通过

Microsoft Intune 新增功能

  • 项目

了解 Microsoft Intune 每周新增功能。

还可以阅读:

注意

每个 每月更新 可能需要长达三天才能推出,并且将按以下顺序进行:

  • 第 1 天: 亚太 (APAC)
  • 第 2 天: 欧洲、中东和非洲 (EMEA)
  • 第 3 天: 北美
  • 第 4 天起: Intune for Government

某些功能将在几周内推出,并且可能不会在第一周内向所有客户提供。

有关即将推出的 Intune 功能版本的列表,请参阅正在开发的 Microsoft Intune

有关 Windows Autopilot 解决方案的新信息,请参阅:

可以使用 RSS 以在更新此页面时收到通知。 有关详细信息,请参 如何使用文档

2025 年 3 月 3 日当周

监视和疑难解答

汇报功能更新报表

我们将在服务端数据中引入新的 Update Substate 。 此子状态显示在 Microsoft Entra 中无效且称为“不支持”的设备报告中。

有关详细信息,请参阅使用适用于企业的 Windows 更新 Windows 汇报

2025 年 2 月 24 日 (服务版本 2502)

应用管理

在应用工作负载中更轻松地提供 VPP 令牌名称

“应用”工作负载中提供的 “VPP 令牌名称” 列允许你快速确定令牌和应用关联。 此列现已在“所有应用”列表 (“所有应用>) ”和“应用配置策略 (应用>”应用配置策略) 的应用选择窗格中提供。 有关 VPP 应用的详细信息,请参阅使用Microsoft Intune管理批量购买的应用和书籍

应用于:

  • iOS/iPadOS
  • macOS

设备配置

Windows 设置目录中提供的新 Windows AI 设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

Windows 设置目录中有新设置。 若要查看这些设置,请在Microsoft Intune管理中心,转到“设备>管理设备>”“配置>创建新>策略>”Windows 10以及配置文件类型的更高设置>目录

新设置包括:

  • 禁用 AI 数据分析
  • 为回顾设置拒绝 URI 列表
  • 为回顾设置拒绝应用列表
  • 设置回顾快照的最大存储空间
  • 设置回顾快照的最大存储持续时间

应用于:

  • Windows

Intune 连接器的低特权帐户,适用于混合加入 Autopilot 流的 Active Directory

我们已更新 Active Directory Intune 连接器,以使用低特权帐户来提高环境的安全性。 旧连接器将不再可供下载,但将继续工作,直到 2025 年 5 月下旬弃用。

有关详细信息,请参阅使用 Intune 和 Windows Autopilot 部署Microsoft Entra混合联接的设备

公共预览版中的托管主屏幕 QR 码身份验证

适用于 Android 设备的托管主屏幕在 Microsoft Entra ID 中本机支持 QR 码身份验证。 身份验证涉及 QR 码和 PIN。 此功能使用户无需输入和重新输入长 UPN 和字母数字密码。 有关详细信息,请参阅使用 QR 码登录到 Microsoft Teams 或 托管主屏幕 (MHS)

应用于:

  • Android 设备

托管主屏幕的其他设备详细信息

Android OS 版本安全修补程序上次设备重启时间详细信息现在可从 托管主屏幕 应用的“设备信息”页获取。 相关信息,请参阅 为 Android Enterprise 配置 Microsoft 托管的主屏幕应用

应用于:

  • Android Enterprise 设备

显示托管主屏幕的铃声选择器

在Intune中,可以选择在托管主屏幕应用中公开设置,以允许用户选择铃声。 有关详细信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用

应用于:

  • Android 设备

设备安全性

管理 Windows 设备上Microsoft Defender设备控制的 DeviceControlEnabled 配置

现在可以使用 Intune 来管理 deviceControlEnabled for Device Control Microsoft Defender CSP 的配置。 DeviceControlEnabled 用于启用或禁用对 Windows 设备上Microsoft Defender设备控制功能的支持。

可以使用以下两个Microsoft Intune选项配置 DeviceControlEnabled。 对于这两个选项,设置将显示为 “已启用设备控制”,并在 Defender 类别中找到:

设备控制模板和设置目录都支持启用 设备控制的以下选项:

  • 设备控制已启用
  • 默认) (禁用设备控制

应用于:

  • Windows

管理 Windows 设备上Microsoft Defender设备控制的 DefaultEnforcement 配置

现在可以使用 Intune 来管理 Microsoft Defender CSP for DefaultEnforcement for Device Control 的配置。 DefaultEnforcement 在未接收设备控制策略的设备或接收和评估设备控制策略的设备(如果未匹配策略中的规则)上管理设备控制配置。

可以使用以下两个Microsoft Intune选项来配置 DefaultEnforcement。 对于这两个选项,设置显示为 “默认强制”,并在 Defender 类别中找到:

设备控制模板和设置目录都支持 以下默认强制选项:

  • 默认允许强制 (默认)
  • 默认拒绝强制实施

应用于:

  • Windows

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • 应用程序管理器 - manageEngine Intune

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请转到使用设置目录创建策略

设置目录中有适用于 Apple 设备的新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOSmacOS for platform>“设置目录”,了解配置文件类型。

iOS/iPadOS

托管设置

  • 默认应用程序
  • 壁纸

联网 > 域

  • 跨站点跟踪防护放松应用

限制:

  • 允许的外部智能工作区 ID
  • 允许笔记听录摘要
  • 允许附属连接
  • 允许视觉智能摘要

macOS

联网 > 域

  • 跨站点跟踪防护放松应用

限制:

  • 允许书店
  • 允许书店情色内容
  • 允许显式内容
  • 为应用评分
  • 为电影评分
  • 分级区域
  • 分级电视节目

系统配置 > 文件提供程序

  • 管理允许已知文件夹同步
  • 管理已知文件夹同步允许列表

2025 年 2 月 17 日当周

监视和疑难解答

Intune中的有限实时聊天支持

Intune在Intune管理控制台中引入了有限的实时聊天支持。 实时聊天目前不适用于所有租户或查询。

2025 年 2 月 10 日当周

设备安全性

更新了 Windows 版本 24H2 的安全基线

现在可以将 Windows 版本 24H2 的Intune安全基线部署到Windows 10和Windows 11设备。 新的基线版本使用“设置目录”中显示的统一设置平台,该平台具有改进的用户界面和报告体验、通过设置纹身实现的一致性和准确性改进,以及支持配置文件分配筛选器的新功能。

使用Intune安全基线有助于维护 Windows 设备的最佳做法配置,并有助于将配置快速部署到 Windows 设备,以符合Microsoft适用的安全团队的安全建议。

与所有基线一样,默认基线表示每个设置的建议配置,你可以修改这些配置以满足组织的要求。

应用于:

  • Windows

监视和疑难解答

多个设备的设备查询

我们已为多个设备添加了设备查询。 借助此功能,可以使用 Kusto 查询语言 (KQL) 来查询收集的设备的清单数据,从而全面了解整个设备群。

运行 Windows 10 或更高版本的设备现在支持对多个设备进行设备查询。 此功能现在包含在高级分析中。

应用于:

  • Windows

2025 年 2 月 5 日 (服务版本 2501)

Microsoft Intune Suite

将Microsoft Security Copilot与 Endpoint Privilege Manager 配合使用来帮助识别潜在的提升风险

在 Azure 租户获得Microsoft Security Copilot许可后,现在可以使用 Security Copilot 来帮助从 EPM 支持批准的工作流中调查 Endpoint Privilege Manager (EPM) 文件提升请求。

使用此功能时,在查看文件提升请求的属性时,你将找到“ 使用 Copilot 分析”选项。 使用此选项可指示Security Copilot在提示Microsoft Defender 威胁智能中使用文件哈希来评估文件潜在的泄露指标,以便你可以做出更明智的决定来批准或拒绝该文件提升请求。 在管理中心中返回到当前视图的一些结果包括:

  • 文件的信誉
  • 有关发布者信任的信息
  • 请求文件提升的用户的风险评分
  • 从中提交提升的设备的风险评分

EPM 作为Intune套件附加功能提供。 若要详细了解当前如何在 Intune 中使用 Copilot,请参阅 Intune 中的Microsoft Copilot

若要了解有关Microsoft Security Copilot的详细信息,请参阅 Microsoft Security Copilot

应用管理

更新到 Intune 中的应用工作负载体验

Intune中的应用区域(通常称为“应用”工作负载)已更新,以提供更一致的 UI 和改进的导航结构,以便你可以更快地找到所需的信息。 若要在Intune中找到应用工作负载,请导航到“Microsoft Intune管理中心”,然后选择“应用”。

设备配置

Windows 设置目录中可用于配置多个显示模式的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。

设置目录中有新的设置,用于配置 Windows 24H2 的多个显示模式 。 若要查看可用设置,请在Microsoft Intune管理中心,转到“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”,了解配置文件类型的平台>设置目录

默认情况下, “配置多个显示模式 ”设置允许监视器扩展或克隆显示,从而便于手动设置。 它简化了多监视器配置过程,确保一致且用户友好的体验。

应用于:

  • Windows

设备安全性

更新了 Microsoft Edge v128 的安全基线

现在可以为 Microsoft Edge 版本 128 部署Intune安全基线。 此更新提供对最新设置的支持,因此你可以继续维护 Microsoft Edge 的最佳做法配置。

查看更新的基线中设置的默认配置

有关使用Intune的安全基线的信息,请参阅使用安全基线在 Intune 中配置 Windows 设备

应用于:

  • Windows

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • MoveInSync by MoveInSync Technologies

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2025 年 1 月 27 日当周

设备安全性

HoloLens 2的安全基线

现在可以为HoloLens 2部署两个不同的安全基线实例。 这些基线代表了Microsoft在为不同行业的客户部署和支持HoloLens 2设备的最佳做法指南和经验。 两个基线实例:

  • Standard HoloLens 2的安全基线
    HoloLens 2的标准安全基线表示配置适用于所有类型的客户的安全设置的建议,无论HoloLens 2用例方案如何。 查看标准安全基线中设置的默认配置

  • HoloLens 2的高级安全基线
    HoloLens 2的高级安全基线是针对对其环境具有严格安全控制并要求对其环境中使用的任何设备应用严格安全策略的客户配置安全设置的建议。 查看高级安全基线中设置的默认配置

若要详细了解使用Intune的安全基线,请参阅使用安全基线在 Intune 中配置 Windows 设备

应用于:

  • Windows

2025 年 1 月 20 日当周

监视和疑难解答

使用支持助理解决问题

支持助理现已在 Intune 中提供。 它利用 AI 来增强帮助和支持体验,确保更高效地解决问题。 Microsoft Intune管理中心提供支持助手,方法是选择故障排除 + 支持>帮助和支持,或者选择个人资料图片附近的问号。 目前,支持助理处于预览状态。 可以通过随时选择加入和退出来启用和禁用支持助理。 有关相关信息,请参阅如何在Microsoft Intune管理中心获取支持

2024 年 12 月 30 日当周

设备注册

Intune终止对有权访问 Google 移动服务的设备上的 Android 设备管理员的支持

从 2024 年 12 月 31 日开始,Microsoft Intune不再支持在有权访问 Google 移动服务 (GMS) 的设备上管理 Android 设备管理员。 此更改是在 Google 弃用 Android 设备管理员管理并停止支持之后完成的。 对于无法访问运行 Android 15 或更早版本的 GMS 的设备,Intune支持和帮助文档仍然存在,Microsoft Teams 设备迁移到 Android 开源项目 (AOSP) 管理。 有关此更改如何影响租户的详细信息,请参阅 Intune 2024 年 12 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

2024 年 12 月 16 日 (服务版本 2412)

应用管理

增加了自定义策略的规模

现在最多可以创建 25 个策略来自定义公司门户和Intune应用体验。 以前自定义策略的最大数目为 10。 导航到Intune管理中心,然后选择“租户管理>自定义”。

有关自定义公司门户和Intune应用的详细信息,请参阅自定义用户体验

设备安全性

支持Microsoft Defender for Endpoint的安全设置管理策略中的篡改防护

注意

此功能的推出已延迟,现在预计将于 2025 年 5 月推出。

现在,可以在作为 Defender for Endpoint 安全设置管理方案的一部分管理的未注册设备上管理Microsoft Defender for Endpoint CSP 设置,以便进行篡改保护

借助此支持,防病毒策略的 Windows 安全中心 体验配置文件中的篡改防护配置现在应用于所有设备,而不仅仅是使用 Intune 注册的设备。

设备配置

创建新的配置文件时结束对管理模板的支持

客户无法通过设备>>>配置创建新策略>创建新的管理模板配置文件Windows 10及更高版本的>管理模板。 (已停用) 标记显示在 “管理模板” 旁边,“ 创建 ”按钮现在灰显。将继续支持其他模板。

但是,现在,客户可以使用设置目录创建新的管理模板配置文件,方法是导航到“设备>配置>”“创建新>策略>”Windows 10及更高版本的>“设置目录”。

以下 UI 体验没有变化:

  • 编辑现有管理模板。
  • 删除现有管理模板。
  • 在现有管理模板中添加、修改或删除设置。
  • 导入的管理模板 (预览版) 模板,用于自定义 ADMX。

有关详细信息,请参阅在 Microsoft Intune 中的 Windows 10/11 设备上使用 ADMX 模板

应用于:

  • Windows

设备管理

更多 Wi-Fi 配置现在可用于个人拥有的工作配置文件设备

Android Enterprise 个人拥有的工作配置文件设备的Intune Wi-Fi配置文件现在支持配置预共享密钥和代理设置。

可以在管理控制台的 “设备>管理设备>配置>创建新>策略”中找到这些设置。 将 “平台 ”设置为“Android Enterprise”,然后在“ 个人拥有的工作配置文件 ”部分,选择“Wi-Fi”,然后选择“ 创建 ”按钮。

在“ 配置设置 ”选项卡中,选择“基本”Wi-Fi 类型时,有几个新选项可用:

  1. 安全类型,具有“打开 (无身份验证) 、WEP 预共享密钥和 WPA 预共享密钥”选项。

  2. 代理设置,其中选项选择“自动”,然后指定代理服务器 URL。

过去可以使用自定义配置策略配置这些策略,但今后建议在 Wi-Fi 配置文件中设置这些策略,因为Intune将在 2024 年 4 月终止对自定义策略的支持

有关详细信息,请参阅 个人拥有的工作配置文件设备的 Wi-Fi 设置

应用于:

  • Android Enterprise

2024 年 12 月 9 日当周

租户管理

Intune现在支持 Ubuntu 24.04 LTS for Linux 管理。

我们现在支持 Ubuntu 24.04 LTS 的设备管理。 可以注册和管理运行 Ubuntu 24.04 的 Linux 设备,并分配标准符合性策略、自定义配置脚本和合规性脚本。

有关详细信息,请参阅Intune文档中的以下内容:

应用于:

  • Linux Ubuntu 桌面

2024 年 12 月 2 日当周

设备注册

更改 iOS 注册配置文件类型的注册行为

在 Apple WWDC 2024 上,Apple 终止了对基于配置文件的 Apple 用户注册的支持。 有关详细信息,请参阅支持基于配置文件的用户注册已结束,公司门户。 由于此更改,我们更新了在选择“ 基于用户选择确定 ”作为自带设备 (BYOD) 注册的注册配置文件类型时发生的行为。

现在,当用户在 BYOD 注册期间选择“我拥有此设备”时,Microsoft Intune通过帐户驱动用户注册(而不是基于配置文件的用户注册)注册它们,然后仅保护与工作相关的应用。 目前,所有Intune租户中只有不到 1% 的 Apple 设备采用这种方式注册,因此此更改不会影响大多数已注册的设备。 在 BYOD 注册期间选择 “我的公司拥有此设备” 的 iOS 用户没有变化。 Intune通过设备注册来注册Intune 公司门户,然后保护其整个设备。

如果当前允许 BYOD 方案中的用户确定其注册配置文件类型,则必须采取措施,通过完成所有先决条件来确保帐户驱动的用户注册正常工作。 有关详细信息,请参阅 设置帐户驱动的 Apple 用户注册。 如果未为用户提供选择其注册配置文件类型的选项,则没有作项。

设备管理

适用于 Windows 的设备清单

设备清单允许你从托管设备收集和查看其他硬件属性,以帮助你更好地了解设备的状态并做出业务决策。

现在,可以使用属性目录选择要从设备收集的内容,然后在“资源资源管理器”视图中查看收集的属性。

有关更多信息,请参阅:

应用于:

  • Windows 10 及更高版本 (由 Intune) 管理的公司拥有的设备

2024 年 11 月 18 日 (服务版本 2411)

应用管理

Intune已注册 iOS 设备上的特定托管应用程序的配置值

从 Intune 的 9 月 (2409) 服务版本开始,以下应用的 IntuneMAMUPNIntuneMAMOIDIntuneMAMDeviceID 应用配置值会自动发送到Intune注册的 iOS 设备上的托管应用程序:

  • Microsoft Excel
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft Teams
  • Microsoft Word

有关详细信息,请参阅计划更改:特定应用配置值将自动发送到特定应用和Intune支持提示:在极少数情况下,iOS/iPadOS 用户无用户设备上的Intune MAM 用户可能会被阻止

AOSP 设备上的 LOB 应用的其他安装错误报告

现在提供了有关 Android 开源项目 (AOSP) 设备上的业务线 (LOB) 应用安装报告的其他详细信息。 可以在 Intune 中查看 LOB 应用的安装错误代码和详细错误消息。

有关应用安装错误的详细信息,请参阅使用Microsoft Intune监视应用信息和分配

应用于:

  • Android 开源项目 (AOSP) 设备

在 VisionOS 设备上Microsoft Teams 应用保护 (预览版)

VisionOS 设备上的 Microsoft Teams 应用现在支持Microsoft Intune应用保护策略 (应用) 。

若要详细了解如何将策略定向到 VisionOS 设备,请参阅 托管应用属性 ,详细了解托管应用属性的筛选器。

应用于:

  • Microsoft VisionOS 设备上的适用于 iOS 的 Teams

2024 年 10 月 28 日当周

设备安全性

政府云环境中的 Defender for Endpoint 安全设置支持 (正式发布)

现已正式发布,政府社区云 (GCC) 、美国政府社区高 (GCC High) 和国防部 (DoD) 环境中的客户租户可以使用 Intune 来管理已载入 Defender 的设备上的 Defender 安全设置,而无需向 Intune 注册这些设备。 以前,对 Defender 安全设置的支持以公共预览版提供。

此功能称为 Defender for Endpoint 安全设置管理

2024 年 10 月 14 日 (服务版本 2410)

应用管理

汇报 Android Enterprise 设备的应用配置策略

Android Enterprise 设备的应用配置策略现在支持重写以下权限:

  • 访问后台位置
  • 蓝牙 (连接)

有关 Android Enterprise 设备的应用配置策略的详细信息,请参阅 为托管 Android Enterprise 设备添加应用配置策略

应用于:

  • Android Enterprise 设备

设备配置

Intune的 Windows Autopilot 设备准备支持,由世纪互联在中国运营

Intune现在支持由世纪互联在中国云中运营的Intune的 Windows Autopilot 设备准备策略。 在中国拥有租户的客户现在可以通过Intune使用 Windows Autopilot 设备准备来预配设备。

有关此 Autopilot 支持的信息,请参阅 Autopilot 文档中的以下内容:

设备管理

Android 设备的最低 OS 版本是 Android 10 和更高版本,适合基于用户的管理方法

从 2024 年 10 月开始,Android 10 及更高 版本是基于用户的管理方法支持的最低 Android OS 版本,其中包括:

  • Android Enterprise 个人拥有的工作配置文件
  • Android Enterprise 公司拥有的工作配置文件
  • Android Enterprise 完全托管设备
  • 基于用户的 Android 开源项目 (AOSP)
  • Android 设备管理员
  • 应用) (应用保护策略
  • 托管应用 (ACP) 的应用配置策略

对于不受支持的作系统版本 (Android 9 及更低版本的已注册设备)

  • Intune未提供技术支持。
  • Intune不会对 bug 或问题进行更改。
  • 不能保证新功能和现有功能正常工作。

虽然Intune不会阻止在不支持的 Android OS 版本上注册或管理设备,但无法保证功能,不建议使用。

此更改不会影响 Android 设备管理 (专用和 AOSP 用户) 和Microsoft Teams 认证的 Android 设备的无用户方法。

收集其他设备清单详细信息

Intune现在收集其他文件和注册表项,以帮助对设备硬件清单功能进行故障排除。

应用于:

  • Windows

2024 年 10 月 7 日当周

应用管理

适用于 Windows 的 Intune 公司门户 应用的新 UI

适用于 Windows 的 Intune 公司门户 应用的 UI 已更新。 用户现在可看到桌面应用的改进体验,而无需更改他们过去使用的功能。 特定的 UI 改进侧重于 “主页”、“ 设备”“下载”& 更新 页面。 新设计更加直观,突出显示了用户需要采取行动的领域。

有关详细信息,请参阅适用于 Windows 的 Intune 公司门户 应用的新外观。 有关最终用户的详细信息,请参阅 在设备上安装和共享应用

设备安全性

使用 KDC 进行身份验证的 SCEP 证书的新强映射要求

密钥分发中心 (KDC) 要求用户或设备对象强映射到 Active Directory 以进行基于证书的身份验证。 这意味着,简单证书注册协议 (SCEP) 证书的使用者可选名称 (SAN) 必须具有映射到 Active Directory 中用户或设备 SID 的安全标识符 (SID) 扩展。 映射要求可防止证书欺骗,并确保针对 KDC 的基于证书的身份验证继续工作。

若要满足要求,请在 Microsoft Intune 中修改或创建 SCEP 证书配置文件。 然后,将 URI 属性和 OnPremisesSecurityIdentifier 变量添加到 SAN。 执行此作后,Microsoft Intune将带有 SID 扩展的标记追加到 SAN,并向目标用户和设备颁发新证书。 如果用户或设备在本地具有同步到Microsoft Entra ID的 SID,则证书将显示 SID。 如果他们没有 SID,则会在没有 SID 的情况下颁发新证书。

有关详细信息和步骤,请参阅 更新证书连接器:KB5014754的强映射要求

应用于:

  • Windows 10/11、iOS/iPadOS 和 macOS 用户证书
  • Windows 10/11 个设备证书

此要求不适用于与Microsoft Entra已加入的用户或设备一起使用的设备证书,因为 SID 属性是本地标识符。

政府云环境中的 Defender for Endpoint 安全设置支持 (公共预览版)

在公共预览版中,美国政府社区 (GCC) High 和国防部 (DoD) 环境中的客户租户现在可以使用 Intune 来管理载入到 Defender 的设备上的 Defender 安全设置,而无需向 Intune 注册这些设备。 此功能称为 Defender for Endpoint 安全设置管理

有关 GCC High 和 DoD 环境中支持的Intune功能的详细信息,请参阅Intune美国政府服务说明

2024 年 9 月 30 日当周

设备安全性

汇报Microsoft Intune证书连接器版本 6.2406.0.1001 中的 PKCS 证书颁发过程

我们在 Microsoft Intune 中更新了公钥加密标准 (PKCS) 证书颁发过程,以支持KB5014754中所述的安全标识符 (SID ) 信息要求。 在此更新过程中,将包含用户或设备 SID 的 OID 属性添加到证书。 此更改适用于 Microsoft Intune 的证书连接器版本 6.2406.0.1001 提供,适用于从本地 Active Directory 同步到Microsoft Entra ID的用户和设备。

SID 更新可用于跨所有平台的用户证书,以及专用于Microsoft Entra混合联接的 Windows 设备上的设备证书。

有关更多信息,请参阅:

2024 年 9 月 23 日 (服务版本 2409)

应用管理

应用保护策略的工作时间设置

工作时间设置允许你强制实施策略,以限制对非工作时间从应用接收的应用的访问和静音消息通知。 限制访问设置现在可用于 Microsoft Teams 和 Microsoft Edge 应用。 可以通过设置非 工作时间 条件启动设置,使用应用保护策略 (应用) 来限制访问,以阻止或警告最终用户使用 iOS/iPadOS 或 Android Teams,并在非工作时间Microsoft Edge 应用。 此外,还可以创建非工作时间策略,以在非工作时间将 Teams 应用中的通知静音给最终用户。

有关更多信息,请参阅:

应用于:

  • Android
  • iOS/iPadOS

从企业应用目录简化应用创建体验

我们简化了将企业应用目录中的应用添加到Intune的方式。 我们现在提供直接应用链接,而不是复制应用二进制文件和元数据。 应用内容现在从 *.manage.microsoft.com 子域下载。 此更新有助于改善将应用添加到Intune时的延迟。 从企业应用目录添加应用时,它会立即同步,并准备好在 Intune 内执行其他作。

更新企业应用目录应用

企业应用管理已得到增强,允许更新 企业应用目录 应用。 此功能将引导你完成一个向导,该向导允许添加新应用程序并使用取代来更新以前的应用程序。

有关详细信息,请参阅 Enterprise App Management 的引导更新取代

设备配置

Samsung 终止了对多个 Android 设备管理员的支持 (DA) 设置

在 Android 设备管理员管理的 (DA) 设备上,Samsung 已弃用许多 Samsung Knox API , () 配置设置打开 Samsung 的网站。

在 Intune 中,此弃用会影响以下设备限制设置、符合性设置和受信任的证书配置文件:

在Intune管理中心,使用这些设置创建或更新配置文件时,会注意到受影响的设置。

尽管该功能可能继续工作,但不能保证它将继续适用于Intune支持的任何或所有 Android DA 版本。 有关 Samsung 对已弃用 API 的支持的详细信息,请参阅弃用 API 后提供哪种类型的支持? (打开 Samsung 的网站) 。

相反,可以使用以下 Android Enterprise 选项之一通过 Intune管理 Android 设备:

应用于:

  • Android 设备管理员 (DA)

设备固件配置接口 (DFCI) 支持 VAIO 设备

对于 Windows 10/11 设备,可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在“Microsoft Intune管理中心”中,选择“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”以选择“平台>模板>”“设备固件配置接口”以获取配置文件类型。

某些运行 Windows 10/11 的 VAIO 设备已启用 DFCI。 有关符合条件的设备,请联系设备供应商或设备制造商。

有关 DFCI 配置文件的详细信息,请参阅:

应用于:

  • Windows 10
  • Windows 11

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略

设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOSmacOS for platform>“设置目录”,了解配置文件类型。

iOS/iPadOS

声明性设备管理 (DDM) > 数学设置

  • 计算器

    • 基本模式
    • 数学笔记模式
    • 科学模式

  • 系统行为

    • 键盘建议
    • 数学笔记

Web 内容筛选器

  • 隐藏拒绝列表 URL
macOS

声明性设备管理 (DDM) > 数学设置

  • 计算器

    • 基本模式
    • 数学笔记模式
    • 程序员模式
    • 科学模式

  • 系统行为

    • 键盘建议
    • 数学笔记

系统配置 > 系统扩展

  • 不可从 UI 系统扩展可移动
  • 不可移动系统扩展

Android APP SDK 10.4.0 和 iOS APP SDK 19.6.0 更新后,最终用户可能会看到远程日志收集的不同许可体验。 最终用户不再看到来自 Intune 的常见提示,并且仅看到来自应用程序的提示(如果有)。

此更改的采用取决于每个应用程序,并受每个应用程序发布计划的约束。

应用于:

  • Android
  • iOS/iPadOS

设备注册

可用于配置 ADE 的新设置助手屏幕

可在Microsoft Intune管理中心配置新的设置助手屏幕。 可以在自动设备注册期间隐藏或显示这些屏幕, (ADE) 。

对于 macOS:

  • 壁纸:在运行 macOS 14.1 及更高版本的设备上显示升级后显示的 macOS Sonoma 壁纸设置窗格。
  • 锁定模式:在运行 macOS 14.1 及更高版本的设备上显示或隐藏锁定模式设置窗格。
  • 智能:在运行 macOS 15 及更高版本的设备上显示或隐藏 Apple Intelligence 设置窗格。

对于 iOS/iPadOS:

  • 紧急 SOS:在运行 iOS/iPadOS 16 及更高版本的设备上显示或隐藏安全设置窗格。
  • 作按钮:在运行 iOS/iPadOS 17 及更高版本的设备上显示或隐藏作按钮的设置窗格。
  • 智能:在运行 iOS/iPadOS 18 及更高版本的设备上显示或隐藏 Apple Intelligence 设置窗格。

可以在新的和现有的注册策略中配置这些屏幕。 有关详细信息和其他资源,请参阅:

公司拥有的用户关联的 AOSP 注册令牌的延长到期日期

现在,在为 Android 开源项目创建注册令牌时, (AOSP) 公司拥有的用户相关设备,可以选择一个最长为 65 年的到期日期,这比前 90 天的到期日期有所改进。 还可以修改 Android 开源项目现有注册令牌的到期日期, (AOSP) 公司拥有的用户相关设备。

设备安全性

用于个人数据加密的新磁盘加密模板

现在可以使用通过终结点安全磁盘加密策略提供的新个人数据加密 (PDE) 模板。 此新模板Windows 11 22H2 中引入 (CSP) 配置 Windows PDE 配置服务提供程序。 还可以通过设置目录获取 PDE CSP。

PDE 与 BitLocker 的不同之处在于,它加密文件而不是整个卷和磁盘。 除了其他加密方法(如 BitLocker)之外,还会发生 PDE。 与在启动时释放数据加密密钥的 BitLocker 不同,PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。

应用于:

  • Windows 11版本 22h2 或更高版本

有关 PDE 的详细信息,包括先决条件、相关要求和建议,请参阅 Windows 安全文档中的以下文章:

Intune应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • Shafer Systems, LLC Intune的 Notate

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

2024 年 9 月 9 日当周

应用管理

托管主屏幕用户体验更新

所有 Android 设备都会自动迁移到更新的 托管主屏幕 (MHS) 用户体验。 有关详细信息,请参阅汇报托管主屏幕体验

设备注册

已终止对 Apple 基于配置文件的用户注册的支持,公司门户

Apple 在自带设备 (BYOD) 方案中支持两种类型的用户和设备手动注册方法: 基于配置文件的注册帐户驱动的注册。 Apple 终止了对基于配置文件的用户注册的支持,Intune中称为使用 公司门户 的用户注册。 此方法是使用托管 Apple ID 的以隐私为中心的 BYOD 注册流。 由于此更改,Intune已终止对基于配置文件的用户注册的支持,公司门户。 用户无法再注册面向此注册配置文件类型的设备。 此更改不会影响已注册到此配置文件类型的设备,因此你可以继续在管理中心对其进行管理,并接收Microsoft Intune技术支持。 目前,所有Intune租户中只有不到 1% 的 Apple 设备采用这种方式注册,因此此更改不会影响大多数已注册的设备。

使用 公司门户(BYOD 方案的默认注册方法)的基于配置文件的设备注册没有变化。 通过 Apple 自动设备注册注册的设备也不会受到影响。

建议将帐户驱动用户注册作为设备的替代方法。 有关 Intune 中的 BYOD 注册选项的详细信息,请参阅:

有关 Apple 支持的设备注册类型的详细信息,请参阅 Apple 平台部署指南中的 Apple 设备注册类型简介

设备管理

Intune现在支持 iOS/iPadOS 16.x 作为最低版本

今年晚些时候,我们预计苹果将发布 iOS 18 和 iPadOS 18。 Microsoft Intune(包括Intune 公司门户和Intune应用保护策略) (APP(也称为 MAM) )将在 iOS/iPadOS 18 发布后不久需要 iOS/iPadOS 16 及更高版本。

有关此更改的详细信息,请参阅规划更改:Intune正在迁移以支持 iOS/iPadOS 16 及更高版本

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况,其支持声明略有细微差别。 有关详细信息,请参阅 无用户设备的受支持与允许的 iOS/iPadOS 版本的支持声明

应用于:

  • iOS/iPadOS

Intune现在支持 macOS 13.x 作为最低版本

随着苹果发布的 macOS 15 Sequoia、Microsoft Intune、公司门户应用和Intune MDM 代理现在将需要 macOS 13 (Ventura) 及更高版本。

有关此更改的详细信息,请参阅规划更改:Intune正在迁移到支持 macOS 13 及更高版本

注意

通过自动设备注册 (ADE 注册的 macOS 设备) 由于共享使用情况,其支持声明略有细微差别。 有关详细信息,请参阅 支持语句

应用于:

  • macOS

2024 年 8 月 19 日 (服务版本 2408)

Microsoft Intune Suite

通过支持审批请求和报告轻松创建 Endpoint Privilege Management 提升规则

现在可以直接从支持批准的提升请求或 EPM 提升报告中的详细信息创建终结点特权管理 (EPM) 提升规则。 使用此新功能,无需手动识别提升规则的特定文件检测详细信息。 相反,对于显示在提升报表或支持批准的提升请求中的文件,可以选择该文件以打开其提升详细信息窗格,然后选择使用 这些文件详细信息创建规则的选项。

使用此选项时,可以选择将新规则添加到现有提升策略之一,或创建仅包含新规则的新策略。

应用于:

  • Windows 10
  • Windows 11

有关此新功能的信息,请参阅配置 Endpoint Privilege 管理策略一文中的 Windows 提升规则策略

介绍 高级分析 中物理设备的资源性能报告

我们将在 Intune 高级分析 中引入 Windows 物理设备的资源性能报告。 报表作为Intune添加到Microsoft Intune Suite下。

物理设备的资源性能分数和见解旨在帮助 IT 管理员做出 CPU/RAM 资产管理和购买决策,在平衡硬件成本的同时改善用户体验。

有关更多信息,请参阅:

应用管理

适用于 Android Enterprise 完全托管设备的托管主屏幕

android Enterprise 完全托管设备上现在支持托管主屏幕 (MHS) 。 此功能使组织能够在设备与单个用户关联的情况下利用 MHS。

有关相关信息,请参阅:

汇报到“发现的应用”报表

发现的应用”报表提供租户Intune注册设备上的检测到的应用列表,现在除了提供应用商店应用外,还提供 Win32 应用的发布者数据。 我们不仅在导出的报表数据中提供发布者信息,而是将其作为列包含在 “发现的应用” 报表中。

有关详细信息,请参阅Intune发现的应用

Intune管理扩展日志的改进

我们更新了 Win32 应用和 Intune 管理扩展 (IME) 日志的日志活动和事件的创建方式。 新的日志文件 (AppWorkload.log) 包含与 IME 执行的应用部署活动相关的所有日志记录信息。 这些改进可更好地对客户端上的应用管理事件进行故障排除和分析。

有关详细信息,请参阅Intune管理扩展日志

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略

Apple 设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOSmacOS for platform>“设置目录”,了解配置文件类型。

iOS/iPadOS

声明性设备管理 (DDM) > Safari 扩展设置

  • 托管扩展
    • 允许的域
    • 拒绝的域
    • 专用浏览
    • 状态

声明性设备管理 (DDM) > 软件更新设置

  • 自动作

    • 下载
    • 安装 OS 汇报

  • 延期

    • 组合时间段(天)

  • 通知

  • 快速安全响应

    • 启用
    • 启用回滚

  • 建议的节奏

限制:

  • 允许 ESIM 传出传输
  • 允许 Genmoji
  • 允许图像场
  • 允许图像魔杖
  • 允许 iPhone 镜像
  • 允许个性化手写结果
  • 允许视频会议远程控制
  • 允许编写工具
macOS

认证 >Extensible 单一登录 (SSO)

  • 平台 SSO
    • 身份验证宽限期
    • FileVault 策略
    • 非平台 SSO 帐户
    • 脱机宽限期
    • 解锁策略

认证 >可扩展单一登录 Kerberos

  • 允许密码
  • 允许智能卡
  • 标识颁发者自动选择筛选器
  • 在智能卡模式下启动

声明性设备管理 (DDM) > 磁盘管理

  • 外部存储
  • 网络存储

声明性设备管理 (DDM) > Safari 扩展设置

  • 托管扩展
    • 允许的域
    • 拒绝的域
    • 专用浏览
    • 状态

声明性设备管理 (DDM) > 软件更新设置

  • 允许Standard用户 OS 汇报

  • 自动作

    • 下载
    • 安装 OS 汇报
    • 安装安全更新

  • 延期

    • 主要时间段(以天为单位)
    • 次要时间段(天)
    • 系统周期(天)

  • 通知

  • 快速安全响应

    • 启用
    • 启用回滚

限制:

  • 允许 Genmoji
  • 允许图像场
  • 允许 iPhone 镜像
  • 允许编写工具

系统策略 > 系统策略控制

  • 启用 XProtect 恶意软件上传

对多管理审批的增强功能

多重管理审批增加了将应用程序访问策略限制到 Windows 应用程序或所有非 Windows 应用程序或两者的功能。 我们将向多个管理审批功能添加新的访问策略,以允许批准对多个管理审批的更改。

有关详细信息,请参阅 多管理员审批

设备注册

帐户驱动的 Apple 用户注册现已正式发布,适用于 iOS/iPadOS 15+

对于运行 iOS/iPadOS 15 及更高版本的设备,Intune现在支持帐户驱动的 Apple 用户注册(Apple 用户注册的新版和改进版本)。 这种新的注册方法利用实时注册,删除了适用于 iOS 的 公司门户 应用作为注册要求。 设备用户可以直接在“设置”应用中启动注册,从而获得更短、更高效的载入体验。

有关详细信息,请参阅在 Microsoft Learn 上 设置帐户驱动的 Apple 用户注册

Apple 宣布终止对基于配置文件的 Apple 用户注册的支持。 因此,Microsoft Intune将在 iOS/iPadOS 18 发布后不久通过公司门户终止对 Apple 用户注册的支持。 我们建议使用帐户驱动的 Apple 用户注册来注册设备,以便获得类似的功能和改进的用户体验。

使用公司Microsoft Entra帐户在 Intune 中启用 Android Enterprise 管理选项

使用 Android Enterprise 管理选项管理Intune注册的设备之前需要使用企业 Gmail 帐户将 Intune 租户连接到托管的 Google Play 帐户。 现在,可以使用公司Microsoft Entra帐户建立连接。 此更改发生在新租户中,不会影响已建立连接的租户。

有关详细信息,请参阅将 Intune 帐户连接到托管的 Google Play 帐户 - Microsoft Intune |Microsoft Learn

设备管理

世纪互联对移动威胁防御连接器的支持

由世纪互联运营的Intune现在支持移动威胁防御 (MTD) 连接器,适用于 Android 和 iOS/iPadOS 设备的连接器,这些连接器也支持在该环境中提供支持的 MTD 供应商。 如果支持 MTD 合作伙伴,并且你登录到世纪互联租户,则支持的连接器可用。

应用于:

  • Android
  • iOS/iPadOS

有关更多信息,请参阅:

应用和策略分配的新 cpuArchitecture 筛选器设备属性

分配应用、符合性策略或配置文件时,可以使用不同的设备属性(如设备制造商、作系统 SKU 等)筛选分配。

新的 cpuArchitecture 设备筛选器属性可用于 Windows 和 macOS 设备。 使用此属性,可以根据处理器体系结构筛选应用和策略分配。

有关筛选器和可使用的设备属性的详细信息,请参阅:

应用于:

  • Windows 10
  • Windows 11
  • macOS

设备安全性

终结点安全策略的 Windows 平台名称更改

在 Intune 中创建终结点安全策略时,可以选择 Windows 平台。 对于终结点安全性中的多个模板,现在只有两个选项可供 Windows 平台选择:WindowsWindows (ConfigMgr)

具体而言,平台名称的更改如下:

Original 新增
Windows 10 及更高版本 Windows
Windows 10 及更高版本的 (ConfigMgr) Windows (ConfigMgr)
Windows 10、Windows 11 和 Windows Server Windows
Windows 10、Windows 11和Windows Server (ConfigMgr) Windows (ConfigMgr)

这些更改适用于以下策略:

  • 防病毒
  • 磁盘加密
  • 防火墙
  • 终结点特权管理
  • 终结点检测和响应
  • 攻击面减少
  • 帐户保护
须知内容
  • 此更改仅在用户体验 (UX) ,管理员在创建新策略时会看到此更改。 对设备没有影响。
  • 功能上与以前的平台名称相同。
  • 现有策略没有其他任务或作。

有关 Intune 中的终结点安全功能的详细信息,请参阅在 Microsoft Intune 中管理终结点安全性

应用于:

  • Windows

Apple 软件更新强制实施的目标日期时间设置使用设备上的本地时间计划更新

可以指定在其本地时区的设备上强制实施 OS 更新的时间。 例如,将 OS 更新配置为在下午 5 点强制实施,会将更新计划为设备的本地时区中的下午 5 点。 以前,此设置使用配置了策略的浏览器的时区。

此更改仅适用于在 8 月 2408 版及更高版本中创建的新策略。 “目标日期时间”设置位于设备>管理设备>配置>”“创建新>策略>iOS/iPadOSmacOS for platform>”设置目录“的设置目录中,用于配置文件类型>”声明性设备管理>软件更新”。

在未来版本中,将从“目标日期时间”设置中删除 UTC 文本。

有关使用设置目录配置软件更新的详细信息,请参阅 包含设置目录的托管软件更新

应用于:

  • iOS/iPadOS
  • macOS

Intune应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用:

  • singletrack for Intune (iOS) by Singletrack
  • 365 通过 365 零售市场支付
  • Island Browser for Intune (Android) by Island Technology, Inc.
  • Spire Innovations, Inc. 的招聘.Exchange
  • Talent.Exchange by Spire Innovations, Inc.

有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用

租户管理

组织消息现在位于 Microsoft 365 管理中心

组织消息功能已移出Microsoft Intune管理中心,进入Microsoft 365 管理中心的新主页。 在 Microsoft Intune 中创建的所有组织邮件现在都在Microsoft 365 管理中心中,你可以在其中继续查看和管理它们。 新体验包括高度请求的功能,例如创作自定义消息以及在 Microsoft 365 应用上传递消息的功能。

有关更多信息,请参阅:

2024 年 7 月 29 日当周

Microsoft Intune Suite

Endpoint Privilege Management、高级分析 和 Intune 计划 2 适用于 GCC High 和 DoD

我们很高兴地宣布,美国政府社区云 (GCC) High 以及美国国防部 (DoD) 环境中现在支持Microsoft Intune Suite的以下功能。

加载项功能:

计划 2 功能:

有关更多信息,请参阅:

设备注册

适用于 iOS/iPadOS 和 macOS 注册的 ACME 协议支持

当我们准备在 Intune 中支持托管设备证明时,我们将开始为新注册分阶段推出基础结构更改,其中包括对自动证书管理环境 (ACME) 协议的支持。 现在,当新的 Apple 设备注册时,Intune的管理配置文件将接收 ACME 证书而不是 SCEP 证书。 ACME 通过可靠的验证机制和自动化流程为 SCEP 提供比 SCEP 更好的保护,防止未经授权的证书颁发,有助于减少证书管理中的错误。

现有 OS 和硬件合格设备不会获得 ACME 证书,除非它们重新注册。 最终用户的注册体验没有变化,Microsoft Intune管理中心也没有任何更改。 此更改仅影响注册证书,不会影响任何设备配置策略。

ACME 支持 Apple 设备注册、Apple 配置器注册和自动设备注册 (ADE) 方法。 符合条件的 OS 版本包括:

  • iOS 16.0 或更高版本
  • iPadOS 16.1 或更高版本
  • macOS 13.1 或更高版本

GCC High 租户也支持此功能。

新增功能存档

对于前几个月,请参阅 新增功能存档

通知

这些通知提供了重要信息,可以帮助你为未来的 Intune 更改和功能做好准备。

更改计划:iOS 上的用户警报,了解何时阻止屏幕捕获作

在即将推出的版本 (20.3.0) Intune App SDK 和适用于 iOS 的 Intune App Wrapping Tool 中,在托管应用中检测到屏幕捕获作 (包括录制和镜像) 时,将添加支持以提醒用户。 仅当已配置应用保护策略 (应用) 阻止屏幕捕获时,才会向用户显示警报。

这对你或你的用户有何影响?

如果 APP 已配置为阻止屏幕捕获,则用户在尝试屏幕截图、屏幕记录或屏幕镜像时会看到一条警报,指示其组织阻止了屏幕捕获作。

对于已更新到最新Intune应用 SDK 或Intune App Wrapping Tool版本的应用,如果你已将“将组织数据发送到其他应用”配置为“所有应用”以外的值,则会阻止屏幕捕获。 若要允许 iOS/iPadOS 设备的屏幕捕获,请将托管应用应用配置策略设置“com.microsoft.intune.mam.screencapturecontrol”配置为 “禁用”。

如何准备?

更新 IT 管理员文档,并根据需要通知支持人员或用户。 可以在博客中详细了解如何阻止屏幕捕获: iOS/iPadOS MAM 保护应用的新块屏幕捕获

移动到适用于 Windows Autopilot 自部署模式和预预配的新 Microsoft Graph Beta API 属性

2025 年 2 月下旬,将删除用于 Windows Autopilot 自部署模式和预预配的选定数量的旧Microsoft Graph Beta API windowsAutopilotDeploymentProfile 属性,并停止工作。 可以使用较新的图形 API属性找到相同的数据。

这对你或你的用户有何影响?

如果你有使用以下 Windows Autopilot 属性的自动化或脚本,则必须更新到新属性以防止它们中断。

新增
enableWhiteglove preprovisioningAllowed
extractHardwareHash hardwareHashExtractionEnabled
language Locale
outOfBoxExperienceSettings outOfBoxExperienceSetting
outOfBoxExperienceSettings.HidePrivacySettings outOfBoxExperienceSetting.PrivacySettingsHidden
outOfBoxExperienceSettings.HideEULA outOfBoxExperienceSetting.EULAHidden
outOfBoxExperienceSettings.SkipKeyboardSelectionPage outOfBoxExperienceSettings.KeyboardSelectionPageSkipped
outOfBoxExperienceSettings.HideEscapeLink outOfBoxExperienceSettings.EscapeLinkHidden

如何准备?

更新自动化或脚本,以使用新的 图形 API 属性以避免部署问题。

其他信息:

更改计划:在最新的 Intune App SDK for iOS 和适用于 iOS 的 Intune App Wrapping Tool 中阻止屏幕捕获

我们最近发布了Intune应用 SDK 和Intune App Wrapping Tool的更新版本。 这些版本 (v19.7.5+ for Xcode 15 和 v20.2.0+ for Xcode 16) 支持阻止屏幕捕获、Genmojis 和编写工具以响应 iOS/iPadOS 18.2 中的新 AI 功能。

这对你或你的用户有何影响?

对于已更新到最新Intune应用 SDK 或 Intune App Wrapping Tool 版本的应用,如果将“将组织数据发送到其他应用”配置为“所有应用”以外的值,将阻止屏幕截图。 若要允许 iOS/iPadOS 设备的屏幕捕获,请将 托管应用应用配置策略 设置“com.microsoft.intune.mam.screencapturecontrol”配置为 “禁用”。

如何准备?

查看应用保护策略,并根据需要创建托管应用应用配置策略以允许屏幕捕获,方法是在“常规配置) ”下配置上述设置 (应用>应用配置策略>创建>托管应用>步骤 3“设置”。 有关详细信息,请查看 iOS 应用保护策略设置 - 数据保护应用配置策略 - 托管应用

采取措施:更新到适用于 iOS 的最新 Intune App SDK 和适用于 iOS 的 Intune App Wrapping Tool

若要支持即将发布的 iOS/iPadOS 18.2 版本,请更新到最新版本的 Intune App SDK 和 Intune App Wrapping Tool,以确保应用程序保持安全并顺利运行。 重要: 如果不更新到最新版本,某些应用保护策略在某些情况下可能不适用于你的应用。 有关具体影响的详细信息,请查看以下 GitHub 公告:

最佳做法是始终将 iOS 应用更新为最新的应用 SDK 或App Wrapping Tool,以确保应用继续顺利运行。

这对你或你的用户有何影响?

如果你有使用 Intune App SDK 或 Intune App Wrapping Tool 的应用程序,则需要更新到最新版本以支持 iOS 18.2。

如何准备?

对于在 iOS 18.2 上运行的应用,必须更新到适用于 iOS 的 Intune App SDK 的新版本:

对于在 iOS 18.2 上运行的应用,必须更新到适用于 iOS 的Intune App Wrapping Tool的新版本:

重要

列出的 SDK 版本支持阻止屏幕捕获、Genmojis 和编写工具,以响应 iOS 18.2 中的新 AI 功能。 对于已更新到这些 SDK 版本的应用,如果将 “将组织数据发送到其他应用 ”配置为“ 所有应用”以外的值,则会应用屏幕捕获块。 有关详细信息 ,请参阅 iOS/iPadOS 应用保护策略设置 。 如果希望允许 iOS 设备的屏幕捕获,可以配置应用配置策略设置 com.microsoft.intune.mam.screencapturecontrol = 禁用 。 有关详细信息,请参阅Microsoft Intune的应用配置策略。 Intune将提供更精细的控制,以便在将来阻止特定 AI 功能。 按照 Microsoft Intune 中的新增功能随时了解最新信息。

在升级到 iOS 18.2 之前,通知用户,确保他们将其应用升级到最新版本。 可以通过导航到>“应用监视器>应用保护状态”,然后查看平台版本和 iOS SDK 版本,在Microsoft Intune管理中心查看用户使用的Intune应用 SDK 版本

如有疑问,请对适用的 GitHub 公告发表评论。 此外,如果尚未,请导航到适用的 GitHub 存储库并订阅 “发布讨论 ” (“观看 > 自定义 > ”选择“发布”、“讨论) ”,确保及时了解最新的 SDK 版本、更新和其他重要公告。

更改计划:特定应用配置值将自动发送到特定应用

从 Intune 的 9 月 (2409) 服务版本开始,IntuneMAMUPNIntuneMAMOIDIntuneMAMDeviceID 应用配置值将自动发送到以下应用的Intune注册 iOS 设备上的托管应用程序:Microsoft Excel、Microsoft Outlook、Microsoft PowerPoint、Microsoft Teams 和 Microsoft Word。 Intune将继续展开此列表以包括其他托管应用。

这对你或你的用户有何影响?

如果未为 iOS 设备正确配置这些值,则可能是策略未传递到应用,或者传递了错误的策略。 有关详细信息,请参阅支持提示:在极少数情况下,iOS/iPadOS 用户无用户设备上的Intune MAM 用户可能会被阻止

如何准备?

无需执行其他作。

更改计划:为 SCEP 和 PKCS 证书实现强映射

在 2022 年 5 月 10 日 Windows 更新 (KB5014754) 中,对 Windows Server 2008 及更高版本中的 Active Directory Kerberos 密钥分发 (KDC) 行为进行了更改,以缓解与证书欺骗相关的特权提升漏洞。 Windows 将在 2025 年 2 月 11 日强制实施这些更改。

为了准备此更改,Intune发布了包含安全标识符的功能,以强映射 SCEP 和 PKCS 证书。 有关详细信息,请查看博客:支持提示:在Microsoft Intune证书中实现强映射

这对你或你的用户有何影响?

这些更改会影响Intune为Microsoft Entra混合加入的用户或设备提供的 SCEP 和 PKCS 证书。 如果证书无法进行强映射,身份验证将被拒绝。 若要启用强映射,请:

  • SCEP 证书:将安全标识符添加到 SCEP 配置文件。 我们强烈建议使用少量设备进行测试,然后慢慢推出更新的证书,以最大程度地减少对用户的干扰。
  • PKCS 证书:更新到最新版本的证书连接器,更改注册表项以启用安全标识符,然后重启连接器服务。 重要: 在修改注册表项之前,请查看如何更改注册表项以及如何备份和还原注册表。

有关详细步骤和其他指导,请查看博客:支持提示:在Microsoft Intune证书中实现强映射

如何准备?

如果将 SCEP 或 PKCS 证书用于Microsoft Entra混合加入的用户或设备,则需要在 2025 年 2 月 11 日之前采取措施,以便:

  • (推荐) 查看博客中所述的步骤启用强映射:支持提示:在Microsoft Intune证书中实现强映射
  • 或者,如果在 2025 年 2 月 11 日之前无法续订所有证书(包括 SID),请通过调整注册表设置来启用兼容模式,如 KB5014754 中所述。 兼容模式将一直有效到 2025 年 9 月。

更新到 Android 15 支持的最新Intune应用 SDK 和Intune应用包装器

我们最近发布了适用于 Android 的 Intune App SDK 和 Intune App Wrapping Tool 的新版本,以支持 Android 15。 建议将应用升级到最新的 SDK 或包装器版本,以确保应用程序保持安全并顺利运行。

这对你或你的用户有何影响?

如果你有使用 Intune App SDK 或适用于 Android Intune App Wrapping Tool 的应用程序,建议将应用更新到最新版本以支持 Android 15。

如何准备?

如果选择生成面向 Android API 35 的应用,则需要采用适用于 Android (v11.0.0) 的 Intune App SDK 的新版本。 如果已包装应用并面向 API 35,则需要使用新版本的应用包装器 (v1.0.4549.6) 。

注意

提醒一下,虽然如果面向 Android 15,应用必须更新到最新的 SDK,但应用不需要更新 SDK 以在 Android 15 上运行。

还应计划更新文档或开发人员指南(如果适用)以包括此更改,以支持 SDK。

下面是公共存储库:

采取措施:在 2024 年 10 月 15 日之前为租户启用多重身份验证

从 2024 年 10 月 15 日或之后开始,为了进一步提高安全性,Microsoft将要求管理员在登录到 Microsoft Azure 门户、Microsoft Entra 管理中心 和 Microsoft Intune 管理中心时使用多重身份验证 (MFA) 。 若要利用 MFA 提供的额外保护层,建议尽快启用 MFA。 若要了解详细信息,请参阅 规划 Azure 和管理门户的强制多重身份验证

注意

此要求也适用于通过Intune管理中心访问的任何服务,例如Windows 365 云电脑。

这对你或你的用户有何影响?

必须为租户启用 MFA,以确保管理员能够在此更改后登录到Azure 门户、Microsoft Entra 管理中心和Intune管理中心。

如何准备?

  • 如果尚未设置 MFA,请在 2024 年 10 月 15 日之前设置,以确保管理员可以访问Azure 门户、Microsoft Entra 管理中心和Intune管理中心。
  • 如果在此日期之前无法设置 MFA,可以 申请推迟实施日期
  • 如果在强制实施开始之前尚未设置 MFA,系统会提示管理员注册 MFA,然后才能在下次登录时访问Azure 门户、Microsoft Entra 管理中心或Intune管理中心。

有关详细信息,请参阅: 规划 Azure 和管理门户的强制多重身份验证

更改计划:Intune正在转向支持 iOS/iPadOS 16 及更高版本

今年晚些时候,我们预计苹果将发布 iOS 18 和 iPadOS 18。 Microsoft Intune(包括Intune 公司门户和Intune应用保护策略) (APP(也称为 MAM) )将在 iOS/iPadOS 18 版本发布后不久需要 iOS 16/iPadOS 16 及更高版本。

这对你或你的用户有何影响?

如果你正在管理 iOS/iPadOS 设备,则设备可能无法升级到 iOS 16/iPadOS 16) (支持的最低版本。

鉴于 iOS 16/iPadOS 16 及更高版本支持Microsoft 365 移动应用,这可能不会影响你。 你可能已经升级了 OS 或设备。

若要检查哪些设备支持 iOS 16 或 iPadOS 16 ((如果适用) ),请参阅以下 Apple 文档:

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况,其支持声明略有细微差别。 支持的最低作系统版本将更改为 iOS 16/iPadOS 16,而允许的 OS 版本将更改为 iOS 13/iPadOS 13 及更高版本。 有关详细信息 ,请参阅此关于 ADE 无用户支持的声明

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备,请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备,请转到“应用>监视器>应用保护状态”,并使用“平台平台版本”列进行筛选。

若要管理组织中支持的 OS 版本,可以对 MDM 和 APP 使用Microsoft Intune控件。 有关详细信息,请参阅 使用 Intune 管理操作系统版本。

更改计划:Intune今年晚些时候将转向支持 macOS 13 及更高版本

今年晚些时候,我们预计苹果将发布 macOS 15 红杉。 Microsoft Intune,公司门户应用和Intune移动设备管理代理将迁移到支持 macOS 13 及更高版本。 由于适用于 iOS 和 macOS 的 公司门户 应用是统一应用,因此此更改将在 macOS 15 发布后不久发生。 这不会影响现有的已注册设备。

这对你或你的用户有何影响?

仅当当前管理或计划使用Intune管理 macOS 设备时,此更改才会影响你。 此更改可能不会影响你,因为你的用户可能已升级其 macOS 设备。 有关受支持的设备列表,请参阅 macOS Ventura 与这些计算机兼容

注意

当前在 macOS 12.x 或更低版本上注册的设备将继续保持注册状态,即使这些版本不再受支持。 如果新设备运行的是 macOS 12.x 或更低版本,则它们将无法注册。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列,以帮助确定组织中谁拥有运行 macOS 12.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。

Intune在 2024 年 10 月转向支持 Android 10 及更高版本以使用基于用户的管理方法

2024 年 10 月,Intune将转为支持 Android 10 及更高版本以使用基于用户的管理方法,其中包括:

  • Android Enterprise 个人拥有的工作配置文件
  • Android Enterprise 公司拥有的工作配置文件
  • Android Enterprise 完全托管设备
  • 基于用户的 Android 开源项目 (AOSP)
  • Android 设备管理员
  • 应用) (应用保护策略
  • 托管应用 (ACP) 的应用配置策略

今后,我们将在 10 月终止对一个或两个版本的支持,直到仅支持 Android 的最新四个主要版本。 可以通过阅读博客来了解有关此更改的详细信息:Intune 2024 年 10 月迁移到支持 Android 10 及更高版本以使用基于用户的管理方法

注意

此更改不会影响 Android 设备管理 (专用和 AOSP 无用户) 和Microsoft Teams 认证的 Android 设备的无用户方法。

这对你或你的用户有何影响?

对于上面列出的基于用户的管理方法 () ,不支持运行 Android 9 或更低版本的 Android 设备。 对于不受支持的 Android OS 版本的设备:

  • Intune不提供技术支持。
  • Intune不会对 bug 或问题进行更改。
  • 不能保证新功能和现有功能正常工作。

虽然Intune不会阻止在不支持的 Android OS 版本上注册或管理设备,但无法保证功能,因此不建议使用。

如何准备?

如果适用,请通知支持人员此更新的支持声明。 以下管理员选项可用于帮助警告或阻止用户:

  • 为具有最低 OS 版本要求的应用配置 条件启动 设置,以警告和/或阻止用户。
  • 使用设备符合性策略并设置不合规作,以向用户发送消息,然后再将其标记为不符合。
  • 设置 注册限制 以防止在运行旧版本的设备上注册。

有关详细信息,请查看:使用 Microsoft Intune 管理作系统版本

更改计划:基于 Web 的设备注册将成为 iOS/iPadOS 设备注册的默认方法

目前,在创建 iOS/iPadOS 注册配置文件时,“使用 公司门户 进行设备注册”显示为默认方法。 在即将发布的服务版本中,在配置文件创建期间,默认方法将更改为“基于 Web 的设备注册”。 此外,对于 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。

注意

对于 Web 注册,需要部署单一登录 (SSO) 扩展策略,以启用实时 (JIT) 注册,有关详细信息,请查看:在 Microsoft Intune 中设置实时注册

这对你或你的用户有何影响?

这是创建新的 iOS/iPadOS 注册配置文件时用户界面的更新,以将“基于 Web 的设备注册”显示为默认方法,现有配置文件不受影响。 对于 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。

如何准备?

根据需要更新文档和用户指南。 如果当前将设备注册与 公司门户 配合使用,建议迁移到基于 Web 的设备注册并部署 SSO 扩展策略以启用 JIT 注册。

其他信息:

更改计划:将 Jamf macOS 设备从条件访问过渡到设备符合性

我们一直在与 Jamf 合作制定迁移计划,帮助客户将 macOS 设备从 Jamf Pro 的条件访问集成过渡到其设备符合性集成。 设备符合性集成使用较新的Intune合作伙伴合规性管理 API,它涉及比合作伙伴设备管理 API 更简单的设置,并将 macOS 设备与 Jamf Pro 管理的 iOS 设备置于同一 API 上。 2025 年 1 月 31 日之后,将不再支持基于 Jamf Pro 的条件访问功能的平台。

请注意,某些环境中的客户最初无法转换,有关详细信息和更新,请阅读博客: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性

这对你或你的用户有何影响?

如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成,请遵循 Jamf 记录的指南将设备迁移到设备符合性集成: 从 macOS 条件访问迁移到 macOS 设备符合性 – Jamf Pro 文档

设备符合性集成完成后,某些用户可能会看到一次性提示输入其Microsoft凭据。

如何准备?

如果适用,请按照 Jamf 提供的说明迁移 macOS 设备。 如果需要帮助,请联系 Jamf Customer Success。 有关详细信息和最新更新,请阅读博客文章: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性

更改计划:Intune 2024 年 12 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Google 已弃用 Android 设备管理员管理,继续删除管理功能,不再提供修复或改进。 由于这些更改,Intune将从 2024 年 12 月 31 日起终止对有权访问 Google 移动服务 (GMS) 设备上 Android 设备管理员管理的支持。 在此之前,我们支持在运行 Android 14 及更早版本的设备上管理设备管理员。 有关详细信息,请阅读博客:Microsoft Intune在具有 GMS 访问权限的设备上终止对 Android 设备管理员的支持

这对你或你的用户有何影响?

Intune终止对 Android 设备管理员的支持后,有权访问 GMS 的设备将通过以下方式受到影响:

  1. Intune不会对 Android 设备管理员管理进行更改或更新,例如 bug 修复、安全修复或解决新 Android 版本中的更改的修补程序。
  2. Intune技术支持将不再支持这些设备。

如何准备?

停止将设备注册到 Android 设备管理员,并将受影响的设备迁移到其他管理方法。 可以检查Intune报告,以查看哪些设备或用户可能受到影响。 转到 “设备>所有设备 ”,将 OS 列筛选到 Android (设备管理员) 以查看设备列表。

阅读博客,Microsoft Intune终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持,了解我们推荐的替代 Android 设备管理方法,以及有关无法访问 GMS 的设备的影响的信息。