Intune

Intune Admin Tasks GA:统一处理 EPM、Defender 与多管理员审批

3分钟阅读

摘要

Microsoft 宣布 Intune Admin Tasks 正式 GA,将 EPM 提权请求、Defender 安全修复任务和多管理员审批(MAA)整合进 Intune 管理中心中的统一优先级队列,管理员可在同一处完成审批、修复与审计追踪。此更新的重要性在于它能缩短高风险操作的响应时间、强化合规与 Zero Trust 治理,并结合 Security Copilot 与公开预览的 Device Offboarding Agent,为 AI 辅助安全运营提供更集中的监督与执行入口。

需要Intune方面的帮助?咨询专家

引言:为什么这很重要

Intune 管理员需要持续做出高风险、高影响的决策——批准权限提升、响应安全修复请求,以及验证敏感配置变更。当这些决策点分散在多个控制台中时,响应时间会变慢,审计追踪更难维护,风险也随之增加。随着 admin tasks 现已正式全面发布(GA),Microsoft 正在将这些审批与修复工作流整合到 单一的、按优先级排序的队列 中——旨在当下减少噪音,并为新兴的 AI 辅助运营提供一层监督能力。

Admin tasks 可在 Intune 管理中心Tenant administration 下找到。

Intune Admin Tasks(GA)有哪些新内容

Admin tasks 将三类关键工作流整合到一个统一体验中:

1) Endpoint Privilege Management (EPM) 提权请求

EPM 帮助标准用户在不授予永久本地管理员访问权限的情况下,以提升权限运行已批准的应用。

  • 从集中式队列中审查并批准/拒绝提权请求
  • 基于文件详细信息(发布者、hash、命令行)创建可复用规则
  • 将文件添加到可复用设置,以实现一致的治理
  • 便于审计的日志记录,支持合规与调查

如果你使用 Security Copilot,Intune 可呈现 上下文风险信号,为 EPM 审批决策提供参考。

2) Microsoft Defender for Endpoint (MDE) 安全任务

当 Defender 检测到威胁或配置缺口时,可生成修复任务,并直接在 Intune 中呈现。

  • 在同一个 admin tasks 队列中跟踪并完成修复工作
  • 将任务标记为完成或拒绝,并查看受影响设备列表
  • 利用推荐的 endpoint security profiles,包括对 Linux 上 EDR 与 AV exclusions 的更新配置支持
  • 维护活动日志,满足审计与合规需求

3) Multi Admin Approval (MAA) 请求

MAA 为高影响操作强制执行“第二双眼睛”(例如脚本、角色变更、远程操作与设备擦除)。

  • 从集中视图中批准/拒绝请求并完成变更
  • 记录请求者/审批者备注,增强审计就绪度
  • 通过阻止单人执行,降低管理员账号被攻破后的影响范围

借助 Security CopilotChange Review Agent 可分析 MAA 脚本请求的影响并提供建议。

同步包含:Device Offboarding Agent 任务(公开预览)

Admin tasks 现已纳入来自 Device Offboarding Agent 的操作(Microsoft Security Copilot 的一部分,目前处于公开预览)。它利用来自 Intune 与 Microsoft Entra 的信号识别未使用/过期设备,并支持引导式修复,例如禁用 Entra ID 设备对象。

  • 下载受影响设备的 CSV 列表
  • 采用可重复的清理流程以降低攻击面

对 IT 管理员与终端用户的影响

  • 通过单一、按优先级排序的队列,更快响应关键请求
  • 通过一致的工作流与日志记录,提升治理与审计就绪度
  • 更强的 Zero Trust 防护态势(最小权限 + 受控审批)
  • 当 EPM 降低对永久管理员权限的需求并减少服务台升级时,用户生产力更高

行动项 / 后续步骤

  1. 在 Intune 管理中心中,导航至 Tenant administration > Admin tasks,验证可见性与角色分配。
  2. 审查你的 EPM 提权 策略模型(自动、用户确认、支持团队审批),并标准化规则创建标准。
  3. Defender security tasks 的处理方式与事件/修复 SLA 对齐,并在适用时确认 Linux 安全配置文件覆盖。
  4. 为最高风险操作启用/扩展 Multi Admin Approval,并记录审批者工作流以满足审计要求。
  5. 如果正在试点 Security Copilot,评估 Device Offboarding Agent 预览,以及 Copilot 为 EPM/MAA 提供的上下文分析,在不削弱人工监督的前提下提升决策质量。

需要Intune方面的帮助?

我们的专家可以帮助您实施和优化Microsoft解决方案。

咨询专家

获取微软技术最新资讯

阅读LiMiller的原文
IntuneEndpoint Privilege ManagementMicrosoft Defender for EndpointMulti Admin ApprovalSecurity Copilot

相关文章

Intune

Microsoft Intune App Security for AI Workflows

Microsoft is expanding Intune’s app security capabilities with enhanced app inventory in May and Enterprise Application Management auto-updates in July, giving IT teams better visibility into managed and user-installed Windows apps and faster deployment of software updates. These changes matter because they help organizations spot risky or unauthorized apps sooner, reduce version drift, and lower exposure to vulnerabilities as AI-driven workflows increasingly depend on secure endpoint applications.

Intune

Microsoft Intune for MSPs Adds 3 Multi-Tenant Partners

Microsoft has added three new validated multi-tenant partners to its Intune for MSPs ecosystem—AvePoint Confidence Platform: Elements Edition, CyberDrain CIPP, and SoftwareCentral Tenant Manager—expanding tools for centralized automation, governance, security visibility, and policy standardization across customer tenants. This matters because it gives managed service providers more Microsoft-aligned options to reduce manual work, replace custom scripts, and manage multi-tenant environments more securely and efficiently.

Intune

Microsoft Intune February Update: Multi-Admin Approval & Apple DDM

Microsoft’s February Intune update adds multi-admin approval for device configuration and compliance policies, requiring a second admin to approve critical changes before they take effect. The release also improves Advanced Analytics device query results and expands Apple Declarative Device Management support, helping organizations strengthen change control, reduce configuration risk, and manage Apple devices more precisely at scale.

Intune

Intune App Protection in Edge for Business on Windows

Microsoft announced public preview support for Intune App Protection Policies in Edge for Business work profiles on Windows, allowing organizations to protect corporate data in the browser even on PCs already managed by another tenant. This matters because it gives contractors and partner users secure access to business apps without requiring full device enrollment, while enforcing controls like download redirection, copy/paste restrictions, and clearer Entra-based onboarding.

Intune

Intune 2026年1月更新:Win32脚本安装与EPM提权

Intune 2026 年 1 月更新聚焦企业终端管理中的高频痛点:新增 Win32 应用 PowerShell 脚本安装支持、EPM 提权可保留当前用户上下文并支持 scope tags,同时 Admin tasks 正式发布,集中管理提权审批、安全任务与下线流程。此次更新的重要性在于,它一方面降低了应用部署与更新成本、提升自动化和可审计性,另一方面也增强了合规隔离与终端用户体验,并在 Apple 设备注册中通过 ACME 证书和更多 Setup Assistant 控制进一步提升安全与管控能力。

Intune

Microsoft Intune Technical Takeoff 2026:3月每周一直播与AMA

Microsoft 宣布 Intune Technical Takeoff 2026 将于 3 月每周一在 Tech Community 直播,围绕 Zero Trust、安全、部署迁移、跨平台管理、自动化 AI、应用与报表等主题展开,并提供 AMA、Live Q&A、提前提问及字幕与录播支持。此活动的重要性在于管理员可直接从工程团队获得实操指导、验证产品方向,并更高效应对现代端点管理、安全与云化管理日益复杂的挑战。