Microsoft Intune 新增功能
了解 Microsoft Intune 每周新增功能。
还可以阅读:
- 重要声明
- 新增功能存档中的过去版本
- 有关如何发布Intune服务更新的信息
注意
每个 每月更新 可能需要长达三天才能推出,其顺序如下:
- 第 1 天: 亚太 (APAC)
- 第 2 天: 欧洲、中东和非洲 (EMEA)
- 第 3 天: 北美
- 第 4 天起: Intune for Government
某些功能将在几周内推出,并且可能不会在第一周内向所有客户提供。
有关即将推出的 Intune 功能版本的列表,请参阅正在开发的 Microsoft Intune。
有关 Windows Autopilot 解决方案的新信息,请参阅:
可以使用 RSS 以在更新此页面时收到通知。 有关详细信息,请参 如何使用文档。
2024 年 11 月 18 日 (服务版本 2411)
应用管理
AOSP 设备上的 LOB 应用的其他安装错误报告
现在提供了有关 Android 开源项目 (AOSP) 设备上的业务线 (LOB) 应用安装报告的其他详细信息。 可以在 Intune 中查看 LOB 应用的安装错误代码和详细错误消息。 有关应用安装错误的详细信息,请参阅使用Microsoft Intune监视应用信息和分配。
应用于:
- Android 开源项目 (AOSP) 设备
在 VisionOS 设备上Microsoft Teams 应用保护 (预览版)
VisionOS 设备上的 Microsoft Teams 应用现在支持Microsoft Intune应用保护策略 (应用) 。 若要详细了解如何将策略定向到 VisionOS 设备,请参阅 托管应用属性 ,详细了解托管应用属性的筛选器。
应用于:
- Microsoft VisionOS 设备上的适用于 iOS 的 Teams
设备配置
Windows 设置目录中提供的新设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。
设置目录中现在提供了设置 Copilot 硬件密钥 的新设置。 若要查看此设置和其他设置,请在Microsoft Intune管理中心,转到“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”,了解配置文件类型的平台>设置目录。
应用于:
- Windows 11
设备固件配置接口 (DFCI) Samsung 设备的支持
现在,可以使用 DFCI 配置文件来管理运行Windows 10或Windows 11的 Samsung 设备的 UEFI (BIOS) 设置。 并非所有运行 Windows 的 Samsung 设备都启用了 DFCI。 有关符合条件的设备,请联系设备供应商或设备制造商。
可以从Microsoft Intune管理中心内管理 DFCI 配置文件,方法是转到“设备>管理设备>”“配置>”“创建新>策略>Windows 10”及更高版本“,了解平台>模板>”“设备固件配置接口”,了解配置文件类型。 有关 DFCI 配置文件的详细信息,请参阅:
应用于:
- Windows
Apple 设置目录中提供的新设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略。
我们已将新设置添加到设置目录。 若要查看可用设置,请在 Microsoft Intune 管理中心中,转到“设备>管理设备>”“配置>创建新>策略>iOS/iPadOS 或 macOS for platform >设置目录”,了解配置文件类型。
iOS/iPadOS
限制:
- 允许隐藏应用
- 允许锁定应用
- 允许呼叫录制
- 允许默认浏览器修改
- 允许外部智能集成
- 允许外部智能集成登录
- 允许邮件摘要
- 允许 RCS 消息传送
macOS
限制:
- 允许外部智能集成
- 允许外部智能集成登录
- 允许邮件摘要
- 允许媒体共享修改
- 强制绕过屏幕捕获警报
Apple 已弃用以下设置,并将在设置目录中标记为已弃用:
macOS
联网 > 防火墙:
- 启用日志记录
- 日志记录选项
设备管理
Windows 365链接现已以公共预览版提供
Windows 365 Link 是Microsoft构建的第一台云电脑设备,在数秒内即可安全地连接到Windows 365,从而在 Microsoft 云中提供响应式、高保真 Windows 桌面体验。
Windows 365 Link 运行名为 Windows CPC 的基于 Windows 的小型操作系统,并与其他托管 Windows 设备和云电脑一起显示在Intune中。
此外,设备操作(如擦除、重启和收集诊断)的工作方式与其他 Windows 设备类似。 由于操作系统旨在直接连接到Windows 365,因此只有一小部分 Windows 配置策略适用,从而最大程度地减少决策点。
配置和应用这些适用策略的过程非常简单且熟悉,因为该过程与其他 Windows 设备相同。 其次,Windows 365 Link 无法在本地存储数据,没有本地应用,也没有本地管理员用户,并且自动使自己保持最新状态。
这意味着多个Intune功能不适用,包括应用程序和更新管理,以及脚本和修正。
Windows 365链接现已以公共预览版提供。 有关详细信息,请参阅 Windows 365 Link - 用于Windows 365的第一台云电脑设备。
将 macOS 证书存储在用户密钥链
Microsoft Intune 中的新部署通道设置使你能够在用户密钥链中存储 macOS 身份验证证书。 此增强功能通过减少证书提示来增强系统安全性并改善用户体验。 在此更改之前,Microsoft Intune自动将用户和设备证书存储在系统密钥链中。 部署通道设置在 macOS 的 SCEP 和 PKCS 证书配置文件中,以及 macOS 的 VPN、Wi-Fi 和有线网络设置配置文件中可用。 有关配置文件及其新设置的详细信息,请参阅:
- 在 Microsoft Intune 中添加 macOS 设备 VPN 设置
- 在 Microsoft Intune 中添加 macOS 设备的 Wi-Fi 设置
- 为 macOS 添加有线网络设置
- 在 Intune 中配置和使用 PKCS 证书
- 在 Intune 中创建和分配 SCEP 证书配置文件
适用于 Windows 的设备清单
设备清单允许你从托管设备收集和查看其他硬件属性,以帮助你更好地了解设备的状态并做出业务决策。
现在,可以使用属性目录选择要从设备收集的内容,然后在“资源资源管理器”视图中查看收集的属性。
应用于:
- Windows 10 及更高版本 (由 Intune) 管理的公司拥有的设备
评估适用于 Linux 的 Windows 子系统 (正式版) 的符合性
Microsoft Intune现已正式发布,支持对 Windows 主机设备上运行的 适用于 Linux 的 Windows 子系统 (WSL) 实例进行合规性检查。 可以创建一个Windows 10/11 符合性策略,其中包含允许的 Linux 分发名称和 WSL 上评估的版本。 Microsoft Intune包括主机设备的总体符合性状态中的 WSL 符合性结果。
有关 WSL 符合性的详细信息,请参阅评估适用于 Linux 的 Windows 子系统的符合性。
Intune应用
新提供的适用于 Intune 的受保护应用
现在为 Microsoft Intune 提供了以下受保护的应用:
- Microsoft公司Microsoft Designer
有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用。
监视和疑难解答
将为 Android Enterprise 专用和完全托管的 ICCID 列出清单
我们添加了查看注册为 Android Enterprise Dedicated 或 Android 完全托管的设备的设备 ICCID 号的功能。 管理员可以在其设备清单中查看 ICCID 编号。
现在,可以通过导航到>“Android 设备”找到 Android 设备的 ICCID编号。 选择感兴趣的设备。 在侧面板中的 “监视器 ”下,选择“ 硬件”。 ICCID 编号将位于 “网络详细信息 ”组中。 ANDROID Corporate-Owned 工作配置文件设备不支持 ICCID 编号。
应用于:
- Android 专用且完全托管
单个设备查询的新设备操作
我们将Intune远程设备操作添加到单个设备查询,以帮助你远程管理设备。 在设备查询界面中,你将能够基于查询结果运行设备操作,以便更快、更高效地进行故障排除。
应用于:
- Windows
有关更多信息,请参阅:
2024 年 10 月 28 日当周
设备安全性
政府云环境中的 Defender for Endpoint 安全设置支持 (正式发布)
现已正式发布,政府社区云 (GCC) 、美国政府社区高 (GCC High) 和国防部 (DoD) 环境中的客户租户可以使用 Intune 来管理已载入 Defender 的设备上的 Defender 安全设置,而无需向 Intune 注册这些设备。 以前,对 Defender 安全设置的支持以公共预览版提供。
此功能称为 Defender for Endpoint 安全设置管理。
2024 年 10 月 14 日 (服务版本 2410)
应用管理
汇报 Android Enterprise 设备的应用配置策略
Android Enterprise 设备的应用配置策略现在支持重写以下权限:
- 访问后台位置
- 蓝牙 (连接)
有关 Android Enterprise 设备的应用配置策略的详细信息,请参阅 为托管 Android Enterprise 设备添加应用配置策略。
应用于:
- Android Enterprise 设备
设备配置
Intune的 Windows Autopilot 设备准备支持,由世纪互联在中国运营
Intune现在支持由世纪互联在中国云中运营的Intune的 Windows Autopilot 设备准备策略。 在中国拥有租户的客户现在可以通过Intune使用 Windows Autopilot 设备准备来预配设备。
有关此 Autopilot 支持的信息,请参阅 Autopilot 文档中的以下内容:
设备管理
Android 设备的最低 OS 版本是 Android 10 和更高版本,适合基于用户的管理方法
从 2024 年 10 月开始,Android 10 及更高版本是基于用户的管理方法支持的最低 Android OS 版本,其中包括:
- Android Enterprise 个人拥有的工作配置文件
- Android Enterprise 公司拥有的工作配置文件
- Android Enterprise 完全托管设备
- 基于用户的 Android 开源项目 (AOSP)
- Android 设备管理员
- 应用) (应用保护策略
- 托管应用 (ACP) 的应用配置策略
对于不受支持的操作系统版本 (Android 9 及更低版本的已注册设备)
- Intune不提供技术支持。
- Intune不会对 bug 或问题进行更改。
- 不能保证新功能和现有功能正常工作。
虽然Intune不会阻止在不支持的 Android OS 版本上注册或管理设备,但无法保证功能,不建议使用。
此更改不会影响 Android 设备管理 (专用和 AOSP 无用户) 和Microsoft Teams 认证的 Android 设备的无用户方法。
收集其他设备清单详细信息
Intune现在收集其他文件和注册表项,以帮助对设备硬件清单功能进行故障排除。
应用于:
- Windows
2024 年 10 月 7 日当周
应用管理
适用于 Windows 的 Intune 公司门户 应用的新 UI
适用于 Windows 的 Intune 公司门户 应用的 UI 已更新。 用户现在可看到桌面应用的改进体验,而无需更改他们过去使用的功能。 特定的 UI 改进侧重于 “主页”、“ 设备”和 “下载”& 更新 页面。 新设计更加直观,突出显示了用户需要采取行动的领域。
有关详细信息,请参阅适用于 Windows 的 Intune 公司门户 应用的新外观。 有关最终用户的详细信息,请参阅 在设备上安装和共享应用。
设备安全性
使用 KDC 进行身份验证的 SCEP 证书的新强映射要求
密钥分发中心 (KDC) 要求用户或设备对象强映射到 Active Directory 以进行基于证书的身份验证。 这意味着,简单证书注册协议 (SCEP) 证书的使用者可选名称 (SAN) 必须具有映射到 Active Directory 中用户或设备 SID 的安全标识符 (SID) 扩展。 映射要求可防止证书欺骗,并确保针对 KDC 的基于证书的身份验证继续工作。
若要满足要求,请在 Microsoft Intune 中修改或创建 SCEP 证书配置文件。 然后,将 URI
属性和 OnPremisesSecurityIdentifier
变量添加到 SAN。 执行此操作后,Microsoft Intune将带有 SID 扩展的标记追加到 SAN,并向目标用户和设备颁发新证书。 如果用户或设备在本地具有同步到Microsoft Entra ID的 SID,则证书将显示 SID。 如果他们没有 SID,则会在没有 SID 的情况下颁发新证书。
有关详细信息和步骤,请参阅 更新证书连接器:KB5014754的强映射要求。
应用于:
- Windows 10/11、iOS/iPadOS 和 macOS 用户证书
- Windows 10/11 个设备证书
此要求不适用于与Microsoft Entra已加入的用户或设备一起使用的设备证书,因为 SID 属性是本地标识符。
政府云环境中的 Defender for Endpoint 安全设置支持 (公共预览版)
在公共预览版中,美国政府社区 (GCC) High 和国防部 (DoD) 环境中的客户租户现在可以使用 Intune 来管理载入到 Defender 的设备上的 Defender 安全设置,而无需向 Intune 注册这些设备。 此功能称为 Defender for Endpoint 安全设置管理。
有关 GCC High 和 DoD 环境中支持的Intune功能的详细信息,请参阅Intune美国政府服务说明。
2024 年 9 月 30 日当周
设备安全性
汇报Microsoft Intune证书连接器版本 6.2406.0.1001 中的 PKCS 证书颁发过程
我们在 Microsoft Intune 中更新了公钥加密标准 (PKCS) 证书颁发过程,以支持KB5014754中所述的安全标识符 (SID ) 信息要求。 在此更新过程中,将包含用户或设备 SID 的 OID 属性添加到证书。 此更改适用于 Microsoft Intune 的证书连接器版本 6.2406.0.1001 提供,适用于从本地 Active Directory 同步到Microsoft Entra ID的用户和设备。
SID 更新可用于跨所有平台的用户证书,以及专用于Microsoft Entra混合联接的 Windows 设备上的设备证书。
有关更多信息,请参阅:
2024 年 9 月 23 日 (服务版本 2409)
应用管理
应用保护策略的工作时间设置
工作时间设置允许你强制实施策略,以限制对非工作时间从应用接收的应用的访问和静音消息通知。 限制访问设置现在可用于 Microsoft Teams 和 Microsoft Edge 应用。 可以通过设置非 工作时间 条件启动设置,使用应用保护策略 (应用) 来限制访问,以阻止或警告最终用户使用 iOS/iPadOS 或 Android Teams,并在非工作时间Microsoft Edge 应用。 此外,还可以创建非工作时间策略,以在非工作时间将 Teams 应用中的通知静音给最终用户。
应用于:
- Android
- iOS/iPadOS
从企业应用目录简化应用创建体验
我们简化了将企业应用目录中的应用添加到Intune的方式。 我们现在提供直接应用链接,而不是复制应用二进制文件和元数据。 应用内容现在从 *.manage.microsoft.com
子域下载。 此更新有助于改善将应用添加到Intune时的延迟。 从企业应用目录添加应用时,它会立即同步,并准备好在 Intune 内执行其他操作。
更新企业应用目录应用
企业应用管理已得到增强,允许更新 企业应用目录 应用。 此功能将引导你完成一个向导,该向导允许添加新应用程序并使用取代来更新以前的应用程序。
有关详细信息,请参阅 Enterprise App Management 的引导更新取代。
设备配置
Samsung 终止了对多个 Android 设备管理员的支持 (DA) 设置
在 Android 设备管理员管理的 (DA) 设备上,Samsung 已弃用许多 Samsung Knox API , () 配置设置打开 Samsung 的网站。
在 Intune 中,此弃用会影响以下设备限制设置、符合性设置和受信任的证书配置文件:
- Microsoft Intune中 Android 的设备限制设置
- 查看Microsoft Intune合规性策略的 Android 设备管理员符合性设置
- 在 Microsoft Intune 中创建受信任的证书配置文件
在Intune管理中心,使用这些设置创建或更新配置文件时,会注意到受影响的设置。
尽管该功能可能继续工作,但不能保证它将继续适用于Intune支持的任何或所有 Android DA 版本。 有关 Samsung 对已弃用 API 的支持的详细信息,请参阅弃用 API 后提供哪种类型的支持? (打开 Samsung 的网站) 。
相反,可以使用以下 Android Enterprise 选项之一通过 Intune管理 Android 设备:
- 设置 Android Enterprise 个人拥有的工作配置文件设备的注册
- 设置 Android Enterprise 公司拥有的工作配置文件设备的 Intune 注册
- 为 Android Enterprise 完全托管设备设置注册
- 设置 Android Enterprise 专用设备的 Intune 注册
- 应用保护策略概述
应用于:
- Android 设备管理员 (DA)
设备固件配置接口 (DFCI) 支持 VAIO 设备
对于 Windows 10/11 设备,可以创建 DFCI 配置文件来管理 UEFI (BIOS) 设置。 在“Microsoft Intune管理中心”中,选择“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”以选择“平台>模板>”“设备固件配置接口”以获取配置文件类型。
某些运行 Windows 10/11 的 VAIO 设备已启用 DFCI。 有关符合条件的设备,请联系设备供应商或设备制造商。
有关 DFCI 配置文件的详细信息,请参阅:
应用于:
- Windows 10
- Windows 11
Apple 设置目录中提供的新设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略。
设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”,了解配置文件类型。
iOS/iPadOS
声明性设备管理 (DDM) > 数学设置:
计算器
- 基本模式
- 数学笔记模式
- 科学模式
系统行为
- 键盘建议
- 数学笔记
Web 内容筛选器:
- 隐藏拒绝列表 URL
macOS
声明性设备管理 (DDM) > 数学设置:
计算器
- 基本模式
- 数学笔记模式
- 程序员模式
- 科学模式
系统行为
- 键盘建议
- 数学笔记
系统配置 > 系统扩展:
- 不可从 UI 系统扩展可移动
- 不可移动系统扩展
远程日志收集的同意提示更新
Android APP SDK 10.4.0 和 iOS APP SDK 19.6.0 更新后,最终用户可能会看到远程日志收集的不同许可体验。 最终用户不再看到来自 Intune 的常见提示,并且仅看到来自应用程序的提示(如果有)。
此更改的采用取决于每个应用程序,并受每个应用程序发布计划的约束。
应用于:
- Android
- iOS/iPadOS
设备注册
可用于配置 ADE 的新设置助手屏幕
可在Microsoft Intune管理中心配置新的设置助手屏幕。 可以在自动设备注册期间隐藏或显示这些屏幕, (ADE) 。
对于 macOS:
- 壁纸:在运行 macOS 14.1 及更高版本的设备上显示升级后显示的 macOS Sonoma 壁纸设置窗格。
- 锁定模式:在运行 macOS 14.1 及更高版本的设备上显示或隐藏锁定模式设置窗格。
- 智能:在运行 macOS 15 及更高版本的设备上显示或隐藏 Apple Intelligence 设置窗格。
对于 iOS/iPadOS:
- 紧急 SOS:在运行 iOS/iPadOS 16 及更高版本的设备上显示或隐藏安全设置窗格。
- 操作按钮:在运行 iOS/iPadOS 17 及更高版本的设备上显示或隐藏操作按钮的设置窗格。
- 智能:在运行 iOS/iPadOS 18 及更高版本的设备上显示或隐藏 Apple Intelligence 设置窗格。
可以在新的和现有的注册策略中配置这些屏幕。 有关详细信息和其他资源,请参阅:
公司拥有的用户关联的 AOSP 注册令牌的延长到期日期
现在,在为 Android 开源项目创建注册令牌时, (AOSP) 公司拥有的用户相关设备,可以选择一个最长为 65 年的到期日期,这比前 90 天的到期日期有所改进。 还可以修改 Android 开源项目现有注册令牌的到期日期, (AOSP) 公司拥有的用户相关设备。
设备安全性
用于个人数据加密的新磁盘加密模板
现在可以使用通过终结点安全磁盘加密策略提供的新个人数据加密 (PDE) 模板。 此新模板Windows 11 22H2 中引入 (CSP) 配置 Windows PDE 配置服务提供程序。 还可以通过设置目录获取 PDE CSP。
PDE 与 BitLocker 的不同之处在于,它加密文件而不是整个卷和磁盘。 除了其他加密方法(如 BitLocker)之外,还会发生 PDE。 与在启动时释放数据加密密钥的 BitLocker 不同,PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。
应用于:
- Windows 11版本 22h2 或更高版本
有关 PDE 的详细信息,包括先决条件、相关要求和建议,请参阅 Windows 安全文档中的以下文章:
Intune应用
新提供的适用于 Intune 的受保护应用
现在为 Microsoft Intune 提供了以下受保护的应用:
- Shafer Systems, LLC Intune的 Notate
有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用。
2024 年 9 月 9 日当周
应用管理
托管主屏幕用户体验更新
所有 Android 设备都会自动迁移到更新的 托管主屏幕 (MHS) 用户体验。 有关详细信息,请参阅汇报托管主屏幕体验。
设备注册
已终止对 Apple 基于配置文件的用户注册的支持,公司门户
Apple 在自带设备 (BYOD) 方案中支持两种类型的用户和设备手动注册方法: 基于配置文件的注册 和 帐户驱动的注册。 Apple 终止了对基于配置文件的用户注册的支持,Intune中称为使用 公司门户 的用户注册。 此方法是使用托管 Apple ID 的以隐私为中心的 BYOD 注册流。 由于此更改,Intune已终止对基于配置文件的用户注册的支持,公司门户。 用户无法再注册面向此注册配置文件类型的设备。 此更改不会影响已注册到此配置文件类型的设备,因此你可以继续在管理中心对其进行管理,并接收Microsoft Intune技术支持。 目前,所有Intune租户中只有不到 1% 的 Apple 设备采用这种方式注册,因此此更改不会影响大多数已注册的设备。
使用 公司门户(BYOD 方案的默认注册方法)的基于配置文件的设备注册没有变化。 通过 Apple 自动设备注册注册的设备也不会受到影响。
建议将帐户驱动用户注册作为设备的替代方法。 有关 Intune 中的 BYOD 注册选项的详细信息,请参阅:
- 帐户驱动用户注册
- 基于 Web 的设备注册
- 使用 公司门户 (BYOD 方案的默认注册方法进行设备注册)
有关 Apple 支持的设备注册类型的详细信息,请参阅 Apple 平台部署指南中的 Apple 设备注册类型简介 。
设备管理
Intune现在支持 iOS/iPadOS 16.x 作为最低版本
今年晚些时候,我们预计苹果将发布 iOS 18 和 iPadOS 18。 Microsoft Intune(包括Intune 公司门户和Intune应用保护策略) (APP(也称为 MAM) )将在 iOS/iPadOS 18 发布后不久需要 iOS/iPadOS 16 及更高版本。
有关此更改的详细信息,请参阅规划更改:Intune正在迁移以支持 iOS/iPadOS 16 及更高版本。
注意
通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况,其支持声明略有细微差别。 有关详细信息,请参阅 无用户设备的受支持与允许的 iOS/iPadOS 版本的支持声明。
应用于:
- iOS/iPadOS
Intune现在支持 macOS 13.x 作为最低版本
随着苹果发布的 macOS 15 Sequoia、Microsoft Intune、公司门户应用和Intune MDM 代理现在将需要 macOS 13 (Ventura) 及更高版本。
有关此更改的详细信息,请参阅规划更改:Intune正在迁移到支持 macOS 13 及更高版本
注意
通过自动设备注册 (ADE 注册的 macOS 设备) 由于共享使用情况,其支持声明略有细微差别。 有关详细信息,请参阅 支持语句。
应用于:
- macOS
2024 年 8 月 19 日 (服务版本 2408)
Microsoft Intune Suite
通过支持审批请求和报告轻松创建 Endpoint Privilege Management 提升规则
现在可以直接从支持批准的提升请求或 EPM 提升报告中的详细信息创建终结点特权管理 (EPM) 提升规则。 使用此新功能,无需手动识别提升规则的特定文件检测详细信息。 相反,对于显示在提升报表或支持批准的提升请求中的文件,可以选择该文件以打开其提升详细信息窗格,然后选择使用 这些文件详细信息创建规则的选项。
使用此选项时,可以选择将新规则添加到现有提升策略之一,或创建仅包含新规则的新策略。
应用于:
- Windows 10
- Windows 11
有关此新功能的信息,请参阅配置 Endpoint Privilege 管理策略一文中的 Windows 提升规则策略。
介绍 高级分析 中物理设备的资源性能报告
我们将在 Intune 高级分析 中引入 Windows 物理设备的资源性能报告。 报表作为Intune添加到Microsoft Intune Suite下。
物理设备的资源性能分数和见解旨在帮助 IT 管理员做出 CPU/RAM 资产管理和购买决策,在平衡硬件成本的同时改善用户体验。
有关更多信息,请参阅:
应用管理
适用于 Android Enterprise 完全托管设备的托管主屏幕
android Enterprise 完全托管设备上现在支持托管主屏幕 (MHS) 。 此功能使组织能够在设备与单个用户关联的情况下利用 MHS。
有关相关信息,请参阅:
- 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用
- Android Enterprise 设备设置列表,用于允许或限制使用 Intune
- 使用 Microsoft Intune 在 Android Enterprise 设备上配置托管主屏幕 (MHS) 的权限
汇报到“发现的应用”报表
“发现的应用”报表提供租户Intune注册设备上的检测到的应用列表,现在除了提供应用商店应用外,还提供 Win32 应用的发布者数据。 我们不仅在导出的报表数据中提供发布者信息,而是将其作为列包含在 “发现的应用” 报表中。
有关详细信息,请参阅Intune发现的应用。
Intune管理扩展日志的改进
我们更新了 Win32 应用和 Intune 管理扩展 (IME) 日志的日志活动和事件的创建方式。 新的日志文件 (AppWorkload.log) 包含与 IME 执行的应用部署活动相关的所有日志记录信息。 这些改进可更好地对客户端上的应用管理事件进行故障排除和分析。
有关详细信息,请参阅Intune管理扩展日志。
设备配置
Apple 设置目录中提供的新设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略。
Apple 设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”,了解配置文件类型。
iOS/iPadOS
声明性设备管理 (DDM) > Safari 扩展设置:
- 托管扩展
- 允许的域
- 拒绝的域
- 专用浏览
- 状态
声明性设备管理 (DDM) > 软件更新设置:
自动操作
- 下载
- 安装 OS 汇报
延期
- 组合时间段(天)
通知
快速安全响应
- 启用
- 启用回滚
建议的节奏
限制:
- 允许 ESIM 传出传输
- 允许 Genmoji
- 允许图像操场
- 允许图像魔杖
- 允许 iPhone 镜像
- 允许个性化手写结果
- 允许视频会议远程控制
- 允许编写工具
macOS
认证 >Extensible 单一登录 (SSO) :
- 平台 SSO
- 身份验证宽限期
- FileVault 策略
- 非平台 SSO 帐户
- 脱机宽限期
- 解锁策略
认证 >可扩展单一登录 Kerberos:
- 允许密码
- 允许智能卡
- 标识颁发者自动选择筛选器
- 在智能卡模式下启动
声明性设备管理 (DDM) > 磁盘管理:
- 外部存储
- 网络存储
声明性设备管理 (DDM) > Safari 扩展设置:
- 托管扩展
- 允许的域
- 拒绝的域
- 专用浏览
- 状态
声明性设备管理 (DDM) > 软件更新设置:
允许Standard用户 OS 汇报
自动操作
- 下载
- 安装 OS 汇报
- 安装安全更新
延期
- 主要时间段(以天为单位)
- 次要时间段(天)
- 系统周期(天)
通知
快速安全响应
- 启用
- 启用回滚
限制:
- 允许 Genmoji
- 允许图像操场
- 允许 iPhone 镜像
- 允许编写工具
系统策略 > 系统策略控制:
- 启用 XProtect 恶意软件上传
对多管理审批的增强功能
多重管理审批增加了将应用程序访问策略限制到 Windows 应用程序或所有非 Windows 应用程序或两者的功能。 我们将向多个管理审批功能添加新的访问策略,以允许批准对多个管理审批的更改。
有关详细信息,请参阅 多管理员审批。
设备注册
帐户驱动的 Apple 用户注册现已正式发布,适用于 iOS/iPadOS 15+
对于运行 iOS/iPadOS 15 及更高版本的设备,Intune现在支持帐户驱动的 Apple 用户注册(Apple 用户注册的新版和改进版本)。 这种新的注册方法利用实时注册,删除了适用于 iOS 的 公司门户 应用作为注册要求。 设备用户可以直接在“设置”应用中启动注册,从而获得更短、更高效的载入体验。
有关详细信息,请参阅在 Microsoft Learn 上 设置帐户驱动的 Apple 用户注册 。
Apple 宣布终止对基于配置文件的 Apple 用户注册的支持。 因此,Microsoft Intune将在 iOS/iPadOS 18 发布后不久通过公司门户终止对 Apple 用户注册的支持。 我们建议使用帐户驱动的 Apple 用户注册来注册设备,以便获得类似的功能和改进的用户体验。
使用公司Microsoft Entra帐户在 Intune 中启用 Android Enterprise 管理选项
使用 Android Enterprise 管理选项管理Intune注册的设备之前需要使用企业 Gmail 帐户将 Intune 租户连接到托管的 Google Play 帐户。 现在,可以使用公司Microsoft Entra帐户建立连接。 此更改发生在新租户中,不会影响已建立连接的租户。
有关详细信息,请参阅将 Intune 帐户连接到托管的 Google Play 帐户 - Microsoft Intune |Microsoft Learn。
设备管理
世纪互联对移动威胁防御连接器的支持
由世纪互联运营的Intune现在支持移动威胁防御 (MTD) 连接器,适用于 Android 和 iOS/iPadOS 设备的连接器,这些连接器也支持在该环境中提供支持的 MTD 供应商。 如果支持 MTD 合作伙伴,并且你登录到世纪互联租户,则支持的连接器可用。
应用于:
- Android
- iOS/iPadOS
有关更多信息,请参阅:
应用和策略分配的新 cpuArchitecture
筛选器设备属性
分配应用、符合性策略或配置文件时,可以使用不同的设备属性(如设备制造商、操作系统 SKU 等)筛选分配。
新的 cpuArchitecture
设备筛选器属性可用于 Windows 和 macOS 设备。 使用此属性,可以根据处理器体系结构筛选应用和策略分配。
有关筛选器和可使用的设备属性的详细信息,请参阅:
应用于:
- Windows 10
- Windows 11
- macOS
设备安全性
终结点安全策略的 Windows 平台名称更改
在 Intune 中创建终结点安全策略时,可以选择 Windows 平台。 对于终结点安全性中的多个模板,现在只有两个选项可供 Windows 平台选择:Windows 和 Windows (ConfigMgr) 。
具体而言,平台名称的更改如下:
Original | 新增 |
---|---|
Windows 10 及更高版本 | Windows |
Windows 10 及更高版本的 (ConfigMgr) | Windows (ConfigMgr) |
Windows 10、Windows 11 和 Windows Server | Windows |
Windows 10、Windows 11和 Windows Server (ConfigMgr) | Windows (ConfigMgr) |
这些更改适用于以下策略:
- 防病毒
- 磁盘加密
- 防火墙
- 终结点特权管理
- 终结点检测和响应
- 攻击面减少
- 帐户保护
须知内容
- 此更改仅在用户体验 (UX) ,管理员在创建新策略时会看到此更改。 对设备没有影响。
- 功能上与以前的平台名称相同。
- 现有策略没有其他任务或操作。
有关 Intune 中的终结点安全功能的详细信息,请参阅在 Microsoft Intune 中管理终结点安全性。
应用于:
- Windows
Apple 软件更新强制实施的目标日期时间设置使用设备上的本地时间计划更新
可以指定在其本地时区的设备上强制实施 OS 更新的时间。 例如,将 OS 更新配置为在下午 5 点强制实施,会将更新计划为设备的本地时区中的下午 5 点。 以前,此设置使用配置了策略的浏览器的时区。
此更改仅适用于在 8 月 2408 版及更高版本中创建的新策略。 “目标日期时间”设置位于“设备>管理设备>配置>创建新>策略>iOS/iPadOS 或 macOS for platform >设置目录”的设置目录中,用于配置文件类型>“声明性设备管理>软件更新”。
在未来版本中,将从“目标日期时间”设置中删除 UTC 文本。
有关使用设置目录配置软件更新的详细信息,请参阅 包含设置目录的托管软件更新。
应用于:
- iOS/iPadOS
- macOS
Intune应用
新提供的适用于 Intune 的受保护应用
现在为 Microsoft Intune 提供了以下受保护的应用:
- singletrack for Intune (iOS) by Singletrack
- 365 通过 365 零售市场支付
- Island Browser for Intune (Android) by Island Technology, Inc.
- Spire Innovations, Inc. 的招聘.Exchange
- Talent.Exchange by Spire Innovations, Inc.
有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用。
租户管理
组织消息现在位于 Microsoft 365 管理中心
组织消息功能已移出Microsoft Intune管理中心,进入Microsoft 365 管理中心的新主页。 在 Microsoft Intune 中创建的所有组织邮件现在都在Microsoft 365 管理中心中,你可以在其中继续查看和管理它们。 新体验包括高度请求的功能,例如创作自定义消息以及在 Microsoft 365 应用上传递消息的功能。
有关更多信息,请参阅:
- 在Microsoft 365 管理中心中引入组织消息 (预览)
- Microsoft 365 管理中心中的组织消息
- 支持提示:组织消息正在转移到 Microsoft 365 管理中心 - Microsoft 社区中心
2024 年 7 月 29 日当周
Microsoft Intune Suite
Endpoint Privilege Management、高级分析 和 Intune 计划 2 适用于 GCC High 和 DoD
我们很高兴地宣布,美国政府社区云 (GCC) High 以及美国国防部 (DoD) 环境中现在支持Microsoft Intune Suite的以下功能。
加载项功能:
计划 2 功能:
有关更多信息,请参阅:
设备注册
适用于 iOS/iPadOS 和 macOS 注册的 ACME 协议支持
当我们准备在 Intune 中支持托管设备证明时,我们将开始为新注册分阶段推出基础结构更改,其中包括对自动证书管理环境 (ACME) 协议的支持。 现在,当新的 Apple 设备注册时,Intune的管理配置文件将接收 ACME 证书而不是 SCEP 证书。 ACME 通过可靠的验证机制和自动化流程为 SCEP 提供比 SCEP 更好的保护,防止未经授权的证书颁发,有助于减少证书管理中的错误。
现有 OS 和硬件合格设备不会获得 ACME 证书,除非它们重新注册。 最终用户的注册体验没有变化,Microsoft Intune管理中心也没有任何更改。 此更改仅影响注册证书,不会影响任何设备配置策略。
ACME 支持 Apple 设备注册、Apple 配置器注册和自动设备注册 (ADE) 方法。 符合条件的 OS 版本包括:
- iOS 16.0 或更高版本
- iPadOS 16.1 或更高版本
- macOS 13.1 或更高版本
2024 年 7 月 22 日 (服务版本 2407)
Microsoft Intune Suite
Microsoft 云 PKI的新操作
为Microsoft 云 PKI证书颁发机构和根证书颁发机构添加了以下操作, (CA) :
- 删除:删除 CA。
- 暂停:暂时暂停使用 CA。
- 撤销:吊销 CA 证书。
可以在Microsoft Intune管理中心和图形 API访问所有新操作。 有关详细信息,请参阅删除Microsoft 云 PKI证书颁发机构。
应用管理
Intune公司门户中对其他 macOS 应用类型的支持
Intune支持将 DMG 和 PKG 应用部署为 Intune macOS 公司门户。 此功能使最终用户能够使用 公司门户 for macOS 浏览和安装代理部署的应用程序。 此功能需要 macOS v2407.005 和 macOS v5.2406.2 Intune 公司门户的最低 Intune 代理版本。
适用于Intune的新企业应用目录应用
企业应用程序目录已更新为包含其他应用。 有关受支持应用的完整列表,请参阅 企业应用目录中提供的应用。
Intune应用 SDK 和Intune App Wrapping Tool现在位于不同的 GitHub 存储库中
Intune App SDK 和Intune App Wrapping Tool已移动到其他 GitHub 存储库和新帐户。 所有现有存储库都有重定向。 此外,此移动还包含Intune示例应用程序。 此更改与 Android 和 iOS 平台相关。
设备配置
Windows 设置目录中提供的新剪贴板传输方向设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略。
设置目录中有新设置。 若要查看这些设置,请在Microsoft Intune管理中心,转到“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”以获取配置文件类型的平台>设置目录。
管理模板 > Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向:
- 限制从服务器到客户端的剪贴板传输
- 限制从服务器到客户端 (用户) 的剪贴板传输
- 限制从客户端到服务器的剪贴板传输
- 限制从客户端到服务器的剪贴板传输 (用户)
有关在 Azure 虚拟桌面中配置剪贴板传输方向的详细信息,请参阅 配置剪贴板传输方向和可在 Azure 虚拟桌面中复制的数据类型。
应用于:
- Windows 11
- Windows 10
Apple 设置目录中提供的新设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略。
设置目录中有新设置。 若要查看这些设置,请在 Microsoft Intune 管理中心中,转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”,了解配置文件类型。
iOS/iPadOS
限制:
- 允许自动调暗
macOS
隐私 > 隐私首选项策略控制:
- 蓝牙始终
Android Enterprise 具有“允许访问 Google Play 商店中所有应用”设置的新值
在Intune设备限制配置策略中,可以使用“允许”和“未配置”选项配置“允许访问 Google Play 商店中的所有应用”设置, (设备管理设备>>配置>创建新>策略>Android Enterprise for Platform >完全托管、专用和企业拥有的工作配置文件>设备配置文件类型>应用程序) 的限制。
可用选项更新为“允许”、“阻止”和“未配置”。
使用此设置不会影响现有配置文件。
有关此设置和当前可配置的值的详细信息,请参阅 Android Enterprise 设备设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能。
应用于:
- Android Enterprise 完全托管、专用和公司拥有的工作配置文件
设备注册
对 Red Hat Enterprise Linux 的新支持
Microsoft Intune现在支持 Red Hat Enterprise Linux 的设备管理。 可以注册和管理 Red Hat Enterprise Linux 设备,并分配标准合规性策略、自定义配置脚本和合规性脚本。 有关详细信息,请参阅部署指南:在Microsoft Intune中管理 Linux 设备和注册指南:在 Microsoft Intune 中注册 Linux 桌面设备。
应用于:
- Red Hat Enterprise Linux 9
- Red Hat Enterprise Linux 8
windows 注册证明的新Intune报表和设备操作 (公共预览版)
使用 Microsoft Intune 中的新设备证明状态报告来确定设备在硬件支持时是否已安全证明和注册。 在报表中,可以通过新的设备操作尝试远程证明。
有关更多信息,请参阅:
适用于所有 iOS/iPadOS 注册的实时注册和合规性修正
现在可以为所有 Apple iOS 和 iPadOS 注册配置实时 (JIT) 注册和 JIT 合规性修正。 这些Intune支持的功能改进了注册体验,因为它们可以取代Intune 公司门户应用进行设备注册和合规性检查。 建议为新注册设置 JIT 注册和符合性修正,并改进现有注册设备的体验。 有关详细信息,请参阅在 Microsoft Intune 中设置实时注册。
设备管理
用于标识保护和帐户保护的Intune配置文件的合并
我们已将与标识和帐户保护相关的Intune配置文件合并到名为“帐户保护”的单个新配置文件中。 此新配置文件可在 终结点安全性的帐户保护策略节点中找到,并且现在是在为标识和帐户保护创建新策略实例时唯一可用的配置文件模板。 新配置文件包括用户和设备Windows Hello 企业版设置,以及 Windows Credential Guard 的设置。
由于此新配置文件使用 Intune 的统一设置格式进行设备管理,因此配置文件设置也可通过设置目录获得,有助于改进Intune管理中心的报告体验。
可以继续使用已有的以下配置文件模板的任何实例,但Intune不再支持创建这些配置文件的新实例:
- 标识保护 - 以前可从设备>配置>创建新>策略>Windows 10及更高版本的>模板>标识保护中提供
- 帐户保护 (预览版) - 以前可从 Endpoint Security>帐户保护>Windows 10及更高版本的>帐户保护 (预览版)
应用于:
- Windows 10
- Windows 11
具有新比较运算符的新 operatingSystemVersion
筛选器属性 (预览)
有一个新的 operatingSystemVersion
筛选器属性。 此属性:
目前为 公共预览版 ,仍在开发中。 因此,某些功能(如 预览设备)尚不起作用。
应使用 而不是现有
OSVersion
属性。 属性OSVersion
正在弃用。正式发布 (正式版) 时
operatingSystemVersion
,属性OSVersion
将停用,并且你无法使用此属性创建新筛选器。 使用OSVersion
的现有筛选器可继续工作。具有新的比较运算符:
GreaterThan
:用于版本值类型。- 允许的值:
-gt
|gt
- 例如:
(device.operatingSystemVersion -gt 10.0.22000.1000)
- 允许的值:
GreaterThanOrEquals
:用于版本值类型。- 允许的值:
-ge
|ge
- 例如:
(device.operatingSystemVersion -ge 10.0.22000.1000)
- 允许的值:
LessThan
:用于版本值类型。- 允许的值:
-lt | lt
- 例如:
(device.operatingSystemVersion -lt 10.0.22000.1000)
- 允许的值:
LessThanOrEquals
:用于版本值类型。- 允许的值:
-le
|le
- 例如:
(device.operatingSystemVersion -le 10.0.22000.1000)
- 允许的值:
对于托管设备, operatingSystemVersion
适用于:
- Android
- iOS/iPadOS
- macOS
- Windows
对于托管应用, operatingSystemVersion
适用于:
- Android
- iOS/iPadOS
- Windows
有关筛选器和可使用的设备属性的详细信息,请参阅:
政府社区云 (GCC) macOS 设备远程帮助支持
GCC 客户现在可以在 Web 应用和本机应用程序上为 macOS 设备使用远程帮助。
应用于:
- macOS 12、13 和 14
有关更多信息,请参阅:
设备安全性
更新了Windows 365 云电脑的安全基线
现在可以为Windows 365 云电脑部署Intune安全基线。 此新基线基于 Windows 版本 24H1。 此新基线版本使用“设置目录”中显示的统一设置平台,该平台具有改进的用户界面和报告体验、通过设置纹身实现的一致性和准确性改进,以及支持配置文件分配筛选器的新功能。
使用Intune安全基线有助于维护 Windows 设备的最佳做法配置,并有助于将配置快速部署到 Windows 设备,以符合Microsoft适用的安全团队的安全建议。
与所有基线一样,默认基线表示每个设置的建议配置,你可以修改这些配置以满足组织的要求。
应用于:
- Windows 10
- Windows 11
若要查看包含的新基线设置及其默认配置,请参阅Windows 365基线设置版本 24H1。
Intune 应用
新提供的适用于 Intune 的受保护应用
现在为 Microsoft Intune 提供了以下受保护的应用:
- Asana: (Android) 由 Asana, Inc.在一个地方工作。
- Goodnotes 6 (iOS) by Time Base Technology Limited
- Riskonnect, Inc. 的 Riskonnect Resilience
- Beakon Mobile Team 的 Beakon 移动应用
- HCSS 计划:修订控制 (iOS) 由 Heavy Construction Systems Specialists, Inc.
- HCSS 领域:时间、成本、安全 (iOS) 由 Heavy Construction Systems Specialists, Inc.
- synchrotab for Intune (iOS) by Synchrotab, LLC
有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用。
2024 年 7 月 15 日当周
设备管理
攻击面减少策略的设备控制配置文件中的新设置
我们已将新类别和设置添加到Windows 10、Windows 11和 Windows Server 平台Intune攻击面减少策略的设备控制配置文件。
新设置是 “允许存储卡”,可在配置文件的新 “系统 ”类别中找到。 Windows 设备的Intune设置目录中也提供了此设置。
此设置控制是否允许用户将存储卡用于设备存储,并可以阻止以编程方式访问存储卡。 有关此新设置的详细信息,请参阅 Windows 文档中的 AllowStorageCard 。
2024 年 7 月 8 日当周
设备管理
Intune 中的 Copilot 现在使用 Kusto 查询语言 (KQL) (公共预览版)
在 Intune 中使用 Copilot 时,有一项使用 KQL 的新设备查询功能。 使用此功能使用自然语言询问有关设备的问题。 如果设备查询可以回答你的问题,Copilot 会生成 KQL 查询,你可以运行以获取所需的数据。
若要详细了解当前如何在 Intune 中使用 Copilot,请参阅 Intune 中的Microsoft Copilot。
监视和故障排除
策略、配置文件和应用的新操作
现在可以删除、重新安装和重新应用适用于 iOS/iPadOS 设备和 Android 公司拥有的设备的各个策略、配置文件和应用。 无需更改分配或组成员身份即可应用这些操作。 这些操作旨在帮助解决Intune外部的客户挑战。 此外,这些操作还有助于快速恢复最终用户的工作效率。
有关详细信息,请参阅 删除应用和配置
应用管理
可从 托管主屏幕 应用中获取的 MAC 地址
MAC 地址详细信息现在可从 托管主屏幕 (MHS) 应用的“设备信息”页获取。 有关 MHS 的信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。
托管主屏幕的新配置功能
现在可以配置 托管主屏幕 (MHS) ,以启用虚拟应用切换器按钮,使最终用户能够从 MHS 轻松地在展台设备上的应用之间导航。 可以在浮动或向上轻扫应用切换器按钮之间进行选择。 配置键为 virtual_app_switcher_type
,可能的值为 none
、 float
和 swipe_up
。 有关配置 托管主屏幕 应用的信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。
设备注册
使用 公司门户 更新 Apple 用户和设备注册
我们已对使用 Intune 公司门户 注册的 Apple 设备的设备注册过程进行了更改。 以前,Microsoft Entra注册期间发生了设备注册。 通过此更改,注册在注册后进行。
此更改不会影响现有的已注册设备。 对于使用 公司门户 的新用户或设备注册,用户必须返回到 公司门户 才能完成注册:
对于 iOS 用户:系统会提示已启用通知的用户返回到适用于 iOS 的 公司门户 应用。 如果它们禁用通知,则不会发出警报,但仍需要返回到公司门户来完成注册。
对于 macOS 设备:适用于 macOS 的 公司门户 应用会检测管理配置文件的安装并自动注册设备,除非用户关闭应用。 如果他们关闭应用,则必须重新打开它才能完成注册。
如果使用的是依赖于设备注册才能工作的动态组,则用户必须完成设备注册。 根据需要更新用户指南和管理文档。 如果使用条件访问 (CA) 策略,则无需执行任何操作。 当用户尝试登录到受 CA 保护的应用时,系统会提示他们返回到公司门户以完成注册。
这些更改目前正在推出,并将在 7 月底之前向所有Microsoft Intune租户提供。 公司门户用户界面没有变化。 有关 Apple 设备注册的详细信息,请参阅:
2024 年 6 月 24 日当周
设备注册
为 Windows 添加公司设备标识符
Microsoft Intune现在支持运行 Windows 11 版本 22H2 及更高版本的设备的公司设备标识符,以便在注册之前识别公司计算机。 注册符合型号、制造商和序列号条件的设备时,Microsoft Intune将其标记为公司设备并启用相应的管理功能。 有关详细信息,请参阅 添加公司标识符。
2024 年 6 月 17 日 (服务版本 2406)
Microsoft Intune Suite
对 MSI 和 PowerShell 文件类型的终结点特权管理支持
Endpoint Privilege Management (EPM) 提升规则 现在除了支持以前支持的可执行文件外,还支持提升 Windows Installer 和 PowerShell 文件。 EPM 支持的新文件扩展名包括:
- .msi
- .ps1
有关使用 EPM 的信息,请参阅 Endpoint Privilege Management。
在Microsoft 云 PKI属性中查看证书颁发机构密钥类型
管理中心提供了名为 CA 密钥的新Microsoft 云 PKI属性,并显示用于签名和加密的证书颁发机构密钥类型。 属性显示以下值之一:
- HSM:指示使用硬件安全模块支持的密钥。
- SW:指示使用软件支持的密钥。
使用许可Intune套件或云 PKI独立加载项创建的证书颁发机构使用 HSM 签名和加密密钥。 在试用期间创建的证书颁发机构使用软件支持的签名和加密密钥。 有关Microsoft 云 PKI的详细信息,请参阅Microsoft Intune Microsoft 云 PKI概述。
应用管理
US GCC 和 GCC 对托管主屏幕的高支持
托管主屏幕 (MHS) 现在支持美国政府社区 (GCC) 、美国政府社区 (GCC) High 以及美国国防部 (DoD) 环境的登录。 有关详细信息,请参阅配置美国政府GCC 托管主屏幕和Microsoft Intune服务说明。
应用于:
- Android Enterprise
汇报托管应用报表
托管应用报表现在提供有关特定设备的企业应用目录应用的详细信息。 有关此报表的详细信息,请参阅 托管应用报表。
设备配置
Apple 设置目录中提供的新设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略。
设置目录中有新设置。 若要查看这些设置,请在Microsoft Intune管理中心,针对配置文件类型转到“设备>配置>”“>创建新策略>iOS/iPadOS 或 macOS”平台>设置目录”。
iOS/iPadOS
限制:
- 允许 Web 分发应用安装
系统配置 > 字体:
- 字体
- 名称
macOS
隐私 > 隐私首选项策略控制:
- 蓝牙始终
应用于:
- iOS/iPadOS
- macOS
OS 版本选取器可用于使用设置目录配置托管 iOS/iPadOS DDM 软件更新
使用 Intune 设置目录,可以将 Apple 的声明性设备管理 (DDM) 功能配置为管理 iOS/iPadOS 设备上的软件更新。
使用设置目录配置托管软件更新策略时,可以:
- 从 Apple 提供的更新列表中选择目标 OS 版本。
- 如果需要,请手动输入目标 OS 版本。
有关在 Intune 中配置托管软件更新配置文件的详细信息,请参阅使用设置目录配置托管软件更新。
应用于:
- iOS/iPadOS
在设备>Intune管理中心 UI 更新按平台
在Intune管理中心,可以选择“设备>按平台”,并查看所选平台的策略选项。 这些特定于平台的页面已更新,并包括用于导航的选项卡。
有关Intune管理中心的演练,请参阅教程:演练Microsoft Intune管理中心。
设备注册
Windows 注册平台限制的 RBAC 更改
我们已针对Microsoft Intune管理中心中的所有注册平台限制更新了基于角色的访问控制 (RBAC) 。 全局管理员和Intune服务管理员角色可以创建、编辑、删除和重新设置注册平台限制。 对于所有其他内置Intune角色,限制是只读的。
适用于:
- Android
- Apple
- Windows 10/11
请务必了解以下更改:
- 范围标记行为不会更改。 可以像往常一样应用和使用范围标记。
- 如果分配的角色或权限当前阻止用户查看注册平台限制,则不会发生任何更改。 用户仍无法在管理中心查看注册平台限制。
有关详细信息,请参阅 创建设备平台限制。
设备管理
Intune管理中心中已完成将 Wandera 替换为 Jamf 汇报
我们已在 Microsoft Intune 管理中心完成了品牌重塑,以支持将 Wandera 替换为 Jamf。 这包括对移动威胁防御连接器名称(现在为 Jamf)的更新,以及对使用 Jamf 连接器所需的最低平台的更改:
- Android 11 及更高版本
- iOS/iPadOS 15.6 及更高版本
有关 Jamf 和其他移动威胁防御 (MTD) Intune支持的供应商的信息,请参阅移动威胁防御合作伙伴。
Intune 应用
新提供的适用于 Intune 的受保护应用
现在为 Microsoft Intune 提供了以下受保护的应用:
- Atom Edge (iOS) by Arlanto GmbH
- HP Inc.Intune的 HP 前进版
- IntraActive by Fellowmind
- Microsoft Azure (Android) by Microsoft Corporation
- Mobile Helix Link for Intune by Mobile Helix
- VPSX Print for Intune by Levi, Ray & Shoup, Inc.
有关受保护应用的详细信息,请参阅Microsoft Intune受保护的应用
监视和疑难解答
在适用于 iOS 和 macOS 的 公司门户 应用中查看 BitLocker 恢复密钥
最终用户可以在适用于 iOS 的 公司门户 应用中查看已注册 Windows 设备的 BitLocker 恢复密钥,以及适用于 macOS 的 公司门户 应用和适用于 macOS 的 公司门户 应用的 FileVault 恢复密钥。 如果最终用户被锁定在其公司计算机外,此功能将减少支持人员呼叫。 最终用户可以通过登录到 公司门户 应用并选择“获取恢复密钥”来访问已注册设备的恢复密钥。 此体验类似于 公司门户 网站上的恢复过程,后者还允许最终用户查看恢复密钥。
可以通过在 Microsoft Entra ID 中配置“限制非管理员用户恢复其自有设备的 BitLocker 密钥”设置,防止组织中的最终用户访问 BitLocker 恢复密钥。
应用于:
- macOS
- Windows 10/11
有关更多信息,请参阅:
- 使用 Intune 管理 Windows 设备的 BitLocker 策略
- 获取 Windows 的恢复密钥
- 将 fileVault 磁盘加密用于 macOS 和 Intune
- 获取 Mac 的恢复密钥
- 使用 Microsoft Entra 管理中心 管理设备标识
基于角色的访问控制
用于Intune终结点安全性的新精细 RBAC 控件
我们已开始将基于角色的访问控制 (RBAC) 安全 基线 权限授予的终结点安全策略的权限替换为针对特定终结点安全任务的一系列更精细的权限。 此更改可帮助你分配Intune管理员执行特定作业所需的特定权限,而不是依赖于内置Endpoint Security Manager 角色或包含安全基线权限的自定义角色。 在此更改之前, 安全基线 权限授予所有终结点安全策略的权限。
以下新的 RBAC 权限可用于终结点安全工作负载:
- 适用于企业的应用控制
- 攻击面减少
- 终结点检测和响应
每个新权限都支持相关策略的以下权限:
- Assign
- 创建
- 删除
- 阅读
- 更新
- 查看报表
每当我们向Intune添加终结点安全策略的新精细权限时,将从“安全基线”权限中删除这些相同的权限。 如果使用具有 安全基线权限的 自定义角色,则新的 RBAC 权限会自动分配给具有通过 安全基线 权限授予的相同权限的自定义角色。 此自动分配可确保管理员继续拥有与现在相同的权限。
有关当前 RBAC 权限和内置角色的详细信息,请参阅:
- Microsoft Intune 中的基于角色的访问控制 (RBAC)。
- Microsoft Intune的内置角色权限
- 在 Microsoft Intune 中使用终结点安全策略管理设备安全中为终结点安全策略分配基于角色的访问控制。
重要
在此版本中,某些租户中可能会暂时显示针对终结点安全策略的 防病毒 细化权限。 此权限未发布,不支持使用。 Intune忽略防病毒权限的配置。 当防病毒可用作精细权限时,将在Microsoft Intune的新增功能一文中宣布其可用性。
2024 年 6 月 3 日当周
设备注册
设备的新注册时间分组功能
注册时间分组是在注册期间对设备进行分组的一种更快速的新方法。 配置后,Intune将设备添加到相应的组,而无需进行清单发现和动态成员身份评估。 若要设置注册时间分组,必须在每个注册配置文件中配置静态Microsoft Entra安全组。 设备注册后,Intune将其添加到静态安全组,并提供分配的应用和策略。
此功能适用于通过 Windows Autopilot 设备准备注册Windows 11设备。 有关详细信息,请参阅 Microsoft Intune 中的注册时间分组。
2024 年 5 月 27 日当周
Microsoft Intune Suite
远程帮助的新主终结点
为了改进 Windows、Web 和 macOS 设备上远程帮助的体验,我们更新了远程帮助的主终结点:
- 旧主终结点:
https://remoteassistance.support.services.microsoft.com
- 新建主终结点:
https://remotehelp.microsoft.com
如果使用远程帮助并具有阻止新主终结点的防火墙规则,则管理员和用户在使用“删除帮助”时可能会遇到连接问题或中断。
若要在 Windows 设备上支持新的主终结点,请将远程帮助升级到版本 5.1.124.0。 Web 和 macOS 设备不需要更新版本的 远程帮助即可使用新的主终结点。
应用于:
- macOS 11、12、13 和 14
- Windows 10/11
- ARM64 设备上的Windows 11
- ARM64 设备上的Windows 10
- Windows 365
有关远程帮助最新版本的信息,请参阅 2024 年 3 月 13 日条目,了解远程帮助的新增功能。 有关远程帮助Intune终结点的信息,请参阅Microsoft Intune的网络终结点中的远程帮助。
设备管理
评估适用于 Linux 的 Windows 子系统 (公共预览版) 的符合性
现在,Microsoft Intune在公共预览版中支持对 Windows 主机设备上运行的 适用于 Linux 的 Windows 子系统 (WSL) 实例进行符合性检查。
在此预览版中,可以创建自定义符合性脚本,用于评估 WSL 的所需分发和版本。 WSL 符合性结果包含在主机设备的总体符合性状态中。
应用于:
- Windows 10
- Windows 11
有关此功能的信息,请参阅评估适用于 Linux 的 Windows 子系统 (公共预览版) 的符合性。
2024 年 5 月 20 日 (服务版本 2405)
设备配置
macOS 设置目录中提供的新设置
设置目录列出可以在设备策略中配置的所有设置,所有设置都位于一个位置。
macOS 设置目录中有新设置。 若要查看这些设置,请在Microsoft Intune管理中心,转到“设备>管理设备>”“配置>为平台>创建新>策略>macOS”配置文件类型的“设置目录”。
Microsoft AutoUpdate (MAU) :
- Microsoft Teams(工作或学校)
- Microsoft Teams 经典版
> Microsoft Defender功能:
- 使用数据丢失防护
- 使用系统扩展
有关在 Intune 中配置设置目录配置文件的详细信息,请参阅使用设置目录创建策略。
应用于:
- macOS
设备注册
暂存 Android 设备注册以减少最终用户的步骤
为了减少最终用户的注册时间,Microsoft Intune支持 Android Enterprise 设备的设备暂存。 使用 设备暂存,可以暂存注册配置文件,并完成接收这些设备的辅助角色的所有相关注册步骤:
- 公司拥有的完全托管设备
- 具有工作配置文件的公司自有设备
当一线员工收到设备时,他们只需连接到 Wi-Fi 并登录到其工作帐户。 需要新的 设备暂存令牌 才能启用此功能。 有关详细信息,请参阅 设备暂存概述。
设备管理
最终用户对已注册 Windows 设备的 BitLocker 恢复密钥的访问权限
最终用户现在可以从 公司门户 网站查看已注册 Windows 设备的 BitLocker 恢复密钥。 在最终用户被锁定在其公司计算机外时,此功能可以减少支持人员呼叫。 最终用户可以通过登录到公司门户网站并选择“显示恢复密钥”来访问已注册设备的恢复密钥。 此体验类似于 MyAccount 网站,后者还允许最终用户查看恢复密钥。
可以通过配置“Microsoft Entra限制非管理员用户恢复 BitLocker 密钥 (自己的设备) ”切换来阻止组织中的最终用户访问 BitLocker 恢复密钥。
有关更多信息,请参阅:
新版本的 Windows 硬件证明报告
我们发布了新版本的 Windows 硬件证明报告,其中显示了设备运行状况证明和 Windows 10/11 Microsoft Azure 证明证明的设置值。 Windows 硬件证明报表基于新的报告基础结构构建,并报告添加到Microsoft Azure 证明的新设置。 可在管理中心的“报告设备符合性>报告>”下获取该报表。
有关详细信息,请参阅 Intune 报表。
以前在“设备监视器”>下提供的 Windows 运行状况证明报告已停用。
应用于:
- Windows 10
- Windows 11
可选功能更新
功能更新现在可以作为 可选 更新提供给最终用户,并引入了 可选 功能更新。 最终用户在“Windows 更新设置”页中看到更新的方式与为使用者设备显示的方式相同。
最终用户可以轻松选择加入以试用下一个功能更新并提供反馈。 当需要将该功能作为 必需 更新推出时,管理员可以更改策略上的设置,并更新推出设置,以便将更新作为 必需 更新部署到尚未安装它的设备。
有关可选功能更新的详细信息,请参阅 Intune 中Windows 10和更高版本的策略的功能更新。
应用于:
- Windows 10
- Windows 11
设备安全性
更新了Microsoft Defender for Endpoint的安全基线
现在可以为Microsoft Defender for Endpoint部署Intune安全基线。 新基线 版本 24H1 使用“设置目录”中显示的统一设置平台,该平台具有改进的用户界面和报告体验、通过设置纹身实现的一致性和准确性改进,以及支持配置文件分配筛选器的新功能。
使用Intune安全基线有助于维护 Windows 设备的最佳做法配置,并有助于将配置快速部署到 Windows 设备,以符合Microsoft适用的安全团队的安全建议。
与所有基线一样,默认基线表示每个设置的建议配置,你可以修改这些配置以满足组织的要求。
应用于:
- Windows 10
- Windows 11
Intune 应用
新提供的适用于 Intune 的受保护应用
现在为 Microsoft Intune 提供了以下受保护的应用:
- Fellow.app 由 Fellow Insights Inc
- Unique AG 提供的唯一时刻
有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用。
2024 年 5 月 6 日当周
设备管理
Intune 和 macOS 公司门户 应用支持平台 SSO (公共预览版)
在 Apple 设备上,可以使用 Microsoft Intune 和 Microsoft Enterprise SSO 插件为支持Microsoft Entra身份验证(包括 Microsoft 365)的应用和网站配置单一登录 (SSO) 。
在 macOS 设备上,平台 SSO 以公共预览版提供。 平台 SSO 允许配置不同的身份验证方法、简化用户的登录过程并减少他们需要记住的密码数,从而扩展 SSO 应用扩展。
平台 SSO 包含在 公司门户 应用版本 5.2404.0 及更新版本中。
有关平台 SSO 和入门的详细信息,请参阅:
应用于:
- macOS 13 及更高版本
租户管理
自定义Intune管理中心体验
现在可以使用可折叠导航和收藏夹自定义Intune管理中心体验。 Microsoft Intune管理中心的左侧导航菜单已更新,以支持展开和折叠菜单的每个子部分。 此外,还可以将管理中心页面设置为收藏夹。 此门户功能将于下周逐步推出。
默认情况下,菜单部分已展开。 可以通过选择右上角的 “设置” 齿轮图标来显示 门户设置来选择门户菜单行为。 然后,选择“ 外观 + 启动视图 ”,并将“ 服务”菜单行为 设置为 “折叠” 或“ 展开” 作为默认门户选项。 每个菜单部分都保留所选的展开或折叠状态。 此外,选择左侧导航上某个页面旁边的star图标,将页面添加到菜单顶部附近的“收藏夹”部分。
有关相关信息,请参阅 更改门户设置。
2024 年 4 月 29 日当周
应用管理
汇报托管主屏幕体验
我们最近发布了并改进了托管主屏幕体验,现已正式发布。 应用经过重新设计,可改进整个应用程序的核心工作流。 更新后的设计提供了更可用、更受支持的体验。
发布后,我们不再投资以前的托管主屏幕工作流。 托管主屏幕的新功能和修补程序仅添加到新体验中。 在 2024 年 8 月期间,将自动为所有设备启用新体验。
有关详细信息,请参阅配置适用于 Android Enterprise 和 Android Enterprise 的 Microsoft 托管主屏幕 应用设置列表,以允许或限制使用 Intune 的公司拥有的设备上的功能。
要求最终用户输入 PIN 以在托管主屏幕上恢复活动
在Intune中,可以要求最终用户输入其会话 PIN,以便在设备在指定时间段内处于非活动状态后托管主屏幕继续活动。 将“ 需要会话 PIN 之前的最短非活动时间 ”设置设置为最终用户必须输入其会话 PIN 之前设备处于非活动状态的秒数。
有关详细信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。
托管主屏幕提供的设备 IPv4 和 IPv6 详细信息
IPv4 和 IPv6 连接详细信息现在都可从托管主屏幕应用的“设备信息”页获取。 有关详细信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。
汇报托管主屏幕登录支持
托管主屏幕现在支持无域登录。 管理员可以配置域名,该域名将在登录时自动追加到用户名中。 此外,托管主屏幕支持在登录过程中向用户显示的自定义登录提示文本。
有关详细信息,请参阅配置适用于 Android Enterprise 和 Android Enterprise 的 Microsoft 托管主屏幕 应用设置列表,以允许或限制使用 Intune 的公司拥有的设备上的功能。
允许最终用户控制 Android Enterprise 设备自动轮换
在Intune中,你现在可以在托管主屏幕应用中公开一个设置,该设置允许最终用户打开和关闭设备的自动旋转。 有关详细信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。
允许最终用户调整 Android Enterprise 设备屏幕亮度
在 Intune 中,可以在 托管主屏幕 应用中公开设置,以调整 Android Enterprise 设备的屏幕亮度。 可以选择在应用中公开设置,以允许最终用户访问亮度滑块以调整设备屏幕亮度。 此外,可以公开设置,以允许最终用户切换自适应亮度。
有关详细信息,请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。
已从 Xamarin 迁移到 .NET MAUI
Xamarin。Forms已发展成为 .NET 多平台应用 UI (MAUI) 。 现有 Xamarin 项目应迁移到 .NET MAUI。 有关将 Xamarin 项目升级到 .NET 的详细信息,请参阅 从 Xamarin 升级到 .NET & .NET MAUI 文档。
Xamarin 支持已于 2024 年 5 月 1 日结束,包括 Xamarin 在内的所有 Xamarin SDK。Forms和Intune应用 SDK Xamarin 绑定。 有关 Android 和 iOS 平台上Intune支持,请参阅 Intune适用于 .NET MAUI 的应用 SDK - Android和适用于 MAUI.iOS 的 Microsoft Intune 应用 SDK。
2024 年 4 月 22 日 (服务版本 2404)
应用管理
Win32 应用取代的自动更新可用
Win32 应用取代提供了取代部署为 自动更新意向的应用 的功能。 例如,如果将 Win32 应用 (应用 A) 部署为可用且由用户在其设备上安装,则可以创建一个新的 Win32 应用 (应用 B) ,以使用 自动更新取代应用 A。 安装有应用 A(可从 公司门户获取)的所有目标设备和用户将被应用 B 取代。此外,公司门户中仅显示应用 B。 可以在“分配”选项卡的“可用分配”下找到可用应用取代的自动更新功能。
有关应用取代的详细信息,请参阅 添加 Win32 应用取代。
设备配置
当 OEMConfig 策略在 Android Enterprise 设备上超过 500 KB 时显示错误消息
在 Android Enterprise 设备上,可以使用 OEMConfig 设备配置文件添加、创建和/或自定义特定于 OEM 的设置。
创建超过 500 KB 的 OEMConfig 策略时,Intune管理中心中会显示以下错误:
Profile is larger than 500KB. Adjust profile settings to decrease the size.
以前,超过 500 KB 的 OEMConfig 策略显示为挂起。
有关 OEMConfig 配置文件的详细信息,请参阅在 Microsoft Intune 中使用和管理 OEMConfig 的 Android Enterprise 设备。
应用于:
- Android Enterprise
设备安全性
用于处理防火墙规则的 Windows 防火墙 CSP 更改
Windows 更改了防火墙配置服务提供程序 (CSP) 从防火墙规则的原子块强制实施规则的方式。 设备上的 Windows 防火墙 CSP 通过Intune终结点安全防火墙策略实现防火墙规则设置。 CSP 行为的更改现在强制实施每个 Atomic 规则块中的防火墙规则的全有或全无应用程序。
以前,设备上的 CSP 会通过原子规则块中的防火墙规则 - 一个规则 (或一次设置) ,目的是应用该 Atomic 块中的所有规则,或者不应用任何规则。 如果 CSP 遇到将块中的任何规则应用于设备的问题,CSP 不仅会停止该规则,还会停止处理后续规则,而不尝试应用这些规则。 但是,在规则失败之前成功应用的规则将继续应用于设备。 此行为可能导致在设备上部分部署防火墙规则,因为在规则应用失败之前应用的规则不会撤消。
更改防火墙 CSP 后,当块中的任何规则未能应用于设备时,将回滚来自已成功应用的同一 Atomic 块中的所有规则。 此行为可确保实现所需的“全有或全无”行为,并防止从该块中部分部署防火墙规则。 例如,如果设备收到防火墙规则的 Atomic 块,该块具有无法应用的错误配置规则,或者具有与设备操作系统不兼容的规则,则 CSP 会从该块中失败所有规则,并且,它会回滚应用于该设备的任何规则。
此防火墙 CSP 行为更改适用于运行以下 Windows 版本或更高版本的设备:
- Windows 11 21H2
- Windows 11 22H2
- Windows 10 21H2
有关 Windows 防火墙 CSP 如何使用原子块来包含防火墙规则的主题的详细信息,请参阅 Windows 文档中 防火墙 CSP 顶部附近的说明。
有关故障排除指南,请参阅Intune支持博客如何跟踪和排查Intune Endpoint Security Firewall 规则创建过程的问题。
CrowdStrike - 新的移动威胁防御合作伙伴
我们已将 CrowdStrike Falcon 添加为与 Intune (MTD) 合作伙伴的集成移动威胁防御。 通过在 Intune 中配置 CrowdStrike 连接器,可以使用基于合规性策略中风险评估的条件访问来控制移动设备对公司资源的访问。
随着 Intune 2404 服务版本,CrowdStrike 连接器现已在管理中心提供。 但是,在 CrowdStrike 发布支持 iOS 和 Android 设备所需的应用程序配置配置文件详细信息之前,它才可用。 配置文件详细信息预计将在 5 月第二周之后的某个时候公布。
Intune 应用
新提供的适用于 Intune 的受保护应用
现在为 Microsoft Intune 提供了以下受保护的应用:
- Asana: Asana, Inc. 在一个地方工作。
- Freshservice for Intune,由 Freshworks, Inc.
- Kofax Power PDF Mobile by 布林自动化公司
- Microsoft公司的远程桌面
有关受保护应用的详细信息,请参阅 受 Microsoft Intune 保护的应用。
监视和疑难解答
Windows 更新分发报告
Intune中的 Windows 更新分发报表提供汇总报表。 此报告显示:
- 每个质量更新级别的设备数。
- 跨Intune托管设备(包括共同管理设备)的每个更新的覆盖率百分比。
可以在报表中进一步向下钻取每个质量更新,该更新基于 Windows 10/11 功能版本和更新状态聚合设备。
最后,管理员可以获取聚合到前两个报表中显示的数字的设备列表,这些设备也可以导出并用于故障排除和分析,以及业务报表Windows 更新。
有关 Windows 更新分发报告的详细信息,请参阅有关Intune的Windows 更新报告。
应用于:
- Windows 10
- Windows 11
Intune支持 Microsoft 365 远程应用程序诊断
Microsoft 365 远程应用程序诊断允许Intune管理员直接从Intune控制台请求Intune应用保护日志和 (Microsoft 365 个应用程序日志) (如果适用)。 可以通过选择“故障排除 + 支持>>疑难解答”,在Microsoft Intune管理中心找到此报告,选择用户>摘要>应用保护*。 此功能仅适用于Intune应用保护管理下的应用程序。 如果受支持,则会收集特定于应用程序的日志并将其存储在每个应用程序的专用存储解决方案中。
有关详细信息,请参阅从Intune托管设备收集诊断。
远程帮助支持对 macOS 设备的完全控制
远程帮助现在支持支持人员连接到用户的设备,并请求完全控制 macOS 设备。
有关更多信息,请参阅:
应用于:
- macOS 12、13 和 14
新增功能存档
对于前几个月,请参阅 新增功能存档。
通知
这些通知提供了重要信息,可以帮助你为未来的 Intune 更改和功能做好准备。
更改计划:为 SCEP 和 PKCS 证书实现强映射
在 2022 年 5 月 10 日 Windows 更新 (KB5014754) 中,对 Windows Server 2008 及更高版本中的 Active Directory Kerberos 密钥分发 (KDC) 行为进行了更改,以缓解与证书欺骗相关的特权提升漏洞。 Windows 将在 2025 年 2 月 11 日强制实施这些更改。
为了准备此更改,Intune发布了包含安全标识符的功能,以强映射 SCEP 和 PKCS 证书。 有关详细信息,请查看博客:支持提示:在Microsoft Intune证书中实现强映射
这对你或你的用户有何影响?
这些更改会影响Intune为Microsoft Entra混合加入的用户或设备提供的 SCEP 和 PKCS 证书。 如果证书无法进行强映射,身份验证将被拒绝。 若要启用强映射,请:
- SCEP 证书:将安全标识符添加到 SCEP 配置文件。 我们强烈建议使用少量设备进行测试,然后慢慢推出更新的证书,以最大程度地减少对用户的干扰。
- PKCS 证书:更新到最新版本的证书连接器,更改注册表项以启用安全标识符,然后重启连接器服务。 重要: 在修改注册表项之前,请查看如何更改注册表项以及如何备份和还原注册表。
有关详细步骤和其他指导,请查看博客:支持提示:在Microsoft Intune证书中实现强映射
如何准备?
如果将 SCEP 或 PKCS 证书用于Microsoft Entra混合加入的用户或设备,则需要在 2025 年 2 月 11 日之前采取措施,以便:
- (推荐) 查看博客中所述的步骤启用强映射:支持提示:在Microsoft Intune证书中实现强映射
- 或者,如果在 2025 年 2 月 11 日之前无法续订所有证书(包括 SID),请通过调整注册表设置来启用兼容模式,如 KB5014754 中所述。 兼容模式将一直有效到 2025 年 9 月。
更新到 Android 15 支持的最新Intune应用 SDK 和Intune应用包装器
我们最近发布了适用于 Android 的 Intune App SDK 和 Intune App Wrapping Tool 的新版本,以支持 Android 15。 建议将应用升级到最新的 SDK 或包装器版本,以确保应用程序保持安全并顺利运行。
这对你或你的用户有何影响?
如果你有使用 Intune App SDK 或适用于 Android Intune App Wrapping Tool 的应用程序,建议将应用更新到最新版本以支持 Android 15。
如何准备?
如果选择生成面向 Android API 35 的应用,则需要采用适用于 Android (v11.0.0) 的 Intune App SDK 的新版本。 如果已包装应用并面向 API 35,则需要使用新版本的应用包装器 (v1.0.4549.6) 。
注意
提醒一下,虽然如果面向 Android 15,应用必须更新到最新的 SDK,但应用无需更新 SDK 即可在 Android 15 上运行。
还应计划更新文档或开发人员指南(如果适用)以包括此更改,以支持 SDK。
下面是公共存储库:
采取措施:更新到适用于 iOS 的最新 Intune App SDK 和适用于 iOS 的 Intune App Wrapping Tool
若要支持即将发布的 iOS/iPadOS 18.1 版本,请更新到最新版本的 Intune App SDK 和 Intune App Wrapping Tool,以确保应用程序保持安全并顺利运行。 重要: 如果不更新到最新版本,某些应用保护策略在某些情况下可能不适用于你的应用。 有关具体影响的详细信息,请查看以下 GitHub 公告:
- 适用于 iOS 的 SDK: 建议在 iOS 18.1 正式发布之前更新 - microsoftconnect/ms-intune-app-sdk-ios - 讨论 #477
- 适用于 iOS 的包装器: 建议在 iOS 18.1 正式发布之前更新 - microsoftconnect/intune-app-wrapping-tool-ios - 讨论 #125
最佳做法是始终将 iOS 应用更新为最新的应用 SDK 或App Wrapping Tool,以确保应用继续顺利运行。
这对你或你的用户有何影响?
如果你有使用 Intune App SDK 或Intune App Wrapping Tool的应用程序,则需要更新到最新版本以支持 iOS 18.1。
如何准备?
对于在 iOS 18.1 上运行的应用,必须更新到适用于 iOS 的 Intune App SDK 的新版本
- 对于使用 XCode 15 生成的应用,请使用 v19.7.1 - 版本 19.7.1 - microsoftconnect/ms-intune-app-sdk-ios - GitHub
- 对于使用 XCode 16 生成的应用,请使用 v20.1.2 - 版本 20.1.2 - microsoftconnect/ms-intune-app-sdk-ios - GitHub
对于在 iOS 18.1 上运行的应用,必须更新到适用于 iOS 的Intune App Wrapping Tool的新版本
- 对于使用 XCode 15 生成的应用,请使用 v19.7.1 - 版本 19.7.1 - microsoftconnect/intune-app-wrapping-tool-ios - GitHub
- 对于使用 XCode 16 构建的应用,请使用 v20.1.2 - 版本 20.1.2 - microsoftconnect/intune-app-wrapping-tool-ios - GitHub
在升级到 iOS 18.1 之前,通知用户,确保他们将其应用升级到最新版本。 可以通过导航到>“应用监视器>应用保护状态”,然后查看“平台版本”和“iOS SDK 版本”,在 Microsoft Intune 管理中心查看用户使用Intune应用 SDK 版本。
采取措施:在 2024 年 10 月 15 日之前为租户启用多重身份验证
从 2024 年 10 月 15 日或之后开始,为了进一步提高安全性,Microsoft将要求管理员在登录到 Microsoft Azure 门户、Microsoft Entra 管理中心 和 Microsoft Intune 管理中心时使用多重身份验证 (MFA) 。 若要利用 MFA 提供的额外保护层,建议尽快启用 MFA。 若要了解详细信息,请参阅 规划 Azure 和管理门户的强制多重身份验证。
注意
此要求也适用于通过Intune管理中心访问的任何服务,例如Windows 365 云电脑。
这对你或你的用户有何影响?
必须为租户启用 MFA,以确保管理员能够在此更改后登录到Azure 门户、Microsoft Entra 管理中心和Intune管理中心。
如何准备?
- 如果尚未设置 MFA,请在 2024 年 10 月 15 日之前设置,以确保管理员可以访问Azure 门户、Microsoft Entra 管理中心和Intune管理中心。
- 如果在此日期之前无法设置 MFA,可以 申请推迟实施日期。
- 如果在强制实施开始之前尚未设置 MFA,系统会提示管理员注册 MFA,然后才能在下次登录时访问Azure 门户、Microsoft Entra 管理中心或Intune管理中心。
有关详细信息,请参阅: 规划 Azure 和管理门户的强制多重身份验证。
更改计划:Intune正在转向支持 iOS/iPadOS 16 及更高版本
今年晚些时候,我们预计苹果将发布 iOS 18 和 iPadOS 18。 Microsoft Intune(包括Intune 公司门户和Intune应用保护策略) (APP(也称为 MAM) )将在 iOS/iPadOS 18 版本发布后不久需要 iOS 16/iPadOS 16 及更高版本。
这对你或你的用户有何影响?
如果你正在管理 iOS/iPadOS 设备,则设备可能无法升级到 iOS 16/iPadOS 16) (支持的最低版本。
鉴于 iOS 16/iPadOS 16 及更高版本支持Microsoft 365 移动应用,这可能不会影响你。 你可能已经升级了 OS 或设备。
若要检查哪些设备支持 iOS 16 或 iPadOS 16 ((如果适用) ),请参阅以下 Apple 文档:
注意
通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况,其支持声明略有细微差别。 支持的最低操作系统版本将更改为 iOS 16/iPadOS 16,而允许的 OS 版本将更改为 iOS 13/iPadOS 13 及更高版本。 有关详细信息 ,请参阅此关于 ADE 无用户支持的声明 。
如何准备?
检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备,请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备,请转到“应用>监视器>应用保护状态”,并使用“平台和平台版本”列进行筛选。
若要管理组织中支持的 OS 版本,可以对 MDM 和 APP 使用Microsoft Intune控件。 有关详细信息,请参阅 使用 Intune 管理操作系统版本。
更改计划:Intune今年晚些时候将转向支持 macOS 13 及更高版本
今年晚些时候,我们预计苹果将发布 macOS 15 红杉。 Microsoft Intune,公司门户应用和Intune移动设备管理代理将迁移到支持 macOS 13 及更高版本。 由于适用于 iOS 和 macOS 的 公司门户 应用是统一应用,因此此更改将在 macOS 15 发布后不久发生。 这不会影响现有的已注册设备。
这对你或你的用户有何影响?
仅当当前管理或计划使用Intune管理 macOS 设备时,此更改才会影响你。 此更改可能不会影响你,因为你的用户可能已升级其 macOS 设备。 有关受支持的设备列表,请参阅 macOS Ventura 与这些计算机兼容。
注意
当前在 macOS 12.x 或更低版本上注册的设备将继续保持注册状态,即使这些版本不再受支持。 如果新设备运行的是 macOS 12.x 或更低版本,则它们将无法注册。
如何准备?
检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列,以帮助确定组织中谁拥有运行 macOS 12.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。
更改计划:在 2024 年 5 月终止对 Intune 应用 SDK Xamarin 绑定的支持
随着对 Xamarin 绑定的支持结束,Intune将从 2024 年 5 月 1 日起终止对 Xamarin 应用和Intune应用 SDK Xamarin 绑定的支持。
这对你或你的用户有何影响?
如果你有使用 Xamarin 构建的 iOS 和/或 Android 应用,并且正在使用 Intune 应用 SDK Xamarin 绑定来启用应用保护策略,请将应用升级到 .NET MAUI。
如何准备?
将基于 Xamarin 的应用升级到 .NET MAUI。 有关 Xamarin 支持和升级应用的详细信息,请查看以下文档:
- Xamarin 支持策略 | .NET
- 从 Xamarin 升级到 .NET |Microsoft李尔
- 适用于 .NET MAUI 的 Microsoft Intune 应用 SDK - Android |NuGet 库
- Microsoft Intune适用于 .NET MAUI 的应用 SDK – iOS |NuGet 库
更改计划:使用Microsoft Entra ID注册的应用 ID 更新 PowerShell 脚本
去年,我们宣布了基于 Microsoft Graph SDK 的 PowerShell 模块的新Microsoft Intune GitHub 存储库。 旧版 Microsoft Intune PowerShell 示例脚本 GitHub 存储库现在是只读的。 此外,在 2024 年 5 月,由于基于 Graph SDK 的 PowerShell 模块中更新了身份验证方法,将删除全局Microsoft Intune PowerShell 应用程序 (基于客户端) ID 的身份验证方法。
这对你或你的用户有何影响?
如果使用 Intune PowerShell 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) ,则需要使用Microsoft Entra ID注册的应用程序 ID 更新脚本,以防止脚本中断。
如何准备?
通过以下方式更新 PowerShell 脚本:
- 在Microsoft Entra 管理中心中创建新的应用注册。 有关详细说明,请阅读:快速入门:向 Microsoft 标识平台注册应用程序。
- 使用步骤 1 中创建的新应用程序 ID 更新包含 Intune 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) 的脚本。
有关详细的分步说明,请访问 powershell-intune-samples/更新应用注册 (github.com) 。
Intune在 2024 年 10 月转向支持 Android 10 及更高版本以使用基于用户的管理方法
2024 年 10 月,Intune将转为支持 Android 10 及更高版本以使用基于用户的管理方法,其中包括:
- Android Enterprise 个人拥有的工作配置文件
- Android Enterprise 公司拥有的工作配置文件
- Android Enterprise 完全托管设备
- 基于用户的 Android 开源项目 (AOSP)
- Android 设备管理员
- 应用) (应用保护策略
- 托管应用 (ACP) 的应用配置策略
今后,我们将在 10 月终止对一个或两个版本的支持,直到仅支持 Android 的最新四个主要版本。 可以通过阅读博客来了解有关此更改的详细信息:Intune 2024 年 10 月迁移到支持 Android 10 及更高版本以使用基于用户的管理方法。
注意
此更改不会影响 Android 设备管理 (专用和 AOSP 无用户) 和Microsoft Teams 认证的 Android 设备的无用户方法。
这对你或你的用户有何影响?
对于上面列出的基于用户的管理方法 () ,不支持运行 Android 9 或更低版本的 Android 设备。 对于不受支持的 Android OS 版本的设备:
- Intune不提供技术支持。
- Intune不会对 bug 或问题进行更改。
- 不能保证新功能和现有功能正常工作。
虽然Intune不会阻止在不支持的 Android OS 版本上注册或管理设备,但无法保证功能,因此不建议使用。
如何准备?
如果适用,请通知支持人员此更新的支持声明。 以下管理员选项可用于帮助警告或阻止用户:
- 为具有最低 OS 版本要求的应用配置 条件启动 设置,以警告和/或阻止用户。
- 使用设备符合性策略并设置不合规操作,以向用户发送消息,然后再将其标记为不符合。
- 设置 注册限制 以防止在运行旧版本的设备上注册。
有关详细信息,请查看:使用 Microsoft Intune 管理操作系统版本。
更改计划:基于 Web 的设备注册将成为 iOS/iPadOS 设备注册的默认方法
目前,在创建 iOS/iPadOS 注册配置文件时,“使用 公司门户 进行设备注册”显示为默认方法。 在即将发布的服务版本中,在配置文件创建期间,默认方法将更改为“基于 Web 的设备注册”。 此外,对于 新 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。
注意
对于 Web 注册,需要部署单一登录 (SSO) 扩展策略,以启用实时 (JIT) 注册,有关详细信息,请查看:在 Microsoft Intune 中设置实时注册。
这对你或你的用户有何影响?
这是在创建新的 iOS/iPadOS 注册配置文件时用户界面的更新,以将“基于 Web 的设备注册”显示为默认方法,现有配置文件不受影响。 对于 新 租户,如果未创建注册配置文件,用户将使用基于 Web 的设备注册进行注册。
如何准备?
根据需要更新文档和用户指南。 如果当前将设备注册与 公司门户 配合使用,建议迁移到基于 Web 的设备注册并部署 SSO 扩展策略以启用 JIT 注册。
其他信息:
更改计划:将 Jamf macOS 设备从条件访问过渡到设备符合性
我们一直在与 Jamf 合作制定迁移计划,帮助客户将 macOS 设备从 Jamf Pro 的条件访问集成过渡到其设备符合性集成。 设备符合性集成使用较新的Intune合作伙伴合规性管理 API,它涉及比合作伙伴设备管理 API 更简单的设置,并将 macOS 设备与 Jamf Pro 管理的 iOS 设备置于同一 API 上。 2024 年 9 月 1 日之后,将不再支持基于 Jamf Pro 的条件访问功能的平台。
请注意,某些环境中的客户最初无法转换,有关详细信息和更新,请阅读博客: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性。
这对你或你的用户有何影响?
如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成,请遵循 Jamf 记录的指南将设备迁移到设备符合性集成: 从 macOS 条件访问迁移到 macOS 设备符合性 – Jamf Pro 文档。
设备符合性集成完成后,某些用户可能会看到一次性提示输入其Microsoft凭据。
如何准备?
如果适用,请按照 Jamf 提供的说明迁移 macOS 设备。 如果需要帮助,请联系 Jamf Customer Success。 有关详细信息和最新更新,请阅读博客文章: 支持提示:将 Jamf macOS 设备从条件访问过渡到设备符合性。
更改计划:Intune 2024 年 12 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持
Google 已弃用 Android 设备管理员管理,继续删除管理功能,不再提供修复或改进。 由于这些更改,Intune将从 2024 年 12 月 31 日起终止对有权访问 Google 移动服务 (GMS) 设备上 Android 设备管理员管理的支持。 在此之前,我们支持在运行 Android 14 及更早版本的设备上管理设备管理员。 有关详细信息,请阅读博客:Microsoft Intune在具有 GMS 访问权限的设备上终止对 Android 设备管理员的支持。
这对你或你的用户有何影响?
Intune终止对 Android 设备管理员的支持后,有权访问 GMS 的设备将通过以下方式受到影响:
- Intune不会对 Android 设备管理员管理进行更改或更新,例如 bug 修复、安全修复或解决新 Android 版本中的更改的修补程序。
- Intune技术支持将不再支持这些设备。
如何准备?
停止将设备注册到 Android 设备管理员,并将受影响的设备迁移到其他管理方法。 可以检查Intune报告,以查看哪些设备或用户可能受到影响。 转到 “设备>所有设备 ”,将 OS 列筛选到 Android (设备管理员) 以查看设备列表。
阅读博客,Microsoft Intune终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持,了解我们推荐的替代 Android 设备管理方法,以及有关无法访问 GMS 的设备的影响的信息。
更改计划:终止对适用于企业的 Microsoft Store和教育应用的支持
2023 年 4 月,我们开始终止对 Intune 适用于企业的 Microsoft Store 体验的支持。 这在几个阶段发生。 有关详细信息,请参阅:将适用于企业的 Microsoft Store和教育应用添加到 Intune 中的 Microsoft Store
这对你或你的用户有何影响?
如果使用 适用于企业的 Microsoft Store 和教育应用:
- 2023 年 4 月 30 日,Intune将断开适用于企业的 Microsoft Store服务。 适用于企业的 Microsoft Store和教育应用将无法与 Intune 同步,连接器页将从 Intune 管理中心中删除。
- 2023 年 6 月 15 日,Intune将停止在设备上强制实施联机和脱机适用于企业的 Microsoft Store和教育应用。 下载的应用程序保留在设备上,但支持有限。 用户可能仍可以从其设备访问应用,但不会管理该应用。 保留现有的已同步Intune应用对象,以允许管理员查看已同步的应用及其分配。 此外,你将无法通过Microsoft同步应用图形 API同步MicrosoftStoreForBusinessApps,相关 API 属性将显示过时的数据。
- 2023 年 9 月 15 日,适用于企业的 Microsoft Store和教育应用将从 Intune 管理中心中删除。 在有意删除之前,设备上的应用会一直保留。 microsoftStoreForBusinessApp 图形 API Microsoft大约一个月后将不再可用。
适用于企业的 Microsoft Store和教育公司于2021年宣布停用。 适用于企业的 Microsoft Store和教育门户停用后,管理员将无法再管理从适用于企业的 Microsoft Store和教育门户同步或下载脱机内容的适用于企业的 Microsoft Store和教育应用列表。
如何准备?
建议通过 Intune 中新的 Microsoft 应用商店应用体验添加应用。 如果应用在 Microsoft Store 中不可用,则需要从供应商处检索应用包,并将其安装为业务线 (LOB) 应用或 Win32 应用。 有关说明,请阅读以下文章:
- 将 Microsoft 应用商店应用添加到 Microsoft Intune
- 将 Windows 业务线应用添加到 Microsoft Intune
- 在 Microsoft Intune 中添加、分配和监视 Win32 应用
相关信息
更改计划:终止对 Windows 信息保护的支持
Microsoft Windows 宣布终止对 Windows 信息保护 (WIP) 的支持。 Microsoft Intune产品系列将停止未来在管理和部署 WIP 方面的投资。 除了限制未来投资外,我们还在 2022 日历年底删除了对 WIP 的支持,无需注册 。
这对你或你的用户有何影响?
如果已启用 WIP 策略,则应关闭或禁用这些策略。
如何准备?
建议禁用 WIP,以确保组织中的用户不会失去对受 WIP 策略保护的文档的访问权限。 阅读博客支持提示:Windows 信息保护终止支持指南,了解有关从设备中删除 WIP 的更多详细信息和选项。