關鍵重點
- Windows 365 Cloud PC 現在會在佈建期間評估 Intune 合規政策 — 裝置在使用者登入前即已合規。
- 消除了先前會在首次開機時封鎖使用者的「Not Evaluated」合規缺口。
- 資源庫映像已包含此更新;自訂映像需要 KB5070311 或更新版本。
- 組織應稽核並移除先前為彌補舊行為而設計的 Conditional Access 權宜措施。
- Windows 365 Frontline 與共用 Cloud PC 情境最能從此變更中受益。
Windows 365 修補了 Cloud PC 佈建中的關鍵合規缺口
Microsoft 交付了近期記憶中對 Windows 365 最實用的改進之一:Cloud PC 現在會在佈建期間評估 Intune 合規政策,與 MDM 註冊同時進行,無需使用者先登入。
如果您管理 Windows 365 環境,您很可能遇到過這種挫折。Cloud PC 完成佈建,使用者嘗試登入,Conditional Access 立即封鎖他們,因為裝置處於「Not Evaluated」合規狀態。裝置設定正確 — 只是尚未簽入。該缺口現已關閉。
佈建期間合規政策的運作方式
此變更內嵌於 Intune 管理代理程式在佈建協調階段的行為中。以下是更新後的流程:
- 佈建政策觸發,Windows 365 開始設定 Cloud PC。
- MDM 註冊在佈建過程中進行。
- 指派的合規政策在註冊階段同時評估 — 無需使用者登入。
- Cloud PC 在佈建完成前於 Entra ID 中達到合規狀態。
- 使用者登入時,Conditional Access 已將該裝置識別為合規。
技術基礎:KB5070311
此功能透過 KB5070311 交付,這是 Windows 11 25H2 與 24H2 版本 (OS Build 26200.7309 與 26100.7309) 的非安全性更新。Microsoft 的資源庫映像已包含此更新。如果您的組織使用自訂映像,您需要重新整理以包含 KB5070311 或更新版的累積更新 — 若無此更新,自訂映像 Cloud PC 將退回先前行為。
這對 Cloud PC 安全性與 Zero Trust 為何重要
不再需要 Conditional Access 權宜措施
強制執行需要裝置合規之 Conditional Access 政策的組織,一直被迫做出令人不安的取捨:
- 在寬限期間將 Cloud PC 群組排除於需要合規的 CA 政策之外
- 延長合規寬限期以延遲標記為不合規
- 為新佈建的裝置建立緊急例外
這些權宜措施每一項都引入了安全風險。它們造成了 Zero Trust 架構旨在防止的那類缺口。透過在佈建期間進行合規評估,這些權宜措施都不再需要。裝置在可存取之前即已驗證 — 就這麼簡單。
Zero Trust 對齊
Zero Trust 要求在每個存取點持續驗證。讓裝置處於未評估狀態的佈建流程是該模型的缺口。此更新強化了 Windows 365 佈建與 Zero Trust 原則之間的對齊,確保每台 Cloud PC 在使用者可與其互動之前即已驗證。
Windows 365 Frontline 與共用 Cloud PC 情境
對於使用 Windows 365 Frontline 或共用 Cloud PC 的組織而言,此改進尤其重要。前線工作者在緊湊排程下存取 Cloud PC — 在首次開機時被 Conditional Access 封鎖並非不便,而是生產力阻礙。佈建期間的合規評估表示工作者登入後即可立即開始工作,沒有延遲,也沒有服務台電話。
IT 系統管理員現在應採取的行動
1. 稽核並移除 Conditional Access 權宜措施
如果您為新佈建的 Cloud PC 實施了 CA 政策排除、延長寬限期或緊急例外,現在請檢閱並移除它們。這些是舊行為所導致的安全妥協。保留它們會引入不必要的風險。
2. 驗證安全性群組指派
確保用於合規政策指派的安全性群組包含在 Cloud PC 佈建期間建立的裝置物件。如果您依賴動態群組進行政策目標設定,請驗證成員資格規則在佈建期間 (而非之後) 即能擷取新佈建的 Cloud PC。
3. 更新自訂映像
資源庫映像已是最新。如果您的組織使用自訂映像,請重新整理以包含 KB5070311 或更新版本。這是多數環境的單一必要動作項目。
4. 執行分階段推出
對於複雜的合規與 Conditional Access 設定,分階段方法可降低風險:
- 試驗群組: 將測試佈建政策指派給小規模使用者群組,並驗證合規評估在佈建期間完成。
- 監控: 確認試驗 Cloud PC 在使用者登入前於 Intune 中顯示「Compliant」。
- 驗證 CA 行為: 驗證使用者存取 Cloud PC 時不會遇到首次開機 Conditional Access 封鎖。
- 擴展: 將更新的佈建政策推出至生產。
5. 檢閱資料落地與合規政策時機
具備寬限期或「標記裝置不合規」時機延遲的合規政策仍然適用。裝置在佈建期間可能合規,但如果補救未在寬限期內完成,可能會轉為不合規。將您的合規政策設定與新的佈建行為對齊,以避免意外。
額外背景:Windows 11 25H2 設定目錄
Windows 11 25H2 版本也為 Intune 設定目錄帶來 36 個新設定,包括 Windows Backup、Windows Recall AI 功能、Settings Agent、旁觀者偵測與省電模式的控制項。部署 25H2 的組織應將相關設定納入其合規與設定政策中,與此佈建改進並行。
這對您的組織意味著什麼
這不是華而不實的功能公告 — 而是修補實際營運缺口的務實改進。如果您正在執行 Windows 365 並有 Conditional Access 與合規需求 (您應該要有),此更新消除了一類會產生服務台票證並迫使安全妥協的首次開機失敗。
對資源庫映像使用者,好處是自動的。對自訂映像使用者,動作項目很直接。無論哪種方式,真正的價值來自檢閱您現有的權宜措施並移除不再需要的安全例外。
更緊密的 Zero Trust 對齊、更佳的前線工作者體驗與降低的營運負荷相結合,使這成為任何規模 Windows 365 部署有意義的一步。
需要最佳化 Windows 365 佈建政策或強化 Conditional Access 設定的協助?聯絡 Big Hat Group 取得 Windows 365 部署協助 — 我們專精於各種規模組織的 Cloud PC 策略、合規架構與端點管理。