Intune-logo-wide

2026年7月1日起 Microsoft 365 E3 和 E5 将迎来高级 Intune 能力

        从微软方面获悉,从7月1日开始 Intune Suite 的高级功能将引入至 Microsoft 365 E3 和 E5,对于现有符合条件的客户预计将在8月前获得这些功能。这意味着 E3 和 E5 用户将无需单独购买 Intune Suite 即可享用这些高级功能,以下是针对 E3 和 E5 计划的支持情况。

  • Microsoft 365 E3
  • Microsoft 365 E5
    • E3 支持的功能
    • Intune Endpoint Privilege Management,终端设备权限管理功能,可以实现组织用户作为标准用户完成需要提升权限的任务,例如安装某些应用程序、更新设备驱动或运行某些高级排错诊断。很多企业过去需要单独开发提权工具,这一功能弥补了需求,而且更安全,更合规,更高效。
    • 云 PKI,基于云的证书服务,可为 Intune 管理设备颁发证书,续期或撤销,无需任何本地服务器、连接器或硬件。
    • 企业应用管理,可以帮助组织更轻松的发现和部署应用,并从企业应用目录中保持应用的更新。
    • Security Copilot,基于云的 AI 平台,使 IT 管理员可以自然语言对话方式与 Intune 进行对话,获取关于 Intune 数据进行数据探索,进行政策和环境管理,甚至是获取设备详情与故障排除。

        后续 gOxiA 也将持续更新 Intune Suite 的相关内容!

troubleshooting

HOWTO: 解决无法正常显示自定义文件夹图标或名称问题

        为了更清晰的管理我们的文件夹,使其更容易被识别,通常会通过自定义文件夹(Desktop.ini)图标的方式对其个性化显示,或者为其设定本地化的目录名称,比如当前目录命名为“AIPrompt”,在中文环境下会自动显示为“AI提示词”。

desktop-ini-1

desktop-ini-2

        但近期可能会遇到无法正常显示这些自定义文件夹图标或名称的问题,如果当前系统安装了2026年6月10日发布的 Windows 安全更新,则可能会遇到此类的现象。

  • 不再显示由 desktop.ini 定义的图标
  • 不再显示由 desktop.ini 定义的本地化文件夹显示名称,只会显示其原始名称

        经确认这是一个预期的行为,新的 Windows 更新强化了对 desktop.ini 引入处理的机制,当 Windows 无法确定 desktop.ini 文件源是否受信任时,Windows 则会忽略该文件,并将其视为不存在。这个机制其实早就存在,只是本次更新包含了 Desktop.ini 文件,当我们从以下位置获取到文件时将会视为不受信任的源。

  • 从带有 Web 标记(MOTW - Mark of the Web)的 Internet 位置下载
  • 从某些远程位置,如:WebDAV 或 基于 HTTP 的位置复制时
  • 文件未分类为 Intranet 或区域策略信任的网络路径

        本次安全更新仅会影响自定义文件夹的图标和本地化名称,不会影响对文件夹或其文件的访问权限。对于本次更新建议组织用户将内部的路径添加到受信任的站点。

        如果组织在使用 GPO 管理客户端配置,可从“计算机配置 - 管理模板 - Windows 组件 - 文件资源管理器”中找到并启用“允许使用文件快捷方式图表中的远程路径”设置。

desktop-ini-4

        如果是 Intune 可以从新建策略的设置目录中搜索“Allow the use of remote paths in file shortcut icons” 进行配置。其对应的 CSP 是:

./Device/Vendor/MSFT/Policy/Config/ADMX_WindowsExplorer/EnableShellShortcutIconRemotePath

desktop-ini-5

        对于临时的非规模化标准化的处理的方式可以检查 desktop.ini 是否属于不受信任的源,并删除其标记即可。要检查文件相关信息可以使用 Get-Item 并加载 -stream 参数。

        如果文件信息中包含 Zone.Identifier 则表示文件包含标签信息。可以使用 Get-Content 加 -stream zone.identifier 参数获取该信息的详细值。

        具体可参考下方图片中的示例。

desktop-ini-3

        对于 Zone.Identifier 的值分别表示:

  • 0:本地计算机
  • 1:内网
  • 2:受信任站点
  • 3:互联网
  • 4:受限站点

MDOP 停止支持

[ 2026/06/09 16:14 | by gOxiA ]

MDOP

MDOP 停止支持

        依稀记得2007年9月参加了一场 Microsoft SoftGrid TTT 培训,第一次接触到了 SoftGrid 和 MDOP(Microsoft Desktop Optimization Pack),之后 SoftGrid 更名为 App-V,那会就了解到了 MDOP 的强大,之后的工作中也经常与 MDOP 打交道,尤其对 DaRT 印象深刻。MDP 作为一个工具套件以软件保障(SA)的方式提供给订阅客户使用,旨在帮助企业客户改善兼容性和管理、降低支持成本、改进资产管理以及策略控制。虽然每个内置的组件都有各自独立的支持终止日期,但为了简化统一的支持标准,微软将 MDOP 的最终停止支持(EOS)日期定于 2026年4月14日。具体可参考 Microsoft Desktop Optimization Pack support extended | Microsoft Learn

        微软官方于今日也发文呼吁那些仍在依赖 MDOP 的组织用户,是时候转向其他支持选项了!对于 App-V,其服务器组件已经 EOS,对于那些仍包含在 Windows 企业版的 App-V 客户端和序列器将继续获得针对随附版本 Windows 支持生命周期的安全修复。如果组织用户还在使用 App-V 解决单台设备运行多版本应用程序的问题,建议采用 AVD App Attach

        对于 BitLocker 的管理时至今日相信还有很多企业在使用 MBAM,如果企业当前已经开始使用 Intune 作为现代管理平台,可使用终结点安全中的磁盘加密进行 Bitlocker 策略的管理,并使用 Intune 设备管理查阅或刷新设备 BitLocker 密钥。

        而 DaRT 则推荐使用 Windows 内置的恢复环境(WinRE)足以应对启动修复、系统恢复、离线系统排查和修复等使用场景,此外 DaRT 也基于 WinPE,IT 人员可以参考 PE 文档定制自己所需的 Windows 启动环境,具体参考 WinPE: Mount and Customize | Microsoft Learn

        对于 UE-V,则微软推荐使用 Windows Backup for Organizations 来同步 Windows 设置,并使用 OneDrive 同步用户文件。还有另一种选择是使用 AVD(Azure Virtual Desktop)虚拟化方案,并通过 FSLogix 确保 Windows 用户配置文件的一致体验。

        AGPM 则推荐迁移到基于 Intune 的现代管理平台,使用配置文件/CSP 替代组策略,而且 Intuen 目前已经支持导入 ADMX 该功能以预览版形式提供给客户使用。策略变更方面也可以利用 Intune 的多管理员批准模式实现多层审批步骤,实现管理和审核工作流程,利用 Microsoft Graph 企业 IT 还可以开发定制管理平台,以实现适用于自己企业的流程。

        综上所述,MDOP 的大部分场景都可以通过 Intune 和 EntraID 的能力覆盖,现在是时候转变和更新,拥抱云和现代管理。

        如果你希望了解 MDOP 的每个组件的功能,可浏览:MDOP information experience | Microsoft Learn

分页: 3/499 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]