Microsoft Intune 新增功能

了解 Microsoft Intune 每周新增功能。

还可以阅读：

• 重要声明
• 新增功能存档中的过去版本
• 有关如何发布Intune服务更新的信息

可以使用 RSS 以在更新此页面时收到通知。 有关详细信息，请参 如何使用文档。

2025 年 12 月 8 日当周

设备注册

适用于 iOS/iPadOS 和 macOS 注册的 ACME 协议支持

当我们准备在 Intune 中支持托管设备证明时，我们将开始为新注册分阶段推出基础结构更改，其中包括对自动证书管理环境 (ACME) 协议的支持。 现在，当新的 Apple 设备注册时，Intune的管理配置文件将接收 ACME 证书而不是 SCEP 证书。 ACME 通过可靠的验证机制和自动化流程为 SCEP 提供比 SCEP 更好的保护，防止未经授权的证书颁发，有助于减少证书管理中的错误。

现有 OS 和硬件合格设备不会获得 ACME 证书，除非它们重新注册。 最终用户的注册体验没有变化，Microsoft Intune管理中心也没有任何更改。 此更改仅影响注册证书，不会影响任何设备配置策略。

ACME 支持 Apple 设备注册 (BYOD) 、Apple Configurator 注册和自动设备注册 (ADE) 方法。 符合条件的 OS 版本包括：

• iOS 16.0 或更高版本

• iPadOS 16.1 或更高版本

• macOS 13.1 或更高版本

新的设置助理屏幕现已正式发布，适用于 iOS/iPadOS 和 macOS 自动设备注册配置文件

在自动设备注册期间，可以隐藏或显示 12 个新的设置助理屏幕 (ADE) 。 默认设置是在设置助理中显示这些屏幕。

可以在 iOS/iPadOS 注册期间跳过的屏幕以及适用的版本包括：

• App Store (iOS/iPadOS 14.3+)
• (iOS/iPadOS 18+) 的相机按钮
• web 内容筛选 (iOS/iPadOS 18.2+)
• 安全和处理 (iOS/iPadOS 18.4+)
• 多任务 (iOS/iPadOS 26+)
• os 展示 (iOS/iPadOS 26+)

可以在 macOS 注册期间跳过的屏幕包括：

• App Store (macOS 11.1+)
• (macOS 15+) 入门
• 软件更新 (macOS 15.4+)
• 其他隐私设置 (macOS 26+)
• os 展示 (macOS 26.1+)
• 更新已完成 (macOS 26.1+)
• (macOS 15+) 入门

有关可用设置助理跳过键的详细信息，请参阅：

• 为 iOS/iPadOS 设置自动设备注册
• 为 macOS 设置自动设备注册

2025 年 12 月 1 日当周

应用管理

Intune (公共预览版) 管理的安全企业浏览器

Microsoft Intune现在支持将Microsoft Edge 商业版作为安全企业浏览器进行策略管理。 通过Intune实施策略，管理员可以自信地从基于 Windows 的桌面环境过渡到安全的基于浏览器的工作流，无需设备注册即可访问公司资源。

有关详细信息，请参阅使用 Microsoft Edge 商业版 保护 Intune 中的公司数据。

2025 年 11 月 17 日当周

设备注册

为组织配置Windows 备份

适用于组织的Windows 备份已在 Microsoft Intune 中正式发布。 使用此功能，你可以备份组织的 Windows 设置，并在已加入Microsoft Entra的设备上还原它们。 备份设置可在Microsoft Intune管理中心设置目录中配置，而允许还原设备的租户范围设置在管理中心的“注册”下提供。 有关此功能的详细信息，请参阅 Microsoft Intune 中的组织的Windows 备份。

设备管理

Intune代理中的Security Copilot可用于公共预览版

Intune中的Security Copilot代理是 AI 驱动的助手，专门处理特定方案。 Intune代理在 Intune 管理中心>代理中可用，可供Security Copilot用户使用。

以下Intune代理可用：

• 更改评审代理评估 Windows 设备上Windows PowerShell脚本的多管理员审批请求。 它提供基于风险的建议和上下文见解，以帮助管理员了解脚本行为和相关风险。

  这些见解可帮助Intune管理员更快地做出有关是批准还是拒绝请求的明智决策。 此代理支持运行 Windows 的Intune托管设备。

• 设备卸载代理可跨Intune和Microsoft Entra ID识别过时或未对齐的设备。 它提供可作的见解，并在卸载任何设备之前需要管理员批准。 此代理通过显示见解并处理自动清理不够的不明确情况来补充现有的Intune自动化。

  代理支持运行 Windows、iOS/iPadOS、macOS、Android 和 Linux 的Intune托管设备。 在公共预览版期间，管理员可以直接禁用Microsoft Entra ID对象，并提供其他修正步骤作为指导。

• 策略配置代理分析上传的文档或行业基准，并自动识别匹配Intune设置。 管理员可以上传其要求（如合规性标准或内部策略文档），代理智能地显示Intune设置目录中的相关设置。

  代理还会指导你完成策略创建过程，并帮助你配置最适合组织需求的每个设置。 此代理支持运行 Windows 的设备。

若要了解详细信息，请参阅：

• Intune 中的Security Copilot代理

Intune支持 iVerify 作为移动威胁防御合作伙伴

现在，可以将 iVerify Enterprise 用作移动威胁防御合作伙伴， (MTD) 用于运行以下平台的已注册设备：

• Android 9.0 及更高版本
• iOS/iPadOS 15.0 及更高版本

若要了解有关此支持的详细信息，请参阅 设置 iVerify 移动威胁防御连接器。

租户管理

Microsoft Intune (公共预览版) 中管理来自集中管理员任务节点的任务和请求

Intune管理中心中的新管理员任务节点提供了一个集中视图，用于发现、组织和处理安全任务和用户提升请求。 此统一体验位于 租户管理下，支持搜索、筛选和排序，帮助你专注于需要关注的内容，而无需跨多个节点导航。

支持以下任务类型：

• Endpoint Privilege Management文件提升请求
• Microsoft Defender安全任务
• 多管理员审批请求

Intune仅显示你有权管理的任务。 选择任务时，Intune打开从其原始位置管理任务时将使用的相同界面和工作流。 无论从管理任务节点工作还是直接在源功能中工作，这都可确保一致的体验。

有关详细信息，请参阅管理员任务。

2025 年 11 月 10 日 (服务版本 2511)

Microsoft Intune Suite

Endpoint Privilege Management提升请求的范围标记强制实施

查看Endpoint Privilege Management提升请求时，现在会强制实施适用的范围标记。 这意味着管理员可以仅查看和管理属于其分配范围的设备和用户的请求。 此更改有助于维护管理边界和加强安全性。 以前，有权管理提升请求的管理员可以查看所有提升请求，而不考虑范围。

应用管理

托管主屏幕 中提供了更多卷选项

管理员现在可以在适用于 Android Enterprise 专用和完全托管设备的 托管主屏幕 (MHS) 应用中启用更多卷控制。 除了现有的媒体音量控制外，此更新还引入了配置设置，用于显示或隐藏 呼叫、 响铃和通知以及 警报 音量的滑块。

可以通过应用配置策略独立启用每个新选项。 启用后，用户可以直接从 MHS 中的“托管设置”页调整这些特定音量级别，而无需退出展台模式。 此增强功能为任务工作者提供了更大的灵活性，可以管理不同环境的声音级别，同时使设备保持安全锁定状态。

有关详细信息，请参阅配置适用于 Android Enterprise 的 Microsoft 托管主屏幕 应用。

将托管 Google Play 商店模式重置为“基本”

现在，可以在 Intune 管理中心将托管 Google Play 应用商店布局从“自定义”重置为“基本”， (应用>所有应用>创建托管 Google Play 应用) 。

在 “基本” 模式下，用户会自动看到所有已批准的应用。 在 “自定义” 模式下，必须先手动将新批准的应用添加到集合中，然后才能显示在应用商店中。 新的“重置为基本”按钮使管理员无需联系支持人员即可快速还原到基本模式。 选中后，Intune会删除所有现有集合并立即显示成功或失败消息。

有关托管 Google Play 应用商店布局选项的详细信息，请参阅在 Intune 中批准和部署 Android Enterprise 应用。

更新了企业应用管理的服务级别目标

企业应用管理 (EAM) 中提供了服务级别目标 (SLO ) ，以便更清楚地了解企业应用目录中何时提供应用更新。 SLO 处理时间线在Intune首次收到更新的应用包时开始。

大多数应用更新在 24 小时内完成自动验证。 需要手动供应商测试或批准的汇报通常在七天内完成。

有关详细信息，请参阅 企业应用管理概述。

Windows 应用保护的新剪切、复制和粘贴选项

Intune将两个新值添加到“允许剪切、复制和粘贴”以设置 Windows 应用保护策略 (从 Microsoft Edge) 开始，使管理员能够更好地控制数据移动：

• 组织数据目标和任何源：用户可以从任何源粘贴到组织上下文中，并且只能剪切/复制到组织目标。
• 组织数据目标和组织数据源：用户只能在组织上下文中剪切/复制/粘贴。

这些选项将熟悉的移动应用数据传输控制扩展到 Windows，有助于防止非托管设备上的数据泄漏，同时保持工作效率。 有关详细信息，请参阅应用保护策略概述。

设备配置

Android Enterprise 的模板和设置目录中可用的设置

设置目录中现在还支持某些仅在模板中可用的设置。

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

若要创建新的设置目录策略，请转到“设备>管理设备>”“配置>创建新策略>”“>Android Enterprise for platform>”设置目录“，了解配置文件类型。

设置目录中提供了以下设置：

常规：

• 阻止通过蓝牙 (工作配置文件级别) 的联系人共享
• 阻止搜索工作联系人并在个人个人资料中显示工作联系人呼叫者 ID
• 工作配置文件和个人配置文件之间的数据共享
• 跳过首次使用提示

工作配置文件密码：

• 密码还剩多少天到期
• 必须有多少个密码后用户才能重用密码
• 登录失败多少次后擦除设备
• 所需密码类型
  • 最短密码长度
  • 所需的字符数
  • 所需的小写字符数
  • 所需的非字母字符数
  • 所需的数字字符数
  • 所需的符号字符数
  • 所需的大写字符数
• 所需的解锁频率

若要了解有关这些设置的详细信息，请转到 Android Intune设置目录设置列表。

应用于：

• Android Enterprise

Android Enterprise 设置目录中的新助手内容共享设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

有新的设置 (设备>管理设备>配置>创建新>策略>Android Enterprise for platform >设置目录 配置文件类型) ：

• 阻止与特权应用共享辅助内容：如果为 True，此设置将阻止将辅助内容（如屏幕截图和应用详细信息）发送到特权应用（如助手应用）。 此设置可用于阻止 “圆圈到搜索 AI”功能。

有关在 Android 设备上管理 AI 功能的一些指南，请参阅使用 Intune 管理 Android 上的 AI - IT 管理员指南。

应用于：

• 具有工作配置文件 (COPE) > 工作配置文件级别的 Android Enterprise 公司拥有的设备
• Android Enterprise 公司拥有的完全托管 (COBO)
• Android Enterprise 公司拥有的专用设备 (COSU)

设备注册

新的选择加入升级允许现有客户从托管的 Google Play 帐户迁移到Microsoft Entra ID帐户

Microsoft Intune提供了新的选择加入升级，允许现有 Android Enterprise 客户从使用托管的 Google Play 帐户转向使用 Microsoft Entra ID 帐户进行 Android 设备管理。 如果以前使用过使用者 Gmail 帐户，则有资格升级。 此更改简化了加入过程，无需单独的 Gmail 帐户，并利用工作帐户。 不需要此更改。 若要了解有关此更改的详细信息，请参阅：

• 使用 Microsoft Intune 管理 Android Enterprise 设备的新加入流
• 将Intune帐户连接到托管的 Google Play 帐户

删除了不完整的用户注册报告

不完整的用户注册报告已删除，并且不再在 Microsoft Intune 管理中心中正常运行。 还从Microsoft Intune中删除了以下相应的 API：

• getEnrollmentAbandonmentDetailsReport
• getEnrollmentAbandonmentSummaryReport
• getEnrollmentFailureDetailsReport

由于报表已删除，使用这些 Graph API 的脚本或自动化将停止工作。 建议使用注册失败报告代替此报告。 有关详细信息，请参阅 查看注册报告。

设备管理

使用 Intune 中的Security Copilot对资源管理器功能的查询和结果改进

使用 Security Copilot 许可证，可以使用 Intune 中的资源管理器功能查询Intune数据。

创建查询时，会有更多筛选选项。 例如：

• 使用数字运算符的查询允许选择等于、大于和小于值。
• 强制你选择一个选项（如平台）的查询允许你选择多个选项。

在查询结果中，还有更多列可用于查看数据。

若要了解有关此功能的详细信息，请参阅使用自然语言浏览Intune数据并采取措施。

设备管理类型分配筛选器属性支持托管设备的 Android 注册选项

在 Intune 中创建策略时，可以使用分配筛选器根据创建的规则分配策略。 可以使用不同的 属性（如 deviceManagementType）创建规则。

对于托管设备，设备管理 Type 属性支持以下 Android 注册选项：

• 具有 Entra ID 共享模式的公司拥有的专用设备
• 没有 Entra ID 共享模式的公司拥有的专用设备
• 公司拥有的工作配置文件
• 公司拥有的完全托管
• 具有工作配置文件的个人拥有设备
• AOSP 用户关联的设备
• AOSP 无用户设备

若要详细了解分配筛选器和当前可以使用的属性，请参阅：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 在 Microsoft Intune 中创建筛选器时的应用和设备属性、运算符和规则编辑

应用于：

• Android

可用于浏览Intune数据的新提示

可以在 Intune 中使用Security Copilot，使用自然语言浏览与数据相关的新提示。 使用以下新提示查看以下数据：

• 用户和组
• 基于角色的访问控制 (RBAC)
• 审核日志

开始键入请求时，将显示与请求最匹配的提示列表。 还可以继续键入以获取更多建议。

每个查询都会返回 Copilot 摘要，以帮助你了解结果并提供建议。 使用此信息，还可以：

• 将设备或用户从结果添加到组中，以便可以将应用和策略定向到此组。
• 筛选示例查询以查找或生成符合需求的请求。

若要了解详细信息，请参阅使用自然语言浏览Intune数据并采取措施。

设备安全性

Microsoft Defender客户端阻止Microsoft Root Android 设备的隧道访问

Microsoft Tunnel 使用 Microsoft Defender 客户端应用为 Android 设备提供对隧道的访问。 最新版本的 Defender for Endpoint 客户端现在可以检测设备何时获得 root 权限。 如果设备被确定为 root，Defender：

• 将设备的风险类别标记为 “高”
• 立即删除活动隧道连接
• 在确定设备不再使用 root 之前阻止进一步使用 Tunnel
• 向设备用户发送有关设备状态的通知

此功能是 Android 上的 Defender 客户端的一项功能，不能取代 Android 使用Intune合规性策略来管理 Rooted 设备、播放完整性判决和要求设备处于或低于设备威胁级别等设置。

有关 Microsoft Tunnel 功能的详细信息，请参阅 Microsoft Tunnel 概述。

租户管理

软删除Microsoft Entra组现在在 Intune 中可见

此功能目前提供公共预览版。 有关详细信息，请参阅 Microsoft Intune 中的公共预览版。

Microsoft Intune现在在Intune管理中心显示软删除的Microsoft Entra组。 软删除组时，其分配不再适用。 但是，如果还原组，则会自动恢复其以前的分配。

有关详细信息，请参阅在 Microsoft Intune 中包括和排除应用分配。

2025 年 10 月 20 日 (服务版本 2510)

Microsoft Intune Suite

支持Endpoint Privilege Management提升规则中的用户帐户上下文

Endpoint Privilege Management (EPM) 具有提升规则的新选项，该规则使用用户的上下文（而不是虚拟帐户）运行提升的文件。 选项为 “提升为当前用户”。

将 Elevate 作为当前用户 提升类型时，提升的文件或进程在已登录用户自己的帐户下运行，而不是虚拟帐户。 这会保留用户的配置文件路径、环境变量和个性化设置，有助于确保依赖于活动用户配置文件的安装程序和工具正常运行。 由于提升的进程在提升前后维护相同的用户标识，因此审核跟踪保持一致且准确。 在提升之前，用户需要输入其 Windows 身份验证凭据。 此过程支持多重身份验证 (MFA) ，以提高安全性。

有关详细信息，请参阅将 Endpoint Privilege Management 与 Microsoft Intune 配合使用。

用户就绪情况和提升趋势的Endpoint Privilege Management仪表板

现在可以使用 Endpoint Privilege Management (EPM) 仪表板，它提供有关组织中文件提升和趋势的见解，并帮助识别可能准备以标准用户身份运行的用户，以取代使用本地管理员权限运行。

仪表板提供的见解包括：

• 仅具有非托管文件提升的用户
• 同时具有托管文件提升和非托管文件提升的用户
• 仅具有托管提升的用户
• 频繁的非托管提升
• 经常由支持人员批准
• 经常被拒绝的提升

有关仪表板和这些新见解的详细信息，请参阅针对Endpoint Privilege Management的报表中的概述仪表板。

设备配置

设备清单的属性目录中可用的“系统信息”属性

可以创建 属性目录 策略，以便从托管的 Windows 设备收集和查看硬件属性。 系统 信息 类别显示系统级设备见解，如 OS 版本、硬件详细信息和配置状态。

若要了解详细信息和入门，请参阅 属性目录。

Android Enterprise 设置目录中提供的新设置

Android 设置目录中有新设置。 若要创建新的设置目录策略并在Intune管理中心查看这些设置，请转到“设备>管理设备>”“配置>创建新>策略>”“Android Enterprise for platform>”设置目录“，了解配置文件类型。

• Wi-Fi Direct

  • 常规>阻止直接 Wi-Fi：如果 为 True，此设置将阻止 Wi-Fi Direct。 Wi-Fi Direct 是使用 Wi-Fi 频率的设备之间的直接对等连接。 如果为 False，Intune不会更改或更新此设置。 默认情况下，OS 可能允许 Wi-Fi Direct。

  应用于：

  • 具有工作配置文件的 Android Enterprise 公司拥有的设备 (COPE)
  • Android Enterprise 公司拥有的完全托管 (COBO)
  • Android Enterprise 公司拥有的专用设备 (COSU)

• 隐藏组织名称

  “常规>隐藏组织名称”设置支持公司拥有的一次性专用设备。 以前，此设置仅在具有工作配置文件和公司拥有的完全托管设备的公司拥有的设备上受支持。

• 某些仅在模板中可用的设置在设置目录中可用。

  常规：

  • 允许在工作配置文件和个人配置文件之间复制和粘贴
  • 允许网络转义阴影
  • 允许 USB 存储
  • 阻止对状态栏的访问
  • 阻止日期和时间更改
  • 阻止位置
  • 阻止麦克风调整
  • 阻止外部媒体装载
  • 阻止通知窗口
  • 阻止屏幕捕获 (工作配置文件级)
  • 阻止 Wi-Fi 设置更改

若要了解有关这些设置的详细信息，请参阅 Android Intune设置目录设置列表。

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设备注册

编辑托管 Google Play 组织名称

现在，可以直接在“设备>”“Android>注册>托管的 Google Play”下的“Microsoft Intune管理中心”中编辑托管的 Google Play 组织名称。 更新后的名称将在输入时验证，显示在管理中心。 它也可能显示在 Android 设备锁屏界面上，如“ 此设备由 [组织名称] 管理”。 有关详细信息，请参阅将 Intune 帐户连接到托管的 Google Play 帐户。

设备管理

设置目录支持Windows 11 25H2 设置

Windows 11 25H2 的发布包括新的策略配置服务提供程序 (CSP) 。 这些设置可在 设置目录中 进行配置。

若要了解详细信息，请参阅更新Microsoft Intune设置目录以支持新Windows 11版本 25H2 设置博客文章。

若要开始使用设置目录，请参阅：

• 使用Intune设置目录配置设置
• 可以使用设置目录完成的常见任务

适用于 macOS 的 远程帮助 的新客户端版本

对于新的 远程帮助 客户端版本 1.0.2510071，Microsoft Intune现在支持 macOS 26。 早期版本的 远程帮助 客户端与 macOS 26 不兼容。 如果选择加入，则通过Microsoft自动更新 (MAU) 自动更新应用，因此你或你的用户无需执行任何作。 最新的客户端版本解决了以前导致屏幕在首次启动时显示为空白且无法连接的问题。 有关详细信息，请参阅将远程帮助与Microsoft Intune配合使用。

设备安全性

Intune终止对旧版 Apple MDM 软件更新的支持

随着 iOS 26、iPadOS 26 和 macOS 26 的发布，Apple 已弃用旧版移动设备管理 (MDM) 软件更新命令和有效负载。 为了与此更改保持一致，Intune将很快终止对以下基于 MDM 的工作负载的支持：

• iOS/iPadOS 更新策略
• macOS 更新策略
• 中的软件更新设置：
  • iOS/iPadOS 模板>设备限制
  • iOS/iPadOS 设置目录>限制
  • macOS 模板>设备限制
  • macOS 设置目录>限制
  • macOS 设置目录>软件更新
• 报告：
  • iOS/iPadOS 更新安装失败
  • macOS 更新安装失败
  • 每个设备的 macOS 软件更新

这些功能现在通过声明性设备管理 (DDM) 提供，它提供了一种更现代、更可靠的方法来管理 Apple 软件更新。 有关此转换的详细信息，请参阅Intune客户成功博客迁移到 Apple 软件更新的声明性设备管理。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• 按 CareXM 分类的总会审
• Intapp by Intapp Inc.
• ANDPAD by ANDPAD Inc.
• ANDPAD CHAT by ANDPAD Inc.
• ANDPAD 公司的 ANDPAD 检查
• ANDPAD 蓝图由 ANDPAD Inc.

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

注册时间分组失败报告正式适用于 Android 和 Windows

注册时间分组失败报告现已在 Microsoft Intune 管理中心正式发布，其中显示了故障，其中包括在以下过程中未能成为指定静态设备组成员的设备：

• Windows Autopilot 设备准备预配
• Android Enterprise 完全托管设备的注册
• 注册 Android 公司拥有的工作配置文件设备
• Android Enterprise 专用设备的注册

管理中心“设备>监视>注册时间分组失败”下的“注册时间分组失败”下提供了注册时间分组失败报告。 最近更新的信息最多可能需要 20 分钟才能显示在报表中。 有关详细信息，请参阅 Microsoft Intune 中的注册时间分组。

2025 年 10 月 13 日当周

设备管理

Intune 中的Windows 10支持

2025 年 10 月 14 日，Windows 10终止支持，不会收到质量和功能更新。 Windows 10 是 Intune 中允许的版本。 运行此版本的设备仍可以注册Intune并使用符合条件的功能，但无法保证功能并可能有所不同。

有关详细信息，请参阅 Intune 中Windows 10的支持语句。

2025 年 9 月 29 日当周

应用管理

企业应用目录应用的 PowerShell 脚本安装程序支持

现在可以上传 PowerShell 脚本来安装企业应用目录应用，以替代使用命令行。 此选项可让你在部署应用时更加灵活。

有关详细信息，请参阅将企业应用程序目录应用添加到Microsoft Intune。

终止对旧版 Android Intune 公司门户 应用的支持

对低于 5.0.5421.0 的 Android Intune 公司门户版本的支持已于 2025 年 10 月 1 日结束。 运行旧版应用的设备可能不再保持其注册状态，并且可以标记为不符合。

若要使设备保持注册并合规，用户必须从 Google Play 商店下载最新版本的公司门户。

2025 年 9 月 22 日当周

设备安全性

Intune (公共预览版中Security Copilot漏洞修正代理的更新)

我们已为Security Copilot更新漏洞修正代理，并将以下更改添加到正在进行的有限公共预览版：

• 基于角色的访问控制 (适用于Microsoft Defender的 RBAC) - 我们更新了 RBAC 指南，以反映如何在 Microsoft Defender XDR 中实现 RBAC。 现在为使用 统一 RBAC 的配置提供了指导，这些配置 (跨服务) 的一组权限，以及针对每个服务) 的精细 RBAC (自定义权限。

  使用精细的 RBAC 配置时，请确保代理标识的范围在Microsoft Defender，以包括所有相关设备组。 代理无法访问或报告超出其分配范围的设备。

• 代理标识 - 现在可以 手动更改代理用作其标识的帐户。 在“代理 设置” 选项卡中，选择“ 选择其他标识 ”以打开登录提示。 输入新帐户并对其进行身份验证。 确保新帐户具有访问Microsoft Defender漏洞修正数据的足够权限。

  对代理标识的更改不会影响代理的运行历史记录，该历史记录仍然可用。

这些更新为使用预览版漏洞修正代理的组织提供了更大的灵活性和控制力。 若要详细了解此代理，请参阅 Microsoft Intune 中用于Security Copilot的漏洞修正代理。

2025 年 9 月 15 日 (服务版本 2509)

设备配置

按策略类型筛选设备配置文件

在“Intune管理中心>设备>配置>策略”选项卡中，可以使用“添加筛选器”功能按平台、范围标记和上次修改日期筛选策略列表。

“添加筛选器”功能中提供了策略类型。 因此，可以按策略类型（如设置目录、自定义、设备限制和其他策略类型）筛选策略列表。

若要详细了解如何查看和监视现有配置文件，请参阅在 Microsoft Intune 中查看和监视设备配置策略。

Apple 设置目录中提供的新天零设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

托管设置 > 默认应用程序：

• 通话
• 消息传递

限制:

• 允许的相机限制捆绑 ID

Web > Web 内容筛选器：

• 已启用 Safari 历史记录保留

macOS

认证 >可扩展单一登录 Kerberos：

• 使用平台 SSO TGT

Microsoft Defender：

• Microsoft Defender类别已使用新设置进行更新。 若要详细了解可用的 macOS Defender 设置，请参阅 Microsoft Defender - 策略。

限制:

• 允许呼叫录制
• 允许实时语音邮件

Web > Web 内容筛选器：

• 已启用 Safari 历史记录保留

Android Enterprise 的模板和设置目录中可用的设置

设置目录中现在还支持某些仅在模板中可用的设置。

设置目录列出了可在设备策略中配置的所有设置，并在一个位置列出所有设置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

若要创建新的设置目录策略，请转到“设备>管理设备>”“配置>创建新策略>”“>Android Enterprise for platform>”设置目录“，了解配置文件类型。

设置目录中有以下设置：

应用程序：

• 允许从未知源安装
• 应用自动更新 (工作配置文件级别)

常规：

• 阻止漫游数据服务

• 阻止蓝牙配置

• 阻止 Wi-Fi 接入点配置

• 默认权限策略

• 阻止访问相机

• 允许访问开发人员设置

• 使用 NFC (工作配置文件级别) 阻止从应用传送数据

  此设置在 A10 中已弃用。 虽然它仍可在较新的设备上正确配置，但它不起作用，因为该功能不可用。

• 阻止恢复出厂设置

• 阻止网络共享和访问热点

• 阻止卷更改

  此设置显示为已成功应用于具有工作配置文件的公司拥有的设备，但它不起作用。

系统安全性：

• 要求对应用进行威胁扫描
• 需要通用条件模式

用户和帐户：

• 用户可以 (工作配置文件级别) 配置凭据
• 阻止帐户更改

若要了解有关这些设置的详细信息，请参阅 Android Intune设置目录设置列表。

设备管理

设备类别管理支持多管理员审批

Intune设备类别支持多管理员审批。 启用多管理员审批后，对设备类别的更改（包括创建新类别、编辑或删除更改）需要另一位管理员批准更改，然后才能应用更改。 这种双重授权过程有助于保护组织免受未经授权或意外的基于角色的访问控制更改。

有关多个管理审批的详细信息，请参阅在Intune中使用多个管理审批。

Android Enterprise 设置目录中的新专用空间和 USB 访问设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

有新的设置 (设备>管理设备>配置>创建新>策略>Android Enterprise for platform >设置目录 配置文件类型) ：

• 阻止专用空间：设置为 True 时，将阻止用户在设备上创建或使用专用空间。 删除所有现有的专用空间。

  应用于：

  • 具有工作配置文件的 Android Enterprise 公司拥有的设备 (COPE)

• USB 访问：允许管理员选择可以通过 USB 传输的文件和/或数据。 如果管理员阻止文件传输，则仅阻止传输文件。 允许其他连接，例如鼠标。 如果管理员阻止 USB 数据传输，则会阻止所有数据。

  应用于：

  • 具有工作配置文件的 Android Enterprise 公司拥有的设备 (COPE) (工作配置文件级别)
  • Android Enterprise 公司拥有的完全托管 (COBO)
  • Android Enterprise 公司拥有的专用设备 (COSU)

有关可在设置目录中配置的现有设置的列表，请参阅Intune设置目录中的 Android Enterprise 设备设置列表。

可用于浏览Intune数据的新提示

可以在 Intune 中使用Microsoft Copilot，使用自然语言浏览与Intune数据相关的新提示。 使用以下新提示查看以下数据：

• Android 和 Apple 设备更新
• Windows Autopilot
• Endpoint Privilege Management
• 高级分析

开始键入请求时，将显示与请求最匹配的提示列表。 还可以继续键入以获取更多建议。

每个查询都会返回 Copilot 摘要，以帮助你了解结果并提供建议。 使用此信息，还可以：

• 将设备或用户从结果添加到组中，以便可以将应用和策略定向到此组。
• 筛选示例查询以查找或生成符合需求的请求。

若要了解详细信息，请参阅使用自然语言浏览Intune数据并采取措施。

Intune合作伙伴门户中的 Intel vPro Fleet Services 集成

Microsoft Intune现在与 Intel vPro Fleet 服务集成，将硬件级远程管理直接引入Intune体验。 此解决方案使 IT 管理员能够安全地管理、恢复和排查 Intel vPro 设备问题，即使作系统无响应或设备已关闭也是如此。 使用Microsoft Entra ID单一登录，团队无需更多基础结构或许可即可获得经过身份验证的访问权限。

主要功能包括：

• 通过 Intel Active Management Technology (AMT) 进行硬件级 BIOS 和 OS 恢复
• Intune中的集中式工作流
• 增强的安全性和访问控制
• 与 Intel vPro 设备的广泛兼容性 (2018 或更高版本)

此集成简化了终结点管理，提高了运营效率，并可扩展以支持不同的设备群。

设备清单 (以前是资源浏览器)

“监视 Windows 设备”下的“资源资源管理器”窗格现在称为“设备清单”。 只有名称已更改-体验和数据保持不变。

Intune文档中的引用和Intune管理中心已更新，以反映新名称。

Copilot for Microsoft Intune 中的新增功能

• 更轻松地访问Copilot 对话助手 - Copilot 对话助手直接嵌入到 Intune 管理中心标头中。 因此，IT 管理员可以从管理中心的任何屏幕访问Copilot 对话助手。 此功能可帮助管理员更快地获得见解和支持。

• 使用Copilot 对话助手进行上下文感知对话 - 键入时，动态提示框提供实时建议，并建议与尝试询问的内容相关的提示。 你可以对设备进行故障排除、管理策略、探索Windows 365功能等。 还可以直接访问Microsoft文档了解详细信息。

  Copilot 对话助手会保留你的对话历史记录，并在你浏览管理中心时保持上下文感知。 这种连续性有助于最大程度地减少重复提示。

• 扩展了对Windows 365 云电脑的支持 - 通过此正式版更新，Copilot 现在支持Windows 365 云电脑管理。 IT 管理员可以访问重要信息，例如许可状态、连接质量、配置详细信息和性能指标。 此功能使管理员能够更轻松地直接从Intune管理中心监视和管理云电脑。

若要详细了解 Intune 中的 Copilot 并开始使用，请参阅 Intune 中的Microsoft Copilot。

Intune支持 iOS/iPadOS 17.x 作为最低版本

苹果发布了 iOS 26 和 iPadOS 26。 在此版本中，Microsoft Intune（包括 (APP 的Intune 公司门户和应用保护策略，也称为 MAM) ）现在需要 iOS/iPadOS 17 或更高版本。

有关此更改的详细信息，请参阅规划更改：Intune正在迁移以支持 iOS/iPadOS 17 及更高版本。

Intune支持 macOS 14.x 作为最低版本

苹果发布了 macOS 26 (Tahoe) 。 在此版本中，Microsoft Intune、公司门户应用和Intune MDM 代理现在需要 macOS 14 (Sonoma) 或更高版本。

有关此更改的详细信息，请参阅规划更改：Intune正在迁移以支持 macOS 14 及更高版本。

有关支持的作系统版本列表，请参阅 Intune 中支持的作系统和浏览器。

设备安全性

新的安全基线更新体验

Intune安全基线更新体验针对较新版本的安全基线进行了更新。 通过此更改，将 2023 年 5 月之后创建的安全基线更新为同一基线的最新版本时，现在有两个选项来帮助自动配置更新的基线：

• 保留自定义项 - 使用此选项，Intune将从要升级到新基线模板的原始基线应用所有设置自定义项。 结果是新的基线实例保留 (包括) 组织的所有特定修改。
• 放弃自定义项 - 使用此选项，Intune创建使用新基线版本的新“默认”基线实例。 该基线中的每个设置都使用基线默认值，并且不会自动应用任何设置自定义项。

通过这两个选项，你的决策将应用于该基线的新配置文件实例，该实例使用最新基线版本。 此新配置文件不会包含原始配置文件的范围标记或分配，可以在创建新配置文件后稍后添加这些标记或分配。 此更改使你有时间根据需要配置其他设置，然后再分配更新的配置文件并开始将最新的基线版本部署到设备。 同时，原始基线保持不变并保持活动状态。 但是，其设置配置将变为只读。

有关详细信息，请参阅在 Microsoft Intune 中管理安全基线配置文件中的将基线配置文件更新到最新版本。

公司门户支持 Purebred 的新派生凭据体验

苹果发布了 iOS 26 和 iPadOS 26。 通过此更新，Purebred (版本 3) 引入了新的和改进的派生凭据体验。 作为第零天支持的一部分，公司门户支持 Purebred 的更新工作流。

• 如果你的组织计划继续使用旧版 Purebred，则 Purebred 或 公司门户 中的派生凭据体验不会发生任何更改，即使升级到最新版本的 公司门户也是如此。
• 如果你的组织计划升级到新版本的 Purebred，请确保更新到公司门户版本 5.2509.0 以确保兼容性。

监视和疑难解答

提供有关多个设备查询的反馈

使用多设备查询页上的新反馈功能提交有关多个设备查询的反馈。

2025 年 9 月 8 日当周

设备安全性

javaScript WebSocket 支持与 Microsoft Tunnel for Mobile Application Management for iOS

Microsoft Tunnel for Mobile Application Management (MAM) for iOS 现在支持来自 Web 视图的 JavaScript WebSocket。 此支持有助于改进需要依赖于 WebSocket 的实时通信的应用的通信。

虽然现在支持 JavaScript WebSocket，但 MAM iOS 的 Tunnel 不支持本机 WebSocket API 或依赖它们的应用。

有关详细信息，请参阅 Microsoft Tunnel for Mobile Application Management for iOS/iPadOS 管理员指南。

2025 年 9 月 1 日当周

设备管理

在 Windows OOBE 期间安装 Windows 安全更新的注册状态页支持

默认情况下， (OOBE) 的 Windows 开箱即用体验会安装最新的可用安全更新，以帮助确保设备从第一天起就安全且处于最新状态。 Intune和 Windows Autopilot 方案通过Intune注册状态页 (ESP) 配置使用 Windows OOBE。 Intune是指这些安全更新 Windows 质量更新。

为了帮助你管理此行为，我们更新了“Intune注册状态”页，其中包含可用于允许或阻止自动安装这些更新的新设置。

新设置为 “安装 Windows 质量更新”。 这些安全更新（在 Intune 中也称为 Windows 质量更新）默认安装在 Intune 和 Windows Autopilot 使用的 Windows 现成体验 OOBE 期间。

默认情况下，在创建的所有新 ESP 配置文件中，此设置设置为 “是 ”，这会导致安装最新的安全更新。 在以前创建的所有 ESP 配置文件中，此设置将设置为 “否 ”，直到你选择编辑这些配置文件来更改它。 当设置为 “否”时，OOBE 不会安装更新，这可能会让你的内部团队有时间测试更新，然后再允许他们在预配的新设备上安装更新。

有关Intune注册状态页的详细信息，请参阅设置注册状态页。 有关 Windows 质量更新的信息，请参阅 Windows 质量更新策略。

设备安全性

来自Security Copilot漏洞修正Intune代理的设备配置建议

为了帮助减少组织针对漏洞的攻击面，Security Copilot漏洞修正Intune代理现在为与报告漏洞相关的设置提供了建议的配置。

在为报告漏洞选择 “代理建议 ”后，可以找到建议的配置，这会打开“ 建议的作 ”窗格。 在建议的作窗格中，有一个新部分的信息标题为 “配置”。

如果Intune设置目录包含针对所报告漏洞的相关设置，则“配置”部分提供信息来帮助你配置设备策略。 这些策略有助于最大程度地降低该漏洞的未来风险，包括：

• 与当前漏洞相关的设置列表，这些设置可以通过Intune设置目录策略进行部署。 仅列出与漏洞相关的特定设置。
• 每个设置都提供建议的配置。
• 选择设置旁边的引文图标会显示该设置说明。 说明还可以包含指向设置所表示的配置服务提供程序 (CSP) 内容的链接。

如果没有建议的设备配置设置要部署，“配置”部分指示没有可用的建议设置目录策略配置。

若要详细了解代理建议、修正指南和新的建议配置，请参阅使用漏洞修正代理中的代理建议。

2025 年 8 月 25 日当周

应用管理

托管主屏幕上的 Android Enterprise 专用设备无需登录的脱机模式和应用访问

托管主屏幕 (Android Enterprise 专用设备的 MHS) 现在支持两项新功能：脱机模式和无需登录的应用访问。

• 脱机模式 – 允许用户在设备脱机或无法连接到网络时访问指定的应用。 在恢复连接后，可以在要求用户登录之前配置宽限期。
• 无需登录即可访问应用 – 允许用户通过 MHS 顶部栏从 MHS 登录屏幕启动特定应用，而不考虑网络状态。 此功能对于需要立即可用的应用（例如技术支持或紧急工具）非常有用。

这些功能专为在Microsoft Entra共享设备模式下注册的专用设备而设计，可通过设备配置策略进行配置。

2025 年 8 月 18 日 (服务版本 2508)

应用管理

Android 应用配置策略支持新的变量值

Intune中的 Android Enterprise 应用配置策略现在支持更多变量值。 新值包括帐户名称、设备名称、员工 ID、MEID、序列号和序列号的最后四位数字。

有关详细信息，请参阅 配置值支持的变量。

设备配置

用户和设备组的托管安装程序支持

托管安装程序策略已更新，以使用一个或多个单独的策略添加针对单个用户和设备组的功能。 到目前为止，托管安装程序策略是应用于所有 Windows 设备的租户范围配置。 通过此更新，现在可以将单独的策略分配给不同的设备组，从而为你提供更大的灵活性。

如果以前有一个租户范围的托管安装程序策略有效，该策略仍可用于所有设备的组分配。 此重新配置等效于以前具有的租户范围配置。 可以选择使用该转换的策略，或实现具有更精细控制的新策略。

有关配置和使用托管安装程序的详细信息，请参阅 托管安装程序入门。

设置目录中的新 Windows 设置

Intune设置目录列出了可以配置的所有设置，所有设置都位于一个位置。 Windows 设置目录中有新设置 (设备>管理设备>配置>创建新>策略>Windows 10以及配置文件类型) 的平台>设置目录的更高版本。

Microsoft Edge 管理模板策略更新：

• v138 - Intune支持以下新的 ADMX 支持策略：

  Setting	Csp
  Microsoft Edge>允许页面使用内置 AI API	BuiltInAIAPIsEnabled
  Microsoft Edge>控制对历史记录中 AI 增强型搜索的访问	EdgeHistoryAISearchEnabled
  Microsoft Edge - 默认设置 (用户可以替代) \ 标识和登录>默认使用主工作配置文件打开外部链接	EdgeOpenExternalLinksWithPrimaryWorkProfileEnabled
  Microsoft Edge>允许 SpeculationRules 预提取 ServiceWorker 控制的 URL	PrefetchWithServiceWorkerEnabled
  Microsoft Edge>控制是否在 Microsoft Edge 中启用 TLS 1.3 早期数据	TLS13EarlyDataEnabled
  Microsoft Edge>允许页面使用内置 AI API	BuiltInAIAPIsEnabled

  以下旧设置已弃用，不应使用：

  Setting	Csp
  Microsoft Edge\ 专用网络请求设置	InsecurePrivateNetworkRequestsAllowed
  Microsoft Edge 网络设置>启用 zstd 内容编码支持	ZstdContentEncodingEnabled
  Microsoft Edge 网络设置>指定是否阻止从公共网站到用户本地网络上的设备的请求 (已弃用)	LocalNetworkAccessRestrictionsEnabled

• v139 - Intune 支持 Microsoft Edge 的以下 ADMX 支持的新策略：

  Setting	Csp
  Microsoft Edge>标识和登录>确定应用指定的配置文件的优先级以打开外部链接	EdgeOpenExternalLinksWithAppSpecifiedProfile
  Microsoft Edge>扩展>指定用户必须允许的扩展才能使用 InPrivate 模式进行导航	MandatoryExtensionsForIncognitoNavigation
  Microsoft Edge>控制是否在Microsoft Edge 商业版工具栏中显示智能 Microsoft 365 Copilot 副驾驶® 对话助手	Microsoft365CopilotChatIconEnabled
  Microsoft Edge>Microsoft Edge 商业版报告连接器的配置策略	OnSecurityEventEnterpriseConnector
  Microsoft Edge>允许使用 SwiftShader 的软件 WebGL 回退	EnableUnsafeSwiftShader

  以下旧设置已弃用，不应使用：

  Setting	Csp
  Microsoft Edge>控制是否启用元素的新 HTML 分析器行为<select>	SelectParserRelaxationEnabled
  Microsoft Edge>启用键盘可聚焦滚动器	KeyboardFocusableScrollersEnabled

• 某些现有策略具有反映最新浏览器行为和术语的字符串更新。

OneDrive：

• 禁用 toast 和活动中心消息以鼓励用户使用可用于Microsoft应用程序的现有凭据登录 OneDrive - 此设置允许 IT 管理员阻止在 OneDrive 中检测新帐户，从而帮助强制实施组织同步和访问控制。

管理模板\Windows 组件\同步设置：

• 启用Windows 备份 - 此设置允许 IT 管理员管理Windows 备份功能的同步行为。 具体而言，此策略控制备份同步中是否包含语言首选项，这有助于组织根据需要定制备份配置。

Apple 设置目录中提供的新天零设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

声明性设备管理 (DDM) > 音频配件设置：

• 临时配对已禁用
• 临时配对未配对时间
• 取消配对策略
• 取消配对小时数

声明性设备管理 (DDM) > Safari 设置：

• 接受 Cookie
• 允许禁用欺诈警告
• 允许历史记录清除
• 允许 JavaScript
• 允许专用浏览
• 允许弹出窗口
• 允许摘要
• 页面类型
• 主页 URL
• 扩展标识符

限制:

• 允许 Safari 历史记录清除
• 允许 Safari 专用浏览
• 拒绝 iMessage 和 FaceTime 的 ICCID
• RCS 的拒绝 ICCID

macOS

认证 >可扩展单一登录 Kerberos：

• 允许平台 SSO 身份验证回退

声明性设备管理 (DDM) > Safari 设置：

• 允许历史记录清除
• 允许专用浏览
• 允许摘要
• 页面类型
• 主页 URL
• 扩展标识符

限制:

• 允许 Safari 历史记录清除
• 允许 Safari 专用浏览

Android 设置目录中的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

有一个新的 隐藏组织名称 设置 (设备>管理设备>配置>创建新>策略>Android Enterprise for platform >设置目录 配置文件类型) 。 设置为 True 时，企业名称不会显示在设备上，例如锁屏界面。

有关可在设置目录中配置的现有设置的列表，请参阅Intune设置目录中的 Android Enterprise 设备设置列表。

设备注册

Intune支持 Ubuntu 22.04 及更高版本

Microsoft Intune和适用于 Linux 的 Microsoft Intune 应用现在支持 Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。 对 Ubuntu 20.04 LTS 的支持已结束。 当前在 Ubuntu 20.04 LTS 上注册的设备仍保持注册状态，即使版本不再受支持也是如此。 如果新设备正在运行 Ubuntu 20.04 LTS，则无法注册。 若要查看哪些设备或用户可能受到影响，检查Intune报告。 在管理中心中，转到“设备”“>所有设备 ”，并按 Linux 筛选 OS。 可以添加更多列来帮助确定组织中哪些设备运行 Ubuntu 20.04 LTS。 通知用户将其设备升级到受支持的 Ubuntu 版本。

有关 Linux 注册的详细信息，请参阅适用于Microsoft Intune的 Linux 设备注册指南。

设备管理

擦除远程作支持多管理员审批

使用多管理员审批功能时，需要另一个管理员帐户来批准更改，然后才能应用更改。

擦除远程作支持多管理员审批。 将多管理员审批与擦除作结合使用，以帮助降低单个管理员帐户的未授权或泄露远程作的风险。

有关多管理员审批的详细信息，请参阅在 Intune 中使用多管理员审批。

为组织配置 (公共预览版) Windows 备份

Intune管理员可以在公共预览版中配置名为“组织Windows 备份”的新功能。 使用此功能，可以备份组织的Windows 10或Windows 11设置，并在已加入Microsoft Entra的设备上还原这些设置。 备份设置可在Microsoft Intune管理中心设置目录中配置，而允许还原设备的租户范围设置在管理中心的“注册”下提供。 备份设置现在以公共预览版提供，而还原设置将从 8 月 26 日起可用于公共预览版。

有关此功能的详细信息，请参阅 Microsoft Intune 中的组织的Windows 备份。

“新建解决”按钮改进了符合性修正体验

我们改进了 Microsoft Intune 中设备用户的实时 (JIT) 合规性修正体验。 Intune与Microsoft Defender协作以：

• 删除查看和了解修正步骤所需的用户单击次数。
• 添加“ 解决 ”按钮以缩短修正时间。

当用户打开生产力应用并看到由于Microsoft Defender而被标记为不符合时，用户现在可以选择“解决”。此作会将用户重定向到Microsoft Defender，其中Microsoft Defender采取措施修正用户，然后将用户重定向回其生产力应用。

即使不使用 Microsoft Defender，但如果打开了条件访问，用户也可以获得更好的体验。 借助 JIT 符合性修正，用户将经历一个嵌入式流，该流显示其符合性状态、不符合性推理，以及生产力应用中的作列表。 此流无需执行额外的步骤，无需在应用之间切换，并减少身份验证次数。

作为管理员，如果已设置 JIT 注册和符合性修正，则没有作项。 否则，请立即将其设置为支持此新功能。 有关更多信息，请参阅：

• 设置实时注册。
• 更新 iOS 设备设置。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Avenza Maps for Intune由 Avenza Systems Inc.
• Datasite for Intune by Datasite (Android)
• Dialpad by Dialpad， Inc.
• Dialpad 会议由 Dialpad， Inc.
• 欧米茄 365 由欧米茄 365 核心 AS
• 交响乐通信服务有限责任公司的交响乐消息Intune
• Zoho 项目 - Intune由 Zoho Corporation (Android)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Apple 设备的声明性软件更新报告

你现在可以 对由 Apple 内置的声明性报告基础结构提供支持的 Apple 设备使用多个新的软件更新报告。 声明性报告基础结构为Intune提供了托管设备的软件更新状态的准实时视图。 以下 Apple 软件更新报告现已推出：

• 每个设备的软件更新报告 - 转到“设备”并选择适用的设备，可在Intune 管理员中心获取每个设备的软件更新报告。 在该设备的“设备概述”窗格中的“监视器”下，你将看到报表列为 iOS 或 iPadOS 设备的 iOS 软件更新，以及 macOS 设备的 macOS 软件更新 。

  这些每个设备的报告可用后，以前可用的 macOS per-device 软件更新 报告现在已弃用。 虽然弃用的报表在管理中心中仍然可用，并且仍然可以在查看设备时使用，但该报告将从Intune中删除，并有将来的更新。

• Apple 软件更新失败 - 通过此作报告，可以查看整个受管理 Apple 设备群的详细信息。 详细信息包括更新安装失败的原因以及上次失败的时间戳。 若要查找此报表，请在管理中心转到 “设备>监视器”，然后选择报表名称以查看报表详细信息。

• Apple 软件更新报告 - 此报告是一份组织报告，显示有关整个托管 Apple 设备群中挂起和当前软件更新信息的详细信息。 若要查找此报表，请在管理中心转到 “报告>设备管理>”“Apple 更新”，选择“ 报表 ”选项卡，然后选择报表磁贴。

• Apple 软件更新摘要报告 - 查看 Apple 软件更新摘要报告，在管理中心转到 “报告>设备管理>Apple 更新”，然后选择“ 摘要 ”选项卡。你将看到来自 macOS、iOS 和 iPadOS 设备的更新状态汇总。 此状态包括可用于每个平台的最新更新版本，以及该更新的可用日期。

以下 Apple 设备支持这些新报告：

• iOS 17 及更高版本
• iPadOS 17 及更高版本
• macOS 14 及更高版本

有关这些报表背后的更改的详细信息，请参阅 支持提示：移动到 Apple 软件更新的声明性设备管理。

基于角色的访问控制

基于角色的访问控制的多管理员审批支持

多管理员审批现在支持基于角色的访问控制。 启用后，对角色的任何更改（包括对角色权限、管理员组或成员组分配的修改）都需要第二个管理员批准更改，然后才能应用更改。 这种双重授权过程有助于保护组织免受未经授权或意外的基于角色的访问控制更改。

有关详细信息，请参阅 Microsoft Intune 中的基于角色的访问控制。

2025 年 8 月 11 日当周

设备管理

平台 SSO (GA) 正式发布，还支持自定义 TGT

平台 SSO 是 Microsoft Entra 中的一项功能，可在 macOS 设备上使用Microsoft Entra ID实现单一登录 (SSO) 。 使用 Intune 设置目录，可以配置平台 SSO 并使用 Intune 将平台 SSO 配置部署到 macOS 设备。

• Microsoft Entra宣布，适用于 macOS 设备的平台 SSO 已正式发布 (GA) 。 有关此Microsoft Entra功能的详细信息，请参阅适用于 Apple 设备的 Microsoft Enterprise SSO 插件。

• Microsoft Entra支持 Kerberos 票证授予票证 (TGT) 使用 Apple 的 Kerberos SSO 扩展访问本地 Active Directory和Microsoft Entra ID。

  在 公司门户 版本 5.2508.0 及更新版本中，可以使用 Intune 设置目录平台 SSO 策略，使用 TGT 启用 Kerberos 对本地和云资源的 SSO。

若要在 Intune 中配置平台 SSO，请参阅：

• 在 Intune 中为 macOS 设备配置平台 SSO
• Intune 中 macOS 设备的常见平台 SSO 方案

设备安全性

Microsoft Tunnel 终结点需要更新

作为对 Microsoft Tunnel 基础结构的持续改进的一部分，我们在 2025 年 3 月 19 日版本中引入了新的终结点。 必须将 Microsoft Tunnel 升级到 2025 年 3 月 19 日或更高版本，以确保使用新终结点。 升级到此版本或更高版本后，无法降级到早期版本。 不支持依赖于旧终结点的早期版本，这可能会导致服务中断。 若要继续使用不间断的服务，我们建议升级到最新的受支持版本，并避免回滚到不支持的版本。

2025 年 7 月 28 日当周

设备管理

对设备管理终结点进行 API 调用的新 Microsoft Graph 权限

对多个 Microsoft Graph API 的调用现在需要两个较新的 DeviceManagement 权限之一，以取代以前支持的权限的使用。 以下是两个新权限和新权限替换的原始权限：

• DeviceManagementScripts.Read.All - 此新权限取代了 DeviceManagementConfiguration.Read.All 的使用
• DeviceManagementScripts.ReadWrite.All - 此新权限取代了 DeviceManagementConfiguration.ReadWrite.All 的使用

访问以下Microsoft图形 API调用现在需要使用新权限：

• ~/deviceManagement/deviceShellScripts
• ~/deviceManagement/deviceHealthScripts
• ~/deviceManagement/deviceComplianceScripts
• ~/deviceManagement/deviceCustomAttributeShellScripts
• ~/deviceManagement/deviceManagementScripts

目前， DeviceManagementScripts 和较旧的 DeviceManagementConfiguration 权限仍可正常运行。 但是，在 2025 年 9 月初，依赖于旧权限访问列出的 API 的工具和脚本无法正常运行。

有关详细信息，请参阅如何使用 Microsoft Entra ID 访问 Microsoft Graph 中的Intune API。

2025 年 7 月 21 日 (服务版本 2507)

Microsoft Intune Suite

Endpoint Privilege Management提升规则中对通配符的支持

现在可以在为 Endpoint Privilege Management (EPM) 定义的提升规则的文件名和文件路径中使用通配符。 通配符允许使用更广泛的匹配功能创建更灵活的规则，从而为具有可能随后续修订更改的名称的受信任文件启用文件提升。

对于文件名，仅支持在文件名中使用通配符，而不支持在文件扩展名中使用通配符。 可以使用问号 ? 在文件名中的任何位置替换单个字符，并使用星 * 号替换文件名末尾的字符串。

下面是一些用于名为 VSCodeUserSetup-arm64-1.99.2.exe 的 Visual Studio 安装程序文件的通配符示例，请参阅 C:\Users\<username>\Downloads\：

• 文件名：

  • VSCodeUserSetup*.exe
  • VSCodeUserSetup-arm64-*.exe
  • VSCodeUserSetup-?????-1.??.?.exe

• 文件路径：

  • C:\Users\*\Downloads\

有关详细信息，请参阅配置Endpoint Privilege Management策略中的在提升规则中使用变量。

应用管理

Intune 中新提供的 OEMConfig 应用

以下 OEMConfig 应用现已在适用于 Android Enterprise 的 Intune 中提供：

• RugGear

有关 OEMConfig 的详细信息，请参阅在 Microsoft Intune 中使用和管理具有 OEMConfig 的 Android Enterprise 设备。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

手机网络专用网络：

• 首选手机网络数据
• CSG 网络标识符
• 数据集名称
• 启用 NR 独立
• 地理围栏
• 网络标识符
• 版本号

macOS

Microsoft Edge：

• Microsoft Edge 类别已更新为新设置。 若要详细了解适用于 Microsoft Edge 的 macOS 设置，请参阅 Microsoft Edge - 策略。

设备管理

平台对设备清理规则的支持

使用清理规则，可以将Intune配置为自动清理显示为非活动、过时或无响应的设备。

使用此功能，可以：

• 为每个平台配置单独的设备清理规则，例如 Windows、iOS/iPadOS、macOS 和 Android。
• 使用审核日志查看设备清理规则从Intune报告中隐藏的设备。
• 使用 基于角色的访问控制 (RBAC) 自定义可创建设备清理规则的用户角色。

有关详细信息，请参阅 设备清理规则。

设备安全性

macOS 支持使用密码解决方案配置本地管理员帐户 - GA

macOS 自动设备注册 (ADE) 配置文件可以使用本地管理员和本地用户帐户配置运行 macOS 12 或更高版本的新注册 macOS 设备，以及支持 Microsoft 本地管理员密码解决方案 (LAPS) 。

使用此支持：

• 可以使用 macOS 自动设备注册 (ADE) 配置文件来配置设备的本地管理员和用户帐户。 配置后，此功能将应用于分配给该注册配置文件的所有新 macOS 设备注册和设备重新注册。
• Intune为设备的管理员帐户创建随机、唯一且安全的密码。 它是 15 个字母数字字符。
• 默认情况下，Intune每六个月自动轮换一次密码。
• 以前注册的设备不会受到影响，除非它们通过适用的 ADE 配置文件重新注册Intune。

对于帐户创建，配置文件支持以下变量：

• 管理员帐户用户名：

  • {{serialNumber}} - 例如，F4KN99ZUG5V2
  • {{partialupn}} - 例如 John.Dupont
  • {{managedDeviceName}} - 例如，F2AL10ZUG4W2_14_4/15/2025_12：45PM
  • {{onPremisesSamAccountName}} - 例如 JDoe

• 管理员帐户全名：

  • {{username}} - 例如， John@contoso.com
  • {{serialNumber}} - 例如，F4KN99ZUG5V2
  • {{onPremisesSamAccountName}} - 例如 JDoe

若要支持 LAPS，请参阅：

• 注册计划有两个新的基于角色的访问控制权限，可以授予管理帐户查看托管设备密码和轮换该密码的权限。
• 默认情况下，这些权限不属于任何内置Intune RBAC 角色，必须通过自定义角色显式分配给管理员。

若要了解有关此新功能的所有详细信息，请参阅在 Microsoft Intune 中使用 LAPS 配置对 macOS ADE 本地帐户配置的支持。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Veeva Systems Inc. (iOS)
• Workvivo by Workvivo

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

2025 年 7 月 14 日当周

设备管理

体验Intune中的Microsoft Copilot

现在，可以在 Intune 中使用Microsoft Copilot来使用自然语言浏览Intune数据、对结果执行作、管理策略和设置、了解安全状况、排查设备问题以及查看有关已注册 Surface 设备的见解。

• 浏览Intune数据 - 使用自然语言浏览Intune数据，并根据结果采取措施。 管理员可以针对Intune资源数据运行查询，包括有关设备、应用、策略、更新和合规性的问题。 运行查询时，Copilot 摘要可帮助你了解结果并提供建议。 可以将设备或用户从查询结果添加到组，以面向应用和策略。 还可以筛选示例查询，以查找最匹配请求的示例，或使用 来帮助创建自己的请求。

  随着我们对浏览数据的方式的改进，数据覆盖率、查询功能和可作性将随着时间的推移而发展。

  若要了解有关此功能的详细信息，请参阅使用自然语言浏览Intune数据并采取措施。

• 对话聊天体验 - Intune聊天体验中的 Copilot 使用自然语言与数据交互，以管理任务、获取见解和解决问题。 以下是可以使用聊天体验执行的作：

  • 策略和设置管理：在 Intune 中使用 Copilot 来汇总现有策略或了解有关单个策略设置和建议值的详细信息。
  • 设备详细信息和故障排除：使用 Intune 中的 Copilot 获取设备详细信息并对设备进行故障排除，以获取特定于设备的信息，例如已安装的应用、组成员身份等。
  • 设备查询：在 Intune 中使用 Copilot 来帮助创建在 Intune 中使用设备查询时要运行的Kusto 查询语言 (KQL) 查询。
  • Endpoint Privilege Management (EPM) ：在 Intune 中使用 Copilot 来帮助识别 EPM 支持批准的工作流中的潜在提升风险。

• Surface Management Portal 中的Microsoft Copilot - Intune 中的Microsoft Copilot包括 Surface Management Portal，这是Intune管理中心内的工作区，将所有有关已注册的 Surface 设备的重要数据和见解汇集在一个位置。

  • 深入了解设备符合性、支持活动、适用的保修或保护计划覆盖范围以及碳排放估算。
  • 监视每个设备的状态，包括适用的保修或保护计划过期以及有效的支持请求。
  • 在单个环境中集中管理特定于 Surface 的设备。
  • 从注册Intune Surface 设备自动访问综合信息，当用户首次登录时，这些设备会流入 Surface 管理门户。

  若要了解有关此功能的详细信息，请参阅 Microsoft Surface Management Portal 中的Security Copilot。

监视和疑难解答

将设备查询结果导出到 CSV 文件

现在，运行多设备查询后，最多可将 50,000 个查询结果导出到 CSV 文件。 有关详细信息，请参阅 如何将设备查询用于多个设备。

2025 年 6 月 23 日 (服务版本 2506)

应用管理

Microsoft Intune对 Apple AI 功能的支持

Intune应用保护策略为 Apple AI 功能提供了新的独立设置， (Genmojis、写入工具和屏幕捕获) 。 运行以下Intune应用 SDK 和App Wrapping Tool版本的应用支持独立设置：

• Xcode 15 版本 19.7.12 或更高版本
• Xcode 16 版本 20.4.0 或更高版本

以前，当应用保护策略“ 将组织数据发送到其他应用 ”设置配置为“ 所有应用”以外的值时，会阻止这些 Apple AI 功能。

有关Intune相关应用保护策略的详细信息，请参阅 iOS 应用保护策略设置。

将企业应用目录应用添加到 ESP 阻止应用列表

Windows Autopilot 现在支持企业应用目录应用。 Microsoft Intune Enterprise App Management 使 IT 管理员能够轻松管理企业应用目录中的应用程序。 使用 Windows Autopilot，可以在“注册状态”页 (ESP) “和”设备准备页“ (DPP) 配置文件中选择”企业应用目录“作为阻止应用。 此功能允许你确保在用户访问桌面之前交付这些应用。

有关相关信息，请参阅设置注册状态页、Windows Autopilot 设备准备概述和将企业应用目录应用添加到Microsoft Intune。

托管主屏幕 Android 16 的方向更改

从 Android 16 开始，Android 停止在具有 600 dp 和更大显示设置的设备上强制实施屏幕方向。 此更改会影响具有较大外形规格的设备（如平板电脑）托管主屏幕 (MHS) 。

在这些 Android 16 设备上，方向取决于设备的方向设置，而不是你配置的 MHS 设置。

若要了解有关 Android 16 更改的详细信息，请参阅 行为更改：面向 Android 16 或更高版本 的应用 (打开 Android 网站) 。

设备配置

Apple 设置目录中提供的新设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

设置目录中有新设置。 若要查看这些设置，请在 Microsoft Intune 管理中心中，转到“设备>管理设备>”配置>“”创建新>策略>“”iOS/iPadOS 或 macOS for platform>“设置目录”，了解配置文件类型。

iOS/iPadOS

托管设置：

• 允许空闲重新启动

macOS

认证 >Extensible 单一登录 (SSO) ：

• 允许在证明中使用设备标识符

Microsoft Edge：

• Microsoft Edge 类别具有数百个新设置。 若要详细了解可用的 macOS Edge 设置，请参阅 Microsoft Edge - 策略。

Apple 在 macOS 15.4 中弃用了标识有效负载。

Android Enterprise 设置目录中的新“阻止蓝牙”设置

设置目录列出可以在设备策略中配置的所有设置，所有设置都位于一个位置。 有关在 Intune 中配置设置目录配置文件的详细信息，请参阅使用设置目录创建策略。

有一个新的 阻止蓝牙 设置 (设备>管理设备>配置>创建新>策略>Android Enterprise for platform >设置目录 配置文件类型) 。 如果设置为 True，则会在设备上禁用蓝牙。

还有一个 阻止蓝牙配置 设置，可防止最终用户更改设备上的蓝牙设置。

这些设置不同，结果也不同。 例如:

• 场景：最终用户在其设备上打开了蓝牙设置。 管理员创建一个Intune策略，该策略将“阻止蓝牙”设置设置为 True。

  在这种情况下，即使最终用户打开了蓝牙，设备上的蓝牙也会被阻止。

• 场景：最终用户在其设备上打开了蓝牙设置。 管理员创建一个Intune策略，该策略将“阻止蓝牙配置”设置设置为 True。

  在这种情况下，由于最终用户之前已将其打开，因此蓝牙处于打开状态。 最终用户无法关闭蓝牙。 如果最终用户以前关闭了蓝牙，然后应用了 “阻止蓝牙配置” 策略，则会关闭蓝牙，并且最终用户无法重新打开蓝牙。

有关可在设置目录中配置的现有设置的列表，请参阅Intune设置目录中的 Android Enterprise 设备设置列表。

设备管理

用于改进性能和数据一致性的新报告系统

Microsoft Intune正在推出新的策略报告服务 (PRS) V3。 新系统可加快报告生成速度、提高可靠性，提高数据一致性。

在第一阶段，某些高流量合规性和设备配置报告将转换为新系统。

用户注意到Intune管理中心的更新速度更快，过时数据的问题更少。 用户无需执行任何作，因为报表会自动转换。

使用 (PRS) V3 时，设备报告仅在设备签入时更新。 此行为是以前版本的有意更改。

如果删除了某个策略，但设备尚未签入，则报告将继续显示上次已知状态。 在下一个检查期间会删除该策略，此时会更新报表。 此行为可以提高准确性，但可能与客户使用 (PRS) V1 时体验到的情况不同。

若要详细了解可以使用的Intune报表，请参阅Intune报表。

设备安全性

SCEP 证书配置文件的新属性和 S/MIME 基线要求

Intune支持 SCEP 和 PKCS 设备配置文件中使用者名称设置的两个新属性。 包括：

• G={{GivenName}}
• SN={{SurName}}

从 7 月 16 日开始，如果使用第三方公共证书颁发机构 (CA) 与 Intune SCEP API 集成，以颁发 S\MIME (加密或签名锚定到公共根 CA 的) 证书，则必须以使用者名称格式使用这些属性。 在此日期之后，公共 CA 不会颁发或签署省略这些属性的 S\MIME 证书。

有关详细信息，请参阅 第三方公共 CA 的 S/MIME 证书要求。

Intune 应用

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• datasite for Intune by Datasite (iOS)
• Mijn InPlanning by Intus Workforce Solutions (iOS)
• Nitro PDF Pro by Nitro Software， Inc. (iOS)
• SMART Technologies 的 SMART TeamWorks ULC (iOS)

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

监视和疑难解答

Windows 硬件证明报表中的“新建状态”列

我们在 Windows 硬件证明报表中添加了一个新列“证明 状态”，以提高对证明错误的可见性。 此列显示证明过程中收到的错误消息，有助于识别服务和客户端的问题。 此列中显示的错误类型包括：

• WinINet 错误
• HTTP 错误的请求错误
• 与证明相关的其他失败

有关报表的详细信息，请参阅 Windows 硬件证明报告。

2025 年 6 月 9 日当周

应用管理

对 Win32 应用的 ARM64 支持

将 Win32 应用添加到 Intune 时，可以选择在运行 ARM64作系统的 Windows 设备上检查和安装应用的选项。 通过选择“应用所有应用>创建”>，可从 Microsoft Intune 管理中心获取此功能。 可以通过选择“要求”步骤下的“作系统体系结构”选项来使用 ARM64 选项。 为了确保你不会对你之前面向 64 位设备的任何 Win32 应用程序产生任何影响，现有的 64 位 Win32 应用程序也选择了 ARM64。 在能够专门面向 ARM64作系统体系结构后，选择 x64 不会面向 ARM64 设备。

若要了解相关信息，请参阅 Microsoft Intune 中的 Win32 应用管理。

2025 年 6 月 2 日当周

设备安全性

适用于Intune (公共预览版的漏洞修正代理)

漏洞修正代理目前为有限的公共预览版，仅对一组选定客户可用。 如果你有兴趣获取访问权限或想要了解详细信息，请联系销售团队，了解更多详细信息和后续步骤。

运行时，此代理使用来自 Microsoft Defender 漏洞管理 的数据来识别托管设备上的漏洞并提供修正指导。 运行并访问代理，并从 Intune 管理中心内查看其结果，其中可以看到代理优先提供修正建议。 每个建议都包含关键信息，例如关联的 CVE、严重性、可利用性、受影响的系统、组织风险、业务影响和修正指南。

此信息使你能够对环境的潜在风险进行当前评估和指导，以帮助你决定首先解决哪些风险。

有关此代理（包括先决条件）的详细信息，请参阅 Microsoft Intune 中用于Security Copilot的漏洞修正代理。

2025 年 5 月 26 日 (服务版本 2505)

Microsoft Intune Suite

Endpoint Privilege Management规则显式拒绝提升

Endpoint Privilege Management (EPM) 提升规则现在包含新的文件提升类型 Deny。 设置为 “拒绝” 的 EPM 提升规则会阻止指定文件在提升的上下文中运行。 建议使用文件提升规则以允许用户提升特定文件。 但是，拒绝规则可以帮助你确保某些文件（如已知和潜在的恶意软件）不能在提升的上下文中运行。

拒绝 规则支持与其他 提升类型的 配置选项相同，但子进程除外，这些子进程不使用。

有关 EPM（作为Intune套件加载项提供）的详细信息，请参阅Endpoint Privilege Management概述。

应用管理

新提供的适用于 Intune 的受保护应用

现在为 Microsoft Intune 提供了以下受保护的应用：

• Microsoft公司 (Android) Windows App
• Microsoft corporation (iOS) Microsoft Clipchamp
• 4CEE 通过 4CEE 开发进行连接
• Mobile Helix Link for Intune by Mobile Helix

有关受保护应用的详细信息，请参阅 受 Microsoft Intune 保护的应用。

设备配置

管理 Windows 设备的 DFCI 配置文件

可以使用 DFCI 配置文件来管理运行Windows 10或Windows 11的 NEC 设备的 UEFI (BIOS) 设置。 并非所有运行 Windows 的 NEC 设备都启用了 DFCI。 有关符合条件的设备，请联系设备供应商或设备制造商。

可以从Microsoft Intune管理中心内管理 DFCI 配置文件，方法是转到“设备>管理设备>”“配置>”“创建新>策略>Windows 10”及更高版本“，了解平台>模板>”“设备固件配置接口”，了解配置文件类型。 有关 DFCI 配置文件的详细信息，请参阅：

• 在 Microsoft Intune 的 Windows 设备上配置设备固件配置接口 (DFCI) 配置文件
• 使用 Windows Autopilot (DFCI) 管理的设备固件配置接口

设备注册

AOSP 设备的自定义命名模板

在向 Intune 注册时，使用自定义模板来命名 AOSP 用户关联和无用户设备。 模板可在注册配置文件中配置。 它可以包含自由文本和预定义变量的组合， (如设备序列号、设备类型) ，以及用户关联设备的所有者用户名。 有关如何配置模板的详细信息，请参阅：

• 为 Android (AOSP) 无人使用的公司自有设备设置 Intune 注册
• 为 Android (AOSP) 公司拥有的用户关联设备设置 Intune 注册

更改设备注册限制的基于角色的访问控制

我们针对设备限制更新了基于角色的访问控制 (RBAC) 。 如果当前分配有 策略和配置文件管理员 角色，或角色内置的 设备配置 权限，则你现在对设备注册限制策略具有只读访问权限。 若要创建和编辑这些策略，你必须是Intune管理员。

设备管理

跨平台设备清单

Android、iOS 和 Mac 设备已添加到设备清单。 Intune现在收集一组默认清单数据，包括 74 个 Apple 属性和 32 个 Android 属性。

有关详细信息，请参阅 使用 Microsoft Intune 查看设备详细信息。

在 Android 设备上无人参与远程帮助会话期间增强的安全性

在 Android 设备上无人参与的远程帮助会话期间，设备的屏幕将被阻止，并且用户与屏幕交互时会收到通知。 此功能可增强远程协助期间的安全性和用户意识。

此功能适用于注册为 Android Enterprise 公司拥有的专用设备的 Zebra 和 Samsung 设备。

有关远程帮助的详细信息，请参阅 远程帮助。

设备安全性

检测 Root 企业拥有的 Android Enterprise 设备

配置符合性策略以检测公司拥有的 Android Enterprise 设备是否具有 root 权限。 如果Microsoft Intune检测到设备已取得 root 权限，则可以将其标记为不符合。 此功能现在适用于注册为完全托管、专用或公司拥有的工作配置文件的设备。 有关详细信息，请参阅 Intune 中 Android Enterprise 的设备符合性设置。

若要了解 Android 上Microsoft Defender的根检测支持，请参阅 Defender 文档中Microsoft Defender for Endpoint中的关键功能，以及 Defender for Endpoint 博客 Android 上Microsoft Defender的本机根检测支持。

用于在 Linux 设备上配置终结点检测和响应以及防病毒排除设置的新终结点安全配置文件

作为Microsoft Defender for Endpoint安全设置管理的Intune方案的一部分，可以使用名为 Microsoft Defender 全局排除 (AV+EDR) 的 Linux 的新终结点检测和响应配置文件，现在可用于管理这两者的 Linux 设备排除Microsoft Defender终结点检测和响应 (EDR) 和防病毒 (AV) 。

此配置文件支持与全局排除设置相关的设置，详见Microsoft Defender文档中的配置和验证 Linux 上的排除项。 这些排除配置可以应用于 Linux 客户端上的防病毒和 EDR 引擎，以停止针对已排除项的关联实时保护 EDR 警报。 排除项可以由策略中的管理员显式定义的文件路径、文件夹或进程定义。

新的Intune配置文件：

• 除了适用于Microsoft Defender防病毒的现有终结点安全防病毒策略外，还可用。
• 支持通过Microsoft Defender for Endpoint安全设置管理方案管理的设备。
• 由 Intune 直接管理的 Linux 设备不支持。

有关可用 Defender 设置的详细信息，请参阅 Defender for Endpoint 文档中的在 Microsoft Defender for Endpoint 中配置安全设置 - Microsoft Defender for Endpoint。

租户管理

从 Windows 设备上的 SimInfo 实体收集数据

现在，可以通过增强的设备清单从 Windows 设备上的 SimInfo 实体收集数据。 有关详细信息，请参阅 Intune Data Platform。

2025 年 4 月 28 日当周

应用管理

对 Apple 专业设备的Intune支持

应用保护策略 (APP) 支持Microsoft Edge (v136 或更高版本) 、OneDrive (v16.8.4 或更高版本) 和 Outlook (v4.2513.0 或更高版本) 。 若要在 visionOS 设备上为这些特定应用启用此设置，必须在应用配置策略中将 设置为 com.microsoft.intune.mam.visionOSAllowiPadCompatAppsEnabled 。 分配应用配置策略后，可以为 VisionOS 设备创建和分配应用保护策略。 有关详细信息，请参阅 保护 VisionOS 设备上的数据。

租户管理

Microsoft Intune的新图标

Microsoft Intune具有新图标。 Intune图标正在跨与Intune关联的平台和应用（如Intune管理中心和Intune 公司门户应用）进行更新。 新图标将在未来几个月内逐步实现。

新增功能存档

对于前几个月，请参阅 新增功能存档。

通知

这些通知提供了重要信息，可以帮助你为未来的 Intune 更改和功能做好准备。

更新到适用于 Android 的最新Intune 公司门户、Intune适用于 iOS 的应用 SDK 和适用于 iOS 的 Intune 应用包装器

从 2026 年 1 月 19 日开始或不久之后，我们将进行更新，以改进Intune移动应用程序管理 (MAM) 服务。 为了保持安全并顺利运行，此更新需要将 iOS 包装应用、iOS SDK 集成应用和 Android Intune 公司门户更新到最新版本。

Android 更新的方式，一旦设备上有一个具有更新 SDK 的Microsoft应用程序，并且公司门户更新到最新版本，Android 应用将更新，因此此消息侧重于 iOS SDK/应用包装器更新。 建议始终将 Android 和 iOS 应用更新为最新的 SDK 或应用包装器，以确保应用继续平稳运行。 有关具体效果的更多详细信息，请查看以下 GitHub 公告：

• 适用于 iOS 的 SDK： 需要执行的作：更新应用程序中的 MAM SDK 以避免最终用户影响 - microsoftconnect/ms-intune-app-sdk-ios 讨论 #598 |GitHub
• 适用于 iOS 的包装器： 需要执行的作：使用版本 20.8.1+ 包装应用程序以避免最终用户影响 - microsoftconnect/intune-app-wrapping-tool-ios 讨论 #143 |GitHub

如有疑问，请对适用的 GitHub 公告发表评论。

此更改对你或你的用户有何影响？

如果用户尚未更新到最新的Microsoft或第三方应用保护支持的应用，则会阻止他们启动其应用。 如果你有使用 Intune 包装器或 Intune SDK 的 iOS 业务线 (LOB) 应用程序，则必须使用包装器/SDK 版本 20.8.0 或更高版本，才能使用 Xcode 26 编译的应用使用 Xcode 16 和版本 21.1.0 或更高版本编译的应用，以避免用户被阻止。

如何准备?

计划在 2026 年 1 月 19 日之前进行以下更改：

• 对于使用 Intune App SDK 的应用，必须更新到适用于 iOS 的 Intune App SDK 的新版本：

  • 对于使用 XCode 16 生成的应用，请使用 v20.8.0 - 版本 20.8.0 - microsoftconnect/ms-intune-app-sdk-ios |GitHub
  • 对于使用 XCode 26 生成的应用，请使用 v21.1.0 - 版本 21.1.0 - microsoftconnect/ms-intune-app-sdk-ios |GitHub

• 对于使用包装器的应用，必须更新到适用于 iOS 的Intune App Wrapping Tool的新版本：

  • 对于使用 XCode 16 生成的应用，请使用 v20.8.1 - 版本 20.8.1 - microsoftconnect/intune-app-wrapping-tool-ios |GitHub
  • 对于使用 XCode 26 生成的应用，请使用 v21.1.0 - 版本 21.1.0 - microsoftconnect/intune-app-wrapping-tool-ios |GitHub

• 对于策略针对 iOS 应用的租户：

  • 通知用户需要升级到最新版本的 Microsoft 应用。 可以在 应用商店中找到最新版本的应用。 例如，可 在此处 找到最新版本的 Microsoft Teams，并 在此处Microsoft Outlook。
  • 此外，还可以启用以下 条件启动 设置：
    • 在应用使用 20.8.0 之前的适用于 iOS 的 Intune SDK 时阻止用户的最小 SDK 版本设置。
    • 在较旧 Microsoft应用 上警告用户的最小应用版本设置。 请注意，此设置必须位于仅针对目标应用的策略中。

• 对于策略针对 Android 应用的租户：

  • 通知用户需要升级到Intune 公司门户应用的最新版本 (v5.0.6726.0) 。

  • 此外，还可以启用以下 条件启动 设备条件设置：

    • 最小公司门户版本设置，用于警告使用早于 5.0.6726.0 的 公司门户 应用版本的用户。

更新防火墙配置以包括新的Intune网络终结点

从 2025 年 12 月 2 日或之后不久开始，作为Microsoft持续 (SFI) 安全未来计划的一部分，Microsoft Intune的网络服务终结点也将使用Azure Front Door IP 地址。 这种改进支持更好地与新式安全做法保持一致，随着时间的推移，使用多个Microsoft产品的组织可以更轻松地管理和维护其防火墙配置。 因此，客户可能需要在第三方应用程序中添加这些网络 (防火墙) 配置，以实现Intune设备和应用管理的正确功能。 此更改将影响使用防火墙允许列表的客户，该允许列表允许基于 IP 地址或Azure服务标记的出站流量。

请勿删除Microsoft Intune所需的任何现有网络终结点。 以下文件中引用的 front Door 和服务标记信息Azure记录了更多网络终结点：

• 公有云：从官方Microsoft下载中心下载Azure IP 范围和服务标记 - 公有云
• 政府云：从官方Microsoft下载中心下载Azure IP 范围和服务标记 - 美国政府云

其他范围位于上面链接的 JSON 文件中，可以通过搜索“AzureFrontDoor.MicrosoftSecurity”找到。

此更改对你或你的用户有何影响？

如果已为防火墙、路由器、代理服务器、基于客户端的防火墙、VPN 或网络安全组配置了Intune IP 地址范围或Azure服务标记的出站流量策略，则需要更新这些策略，使其包含具有“AzureFrontDoor.MicrosoftSecurity”标记的新Azure Front Door 范围。

Intune要求Intune管理下的设备（无论是移动设备管理还是移动应用程序管理）访问 Internet。 如果出站流量策略不包括新的 Azure Front Door IP 地址范围，则用户可能会遇到登录问题，设备可能会失去与Intune的连接，并且可能会中断对应用（如Intune 公司门户或受应用保护策略保护的应用）的访问。

如何准备?

确保在 2025 年 12 月 2 日之前更新防火墙规则并将其添加到防火墙的允许列表中，其中包含 Azure Front Door 下记录的其他 IP 地址。

或者，可以将服务标记添加到 AzureFrontDoor.MicrosoftSecurity 防火墙规则，以允许端口 443 上针对标记中的地址的出站流量。

如果你不是可以进行此更改的 IT 管理员，请通知网络团队。 如果你负责配置 Internet 流量，请参阅以下文档了解更多详细信息：

• Azure Front Door
• Azure服务标记
• Intune 网络终结点
• 适用于Intune的美国政府网络终结点

如果你有支持人员，请通知他们即将进行的更改。

更新到 Intune 中Windows 10的支持语句

Windows 10已于 2025 年 10 月 14 日终止支持。 Windows 10不再接收质量或功能更新。 安全更新仅适用于已将设备注册到扩展安全汇报 (ESU) 计划的商业客户。 有关更多详细信息，请查看以下附加信息。

此更改对你或你的用户有何影响？

Microsoft Intune继续维护Windows 10的核心管理功能，包括：

• 设备管理的连续性。
• 支持Windows 11的更新和迁移工作流。
• ESU 客户能够部署 Windows 安全更新和维护安全修补程序级别。

Windows 10 (版本 22H2) 的最终版本在 Intune 中被指定为“允许”版本。 虽然更新和新功能不可用，但运行此版本的设备仍然可以注册Intune并使用符合条件的功能，但功能不保证且可能有所不同。

如何准备?

使用Intune管理中心中的所有设备报告来识别仍在运行Windows 10的设备，并将符合条件的设备升级到Windows 11。

如果设备无法及时升级，请考虑在Windows 10 ESU 计划中注册符合条件的设备，以继续接收关键安全更新。

其他信息

• 在Windows 11、Copilot+ 电脑和Windows 365 Windows 10支持结束之前，确保Windows 10
• Windows 10终止支持
• 启用扩展安全性汇报 (ESU)
• Windows 10 发行信息
• Windows 11 版本信息
• 生命周期常见问题解答 - Windows 

更改计划：Intune正在转向支持 iOS/iPadOS 17 及更高版本

预计在 2025 年晚些时候，Apple 将发布 iOS 26 和 iPadOS 26。 Microsoft Intune，包括 (APP（也称为 MAM) ）Intune 公司门户和Intune应用保护策略，在 iOS/iPadOS 26 版本发布后不久需要 iOS 17/iPadOS 17 及更高版本。

此更改对你或你的用户有何影响？

如果你正在管理 iOS/iPadOS 设备，则设备可能无法升级到 iOS 17/iPadOS 17) (支持的最低版本。

鉴于 iOS 17/iPadOS 17 及更高版本支持Microsoft 365 移动应用，此更改可能不会对你造成影响。 你可能已经升级了 OS 或设备。

若要检查哪些设备支持 iOS 17 或 iPadOS 17 (（如果适用) ），请参阅以下 Apple 文档：

• 支持的 iPhone 型号
• 支持的 iPad 型号

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 对于具有移动设备管理 (MDM) 的设备，请转到 “设备>”“所有设备 并按 OS 筛选”。 对于具有应用保护策略的设备，请转到“应用>监视器>应用保护状态”，并使用“平台和平台版本”列进行筛选。

若要管理组织中支持的 OS 版本，可以对 MDM 和 APP 使用Microsoft Intune控件。 有关详细信息，请参阅 使用 Intune 管理操作系统版本。

更改计划：Intune今年晚些时候将转向支持 macOS 14 及更高版本

预计在 2025 年晚些时候，苹果将发布 macOS Tahoe 26。 Microsoft Intune、公司门户 应用和Intune移动设备管理代理支持 macOS 14 及更高版本。 由于适用于 iOS 和 macOS 的 公司门户 应用是统一应用，因此此更改将在 macOS 26 发布后不久发生。 此更改不会影响现有的已注册设备。

此更改对你或你的用户有何影响？

仅当当前管理或计划使用Intune管理 macOS 设备时，此更改才会影响你。 如果用户可能已升级其 macOS 设备，则此更改可能不会对你造成影响。 有关支持的设备列表，请参阅 macOS Sonoma 与这些计算机兼容。

如何准备?

检查 Intune 报告以查看哪些设备或用户可能受到影响。 转到 设备>所有设备 并按 macOS 筛选。 可以添加更多列，以帮助确定组织中谁拥有运行 macOS 13.x 或更早版本的设备。 要求用户将其设备升级到受支持的 OS 版本。

更改计划：适用于 Android 13 或更高版本的 Google Play 强完整性定义更新

Google 最近更新了适用于运行 Android 13 或更高版本的设备“强完整性”的定义，需要硬件支持的安全信号和最新的安全更新。 有关详细信息，请参阅 Android 开发人员博客：提高播放完整性 API 的速度、复原能力和私密性。 Microsoft Intune将在 2025 年 9 月 30 日实施此更改。 在此之前，我们已调整应用保护策略和合规性策略行为，以符合 Google 建议的向后兼容性指南，以最大程度地减少中断，详见 改进 Android 13 及更高版本的设备判决 |Google Play |Android 开发人员。

此更改对你或你的用户有何影响？

如果你在过去 12 个月中使用运行 Android 13 或更高版本且没有安全更新的设备，则这些设备将不再满足“强完整性”标准。

用户影响 - 对于在此更改后在 Android 13 或更高版本上运行设备的用户：

• 没有最新安全更新的设备可能会从“强完整性”降级到“设备完整性”，这可能会导致受影响的设备有条件启动块。
• 没有最新安全更新的设备可能会在 Intune 公司门户 应用中看到其设备不符合要求，并且可能会根据组织的条件访问策略失去对公司资源的访问权限。

运行 Android 版本 12 或更低版本的设备不受此更改的影响。

如何准备?

在 2025 年 9 月 30 日之前，根据需要查看和更新策略。 确保设备运行 Android 13 或更高版本的用户及时收到安全更新。 可以使用 应用保护状态报告 来监视设备收到的上次 Android 安全修补程序的日期，并通知用户根据需要进行更新。 以下管理员选项可用于帮助警告或阻止用户：

• 对于应用保护策略，请配置 最小 OS 版本 和 最低修补程序版本 条件启动设置。 有关详细信息，请查看 Microsoft Intune 中的 Android 应用保护策略设置 |Microsoft Learn
• 对于符合性策略，请配置 “最低安全修补程序级别 符合性”设置。 有关详细信息，请查看：Intune中 Android Enterprise 的设备符合性设置

更改计划：使用 Windows Autopilot 部署Microsoft Entra混合联接设备的新Intune连接器

作为Microsoft“安全未来计划”的一部分，我们最近发布了 active Directory Intune 连接器的更新，以使用托管服务帐户而不是本地 SYSTEM 帐户，通过 Windows Autopilot 部署Microsoft Entra混合加入的设备。 新连接器旨在通过减少与本地 SYSTEM 帐户关联的不必要的特权和权限来增强安全性。

此更改对你或你的用户有何影响？

如果已Microsoft Entra使用 Windows Autopilot 的混合联接设备，则需要过渡到新的连接器，以继续有效地部署和管理设备。 如果不更新到新连接器，将无法使用旧连接器注册新设备。

如何准备?

按照以下步骤将环境更新到新连接器：

1. 在 Intune 管理中心下载并安装新连接器。
2. 登录以设置托管服务帐户 (MSA) 。
3. 更新 ODJConnectorEnrollmentWizard.exe.config 文件，以包括加入域所需的组织单位 (OU) 。

有关更详细的说明，请查看：Microsoft Intune Active Directory 安全更新连接器，并使用 Intune 和 Windows Autopilot 部署Microsoft Entra混合联接设备。

更改计划：Apple AI 功能的新设置;Genmojis， 写入工具， 屏幕捕获

目前，当应用保护策略 (应用) “将组织数据发送到其他应用”设置配置为“所有应用”以外的值时，将阻止用于 Genmojis、写入工具和屏幕捕获的 Apple AI 功能。 有关当前配置、应用要求和当前 Apple AI 控制列表的更多详细信息，请查看博客：Microsoft Intune Apple Intelligence 的支持

在即将发布的版本中，Intune应用保护策略具有用于阻止屏幕捕获、Genmojis 和写入工具的新独立设置。 对于 Xcode 15 和 20.4.0 或更高版本，Intune App SDK 和 App Wrapping Tool，这些应用支持这些独立设置已更新到版本 19.7.12 或更高版本。

此更改对你或你的用户有何影响？

如果将应用“将组织数据发送到其他应用”设置配置为“所有应用”以外的值，则新的“Genmoji”、“写入工具”和“屏幕捕获”设置将设置为应用保护策略中的 “阻止 ”，以防止更改当前用户体验。

如何准备?

如果想要更精细地控制阻止或允许特定 AI 功能，请查看并更新应用保护策略。 (应用>保护>选择策略>属性>基本>应用>数据保护)

更改计划：iOS 上的用户警报，了解何时阻止屏幕捕获作

在即将推出的版本 (20.3.0) Intune App SDK 和适用于 iOS 的 Intune App Wrapping Tool 中，在托管应用中检测到屏幕捕获作 (包括录制和镜像) 时，将添加支持以提醒用户。 仅当已配置应用保护策略 (应用) 阻止屏幕捕获时，才会向用户显示警报。

此更改对你或你的用户有何影响？

如果 APP 已配置为阻止屏幕捕获，则用户在尝试屏幕截图、屏幕记录或屏幕镜像时会看到一条警报，指示其组织阻止了屏幕捕获作。

对于已更新到最新Intune应用 SDK 或Intune App Wrapping Tool版本的应用，如果将“将组织数据发送到其他应用”配置为“所有应用”以外的值，则会阻止屏幕捕获。 若要允许 iOS/iPadOS 设备的屏幕捕获，请将托管应用应用配置策略设置“com.microsoft.intune.mam.screencapturecontrol”配置为 “禁用”。

如何准备?

更新 IT 管理员文档，并根据需要通知支持人员或用户。 可以在博客中详细了解如何阻止屏幕捕获： iOS/iPadOS MAM 保护应用的新块屏幕捕获

更改计划：在最新的 Intune App SDK for iOS 和适用于 iOS 的 Intune App Wrapping Tool 中阻止屏幕捕获

我们最近发布了Intune应用 SDK 和Intune App Wrapping Tool的更新版本。 这些版本 (v19.7.5+ for Xcode 15 和 v20.2.0+ for Xcode 16) 支持阻止屏幕捕获、Genmojis 和编写工具以响应 iOS/iPadOS 18.2 中的新 AI 功能。

此更改对你或你的用户有何影响？

对于已更新到最新Intune应用 SDK 或Intune App Wrapping Tool版本的应用，如果将“将组织数据发送到其他应用”配置为“所有应用”以外的值，将阻止屏幕截图。 若要允许 iOS/iPadOS 设备的屏幕捕获，请将 托管应用应用配置策略 设置“com.microsoft.intune.mam.screencapturecontrol”配置为 “禁用”。

如何准备?

查看应用保护策略，并根据需要创建托管应用应用配置策略以允许屏幕捕获，方法是在“常规配置) ”下配置上述设置 (应用>应用配置策略>创建>托管应用>步骤 3“设置”。 有关详细信息，请查看 iOS 应用保护策略设置 - 数据保护 和 应用配置策略 - 托管应用。

更改计划：为 SCEP 和 PKCS 证书实现强映射

在 2022 年 5 月 10 日 Windows 更新 (KB5014754) 中，对 Windows Server 2008 及更高版本中的 Active Directory Kerberos 密钥分发 (KDC) 行为进行了更改，以缓解与证书欺骗相关的特权提升漏洞。 Windows 在 2025 年 2 月 11 日强制实施这些更改。

为了准备此更改，Intune发布了包含安全标识符的功能，以强映射 SCEP 和 PKCS 证书。 有关详细信息，请查看博客：支持提示：在Microsoft Intune证书中实现强映射。

此更改对你或你的用户有何影响？

这些更改将影响Intune为Microsoft Entra混合加入的用户或设备提供的 SCEP 和 PKCS 证书。 如果证书无法进行强映射，身份验证将被拒绝。 若要启用强映射，请：

• SCEP 证书：将安全标识符添加到 SCEP 配置文件。 我们强烈建议使用少量设备进行测试，然后慢慢推出更新的证书，以最大程度地减少对用户的干扰。
• PKCS 证书：更新到最新版本的证书连接器，更改注册表项以启用安全标识符，然后重启连接器服务。 重要： 在修改注册表项之前，请查看如何更改注册表项以及如何备份和还原注册表。

有关详细步骤和更多指导，请查看支持提示：在 Microsoft Intune 证书中实现强映射博客。

如何准备?

如果将 SCEP 或 PKCS 证书用于Microsoft Entra混合加入的用户或设备，则需要在 2025 年 2 月 11 日之前采取措施，以便：

• (推荐) 查看博客中所述的步骤启用强映射：支持提示：在Microsoft Intune证书中实现强映射
• 或者，如果在 2025 年 2 月 11 日之前无法续订所有证书（包括 SID），请通过调整注册表设置来启用兼容模式，如 KB5014754 中所述。 兼容模式有效期至 2025 年 9 月。

更新到 Android 15 支持的最新Intune应用 SDK 和Intune应用包装器

我们最近发布了适用于 Android 的 Intune App SDK 和 Intune App Wrapping Tool 的新版本，以支持 Android 15。 建议将应用升级到最新的 SDK 或包装器版本，以确保应用程序保持安全并顺利运行。

此更改对你或你的用户有何影响？

如果你有使用 Intune App SDK 或适用于 Android Intune App Wrapping Tool 的应用程序，建议将应用更新到最新版本以支持 Android 15。

如何准备?

如果选择生成面向 Android API 35 的应用，则需要采用适用于 Android (v11.0.0) 的 Intune App SDK 的新版本。 如果你包装了应用并面向 API 35，则需要使用新版本的应用包装器 (v1.0.4549.6) 。

还应计划更新文档或开发人员指南（如果适用）以包括此更改，以支持 SDK。

下面是公共存储库：

• 适用于Android 的 Intune 应用 SDK
• 适用于 Android 的Intune App Wrapping Tool

Intune在 2024 年 10 月转向支持 Android 10 及更高版本以使用基于用户的管理方法

2024 年 10 月，Intune支持 Android 10 及更高版本用于基于用户的管理方法，其中包括：

• Android Enterprise 个人拥有的工作配置文件
• Android Enterprise 公司拥有的工作配置文件
• Android Enterprise 完全托管设备
• 基于用户的 Android 开源项目 (AOSP)
• Android 设备管理员
• 应用保护策略
• 托管应用 (ACP) 的应用配置策略

今后，我们将在 10 月终止对一个或两个版本的支持，直到仅支持 Android 的最新四个主要版本。 可以通过阅读博客来了解有关此更改的详细信息：Intune 2024 年 10 月迁移到支持 Android 10 及更高版本以使用基于用户的管理方法。

此更改对你或你的用户有何影响？

对于上面列出的基于用户的管理方法 () ，不支持运行 Android 9 或更低版本的 Android 设备。 对于不受支持的 Android OS 版本的设备：

• Intune不提供技术支持。
• Intune不会对 bug 或问题进行更改。
• 不能保证新功能和现有功能正常工作。

虽然Intune不会阻止在不支持的 Android OS 版本上注册或管理设备，但无法保证功能，因此不建议使用。

如何准备?

如果适用，请通知支持人员此更新的支持声明。 以下管理员选项可用于帮助警告或阻止用户：

• 为具有最低 OS 版本要求的应用配置 条件启动 设置，以警告和/或阻止用户。
• 使用设备符合性策略并设置不合规作，以向用户发送消息，然后再将其标记为不符合。
• 设置 注册限制 以防止在运行旧版本的设备上注册。

有关详细信息，请查看：使用 Microsoft Intune 管理作系统版本。