Intune 2026年1月更新：Win32脚本安装与EPM提权

简介：为什么这些 Intune 更新很重要

1 月的 Intune 改进直指 IT 管理员最常遇到的日常摩擦点：Win32 应用的打包与更新、在不破坏用户上下文依赖的前提下安全启用提权，以及在安全与终端运维不断增长的审批与修复工作流之间进行管理。最终效果是更快的变更节奏、更清晰的可审计性，以及更一致的管理员体验。

新增功能

为 Win32 应用提供 PowerShell 脚本安装程序

Intune 现在支持在创建 Win32 应用时上传 PowerShell 脚本作为安装程序（不再仅限于指定命令行）。Intune 会将脚本与应用内容一并打包，并在与安装程序相同的上下文中运行。

主要优势：

• 更快迭代：无需每次都重新打包并上传完整应用二进制文件，只需更新脚本即可。
• 更强定制：使用脚本实现前置条件检查、依赖处理、注册表更新以及安装后配置。
• 更高可见性：根据返回码，安装结果会在 Intune admin center 中以 成功/失败 进行报告。

这对部署与合规要求严格的组织（例如金融与医疗行业）尤其有帮助，因为其安装流程往往包含强制检查与修复步骤。

Endpoint Privilege Management (EPM) 更加精细

本次重点包含两项 EPM 增强：

• Elevate as current user：提权现在可以保留当前用户的配置文件上下文（配置文件路径、环境变量、个性化设置）。这对依赖活动用户配置文件的安装程序与工具非常关键。
• 为提权场景提供 scope tags：可通过 scope tags 限制管理员对提权请求的可见性，帮助在受监管或分区隔离的环境中实现访问隔离。

这些能力结合起来，既提升终端用户可用性，也强化管理员的审计追踪与合规报表能力。

Admin tasks 现已正式发布（GA）

Admin tasks（位于 Tenant Administration）提供一个集中、带优先级的队列，管理员可在其中对运维任务与审批进行搜索、筛选和排序。

目前包含的工作负载：

• EPM elevation requests
• Multi Admin Approval (MAA) 任务
• Microsoft Defender for Endpoint (MDE) 安全任务
• Device Offboarding Agent 任务（Microsoft Security Copilot）

这一整合之所以重要，是因为审批、安全修复与下线工作流正变得高度关联——并且每次批准/拒绝都会被记录，以满足审计需求。

Apple 注册：ACME 证书与更多 Setup Assistant 控制项

Intune 正在为新的 iOS/iPadOS/macOS 注册推出 ACME 协议支持。新的 Apple 设备将获得 ACME 证书（替代 SCEP），通过自动化与更强的校验机制，提升对未授权证书签发的防护能力，并减少证书管理错误。

此外，Intune 还新增了 12 个新的 Setup Assistant 屏幕，你可以在 Apple Automated Device Enrollment (ADE) 期间进行控制，从而更灵活地精简（或锁定）设备入门体验。

对 IT 管理员与终端用户的影响

• 管理员将看到应用打包开销下降、提权治理更清晰，以及分散在多个页面与工具中的运维任务更不容易“丢失”。
• 终端用户将受益于更可靠的应用安装、更顺畅且能兼容用户配置文件依赖工具的提权体验，以及更一致的 Apple 入门流程。

行动项 / 下一步

• 复盘你的 Win32 应用部署流程，识别哪些包可通过 PowerShell 脚本安装程序减少重复打包周期。
• 若使用 EPM，验证哪些场景需要 用户上下文提权（依赖配置文件路径或环境变量的安装程序/工具），并确保管理员隔离策略与 scope tags 对齐。
• 将 Admin tasks 作为 EPM/MAA/MDE/下线工作流的主要入口队列进行试点，并相应更新运行手册（runbooks）。
• 面向 Apple 平台，确认注册方式（ADE/Configurator/Device Enrollment），规划采用 ACME 证书，并梳理更新后的 Setup Assistant 体验需求。