Microsoft Intune 新增功能

了解 Microsoft Intune 每周新增功能。

还可以阅读：

• 重要声明
• 新增功能存档中的过去版本
• 有关如何发布 Intune 服务更新的信息

注意

每个 每月更新 可能需要长达三天才能推出，其顺序如下：

• 第 1 天: 亚太 (APAC)
• 第 2 天: 欧洲、中东和非洲 (EMEA)
• 第 3 天: 北美
• 第 4 天起: Intune for Government

某些功能将在几周内推出，并且可能不会在第一周内向所有客户提供。

有关即将推出的 Intune 功能版本的列表，请参阅正在开发的 Microsoft Intune。

有关 Windows Autopilot 解决方案的新信息，请参阅：

• Windows Autopilot 设备准备：新增功能。
• Windows Autopilot：新增功能。

可以使用 RSS 以在更新此页面时收到通知。 有关详细信息，请参 如何使用文档。

2024 年 8 月 19 日 (服务版本 2408)

Microsoft Intune 套件

通过支持审批请求和报告轻松创建 Endpoint Privilege Management 提升规则

现在可以直接从支持批准的提升请求或 EPM 提升报告中的详细信息创建终结点特权管理 (EPM) 提升规则。 使用此新功能，无需手动识别提升规则的特定文件检测详细信息。 相反，对于显示在提升报表或支持批准的提升请求中的文件，可以选择该文件以打开其提升详细信息窗格，然后选择使用 这些文件详细信息创建规则的选项。

使用此选项时，可以选择将新规则添加到现有提升策略之一，或创建仅包含新规则的新策略。

应用于：

• Windows 10
• Windows 11

有关此新功能的信息，请参阅配置 Endpoint Privilege 管理策略一文中的 Windows 提升规则策略。

高级分析中物理设备的资源性能报告简介

我们将在 Intune 高级分析中引入 Windows 物理设备的资源性能报告。 报表在 Intune Suite Microsoft 下作为 Intune-add 提供。

物理设备的资源性能分数和见解旨在帮助 IT 管理员做出 CPU/RAM 资产管理和购买决策，在平衡硬件成本的同时改善用户体验。

有关更多信息，请参阅：

• 资源性能报告
• Microsoft Intune 套件

应用管理

Android Enterprise 完全托管设备的托管主屏幕

Android Enterprise 完全托管设备现在支持托管主屏幕 (MHS) 。 此功能使组织能够在设备与单个用户关联的情况下利用 MHS。

有关相关信息，请参阅:

• 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用
• Android Enterprise 设备设置列表，用于允许或限制使用 Intune 在公司拥有的设备上使用的功能
• 使用 intune 在 Android Enterprise 设备上配置托管主屏幕 (MHS Microsoft) 的权限

“发现的应用”报表的更新

“ 发现的应用” 报表提供租户 Intune 注册设备上的检测到的应用列表，现在除了提供应用商店应用外，还提供 Win32 应用的发布者数据。 我们不仅在导出的报表数据中提供发布者信息，而是将其作为列包含在 “发现的应用” 报表中。

有关详细信息，请参阅 Intune 发现的应用。

对 Intune 管理扩展日志的改进

我们更新了 Win32 应用和 Intune 管理扩展 (IME) 日志的日志活动和事件的创建方式。 新的日志文件 (AppWorkload.log) 包含与 IME 执行的应用部署活动相关的所有日志记录信息。 这些改进可更好地对客户端上的应用管理事件进行故障排除和分析。

有关详细信息，请参阅 Intune 管理扩展日志。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

Apple 设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到 “设备>管理设备>”“配置>”“>创建新策略>iOS/iPadOS 或 macOS ”平台 >配置文件类型的“设置目录 ”。

iOS/iPadOS

声明性设备管理 (DDM) > Safari 扩展设置：

• 托管扩展
  • 允许的域
  • 拒绝的域
  • 专用浏览
  • 状态

声明性设备管理 (DDM) > 软件更新设置：

• 自动操作

  • 下载
  • 安装 OS 更新

• 延期

  • 组合时间段（天）

• 通知

• 快速安全响应

  • 启用
  • 启用回滚

• 建议的节奏

限制:

• 允许 ESIM 传出传输
• 允许个性化手写结果
• 允许视频会议远程控制
• 允许 Genmoji
• 允许图像操场
• 允许图像魔杖
• 允许 iPhone 镜像
• 允许编写工具

macOS

认证 > 可扩展单一登录 (SSO) ：

• 平台 SSO
  • 身份验证宽限期
  • FileVault 策略
  • 非平台 SSO 帐户
  • 脱机宽限期
  • 解锁策略

认证 > 可扩展单一登录 Kerberos：

• 允许密码
• 允许智能卡
• 标识颁发者自动选择筛选器
• 在智能卡模式下启动

声明性设备管理 (DDM) > 磁盘管理：

• 外部存储
• 网络存储

声明性设备管理 (DDM) > Safari 扩展设置：

• 托管扩展
  • 允许的域
  • 拒绝的域
  • 专用浏览
  • 状态

声明性设备管理 (DDM) > 软件更新设置：

• 允许标准用户 OS 更新

• 自动操作

  • 下载
  • 安装 OS 更新
  • 安装安全更新

• 延期

  • 主要时间段（以天为单位）
  • 次要时间段（天）
  • 系统周期（天）

• 通知

• 快速安全响应

  • 启用
  • 启用回滚

限制:

• 允许 Genmoji
• 允许图像操场
• 允许 iPhone 镜像
• 允许编写工具

系统策略 > 系统策略控制：

• 启用 XProtect 恶意软件上传

对多管理审批的增强功能

多重管理审批增加了将应用程序访问策略限制到 Windows 应用程序或所有非 Windows 应用程序或两者的功能。 我们将向多个管理审批功能添加新的访问策略，以允许批准对多个管理审批的更改。

有关详细信息，请参阅 多管理员审批。

设备注册

帐户驱动的 Apple 用户注册现已正式发布，适用于 iOS/iPadOS 15+

Intune 现在支持帐户驱动的 Apple 用户注册，这是 Apple 用户注册的新版和改进版本，适用于运行 iOS/iPadOS 15 及更高版本的设备。 这种新的注册方法利用实时注册，删除了适用于 iOS 的公司门户应用作为注册要求。 设备用户可以直接在“设置”应用中启动注册，从而获得更短、更高效的载入体验。

有关详细信息，请参阅在 Microsoft Learn 上 设置帐户驱动的 Apple 用户注册 。

Apple 已宣布终止对基于配置文件的 Apple 用户注册的支持。 因此，Microsoft Intune 将在 iOS/iPadOS 18 发布后不久终止对 Apple User Enrollment with Company Portal 的支持。 我们建议使用帐户驱动的 Apple 用户注册来注册设备，以便获得类似的功能和改进的用户体验。

使用公司Microsoft Entra 帐户在 Intune 中启用 Android Enterprise 管理选项

使用 Android Enterprise 管理选项管理 Intune 注册的设备之前需要使用企业 Gmail 帐户将 Intune 租户连接到托管的 Google Play 帐户。 现在，可以使用公司Microsoft Entra 帐户建立连接。 此更改发生在新租户中，不会影响已建立连接的租户。

有关详细信息，请参阅 将 Intune 帐户连接到托管的 Google Play 帐户 - Microsoft Intune |Microsoft Learn。

设备管理

21 对移动威胁防御连接器的 Vianet 支持

由世纪互联运营的 Intune 现在支持移动威胁防御 (适用于 Android 和 iOS/iPadOS 设备的 MTD) 连接器，这些连接器也支持在该环境中提供支持的 MTD 供应商。 如果支持 MTD 合作伙伴，并且你登录到世纪互联租户，则支持的连接器可用。

应用于：

• Android
• iOS/iPadOS

有关更多信息，请参阅：

• 由世纪互联运营的 Intune
• 移动威胁防御与 Intune 的集成

应用和策略分配的新 cpuArchitecture 筛选器设备属性

分配应用、符合性策略或配置文件时，可以使用不同的设备属性（如设备制造商、操作系统 SKU 等）筛选分配。

新的 cpuArchitecture 设备筛选器属性可用于 Windows 和 macOS 设备。 使用此属性，可以根据处理器体系结构筛选应用和策略分配。

有关筛选器和可使用的设备属性的详细信息，请参阅：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 筛选器属性
• 支持的工作负载

应用于：

• Windows 10
• Windows 11
• macOS

设备安全性

终结点安全策略的 Windows 平台名称更改

在 Intune 中创建终结点安全策略时，可以选择 Windows 平台。 对于终结点安全性中的多个模板，现在只有两个选项可供 Windows 平台选择： Windows 和 Windows (ConfigMgr) 。

具体而言，平台名称的更改如下：

Original	新增
Windows 10 及更高版本	Windows
Windows 10 及更高版本 (ConfigMgr)	Windows (ConfigMgr)
Windows 10、Windows 11 和 Windows Server	Windows
Windows 10、Windows 11 和 Windows Server (ConfigMgr)	Windows (ConfigMgr)

这些更改适用于以下策略：

• 防病毒
• 磁盘加密
• 防火墙
• 终结点特权管理
• 终结点检测和响应
• 攻击面减少
• 帐户保护

须知内容

• 此更改仅在用户体验 (UX) ，管理员在创建新策略时会看到此更改。 对设备没有影响。
• 功能上与以前的平台名称相同。
• 现有策略没有其他任务或操作。

有关 Intune 中的终结点安全功能的详细信息，请参阅 管理 in Microsoft Intune 中的终结点安全性。

应用于：

• Windows

Apple 软件更新强制实施的目标日期时间设置使用设备上的本地时间计划更新

可以指定在其本地时区的设备上强制实施 OS 更新的时间。 例如，将 OS 更新配置为在下午 5 点强制实施，会将更新计划为设备的本地时区中的下午 5 点。 以前，此设置使用配置了策略的浏览器的时区。

此更改仅适用于在 8 月 2408 版及更高版本中创建的新策略。 “目标日期时间”设置位于“设备>管理设备>配置>创建新>策略>iOS/iPadOS 或 macOS for platform >设置目录”的设置目录中，用于配置文件类型>声明性设备管理>软件更新。

在未来版本中，将从“目标日期时间”设置中删除 UTC 文本。

有关使用设置目录配置软件更新的详细信息，请参阅 包含设置目录的托管软件更新。

应用于：

• iOS/iPadOS
• macOS

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Singletrack for Intune (iOS) by Singletrack
• 365 通过 365 零售市场支付
• Island Browser for Intune (Android) by Island Technology， Inc.
• Spire Innovations， Inc. 的招聘.Exchange
• Talent.Exchange by Spire Innovations， Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

租户管理

组织消息现在位于 Microsoft 365 管理中心

组织消息功能已从 Microsoft Intune 管理中心移出，并移至 Microsoft 365 管理中心的新主页。 在 Microsoft Intune 中创建的所有组织邮件现在都位于 Microsoft 365 管理中心，你可以在其中继续查看和管理这些邮件。 新体验包括高度请求的功能，例如创作自定义消息以及在 Microsoft 365 应用上传递消息的功能。

有关更多信息，请参阅：

• 在 Microsoft 365 管理中心 (预览版) 介绍组织消息
• Microsoft 365 管理中心中的组织消息
• 支持提示：组织消息将转移到 Microsoft 365 管理中心 - Microsoft社区中心

2024 年 7 月 29 日当周

Microsoft Intune 套件

Endpoint Privilege Management、Advanced Analytics 和 Intune 计划 2 适用于 GCC High 和 DoD

我们很高兴地宣布，美国政府社区云 (GCC) High 和美国国防部 (DoD) 环境现在支持 Microsoft Intune 套件中的以下功能。

加载项功能：

• 终结点特权管理
• 高级分析 - 在此版本中，GCC High 和 DoD 对高级终结点分析的支持不包括 设备查询 功能。

计划 2 功能：

• 用于移动应用程序管理的Microsoft隧道
• 固件无线更新
• 特殊设备管理

有关更多信息，请参阅：

• 使用 Microsoft Intune Suite 加载项功能
• Microsoft Intune for US Government GCC 服务说明

设备注册

适用于 iOS/iPadOS 和 macOS 注册的 ACME 协议支持

当我们准备在 Intune 中支持托管设备证明时，我们将开始为新注册分阶段推出基础结构更改，其中包括对 自动证书管理环境 (ACME) 协议的支持。 现在，当新的 Apple 设备注册时，Intune 中的管理配置文件会收到 ACME 证书而不是 SCEP 证书。 ACME 通过可靠的验证机制和自动化流程为 SCEP 提供比 SCEP 更好的保护，防止未经授权的证书颁发，有助于减少证书管理中的错误。

现有 OS 和硬件合格设备不会获得 ACME 证书，除非它们重新注册。 最终用户的注册体验没有变化，Microsoft Intune 管理中心也没有任何更改。 此更改仅影响注册证书，不会影响任何设备配置策略。

APPLE 设备注册和 Apple Configurator 注册方法支持 ACME。 符合条件的 OS 版本包括：

• iOS 16.0 或更高版本
• iPadOS 16.1 或更高版本
• macOS 13.1 或更高版本

2024 年 7 月 22 日 (服务版本 2407)

Microsoft Intune 套件

Microsoft Cloud PKI 的新操作

为 Microsoft 云 PKI 颁发和根证书颁发机构添加了以下操作， (CA) ：

• 删除：删除 CA。
• 暂停：暂时暂停使用 CA。
• 撤销：吊销 CA 证书。

可以在 Microsoft Intune 管理中心和图形 API 中访问所有新操作。 有关详细信息，请参阅 删除Microsoft云 PKI 证书颁发机构。

应用管理

从公司门户对其他 macOS 应用类型的 Intune 支持

Intune 支持在 Intune macOS 公司门户中部署 DMG 和 PKG 应用的功能。 此功能使最终用户能够使用适用于 macOS 的公司门户浏览和安装代理部署的应用程序。 此功能需要适用于 macOS v2407.005 的 Intune 代理和适用于 macOS v5.2406.2 的 Intune 公司门户的最低版本。

适用于 Intune 的新企业应用目录应用

企业应用程序目录已更新为包含其他应用。 有关受支持应用的完整列表，请参阅 企业应用目录中提供的应用。

Intune 应用 SDK 和 Intune 应用包装工具现在位于不同的 GitHub 存储库中

Intune 应用 SDK 和 Intune 应用包装工具已移动到其他 GitHub 存储库和新帐户。 所有现有存储库都有重定向。 此外，此移动还包含 Intune 示例应用程序。 此更改与 Android 和 iOS 平台相关。

设备配置

Windows 设置目录中提供的新剪贴板传输方向设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到 “设备>管理设备>”“配置>”“创建新>策略>”“Windows 10 及更高版本 ”，了解配置文件类型的平台 >设置目录 。

管理模板 > Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向：

• 限制从服务器到客户端的剪贴板传输
• 限制从服务器到客户端 (用户) 的剪贴板传输
• 限制从客户端到服务器的剪贴板传输
• 限制从客户端到服务器的剪贴板传输 (用户)

有关在 Azure 虚拟桌面中配置剪贴板传输方向的详细信息，请参阅 配置剪贴板传输方向和可在 Azure 虚拟桌面中复制的数据类型。

应用于：

• Windows 11
• Windows 10

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到 “设备>管理设备>”“配置>”“>创建新策略>iOS/iPadOS 或 macOS ”平台 >配置文件类型的“设置目录 ”。

iOS/iPadOS

限制:

• 允许自动调暗

macOS

隐私 > 隐私首选项策略控制：

• 蓝牙始终

Android Enterprise 具有“允许访问 Google Play 商店中所有应用”设置的新值

在 Intune 设备限制配置策略中，可以使用“允许”和“未配置”选项配置“允许访问 Google Play 商店中的所有应用”设置， (设备管理设备>>配置>创建新>策略>Android Enterprise for platform >完全托管、专用和公司拥有的工作配置文件>类型设备限制>应用程序) 。

可用选项更新为“允许”、“阻止”和“未配置”。

使用此设置不会影响现有配置文件。

有关此设置和当前可配置的值的详细信息，请参阅 Android Enterprise 设备设置列表，以允许或限制使用 Intune 在公司拥有的设备上使用功能。

应用于：

• Android Enterprise 完全托管、专用和公司拥有的工作配置文件

设备注册

对 Red Hat Enterprise Linux 的新支持

Microsoft Intune 现在支持 Red Hat Enterprise Linux 的设备管理。 可以注册和管理 Red Hat Enterprise Linux 设备，并分配标准合规性策略、自定义配置脚本和合规性脚本。 有关详细信息，请参阅部署指南：在 Microsoft Intune 中管理 Linux 设备和注册指南：在 Microsoft Intune 中注册 Linux 桌面设备。

应用于：

• Red Hat Enterprise Linux 9
• Red Hat Enterprise Linux 8

Windows 注册证明的新 Intune 报表和设备操作 (公共预览版)

使用 Microsoft Intune 中的新设备证明状态报告，了解设备在硬件支持时是否已安全证明和注册。 在报表中，可以通过新的设备操作尝试远程证明。

有关更多信息，请参阅：

• Windows 注册证明
• Intune 报表

适用于所有 iOS/iPadOS 注册的实时注册和合规性修正

现在可以为所有 Apple iOS 和 iPadOS 注册配置实时 (JIT) 注册和 JIT 合规性修正。 这些 Intune 支持的功能改进了注册体验，因为它们可以取代 Intune 公司门户应用进行设备注册和合规性检查。 建议为新注册设置 JIT 注册和符合性修正，并改进现有注册设备的体验。 有关详细信息，请参阅 在 Microsoft Intune 中设置实时注册。

设备管理

合并用于标识保护和帐户保护的 Intune 配置文件

我们已将与标识和帐户保护相关的 Intune 配置文件合并到名为 “帐户保护”的单个新配置文件中。 此新配置文件可在 终结点安全性的帐户保护策略节点中找到，并且现在是在为标识和帐户保护创建新策略实例时唯一可用的配置文件模板。 新配置文件包括适用于用户和设备的 Windows Hello 企业版设置，以及 Windows Credential Guard 的设置。

由于此新配置文件使用 Intune 的统一设置格式进行设备管理，因此配置文件设置也可通过设置目录获得，有助于改进 Intune 管理中心中的报告体验。

可以继续使用已存在的以下配置文件模板的任何实例，但 Intune 不再支持创建这些配置文件的新实例：

• 标识保护 - 以前可从 设备>配置>创建新>策略>Windows 10 及更高版本的>模板>标识保护
• 帐户保护 (预览版) - 以前可从 Endpoint Security>Account Protection>Windows 10 及更高版本>使用帐户保护 (预览版)

应用于：

• Windows 10
• Windows 11

具有新比较运算符的新 operatingSystemVersion 筛选器属性 (预览)

有一个新的 operatingSystemVersion 筛选器属性。 此属性：

• 目前为 公共预览版 ，仍在开发中。 因此，某些功能（如 预览设备）尚不起作用。

• 应使用 而不是现有 OSVersion 属性。 属性 OSVersion 正在弃用。

  正式发布 (正式版) 时 operatingSystemVersion ，属性 OSVersion 将停用，并且你无法使用此属性创建新筛选器。 使用 OSVersion 的现有筛选器可继续工作。

• 具有新的比较运算符：

  • GreaterThan：用于版本值类型。

    • 允许的值： -gt | gt
    • 例如：(device.operatingSystemVersion -gt 10.0.22000.1000)

  • GreaterThanOrEquals：用于版本值类型。

    • 允许的值： -ge | ge
    • 例如：(device.operatingSystemVersion -ge 10.0.22000.1000)

  • LessThan：用于版本值类型。

    • 允许的值： -lt | lt
    • 例如：(device.operatingSystemVersion -lt 10.0.22000.1000)

  • LessThanOrEquals：用于版本值类型。

    • 允许的值： -le | le
    • 例如：(device.operatingSystemVersion -le 10.0.22000.1000)

对于托管设备， operatingSystemVersion 适用于：

• Android
• iOS/iPadOS
• macOS
• Windows

对于托管应用， operatingSystemVersion 适用于：

• Android
• iOS/iPadOS
• Windows

有关筛选器和可使用的设备属性的详细信息，请参阅：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 筛选器属性

政府社区云 (GCC) macOS 设备的远程帮助支持

GCC 客户现在可以在 Web 应用和本机应用程序上使用 macOS 设备的远程帮助。

应用于：

• macOS 12、13 和 14

有关更多信息，请参阅：

• macOS 上的远程帮助
• Microsoft Intune for US Government GCC 服务说明

设备安全性

更新了 Windows 365 云电脑的安全基线

现在可以为 Windows 365 云电脑部署 Intune 安全基线。 此新基线基于 Windows 版本 24H1。 此新基线版本使用“设置目录”中显示的统一设置平台，该平台具有改进的用户界面和报告体验、通过设置纹身实现的一致性和准确性改进，以及支持配置文件分配筛选器的新功能。

使用 Intune 安全基线 有助于维护 Windows 设备的最佳做法配置，并有助于将配置快速部署到 Windows 设备，这些配置符合Microsoft适用的安全团队的安全建议。

与所有基线一样，默认基线表示每个设置的建议配置，你可以修改这些配置以满足组织的要求。

应用于：

• Windows 10
• Windows 11

若要查看包含的新基线设置及其默认配置，请参阅 Windows 365 基线设置版本 24H1。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Asana： (Android) 由 Asana， Inc.在一个地方工作。
• Goodnotes 6 (iOS) by Time Base Technology Limited
• Riskonnect， Inc. 的 Riskonnect Resilience
• Beakon Mobile Team 的 Beakon 移动应用
• HCSS 计划：修订控制 (iOS) 由 Heavy Construction Systems Specialists， Inc.
• HCSS 领域：时间、成本、安全 (iOS) 由 Heavy Construction Systems Specialists， Inc.
• Synchrotab for Intune (iOS) by Synchrotab， LLC

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2024 年 7 月 15 日当周

设备管理

攻击面减少策略的设备控制配置文件中的新设置

我们已向 Intune 攻击面减少策略的 Windows 10、Windows 11 和 Windows Server 平台的设备控制配置文件添加了一个新类别和设置。

新设置是 “允许存储卡”，可在配置文件的新 “系统 ”类别中找到。 Intune 设置目录中也提供了此设置。

用于 Windows 设备。

此设置控制是否允许用户使用存储卡进行设备存储，并阻止以编程方式访问存储卡。 有关此新设置的详细信息，请参阅 Windows 文档中的 AllowStorageCard 。

2024 年 7 月 8 日当周

设备管理

Intune 中的 Copilot 现在具有使用 Kusto 查询语言 (KQL) (公共预览版)

在 Intune 中使用 Copilot 时，有一项使用 KQL 的新设备查询功能。 使用此功能使用自然语言询问有关设备的问题。 如果设备查询可以回答你的问题，Copilot 会生成 KQL 查询，你可以运行以获取所需的数据。

若要详细了解当前如何在 Intune 中使用 Copilot，请参阅 Intune 中的 Microsoft Copilot。

监视和故障排除

策略、配置文件和应用的新操作

现在可以删除、重新安装和重新应用适用于 iOS/iPadOS 设备和 Android 公司拥有的设备的各个策略、配置文件和应用。 无需更改分配或组成员身份即可应用这些操作。 这些操作旨在帮助解决 Intune 外部的客户挑战。 此外，这些操作还有助于快速恢复最终用户的工作效率。

有关详细信息，请参阅 删除应用和配置

应用管理

可从托管主屏幕应用获取 MAC 地址

现在可从托管主屏幕 (MHS) 应用的 “设备信息 ”页获取 MAC 地址详细信息。 有关 MHS 的信息，请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用。

托管主屏幕的新配置功能

现在可以配置托管主屏幕 (MHS) ，以启用虚拟应用切换器按钮，使最终用户能够从 MHS 轻松地在展台设备上的应用之间导航。 可以在浮动或向上轻扫应用切换器按钮之间进行选择。 配置键为 virtual_app_switcher_type ，可能的值为 none、 float和 swipe_up。 有关配置托管主屏幕应用的信息，请参阅 为 Android Enterprise 配置Microsoft托管主屏幕应用。

设备注册

使用公司门户更新 Apple 用户和设备注册

我们已对使用 Intune 公司门户注册的 Apple 设备注册过程进行了更改。 以前，Microsoft在注册过程中发生 Entra 设备注册。 通过此更改，注册在注册后进行。

此更改不会影响现有的已注册设备。 对于使用公司门户的新用户或设备注册，用户必须返回到公司门户才能完成注册：

• 对于 iOS 用户：系统会提示已启用通知的用户返回到适用于 iOS 的公司门户应用。 如果他们禁用通知，则不会收到警报，但仍需要返回到公司门户来完成注册。

• 对于 macOS 设备：适用于 macOS 的公司门户应用将检测管理配置文件的安装并自动注册设备，除非用户关闭应用。 如果他们关闭应用，则必须重新打开它才能完成注册。

如果使用的是依赖于设备注册才能工作的动态组，则用户必须完成设备注册。 根据需要更新用户指南和管理文档。 如果使用条件访问 (CA) 策略，则无需执行任何操作。 当用户尝试登录到受 CA 保护的应用时，系统会提示他们返回到公司门户完成注册。

这些更改目前正在推出，并将在 7 月底之前提供给所有 Microsoft Intune 租户。 公司门户用户界面没有更改。 有关 Apple 设备注册的详细信息，请参阅：

• 注册指南：在 Microsoft Intune 中注册 macOS 设备
• 注册指南：在 Microsoft Intune 中注册 iOS 和 iPadOS 设备

2024 年 6 月 24 日当周

设备注册

为 Windows 添加公司设备标识符

Microsoft Intune 现在支持运行 Windows 11 版本 22H2 及更高版本的设备的公司设备标识符，以便在注册之前识别公司计算机。 注册符合型号、制造商和序列号条件的设备时，Microsoft Intune 会将其标记为公司设备并启用相应的管理功能。 有关详细信息，请参阅 添加公司标识符。

2024 年 6 月 17 日 (服务版本 2406)

Microsoft Intune 套件

对 MSI 和 PowerShell 文件类型的终结点特权管理支持

Endpoint Privilege Management (EPM) 提升规则 现在除了支持以前支持的可执行文件外，还支持提升 Windows Installer 和 PowerShell 文件。 EPM 支持的新文件扩展名包括：

• .msi
• .ps1

有关使用 EPM 的信息，请参阅 Endpoint Privilege Management。

在 Microsoft 云 PKI 属性中查看证书颁发机构密钥类型

管理中心提供了名为 CA 密钥 的新 Microsoft Cloud PKI 属性，并显示用于签名和加密的证书颁发机构密钥类型。 属性显示以下值之一：

• HSM：指示使用硬件安全模块支持的密钥。
• SW：指示使用软件支持的密钥。

使用许可的 Intune 套件或云 PKI 独立加载项创建的证书颁发机构使用 HSM 签名和加密密钥。 在试用期间创建的证书颁发机构使用软件支持的签名和加密密钥。 有关 Microsoft Cloud PKI 的详细信息，请参阅 Microsoft Cloud PKI for Microsoft Intune 概述。

应用管理

US GCC 和 GCC 对托管主屏幕的高支持

托管主屏幕 (MHS) 现在支持美国政府社区 (GCC) 、美国政府社区 (GCC) High 以及美国国防部 (DoD) 环境登录。 有关详细信息，请参阅 配置托管主屏幕 和 Microsoft Intune for US Government GCC 服务说明。

应用于：

• Android Enterprise

托管应用报表的更新

托管应用报表现在提供有关特定设备的企业应用目录应用的详细信息。 有关此报表的详细信息，请参阅 托管应用报表。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到 “设备>配置>”“>创建新策略>iOS/iPadOS 或 macOS for platform >设置目录” ，了解配置文件类型。

iOS/iPadOS

限制:

• 允许 Web 分发应用安装

系统配置 > 字体：

• 字体
• 名称

macOS

隐私 > 隐私首选项策略控制：

• 蓝牙始终

应用于：

• iOS/iPadOS
• macOS

OS 版本选取器可用于使用设置目录配置托管 iOS/iPadOS DDM 软件更新

使用 Intune 设置目录，可以将 Apple 的声明性设备管理 (DDM) 功能配置为管理 iOS/iPadOS 设备上的软件更新。

使用设置目录配置托管软件更新策略时，可以：

• 从 Apple 提供的更新列表中选择目标 OS 版本。
• 如果需要，请手动输入目标 OS 版本。

有关在 Intune 中配置托管软件更新配置文件的详细信息，请参阅 使用设置目录配置托管软件更新。

应用于：

• iOS/iPadOS

Intune 管理中心 UI 更新，位于“设备按平台”>

在 Intune 管理中心，可以选择“ 设备>按平台”，并查看所选平台的策略选项。 这些特定于平台的页面已更新，并包括用于导航的选项卡。

有关 Intune 管理中心的演练，请参阅 教程：Intune 管理中心Microsoft演练。

设备注册

Windows 注册平台限制的 RBAC 更改

我们已针对 Microsoft Intune 管理中心中的所有注册平台限制更新了基于角色的访问控制 (RBAC) 。 全局管理员和 Intune 服务管理员角色可以创建、编辑、删除和重新设置注册平台限制。 对于所有其他内置 Intune 角色，限制是只读的。

适用于：

• Android
• Apple
• Windows 10/11

请务必了解以下更改：

• 范围标记行为不会更改。 可以像往常一样应用和使用范围标记。
• 如果分配的角色或权限当前阻止用户查看注册平台限制，则不会发生任何更改。 用户仍无法在管理中心查看注册平台限制。

有关详细信息，请参阅 创建设备平台限制。

设备管理

在 Intune 管理中心中完成了将 Wandera 替换为 Jamf 的更新

我们已在 Microsoft Intune 管理中心完成了品牌重塑，以支持将 Wandera 替换为 Jamf。 这包括对移动威胁防御连接器名称（现在为 Jamf）的更新，以及对使用 Jamf 连接器所需的最低平台的更改：

• Android 11 及更高版本
• iOS/iPadOS 15.6 及更高版本

有关 Intune 支持的 Jamf 和其他移动威胁防御 (MTD) 供应商的信息，请参阅 移动威胁防御合作伙伴。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Atom Edge (iOS) by Arlanto GmbH
• HP Inc. 的 HP Advance for Intune
• IntraActive by Fellowmind
• Microsoft Azure (Android) by Microsoft Corporation
• Mobile Helix Link for Intune by Mobile Helix
• VPSX Print for Intune by Levi， Ray & Shoup， Inc.

有关受保护应用的详细信息，请参阅 Microsoft Intune 保护的应用

监视和疑难解答

在适用于 iOS 和 macOS 的公司门户应用中查看 BitLocker 恢复密钥

最终用户可以在适用于 iOS 的公司门户应用和适用于 macOS 的公司门户应用中查看已注册 Windows 设备的 BitLocker 恢复密钥和已注册的 Mac 的 FileVault 恢复密钥。 如果最终用户被锁定在其公司计算机外，此功能将减少支持人员呼叫。 最终用户可以通过登录到公司门户应用并选择“获取恢复密钥”来访问已注册设备的 恢复密钥。 此体验类似于公司门户网站上的恢复过程，后者还允许最终用户查看恢复密钥。

可以通过在 Entra ID Microsoft 中配置 限制非管理员用户恢复其自有设备的 BitLocker 密钥 设置来阻止组织中的最终用户访问 BitLocker 恢复密钥。

应用于：

• macOS
• Windows 10/11

有关更多信息，请参阅：

• 使用 Intune 管理 Windows 设备的 BitLocker 策略
• 获取 Windows 的恢复密钥
• 在 Intune 中使用适用于 macOS 的 FileVault 磁盘加密
• 获取 Mac 的恢复密钥
• 使用 Microsoft Entra 管理中心管理设备标识

基于角色的访问控制

用于 Intune 终结点安全性的新精细 RBAC 控件

我们已开始将基于角色的访问控制 (RBAC) 安全 基线 权限授予的终结点安全策略的权限替换为针对特定终结点安全任务的一系列更精细的权限。 此更改可帮助分配 Intune 管理员执行特定作业所需的特定权限，而不是依赖于内置的Endpoint Security Manager 角色或包含安全基线权限的自定义角色。 在此更改之前， 安全基线 权限授予所有终结点安全策略的权限。

以下新的 RBAC 权限可用于终结点安全工作负载：

• 适用于企业的应用控制
• 攻击面减少
• 终结点检测和响应

每个新权限都支持相关策略的以下权限：

• Assign
• 创建
• 删除
• 阅读
• 更新
• 查看报表

每次向 Intune 添加终结点安全策略的新精细权限时，将从 安全基线 权限中删除这些相同的权限。 如果使用具有 安全基线权限的 自定义角色，则新的 RBAC 权限会自动分配给具有通过 安全基线 权限授予的相同权限的自定义角色。 此自动分配可确保管理员继续拥有与现在相同的权限。

有关当前 RBAC 权限和内置角色的详细信息，请参阅：

• Microsoft Intune 中的基于角色的访问控制 (RBAC)。
• Microsoft Intune 的内置角色权限
• 在 Microsoft Intune 中使用终结点安全策略管理设备安全中为终结点安全策略分配基于角色的访问控制。

重要

在此版本中，某些租户中可能会暂时显示针对终结点安全策略的 防病毒 细化权限。 此权限未发布，不支持使用。 Intune 忽略 防病毒 权限的配置。 当 防病毒 可用作精细权限时，将在 Intune Microsoft 新增功能 一文中宣布其可用性。

2024 年 6 月 3 日当周

设备注册

设备的新注册时间分组功能

注册时间分组是在注册期间对设备进行分组的一种更快速的新方法。 配置后，Intune 会将设备添加到相应的组，而无需进行清单发现和动态成员身份评估。 若要设置注册时间分组，必须在每个注册配置文件中配置静态Microsoft Entra 安全组。 设备注册后，Intune 会将其添加到静态安全组，并提供分配的应用和策略。

此功能适用于通过 Windows Autopilot 设备准备注册的 Windows 11 设备。 有关详细信息，请参阅 Microsoft Intune 中的注册时间分组。

2024 年 5 月 27 日当周

Microsoft Intune 套件

远程帮助的新主终结点

为了改进 Windows、Web 和 macOS 设备上的 远程帮助 体验，我们更新了远程帮助的主终结点：

• 旧主终结点： https://remoteassistance.support.services.microsoft.com
• 新建主终结点： https://remotehelp.microsoft.com

如果使用远程帮助并具有阻止新主终结点的防火墙规则，则管理员和用户在使用“删除帮助”时可能会遇到连接问题或中断。

若要在 Windows 设备上支持新的主终结点，请将远程帮助升级到版本 5.1.124.0。 Web 和 macOS 设备不需要更新版本的远程帮助即可使用新的主终结点。

应用于：

• macOS 11、12、13 和 14
• Windows 10/11
• ARM64 设备上的 Windows 11
• ARM64 设备上的 Windows 10
• Windows 365

有关最新版远程帮助的信息，请参阅 2024 年 3 月 13 日条目， 了解远程帮助的新增功能。 有关远程帮助的 Intune 终结点的信息，请参阅 Microsoft Intune 的网络终结点中的远程帮助。

设备管理

评估适用于 Linux 的 Windows 子系统 (公共预览版) 的合规性

现在，Microsoft Intune 支持对 Windows 主机设备上运行的适用于 Linux (WSL) 实例的符合性检查。

在此预览版中，可以创建自定义符合性脚本，用于评估 WSL 的所需分发和版本。 WSL 符合性结果包含在主机设备的总体符合性状态中。

应用于：

• Windows 10
• Windows 11

有关此功能的信息，请参阅 评估适用于 Linux 的 Windows 子系统的符合性 (公共预览版) 。

2024 年 5 月 20 日 (服务版本 2405)

设备配置

macOS 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

macOS 设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心，转到 “设备>管理设备>”“配置>”“>创建新策略>”“macOS for platform >”设置目录“ ，了解配置文件类型。

Microsoft AutoUpdate (MAU) ：

• Microsoft Teams (工作或学校)
• Microsoft Teams 经典版

Microsoft Defender > 功能：

• 使用数据丢失防护
• 使用系统扩展

有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

应用于：

• macOS

设备注册

暂存 Android 设备注册以减少最终用户的步骤

为了减少最终用户的注册时间，Microsoft Intune 支持 Android Enterprise 设备的设备暂存。 使用 设备暂存，可以暂存注册配置文件，并完成接收这些设备的辅助角色的所有相关注册步骤：

• 公司拥有的完全托管设备
• 具有工作配置文件的公司自有设备

当一线员工收到设备时，他们只需连接到 Wi-Fi 并登录到其工作帐户。 需要新的 设备暂存令牌 才能启用此功能。 有关详细信息，请参阅 设备暂存概述。

设备管理

最终用户对已注册 Windows 设备的 BitLocker 恢复密钥的访问权限

最终用户现在可以从公司门户网站查看已注册 Windows 设备的 BitLocker 恢复密钥。 在最终用户被锁定在其公司计算机外时，此功能可以减少支持人员呼叫。 最终用户可以通过登录到公司门户网站并选择“显示恢复密钥”来访问已注册设备的 恢复密钥。 此体验类似于 MyAccount 网站，后者还允许最终用户查看恢复密钥。

可以通过配置 Entra ID 切换“ 限制非管理员用户恢复 BitLocker 密钥 (自己的设备) 来阻止组织中的最终用户访问 BitLocker 恢复密钥。

有关更多信息，请参阅：

• 使用 Microsoft Entra 管理中心管理设备标识
• 获取 Windows 的恢复密钥
• 使用 Intune 管理 Windows 设备的 BitLocker 策略

新版本的 Windows 硬件证明报告

我们发布了新版本的 Windows 硬件证明报告，其中显示了设备运行状况证明所证明的设置值，并Microsoft适用于 Windows 10/11 的 Azure 证明。 Windows 硬件证明报表基于新的报告基础结构生成，并报告添加到 Azure 证明Microsoft的新设置。 可在管理中心的“报告设备符合性>报告>”下获取该报表。

有关详细信息，请参阅 Intune 报表。

以前在“设备监视器”>下提供的 Windows 运行状况证明报告已停用。

应用于：

• Windows 10
• Windows 11

可选功能更新

功能更新现在可以作为 可选 更新提供给最终用户，并引入了 可选 功能更新。 最终用户将在 Windows 更新 设置页中看到更新，其显示方式与为使用者设备显示的方式相同。

最终用户可以轻松选择加入以试用下一个功能更新并提供反馈。 当需要将该功能作为 必需 更新推出时，管理员可以更改策略上的设置，并更新推出设置，以便将更新作为 必需 更新部署到尚未安装它的设备。

有关可选功能更新的详细信息，请参阅 Intune 中 Windows 10 及更高版本策略的功能更新。

应用于：

• Windows 10
• Windows 11

设备安全性

更新了 Microsoft Defender for Endpoint 的安全基线

现在可以为 Microsoft Defender for Endpoint 部署 Intune 安全基线。 新基线 版本 24H1 使用“设置目录”中显示的统一设置平台，该平台具有改进的用户界面和报告体验、通过设置纹身实现的一致性和准确性改进，以及支持配置文件分配筛选器的新功能。

使用 Intune 安全基线 有助于维护 Windows 设备的最佳做法配置，并有助于将配置快速部署到 Windows 设备，这些配置符合Microsoft适用的安全团队的安全建议。

与所有基线一样，默认基线表示每个设置的建议配置，你可以修改这些配置以满足组织的要求。

应用于：

• Windows 10
• Windows 11

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Fellow.app 由 Fellow Insights Inc
• Unique AG 提供的唯一时刻

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2024 年 5 月 6 日当周

设备管理

Intune 和 macOS 公司门户应用支持平台 SSO (公共预览版)

在 Apple 设备上，可以使用 Microsoft Intune 和 Microsoft Enterprise SSO 插件为支持 Microsoft Entra 身份验证的应用和网站（包括 Microsoft 365）配置单一登录 (SSO) 。

在 macOS 设备上，平台 SSO 以公共预览版提供。 平台 SSO 允许配置不同的身份验证方法、简化用户的登录过程并减少他们需要记住的密码数，从而扩展 SSO 应用扩展。

平台 SSO 包含在公司门户应用版本 5.2404.0 及更新版本中。

有关平台 SSO 和入门的详细信息，请参阅：

• 在 Microsoft Intune 中为 macOS 设备配置平台 SSO
• Microsoft Intune 中 Apple 设备的单一登录 (SSO) 概述和选项

应用于：

• macOS 13 及更高版本

租户管理

自定义 Intune 管理中心体验

现在可以使用可折叠导航和收藏夹自定义 Intune 管理中心体验。 Microsoft Intune 管理中心的左侧导航菜单已更新，以支持展开和折叠菜单的每个子部分。 此外，还可以将管理中心页面设置为收藏夹。 此门户功能将于下周逐步推出。

默认情况下，菜单部分已展开。 可以通过选择右上角的 “设置” 齿轮图标来显示 门户设置来选择门户菜单行为。 然后，选择“ 外观 + 启动视图 ”，并将“ 服务”菜单行为 设置为 “折叠” 或“ 展开” 作为默认门户选项。 每个菜单部分都保留所选的展开或折叠状态。 此外，选择左侧导航上某个页面旁边的星形图标会将页面添加到菜单顶部附近的 “收藏夹 ”部分。

有关相关信息，请参阅 更改门户设置。

2024 年 4 月 29 日当周

应用管理

托管主屏幕体验的更新

我们最近发布了并改进了托管主屏幕体验，现已正式发布。 应用经过重新设计，可改进整个应用程序的核心工作流。 更新后的设计提供了更可用、更受支持的体验。

发布后，我们不再投资以前的托管主屏幕工作流。 托管主屏幕的新功能和修补程序仅添加到新体验中。 在 2024 年 8 月期间，将自动为所有设备启用新体验。

有关详细信息，请参阅配置适用于 Android Enterprise 和 Android Enterprise 设备的Microsoft托管主屏幕应用设置列表，以允许或限制使用 Intune 在公司拥有的设备上使用功能。

要求最终用户输入 PIN 以恢复托管主屏幕上的活动

在 Intune 中，可以要求最终用户输入其会话 PIN，以便在设备在指定时间段内处于非活动状态后在托管主屏幕上恢复活动。 将“ 需要会话 PIN 之前的最短非活动时间 ”设置设置为最终用户必须输入其会话 PIN 之前设备处于非活动状态的秒数。

有关详细信息，请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用。

托管主屏幕提供的设备 IPv4 和 IPv6 详细信息

现在，可从托管主屏幕应用的 “设备信息 ”页获取 IPv4 和 IPv6 连接详细信息。 有关详细信息，请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用。

托管主屏幕登录支持的更新

托管主屏幕现在支持无域登录。 管理员可以配置域名，该域名将在登录时自动追加到用户名中。 此外，托管主屏幕支持在登录过程中向用户显示的自定义登录提示文本。

有关详细信息，请参阅配置适用于 Android Enterprise 和 Android Enterprise 设备的Microsoft托管主屏幕应用设置列表，以允许或限制使用 Intune 在公司拥有的设备上使用功能。

允许最终用户控制 Android Enterprise 设备自动轮换

在 Intune 中，现在可以在托管主屏幕应用中公开一个设置，该设置允许最终用户打开和关闭设备的自动旋转。 有关详细信息，请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用。

允许最终用户调整 Android Enterprise 设备屏幕亮度

在 Intune 中，可以公开托管主屏幕应用中的设置，以调整 Android Enterprise 设备的屏幕亮度。 可以选择在应用中公开设置，以允许最终用户访问亮度滑块以调整设备屏幕亮度。 此外，可以公开设置，以允许最终用户切换自适应亮度。

有关详细信息，请参阅 配置适用于 Android Enterprise 的 Microsoft 托管主屏幕应用。

已从 Xamarin 迁移到 .NET MAUI

Xamarin.Forms 已发展成为 .NET 多平台应用 UI (MAUI) 。 现有 Xamarin 项目应迁移到 .NET MAUI。 有关将 Xamarin 项目升级到 .NET 的详细信息，请参阅 从 Xamarin 升级到 .NET & .NET MAUI 文档。

截至 2024 年 5 月 1 日，所有 Xamarin SDK（包括 Xamarin.Forms 和 Intune 应用 SDK Xamarin 绑定）的 Xamarin 支持已结束。 有关 Android 和 iOS 平台上的 Intune 支持，请参阅 Intune App SDK for .NET MAUI - Android和 Microsoft Intune App SDK for MAUI.iOS。

2024 年 4 月 22 日 (服务版本 2404)

应用管理

Win32 应用取代的自动更新可用

Win32 应用取代提供了取代部署为 自动更新意向的应用 的功能。 例如，如果将 Win32 应用 (应用 A) 部署为可用且由用户在其设备上安装，则可以创建一个新的 Win32 应用 (应用 B) ，以使用 自动更新取代应用 A。 从公司门户安装应用 A 的所有目标设备和用户将被应用 B 取代。此外，只有应用 B 显示在公司门户中。 可以在“分配”选项卡的“可用分配”下找到可用应用取代的自动更新功能。

有关应用取代的详细信息，请参阅 添加 Win32 应用取代。

设备配置

当 OEMConfig 策略在 Android Enterprise 设备上超过 500 KB 时显示错误消息

在 Android Enterprise 设备上，可以使用 OEMConfig 设备配置文件添加、创建和/或自定义特定于 OEM 的设置。

创建超过 500 KB 的 OEMConfig 策略时，Intune 管理中心中会显示以下错误：

Profile is larger than 500KB. Adjust profile settings to decrease the size.

以前，超过 500 KB 的 OEMConfig 策略显示为挂起。

有关 OEMConfig 配置文件的详细信息，请参阅 在 Microsoft Intune 中通过 OEMConfig 使用和管理 Android Enterprise 设备。

应用于：

• Android Enterprise

设备安全性

用于处理防火墙规则的 Windows 防火墙 CSP 更改

Windows 更改了防火墙配置服务提供程序 (CSP) 从防火墙规则的原子块强制实施规则的方式。 设备上的 Windows 防火墙 CSP 通过 Intune 终结点安全防火墙策略实现防火墙规则设置。 CSP 行为的更改现在强制实施每个 Atomic 规则块中的防火墙规则的全有或全无应用程序。

• 以前，设备上的 CSP 会通过原子规则块中的防火墙规则 - 一个规则 (或一次设置) ，目的是应用该 Atomic 块中的所有规则，或者不应用任何规则。 如果 CSP 遇到将块中的任何规则应用于设备的问题，CSP 不仅会停止该规则，还会停止处理后续规则，而不尝试应用这些规则。 但是，在规则失败之前成功应用的规则将继续应用于设备。 此行为可能导致在设备上部分部署防火墙规则，因为在规则应用失败之前应用的规则不会撤消。

• 更改防火墙 CSP 后，当块中的任何规则未能应用于设备时，将回滚来自已成功应用的同一 Atomic 块中的所有规则。 此行为可确保实现所需的“全有或全无”行为，并防止从该块中部分部署防火墙规则。 例如，如果设备收到防火墙规则的 Atomic 块，该块具有无法应用的错误配置规则，或者具有与设备操作系统不兼容的规则，则 CSP 会从该块中失败所有规则，并且，它会回滚应用于该设备的任何规则。

此防火墙 CSP 行为更改适用于运行以下 Windows 版本或更高版本的设备：

• Windows 11 21H2
• Windows 11 22H2
• Windows 10 21H2

有关 Windows 防火墙 CSP 如何使用原子块来包含防火墙规则的主题的详细信息，请参阅 Windows 文档中 防火墙 CSP 顶部附近的说明。

有关故障排除指南，请参阅 Intune 支持博客 如何跟踪和排查 Intune Endpoint Security Firewall 规则创建过程的问题。

CrowdStrike - 新的移动威胁防御合作伙伴

我们已将 CrowdStrike Falcon 添加为与 Intune (MTD) 合作伙伴的集成移动威胁防御。 通过在 Intune 中配置 CrowdStrike 连接器，可以使用基于合规性策略中的风险评估的条件访问来控制移动设备对公司资源的访问。

在 Intune 2404 服务版本中，CrowdStrike 连接器现已在管理中心提供。 但是，在 CrowdStrike 发布支持 iOS 和 Android 设备所需的应用配置文件详细信息之前，它才可用。 配置文件详细信息预计将在 5 月第二周之后的某个时候公布。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Asana： Asana， Inc. 在一个地方工作。
• Freshservice for Intune by Freshworks， Inc.
• Kofax Power PDF Mobile by 布林自动化公司
• Microsoft公司的远程桌面

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Windows 更新分发报告

Intune 中的 Windows 更新分发报表提供汇总报表。 此报告显示：

• 每个质量更新级别的设备数。
• Intune 托管设备（包括共同管理设备）中每次更新的覆盖率百分比。

可以在报表中进一步向下钻取每个质量更新，该更新基于 Windows 10/11 功能版本和更新状态聚合设备。

最后，管理员可以获取与前两个报表中显示的数字相聚合的设备列表，这些数字也可以导出并用于故障排除和分析以及适用于企业的 Windows 更新报表。

有关 Windows 更新分发报告的详细信息，请参阅 Intune 上的 Windows 更新报告。

应用于：

• Windows 10
• Windows 11

Intune 支持 Microsoft 365 远程应用程序诊断

Microsoft 365 远程应用程序诊断允许 Intune 管理员直接从 Intune 控制台请求 Intune 应用保护日志和Microsoft 365 应用程序日志 (（如果适用) ）。 可以通过选择“故障排除 + 支持>>排查选择用户>摘要>应用保护*”，在 Microsoft Intune 管理中心找到此报告。 此功能仅适用于 Intune 应用保护管理下的应用程序。 如果受支持，则会收集特定于应用程序的日志并将其存储在每个应用程序的专用存储解决方案中。

有关详细信息，请参阅 从 Intune 托管设备收集诊断。

远程帮助支持完全控制 macOS 设备

远程帮助现在支持支持人员连接到用户设备并请求完全控制 macOS 设备。

有关更多信息，请参阅：

• macOS 上的远程帮助
• 远程帮助 Web 应用

应用于：

• macOS 12、13 和 14

2024 年 4 月 15 日当周

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Atom Edge by Arlanto Apps

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2024 年 4 月 1 日当周

设备管理

Intune 管理中心提供 Intune 中的 Copilot (公共预览版)

Intune 中的 Copilot 集成到 Intune 管理中心中，可帮助你快速获取信息。 可以在 Intune 中使用 Copilot 执行以下任务：

✅ Copilot 可以帮助你管理设置和策略

• 有关设置的 Copilot 工具提示：向策略添加设置或查看现有策略中的设置时，会有一个新的 Copilot 工具提示。 选择工具提示时，你将获得基于Microsoft内容和建议的 AI 生成的指南。 可以查看每个设置的作用、设置的工作原理、任何建议的值以及设置是否在另一个策略中配置，等等。

• 策略摘要生成器：在现有策略上，可获取策略的 Copilot 摘要。 摘要描述了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。

✅ Copilot 显示设备详细信息，可帮助进行故障排除

• 有关设备的所有信息：在设备上，可以使用 Copilot 获取有关设备的关键信息，包括其属性、配置和状态信息。

• 设备比较：使用 Copilot 比较两个设备的硬件属性和设备配置。 此功能可帮助你确定配置相似的两台设备之间的不同之处，尤其是在进行故障排除时。

• 错误代码分析器：在设备视图中使用 Copilot 分析错误代码。 此功能可帮助你了解错误的含义并提供潜在的解决方法。

✅ Copilot for Security 中的 Intune 功能

Intune 具有 Copilot for Security 门户中提供的功能。 SOC 分析师和 IT 管理员可以使用这些功能来获取有关策略、设备、组成员身份等的详细信息。 在单个设备上，可以获取 Intune 特有的更具体信息，例如符合性状态、设备类型等。

还可以让 Copilot 告诉你有关用户设备的信息，并快速获取关键信息的摘要。 例如，输出显示指向 Intune 中用户设备的链接、设备 ID、注册日期、上次签入日期和符合性状态。 如果你是 IT 管理员并正在查看用户，则此数据提供快速摘要。

作为正在调查可疑或可能遭到入侵的用户或设备的 SOC 分析师，注册日期和上次签入等信息可以帮助你做出明智的决策。

有关这些功能的详细信息，请参阅：

• Intune 中的 Microsoft Copilot
• 在 Copilot for Security 中访问 Microsoft Intune 数据

应用于：

• Android
• iOS/iPadOS
• macOS
• Windows

GCC 客户可以使用适用于 Windows 和 Android 设备的远程帮助

Microsoft Intune 套件包括高级终结点管理和安全功能，包括远程帮助。

在 Windows 和已注册的 Android Enterprise 专用设备上，可以在美国政府 GCC 环境中使用远程帮助。

有关这些功能的详细信息，请参阅：

• Microsoft Intune for US Government GCC 服务说明
• 将远程帮助与 Microsoft Intune 配合使用

应用于：

• windows 10/11
• ARM64 设备上的 Windows 10/11
• Windows 365
• 注册为 Android Enterprise 专用设备的 Samsung 和 Zebra 设备

设备配置

OEM 的新 BIOS 设备配置文件

OEM 提供了新的 BIOS 配置和其他设置 设备配置策略。 管理员可以使用此新策略启用或禁用保护设备的不同 BIOS 功能。 在 Intune 设备配置策略中，添加 BIOS 配置文件，部署 Win32 应用，然后将策略分配给设备。

例如，管理员可以使用 Dell 命令工具 (打开 Dell 网站) 创建 BIOS 配置文件。 然后，将此文件添加到新的 Intune 策略。

有关此功能的详细信息，请参阅 在 Microsoft Intune 中使用 Windows 设备上的 BIOS 配置文件。

适用对象

• Windows 10 及更高版本

2024 年 3 月 25 日 (服务版本 2403)

Microsoft Intune 套件

Endpoint Privilege Management 的新提升类型

终结点特权管理具有新的文件提升类型， 支持已批准。 终结点特权管理是 Microsoft Intune 套件的功能组件，也可用作独立 Intune 加载项。

支持批准的提升为默认提升响应和每个规则的提升类型提供了第三个选项。 与自动或用户确认不同，支持批准的提升请求需要 Intune 管理员管理哪些文件可以按具体情况作为提升运行。

借助支持批准的提升，用户可以请求审批，以提升自动规则或用户批准的规则未明确允许提升的应用程序。 这采用提升请求的形式，必须由可以批准或拒绝提升请求的 Intune 管理员评审。

请求获得批准后，系统会通知用户应用程序现在可以以提升身份运行，并且他们有 24 小时的时间在提升审批过期之前执行此操作。

应用于：

• Windows 10
• Windows 11

有关此新功能的详细信息，请参阅 支持批准的提升请求。

应用管理

个人拥有的 Android 设备上具有工作配置文件的托管 Google Play 应用的扩展功能

有一些新功能已扩展到工作配置文件设备。 以下功能以前仅在公司拥有的设备上可用：

• 设备组的可用应用：可以使用 Intune 通过托管的 Google Play 商店向设备组提供应用。 以前，应用只能提供给用户组。

• 更新优先级设置：可以使用 Intune 在具有工作配置文件的设备上配置应用更新优先级。 若要了解有关此设置的详细信息，请参阅 更新托管的 Google Play 应用。

• 必需应用在托管 Google Play 中显示为可用：可以使用 Intune 通过托管的 Google Play 商店向用户提供所需的应用。 作为现有策略一部分的应用现在显示为可用。

这些新功能将在几个月内分阶段推出。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅 使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到 “设备>管理设备>”“配置>”“>创建新策略>iOS/iPadOS 或 macOS ”平台 >配置文件类型的“设置目录 ”。

iOS/iPadOS

声明性设备管理 (DDM) > 密码：

• 最大密码期限（天）
• 最小复杂字符数
• 需要字母数字密码

限制:

• 允许市场应用安装

macOS

声明性设备管理 (DDM) > 密码：

• 下一次身份验证时更改
• 自定义正则表达式
• 失败的尝试重置（以分钟为单位）
• 最大密码期限（天）
• 最小复杂字符数
• 需要字母数字密码

完整磁盘加密 > FileVault：

• 恢复密钥轮换（以月为单位）

Windows 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到 “设备>管理设备>”“配置>”“创建新>策略>”“Windows 10 及更高版本 ”，了解配置文件类型的平台 >设置目录 。

• 传递优化：

  • DO 禁止在 VPN 上下载缓存服务器 - 当设备使用 VPN 进行连接时，此设置会阻止从Microsoft连接的缓存服务器下载内容。 默认情况下，使用 VPN 连接时，允许设备从Microsoft连接缓存下载。

  • DO 将小时数设置为限制后台下载带宽 - 此设置指定最大后台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽，占可用下载带宽的百分比。

  • DO 将小时数设置为限制前台下载带宽 - 此设置指定最大前台下载带宽。 传递优化在所有并发下载活动期间和营业时间外使用此带宽，占可用下载带宽的百分比。

  • DO Vpn 关键字 - 此策略允许设置一个或多个用于识别 VPN 连接的关键字。

• 消息传送：

  • 允许消息同步 - 此策略设置允许将手机网络短信备份和还原到Microsoft的云服务。

• Microsoft Defender 防病毒：

  • 指定扫描存档文件的最大深度
  • 指定要扫描的存档文件的最大大小

有关这些设置的详细信息，请参阅：

• 策略 CSP - DeliveryOptimization
• 策略 CSP - 消息传送
• 策略 CSP - ADMX_MicrosoftDefenderAntivirus

应用于：

• Windows 10 及更高版本

添加到 Windows 设备的防病毒策略的新存档文件扫描设置

我们在适用于适用于 Windows 10 和 Windows 11 设备的终结点安全防病毒策略的 Microsoft Defender 防病毒配置文件中添加了以下两个设置：

• 指定扫描存档文件的最大深度 - 此设置允许配置在扫描期间解压缩存档文件（如 .ZIP 或 .CAB）的最大目录深度级别。
• 指定要扫描的存档文件的最大大小 - 此设置允许配置扫描 .ZIP 或 .CAB 等存档文件的最大大小。 值表示文件大小（以 KB (KB) 为单位）。

使用防病毒策略，可以在 Intune 注册的设备和通过 Defender for Endpoint 安全设置管理 方案管理的设备上管理这些设置。

设备管理设备>配置>创建新>策略>Windows 10 及更高版本的设置目录中>也提供了这两种设置，用于配置文件类型 >Defender 的平台>设置目录。

应用于：

• Windows 10
• Windows 11

对分配筛选器的更新

可以使用 Intune 分配筛选器 根据创建的规则分配策略。

现在，你可以：

• 对窗口 MAM 应用保护策略和应用配置策略使用托管应用分配筛选器。
• 按 平台以及 托管应用 或 托管设备 筛选器类型筛选现有分配筛选器。 当有多个筛选器时，此功能可更轻松地查找所创建的特定筛选器。

有关这些功能的详细信息，请参阅：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 适用于 Windows MAM 的数据保护

此功能适用于：

• 以下平台上的托管设备：

  • Android 设备管理员
  • Android Enterprise
  • Android (AOSP)
  • iOS/iPadOS
  • macOS
  • windows 10/11

• 以下平台上的托管应用：

  • Android
  • iOS/iPadOS
  • Windows

设备管理

新的符合性设置允许使用硬件支持的安全功能验证设备完整性

名为“ 使用硬件支持的安全功能检查强完整性 ”的新符合性设置允许使用硬件支持的密钥证明来验证设备完整性。 如果配置此设置，则会将强完整性证明添加到 Google Play 的完整性判断评估中。 设备必须满足设备完整性才能保持合规性。 Microsoft Intune 将不支持此类完整性检查的设备标记为不符合。

此设置在“ 设备运行状况>Google Play 保护”下的 Android Enterprise 完全托管、专用和企业拥有的工作配置文件中可用。 仅当配置文件中的“播放完整性判断”策略设置为 “检查基本完整性” 或“ 检查基本完整性 & 设备完整性”时，它才可用。

应用于：

• Android Enterprise

有关详细信息，请参阅 设备符合性 - Google Play 保护。

Android 工作配置文件、个人设备的新符合性设置

现在，可以在不影响设备密码的情况下为工作配置文件密码添加符合性要求。 所有新的 Microsoft Intune 设置在 Android Enterprise 个人拥有的工作配置文件中的 “系统安全>工作配置文件安全性”下提供，其中包括：

• 需要密码才能解锁工作配置文件
• 密码还剩多少天到期
• 阻止重用的曾用密码数
• 最长经过多少分钟的非活动状态后需要提供密码
• 密码复杂性
• 所需密码类型
• 最短密码长度

如果工作配置文件密码不符合要求，公司门户会将设备标记为不符合要求。 Intune 符合性设置优先于 Intune 设备配置文件中的相应设置。 例如，合规性配置文件中的密码复杂性设置为 中等。 设备配置文件中的密码复杂性设置为 “高”。 Intune 确定合规性策略的优先级并强制实施。

应用于：

• Android Enterprise 个人拥有的工作配置文件设备

有关详细信息，请参阅 合规性设置 - Android Enterprise。

用于加速非安全更新的 Windows 质量更新支持

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于：

• Windows 11 设备

有关安装加速更新的详细信息，请参阅 在 Microsoft Intune 中加快 Windows 质量更新。

引入远程操作以暂停配置刷新强制间隔

在 Windows 设置目录中，可以配置 配置刷新。 此功能使你可以设置 Windows 设备的节奏，以便重新应用以前收到的策略设置，而无需设备签入 Intune。 设备将根据以前收到的策略重播和重新强制实施设置，以最大程度地减少配置偏差的可能性。

为了支持此功能，添加了远程操作以允许暂停操作。 如果管理员需要在设备上进行更改或运行修正以进行故障排除或维护，他们可以在指定时间段内从 Intune 发出暂停。 当期限过期时，将再次强制实施设置。

可以从设备摘要页访问“ 暂停配置刷新 ”远程操作。

有关更多信息，请参阅：

• 远程操作
• 暂停配置刷新远程操作

设备安全性

更新了 Windows 版本 23H2 的安全基线

现在可以为 Windows 版本 23H2 部署 Intune 安全基线。 此新基线基于 Microsoft 下载中心的“安全性合规性工具包和基线”中找到的组策略安全基线版本 23H2，仅包括适用于通过 Intune 管理的设备的设置。 使用此更新的基线有助于维护 Windows 设备的最佳做法配置。

此基线使用设置目录中的统一设置平台。 它具有改进的用户界面和报告体验、与设置纹身相关的一致性和准确性改进，并且可以支持配置文件的分配筛选器。

使用 Intune 安全基线 可帮助你快速将配置部署到 Windows 设备，这些配置符合 Microsoft 适用的安全团队的安全建议。 与所有基线一样，默认基线表示建议的配置，你可以修改这些配置以满足组织的要求。

应用于：

• Windows 10
• Windows 11

若要查看包含的新基线设置及其默认配置，请参阅 Windows MDM 安全基线版本 23H2。

使用 Podman 的无根实现托管Microsoft隧道

满足先决条件后，可以使用无根 Podman 容器来托管Microsoft Tunnel 服务器。 使用 Podman for Red Hat Enterprise Linux (RHEL) 8.8 或更高版本来托管 Microsoft Tunnel 时，此功能可用。

使用无根 Podman 容器时，mstunnel 服务在非特权服务用户下运行。 此实现有助于限制容器转义的影响。 若要使用无根 Podman 容器，必须使用修改的命令行启动隧道安装脚本。

有关此 Microsoft Tunnel 安装选项的详细信息，请参阅 使用无根 Podman 容器。

对 Microsoft Defender for Endpoint 的 Intune 部署的改进

在使用 Intune 的终结点检测和响应 (EDR) 策略时，我们改进了将设备载入 Microsoft Defender 的体验、工作流和报告详细信息。 这些更改适用于由 Intune 和租户附加方案管理的 Windows 设备。 这些改进包括：

• 更改 EDR 节点、仪表板和报表，以提高 Defender EDR 部署编号的可见性。 请参阅 关于终结点检测和响应节点。

• 一个新的租户范围选项，用于部署预配置的 EDR 策略，以简化将 Defender for Endpoint 部署到适用的 Windows 设备。 请参阅 使用预配置的 EDR 策略。

• 对终结点安全节点的 Intune 的“概述”页所做的更改。 这些更改提供托管设备上的 Defender for Endpoint 设备信号报告的综合视图。 请参阅 使用预配置的 EDR 策略。

这些更改适用于管理中心的终结点安全性、终结点检测和响应节点以及以下设备平台：

• Windows 10
• Windows 11

Windows 质量更新支持加快非安全更新

Windows 质量更新现在支持在需要比正常质量更新设置更快地部署质量修补程序时加快非安全更新。

应用于：

• Windows 11 设备

有关安装加速更新的详细信息，请参阅 在 Microsoft Intune 中加快 Windows 质量更新。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Cerby by Cerby, Inc.
• OfficeMail Go by 9Folders， Inc.
• DealCloud by Intapp， Inc.
• Intapp 2.0 由 Intapp， Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

新增功能存档

对于前几个月，请参阅 新增功能存档。

通知

这些通知提供了重要信息，可以帮助你为未来的 Intune 更改和功能做好准备。

更改计划：Intune 正在迁移以支持 iOS/iPadOS 16 及更高版本

今年晚些时候，我们预计苹果将发布 iOS 18 和 iPadOS 18。 Microsoft Intune（包括 Intune 公司门户和 Intune 应用保护策略） (APP（也称为 MAM) ）将在 iOS/iPadOS 18 发布后不久需要 iOS 16/iPadOS 16 及更高版本。

这对你或你的用户有何影响?

如果你正在管理 iOS/iPadOS 设备，则设备可能无法升级到 iOS 16/iPadOS 16) (支持的最低版本。

鉴于 iOS 16/iPadOS 16 及更高版本支持Microsoft 365 移动应用，这可能不会影响你。 你可能已经升级了 OS 或设备。

若要检查哪些设备支持 iOS 16 或 iPadOS 16 (（如果适用) ），请参阅以下 Apple 文档：

• 支持的 iPhone 型号
• 支持的 iPad 型号

注意

通过自动设备注册 (ADE 注册的无用户 iOS 和 iPadOS 设备) 由于共享使用情况，其支持声明略有细微差别。 支持的最低操作系统版本将更改为 iOS 16/iPadOS 16，而允许的 OS 版本将更改为 iOS 13/iPadOS 13 及更高版本。 有关详细信息 ，请参阅此关于 ADE 无用户支持的声明 。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备，请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备，请转到 “应用>监视>应用保护状态 ”，并使用 “平台 和 平台版本 ”列进行筛选。

若要管理组织中支持的 OS 版本，可以为 MDM 和应用使用 Microsoft Intune 控件。 有关详细信息，请参阅 使用 Intune 管理操作系统版本。

更改计划：Intune 将在今年晚些时候转向支持 macOS 13 及更高版本

今年晚些时候，我们预计苹果将发布 macOS 15 红杉。 Microsoft Intune，公司门户应用和 Intune 移动设备管理代理将迁移到支持 macOS 13 及更高版本。 由于适用于 iOS 和 macOS 的公司门户应用是统一应用，因此此更改将在 macOS 15 发布后不久发生。 这不会影响现有的已注册设备。

这对你或你的用户有何影响?

如果当前或计划使用 Intune 管理 macOS 设备，则此更改仅影响你。 此更改可能不会影响你，因为你的用户可能已升级其 macOS 设备。 有关受支持的设备列表，请参阅 macOS Ventura 与这些计算机兼容。

注意

当前在 macOS 12.x 或更低版本上注册的设备将继续保持注册状态，即使这些版本不再受支持。 如果新设备运行的是 macOS 12.x 或更低版本，则它们将无法注册。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列，以帮助确定组织中谁拥有运行 macOS 12.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。

更改计划：更新到 Intune 终结点以获取远程帮助

从 2024 年 5 月 30 日开始或不久之后，为了改进 Windows、Web 和 macOS 上的远程帮助体验，我们将远程帮助的主网络终结点从 https://remoteassistance.support.services.microsoft.com 更新为 https://remotehelp.microsoft.com。

这对你或你的用户有何影响?

如果使用远程帮助，并且有不允许新终结点 https://remotehelp.microsoft.com的防火墙规则，则管理员和用户可能会遇到远程帮助的连接问题或中断。

此外，Windows 上的远程帮助应用需要更新到最新版本。 macOS 的远程帮助应用和远程帮助 Web 应用不需要执行任何操作。

如何准备?

更新防火墙规则以包括新的远程帮助终结点： https://remotehelp.microsoft.com。 对于 Windows 上的远程帮助，用户需要更新到 最新版本 (5.1.124.0) 。 大多数用户已选择加入自动更新，并且无需用户执行任何操作即可自动更新。 若要了解详细信息，请查看 安装和更新 Windows 远程帮助。

其他信息：

• Microsoft Intune 的 Windows 上的远程帮助
• Microsoft Intune 的网络终结点 |Microsoft Learn

更新到适用于 Android 的最新公司门户、适用于 iOS 的 Intune App SDK 和适用于 iOS 的 Intune 应用包装器

从 2024 年 6 月 1 日开始，我们将进行更新，以改进 Intune 移动应用程序管理 (MAM) 服务。 此更新需要将 iOS 包装的应用、iOS SDK 集成应用和适用于 Android 的公司门户更新到最新版本，以确保应用程序保持安全并顺利运行。

重要

如果不更新到最新版本，将阻止用户启动应用。

在此更改之前，对于需要更新Microsoft应用，当用户打开应用时，他们将收到一条阻止消息来更新应用。

请注意，Android 更新的方式，一旦设备上有一个具有更新 SDK 的Microsoft应用程序，并且公司门户更新到最新版本，Android 应用就会更新。 因此，此消息侧重于 iOS SDK/应用包装器更新。 建议始终将 Android 和 iOS 应用更新到最新的 SDK 或应用包装器，以确保应用继续顺利运行。

这对你或你的用户有何影响?

如果用户尚未更新到最新的Microsoft或第三方应用保护支持的应用，则会阻止他们启动其应用。 如果 iOS 业务线 (LOB) 使用 Intune 包装器或 Intune SDK 的应用程序，则必须使用包装器/SDK 版本 17.7.0 或更高版本，以免用户被阻止。

如何准备?

计划在 2024 年 6 月 1 日之前进行以下更改：

• 使用旧版 Intune SDK 或包装器的任何 iOS 业务线 (LOB) 应用都必须更新到 v17.7.0 或更高版本。
  • 对于使用 Intune iOS SDK 的应用，请使用 版本 19.2.0 · msintuneappsdk/ms-intune-app-sdk-ios (github.com)
  • 对于使用 Intune iOS 包装器的应用，请使用 版本 19.2.0 · msintuneappsdk/intune-app-wrapping-tool-ios (github.com)
• 对于策略针对 iOS 应用的租户：
  • 通知用户需要升级到最新版本的 Microsoft 应用。 可以在 应用商店中找到最新版本的应用。 例如，可 在此处 找到最新版本的 Microsoft Teams，并 在此处Microsoft Outlook。
  • 此外，还可以选择启用以下 条件启动 设置：
    • 最小 OS 版本 设置，用于警告使用 iOS 15 或更早版本的用户，以便他们可以下载最新应用。
    • 在应用使用 17.7.0 之前的适用于 iOS 的 Intune SDK 时阻止用户的 最小 SDK 版本 设置。
    • 在较旧 Microsoft应用 上警告用户的最小应用版本设置。 请注意，此设置必须位于仅针对目标应用的策略中。
• 对于策略针对 Android 应用的租户：
  • 通知用户需要升级到 公司门户 应用的最新版本 (v5.0.6198.0) 。
  • 此外，还可以选择启用以下 条件启动 设备条件设置：
    • 最小公司门户版本设置，用于警告使用早于 5.0.6198.0 的公司门户应用版本的用户。

更改计划：在 2024 年 5 月终止对 Intune 应用 SDK Xamarin 绑定的支持

随着 对 Xamarin 绑定的支持结束，Intune 将从 2024 年 5 月 1 日起终止对 Xamarin 应用和 Intune 应用 SDK Xamarin 绑定的支持。

这对你或你的用户有何影响?

如果你有使用 Xamarin 构建的 iOS 和/或 Android 应用，并使用 Intune 应用 SDK Xamarin 绑定启用应用保护策略，请将应用升级到 .NET MAUI。

如何准备?

将基于 Xamarin 的应用升级到 .NET MAUI。 有关 Xamarin 支持和升级应用的详细信息，请查看以下文档：

• Xamarin 支持策略 | .NET
• 从 Xamarin 升级到 .NET |Microsoft李尔
• Microsoft Intune App SDK for .NET MAUI – Android |NuGet 库
• Microsoft Intune App SDK for .NET MAUI – iOS |NuGet 库

更改计划：使用 Microsoft Entra ID 注册的应用 ID 更新 PowerShell 脚本

去年，我们宣布了基于 Microsoft Graph SDK 的 PowerShell 模块 的新 Microsoft Intune GitHub 存储库 。 旧版 Microsoft Intune PowerShell 示例脚本 GitHub 存储库现在是只读的。 此外，在 2024 年 5 月，由于基于 Graph SDK 的 PowerShell 模块中更新了身份验证方法，将删除全局 Microsoft Intune PowerShell 应用程序 (基于客户端) ID 的身份验证方法。

这对你或你的用户有何影响?

如果使用 Intune PowerShell 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) ，则需要使用 Microsoft Entra ID 注册的应用程序 ID 更新脚本，以防止脚本中断。

如何准备?

通过以下方式更新 PowerShell 脚本：

1. 在 Microsoft Entra 管理中心中创建新的应用注册。 有关详细说明，请阅读： 快速入门：向Microsoft标识平台注册应用程序。
2. 使用步骤 1 中创建的新应用程序 ID 更新包含 Intune 应用程序 ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) 的脚本。

有关详细的分步说明，请访问 powershell-intune-samples/更新应用注册 (github.com) 。

Intune 已于 2024 年 10 月支持 Android 10 及更高版本以使用基于用户的管理方法

2024 年 10 月，Intune 将转为支持 Android 10 及更高版本以使用基于用户的管理方法，其中包括：

• Android Enterprise 个人拥有的工作配置文件
• Android Enterprise 公司拥有的工作配置文件
• Android Enterprise 完全托管设备
• 基于用户的 Android 开源项目 (AOSP)
• Android 设备管理员
• 应用保护策略 (应用)
• 托管应用 (ACP) 的应用配置策略

今后，我们将在 10 月终止对一个或两个版本的支持，直到仅支持 Android 的最新四个主要版本。 若要详细了解此更改，请阅读博客： Intune 在 2024 年 10 月开始支持 Android 10 及更高版本以使用基于用户的管理方法。

注意

此更改不会影响 Android 设备管理 (专用和 AOSP 无用户) 和Microsoft Teams 认证的 Android 设备的无用户方法。

这对你或你的用户有何影响?

对于上面列出的基于用户的管理方法 () ，不支持运行 Android 9 或更低版本的 Android 设备。 对于不受支持的 Android OS 版本的设备：

• 不会提供 Intune 技术支持。
• Intune 不会对 Bug 或问题进行更改。
• 不能保证新功能和现有功能正常工作。

虽然 Intune 不会阻止在不支持的 Android OS 版本上注册或管理设备，但无法保证功能，因此不建议使用。

如何准备?

如果适用，请通知支持人员此更新的支持声明。 以下管理员选项可用于帮助警告或阻止用户：

• 为具有最低 OS 版本要求的应用配置 条件启动 设置，以警告和/或阻止用户。
• 使用设备符合性策略并设置不合规操作，以向用户发送消息，然后再将其标记为不符合。
• 设置 注册限制 以防止在运行旧版本的设备上注册。

有关详细信息，请查看： 使用 Microsoft Intune 管理操作系统版本。

更改计划：基于 Web 的设备注册将成为 iOS/iPadOS 设备注册的默认方法

目前，创建 iOS/iPadOS 注册配置文件时，“使用公司门户进行设备注册”显示为默认方法。 在即将发布的服务版本中，在配置文件创建期间，默认方法将更改为“基于 Web 的设备注册”。 此外，对于 新 租户，如果未创建注册配置文件，用户将使用基于 Web 的设备注册进行注册。

注意

对于 Web 注册，需要部署单一登录 (SSO) 扩展策略，以启用实时 (JIT) 注册，有关详细信息，请查看： 在 Microsoft Intune 中设置实时注册。

这对你或你的用户有何影响?

这是在创建新的 iOS/iPadOS 注册配置文件时用户界面的更新，以将“基于 Web 的设备注册”显示为默认方法，现有配置文件不受影响。 对于 新 租户，如果未创建注册配置文件，用户将使用基于 Web 的设备注册进行注册。

如何准备?

根据需要更新文档和用户指南。 如果当前通过公司门户使用设备注册，我们建议迁移到基于 Web 的设备注册并部署 SSO 扩展策略以启用 JIT 注册。

其他信息：

• 在 Microsoft Intune 中设置实时注册
• 为 iOS 设置基于 Web 的设备注册

使用 Intune 应用 SDK 的包装 iOS 应用和 iOS 应用需要 Azure AD 应用注册

我们正在进行更新，以提高 Intune 移动应用程序管理 (MAM) 服务的安全性。 此更新要求在 2024 年 3 月 31 日之前向 Microsoft Entra ID (Azure Active Directory (Azure AD) ) 注册 iOS 包装应用和 SDK 集成应用，以继续接收 MAM 策略。

这对你或你的用户有何影响?

如果包装的应用或 SDK 集成应用未注册到 Azure AD，这些应用将无法连接到 MAM 服务来接收策略，并且用户无法访问未注册的应用。

如何准备?

在此更改之前，需要向 Azure AD 注册应用。 有关详细说明，请参阅下文。

1. 按照以下说明将应用注册到 Azure AD： 向 Microsoft 标识平台注册应用程序。
2. 将自定义重定向 URL 添加到应用设置，如 此处所述。
3. 为应用授予对 Intune MAM 服务的访问权限，有关说明，请参阅 此处。
4. 完成上述更改后， (MSAL) 为 Microsoft 身份验证库配置应用：
   1. 对于已包装的应用：使用 Intune 应用包装工具将 Azure AD 应用程序客户端 ID 添加到命令行参数中，如文档中所述： 使用 Intune 应用包装工具包装 iOS 应用 |Microsoft Learn -ac 和 -ar 是必需参数。 每个应用都需要一组唯一的这些参数。 -aa 仅适用于单租户应用程序。
   2. 有关 SDK 集成应用，请参阅 Microsoft Intune App SDK for iOS 开发人员指南 |Microsoft Learn。 ADALClientId 和 ADALRedirectUri/ADALRedirectScheme 现在是必需参数。 仅单租户应用程序需要 ADALAuthority。
5. 部署应用。
6. 验证上述步骤：
   1. 面向“com.microsoft.intune.mam.IntuneMAMOnly.RequireAADRegistration”应用程序配置策略，并将其设置为“已启用 - Intune 应用 SDK 托管应用的配置策略 - Microsoft Intune |Microsoft Learn
   2. 面向应用程序的应用保护策略。 启用 “用于访问的工作或学校帐户凭据”策略 ，并将“在 (分钟不活动) 后重新检查访问要求”设置设置为低值，例如 1。
7. 然后在设备上启动应用程序，并验证登录 (在应用启动时每分钟都需要) 配置的参数成功发生。
8. 请注意，如果在执行其他步骤之前仅执行步骤 6 和 #7，可能会在应用程序启动时被阻止。 如果某些参数不正确，你也会注意到相同的行为。
9. 完成验证步骤后，可以撤消步骤 6 中所做的更改。

注意

Intune 很快需要使用 MAM 为 iOS 设备注册 Azure AD 设备。 如果已启用条件访问策略，则设备应已注册，并且不会注意到任何更改。 有关详细信息，请参阅 Microsoft Entra 已注册设备 - Microsoft Entra |Microsoft Learn。

更改计划：将 Jamf macOS 设备从条件访问过渡到设备符合性

我们一直在与 Jamf 合作制定迁移计划，帮助客户将 macOS 设备从 Jamf Pro 的条件访问集成过渡到其设备符合性集成。 设备符合性集成使用较新的 Intune 合作伙伴合规性管理 API，它涉及比合作伙伴设备管理 API 更简单的设置，并将 macOS 设备与 Jamf Pro 管理的 iOS 设备置于同一 API 上。 2024 年 9 月 1 日之后，将不再支持基于 Jamf Pro 的条件访问功能的平台。

请注意，某些环境中的客户最初无法转换，有关详细信息和更新，请阅读博客： 支持提示：将 Jamf macOS 设备从条件访问过渡到设备符合性。

这对你或你的用户有何影响?

如果使用适用于 macOS 设备的 Jamf Pro 条件访问集成，请遵循 Jamf 记录的指南将设备迁移到设备符合性集成： 从 macOS 条件访问迁移到 macOS 设备符合性 – Jamf Pro 文档。

设备符合性集成完成后，某些用户可能会看到一次性提示输入其Microsoft凭据。

如何准备?

如果适用，请按照 Jamf 提供的说明迁移 macOS 设备。 如果需要帮助，请联系 Jamf Customer Success。 有关详细信息和最新更新，请阅读博客文章： 支持提示：将 Jamf macOS 设备从条件访问过渡到设备符合性。

更新到最新的 Intune App SDK 和适用于 iOS 的 Intune 应用包装器，以支持 iOS/iPadOS 17

若要支持即将发布的 iOS/iPadOS 17，请更新到最新版本的 Intune 应用 SDK 和适用于 iOS 的应用包装工具，以确保应用程序保持安全并顺利运行。 此外，对于使用条件访问授予“需要应用保护策略”的组织，用户应在升级到 iOS 17 之前将其应用更新到最新版本。 若要了解详细信息，请阅读博客： 使用 MAM 策略更新 Intune App SDK、Wrapper 和 iOS 应用以支持 iOS/iPadOS 17。

更改计划：Intune 于 2024 年 12 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Google 已弃用 Android 设备管理员管理，继续删除管理功能，不再提供修复或改进。 由于这些更改，从 2024 年 12 月 31 日起，Intune 将在有权访问 Google 移动服务 (GMS) 的设备上终止对 Android 设备管理员管理的支持。 在此之前，我们支持在运行 Android 14 及更早版本的设备上管理设备管理员。 有关详细信息，请阅读博客： Microsoft Intune 终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持。

这对你或你的用户有何影响?

Intune 终止对 Android 设备管理员的支持后，有权访问 GMS 的设备将通过以下方式受到影响：

1. 用户无法向 Android 设备管理员注册设备。
2. Intune 不会对 Android 设备管理员管理进行更改或更新，例如 bug 修复、安全修复或修复，以解决新 Android 版本中的更改。
3. Intune 技术支持将不再支持这些设备。

如何准备?

停止将设备注册到 Android 设备管理员，并将受影响的设备迁移到其他管理方法。 可以检查 Intune 报告，查看哪些设备或用户可能受到影响。 转到 “设备>所有设备 ”，将 OS 列筛选到 Android (设备管理员) 以查看设备列表。

阅读博客， Microsoft Intune 在具有 GMS 访问权限的设备上终止对 Android 设备管理员的支持，了解我们推荐的替代 Android 设备管理方法，以及有关无法访问 GMS 的设备的影响的信息。

更改计划：终止对适用于企业和教育应用的 Microsoft Store 的支持

2023 年 4 月，我们开始终止对 Intune 中适用于企业的 Microsoft 应用商店体验的支持。 这在几个阶段发生。 有关详细信息，请参阅： 在 Intune 中将适用于企业和教育的 Microsoft 应用商店添加到 Microsoft 应用商店

这对你或你的用户有何影响?

如果使用适用于企业和教育应用的 Microsoft 应用商店：

1. 2023 年 4 月 30 日，Intune 将断开 Microsoft Store for Business 服务的连接。 Microsoft适用于企业和教育的应用商店应用将无法与 Intune 同步，连接器页面将从 Intune 管理中心中删除。
2. 2023 年 6 月 15 日，Intune 将停止在设备上强制实施适用于企业和教育应用的联机和脱机 Microsoft Store。 下载的应用程序保留在设备上，但支持有限。 用户可能仍可以从其设备访问应用，但不会管理该应用。 保留现有的已同步 Intune 应用对象，以允许管理员查看已同步的应用及其分配。 此外，你将无法通过 Microsoft Graph API 同步MicrosoftStoreForBusinessApps 来同步应用，相关 API 属性将显示过时的数据。
3. 2023 年 9 月 15 日，Microsoft适用于企业和教育的应用商店应用将从 Intune 管理中心中删除。 在有意删除之前，设备上的应用会一直保留。 Microsoft Graph API microsoftStoreForBusinessApp 大约一个月后将不再可用。

Microsoft商业和教育商店于 2021 年宣布停用。 Microsoft适用于企业的应用商店和教育版门户停用后，管理员将无法再管理从适用于企业和教育的 Microsoft Microsoft 应用商店门户同步或下载脱机内容的适用于企业的应用商店和教育应用列表。

如何准备?

建议通过 Intune 中新的 Microsoft 应用商店应用体验添加应用。 如果应用在 Microsoft Store 中不可用，则需要从供应商处检索应用包，并将其安装为业务线 (LOB) 应用或 Win32 应用。 有关说明，请阅读以下文章：

• 将 Microsoft 应用商店应用添加到 Microsoft Intune
• 将 Windows 业务线应用添加到 Microsoft Intune
• 在 Microsoft Intune 中添加、分配和监视 Win32 应用

相关信息

• 更新到 Intune 与 Windows 上的 Microsoft 应用商店的集成
• 解压缩终结点管理：Intune 中应用管理的未来

更改计划：终止对 Windows 信息保护的支持

Microsoft Windows 宣布 终止对 Windows 信息保护 (WIP) 的支持。 Microsoft Intune 系列产品将停止将来在管理和部署 WIP 方面的投资。 除了限制未来投资外，我们还在 2022 日历年底删除了对 WIP 的支持，无需注册 。

这对你或你的用户有何影响?

如果已启用 WIP 策略，则应关闭或禁用这些策略。

如何准备?

建议禁用 WIP，以确保组织中的用户不会失去对受 WIP 策略保护的文档的访问权限。 阅读博客 支持提示：Windows 信息保护的终止支持指南 ，了解有关从设备中删除 WIP 的更多详细信息和选项。

更改计划: Intune 即将终止公司门户对不受支持的 Windows 版本的支持

对于受支持的 Windows 10 版本，Intune 遵循 Windows 10 生命周期。 我们现在取消了对现代支持策略之外的 Windows 版本相关 Windows 10 公司门户的支持。

这对你或你的用户有何影响?

由于 Microsoft 不再支持这些操作系统，因此此更改可能不会影响你。 你可能已经升级了 OS 或设备。 仅当你仍在管理不受支持的 Windows 10 版本时，此更改才会影响你。

此更改影响的 Windows 和公司门户版本包括:

• Windows 10 版本 1507，公司门户版本 10.1.721.0
• Windows 10 版本 1511，公司门户版本 10.1.1731.0
• Windows 10 版本 1607，公司门户版本 10.3.5601.0
• Windows 10 版本 1703，公司门户版本 10.3.5601.0
• Windows 10 版本 1709，任何公司门户版本

我们不会卸载这些公司门户版本，但我们会将其从 Microsoft Store 中删除，并停止使用它们测试我们的服务版本。

如果继续使用不受支持的 Windows 10 版本，则用户将无法获得最新的安全更新、新功能、bug 修复、延迟改进、辅助功能改进和性能投资。 你将无法使用 System Center 配置服务器和 Intune 共同管理用户。

如何准备?

在 Microsoft Intune 管理中心，使用 “发现的应用” 功能查找具有这些版本的应用。 在用户设备上，公司门户版本显示在公司门户的 设置 页上。 更新到受支持的 Windows 和公司门户版本。