM) 服务。 此更新需要将 iOS 包装的应用、iOS SDK 集成应用和 Android 公司门户更新到最新版本,以确保应用程序保持安全并顺利运行。

重要

如果不更新到最新版本,将阻止用户启动应用。

请注意,Android 更新的方式,一旦设备上有一个具有更新 SDK 的 Microsoft 应用程序,并且公司门户更新到最新版本,Android 应用就会更新。 因此,此消息侧重于 iOS SDK/应用包装器更新。 建议始终将 Android 和 iOS 应用更新到最新的 SDK 或应用包装器,以确保应用继续顺利运行。

这对你或你的用户有何影响?

如果用户尚未更新到最新的 Microsoft 或第三方应用保护支持的应用,将阻止他们启动其应用。 如果你有使用 Intune 包装器或 Intune SDK 的 iOS 业务线 (LOB) 应用程序,则必须使用包装器/SDK 版本 17.7.0 或更高版本,以免用户被阻止。

如何准备?

计划在 2024 年 6 月 1 日之前进行以下更改:

  • 使用旧版 Intune SDK 或包装器的任何 iOS 业务线 (LOB) 应用都必须更新到 v17.7.0 或更高版本。
  • 对于策略针对 iOS 应用的租户:
    • 通知用户需要升级到最新版本的 Microsoft 应用。 可以在 应用商店中找到最新版本的应用。 例如,可 在此处 找到最新版本的 Microsoft Teams,并 在此处找到 Microsoft Outlook。
    • 此外,还可以选择启用以下 条件启动 设置:
      • 最小 OS 版本 设置,用于警告使用 iOS 15 或更早版本的用户,以便他们可以下载最新应用。
      • 在应用使用 17.7.0 之前的适用于 iOS 的 Intune SDK 时阻止用户的最小 SDK 版本设置。
      • 在较旧 Microsoft 应用 上警告用户的最小应用版本设置。 请注意,此设置必须位于仅针对目标应用的策略中。
  • 对于策略针对 Android 应用的租户:
    • 通知用户需要升级到公司门户应用的最新版本 (v5.0.6198.0) 。
    • 此外,还可以选择启用以下 条件启动 设备条件设置:
      • 最小公司门户版本设置,用于警告使用早于 5.0.6198.0 的 公司门户 应用版本的用户。

更改计划:在 2024 年 5 月终止对 Intune 应用 SDK Xamarin 绑定的支持

随着对 Xamarin 绑定的支持结束,Intune将从 2024 年 5 月 1 日起终止对 Xamarin 应用和Intune应用 SDK Xamarin 绑定的支持。

这对你或你的用户有何影响?

如果你有使用 Xamarin 构建的 iOS 和/或 Android 应用,并且正在使用 Intune 应用 SDK Xamarin 绑定来启用应用保护策略,请将应用升级到 .NET MAUI。

如何准备?

将基于 Xamarin 的应用升级到 .NET MAUI。 有关 Xamarin 支持和升级应用的详细信息,请查看以下文档:

更改计划:在 2024 年 4 月之前使用Microsoft Entra ID注册的应用 ID 更新 PowerShell 脚本

去年,我们宣布了基于 Microsoft Graph SDK 的 PowerShell 模块的新Microsoft Intune GitHub 存储库。 旧版 Microsoft Intune PowerShell 示例脚本 GitHub 存储库现在是只读的。 此外,从 2024 年 4 月 1 日开始,由于基于 Graph SDK 的 PowerShell 模块中更新了身份验证方法,将删除全局Microsoft Intune PowerShell 应用程序 (基于客户端) ID 的身份验证方法。

这对你或你的用户有何影响?

如果使用 Intune PowerShell 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) ,则需要使用Microsoft Entra ID注册的应用程序 ID 更新脚本,以防止脚本中断。

如何准备?

在 2024 年 4 月 1 日之前,通过以下方式更新 PowerShell 脚本:

  1. 在Microsoft Entra 管理中心中创建新的应用注册。 有关详细说明,请阅读:快速入门:向 Microsoft 标识平台注册应用程序
  2. 使用步骤 1 中创建的新应用程序 ID 更新包含 Intune 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) 的脚本。

Intune在 2024 年 10 月转向支持 Android 10 及更高版本以使用基于用户的管理方法

2024 年 10 月,Intune将转为支持 Android 10 及更高版本以使用基于用户的管理方法,其中包括:

  • Android Enterprise 个人拥有的工作配置文件
  • Android Enterprise 公司拥有的工作配置文件
  • Android Enterprise 完全托管设备
  • 基于用户的 Android 开源项目 (AOSP)
  • Android 设备管理员
  • 应用) (应用保护策略
  • 托管应用 (ACP) 的应用配置策略

今后,我们将在 10 月终止对一个或两个版本的支持,直到仅支持 Android 的最新四个主要版本。 可以通过阅读博客来了解有关此更改的详细信息:Intune 2024 年 10 月迁移到支持 Android 10 及更高版本以使用基于用户的管理方法

注意

Android 设备管理的无用户方法 (专用和 AOSP 无用户) 以及经 Microsoft Teams 认证的 Android 设备不会受到此更改的影响。

这对你或你的用户有何影响?

对于上面列出的基于用户的管理方法 () ,不支持运行 Android 9 或更低版本的 Android 设备。 对于不受支持的 Android OS 版本的设备:

  • Intune不提供技术支持。
  • Intune不会对 bug 或问题进行更改。
  • 不能保证新功能和现有功能正常工作。

虽然Intune不会阻止在不支持的 Android OS 版本上注册或管理设备,但无法保证功能,因此不建议使用。

如何准备?

如果适用,请通知支持人员此更新的支持声明。 以下管理员选项可用于帮助警告或阻止用户:

  • 为具有最低 OS 版本要求的应用配置 条件启动 设置,以警告和/或阻止用户。
  • 使用设备符合性策略并设置不合规操作,以向用户发送消息,然后再将其标记为不符合。
  • 设置 注册限制 以防止在运行旧版本的设备上注册。

有关详细信息,请查看:使用 Microsoft Intune 管理操作系统版本

更改计划:基于 Web 的设备注册将成为 iOS/iPadOS 设备注册的默认方法

目前,在创建 iOS/iPadOS 注册配置文件时,“使用 公司门户 进行设备注册”显示为默认方法。 在即将发布的服务版本中,在配置文件创建期间,默认方法将更改为“基于 Web 的设备注册”。 此外,对于 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。

注意

对于 Web 注册,需要部署单一登录 (SSO) 扩展策略,以启用实时 (JIT) 注册,有关详细信息,请查看:在 Microsoft Intune 中设置实时注册

这对你或你的用户有何影响?

这是在创建新的 iOS/iPadOS 注册配置文件时用户界面的更新,以将“基于 Web 的设备注册”显示为默认方法,现有配置文件不受影响。 对于 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。

如何准备?

根据需要更新文档和用户指南。 如果当前将设备注册与 公司门户 配合使用,建议迁移到基于 Web 的设备注册并部署 SSO 扩展策略以启用 JIT 注册。

其他信息:

使用 Intune 应用 SDK 的包装 iOS 应用和 iOS 应用将需要 Azure AD 应用注册

我们正在进行更新,以提高Intune移动应用程序管理 (MAM) 服务的安全性。 此更新要求在 2024 年 3 月 31 日之前向 Microsoft Entra ID ( Azure Active Directory (Azure AD) ) 注册 iOS 包装应用和 SDK 集成应用,才能继续接收 MAM 策略。

这对你或你的用户有何影响?

如果包装的应用或 SDK 集成应用未注册到 Azure AD,这些应用将无法连接到 MAM 服务来接收策略,并且用户无法访问未注册的应用。

如何准备?

在此更改之前,需要向 Azure AD 注册应用。 有关详细说明,请参阅下文。

  1. 按照以下说明将应用注册到 Azure AD:向 Microsoft 标识平台注册应用程序
  2. 将自定义重定向 URL 添加到应用设置,如 此处所述。
  3. 为应用授予对 Intune MAM 服务的访问权限,有关说明,请参阅此处
  4. 完成上述更改后, (MSAL) 为 Microsoft 身份验证库配置应用:
    1. 对于包装的应用:使用Intune App Wrapping Tool将 Azure AD 应用程序客户端 ID 添加到命令行参数中,如文档中所述:使用 Intune App Wrapping Tool 包装 iOS 应用 |Microsoft Learn -ac 和 -ar 是必需参数。 每个应用都需要一组唯一的这些参数。 -aa 仅适用于单租户应用程序。
    2. 有关 SDK 集成应用,请参阅Microsoft Intune适用于 iOS 的应用 SDK 开发人员指南 |Microsoft Learn。 ADALClientId 和 ADALRedirectUri/ADALRedirectScheme 现在是必需参数。 仅单租户应用程序需要 ADALAuthority。
  5. 部署应用。
  6. 验证上述步骤:
    1. 面向“com.microsoft.intune.mam.IntuneMAMOnly.RequireAADRegistration”应用程序配置策略,并将其设置为“已启用 - Intune应用 SDK 托管应用的配置策略 - Microsoft Intune |Microsoft Learn
    2. 面向应用程序的应用保护策略。 启用 “用于访问的工作或学校帐户凭据”策略 ,并将“在 (分钟不活动) 后重新检查访问要求”设置设置为低值,例如 1。
  7. 然后在设备上启动应用程序,并验证登录 (在应用启动时每分钟都需要) 配置的参数成功发生。
  8. 请注意,如果在执行其他步骤之前仅执行步骤 6 和 #7,可能会在应用程序启动时被阻止。 如果某些参数不正确,你也会注意到相同的行为。
  9. 完成验证步骤后,可以撤消步骤 6 中所做的更改。

注意

Intune很快需要使用 MAM 为 iOS 设备注册 Azure AD 设备。 如果已启用条件访问策略,则设备应已注册,并且不会注意到任何更改。 有关详细信息,请参阅Microsoft Entra已注册的设备 - Microsoft Entra |Microsoft Learn

更改计划:将 Jamf macOS 设备从条件访问过渡到设备符合性

我们一直在与 Jamf 合作制定迁移计划,帮助客户将 macOS 设备从 Jamf Pro 的条件访问集成过渡到其设备符合性集成。 设备符合性集成使用较新的Intune合作伙伴合规性管理 API,它涉及比合作伙伴设备管理 API 更简单的设置,并将 macOS 设备与 Jamf Pro 管理的 iOS 设备置于同一 API 上。 2024 年 9 月 1 日之后,将不再支持基于 Jamf Pro 的条件访问功能的平台。

请注意,某些环境中的客户最初无法转换,有关详细信息和更新,请阅读博客: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性

这对你或你的用户有何影响?

如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成,请遵循 Jamf 记录的指南将设备迁移到设备符合性集成: 从 macOS 条件访问迁移到 macOS 设备符合性 – Jamf Pro 文档

设备符合性集成完成后,某些用户可能会看到一次性提示输入其 Microsoft 凭据。

如何准备?

如果适用,请按照 Jamf 提供的说明迁移 macOS 设备。 如果需要帮助,请联系 Jamf Customer Success。 有关详细信息和最新更新,请阅读博客文章: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性

更新到适用于 iOS 的最新 Intune 应用 SDK 和 Intune 应用包装器,以支持 iOS/iPadOS 17

若要支持即将发布的 iOS/iPadOS 17 版本,请更新到最新版本的 Intune App SDK 和适用于 iOS 的App Wrapping Tool,以确保应用程序保持安全并顺利运行。 此外,对于使用条件访问授予“需要应用保护策略”的组织,用户应在升级到 iOS 17 之前将其应用更新到最新版本。 若要了解详细信息,请阅读博客:使用 MAM 策略更新Intune应用 SDK、包装和 iOS 应用以支持 iOS/iPadOS 17

更改计划:Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Google 已弃用 Android 设备管理员管理,继续删除管理功能,不再提供修复或改进。 由于这些更改,Intune将从 2024 年 8 月 30 日起终止对有权访问 Google 移动服务 (GMS) 设备上 Android 设备管理员管理的支持。 在此之前,我们支持在运行 Android 14 及更早版本的设备上管理设备管理员。 有关详细信息,请阅读博客:Microsoft Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

这对你或你的用户有何影响?

Intune终止对 Android 设备管理员的支持后,有权访问 GMS 的设备将通过以下方式受到影响:

  1. 用户无法向 Android 设备管理员注册设备。
  2. Intune不会对 Android 设备管理员管理进行更改或更新,例如 bug 修复、安全修复或解决新 Android 版本中的更改的修补程序。
  3. Intune技术支持将不再支持这些设备。

如何准备?

停止将设备注册到 Android 设备管理员,并将受影响的设备迁移到其他管理方法。 可以检查Intune报告,以查看哪些设备或用户可能受到影响。 转到 “设备>所有设备 ”,将 OS 列筛选到 Android (设备管理员) 以查看设备列表。

阅读博客,Microsoft Intune 2024 年 8 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持,了解我们推荐的替代 Android 设备管理方法,以及有关无法访问 GMS 的设备的影响的信息。

更改计划:Intune正在转向支持 iOS/iPadOS 15 及更高版本

今年晚些时候,我们预计苹果将发布iOS 17。 Microsoft Intune(包括Intune 公司门户和Intune应用保护策略) (APP(也称为 MAM) )将在 iOS 17 发布后不久需要 iOS 15/iPadOS 15 及更高版本

这对你或你的用户有何影响?

如果你正在管理 iOS/iPadOS 设备,则可能是设备无法升级到 iOS/iPadOS 15) 支持的最低版本 (。

由于 iOS/iPadOS 15.0 及更高版本支持Office 365移动应用,因此此更改可能不会对你造成影响。 你可能已经升级了 OS 或设备。

若要检查哪些设备支持 iOS 15 或 iPadOS 15 ((如果适用) ),请参阅以下 Apple 文档:

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况,其支持声明略有细微差别。 支持的最低操作系统版本将更改为 iOS 15/iPadOS 15,而允许的操作系统版本将更改为 iOS 12/iPadOS 12 及更高版本。 有关详细信息 ,请参阅此关于 ADE 无用户支持的声明

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备,请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备,请转到“应用>监视器>应用保护状态”,并使用“平台平台版本”列进行筛选。

若要管理组织中支持的 OS 版本,可以对 MDM 和 APP 使用Microsoft Intune控件。 有关详细信息,请参阅 使用 Intune 管理操作系统版本。

更改计划:Intune今年晚些时候将转向支持 macOS 12 及更高版本

今年晚些时候,我们预计苹果将发布 macOS 14 Sonoma。 Microsoft Intune,公司门户应用和Intune移动设备管理代理将迁移到支持 macOS 12 及更高版本。 由于适用于 iOS 和 macOS 的 公司门户 应用是统一应用,因此此更改将在 iOS/iPadOS 17 发布后不久发生。

这对你或你的用户有何影响?

仅当当前管理或计划使用Intune管理 macOS 设备时,此更改才会影响你。 此更改可能不会影响你,因为你的用户可能已升级其 macOS 设备。 有关受支持的设备列表,请参阅 macOS Monterey 与这些计算机兼容

注意

当前在 macOS 11.x 或更早版本上注册的设备将继续保持注册状态,即使这些版本不再受支持。 如果新设备正在运行 macOS 11.x 或更早版本,则它们将无法注册。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列,以帮助确定组织中谁拥有运行 macOS 11.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。

更改计划:终止对适用于企业的 Microsoft Store和教育应用的支持

2023 年 4 月,我们开始终止对 Intune 适用于企业的 Microsoft Store 体验的支持。 这在几个阶段发生。 有关详细信息,请参阅:在 Intune 中将适用于企业的 Microsoft Store和教育应用添加到 Microsoft Store

这对你或你的用户有何影响?

如果使用 适用于企业的 Microsoft Store 和教育应用:

  1. 2023 年 4 月 30 日,Intune将断开适用于企业的 Microsoft Store服务。 适用于企业的 Microsoft Store和教育应用将无法与 Intune 同步,连接器页将从 Intune 管理中心中删除。
  2. 2023 年 6 月 15 日,Intune将停止在设备上强制实施联机和脱机适用于企业的 Microsoft Store和教育应用。 下载的应用程序保留在设备上,但支持有限。 用户可能仍可以从其设备访问应用,但不会管理该应用。 保留现有的已同步Intune应用对象,以允许管理员查看已同步的应用及其分配。 此外,你将无法通过 Microsoft 图形 API syncMicrosoftStoreForBusinessApps 同步应用,相关 API 属性将显示过时的数据。
  3. 2023 年 9 月 15 日,适用于企业的 Microsoft Store和教育应用将从 Intune 管理中心中删除。 在有意删除之前,设备上的应用会一直保留。 Microsoft 图形 API microsoftStoreForBusinessApp 在大约一个月后将不再可用。

适用于企业的 Microsoft Store和教育公司于2021年宣布停用。 适用于企业的 Microsoft Store和教育门户停用后,管理员将无法再管理从适用于企业的 Microsoft Store和教育门户同步或下载脱机内容的适用于企业的 Microsoft Store和教育应用列表。

如何准备?

建议通过 Intune 中新的 Microsoft Store 应用体验添加应用。 如果应用在 Microsoft Store 中不可用,则需要从供应商处检索应用包,并将其安装为业务线 (LOB) 应用或 Win32 应用。 有关说明,请阅读以下文章:

相关信息

更改计划:终止对 Windows 信息保护的支持

Microsoft Windows 宣布终止对 Windows 信息保护 (WIP) 的支持。 Microsoft Intune产品系列将停止未来在管理和部署 WIP 方面的投资。 除了限制未来投资外,我们还在 2022 日历年底删除了对 WIP 的支持,无需注册

这对你或你的用户有何影响?

如果已启用 WIP 策略,则应关闭或禁用这些策略。

如何准备?

建议禁用 WIP,以确保组织中的用户不会失去对受 WIP 策略保护的文档的访问权限。 阅读博客支持提示:Windows 信息保护终止支持指南,了解有关从设备中删除 WIP 的更多详细信息和选项。

更改计划:终止对Windows 8.1的支持

Microsoft Intune将于 2022 年 10 月 21 日终止对运行 Windows 8.1 的设备的支持。 此外,业务线应用的旁加载关键方案将停止受支持,因为它仅适用于Windows 8.1设备。

Microsoft 强烈建议你迁移到受支持的 Windows 10 或 Windows 11 版本,以避免出现需要不再可用的服务或支持的情况。

这对你或你的用户有何影响?

如果要管理Windows 8.1设备,则应将这些设备升级到受支持的Windows 10或Windows 11版本。 对现有设备和策略没有影响,但是,如果新设备正在运行Windows 8.1,则无法注册新设备。

如何准备?

升级Windows 8.1设备(如果适用)。 若要确定哪些用户的设备正在运行Windows 8.1请导航到Microsoft Intune管理中心>“设备>”“Windows>设备”,并按 OS 进行筛选。

其他信息

升级到 Microsoft Intune 管理扩展

我们已发布对 Microsoft Intune 管理扩展的升级,以改进对 Windows 10 设备上的传输层安全性 (TLS) 错误的处理。

Microsoft Intune 管理扩展的新版本为 1.43.203.0。 Intune 会自动将早于 1.43.203.0 的所有扩展版本升级到此最新版本。 若要检查设备上的扩展版本,请在“应用和功能”下的程序列表中查看“Microsoft Intune 管理扩展”版本。

有关详细信息,请参阅 Microsoft 安全响应中心 中有关安全漏洞 CVE-2021-31980 的信息。

这对你或你的用户有何影响?

不需要执行任何操作。 客户端连接到该服务后,就会自动接收要升级的消息。

更改计划: Intune 即将终止公司门户对不受支持的 Windows 版本的支持

对于受支持的 Windows 10 版本,Intune 遵循 Windows 10 生命周期。 我们现在取消了对现代支持策略之外的 Windows 版本相关 Windows 10 公司门户的支持。

这对你或你的用户有何影响?

由于 Microsoft 不再支持这些操作系统,因此此更改可能不会影响你。 你可能已经升级了 OS 或设备。 仅当仍在管理不受支持的Windows 10版本时,此更改才会影响你。

此更改影响的 Windows 和公司门户版本包括:

  • Windows 10 版本 1507,公司门户版本 10.1.721.0
  • Windows 10 版本 1511,公司门户版本 10.1.1731.0
  • Windows 10 版本 1607,公司门户版本 10.3.5601.0
  • Windows 10 版本 1703,公司门户版本 10.3.5601.0
  • Windows 10 版本 1709,任何公司门户版本

我们不会卸载这些公司门户版本,但我们会将其从 Microsoft Store 中删除,并停止使用它们测试我们的服务版本。

如果继续使用不受支持的 Windows 10 版本,则用户将无法获得最新的安全更新、新功能、bug 修复、延迟改进、辅助功能改进和性能投资。 你将无法使用 System Center 配置服务器和 Intune 共同管理用户。

如何准备?

在Microsoft Intune管理中心,使用“发现的应用”功能查找具有这些版本的应用。 在用户设备上,公司门户版本显示在公司门户的 设置 页上。 更新到受支持的 Windows 和公司门户版本。