Windows10-Konfigurationsempfehlungen für Kunden im Bildungsbereich

Betrifft:

  • Windows 10

Der Datenschutz ist uns wichtig, daher erhalten Sie von uns Methoden zum Anpassen von BS-Diagnosedaten, Anwenderfeatures, Cortana, der Suchfunktion, sowie einigen der vorinstallierten Apps für die Verwendung Education-Editionen von Windows10 in Umgebungen im Bildungswesen. Diese Features funktionieren in allen Editionen von Windows10. Bei Education-Editionen von Windows10 sind diese Einstellungen jedoch vorkonfiguriert. Es wird empfohlen, das alle Windows10-Geräte in einer Bildungseinrichtung mit aktiviertem SetEduPolicies konfiguriert werden. Weitere Informationen hierzu finden Sie in der folgenden Tabelle. Weitere Informationen zu Microsofts Verpflichtung zu Sicherheit und Datenschutz in Windows10 finden Sie unter Sicherheit und Datenschutz.

Wir möchten, dass alle Studenten die Möglichkeit haben, die Apps zu verwenden, die sie für den Erfolg benötigen und alle Schulmitarbeitern den Apps nutzen können, die sie für ihre Arbeit benötigen. Studenten und Schulmitarbeiter, die Hilfstechnologien-Apps verwenden, die im Microsoft Store für Bildungseinrichtungen nicht verfügbar sind, und Geräte mit Windows10 S nutzen, können das Gerät ohne zusätzliche Kosten für Windows10 Pro Education konfigurieren. Weitere Informationen zu den Schrittenfür die Konfiguration finden Sie unter Wechseln Sie zu Windows10 Pro Education von Windows10 Pro oder Windows10 S.

Windows10, Version 1703 (Creators Update) lässt sich problemlos für den Einsatz in Bildungseinrichtungen konfigurieren.

Bereich Konfiguration Auswirkung Windows 10 Education Windows 10 Pro Education Windows10 S
Diagnosedaten AllowTelemetry Konfiguriert grundlegende Diagnosedaten Dies ist bereits festgelegt Dies ist bereits festgelegt Die Richtlinie muss festgelegt werden
Microsoft-Anwenderfeatures SetEduPolicies Deaktiviert von Windows vorgeschlagene Inhalte, z.B. App-Empfehlungen Dies ist bereits festgelegt Dies ist bereits festgelegt Die Richtlinie muss festgelegt werden
Cortana AllowCortana Deaktiviert Cortana
* Cortana ist in Windows10, Version 1703 standardmäßig in allen Editionen aktiviert.
Wenn Sie Windows10 Pro Education verwenden und ein Upgrade von Windows10, Version 1607 auf Windows10, Version 1703 durchführen, wird Cortana aktiviert.
Weitere Informationen finden Sie unter der Empfohlene Konfiguration im folgenden Abschnitt zu empfohlenen Cortana-Einstellungen.
Wenn Sie Windows10 Pro Education verwenden und ein Upgrade von Windows10, Version 1607 auf Windows10, Version 1703 durchführen, wird Cortana aktiviert.
Weitere Informationen finden Sie unter der Empfohlene Konfiguration im folgenden Abschnitt zu empfohlenen Cortana-Einstellungen.
Weitere Informationen finden Sie unter der Empfohlene Konfiguration im folgenden Abschnitt zu empfohlenen Cortana-Einstellungen.
Sichere Suche SetEduPolicies Erzwingt den strengen Modus für die sichere Bing-Suche in Microsoft Edge Dies ist bereits festgelegt Dies ist bereits festgelegt Die Richtlinie muss festgelegt werden
Werbeeinblendungen in der Bing-Suche Werbungsfreie Suche mit Bing Deaktiviert Werbeeinblendungen, wenn Sie das Internet mit Bing in Microsoft Edge durchsuchen Je nach Ihren Anforderungen gibt es verschiedene Möglichkeiten, diese Funktion wie unter Werbungsfreie Suche mit Bing zu konfigurieren. Je nach Ihren Anforderungen gibt es verschiedene Möglichkeiten, diese Funktion wie unter Werbungsfreie Suche mit Bing zu konfigurieren. Je nach Ihren Anforderungen gibt es verschiedene Möglichkeiten, diese Funktion wie unter Werbungsfreie Suche mit Bing zu konfigurieren.
Apps SetEduPolicies Vorinstallierte Apps wie Microsoft Edge, Filme & TV, Groove und Skype werden für den Einsatz im Bildungsbereich vorbereitet
* Apps erkennen anhand von IsEducationEnvironment, ob Windows in einer Bildungsumgebung ausgeführt wird
Dies ist bereits festgelegt Dies ist bereits festgelegt Die Richtlinie muss festgelegt werden

Empfohlene Konfiguration

Microsoft-Produkte lassen sich problemlos auf den Einsatz im Bildungsbereich vorbereiten. Wir empfehlen die folgende Konfiguration:

  1. Verwenden Sie einen Office365 Education-Mandanten.

    Mit Office365 steht Ihnen auch Azure Active Directory (Azure AD) zur Verfügung. Weitere Informationen zu Features und Preisen von Office365 Education finden Sie unter Pläne und Preise für Office 365 Education.

  2. Aktivieren Sie Intune für Bildungseinrichtungen in Ihrem Mandanten.

    Registrieren Sie sich, um weitere Informationen zu Intune für Bildungseinrichtungen zu erhalten.

  3. Auf PCs unter Windows 10 Pro, Version 1703:

    1. Stellen Sie den PC mit einer der folgenden Methoden bereit:
    2. Registrieren Sie den PC in Azure Active Directory.
      • Verwenden Sie die App "Set up School PCs" oder den Windows-Konfigurations-Designer für die massenhafte Registrierung in Azure AD.
      • Registrieren Sie den PC beim Windows-Gerätesetup manuell in Azure AD.
    3. Registrieren Sie die PCs in MDM.
      • Wenn Sie Intune für Bildungseinrichtungen in Ihrem Azure AD-Mandanten aktiviert haben, erfolgt die Registrierung automatisch, wenn der PC mit Azure AD verknüpft wird. Intune für Bildungseinrichtungen legt SetEduPolicies automatisch auf „true“ und AllowCortana auf „false“ fest.
    4. Stellen Sie sicher, unterstützende Apps verwendet werden können.
      • Wenn Sie Schüler oder Schulmitarbeiter haben, die Hilfstechnologie-Apps benötigen, die im Microsoft Store für Bildungseinrichtungen nicht verfügbar sind, und die ein Windows10 S-Gerät verwenden, konfigurieren Sie das Gerät für Windows10 Pro Education, um den Download und die Verwendung von Microsoft Store Hilfstechnologie Apps zu ermöglichen. Weitere Infos unter Wechseln zu Windows 10 Pro Education von Windows10 Pro oder Windows10 S.
  4. Verteilen Sie die PCs an Ihre Schüler oder Studenten.

    Die Schüler oder Studenten melden sich mit ihrer Azure AD/Office 365-Identität an. Diese Identität ermöglicht einmaliges Anmelden bei Bing in Microsoft Edge und bietet ein werbungsfreies Sucherlebnis mit Bing in Microsoft Edge.

  5. Fortlaufende Verwaltung über Intune für Bildungseinrichtungen.

    Mit Intune für Bildungseinrichtungen können Sie zahlreiche Richtlinien für die fortlaufende Verwaltung von PCs festlegen, inklusive SetEduPolicies und AllowCortana.

Konfigurieren von Windows

Sie können Windows mit Bereitstellungs- oder Verwaltungstools konfigurieren, inklusive branchenüblicher MDM-Lösungen.

  • Bereitstellung – Ein einmaliger Setupprozess.
  • Management – Die einmalige und/oder fortlaufende Verwaltung eines PCs anhand festgelegter Richtlinien.

Sie können die Compliancebereiche für Bildungseinrichtungen mit Bereitstellungs- und Verwaltungstools festlegen. Außerdem können Sie Ihre PCs mit den folgenden Microsoft-Tools auf den Einsatz im Bildungsbereich vorbereiten:

AllowCortana

AllowCortana ist eine Richtlinie, die Cortana aktiviert oder deaktiviert. Dieser Richtlinienknoten befindet sich im Konfigurationsdienstanbieter AllowCortana.

Hinweis

Weitere Informationen finden Sie unter der Empfohlene Konfiguration im Abschnitt zu empfohlenen Cortana-Einstellungen.

Verwenden Sie eine der folgenden Methoden, um diese Richtlinie festzulegen.

MDM

  • Intune für Bildungseinrichtungen legt diese Richtlinie automatisch in der Gruppenrichtlinienkonfiguration Alle Geräte fest.
  • Falls Sie einen anderen MDM-Anbieter als Intune für Bildungseinrichtungen verwenden, finden Sie weitere Informationen zum Festlegen dieser Richtlinie in der Dokumentation Ihres MDM-Anbieters.

    • Falls Ihr MDM-Anbieter diese Richtlinie nicht explizit unterstützt, können Sie die Richtlinie auch manuell festlegen, wenn Ihr MDM-Anbieter das manuelle Festlegen bestimmter OMA-URIs unterstützt.

      In Intune können Sie beispielsweise eine neue Konfigurationsrichtlinie erstellen und einen OMA-URI hinzufügen.

      • OMA-URI: ./Vendor/MSFT/Policy/Config/Experience/AllowCortana
      • Datentyp: Ganze Zahl
      • Wert: 0

        Erstellen eines OMA-URI für AllowCortana

Gruppenrichtlinie

Legen Sie Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Suche > AllowCortana auf Deaktiviert fest.

Deaktivieren von AllowCortana mit einer Gruppenrichtlinie

Bereitstellungstools

  • Set up School PCs legt diese Richtlinie in allen erstellten Bereitstellungspaketen fest.
  • Windows-Konfigurations-Designer

    • Klicken Sie unter Laufzeiteinstellungen auf die Einstellungsgruppe Richtlinien, und legen Sie Umgebung > Cortana auf Nein fest.

      Festlegen von AllowCortana auf Nein im Windows-Konfigurations-Designer

SetEduPolicies

SetEduPolicies ist eine Richtlinie, die eine Reihe von Konfigurationseinstellungen für Windows anwendet. Dieser Richtlinienknoten befindet sich im SharedPC-Konfigurationsdienstanbieter.

Verwenden Sie eine der folgenden Methoden, um diese Richtlinie festzulegen.

MDM

  • Intune für Bildungseinrichtungen legt diese Richtlinie automatisch in der Gruppenrichtlinienkonfiguration Alle Geräte fest.
  • Falls Sie einen anderen MDM-Anbieter als Intune für Bildungseinrichtungen verwenden, finden Sie weitere Informationen zum Festlegen dieser Richtlinie in der Dokumentation Ihres MDM-Anbieters.

    • Falls Ihr MDM-Anbieter diese Richtlinie nicht explizit unterstützt, können Sie die Richtlinie auch manuell festlegen, wenn Ihr MDM-Anbieter das manuelle Festlegen bestimmter OMA-URIs unterstützt.

      In Intune können Sie beispielsweise eine neue Konfigurationsrichtlinie erstellen und einen OMA-URI hinzufügen.

      • OMA-URI: ./Vendor/MSFT/SharedPC/SetEduPolicies
      • Datentyp: Boolescher Wert
      • Wert: Wahr

        Erstellen eines OMA-URI für SetEduPolices

Gruppenrichtlinie

SetEduPolicies wird in Gruppenrichtlinien nicht nativ unterstützt. Verwenden Sie stattdessen den MDM-WMI-Brückenanbieter, um die Richtlinie in MDM SharedPC festzulegen.

Zum Beispiel:

  • Öffnen Sie PowerShell als Administrator, und geben Sie Folgendes ein:

    $sharedPC = Get-CimInstance -Namespace "root\cimv2\mdm\dmmap" -ClassName "MDM_SharedPC"
    
    $sharedPC.SetEduPolicies = $True
    
    Set-CimInstance -CimInstance $sharedPC
    
    Get-CimInstance -Namespace $namespaceName -ClassName $MDM_SharedPCClass
    

Bereitstellungstools

  • Set up School PCs legt diese Richtlinie in allen erstellten Bereitstellungspaketen fest.
  • Windows-Konfigurations-Designer

    • Klicken Sie unter Laufzeiteinstellungen auf die Einstellungsgruppe SharedPC, und legen Sie PolicyCustomization > SetEduPolicies auf Wahr fest.

      SetEduPolicies im Windows-Konfigurations-Designer auf Wahr festlegen

Werbungsfreie Suche mit Bing

Stellen Sie eine werbungsfreie, sichere und private Suchoption für K12-Bildungseinrichtungen in den USA bereit. Weitere Informationen finden Sie unter https://www.bing.com/classroom/about-us.

Hinweis

Wenn Sie das Gastkonto im gemeinsam genutzten PC-Modus aktivieren, können die Studenten die werbefreie Suchoption mit Bing in Microsoft Edge nur nutzen, wenn der PC mit Ihrem Schulnetzwerk verbunden ist und Ihr Netzwerk wie unter IP-Registrierung für das gesamte Schulnetzwerk mit Microsoft Edge konfiguriert wurde.

Konfigurationen

IP-Registrierung für das gesamte Schulnetzwerk mit Microsoft Edge

Die werbefreie Suche mit Bing in Microsoft Edge kann auf der Netzwerkebene konfiguriert werden. Schicken Sie dazu eine E-Mail an bingintheclassroom@microsoft.com mit dem Betreff „New Windows 10, version 1703 (Creators Update) Registration: [Schulbezirksname]“, und geben Sie die folgenden Informationen im E-Mail-Text an.

Schulbezirksinformationen

  • Bezirks- oder Schulname:
  • Ausgehende IP-Adressen (IP-Bereich + CIDR):
  • Adresse:
  • Stadt:
  • Abkürzung des Bundesstaats:
  • Postleitzahl:

Daten der registrierenden Person

  • Vorname:
  • Nachname:
  • Position:
  • E-Mail-Adresse:
  • Einverständniserklärung für E-Mail-Ankündigungen?:
  • Telefonnummer:

Diese Funktion sorgt dafür, dass bei der Suche mit Bing in Microsoft Edge keine Werbung eingeblendet wird, wenn der PC mit dem Schulnetzwerk verbunden ist.

Azure AD und Office365 Education-Mandant

Gehen Sie folgendermaßen vor, um die Suche mit Bing in Microsoft Edge in beliebigen Netzwerken ohne Werbung nutzen zu können:

  1. Stellen Sie sicher, dass Ihr Office365-Mandant als ein Bildungsmandant registriert ist. Weitere Informationen finden Sie unter Überprüfen der Office 365-Domäne zum Bestätigen des Ausbildungsstatus.
  2. Registrieren Sie die Windows10-PCs in der Domäne Ihres Azure AD-Mandanten (dieser Mandant ist identisch mit Ihrem Office365-Mandanten).
  3. Konfigurieren Sie SetEduPolicies mit einer der in den vorherigen Abschnitten in diesem Thema beschriebenen Methoden.
  4. Ihre Studenten müssen sich mit ihrer Azure AD-Identität anmelden (identisch mit der Office 365-Identität), um den PC nutzen zu können.

Office 365-Anmeldung bei Bing

Gehen Sie folgendermaßen vor, um die Werbeeinblendungen nur zu unterdrücken, wenn sich die Studenten mit ihrem Office 365-Konto in Microsoft Edge bei Bing anmelden:

  1. Konfigurieren Sie SetEduPolicies mit einer der in den vorherigen Abschnitten in diesem Thema beschriebenen Methoden.
  2. Ihre Studenten müssen sich mit ihrem Office365-Konto bei Bing anmelden.

Weitere Informationen

Weitere Informationen zu allen möglichen Bing-Konfigurationsmethoden finden Sie unter https://aka.ms/e4ahor.

Verwandte Themen

Bereitstellungsempfehlungen für IT-Administratoren in Bildungseinrichtungen