关键要点

  • Windows 365 云电脑现在在预配期间评估 Intune 合规策略——设备在用户登录前就已合规。
  • 首次启动时阻止用户的"未评估"合规缺口已被消除。
  • 库映像已包含此更新;自定义映像需要 KB5070311 或更高版本。
  • 组织应审计并移除为弥补旧行为而存在的条件访问变通方案。
  • Windows 365 Frontline 和共享云电脑场景从此次变更中受益最大。

Windows 365 弥合了云电脑预配中的关键合规缺口

Microsoft 发布了近期记忆中最实用的 Windows 365 改进之一:云电脑现在在预配期间评估 Intune 合规策略,与 MDM 注册同步进行,无需用户先登录。

如果你管理 Windows 365 环境,很可能遇到过这种挫败。一台云电脑完成预配,用户尝试登录,条件访问立即阻止他们,因为设备处于"未评估"合规状态。设备配置正确——它只是还没有签入。这个缺口现已弥合。

预配期间合规策略如何运作

此变更嵌入在预配编排阶段 Intune 管理代理的行为中。以下是更新后的流程:

  1. 预配策略触发,Windows 365 开始设置云电脑。
  2. MDM 注册作为预配的一部分发生。
  3. 分配的合规策略在注册阶段期间并发评估——无需用户登录。
  4. 云电脑在预配完成前在 Entra ID 中达到合规状态
  5. 用户登录到一台条件访问已识别为合规的设备。

技术基础:KB5070311

此功能通过 KB5070311 交付,这是面向 Windows 11 25H2 和 24H2 版本(OS 内部版本 26200.7309 和 26100.7309)的非安全更新。Microsoft 的库映像已包含此更新。如果你的组织使用自定义映像,你需要刷新它们以包含 KB5070311 或更高版本的累积更新——没有它,自定义映像云电脑将回退到之前的行为。

这对云电脑安全和零信任为何重要

无需变通方案的条件访问

执行要求设备合规的条件访问策略的组织被迫做出不情愿的权衡:

  • 在宽限期内将云电脑组排除在需要合规的 CA 策略之外
  • 延长合规宽限期以延迟不合规标记
  • 为新预配的设备创建紧急例外

这些变通方案每一个都引入了安全风险。它们恰恰制造了零信任架构旨在防止的那种缺口。借助预配期间合规评估,这些变通方案都不再必要。设备在可访问之前就经过验证——仅此而已。

零信任对齐

零信任要求在每个访问点持续验证。一个让设备处于未评估状态的预配流程是该模型中的缺口。此更新收紧了 Windows 365 预配与零信任原则之间的对齐,确保每台云电脑在用户能够与之交互之前都已验证。

Windows 365 Frontline 和共享云电脑场景

对于使用 Windows 365 Frontline 或共享云电脑的组织,此改进尤为重要。Frontline 工作者按紧凑的时间表访问云电脑——首次启动时被条件访问阻止不是不便,而是生产力阻碍。预配期间合规意味着工作者登录并立即开始工作,没有延迟,没有支持台来电。

IT 管理员现在应做什么

1. 审计并移除条件访问变通方案

如果你为新预配的云电脑实施了 CA 策略排除、延长宽限期或紧急例外,立即审查并移除它们。这些是旧行为所必需的安全妥协。保留它们会引入不必要的风险。

2. 验证安全组分配

确保用于合规策略分配的安全组包含在云电脑预配期间创建的设备对象。如果你依赖动态组进行策略定向,请验证成员资格规则在预配窗口期间——而非之后——捕获新预配的云电脑。

3. 更新自定义映像

库映像已是最新。如果你的组织使用自定义映像,请刷新它们以包含 KB5070311 或更高版本。这是大多数环境唯一需要的行动项。

4. 运行分阶段推出

对于复杂的合规和条件访问配置,分阶段方法可降低风险:

  • 试点组: 将测试预配策略分配给小组用户,验证合规评估在预配期间完成。
  • 监视: 在用户登录前确认试点云电脑在 Intune 中显示为"合规"。
  • 验证 CA 行为: 验证用户无需首次启动条件访问阻止即可访问云电脑。
  • 扩展: 将更新后的预配策略推广到生产。

5. 审查数据驻留和合规策略时机

具有宽限期或"将设备标记为不合规"时机延迟的合规策略仍然适用。设备在预配期间可能合规,但如果补救未在宽限期内完成,可能转为不合规。将合规策略设置与新的预配行为对齐,避免意外。

附加背景:Windows 11 25H2 设置目录

Windows 11 25H2 版本还为 Intune 设置目录带来了 36 项新设置,包括 Windows Backup、Windows Recall AI 功能、Settings Agent、旁观者检测和节能模式的控制。部署 25H2 的组织应将相关设置与预配改进一起纳入合规和配置策略。

这对你的组织意味着什么

这不是一项炫目的功能公告——它是弥合真实运营缺口的务实改进。如果你在运行 Windows 365 并使用条件访问和合规要求(你也应该如此),此更新消除了一类首次启动失败,这些失败曾产生支持台工单并迫使安全妥协。

对于库映像用户,好处是自动的。对于自定义映像用户,行动项很简单。无论哪种方式,真正价值来自审查你现有的变通方案并移除不再需要的安全例外。

更紧密的零信任对齐、更好的 Frontline 工作者体验以及降低的运营开销相结合,使这成为对任何规模的 Windows 365 部署都意义重大的一步。


需要帮助优化 Windows 365 预配策略或收紧条件访问配置?联系 Big Hat Group 获取 Windows 365 部署帮助——我们专注于面向各种规模组织的云电脑战略、合规架构和端点管理。