Microsoft 發布了 2026 年 6 月 15 日當週的 What’s New 更新,其中三項重大公告多半未受矚目:Win32 應用程式傳遞強制 HTTPS、Apple ADE 註冊時分組正式發行,以及 Android 個人自有工作設定檔移至 AMAPI 上線。
這些都不花俏,但每項都對 IT 團隊帶來實質的營運影響。以下是您需要知道的。
受管理的 Win32 應用程式現在要求 HTTPS 傳遞 — Connected Cache 期限已到
變更內容
自 2026 年 6 月 16 日起,Intune 對所有受管理的 Win32 應用程式內容強制執行 HTTPS 傳遞。若您執行 Microsoft Connected Cache (MCC) for Enterprise and Education 且尚未在快取節點上設定 HTTPS,您的用戶端將退回 CDN 傳遞來取得 Intune Win32 應用程式。
內容傳遞仍可運作 — 但在沒有快取的情況下,您會失去當初讓 MCC 值得部署的頻寬節省、佈建速度提升與在地化傳遞。對於大規模執行 Windows Autopilot 的組織而言,這意味更慢的佈建時間與更高的網際網路輸出成本。
範圍
此變更中僅有 Intune Win32 應用程式透過 HTTPS 強制執行。其他內容類型 — Windows 功能與品質更新、Microsoft 365 Apps、Office Click-to-Run、Defender 定義更新 — 仍透過 MCC 以 HTTP 提供服務。
但請注意,Microsoft Teams 內容已要求 HTTPS,且同樣不會在僅 HTTP 的 MCC 節點上快取。因此實際上有兩個受影響的內容家族。
要求
每個 MCC 節點必須以有效的 TLS 憑證設定。主要要求:
- 軟體版本:快取節點軟體必須為 2.0.0.2112 或更新版本
- 連接埠 443:必須在主機上空閒且可用
- 憑證格式:僅支援未加密 .crt 檔案。受密碼保護的 .pfx 或 .p12 格式尚無法匯入
- Subject/SAN:必須與用戶端裝置觸達節點的方式完全相符(FQDN 或 IP)
- TLS 檢查:執行 TLS 檢查的網路必須豁免 MCC 流量,否則用戶端會拒絕憑證
設定流程
- 在 MCC 主機上使用提供的指令碼產生 CSR
- 以您的內部 CA 或受信任憑證授權單位簽署
- 使用
importCert指令碼匯入 .crt - 驗證 — 先在 MCC 伺服器本身,然後從用戶端裝置
對於與 SCCM 整合的 MCC(配備 Connected Cache 的 Configuration Manager 發佈點),2026 年 2 月的更新也在該處新增了 HTTPS 支援。流程需要在 IIS 中啟用 TLS、下載更新的 DoincInstall.exe,並將 MCC 核取方塊關閉後再重新開啟。
IT 團隊現在應做的事
- 清查:檢查所有 MCC 節點軟體版本(必須 ≥ 2.0.0.2112)
- 排序優先:若尚未在 MCC 上設定 HTTPS,請提高優先順序。沒有的每一天都意味 Win32 應用程式與 Teams 內容的快取流失
- 測試:在非生產環境中驗證,再推出至生產節點
- 記錄:更新您的 MCC 營運程序與服務台文件
- 監看:設定完成後,驗證 Win32 應用程式內容的快取命中率已恢復
若您已為 MCC 設定 HTTPS(或根本不使用 MCC),則無需任何動作。
Apple ADE 註冊時分組 — 現已正式發行
變更內容
Apple 自動裝置註冊(ADE)在 iOS/iPadOS 與 macOS 上現已支援註冊時分組,並正式發行。此功能先前僅適用於 Windows Autopilot 與 Android Enterprise,讓管理員可在註冊原則中直接為裝置標記 Microsoft Entra ID 安全群組。
當裝置註冊時,它會在註冊流程本身期間成為指定安全群組的成員 — 而非在背景同步完成數分鐘或數小時後。這意味以該群組為目標的應用程式、設定原則與合規設定,可在 Setup Assistant 期間開始部署,而非在使用者抵達主畫面之後。
為何重要
對於零接觸部署工作流程而言,「裝置已註冊」與「裝置已完整設定」之間的差距一直是最大的摩擦點之一。在沒有註冊時分組的情況下,指派給動態或靜態群組的原則只能在裝置將其成員資格同步至 Entra ID 後才套用 — 這引入了一個可能讓使用者挫折並延遲生產力的延遲窗口。
隨著此正式發行,Apple 裝置部署現在享有 Windows Autopilot 與 Android Enterprise 部署長久以來享受的快速佈建。
設定要求
- 建立靜態 Microsoft Entra 安全群組
- 將 Intune Provisioning Client 服務主體新增為擁有者(AppId:
f1346770-5b25-470b-88bd-d5744ab7952c) - 在新的 Apple ADE 註冊原則中設定群組(現有設定檔不受影響)
- 每個註冊設定檔僅能有一個靜態群組
IT 團隊應做的事
- 立即建立安全群組:預先建立將指派給註冊設定檔的靜態群組
- 驗證服務主體:確認 Intune Provisioning Client 存在於您的 Entra ID 租用戶中
- 在小群組上測試:建立具備註冊時分組的新 ADE 註冊原則,並在測試裝置上驗證
- 為 2606 版本做準備:Apple ADE 註冊原則將隨即將到來的 2606 服務版本移至新基礎架構。註冊時分組是此更廣泛現代化的一部分 — 現在就熟悉它會有回報
Android 個人自有工作設定檔移至 AMAPI — 網頁註冊上線
變更內容
這是三項中最大的營運轉變。Microsoft 正將個人自有工作設定檔(BYOD Android)管理,從舊版自訂 DPC / Google Play EMM API 實作,轉移至 Google 的 Android Management API(AMAPI)。
有兩項功能正在推出:
1. 網頁式註冊 — 使用者不再需要安裝 Company Portal 應用程式來註冊其個人 Android 裝置。他們可從瀏覽器(Chrome 或 Edge)開始註冊:
- 透過直接 URL:
aka.ms/enrollmyandroid - 透過生產力應用程式(Teams、Outlook)在 Conditional Access 要求註冊時重新導向
- 透過 Company Portal 應用程式(仍可作為入口)
註冊後,Intune 應用程式與 Android Device Policy 應用程式(隱藏)會自動安裝。
2. 基於 AMAPI 的原則傳遞 — 個人自有工作設定檔裝置的原則管理,現在使用與公司自有裝置(COPE、COBO、COSU)已使用的相同現代化 API。這意味新功能釋出更快、跨 Android Enterprise 管理選項的行為一致,以及支援舊版自訂 DPC 無法提供的能力。
如何啟用
對新註冊 — 這在租用戶層級是選用(目前):
- 瀏覽至:Devices > Android 索引標籤 > Device onboarding > Enrollment > Personally owned devices with a work profile
- 勾選:Use web enrollment for all users enrolling into Android personally-owned work profile management
- ⚠️ 此變更無法復原
對現有已註冊裝置 — 建立「Move to Android Management API」裝置設定設定檔:
- Devices > Manage devices > Configuration > Create > New policy
- 平台:Android Enterprise
- 設定檔類型:Templates > Move to Android Management API
- 指派給要分階段遷移的裝置群組
時程:
- 現在(2026 年第二季末):網頁註冊與遷移原則的選用功能可用
- 2026 年下半年:其餘所有裝置自動遷移
重要注意事項
若您的租用戶使用 passkeys 作為唯一接受的驗證方法,請尚未啟用網頁註冊。網頁註冊的 passkey 支援將在未來更新中推出。
IT 團隊應做的事
- 先測試:在生產之前,先在測試租用戶中啟用網頁註冊
- 分階段遷移:使用 AMAPI 設定原則,以目標波次遷移現有已註冊裝置
- 更新文件:使用者註冊體驗正在改變 — 更新您的註冊指南與服務台指令碼
- 向使用者溝通:告知 BYOD Android 使用者註冊流程變得更簡單(無需下載應用程式)
- 檢視 Conditional Access:確保要求註冊的 CA 原則與網頁式流程相容
這是 Intune 管理 BYOD Android 的基礎性變更。它與 Google 對舊版自訂 DPC API 的棄用一致,並將 HCL 管理定位於下一代 Android 平台能力。
摘要
| 變更 | 影響等級 | 所需行動 |
|---|---|---|
| Win32 應用程式內容在 MCC 上要求 HTTPS | 高(若您使用 MCC) | 在 MCC 節點上設定 HTTPS |
| Apple ADE 註冊時分組正式發行 | 中(Apple 環境) | 預先建立 Entra 群組、更新 ADE 原則 |
| Android BYOD 移至 AMAPI | 高(Android 環境) | 啟用網頁註冊、規劃分階段遷移 |
這些都不是破壞性變更 — 但忽視 MCC HTTPS 期限、跳過註冊時分組採用,或延遲 AMAPI 遷移,將創造可透過數小時規劃避免的營運摩擦。
一如往常,請先在非生產環境測試、更新您的文件,並向服務台簡報。若您需要協助規劃其中任何轉換,請聯繫我們 — 我們已在不同組織間經歷過這些遷移多次,知道陷阱藏在哪裡。
— Kevin