Microsoft Intune 服务版本 2606 持续推出,第二波更新涵盖了我们在初始 2606 概览中未涉及的内容。这些更新涵盖 AI 治理、许可模式变革、Android 安全强化和 Linux 服务器管理——它们共同标志着 Intune 正从 MDM/MAM 工具向战略性安全与运营平台演进。
以下是 2606 版本中本周值得关注的七项更新。
1. ChatGPT 现已成为 Intune 受保护应用
ChatGPT 移动应用现已被正式列为 Microsoft Intune 的受保护应用。这意味着您可以直接将 Intune 应用保护策略(MAM)应用于 ChatGPT——无需设备注册。
您可以管控的内容:
- 限制从 ChatGPT 向非托管应用执行复制/粘贴和"另存为"操作
- 要求设备合规(无越狱/Root)才能使用 ChatGPT 工作账户
- 强制应用 PIN 码或生物识别认证
- 当用户离职或设备丢失时,选择性擦除 ChatGPT 中的组织数据
为何重要:这是企业 AI 治理的分水岭时刻。组织无需再一刀切地封禁 ChatGPT,现在可以在严格的数据防泄漏管控下启用它。在无法管理操作系统的 BYOD 设备上,您仍可控制企业数据如何流入和流出 ChatGPT。这将讨论从"我们是否应该允许 ChatGPT?“转变为"我们如何治理 ChatGPT?”
管理员操作:将 ChatGPT 添加到现有应用保护策略的目标应用列表中。配置严格的 DLP 设置,要求条件启动,并更新您的 AI 治理文档,使支持团队了解 ChatGPT 的管控方式。
2. Intune Suite 功能打包纳入 Microsoft 365 E3 和 E5
这可以说是多年来 Intune 最重大的许可变更。Microsoft 正将多项 Intune Suite 功能直接纳入 M365 E3 和 E5 许可证,无需再单独购买附加许可。
M365 E3(通过 EMS E3)现在包含:
- Remote Help
- 高级分析
- Intune Plan 2(用于 MAM 的 Microsoft Tunnel、专用设备管理、FOTA 更新)
M365 E5 包含 E3 的所有内容,另加:
- Endpoint Privilege Management (EPM)
- Enterprise Application Management (EAM)
- Microsoft Cloud PKI
为何重要:许多拥有 M365 E3/E5 的组织此前未采用这些高级功能,因为它们需要单独许可。现在这些功能将自动为符合条件的租户预配,并在 Microsoft 365 管理中心提前 30 天发出通知。这提升了整个 E3/E5 生态系统的安全基线,使 IT 团队无需额外采购即可获得最小权限提权、企业应用生命周期自动化和基于云的 PKI。
管理员操作:与您的许可管理员协作,确认新的权益。优先推进顺序:Remote Help → EPM → 用于 MAM 的 Tunnel → EAM 自动更新 → Cloud PKI。重新评估任何重叠的第三方工具,考虑整合以节省成本。
3. Android Enterprise 新设置:AI 代理阻止和连接强化
Android Enterprise 的 Intune 设置目录迎来重大更新,新增 15+ 项设置,涵盖三个类别。
应用程序:
- 阻止应用暴露应用功能 — 控制托管应用是否可以暴露可被其他应用和设备端 AI 代理调用的编程操作。这是 Microsoft 首次真正着手管控移动设备上 AI 驱动的应用编排。
- 阻止工作配置文件应用的小组件 — 控制主屏幕上的小组件可见性
连接性(11 项新设置):
- 阻止飞行模式、2G 蜂窝网络、VPN 配置、短信、拨出电话、超宽带
- 最低 Wi-Fi 安全级别(开放 → 个人 → 企业 → 企业 192 位)
- 阻止小区广播、移动网络配置、网络重置
- 5G 企业切片的优先网络服务
通用:
- 阻止打印、用户图标更改、壁纸更改、eSIM 配置文件添加
为何重要:AI 代理阻止设置尤为关键——它直接应对 AI 代理在无明确用户意图的情况下编排应用操作的新兴威胁。在连接性方面,阻止 2G 可缓解有据可查的降级攻击和拦截风险,而 Wi-Fi 安全最低标准则在整个企业设备群中强制执行现代加密标准。
管理员操作:为企业 Android 设备创建或更新基线策略。尽可能禁用 2G,强制执行 Wi-Fi 安全最低标准,并评估是否需要针对敏感用户组阻止应用功能暴露。
4. Trustd Mobile 成为移动威胁防御合作伙伴
Trustd Mobile 现已成为 Intune 支持的移动威胁防御(MTD)合作伙伴,支持 Android 9.0+ 和 iOS/iPadOS 15.0+。
这意味着什么:Trustd Mobile 的威胁信号可直接集成到 Intune 合规性和条件访问中。被标记为高严重性威胁的设备可自动标记为不合规,从而阻止其访问企业资源。
Intune 还在管理中心引入了新的移动威胁防御角色类别,允许委派 MTD 管理权限而无需授予广泛的 Intune 权限。
管理员操作:如果您正在评估 MTD 解决方案,请将 Trustd Mobile 加入候选名单。配置连接器,将风险级别映射到合规性操作,并面向部分用户进行试点。
5. Remote Help 支持 Azure Virtual Desktop 中的 RemoteApp
Remote Help 现在支持 Azure Virtual Desktop 中的 RemoteApp 会话,而不仅限于完整桌面会话。帮助台人员可以安全地查看和控制 RemoteApp 会话中的单个已发布应用。
为何重要:运行仅发布应用的锁定 AVD 环境的组织,现在可以使用与物理 PC 和完整 AVD 桌面相同的 Remote Help 工具进行支持。这统一了支持运营,并提供了比传统远程支持工具更好的审计和 RBAC 能力。
管理员操作:确保支持人员使用最新版 Remote Help 客户端。更新支持手册以纳入 RemoteApp 故障排除工作流。如果您现在通过 M365 E3 打包获得了 Remote Help,请考虑整合旧版远程支持工具。
6. Microsoft Tunnel 新增 RHEL 9.7 支持
Microsoft Tunnel Gateway 现在支持 Red Hat Enterprise Linux 9.7 作为服务器发行版,要求使用 Podman 5.8.2 作为容器引擎。
迁移注意事项:
- Podman v3 容器与 Podman 5.8.2 不兼容 — 必须重新创建容器并重新安装 Microsoft Tunnel
- RHEL 9.x 不会自动加载 ip_tables 模块 — 安装前需手动加载
- 需为新环境规划 SELinux 和防火墙配置
管理员操作:如果您在较旧的 RHEL 版本上运行 Tunnel 网关,请规划迁移至 9.7。更新自动化脚本以使用 Podman 而非旧版容器引擎。
7. Linux Server 新增 Defender Antivirus 设置
Linux Server 上 Microsoft Defender Antivirus 的端点安全防病毒策略新增了两项设置:
- 离线安全智能更新 — 管理 Defender 如何在 Linux Server 设备上保持签名最新,包括离线状态下的更新。对于位于隔离或高安全网络(DMZ、OT、受监管环境)中且限制直接互联网访问的服务器至关重要。
- 计划扫描 — 管理 Defender 何时在 Linux 设备上运行计划扫描,使 Linux 在可预测、可审计的恶意软件扫描方面更接近 Windows 的对等功能。
这些设置适用于 Intune 注册的 Linux Server 设备以及通过 Microsoft Defender for Endpoint 安全设置管理来管理的 Linux 设备。
为何重要:这消除了为 Linux 防病毒管理编写临时脚本或手动 cron 作业的需求。结合 Microsoft 更广泛的受控配置计划,它推动组织迈向跨 Windows 和 Linux 的统一端点保护策略。
管理员操作:在 Intune 中定义 Linux AV 基线。在维护时段配置计划扫描,并设置通过内部更新服务器进行离线签名分发的策略。
更大的图景
服务版本 2606 的第二波更新强化了 Intune 的三个战略方向:
- AI 感知管理 — 从 ChatGPT 保护到 Android AI 代理阻止,Intune 正成为企业 AI 治理的控制平面
- 许可民主化 — 将 Suite 功能打包纳入 E3/E5 消除了阻碍许多组织采用高级安全功能的采购障碍
- 平台融合 — Linux 服务器管理、Android 企业强化和 AVD 支持汇聚于统一管理平面
对于 IT 管理员而言,信息很明确:Intune 不再仅仅是一个 MDM 工具。它正成为覆盖整个设备群的端点安全、AI 治理和运营效率的战略平台。
已在我们的第一篇 2606 文章中涵盖:EAM for GCC High/DoD、EAM 自动更新、macOS PKG 自动更新、iOS 的 WPA3-Personal 以及 M365 Apps 安全基线 v2512。Windows 25H2 基线中的 IE11 COM 自动化阻止已单独撰文介绍。