Microsoft Intune 2025 年 10 月更新：EPM 与注册排障改进

引言：不会拖慢用户的安全

10 月的 Intune 发布与 Cybersecurity Awareness Month 的主题“Security Starts with You”相呼应，但对 IT 管理员而言更实际的重点是：减少日常摩擦，让安全配置更容易被接受与持续执行。本月新增内容强化了部署期间的可见性，增加了具备身份上下文感知的权限提升选择，并通过后端网络变更提升服务可靠性。

Intune 新增功能（2025 年 10 月）

1) 注册阶段分组失败报表（现已 GA）

在设备预配期间，排查为何设备未落入预期的静态设备组一直是长期痛点——在大规模场景下尤其明显。

• 现已正式发布（Generally Available）：Devices > Monitor > Enrollment time grouping failures
• 更快的数据刷新：更新信息会在 约 20 分钟内显示
• 覆盖范围：
  • Windows Autopilot device preparation provisioning
  • Android Enterprise fully managed
  • Android corporate-owned work profile (COPE)
  • Android Enterprise dedicated

该报表可帮助识别在注册期间组成员资格失败的设备，使管理员能更快修复问题，并避免后续配置/应用分配出现缺口。

2) Endpoint Privilege Management：“以当前用户身份提升”

EPM 现在允许你选择被提升权限的进程运行身份：

• 用户自己的帐户（“elevate as current user”），或
• EPM 默认的虚拟帐户（在严格的 Zero Trust 场景中更推荐）

价值点：一些应用在提权后失去用户配置文件上下文（环境变量、profile 路径、注册表设置、授权、个性化配置）时会异常。新选项在保留限定范围规则与审计轨迹的同时，提供了更高的灵活性。

3) 全新 EPM Overview 仪表板

对于正在从本地管理员迁移到标准用户的组织，Intune 新增 EPM Overview Dashboard，用于集中展示准备度与运维洞察。

它可帮助团队：

• 发现用户在提权相关流程中遇到的摩擦点
• 对比 受管理 vs. 未受管理 的提权活动与趋势
• 识别适合建立自动审批规则的候选项，从而降低服务台负载

4) 网络终结点更新（Azure Front Door IP 变更）

Intune 正在采用由 Azure Front Door 定义的新 IP 地址。这会影响那些基于 IP 或 service tags，通过 防火墙 allowlist 放行出站流量的客户。

5) Autopilot/OOBE 安全更新时点调整

通过 Enrollment Status Page 在 OOBE 期间安装 Windows 安全更新的能力，现在计划在 2026 年 1 月推出。该设置可能已可见，但 OOBE 期间的更新安装尚未启用。

对 IT 管理员的影响

• 更快的预配排障可缩短分组错误设备的修复时间。
• EPM 在不牺牲审计能力的前提下，更贴近日常应用对用户上下文的实际需求。
• EPM Overview 仪表板支持以可衡量的方式推进摆脱长期管理员权限。
• 网络终结点变更需要主动复核防火墙/代理设置，以避免服务中断。

行动项 / 下一步

1. 查看新报表：在 Devices > Monitor 验证 Autopilot 与 Android Enterprise 的注册阶段分组情况。
2. 评估 EPM 提权模式：仅针对确实需要用户上下文的应用试点“elevate as current user”；在可行情况下仍以虚拟帐户提权作为默认。
3. 使用 EPM Overview 仪表板，定位需要调优策略的用户/设备，并评估建立自动审批规则的机会。
4. 更新防火墙/代理 allowlist：依据最新的 Intune 网络终结点文档调整（尤其是你将策略固定到 IP/service tags 的场景）。
5. 为 2026 年 1 月做好规划：如果你的 Autopilot/OOBE 策略依赖在 ESP 期间安装 Windows 安全更新。