HOWTO: 使用 Intune 执行设备安全启动证书更新

        距离6月所剩无几，回顾 gOxiA 之前的日志“HOWTO: 升级 Secure Boot 证书解决2026年到期问题”，可见关注该问题的用户还是比较多的。对于正在使用 Intune 现代管理技术的组织，可以借助 Intune 来轻松执行设备安全启动证书的更新任务，如果之前阅读过“HOWTO: 通过 Intune 修正脚本监视安全启动证书状态”并已实施监测，那应该会有可靠的数据支撑来执行更新工作。

        为了确保可靠高效的更新建议采用分步执行的策略，这里推荐使用 Intune 的分配筛选器创建不同的筛选策略来分配安全启动证书更新策略。例如计划先为 Microsoft Surface 品牌的设备执行安全证书更新，为此登录 Intune 管理中心转到“租户管理 - 分配筛选器 - 创建 - 托管设备”，之后跟随向导完成设置，主要的设置在“规则”配置中，可以根据不同属性创建表达式。

        表达式创建完毕后，即可转到“设备 - 管理设备 -配置”中创建安全启动证书更新策略，平台为“Windows 10 及更高版本”，配置文件类型为“设置目录”，跟随向导完成配置，其中配置设置里可搜索关键词“Secure”来找到“安全启动”配置，并勾选“启用安全启动证书更新”。

        因为我们计划此更新策略只先行在 Microsoft Surface 品牌的设备上执行，所以在“分配”配置页面中，对分配的条目添加“分配筛选器”，选择“在分配中包含已筛选的设备”，并选择我们前面添加的筛选即可。这表示只有符合过滤条件的设备才能获得策略！如果选择“在分配中排除已筛选的设备”，则匹配过滤器的设备不会收到该策略。

        完成上述配置后即可等待策略执行，需要注意的是安全启动设置并不会立即开始应用，为每 12小时运行一次。在应用了安全启动更新后并不会导致重启，但需要重启才能完成更新。

推荐官方文档：

Policy CSP - SecureBoot | Microsoft Learn

适用于组织的 Windows Backup 首次登录还原体验现已发布

        2026年2月24日微软公布首次登录还原体验已作为 Windows Backup for Organizations 的一部分正式提供。首次登录还原体验即允许组织用户在完成 OOBE 后首次登录 Windows 时可以再次选择是否要从备份恢复设备。如果你对 Windows Backup for Organizations 还感到陌生，建议先阅读以下几篇日志：

• 微软推出适用于组织的 Windows 备份
• HOWTO: 为组织启用 Windows Backup
• 适用于组织的 Windows 备份已正式发布

        默认情况下，当 IT 启用了 Windows Backup for Organizations 后，用户可以在自己的设备上使用 Windows Backup 对当前系统进行备份，当重装系统或使用新设备时，在 OOBE 完成组织账户验证后，便会提示选择还原电脑，可将之前的备份信息恢复到当前设备上。在早期，用户只有在 OOBE 阶段才能进行这个恢复选择，但现在用户即使在 OOBE 错过了恢复操作，也可以在首次登录 Windows 桌面时根据提示再次选择是否执行恢复，这一体验将会极大的方便用户。

        需要注意，首次登录期间的还原要求如下：

• Windows 11 24H2 26100.7922 或更高版本
• Windows 11 25H2 26200.7922 或更高版本
• 设备已完成注册
• 注册后，用户首次登录
• 用户至少有一个备份配置文件
• 必须 Microsoft Entra 联接或 Microsoft Entra 混合联接

推荐官方文档：

Windows Backup for Organizations overview | Microsoft Learn ]]> https://goxia.maytide.net/read.php/2186.htm gOxiA <sufan_cn@msn.com> Sat, 28 Feb 2026 15:54:29 +0000 https://goxia.maytide.net/read.php/2186.htm

HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态

        去年11月份 gOxiA 分享了“HOWTO: 升级 Secure Boot 证书解决 2026年到期问题”的日志，看起来很多 IT 都在关注这个事情。如果当前组织正计划开始实施安全证书的更新，并且已经在基于 Intune 管理，那么强烈建议考虑通过 Intune 修正脚本来监视安全启动证书的状态。

        微软官方给出了一套方案，使用一个 PowerShell 脚本来收集安全启动和证书状态，将这些清单数据输出为 JSON 字符串，并将其报告回 Intune，这样 IT 人员便可直观了解到每个设备的安全启动证书的状态信息，来采取对应的计划或措施。微软提供的脚本只用来收集对应信息，不会做任何变更动作，可放心使用。

        该脚本的获取地址：https://support.microsoft.com/en-us/topic/sample-secure-boot-inventory-data-collection-script-d02971d2-d4b5-42c9-b58a-8527f0ffa30b

        从脚本内容可见会从以下源读取信息：

• 注册表 - HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot，获取安全启动证书更新状态、设备属性等信息。
• WMI/CIM - 获取 OS 版本、上次启动时间和主板硬件信息。
• 事件日志 - 收集事件ID 为 1801 和 1808 的系统事件，这两个 ID 事件为安全启动更新事件。

        相关信息会转换为 JSON 字符串输出显示在 Intune 门户中，具体位置是“设备 - 脚本和修正”在列表中找到刚才添加的脚本条目，进入后在列中启用“修正前检测输出”，具体如下图所示，就能看到收集到的设备安全启动的相关信息。

        要创建这个修正也很简单，进入 Intune 管理中心 - 设备 - 脚本和修正，添加脚本。然后定义个名称，并根据需要添加说明。

        然后，上传 ps1 脚本文件，并确保“使用已登录的凭据运行此脚本”和“强制执行脚本签名检查”为“否”，并将“在 64 位 PowerShell 中运行脚本”设为“是”。

        根据需要分配要收集数据额组，并配置一个计划，建议为每日执行。

        在审阅界面确认配置无误便可创建。

        需要注意的是，如果进入脚本和修正后无法在修正中添加脚本，则需要检查是否允许 Windows 许可证验证，为此 IT 管理员需要进入 Intune 租户管理 - 连接器和令牌中找到 Windows 数据选项来启用该配置。

推荐官方文档：

Monitoring Secure Boot certificate status with Microsoft Intune remediations | Microsoft Support

Microsoft Intune Remediations | Microsoft Learn

Enable Windows diagnostic data and license verification | Microsoft Learn ]]> https://goxia.maytide.net/read.php/2185.htm gOxiA <sufan_cn@msn.com> Tue, 24 Feb 2026 08:15:59 +0000 https://goxia.maytide.net/read.php/2185.htm

适用于 Win32 应用的 PowerShell 脚本安装程序

        2026年新年伊始，Intune 公布了最新的功能 - 允许在添加 Win32 应用时上传 PowerShell 脚本作为安装程序，而不再只是指定命令行。在过去我们基本的流程是测试验证应用程序安装包的静默参数，然后根据需要准备安装脚本，并使用“Microsoft Win32 Content Prep Tool”对应用程序安装包进行 .intunewin 打包，然后在 Intune 中上传该文件包（.intunewin），提供相关的信息和安装命令行进行发布。

        这种方法的繁琐程度也是显而易见，一旦需要修改安装脚本就需要重新打包上传安装包，即使是使用默认的命令行也需要维护这些安装包的安装信息。现在，Intune 允许在发布 Win32 应用时额外上传用于安装的 PowerShell 脚本，这一举措将极大提升 IT 的效率，简化发布流程。

        如上图所示，我们可以将“安装程序类型”指定为“PowerShell 脚本”，然后单独上传用于安装的 ps1 文件即可，Intune 会自行将脚本与应用内容一起打包，并在与应用安装程序相同的上下文中运行该脚本。这对于要部署安装复杂应用的场景非常重要，我们可以在 ps1 中做正式安装前的检查工作，对安装过程中的配置更改，在安装后进行实例的验证，当然如果要基于设备状态和运行环境执行复杂条件逻辑，那基于此方式的安装都会非常便利，且不用再将 ps1 脚本与应用安装包一同打包 .intunewin 文件，也减少了维护的复杂度。

        对于此 PowerShell 安装脚本的支持需要注意以下几点：

• 脚本的大小限制为 50KB
• 脚本与应用安装程序一致的上下文中运行
• 脚本中的返回代码会确定安装成功或失败状态
• 脚本应以无提示方式运行，无需用户交互

推荐官方参考：

What's new in Microsoft Intune - Week of January 12, 2026 | Microsoft Learn

Win32 app management in Microsoft Intune | Microsoft Learn

在 OOBE 期间安装 Windows 安全更新的 ESP 支持已于 2026年1月13日启用

        去年9月 gOxiA 分享了“ESP 将提供在 Windows OOBE 期间安装更新的支持”，这个功能能够确保现代部署方案下的终端设备在 Windows 初始配置阶段就是最新的安全更新版本，无需等待进入系统后的持续 Windows Update，满足了高合规和安全要求的组织需求。

        但在当时发布后因为众多因素影响，微软暂停了这一特性的正式启用，直至今年1月13日才开始重新启用，我们可以在 Intune 更新历史中追溯到这个说明更新。

        具体可参考：Enrollment Status Page support for installing Windows security updates during Windows OOBE | Microsoft Learn

        该功能的前提条件是 IT 管理员需要在 Intune Portal 里为 ESP（注册状态页） 启用该功能，我们可以在设置页面看到预览字样已被去除，意味着正式启用。

        一旦启用 ESP 阶段执行 Windows Update，用户在执行 Windows Autopilot 过程的尾声就会看到向导开始为当前设备执行更新。从实际的体验来看，下载和安装的速度还是令人满意的，不会牺牲太多的时间，但换来的是用户登录桌面后，系统即保持最新的安全更新状态。

Windows App 分屏预览版

        近期 Windows App 的 Web 版提供了一个全新的功能特性 - 分屏，目前还处于预览版。从媒体了解到该功能已获专利，堪称业内独一无二。它在 Windows App 的网页版中实现了 Windows 的分屏功能，即在浏览器中模拟出两个显示器，从而实现在同一个会话中并排查多个桌面，方便窗口的组织和导航，无需频繁地进行切换。

        该项功能的启用非常容易，只需要在登录远程桌面时打开“Split screen”，当然也可以在使用时通过界面右上角的设置图标进行开启或关闭。

        以下是实际使用时的效果。

需要注意，要在 Windows App 网页版中开启这个分屏需要确保当前主显示器的宽度至少为1600像素，Windows App 才允许将当前屏幕分割为两个并排的显示器。

具体可参考：Split Screen (Preview) | Microsoft Learn

AVD App Attach 是什么

        如果你了解过 Microsoft 应用虚拟化（App-V），那么就很容易理解 App Attach（应用附加），它是 Azure Virtual Desktop（AVD）的一项新功能，允许将应用程序以 MSIX 或 App-V 包的形式动态挂载到用户会话，而无需直接安装在会话主机上。这种方式不仅提升了灵活性，还大大提高了安全性和可维护性。

        App Attach 应用通过 RemoteApp 或桌面会话的方式交付，用户只会看到分配给他们的应用。而且同一个应用包可用于多个主机池，并能够针对不同用户分配不同的应用。支持并排运行多个版本，或通过新镜像进行原地更新。不同于VHD/VHDX 映像，App Attach 采用 CimFS 映像格式，更快更节省资源。应用在运行时始终在容器中，隔离用户数据与系统，可有效简化故障排除。IT 还可以使用 Azure Log Analytics 提供使用和健康数据。

        App Attach 可以使用以下应用包类型和文件格式：

• MSIX 和 MSIXBundle
• Appx 和 AppxBundle
• App-V（.appv）

        微软推荐企业采用 MSIX 格式。

        App Attach 应用的交付流程并不复杂，可归纳为以下：

1. 创建映像：从现有安装包生成 MSIX，或使用 App-V 包。
2. 文件共享：将映像文件存储在 SMB 文件共享中，推荐 Azure Files。
3. 挂载映像：用户登录时，映像会挂载到会话主机。
4. 注册应用：支持两种注册方式，按需注册（推荐），仅在用户启动应用时完成完整注册，减少登录延迟；登录阻断注册，在登陆时完成全部注册，可能增加登录时间。

        App Attach 在身份和权限方面，支持 EntraID 和 ADDS 验证，需要配置 NTFS 和共享权限，确保会话主机能够读取映像。此外，所有的 MSIX 或 Appx 包必须具有有效的代码签名证书（1.3.6.1.5.5.7.3.3），以确保信任链完整。

        为了提升 App Attach 的性能和可用性，文件共享应与会话主机位于同一个区域，避免产生较大的延迟。还应该配置防病毒等安全软件将映像文件排除，减少干扰。为了实现灾备，还应考虑 DFS + Azure Files，确保文件复制到备用位置。

        了解上述信息后，我们可以尝试为一个 MSIX 安装包创建 CimFS 格式的 App Attach。微软专为创建 App Attach 映像提供了一个简单易用的工具 - MSIXMGR Tool，使用该工具我们仅需要执行一个简单的命令行即可将 MSIX 转换为 CimFS 映像。

msixmgr.exe -unpack -packagepath c:msixappname.msix -destination c:msixappnameappname.cim -applyacls -create -filetype cim -rootdirectory apps

        MSIXMGR Tool 的使用和参数可参考：MSIXMGR Tool patameters

        如果你当前的应用程序不是 MSIX 格式，则可以参考 “MSIX Packaging Tool” 对现有应用安装包进行 MSIX 打包。

        要将 App Attach 添加到会话主机也是非常容易，在主机池管理中提供了添加向导。

        创建应用附加的基本信息页面确认选择了正确的资源组、主机池和位置信息。

        然后，选择 CIM 所位于的存储账户及相关信息。

        随后，分配主机池和可访问的用户，直到跟随向导完成配置。

        到这里 App Attach 也就暂告段落，我们会在以后的日志中陆续分享相关的技术资讯。

推荐官方文档：

App Attach overview | Microsoft Learn

Create an MSIX image | Microsoft Learn

Add and manage App Attach applications | Microsoft Learn

Azure Virtual Desktop 快速上手

        本月（2025年11月）微软公布 Azure Virtual Desktop（AVD）可以为外部身份提供 AVD 虚拟桌面资源，分配资源的管理流程并未发生变化。于是 gOxiA 决定认真地做一次 AVD 上手，也就有了这篇分享！

        如果你是 Windows 传统基础架构的专家，那么不会对 AVD 陌生，它主要提供的服务就是我们过去使用的 RDS 和 Remote App，而 AVD 基于 Azure，并提供了很多不同的特性：

• 可以选择 Windows 10、Windows 11、Windows Server 为用户提供完整的 Windows 体验。
• 可以使用单会话模式将设备分配给单一用户，也可以共享模式使用。
• 提供了完整的桌面，也支持 RemoteApp 来提供单个或多个应用。
• 可选内置 Microsoft 365 企业版应用，并优化以适应多用户虚拟场景。
• 允许安装你能从任何地方运行的业务线或自定义应用，包括 Win32、MSIX 和 Appx 格式的应用。（PS：目前还提供了 App Attach 支持，这也是 gOxiA 后续要测试的。）
• 提供面向外部使用的软件即服务（SaaS）。
• 替换现有的远程桌面服务（RDS）部署。
• 通过统一的管理体验，管理来自不同 Windows 和 Windows Server 系统的桌面和应用。
• 支持本地以混合配置托管桌面和应用，还支持 Azure Local。

        AVD 允许跨平台的客户端联接，供不同用户应用场景使用，包含：Windows、macOS、iOS/iPadOS、Android/Chrome OS，甚至是 Web browser 和 Meta Quest。这是一个令人感到振奋的特性！借助 Azure 我们可以在全球多个数据中心部署我们的 AVD 为全球用户提供无处不在的 Windows 体验！并且 AVD 目前已经支持 GPU，我们可以为高级用户提供强大的 GPU 算力！

        心动不如行动，打开 Azure Portal 创建一个资源组，并创建一个虚拟网络，这里 gOxiA 将默认子网改为了一个 192.168.192.0/24 的网络。

        接下来，我们转到 Azure 虚拟桌面，首先创建主机池，这里我们首选应用组类型为“桌面”，并采用“共用”类型主机池。

        下一步便是创建会话主机，因为是快速上手，推荐在该向导页面就添加虚拟机，为了能够为用户提供 Windows 11 25H2 桌面体验和 Microsoft 365 应用，gOxiA 选择了 Windows 11 Enterprise multi-session, Version 25H2 + Microsoft 365 Apps，这是一个特殊的 Windows 11 版本，基于企业版底座，主要特性就是支持多用户会话模式，在过去 RDS 时代我们只能基于 Windows Server 提供共用模式。

        其他配置主要就是绑定使用的虚拟网络，我们前面已经创建。因为不使用混合模式，所以目录基于 Microsoft Entra ID，最后别忘记为会话主机配置一个本地管理员。

        再下一步，便会指引我们注册桌面应用组，每一个应用组都要属于一个工作区，所以在进行应用组注册时会提示新建工作区。

        到这里我们基本就算创建完成了，一路跟随向导完成配置等待我们首个 AVD 创建完毕吧！半杯白茶的时间回来就能看到所有的必须资源都已经创建配置完毕！接下来我们要配置应用组权限允许特定的用户可以访问 AVD。

        由于我们配置使用 EntraID 访问和登录，还需要参考官方文档进行额外的配置。

Configure single sign-on for Azure Virtual Desktop using Microsoft Entra ID | Microsoft Learn

        最后，为主机池配置 RDP ，将“Microsoft Entra 单一登录” 改为“连接将使用 Microsoft Entra 身份验证来提供单一登录”，以允许 EntraID 进行身份验证。

        如果遇到了账户登录问题，强烈建议参考和学习以下官方文档。

Azure Windows VMs and Microsoft Entra ID | Microsoft Learn

        现在，在客户端上安装和使用 Windows App 登录被授权的账号体验 AVD 吧！下图展示了 gOxiA 通过 MSA 账号登录 Windows App 并访问 AVD 虚拟桌面的实例。

适用于组织的 Windows 备份已正式发布

        回顾九月初 gOxiA 发布的两篇日志：“微软推出适用于组织的 Windows 备份”，“HOWTO: 为组织启用 Windows Backup”，相信你已经对 Windows 备份有了一定的了解，并掌握了如何配置和使用它们，在第二篇 HOWTO 日志中还专门制作分享了 Windows 备份的使用过程，使大家可以直观地看到实际的效果。在本月即11月17微软官方正式发布了适用于组织的 Windows 备份。

        这篇日志主要回顾和确认 Windows 备份的一些关键信息点，首先已经明确的系统的要求，具体如下：

• 备份要求

在满足以下系统要求的设备上需要使用 Microsoft Entra ID 登录才可以使用 Windows 备份功能

• Windows 10 22H2（19045.6216）或更高版本
• Windows 11 22H2（22621.5768）或更高版本
• Windows 11 23H2（22631.5768）或更高版本
• Windows 11 24H2（26100.4916）或更高版本
• 必须 Microsoft Entra 联接或Microsoft Entra 混合联接
• 还原要求

使用还原功能需要满足以下要求

• Windows 11 22H2（22621.3958）或更高版本
• Windows 11 23H2（22631.3958）或更高版本
• Windows 11 24H2（26100.4770）或更高版本
• 用户至少有一个备份配置文件
• 如果使用 Autopilot，必须将配置文件配置为使用“用户驱动模式”，不支持自部署模式
• 必须 Microsoft Entra 联接

        此外，适用于组织的 Windows 备份当前在 GCCH/主权云或中国/世纪互联不受支持。

        要配置适用于组织的 Windows 备份，可参考之前的日志“HOWTO: 为组织启用 Windows Backup”。对于其中的“还原配置”，除了可以通过界面化操作 Microsoft Intune 管理中心 - 设备 - 注册 - Windows 备份和还原进行全局启用，也可以通过 CSP 的方式，具体的信息如下：

• OMA-URI: ./Device/Vendor/MSFT/WindowsBackupAndRestore/EnableWindowsRestore
• 数据类型：Boolean
• 值：True

        该功能涉及的其他策略的详细设置可参考：Windows Backup for Organizations policy settings | Microsoft Lean

        官方还提供了适用于组织的 Windows 备份常见问题解答，非常有价值。Windows Backup for Organizations Frequently Asked Questions (FAQ) | Microsoft Learn

        如果组织 IT 需要对该功能进行评估，那么可参考下面的备份和还原设置支持情况：

• 系统
• 显示
• 多个显示器
• 根据监视器连接记住窗口位置 ✔️
• 在监视器断开连接时最小化窗口 ✔️
• 在显示器之间轻松移动光标 ✔️
• 夜灯
• 在显示器上显示暖色以帮助你入睡 ✔️
• 强度 ✔️
• 计划夜灯 ✔️
• 日落到日出/设置小时 (实际日出/日落时间取决于位置) ✔️
• 打开 ✔️
• 关闭 ✔️
• 声音
• 单声道音频 ✔️
• 更多声音设置 > 声音 [程序事件] (Windows 默认声音) ✔️
• 通知
• 通知✔️
• 允许通知播放声音 ✖️
• 在锁屏界面上显示通知 ✔️
• 在锁屏界面上显示提醒和传入 VoIP 呼叫 ✖️
• 显示通知钟图标 ✖️
• 请勿打扰 ✔️
• 打开“请勿自动打扰”
• 在此期间 ✔️
• 复制显示 (优先级通知横幅也会隐藏)  ✔️
• 玩游戏时 ✔️
• 在全屏模式下使用应用时， (优先级通知横幅也会隐藏)  ✔️
• 在 Windows 功能更新后的第一小时 ✔️
• 设置优先级通知
• 呼叫和提醒
• 显示传入呼叫，包括 VoIP ✔️
• 显示提醒，而不考虑使用的应用 ✔️
• 应用 ✔️
• 多任务
• 贴靠 Windows ✖️
• 贴靠窗口时，建议可以贴靠窗口旁边的内容 ✖️
• 将鼠标悬停在窗口的最大化按钮上时显示对齐布局 ✖️
• 将窗口拖动到屏幕顶部时显示对齐布局 ✖️
• 在任务视图中将鼠标悬停在任务栏应用上以及按 Alt+Tab 时显示我的贴靠窗口 ✖️
• 拖动窗口时，无需一直拖动到屏幕边缘即可贴靠窗口 ✖️
• 桌面
• 在任务上，显示所有打开的窗口 ✔️
• 按 Alt+Tab 时显示所有打开的窗口 ✔️
• 标题栏窗口摇动 ✔️
• 面向开发人员
• 文件资源管理器
• 显示文件扩展名 ✔️
• 显示隐藏文件和系统文件 ✔️
• 在标题栏中显示完整路径 ✔️
• 显示空驱动器 ✔️
• 关于
• 重命名此电脑 ✔️
• 蓝牙&设备
• 自动播放
• 对所有媒体和设备使用自动播放  ✔️
• 可移动驱动器  ✔️
• 内存卡  ✔️
• 打印机 & 扫描仪
• “让 Windows 管理我的默认打印机”，  ✔️
• 鼠标
• 鼠标指针速度  ✔️
• 滚动鼠标滚轮滚动  ✔️
• 一次滚动的线条  ✔️
• 将鼠标悬停在非活动窗口上时滚动它们  ✔️
• 笔和 Windows Ink
• 使用触控笔时忽略触摸输入  ✔️
• 让我在可用时将触控笔用作鼠标  ✔️
• 使用笔按钮作为右键单击等效项（如果可用） ✖️
• 某些设备上仅支持触觉信号 ()  ✔️
• 虽然某些设备上仅支持墨迹书写 ()  ✔️
• 与设备交互时， (某些设备上仅支持)  ✔️
• 某些设备上仅支持强度 ()  ✔️
• 选择快捷方式按钮的作用
• 单击  ✔️
• 双击  ✔️
• 长按 (只支持某些笔)  ✔️
• 允许应用替代快捷方式按钮行为  ✔️
• 如果可用，请在从存储中删除笔后显示笔菜单  ✔️
• 触摸板
• 更改光标速度  ✔️
• 触摸板敏感度  ✔️
• 用一根手指点击可单击  ✔️
• 用两根手指点击以右键单击  ✔️
• 点击两次并拖动以多选  ✔️
• 按触摸板的右下角右键单击  ✔️
• 拖动两根手指滚动  ✔️
• 捏合缩放  ✔️
• 某些设备上仅支持触摸板反馈 ()  ✔️
• 某些设备上仅支持强度 ()  ✔️
• USB
• 连接通知  ✔️
• 如果此电脑通过 USB 充电缓慢，则显示通知  ✔️
• 触摸
• 三指和四指触摸手势  ✔️
• 触摸屏幕唤醒 (仅在某些设备上支持)  ✔️
• 网络和 Internet
• Wlan   
• 随机硬件地址） ✔️
• VPN   
• 允许 VPN 通过按流量计费的网络 ✔️
• 在漫游时允许 VPN ✔️
• 手机网络   
• 让 Windows 使我保持连接 ✔️
• 按流量计费的连接 ✔️
• 下拉列表) (数据漫游选项 ✔️
• 每当 Wi-Fi 较差时使用手机网络 ✔️
• 个性化
• 背景   
• 个性化背景 ✔️
• 选择照片 ✔️
• 选择适合桌面映像的 ✔️
• 颜色   
• 选择模式 ✔️
• 透明度效果 ✔️
• 主题色 ✔️
  Windows 颜色 ✔️
• 自定义颜色 ✔️
• 在开始和任务栏上显示主题色 ✔️
• 在标题栏和窗口边框上显示主题色 ✔️
• 主题 ✔️
• 锁屏界面   
• 个性化锁屏界面 ✔️
• 在锁屏界面上获取有趣的事实、提示、技巧等 ✔️
• 在登录屏幕上显示锁屏界面背景图片 ✔️
• 开始
•   “开始”屏幕布局   
• 布局 ✔️
• 显示最近添加的应用 ✔️
• 显示最常用的应用 ✖️
• 在“开始”屏幕中显示推荐的文件、文件资源管理器中的最近文件和跳转Lists中的项 ✔️
• 显示提示、快捷方式、新应用等的建议 ✔️
• 显示与帐户相关的通知 ✔️
•   文件夹   
• “设置” ✔️
• 文件资源管理器 ✔️
• 文档 ✔️
• 下载 ✔️
• 音乐 ✔️
• 图片 ✔️
• 视频 ✔️
• 网络 ✔️
• 个人文件夹 ✔️
• 任务栏   
•   任务栏固定布局 ✔️ 直到 23H2 ❌ 24H2 及更高版本
•   任务栏项
• “任务视图” ✔️
• 小组件 ✔️
•   任务栏行为   
• 任务栏对齐方式 ✔️
• 自动隐藏任务栏 ✔️
• 在任务栏应用上显示锁屏提醒 ✔️
• 在任务栏应用上显示闪烁 ✔️
• 在所有显示器上显示任务栏 ✔️
• 使用多个显示器时，在上显示任务栏应用 ✔️
• 从任务栏共享任何窗口 ✔️
• 选择任务栏的远角以显示桌面 ✔️
• 合并任务栏按钮并隐藏标签 ✔️
• 合并任务栏按钮并隐藏其他任务栏上的标签 ✔️
• 文本输入   
• 触摸键盘的主题 ✔️
• 触摸键盘   
• 触摸键盘大小 ✔️
• 显示关键背景 ✔️
• 键文本大小 ✔️
• 应用
• 不支持备份或还原引用
• 账户
• Windows 备份   
• 记住我的应用 ✖️
• 记住我的首选项 (切换)     ✔️
• 辅助功能     ✔️
• 帐户、WiFi 网络和密码     ✔️
• 个性化     ✔️
• 语言首选项和字典     ✔️
• “其他 Windows 设置”，     ✔️
• Email和帐户   
• 其他应用使用的帐户 (MSA 帐户仅)     ✔️
• 时间和语言
• 日期 & 时间   
• 自动设置时区 ✔️
• 时区 ✔️
• 在任务栏中显示其他日历 ✔️
• 键入   
• 触摸键盘  
• 键入时播放关键声音 ✔️
• 将每个句子的第一个字母大写 ✔️
• 在双击空格键后添加句点 ✔️
• 双击 Shift 时使用所有大写字母 ✔️
• 在物理键盘上键入时显示文本建议 ✔️
• 多语言文本建议 ✔️
• 自动更正拼写错误的字词 ✔️
• 突出显示拼写错误的单词 ✔️
• 游戏
• 游戏栏 ✔️
• 游戏模式 ✔️
• 游戏栏快捷方式 (应用内设置) ✔️
• Game Bar (Win + G) ✔️
•   (Win + Alt + PrtScrn) 获取屏幕截图 ✔️
• 记录最后 30 秒 (Win + Alt + G) ✔️
• 开始/停止录制 (Win + Alt + R) ✔️
• 麦克风打开/关闭 (Win + Alt + M) ✔️
• HDR 开/关 (Win + Alt + B) ✔️
• 辅助功能
• 视觉
• 文本大小   
• 文本大小 ✔️
• 视觉效果   
• 始终显示滚动条 ✔️
• 透明度效果 ✔️
• 动画效果 ✔️
• 在首选时间量后关闭通知 ✔️
• 鼠标指针和触摸   
• 鼠标指针样式 ✔️
• 大小 ✔️
• 触摸指示器 ✔️
• 使触摸指示器圆圈变暗并变大 ✔️
• 文本光标   
• 文本光标指示器 ✔️
• 文本光标指示器大小 ✔️
• 文本光标指示器颜色 ✔️
• 文本光标粗细 ✔️
• 放大镜   
• 放大镜 (切换) ✖️
• 登录前启动放大镜 ✖️
• 登录后启动放大镜 ✔️
• 缩放级别 ✔️
• 缩放增量 ✔️
• 视图   
• 视图首选项 ✔️
• 选择“停靠”和“全屏视图”时，让放大镜跟随我的……
• 鼠标指针 ✔️
• 键盘焦点 ✔️
• 文本光标 ✔️
• 讲述人光标 ✔️
• 在所选镜头视图) 时更改镜头大小
• 高度/宽度滑块 ✔️
• 选择“全屏视图”时，将鼠标指针位置 () ✔️
• 选择“全屏视图”时，将文本光标位置保留 () ✔️
• 反转颜色 ✔️
• 图像和文本的平滑边缘 ✔️
• 阅读快捷方式 ✔️
• 颜色筛选器   
• 颜色筛选器 ✔️
• 首选颜色筛选器选择 ✔️
• 颜色筛选器的键盘快捷方式 ✔️
• 对比度主题   
• 对比度主题 ✔️
• “选择主题” ✔️
• 文本 ✔️
• 超链接 ✔️
• 失效文本 ✔️
• 所选文本 ✔️
• 按钮文本 ✔️
• 背景 ✔️
• 讲述人   
• 讲述人 (切换) ✖️
• 登录前启动“讲述人” ✖️
• 登录后启动“讲述人” ✔️
• “讲述人”键盘快捷方式 ✖️
• 讲述人主页   
• 当“讲述人”启动时显示“讲述人主页” ✔️
• 选择语音 ✔️
• 速度 ✔️
• 俯仰 ✔️
• 音量 ✔️
• 在讲述人说话时降低其他应用的音量 ✔️
• 详细级别 ✔️
• 强调带格式的文本 ✔️
• 按字符朗读时按拼音朗读 ✔️
• 阅读标点符号时稍稍暂停 ✔️
• 阅读高级详细信息，例如按钮和其他控件上的帮助文本 ✔️
• 更改大写文本的读取方式 ✔️
• 按钮和控件的上下文级别 ✔️
• 阅读有关如何与按钮和其他控件交互的提示 ✔️
• 告诉我为什么无法执行作 ✔️
• 播放声音而不是常见作的公告 ✔️
• 告诉我有关按钮和其他控件的详细信息 ✔️
• 键入时让讲述人朗读   
• 字母、数字和标点符号 ✔️
• 字词 ✔️
• 功能键 ✔️
• 箭头、Tab 和其他导航键 ✔️
• 切换键，如 Caps lock 和 Num lock ✔️
• Shift、Alt 和其他修饰键 ✔️
• 讲述人密钥 ✔️
• 在触摸键盘上，当我抬起手指时激活键 ✔️
• 使用鼠标读取屏幕并与之交互 ✔️
• 让“讲述人”光标跟在鼠标后面 ✔️
• 显示“讲述人”光标 ✔️
• 在讲述人阅读文本时，使用“讲述人”光标移动文本光标 ✔️
• 同步“讲述人”光标和系统焦点 ✔️
• 启用讲述人扩展 ✔️
• 听觉
• 音频
• 单声道音频 ✔️
• 在音频通知期间刷屏 ✔️
• 字幕
• 实时字幕
• 筛选不雅内容 ✔️
• 位置 ✔️
• 标题样式 ✔️
• 交互
• 语音
• 语音访问 ✖️
• 登录电脑后启动语音访问 ✔️
• 在登录电脑之前启动语音访问 ✔️
• 键盘
• 粘滞键 ✔️
• 粘滞键的键盘快捷方式 ✔️
• 在任务栏上显示粘滞键图标 ✔️
• 在一行中按下两次时锁定快捷键 ✔️
• 同时按下两个键时关闭粘滞键 ✔️
• 按下并释放快捷键时播放声音 ✔️
• 筛选键 ✔️
• 筛选器键的键盘快捷方式 ✔️
• 在任务栏上显示“筛选器键”图标 ✔️
• 按下键时发出哔哔声 ✔️
• 忽略快速击键 ✔️
• 在接受击键之前等待 ✔️
• 忽略意外的击键 ✔️
• 在接受重复的击键之前等待 ✔️
• 忽略重复击键 ✔️
• 在接受第一次重复击键之前等待 ✔️
• 在接受后续重复击键之前等待 ✔️
• 切换键 ✔️
• 通知首选项
• 从键盘打开粘滞键、筛选键或切换键时通知我 ✔️
• 当我从键盘打开或关闭粘滞键、筛选键或切换键时播放声音 ✔️
• 访问键添加下划线 ✔️
• 使用打印屏幕打开屏幕捕获 ✔️
• 鼠标
• 鼠标键切换 ✔️
• 仅在数字锁定键处于打开状态时使用鼠标键 ✔️
• 在任务栏上显示鼠标键图标 ✔️
• 按住 Ctrl 键以加快速度，按住 Shift 以放慢速度 ✔️
• 鼠标键速度 ✔️
• 鼠标键加速 ✔️
• 目视控制
• 目视控制切换 ✔️
• 目视控制应用内设置
• 选择“单击”方式 ✔️
• 显示目视光标 ✔️
• 使用形状书写 ✔️
• 使用高级鼠标功能 ✔️
• 键入停留时间 ✔️
• 一般停留时间 ✔️
• 平滑 ✔️
• 滞后 ✔️
• 底部停靠 ✔️
• 键盘停靠按钮 ✔️
• 隐私&安全性
• 活动历史记录
• 在此设备上存储我的活动历史记录 ✔️直到23H2，✖️ 24H2及更更高版本
• Windows 更新
• 不会备份或还原 Windows 更新设置
• 文件资源管理器设置
• 单击打开项目（指向选择） ✔️
• 缩小（精简视图）项之间的空间 ✔️
• 在标题栏中显示完整路径 ✔️
• 隐藏的文件和文件夹：不显示隐藏的文件、文件夹或驱动器/显示隐藏的文件、文件夹和驱动器 ✔️
• 隐藏空驱动器 ✔️
• 隐藏已知文件类型的扩展名 ✔️
• 使用检查框选择项目 ✔️
• 回收站
• 显示删除确认对话框 ✔️
• 桌面
• 查看 (图标大小、自动排列图标、将图标与网格对齐、显示桌面图标)   ✔️
• 按 (名称、大小、项目类型、修改日期) 排序 ✔️

详见：Backup/restore settings catalog | Microsoft Learn

Intune 设置目录已支持 Windows 11 25H2

        近日微软公布消息 Intune 设置目录已提供了对 Windows 11 25H2 设置的支持，当前新增了 36 个新的设置。这意味着组织 IT 可以通过 Intune 安心地管理运行着 Windows 11 25H2 的设备。微软会继续投资于 Intune 设置目录基础结构，以确保及时支持新的 Windows 设置。

        这些 Windows 11 25H2 的新设置包括：

        这些 Windows 11 25H2 设置目录于 2025年 10月 20日发布，作为 Intune 管理员可密切关注：What's new in Microsoft Intune | Microsoft Learn。微软也在 Github 上公布了设备配置列表（DeviceConfig List）的详细数据方便管理员查询和参考，其中包括了 Intune 可管理的 Windows、macOS、iOS、Linux 的所有可用配置。

Microsoft Intune Suite - Remote Help

        如果你之前使用过 Windows 内置的 “快速助手 - Quick Assist”，那将有助于你了解 Microsoft Intune Suite - Remote Help（远程帮助），快速助手工具可以让我们非常便捷的开始一个远程帮助活动，打开程序点击“帮助某人”便可生成一个安全代码，然后发给对方即可借助互联网将两者连接，实现共享/控制屏幕以及文字对话，gOxiA 经常使用这个工具去帮助朋友或亲属解决 Windows 电脑相关的问题。

        在组织中通常会借助一些第三方的产品，那或多或少总会涉及一些问题，而今天 gOxiA 要介绍的是 Microsoft Intune Suite 中的 Remote Help 工具，它也是一种基于云的解决方案，支持通过角色的访问控制实现安全的技术支持连接，这对于要求高安全性的组织来说，无疑是至关重要的。

        Remote Help 相比较 Quick Assist 还有一些额外的特性，首先它支持多个平台，除了 Windows，我们还可以为 Android 和 macOS 提供支持，并且还提供了基于 Web 的访问。

• Windows 上的 Remote Help
• 下载地址：https://aka.ms/downloadremotehelp
• Remote Help 在 Windows 上支持以下功能：
• 条件访问：管理员可以在设置 Remote Help 策略和条件时利用条件访问功能来提升安全和合规性。
• 符合性警告：当使用 Remote Help 连接到用户时，如果该设备不符合其分配的策略，则程序会看到有关设备的不符合性警告，但该警告并不会阻止访问，但会提供有关在会话期间使用敏感数据风险的透明度。
• 权限提升：技术支持人员可以与共享者计算上的 UAC 提示交付，以能够在其设备上完成需要的管理权限验证。
• 增强的聊天：支持特俗字符和其他语言，包括中文。
• 远程启动会话：帮助程序能够通过向用户的设备发送通知，从 Intune 在帮助程序和用户设备上无缝启动远程帮助，这样技术支持人员就能够无需交换会话代码发起连接。
• macOS 上的 Remote Help
• 下载地址：https://aka.ms/downloadremotehelpmacos
• 功能与 Windows 基本一致
• 支持 macOS 13、14、15 和最新的 26 版本
• 提供 Remote Help Web App 支持，兼容 Safari 16.4.1+，Chrome 109+，Edge 109+，Firefox 122+
• Android 上的 Remote Help
• 下载地址：https://play.google.com/store/apps/details?id=com.microsoft.intune.remotehelp
• 主要功能：
• 屏幕共享及完全控制
• 无人值守控制
• 符合性警告
• 支持的设备目前有一些显示，从官方了解到当前支持三星和斑马的设备，并要求注册了 Android Enterprise Dedicated
• Remote Help Web 应用程序
• 访问地址：https://aka.ms/rh，对于受帮助者可以直接访问：https://remotehelp.microsoft.com/authroleselection
• Remote Help Web App 允许我们在未安装 Remote Help 应用的支持的设备上使用 Remote Help，这使得一些不可能成为可能。例如 Linux 虽然未受正式支持，但 Remote Help Web App 可能适用于使用受支持浏览器的大多数 Linux 设备。

        如果当前组织已经购买了 Microsoft Intune Suite，可在租户管理中启用远程帮助。

        根据需要通过 Intune RBAC 配置 Remote Help 权限，并分配给对应用户。

推荐微软官方文档：Use Remote Help with Microsoft Intune | Microsoft Learn

推荐微软官方指引 Demo：https://regale.cloud/microsoft/play/1746/remote-help#/0/0

ESP 将提供在 Windows OOBE 期间安装更新的支持

        在2025年9月1日的 Intune 更新中提到了将在 Windows OOBE 期间安装 Windows 安全更新的注册状态页支持，这是一项对于组织设备部署和交付非常重要的功能，如果你的组织要求交付的设备系统更新始终保持在一个相对最新的状态，并且已经在使用 Autopilot 部署设备，那么这项功能将带来极大的帮助，只要启用它！设备用户在 OOBE 阶段即可安装最新的 Windows 安全更新。

        为此，我们需要修改 Autopilot 现有的 ESP，如果可以看到“安装 Windows 更新(可能会重启设备) (预览)”，将其改为“是”即可。顺便检查 Windows Update 策略是否有阻止更新的配置。

        但很奇怪，在实际测试时 OOBE 阶段并未进行有效的 Windows 更新，期间检查了注册表，在 HKLM\SOFTWARE\Microsoft\Windows\Autopilot\EnrollmentStatusTracking\Device\Setup 下并未看到 Policy 以及 InstallQualityUpdates 键值。

        随后，使用 Graph Explorer 查询了 deviceEnrollmentConfigurations，显示结果为 “InstallQualityUpdates”: true,！！！

        真是神奇，继续排查 DDF，可见 InstallQualityUpdates 值却为 False！！！

        百思不得其解，继续找寻线索才重新注意到该功能被延迟了！

        但不管怎样，这项功能都值得期待，相信用不了多长时间，即能正常使用。

推荐官方参考：

Enrollment Status Page support for installing Windows security updates during Windows OOBE

HOWTO: 为组织启用 Windows Backup

        "微软推出适用于组织的 Windows 备份"，前面 gOxiA 已经介绍过该功能为可选功能，默认是未启用状态，如果需要为本组织启用 Windows Backup for Organizations，我们需要通过 Intune 进行一些配置。

        首先我们需要为组织启用 Windows Backup for Organizations，为此登录到 Intune Portal 并转到“设备 - 注册 - Windows”，找到“Windows Backup and Restore”，将其状态设置为“On”，这样用户在 OOBE 阶段通过身份验证后，即可看到恢复向导。

        然后，我们还需要为客户端配置策略，使其允许使用 Windows Backup，为此创建基于“设置目录”的配置策略，然后搜索“Backup”即可看到位于“管理模板\Windows 组件\同步设置”中的“Enable Windows Backup”，将其配置为启用即可。

        此外，该设置中还有其他额外的一些细节配置，IT 管理员可根据需要进行设置。

        一旦策略生效，用户便可在自己所属的客户端上使用 Windows Backup（备份）应用进行相关的备份，此外还会再计划任务中创建一个每8天执行一次备份的任务。

        以下是 Windows 10 备份并在 Windows 11 上恢复的 Demo，可作为参考。从整个过程来看，极大提升了用户在备份和恢复上的应用体验，让用户更有自信的去备份和恢复 Windows 系统。对于组织 IT 人员，也可将 Windows 备份和还原 功能利用在日后的迁移项目中。

https://weibo.com/tv/show/1034:5206790422593660?from=old_pc_videoshow

https://youtu.be/hUxJuyCAueU

        最后，我们重点回顾以下 Windows Backup for Organizations 在 备份 和 恢复 时对系统版本的要求：

• Backup：
• √ Windows 10 22H2 (19045.6216) 或更高版本
• √ Windows 11 22H2 (22621.5768) 或更高版本
• √ Windows 11 23H2 (22631.5768) 或更高版本
• √ Widnows 11 24H2 (26100.4946) 或更高版本
• Restore：
• √ Windows 11 22H2 (22621.3958) 或更高版本
• √ Windows 11 23H2 (22631.3958) 或更高版本
• √ Widnows 11 24H2 (26100.1301) 或更高版本

推荐官方文档：

使用 Windows 备份 进行备份和还原 | Microsoft Support

Windows 备份设置目录 | Microsoft Support

Windows Backup for Organizations overview | Microsoft Learn

Microsoft Connected Cache for Enterprise - 卸载和重装

        前面 gOxiA 与大家分享了“Microsoft Connected Cache - 概述”、“适用于企业和教育的 Microsoft Connected Cache”、“Microsoft Connected Cache for Enterprise - 实践”，相信已经上手的朋友会有一些收获。我们继续前行，尝试卸载和重装 Microsoft Connected Cache for Enterprise，过程其实非常简单，只是我们可能会遇到一些小小的“意外”，该如何处理解决以及完成目标，是 gOxiA 今天要分享的。

        例如当我们访问 Cache Nodes 管理界面时，应该会留意到系统给出的提示，要求我们将那些需要迁移的缓存节点使用新的缓存节点部署包重新部署安装，留意下图标注的位置已决定是否需要重新部署。

        本例中是一台基于 Ubuntu Server 的缓存节点主机，接下来 gOxiA 将会先卸载现有缓存节点版本，然后安装最新的版本。首先执行 uninstallmcc.sh 执行卸载脚本，如果未 sudo 需进行管理员权限认证，如下图所示。

        卸载过程非常快，最后会给出结果，如下图提示会有一个报错：“Failed to remove cron job for host update”，提示未能移除定时任务。

        如果要彻底清除，建议安装 cron，为此执行如下指令：

sudo apt update

sudo apt install cron

./uninstallmcc.sh

        再次卸载就不会再有警告信息，最后我们下载最新的缓存节点部署包再次执行安装。最新的缓存节点部署包可以从该网址下载：https://aka.ms/mcc-ent-linux-deploy-scripts，参考前面的日志进行安装即可。如果在安装时遇到如下图报错：“The registration key is no longer valid, please visit the Azure portal for a new command line”，请重新生成部署相关信息。

        另外需要注意，如果是重新部署 Linux 缓存节点将其迁移到 GA 版本，用户必须执行如下操作，否则内容请求将会失败。

chmod 777 -R /cachenode

sudo iotedge restart MCC

        稍等几分钟我们可以使用 sudo iotedge list 进行检查。

推荐官方参考：

Monitor cache node usage - GA migration status | Microsoft Learn

Microsoft Connected Cache for Enterprise - 实践

        就在 gOxiA 近期集中发布 MCC 相关日志期间，微软于 7月23日公告 Microsoft Connected Cache for Enterprise 正式版发布了。那今天就为大家奉上 MCC for Enterprise 的上手日志。如果你需要了解 Microsoft Connected Cache，不妨先回顾一下 gOxiA 之前发布的日志：“Microsoft Connected Cache - 概述”，“适用于企业和教育的 Microsoft Connected Cache”。

        本例 MCC 的 CacheNode 将使用 Ubuntu 24.04 ，这里不再复述 Ubuntu 的准备过程。接下来我们需要通过 Azure Portal 创建 Microsoft Connected Cache for Enterprise 服务（以下简称：MCC4E），并创建和配置基于 Ubuntu 系统的 Cache Node，最后在 Ubuntu 系统上执行部署脚本，并对 Cache Node 执行验证，确保无误后便可通过组策略（GPO）或 Intune 为客户端进行分发配置。

        接下来我们首先通过 Azure Portal 创建 MCC4E，可以在 Azure 市场中搜索关键词，在搜索结果中确认“Microsoft Connected Cache for Enterprise”并创建资源。

        MCC4E 资源的创建非常简单，为该资源起个容易识别的名字，并确认在哪个订阅、资源组和位置，最后执行创建即可。

        稍等片刻，我们便可转到 MCC4E 资源的 Cache Node Management 页面，并通过位于顶部的“Create Cache Node”按钮创建我们所需的缓存节点，在下图中我们可以看到一则提示“公共预览版缓存节点将于2025年9月14日停止运行。必须重新部署现有的公共预览版缓存节点。”，具体可参考：https://aka.ms/mcc-ent-release-notes。如果之前在预览阶段就部署了Cache Node 则需要根据提示执行重新部署。

        我们继续，创建 Cache Node，选择 Linux 为我们要用的 OS，并为 Cache Node 创建一个名称。这样一个基于 Linux 系统的缓存节点便创建完毕，接下来我们为该缓存节点生成一些必要的配置。

        首先在“Configuration”中为缓存节点指定要用于存储缓存数据的目录，以及可使用容量。如果当前缓存节点有多块可使用的硬盘驱动器，则可以继续添加存储配置但当前最多可配置 9 个。

        然后点击“Save”按钮保存配置并等待生效，一旦配置可用便可在“Deployment”页面看到要执行的命令行，此时我们可以将“Download deployment package”下载到 gOxiA 实现准备好的 Ubuntu 缓存节点主机上，以备使用。

        在缓存节点主机上我们首先解压缩下载的部署包，并为其中的文件配置执行权限，然后执行“Deployment”页面提供的命令行即可。

        在“Updates”页面我们还可以为缓存节点主机配置快速更新或周期性更新，确保缓存节点主机中的数据都是最新的，以解决安全漏洞并提高质量和性能。

        当我们执行命令行无误，稍等片刻应该就能看到当前缓存节点主机的状态，如果要执行验证，可以参考官方文档 “Verify Connected Cache node functionality | Microsoft Learn” 执行相关指令。

        如下图我们可以先用 “wget http://localhost/filestreamingservice/files/7bc846e0-af9c-49be-a03d-bb04428c9bb5/Microsoft.png?cacheHostOrigin=dl.delivery.mp.microsoft.com” 验证缓存节点主机在运行且可以访问。然后可以通过在客户端上访问 http://[HostMachine-IP-address]/filestreamingservice/files/7bc846e0-af9c-49be-a03d-bb04428c9bb5/Microsoft.png?cacheHostOrigin=dl.delivery.mp.microsoft.com 来验证客户端到缓存节点主机是否正常。

        完成上述操作和验证，当前缓存节点主机即高创建和配置完毕，接下来我们要将其分发给客户端来使用。转到 Intune Portal 为设备创建传递优化配置，通过设置目录查找 DOCacheHost 或 DOCacheHostSource 根据需要进行配置。对于 DOCacheHost 我们可以指定一个或多个以逗号分隔的缓存节点主机，这些缓存节点主机的名称可以是 FQDN 或 IP 地址。对于 DOCacheHostSource 提供了两个配置项：1 = DHCP 选项 235；2 = DHCP 选项 235 强制，其中后者 2 配置可覆盖 DOCacheHost 配置。如果配置了 DOCacheHostSource 还必须为组织本地网络配置 DHCP 235 选项，可参考下图。具体应该采用哪个配置方案，还要根据实际环境来决策！

        对应的 GPO 配置可参考下图，位于“计算机配置 - 管理模板 - Windows 组件 - 传递优化”。

        对于 DOCacheHostSource，我们可能需要在特定环境中使用注册表来实现，该键值信息如下：

"HKLM\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" /f /v DOCacheHostSource /t REG_DWORD /d 2

        此外，我们可以配置 DelayCacheServerFallbackBackground 和 DelayCacheServerFallbackForeground 延迟策略，来提高从网络缓存主机拉取数据的机会，根据推荐后台和前台建议分别是 60 秒和 30 秒。

        最后，如果我们需要在后续检查和监视 MCC 的运行情况，都可以在 Azure Portal MCC 资源的概述和监视中对其进行监控。

推荐参考：

Release Notes for Microsoft Connected Cache for Enterprise and Education | Microsoft Learn

Improve P2P efficiency | Microsoft Learn

Types of download content supported by Delivery Optimization | Microsoft Learn

Optimize Windows Autopilot bandwidth use with Connected Cache | Windows IT Pro Blog

Microsoft Connected Cache for Enterprise Frequently Asked Questions | Micrososft Learn

Troubleshoot Microsoft Connected Cache for Enterprise and Education | Microsoft Learn

适用于企业和教育的 Microsoft Connected Cache

        前面 gOxiA 已经分享了 “Microsoft Connected - 概述”，今天我们继续学习探讨 适用于企业和教育的 Microsoft Connected Cache（MCC），作为一种纯软件缓存解决方案，其当前主要支持以下应用场景：

• Windows Autopilot 部署方案
• 从 Microsoft Intune 获取每月更新或 Win32 应用，适用于纯云或混合模式

        对于没有大带宽 Internet 连接，且没有专用服务器硬件，仅包含 10 - 50 台 Windows 终端设备的分公司，可以利用 Windows 11 作为缓存节点；而那些大型企业环境或组织分支，如 100 -1000 台设备，可利用或部署的服务器硬件，则可以在 Windows Server 2022 及更高版本，或 Ubuntu 24.04 上部署缓存节点。

        要实施应用适用于企业和教育的 MCC，我们需要满足以下各项条件：

        许可证：

1. 有效的 Azure 订阅，需要用于创建适用于企业和教育的 MCC

2. 在当前公共预览版阶段，用于连接缓存的 Azure 资源将免费提供

3. 客户端设备必须使用 Windows 企业版 E3/E5，包含在 Microsoft 365 F3/E/E5 中；对于教育用户则需要 Windows 教育版 A3/A5，包含在 Microsoft 365 A3 或 A5 中

        缓存节点主机：

1. 在安装最新版的 MCC 之前，必须从主机上卸载任何以前安装的 Connected Cache

2. 主机访问的相关终结点必须在企业出口放行，具体可参考：https://learn.microsoft.com/en-us/windows/deployment/do/delivery-optimization-endpoints

3. 保留 80 端口不被占用

4. 主机必须至少 4GB 的可用内存

5. 对于 Windows 缓存节点主机，Windows 11 必须为 22631.3296 及更高版本；Windows Server 2022 必须为 20348.2227 或更高版本。Windows 主机还必须支持嵌套虚拟化，确保其相关安全设置的启用不被影响。必须为 Windows 缓存节点主机安装 WSL 2。

6. 对于 Linux 缓存节点主机，操作系统需 Ubuntu 24.04，或 RHEL 8.x 或 9.x（容器引擎必须替换为 Moby，其默认为 Podman）

        此外，还需要注意在缓存节点主机上不支持多宿主接口，NIC 应确保不低于 1Gbps，且支持 SR-IOV 以获得最佳性能，以下是推荐的几个场景的配置。

1. 分公司，CPU 内核 ≥ 4，内存 8GB 其中可用 4GB，硬盘 100GB 可用空间，1Gbps 带宽

2. 中小型企业，CPU 内核 ≥ 8，内存 16GB 其中可用 4GB，500GB 可用硬盘空间，5Gbps 带宽

3. 大型企业，CPU 内核 ≥ 16，内存 32GB 其中可用 4GB，2块 200 ~ 500GB 硬盘空间，10Gbps 带宽

        综上，gOxiA 个人见解直接部署 Ubuntu 缓存节点主机是最佳的选择，后面我们将继续探讨如何上手创建基于 Ubuntu 的 MCC 缓存节点主机。

推荐参考：

Microsoft Connected Cache for Enterprise and Education Overview | Microsoft Learn

Microsoft Connected Cache for Enterprise and Education Requirements | Microsoft Learn

Microsoft Connected Cache - 概述

        什么是 Microsoft Connected Cache（微软连接缓存，以下简称 MCC）？！首先它基于 Azure，但通常部署在本地网络中，是一种用于 Microsoft 软件内容和更新的缓存解决方案。

        MCC 当前提供了两种服务，需要注意的是它们都还处于预览阶段，创建和管理 MCC 都需要通过 Azure 管理门户，所以我们可以在 Azure 市场中找到并创建它们。

• 适用于 Internet 服务提供商的 MCC - Microsoft Connected Cache for ISPs
• 适用于企业和教育的 MCC - Microsoft Connected Cache for Enterprise and Education

        当 MCC 在 Azure 中创建完毕即可获取部署所需的数据，在本地网络中根据需要部署任意数量的服务器，它们可以是物理机，也可以是一台虚拟机，支持 Windows 或 Linux 系统。

        MCC 的优势显而易见：

1. 减少了主干网络的负载，据称可达到 98% 以上的缓存命中率。

2. 不需要内容管理，透明、智能的缓存，并且拉取模型仅缓存网络上设备使用的内容。

3. 可根据需要灵活部署到任意数量的物理或虚拟服务器上。

4. 提升了下载体验，应用了 MCC 后，那些数据离用户更近了，不再受出口网络的影响，使下载速度更快，下载成功率更高。

        对于 Microsoft Connected Cache for ISPs，其面向 Internet 服务提供商，如：联通、电信和移动它们。通过 Azure 门户为本地网络创建了缓存节点后，并配置为通过 CIDR 或 BGP 路由将流量传递给客户。这样一来当终端用户需要访问或下载微软软件内容和更新时就会通过这些缓存节点下载数据，从而帮助减少对网络带宽的使用量。Microsoft Connected Cache for ISPs 支持以下内容的缓存：

• Windows Upadte：Windows 功能和质量更新
• Office Click-to-run：Microsoft 365 应用版和其更新
• Client apps：Intune、应用商店里的应用和更新
• Endpoint protection：Windows Defender 定义更新
• Xbox：Xbox Game Pass（Only PC）

        Microsoft Connected Cache for ISPs 工作原理：

        有关其详细介绍可参考：Microsoft Connected Cache for ISPs overview | Microsoft Learn

        而 Microsoft Connected Cache for Enterprise and Education 是一种仅限软件的缓存解决方案，面向组织用户，如：企业或教育。同样需要通过 Azure 门户来创建本地缓存节点，然后通过 Intune，或 DHCP，也可以通过注册表来配置 DOCacheHost 设置，实现客户端识别和访问 MCC 缓存节点。Microsoft Connected Cache for Enterprise and Education 支持以下内容的缓存：

• Windows Upadte：Windows 功能和质量更新
• Office Click-to-run：Microsoft 365 应用版和其更新
• Client apps：Intune、应用商店里的应用和更新
• Endpoint protection：Windows Defender 定义更新

        Microsoft Connected Cache for Enterprise and Education 工作原理：

        Microsoft Connected Cache for Enterprise and Education 非常适合部署在使用现代管理方式的组织中，可极大地优化 Intune 和 Windows Autopilot 的带宽使用，此外 ConfigMgr 也支持使用 MCC（可参考：Microsoft Connected Cache with Configuration Manager | Microsoft Learn）。

        后续我们将着重学习和探讨 Microsoft Connected Cache for Enterprise and Education，gOxiA 会继续分享先相关日志，敬请关注！

推荐参考：

What is Microsoft Connected Cache? | Microsoft Learn

Microsoft Connected Cache content and services endpoints | Microsoft Learn

HOWTO: 为 64位 Arm 架构启用 Windows 热补丁

        适用于 Windows 11 24H2 Arm64 的热补丁现已正式发布，借助热补丁 IT 现在可以快速实施补丁的更新，帮助终端设备免受安全问题带来的影响，同时还能最大限度地降低用户中断时间。是的，在过去我们每次安装完 Windows 更新都要面临设备重启的问题，现在有了热补丁无需重启设备即可安装更新并生效。

        要为设备启用热补丁需要一些前置条件：

1. Windows 11 24H2 企业版，26100.2033 或更高版本

2. 设备必须采用最新的基线版本才能获得热补丁更新。微软通常按季度发布基线更新作为标准累计更新。

热补丁的发行周期可参考下表：

基线：包含最新的安全修补程序、累计新功能和增强功能，需要重启。

热补丁：包含安全更新，无需重启。

季度	基线更新	热补丁
1	1月	2月和3月
2	4月	5月和6月
3	7月	8月和9月
4	10月	11月和12月

3. 符合条件的许可证之一：Windows 11 企业版 E3或 E5，Microsoft 365 F3，Windows 11 教育版 A3 或 A5，Microsoft 365 商业高级版或 Windows 365 企业版。

4. 通过 Microsoft Intune 管理 Windows Update

5. 设备启用基于虚拟化的安全性（VBS）

6. 对于 Arm64 设备需要禁用其 CHPE。（CHPE 是一种新型的 PE 文件，我们只需要理解它会同时包含像 x86 和 Arm64 这样的代码，且 x86 仿真进程和 Arm64 本机进程都可以使用，从而提升仿真器的性能。）

        以上前置条件中，之所以要为 Arm64 设备禁用 CHPE 是因为目前热补丁与 CHPE OS 二进制文件“%SystemRoot%\SyChpe32”还不兼容。要禁用 CHPE 也非常方便，只需要在 Intune 中下发一条策略即可，为此我们转到 Intune 管理门户，为设备创建一个基于“设置目录”的配置文件，搜索 CHPE 即可找到"Disable CHPE"，将其配置为“CHPE Binaries Disabled”。

该配置对应的 CSP 如下：

./Device/Vendor/MSFT/Policy/Config/Hotpatch/DisableCHPE，Int，0（启用 - 默认） or 1（禁用）

注册表路径如下：

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions = 1

        当为 Arm64 设备下发了 DisableCHPE 配置文件后，便可以修改现有或创建新的 Windows Update 的质量更新策略，如下图所示，我们仅需要确保“如果可用，请在不重启设备的情况下应用（“热补丁”）”设置为“启用状态”，并将其指派给需要热补丁的 Arm64 设备组即可。

推荐参考：

• Hotpatching now available for 64-bit Arm architecture
• Hotpatch updates | Microsoft Learn
• Release notes for hotpatch on Windows 11 24H2 Enterprise
• DisableCHPE | Microsoft Learn - System policy CSP
• Program Compatibility Troubleshooter on Arm | Microsoft Learn

HOWTO: 使用 Intune 管理 Windows 存储感知

        存储感知（Storage Sense）是一项重要的 Windows 功能，它能够帮助我们自动释放硬盘空间，在固态硬盘以及云存储普及初期，存储感知为用户带来了极大的便利性，在硬盘空间不足时存储感知自动运行，清理掉那些在一段时间不用的文件，例如回收站、下载文件夹，以及 OneDrive 云存储中的文件。

        我们要检查和配置存储感知，只需要打开“设置 - 系统 - 存储”即可看到“存储感知”设置。

        在上图中我们可以留意底部的设置，“Fan - 个人” 是 gOxiA 的 OneDrive 云存储，默认释放阈值是 30 天，这意味着 30 天里未使用过的云文件将会从硬盘占用空间中被释放掉，以回收更多的存储空间。前面讲过在过去我们的 SSD 固态硬盘可能并不大，128GB 或 256GB，即使再大达到 512GB，也可能无法应对日益暴增的云存储容量，所以我们需要利用存储感知来帮助我们释放那些已经不再活跃的云文件。但是，现金越来越多的笔记本电脑或台式机使用大容量的 SSD 固态硬盘，并且我们有时可能需要确保本地保留完整的云数据，便于整理或查询，那么存储感知可能会对我们造成些许小困扰。拿前一段时间的经历举例，家中的工作站有几个TB的存储空间，OneDrive 存储已经使用了 1.2TB，其中大多数是照片和视频，此时希望能快速查阅和整理它们，gOxiA 便使用 OneDrive 设置中的 “下载所有文件” 将保存到 OneDrive 全部同步到本地，确保任何时候都可以从本地使用这些文件，同样也提升了照片查阅和管理的效率。此时 OneDrive “下载所有文件” 并不会影响到存储感知的配置，所以在30天后存储感知清理了那些未使用过的文件，尤其是当 gOxiA 长期出差在外回家打开电脑登录桌面后，结果可想而知！

        对于企业环境，员工将云文件始终保留在本地的需求也在日益增长，此时 IT 就需要对终端设备进行统一的配置以满足需求，对于现代管理方式，我们可以通过 Intune 提供的“设置目录”对存储感知进行配置，首先创建一个配置文件，选择“Windows 10 及更高版本” 平台，然后选择“设置目录”，并创建配置文件，随后起一个便于识别的名字，然后添加设置，我们可以在搜索框中直接键入“Storage”进行搜索，然后在结果中找到“存储”类别，便可看到那些可选的设置，如下图所示。

        根据需要我们可以配置：

• 配置存储感知（回收站清理阈值），可配置为0-365天，0 将不删除回收站中的内容
• CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseRecycleBinCleanupThreshold，Int，0 - 365（默认值30）
• 配置存储感知（全局 Cadence），1 - 每天；7 - 一周；30 - 一个月；0 - 可用磁盘空间不足时
• CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseGlobalCadence，Int，0（在可用磁盘空间不足时 - 默认）or 1（每天）or 7（每周）or 30（每月）
• 配置存储感知（云内容冻结阈值）：可配置为0-365天，0 将不释放 OneDrive 中的内容
• CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseCloudContentDehydrationThreshold，Int，0（默认）- 365
• 配置存储感知（下载清理阈值）：0-365天，0 将不删除下载文件夹中的内容
• CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseDownloadsCleanupThreshold，Int，0（默认）- 365
• 允许存储感知（全局）：阻止；允许
• CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/AllowStorageSenseGlobal，Int，0（阻止 - 默认值）or 1（允许）
• 允许存储感知（临时文件清理）：阻止；允许
• CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/AllowStorageSenseTemporaryFilesCleanup，Int，0（阻止）or 1（允许 - 默认值）

        有关 CSP 的详细信息可参考：https://learn.microsoft.com/zh-cn/windows/client-management/mdm/policy-csp-storage#configstoragesenserecyclebincleanupthreshold

        对于需要组策略（GPO）管理的 IT 环境，可以在“计算机配置 - 管理模板 - 系统 - 存储感知”中找到相关配置，可参考下图。

        有关使用存储感知管理驱动器空间，可参考：

https://support.microsoft.com/zh-cn/windows/%E4%BD%BF%E7%94%A8%E5%AD%98%E5%82%A8%E6%84%9F%E7%9F%A5%E7%AE%A1%E7%90%86%E9%A9%B1%E5%8A%A8%E5%99%A8%E7%A9%BA%E9%97%B4-654f6ada-7bfc-45e5-966b-e24aded96ad5

使用 Windows Update for Business 管理设备驱动更新

        是时候考虑向云更新工具过渡了，除了我们的 Windows 系统更新，设备驱动也该如此。如果你的组织正在计划通过一种现代手段来管理设备驱动更新，那 Windows Update for Business 绝对 gOxiA 首推的云工具/服务。

        Windows Update for Business (以下简称：WUfB) 基于云的 Windows 系统更新服务，除了提供 Windows 质量更新、功能更新以外，还提供了驱动程序更新，这将使组织内的设备始终保持最新的状态。在过去我们在部署系统映像时需要基于驱动程序标准化最佳实践，将各种型号的设备驱动集中起来，分厂商型号或分类进行管理，然后再通过部署平台随系统映像一同部署，但在之后的时间里，那些设备驱动将始终保持在最初的版本，一旦驱动因为性能、兼容性和安全问题需要更新时，组织内的 IT 人员将承受巨大的压力和工作量。也许我们会通过设备厂商提供的专用更新程序，但总体来说无疑增加了无形的成本，对最终用户的体验也并非绝对的好。

        当下，设备应用环境更新复杂，面对的挑战也更多，组织基于安全考虑，需要开始不断的进行设备驱动乃至固件的更新维护工作，此时就需要一套完善易用的方案。正如 gOxiA 前面所介绍的，WUfB 将是组织的首选，尤其是那些已经在使用现代管理方案 - Intune 的组织。

        今天就跟随 gOxiA 快速上手 WUfB 管理设备驱动更新，你将发现原来一切都是那么简单轻松！！！

        首先，我们要做一些准备工作，将组织内的设备进行汇总，确认其 deviceManufacturer 和 deviceModel 名称，这样我没就可以为每个具体型号的设备创建一个设备组用来接收驱动更新。对于已经注册到 Intune 的设备，我们可以检查设备的硬件属性，其中就包含了 deviceManufacturer (制造商) 和 deviceModel (模型) 名称。否则我们使用 WMIC 命令在端点设备上提取，命令为：wmic csproduct；如果你的组织设备已经升级到最新版的 Windows 11 24H2，请使用 PowerShell 命令提取，即：Get-CimInstance -ClassName Win32_ComputerSystemProduct

        收集了设备必要的信息后，我们便可以访问 Intune Portal 创建一个“动态设备”类型的“安全组”，参考如下：

        该设备组名为“ThinkStation P360U”，使用动态查询会自动将所有符合的设备自动匹配到该组，此时就会用上我们前面收集到的信息，deviceManufacturer Equals Lenovo；deviceModel Equals 30G2A00RCW，参考如下图：

        接下来，我们从 Intune Portal 左侧的导航列表找到“设备”，并转至其下的“Windows 更新”，创建“驱动程序更新”。

        这里允许选择创建两种类型的配置文件，一种是“自动批准所有推荐的驱动程序更新”；还有一种“手动批准和部署驱动程序更新”。先说前者，理解起来很简单，由 WUfB 推送的所有推荐的驱动程序更新都将自动审批并推送给最终的设备组，此外我们还可以配置在几天后可用，这样便有了一个缓冲期。对于那些“其他驱动程序”类型的驱动，仍将需要 IT 管理员手动审批。

       手动批准和部署驱动程序更新的策略则需要 IT 管理员手动一个一个审批那些推荐的驱动程序。

        为不同的设备组即不同型号的设备创建策略后，一单该组包含了设备，便会开始检索该设备所匹配的驱动，该组无设备时将不会生成驱动相关的数据。为了遵循设备驱动仅安装厂商针对该型号设备发布的驱动程序最佳实践原则，应该为每个设备型号创建一个设备组并分配一个驱动更新策略。

        OK，今天的分享也到到此结束，不用担心 WUfB 的驱动程序质量，因为现代设备的驱动都会通过 WHQL 认证，由设备厂商发布到 WUfB，并且微软也会对其进行安全验证。通过 WUfB 管理设备的驱动更新，IT 人员的精力能够得到释放，去专注更有价值的工作，设备的驱动和固件的更新都将通过 WUfB 推送给端点设备并根据策略执行部署，一切都将变得如此轻松！！！

HOWTO: 使用 Intune 配置多显示器策略

        组织用户每天都在忙碌着，可能穿梭在多个会议室之间，或参加各种公开活动，当我们外接显示器或大型投屏设备时可能并不会留心最小化所有打开的文件，这些文件可能是一些机密的或很有隐私性的，想想吧！！！结果会怎样？？？

        用户总在抱怨他们不是专业的 IT 人员，对设备和系统的使用并不会面面俱到，它们更关注于自己的本职工作。此时是组织 ITPro 出场的时刻了，要么不断宣讲和传授安全知识以及系统使用技巧，要么通过一种标准的配置方法去帮助用户实现那些并不在意但又非常重要的操作。

        如果你的组织正在使用 Intune 这类现代管理平台，请留意 Intune 在 2025年2月5日 发布的功能更新（服务版本 2501），其中包含了一个新的设备配置支持，可用于配置多个显示模式，如：仅允许内置显示器，或外置显示器，或复制模式和扩展模式。这一配置将简化用户的配置过程，不仅提升了使用体验，还可确保“尴尬”发生。

        接下来就跟随 gOxiA 做一次实践。首先打开 Intune Portal，在左侧导航栏找到并进入“设备”，然后转到“管理设备”下的“配置”页面，并创建一个新策略。这条用于配置多个显示模式的策略平台为“Windows 10 及更高版本”，配置文件类型为“设置目录”。

        之后，跟随向导创建配置文件，起一个便于识别的策略名称。在“配置设置”这里点击“添加设置”，可以通过搜索“Configure Multiple Display Mode”快速找到，它位于“显示器”类别。

        根据组织的标准选择一个默认的模式，我个人更倾向于“Extend”来实践，它既允许用户快速扩展屏幕，又能确保安全行。需要注意，在配置页面中提供了五个选项供我们选择。

        组织 IT 也可以直接通过 CSP ConfigureMultipleDisplayMode 进行配置，以下配置信息。

./Device/Vendor/MSFT/Policy/Config/Display/ConfigureMultipleDisplayMode

属性格式：Int

允许的值：0（默认值），1（复制），2（扩展）

基于 21v Intune 实现 Windows Autopilot device preparation

        目前 21v Intune 已经支持 Windows Autopilot device preparation（以下简称 WADP），但它并不是传统意义上的 Windows Autopilot，如果你对这块的理解还有些模糊，不妨先阅读这篇日志“Windows Autopilot device preparation 与 Windows Autopilot 比较”。21v Intune WADP 与公有云相比先决条件和支持特性保持一致，而一些区别主要来自 21v Intune 本身，例如当我们要通过 WADP 阶段推送安装应用时，由于 21v Intune 不支持企业应用商店所以将无法强制安装 Company Portal App（公司门户应用），只能使用 WinGet 下载后以 LOB 应用方式进行推送安装。

        其他配置方面都可参考之前已经分享的日志“Windows Autopilot device preparation 快速上手”，gOxiA 也专门制作了一段视频用于演示设备执行部署时的过程体验。

https://weibo.com/tv/show/1034:5098153565683731?from=old_pc_videoshow

https://youtu.be/JBP9jvJQUFk

        对于一些网友反馈说无法正常配置 Intune 后台的问题，gOxiA 看了一下主要集中在设备组这块，有关 WADP 设备组的创建可以参考“Windows Autopilot device preparation - Create a device group”。当为设备组添加所有者时可能会出现无法找到“Intune Provisioning Client (f1346770-5b25-470b-88bd-d5744ab7952c)”的问题。如果当前租户中确认无法找到“Intune Provisioning Client (f1346770-5b25-470b-88bd-d5744ab7952c)”，可以文中的“Adding the Intune Provisioning Client service principal”部分，手动先去创建这个 AppID，之后即可为设备组正常添加所有者。

        由于 gOxiA 是在测试环境，所以是直接用 connect-azuread 连接到 AzureChinaCloud 租户，然后使用如下命令行进行的添加。

New-AzureADServicePrincipal -AppId f1346770-5b25-470b-88bd-d5744ab7952c

        最后，友情提醒别忘记检查用户是否分配了相关的License，gOxiA 在实践时就因为忽略了用户检查步骤，导致遇到了“Internet 断开”的问题，由于没有明确的错误提示，做了很久的排错才发现问题所在。

        23年的11月末 gOxiA 与大家分享了 Windows App 的预览体验，时隔近1年我们终于迎来了 Windows App 的正式发布。Windows App 是一款跨平台的现代应用，现已公开支持 Windows、Android 和 iOS/MacOS/iPadOS，还支持基于 Web 浏览器方式运行。它将统一各类设备访问 Windows 365、Azure Virtual Desktop、远程桌面、远程桌面服务、Microsoft Dev Box的连接体验，安全并且可靠。

        Windows App 提供了统一接入，从单个简化的界面管理和访问多个 Windows 服务，包括云PC、虚拟桌面和本地PC。通过可自定义的主屏幕、多显示器支持和动态显示分辨率来个性我们的界面体验。支持设备重定向，如USB重定向等功能提高工作效率，还专门对 Microsoft Teams 进行了优化，支持轻松账户切换等功能，帮助用户获得更高效的远程工作体验。

        Windows App 各平台的获取方式：

• Windows，https://apps.microsoft.com/detail/9N1F85V9T8BN
• macOS，https://aka.ms/macOSWindowsApp
• iOS/iPad，https://aka.ms/iOSWindowsApp
• Android，https://play.google.com/store/apps/details?id=com.microsoft.rdc.androidx.beta
• Web Browser，https://windows.cloud.microsoft/

        以下是各平台上 Windows App 的连接支持情况（PS：截至20241010）

• Windows
• 支持：
• Azure Virtual Desktop
• Windows 365
• Microsoft Dev Box
• 不支持：
• Remote Desktop Services
• Remote Desktop
• macOS
• 支持：
• Azure Virtual Desktop
• Windows 365
• Microsoft Dev Box
• Remote Desktop Services
• Remote Desktop
• iOS/iPadOS
• 支持：
• Azure Virtual Desktop
• Windows 365
• Microsoft Dev Box
• Remote Desktop Services
• Remote Desktop
• Android
• 支持：
• Azure Virtual Desktop
• Windows 365
• Microsoft Dev Box
• Remote Desktop Services
• Remote Desktop
• Web 浏览器
• 支持：
• Azure Virtual Desktop
• Windows 365
• Microsoft Dev Box
• 不支持：
• Remote Desktop Services
• Remote Desktop

        此外，在不同平台上 Windows App 目前也存在一些功能差异，具体可参考：Windows App 比较平台和功能。如果当前仍需要在 Windows 上连接Windows Client/Server 的 RDP 远程桌面，可以继续使用 Remote Desktop 或系统自带的 Mstsc 程序。

       从首发整体来看，当前对 iOS 和 Android 这类移动平台已经支持的非常完善，将使我们可以通过移动终端轻松地在任何时刻任何联网地点安全便捷地接入到云中的 Windows 平台。插上 USB 线缆或无线投屏方式连接到一个大屏幕或电视，然后蓝牙连接一套键盘鼠标，使用 Windows App 连接到位于云中的 Windows PC，崭新的体验！（PS：期待面向个人消费市场的 Windows 365 上线！！！）

Intune - 通过Windows公司标识符阻止非公司设备注册

        之前 gOxiA 分享了“Intune - Windows 公司设备标识符”，通过收集 Windows 设备的制造商（Manufacturer）、型号（Model）和序列号（SerialNumber），可将其添加至 Windows 公司标识符，以标注该设备属于公司拥有的。

        当我们完成 Windows 公司标识符的添加后，可以配置“设备 - 注册 - 设备平台限制”策略，将 “Windows (MDM)” 的 “个人拥有” 改为 “阻止”，这样一来当用户使用非公司拥有的设备或个人设备在 OOBE 阶段通过公司账号（M365）登录和配置时将提示“80180014”错误，从而有效的阻止了非授权或不合规的设备加入到公司环境，避免了组织资源和数据的泄露风险。

        需要注意的是 Windows 公司标识符仅受 Windows 10 的2024年6月累计更新及以上版本，或 Windows 11 的204年3月累计更新及以上版本支持。

        如果当前组织无法为设备进行 Windows Autopilot 设备注册，那么可以考虑利用 Windows 公司标识符和 Windows Autopilot device preparation 方案来实现，尤其是在使用 21v 租户和使用 Windows 11 的组织。Windows Autopilot device preparation 的过程可参考下面的 Demo 视频。

https://weibo.com/tv/show/1034:5056036852138048

https://www.youtube.com/watch?v=73vOVzd-bhg

推荐官方文档：

Understand Intune and Microsoft Entra device limit restrictions | Microsoft Learn

HOWTO: 解决“注册工作或学校账户”时发生 80180014 错误

        当我们在 Windows OOBE 阶段使用“注册工作或学校账户”配置电脑时，通常会使用企业分配的 M365 账号进行登录，来完成设备的注册并从 Intune 获取设备或用户的企业标准化配置。

        但在完成身份验证开始执行后续的设备设置过程时发生了 80180014 错误，如下图所示。

        80180014 错误说明设备注册被组织而导致失败。这通常是由于设备未符合注册策略所致，我们可以访问 Intune Portal 并转至“设备 - 注册 - 设备平台限制”，检查当前策略。

        当 Windows (MDM) 阻止 个人拥有 的设备进行注册时，将发生 80180014 错误。要解决此问题我们需要允许个人拥有的设备。当阻止 Windows (MDM) 注册，或对系统版本进行限制时也会发生 80180014 错误，提示“你的组织不支持这个 Windows 版本”。

官方参考：

MDM 注册错误值参考

注册限制概述

创建设备平台限制

Intune - Windows 公司设备标识符

        Windows 公司设备标识符，很容易理解的一个词，即公司所属的 Windows 设备。它是 Intune 提供的一种新的解决方案，可以帮 ITPro 更轻松，更安全的识别和管理企业的 Windows 设备。该方案标识设备的方法是通过 PC 硬件内置的序列号、制造商和型号组合实现的，只需企业 IT 事先收集整理设备的特定信息到一个 CSV 文件中，上传到 Intune 即可。

        下表列出了在没有公司设备标识符的情况下注册设备以及使用公司标识符进行注册时授予设备的所有权类型。

        综上，为了确保公司设备能够在注册后被正确的进行标识，建议应当使用公司设备标识符进行预先定义。为此，我们可以使用如下命令收集整理注册所需的信息。

        对于商用设备，IT 在进行入库时可以通过设备包装上的条码进行收集，或从供应商那里获得。将收集到信息保存为 CSV 格式文件，然后访问 Intune Portal，转至 "设备 - 注册 - 公司设备标识符"。

        然后，选择“添加 - 上传 CSV 文件”，对于 Windows 平台当前仅支持 CSV 文件添加，不支持手动。

        进入 CSV 添加模式后请选择“制造商、型号和序列号（仅限Windows）”这个选项，然后上传整理好的 CSV 文件，添加完成。

        此外，这里需要特别留意，通过 CSV 批量添加设备时请确保满足以下要求：

1. CSV 文件中的内容格式务必为：制造商, 型号, 序列号；

2. 客户端操作系统版本至少 Windows 10（19045.4598）或 Windows 11（22621.3374/22631.3374）

3. CSV 中的设备记录 ≤ 5000，且 CSV 文件大小 ≤ 5MB

        提示，对于现有注册的设备当移除其对应的公司设备标识符后，其所有权将恢复到以前的状态。

        借助公司设备标识符我们可以实现更灵活的资产注册和管理方案，尤其是那些在使用 21v 的企业客户，可通过该解决方案配合设备准备策略实施设备交付。我们也可以借助该公司设备标识符来进行注册限制，后面 gOxiA 将会再与大家分享。

官方参考文档：

Identify devices as corporate-owned | Microsoft Learn

Windows Autopilot device preparation 快速上手

        前面 gOxiA 与大家分享了 Windows Autopilot device preparation 与 Windows Autopilot 比较，以及相关的演示视频，今天将快速上手 Windows Autopilot device preparation（以下简称：Device preparation）。

        Device preparation 被誉为“下一代 Windows Autopilot”，但目前仍与现有的 Windows Autopilot 共存，由于底层架构进行了重新的设计，所以在配置准备等方面都发生了重大的变化，其中还包含一个重要的变化是不再依赖硬件哈希来进行预注册，这相对来说将会灵活很多，但是也意味着暂时无法使用自部署模式和预配模式（白手套）。

        既然发生了变化，我们就要从基本条件和基本准备入手。首先了解一下基本条件：

• 支持 Windows 11 23H2 的 KB5035942 及更高版本
• 支持 Windows 11 22H2 的 KB5035942 及更高版本
• 仅支持 Entra ID，不支持混合模式
• 已经注册为 Autopilot 的设备将不受支持，所以要被测试的客户端需要先从 Autopilot 解除注册

        接下来，我们将要创建两类组：一个特用于 Device preparation的设备组，以及用户组。该设备组主要用于应用和脚本的分配，也就是说在 Device preparation 阶段指定的这些应用和脚本将会被分配给该组的设备。此外需要为其分配一个特定的所有者“Intune Provisioning Client (f1346770-5b25-470b-88bd-d5744ab7952c)”。

        用户组主要用于指定哪些用户将应用 Device preparation，它不再像以前那样通过硬件哈希来进行识别。（PS：本次测试 gOxiA 使用了同一个组 - Device preparation。）

        现在，我们将要创建 Device preparation（设备准备）策略。从下图可以看到之前已经创建好的策略，通过点击左上方的“创建”按钮我们将开始一个新的配置文件。

        点击创建后将启动一个向导，在简介部分我们可以了解其相关资讯以及指导。

        在“基本信息”页中为该策略命名。

        在“设备组”页中我们搜索并添加之前为其创建的设备组。（PS：该组中的设备将在 OOBE 阶段安装指定的应用和脚本）

        在“配置设置”页中，首先配置“部署设置”，其中部署模式当前仅支持“用户驱动”；部署类型“单个用户”；联接类型“已联接 Microsoft Entra”；用户账户类型“标准用户”。

        接下来配置“现成体验设置”，如下图所示，与 ESP 功能相似，可配置超时时间，自定义错误信息，以及是否允许用户在多次尝试后跳过设置，并允许是否显示诊断链接。

        应用和脚本部分，受 Device preparation 当前限制仅支持 10 个要部署的应用和脚本，所以即使前面我们为特定的设备组分配了超过其数量限制的应用，在这里也只能配置10个。

        配置以上信息后，接下来可以跳过“范围标记”页，如果没有特殊的需求。之后会进入到“分配”页。即 Device preparation 策略为哪些用户有效。它实际替代了之前 Windows Autopilot 设备的预注册。

        最后在“查看+创建”页复查我们的相关配置，如果没有错误点击“保存”即使策略生效。至此，我们的 Device preparation 策略创建完毕，我们可以准备一个客户端设备进行测试。具体的过程可以参考已经发布的视频 Demo。

https://weibo.com/tv/show/1034:5056036852138048

https://www.youtube.com/watch?v=73vOVzd-bhg

Windows Autopilot device preparation 与 Windows Autopilot 比较

        微软在今年5月下旬公布了 Windows Autopilot device preparation - 设备准备（以下简称Device preparation），在“Windows deployment with the next generation of Windows Autopilot”这篇文章中可以了解到基本概况。gOxiA 也在近期发布了 Demo 视频，感兴趣的网友可以从常用的社交应用访问观看。

        从现有资讯来看，大家对 Device preparation 都存在不同的认识和看法，好在官方团队在不断地更新 Q&A。对于Device preparation，gOxiA 一反常态不再先做基本介绍，有需要的可以移步上方官方文档先了解，今天主要跟大家分享的是 Device preparation 与 Windows Autopilot 的常用特性比较，可以更好帮助我们去认识和了解 Device preparation。

• Device preparation 适用于 GCCH 和 DoD 主权云。未来还将在 21v 提供。而 Windows Autopilot 则支持更多种类的设备，例如：Hololens 和 MTR；并且还提供了更多可自定义的选项用于预配体验。
• Device preparation 当前仅支持用户驱动模式。而 Windows Autopilot 包含：用户驱动、预配置、自部署和现有设备。
• Device preparation 不需要为设备进行预注册。而 Windows Autopilot 需要先收集设备信息并注册到 Autopilot。
• Device preparation 需要管理员创建设备准备策略和一个以 Intune 预配客户端 为所有者的设备安全组。而 Windows Autopilot 除了需要预先注册设备外，还需要创建 Windows Autopilot 部署配置文件，以及注册状态页（ESP）。
• Device preparation 仅在 OOBE 期间基于设备进行预配，目前支持部署最多10个应用（LOB、Win32、MSStore、M365），和10个 PowerShell 脚本。而 Windows Autopilot 在 ESP 期间提供基于设备和用户的预配，且支持任意数量的应用程序。
• Device preparation 仅从 Windows 11 的 23H2 和 22H2 的  KB5035942 开始提供支持。而 Windows Autopilot 对所有当前支持的 Windows 11 和 Windows 10 提供支持。
• Device preparation 仅支持 Microsoft Entra 加入。而 Windows Autopilot 提供了混合加入支持。
• Device preparation 不支持 Windows Autopilot 重置。
• Device preparation 不支持 DFCI。

       更为详细的内容，可参考：https://learn.microsoft.com/en-us/autopilot/device-preparation/compare

        了解以上众多不同，整体看下来还是 Windows Autopilot 提供了更丰富的功能特性，支持也更加广泛。正如官方所讲，仍旧会持续投资 Windows Autopilot，并希望将基于 Windows Autopilot 配置文件和设备准备策略的两个方案并存一段时间！此外，Device preparation 底层体系结构不同，可提供改进部署体验的功能，例如不需要为设备进行预注册。也正因此已在使用 Windows Autopilot 部署的设备将不能同时通过设备准备策略进行部署，需要先从 Autopilot 中取消注册。

        后续，gOxiA 也会与大家分享设备准备策略的上手。

HOWTO: 通过 Intune 配置 Windows 客户端拒绝向移动存储写入数据

        在企业环境下一些 Windows 客户端将受到严格的管控，尤其是在一些涉及敏感数据的场景中，通常需要禁止将本机数据写入到 USB 等移动存储设备中，以避免数据泄露。如果企业正在使用 Intune 管理这些客户端和策略，那将很轻松的能够实现这些需求，并且提供了更为灵活全面的管控方案。今天就跟随 gOxiA 来做这个配置实践，首先登录 Microsoft Intune 管理中心，进入“设备 – Windows - 配置文件”，然后“创建”配置文件，“平台”这里选择“Windows 10 和更高版本”，“配置文件类型”选择“设置目录”。

        进入“创建配置文件”向导页面，先为配置文件填入一个名称，本例为“Deny Removable Storage Write Access”。

        然后，找到“Storage”类别（也可以通过搜索找到），然后选中“Remove Disk Deny Write Access”，之后将左侧内容窗格中的配置启用 - “Enabled”即可。

        OK！到这里主要配置完成，是不是非常轻松便捷！但是我们从备注中可以了解到，一旦启用该配置，将拒绝所有移动存储的写入。对于那些希望允许将数据写入移动存储已启用 Bitlocker To Go 的组织，则建议改用“Computer Configuration\Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drivers”进行配置，如果希望改用则继续关注后面的截图。

        我们可以搜索“Bitlocker”分类，找到“Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drives”，勾选“Deny write access to removable drives not protected by Bitlocker”，这里我们应当留意它的子选项“Do not allow write access to devices configured in another organization”，这将禁止写入到非授权的设备，即使它已经使用 Bitlocker。此外，我们还要注意，这个分类配置会被前面的“Remove Disk Deny Write Access”覆盖，所以不能同时配置。

        OK，一旦决定采用的限制方案即可完成配置进入配置文件分配的页面，最后宣告完成。

        如果您希望创建更为复杂的限制策略，可以搜索“Removable”，在“Removable Storage Access”分类中提供了多达38个策略，其中我们可以使用“Custom Classes”为特定设备配置禁止访问的权限。通过“Device Installation Restrictions”还可以允许安装特定的设备进行更为复杂全面的管控，多管齐下的方案总有能够适配组织安全需求的。

        最后，如果我们推送了“Remove Disk Deny Write Access”策略，并希望在客户端上验证是否应用了该策略，可以通过事件日志查看器找到“Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider”，并查阅事件ID813的日志，其中能够看到相关的记录。

HOWTO: 使用 Intune 配置 LAPS

        大家在熟悉“HOWTO: 使用 Intune 为 Windows 启用本地管理员”之后，接下来就跟随 gOxiA 了解如何为 Entra（AAD）账号启用 LAPS（Windows Local Administrator Password Solution），以及使用 Intune 配置 LAPS 策略。首先我们需要先在 Microsoft Entra 管理中心为设备启用本地管理员密码解决方案（LAPS）。

        进入 Microsoft Entra 管理中心导航至“标识 - 设备 -  设备设置”，在右侧内容窗格中找到“本地管理员设置”，将“启用 Microsoft Entra 本地管理员密码解决方案(LAPS)”配置为“是”。简单一部便可谓云账号启用 LAPS，实属方便！但需要注意只有安装了2023年4月11日累计更新的 Windows 10/11/Server 2019/Server 2022 才受支持。

        此外，若要允许对应管理员查看密码和密码元数据，需要授予相关权限：

• microsoft.directory/deviceLocalCredentials/password/read操作
• microsoft.directory/deviceLocalCredentials/standard/read操作

        如果列出所有通过 LAPS 管理的设备，可以在 Microsoft Entra 管理中心导航至“标识 - 设备 - 本地管理员密码恢复”进行查阅。也可以通过 Intune 管理中心，找到设备，在监视器选项中找到“本地管理员密码”。

        若要使用 Intune 来配置 LAPS 策略，可以在 Intune 管理中心 导航至“终结点安全性 - 账户保护”创建 LAPS 默认策略。

        此外，也可以通过设备配置文件为 LAPS 创建策略（配置文件类型：模板；模板名称：管理模板，可找到 LAPS），其中包含以下几项：

• Do not allow password expiration time longer than required by policy
• 启用此设置时，不允许计划的密码过期时间超过“密码设置”策略规定的密码期限。当检测到此类过期时，会立即更改密码，并根据策略设置密码过期。 禁用或未配置此设置时，密码过期时间可能比“密码设置”策略所需的时间长。
• Enable local admin password management
• 启用本地管理员帐户的密码管理 如果启用此设置，则管理本地管理员密码 如果禁用或未配置此设置，则不会管理本地管理员密码。
• Name of administrator account to manage
• 管理员帐户名称：要管理其密码的本地帐户的名称。 使用内置管理员帐户时不要配置。内置管理员帐户由已知 SID 自动检测，即使在重命名时也是如此。
• Password Settings
• 配置密码参数 密码复杂性：生成新密码时使用哪些字符 默认值：大写字母 + 小写字母 + 数字 + 特殊字符 密码长度 最少：8 个字符 最大值：64 个字符 默认值：14 个字符 密码期限（以天为单位） 最短：1 天 最长：365 天 默认值：30 天

        基于 Microsoft Entra ID 对 LAPS 的支持包括以下功能：

• 使用 Microsoft Entra ID 启用 Windows LAPS - 启用租户范围的策略和客户端策略，以将本地管理员密码备份到 Microsoft Entra ID。
• 本地管理员密码管理 - 配置客户端策略以设置帐户名、密码期限、长度、复杂性、手动密码重置等。
• 恢复本地管理员密码 - 使用 API/门户体验恢复本地管理员密码。
• 枚举所有启用了 Windows LAPS 的设备 - 使用 API/门户体验枚举启用了 Windows LAPS 的 Microsoft Entra ID 中的所有 Windows 设备。
• 本地管理员密码恢复授权 - 将基于角色的访问控制 （RBAC） 策略与自定义角色和管理单元结合使用。
• 审核本地管理员密码更新和恢复 - 使用审核日志 API/门户体验来监视密码更新和恢复事件。
• 本地管理员密码恢复的条件访问策略 - 在具有密码恢复授权的目录角色上配置条件访问策略。

        毋庸置疑，基于Microsoft Entra ID 的 LAPS 方案以及通过 Intune 管理的 LAPS 策略是最易于部署和配置的。

官方参考资料：

• 本地管理员密码解决方案
• 使用 Intune 管理 LAPS 策略
• Intune 对 LAPS 的支持

HOWTO: 使用 Intune 为 Windows 启用本地管理员

    前面 gOxiA 与大家分享了“HOWTO: 启用本地 Windows Autopilot 重置设备”，文中提到要使用该功能必须要启用本地管理员。对基于 Intune 管理的 Windows PC 来说实施起来并不复杂，今天我们就快速熟悉这一操作流程。

        在 Intune 管理中心 转至 设备-配置-策略，新建策略，平台为 Windows 10 和更高版本，配置文件类型为 设置目录。

        在 设置选取器 中找到 本地策略安全选项，然后勾选“账户 - 启用 Administrator 账户状态”。

        该策略对应的 CSP 为 Accounts_EnableAdministratorAccountStatus，详细信息如下：

./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

格式：Int

值：1 启用；0 禁用（默认）

        需要注意：如果在禁用管理员帐户后尝试重新启用管理员帐户，并且当前管理员密码不符合密码要求，则无法重新启用该帐户。

        最后分配该策略，例如：所有设备，完成这些操作即完成配置。出于安全性考虑，我们也可以同时勾选“账户 - 重命名 Administrator 账户”，以降低穷举类的攻击。该策略对应的 CSP 为 Accounts_RenameAdministratorAccount，详细信息如下：

./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

格式：chr

        虽然很轻松的完成了启用本地管理员的配置，但本地管理员的密码管理问题不容忽视。在过去我们需要编写一个脚本来配置本地管理员（Administrator）的密码，但无法实现动态维护，且存在一些安全隐患。现在，Microsoft Entra（AAD）内置了 LAPS（Windows Local Administrator Password Solution）的支持，可以很轻松的实现本地管理员密码轮换和管理，针对 LAPS 的启用会另起一篇日志与大家分享。

HOWTO: 启用本地 Windows Autopilot 重置设备

        Windows Autopilot Reset 是一种快速将设备恢复为就绪状态的部署方案，可以删除个人文件、应用以及设置；保留 Wi-Fi 连接以及用户的生物识别信息；确保设备在发起 Autopilot Reset 后在 OOBE 阶段重新自动执行 Autopilot 部署。Autopilot Reset 支持远程和本地发起重置，前者为模式配置，后者已需要另行下发设备配置文件。

        下图为远程发起重置的方法，可通过 Intune 设备管理中找到对应的设备，然后进行 Autopilot 重置。

        如果基于本地发起重置，可在登录界面按下“Ctrl+Win+R”热键，下面将介绍如何启用本地 Windows Autpilot 重置（需要单独配置的主要原因是避免意外触发 Autopilot Reset）。

        首先，创建设备配置文件，平台选择“Windows 10 或更高版本”，配置文件类型选择“设备限制”。

        在设备限制策略中找到并启用 Autopilot 重置。在微软官方文档中提到也可以使用预配包（PPKG）中的“DisableAutomaticReDeploymentCredentials”，将其设置为“No”。

        如果你习惯使用 CSP，没问题。

./Device/Vendor/MSFT/Policy/Config/CredentialProviders/DisableAutomaticReDeploymentCredentials

格式：Int

值：0（启用Autopilot重置凭据的可见性）；1（Default，禁用）

        友情提示：

1. 首次登录时生物识别因为还未与账号PIN关联所以暂时不可用，需要重新设置PIN码即可。但设备之后重启会提示是否继续使用人脸或指纹登录，根据需要进行选择。

2. 本地发起的 Autopilot Reset 还需要确保本地管理员账号为启用状态，否则 CTRL+WIN+R 将无效。下一篇日志将会与大家分享通过 Intune 启用本地管理员账号的方法。

HOWTO: 为Autopilot设备取消用户分配

        在开始前，我们先了解一下为什么会将Autopilot设备分配给用户？！在设备注册到Autopilot后，默认情况下处于共享设备模式，即有权限的用户可以在 OOBE 阶段输入账号密码来准备设备（即：注册依据）。但如果 IT 管理员 在 Autopilot 设备管理中将其分配给用户，则在 OOBE 阶段的用户登录页面上会预先填充账号名称，我们仅输入密码进行验证即可，并且还会自动应用分配给用户的策略和应用程序，对于用户而言，以及已经在实施 Autopilot for pre-provisioning deployment 的组织，都将获得更好的体验。

        要将 Autopilot 设备分配给用户，可以通过 Intune 管理中心，进入“设备 - 注册设备 - Windows Autopilot 设备”，找到需要分配用户的设备，然后点击“分配用户”，跟随向导完成即可。注意：仅能将设备分配一个账号。

        如果需要在 Autopilot 注册设备时就标记分配用户信息，可以在 CSV 文件中添加“Assigned User”列。

        OK，从以上步骤中可以看出过程中的 UI 和操作逻辑还是比较清晰易用的。但是……如果我们现在需要取消分配用户呢？！你会发现很难找到这个选项。最后 gOxiA 没辙只能祭出“Microsoft Graph”。

        首先，我们先获取到 Autopilot 设备的 ID，可以使用“windowsAutopilotDeviceIdentities”，所需权限“DeviceManagementServiceConfig.Read.All”。即：“GET https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities”，如果成功将会获得如下的视图和内容，将 ID 信息记录下来。

        之后，就可以使用“unassignUserFromDevice”进行取消分配用户的操作，所需权限“DeviceManagementServiceConfig.ReadWrite.All”。即“POST https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeviceIdentities/{windowsAutopilotDeviceIdentity-id}/microsoft.graph.unassignUserFromDevice”，其中{}替换为前面获取到的 ID。如果成功将返回 OK - 200 响应。

        搞定之后久久不能平静，总觉得在 UI 下应该会提供选项才对啊，开个 Case 才了解到原来“取消分配用户”的选项位于 Autopilot 设备列表中每个设备的最右边“…”中，OMG！！！

HOWTO: 为终结点设备配置应用自动更新

        如果你所在的组织已经逐步使用微软应用商店（MS AppStore/MSStore）来为终结点设备部署应用程序，那么今天这个分享将会有一些启示或帮助。

        使用 MSStore 部署应用是一种推荐的现代应用管理手段，我个人认为具有以下优势和特点：

1. 无需维护安装版本
2. 无需额外的存储资源
3. 安装源可靠安全

        作为应用生命周期管理中重要的一环 —— 应用更新，可以确保用户始终使用最新的，安全的应用程序。默认情况下MSStore会启用应用自动更新。但为了防止用户级别的误配置，设备管理员应当强制启用自动更新。

        对于 Windows 我们有三种可选的方式：

1. CSP

在 ApplicationManagement中提供了 AllowAppStoreAutoUpdate配置，具体信息如下：

./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAppStoreAutoUpdate

格式：Int

值：0，不允许；1，允许；2（默认），未配置。

当未配置时，将使用MSStore的选项配置。

1. 设备配置文件

为设备创建一个配置文件，平台：Windows 10 和更高版本，配置文件类型：设置目录。配置文件名称为必须。

配置设置页面中点击“添加设置”，在右侧列表中找到“Microsoft App Store”，并勾选“允许 Microsoft 应用商店中的应用自动更新”，之后将其配置为：0。

最后分配给所有设备即可。

1. GPO

如果希望使用组策略进行配置，可在“计算机配置 - 管理模板 - Windows 组件 - 应用商店”，找到“关闭自动下载和安装更新”，将其设置为“已禁用”。

GPO 配置后对应的注册表位置信息如下：

Software\Policies\Microsoft\WindowsStore

AutoDownload, DWORD, 4(Enabled) or 2(Disabled)

Windows 365 Frontline 云电脑

        早前微软公布了 Windows 365 的 Frontline 版本，旨在帮助企业节省成本。从其基础订阅价格以及可选配置订阅的价格看，貌似成本并不低，2vCPU/4GB/64GB的基础配置也要一个月42美金，主流的4vCPU/16GB/256GB达到了113美金/月。那它是如何帮助组织降本增效的呢？！

        从微软的官方介绍中了解到，Windows 365 Frontline 允许单个许可证预配三台云电脑，但这三台电脑仅提供一个并发会话。也就意味着如果有10个许可证，那么可以预配30台云电脑，其中10台云电脑可以处于活动状态，供用户使用。此种授权方式非常适合那些无需全天候访问电脑，但又需要独立系统环境的员工使用。它不像远程桌面服务那样基于 Windows Server 或 Windows 10 Multiple Editions，来提供多会话服务，所以不会有很多的限制！Windows 365 Frontline 更像一个独立的个人电脑，可以提供卓越的 Windows PC 体验，员工可以拥有云电脑的完全访问权。

        要使用 Windows 365 Frontline，必须具有以下许可：

• Windows 11 企业版或 Windows 10 企业版
• Microsoft Intune
• Azure AD P1

        预配 Windows 365 Frontline 的过程很简单，如果之前你已经经历过预配过程，那么只需要在常见预配的第一步选择“Frontline”即可。你会留意到在配置Frontline前无需为用户分配 Windows 365 许可证，因为 Windows 365 Frontline 许可证不遵循与基于用户的许可相同的行为。

参考文档：

什么是Windows 365 Frontline | Microsoft Learn

Windows 365 offers flexibility from the office or home to the frontline | Blog Home

Windows 365 Frontline is now generally available | Tech Community

轻松上手 Windows 365 Switch

        前面 gOxiA 与大家分享了 Windows 365 Boot，很有意思的体验。如果你错过了，不妨先移步阅读 - “轻松上手 Windows 365 Boot”。Windows 365 提供了云端的 Windows 电脑体验，不论你身在何处，只要有能上网的系统（Windows，MacOS，iOS，Android，甚至是 Linux）就可以快速连接到 Windows 365 - 云端电脑。

        而今天要分享的 Windows 365 Switch 是 Windows 云电脑与 Windows 11 紧密集成的一个功能特性，它可让最终用户通过 Windows 11 任务视图 按钮在本地设备桌面和云电脑之间快速切换，而无需打开单独的应用去登录云电脑，使之看起来就像当前系统的一个可切换桌面。

        既然它是面向最终用户的而且与系统深度集成，所以我们并不需要进行复杂的配置。只不过因为当前是预览版，所以唯一的要求就是本地物理设备的系统和云端电脑的系统都要加入到 Windows Insider Program ，选择 Beta Channel 即可。在未来新的 Windows 11 版本发布相信我们就可以略过下面的步骤直接使用。

        在微软官方面向用户的 KB 中有关于需求说明，除了上面提到了本地物理设备和云端电脑要切换到 Beta Channel 获取安装最新的 Windows 11 预览版，Windows 365 应用也要满足 1.3.179.0 或更高版本。

        当前 Windows 11 Beta 最新版本为 22631.2191；Windows 365 App 可直接从 Microsoft Store 下载安装到最新版本。

        此外需要注意的是云端电脑因为也要加入到 Beta Channel，而当前 4G/128G 配置的 Cloud PC 采用的是 Intel Xeon 8272CL CPU 将无法满足硬件需求。所以实际测试体验时，建议使用 8G/256G 的 AMD EPYC 7763 配置的 Cloud PC。

        在加入 Windows Insider Program 时需要确保当前系统启用了诊断和反馈，如果遇到提示跟随向导打开便是。

        以上工作准备就绪，打开 Windows 365 App，就能会看到 Cloud PC 选项中出现了 Add/Remove from Task view 的选择。

        一旦将当前 Cloud PC 添加到任务视图，我们就可以轻松的进行切换，并且还支持手势切换，在触屏或多点触控板四指左右滑动即可在桌面间轻松移动。来看看下面这段演示视频感受一下吧。

参考文档：

Windows 365 Switch | Microsoft Learn

Windows 365 Switch | Microsoft Support

轻松上手 Windows 365 Boot

        Windows 365 云端上的 Windows 云电脑（Cloud PC），它是微软一项基于云的服务。旨在任何地方的接入互联网的设备上访问和使用。Cloud PC 具有高度可用，经过优化和可伸缩的特性，可为最终用户提供丰富的 Windows 桌面体验。

        简单理解，我们一旦使用了云端的 Windows 365，就意味着可以在任何地方，不论使用的是 Windows，MacOS，iOS，Android，还是 Linux 的设备，只要它们可以上网，就可以访问使用那台云端 Windows 电脑。

        而今天要分享的 Windows 365 Boot 是 Windows 365 的一项功能，允许 IT 管理员配置 Windows 11 物理设备，使其在开机后时就可直接登录到 Windows 365 Cloud PC，从而避免登录和使用本地物理设备上的系统。这样多个用户就可以使用相同的物理设备登录到自己的个人云电脑，免去了先登录到本地设备系统，再打开程序去连接和登录云电脑的步骤。非常适合那些共享电脑的场景，如：一线销售或呼叫中心，等。整个过程的演示可以参考下面这段视频。

        Windows 365 Boot 的启用和配置都是基于 Intune 管理中心的 Windows 365 Boot 引导方案来自动化实现的。其配置的主要对象是目标账户以及目标设备。

        参考这个文档 Guided scenario - deploy Windows 365 Boot to shared physical devices | Microsoft Learn 即可了解轻松上手的步骤。因为是引导式配置，基本上跟随向导完成每一个步骤的配置信息即可。要启动 Windows 365 Boot 引导式配置可在“设备 - Windows 365”中找到。

1. 在基本信息配置中为 Windows 365 Boot 起一个资源前缀，已便于我们识别哪些配置文件，资源和策略是属于当前 Windows 365 Boot 的。
    
2. 为终结点设备创建更新策略，如介绍所述因为用于 Windows 365 Boot 的设备将被配置为限制与用户交互，所以需要为这个物理设备配置自动接收重更新。
   
3. 为终结点设备分配 VPN 或 Wi-Fi 配置文件，可减少配置设备联网所需的工作量。此外还可以选择配置终结点设备的系统语言。
   
4. 分配 Windows 365 Boot 的组，可以新建也可以使用现有组。
   
5. 所需信息完成后将看来到配置审阅界面对相关信息进行复查，没有问题则保存生效。在底部的部署说明中会介绍将要生成的相关配置和策略。
   

        Intune 部分准备完毕后，便是关键的终结点设备的准备工作，将用于体验 Windows 365 Boot 的 Windows 11 Enterprise 电脑加入到 Windows Insider Program （Windows 预览体验计划），可在 Windows 设置 - Windows 更新 中找到，测试频道选择 Beta 即可，截至目前最新的 Beta 版本是 22631.2191，可以通过 Latest build in Beta Channel 获取相关信息。

        当设备升级到最新的 Beta 版本后，加入到 Intune。可通过 Windows 设置 - 账户 - 连接工作或学校账户 添加，务必确保设备注册到 Intune。如果有任何异常，建议重置一下当前系统。

        一旦成功获取配置文件和策略，这台设备重启后就会开始 Windows 365 Boot。当我们开心的体验 Windows 365 Boot 时，这仅仅是第一步，当涉及到落地实际场景和大规模采用的时候，要考虑和实施的内容还有很多值得去学习、思考和研究。

一些值得关注的 Windows Autopilot 新增功能

        在微软最近发布的一篇文档中“Windows Autopilot 新增功能 | Microsoft Learn”我们需要留意到一些重要的信息，它将有助于我们顺畅成功地实施 Windows Autopilot。

1. One step removal of Windows Autopilot registration

        从 Intune 2307 版（可在 Intune 租户信息中确认当前版本），Windows Autopilot 过程中将添加删除设备注册的步骤，而无需事先通过 Intune Portal 进行操作。

        这个功能看起来比较难以理解，其实主要用于解决已经执行了预预配和自部署的那些设备重新执行部署配置文件的问题。总之，在 gOxiA 看来，我们无需过度论证，它主要是改进了部署的成功率。

2. Device rename occurs during technician phase for pre-provisioning

        从 Intune 2303 版开始，强制在 Pre-provisioning mode 的技术人员阶段进行设备重命名，以便为 AAD 联接设备进行预预配。这一改进，将设备重命名从用户阶段跳过。但需要 Windows 10 安装了 KB5023773，Windows 11 安装了 KB5023778 质量更新。

3. Install required apps during pre-provisioning

        ESP（注册状态页）配置文件中新增加了一个选项，允许我们选择是否在Pre-provosioning阶段尝试安装所需的应用程序。理解其实还是比较困难的，在配置阶段我们可以设置在安装完所有应用和配置文件之前，避免用户使用设备。并且在发生错误后，可选重置或继续使用设备。此外，“如果已将所需应用分配给用户/设备，需要在安装完毕前阻止设备使用”，该选项默认是全部，但他们如果安装失败，则ESP将继续，并在用户登录时重试该应用。但现在，“如果已将所需应用分配给用户/设备，需要在安装完毕前阻止设备使用”，这个选项下多了一个“仅在技术人员阶段中失败的所选阻止应用”，如果选择“是”那些指定的应用必须被成功安装，否则部署失败。

4. New Microsoft Store apps now supported with the Enrollment Status Page

        从2303开始ESP阶段将支持 Microsoft Store App(New)，这个比较容易理解，由于 Microsoft Store for Business 停用，阻止 IT 如果要部署应用商店内的应用都相继转至“Microsoft Store App(New)”，但之前在ESP阶段这些App并不会被安装比如进入到桌面后才会开始，而现在则完全不同。参考：“HOWTO: 在 Intune 中使用 Microsoft Store App(New) 添加应用”

5. Update to the Windows Autopilot sign-in experience

        用户现在必须在注册期间初始登录时输入其凭据。将不再允许预先填充 AAD 的 UPN。这个更新到时有意思，记得早前很多用户喜欢减少 UPN 的输入，可能是现在考虑到安全隐私合规因素，又不再支持了。

6. Windows Autopilot diagnostics page

        在使用 Windows Autopilot 部署 Windows 11 时，如果遇到错误，用户可以查看有关其详细故障排除信息。提供了新的诊断页面，非常友好的视图来方便我们排除故障，同时也可导出日志进行分析。

本次分享就到这里，其中主要包含了 gOxiA 关注的信息，若要了解详细的内容还请移步：“Windows Autopilot 新增功能 | Microsoft Learn”

加深对 Windows Autopilot 方案的认识

        Windows Autopilot 作为 Windows 现代部署方式逐渐受到各类企业 IT 的青睐。它不用再像传统部署方式那样要求IT为每个设备型号维护自定义映像和驱动程序。Autopilot 将使用 OEM 优化版本的 Windows，即设备首次开箱直接基于随机系统进行配置，使其达到企业所需要的交付标准。这一过程消除了IT执行这些后端过程的需要，从而节省了时间并可以更快更灵活地将设备交付给员工。

        Windows Autopilot 不需要推送系统映像，它就是借助了 Intune 管理设备的强大功能和特性，将应用程序、策略设置、证书、VPN、Wi-Fi等常用的企业标准化配置通过 Internet 推送给设备端，而无需依赖企业内部的基础架构。Windows Autopilot 可以看作是 Intune 的一项功能或者子集，如同其名字一样 Autopilot 旨在 OOBE 阶段引导用户执行正确的配置流程。

        一台已经注册到 Windows Autopilot 的全新 Windows 设备被寄送到了用户手中，用户拆箱打开设备加电将会进入 OOBE，即大家所说的欢迎界面，它将引导用户完成基本配置（区域、键盘和网络配置），然后提示用户输入公司账号和密码进行设备的配置，一旦验证成功将通过当前连接到互联网的网络从 Intune 中下载前面所讲的企业标准化配置直至结束，进入系统桌面后用户会发现系统已经被配置为企业的标准化桌面环境，甚至可以直接打开 Outlook 处理邮件，打开 OneDrive 访问自己的工作文件，使用 Teams 进行远程交流，连接 VPN 访问公司网络。而这一过程就是 Windows Autopilot 方案中的“用户驱动模式 - User Driven mode”，主要用于单个用户的设备部署，由用户运行部署。

        在实际交付场景中，由于用户可能处于不同的网络环境下，当推送的应用程序容量较大的时候，也就意味着等待时间变长，可能会对用户体验有所影响，甚至会导致部署异常或失败。那么桌面交付决策人可能希望那些流转回 IT 服务台的设备，能够借助 IT 人员之手去执行标准化配置，或由OEM/经销商交付的设备去完成企业标准化配置。但这一过程又不要涉及到最终用户隐私（例如IT或OEM或经销商必须获取用户的权限即可完成配置），也避免了配置人员的账户信息及数据残留在用户设备上的可能。此时，IT/OEM/经销商人员在设备首次运行时，即 OOBE 阶段无需进行用户验证，只需要连续按下五次Win键，便可直接从 Intune 获取企业标准化配置。这一方案即 Windows Autopilot 中的 “预预配模式 - Pre-provisioning mode”。它相比较用户驱动模式的特殊之处在于无需用户身份验证，这就需要设备除了已经注册到 Windows Autopilot 外，还需要拥有 TPM 2.0 实现设备验证。预预配置模式也用于单个用户的设备，部署由IT/OEM/经销商发现，无需用户。

        对于那些专用设备，如多用户使用的共享电脑或展台电脑，更希望能实现设备摆放到位后开机即可完全自动化地去执行部署。这一方案即 Windows Autopilot 中的“自部署模式 - Self-Deploying mode”。它将完全自动化 OOBE 阶段，包括那些区域、键盘和网络配置，并基于设备身份进行验证，所以自部署模式除了要求设备已经注册到 Windows Autopilot 和 TPM 2.0 外，还需要连接到有访问互联网的有线网络。这样当设备首次开机后便直接联网与Intune通讯进行设备验证，并根据自部署模式配置文件实施自动化操作和后续的标准化配置。

        以上便是 Windows Autopilot 常用的三个方案：用户驱动模式、预预配模式、自部署模式。此外，Windows Autopilot 还有两个方案：面向现有设备的 Windows Autopilot（Windows Autopilot for existing devices），Windows Autopilot 重置（Windows Autopilot Reset）。

        面向现有设备的 Windows Autopilot 方案本身在技术上不是 Autopilot 部署，它是在准备运行 Autopilot 部署的设备上完全重新安装 Windows 的方法。它不需要提前注册为 Autopilot 设备，并且可以使用自定义映像，可以像传统模式那样使用 MDT 或 ConfigMgr 任务序列，通过 JSON 文件将仅能使用 Autopilot 的用户驱动模式分配给设备，所以它与受支持的 Autopilot 标准方案一起使用。除非设备已经被分配了 Autopilot 配置文件，才能支持预预配模式和自部署模式。

        Windows Autopilot Reset 也比较容易理解，允许远程发起设备重置的操作，即复位当前设备环境，重新执行标准化部署，这对那些设备再分配，或执行人员角色变更更为合适。当然也可用于修复那些系统环境有损坏的场景使其恢复至就绪状态，但如果 Windows 安装中存在严重损坏，这个方案将不起作用。

        OK，至此相信你已经对 Windows Autopilot 有了进一步的深刻认识。记住 Autopilot 不会分发/推送操作系统映像，所以一个经过优化的、纯净的 OEM 随机系统显得至关重要！！！其三个标准方案：用户驱动模式、预预配模式、自部署模式，应用于不同交付场景，但对硬件和网络会有要求。

参考：Windows Autopilot scenarios | Microsoft Learn

通过 Intune 控制 Windows 10 设备的位置服务

        在 Windows 中提供了一个“查找我的设备”的功能，可以帮助我们找到这些设备的位置，并根据情况锁定它。注意：该功能仅适用于 MSA 类型的账号。我们可以访问 https://account.microsoft.com/devices 来使用这项功能。具体可参考：“查找并锁定丢失的 Windows 设备”。“查找我的设备”基于位置服务，当位置服务被启用后，其他应用程序也将有访问设备位置的权限，除非我们在隐私逐个对访问位置服务的应用进行配置。

        对于使用 Intune 的组织如果希望禁用位置服务，则可以使用 Windows 设备配置文件，有两种方案：

1. 创建一个基于“设置目录”的配置文件，我们可以在“系统”下找到“允许位置”配置项。

        允许位置有三个模式：

1）强制关闭位置。所有位置隐私设置将关闭并显示为灰色，用户无法更改。

2）允许使用位置服务。用户具有控制权，可以启用或禁用“位置隐私”设置。

3）强制打开位置。所有位置隐私设置都已切换并显示为灰色，用户无法更改。

        当配置为强制关闭位置后，Windows 隐私中的位置将被禁用，将如下图所示。

        我们也可以通过添加 CSP 策略来实现，具体为：

./Device/Vendor/MSFT/Policy/Config/System/AllowLocation

格式：Int

值：0 Force Location Off；1 default，Location service is allowed；2 Force Location On

参考：Policy-CSP-System#system-allowlocation

        在 Intune 设备管理中也提供了“定位设备”的功能，并且它除了支持 Windows 平台外，还支持 Android Enterprise 以及 iOS/iPadOS，并且提供了更丰富的功能。如果你有兴趣可参阅：Intune 定位设备 | Microsoft Learn

        最后，我们通过一篇官方KB了解一下 Windows 位置服务和隐私。

微软推出 Microsoft Intune Suite

        近期微软 Intune 推出了 Microsoft Intune Suite，经过了学习和研究，了解到它是一个授权类型的解决方案捆绑包，将任务关键型的 Endpoint 管理和安全解决方案统一到一起，从而简化客户的 Endpoint 管理体验，改善其安全状况，并通过卓越的用户体验将人员置于中心位置。微软安全和M365与Intune Suite深度集成可为 IT 和安全团队提供数据科学和 AI 以提高自动化程度，帮助他们在解决终结点管理和其他安全挑战仿麦呢简单快速地从被动转变为主动。

        那什么是 Microsoft Intune Suite 呢？！

        简单理解，他将 Intune 一些额外的功能或支持特性做了一个打包，包含内容如下：

• Microsoft Intune Remote Help
• Microsoft Intune Endpoint Privilege Management
• Microsoft Tunnel for Mobile Application Management
• Microsoft Intune advanced endpoint analytics
• Microsoft Intune management and protection of specialty devices

        看起来它更像是 Intune Plan 的增强版，下图我们可以看到他们之间的区别。

        所以如果您的组织正需要完善和增强 Intune 管控设备的能力和体验，则建议首选 Microsoft Intune Suite，但请注意它首先需要具有 Intune Plan 1，这一 Intune 核心功能包含在 Microsoft 365 E3、E5、F1、和 F3 订阅，以及 Enterprise Mobility + Security E3 和 E5 订阅；商业高级版计划中。若要购买或使用 Intune Suite 可以通过 Microsoft 365 Admin Center 或 Microsoft Intune Admin Center

更多有价值的参考资料请移步如下链接：

https://www.microsoft.com/en-sg/security/business/Microsoft-Intune?rtc=1#products

https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/intune-add-ons#available-add-ons

https://www.youtube.com/watch?v=nEa5AFBCRbI

        最后，要深入了解 Intune Suite 的总体价值，建议要分步学习和了解其包含的功能和特性。

HOWTO: 在 Intune 中使用 Microsoft Store App(New) 添加应用

        早先 gOxiA 曾分享过一篇日志，介绍了如何使用 Intune 为 Windows PC 部署 Microsoft Store 应用，但当时该模式并不支持强制部署，需要用户通过 Company Portal 选择安装。对于那些希望将应用商店里的应用强行部署到客户端设备上的场景，在过去会通过 Microsoft Store for Business，但管理 Intune 的朋友应该也获悉了 Microsoft Store for Business 将于2023年第一季度停用的消息，似乎只能提前下载到那些支持 Offline 部署的 UWP 应用才能满足需求。

        但现在，微软在 Intune 中提供了一个新的添加应用的类型 - Microsoft Store App(new)，与之前的 Microsoft Store App 相比，新的 Microsoft Store 应用功能进行了重要改进：

• 可以直接在 Intune 内浏览和搜索来自 Microsoft Store 的应用。（之前有一段时间，我们需要先访问 MSStore 的 Web 站点获取相关的 URL 才能进行添加）
• 可以为应用部署进行安装或卸载。
• 可以监视 MSStore App 的安装进度和结果
• 支持 MSStore 中的 Win32 应用，当前为预览版本。（那些缺少足够信息，或检测、安装和升级性不可靠的 Win32 App 将暂不受支持，具体可参考：https://techcommunity.microsoft.com/t5/intune-customer-success/troubleshooting-the-microsoft-store-and-microsoft-intune/ba-p/3750341）
• UWP 应用支持系统上下文和用户上下文。
• 部署模式支持“必需，可用于已注册的设备，和 卸载”。

        若要体验 Microsoft Store App(new) 添加应用，可参考如下步骤：

1. 访问 Microsoft Intune Admin Center （貌似又改名了？！！！），进入“应用”  - “所有应用”，选择“添加”，并确认使用“Microsoft Store 应用(新版)”。
   
2. 在“应用信息”界面，点击“搜索 Microsoft Store 应用(新)，然后在右侧出现的搜索栏中搜索要部署的应用，例如：Remote Desktop”。
   
   
   如果搜索的应用包含 Win32 版本，并且符合 Intune 部署需求，则会显示供我们选择。
   
3. 之后，所必须的应用信息会自动填写到“应用信息”界面对应的文本框中，这极大提升了 Intune App 部署人员的体验，简化了添加流程。
   
4. “分配”应用界面中，我们可以根据需要为“组、所有用户、所有设备”分配，也可以供已注册的设备（组或所有用户）选择安装，或执行卸载。在配置分配后，还可以配置最终用户通知，立刻开始安装或指定的日期和时间，还可以为那些安装应用后需要重启的情况指定重启宽限期。
   
5. 最后，确认信息和配置无误后便可创建添加应用。

   

参考文档：

https://learn.microsoft.com/zh-cn/mem/intune/apps/store-apps-microsoft

使用 MDM CSP TenantLockdown 策略将设备锁定到租户

        在 MDM CSP 中包含一个租户锁定的策略，即 TenantLockdown。从官方介绍可了解到 TenantLockdown 可以将设备锁定到租户，从而确保在发生意外或故意重置或擦除设备后，设备仍绑定到租户上。它的实现原理和逻辑还是比较容易理解的，借助 TenantLockdown 提供的 RequireNetworkInOOBE 策略，在值为 True 时，当设备在首次登录或重置后通过 OOBE 时，用户需要联网才能继续，而不是像过去那样有跳过的选项。这将强制用户在 OOBE 阶段进行联网，只要联网设备便会从 Internet 获取到注册状态，当设备之前是注册在 Autopilot 中时，后面的用户登录界面就会强制用户使用 M365 账号登录，从而在一定程度上保护了设备。

./Vendor/MSFT
TenantLockdown
----RequireNetworkInOOBE，布尔值：True 或 False

        参考文档：https://learn.microsoft.com/en-us/windows/client-management/mdm/tenantlockdown-csp

        有些网友可能会考虑到一些问题，例如不通过重置当前 Windows 实例，而是重新安装一遍 Windows，根据目前的测试 Windows 较新版本已经开始强制联网才能继续通过 OOBE；此外，TenantLockdown 还会向UEFI 中写入配置变量。对于企业中的普通用户来说，还是能够增加设备重用或非授权再用的难度，但要完全杜绝恐怕在管理技术上还有一段路要走。

        另外，早先 Intune 的 Windows 限制测试中包含了“要求用户在设备安装期间连接到网络”的策略，但那时是可以通过断网手段来规避的，但随着策略逻辑的完善，对企业终端设备的管理会更加严谨可靠。

HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护

        Windows Defender 中的防篡改保护（Tamper Protection）有助于防止恶意应用更改其重要的防病毒设置，包括“实时保护”和“云提供的保护”。如果当时前是管理员登录，则仍可以在“病毒和威胁保护”设置中关闭“篡改保护”，但其他程序仍无法更改这个设置。

        篡改保护并不影响第三方防病毒应用的工作方式，也不影响这些应用注册 Windows 安全中心的方式。默认情况下篡改保护处于打开状态。

        作为企业 IT 管理员或安全管理员，当然希望能够强制开启篡改保护，且禁止修改其设置。如果当前组织已经在使用现代管理模式，如 Intune！则可以通过 Endpoint Manager Center 进行策略的下发。为此，访问 Endpoint Manager Center，定位至“终结点安全性 - 防病毒 - AV 策略”，并创建该策略，选择“Windows 10、Windows 11 和 Windows Server (预览版)”平台，配置文件选择“Windows Security Experience”，跟随向导创建策略名称等信息，并在配置中打开“TamperProtection(设备)”。

        注意，在 Intune 中管理篡改保护的要求如下：

• 必须分配适当的 权限 ，例如全局管理员、安全管理员或安全操作。
• 组织使用Intune来管理设备。 需要 (Intune许可证;Intune包含在 Microsoft 365 E3/E5、企业移动性 + 安全性 E3/E5、Microsoft 365 商业高级版、Microsoft 365 F1/F3、Microsoft 365 政府版 G3/G5 和相应的教育许可证中。)
• Windows 设备必须运行Windows 10版本 1709 或更高版本或Windows 11。 (有关版本的详细信息，请参阅 Windows 版本信息。)
• 必须将 Windows 安全性与 安全智能 更新到版本 1.287.60.0 (或更高版本) 结合使用。
• 你的设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 (管理Microsoft Defender防病毒更新并应用 baselines。)
• Intune和 Defender for Endpoint 租户必须共享同一Microsoft Entra (Azure Active Directory) 基础结构。
• 设备必须载入到 Defender for Endpoint。

        当下发防篡改保护策略后，本机管理员将无法更改相关的设置，也无法关闭篡改防护。

        具有计算机管理权限的账户在使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 强行关闭时将会报错。

参考资料：

使用 Microsoft Intune 管理组织的篡改防护 | Microsoft Learn

使用篡改保护保护安全设置 | Microsoft Learn

HOWTO: 为 Windows 11 OOBE 跳过设备选择隐私设置

        前面 gOxiA 分享了如何使用 PPKG 跳过 Windows OOBE 过程，但是细心的网友会发现在登录桌面完成首次动画后会显示“为你的设备选择隐私设置”的界面，并且无法跳过。对于企业自动化部署场景来说，这一步会造成一些影响。那么我们该如何跳过设备选择隐私设置呢？！

        在 Windows 10 的时候我们可以通过配置 PrivacyConsentStatus 键值来略过隐私设置，它位于 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE，类型为 DWORD，设置为 1 时将跳过隐私设置，但为 2 时则会重新显示隐私设置。

        但是这个键值在 Windows 11 上失去了作用，取而代之的是 DisablePrivacyExperience，它位于 HKLM\SOFTWARE\Policies\Microsoft\Windows\OOBE，类型依旧是 DWORD，值为 1 时则禁用隐私设置。

        如果当前组织仍在使用传统的 GPO 实施测试，则可以通过“计算机配置 - 管理模板 - Windows 组件 - OOBE”，找到“在用户登录时不启动隐私设置体验”进行配置。

        如果当前基于动态部署方式，则可以考虑在 PPKG 中添加“ProvisioningCommands”，然后使用“DeviceContext”下的“CommandLine”执行注册表修改命令。

        对于使用现代部署模式，如 Intune，则可以下发 CSP 策略。

Scope：Device and User

Editions：除了Home以外

OS：1809及以上版本

User：./User/Vendor/MSFT/Policy/Config/Privacy/DisablePrivacyExperience

Device：./Device/Vendor/MSFT/Policy/Config/Privacy/DisablePrivacyExperience

Format：Int

Value：1

        从 CSP 的版本使用情况来看，对于 Windows 10 使用 DisablePrivacyExperience 也是适用的。

参考文档：https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-privacy

HOWTO: 允许 Microsoft 365 用户使用临时访问密码

        用户需要使用一个临时密码来登录自己账号访问资源，或执行某些操作，这种应用场景其实是存在的，在某些特定场景下也是合规的。如果按照以前的做法，重新修改用户账户密码使用完毕后再重新改回，显然不够妥当。但借助 Azure 身份验证方法中提供的临时访问密码就可以实现我们的需求，它允许 Microsoft 365 管理员为账户创建一个临时访问密码，在特定的时间开始生效，在一定时长后失效，并且可设置为是否为一次性使用。该项安全技术同样适用于 Windows 10/11 的 OOBE 阶段。

        要为 Microsoft 365 用户账号启用和配置临时访问密码，可访问 Endpoint Manager Center，定位至“用户”，找到用户为其配置“身份验证方法”，添加“临时访问密码”。

        配置成功后，会给出临时访问密码，以及安全注册信息。

        接下来可以访问 http://aka.ms/mysecurityinfo 来注册用户的凭据，或在其他场景中使用。

        如果无法为用户账户添加临时密码访问，则需要对 Azure AD 进行配置，为此请登录 Azure Portal，在 AAD 安全组中找到身份验证方法，并添加临时访问密码。全局设置中可以为特定的用户/组启用，也可以配置最短生存周期，最长生存周期，以及默认生存期，并可强制为一次性使用。

参考文档：

https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-temporary-access-pass

注意：临时访问密码一次仅能设置一个，如果重复设置将替换之前的配置。

HOWTO: 解决关联账号发生 0x80180002 错误问题

        Windows 客户端设备以本机或 MSA 账号配置登录，之前关联在其他组织中，现已退出，并重新通过“登录工作或学校账户” 以 BYOD 形式关联一个新组织 M365 账号，完成登录验证进行注册时发生错误提示“你的账户未在此设备上设置，因为无法启用设备管理。此设备可能无法访问某些资源，如 Wi-Fi、VPN或电子邮件。”

        错误代码：80180002，属于未知错误代码。如下图所示：

        完全没有排查头绪，换其他账号是可以正常注册的，查看事件日志 DeviceManagement-Enterprise-Diagnostics-Provider 线索不多，但可看到从服务器端返回了 FailedAuthentication，难道是用户名密码问题，测试后未发现异常。

        翻阅 Microsoft Learn (PS：Microsoft Docs 已经正式更名并纳入到 Microsoft Learn 体系) 找到一篇文档：80180002b error during Windows 10 Group Policy-based auto-enrollment to Intune | Microsoft Learn，按照其建议进行了排查确认，并未发现异常，设备属于 Workplace joined，也已经正常退出，80180002与80180002b还是有区别的！只能从账号创建的过程再逐个排查。

        最终找到问题所在，账户创建人员仅为当前用户分配了 Office E3 的 License，并未分配 Enterprise Mobility + Security E5，随即问题解决。

HOWTO: 使用 Intune CSP 禁用 OOBE 阶段的首次登录动画

        当我们在准备批量自动化部署 Windows 前都会制作参考映像，并对其进行定制，以及预置一些应用程序，或加载一些自动化配置。但在实际部署时会发现 Windows OOBE 的自动化配置过程是实现了，但在“首次运行动画”这个阶段等待了漫长的时间，曾有网友遇到该时间长达近半个小时。

        那么我们是否有办法加快或禁用这段动画吗？对于传统部署模式，虽然在 Windows 应答文件中没有预设的配置选项，但是可以通过组策略或脚本进行配置。

1. 组策略，定位到“计算机配置-管理模板-系统-登录”，禁用“显示首次登录动画”。

2. 如果需要在 Windows 应答文件中实现，则需要添加执行脚本，参考如下：

<RunSynchronousCommand wcm:action="add">

    <Description>disable FirstLogonAnimation</Description>

    <Order>1</Order>

    <Path>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableFirstLogonAnimation /d 0 /t REG_DWORD /f</Path>

</RunSynchronousCommand>

<RunSynchronousCommand wcm:action="add">

<Description>disable animation</Description>

<Order>2</Order>

<Path>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v DelayedDesktopSwitchTimeout /d 0 /t REG_DWORD /f</Path>

</RunSynchronousCommand>

        如果正在使用现代部署模式，如 Intune 这类的 MDM 平台，则可以直接使用 CSP 进行预配。

范围：Device

版本：Pro、Ent、Edu、SE

系统：1903及以上

./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation

格式：int

值：0 -> Disabled

参考信息：

https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-windowslogon#enablefirstlogonanimation

        Windows 设备在执行 Windows Autopilot 注册后，如果发生了硬件故障需要进行维修或部件替换时，大概率会影响其已注册的信息。在微软的官方文档中提供了详细的说明，但看起来并不容易理解，但在此文我们只需要知道更换哪些部件不会影响 Autopilot 注册，同时了解关键部件替换后的修复方案，我想就能解决工作中的顾虑。

        可在不影响 Autopilot 启用或需要特殊修复步骤的情况下替换的部件：

• 内存
• 电源
• 显卡
• 读卡器
• 声卡
• 扩展卡
• 麦克风
• 摄像头
• 散热风扇
• 热传感器
• CMOS电池

        对于常见的硬盘、主板替换后都是需要取消并重新注册设备到 Autopilot 的。对于企业 IT 和 采购人员来说，选择整合式设计的 PC 设备在生命周期管理中可能显得更为简便高效。

        参考文档：Windows Autopilot Motherboard replacement | Microsoft Learn

使用 21v Microsoft Intune 部署 Windows 设备

        今天的分享不会涉及太多技术细节，之所以会聊到这个话题是因为有不少网友咨询“21v Intune 不支持 Autopilot，无法部署 Windows 设备”！！！gOxiA 认为这句话一半对，一半错。为什么会这么讲的？！首先我们先了解一下 21v Intune（由世纪互联运行的Intune）中的功能差异，官方的描述如下：

由于中国境内的服务由中国境内的合作伙伴运营，因此在 Intune 中存在一些功能差异。

• 由世纪互联运营的 Intune 仅支持独立部署。 客户可以使用共同管理将其现有 Configuration Manager 部署附加到 Microsoft Intune 云。
• 不支持从公有云迁移到主权云。 有兴趣迁移到由世纪互联运营的 Intune 的客户必须手动迁移。
• 目前不支持租户附加功能（无需注册即可将设备同步到 Intune 以支持云控制台方案）。
• 由世纪互联运营的 Intune 不支持派生凭据。
• 通过使用现代 MDM 渠道支持 Windows 10 的管理。
• 由世纪互联运营的 Intune 不支持本地 Exchange Connector。
• Windows Autopilot 和企业应用商店功能当前不可用。
• Microsoft Endpoint Manager 终结点分析和 Log Analytics 功能当前不可用。
• 由于 Google 移动服务在中国不可用，因此由世纪互联运营的 Intune 中的客户无法使用需要 Google 移动服务的功能。 这些功能包括：
• Google Play 保护机制功能（如 SafetyNet 设备证明）。
• 从 Google Play 商店管理应用。
• Android Enterprise 功能。 有关详细信息，请参阅此 Google 文档。
• 适用于 Android 的 Intune 公司门户 应用使用 Google 移动服务与Microsoft Intune服务进行通信。 由于 Google Play 服务在中国不可用，因此某些任务最长可能需要 8 小时才能完成。 有关详细信息，请参阅此文章。
• 为了遵守本地法规和提供改进的功能，Intune 客户端体验（公司门户应用）在中国可能有所不同。
• 隔离不可用。
• 移动应用管理 (MAM) 的可用性取决于这些应用在中华人民共和国的可用性。
• 由世纪互联运营的 Intune 不支持企业设备的 Android （AOSP） 管理。
• 由世纪互联运营的Intune不支持移动威胁防御 (MTD) 连接器，适用于 Android 和 iOS 设备的 MTD 供应商。
• 由世纪互联运营的Intune不支持合作伙伴设备管理与适用于 macOS 设备的 Jamf 集成。

原文来源：https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/china | Microsoft Learn       

        gOxiA 特别对上文进行了标注，我们先来看 Windows Autopilot，这个功能其实理解起来还是比较难的，最终用户或企业IT会容易误解，甚至其内部人员恐怕也经常误解。从官方文档描述来看 Windows Autopilot 是一组用于设置和预配置新设备以让它们可供高效使用的技术，它为 IT 和最终用户简化了从初始部署到生命周期结束的 Windows 设备生命周期。其过程是最初部署新的 Windows 设备时，Windows Autopilot 使用 OEM 优化的 Windows 客户端版本。此版本预安装在设备上，因此无需为每个设备型号维护自定义映像和驱动程序。现有 Windows 安装可以转换为“业务就绪”状态，而不是重新映像设备，它可以：

• 应用设置和策略
• 安装应用
• 更改用于支持高级功能的 Windows 版本。例如，从 Windows Pro 到 Windows Enterprise。

        部署后，可以使用以下方法管理 Windows 设备：

• Microsoft Intune
• 适用于企业的 Windows 更新
• Microsoft Endpoint Configuration Manager
• 其他类似工具

原文来源：https://learn.microsoft.com/zh-cn/mem/autopilot/windows-autopilot | Microsoft Learn

        是否能理解 Windows Autopilot，比较抽象并且会先入为主出现一些误解！那再读读这篇 https://www.microsoft.com/zh-cn/microsoft-365/blog/2018/06/07/simplifying-it-with-the-latest-updates-from-windows-autopilot/

        如果还是没能理解，好吧！我们从 IT 桌面交付这个维度来看，Windows Autopilot 解决了我们桌面标准化过程中的设备交付流程问题，引导设备和用户按照企业标准进行配置。

        那回到我们的问题上来，21v Intune 没有 Windows Autopilot 是不是就无法做设备交付，或配置设备？不然，只是我们无法实现完整的，自动化的，引导式的交付流程。但对于我们的设备交付来讲，如果仅仅是为了满足能够基于 Internet 来推送 Windows 配置，安全策略，软件，甚至脚本……那么 21v Intune 完全可以支持，下面我们就用一张图来展示说明。

        如果您有什么想法或问题，欢迎来询！