Microsoft 發布了 2026 年 6 月 15 日當週的 What’s New 更新,其中三項重大公告多半未受矚目:Win32 應用程式傳遞強制 HTTPSApple ADE 註冊時分組正式發行,以及 Android 個人自有工作設定檔移至 AMAPI 上線。

這些都不花俏,但每項都對 IT 團隊帶來實質的營運影響。以下是您需要知道的。


受管理的 Win32 應用程式現在要求 HTTPS 傳遞 — Connected Cache 期限已到

變更內容

2026 年 6 月 16 日起,Intune 對所有受管理的 Win32 應用程式內容強制執行 HTTPS 傳遞。若您執行 Microsoft Connected Cache (MCC) for Enterprise and Education 且尚未在快取節點上設定 HTTPS,您的用戶端將退回 CDN 傳遞來取得 Intune Win32 應用程式。

內容傳遞仍可運作 — 但在沒有快取的情況下,您會失去當初讓 MCC 值得部署的頻寬節省、佈建速度提升與在地化傳遞。對於大規模執行 Windows Autopilot 的組織而言,這意味更慢的佈建時間與更高的網際網路輸出成本。

範圍

此變更中僅有 Intune Win32 應用程式透過 HTTPS 強制執行。其他內容類型 — Windows 功能與品質更新、Microsoft 365 Apps、Office Click-to-Run、Defender 定義更新 — 仍透過 MCC 以 HTTP 提供服務。

但請注意,Microsoft Teams 內容已要求 HTTPS,且同樣不會在僅 HTTP 的 MCC 節點上快取。因此實際上有兩個受影響的內容家族。

要求

每個 MCC 節點必須以有效的 TLS 憑證設定。主要要求:

  • 軟體版本:快取節點軟體必須為 2.0.0.2112 或更新版本
  • 連接埠 443:必須在主機上空閒且可用
  • 憑證格式:僅支援未加密 .crt 檔案。受密碼保護的 .pfx 或 .p12 格式尚無法匯入
  • Subject/SAN:必須與用戶端裝置觸達節點的方式完全相符(FQDN 或 IP)
  • TLS 檢查:執行 TLS 檢查的網路必須豁免 MCC 流量,否則用戶端會拒絕憑證

設定流程

  1. 在 MCC 主機上使用提供的指令碼產生 CSR
  2. 以您的內部 CA 或受信任憑證授權單位簽署
  3. 使用 importCert 指令碼匯入 .crt
  4. 驗證 — 先在 MCC 伺服器本身,然後從用戶端裝置

對於與 SCCM 整合的 MCC(配備 Connected Cache 的 Configuration Manager 發佈點),2026 年 2 月的更新也在該處新增了 HTTPS 支援。流程需要在 IIS 中啟用 TLS、下載更新的 DoincInstall.exe,並將 MCC 核取方塊關閉後再重新開啟。

IT 團隊現在應做的事

  • 清查:檢查所有 MCC 節點軟體版本(必須 ≥ 2.0.0.2112)
  • 排序優先:若尚未在 MCC 上設定 HTTPS,請提高優先順序。沒有的每一天都意味 Win32 應用程式與 Teams 內容的快取流失
  • 測試:在非生產環境中驗證,再推出至生產節點
  • 記錄:更新您的 MCC 營運程序與服務台文件
  • 監看:設定完成後,驗證 Win32 應用程式內容的快取命中率已恢復

若您已為 MCC 設定 HTTPS(或根本不使用 MCC),則無需任何動作。


Apple ADE 註冊時分組 — 現已正式發行

變更內容

Apple 自動裝置註冊(ADE)在 iOS/iPadOS 與 macOS 上現已支援註冊時分組,並正式發行。此功能先前僅適用於 Windows Autopilot 與 Android Enterprise,讓管理員可在註冊原則中直接為裝置標記 Microsoft Entra ID 安全群組。

當裝置註冊時,它會在註冊流程本身期間成為指定安全群組的成員 — 而非在背景同步完成數分鐘或數小時後。這意味以該群組為目標的應用程式、設定原則與合規設定,可在 Setup Assistant 期間開始部署,而非在使用者抵達主畫面之後。

為何重要

對於零接觸部署工作流程而言,「裝置已註冊」與「裝置已完整設定」之間的差距一直是最大的摩擦點之一。在沒有註冊時分組的情況下,指派給動態或靜態群組的原則只能在裝置將其成員資格同步至 Entra ID 後才套用 — 這引入了一個可能讓使用者挫折並延遲生產力的延遲窗口。

隨著此正式發行,Apple 裝置部署現在享有 Windows Autopilot 與 Android Enterprise 部署長久以來享受的快速佈建。

設定要求

  • 建立靜態 Microsoft Entra 安全群組
  • Intune Provisioning Client 服務主體新增為擁有者(AppId:f1346770-5b25-470b-88bd-d5744ab7952c)
  • 新的 Apple ADE 註冊原則中設定群組(現有設定檔不受影響)
  • 每個註冊設定檔僅能有一個靜態群組

IT 團隊應做的事

  • 立即建立安全群組:預先建立將指派給註冊設定檔的靜態群組
  • 驗證服務主體:確認 Intune Provisioning Client 存在於您的 Entra ID 租用戶中
  • 在小群組上測試:建立具備註冊時分組的新 ADE 註冊原則,並在測試裝置上驗證
  • 為 2606 版本做準備:Apple ADE 註冊原則將隨即將到來的 2606 服務版本移至新基礎架構。註冊時分組是此更廣泛現代化的一部分 — 現在就熟悉它會有回報

Android 個人自有工作設定檔移至 AMAPI — 網頁註冊上線

變更內容

這是三項中最大的營運轉變。Microsoft 正將個人自有工作設定檔(BYOD Android)管理,從舊版自訂 DPC / Google Play EMM API 實作,轉移至 Google 的 Android Management API(AMAPI)

有兩項功能正在推出:

1. 網頁式註冊 — 使用者不再需要安裝 Company Portal 應用程式來註冊其個人 Android 裝置。他們可從瀏覽器(Chrome 或 Edge)開始註冊:

  • 透過直接 URL:aka.ms/enrollmyandroid
  • 透過生產力應用程式(Teams、Outlook)在 Conditional Access 要求註冊時重新導向
  • 透過 Company Portal 應用程式(仍可作為入口)

註冊後,Intune 應用程式與 Android Device Policy 應用程式(隱藏)會自動安裝。

2. 基於 AMAPI 的原則傳遞 — 個人自有工作設定檔裝置的原則管理,現在使用與公司自有裝置(COPE、COBO、COSU)已使用的相同現代化 API。這意味新功能釋出更快、跨 Android Enterprise 管理選項的行為一致,以及支援舊版自訂 DPC 無法提供的能力。

如何啟用

對新註冊 — 這在租用戶層級是選用(目前):

  • 瀏覽至:Devices > Android 索引標籤 > Device onboarding > Enrollment > Personally owned devices with a work profile
  • 勾選:Use web enrollment for all users enrolling into Android personally-owned work profile management
  • ⚠️ 此變更無法復原

對現有已註冊裝置 — 建立「Move to Android Management API」裝置設定設定檔:

  • Devices > Manage devices > Configuration > Create > New policy
  • 平台:Android Enterprise
  • 設定檔類型:Templates > Move to Android Management API
  • 指派給要分階段遷移的裝置群組

時程:

  • 現在(2026 年第二季末):網頁註冊與遷移原則的選用功能可用
  • 2026 年下半年:其餘所有裝置自動遷移

重要注意事項

若您的租用戶使用 passkeys 作為唯一接受的驗證方法,請尚未啟用網頁註冊。網頁註冊的 passkey 支援將在未來更新中推出。

IT 團隊應做的事

  • 先測試:在生產之前,先在測試租用戶中啟用網頁註冊
  • 分階段遷移:使用 AMAPI 設定原則,以目標波次遷移現有已註冊裝置
  • 更新文件:使用者註冊體驗正在改變 — 更新您的註冊指南與服務台指令碼
  • 向使用者溝通:告知 BYOD Android 使用者註冊流程變得更簡單(無需下載應用程式)
  • 檢視 Conditional Access:確保要求註冊的 CA 原則與網頁式流程相容

這是 Intune 管理 BYOD Android 的基礎性變更。它與 Google 對舊版自訂 DPC API 的棄用一致,並將 HCL 管理定位於下一代 Android 平台能力。


摘要

變更影響等級所需行動
Win32 應用程式內容在 MCC 上要求 HTTPS高(若您使用 MCC)在 MCC 節點上設定 HTTPS
Apple ADE 註冊時分組正式發行中(Apple 環境)預先建立 Entra 群組、更新 ADE 原則
Android BYOD 移至 AMAPI高(Android 環境)啟用網頁註冊、規劃分階段遷移

這些都不是破壞性變更 — 但忽視 MCC HTTPS 期限、跳過註冊時分組採用,或延遲 AMAPI 遷移,將創造可透過數小時規劃避免的營運摩擦。

一如往常,請先在非生產環境測試、更新您的文件,並向服務台簡報。若您需要協助規劃其中任何轉換,請聯繫我們 — 我們已在不同組織間經歷過這些遷移多次,知道陷阱藏在哪裡。

— Kevin