Microsoft Intune 服務版本 2606 持續推出第二波更新,這些更新在我們最初的 2606 概覽中尚未涵蓋。這些更新涵蓋 AI 治理、授權轉型、Android 安全強化以及 Linux 伺服器管理,整體而言象徵著 Intune 從 MDM/MAM 工具進化為策略性安全與營運平台。
以下是本週值得關注的 2606 七項更新。
1. ChatGPT 現為 Intune 受保護應用程式
ChatGPT 行動應用程式現已正式列為 Microsoft Intune 的受保護應用程式。這表示您可以直接將 Intune 應用程式保護政策 (MAM) 套用至 ChatGPT,且無需要求裝置註冊。
您可以控制的功能:
- 限制從 ChatGPT 複製/貼上及「另存新檔」至未受管理的應用程式
- 要求裝置合規(無越獄/root)才能使用 ChatGPT 工作帳戶
- 強制執行應用程式 PIN 碼或生物特徵驗證
- 當使用者離職或裝置遺失時,選擇性清除 ChatGPT 中的組織資料
重要性所在:這是企業 AI 治理的關鍵時刻。組織現在不再需要全面封鎖 ChatGPT,而是可以在嚴格的資料外洩防護控制下啟用它。在無法管理作業系統的 BYOD 裝置上,您仍可控制公司資料如何流入和流出 ChatGPT。這將對話從「我們是否應該允許 ChatGPT?」轉變為「我們如何治理 ChatGPT?」
管理員行動:將 ChatGPT 新增至現有應用程式保護政策的目標應用程式清單中。套用嚴格的 DLP 設定、要求條件式啟動,並更新您的 AI 治理文件,讓支援團隊了解 ChatGPT 的控制方式。
2. Intune Suite 功能整合至 Microsoft 365 E3 與 E5
這可以說是近年來 Intune 最重要的授權變更。Microsoft 正將多項 Intune Suite 功能直接納入 M365 E3 與 E5 授權中,消除了額外購買附加元件的需求。
M365 E3(透過 EMS E3)現在包含:
- Remote Help
- Advanced Analytics
- Intune Plan 2(Microsoft Tunnel for MAM、專用裝置管理、FOTA 更新)
M365 E5 包含 E3 的所有功能,再加上:
- Endpoint Privilege Management (EPM)
- Enterprise Application Management (EAM)
- Microsoft Cloud PKI
重要性所在:許多擁有 M365 E3/E5 的組織先前未採用這些進階功能,因為它們需要單獨授權。現在這些功能將自動佈建至符合資格的租用戶,並在 Microsoft 365 系統管理中心提供 30 天預告。這提升了整個 E3/E5 生態系統的安全基準,讓 IT 團隊無需額外採購即可使用最小權限提升、企業應用程式生命週期自動化及雲端式 PKI。
管理員行動:與您的授權管理員確認新權益。優先推展順序:Remote Help → EPM → Tunnel for MAM → EAM 自動更新 → Cloud PKI。重新評估任何重疊的第三方工具,以尋求潛在的整合與成本節約。
3. 新增 Android Enterprise 設定:AI 代理封鎖與連線強化
Intune Android Enterprise 設定目錄進行了大規模更新,跨三個類別新增了 15+ 項設定。
應用程式:
- 封鎖應用程式公開應用程式功能 — 控制受管理應用程式是否可以公開其他應用程式和裝置端 AI 代理可叫化的程式化動作。這是 Microsoft 邁向控制行動裝置上 AI 驅動應用程式協調的第一步。
- 封鎖工作設定檔應用程式的小工具 — 控制主畫面上的小工具可見性
連線(11 項新設定):
- 封鎖飛航模式、2G 行動網路、VPN 設定、簡訊、外撥電話、超寬頻
- 最低 Wi-Fi 安全等級(開放 → 個人 → 企業 → 企業 192-bit)
- 封鎖小區廣播、行動網路設定、網路重設
- 5G 企業切片的優先網路服務
一般:
- 封鎖列印、使用者圖示變更、桌布變更、eSIM 設定檔新增
重要性所在:AI 代理封鎖設定尤為重要 — 它直接解決了 AI 代理在未經使用者明確意圖下協調應用程式動作的新興威脅。在連線方面,封鎖 2G 可降低有據可查的降級與攔截風險,而 Wi-Fi 安全最低標準則在企業裝置群中強制執行現代加密標準。
管理員行動:為公司 Android 裝置建立或更新基準政策。盡可能停用 2G,強制執行 Wi-Fi 安全最低標準,並評估是否需為敏感使用者群組封鎖應用程式功能公開。
4. Trustd Mobile 加入為 Mobile Threat Defense 合作夥伴
Trustd Mobile 現已成為 Intune 支援的 Mobile Threat Defense (MTD) 合作夥伴,支援 Android 9.0+ 及 iOS/iPadOS 15.0+。
功能說明:來自 Trustd Mobile 的威脅訊號直接整合至 Intune 合規與條件式存取。被標記為高嚴重性威脅的裝置可自動標記為不合規,進而封鎖對公司資源的存取。
Intune 也在系統管理中心新增了 Mobile Threat Defense 角色類別,允許委派 MTD 管理而無需授予廣泛的 Intune 權限。
管理員行動:如果您正在評估 MTD 解決方案,請將 Trustd Mobile 納入候選清單。設定連接器、將風險等級對應至合規行動,並與部分使用者進行試點。
5. Remote Help 支援 Azure Virtual Desktop 中的 RemoteApp
Remote Help 現在支援 Azure Virtual Desktop 中的 RemoteApp 工作階段,而不僅限於完整桌面工作階段。支援中心人員可以安全地檢視和控制 RemoteApp 工作階段內的個別發佈應用程式。
重要性所在:執行僅發佈應用程式的鎖定 AVD 環境的組織,現在可以使用與實體 PC 和完整 AVD 桌面相同的 Remote Help 工具進行支援。這統一了支援營運,並提供了比傳統遠端支援工具更佳的稽核與 RBAC。
管理員行動:確保支援人員使用最新版本的 Remote Help 用戶端。更新支援作業手冊以包含 RemoteApp 疑難排解工作流程。如果您現在透過 M365 E3 整合取得 Remote Help,請考慮整合舊有的遠端支援工具。
6. Microsoft Tunnel 新增 RHEL 9.7 支援
Microsoft Tunnel Gateway 現在支援 Red Hat Enterprise Linux 9.7 作為伺服器發行版本,需要 Podman 5.8.2 作為容器引擎。
移轉注意事項:
- Podman v3 容器與 Podman 5.8.2 不相容 — 您必須重新建立容器並重新安裝 Microsoft Tunnel
- RHEL 9.x 不會自動載入 ip_tables 模組 — 安裝前需手動載入
- 為新環境規劃 SELinux 與防火牆設定
管理員行動:如果您在舊版 RHEL 上執行 Tunnel 閘道,請規劃移轉至 9.7。更新自動化指令碼以使用 Podman 而非舊版容器引擎。
7. 新增 Linux Server 的 Defender Antivirus 設定
Linux Server 上 Microsoft Defender Antivirus 的端點安全防毒政策中新增了兩項設定:
- 離線安全情報更新 — 管理 Defender 如何在 Linux Server 裝置上保持簽章最新,包括離線時的更新。對於隔離或高安全性網路(DMZ、OT、受監管環境)中無法直接存取網際網路的伺服器至關重要。
- 排程掃描 — 管理 Defender 何時在 Linux 裝置上執行排程掃描,讓 Linux 更接近 Windows 的掃描一致性,實現可預測、可稽核的惡意軟體掃描。
這些設定同時適用於 Intune 註冊的 Linux Server 裝置以及透過 Microsoft Defender for Endpoint 安全設定管理進行管理的 Linux 裝置。
重要性所在:這消除了為 Linux 防毒管理編寫臨時指令碼或手動 cron 工作的需求。結合 Microsoft 更廣泛的 Controlled Configuration 計畫,它推動組織邁向跨 Windows 與 Linux 的統一端點保護策略。
管理員行動:在 Intune 中定義 Linux AV 基準。在維護時段設定排程掃描,並設定透過內部更新伺服器進行離線簽章發佈的政策。
宏觀視角
服務版本 2606 的第二波更新強化了 Intune 的三個策略方向:
- AI 感知管理 — 從 ChatGPT 保護到 Android AI 代理封鎖,Intune 正成為企業 AI 治理的控制平面
- 授權民主化 — 將 Suite 功能整合至 E3/E5 消除了阻礙許多組織採用進階安全功能的採購摩擦
- 平台整合 — Linux 伺服器管理、Android 企業強化與 AVD 支援收斂於單一管理平面之下
對於 IT 管理員而言,訊息很明確:Intune 不再只是 MDM 工具。它正成為涵蓋整個裝置群的端點安全、AI 治理與營運效率的策略性平台。
已在我們第一篇 2606 文章中涵蓋:EAM for GCC High/DoD、EAM 自動更新、macOS PKG 自動更新、iOS 的 WPA3-Personal,以及 M365 Apps 安全基準 v2512。Windows 25H2 基準中的 IE11 COM 自動化封鎖已另行單獨涵蓋。