gOxiA=苏繁=SuFan Blog

HOWTO: 使用 Intune 执行设备安全启动证书更新

Thu, 12 Mar 2026 04:25:02 +0000

HOWTO: 使用 Intune 执行设备安全启动证书更新

距离6月所剩无几，回顾 gOxiA 之前的日志“HOWTO: 升级 Secure Boot 证书解决2026年到期问题”，可见关注该问题的用户还是比较多的。对于正在使用 Intune 现代管理技术的组织，可以借助 Intune 来轻松执行设备安全启动证书的更新任务，如果之前阅读过“HOWTO: 通过 Intune 修正脚本监视安全启动证书状态”并已实施监测，那应该会有可靠的数据支撑来执行更新工作。

为了确保可靠高效的更新建议采用分步执行的策略，这里推荐使用 Intune 的分配筛选器创建不同的筛选策略来分配安全启动证书更新策略。例如计划先为 Microsoft Surface 品牌的设备执行安全证书更新，为此登录 Intune 管理中心转到“租户管理 - 分配筛选器 - 创建 - 托管设备”，之后跟随向导完成设置，主要的设置在“规则”配置中，可以根据不同属性创建表达式。

表达式创建完毕后，即可转到“设备 - 管理设备 -配置”中创建安全启动证书更新策略，平台为“Windows 10 及更高版本”，配置文件类型为“设置目录”，跟随向导完成配置，其中配置设置里可搜索关键词“Secure”来找到“安全启动”配置，并勾选“启用安全启动证书更新”。

因为我们计划此更新策略只先行在 Microsoft Surface 品牌的设备上执行，所以在“分配”配置页面中，对分配的条目添加“分配筛选器”，选择“在分配中包含已筛选的设备”，并选择我们前面添加的筛选即可。这表示只有符合过滤条件的设备才能获得策略！如果选择“在分配中排除已筛选的设备”，则匹配过滤器的设备不会收到该策略。

完成上述配置后即可等待策略执行，需要注意的是安全启动设置并不会立即开始应用，为每 12小时运行一次。在应用了安全启动更新后并不会导致重启，但需要重启才能完成更新。

RSAT 现已支持 Arm 架构 Windows 11

Thu, 12 Mar 2026 03:39:38 +0000

RSAT 现已支持 Arm 架构 Windows 11

RSAT - Remote Server Administration Tools（远程服务器管理工具）是一系列实用工具，以帮助 IT 管理员能够从 Windows 客户端设备上远程管理 Windows Server 系统上的角色和功能。RSAT 对 Arm 架构 Windows 11 的支持是一个重要的里程碑，满足了 IT 人员对企业管理的首要需求之一，意味着更多 IT 基础架构管理员能够使用 Arm 架构的 Windows 11 设备。

在2026年2月的 Windows 非安全预览版更新中，微软向 Arm 架构的 Windows 11 提供了 RAST 工具支持，目前包含了多个最为广泛使用的 RSAT 组件：

RSAT：Active Directory 域服务和轻型目录服务工具
RSAT：Active Directory 证书服务工具
RSAT：DHCP 服务器工具
RSAT：DNS 服务器工具
RSAT：Group Policy Management Tools
RSAT：IP 地址管理（IPAM）客户端
RSAT：Windows PowerShell 的存储副本模块
RSAT：服务器管理器

这些工具现已原生支持 Arm64，IT 管理员借助这些工具即可在 Arm 架构的 Windows 11 上完成日常系统管理任务，在过去系统管理员可能不得不切换到 x64 或使用其他远程管理方案。

企业广泛采用 Arm 架构 Windows 设备的进程又能前进一步！！！

Arm64 版的 RSAT 与 x64 版的启用方式目前有一些差异，在 25H2 和 24H2 上已经部署了 2026年2月非安全预览版更新的设备作为可选组件通过“设置 - 系统 - 可选功能 - 更多 Windows 功能”来安装，即过去的控制面板里的程序来开启或关闭 RSAT 功能（optionalfeatures.exe）。

对于已经采用 Windows 11 26H1 的 Arm 架构设备，RSAT 的安装与 x64 架构设备保持一致，可直接通过 FOD 进行安装（ms-settings:optionalfeatures）。

2026年2月24日 - KB5077241（26200.7922 和 26100.7922）| Microsoft Support

适用于组织的 Windows Backup 首次登录还原体验现已发布

Sun, 08 Mar 2026 07:32:19 +0000

适用于组织的 Windows Backup 首次登录还原体验现已发布

2026年2月24日微软公布首次登录还原体验已作为 Windows Backup for Organizations 的一部分正式提供。首次登录还原体验即允许组织用户在完成 OOBE 后首次登录 Windows 时可以再次选择是否要从备份恢复设备。如果你对 Windows Backup for Organizations 还感到陌生，建议先阅读以下几篇日志：

默认情况下，当 IT 启用了 Windows Backup for Organizations 后，用户可以在自己的设备上使用 Windows Backup 对当前系统进行备份，当重装系统或使用新设备时，在 OOBE 完成组织账户验证后，便会提示选择还原电脑，可将之前的备份信息恢复到当前设备上。在早期，用户只有在 OOBE 阶段才能进行这个恢复选择，但现在用户即使在 OOBE 错过了恢复操作，也可以在首次登录 Windows 桌面时根据提示再次选择是否执行恢复，这一体验将会极大的方便用户。

需要注意，首次登录期间的还原要求如下：

Windows 11 24H2 26100.7922 或更高版本
Windows 11 25H2 26200.7922 或更高版本
设备已完成注册
注册后，用户首次登录
用户至少有一个备份配置文件
必须 Microsoft Entra 联接或 Microsoft Entra 混合联接

Windows Server vNext 已支持 ReFS Boot

Wed, 04 Mar 2026 08:00:34 +0000

Windows Server vNext 已支持 ReFS Boot

Windows Server Insider 宣布 Windows Server vNext Preview Build 29531 版本（2026年2月11日）开始支持 ReFS 启动。这意味着当我们使用 Windows Server 安装源进行全新系统安装时，可以将系统分区格式化为 ReFS！需要注意，在进行安装时 ReFS 不是默认选项，所以需要创建分区后单独将 OS 分区格式化为 ReFS。如下图所示：

完成安装后要对分区进行验证，可以进入分区属性进行查看，如下图所示。也可以使用命令行 “fsutil fsinfo volumeinfo c:”检查 File System Name 的值是否为 ReFS。

提到 ReFS 可能一些用户会感到陌生，它是由微软开发的一种现代文件系统，提升了数据保护和系统性能，特别适合那些对数据可用性、可扩展性和完整性要求高的使用场景。其主要优势表现在以下几个方面：

完整性流：ReFS 将校验和用于元数据和文件数据，能够可靠检测到损坏。
存储空间集成：当与镜像或奇偶校验空间结合使用时，ReFS 可以通过存储空间提供的备用副本自动修复检测到的损坏。修复过程将本地化到损坏区域且联机执行，不会发生卷停机时间。
数据恢复：如果卷损坏且损坏的数据没有备用副本存在，ReFS 将从命名空间中删除损坏的数据。ReFS 在处理大多数不可更正的损坏时可将卷保持在联机状态，只有极少数情况下，ReFS 需要将卷保持在脱机状态。
主动错误更正：除了在读取和写入之前验证数据外，ReFS 还会引入数据完整性扫描程序，称为清理器。此清理器会定期扫描卷，从而识别潜在损坏，然后主动触发损坏数据的修复。

ReFS 还具有性能敏感和虚拟化工作负载的功能。实时层优化、块克隆和稀疏有效数据长度这些不断发展的功能旨在支持动态与多种工作负载。在镜像加速奇偶校验中，ReFS会将卷划分为两个逻辑存储组，称为层。ReFS 会使用它们为热数据提供快速存储，以及为冷数据提供节省空间的存储。通过块克隆加速复制操作，能够实现快速且底影响的 VM 检查点合并操作。稀疏 VDL 能够让 ReFS 快速将文件清零，从而把创建固定虚拟硬盘所需的时间从几十分钟减少到仅仅几秒的时间。

ReFS 与 NTFS 的比较：

功能	ReFS	NTFS
最大文件名称长度	255 Unicode	255 Unicode
最大路径名称长度	32K Unicode	32K Unicode
文件大小上限	35PB	256TB
最大卷大小	35PB	256TB
块克隆	√	×
稀疏 VDL	√	×
镜像加速奇偶校验	√	×
文件级快照	√	×
Transactions	×	√
对象 ID	×	√
ODX	×	√
短名称	×	√
磁盘配额	×	√
在可移动媒体上受支持	×	√
可启动	×	√
收缩	×	√

下载：Windows Server Insider Preview

评估密钥：

标准版：MFY9F-XBN2F-TYFMP-CCV49-RMYVH
数据中心版：2KNJJ-33Y9H-2GXGX-KMQWH-G6H67

HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态

Sat, 28 Feb 2026 15:54:29 +0000

HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态

去年11月份 gOxiA 分享了“HOWTO: 升级 Secure Boot 证书解决 2026年到期问题”的日志，看起来很多 IT 都在关注这个事情。如果当前组织正计划开始实施安全证书的更新，并且已经在基于 Intune 管理，那么强烈建议考虑通过 Intune 修正脚本来监视安全启动证书的状态。

微软官方给出了一套方案，使用一个 PowerShell 脚本来收集安全启动和证书状态，将这些清单数据输出为 JSON 字符串，并将其报告回 Intune，这样 IT 人员便可直观了解到每个设备的安全启动证书的状态信息，来采取对应的计划或措施。微软提供的脚本只用来收集对应信息，不会做任何变更动作，可放心使用。

该脚本的获取地址：https://support.microsoft.com/en-us/topic/sample-secure-boot-inventory-data-collection-script-d02971d2-d4b5-42c9-b58a-8527f0ffa30b

从脚本内容可见会从以下源读取信息：

注册表 - HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot，获取安全启动证书更新状态、设备属性等信息。
WMI/CIM - 获取 OS 版本、上次启动时间和主板硬件信息。
事件日志 - 收集事件ID 为 1801 和 1808 的系统事件，这两个 ID 事件为安全启动更新事件。

相关信息会转换为 JSON 字符串输出显示在 Intune 门户中，具体位置是“设备 - 脚本和修正”在列表中找到刚才添加的脚本条目，进入后在列中启用“修正前检测输出”，具体如下图所示，就能看到收集到的设备安全启动的相关信息。

要创建这个修正也很简单，进入 Intune 管理中心 - 设备 - 脚本和修正，添加脚本。然后定义个名称，并根据需要添加说明。

然后，上传 ps1 脚本文件，并确保“使用已登录的凭据运行此脚本”和“强制执行脚本签名检查”为“否”，并将“在 64 位 PowerShell 中运行脚本”设为“是”。

根据需要分配要收集数据额组，并配置一个计划，建议为每日执行。

在审阅界面确认配置无误便可创建。

需要注意的是，如果进入脚本和修正后无法在修正中添加脚本，则需要检查是否允许 Windows 许可证验证，为此 IT 管理员需要进入 Intune 租户管理 - 连接器和令牌中找到 Windows 数据选项来启用该配置。

Microsoft Intune Remediations | Microsoft Learn

Enable Windows diagnostic data and license verification | Microsoft Learn

适用于 Win32 应用的 PowerShell 脚本安装程序

Tue, 24 Feb 2026 08:15:59 +0000

适用于 Win32 应用的 PowerShell 脚本安装程序

2026年新年伊始，Intune 公布了最新的功能 - 允许在添加 Win32 应用时上传 PowerShell 脚本作为安装程序，而不再只是指定命令行。在过去我们基本的流程是测试验证应用程序安装包的静默参数，然后根据需要准备安装脚本，并使用“Microsoft Win32 Content Prep Tool”对应用程序安装包进行 .intunewin 打包，然后在 Intune 中上传该文件包（.intunewin），提供相关的信息和安装命令行进行发布。

这种方法的繁琐程度也是显而易见，一旦需要修改安装脚本就需要重新打包上传安装包，即使是使用默认的命令行也需要维护这些安装包的安装信息。现在，Intune 允许在发布 Win32 应用时额外上传用于安装的 PowerShell 脚本，这一举措将极大提升 IT 的效率，简化发布流程。

如上图所示，我们可以将“安装程序类型”指定为“PowerShell 脚本”，然后单独上传用于安装的 ps1 文件即可，Intune 会自行将脚本与应用内容一起打包，并在与应用安装程序相同的上下文中运行该脚本。这对于要部署安装复杂应用的场景非常重要，我们可以在 ps1 中做正式安装前的检查工作，对安装过程中的配置更改，在安装后进行实例的验证，当然如果要基于设备状态和运行环境执行复杂条件逻辑，那基于此方式的安装都会非常便利，且不用再将 ps1 脚本与应用安装包一同打包 .intunewin 文件，也减少了维护的复杂度。

对于此 PowerShell 安装脚本的支持需要注意以下几点：

脚本的大小限制为 50KB
脚本与应用安装程序一致的上下文中运行
脚本中的返回代码会确定安装成功或失败状态
脚本应以无提示方式运行，无需用户交互

Win32 app management in Microsoft Intune | Microsoft Learn

ITPro 应该了解的 Windows 11 26H1 信息

Wed, 11 Feb 2026 06:05:11 +0000

ITPro 应该了解的 Windows 11 26H1 信息

微软本周发布了 Windows 11 26H1，但意外的是它并不是一个被广泛部署的版本，根据微软发布的信息此版本是为2026年第一季度即将推出的新设备的专属系统，并不是传统意义上的年度功能更新，只是一个面向下一代硬件的新系统基线，为了能够更好的支持高通骁龙 X2 系列处理器的设备。微软建议组织应继续部署和管理运行广泛发布的 Windows 11 24H2 或 25H2 版本。

作为仅在2026年初为新设备提供的特有系统版本，26H1 在功能上与 25H2 一致，只是 Windows Core 存在区别，这意味着 26H1 在 2026年下半年更新会与 24H2 或 25H2 不同的升级渠道，并且 26H1 不支持热补丁更新，但仍会获得每月的安全、质量与新功能更新，并且更新节奏也与现有版本保持一致。

对于计划采购新型高通骁龙X2的组织用户也无需担心，26H1 可通过 Windows Autopatch、Microsoft Intune 以及 Microsoft Configuration Manager 等常规工具管理。

从目前种种迹象看，微软正加大 Windows 在 Arm 平台上运行的投资，X2 系列的早期资讯也证明其性能带来了非常大的飞跃，需要一个新的系统基线来适配这些新硬件。由于采用了不同的 Windows Core，是否也暗示着下一代 Windows 可能正在向更模块化、更灵活的架构演进，并为下一代 AI 硬件设备准备新的基座！让我们拭目以待，同时也期待一下高通骁龙 X2 所带来的惊喜！

针对 Windows 11 26H1 微软官方也发布了相关的 KB，具体可参考：

https://support.microsoft.com/en-us/topic/windows-11-version-26h1-6a0533a9-71a8-43b8-a32c-8fa7db97543d

Windows 信息中心公布的说明可参考：

https://learn.microsoft.com/zh-cn/windows/whats-new/windows-11-version-26h1

在本月补丁日，微软为 26H1 发布了 KB5077179 - 28000.1575

https://support.microsoft.com/en-us/topic/february-10-2026-kb5077179-os-build-28000-1575-74e81d2f-48db-4322-8bd7-8633f8d4d079

在 OOBE 期间安装 Windows 安全更新的 ESP 支持已于 2026年1月13日启用

Mon, 26 Jan 2026 11:06:06 +0000

在 OOBE 期间安装 Windows 安全更新的 ESP 支持已于 2026年1月13日启用

去年9月 gOxiA 分享了“ESP 将提供在 Windows OOBE 期间安装更新的支持”，这个功能能够确保现代部署方案下的终端设备在 Windows 初始配置阶段就是最新的安全更新版本，无需等待进入系统后的持续 Windows Update，满足了高合规和安全要求的组织需求。

但在当时发布后因为众多因素影响，微软暂停了这一特性的正式启用，直至今年1月13日才开始重新启用，我们可以在 Intune 更新历史中追溯到这个说明更新。

具体可参考：Enrollment Status Page support for installing Windows security updates during Windows OOBE | Microsoft Learn

该功能的前提条件是 IT 管理员需要在 Intune Portal 里为 ESP（注册状态页）启用该功能，我们可以在设置页面看到预览字样已被去除，意味着正式启用。

一旦启用 ESP 阶段执行 Windows Update，用户在执行 Windows Autopilot 过程的尾声就会看到向导开始为当前设备执行更新。从实际的体验来看，下载和安装的速度还是令人满意的，不会牺牲太多的时间，但换来的是用户登录桌面后，系统即保持最新的安全更新状态。

针对 CVE-2026-0386 的 WDS 指导

Wed, 14 Jan 2026 03:09:36 +0000

针对 CVE-2026-0386 的 WDS 指导

微软 MSRC 今天公布的安全漏洞中，CVE-2026-0386 描述了 WDS Hands-Free Deployment 的安全问题，WDS 通过未认证的 RPC 来传输 Unattend.xml，其不当的访问控制将允许未经授权的攻击者通过相邻网络执行代码。虽然攻击复杂性比较高，但对于在使用该项功能进行 Windows 部署的组织需要进行合规和安全评估，并尽快实施治理方案。

微软目前已经给出的解决方案，并根据以下时间线推进，目前第一阶段（2026年1月14日中国当地时间），Hands-Free 部署仍被支持，但 IT 管理员可以禁用以增强安全性。在第二阶段（2026年4月）微软将通过更新的方式默认禁用 Hands-Free 部署功能，但如有需求，IT 管理员仍可以重新启用。

具体的步骤指导如下：

第一阶段

当前 IT 管理员在评估该安全问题后，可通过手动配置注册表的方式禁用 Hands-Free 部署。

HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
DWORD: AllowHandsFreeFunctionality
Value: 00000000

第二阶段

如果 IT 管理员使用其他防护方案并继续使用 Hands-Free 部署，那么在2026年4月更新系统后需要手动配置注册表重新启用 Hands-Free 部署。

HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend

DWORD: AllowHandsFreeFunctionality

Value: 00000001

对于运维维护，IT 管理员可在 WDS 日志（Microsoft-Windows-Deployment-Services-Diagnostics/Debug）中看到相关的记录：

安全模式

将会看到警告日志，并记录“Warning: Unattend file request was made over an insecure connection. Windows Deployment Services has blocked the request to keep the system secure. For more information, see: https://go.microsoft.com/fwlink/?linkid=2344403”

不安全模式

将会看到错误日志，并记录“Error: This system is using insecure settings for Windows Deployment Services. This may expose sensitive configuration files to interception. Apply Microsoft’s- recommended security settings to protect your deployment. Learn more at: https://go.microsoft.com/fwlink/?linkid=2344403”

WDS Hads-Free Deployment 即通过为 Boot Client 或 OSImage 指定应答文件来实现自动化部署。通过 AllowHandsFreeFunctionality 键值可以控制是否允许此项功能，从而禁用无验证 RPC 流程。

具体请参考 KB5074952

Microsoft Deployment Toolkit (MDT) 正式下架

Wed, 07 Jan 2026 02:10:19 +0000

Microsoft Deployment Toolkit（MDT）正式下架
这不仅是一个工具的落幕，更是一个 IT 工程时代的谢幕。从最初的 BDD 到 MDT，它用脚本、流程和标准化方法支撑起起了 Windows 在全球商业范围内的大规模自动化部署，奠定了企业桌面系统可规模化、标准化交付的基本范式。它是那个时代的工程化象征，也是无数 ITPro 的共同记忆。
随着传统部署时代的落幕，行业全面转向基于现代模式的云管理、零接触部署与 DaaS。MDT 作为传统部署的典范，完成了一次历史性的交棒，设备交付也全面进入云优先时代。

2003-2026 R.I.P
致敬 ITPro，致敬那个时代，全面拥抱下一个时代……

Windows App 分屏预览版

Fri, 19 Dec 2025 03:39:57 +0000

Windows App 分屏预览版

近期 Windows App 的 Web 版提供了一个全新的功能特性 - 分屏，目前还处于预览版。从媒体了解到该功能已获专利，堪称业内独一无二。它在 Windows App 的网页版中实现了 Windows 的分屏功能，即在浏览器中模拟出两个显示器，从而实现在同一个会话中并排查多个桌面，方便窗口的组织和导航，无需频繁地进行切换。

该项功能的启用非常容易，只需要在登录远程桌面时打开“Split screen”，当然也可以在使用时通过界面右上角的设置图标进行开启或关闭。

以下是实际使用时的效果。

需要注意，要在 Windows App 网页版中开启这个分屏需要确保当前主显示器的宽度至少为1600像素，Windows App 才允许将当前屏幕分割为两个并排的显示器。

具体可参考：Split Screen (Preview) | Microsoft Learn

Windows ADK 10.1.28000.1 (2025年11月) 现已发布

Fri, 12 Dec 2025 05:00:54 +0000

Windows ADK 10.1.28000.1 (2025年11月) 现已发布

Windows ADK 10.1.28000.1 极其对应的 Windows PE 加载项现已在 Windows ADK 网站发布并提供下载，支持 Windows 11 26H1，提供对 Arm 64 的支持。在 Windows ADK 的选择上微软建议使用与 Windows 版本相匹配的 ADK 版本，如果当前组织环境混合使用不同的 Windows 版本，则推荐使用与环境中最新操作系统匹配的 ADK 版本。在使用多个 Windows 版本时需要注意的事项如下：

Windows PE

可以使用 Windows PE 来部署早期版本的操作系统。
如果要自定义 Windows PE，需确保使用与要自定义的 WinPE 版本相匹配的 WinPE 可选组件。
Windows 11 在 32bit 架构中不再可用，因此不支持为 Windows 11 使用 32bit 的 WinPE 版本。上一个支持 WinPE 32bit 的版本用于 Windows 10，但不能用于部署 Windows 11。

部署工具

较新版本的部署工具可用于版本低于正在使用的 ADK 版本的 Windows。

其他工具

USMT、WSIM 和评估工具包，请使用与操作系统相匹配的 ADK 版本。
对于其他工具，则需要查看文档确认这些工具与所使用的操作系统的兼容性。

Microsoft Endpoint Configuration Manager

需参考 Configuration Manager 中对 Windows ADK 的支持。

对于 Windows ADK 的新版本功能和特性，微软也给出了详细的说明。

Windows 评估工具包

常规稳定性、功能、性能和合规性改进。
实时翻译、即点即用、语音搜索和召回功能的 AI 评估改进。
更新了针对“立即加入”按钮更改的 Teams 评估。
更新了 Edge 浏览器评估，以便进行提示更改和错误修复。
更新了内存占用情况评估，以解决“找不到符号”的错误。
使用更新的 Post on/off 试探法改进了快速启动持续时间计算的准确性。
添加了 Windows Studio Effects 相机的性能评估。
更新了 YouTube 视频流评估，以适应与视频质量选择相关的 UI 更改。
更新了 Edge Web 浏览评估，以适应 Outlook 登录过程中的更改并改进密码提示处理。

BCD 启动

只要计算机支持此 CA，使用“Windows UEFI CA 2023”签名的启动二进制文件将自动得到支持，无需任何额外参数。默认情况下将设置 /bootex 选项，除非该工具在脱机模式下使用。

媒体体验分析器（MXA）

添加了 Power xdm，启用 HW 计划程序，修复了 Default.xml 中的拼写错误，以及其他错误修复。

批量激活管理工具（VAMT）

已更新以支持 Windows Server 2019/2025 产品密钥
已更新以支持 Microsoft Office 2024 产品
已更新以支持新的零售 Windows 产品密钥

Windows 性能分析器（WPA）

新功能

插件管理改进和增强的错误处理。
用于追踪分析的命令行配置文件处理和符号选项增强。
新的表和列，包括与 AI 相关的表、CPU 空闲延迟和扩展的 Locks 表指标。
用于自定义的开发人员模式和高级插件选项。
支持跨多个表的共享筛选器和改进的预设管理。

性能改进

延迟的图形初始化，可加快跟踪加载速度并提高响应能力。
远程桌面的硬件加速支持。

用户界面更新

刷新的控件和对话框可提供更好的无障碍功能和深色模式支持。
改进了错误消息和状态指示器。

漏洞修复

稳定性增强功能解决了崩溃、挂起和 UI 不一致问题。
修复了插件安装、预设管理和跟踪处理的问题。

其他更新

迁移到 dotNET 8 以提高性能。
改进了多显示器和 DPI 支持。

下载地址：

AVD App Attach 是什么

Tue, 09 Dec 2025 06:29:01 +0000

AVD App Attach 是什么

如果你了解过 Microsoft 应用虚拟化（App-V），那么就很容易理解 App Attach（应用附加），它是 Azure Virtual Desktop（AVD）的一项新功能，允许将应用程序以 MSIX 或 App-V 包的形式动态挂载到用户会话，而无需直接安装在会话主机上。这种方式不仅提升了灵活性，还大大提高了安全性和可维护性。

App Attach 应用通过 RemoteApp 或桌面会话的方式交付，用户只会看到分配给他们的应用。而且同一个应用包可用于多个主机池，并能够针对不同用户分配不同的应用。支持并排运行多个版本，或通过新镜像进行原地更新。不同于VHD/VHDX 映像，App Attach 采用 CimFS 映像格式，更快更节省资源。应用在运行时始终在容器中，隔离用户数据与系统，可有效简化故障排除。IT 还可以使用 Azure Log Analytics 提供使用和健康数据。

App Attach 可以使用以下应用包类型和文件格式：

MSIX 和 MSIXBundle
Appx 和 AppxBundle
App-V（.appv）

微软推荐企业采用 MSIX 格式。

App Attach 应用的交付流程并不复杂，可归纳为以下：

创建映像：从现有安装包生成 MSIX，或使用 App-V 包。
文件共享：将映像文件存储在 SMB 文件共享中，推荐 Azure Files。
挂载映像：用户登录时，映像会挂载到会话主机。
注册应用：支持两种注册方式，按需注册（推荐），仅在用户启动应用时完成完整注册，减少登录延迟；登录阻断注册，在登陆时完成全部注册，可能增加登录时间。

App Attach 在身份和权限方面，支持 EntraID 和 ADDS 验证，需要配置 NTFS 和共享权限，确保会话主机能够读取映像。此外，所有的 MSIX 或 Appx 包必须具有有效的代码签名证书（1.3.6.1.5.5.7.3.3），以确保信任链完整。

为了提升 App Attach 的性能和可用性，文件共享应与会话主机位于同一个区域，避免产生较大的延迟。还应该配置防病毒等安全软件将映像文件排除，减少干扰。为了实现灾备，还应考虑 DFS + Azure Files，确保文件复制到备用位置。

了解上述信息后，我们可以尝试为一个 MSIX 安装包创建 CimFS 格式的 App Attach。微软专为创建 App Attach 映像提供了一个简单易用的工具 - MSIXMGR Tool，使用该工具我们仅需要执行一个简单的命令行即可将 MSIX 转换为 CimFS 映像。

msixmgr.exe -unpack -packagepath c:msixappname.msix -destination c:msixappnameappname.cim -applyacls -create -filetype cim -rootdirectory apps

MSIXMGR Tool 的使用和参数可参考：MSIXMGR Tool patameters

如果你当前的应用程序不是 MSIX 格式，则可以参考 “MSIX Packaging Tool” 对现有应用安装包进行 MSIX 打包。

要将 App Attach 添加到会话主机也是非常容易，在主机池管理中提供了添加向导。

创建应用附加的基本信息页面确认选择了正确的资源组、主机池和位置信息。

然后，选择 CIM 所位于的存储账户及相关信息。

随后，分配主机池和可访问的用户，直到跟随向导完成配置。

到这里 App Attach 也就暂告段落，我们会在以后的日志中陆续分享相关的技术资讯。

推荐官方文档：

App Attach overview | Microsoft Learn

Create an MSIX image | Microsoft Learn

Add and manage App Attach applications | Microsoft Learn

Azure Virtual Desktop 快速上手

Thu, 27 Nov 2025 07:31:52 +0000

Azure Virtual Desktop 快速上手

本月（2025年11月）微软公布 Azure Virtual Desktop（AVD）可以为外部身份提供 AVD 虚拟桌面资源，分配资源的管理流程并未发生变化。于是 gOxiA 决定认真地做一次 AVD 上手，也就有了这篇分享！

如果你是 Windows 传统基础架构的专家，那么不会对 AVD 陌生，它主要提供的服务就是我们过去使用的 RDS 和 Remote App，而 AVD 基于 Azure，并提供了很多不同的特性：

可以选择 Windows 10、Windows 11、Windows Server 为用户提供完整的 Windows 体验。
可以使用单会话模式将设备分配给单一用户，也可以共享模式使用。
提供了完整的桌面，也支持 RemoteApp 来提供单个或多个应用。
可选内置 Microsoft 365 企业版应用，并优化以适应多用户虚拟场景。
允许安装你能从任何地方运行的业务线或自定义应用，包括 Win32、MSIX 和 Appx 格式的应用。（PS：目前还提供了 App Attach 支持，这也是 gOxiA 后续要测试的。）
提供面向外部使用的软件即服务（SaaS）。
替换现有的远程桌面服务（RDS）部署。
通过统一的管理体验，管理来自不同 Windows 和 Windows Server 系统的桌面和应用。
支持本地以混合配置托管桌面和应用，还支持 Azure Local。

AVD 允许跨平台的客户端联接，供不同用户应用场景使用，包含：Windows、macOS、iOS/iPadOS、Android/Chrome OS，甚至是 Web browser 和 Meta Quest。这是一个令人感到振奋的特性！借助 Azure 我们可以在全球多个数据中心部署我们的 AVD 为全球用户提供无处不在的 Windows 体验！并且 AVD 目前已经支持 GPU，我们可以为高级用户提供强大的 GPU 算力！

心动不如行动，打开 Azure Portal 创建一个资源组，并创建一个虚拟网络，这里 gOxiA 将默认子网改为了一个 192.168.192.0/24 的网络。

接下来，我们转到 Azure 虚拟桌面，首先创建主机池，这里我们首选应用组类型为“桌面”，并采用“共用”类型主机池。

下一步便是创建会话主机，因为是快速上手，推荐在该向导页面就添加虚拟机，为了能够为用户提供 Windows 11 25H2 桌面体验和 Microsoft 365 应用，gOxiA 选择了 Windows 11 Enterprise multi-session, Version 25H2 + Microsoft 365 Apps，这是一个特殊的 Windows 11 版本，基于企业版底座，主要特性就是支持多用户会话模式，在过去 RDS 时代我们只能基于 Windows Server 提供共用模式。

其他配置主要就是绑定使用的虚拟网络，我们前面已经创建。因为不使用混合模式，所以目录基于 Microsoft Entra ID，最后别忘记为会话主机配置一个本地管理员。

再下一步，便会指引我们注册桌面应用组，每一个应用组都要属于一个工作区，所以在进行应用组注册时会提示新建工作区。

到这里我们基本就算创建完成了，一路跟随向导完成配置等待我们首个 AVD 创建完毕吧！半杯白茶的时间回来就能看到所有的必须资源都已经创建配置完毕！接下来我们要配置应用组权限允许特定的用户可以访问 AVD。

由于我们配置使用 EntraID 访问和登录，还需要参考官方文档进行额外的配置。

Configure single sign-on for Azure Virtual Desktop using Microsoft Entra ID | Microsoft Learn

最后，为主机池配置 RDP ，将“Microsoft Entra 单一登录” 改为“连接将使用 Microsoft Entra 身份验证来提供单一登录”，以允许 EntraID 进行身份验证。

如果遇到了账户登录问题，强烈建议参考和学习以下官方文档。

Azure Windows VMs and Microsoft Entra ID | Microsoft Learn

现在，在客户端上安装和使用 Windows App 登录被授权的账号体验 AVD 吧！下图展示了 gOxiA 通过 MSA 账号登录 Windows App 并访问 AVD 虚拟桌面的实例。

Windows 11 时间点还原功能概览

Tue, 25 Nov 2025 04:57:05 +0000

Windows 11 时间点还原功能概览

微软 11月21日发布的 Windows 11 Insider Preview Build 26220.7271 (Dev & Beta Channels) 公告中提到了一个新的功能“Point-in-time restore” - 时间点还原！这是在“快速计算机恢复” - QMR 之后又一个 Windows 恢复功能。时间点还原旨在使用户能够快速将设备恢复到之前备份的完整状态之下，帮助减少停机的时间，并有效简化故障排查所耗费的人力和时间成本。

该功能逻辑是通过 VSS 技术定期备份整个系统的状态，实现当需要对设备系统进行完整状态恢复时可通过 WinRE 加载并进行恢复。如果你已经安装了 26220.7271 便可以在 Windows “设置” 应用中定位到 “系统 - 恢复” 页面中找到“时间点还原”。

目前时间点还原包含以下几个选项：

功能开/关，如果为启用状态，还原点会自动被创建。如果当前硬盘容量大于200GB，则该功能默认启用，否则需要手动开启。
还原点频率，即控制备份的频率，可配置为每4，12，16，24小时备份一次。默认为每24小时备份一次。
还原点保留期，定义了还原点在系统上保存的时间长度，直到它们被自动删除。可配置为6，12，16，24，72小时。默认为72小时。
最大用量限制，定义了 VSS 在设备上捕获还原点所占的总容量的上限。最低为2G，默认为2%。我们可以分配更大的容量空间，未使用的剩余空间仍旧可以被系统使用，所以它不是一个固定的保留空间。

由于时间点还原在启用后是在后台自动执行捕获备份的，所以我们当前还无法确认它的实际进度。当我们要对系统进行完整的恢复时，只需要进入 Windows 高级启动模式即可在"疑难解答"页面中看到“时间点恢复”选项，如下图所示：

需要注意，如果设备之前启用了 BitLocker，必须获取恢复密钥才能使用时间点还原对设备进行恢复。

说到这里，gOxiA 肯定大家也会有一些疑惑，时间点还原看起来很像 Windows 的另一个功能 - “系统保护”/“系统还原”。

它们都基于 VSS 技术对硬盘数据进行快照，但却有很大的不同，具体可参考下表。

	时间点还原	系统还原
配置	系统设置	控制面板
触发	定时，仅自动	事件或手动
保留	每个还原点最长72小时	无限期
目标范围	全系统状态，包含用户数据	系统文件和设置，应用和用户数据范围各异
影响	设计以最小化存储影响	对存储空间的影响更大
管理	将支持强大的远程管理	无现代管理

此外，我们还需要关注时间点还原功能的以下方面：

恢复只能在 WinRE 本地发起。
如果硬盘已 Bitlocker 加密，Bitlocker 恢复密钥是必须的。
设备关机、睡眠或现代待机模式，重启或硬盘满载等情况下，将无法保证还原点能在配置的准确频率下被捕获。
使用 EFS 加密文件时可能会影响时间点恢复的可靠性。
对于拥有多个卷的设备，只有 MainOS 卷会被恢复。
不支持导出或挂载还原点作为独立映像。

本文最后的知识点，时间点还原是一种全面的恢复解决方案，意味着整个系统状态，包含用户文件、应用程序、设置、密码、证书等数据都会被恢复到所选的还原点状态，所以还原点之后的任何本地数据都会丢失。但存储在云服务（OneDrive）中的数据不会受到影响。由于时间点还原功能还处在测试预览状态，gOxiA 会密切关注这一功能的改进，并提交使用反馈！如果你有任何想法也可以一起交流探讨。

推荐官方文档：

HOWTO: 解决 Windows Insider 0x800BFA0E 错误

Tue, 25 Nov 2025 03:37:23 +0000

HOWTO: 解决 Windows Insider 0x800BFA0E 错误

好久没有分享关于排错的日志，今天简单分享一个最近遇到的 Windows Insider 0x800BFA0E 错误，该错误代码是 Windows Insider Program 专有的，而且官方没有披露相关代码的含义，在 Windows Insider Troubleshooting 中也没有找到任何线索，那我们该如何着手去排错呢？！

回顾该设备的历史情况，已加入到 Intune，使用 M365 账号的登录，先前可见 Windows 预览体验计划是被预先配置的，因为用户无法更改。转到 Intune 管理中心排查设备策略，初步怀疑与更新策略有关。

检查默认的更新策略，发现“启用预发布的内部版本”为未配置，查询 Intune 审核日志可见该策略之前有被重新修改，经确认该配置之前未启用状态，且发布频道设定为“Windows 预览体验计划 - 发布预览”，之后因某些设备要更改发布频道，则在 Intune 上变更了该策略以允许用户自行配置，之后该策略设置在设备端被取消，用户可自主控制 Windows Insider 频道，在加入过程中便于到了前面截图中的 0x800BFA0E 错误。

综上所述，问题应该发生在策略设置取消后，之前的配置信息残留在了某个位置。Windows 上重要的配置存储就是注册表了，当然也可能保存在某些文件中，比较繁琐的排查方法是检索那些关键词，例如先从微软官方文档中了解到发布频道的信息 - Deeper look at flighting，然后逐步去排查可疑信息的位置。

如果你也能够非常熟练使用 Sysinternals，那将变得非常容易。哦！说到这里我需要特别致敬一下我非常敬重的一个技术超群的殿堂级大佬 - Mark Russionovich，有幸在 2011 年亚特兰大见过一面，还拿到了亲笔签名的 Zero Day: A Novel！

炫完回归正题，经排查确认 Windows Insider 相关信息仅保存在注册表中，项值“WindowsSelfHost”，位于“HKLM\SOFTWARE\Microsoft”，如果你有兴趣可以逐一查阅其中的信息，那么下来要解决我们当前遇到的问题只需要删除 WindowsSelfHost 项即可，可以使用命令行，或者使用注册表编辑器，随你的喜好！

reg delete "HKLM\SOFTWARE\Microsoft\WindowsSelfHost" /f

最后重新启动设备便可手动重新注册并选择发布频道！

适用于组织的 Windows 备份已正式发布

Mon, 24 Nov 2025 07:11:05 +0000

适用于组织的 Windows 备份已正式发布

回顾九月初 gOxiA 发布的两篇日志：“微软推出适用于组织的 Windows 备份”，“HOWTO: 为组织启用 Windows Backup”，相信你已经对 Windows 备份有了一定的了解，并掌握了如何配置和使用它们，在第二篇 HOWTO 日志中还专门制作分享了 Windows 备份的使用过程，使大家可以直观地看到实际的效果。在本月即11月17微软官方正式发布了适用于组织的 Windows 备份。

这篇日志主要回顾和确认 Windows 备份的一些关键信息点，首先已经明确的系统的要求，具体如下：

备份要求

在满足以下系统要求的设备上需要使用 Microsoft Entra ID 登录才可以使用 Windows 备份功能

Windows 10 22H2（19045.6216）或更高版本
Windows 11 22H2（22621.5768）或更高版本
Windows 11 23H2（22631.5768）或更高版本
Windows 11 24H2（26100.4916）或更高版本
必须 Microsoft Entra 联接或Microsoft Entra 混合联接

还原要求

使用还原功能需要满足以下要求

Windows 11 22H2（22621.3958）或更高版本
Windows 11 23H2（22631.3958）或更高版本
Windows 11 24H2（26100.4770）或更高版本
用户至少有一个备份配置文件
如果使用 Autopilot，必须将配置文件配置为使用“用户驱动模式”，不支持自部署模式
必须 Microsoft Entra 联接

此外，适用于组织的 Windows 备份当前在 GCCH/主权云或中国/世纪互联不受支持。

要配置适用于组织的 Windows 备份，可参考之前的日志“HOWTO: 为组织启用 Windows Backup”。对于其中的“还原配置”，除了可以通过界面化操作 Microsoft Intune 管理中心 - 设备 - 注册 - Windows 备份和还原进行全局启用，也可以通过 CSP 的方式，具体的信息如下：

OMA-URI: ./Device/Vendor/MSFT/WindowsBackupAndRestore/EnableWindowsRestore
数据类型：Boolean
值：True

该功能涉及的其他策略的详细设置可参考：Windows Backup for Organizations policy settings | Microsoft Lean

官方还提供了适用于组织的 Windows 备份常见问题解答，非常有价值。Windows Backup for Organizations Frequently Asked Questions (FAQ) | Microsoft Learn

如果组织 IT 需要对该功能进行评估，那么可参考下面的备份和还原设置支持情况：

系统

显示

多个显示器

根据监视器连接记住窗口位置 ✔️
在监视器断开连接时最小化窗口 ✔️
在显示器之间轻松移动光标 ✔️

夜灯

在显示器上显示暖色以帮助你入睡 ✔️
强度 ✔️
计划夜灯 ✔️
日落到日出/设置小时 (实际日出/日落时间取决于位置) ✔️
打开 ✔️
关闭 ✔️

声音

单声道音频 ✔️
更多声音设置 > 声音 [程序事件] (Windows 默认声音) ✔️

通知

通知✔️

允许通知播放声音 ✖️
在锁屏界面上显示通知 ✔️
在锁屏界面上显示提醒和传入 VoIP 呼叫 ✖️
显示通知钟图标 ✖️

请勿打扰 ✔️
打开“请勿自动打扰”

在此期间 ✔️
复制显示 (优先级通知横幅也会隐藏) ✔️
玩游戏时 ✔️
在全屏模式下使用应用时， (优先级通知横幅也会隐藏) ✔️
在 Windows 功能更新后的第一小时 ✔️

设置优先级通知

呼叫和提醒

显示传入呼叫，包括 VoIP ✔️
显示提醒，而不考虑使用的应用 ✔️
应用 ✔️

多任务

贴靠 Windows ✖️

贴靠窗口时，建议可以贴靠窗口旁边的内容 ✖️
将鼠标悬停在窗口的最大化按钮上时显示对齐布局 ✖️
将窗口拖动到屏幕顶部时显示对齐布局 ✖️
在任务视图中将鼠标悬停在任务栏应用上以及按 Alt+Tab 时显示我的贴靠窗口 ✖️
拖动窗口时，无需一直拖动到屏幕边缘即可贴靠窗口 ✖️

桌面

在任务上，显示所有打开的窗口 ✔️
按 Alt+Tab 时显示所有打开的窗口 ✔️
标题栏窗口摇动 ✔️

面向开发人员

文件资源管理器

显示文件扩展名 ✔️
显示隐藏文件和系统文件 ✔️
在标题栏中显示完整路径 ✔️
显示空驱动器 ✔️

关于

重命名此电脑 ✔️

蓝牙&设备

自动播放

对所有媒体和设备使用自动播放 ✔️
可移动驱动器 ✔️
内存卡 ✔️

打印机 & 扫描仪

“让 Windows 管理我的默认打印机”， ✔️

鼠标

鼠标指针速度 ✔️
滚动鼠标滚轮滚动 ✔️
一次滚动的线条 ✔️
将鼠标悬停在非活动窗口上时滚动它们 ✔️

笔和 Windows Ink

使用触控笔时忽略触摸输入 ✔️
让我在可用时将触控笔用作鼠标 ✔️
使用笔按钮作为右键单击等效项（如果可用） ✖️
某些设备上仅支持触觉信号 () ✔️
虽然某些设备上仅支持墨迹书写 () ✔️
与设备交互时， (某些设备上仅支持) ✔️
某些设备上仅支持强度 () ✔️

选择快捷方式按钮的作用

单击 ✔️
双击 ✔️
长按 (只支持某些笔) ✔️
允许应用替代快捷方式按钮行为 ✔️
如果可用，请在从存储中删除笔后显示笔菜单 ✔️

触摸板

更改光标速度 ✔️
触摸板敏感度 ✔️
用一根手指点击可单击 ✔️
用两根手指点击以右键单击 ✔️
点击两次并拖动以多选 ✔️
按触摸板的右下角右键单击 ✔️
拖动两根手指滚动 ✔️
捏合缩放 ✔️
某些设备上仅支持触摸板反馈 () ✔️
某些设备上仅支持强度 () ✔️

连接通知 ✔️
如果此电脑通过 USB 充电缓慢，则显示通知 ✔️

触摸

三指和四指触摸手势 ✔️
触摸屏幕唤醒 (仅在某些设备上支持) ✔️

网络和 Internet

Wlan

随机硬件地址） ✔️

允许 VPN 通过按流量计费的网络 ✔️
在漫游时允许 VPN ✔️

手机网络

让 Windows 使我保持连接 ✔️
按流量计费的连接 ✔️
下拉列表) (数据漫游选项 ✔️
每当 Wi-Fi 较差时使用手机网络 ✔️

个性化

背景

个性化背景 ✔️
选择照片 ✔️
选择适合桌面映像的 ✔️

颜色

选择模式 ✔️
透明度效果 ✔️
主题色 ✔️
Windows 颜色 ✔️
自定义颜色 ✔️
在开始和任务栏上显示主题色 ✔️
在标题栏和窗口边框上显示主题色 ✔️

主题 ✔️
锁屏界面

个性化锁屏界面 ✔️
在锁屏界面上获取有趣的事实、提示、技巧等 ✔️
在登录屏幕上显示锁屏界面背景图片 ✔️

开始

“开始”屏幕布局
布局 ✔️
显示最近添加的应用 ✔️
显示最常用的应用 ✖️
在“开始”屏幕中显示推荐的文件、文件资源管理器中的最近文件和跳转Lists中的项 ✔️
显示提示、快捷方式、新应用等的建议 ✔️
显示与帐户相关的通知 ✔️

文件夹

“设置” ✔️
文件资源管理器 ✔️
文档 ✔️
下载 ✔️
音乐 ✔️
图片 ✔️
视频 ✔️
网络 ✔️
个人文件夹 ✔️

任务栏

任务栏固定布局 ✔️ 直到 23H2 ❌ 24H2 及更高版本
任务栏项

“任务视图” ✔️
小组件 ✔️
任务栏行为
任务栏对齐方式 ✔️
自动隐藏任务栏 ✔️
在任务栏应用上显示锁屏提醒 ✔️
在任务栏应用上显示闪烁 ✔️
在所有显示器上显示任务栏 ✔️
使用多个显示器时，在上显示任务栏应用 ✔️
从任务栏共享任何窗口 ✔️
选择任务栏的远角以显示桌面 ✔️
合并任务栏按钮并隐藏标签 ✔️
合并任务栏按钮并隐藏其他任务栏上的标签 ✔️

文本输入

触摸键盘的主题 ✔️

触摸键盘

触摸键盘大小 ✔️
显示关键背景 ✔️
键文本大小 ✔️

应用

不支持备份或还原引用

账户

Windows 备份

记住我的应用 ✖️
记住我的首选项 (切换) ✔️

辅助功能 ✔️
帐户、WiFi 网络和密码 ✔️
个性化 ✔️
语言首选项和字典 ✔️
“其他 Windows 设置”， ✔️

Email和帐户

其他应用使用的帐户 (MSA 帐户仅) ✔️

时间和语言

日期 & 时间

自动设置时区 ✔️
时区 ✔️
在任务栏中显示其他日历 ✔️

键入

触摸键盘

键入时播放关键声音 ✔️
将每个句子的第一个字母大写 ✔️
在双击空格键后添加句点 ✔️
双击 Shift 时使用所有大写字母 ✔️

在物理键盘上键入时显示文本建议 ✔️
多语言文本建议 ✔️
自动更正拼写错误的字词 ✔️
突出显示拼写错误的单词 ✔️

游戏

游戏栏 ✔️
游戏模式 ✔️
游戏栏快捷方式 (应用内设置) ✔️
Game Bar (Win + G) ✔️
(Win + Alt + PrtScrn) 获取屏幕截图 ✔️
记录最后 30 秒 (Win + Alt + G) ✔️
开始/停止录制 (Win + Alt + R) ✔️
麦克风打开/关闭 (Win + Alt + M) ✔️
HDR 开/关 (Win + Alt + B) ✔️

辅助功能
视觉

文本大小

文本大小 ✔️

视觉效果

始终显示滚动条 ✔️
透明度效果 ✔️
动画效果 ✔️
在首选时间量后关闭通知 ✔️

鼠标指针和触摸

鼠标指针样式 ✔️
大小 ✔️
触摸指示器 ✔️
使触摸指示器圆圈变暗并变大 ✔️

文本光标

文本光标指示器 ✔️
文本光标指示器大小 ✔️
文本光标指示器颜色 ✔️
文本光标粗细 ✔️

放大镜

放大镜 (切换) ✖️
登录前启动放大镜 ✖️
登录后启动放大镜 ✔️
缩放级别 ✔️
缩放增量 ✔️

视图

视图首选项 ✔️
选择“停靠”和“全屏视图”时，让放大镜跟随我的……

鼠标指针 ✔️
键盘焦点 ✔️
文本光标 ✔️
讲述人光标 ✔️

在所选镜头视图) 时更改镜头大小

高度/宽度滑块 ✔️

选择“全屏视图”时，将鼠标指针位置 () ✔️
选择“全屏视图”时，将文本光标位置保留 () ✔️
反转颜色 ✔️
图像和文本的平滑边缘 ✔️
阅读快捷方式 ✔️

颜色筛选器

颜色筛选器 ✔️
首选颜色筛选器选择 ✔️
颜色筛选器的键盘快捷方式 ✔️

对比度主题

对比度主题 ✔️
“选择主题” ✔️
文本 ✔️
超链接 ✔️
失效文本 ✔️
所选文本 ✔️
按钮文本 ✔️
背景 ✔️

讲述人

讲述人 (切换) ✖️

登录前启动“讲述人” ✖️
登录后启动“讲述人” ✔️

“讲述人”键盘快捷方式 ✖️
讲述人主页

当“讲述人”启动时显示“讲述人主页” ✔️

选择语音 ✔️

速度 ✔️
俯仰 ✔️
音量 ✔️

在讲述人说话时降低其他应用的音量 ✔️
详细级别 ✔️

强调带格式的文本 ✔️
按字符朗读时按拼音朗读 ✔️
阅读标点符号时稍稍暂停 ✔️
阅读高级详细信息，例如按钮和其他控件上的帮助文本 ✔️

更改大写文本的读取方式 ✔️
按钮和控件的上下文级别 ✔️

阅读有关如何与按钮和其他控件交互的提示 ✔️
告诉我为什么无法执行作 ✔️
播放声音而不是常见作的公告 ✔️
告诉我有关按钮和其他控件的详细信息 ✔️

键入时让讲述人朗读

字母、数字和标点符号 ✔️
字词 ✔️
功能键 ✔️
箭头、Tab 和其他导航键 ✔️
切换键，如 Caps lock 和 Num lock ✔️
Shift、Alt 和其他修饰键 ✔️

讲述人密钥 ✔️
在触摸键盘上，当我抬起手指时激活键 ✔️
使用鼠标读取屏幕并与之交互 ✔️

让“讲述人”光标跟在鼠标后面 ✔️

显示“讲述人”光标 ✔️
在讲述人阅读文本时，使用“讲述人”光标移动文本光标 ✔️
同步“讲述人”光标和系统焦点 ✔️
启用讲述人扩展 ✔️

听觉

音频

单声道音频 ✔️
在音频通知期间刷屏 ✔️

字幕

实时字幕

筛选不雅内容 ✔️
位置 ✔️

标题样式 ✔️

交互

语音

语音访问 ✖️
登录电脑后启动语音访问 ✔️
在登录电脑之前启动语音访问 ✔️

键盘

粘滞键 ✔️
粘滞键的键盘快捷方式 ✔️
在任务栏上显示粘滞键图标 ✔️
在一行中按下两次时锁定快捷键 ✔️
同时按下两个键时关闭粘滞键 ✔️
按下并释放快捷键时播放声音 ✔️
筛选键 ✔️
筛选器键的键盘快捷方式 ✔️
在任务栏上显示“筛选器键”图标 ✔️
按下键时发出哔哔声 ✔️
忽略快速击键 ✔️
在接受击键之前等待 ✔️
忽略意外的击键 ✔️
在接受重复的击键之前等待 ✔️
忽略重复击键 ✔️
在接受第一次重复击键之前等待 ✔️
在接受后续重复击键之前等待 ✔️
切换键 ✔️
通知首选项

从键盘打开粘滞键、筛选键或切换键时通知我 ✔️
当我从键盘打开或关闭粘滞键、筛选键或切换键时播放声音 ✔️

访问键添加下划线 ✔️
使用打印屏幕打开屏幕捕获 ✔️

鼠标

鼠标键切换 ✔️
仅在数字锁定键处于打开状态时使用鼠标键 ✔️
在任务栏上显示鼠标键图标 ✔️
按住 Ctrl 键以加快速度，按住 Shift 以放慢速度 ✔️
鼠标键速度 ✔️
鼠标键加速 ✔️

目视控制

目视控制切换 ✔️
目视控制应用内设置

选择“单击”方式 ✔️
显示目视光标 ✔️
使用形状书写 ✔️
使用高级鼠标功能 ✔️
键入停留时间 ✔️
一般停留时间 ✔️
平滑 ✔️
滞后 ✔️
底部停靠 ✔️
键盘停靠按钮 ✔️

隐私&安全性

活动历史记录

在此设备上存储我的活动历史记录 ✔️直到23H2，✖️ 24H2及更更高版本

Windows 更新

不会备份或还原 Windows 更新设置

文件资源管理器设置

单击打开项目（指向选择） ✔️
缩小（精简视图）项之间的空间 ✔️
在标题栏中显示完整路径 ✔️
隐藏的文件和文件夹：不显示隐藏的文件、文件夹或驱动器/显示隐藏的文件、文件夹和驱动器 ✔️
隐藏空驱动器 ✔️
隐藏已知文件类型的扩展名 ✔️
使用检查框选择项目 ✔️
回收站

显示删除确认对话框 ✔️

桌面

查看 (图标大小、自动排列图标、将图标与网格对齐、显示桌面图标) ✔️
按 (名称、大小、项目类型、修改日期) 排序 ✔️

详见：Backup/restore settings catalog | Microsoft Learn

HOWTO: 升级 Secure Boot 证书解决2026年到期问题

Fri, 14 Nov 2025 09:18:26 +0000

HOWTO: 升级 Secure Boot 证书解决2026年到期问题

在开始我们今天的话题前应该先了解一下 Secure Boot（安全启动），它是基于 UEFI 提供的一项安全功能，确保设备加电启动后仅能够从受信任的程序执行启动。这是保护操作系统的第一步，它的工作原理十分容易理解，在设备 UEFI 中预置了受信证书，当我们的设备要执行启动的程序包含匹配的受信证书，则设备会继续执行启动，否则失败！

安全启动在 Windows 上通过其内核的受信任启动序列从 UEFI 创建安全可信的启动路径，其示意如下，这一过程首先验证固件是否已进行数字签名，从而降低固件 rootkit 的风险。然后，安全启动会检查操作系统之前运行的代码，并检查启动加载程序的数字签名。

Secure Boot 最初是在 Windows 8 总引入的，直至今日的 Windows 11。早前微软已公布相关的启动证书将于2026年过期，参考如下：

Microsoft Corporation KEK CA 2011，2026年6月到期，KEK，对 DB 和 DBX 进行签名更新，更新后：Microsoft Corporation KEK 2K CA 2023。

Microsoft Windows Production PCA 2011，2026年10月到期，DB，用于对 Windows 引导加载程序进行签名，更新后：Windows UEFI CA 2023。

Microsoft UEFI CA 2011，2026年6月到期，DB，对第三方引导加载程序和 EFI 应用程序进行签名，更新后：Microsoft UEFI CA 2023。

Microsoft UEFI CA 2011，2026年6月到期，DB，签署第三方选项 ROM，更新后：Microsoft Option ROM UEFI CA 2023。

如果你或你所管理的组织设备已启用 Secure Boot，则需要重点进行设备信息的调查汇总并指定响应的更新计划并着手开始实施。因为当这些 CA 过期后，系统将停止接收 Windows 启动管理器和安全启动组件的安全修补程序，并影响 Windows 设备的整体安全性。

首先，我们需要确认设备是否启用了 Secure Boot，可以通过 msinfo32 查看，或使用 PowerShell 命令：Confirm-SecureBootUEFI。

然后，联系或检查设备 OEM 供应商是否提供了对应的 UEFI 更新固件，根据说明进行操作。

更新固件后，可以通过检查以下注册表键值来进行确认是否应用了 Windows UEFI CA 2023 签名启动管理器。

“HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing”，UEFICA2023Status 值为 Updated 时表示已完成并应用更新。否则我们需要借助 OEM 的 UEFI 更新程序或微软提供的方案执行。

我们也可以在 PowerShell 中执行以下命令，进行 Windows UEFI CA 2023 的检查。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

当然，启动设备进入 UEFI 界面也是一个非常直接的方法。

是的，你没有看错前面的描述，微软也提供了更新 UEFI 固件证书的方法，但如果不适用当前设备，则需要由 OEM 提供支持。我们可以参考以下几种方案：

1. 安装 Windows Update，这是最简单有效的办法！注意：根据微软 KB5036210 的说明，从 2024年 2月 13日及之后发布的 Windows 更新包含了 Windows UEFI CA 2023 证书应用于 UEFI 安全启动允许签名数据库（DB）。

2. 对于组织用户，同理在满足基本系统版本需求的前提下，可以通过注册表、GPO 和 WinCS 的方式立刻开始更新。对于注册表，运行以下命令行。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

第一条命令将启动证书和启动管理器部署，第二条会立刻运行 AvailableUpdates 所对应的计划任务，否则需等待每 12小时运行一次。当重启设备后其键值变为 0x4100 后，可在执行上面的任务计划，触发启动管理器更新。整个过程 IT 人员都可以通过检查 UEFICA2023Status 和 UEFICA2023Error 注册表键值或 DB 和 DBX 事件（ID 1801，1808）进行跟踪。

3. 如果计划使用 GPO，可配置计算机配置 - 管理模板 - Windows 组件 - Secure Boot，如下图所示。

4. 我们也可以使用 WinCS API 进行更新操作，执行下面的命令行可先进行查询。

WinCsFlags.exe /query --key F33E0C8E002，如下图所示如当前配置为 F33E0C8E001，则未应用新的证书。

执行下面的命令行以应用新证书。

WinCsFlags.exe /apply –-key “F33E0C8E002

注意：通过运行 WinCS 响应的命令并不意味着安全启动证书安装过程已启动或已完成，它仅指示对应的计划任务准备运行，我们也可以手动触发该计划任务，之后重启设备两次以确认正在使用更新的证书。

目前主要的设备 OEM 厂商（Lenovo、HP、Dell 等）都已经提供了更新支持。如果你所在的组织正面临该问题，可与 gOxiA 联系。

Microsoft Configuration Manager 将转换为年度发布节奏

Wed, 12 Nov 2025 04:23:42 +0000

Microsoft Configuration Manager 将转换为年度发布节奏

近期微软官方发布了一则通告，宣布 Microsoft Configuration Manager 改为年度发布节奏，从 2609 版本开始一改过去的半年发布计划，采用年度发布的方式。这个发布周期的调整将会更好地支持 CM 用户的长期规划和运营稳定性。使我们能够清晰知道何时会发布新版本，有规划的做好升级准备工作；每个新版本都将可靠性置于新功能之上，让我们能够专注于稳定性和安全性；并按照自己的节奏向云原生管理 - Microsoft Intune 转变。

Microsoft Intune 是设备管理的未来，微软会持续将所有新的创新体现在 Intune 中。而 CM 将继续为本地设备提供服务，并关注在安全性、稳定性和长期支持方面。CM 年度版本将会和 Windows 客户端安全性和稳定性节奏保持一致，确保用户享有可靠和安全的 CM 体验。

虽然 CM 将改为年度发布，但其支持生命周期保持不变，每个版本自发布之日起将会获得 18 个月的支持。具体可参考：Microsoft Configuration Manager Lifecycle | Microsoft Learn

原文引用：

https://techcommunity.microsoft.com/blog/configurationmanagerblog/announcing-the-annual-release-cadence-for-microsoft-configuration-manager/4464794

Intune 设置目录已支持 Windows 11 25H2

Thu, 23 Oct 2025 03:31:48 +0000

Intune 设置目录已支持 Windows 11 25H2

近日微软公布消息 Intune 设置目录已提供了对 Windows 11 25H2 设置的支持，当前新增了 36 个新的设置。这意味着组织 IT 可以通过 Intune 安心地管理运行着 Windows 11 25H2 的设备。微软会继续投资于 Intune 设置目录基础结构，以确保及时支持新的 Windows 设置。

这些 Windows 11 25H2 的新设置包括：

这些 Windows 11 25H2 设置目录于 2025年 10月 20日发布，作为 Intune 管理员可密切关注：What's new in Microsoft Intune | Microsoft Learn。微软也在 Github 上公布了设备配置列表（DeviceConfig List）的详细数据方便管理员查询和参考，其中包括了 Intune 可管理的 Windows、macOS、iOS、Linux 的所有可用配置。

HOWTO: 设置 Windows IoT 设备以实现 Soft Real-Time

Mon, 20 Oct 2025 04:43:21 +0000

HOWTO: 设置 Windows IoT 设备以实现 Soft Real-Time

今天 gOxiA 要分享是如何设置 Windows IoT 设备以实现 Soft Real-Time，在开始前我们需要先了解一下什么是 Real-Time！这里的 Real-Time 通常是指实时操作系统，运行在其中的程序执行结果和获得这些结果所花费的时间是确定的，而我们平常使用的操作系统在运行程序时只会给出确定性的结果，但允许有不确定的时间来完成任务。实时操作系统有硬实时和软实时两种，前者是可以确定到确切时刻的系统，如汽车发动机或飞机内的微型控制器、打印机、激光切割机等。而后者如其名会有一些操作系统的抖动，虽然程序完成的时间窗口很小但仍不是精确的时刻，其精度较低，但可以在多核上运行并对应用程序施加较少的限制。此外，实时性能不代表更快的性能，只是可预测的性能，如果我们的应用场景有实际的限制，例如必须在机器人环境改变之前执行的计算或必须在传送带移动之前激活的电机，那么软实时可能就是我们所需要的。

从 Windows 10 IoT Enterprise 21H2 开始支持 Soft Real-Time，通过以下四个关键设置引入：

CPU 隔离：将系统级干扰从隔离的 CPU 迁移出去，减少对用户实时应用程序的潜在抖动
自定义 ISR (Interrupt Service Routine - 硬件中断发生时立即执行)/DPC (Deferred Procedure Call - ISR 结束后由系统调度执行)在独立实时 CPU 上高度绑定执行：所有硬件中断都路由到系统和非实时内核，但通过编写自定义 ISR/DPC 驱动程序，可将设备特定的中断路由到实时内核。
互斥体的优先级继承：通过启用优先级继承，系统在检测到高优先级线程等待低优先级线程持有的互斥体时，会自动调整线程优先级，从而保持任务调度的实时性与确定性。
最多16个RT线程优先级别：通过提供16个可配置的实时线程优先级级别，系统允许开发者根据任务的重要性分配资源，以实现对执行顺序的精确控制。

接下来 gOxiA 将在 Windows 11 IoT Enterprise 24H2 上配置以实现 Soft Real-Time：

禁用空闲状态

powercfg.exe /setacvalueindex SCHEME_CURRENT SUB_PROCESSOR IdleDisable 1
powercfg.exe /setactive SCHEME_CURRENT

禁用服务

sc config dps start=disabled
sc config audiosrv start=disabled
sc config sysmain start=disabled

禁用 Windows 更新

sc config wuauserv start=disabled

禁用线程 DPC

reg add "HKLM\System\CurrentControlSet\Control\Session Manager\kernel" /v ThreadDpcEnable /t REG_DWORD /f /d 0

设置 Windows IoT CSP 以实现实时性能

以 SYSTEM 权限执行以下脚本：

$nameSpaceName="root\cimv2\mdm\dmmap"
$className="MDM_WindowsIoT_SoftRealTimeProperties01"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
Add-Type -AssemblyName System.Web
Set-CimInstance -CimInstance $obj
$obj.SetRTCores = 3
Set-CimInstance -CimInstance $obj

在这个配置中，我们将在一个 4 核 CPU 上保留 3 个内核（3、2、1）用于实时任务，并将内核 0 留给系统和非实时任务。注意：系统会从编号最高的核心开始分配实时用途，然后依次向下，但是无法保证实时核心始终位于最高编号，其不会自动调整。

视频Demo：https://weibo.com/tv/show/1034:5223802787790893?from=old_pc_videoshow

微软 Foundry Local - 设备 AI 推理解决方案

Sat, 18 Oct 2025 05:26:12 +0000

微软 Foundry Local - 设备 AI 推理解决方案

微软在其 2025 Build 大会上发布了 Foundry Local，能够在本地设备上执行 AI 推理，意味着可以利用本地的 AI 算力，如：CPU/GPU/NPU；也让用户在隐私方面得到了充足的保障，还能有改善成本效益！Foundry Local 默认除了支持 CLI外，还支持 SDK、REST API 和 Catalog API，用户可以自行基于 Foundry Local 进行开发。在未来 Foundry Local 还将内置对 Agent/MCP 的支持。

Foundry Local 还支持跨平台，除了能够运行在Windows 11 上，还能够运行在 macOS。由于需要本地存储和运行模型，请确保有足够的算力和存储，Foundry Local 支持硬件加速：NVIDIA GPU（2000系列或更高版本）、AMD GPU（6000系列或更高）、Intel iGPU、Intel NPU（32GB或更多内存）、高通 Snapdragon X Elite（8GB或更多内存）、高通 NPU，以及 Apple 系列。

要在本地以 Foundry Local 运行 AI 模型，首先需要安装 Foundry Local。

Windows：

winget install Microsoft.FoundryLocal

macOS：

brew tap microsoft/foundrylocal
brew install foundrylocal

运行模型只需要执行：

foundry model run

在 Foundry Local 上可运行的模型有很多，可使用以下命令查看：

foundry model list

还可以加载 --filter 参数对显示列表进行筛选。

其他有用的参数还有：

foundry model info 显示有关特定模型的详细信息

foundry model download 在不运行模型的情况下只下载模型到本地缓存

foundry model load 将模型加载到服务中

foundry model unload 从服务中卸载模

要查看本地已经下载缓存的模型，可执行：

foundry cache list

要检查 Foundry Local 服务状态，可执行：

foundry service status

Foundry Local CLI 详细使用可参考：Foundry Local CLI reference | Microsoft Learn

Foundry Local SDK 目前支持 JavaScript、Python、C# 和 Rust，也可以使用 REST API 去调用 Foundry Local Service。gOxiA 这几天就用官方的样例代码改了一个支持 Windows 和 macOS 跨平台运行的 AI 推理程序，可在启动后自动检测 Foundry Local 运行状态获取服务地址和端口，并列出可用 AI 模型，如果未在运行，则执行 Foundry Local 启动。也可以手动指定 Foundry Local 地址，或配置 Azure AI 接口使用基于云的模型。

项目地址：FoundryLocalChat | Github

FoundryLocalChat 视频演示：http://t.cn/AXw2NWB1

Windows 10 服务终止

Wed, 15 Oct 2025 04:06:37 +0000

Windows 10 服务终止

2025年10月14日 Windows 10 已终止服务，这意味着运行以下版本的 Windows 10 设备将不会再收到每月安全和质量更新，不论是个人还是组织用户是时候升级到最新版本的 Windows 11。

Windows 10 版本 1507 （RTM）
Windows 10 2015 LTSB
Windows 10 版本 1511
Windows 10 版本 1607
Windows 10 2016 LTSB
Windows 10 版本 1703
Windows 10 版本 1709
Windows 10 版本 1803
Windows 10 版本 1809
Windows 10 企业版 LTSC 2019
Windows 10 版本 1903
Windows 10 版本 1909
Windows 10 版本 2004
Windows 10 版本 20H2
Windows 10 版本 21H1
Windows 10 IoT 企业版 LTSC 2021
Windows 10 版本 22H2

如果你或你所在的组织需要继续保留 Windows 10 运行，则可以考虑采用 Windows 10 ESU，它是 Windows 10 扩展安全更新程序计划，确保 Windows 10 用户在 2025年10月14日之后能够继续获得 Windows 10 更新。但需要注意这并不是一个长期解决方案，它不包括新功能、非安全更新、设计更改请求或技术支持。ESU 注册仅提供至 2026年10月13日。

对于个人：可以在通过通知或设置程序跟随向导轻松注册 ESU，有三个选项可供选择。

使用 Windows 备份将设置同步到云的，无需额外费用。
使用 1000个 Microsoft Rewards 积分兑换，无需额外费用。
支付30美元（当地价格会有所不同）

对于组织用户：可以以每台设备61美元的价格订阅 ESU，以接收为期一年的每月关键和重要安全更新。订阅可以每年续订，最长三年，且费用每年都会增加。要注册 ESU 可通过 Microsoft 批量许可计划。需要注意，消费者 ESU 计划不可用于商用设备，例如处于展台模式的设备；加入 AD 或 Entra 的设备；已注册 MDM 的设备以及已拥有 ESU 许可证的设备。

对于云和虚拟环境：通过 Windows 365 或虚拟机访问 Windows 11 云电脑的 Windows 10 设备有权免费使用 ESU，并且将自动接收安全更新，无需额外步骤。

在组织环境下要确认是否已激活 ESU，可使用 slmgr.vbs /dlv，ESU 计划的激活 ID 是固定的，具体如下：

Win10 ESU Year1
f520e45e-7413-4a34-a497-d2765967d094

Win10 ESU Year2
1043add5-23b1-4afb-9a0f-64343c8f3f8d

Win10 ESU Year3
83d49986-add3-41d7-ba33-87c7bfb5c0fb

如果计划升级到 Windows 11，可参考 gOxiA 几天前发布的日志“Windows 11 25H2 IT 专业人员指南”。

项目发布：安静书

Mon, 13 Oct 2025 07:35:36 +0000

项目发布：安静书

前段时间微软公布 Microsoft Store 面向个人开发人员免费注册，于是 gOxiA 做了一个面向 Windows 平板的适用于幼儿使用的“安装书”程序，并将其发布到了 Microsoft Store 中国市场。该应用基于 Web 技术，前端用了 HTML5 + CSS3 + JavaScript，因为涉及存储所以用了 IndexedDB，图形技术采用 Canvas API，内置了 50+ 精美的 emoji 图案，覆盖动物、植物、食物、交通工具等分类，并且还支持自上传图形。程序支持直接拖拽移动图形，保持宽高比的智能缩放，还专为 Windows 平板做了优化，可以直接用手指触控操作，并支持手写笔。非常适合儿童创意启发和艺术创作，或亲子互动场景，希望让孩子们可以安静地让创意在指尖绽放！！！

因为是基于 Web 的，所以添加了 PWA 支持，并通过 https://www.pwabuilder.com/ 做了优化和打包，使其能够通过 Microsoft Store 发布。现已发布到 Microsoft Store 中国市场，并免费提供！

下载地址：https://apps.microsoft.com/detail/9nn8rqk75qqh?hl=zh-CN&gl=CN

演示视频：https://weibo.com/u/1495462137?tabtype=newVideo&layerid=5221309315288882

Microsoft Intune Suite - Remote Help

Mon, 13 Oct 2025 06:54:58 +0000

Microsoft Intune Suite - Remote Help

如果你之前使用过 Windows 内置的 “快速助手 - Quick Assist”，那将有助于你了解 Microsoft Intune Suite - Remote Help（远程帮助），快速助手工具可以让我们非常便捷的开始一个远程帮助活动，打开程序点击“帮助某人”便可生成一个安全代码，然后发给对方即可借助互联网将两者连接，实现共享/控制屏幕以及文字对话，gOxiA 经常使用这个工具去帮助朋友或亲属解决 Windows 电脑相关的问题。

在组织中通常会借助一些第三方的产品，那或多或少总会涉及一些问题，而今天 gOxiA 要介绍的是 Microsoft Intune Suite 中的 Remote Help 工具，它也是一种基于云的解决方案，支持通过角色的访问控制实现安全的技术支持连接，这对于要求高安全性的组织来说，无疑是至关重要的。

Remote Help 相比较 Quick Assist 还有一些额外的特性，首先它支持多个平台，除了 Windows，我们还可以为 Android 和 macOS 提供支持，并且还提供了基于 Web 的访问。

Windows 上的 Remote Help

下载地址：https://aka.ms/downloadremotehelp
Remote Help 在 Windows 上支持以下功能：

条件访问：管理员可以在设置 Remote Help 策略和条件时利用条件访问功能来提升安全和合规性。
符合性警告：当使用 Remote Help 连接到用户时，如果该设备不符合其分配的策略，则程序会看到有关设备的不符合性警告，但该警告并不会阻止访问，但会提供有关在会话期间使用敏感数据风险的透明度。
权限提升：技术支持人员可以与共享者计算上的 UAC 提示交付，以能够在其设备上完成需要的管理权限验证。
增强的聊天：支持特俗字符和其他语言，包括中文。
远程启动会话：帮助程序能够通过向用户的设备发送通知，从 Intune 在帮助程序和用户设备上无缝启动远程帮助，这样技术支持人员就能够无需交换会话代码发起连接。

macOS 上的 Remote Help

下载地址：https://aka.ms/downloadremotehelpmacos
功能与 Windows 基本一致
支持 macOS 13、14、15 和最新的 26 版本
提供 Remote Help Web App 支持，兼容 Safari 16.4.1+，Chrome 109+，Edge 109+，Firefox 122+

Android 上的 Remote Help

下载地址：https://play.google.com/store/apps/details?id=com.microsoft.intune.remotehelp
主要功能：

屏幕共享及完全控制
无人值守控制
符合性警告

支持的设备目前有一些显示，从官方了解到当前支持三星和斑马的设备，并要求注册了 Android Enterprise Dedicated

Remote Help Web 应用程序

访问地址：https://aka.ms/rh，对于受帮助者可以直接访问：https://remotehelp.microsoft.com/authroleselection
Remote Help Web App 允许我们在未安装 Remote Help 应用的支持的设备上使用 Remote Help，这使得一些不可能成为可能。例如 Linux 虽然未受正式支持，但 Remote Help Web App 可能适用于使用受支持浏览器的大多数 Linux 设备。

如果当前组织已经购买了 Microsoft Intune Suite，可在租户管理中启用远程帮助。

根据需要通过 Intune RBAC 配置 Remote Help 权限，并分配给对应用户。

推荐微软官方文档：Use Remote Help with Microsoft Intune | Microsoft Learn

推荐微软官方指引 Demo：https://regale.cloud/microsoft/play/1746/remote-help#/0/0

项目发布: IPAPI

Fri, 10 Oct 2025 05:17:12 +0000

项目发布: IPAPI

一个基于 Web 的现代化 IP 地址信息查询工具，利用 IP-API.com 免费接口提供准确的地理位置和网络信息。

✨ 功能特性

核心功能

自动IP检测: 页面加载时自动显示访问者当前IP信息
手动IP查询: 支持输入任意IP地址进行查询
详细信息展示: 默认显示以下关键信息：
- 国家代码 (Country Code)
- 所属程序 (Program/Service)
- ISP提供商 (Internet Service Provider)
- ️ 组织信息 (Organization)
- AS名称 (Autonomous System Name)
- 移动网络 (Mobile Network Detection)
- ️ 托管服务 (Hosting Service Detection)

技术特性

PWA支持: 可作为原生应用安装到桌面和移动设备
Edge边栏兼容: 完美适配Microsoft Edge浏览器边栏工具
响应式设计: 自适应各种屏幕尺寸和分辨率
现代UI: 采用现代Web设计风格，美观易用
跨平台: 支持Windows、macOS、Linux、iOS、Android等平台
离线缓存: Service Worker提供离线访问能力

️ 界面预览

使用场景

网络管理员: 快速查询IP地址归属信息
开发者: 调试网络相关应用
安全分析: 分析可疑IP来源
个人用户: 了解自己的网络信息
教育培训: 网络知识学习工具

该项目支持通过 Azure Static Web Apps 发布，为了适配 IP-API 的服务接口，API 目录包含 Azure Functions 相关配置，已在 iOS、Android、Windows平台上完成测试验证！

项目地址：https://github.com/goxia/Codes/tree/main/IPAPI ，支持 Github Actions，轻松发布到 Azure Static Web Apps！gOxiA 已在 https://ipapi.mdt.ink 发布供大家使用！

项目发布: CMD to PowerShell 转换器

Thu, 09 Oct 2025 07:59:29 +0000

PowerShell 已经发布很多年，可以追溯到 2006年，首次面向 Windows XP/Server 2003 发布，距今已经近 20年，现在已经发展成为一种跨平台的任务自动化解决方案，除了面向 Windows 以外，还提供了很多微软模块的支持，例如：Azure，Exchange，SQL 等等！我们几乎可以在任何微软产品或服务中看到它的身影，甚至一些第三方产品，如 AWS、VMware、Google Cloud！它已经成为 IT 专业人员必须掌握的一门脚本语言，我们还可以在 Linux 或 MacOS 安装和使用它。当前最新的正式版本是 PowerShell 7.5，基于 dotNET 9；此外 PowerShell 7.6 Preview 也已经发布，如果感兴趣可转向 "What is PowerShell" 获取更多有关 PowerShell 的资讯。

而今天 gOxiA 要与大家分享的是近期手搓的一个项目 CMD-PowerShell-Converter，主要便于自己快速查询一些 CMD 到 PowerShell 的基本命令行的使用，它是一个现代化的 Web 应用程序，用于在 CMD 和 PowerShell 命令之间进行转换，主要提供以下功能和特性：

双向转换

CMD → PowerShell: 将传统CMD命令转换为现代PowerShell等价命令
PowerShell → CMD: 将PowerShell命令转换为CMD命令
智能检测: 自动识别输入的命令类型

智能建议

提供相关命令建议和示例
显示参数说明和用法
常用命令快速访问

现代化界面

响应式设计: 支持桌面、平板和手机
主题切换: 明亮、深色、自动模式
直观布局: 左右分屏，类似翻译界面
快捷操作: 一键交换、复制、清空

PWA功能

离线使用: 完全支持离线操作
应用安装: 可安装到设备，如原生应用
快速启动: 优化的缓存策略
跨平台: 支持Windows、macOS、Linux、Android、iOS

数据管理

历史记录: 自动保存转换历史
本地存储: 使用IndexedDB安全存储
数据导出: 支持备份和恢复
自定义规则: 可添加个人转换规则

该 Web 程序已发布在 Github 上，项目地址：https://github.com/goxia/Codes/tree/main/CMD-PowerShell-Converter，感兴趣的朋友可以自行完善

项目发布: WinPlusH-dotNet6

Thu, 09 Oct 2025 06:42:29 +0000

项目发布: WinPlusH-dotNet6

就在 9月下旬 gOxiA 发布了一个项目，名为：WinPlusH，当时是基于 PowerShell 开发的，并打包成了 exe 可执行文件，在大家的建议下又基于 dotNet6 用 C# 手搓了一版，该程序使用 Windows API 的 user32.dll 中的 keybd_event 函数来模拟键盘输入，达到按下 Win+H 的作用。并且支持 x64 和 Arm 64，可编译为自包含单文件版本，便于分发或免安装使用。

程序非常简单，代码截图如下，倒是在编译工程中又学到了不少新的知识。

项目地址：https://github.com/goxia/Tools/tree/main/WinPlusH-dotNet6

项目发布: IIS 日志安全分析器

Thu, 09 Oct 2025 06:18:58 +0000

项目发布: IIS 日志安全分析器

近期发现服务器有一些异常，随机手搓了一个 IIS 日志安全分析器，基于不同维度对访问进行分析，并识别可疑的 IP 地址或地址段，便于通过网络策略进行阻拦，以下是其主要特性和功能。

主要特性

多维度安全分析：检测SQL注入、XSS攻击、管理面板探测、命令执行尝试等多种安全威胁
智能IP地理定位：集成多个IP地理位置API，显示攻击者的地理位置和ISP信息
子网攻击分析：识别和分析可疑的子网攻击模式
交互式HTML报告：生成带有导航功能的美观HTML报告
FTP活动监控：分析FTP连接、认证尝试和异常活动
实时威胁评估：对危险IP进行深度分析和威胁等级评估

功能概览

Web流量分析

HTTP状态码分布统计
最活跃客户端IP识别
热门访问页面分析
用户代理(User-Agent)统计
错误请求模式分析

安全威胁检测

支持检测以下安全威胁类型：

管理面板探测 - 检测对admin、wp-admin等管理界面的扫描
命令执行尝试 - 识别代码注入和命令执行攻击
环境文件访问 - 检测对.env等敏感配置文件的访问
phpMyAdmin探测 - 识别对数据库管理工具的扫描
Shell访问尝试 - 检测Webshell上传和访问尝试
目录遍历攻击 - 识别路径遍历攻击模式
CGI漏洞利用 - 检测CGI脚本相关的攻击
Git文件访问 - 检测对.git目录的非法访问

IP地理位置分析

多API支持 - 集成ip-api.com、ipapi.co、ipinfo.io等多个服务
ISP信息 - 显示IP所属的ISP和组织信息
地理位置 - 精确到城市级别的地理位置信息
故障转移 - 多API自动切换确保服务可用性

交互式报告

美观界面 - 现代化的HTML报告设计
一键导航 - 点击IP或子网快速跳转到详细信息
浮动按钮 - 便捷的返回顶部功能
响应式设计 - 支持各种屏幕尺寸

这款 IIS 日志安全分析器基于 Python 开发，有需要的网友可自行获取。项目地址：https://github.com/goxia/Tools/tree/main/IISLogAnalyzer

Windows 11 25H2 IT 专业人员指南

Thu, 09 Oct 2025 05:59:26 +0000

Windows 11 25H2 IT 专业人员指南

本地时间2025年10月1日微软正式发布了 Windows 11 的最新版本 25H2，如果你已阅读了之前的日志“Windows 11 25H2 进入 Release Preview 通道”会了解到 25H2将作为 eKB 方式提供，它基于 Windows 24H2，不会对 IT 组织造成太高的工作量，一切都是那么轻松，它就像一次月度累积更新！

尽管如此，作为 IT 专业人员还是需要首先对 Windows 功能更新进行学习和了解，今早着手测试和评估，并根据组织要求推送给最终用户设备。下面这些信息将有助于 IT 专业人员掌握相关的要点！

Windows 11 25H2 主要的功能和特性

https://support.microsoft.com/en-us/windows/inside-this-update-93c5c27c-f96e-43c2-a08e-5812d92f220d#windowsupdate=26100
除以上外还将支持：

基于策略删除预安装 Microsoft 应用商店应用，gOxiA 之前也有分享日志“Windows 11 25H2 将会支持移除内置应用”。
支持 Wi-Fi 7，如果企业已经部署了具有 Wi-Fi 7 的最新硬件设备，要想发挥其网络性能，则需要 Windows 25H2。官方参考：Introducing Wi-Fi 7 for enterprise connectivity
适用于组织的 Windows 备份，这是一个相当重要的功能，将使我们从 Windows 10 升级到 Windows 11，或用户自助重装系统获得更好的体验。gOxiA 之前有做过详细的介绍“微软推出适用于组织的 Windows 备份”并分享了上手“HOWTO: 为组织启用 Windows Backup”。
快速计算机恢复，具体可参考“Windows 11 24H2 快速计算机恢复”。
任务栏固定策略的改进，现在分发固定策略后不必再重启 explorer.exe 进程。
节电设置，IT 管理员现在可使用 Intune 通过 GPO 或 MDM 配置来管理 Windows 11 上的节电设置。
此外，还请关注 Windows 已删除功能和 Windows 已弃用功能列表，确保满足当前组织设备管理策略。
更多信息可参考微软官方文档：What's new Windows 11 25H2

Windows 11 25H2 遵循 Windows 11 服务时间线：

Windows 11 专业版：自发布日期起服务24个月
Windows 11 企业版：自发布日期起服务36个月

要确保设备能够获得 Windows 11 25H2，必须运行 Windows 11 24H2，并已安装 KB5064081 或更高版本。
除了通过 Windows Update 获得 Windows 11 25H2 外，组织用户如果在使用 WSUS，包括 Configuration Manager，则在 10月 14日可为组织用户推送 Windows 11 25H2。
对于已经在使用 Microsoft Intune 现代管理的组织，已经可以创建 25H2 的功能更新部署策略。
如果你希望尽快开始进行 Windows 11 25H2 的测试评估工作，可从微软官方站点获取 Windows 11 90 天评估版，提供了不同语言版本的 Windows 11 25H2 企业版和 LTSC 版，当前版本号是 26200.6584。
Windows 11 25H2 的 Windows ADK 当前最新版本仍是 ADK 10.1.26100.2454
Windows 11 25H2 安全基线可参考 Windows 11 25H2 security baseline
对于仍在使用传统 GPO 管理 Windows 11 的组织，现在可以下载 Windows 11 25H2 的 admx，下载地址：Administrative Templates for Windows 11 25H2。微软还为此提供了一个 Excel 表格供参考 Group Policy Settings Reference Spreadsheet for Windows 11 25H2
目前 Windows 11 25H2 更新历史已经开始提供，组织 IT 专业人员可定期查阅 “Windows 11 25H2 update history”
Windows 11 25H2 存在一些已知问题，可参考“Windows 11 25H2 know issues and notifications”

项目发布：WinPlusH

Tue, 23 Sep 2025 04:26:43 +0000

项目发布：WinPlusH

前段时间开发了一个小工具 - WinPlusH，一个轻量级的 Windows 语音输入快捷工具，专为手写笔用户设计。当在笔和 Windows Ink 设置中为其按钮配置单击打开 WinPlusH 工具后，只要我们按一下笔帽按钮，即可快速激活 Windows 语音输入，该工具原理很简单，主要是为了方便大家的应用场景，当我们使用带有手写笔的 Windows 平板时，除了通过触控 Windows 上提供的按钮外，手写笔此时成为 Windows 平板的主要控制工具，借助其特性就可以很方便的实现我们在 Windows 平板模式下的使用场景需求，按下笔帽激活语音输入，轻松在手写和语音录入间切换。

功能特点

一键启动语音输入：精确模拟 Win+H 快捷键，快速启动 Windows 语音输入功能
手写笔友好：专为 Windows Ink 环境和手写笔按键绑定而设计
轻量无依赖：编译后的exe文件可独立运行，无需额外安装
稳定可靠：优化的按键时序，避免乱码和兼容性问题

系统要求

Windows 11
已启用 Windows 语音输入功能
PowerShell 5.1+ (用于编译)

️ 快速开始

1. 使用程序

直接使用：双击 WinPlusH.exe 立即启动语音输入
手写笔配置：在 Windows Ink 设置中将程序绑定到笔按键

手写笔配置步骤

打开设置 → 设备 → 笔和 Windows Ink
在 笔快捷方式 部分选择要配置的按钮（如顶部按钮单击）
选择 启动程序，浏览并选择 WinPlusH.exe
保存设置

使用场景

在使用手写笔做笔记时快速切换到语音输入
触屏设备上的便捷语音输入访问
无键盘环境下的语音输入启动
演示或会议中的快速语音记录

WinPlusH 项目地址：

https://github.com/goxia/Tools/tree/main/WinPlusH

ESP 将提供在 Windows OOBE 期间安装更新的支持

Tue, 23 Sep 2025 03:45:45 +0000

ESP 将提供在 Windows OOBE 期间安装更新的支持

在2025年9月1日的 Intune 更新中提到了将在 Windows OOBE 期间安装 Windows 安全更新的注册状态页支持，这是一项对于组织设备部署和交付非常重要的功能，如果你的组织要求交付的设备系统更新始终保持在一个相对最新的状态，并且已经在使用 Autopilot 部署设备，那么这项功能将带来极大的帮助，只要启用它！设备用户在 OOBE 阶段即可安装最新的 Windows 安全更新。

为此，我们需要修改 Autopilot 现有的 ESP，如果可以看到“安装 Windows 更新(可能会重启设备) (预览)”，将其改为“是”即可。顺便检查 Windows Update 策略是否有阻止更新的配置。

但很奇怪，在实际测试时 OOBE 阶段并未进行有效的 Windows 更新，期间检查了注册表，在 HKLM\SOFTWARE\Microsoft\Windows\Autopilot\EnrollmentStatusTracking\Device\Setup 下并未看到 Policy 以及 InstallQualityUpdates 键值。

随后，使用 Graph Explorer 查询了 deviceEnrollmentConfigurations，显示结果为 “InstallQualityUpdates”: true,！！！

真是神奇，继续排查 DDF，可见 InstallQualityUpdates 值却为 False！！！

百思不得其解，继续找寻线索才重新注意到该功能被延迟了！

但不管怎样，这项功能都值得期待，相信用不了多长时间，即能正常使用。

Microsoft Store 面向个人开发人员免费注册

Mon, 22 Sep 2025 14:06:01 +0000

Microsoft Store 面向个人开发人员免费注册

微软于9月10日公布重要消息，个人开发人员现在可以将应用发布到 Microsoft Store 上，并且无需支付任何费用。这意味着个人开发人员无需支付任何费用，也不必提前准备信用卡，即可免费注册为微软应用商店开发者，可以将自己开发的应用发布到到全球240个左右的市场中，有机会让超过2.5亿月活跃用户触及发布的应用，这是一个巨大的全球市场！它为在 AI 浪潮中“不幸”冲上岸的 IT 们提供了重生的机遇！

如果你正打算开发或发布 Windows 应用，立刻行动起来，访问 https://storedeveloper.microsoft.com/home 注册。

在账户选择页面，务必选择“Individual developer”，之后准备好一部手机，自己的身份证，顺便把自己拾捯的精神些，因为需要用手机拍摄系统生成的二维码进行身份证和自己的拍照才能完成。

一旦注册成功便可通过微软合作伙伴中心进入应用和游戏发布页面，发布的产品可分为三类：MSIX 或 PWA 应用；EXE 或 MSI 应用；游戏。其中 MSIX 格式也可打包游戏，用于游戏的发布。MSIX 也可以打包发布桌面桥应用以及 PWA。但是 EXE 和 MSI 则仅限发布应用。

发布的应用程序可以面向所有240个左右的市场发布和定价，也可以创建市场组进行单独定价，如果设定为收费模式，还可以配置免费试用，例如时间限制，提供了1天、7天、15天、30天；也可以配置为无限制，即永不会到期，但需要将限制功能的代码添加到产品中。建议前期免费发布！此外，我们还可以设定计划发布日期，这样就可以按照约定的时间投放到市场中。

应用提交后审核的时间还是比较快的，15分钟 ~ 3天，通常提交后在第二天就能发布。

Free developer registration for individual developers | Microsoft Learn

项目发布：PPKG

Sat, 13 Sep 2025 07:21:36 +0000

项目发布：PPKG

用于 Windows 自动化部署的 PPKG 文件和工程模板，帮助 IT 人员快速实现部署并学习 PPKG 制作。

本项目提供 Windows 配置包（PPKG） 及其 工程文件，帮助 IT 人员和技术爱好者：

快速实现 Windows 自动化部署
减少手动配置时间与重复工作
学习如何使用 Windows Configuration Designer 创建和定制 PPKG

适用场景

企业批量部署 Windows
教学与培训
测试和实验环境的快速配置
个人定制系统初始化

项目地址：https://github.com/goxia/PPKG

首发：Automated OOBE

https://github.com/goxia/PPKG/tree/main/Automated%20OOBE

HOWTO: 为组织启用 Windows Backup

Wed, 03 Sep 2025 06:02:15 +0000

HOWTO: 为组织启用 Windows Backup

"微软推出适用于组织的 Windows 备份"，前面 gOxiA 已经介绍过该功能为可选功能，默认是未启用状态，如果需要为本组织启用 Windows Backup for Organizations，我们需要通过 Intune 进行一些配置。

首先我们需要为组织启用 Windows Backup for Organizations，为此登录到 Intune Portal 并转到“设备 - 注册 - Windows”，找到“Windows Backup and Restore”，将其状态设置为“On”，这样用户在 OOBE 阶段通过身份验证后，即可看到恢复向导。

然后，我们还需要为客户端配置策略，使其允许使用 Windows Backup，为此创建基于“设置目录”的配置策略，然后搜索“Backup”即可看到位于“管理模板\Windows 组件\同步设置”中的“Enable Windows Backup”，将其配置为启用即可。

此外，该设置中还有其他额外的一些细节配置，IT 管理员可根据需要进行设置。

一旦策略生效，用户便可在自己所属的客户端上使用 Windows Backup（备份）应用进行相关的备份，此外还会再计划任务中创建一个每8天执行一次备份的任务。

以下是 Windows 10 备份并在 Windows 11 上恢复的 Demo，可作为参考。从整个过程来看，极大提升了用户在备份和恢复上的应用体验，让用户更有自信的去备份和恢复 Windows 系统。对于组织 IT 人员，也可将 Windows 备份和还原功能利用在日后的迁移项目中。

https://weibo.com/tv/show/1034:5206790422593660?from=old_pc_videoshow

https://youtu.be/hUxJuyCAueU

最后，我们重点回顾以下 Windows Backup for Organizations 在备份和恢复时对系统版本的要求：

Backup：

√ Windows 10 22H2 (19045.6216) 或更高版本
√ Windows 11 22H2 (22621.5768) 或更高版本
√ Windows 11 23H2 (22631.5768) 或更高版本
√ Widnows 11 24H2 (26100.4946) 或更高版本

Restore：

√ Windows 11 22H2 (22621.3958) 或更高版本
√ Windows 11 23H2 (22631.3958) 或更高版本
√ Widnows 11 24H2 (26100.1301) 或更高版本

Windows 备份设置目录 | Microsoft Support

Windows Backup for Organizations overview | Microsoft Learn

微软推出适用于组织的 Windows 备份

Tue, 02 Sep 2025 01:50:36 +0000

微软推出适用于组织的 Windows 备份

微软在前几日宣布 Windows Backup for Organizations 正式发布，意味着那些加入到 Microsoft Entra 的设备可以轻松地备份和恢复自己组织设备上的 Windows 设置和应用，不论组织还是用户本身都可以借助 Windows Backup for Organizations 实现无缝的备份和恢复，就像使用 OneDrive 一样轻松！

Windows Backup for Organizations（以下简称：WBfO）当前除了可以备份 Windows 的主要设置（辅助功能、个性化、语言首选项和字典、其他 Windows 设置）外，还可以备份从 Microsoft Store 安装的应用列表，用户在重置设备时不再有无后顾之忧，借助备份还可以将设备从 Windows 10 平滑过渡到 Windows 11。

要使用 WBfO 需要确保设备已经联接到 Microsoft Entra，且系统版本应该是 Windows 10 22H2 或 Windows 11 22H2 及更高版本，此外还应安装了 2025年的8月累计更新，因为此更新包括了用于备份 Windows 设置和应用程序列表的工具。

由于 WBfO 是一项基于云的可选功能，默认它在组织环境下是被禁用的，除了客户端满足上面的条件外，IT 管理员还需要配置 Intune 为租户启用 Windows Backup for Organizations，并且为客户端推送备份和还原策略。

一旦所有配置完成，组织用户便可以通过本机上的 Windows 备份工具执行备份，该备份基于用户账户登录过的设备，如果用户在组织内有多台设备并且在每个设备上都使用 Windows 备份工具做过备份，那么就会在云端保存这些备份的实例。

当用户重置设备，或使用新设备时，在 OOBE 阶段一旦登录成功自己的组织用户账号，机会在下一步骤看到恢复选项，在该页面点击更多选项就能看到该账号所有的备份，选中其中的一个继续便可恢复之前备份的 Windows 设置及应用列表。

需要注意的是恢复时只支持 Autopilot 的用户驱动模式，在确认恢复的备份后，如果设备配置有 Autopilot，即会执行相关的任务序列，一旦进入桌面就能看到诸如主题背景已经恢复到之前的备份状态，并且可以在程序所有列表中看到之前安装过的应用，这些应用来自 Microsoft Store，如果是 UWP 类型的应用，当用户点击时会自动开始下载安装，否则会转到 Microsoft Store 对应的程序页面让用户手动确认安装。

注意：Windows Backup for Organizations 当前仅面向有限的区域提供该功能，请确保在受支持的区域内。

Windows 11 25H2 进入 Release Preview 通道

Mon, 01 Sep 2025 07:35:18 +0000

Windows 11 25H2 进入 Release Preview 通道

本地时间 8月30日，微软向 Windows 11 Insider 的 Release Preview Channel 用户发布了 Windows 11 25H2，其实版本 26200.5074。25H2 将作为 eKB 方式提供，这意味 25H2 与 24H2 使用同一组系统文件的通用核心作系统，像之前 Windows 11 23H2 与 22H2 一样的关系。新的版本功能包含在每一个月的月度质量更新中，但处于非活动和休眠状态，直至启用包安装并激活它们。

Windows 25H2 除了包含了 24H2 的所有功能特性，也包含了一些对陈旧功能的删除，例如：PowerShell 2.0 和 WMIC，当然也包含了一些新的特性，例如删除选定的预安装的 Windows Store 应用。如果你已经在使用 Windows 11 24H2 版本，并加入到了 Windows 11 Insider Release Preview Channel，当天即可在可选更新中看到 Windows 11 25H2 可选更新。如果已经安装了 KB5064081（26100.5074），则在 Windows 更新中会直接看到 25H2 更新推荐。

Windows 11 25H2 因为是 eKB 模式，所以它的下载和安装非常快，仅 2-3 分钟即可完整。对于正在执行本年度最大的升级工作 —— Windows 10 upgrade to Windows 11 的 IT 们来说，25H2 将变得极为轻松，当前也无需变更升级计划，照旧 Windows 11 24H2 即可。

Windows 11 24H2 快速计算机恢复

Wed, 13 Aug 2025 04:02:37 +0000

Windows 11 24H2 快速计算机恢复

快速计算机恢复 - Quick Machine Recovery（QMR）功能现已随 KB5063878（26100.4946）正式推送给 Windows 11 24H2，今天 Windows 补丁日（中国当地时间8月13日）我们便可获取到这个八月累计更新，早前它随 KB5062660（26100.4770）预览版更新在7月23日推送。

QMR 旨在帮助 Windows 设备遇到关键错误时可以从云中自动搜索修复方案，并从广泛发生的故障中恢复正常，从而显著减轻 ITPro 的负担，并减少大规模宕机瘫痪事件的发生。

QMR 显著的一个特性是在启动修复的基础上，加入了对网络的支持，也就是说可以通过有线或无线连接在 Windows 恢复环境中查找位于云端微软的更新解决方案，这样一台设备即使无人值守，没有键鼠，甚至是一台无头机也能快速地从故障中恢复正常。

既然有了网络连接就意味着可以连接网络，所以 QMR 提供了两个主要设置：

云修复：

启用后，设备会连接到网络并查找相关的 Windows 更新方案
禁用后，Windows 使用启动修复作为本地恢复选项

自动修复：

启用后，设备会自动连接到 Windows 更新并尝试查找解决方案。如果第一次尝试时找不到解决方案，则设备会重试，而无需手动干预
禁用或未配置时，设备需要手动干预才能继续恢复过程

下面我们来了解一下它的过程，参见下图。

当设备重复发生崩溃后，系统会自动检测并启动恢复过程
设备进入到恢复环境以启动 QMR
一旦允许建立网络连接，设备将查找 Windows 更新进行修复
在修复的过程中，如果未找到解决方案，则会根据预先的配置重试；如果找到解决方案，则会下载并实施。
解决方案一旦实施成功，设备将重新启动到 Windows；如果失败，设备会再次重启进入到恢复环境中，并重试。

QMR 当前可以通过 Intune、CSP、命令行和设置应用进行配置，我们可以控制云修正和自动修正是否启用，以及配置后者的重试间隔时间，当然也包含最为重要的网络信息，这里主要指的是 WiFi，需要注意：目前仅支持 WPA/WPA2 加密的 WiFi 网络。

对于 Intune，可以参考设置目录策略：https://learn.microsoft.com/zh-cn/mem/intune/configuration/settings-catalog

对于 CSP，可以参考：https://learn.microsoft.com/zh-cn/windows/client-management/mdm/remoteremediation-csp

如果是通过 Windows Settings App，可以参考下图，但看起来貌似并未提供 WiFi 的配置项。

最后就是通过命令行，也是 gOxiA 测试过的，还记得 Reagentc 这个命令吗，现在包含了 QMR 的配置选项，具体参考下图。

我们可以执行 reagentc /getrecoverysettings 获取当前配置信息

其中包含要连接到的 WiFi 网络信息，如：。

而表示是否启用云修复，有效值为 0 或 1，前者表示禁用。

表示是否启用自动修复，有效值参前，totalwaittime 表示每隔多久重启一次，waitinterval 表示每多长时间查找解决方案。

了解了格式我们便可以创建 XML 格式的配置文件，并通过 /setrecoverysettings 参数加载配置。如果之后我们要清除这些配置可以使用 /clearrecoverysettings 参数即可。

现在我们想测试一下 QMR，看看网络等配置是否正确有效，但我们并不能等待故障发生，那我们可以使用 /setrecoverytestmode 参数启用 QMR 测试模式，并使用 /boottore 配置当前设备下载启动时进入恢复环境以执行 QMR。当测试结束我们还可以使用 /getrecoverytestmode 获取 QMR 恢复测试状态和上次执行的结果。

微软将为 Windows Setup 媒体中的 Inbox Apps 提供最新版本

Mon, 11 Aug 2025 11:33:05 +0000

微软将为 Windows Setup 媒体中的 Inbox Apps 提供最新版本

上个月中旬微软通过 Windows IT Pro 博客发布了一则消息，使用2025年6月或之后的 Windows Setup 媒体安装 Windows 11 24H2 或 Windows Server 2025 时，系统内置的那些 Inbox 应用也会更新到相对最新版本，这意味着一些企业 IT 从 VLSC 下载的含每月累计更新的 Windows Setup ISO 也会包含新的 Inbox，一旦交付给最终用户即可直接开始使用，这样不仅更安全、更可靠、也提升了用户的体验。要知道在过去当我们首次打开内置应用时都会提示必须联网更新才能继续使用。

目前这一举措覆盖了前面将的更新的 ISO，也同时包含虚拟硬盘（VHD）和 Azure 市场映像。对于 RTM 目前尚未在队列中！如果你对此信息感兴趣，可参考如下手更新的内置应用列表：

时钟
应用安装程序（App Installer）
AV1 视频扩展
AVC 编码器扩展
必应搜索
计算器
照相机
Clipchamp
跨设备体验主机
获取帮助
HEIF 图像扩展
HEVC 视频扩展
媒体播放器
Microsoft Store
Microsoft To Do
记事本
Office Hub
画图
手机连接
照片
Power Autmate
快速助手
Raw 图像扩展
截图工具
纸牌系列游戏
录音机
便签
商店购买应用程序
VP9 视频扩展
天气
Web 媒体扩展
WebP 图像扩展
Windows 安全
Windows Web 体验包
Xbox 游戏栏
Xbox 语音转文本叠加

对于 Windows Server 2025 媒体

应用安装程序
Windows 安全

Microsoft Connected Cache for Enterprise - 卸载和重装

Sun, 10 Aug 2025 12:48:51 +0000

Microsoft Connected Cache for Enterprise - 卸载和重装

前面 gOxiA 与大家分享了“Microsoft Connected Cache - 概述”、“适用于企业和教育的 Microsoft Connected Cache”、“Microsoft Connected Cache for Enterprise - 实践”，相信已经上手的朋友会有一些收获。我们继续前行，尝试卸载和重装 Microsoft Connected Cache for Enterprise，过程其实非常简单，只是我们可能会遇到一些小小的“意外”，该如何处理解决以及完成目标，是 gOxiA 今天要分享的。

例如当我们访问 Cache Nodes 管理界面时，应该会留意到系统给出的提示，要求我们将那些需要迁移的缓存节点使用新的缓存节点部署包重新部署安装，留意下图标注的位置已决定是否需要重新部署。

本例中是一台基于 Ubuntu Server 的缓存节点主机，接下来 gOxiA 将会先卸载现有缓存节点版本，然后安装最新的版本。首先执行 uninstallmcc.sh 执行卸载脚本，如果未 sudo 需进行管理员权限认证，如下图所示。

卸载过程非常快，最后会给出结果，如下图提示会有一个报错：“Failed to remove cron job for host update”，提示未能移除定时任务。

如果要彻底清除，建议安装 cron，为此执行如下指令：

sudo apt update

sudo apt install cron

./uninstallmcc.sh

再次卸载就不会再有警告信息，最后我们下载最新的缓存节点部署包再次执行安装。最新的缓存节点部署包可以从该网址下载：https://aka.ms/mcc-ent-linux-deploy-scripts，参考前面的日志进行安装即可。如果在安装时遇到如下图报错：“The registration key is no longer valid, please visit the Azure portal for a new command line”，请重新生成部署相关信息。

另外需要注意，如果是重新部署 Linux 缓存节点将其迁移到 GA 版本，用户必须执行如下操作，否则内容请求将会失败。

chmod 777 -R /cachenode

sudo iotedge restart MCC

稍等几分钟我们可以使用 sudo iotedge list 进行检查。

Microsoft Connected Cache for Enterprise - 实践

Mon, 28 Jul 2025 05:05:06 +0000

Microsoft Connected Cache for Enterprise - 实践

就在 gOxiA 近期集中发布 MCC 相关日志期间，微软于 7月23日公告 Microsoft Connected Cache for Enterprise 正式版发布了。那今天就为大家奉上 MCC for Enterprise 的上手日志。如果你需要了解 Microsoft Connected Cache，不妨先回顾一下 gOxiA 之前发布的日志：“Microsoft Connected Cache - 概述”，“适用于企业和教育的 Microsoft Connected Cache”。

本例 MCC 的 CacheNode 将使用 Ubuntu 24.04 ，这里不再复述 Ubuntu 的准备过程。接下来我们需要通过 Azure Portal 创建 Microsoft Connected Cache for Enterprise 服务（以下简称：MCC4E），并创建和配置基于 Ubuntu 系统的 Cache Node，最后在 Ubuntu 系统上执行部署脚本，并对 Cache Node 执行验证，确保无误后便可通过组策略（GPO）或 Intune 为客户端进行分发配置。

接下来我们首先通过 Azure Portal 创建 MCC4E，可以在 Azure 市场中搜索关键词，在搜索结果中确认“Microsoft Connected Cache for Enterprise”并创建资源。

MCC4E 资源的创建非常简单，为该资源起个容易识别的名字，并确认在哪个订阅、资源组和位置，最后执行创建即可。

稍等片刻，我们便可转到 MCC4E 资源的 Cache Node Management 页面，并通过位于顶部的“Create Cache Node”按钮创建我们所需的缓存节点，在下图中我们可以看到一则提示“公共预览版缓存节点将于2025年9月14日停止运行。必须重新部署现有的公共预览版缓存节点。”，具体可参考：https://aka.ms/mcc-ent-release-notes。如果之前在预览阶段就部署了Cache Node 则需要根据提示执行重新部署。

我们继续，创建 Cache Node，选择 Linux 为我们要用的 OS，并为 Cache Node 创建一个名称。这样一个基于 Linux 系统的缓存节点便创建完毕，接下来我们为该缓存节点生成一些必要的配置。

首先在“Configuration”中为缓存节点指定要用于存储缓存数据的目录，以及可使用容量。如果当前缓存节点有多块可使用的硬盘驱动器，则可以继续添加存储配置但当前最多可配置 9 个。

然后点击“Save”按钮保存配置并等待生效，一旦配置可用便可在“Deployment”页面看到要执行的命令行，此时我们可以将“Download deployment package”下载到 gOxiA 实现准备好的 Ubuntu 缓存节点主机上，以备使用。

在缓存节点主机上我们首先解压缩下载的部署包，并为其中的文件配置执行权限，然后执行“Deployment”页面提供的命令行即可。

在“Updates”页面我们还可以为缓存节点主机配置快速更新或周期性更新，确保缓存节点主机中的数据都是最新的，以解决安全漏洞并提高质量和性能。

当我们执行命令行无误，稍等片刻应该就能看到当前缓存节点主机的状态，如果要执行验证，可以参考官方文档 “Verify Connected Cache node functionality | Microsoft Learn” 执行相关指令。

如下图我们可以先用 “wget http://localhost/filestreamingservice/files/7bc846e0-af9c-49be-a03d-bb04428c9bb5/Microsoft.png?cacheHostOrigin=dl.delivery.mp.microsoft.com” 验证缓存节点主机在运行且可以访问。然后可以通过在客户端上访问 http://[HostMachine-IP-address]/filestreamingservice/files/7bc846e0-af9c-49be-a03d-bb04428c9bb5/Microsoft.png?cacheHostOrigin=dl.delivery.mp.microsoft.com 来验证客户端到缓存节点主机是否正常。

完成上述操作和验证，当前缓存节点主机即高创建和配置完毕，接下来我们要将其分发给客户端来使用。转到 Intune Portal 为设备创建传递优化配置，通过设置目录查找 DOCacheHost 或 DOCacheHostSource 根据需要进行配置。对于 DOCacheHost 我们可以指定一个或多个以逗号分隔的缓存节点主机，这些缓存节点主机的名称可以是 FQDN 或 IP 地址。对于 DOCacheHostSource 提供了两个配置项：1 = DHCP 选项 235；2 = DHCP 选项 235 强制，其中后者 2 配置可覆盖 DOCacheHost 配置。如果配置了 DOCacheHostSource 还必须为组织本地网络配置 DHCP 235 选项，可参考下图。具体应该采用哪个配置方案，还要根据实际环境来决策！

对应的 GPO 配置可参考下图，位于“计算机配置 - 管理模板 - Windows 组件 - 传递优化”。

对于 DOCacheHostSource，我们可能需要在特定环境中使用注册表来实现，该键值信息如下：

"HKLM\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" /f /v DOCacheHostSource /t REG_DWORD /d 2

此外，我们可以配置 DelayCacheServerFallbackBackground 和 DelayCacheServerFallbackForeground 延迟策略，来提高从网络缓存主机拉取数据的机会，根据推荐后台和前台建议分别是 60 秒和 30 秒。

最后，如果我们需要在后续检查和监视 MCC 的运行情况，都可以在 Azure Portal MCC 资源的概述和监视中对其进行监控。

Improve P2P efficiency | Microsoft Learn

Types of download content supported by Delivery Optimization | Microsoft Learn

Optimize Windows Autopilot bandwidth use with Connected Cache | Windows IT Pro Blog

Microsoft Connected Cache for Enterprise Frequently Asked Questions | Micrososft Learn

Troubleshoot Microsoft Connected Cache for Enterprise and Education | Microsoft Learn

适用于企业和教育的 Microsoft Connected Cache

Mon, 21 Jul 2025 14:52:05 +0000

适用于企业和教育的 Microsoft Connected Cache

前面 gOxiA 已经分享了 “Microsoft Connected - 概述”，今天我们继续学习探讨适用于企业和教育的 Microsoft Connected Cache（MCC），作为一种纯软件缓存解决方案，其当前主要支持以下应用场景：

Windows Autopilot 部署方案
从 Microsoft Intune 获取每月更新或 Win32 应用，适用于纯云或混合模式

对于没有大带宽 Internet 连接，且没有专用服务器硬件，仅包含 10 - 50 台 Windows 终端设备的分公司，可以利用 Windows 11 作为缓存节点；而那些大型企业环境或组织分支，如 100 -1000 台设备，可利用或部署的服务器硬件，则可以在 Windows Server 2022 及更高版本，或 Ubuntu 24.04 上部署缓存节点。

要实施应用适用于企业和教育的 MCC，我们需要满足以下各项条件：

许可证：

1. 有效的 Azure 订阅，需要用于创建适用于企业和教育的 MCC

2. 在当前公共预览版阶段，用于连接缓存的 Azure 资源将免费提供

3. 客户端设备必须使用 Windows 企业版 E3/E5，包含在 Microsoft 365 F3/E/E5 中；对于教育用户则需要 Windows 教育版 A3/A5，包含在 Microsoft 365 A3 或 A5 中

缓存节点主机：

1. 在安装最新版的 MCC 之前，必须从主机上卸载任何以前安装的 Connected Cache

2. 主机访问的相关终结点必须在企业出口放行，具体可参考：https://learn.microsoft.com/en-us/windows/deployment/do/delivery-optimization-endpoints

3. 保留 80 端口不被占用

4. 主机必须至少 4GB 的可用内存

5. 对于 Windows 缓存节点主机，Windows 11 必须为 22631.3296 及更高版本；Windows Server 2022 必须为 20348.2227 或更高版本。Windows 主机还必须支持嵌套虚拟化，确保其相关安全设置的启用不被影响。必须为 Windows 缓存节点主机安装 WSL 2。

6. 对于 Linux 缓存节点主机，操作系统需 Ubuntu 24.04，或 RHEL 8.x 或 9.x（容器引擎必须替换为 Moby，其默认为 Podman）

此外，还需要注意在缓存节点主机上不支持多宿主接口，NIC 应确保不低于 1Gbps，且支持 SR-IOV 以获得最佳性能，以下是推荐的几个场景的配置。

1. 分公司，CPU 内核 ≥ 4，内存 8GB 其中可用 4GB，硬盘 100GB 可用空间，1Gbps 带宽

2. 中小型企业，CPU 内核 ≥ 8，内存 16GB 其中可用 4GB，500GB 可用硬盘空间，5Gbps 带宽

3. 大型企业，CPU 内核 ≥ 16，内存 32GB 其中可用 4GB，2块 200 ~ 500GB 硬盘空间，10Gbps 带宽

综上，gOxiA 个人见解直接部署 Ubuntu 缓存节点主机是最佳的选择，后面我们将继续探讨如何上手创建基于 Ubuntu 的 MCC 缓存节点主机。

Microsoft Connected Cache for Enterprise and Education Requirements | Microsoft Learn

Microsoft Connected Cache - 概述

Thu, 17 Jul 2025 05:13:25 +0000

Microsoft Connected Cache - 概述

什么是 Microsoft Connected Cache（微软连接缓存，以下简称 MCC）？！首先它基于 Azure，但通常部署在本地网络中，是一种用于 Microsoft 软件内容和更新的缓存解决方案。

MCC 当前提供了两种服务，需要注意的是它们都还处于预览阶段，创建和管理 MCC 都需要通过 Azure 管理门户，所以我们可以在 Azure 市场中找到并创建它们。

适用于 Internet 服务提供商的 MCC - Microsoft Connected Cache for ISPs
适用于企业和教育的 MCC - Microsoft Connected Cache for Enterprise and Education

当 MCC 在 Azure 中创建完毕即可获取部署所需的数据，在本地网络中根据需要部署任意数量的服务器，它们可以是物理机，也可以是一台虚拟机，支持 Windows 或 Linux 系统。

MCC 的优势显而易见：

1. 减少了主干网络的负载，据称可达到 98% 以上的缓存命中率。

2. 不需要内容管理，透明、智能的缓存，并且拉取模型仅缓存网络上设备使用的内容。

3. 可根据需要灵活部署到任意数量的物理或虚拟服务器上。

4. 提升了下载体验，应用了 MCC 后，那些数据离用户更近了，不再受出口网络的影响，使下载速度更快，下载成功率更高。

对于 Microsoft Connected Cache for ISPs，其面向 Internet 服务提供商，如：联通、电信和移动它们。通过 Azure 门户为本地网络创建了缓存节点后，并配置为通过 CIDR 或 BGP 路由将流量传递给客户。这样一来当终端用户需要访问或下载微软软件内容和更新时就会通过这些缓存节点下载数据，从而帮助减少对网络带宽的使用量。Microsoft Connected Cache for ISPs 支持以下内容的缓存：

Windows Upadte：Windows 功能和质量更新
Office Click-to-run：Microsoft 365 应用版和其更新
Client apps：Intune、应用商店里的应用和更新
Endpoint protection：Windows Defender 定义更新
Xbox：Xbox Game Pass（Only PC）

Microsoft Connected Cache for ISPs 工作原理：

有关其详细介绍可参考：Microsoft Connected Cache for ISPs overview | Microsoft Learn

而 Microsoft Connected Cache for Enterprise and Education 是一种仅限软件的缓存解决方案，面向组织用户，如：企业或教育。同样需要通过 Azure 门户来创建本地缓存节点，然后通过 Intune，或 DHCP，也可以通过注册表来配置 DOCacheHost 设置，实现客户端识别和访问 MCC 缓存节点。Microsoft Connected Cache for Enterprise and Education 支持以下内容的缓存：

Windows Upadte：Windows 功能和质量更新
Office Click-to-run：Microsoft 365 应用版和其更新
Client apps：Intune、应用商店里的应用和更新
Endpoint protection：Windows Defender 定义更新

Microsoft Connected Cache for Enterprise and Education 工作原理：

Microsoft Connected Cache for Enterprise and Education 非常适合部署在使用现代管理方式的组织中，可极大地优化 Intune 和 Windows Autopilot 的带宽使用，此外 ConfigMgr 也支持使用 MCC（可参考：Microsoft Connected Cache with Configuration Manager | Microsoft Learn）。

后续我们将着重学习和探讨 Microsoft Connected Cache for Enterprise and Education，gOxiA 会继续分享先相关日志，敬请关注！

Microsoft Connected Cache content and services endpoints | Microsoft Learn

HOWTO: 为 64位 Arm 架构启用 Windows 热补丁

Wed, 16 Jul 2025 05:19:24 +0000

HOWTO: 为 64位 Arm 架构启用 Windows 热补丁

适用于 Windows 11 24H2 Arm64 的热补丁现已正式发布，借助热补丁 IT 现在可以快速实施补丁的更新，帮助终端设备免受安全问题带来的影响，同时还能最大限度地降低用户中断时间。是的，在过去我们每次安装完 Windows 更新都要面临设备重启的问题，现在有了热补丁无需重启设备即可安装更新并生效。

要为设备启用热补丁需要一些前置条件：

1. Windows 11 24H2 企业版，26100.2033 或更高版本

2. 设备必须采用最新的基线版本才能获得热补丁更新。微软通常按季度发布基线更新作为标准累计更新。

热补丁的发行周期可参考下表：
基线：包含最新的安全修补程序、累计新功能和增强功能，需要重启。
热补丁：包含安全更新，无需重启。
季度
基线更新
热补丁
1
1月
2月和3月
2
4月
5月和6月
3
7月
8月和9月
4
10月
11月和12月

3. 符合条件的许可证之一：Windows 11 企业版 E3或 E5，Microsoft 365 F3，Windows 11 教育版 A3 或 A5，Microsoft 365 商业高级版或 Windows 365 企业版。

4. 通过 Microsoft Intune 管理 Windows Update

5. 设备启用基于虚拟化的安全性（VBS）

6. 对于 Arm64 设备需要禁用其 CHPE。（CHPE 是一种新型的 PE 文件，我们只需要理解它会同时包含像 x86 和 Arm64 这样的代码，且 x86 仿真进程和 Arm64 本机进程都可以使用，从而提升仿真器的性能。）

以上前置条件中，之所以要为 Arm64 设备禁用 CHPE 是因为目前热补丁与 CHPE OS 二进制文件“%SystemRoot%\SyChpe32”还不兼容。要禁用 CHPE 也非常方便，只需要在 Intune 中下发一条策略即可，为此我们转到 Intune 管理门户，为设备创建一个基于“设置目录”的配置文件，搜索 CHPE 即可找到"Disable CHPE"，将其配置为“CHPE Binaries Disabled”。

该配置对应的 CSP 如下：

./Device/Vendor/MSFT/Policy/Config/Hotpatch/DisableCHPE，Int，0（启用 - 默认） or 1（禁用）

注册表路径如下：

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions = 1

当为 Arm64 设备下发了 DisableCHPE 配置文件后，便可以修改现有或创建新的 Windows Update 的质量更新策略，如下图所示，我们仅需要确保“如果可用，请在不重启设备的情况下应用（“热补丁”）”设置为“启用状态”，并将其指派给需要热补丁的 Arm64 设备组即可。

推荐参考：

HOWTO: 使用 Intune 管理 Windows存储感知

Mon, 14 Jul 2025 04:42:29 +0000

HOWTO: 使用 Intune 管理 Windows 存储感知

存储感知（Storage Sense）是一项重要的 Windows 功能，它能够帮助我们自动释放硬盘空间，在固态硬盘以及云存储普及初期，存储感知为用户带来了极大的便利性，在硬盘空间不足时存储感知自动运行，清理掉那些在一段时间不用的文件，例如回收站、下载文件夹，以及 OneDrive 云存储中的文件。

我们要检查和配置存储感知，只需要打开“设置 - 系统 - 存储”即可看到“存储感知”设置。

在上图中我们可以留意底部的设置，“Fan - 个人” 是 gOxiA 的 OneDrive 云存储，默认释放阈值是 30 天，这意味着 30 天里未使用过的云文件将会从硬盘占用空间中被释放掉，以回收更多的存储空间。前面讲过在过去我们的 SSD 固态硬盘可能并不大，128GB 或 256GB，即使再大达到 512GB，也可能无法应对日益暴增的云存储容量，所以我们需要利用存储感知来帮助我们释放那些已经不再活跃的云文件。但是，现金越来越多的笔记本电脑或台式机使用大容量的 SSD 固态硬盘，并且我们有时可能需要确保本地保留完整的云数据，便于整理或查询，那么存储感知可能会对我们造成些许小困扰。拿前一段时间的经历举例，家中的工作站有几个TB的存储空间，OneDrive 存储已经使用了 1.2TB，其中大多数是照片和视频，此时希望能快速查阅和整理它们，gOxiA 便使用 OneDrive 设置中的 “下载所有文件” 将保存到 OneDrive 全部同步到本地，确保任何时候都可以从本地使用这些文件，同样也提升了照片查阅和管理的效率。此时 OneDrive “下载所有文件” 并不会影响到存储感知的配置，所以在30天后存储感知清理了那些未使用过的文件，尤其是当 gOxiA 长期出差在外回家打开电脑登录桌面后，结果可想而知！

对于企业环境，员工将云文件始终保留在本地的需求也在日益增长，此时 IT 就需要对终端设备进行统一的配置以满足需求，对于现代管理方式，我们可以通过 Intune 提供的“设置目录”对存储感知进行配置，首先创建一个配置文件，选择“Windows 10 及更高版本” 平台，然后选择“设置目录”，并创建配置文件，随后起一个便于识别的名字，然后添加设置，我们可以在搜索框中直接键入“Storage”进行搜索，然后在结果中找到“存储”类别，便可看到那些可选的设置，如下图所示。

根据需要我们可以配置：

配置存储感知（回收站清理阈值），可配置为0-365天，0 将不删除回收站中的内容

CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseRecycleBinCleanupThreshold，Int，0 - 365（默认值30）

配置存储感知（全局 Cadence），1 - 每天；7 - 一周；30 - 一个月；0 - 可用磁盘空间不足时

CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseGlobalCadence，Int，0（在可用磁盘空间不足时 - 默认）or 1（每天）or 7（每周）or 30（每月）

配置存储感知（云内容冻结阈值）：可配置为0-365天，0 将不释放 OneDrive 中的内容

CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseCloudContentDehydrationThreshold，Int，0（默认）- 365

配置存储感知（下载清理阈值）：0-365天，0 将不删除下载文件夹中的内容

CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseDownloadsCleanupThreshold，Int，0（默认）- 365

允许存储感知（全局）：阻止；允许

CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/AllowStorageSenseGlobal，Int，0（阻止 - 默认值）or 1（允许）

允许存储感知（临时文件清理）：阻止；允许

CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/AllowStorageSenseTemporaryFilesCleanup，Int，0（阻止）or 1（允许 - 默认值）

有关 CSP 的详细信息可参考：https://learn.microsoft.com/zh-cn/windows/client-management/mdm/policy-csp-storage#configstoragesenserecyclebincleanupthreshold

对于需要组策略（GPO）管理的 IT 环境，可以在“计算机配置 - 管理模板 - 系统 - 存储感知”中找到相关配置，可参考下图。

有关使用存储感知管理驱动器空间，可参考：

https://support.microsoft.com/zh-cn/windows/%E4%BD%BF%E7%94%A8%E5%AD%98%E5%82%A8%E6%84%9F%E7%9F%A5%E7%AE%A1%E7%90%86%E9%A9%B1%E5%8A%A8%E5%99%A8%E7%A9%BA%E9%97%B4-654f6ada-7bfc-45e5-966b-e24aded96ad5

Windows 11 25H2 将会支持移除内置应用

Sun, 13 Jul 2025 11:37:55 +0000

Windows 11 25H2 将会支持移除内置应用

在企业环境下部署 Windows 时，IT 人员可能会希望移除系统内置的应用，比如 Xbox，纸牌游戏等。在过去通常会通过脚本方式执行该项操作，gOxiA 也曾写过几篇相关的日志“HOWTO: 使用 Windows 10 预配包为用户卸载内置应用”和“HOWTO: 卸载 Windows 10 内置应用”。但微软将会在未来的 Windows 版本中原生支持移除内置应用，如果你正在使用开发通道的 Windows 11 预览版，已经可以在组策略中看到该选项，它位于“计算机配置 - 管理模板 - Windows 组件 - 应用程序包部署”下，名为“Remove Default Microsoft Store packages from the system.”，如下图所示：

当我们启用这条策略后，将会在选项中看到可以被移除的内置应用列表，只需要勾选需要移除的内置应用即可，这一举措为企业 IT 提供了极大的便利性，简化了部署流程，提升了稳定性和安全性。

接下来我们进一步探索这个策略，当它启用后将会在注册表生成一些信息：

1. 创建 HKLM\SOFTWARE\Policies\Microsoft\Windows\Appx\RemoveDefaultMicrosoftStorePackages 注册表项

2. 其下会创建一个键值，Enabled REG_DWORD 0x00000001 (1)

3. 然后会为每个可以移除的内置应用创建对应的以 AUMID 命名的项

4. 如果我们勾选了某个要移除的应用，那么在注册表对应的项下会将 RemovePackage 键值改为 0x00000001 (1)

目前从列表及注册表中可看到的能够被移除的内置应用包含以下：

Clipchamp.Clipchamp_yxz26nhyzhsrt
Microsoft.BingNews_8wekyb3d8bbwe
Microsoft.BingWeather_8wekyb3d8bbwe
Microsoft.GamingApp_8wekyb3d8bbwe
Microsoft.MediaPlayer_8wekyb3d8bbwe
Microsoft.MicrosoftOfficeHub_8wekyb3d8bbwe
Microsoft.MicrosoftSolitaireCollection_8wekyb3d8bbwe
Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe
Microsoft.OutlookForWindows_8wekyb3d8bbwe
Microsoft.Paint_8wekyb3d8bbwe
Microsoft.ScreenSketch_8wekyb3d8bbwe
Microsoft.Todos_8wekyb3d8bbwe
Microsoft.Windows.Photos_8wekyb3d8bbwe
Microsoft.WindowsCalculator_8wekyb3d8bbwe
Microsoft.WindowsCamera_8wekyb3d8bbwe
Microsoft.WindowsFeedbackHub_8wekyb3d8bbwe
Microsoft.WindowsNotepad_8wekyb3d8bbwe
Microsoft.WindowsSoundRecorder_8wekyb3d8bbwe
Microsoft.WindowsTerminal_8wekyb3d8bbwe
Microsoft.Xbox.TCUI_8wekyb3d8bbwe
Microsoft.XboxGamingOverlay_8wekyb3d8bbwe
Microsoft.XboxIdentityProvider_8wekyb3d8bbwe
Microsoft.XboxSpeechToTextOverlay_8wekyb3d8bbwe
MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe
MSTeams_8wekyb3d8bbwe

对于现代管理 - Intune，目前 CSP 虽然还没有提供对应的配置策略，但理论上应该会启用以下路径配置，期待后续官方更新。https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-applicationmanagement#disablestoreoriginatedapps

./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/RemoveDefaultMicrosoftStorePackages

Windows 10 生命周期即将结束，企业将迎来大规模的 Windows 11 升迁，Windows 11 25H2 的全新更新特性也许是 IT 的一次契机，持续关注后续分享！！！

带有翻译的 Windows 实时字幕功能

Tue, 27 May 2025 13:54:00 +0000

带有翻译的 Windows 实时字幕功能

很久没有分享日志，也不是没有内容可写，倒还真的积攒了不少，就是想短暂的停笔一段时间。但今天一定要分享的内容来自一个今天中午刚刚发生且真实的故事，特别奇妙的经历很有意思就想分享出来。

Windows 11 24H2 正式发布已经有半年多的时间，发布之际有不少 AI 功能吸引着大家，尤其是带有翻译的实时字幕功能，当时虽然仅支持40+种语言翻译为英文，但已经是非常令人惊叹的！！！如果你是一名 ITPro 并关注 Windows 11 的更新，应该会留意到 2025年3月27日发布的 KB5053656，这个月度累计更新是一个 Preview 类型更新，但即使你不在 Preview Channel 也会看到它作为可选更新供用户选择安装，类似如下：

KB5053656 将系统版本带到了 26100.3624，对于中文用户它绝对是一个里程碑！因为其中包含了一个重要的功能 - 实时字幕开始支持20+种语言到简体中文的翻译！！！如果你关注能够翻译的成简体中文的语言列表，那以下信息不要错误。

在 Snapdragon 的 Copilot+ PC 上，支持将：阿拉伯语、保加利亚语、捷克语、丹麦语、德语、希腊语、英语、爱沙尼亚语、芬兰语、法语、印地语、匈牙利语、意大利语、日语、韩语、立陶宛语、挪威语、荷兰语、葡萄牙语、罗马尼亚语、俄语、斯洛伐克语、斯洛文尼亚语、西班牙语和瑞典语，翻译为简体中文。

是的你没有看错，以上这些语言可以被实时的翻译为简体中文，并且不需要依赖网络，它会利用 Windows 11 24H2 内置的 AI 引擎，调控针对 Snapdragon 优化的内置 AI 模型，通过本地 NPU 惊人的神经网络计算能力实现实时翻译！

那带有翻译的 Windows 实时字幕功能又与要分享的真实故事有什么关系呢？！

故事是这样的，今天中午 gOxiA 激活了一个某厂产品组的采访调研链接，随后是一段英文语音，可以听出来它来自一个 AI 虚拟主持人发出的声音，不生硬的语气语调显得非常自然，发音清晰标准！gOxiA 也是一惊，塑料级英语水平怎能应对这一套对话，回过神来凭着肌肉记忆赶紧按下了 Ctrl + Win + L 热键，立刻激活了 Windows 实时字幕，随即又使用中文请 AI 主持人重复一下刚才的话，自此便开始了一段奇妙的语言对话旅程！

AI 主持人使用英语，我使用汉语，全程近20分钟！丝毫没有卡顿，没有云天雾地的感觉，很自然的对话，她能听懂我的每一次回答或疑问，并能根据我的回答做下一段的调研，我这边通过 Windows 实时字幕翻译也能理解她所调研的内容，当看不明白或不理解时我也使用汉语去再次寻求确认，而对方也都能理解并重新提问。在这近20分钟显得那么自然流畅，期间我情不自禁的夸耀了 AI 和微软所带来的生活和工作改变，感谢赋能每一个人，拉近了彼此的距离，并讲了本次对话就是一次飞跃！

这段突如其来的 AI 奇妙经历，不尴尬不冷场不中断，好像一切都近乎一次愉悦的自然的人人采访，虽然彼此使用不同的语言……

如果你有机会，请一定要试一试体验一次类似的对话场景！我相信会感受到 AI 所带来的切切实实的震撼和帮助！

文末，特别推荐一下 Windows Roadmap，除了时不时看看 Windows 11 的更新记录，这个 Windows Roadmap 会记录每个功能的进展！此外，Windows 11 24H2 最新的月度累积更新已经在5月13日发布，KB5058411，版本为 26100.4061 它是一个正式更新，并包含了之前的月度累计更新所包含的功能。

https://www.microsoft.com/en-us/windows/business/roadmap

使用 Windows Update for Business 管理设备驱动更新

Sat, 01 Mar 2025 10:35:55 +0000

使用 Windows Update for Business 管理设备驱动更新

是时候考虑向云更新工具过渡了，除了我们的 Windows 系统更新，设备驱动也该如此。如果你的组织正在计划通过一种现代手段来管理设备驱动更新，那 Windows Update for Business 绝对 gOxiA 首推的云工具/服务。

Windows Update for Business (以下简称：WUfB) 基于云的 Windows 系统更新服务，除了提供 Windows 质量更新、功能更新以外，还提供了驱动程序更新，这将使组织内的设备始终保持最新的状态。在过去我们在部署系统映像时需要基于驱动程序标准化最佳实践，将各种型号的设备驱动集中起来，分厂商型号或分类进行管理，然后再通过部署平台随系统映像一同部署，但在之后的时间里，那些设备驱动将始终保持在最初的版本，一旦驱动因为性能、兼容性和安全问题需要更新时，组织内的 IT 人员将承受巨大的压力和工作量。也许我们会通过设备厂商提供的专用更新程序，但总体来说无疑增加了无形的成本，对最终用户的体验也并非绝对的好。

当下，设备应用环境更新复杂，面对的挑战也更多，组织基于安全考虑，需要开始不断的进行设备驱动乃至固件的更新维护工作，此时就需要一套完善易用的方案。正如 gOxiA 前面所介绍的，WUfB 将是组织的首选，尤其是那些已经在使用现代管理方案 - Intune 的组织。

今天就跟随 gOxiA 快速上手 WUfB 管理设备驱动更新，你将发现原来一切都是那么简单轻松！！！

首先，我们要做一些准备工作，将组织内的设备进行汇总，确认其 deviceManufacturer 和 deviceModel 名称，这样我没就可以为每个具体型号的设备创建一个设备组用来接收驱动更新。对于已经注册到 Intune 的设备，我们可以检查设备的硬件属性，其中就包含了 deviceManufacturer (制造商) 和 deviceModel (模型) 名称。否则我们使用 WMIC 命令在端点设备上提取，命令为：wmic csproduct；如果你的组织设备已经升级到最新版的 Windows 11 24H2，请使用 PowerShell 命令提取，即：Get-CimInstance -ClassName Win32_ComputerSystemProduct

收集了设备必要的信息后，我们便可以访问 Intune Portal 创建一个“动态设备”类型的“安全组”，参考如下：

该设备组名为“ThinkStation P360U”，使用动态查询会自动将所有符合的设备自动匹配到该组，此时就会用上我们前面收集到的信息，deviceManufacturer Equals Lenovo；deviceModel Equals 30G2A00RCW，参考如下图：

接下来，我们从 Intune Portal 左侧的导航列表找到“设备”，并转至其下的“Windows 更新”，创建“驱动程序更新”。

这里允许选择创建两种类型的配置文件，一种是“自动批准所有推荐的驱动程序更新”；还有一种“手动批准和部署驱动程序更新”。先说前者，理解起来很简单，由 WUfB 推送的所有推荐的驱动程序更新都将自动审批并推送给最终的设备组，此外我们还可以配置在几天后可用，这样便有了一个缓冲期。对于那些“其他驱动程序”类型的驱动，仍将需要 IT 管理员手动审批。

手动批准和部署驱动程序更新的策略则需要 IT 管理员手动一个一个审批那些推荐的驱动程序。

为不同的设备组即不同型号的设备创建策略后，一单该组包含了设备，便会开始检索该设备所匹配的驱动，该组无设备时将不会生成驱动相关的数据。为了遵循设备驱动仅安装厂商针对该型号设备发布的驱动程序最佳实践原则，应该为每个设备型号创建一个设备组并分配一个驱动更新策略。

OK，今天的分享也到到此结束，不用担心 WUfB 的驱动程序质量，因为现代设备的驱动都会通过 WHQL 认证，由设备厂商发布到 WUfB，并且微软也会对其进行安全验证。通过 WUfB 管理设备的驱动更新，IT 人员的精力能够得到释放，去专注更有价值的工作，设备的驱动和固件的更新都将通过 WUfB 推送给端点设备并根据策略执行部署，一切都将变得如此轻松！！！

HOWTO: 使用 Intune 配置多显示器策略

Sat, 22 Feb 2025 04:14:59 +0000

HOWTO: 使用 Intune 配置多显示器策略

组织用户每天都在忙碌着，可能穿梭在多个会议室之间，或参加各种公开活动，当我们外接显示器或大型投屏设备时可能并不会留心最小化所有打开的文件，这些文件可能是一些机密的或很有隐私性的，想想吧！！！结果会怎样？？？

用户总在抱怨他们不是专业的 IT 人员，对设备和系统的使用并不会面面俱到，它们更关注于自己的本职工作。此时是组织 ITPro 出场的时刻了，要么不断宣讲和传授安全知识以及系统使用技巧，要么通过一种标准的配置方法去帮助用户实现那些并不在意但又非常重要的操作。

如果你的组织正在使用 Intune 这类现代管理平台，请留意 Intune 在 2025年2月5日发布的功能更新（服务版本 2501），其中包含了一个新的设备配置支持，可用于配置多个显示模式，如：仅允许内置显示器，或外置显示器，或复制模式和扩展模式。这一配置将简化用户的配置过程，不仅提升了使用体验，还可确保“尴尬”发生。

接下来就跟随 gOxiA 做一次实践。首先打开 Intune Portal，在左侧导航栏找到并进入“设备”，然后转到“管理设备”下的“配置”页面，并创建一个新策略。这条用于配置多个显示模式的策略平台为“Windows 10 及更高版本”，配置文件类型为“设置目录”。

之后，跟随向导创建配置文件，起一个便于识别的策略名称。在“配置设置”这里点击“添加设置”，可以通过搜索“Configure Multiple Display Mode”快速找到，它位于“显示器”类别。

根据组织的标准选择一个默认的模式，我个人更倾向于“Extend”来实践，它既允许用户快速扩展屏幕，又能确保安全行。需要注意，在配置页面中提供了五个选项供我们选择。

组织 IT 也可以直接通过 CSP ConfigureMultipleDisplayMode 进行配置，以下配置信息。

./Device/Vendor/MSFT/Policy/Config/Display/ConfigureMultipleDisplayMode

属性格式：Int

允许的值：0（默认值），1（复制），2（扩展）

HOWTO: 在全新部署 ConfigMgr TechPreview2411 时解决 SQL RMO 无法安装的问题

Thu, 16 Jan 2025 12:01:05 +0000

HOWTO: 在全新部署 ConfigMgr TechPreview2411 时解决 SQL RMO 无法安装的问题

今天快速分享一个 ConfigMgr 部署时遇到的小问题，ConfigMgr TechPreview2411 发布有一段时间，在该版本总提供了一些新的功能特性，我们可以先简要了解一下。

主要增加了对 Windows 11 24H2 和 Windows Server 2025 的支持。

Windows 11 24H2 和 Windows Server 2025 已添加到产品生命周期仪表板和支持的平台。
添加了 Windows 11 24H2 和 Windows Server 2025 客户端支持。
Windows Server 2025 上的 CM 中的启用映像现在支持最新的 Windows ADK。
Windows 升级就绪仪表板现在支持 Windows 11 24H2 来升级客户端。

需要注意：Windows Server 和 Windows 11 24H2 不支持防火墙规则。这会导致 ConfigMgr Applet 出现不合规状态。

CMG（Cloud Management Gateway）增强的安全性，现在 CMG 安装程序使用托管标识的第三方服务器应用与 CMG 的 Azure 存储账户交互，而不是存储账户密钥。对于从早期版本升级到 4311tp 的场景，CMG 增强安全性按钮显示为已启用。CMG Entra 应用程序密钥续订功能包含四个选项。此更新还阻止超过 800 天续订其密钥。
SQL 2012 和 2014 支持已弃用，从此版本开始，ConfigMgr 不再支持 SQL Server 2012 和 2014 版本。需要升级到最新的 SQL 版本或至少 SQL Server 2016。如果不升级，CM 升级将被阻止，并在预发布检查期间提示错误。
Arm64 设备中的软件计数支持，ConfigMgr 现在支持 Arm64 设备的软件计数。软件计数用于监视文件名以 .exe 结尾的 Windows 电脑桌面应用。

最近 gOxiA 在进行 Windows 11 24H2 部署相关的测试，所以搭建了一套基础环境用于全新部署 ConfigMgr TechPreview2411。安装准备过程比较顺利，但等到开始安装后没多久便会提示安装失败，具体报错如下图所示。

从报错看是在执行 SQL RMO 安装时发生了错误，打开 ConfigMgrSetup.log 可以确认 CM Downloads 中的 msoledbsql.msi 安装失败。回顾之前的准备工作也都是按照提示一步步执行的应该不会有什么问题啊？！随即手动安装 msoledbsql.msi 测试，发现提示 VC++ 2022 Redistributable 版本过低，要求 14.34 或更高版本。

回顾之前的准备过程，在启动 ConfigMgr 安装程序时会提示需要先安装 Microsoft ODBC driver for SQL Server Setup，但要安装这个程序则需要先安装 VC++ 2017，而向导提供的安装包版本为 14.16.27052.0，低于 msoledbsql.msi 所要求的最低 14.34 版本。

按照最后提示的 VC++ 下载地址（https://go.microsoft.com/fwlink/?linkid=2219560）进行安装，仍旧提示失败！！！难道是需要 x86 版本？！随即测试验证通过，问题得以解决。总结一下个人感觉 ConfigMgr 非常庞大且复杂，其中涉及方方面面的很多细节不容忽视，稍有不慎就会引发各种各样的问题，所以熟读官方文档，反复测试积累经验，还是非常有必要的。

季度	基线更新	热补丁
1	1月	2月和3月
2	4月	5月和6月
3	7月	8月和9月
4	10月	11月和12月