Microsoft Intune 新增功能

了解 Microsoft Intune 每周新增功能。

还可以阅读：

• 重要声明
• 新增功能存档中的过去版本
• 有关如何发布Intune服务更新的信息

可以使用 RSS 以在更新此页面时收到通知。 有关详细信息，请参 如何使用文档。

2025 年 6 月 2 日当周

设备安全性

适用于Intune (公共预览版的漏洞修正代理)

漏洞修正代理目前为有限的公共预览版，仅对一组选定客户可用。 如果你有兴趣获取访问权限或想要了解详细信息，请联系销售团队，了解更多详细信息和后续步骤。

运行时，此代理使用来自 Microsoft Defender 漏洞管理 的数据来识别托管设备上的漏洞并提供修正指导。 运行并访问代理，并从 Intune 管理中心内查看其结果，你将在其中看到代理优先进行修正的建议。 每个建议都包含关键信息，例如关联的 CVE、严重性、可利用性、受影响的系统、组织风险、业务影响和修正指南。

此信息使你能够对环境的潜在风险进行当前评估和指导，以帮助你决定首先解决哪些风险。

有关此代理（包括先决条件）的详细信息，请参阅 Microsoft Intune 中用于Security Copilot的漏洞修正代理。

2025 年 5 月 26 日 (服务版本 2505)

Microsoft Intune Suite

终结点特权管理规则显式拒绝提升

Endpoint Privilege Management (EPM) 提升规则现在包括新的文件提升类型 “拒绝”。 设置为 “拒绝” 的 EPM 提升规则会阻止指定文件在提升的上下文中运行。 虽然我们建议使用文件提升规则来允许用户提升特定文件，但拒绝规则可以帮助你确保某些文件（如已知和潜在恶意软件）不能在提升的上下文中运行。

拒绝 规则支持与其他 提升类型的 相同配置选项，但不使用的子进程除外。

有关 EPM（作为Intune套件附加功能提供）的详细信息，请参阅 Endpoint Privilege Management 概述。

应用管理

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Microsoft公司 (Android) Windows App
• Microsoft corporation (iOS) Microsoft Clipchamp
• 4CEE 通过 4CEE 开发进行连接
• Mobile Helix Link for Intune by Mobile Helix

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备配置

管理 Windows 设备的 DFCI 配置文件

我们为运行Windows 10或Windows 11的 NEC 设备添加了使用 DFCI 配置文件来管理 UEFI (BIOS) 设置的支持。 并非所有运行 Windows 的 NEC 设备都启用了 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

可以从Microsoft Intune管理中心内管理 DFCI 配置文件，方法是转到“设备>管理设备>”“配置>”“创建新>策略>Windows 10”及更高版本“，了解平台>模板>”“设备固件配置接口”，了解配置文件类型。 有关 DFCI 配置文件的详细信息，请参阅：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

应用于：

• Windows

设备注册

AOSP 设备的自定义命名模板

在向 Intune 注册时，使用自定义模板来命名 AOSP 用户关联和无用户设备。 模板可在注册配置文件中配置。 它可以包含自由文本和预定义变量的组合，例如设备序列号、设备类型，以及用户关联设备的所有者用户名。 有关如何配置模板的详细信息，请参阅：

• 为 Android (AOSP) 无人使用的公司自有设备设置 Intune 注册
• 为 Android (AOSP) 公司拥有的用户关联设备设置 Intune 注册

更改设备注册限制的基于角色的访问控制

我们针对设备限制更新了基于角色的访问控制 (RBAC) 。 如果当前分配有 策略和配置文件管理员 角色，或角色内置的 设备配置 权限，则你现在对设备注册限制策略具有只读访问权限。 若要创建和编辑这些策略，你必须是Intune管理员。

设备管理

跨平台设备清单

Android、iOS 和 Mac 设备已添加到设备清单中。 Intune现在收集一组默认清单数据，包括 74 个 Apple 属性和 32 个 Android 属性。

有关详细信息，请参阅 使用 Microsoft Intune 查看设备详细信息。

在 Android 设备上无人参与远程帮助会话期间增强的安全性

在 Android 设备上的无人参与远程帮助会话期间，我们通过阻止设备屏幕并在用户与其交互时通知用户，增强了远程协助期间的安全性和用户意识。

此功能适用于注册为 Android Enterprise 公司拥有的专用设备的 Zebra 和 Samsung 设备。

有关远程帮助的详细信息，请参阅 远程帮助。

设备安全性

检测 Root 企业拥有的 Android Enterprise 设备

配置符合性策略以检测公司拥有的 Android Enterprise 设备是否具有 root 权限。 如果Microsoft Intune检测到某个设备已获得 root 权限，则可以将其标记为不符合。 此功能现在适用于注册为完全托管、专用或公司拥有的工作配置文件的设备。 有关详细信息，请参阅 Intune 中 Android Enterprise 的设备符合性设置。

应用于：

• Android

用于在 Linux 设备上配置终结点检测和响应以及防病毒排除设置的新终结点安全配置文件

作为Microsoft Defender for Endpoint安全设置管理的Intune方案的一部分，可以使用名为 Microsoft Defender 全局排除 (AV+EDR) 的 Linux 的新终结点检测和响应配置文件，现在可用于管理这两者的 Linux 设备排除Microsoft Defender终结点检测和响应 (EDR) 和防病毒 (AV) 。

此配置文件支持与全局排除设置相关的设置，详见Microsoft Defender文档中的配置和验证 Linux 上的排除项。 这些排除配置可以应用于 Linux 客户端上的防病毒和 EDR 引擎，以停止针对已排除项的关联实时保护 EDR 警报。 排除项可以由策略中的管理员显式定义的文件路径、文件夹或进程定义。

新的Intune配置文件：

• 除了适用于Microsoft Defender防病毒的现有终结点安全防病毒策略外，还可用。
• 支持通过Microsoft Defender for Endpoint安全设置管理方案管理的设备。
• 不支持由 Intune 直接管理的 Linux 设备。

有关可用 Defender 设置的详细信息，请参阅 Defender for Endpoint 文档中的在 Microsoft Defender for Endpoint 中配置安全设置 - Microsoft Defender for Endpoint。

应用于：

• Linux

租户管理

从 Windows 设备上的 SimInfo 实体收集数据

现在，可以通过增强的设备清单从 Windows 设备上的 SimInfo 实体收集数据。 有关详细信息，请参阅 Intune Data Platform。 应用于：

• Windows

2025 年 4 月 28 日当周

应用管理

对 Apple 专业设备的Intune支持

我们已扩展应用保护策略 (APP) ，以支持 Microsoft Edge (v136 或更高版本) 、OneDrive (v16.8.4 或更高版本) 和 Outlook (v4.2513.0 或更高版本) 。 若要在 visionOS 设备上为这些特定应用启用此设置，必须在应用配置策略中将 设置为 com.microsoft.intune.mam.visionOSAllowiPadCompatAppsEnabled 。 分配应用配置策略后，可以为 VisionOS 设备创建和分配应用保护策略。 有关详细信息，请参阅 保护 VisionOS 设备上的数据。

租户管理

Microsoft Intune的新图标

Microsoft Intune具有新图标。 Intune图标正在跨与Intune关联的平台和应用（如Intune管理中心和Intune 公司门户应用）进行更新。 新图标将在未来几个月内逐步实现。

2025 年 4 月 21 日 (服务版本 2504)

Microsoft Intune Suite

对文件参数和参数的终结点特权管理提升规则支持

Endpoint Privilege Management (EPM 的文件提升规则) 现在支持 命令行文件参数。 将提升规则配置为定义一个或多个文件参数时，仅当使用其中一个定义的参数时，EPM 才允许该文件在提升的请求中运行。 如果使用的是未由提升规则定义的命令行参数，EPM 会阻止文件提升。 在文件提升规则中使用文件参数有助于优化终结点特权管理在提升的上下文中成功运行不同文件的方式和意图。

EPM 作为Intune套件附加功能提供。

应用管理

关系查看器可用于Intune应用

关系查看器提供系统中不同应用程序（包括取代和依赖应用程序）之间的关系的图形描述。 管理员可以通过选择“应用所有应用>”“Win32>应用>关系查看器”，在 Intune 中查找关系查看器。 关系查看器支持 Win32 应用和企业应用目录应用。 有关详细信息，请参阅 应用关系查看器。

使用新 API v2.0 的 Apple VPP

Apple 最近 (VPP) 更新了用于管理应用和书籍的批量购买计划的 API。 Apple 的相关 API 现在是版本 2.0。 版本 1.0 已弃用。 为了支持 Apple 更新，Microsoft Intune已更新为使用新 API，该 API 比以前的版本更快且更具可缩放性。

应用于：

• iOS/iPadOS
• macOS

适用于 Android 和 iOS 应用的其他组织数据存储服务选项

Intune现在在使用适用于 Android 或 iOS 的应用保护策略保存组织数据副本时提供了其他存储服务选项。 除了现有的组织数据存储选项外，还可以选择 “iManage ”和“ Egnyte ”作为存储选项。 必须通过将 “保存组织数据的副本 ”设置为“ 阻止”，然后选择“ 允许用户将副本保存到所选服务 ”设置旁边的允许存储服务，从阻止列表中选择这些服务作为豁免。 请注意，此设置不适用于所有应用程序。

有关使用应用保护策略进行数据保护的详细信息，请参阅 iOS 应用保护策略设置 - 数据保护 和 Android 应用保护策略设置 - 数据保护。

应用于：

• Android
• iOS

设备配置

更新了 Windows 传递优化的设备配置模板

我们已更新 Windows 传递优化的设备配置模板。 新模板使用设置目录中的设置格式，以及直接从 Windows 配置服务提供程序 (CSP) 获取的设置，如 Windows 策略 CSP - DeliveryOptimization 中所述。

通过此更改，你无法再创建旧配置文件的新版本。 但是，旧配置文件的预先存在的实例仍可供使用。

有关此更改的详细信息，请参阅Intune客户成功博客中的支持提示：Intune中的 Windows 设备配置策略迁移到统一设置平台。

应用于：

• Windows 10
• Windows 11

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

我们在设置目录中添加了一个新设置。 若要查看此设置，请在Microsoft Intune管理中心中，请参阅设备>管理设备>配置>创建新>策略>macOS for 平台>配置文件类型的设置目录。

macOS

登录 > 登录窗口：

• 显示输入菜单

设置目录中的 Android 设置

设置目录支持 Android Enterprise 和 Android 开源项目 (AOSP) 。

目前，若要配置 Android 设置，请使用内置模板。 这些模板中的设置也可在设置目录中使用。 将继续添加更多设置。

在Intune管理中心，创建设备配置文件时，选择“配置文件类型 (设备>管理设备>配置>创建新>策略>”选择平台>配置文件类型) 。 所有配置文件类型都移动到 配置文件类型>模板。

这项更改：

• 对现有策略没有影响的 UI 更改。 现有策略不会更改。 可以继续以相同的方式创建、编辑和分配这些策略。
• 提供与 iOS/iPadOS、macOS 和 Windows 模板相同的 UI 体验。

在新设置目录体验中，工具提示中提供了与设置关联的管理模式。 若要开始使用设置目录，请参阅 使用设置目录配置设备上的设置。

应用于：

• Android Enterprise
• AOSP

设备注册

Android Enterprise 公司拥有设备的自定义设备命名模板

当 Android Enterprise 公司拥有的设备注册Intune时，可以使用自定义模板来命名这些设备。 模板可在注册配置文件中配置。 它可以包含自定义文本和预定义变量的组合，例如设备序列号、设备类型，以及用户关联设备的所有者用户名。 有关更多信息，请参阅：

• 具有工作配置文件的 Android Enterprise 公司拥有的设备
• Android Enterprise 专用设备
• Android Enterprise 完全托管设备

应用于：

• Android

Android Enterprise 公司设备的注册时间分组

现在适用于 Android Enterprise 公司拥有的设备，注册时间分组使你可以在注册时将静态Microsoft Entra组分配给设备。 目标 Android 设备注册后，通常会在用户登录主屏幕时接收所有分配的策略、应用和设置。 可以在Microsoft Intune管理中心的“设备组”选项卡下为每个注册配置文件配置一个静态Microsoft Entra组。 有关详细信息，请参阅 注册时间分组。

设备管理

Intune终止对个人拥有的工作配置文件设备的自定义配置文件的支持

从 2025 年 4 月开始，Intune不再支持 Android Enterprise 个人拥有的工作配置文件设备的自定义配置文件。 在此终止支持下：

• 管理员无法为个人拥有的工作配置文件设备创建新的自定义配置文件。 但是，管理员仍可以查看和编辑以前创建的自定义配置文件。

• 当前分配有自定义配置文件的个人拥有的工作配置文件设备不会立即遇到任何功能更改。 由于不再支持这些配置文件，因此这些配置文件设置的功能将来可能会更改。

• Intune技术支持不再支持个人拥有的工作配置文件设备的自定义配置文件。

应将所有自定义策略替换为其他策略类型。 详细了解Intune终止对个人拥有的工作配置文件自定义配置文件的支持

设备安全性

添加到 Windows 安全基线版本 24H2 的新设置

Windows 的最新Intune安全基线版本 24H2 已更新为包含 15 个新设置，用于管理适用于 Lanman Server 和 Lanman 工作站的 Windows 配置服务提供程序 (CSP) 。 由于缺少 CSP 支持，这些设置以前在基线中不可用。 添加这些设置可提供更好的控制和配置选项。

由于这是对现有基线版本的更新，而不是新的基线版本，因此在编辑并保存基线之前，新设置在基线属性中不可见：

• 预先存在的基线实例：
  在新设置在预先存在的基线实例中可用之前，必须依次选择和 编辑 该基线实例。 若要让基线部署新设置， 必须保存该 基线实例。 打开基线进行编辑时，每个新设置都将通过其默认安全基线配置可见。 在保存之前，可以重新配置一个或多个新设置，或者只保存当前配置，然后对每个新设置使用基线默认值，

• 新的基线实例：
  创建 Windows 安全基线版本 24H2 的新实例时，该实例包括新设置以及所有以前可用的设置。

以下是添加到版本 24H2 基线的新设置，以及每个设置的基线默认值： Lanman Server

• 审核客户端不支持加密 - 基线默认值： 已启用
• 审核客户端不支持签名 - 基线默认值： 已启用
• 审核不安全的来宾登录 - 基线默认值： 已启用
• 以毫秒为单位的身份验证速率限制器延迟 - 基线默认值： 2000
• 启用身份验证速率限制器 - 基线默认值： 已启用
• 最大 SMB 2 方言 – 基线默认值： SMB 3.1.1
• 最小 SMB 2 方言 - 基线默认值： SMB 3.0.0
• 启用 Mailslots - 基线默认值： 禁用

兰曼工作站

• 审核不安全的来宾登录 - 基线默认值： 已启用
• Audit Server 不支持加密 - 基线默认值： 已启用
• 审核服务器不支持签名 - 基线默认值： 已启用
• 最大 SMB 2 方言 – 基线默认值： SMB 3.1.1
• 最小 SMB 2 方言 - 基线默认值： SMB 3.0.0
• 需要加密 - 基线默认值： 禁用
• 启用 Mailslots - 基线默认值： 禁用

有关详细信息，请参阅Intune安全基线。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• FileOrbis for Intune by FileOrbis FZ LLC
• PagerDuty for Intune 由 PagerDuty， Inc.
• 由外展公司 Outreach.io

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

租户管理

汇报到Intune管理中心主页

Microsoft Intune管理中心的主页已更新为包含交互式演示、文档和培训的其他链接。 若要查看这些更新，请导航到Microsoft Intune管理中心。

2025 年 4 月 14 日当周

设备配置

Windows 11 企业版的热补丁更新现已推出

Windows 11 企业版版本 24H2 for x64 (AMD/Intel) CPU 设备的热补丁更新现已推出。 借助热补丁更新，可以更快地部署和应用安全更新，以帮助保护组织免受网络攻击，同时最大程度地减少用户中断。 在Microsoft Intune管理中心，导航到“设备>”“Windows 更新>”“创建 Windows 质量更新策略”并将其切换为“允许”。

注册和准备 Windows 质量更新策略可以自动检测目标设备是否符合热补丁更新的条件。 运行 Windows 10 和 Windows 11 版本 23H2 及更低版本的设备将继续接收标准的每月安全更新，帮助确保生态系统保持受保护和高效。

使用热补丁更新维护可靠的安全性适用于 Windows 客户端的热补丁技术的正式发布标志着在提高Windows 11 企业版用户的安全性和工作效率方面向前迈出了重要一步。 热补丁更新有助于确保设备更快地受到保护，并且用户能够保持工作效率，同时尽量减少中断。 我们鼓励组织利用这项新功能来保持可靠的安全态势，同时尽量减少对用户体验的影响。 自 2025 年 4 月 2 日起，热补丁更新已在 Intel 和 AMD 支持的设备上正式发布，稍后将在 Arm64 设备上提供此功能。

有关更多信息，请参阅：

• 适用于 Windows 客户端的热补丁现已推出 - Windows IT 专业人员博客

• 热补丁更新

• 客户端的热补丁Windows 11 企业版

• 技能：Windows 客户端和服务器上的热补丁

• 更新 Windows 11 和 Windows Server 2025 最热的方法

• 热补丁发行说明

2025 年 3 月 24 日当周

设备安全性

已审核包的新Microsoft隧道就绪检查

Microsoft Tunnel 就绪情况工具现在包含 Linux 系统审核 (LSA) 的已审核包检查。 审核 状态是 可选的，不是 Linux 服务器Microsoft Tunnel 所需的先决条件。

mst-readiness 工具运行时，如果未安装审核包，它将引发非阻止警告。 默认情况下，Red Hat Enterprise Linux 版本 7 及更高版本默认安装此包。 Linux 的 Ubuntu 版本当前需要安装此可选包。

有关 已审核 以及如何在 Microsoft Tunnel 服务器上安装它的详细信息，请参阅 Linux 系统审核。

2025 年 3 月 17 日 (服务版本 2503)

Microsoft Intune Suite

ARM 64 位设备的终结点特权管理支持

Endpoint Protection Manager (EPM) 现在支持管理在 ARM 64 位体系结构上运行的设备上的文件提升。

应用于：

• Windows

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

限制:

• 允许 Apple Intelligence 报告
• 允许默认通话应用修改
• 允许默认消息传送应用修改
• 允许邮件智能答复
• 允许笔记听录
• 允许 Safari 摘要

macOS

远程桌面：

• 远程桌面

限制:

• 允许 Apple Intelligence 报告
• 允许邮件智能答复
• 允许笔记听录
• 允许 Safari 摘要

设备管理

Windows LAPS 策略的新设置

windows 本地管理员密码解决方案 (LAPS) Intune策略现在包括多个新设置和两个以前可用的设置的更新。 使用作为 Windows 内置解决方案的 LAPS 可以帮助你保护每个 Windows 设备上存在的内置本地管理员帐户。 Windows LAPS CSP 中介绍了可以通过 Intune LAPS 策略管理的所有设置。

以下新设置可用： (每个设置名称是一个链接，用于打开该设置的 CSP 文档。)

• 自动帐户管理 启用帐户
• 已启用自动帐户管理
• 自动帐户管理名称或前缀
• 自动帐户管理随机化名称
• 自动帐户管理目标
• 通行短语长度

以下设置具有可用的新选项：

• 密码复杂性 - 以下是此设置可用的新选项：
  • 通行短语 (长字)
  • 短语 (短单词)
  • 短语 (具有唯一前缀的短词)
• 身份验证后作 - 以下选项现在可用于此设置：
  • 重置密码、注销托管帐户并终止任何剩余进程：宽限期到期后，将重置托管帐户密码，注销使用托管帐户的所有交互式登录会话，并终止所有剩余的进程。

默认情况下，LAPS 策略中的每个设置都设置为 “未配置”，这意味着添加这些新设置不会更改现有策略的行为。 若要使用新设置和选项，可以创建新配置文件或编辑现有配置文件。

应用于：

• Windows

使用声明性设备管理 (DDM) 配置设备以继续使用最新的 OS 版本

作为 设置目录的一部分，你现在可以将设备配置为使用 DDM 自动更新到最新的 OS 版本。 若要在 Microsoft Intune 管理中心使用这些新设置，请转到“设备>管理设备>”“配置>创建新>策略>iOS/iPadOS 或 macOSfor platform>”设置目录“，了解配置文件类型。

声明性设备管理 > 软件更新强制实施最新。

• 强制实施最新软件更新版本：如果为 true，设备将升级到适用于该设备型号的最新 OS 版本。 这会使用软件更新强制配置，并将强制设备在截止时间过后重启并安装更新。
• 延迟天数：指定在强制实施截止时间之前应经过的天数。 此延迟基于 Apple 发布新更新的发布日期或配置策略的时间。
• 安装时间：指定强制实施更新的本地设备时间。 此设置使用 24 小时制格式，其中午夜为 00：00，晚上 11：59 为 23：59。 请确保在个位数小时数中包含前导 0。 例如，01：00、02：00、03：00。

若要详细了解如何通过 DDM 配置托管更新，请参阅 托管软件更新。

适用于：

• iOS/iPadOS
• macOS

远程帮助支持 Azure 虚拟桌面多会话

远程帮助现在在单个虚拟机上为多个用户提供多会话 AVD 支持。 此前，远程帮助支持 Azure 虚拟桌面 (AVD) 会话，该会话与一个虚拟机 (VM) 。

有关更多信息，请参阅：

• 远程帮助
• windows 上的远程帮助
• 结合使用 Azure 虚拟桌面多会话与 Microsoft Intune

用于设备查询的 Copilot 助手

现在，可以使用 Copilot 生成 KQL 查询，以帮助从Intune中的多个设备获取数据。 此功能在 Microsoft Intune 管理中心中提供，方法是选择“设备>设备查询>与 Copilot 一起查询”。 有关详细信息，请参阅 在设备查询中使用 Copilot 进行查询。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• FacilyLife by Apleona GmbH (iOS)
• Intapp 2.0 由 Intapp， Inc. (Android)
• DealCloud by Intapp， Inc. (Android)
• Lemur Pro for Intune by Critigen LLC (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2025 年 3 月 3 日当周

监视和疑难解答

汇报功能更新报表

我们将在服务端数据中引入新的 Update Substate 。 此子状态显示在 Microsoft Entra 中无效且称为“不支持”的设备报告中。

有关详细信息，请参阅使用适用于企业的 Windows 更新 Windows 汇报

2025 年 2 月 24 日 (服务版本 2502)

应用管理

在应用工作负载中更轻松地提供 VPP 令牌名称

“应用”工作负载中提供的 “VPP 令牌名称” 列允许你快速确定令牌和应用关联。 此列现已在“所有应用”列表 (“所有应用>) ”和“应用配置策略 (应用>”应用配置策略) 的应用选择窗格中提供。 有关 VPP 应用的详细信息，请参阅使用Microsoft Intune管理批量购买的应用和书籍。

应用于：

• iOS/iPadOS
• macOS

设备配置

Windows 设置目录中提供的新 Windows AI 设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

Windows 设置目录中有新设置。 若要查看这些设置，请在Microsoft Intune管理中心，转到“设备>管理设备>”“配置>创建新>策略>”Windows 10以及配置文件类型的更高设置>目录。

新设置包括：

• 禁用 AI 数据分析
• 为回顾设置拒绝 URI 列表
• 为回顾设置拒绝应用列表
• 设置回顾快照的最大存储空间
• 设置回顾快照的最大存储持续时间

应用于：

• Windows

用于混合加入 Windows Autopilot 流的 Active Directory Intune 连接器的低特权帐户

我们已更新 Active Directory Intune 连接器，以使用低特权帐户来提高环境的安全性。 旧连接器将继续工作，直到 2025 年 5 月下旬弃用。

有关详细信息，请参阅使用 Intune 和 Windows Autopilot 部署Microsoft Entra混合联接的设备。

公共预览版中的托管主屏幕 QR 码身份验证

适用于 Android 设备的托管主屏幕在 Microsoft Entra ID 中本机支持 QR 码身份验证。 身份验证涉及 QR 码和 PIN。 此功能使用户无需输入和重新输入长 UPN 和字母数字密码。 有关详细信息，请参阅使用 QR 码登录到 Microsoft Teams 或 托管主屏幕 (MHS) 。

应用于：

• Android 设备

托管主屏幕的其他设备详细信息

Android OS 版本、安全修补程序和上次设备重新启动时间详细信息现在可从 托管主屏幕 应用的“设备信息”页获取。 相关信息，请参阅 为 Android Enterprise 配置 Microsoft 托管的主屏幕应用。

应用于：

• Android Enterprise 设备

显示托管主屏幕的铃声选择器

在Intune中，可以选择在托管主屏幕应用中公开设置，以允许用户选择铃声。 有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

应用于：

• Android 设备

设备安全性

管理 Windows 设备上Microsoft Defender设备控制的 DeviceControlEnabled 配置

现在可以使用 Intune 来管理 deviceControlEnabled for Device Control Microsoft Defender CSP 的配置。 DeviceControlEnabled 用于启用或禁用对 Windows 设备上Microsoft Defender设备控制功能的支持。

可以使用以下两个Microsoft Intune选项配置 DeviceControlEnabled。 对于这两个选项，设置将显示为 “已启用设备控制”，并在 Defender 类别中找到：

• 配置 设备控制 模板，该模板是 攻击面减少 策略的配置文件。
• 为 Windows 配置 设置目录 配置文件 。

设备控制模板和设置目录都支持启用 设备控制的以下选项：

• 设备控制已启用
• 默认) (禁用设备控制

应用于：

• Windows

管理 Windows 设备上Microsoft Defender设备控制的 DefaultEnforcement 配置

现在可以使用 Intune 来管理 Microsoft Defender CSP for DefaultEnforcement for Device Control 的配置。 DefaultEnforcement 在未接收设备控制策略的设备或接收和评估设备控制策略的设备（如果未匹配策略中的规则）上管理设备控制配置。

可以使用以下两个Microsoft Intune选项来配置 DefaultEnforcement。 对于这两个选项，设置显示为 “默认强制”，并在 Defender 类别中找到：

• 配置 设备控制 模板，该模板是 攻击面减少 策略的配置文件。
• 为 Windows 配置 设置目录 配置文件 。

设备控制模板和设置目录都支持 以下默认强制选项：

• 默认允许强制 (默认)
• 默认拒绝强制实施

应用于：

• Windows

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 应用程序管理器 - manageEngine Intune

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有适用于 Apple 设备的新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

托管设置：

• 默认应用程序
• 壁纸

联网 > 域：

• 跨站点跟踪防护放松应用

限制:

• 允许的外部智能工作区 ID
• 允许笔记听录摘要
• 允许附属连接
• 允许视觉智能摘要

macOS

联网 > 域：

• 跨站点跟踪防护放松应用

限制:

• 允许书店
• 允许书店情色内容
• 允许显式内容
• 为应用评分
• 为电影评分
• 分级区域
• 分级电视节目

系统配置 > 文件提供程序：

• 管理允许已知文件夹同步
• 管理已知文件夹同步允许列表

2025 年 2 月 17 日当周

监视和疑难解答

Intune中的有限实时聊天支持

Intune在Intune管理控制台中引入了有限的实时聊天支持。 目前并非所有租户或查询都可使用实时聊天。

2025 年 2 月 10 日当周

设备安全性

更新了 Windows 版本 24H2 的安全基线

现在可以将 Windows 版本 24H2 的Intune安全基线部署到Windows 10和Windows 11设备。 新的基线版本使用“设置目录”中显示的统一设置平台，该平台具有改进的用户界面和报告体验、通过设置纹身实现的一致性和准确性改进，以及支持配置文件分配筛选器的新功能。

使用Intune安全基线有助于维护 Windows 设备的最佳做法配置，并有助于将配置快速部署到 Windows 设备，以符合Microsoft适用的安全团队的安全建议。

与所有基线一样，默认基线表示每个设置的建议配置，你可以修改这些配置以满足组织的要求。

应用于：

• Windows

监视和疑难解答

多个设备的设备查询

我们已为多个设备添加了设备查询。 借助此功能，可以使用 Kusto 查询语言 (KQL) 来查询收集的设备的清单数据，从而全面了解整个设备群。

运行 Windows 10 或更高版本的设备现在支持对多个设备进行设备查询。 此功能现在包含在高级分析中。

应用于：

• Windows

2025 年 2 月 5 日 (服务版本 2501)

Microsoft Intune Suite

将智能 Microsoft Security Copilot 副驾驶®与 Endpoint Privilege Management 配合使用，以帮助识别潜在的提升风险

在 Azure 租户获得智能 Microsoft Security Copilot 副驾驶®许可后，现在可以使用 Security Copilot 来帮助调查终结点特权管理 (EPM) EPM 支持批准的工作流中的文件提升请求。

使用此功能时，在查看文件提升请求的属性时，你将找到“ 使用 Copilot 分析”选项。 使用此选项可指示Security Copilot在提示Microsoft Defender 威胁智能中使用文件哈希来评估文件潜在的泄露指标，以便你可以做出更明智的决定来批准或拒绝该文件提升请求。 在管理中心中返回到当前视图的一些结果包括：

• 文件的信誉
• 有关发布者信任的信息
• 请求文件提升的用户的风险评分
• 从中提交提升的设备的风险评分

EPM 作为Intune套件附加功能提供。 若要详细了解当前如何在 Intune 中使用 Copilot，请参阅 Intune 中的Microsoft Copilot。

若要详细了解智能 Microsoft Security Copilot 副驾驶®，请参阅 智能 Microsoft Security Copilot 副驾驶®。

应用管理

更新到 Intune 中的应用工作负载体验

Intune中的应用区域（通常称为“应用”工作负载）已更新，以提供更一致的 UI 和改进的导航结构，以便你可以更快地找到所需的信息。 若要在Intune中找到应用工作负载，请导航到“Microsoft Intune管理中心”，然后选择“应用”。

设备配置

Windows 设置目录中可用于配置多个显示模式的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。

设置目录中有新的设置，用于配置 Windows 24H2 的多个显示模式 。 若要查看可用设置，请在Microsoft Intune管理中心，转到“设备>管理设备>配置>创建新>策略>Windows 10及更高版本”，了解配置文件类型的平台>设置目录。

默认情况下， “配置多个显示模式 ”设置允许监视器扩展或克隆显示，从而便于手动设置。 它简化了多监视器配置过程，确保一致且用户友好的体验。

应用于：

• Windows

设备安全性

更新了 Microsoft Edge v128 的安全基线

现在可以为 Microsoft Edge 版本 128 部署Intune安全基线。 此更新提供对最新设置的支持，因此你可以继续维护 Microsoft Edge 的最佳做法配置。

查看更新的基线中设置的默认配置。

有关使用Intune的安全基线的信息，请参阅使用安全基线在 Intune 中配置 Windows 设备。

应用于：

• Windows

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• MoveInSync by MoveInSync Technologies

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2025 年 1 月 27 日当周

设备安全性

HoloLens 2的安全基线

现在可以为HoloLens 2部署两个不同的安全基线实例。 这些基线代表了Microsoft在为不同行业的客户部署和支持HoloLens 2设备的最佳做法指南和经验。 两个基线实例：

• HoloLens 2 Standard安全基线：HoloLens 2的标准安全基线表示配置适用于所有类型的客户的安全设置的建议，无论HoloLens 2用例方案如何。 查看标准安全基线中设置的默认配置。

• HoloLens 2的高级安全基线：HoloLens 2的高级安全基线代表针对对其环境具有严格安全控制并要求对其环境中使用的任何设备应用严格安全策略的客户配置安全设置的建议。 查看高级安全基线中设置的默认配置。

若要详细了解使用Intune的安全基线，请参阅使用安全基线在 Intune 中配置 Windows 设备。

应用于：

• Windows

2025 年 1 月 20 日当周

监视和疑难解答

使用支持助理解决问题

支持助理现已在 Intune 中提供。 它利用 AI 来增强帮助和支持体验，确保更高效地解决问题。 Microsoft Intune管理中心提供支持助手，方法是选择故障排除 + 支持>帮助和支持，或者选择个人资料图片附近的问号。 目前，支持助理处于预览状态。 可以通过随时选择加入和退出来启用和禁用支持助理。 有关相关信息，请参阅如何在Microsoft Intune管理中心获取支持。

2024 年 12 月 30 日当周

设备注册

Intune终止对有权访问 Google 移动服务的设备上的 Android 设备管理员的支持

从 2024 年 12 月 31 日开始，Microsoft Intune不再支持在有权访问 Google 移动服务 (GMS) 的设备上管理 Android 设备管理员。 此更改是在 Google 弃用 Android 设备管理员管理并停止支持之后完成的。 对于无法访问运行 Android 15 或更早版本的 GMS 的设备，Intune支持和帮助文档仍然存在，Microsoft Teams 设备迁移到 Android 开源项目 (AOSP) 管理。 有关此更改如何影响租户的详细信息，请参阅 Intune 2024 年 12 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持。

2024 年 12 月 16 日 (服务版本 2412)

应用管理

增加了自定义策略的规模

现在最多可以创建 25 个策略来自定义公司门户和Intune应用体验。 以前自定义策略的最大数目为 10。 导航到Intune管理中心，然后选择“租户管理>自定义”。

有关自定义公司门户和Intune应用的详细信息，请参阅自定义用户体验。

设备安全性

支持Microsoft Defender for Endpoint的安全设置管理策略中的篡改防护

现在，可以在作为 Defender for Endpoint 安全设置管理方案的一部分管理的未注册设备上管理Microsoft Defender for Endpoint CSP 设置，以便进行篡改保护。

借助此支持，防病毒策略的 Windows 安全中心 体验配置文件中的篡改防护配置现在应用于所有设备，而不仅仅是使用 Intune 注册的设备。

设备配置

创建新的配置文件时结束对管理模板的支持

客户无法通过设备>>>配置创建新策略>创建新的管理模板配置文件Windows 10及更高版本的>管理模板。 (已停用) 标记显示在 “管理模板” 旁边，“ 创建 ”按钮现在灰显。其他模板仍受支持。

但是，现在，客户可以使用设置目录创建新的管理模板配置文件，方法是导航到“设备>配置>”“创建新>策略>”Windows 10及更高版本的>“设置目录”。

以下 UI 体验没有变化：

• 编辑现有管理模板。
• 删除现有管理模板。
• 在现有管理模板中添加、修改或删除设置。
• 导入的管理模板 (预览版) 模板，用于自定义 ADMX。

有关详细信息，请参阅在 Microsoft Intune 中的 Windows 10/11 设备上使用 ADMX 模板。

应用于：

• Windows

设备管理

更多 Wi-Fi 配置现在可用于个人拥有的工作配置文件设备

Android Enterprise 个人拥有的工作配置文件设备的Intune Wi-Fi配置文件现在支持配置预共享密钥和代理设置。

可以在管理控制台的 “设备>管理设备>配置>创建新>策略”中找到这些设置。 将 “平台 ”设置为“Android Enterprise”，然后在“ 个人拥有的工作配置文件 ”部分，选择“Wi-Fi”，然后选择“ 创建 ”按钮。

在“ 配置设置 ”选项卡中，选择“基本”Wi-Fi 类型时，有几个新选项可用：

1. 安全类型，具有“打开 (无身份验证) 、WEP 预共享密钥和 WPA 预共享密钥”选项。

2. 代理设置，其中选项选择“自动”，然后指定代理服务器 URL。

过去可以使用自定义配置策略配置这些策略，但今后建议在 Wi-Fi 配置文件中设置这些策略，因为Intune将在 2024 年 4 月终止对自定义策略的支持。

有关详细信息，请参阅 个人拥有的工作配置文件设备的 Wi-Fi 设置。

应用于：

• Android Enterprise

2024 年 12 月 9 日当周

租户管理

Intune现在支持 Ubuntu 24.04 LTS for Linux 管理。

我们现在支持 Ubuntu 24.04 LTS 的设备管理。 可以注册和管理运行 Ubuntu 24.04 的 Linux 设备，并分配标准符合性策略、自定义配置脚本和合规性脚本。

有关详细信息，请参阅Intune文档中的以下内容：

• 部署指南：在 Microsoft Intune 中管理 Linux 设备
• 注册指南：在 Microsoft Intune 中注册 Linux 桌面设备。 若要注册 Linux 设备，请确保它们运行 Ubuntu 20.04 LTS 或更高版本。

应用于：

• Linux Ubuntu 桌面

2024 年 12 月 2 日当周

设备注册

更改 iOS 注册配置文件类型的注册行为

在 Apple WWDC 2024 上，Apple 终止了对基于配置文件的 Apple 用户注册的支持。 有关详细信息，请参阅支持基于配置文件的用户注册已结束，公司门户。 由于此更改，我们更新了在选择“ 基于用户选择确定 ”作为自带设备 (BYOD) 注册的注册配置文件类型时发生的行为。

现在，当用户在 BYOD 注册期间选择“我拥有此设备”时，Microsoft Intune通过帐户驱动用户注册（而不是基于配置文件的用户注册）注册它们，然后仅保护与工作相关的应用。 目前，所有Intune租户中只有不到 1% 的 Apple 设备采用这种方式注册，因此此更改不会影响大多数已注册的设备。 在 BYOD 注册期间选择 “我的公司拥有此设备” 的 iOS 用户没有变化。 Intune通过设备注册来注册Intune 公司门户，然后保护其整个设备。

如果当前允许 BYOD 方案中的用户确定其注册配置文件类型，则必须采取措施，通过完成所有先决条件来确保帐户驱动的用户注册正常工作。 有关详细信息，请参阅 设置帐户驱动的 Apple 用户注册。 如果未为用户提供选择其注册配置文件类型的选项，则没有作项。

设备管理

适用于 Windows 的设备清单

设备清单允许你从托管设备收集和查看其他硬件属性，以帮助你更好地了解设备的状态并做出业务决策。

现在，可以使用属性目录选择要从设备收集的内容，然后在“资源资源管理器”视图中查看收集的属性。

有关更多信息，请参阅：

• 属性目录
• 数据收集平台

应用于：

• Windows 10 及更高版本 (由 Intune) 管理的公司拥有的设备

新增功能存档

对于前几个月，请参阅 新增功能存档。

通知

这些通知提供了重要信息，可以帮助你为未来的 Intune 更改和功能做好准备。

更改计划：适用于 Android 13 或更高版本的 Google Play 强完整性定义更新

Google 最近更新了适用于运行 Android 13 或更高版本的设备“强完整性”的定义，需要硬件支持的安全信号和最新的安全更新。 有关详细信息，请参阅 Android 开发人员博客：提高播放完整性 API 的速度、复原能力和私密性。 Microsoft Intune将在 2025 年 9 月 30 日实施此更改。 在此之前，我们已调整应用保护策略和合规性策略行为，以符合 Google 建议的向后兼容性指南，以最大程度地减少中断，详见 改进 Android 13 及更高版本的设备判决 |Google Play |Android 开发人员。

此更改对你或你的用户有何影响？

如果你在过去 12 个月中使用运行 Android 13 或更高版本且没有安全更新的设备，则这些设备将不再满足“强完整性”标准。

用户影响： 对于在此更改后在 Android 13 或更高版本上运行设备的用户：

• 没有最新安全更新的设备可能会从“强完整性”降级到“设备完整性”，这可能会导致受影响的设备有条件启动块。
• 没有最新安全更新的设备可能会在Intune 公司门户应用中看到其设备不符合要求，并且可能会根据组织的条件访问策略失去对公司资源的访问权限。

请注意，运行 Android 版本 12 或更低版本的设备不受此更改的影响。

如何准备?

在 2025 年 9 月 30 日之前，根据需要查看和更新策略。 确保设备运行 Android 13 或更高版本的用户及时收到安全更新。 可以使用 应用保护状态报告 来监视设备收到的上次 Android 安全修补程序的日期，并通知用户根据需要进行更新。 以下管理员选项可用于帮助警告或阻止用户：

• 对于应用保护策略，请配置 最小 OS 版本 和 最小修补程序版本 条件启动设置。 有关详细信息，请查看 Microsoft Intune 中的 Android 应用保护策略设置 |Microsoft Learn
• 对于符合性策略，请配置 “最低安全修补程序级别 合规性”设置。 有关详细信息，请查看：Intune中 Android Enterprise 的设备符合性设置

更改计划：使用 Windows Autopilot 部署Microsoft Entra混合联接设备的新Intune连接器

作为Microsoft“安全未来计划”的一部分，我们最近发布了 active Directory Intune 连接器的更新，以使用托管服务帐户而不是本地 SYSTEM 帐户，通过 Windows Autopilot 部署Microsoft Entra混合加入的设备。 新连接器旨在通过减少与本地 SYSTEM 帐户关联的不必要的特权和权限来增强安全性。

此更改对你或你的用户有何影响？

如果已Microsoft Entra使用 Windows Autopilot 的混合联接设备，则需要过渡到新的连接器，以继续有效地部署和管理设备。 如果不更新到新连接器，将无法使用旧连接器注册新设备。

如何准备?

按照以下步骤将环境更新到新连接器：

1. 在 Intune 管理中心下载并安装新连接器。
2. 登录以设置托管服务帐户 (MSA) 。
3. 更新 ODJConnectorEnrollmentWizard.exe.config 文件，以包括加入域所需的组织单位 (OU) 。

有关更详细的说明，请查看：Microsoft Intune Active Directory 安全更新连接器，并使用 Intune 和 Windows Autopilot 部署Microsoft Entra混合联接设备。

更新 Windows、Mac 和 Android AOSP 托管设备的网络终结点

Intune更新了 Windows、Mac 和 Android 开源项目 (AOSP) 所需的 CDN 终结点。 如果已将防火墙配置为允许 *.manage.microsoft.com 则无需执行任何作，否则，建议在 2025 年 4 月 30 日前查看并更新代理设置。

此更改对你或你的用户有何影响？

如果使用 Intune 部署应用程序和脚本，则需要授予对位置更新的终结点的访问权限。 如果未授予对新终结点的访问权限，则用户将无法安装应用程序或脚本，并且某些功能可能会失败。 CDN 终结点用于以下方案：

• Windows：CDN 用于向 Intune 管理扩展提供更新，该扩展支持 Win32 应用部署、PowerShell 脚本、终结点分析等方案。
• 共同管理的设备：CDN 提供程序的官方Configuration Manager二进制文件，包括main技术预览版和官方版本、修补程序、推送通知等。
• Mac：CDN 用于向用于部署 macOS PKG 应用、DMG 应用、shell 脚本和自定义属性的 Intune 管理代理传递更新。
• Android AOSP：CDN 用于在设备预配期间交付应用程序，例如Intune 公司门户应用和功能更新。

如何准备?

更新防火墙规则以包括新的 CDN 终结点。 为了获得最佳体验，我们建议使用 *.manage.microsoft.com 域。 如果代理或防火墙不允许使用域创建防火墙规则，请更新列出的地址：

• Windows CDN 要求： PowerShell 脚本和 Win32 应用的网络要求
• Configuration Manager共同管理的设备 CDN 要求：汇报和维护
• Mac CDN 要求： macOS 应用和脚本部署的网络要求
• Android AOSP CDN 要求： Android AOSP 依赖项

更改计划：Apple AI 功能的新设置;Genmojis， 写入工具， 屏幕捕获

目前，当应用保护策略 (应用) “将组织数据发送到其他应用”设置配置为“所有应用”以外的值时，将阻止用于 Genmojis、写入工具和屏幕捕获的 Apple AI 功能。 有关当前配置、应用要求和当前 Apple AI 控制列表的更多详细信息，请查看博客：Microsoft Intune Apple Intelligence 的支持

在即将发布的版本中，Intune应用保护策略具有用于阻止屏幕捕获、Genmojis 和写入工具的新独立设置。 对于 Xcode 15 和 20.4.0 或更高版本，Intune App SDK 和 App Wrapping Tool，这些应用支持这些独立设置已更新到版本 19.7.12 或更高版本。

此更改对你或你的用户有何影响？

如果将应用“将组织数据发送到其他应用”设置配置为“所有应用”以外的值，则新的“Genmoji”、“写入工具”和“屏幕捕获”设置将设置为应用保护策略中的 “阻止 ”，以防止更改当前用户体验。

如何准备?

如果想要更精细地控制阻止或允许特定 AI 功能，请查看并更新应用保护策略。 (应用>保护>选择策略>属性>基本>应用>数据保护)

更改计划：iOS 上的用户警报，了解何时阻止屏幕捕获作

在即将推出的版本 (20.3.0) Intune App SDK 和适用于 iOS 的 Intune App Wrapping Tool 中，在托管应用中检测到屏幕捕获作 (包括录制和镜像) 时，将添加支持以提醒用户。 仅当已配置应用保护策略 (应用) 阻止屏幕捕获时，才会向用户显示警报。

此更改对你或你的用户有何影响？

如果 APP 已配置为阻止屏幕捕获，则用户在尝试屏幕截图、屏幕记录或屏幕镜像时会看到一条警报，指示其组织阻止了屏幕捕获作。

对于已更新到最新Intune应用 SDK 或Intune App Wrapping Tool版本的应用，如果将“将组织数据发送到其他应用”配置为“所有应用”以外的值，则会阻止屏幕捕获。 若要允许 iOS/iPadOS 设备的屏幕捕获，请将托管应用应用配置策略设置“com.microsoft.intune.mam.screencapturecontrol”配置为 “禁用”。

如何准备?

更新 IT 管理员文档，并根据需要通知支持人员或用户。 可以在博客中详细了解如何阻止屏幕捕获： iOS/iPadOS MAM 保护应用的新块屏幕捕获

移动到适用于 Windows Autopilot 自部署模式和预预配的新 Microsoft Graph Beta API 属性

在 2025 年 5 月下旬 () 年 3 月，将删除一些用于 Windows Autopilot 自部署模式和预预配的旧Microsoft Graph Beta API windowsAutopilotDeploymentProfile 属性，并停止工作。 可以使用较新的图形 API属性找到相同的数据。

此更改对你或你的用户有何影响？

如果你有使用以下 Windows Autopilot 属性的自动化或脚本，则必须更新到新属性以防止它们中断。

如何准备?

更新自动化或脚本，以使用新的 图形 API 属性以避免部署问题。

其他信息：

• windowsAutopilotDeploymentProfile 资源类型 - Microsoft Graph Beta |Microsoft Learn
• azureADWindowsAutopilotDeploymentProfile 资源类型 - Microsoft Graph Beta 版 |Microsoft Learn
• outOfBoxExperienceSettings 资源类型 - Microsoft Graph Beta |Microsoft Learn

更改计划：在最新的 Intune App SDK for iOS 和适用于 iOS 的 Intune App Wrapping Tool 中阻止屏幕捕获

我们最近发布了Intune应用 SDK 和Intune App Wrapping Tool的更新版本。 这些版本 (v19.7.5+ for Xcode 15 和 v20.2.0+ for Xcode 16) 支持阻止屏幕捕获、Genmojis 和编写工具以响应 iOS/iPadOS 18.2 中的新 AI 功能。

此更改对你或你的用户有何影响？

对于已更新到最新Intune应用 SDK 或Intune App Wrapping Tool版本的应用，如果将“将组织数据发送到其他应用”配置为“所有应用”以外的值，将阻止屏幕截图。 若要允许 iOS/iPadOS 设备的屏幕捕获，请将 托管应用应用配置策略 设置“com.microsoft.intune.mam.screencapturecontrol”配置为 “禁用”。

如何准备?

查看应用保护策略，并根据需要创建托管应用应用配置策略以允许屏幕捕获，方法是在“常规配置) ”下配置上述设置 (应用>应用配置策略>创建>托管应用>步骤 3“设置”。 有关详细信息，请查看 iOS 应用保护策略设置 - 数据保护 和 应用配置策略 - 托管应用。

采取措施：更新到适用于 iOS 的最新 Intune App SDK 和适用于 iOS 的 Intune App Wrapping Tool

若要支持即将发布的 iOS/iPadOS 18.2 版本，请更新到最新版本的 Intune App SDK 和 Intune App Wrapping Tool，以确保应用程序保持安全并顺利运行。 重要： 如果不更新到最新版本，某些应用保护策略在某些情况下可能不适用于你的应用。 有关具体影响的详细信息，请查看以下 GitHub 公告：

• 适用于 iOS 的 SDK： 建议在 iOS 18.2 正式发布之前更新 - microsoftconnect/ms-intune-app-sdk-ios - 讨论 #495
• 适用于 iOS 的包装器： 建议在 iOS 18.2 正式发布之前更新 - microsoftconnect/intune-app-wrapping-tool-ios - 讨论 #128

最佳做法是始终将 iOS 应用更新为最新的应用 SDK 或App Wrapping Tool，以确保应用继续顺利运行。

此更改对你或你的用户有何影响？

如果你有使用 Intune App SDK 或 Intune App Wrapping Tool 的应用程序，则需要更新到最新版本以支持 iOS 18.2。

如何准备?

对于在 iOS 18.2 上运行的应用，必须更新到适用于 iOS 的 Intune App SDK 的新版本：

• 对于使用 XCode 15 生成的应用，请使用 v19.7.6 - 版本 19.7.6 - microsoftconnect/ms-intune-app-sdk-ios - GitHub
• 对于使用 XCode 16 生成的应用，请使用 v20.2.1 - 版本 20.2.1 - microsoftconnect/ms-intune-app-sdk-ios - GitHub

对于在 iOS 18.2 上运行的应用，必须更新到适用于 iOS 的Intune App Wrapping Tool的新版本：

• 对于使用 XCode 15 生成的应用，请使用 v19.7.6 - 版本 19.7.6 - microsoftconnect/intune-app-wrapping-tool-ios - GitHub
• 对于使用 XCode 16 生成的应用，请使用 v20.2.1 - 版本 20.2.1 - microsoftconnect/intune-app-wrapping-tool-ios - GitHub

更改计划：特定应用配置值将自动发送到特定应用

从 Intune 的 9 月 (2409) 服务版本开始，IntuneMAMUPN、IntuneMAMOID 和 IntuneMAMDeviceID 应用配置值将自动发送到以下应用的Intune注册 iOS 设备上的托管应用程序：Microsoft Excel、Microsoft Outlook、Microsoft PowerPoint、Microsoft Teams 和 Microsoft Word。 Intune将继续展开此列表以包括其他托管应用。

此更改对你或你的用户有何影响？

如果未为 iOS 设备正确配置这些值，则可能是策略未传递到应用，或者传递了错误的策略。 有关详细信息，请参阅支持提示：在极少数情况下，iOS/iPadOS 用户无用户设备上的Intune MAM 用户可能会被阻止。

如何准备?

无需执行其他作。

更改计划：为 SCEP 和 PKCS 证书实现强映射

在 2022 年 5 月 10 日 Windows 更新 (KB5014754) 中，对 Windows Server 2008 及更高版本中的 Active Directory Kerberos 密钥分发 (KDC) 行为进行了更改，以缓解与证书欺骗相关的特权提升漏洞。 Windows 在 2025 年 2 月 11 日强制实施这些更改。

为了准备此更改，Intune发布了包含安全标识符的功能，以强映射 SCEP 和 PKCS 证书。 有关详细信息，请查看博客：支持提示：在Microsoft Intune证书中实现强映射。

此更改对你或你的用户有何影响？

这些更改会影响Intune为Microsoft Entra混合加入的用户或设备提供的 SCEP 和 PKCS 证书。 如果证书无法进行强映射，身份验证将被拒绝。 若要启用强映射，请：

• SCEP 证书：将安全标识符添加到 SCEP 配置文件。 我们强烈建议使用少量设备进行测试，然后慢慢推出更新的证书，以最大程度地减少对用户的干扰。
• PKCS 证书：更新到最新版本的证书连接器，更改注册表项以启用安全标识符，然后重启连接器服务。 重要： 在修改注册表项之前，请查看如何更改注册表项以及如何备份和还原注册表。

有关详细步骤和其他指导，请查看博客：支持提示：在Microsoft Intune证书中实现强映射

如何准备?

如果将 SCEP 或 PKCS 证书用于Microsoft Entra混合加入的用户或设备，则需要在 2025 年 2 月 11 日之前采取措施，以便：

• (推荐) 查看博客中所述的步骤启用强映射：支持提示：在Microsoft Intune证书中实现强映射
• 或者，如果在 2025 年 2 月 11 日之前无法续订所有证书（包括 SID），请通过调整注册表设置来启用兼容模式，如 KB5014754 中所述。 兼容模式有效期至 2025 年 9 月。

更新到 Android 15 支持的最新Intune应用 SDK 和Intune应用包装器

我们最近发布了适用于 Android 的 Intune App SDK 和 Intune App Wrapping Tool 的新版本，以支持 Android 15。 建议将应用升级到最新的 SDK 或包装器版本，以确保应用程序保持安全并顺利运行。

此更改对你或你的用户有何影响？

如果你有使用 Intune App SDK 或适用于 Android Intune App Wrapping Tool 的应用程序，建议将应用更新到最新版本以支持 Android 15。

如何准备?

如果选择生成面向 Android API 35 的应用，则需要采用适用于 Android (v11.0.0) 的 Intune App SDK 的新版本。 如果已包装应用并面向 API 35，则需要使用新版本的应用包装器 (v1.0.4549.6) 。

还应计划更新文档或开发人员指南（如果适用）以包括此更改，以支持 SDK。

下面是公共存储库：

• 适用于Android 的 Intune 应用 SDK
• 适用于 Android 的Intune App Wrapping Tool

更改计划：Intune正在转向支持 iOS/iPadOS 16 及更高版本

在 2024 年晚些时候，我们预计 iOS 18 和 iPadOS 18 将由 Apple 发布。 Microsoft Intune（包括Intune 公司门户和Intune应用保护策略） (APP（也称为 MAM) ）在 iOS/iPadOS 18 发布后不久需要 iOS 16/iPadOS 16 及更高版本。

此更改对你或你的用户有何影响？

如果你正在管理 iOS/iPadOS 设备，则设备可能无法升级到 iOS 16/iPadOS 16) (支持的最低版本。

鉴于 iOS 16/iPadOS 16 及更高版本支持Microsoft 365 移动应用，此更改可能不会对你造成影响。 你可能已经升级了 OS 或设备。

若要检查哪些设备支持 iOS 16 或 iPadOS 16 (（如果适用) ），请参阅以下 Apple 文档：

• 支持的 iPhone 型号
• 支持的 iPad 型号

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备，请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备，请转到“应用>监视器>应用保护状态”，并使用“平台和平台版本”列进行筛选。

若要管理组织中支持的 OS 版本，可以对 MDM 和 APP 使用Microsoft Intune控件。 有关详细信息，请参阅 使用 Intune 管理操作系统版本。

更改计划：Intune今年晚些时候将转向支持 macOS 13 及更高版本

在 2024 年晚些时候，我们预计 macOS 15 红杉将由苹果发布。 Microsoft Intune、公司门户 应用和Intune移动设备管理代理支持 macOS 13 及更高版本。 由于适用于 iOS 和 macOS 的 公司门户 应用是统一应用，因此此更改将在 macOS 15 发布后不久发生。 这不会影响现有的已注册设备。

此更改对你或你的用户有何影响？

仅当当前管理或计划使用Intune管理 macOS 设备时，此更改才会影响你。 此更改可能不会影响你，因为你的用户可能已升级其 macOS 设备。 有关受支持的设备列表，请参阅 macOS Ventura 与这些计算机兼容。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列，以帮助确定组织中谁拥有运行 macOS 12.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。

Intune在 2024 年 10 月转向支持 Android 10 及更高版本以使用基于用户的管理方法

2024 年 10 月，Intune支持 Android 10 及更高版本用于基于用户的管理方法，其中包括：

• Android Enterprise 个人拥有的工作配置文件
• Android Enterprise 公司拥有的工作配置文件
• Android Enterprise 完全托管设备
• 基于用户的 Android 开源项目 (AOSP)
• Android 设备管理员
• 应用) (应用保护策略
• 托管应用 (ACP) 的应用配置策略

今后，我们将在 10 月终止对一个或两个版本的支持，直到仅支持 Android 的最新四个主要版本。 可以通过阅读博客来了解有关此更改的详细信息：Intune 2024 年 10 月迁移到支持 Android 10 及更高版本以使用基于用户的管理方法。

此更改对你或你的用户有何影响？

对于上面列出的基于用户的管理方法 () ，不支持运行 Android 9 或更低版本的 Android 设备。 对于不受支持的 Android OS 版本的设备：

• Intune不提供技术支持。
• Intune不会对 bug 或问题进行更改。
• 不能保证新功能和现有功能正常工作。

虽然Intune不会阻止在不支持的 Android OS 版本上注册或管理设备，但无法保证功能，因此不建议使用。

如何准备?

如果适用，请通知支持人员此更新的支持声明。 以下管理员选项可用于帮助警告或阻止用户：

• 为具有最低 OS 版本要求的应用配置 条件启动 设置，以警告和/或阻止用户。
• 使用设备符合性策略并设置不合规作，以向用户发送消息，然后再将其标记为不符合。
• 设置 注册限制 以防止在运行旧版本的设备上注册。

有关详细信息，请查看：使用 Microsoft Intune 管理作系统版本。

更改计划：基于 Web 的设备注册将成为 iOS/iPadOS 设备注册的默认方法

目前，在创建 iOS/iPadOS 注册配置文件时，“使用 公司门户 进行设备注册”显示为默认方法。 在即将发布的服务版本中，在配置文件创建期间，默认方法将更改为“基于 Web 的设备注册”。 此外，对于 新 租户，如果未创建注册配置文件，用户将使用基于 Web 的设备注册进行注册。

此更改对你或你的用户有何影响？

这是创建新的 iOS/iPadOS 注册配置文件时用户界面的更新，以将“基于 Web 的设备注册”显示为默认方法，现有配置文件不受影响。 对于 新 租户，如果未创建注册配置文件，用户将使用基于 Web 的设备注册进行注册。

如何准备?

根据需要更新文档和用户指南。 如果当前将设备注册与 公司门户 配合使用，建议迁移到基于 Web 的设备注册并部署 SSO 扩展策略以启用 JIT 注册。

其他信息：

• 在 Microsoft Intune 中设置实时注册
• 为 iOS 设置基于 Web 的设备注册

更改计划：Intune 2024 年 12 月终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持

Google 已弃用 Android 设备管理员管理，继续删除管理功能，不再提供修复或改进。 由于这些更改，Intune将从 2024 年 12 月 31 日起终止对有权访问 Google 移动服务 (GMS) 设备上 Android 设备管理员管理的支持。 在此之前，我们支持在运行 Android 14 及更早版本的设备上管理设备管理员。 有关详细信息，请阅读博客：Microsoft Intune在具有 GMS 访问权限的设备上终止对 Android 设备管理员的支持。

此更改对你或你的用户有何影响？

Intune终止对 Android 设备管理员的支持后，有权访问 GMS 的设备将通过以下方式受到影响：

1. Intune不会对 Android 设备管理员管理进行更改或更新，例如 bug 修复、安全修复或解决新 Android 版本中的更改的修补程序。
2. Intune技术支持将不再支持这些设备。

如何准备?

停止将设备注册到 Android 设备管理员，并将受影响的设备迁移到其他管理方法。 可以检查Intune报告，以查看哪些设备或用户可能受到影响。 转到 “设备>所有设备 ”，将 OS 列筛选到 Android (设备管理员) 以查看设备列表。

阅读博客，Microsoft Intune终止对具有 GMS 访问权限的设备上的 Android 设备管理员的支持，了解我们推荐的替代 Android 设备管理方法，以及有关无法访问 GMS 的设备的影响的信息。