Microsoft 发布了 2026 年 6 月 15 日那周的"新功能"更新,包含三项重大公告但大多低调:Win32 应用交付强制 HTTPS、Apple ADE 注册时分组正式发布,以及 Android 个人所有工作 profile 迁移至 AMAPI 上线。
这些都不算花哨,但每一项对 IT 团队都有实际运营影响。以下是您需要知道的内容。
托管 Win32 应用现在要求 HTTPS 交付 — Connected Cache 截止日期已到
变更内容
截至 2026 年 6 月 16 日,Intune 对所有托管 Win32 应用内容强制 HTTPS 交付。如果您运行 Microsoft Connected Cache(MCC)for Enterprise and Education 且未在缓存节点上配置 HTTPS,您的客户端将回退到 CDN 交付 Intune Win32 应用。
内容交付仍然有效——但没有缓存,您将失去最初使 MCC 值得部署的带宽节省、配置速度提升和本地化交付。对于大规模运行 Windows Autopilot 的组织,这意味着更慢的配置时间和更高的互联网出口成本。
范围
此变更中仅 Intune Win32 应用通过 HTTPS 强制。其他内容类型——Windows 功能和质量更新、Microsoft 365 应用、Office Click-to-Run、Defender 定义更新——继续通过 MCC 经 HTTP 提供。
但请注意,Microsoft Teams 内容已经要求 HTTPS,也不会在仅 HTTP 的 MCC 节点上缓存。因此实际上有两个受影响的内容系列。
要求
每个 MCC 节点必须配置有效的 TLS 证书。关键要求:
- 软件版本:缓存节点软件必须为 2.0.0.2112 或更高
- 端口 443:必须在主机上空闲且可用
- 证书格式:仅支持未加密的 .crt 文件。尚无法导入受密码保护的 .pfx 或 .p12 格式
- Subject/SAN:必须与客户端设备访问节点的方式(FQDN 或 IP)完全匹配
- TLS 检查:执行 TLS 检查的网络必须豁免 MCC 流量,否则客户端将拒绝证书
设置流程
- 在 MCC 主机上使用提供的脚本生成 CSR
- 由您的内部 CA 或受信任证书颁发机构签名
- 使用
importCert脚本导入 .crt - 验证——先在 MCC 服务器本身,然后从客户端设备
对于 SCCM 集成的 MCC(带 Connected Cache 的 Configuration Manager 分发点),2026 年 2 月更新也添加了 HTTPS 支持。该流程需要在 IIS 中启用 TLS、下载更新的 DoincInstall.exe,并将 MCC 复选框关闭再重新打开。
IT 团队现在应该做什么
- 清点:检查所有 MCC 节点软件版本(必须 ≥ 2.0.0.2112)
- 优先:如果您尚未在 MCC 上配置 HTTPS,请优先处理。没有它的每一天都意味着 Win32 应用和 Teams 内容失去缓存
- 测试:在推广到生产节点之前在非生产环境中验证
- 文档:更新您的 MCC 运营流程和帮助台文档
- 监控:配置后验证 Win32 应用内容的缓存命中率已恢复
如果您已经为 MCC 配置了 HTTPS(或根本不使用 MCC),则无需操作。
Apple ADE 注册时分组 — 现已正式发布
变更内容
注册时分组现已正式发布,适用于 iOS/iPadOS 和 macOS 上的 Apple 自动设备注册(ADE)。此前仅适用于 Windows Autopilot 和 Android Enterprise,此功能让管理员可以直接在注册策略中为设备的 Microsoft Entra ID 安全组打标签。
设备注册时,它在注册流程本身中成为指定安全组的成员——而不是几分钟后或几小时后台同步完成后。这意味着面向该组的应用、配置策略和合规设置可以在设置助手中就开始部署,而不是在用户到达主屏幕之后。
重要性
对于零接触部署工作流,“设备已注册"与"设备完全配置"之间的差距一直是最大的摩擦点之一。没有注册时分组,分配给动态或静态组的策略仅在设备将其成员身份同步到 Entra ID 后才适用——引入了一个延迟窗口,可能让用户感到沮丧并延误生产力。
随着此正式发布,Apple 设备部署现在可以享受 Windows Autopilot 和 Android Enterprise 部署早已拥有的快速配置。
设置要求
- 创建一个静态 Microsoft Entra 安全组
- 将 Intune Provisioning Client 服务主体添加为所有者(AppId:
f1346770-5b25-470b-88bd-d5744ab7952c) - 在新的 Apple ADE 注册策略中配置该组(现有配置文件不受影响)
- 每个注册配置文件仅一个静态组
IT 团队应该做什么
- 立即创建安全组:预先创建将分配给注册配置文件的静态组
- 验证服务主体:确认 Intune Provisioning Client 存在于您的 Entra ID 租户中
- 在小批量上测试:创建带注册时分组的新 ADE 注册策略,并在测试设备上验证
- 为 2606 版本做计划:Apple ADE 注册策略将在即将到来的 2606 服务版本中迁移到新基础设施。注册时分组是这一更广泛现代化的一部分——现在熟悉它将有所裨益
Android 个人所有工作 profile 迁移至 AMAPI — Web 注册上线
变更内容
这是三项中最大的运营转变。Microsoft 正在将个人所有工作 profile(BYOD Android)管理从旧版自定义 DPC / Google Play EMM API 实现迁移至 Google 的 Android Management API(AMAPI)。
正在推广的两项内容:
1. 基于 Web 的注册——用户不再需要安装公司门户应用来注册其个人 Android 设备。他们从浏览器(Chrome 或 Edge)开始注册:
- 通过直接 URL:
aka.ms/enrollmyandroid - 当 Conditional Access 要求注册时,通过生产力应用(Teams、Outlook)重定向
- 通过公司门户应用(仍可作为入口点)
注册后,Intune 应用和 Android Device Policy 应用(隐藏)自动安装。
2. 基于 AMAPI 的策略交付——个人所有工作 profile 设备的策略管理现在使用与公司自有设备(COPE、COBO、COSU)已使用的相同现代 API。这意味着新功能发布更快、跨 Android Enterprise 管理选项的行为更一致,并支持旧版自定义 DPC 不可用的功能。
如何启用
对于新注册——目前在租户级别是可选(暂时):
- 导航到:Devices > Android 选项卡 > Device onboarding > Enrollment > Personally owned devices with a work profile
- 勾选:Use web enrollment for all users enrolling into Android personally-owned work profile management
- ⚠️ 此变更无法撤销
对于已注册设备——创建"Move to Android Management API"设备配置策略:
- Devices > Manage devices > Configuration > Create > New policy
- 平台:Android Enterprise
- 配置文件类型:Templates > Move to Android Management API
- 分配给设备组以分阶段迁移
时间表:
- 现在(2026 年第二季度末):可选启用 Web 注册和迁移策略
- 2026 年下半年:自动迁移所有剩余设备
重要注意事项
如果您的租户使用通行密钥作为唯一接受的身份验证方式,请不要启用 Web 注册。Web 注册的通行密钥支持将在未来更新中推出。
IT 团队应该做什么
- 先测试:在生产之前在测试租户中启用 Web 注册
- 分阶段迁移:使用 AMAPI 配置策略分批次迁移已注册设备
- 更新文档:用户注册体验正在改变——更新您的注册指南和帮助台脚本
- 与用户沟通:告知 BYOD Android 用户注册流程变得更简单(无需下载应用)
- 审查 Conditional Access:确保要求注册的 CA 策略与基于 Web 的流程兼容
这是 Intune 管理 BYOD Android 的基础性变更。它与 Google 弃用旧版自定义 DPC API 一致,并使 HCL 管理为下一代 Android 平台能力做好准备。
总结
| 变更 | 影响级别 | 所需操作 |
|---|---|---|
| Win32 应用内容在 MCC 上要求 HTTPS | 高(如果您使用 MCC) | 在 MCC 节点上配置 HTTPS |
| Apple ADE 注册时分组正式发布 | 中(Apple 用户) | 预创建 Entra 组,更新 ADE 策略 |
| Android BYOD 迁移至 AMAPI | 高(Android 用户) | 启用 Web 注册,规划分阶段迁移 |
这些都不是破坏性变更——但忽视 MCC HTTPS 截止日期、跳过注册时分组采用或推迟 AMAPI 迁移,都将造成几小时规划即可避免的运营摩擦。
一如既往,先在非生产环境测试,更新文档,并向帮助台简报。如果您需要帮助规划这些过渡,请联系——我们已在多个组织经历过这些迁移,知道陷阱藏在哪里。
— Kevin