Microsoft Intune 在整个六月和七月初持续发布更新,继我们已报道的 2606 版本之后,服务发布 2605 及后续周更新带来了多项重要功能。以下是最值得关注的更新——从安全态势改进到 Android 管理现代化,再到在 Windows 设备上检测和阻止未经授权 AI 代理的新能力。
1. 多管理员审批现强制执行自动化 API 调用
这是对依赖自动化的 Intune 管理员来说影响最大的变化之一。多管理员审批 (MAA) 现在适用于服务主体、自动化脚本和 DevOps 管道通过 Microsoft Graph API 发出的调用——而不仅仅是门户中的交互式管理员操作。
如果您的租户已配置 MAA 访问策略,并且您使用服务主体、PowerShell 脚本或第三方工具来修改受保护的 Intune 资源,这些调用现在与手动操作一样需要经过相同的审批流程。缺少所需审批头的调用将返回 HTTP 403 错误。
操作建议:
- 清查所有通过 Graph 调用 Intune 的自动化——脚本、CI/CD 管道、集成工具
- 更新脚本以在 API 调用中包含 MAA 审批头
- 对于使用应用认证令牌且无法立即修改代码的应用,使用 MAA 访问策略向导中的新 排除选项卡 临时豁免特定应用
- 向 DevOps 和自动化团队传达流程变更
2. Android Enterprise 个人设备工作配置文件迁移至 Android 管理 API
Android Enterprise 个人设备工作配置文件(BYOD)注册路径正在进行重大现代化改造。Intune 正在将这些设备从传统注册迁移到 Android 管理 API (AMAPI),带来两大改进:
基于 Web 的注册: 用户无需安装 Intune 公司门户应用即可完成注册。这改善了用户引导体验。
新的策略交付模型: Intune 正在推出现代化的策略交付和监控方式,与 COBO、COSU 和 COPE 设备使用的方法保持一致。
操作建议:
- 通过 Intune 管理中心启用:设备 > 设备注册 > Android > 个人拥有的工作配置文件设备
- 开启 Web 注册选项
- 更新用户注册指南
3. Windows 11 STIG SCAP 基准审计基线(GCC High)
对于政府客户和国防承包商来说,这是一个重要的更新。Intune 现在包含一个 STIG 审计基线,用于评估 Windows 设备是否符合美国国防信息系统局 (DISA) 发布的安全技术实施指南。
初始基线针对 Microsoft Windows 11 STIG SCAP 基准版本 2,发布版 7(基准日期:2026 年 1 月 5 日)。
该基线仅用于审计——不强制或更改设置。它评估当前设备状态并生成详细报告,结果可映射到 NIST XCCDF 结果类别。适用于 GCC High 租户,需要 Advanced Analytics 许可。
4. APP 多托管账户
应用保护策略 (APP) 现支持多托管账户,允许用户在同一应用中添加和管理多个托管账户。应用保护策略分别适用于每个账户,因此您可以根据账户所属的组织或租户定制保护。
首个支持的应用是 iOS/iPadOS 上的 Microsoft Teams (v8.10.0 或更高版本)。更多应用和平台即将支持。
5. 在 Windows 设备上检测和阻止影子 AI(公开预览)
Intune 正在积极应对 影子 AI——在受管设备上运行的未经授权的本地 AI 代理。这项新的公开预览功能让您可以通过三种互补能力检测和阻止像 OpenClaw 这样的工具:
- 属性目录: 收集本地 AI 代理实体以识别存在未授权 AI 代理的设备
- 设备查询: 查看整个环境中存在本地 AI 代理的设备
- 本地 AI 代理基线 - OpenClaw(预览): 阻止用户在受管 Windows 设备上运行 OpenClaw 的专用安全基线
6. Cloud PKI 颁发证书颁发机构的原地续订
如果您使用 Intune 的 Cloud PKI,这项操作改进将为您节省实际时间。原地续订 让您无需创建新的 CA 或更新 SCEP 证书配置文件即可续订符合条件的颁发 CA。证书颁发将保持不间断。
7. Android 版 Microsoft Tunnel 的严格隧道模式
Microsoft Tunnel 现支持 Android Enterprise 设备上的严格隧道模式。启用后,所有网络流量强制通过 VPN 隧道。如果 VPN 连接断开,设备上的所有网络流量将被阻止,直到 VPN 重新连接。可配置应用排除列表。
8. 直接 Android 行业应用程序管理
您现在可以直接在 Microsoft Intune 中管理 Android LOB 应用,无需发布到 Managed Google Play。只需将 APK 文件直接上传到 Intune 并部署到支持的 Android Enterprise 注册类型(COBO 和 COSU)。
9. 漏洞修复代理现使用 Microsoft Entra 代理身份
漏洞修复代理(公开预览中)现使用 Microsoft Entra 代理身份 而非人类用户身份。如果您已有使用人类用户身份的代理,支持将在本版本发布 90 天后到期。您需要在截止日期前过渡到代理身份。
10. 其他值得注意的更新
- Managed Home Screen 增强功能: 自定义顶部栏元素、退出锁定任务模式密码现在需要设备配置配置文件
- Microsoft Edge 148 设置: 设置目录中的大量新 Edge 策略,包括 Copilot 新标签页、Copilot 浏览、M365 身份验证弹出窗口等
- iOS/iPadOS 有线网络配置文件: 支持 M 系列 iPad 的 802.1x 有线网络,支持 EAP-TLS、PEAP 和 TTLS
- Android Intune 应用版本要求: 现要求版本 2025.11.01 或更高
2605 版本及后续周更新延续了我们 2026 年全年观察到的模式:Intune 正在从设备管理工具演变为全面的安全运营平台。自动化治理控制(MAA API 执行)、正式合规基线(STIG)和 AI 代理治理(影子 AI 检测)的增加都表明了这一发展轨迹。
一如既往,在广泛部署前请在测试环境中测试这些功能,并注意逐步推出的模式——某些功能可能需要数周才能到达您的租户。
在 X/Twitter 上关注 Kevin: https://x.com/kkaminski 获取更多 Intune 和端点管理内容。