Microsoft 在 2026 年 5 月的 Intune 服务版本中悄然发布了一项合规报告澄清说明,很容易被划过——但如果您的组织使用自定义合规策略或 Android 应用配置报告,您需要准确了解发生了什么变化以及它对安全态势的重要性。

简短版本:合规报告中的设备报告值是信息性的,而非权威性的。 这在实践中意味着什么。

变更内容

在 2026 年 5 月 18 日那周的更新中,Microsoft 更新了文档,澄清管理员应如何解读某些合规报告中出现的 Setting 列。此列显示由设备直接报告的值——Microsoft 的指南现在明确指出应将这些值视为仅作信息参考,并新增了关于审查设备报告数据的安全注意事项。

受影响的场景包括:

  • 自定义合规策略——PowerShell 脚本或其他探针收集设备状态并将值返回给 Intune 进行评估
  • Android 应用配置报告——托管应用返回配置数据,出现在与合规相关的报告中

此区分为何重要

这不仅是文档整理工作。它是一个关于 Microsoft 希望组织如何思考合规架构中信任边界的信号。

重要的架构是:Intune 是合规评估器。它部署策略、收集设备信号、运行评估,并将二元 isCompliant 标志写入 Microsoft Entra ID 中的设备对象。Conditional Access 在做出访问决策时读取该标志——它在身份验证时从不直接查询设备。

Setting 列中的设备报告值是设备在该评估期间做出的原始声明。它们是设备所说的,而非 Intune 独立验证的。

这为何重要? 被攻陷的设备理论上可能返回伪造值。权威合规信号是服务器端评估结果——而非设备的自报告数据。通过澄清这些值是信息性的,Microsoft 在强化一个关键原则:您不能信任设备准确报告其自身的合规状态

组织应该做什么

如果您使用自定义合规策略:

  • 报告中显示的脚本返回值是诊断上下文,而非合规证明
  • 审查您的脚本以确保它们测量的是有意义的、难以伪造的信号
  • 将异常的设备报告值与其他信号交叉参考:Defender for Endpoint 威胁级别、Entra 风险评分和硬件证明数据
  • 记录合规态势中哪些部分依赖设备报告数据,哪些部分依赖服务器评估信号

如果您使用 Android 应用配置报告:

  • 报告中应用返回的配置数据帮助您了解设备状态,但合规决策由 Intune 的评估引擎做出
  • 不要在没有服务器端佐证的情况下将这些值作为访问策略决策的主要信号

对于所有环境:

  • 将异常的设备报告值视为调查触发点,而非通过/失败的判定
  • 考虑叠加硬件证明(TPM 支持的信号、设备健康证明)以补充基于脚本的自定义合规
  • 确保您的 Conditional Access 策略通过 Entra 中的 isCompliant 标志强制执行合规,而非通过应用级变通方法

什么没有改变

明确说明此更新改变的内容是有价值的:

  • 合规强制执行仍以相同方式工作。 Intune 评估合规,将结果写入 Entra ID,Conditional Access 读取它。流水线未变。
  • 自定义合规策略仍正常运行。 您的脚本仍运行,其输出仍被评估,合规状态仍写入 Entra。Microsoft 只是希望您将原始报告值视为上下文,而非权威。
  • Android 应用配置策略不受影响。 策略本身、其部署和强制执行行为未变。

更大格局

此更新是 Microsoft 强化其零信任叙事的更广泛模式的一部分。零信任的"从不信任,始终验证"原则也适用于设备——包括受管理的设备。Microsoft 构建的合规架构通过多层服务器端评估路由设备信任,正是因为自报告设备数据是一个薄弱环节。

通过在文档中明确这一点,Microsoft 在推动组织更仔细地思考其合规计划。您的自定义合规脚本是否在测量真正难以伪造的信号?您是否在叠加多种信号?您的 Conditional Access 策略是否在强制执行正确的控制?

对于大多数成熟环境,答案是肯定的——但这是一个好机会,可以审计您的合规策略并验证您的零信任控制按预期工作,而不仅仅是在管理中心显示绿色。

此指南还与 Microsoft 在设备健康证明方面的持续投资,以及 Intune、Defender for Endpoint 和 Entra ID Conditional Access 之间更深度集成相关联。前进方向明确:更多服务器端验证、更多分层信号、更少依赖设备关于自身的陈述。


需要帮助应对 Intune 变更? Big Hat Group 帮助组织设计、部署和管理 Microsoft Intune 环境——从合规策略架构到零信任战略。无论您是在构建自定义合规策略还是加固 Conditional Access 控制,我们都能帮您做对。在此联系。

Big Hat Group 是一家 Microsoft 合作伙伴,专注于现代端点管理、Microsoft Intune 和 Microsoft 365 部署。