Microsoft Intune: обновления за декабрь 2025
Кратко
Microsoft представила декабрьские обновления Intune 2025, направленные на упрощение работы администраторов и усиление контроля доступа: в центре администрирования появился единый раздел Admin tasks для задач EPM, Defender for Endpoint и Multi-Admin Approval, а запросы на повышение привилегий EPM теперь учитывают scope tags. Это важно, потому что снижает риск пропущенных согласований, уменьшает ручную нагрузку и лучше соответствует принципам Zero Trust при управлении устройствами и приложениями в крупных организациях.
Введение: почему это важно
Команды по управлению конечными точками постоянно вынуждены двигаться быстрее, не увеличивая при этом риски для безопасности. Последние обновления Intune продолжают линию 2025 года по устранению «рутинной работы» за счет консолидации рабочих процессов, ужесточения границ доступа и улучшения кроссплатформенных контролей — особенно там, где опыт автоматизированной регистрации Android для frontline и Apple может определять удовлетворенность пользователей.
Что нового (ноябрь–декабрь 2025)
1) Единое место для просмотра административной работы (Public Preview)
Новый узел Admin tasks (Intune admin center > Tenant administration) централизует:
- запросы на повышение привилегий файлов в Endpoint Privilege Management (EPM)
- задачи безопасности Defender for Endpoint
- запросы Multi-Admin Approval
Администраторы могут выполнять поиск, фильтрацию и сортировку по типам задач — снижая необходимость переключаться между разделами и уменьшая риск пропущенных согласований.
2) Запросы на повышение привилегий EPM теперь учитывают scope tags
Intune добавляет принудительное применение scope tags при рассмотрении запросов на повышение привилегий EPM. Ранее авторизованные рецензенты потенциально могли видеть запросы по всему tenant; теперь RBAC лучше соответствует принципам Zero Trust, ограничивая видимость назначенной областью администратора.
3) Улучшения Android: UX, управление приложениями и более сильные контроли конфиденциальности
В Managed Home Screen появились удобные для frontline опции:
- Offline mode и доступ к приложениям без входа
- более детальные настройки громкости (звонки, рингтон, уведомления, будильники, медиа)
Для обслуживания каталога managed Google Play добавлена новая опция “Reset to Basic”, которая быстро возвращает стандартное поведение «все одобренные приложения видимы».
На уровне платформенных настроек защита Android расширяется через Intune Settings Catalog, включая:
- Block assist content sharing with privileged apps (помогает предотвращать захват контекста рабочего профиля AI assistants/экранными считывателями)
- контроли конфиденциальности рабочего профиля (например, block Bluetooth contact sharing, предотвращение отображения рабочих контактов в личном caller ID)
- новые параметры пароля рабочего профиля (срок действия, история повторного использования, wipe при неудачных попытках)
4) Более точное таргетирование Android + применение VPN в реальном времени
Теперь можно использовать Device Management Type как свойство assignment filter для более точного нацеливания политик в сценариях Android Enterprise и AOSP.
Кроме того, когда Defender for Endpoint обнаруживает root на Android, Microsoft Tunnel может немедленно заблокировать доступ к VPN (включая разрыв активных подключений) до устранения проблемы на устройстве.
5) Дизайн опыта регистрации Apple (GA)
Setup Assistant customization для iOS/iPadOS и macOS Automated Device Enrollment теперь generally available. Администраторы могут скрывать/показывать отдельные экраны Setup Assistant, чтобы адаптировать первичную настройку под устройство или группу пользователей.
6) Онбординг Windows 365: Autopilot device prep (Preview)
Windows Autopilot device preparation в automatic mode теперь доступен в public preview для:
- Windows 365 Enterprise
- Windows 365 Frontline (dedicated mode)
- Windows 365 Cloud Apps
Это позволяет применять политики подготовки устройства во время provisioning Cloud PC — снижая зависимость от кастомных образов и повышая готовность «в первый день» благодаря более понятной отчетности.
Влияние на ИТ-администраторов и конечных пользователей
- Администраторы получают более быстрые и надежные процессы рассмотрения (и меньше переключений в консоли).
- Более жесткие границы least privilege при обработке запросов EPM.
- Android-парк получает практичные улучшения UX для frontline и более сильные контроли конфиденциальности — особенно актуально по мере развития AI-assisted функций.
- Apple ADE становится более предсказуемым и удобным, улучшая опыт первого запуска.
- Пользователи Windows 365 быстрее получают Cloud PC с готовыми обязательными приложениями/скриптами.
Рекомендуемые действия / следующие шаги
- Пилотируйте узел Admin tasks и обновите операционные runbook’и для согласований и задач безопасности.
- Пересмотрите стратегию scope tags, чтобы у рецензентов EPM была нужная (и только нужная) видимость.
- Для Android: оцените новые контроли в Settings Catalog (особенно “block assist content sharing”) и уточните таргетирование политик с помощью фильтров Device Management Type.
- Если используете Microsoft Tunnel, проверьте сценарий root detection → VPN block и подтвердите инструкции по remediation для пользователей.
- Для Apple ADE стандартизируйте наборы экранов Setup Assistant по персонам (например, руководители vs. frontline).
- Для Windows 365 протестируйте Autopilot device prep (automatic mode) на пилотной группе и отслеживайте отчеты развертывания CPC + Autopilot device prep.
Нужна помощь с Intune?
Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.
Поговорить с экспертомБудьте в курсе технологий Microsoft