Intune 2025 年 12 月更新:Admin tasks、Android 控制与注册体验
摘要
本次 Intune 2025 年 12 月更新聚焦于减少管理员重复操作并强化安全边界:新增 Admin tasks 统一查看 EPM、Defender 和多管理员审批任务,同时 EPM 提权请求开始遵循 scope tags,提升了基于 Zero Trust 的可见性与权限隔离。更新还增强了 Android 一线设备体验与隐私控制、支持更精准的策略定向及 root 检测后的即时 VPN 阻断,并推进 Apple 自动化注册体验优化,这些改进有助于企业在提升终端管理效率的同时降低安全风险。
引言:为何重要
端点管理团队持续承受“加速交付”的压力,同时还不能扩大安全风险。Intune 的最新更新延续了 2025 年“消除忙碌型工作(busy work)”的主题:通过整合工作流、收紧访问边界并增强跨平台控制来提升效率——尤其是在一线 Android 与 Apple 自动化注册体验上,这些体验往往直接决定用户满意度。
新增功能(2025 年 11–12 月)
1)在一个位置统一查看管理员工作(Public Preview)
新增的 Admin tasks 节点(Intune admin center > Tenant administration)集中呈现:
- Endpoint Privilege Management (EPM) 文件提权请求
- Defender for Endpoint 安全任务
- Multi-Admin Approval 请求
管理员可跨任务类型进行搜索、筛选与排序,从而减少在不同界面之间来回切换以及遗漏审批的情况。
2)EPM 提权请求现已遵循 scope tags
Intune 现在为审核 EPM 提权请求加入 scope tag enforcement。此前,具备授权的审核者可能会看到整个租户范围内的请求;现在通过限制可见性到管理员被分配的 scope,实现与 Zero Trust 原则更一致的 RBAC 边界。
3)Android 改进:体验、应用管理与更强的隐私控制
Managed Home Screen 新增更适合一线场景的选项:
- Offline mode 与 app access without sign-in
- 更细粒度的 volume controls(通话、铃声、通知、闹钟、媒体)
在维护 managed Google Play 目录方面,新增 “Reset to Basic” 选项,可快速恢复默认体验(“所有已批准应用均可见”)。
在底层能力上,Android 保护通过 Intune Settings Catalog 扩展,包括:
- Block assist content sharing with privileged apps(帮助防止 AI assistants/屏幕阅读器捕获工作配置文件上下文)
- 工作配置文件隐私控制(例如 block Bluetooth contact sharing、阻止工作联系人出现在个人来电显示中)
- 新的工作配置文件密码控制(过期、重复使用历史、失败后擦除)
4)更精确的 Android 目标定位 + 实时 VPN 强制
现在可将 Device Management Type 作为 assignment filter 属性,以更好地在 Android Enterprise 与 AOSP 场景中精准定向策略。
此外,当 Defender for Endpoint 在 Android 上检测到 root 时,Microsoft Tunnel 可立即阻止 VPN 访问(包括断开现有连接),直到设备完成修复。
5)Apple 注册体验设计(GA)
面向 iOS/iPadOS 和 macOS Automated Device Enrollment 的 Setup Assistant customization 现已 generally available。管理员可隐藏/显示特定的 Setup Assistant 屏幕,从而按设备或用户组定制引导流程。
6)Windows 365 上线:Autopilot device prep(Preview)
Windows Autopilot device preparation in automatic mode 现已在以下场景进入 public preview:
- Windows 365 Enterprise
- Windows 365 Frontline(dedicated mode)
- Windows 365 Cloud Apps
这使得在 Cloud PC 预配期间即可应用 device prep 策略,降低对自定义镜像的依赖,并通过更清晰的报表提升首日可用性。
对 IT 管理员与最终用户的影响
- 管理员获得更快、更可靠的审核工作流(并减少在控制台之间跳转)。
- EPM 请求处理具备更强的最小特权边界。
- Android 设备群受益于更实用的一线体验改进与更强的隐私控制——随着 AI 辅助能力演进,这一点尤为关键。
- Apple ADE 更一致、更友好,改善首次开机体验。
- Windows 365 用户可更快进入已准备好所需应用/脚本的 Cloud PC。
行动建议 / 下一步
- 试点 Admin tasks 节点,并更新与审批及安全任务相关的运维手册(runbooks)。
- 复核 scope tag 策略,确保 EPM 审核者具备正确(且仅应具备的)可见范围。
- 针对 Android:评估新的 Settings Catalog 控制项(尤其是 “block assist content sharing”),并使用 Device Management Type filters 优化策略定向。
- 若使用 Microsoft Tunnel,请验证 root detection → VPN block 工作流,并为用户确认修复指引。
- 对 Apple ADE:按角色(例如高管 vs. 一线)标准化 Setup Assistant 屏幕集合。
- 对 Windows 365:在试点组测试 Autopilot device prep (automatic mode),并监控 CPC + Autopilot device prep 部署报表。
获取微软技术最新资讯