Manage connections from Windows operating system components to Microsoft services

Applies to

  • Windows 10
  • Windows Server 2016

If you're looking for content on what each telemetry level means and how to configure it in your organization, see Configure Windows telemetry in your organization.

Learn about the network connections that Windows components make to Microsoft and also the privacy settings that affect data that is shared with either Microsoft or apps and how they can be managed by an IT Pro.

If you want to minimize connections from Windows to Microsoft services, or configure particular privacy settings, this article covers the settings that you could consider. You can configure telemetry at the lowest level for your edition of Windows, and also evaluate which other connections Windows makes to Microsoft services you want to turn off in your environment from the list in this article.

You can configure telemetry at the Security level, turn off Windows Defender telemetry and MSRT reporting, and turn off all other connections to Microsoft network endpoints as described in this article to help prevent Windows from sending any data to Microsoft. There are many reasons why these communications are enabled by default, such as updating malware definitions and maintain current certificate revocation lists, which is why we strongly recommend against this. This data helps us deliver a secure, reliable, and more delightful personalized experience.

To help make it easier to deploy settings to restrict connections from Windows 10 to Microsoft, you can apply the Windows Restricted Traffic Limited Functionality Baseline. This baseline was created in the same way as the Windows security baselines that are often used to efficiently configure Windows to a known secure state. Running the Windows Restricted Traffic Limited Functionality Baseline on devices in your organization will allow you to quickly configure all of the settings covered in this document. However, some of the settings reduce the functionality and security configuration of your device and are therefore not recommended. Asegúrate de haber elegido los valores de configuración adecuados para tu entorno antes de aplicar la configuración. No debes extraer este paquete en la carpeta windows\system32 porque no se aplicará correctamente. Aplicar esta línea base equivale a aplicar los pasos de Windows10 que se tratan en este artículo.

We are always striving to improve our documentation and welcome your feedback. Puedes proporcionar comentarios poniéndote en contacto con telmhelp@microsoft.com.

Novedades de Windows10, versión 1703

Esta es una lista de los cambios que hemos hecho en este artículo para Windows 10, versión 1703:

  • Se agregó una directiva MDM para streaming de fuente.
  • Se agregó una directiva MDM para el indicador de estado de conexión de red.
  • Se agregó una directiva MDM para el asistente de inicio de sesión en cuenta de Microsoft.
  • Se agregaron instrucciones para quitar la aplicación Notas rápidas.
  • Se agregaron rutas de acceso al Registro para algunas directivas de grupo.
  • Se agregó la sección Encontrar mi dispositivo.
  • Se agregó la Tareas.
  • Se agregó la sección Diagnósticos de la aplicación,

  • Se agregaron las siguientes directivas de grupo:

    • Impedir la administración del filtro SmartScreen
    • Desactivar la vista de compatibilidad
    • Desactivar la descarga e instalación automáticas de las actualizaciones
    • No conectarse a ninguna ubicación de Windows Update
    • Desactivar el acceso a todas las características de Windows Update
    • Especificar la ubicación del servicio Microsoft Update en la intranet
    • Habilitar el cliente de Windows NTP
    • Desactivar la descarga automática de ActiveX VersionList
    • Permitir la actualización automática de los datos de voz
    • Cuentas: bloquear cuentas de Microsoft
    • No usar los datos de diagnóstico para las experiencias personalizadas

Configuración

The following sections list the components that make network connections to Microsoft services by default. You can configure these settings to control the data that is sent to Microsoft. To prevent Windows from sending any data to Microsoft, configure telemetry at the Security level, turn off Windows Defender telemetry and MSRT reporting, and turn off all of these connections.

Si estás ejecutando Windows 10, se incluirán en la próxima actualización de la Rama de mantenimiento a largo plazo.

Configuración de Windows 10 Enterprise, versión 1703

Consulta la tabla siguiente para ver un resumen de la configuración de administración de Windows 10 Enterprise, versión 1703.

Opción de configuración UI Group Policy MDM policy Registry Command line
1. Certificate trust lists Check mark
2. Cortana and Search Check mark Check mark Check mark Check mark Check mark
3. Date & Time Check mark Check mark Check mark
4. Device metadata retrieval Check mark Marca de verificación
5. Encontrar mi dispositivo Marca de verificación
6. Streaming de fuente Marca de verificación Marca de verificación
7. Compilaciones de Insider Preview Marca de verificación Check mark Check mark Check mark Marca de verificación
8. Internet Explorer Marca de verificación Check mark Marca de verificación
9. Iconos dinámicos Marca de verificación Marca de verificación
10. Sincronización de correo Marca de verificación Check mark Marca de verificación
11. Cuenta de Microsoft Marca de verificación Check mark Marca de verificación
12. Microsoft Edge Marca de verificación Check mark Check mark Check mark Marca de verificación
13. Indicador de estado de conexión de red Marca de verificación Marca de verificación
14. Mapas sin conexión Marca de verificación Check mark Marca de verificación
15. OneDrive Marca de verificación Marca de verificación
16. Aplicaciones preinstaladas Marca de verificación Marca de verificación
17. Configuración > Privacidad
    17.1 General Marca de verificación Check mark Check mark Marca de verificación
    17.2 Ubicación Marca de verificación Check mark Check mark Marca de verificación
    17.3 Cámara Marca de verificación Check mark Check mark Marca de verificación
    17.4 Micrófono Marca de verificación Check mark Check mark Marca de verificación
    17.5 Notificaciones Marca de verificación Check mark Check mark Marca de verificación
    17.6 Voz, entrada manuscrita y escritura Marca de verificación Check mark Check mark Marca de verificación
    17.7 Información de cuenta Marca de verificación Check mark Check mark Marca de verificación
    17.8 Contactos Marca de verificación Check mark Check mark Marca de verificación
    17.9 Calendario Marca de verificación Check mark Check mark Marca de verificación
    17.10 Historial de llamadas Marca de verificación Check mark Check mark Marca de verificación
    17.11 Correo electrónico Marca de verificación Check mark Check mark Marca de verificación
    17.12 Mensajes Marca de verificación Check mark Check mark Marca de verificación
    17.13 Radios Marca de verificación Check mark Check mark Marca de verificación
    17.14 Otros dispositivos Marca de verificación Check mark Check mark Marca de verificación
    17.15 Comentarios y diagnósticos Marca de verificación Check mark Check mark Marca de verificación
    17.16 Aplicaciones en segundo plano Marca de verificación Check mark Marca de verificación
    17.17 Movimiento Marca de verificación Check mark Check mark Marca de verificación
    17.18 Tareas Marca de verificación Check mark Check mark Marca de verificación
    17.19 Diagnóstico de la aplicación Marca de verificación Check mark Check mark Marca de verificación
18. Plataforma de protección de software Marca de verificación Check mark Marca de verificación
19. Sincronizar tu configuración Marca de verificación Check mark Check mark Marca de verificación
20. Teredo Marca de verificación Check mark Marca de verificación
21. Sensor Wi-Fi Marca de verificación Check mark Marca de verificación
22. Windows Defender Marca de verificación Check mark Marca de verificación
23. Reproductor de Windows Media Marca de verificación Marca de verificación
24. Contenido destacado de Windows Marca de verificación Check mark Check mark Marca de verificación
25. Microsoft Store Marca de verificación Marca de verificación
26. Optimización de distribución de Windows Update Marca de verificación Check mark Check mark Marca de verificación
27. Windows Update Marca de verificación Check mark Check mark

Settings for Windows Server 2016 with Desktop Experience

See the following table for a summary of the management settings for Windows Server 2016 with Desktop Experience.

Setting UI Group Policy Registry Command line
1. Certificate trust lists Check mark Check mark
2. Cortana and Search Check mark Check mark Check mark
3. Date & Time Check mark Check mark Check mark
4. Device metadata retrieval Check mark Marca de verificación
6. Streaming de fuente Marca de verificación Marca de verificación
7. Compilaciones de Insider Preview Marca de verificación Check mark Marca de verificación
8. Internet Explorer Marca de verificación Check mark Marca de verificación
9. Iconos dinámicos Marca de verificación Marca de verificación
11. Cuenta de Microsoft Marca de verificación Marca de verificación
13. Indicador de estado de conexión de red Marca de verificación Marca de verificación
15. OneDrive Marca de verificación
17. Configuración > Privacidad
    17.1 General Marca de verificación Check mark Marca de verificación
18. Plataforma de protección de software Marca de verificación Marca de verificación
20. Teredo Marca de verificación Check mark Marca de verificación
22. Windows Defender Marca de verificación Marca de verificación
23. Reproductor de Windows Media Marca de verificación
25. Microsoft Store Marca de verificación Marca de verificación
27. Windows Update Marca de verificación Check mark

Settings for Windows Server 2016 Server Core

See the following table for a summary of the management settings for Windows Server 2016 Server Core.

Setting Group Policy Registry Command line
1. Certificate trust lists Check mark Check mark
3. Date & Time Check mark Marca de verificación
6. Streaming de fuente Marca de verificación Marca de verificación
13. Indicador de estado de conexión de red Marca de verificación
18. Plataforma de protección de software Marca de verificación
20. Teredo Marca de verificación Marca de verificación
22. Windows Defender Marca de verificación Marca de verificación
27. Windows Update Marca de verificación Check mark

Settings for Windows Server 2016 Nano Server

See the following table for a summary of the management settings for Windows Server 2016 Nano Server.

Setting Registry Command line
1. Certificate trust lists Check mark
3. Date & Time Marca de verificación
20. Teredo Marca de verificación
27. Windows Update Marca de verificación

Settings

Use the following sections for more information about how to configure each setting.

1. Certificate trust lists

A certificate trust list is a predefined list of items, such as a list of certificate hashes or a list of file name, that are signed by a trusted entity. Windows automatically downloads an updated certificate trust list when it is available.

To turn off the automatic download of an updated certificate trust list, you can turn off automatic root updates, which also includes the disallowed certificate list and the pin rules list.

Precaución

Al no descargar automáticamente los certificados raíz, es posible que el dispositivo no pueda conectarse a algunos sitios web.

Para Windows 10, Windows Server 2016 con la experiencia de escritorio y Windows Server 2016 Server Core:

  • Enable the Group Policy: Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication Settings > Turn off Automatic Root Certificates Update

    -and-

  1. Navigate to Computer Configuration > Windows Settings > Security Settings > Public Key Policies.
  2. Double-click Certificate Path Validation Settings.
  3. On the Network Retrieval tab, select the Define these policy settings check box.
  4. Clear the Automatically update certificates in the Microsoft Root Certificate Program (recommended) check box, and then click OK.

    -or-

  • Create the registry path HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot and then add a REG_DWORD registry setting, called DisableRootAutoUpdate, with a value of 1.

    -and-

  1. Navigate to Computer Configuration > Windows Settings > Security Settings > Public Key Policies.
  2. Double-click Certificate Path Validation Settings.
  3. On the Network Retrieval tab, select the Define these policy settings check box.
  4. Clear the Automatically update certificates in the Microsoft Root Certificate Program (recommended) check box, and then click OK.

On Windows Server 2016 Nano Server:

  • Create the registry path HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot and then add a REG_DWORD registry setting, called DisableRootAutoUpdate, with a value of 1.
Nota

CRL and OCSP network traffic is currently whitelisted and will still show up in network traces. CRL and OCSP checks are made to the issuing certificate authorities. Microsoft is one of them, but there are many others, such as DigiCert, Thawte, Google, Symantec, and VeriSign.

Use either Group Policy or MDM policies to manage settings for Cortana. For more info, see Cortana, Search, and privacy: FAQ.

2.1 Cortana and Search Group Policies

Find the Cortana Group Policy objects under Computer Configuration > Administrative Templates > Windows Components > Search.

Policy Description
Allow Cortana Choose whether to let Cortana install and run on the device.

Disable this policy to turn off Cortana.
Allow search and Cortana to use location Choose whether Cortana and Search can provide location-aware search results.

Disable this policy to block access to location information for Cortana.
Do not allow web search Choose whether to search the web from Windows Desktop Search.

Enable this policy to remove the option to search the Internet from Cortana.
Don't search the web or display web results in Search Choose whether to search the web from Cortana.

Enable this policy to stop web queries and results from showing in Search.
Set what information is shared in Search Control what information is shared with Bing in Search.

If you enable this policy and set it to Anonymous info, usage information will be shared but not search history, Microsoft Account information, or specific location.

También puedes aplicar las directivas de grupo con las siguientes claves del Registro:

Directiva Ruta de acceso del Registro
Permitir el uso de Cortana HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!AllowCortana
REG_DWORD: 0
Permitir el uso de la ubicación para las búsquedas y Cortana HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!AllowSearchToUseLocation
REG_DWORD: 0
No permitir búsquedas en la Web HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!DisableWebSearch
REG_DWORD: 1
No buscar en Internet o mostrar resultados de Internet en Search HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!ConnectedSearchUseWeb
REG_DWORD: 0
Definir qué información se comparte en Search HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!ConnectedSearchPrivacy
REG_DWORD: 3

In Windows 10, version 1507 and Windows 10, version 1511, when you enable the Don't search the web or display web results in Search Group Policy, you can control the behavior of whether Cortana searches the web to display web results. However, this policy only covers whether or not web search is performed. There could still be a small amount of network traffic to Bing.com to evaluate if certain Cortana components are up-to-date or not. In order to turn off that network activity completely, you can create a Windows Firewall rule to prevent outbound traffic.

Importante

These steps are not required for devices running Windows 10, version 1607 or Windows Server 2016.

  1. Expand Computer Configuration > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall with Advanced Security - <LDAP name>, and then click Outbound Rules.

  2. Right-click Outbound Rules, and then click New Rule. The New Outbound Rule Wizard starts.

  3. On the Rule Type page, click Program, and then click Next.

  4. On the Program page, click This program path, type %windir%\systemapps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe, and then click Next.

  5. On the Action page, click Block the connection, and then click Next.

  6. On the Profile page, ensure that the Domain, Private, and Public check boxes are selected, and then click Next.

  7. On the Name page, type a name for the rule, such as Cortana firewall configuration, and then click Finish.

  8. Right-click the new rule, click Properties, and then click Protocols and Ports.

  9. Configure the Protocols and Ports page with the following info, and then click OK.

    • For Protocol type, choose TCP.

    • For Local port, choose All Ports.

    • For Remote port, choose All ports.

If your organization tests network traffic, do not use a network proxy as Windows Firewall does not block proxy traffic. Instead, use a network traffic analyzer. Based on your needs, there are many network traffic analyzers available at no cost.

2.2 Cortana and Search MDM policies

For Windows 10 only, the following Cortana MDM policies are available in the Policy CSP.

Policy Description
Experience/AllowCortana Choose whether to let Cortana install and run on the device.
Search/AllowSearchToUseLocation Choose whether Cortana and Search can provide location-aware search results.
Default: Allowed

3. Date & Time

You can prevent Windows from setting the time automatically.

  • To turn off the feature in the UI: Settings > Time & language > Date & time > Set time automatically

    -or-

  • Crea un valor REG_SZ del registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type y establécelo en NoSync.

Después, configura los siguientes ajustes:

  • Deshabilitar la directiva de grupo: Configuración del equipo > Plantillas administrativas > Sistema > Habilitar Windows NTP Server > Servicio hora de Windows > Configurar el cliente NTP de Windows

    Nota

    Esto solo está disponible en Windows 10, versión 1703 y posteriores. Si usas Windows 10, versión 1607, la configuración de directiva de grupo es Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora > Habilitar el cliente NTP de Windows

    O bien

  • Crea un nuevo valor REG_DWORD del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\TimeProviders\NtpClient!Enabled y establécelo en 0 (cero).

4. Recuperación de metadatos de dispositivo

To prevent Windows from retrieving device metadata from the Internet, apply the Group Policy: Computer Configuration > Administrative Templates > System > Device Installation > Prevent device metadata retrieval from the Internet.

También puedes crear un nuevo valor REG_DWORD del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Device Metadata!PreventDeviceMetadataFromNetwork en 1 (uno).

5. Encontrar mi dispositivo

Para desactivar Encontrar mi dispositivo:

  • Desactivar la característica en la interfaz de usuario

    O bien

  • Deshabilitar la directiva de grupo: Configuración del equipo > Plantilla administrativa > Componentes de Windows > Encontrar mi dispositivo > Activar o desactivar Encontrar mi dispositivo

También puedes crear un nuevo valor REG_DWORD del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Device Metadata!PreventDeviceMetadataFromNetwork en 1 (uno).

6. Streaming de fuente

Las fuentes que se incluyen en Windows pero que no están almacenadas en el dispositivo local se pueden descargar a petición.

Si ejecutas Windows 10, versión 1607, Windows Server 2016 o posterior:

  • Deshabilitar la directiva de grupo: Configuración del equipo > Plantillas administrativas > Red > Fuentes > Habilitar Proveedores de fuentes.

  • Crea un nuevo valor REG_DWORD del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableFontProviders en 0 (cero).

  • En Windows 10, versión 1703, puedes aplicar la directiva MDM System/AllowFontProviders desde el CSP de directivas donde:

    • false. El streaming de fuente está deshabilitado.

    • true. El streaming de fuente está habilitado.

If you're running Windows 10, version 1507 or Windows 10, version 1511, create a REG_DWORD registry setting called DisableFontProviders in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FontCache\Parameters, with a value of 1.

Nota

Después de aplicar esta directiva, debes reiniciar el dispositivo para que surta efecto.

7. Compilaciones de Insider Preview

The Windows Insider Preview program lets you help shape the future of Windows, be part of the community, and get early access to releases of Windows 10.

Nota

This setting stops communication with the Windows Insider Preview service that checks for new builds. Windows Insider Preview builds only apply to Windows 10 and are not available for Windows Server 2016.

To turn off Insider Preview builds for a released version of Windows 10:

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds > Toggle user control over Insider builds.

To turn off Insider Preview builds for Windows 10:

Nota

If you're running a preview version of Windows 10, you must roll back to a released version before you can turn off Insider Preview builds.

  • Turn off the feature in the UI: Settings > Update & security > Windows Insider Program > Stop Insider Preview builds.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds > Toggle user control over Insider builds.

    O bien

  • Crea un nuevo valor REG_DWORD del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PreviewBuilds!AllowBuildPreview en 0 (cero)

    O bien

  • Apply the System/AllowBuildPreview MDM policy from the Policy CSP where:

    • 0. Users cannot make their devices available for downloading and installing preview software.

    • 1. Users can make their devices available for downloading and installing preview software.

    • 2. (default) Not configured. Users can make their devices available for download and installing preview software.

    -or-

  • Create a provisioning package: Runtime settings > Policies > System > AllowBuildPreview, where:

    • 0. Users cannot make their devices available for downloading and installing preview software.

    • 1. Users can make their devices available for downloading and installing preview software.

    • 2. (default) Not configured. Los usuarios pueden habilitar sus dispositivos para descargar e instalar el software de versión preliminar.

8. Internet Explorer

Usa directivas de grupo para administrar la configuración de Internet Explorer. You can find the Internet Explorer Group Policy objects under Computer Configuration > Administrative Templates > Windows Components > Internet Explorer.

Policy Description
Turn on Suggested Sites Choose whether an employee can configure Suggested Sites.
Default: Enabled
You can also turn this off in the UI by clearing the Internet Options > Advanced > Enable Suggested Sites check box.
Allow Microsoft services to provide enhanced suggestions as the user types in the Address Bar Choose whether an employee can configure enhanced suggestions, which are presented to the employee as they type in the address bar.
Default: Enabled
Turn off the auto-complete feature for web addresses Choose whether auto-complete suggests possible matches when employees are typing web address in the address bar.
Default: Disabled
You can also turn this off in the UI by clearing the Internet Options > Advanced > Use inline AutoComplete in the Internet Explorer Address Bar and Open Dialog check box.
Desactivar geoubicación del navegador Choose whether websites can request location data from Internet Explorer.
Valor predeterminado: deshabilitado
Impedir la administración del filtro SmartScreen Elige si los empleados pueden administrar el filtro SmartScreen en Internet Explorer.
Valor predeterminado: deshabilitado

Como alternativa, puedes usar el Registro para establecer las directivas de grupo.

Directiva Ruta de acceso del Registro
Activar Sitios sugeridos HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Suggested Sites!Enabled
REG_DWORD: 0
Permitir a los servicios Microsoft ofrecer sugerencias mejoradas mientras el usuario escribe en la barra de direcciones HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\AllowServicePoweredQSA
REG_DWORD: 0
Desactivar la característica Autocompletar para direcciones web HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Explorer\AutoComplete!AutoSuggest
REG_SZ: No
Desactivar geoubicación del navegador HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Geolocation!PolicyDisableGeolocation
REG_DWORD: 1
Impedir la administración del filtro SmartScreen HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Internet Explorer\PhishingFilter!EnabledV9
REG_DWORD: 0

Existen tres objetos de directivas de grupo adicionales que está usando Internet Explorer:

Ruta de acceso Policy Descripción
Configuración del equipo > Plantillas administrativas > Componentes de Windows > Internet Explorer > Vista de compatibilidad > Desactivar Vista de compatibilidad Elige si los empleados pueden configurar la vista de compatibilidad. Selecciona si un empleado puede deslizar rápidamente a través de una pantalla o hacer clic en Adelante para ir a la siguiente página precargada de un sitio web.
Valor predeterminado: deshabilitado
Computer Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page Turn off the flip ahead with page prediction feature Choose whether an employee can swipe across a screen or click forward to go to the next pre-loaded page of a website.
Default: Enabled
Computer Configuration > Administrative Templates > Windows Components > RSS Feeds Turn off background synchronization for feeds and Web Slices Choose whether to have background synchronization for feeds and Web Slices.
Valor predeterminado: habilitado

También puedes usar las entradas del Registro para establecer estas directivas de grupo.

Directiva Ruta de acceso del Registro
Elige si los empleados pueden configurar la vista de compatibilidad. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BrowserEmulation!MSCompatibilityMode
REG_DWORD: 0
Desactivar la característica Pasar de página con predicción de página HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\FlipAhead!Enabled
REG_DWORD: 0
Desactivar la sincronización en segundo plano de fuentes y Web Slices HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds!BackgroundSyncStatus
REG_DWORD:0

Para desactivar la página principal, habilita la directiva de grupo: Configuración de usuario > Plantillas administrativas > Componentes de Windows > Internet Explorer > Deshabilitar el cambio de configuración de la página principal y establécela en about:blank.

Para configurar el Asistente para la primera ejecución, habilita la directiva de grupo: Configuración de usuario > Plantillas administrativas > Componentes de Windows > Internet Explorer > Impedir que se ejecute el Asistente para la primera ejecución y establécela en Ir directamente a la página principal.

Para configurar el comportamiento de una pestaña nueva, habilita la directiva de grupo: Configuración de usuario > Plantillas administrativas > Componentes de Windows > Internet Explorer > Especificar el comportamiento predeterminado para una nueva pestaña y establécela en Ir directamente a la página principal.

8.1 Bloqueo de controles ActiveX

El bloqueo de controles ActiveX descarga periódicamente una nueva lista de controles ActiveX no actualizados que deberían bloquearse.

Puedes desactivar esto del modo siguiente:

  • Aplica la directiva de grupo: Configuración de usuario > Plantillas administrativas > Componentes de Windows > Internet Explorer > Características de seguridad > Administración de complementos > Desactivar la descarga automática de ActiveX VersionList

    O bien

  • Cambiar el valor REG_DWORD del Registro HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList a 0 (cero).

Para obtener más información, consulta Bloqueo de controles ActiveX obsoletos.

9. Iconos dinámicos

Para desactivar los Iconos dinámicos:

  • Apply the Group Policy: User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications > Turn Off notifications network usage

    O bien

  • Crea un valor REG_DWORD del Registro llamado HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications!NoCloudApplicationNotification y establécelo en 1 (uno).

En Windows 10 Mobile, también debes desanclar todos los iconos anclados a Inicio.

10. Sincronización de correo

Para desactivar la sincronización de correo para las cuentas de Microsoft configuradas en un dispositivo:

  • In Settings > Accounts > Your email and accounts, remove any connected Microsoft Accounts.

    -or-

  • Remove any Microsoft Accounts from the Mail app.

    -or-

  • Apply the Accounts/AllowMicrosoftAccountConnection MDM policy from the Policy CSP where 0 is not allowed and 1 is allowed. This does not apply to Microsoft Accounts that have already been configured on the device.

To turn off the Windows Mail app:

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Windows Mail > Turn off Windows Mail application

    O bien

  • Crea un valor REG_DWORD del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Mail!ManualLaunchAllowed y establécelo en 0 (cero).

11. Cuenta de Microsoft

Para evitar la comunicación con el servicio de autenticación en la nube de la cuenta de Microsoft. Many apps and system components that depend on Microsoft Account authentication may lose functionality. Algunos de ellos podrían hacerlo de forma inesperada.

  • Aplica la directiva de grupo: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad > Cuentas: bloquear cuentas de Microsoft y establécela en Los usuarios no pueden agregar cuentas de Microsoft.

    O bien

  • Crea un valor REG_DWORD del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System!NoConnectedUser y establécelo en 3. Para deshabilitar el asistente de inicio de sesión en la cuenta de Microsoft:

  • Aplica la directiva MDM Accounts/AllowMicrosoftAccountSignInAssistant desde el CSP de directivas, donde 0 es desactivado y 1 activado.

  • Cambia la configuración de Inicio REG_DWORD del Registro en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvc a un valor de 4.

12. Microsoft Edge

Usa directivas de grupo o MDM para administrar la configuración de Microsoft Edge. Para obtener más información, consulta Microsoft Edge y privacidad: preguntas más frecuentes.

12.1 Directivas de grupo de Microsoft Edge

Busca los objetos de directivas de grupo de Microsoft Edge en Configuración del equipo > Plantillas administrativas > Componentes de Windows > Microsoft Edge.

Directiva Descripción
Configurar Autorrellenar Elige si los empleados pueden usar Autorrellenar en los sitios web.
Default: Enabled
Configure Do Not Track Choose whether employees can send Do Not Track headers.
Valor predeterminado: deshabilitado
Configurar el Administrador de contraseñas Elige si los empleados pueden guardar las contraseñas localmente en sus dispositivos.
Default: Enabled
Configure search suggestions in Address bar Choose whether the address bar shows search suggestions.
Valor predeterminado: habilitado
Configurar el filtro SmartScreen de Windows Defender (Windows 10, versión 1703)
Configurar el filtro SmartScreen (Windows Server 2016)
Elige si el filtro SmartScreen de Windows Defender está activado o desactivado.
Valor predeterminado: habilitado
Allow web content on New Tab page Choose whether a new tab page appears.
Valor predeterminado: habilitado
Configurar las páginas de inicio Elige la página de Inicio para los dispositivos unidos a un dominio.
Establece esta opción en <about:blank>
Evitar que la página web de primera ejecución se abra en Microsoft Edge Elige si los empleados ven la página web de primera ejecución.
Valor predeterminado: deshabilitado

Los nombres de directiva de grupo de Microsoft Edge de Windows 10, versión 1511, son los siguientes:

Policy Description
Turn off autofill Choose whether employees can use autofill on websites.
Default: Enabled
Allow employees to send Do Not Track headers Choose whether employees can send Do Not Track headers.
Default: Disabled
Turn off password manager Choose whether employees can save passwords locally on their devices.
Default: Enabled
Turn off address bar search suggestions Choose whether the address bar shows search suggestions.
Default: Enabled
Turn off the SmartScreen Filter Choose whether SmartScreen is turned on or off.
Default: Enabled
Open a new tab with an empty tab Choose whether a new tab page appears.
Default: Enabled
Configure corporate Home pages Choose the corporate Home page for domain-joined devices.
Establece esta opción en about:blank

Como alternativa, puedes configurar las directivas de grupo de Microsoft con las siguientes entradas del Registro:

Directiva Ruta de acceso del Registro
Configurar Autorrellenar HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main!Use FormSuggest <br/ > REG_SZ: no
Configurar No realizar seguimiento HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main!DoNotTrack
REG_DWORD: 1
Configurar el Administrador de contraseñas HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main!FormSuggest Passwords
REG_SZ: no
Configurar sugerencias de búsqueda en la barra de direcciones HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes!ShowSearchSuggestionsGlobal
REG_DWORD: 0
Configurar el filtro SmartScreen de Windows Defender (Windows 10, versión 1703) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter!EnabledV9
REG_DWORD: 0
Permitir contenido web en la página Nueva pestaña HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes!AllowWebContentOnNewTabPage
REG_DWORD: 0
Configurar las páginas principales corporativas HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI!ProvisionedHomePages
REG_DWORD: 0

12.2 Directivas MDM de Microsoft Edge

Las siguientes directivas MDM de Microsoft Edge están disponibles en el CSP de directivas.

Policy Description
Browser/AllowAutoFill Choose whether employees can use autofill on websites.
Default: Allowed
Browser/AllowDoNotTrack Choose whether employees can send Do Not Track headers.
Valor predeterminado: No permitido
Navegador/AllowMicrosoftCompatbilityList Especifica la lista de compatibilidad de Microsoft en Microsoft Edge.
Valor predeterminado: habilitado
Navegador/AllowPasswordManager Choose whether employees can save passwords locally on their devices.
Default: Allowed
Browser/AllowSearchSuggestionsinAddressBar Choose whether the address bar shows search suggestions..
Default: Allowed
Browser/AllowSmartScreen Choose whether SmartScreen is turned on or off.
Valor predeterminado: permitido
Navegador/FirstRunURL Elige la página principal de Microsoft Edge en Windows Mobile 10.
Valor predeterminado: en blanco

Para obtener una lista completa de las directivas de Microsoft Edge, consulta Directivas disponibles para Microsoft Edge.

13. Indicador de estado de conexión de red

El indicador de estado de conexión de red (NCSI) detecta la conectividad a Internet y el estado de conectividad de la red corporativa. NCSI sends a DNS request and HTTP query to http://www.msftconnecttest.com/connecttest.txt to determine if the device can communicate with the Internet. For more info about NCSI, see The Network Connection Status Icon.

En las versiones de Windows 10 anteriores a la versión 1607 y en Windows Server 2016, la dirección URL era http://www.msftncsi.com.

Puedes desactivar NCSI mediante los siguientes procedimientos:

  • Enable the Group Policy: Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication Settings > Turn off Windows Network Connectivity Status Indicator active tests

  • En Windows 10, versión 1703 y versiones posteriores, aplica la directiva de MDM Connectivity/DisallowNetworkConnectivityActiveTests.

Nota

Después de aplicar esta directiva, debes reiniciar el dispositivo para que la configuración de directiva surta efecto.

O bien

  • Crea un valor REG_DWORD del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator!NoActiveProbe y establécelo en 1 (uno).

14. Mapas sin conexión

Puedes desactivar la capacidad de descargar y actualizar los mapas sin conexión.

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Maps > Turn off Automatic Download and Update of Map Data

    O bien

  • Crea un valor REG_DWORD del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps!AutoDownloadAndUpdateMapData y establécelo en 0 (cero).

    -y-

  • In Windows 10, version 1607 and later, apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Maps > Turn off unsolicited network traffic on the Offline Maps settings page

    O bien

  • Crea un valor REG_DWORD del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps!AllowUntriggeredNetworkTrafficOnSettingsPage y establécelo en 0 (cero).

15. OneDrive

Para desactivar OneDrive en tu organización:

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > OneDrive > Prevent the usage of OneDrive for file storage

    O bien

  • Crea un valor REG_DWORD del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive!DisableFileSyncNGSC y establécelo en 1 (uno).

16. Aplicaciones preinstaladas

Algunas aplicaciones preinstaladas obtienen contenido antes de que se abran para garantizar una experiencia optimizada. You can remove these using the steps in this section.

To remove the News app:

  • Right-click the app in Start, and then click Uninstall.

    -or-

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingNews"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.BingNews | Remove-AppxPackage

To remove the Weather app:

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingWeather"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.BingWeather | Remove-AppxPackage

To remove the Money app:

  • Right-click the app in Start, and then click Uninstall.

    -or-

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingFinance"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.BingFinance | Remove-AppxPackage

To remove the Sports app:

  • Right-click the app in Start, and then click Uninstall.

    -or-

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingSports"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.BingSports | Remove-AppxPackage

To remove the Twitter app:

  • Right-click the app in Start, and then click Uninstall.

    -or-

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "*.Twitter"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage *.Twitter | Remove-AppxPackage

To remove the XBOX app:

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.XboxApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.XboxApp | Remove-AppxPackage

To remove the Sway app:

  • Right-click the app in Start, and then click Uninstall.

    -or-

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.Sway"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.Office.Sway | Remove-AppxPackage

To remove the OneNote app:

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.OneNote"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.Office.OneNote | Remove-AppxPackage

To remove the Get Office app:

  • Right-click the app in Start, and then click Uninstall.

    -or-

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftOfficeHub"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxPackage Microsoft.MicrosoftOfficeHub | Remove-AppxPackage

To remove the Get Skype app:

  • Right-click the Sports app in Start, and then click Uninstall.

    -or-

  • Remove the app for new user accounts. From an elevated command prompt, run the following Windows PowerShell command: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.SkypeApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -and-

    Remove the app for the current user. Desde un símbolo del sistema con privilegios elevados, ejecuta el siguiente comando de Windows PowerShell: Get-AppxPackage Microsoft.SkypeApp | Remove-AppxPackage.

Para quitar la aplicación Notas rápidas:

  • Quita la aplicación para las cuentas de usuario nuevas. Desde un símbolo del sistema con privilegios elevados, ejecuta el siguiente comando de Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftStickyNotes"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}.

    -y-

    Quita la aplicación para el usuario actual. Desde un símbolo del sistema con privilegios elevados, ejecuta el siguiente comando de Windows PowerShell: Get-AppxPackage Microsoft.MicrosoftStickyNotes | Remove-AppxPackage

17. Configuración > Privacidad

Usa Configuración > Privacidad para configurar algunas opciones que pueden ser importantes para tu organización. Excepto la página Comentarios y diagnósticos, estas opciones se deben configurar para cada cuenta de usuario que inicie sesión en el equipo.

17.1 General

General incluye opciones que no pertenecen a otras áreas.

Opciones de Windows 10, versión 1703

Para desactivar Permite que las aplicaciones usen el identificador de publicidad para hacer que los anuncios sean más interesantes para ti, basándose en el uso de tu aplicación (si esto se desactiva, se restablece el id.):

Nota

Al desactivar esta característica en la interfaz de usuario, se desactiva el identificador de publicidad, no solo se restablece.

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > System > User Profiles > Turn off the advertising ID.

    -or-

  • Crea un valor REG_DWORD del Registro llamado Habilitado en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo y establécelo en 0 (cero).

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo!DisabledByGroupPolicy y establécelo en 1 (uno).

Para desactivar Dejar que los sitios web ofrezcan contenido relevante a nivel local mediante el acceso a mi lista de idiomas:

  • Turn off the feature in the UI.

    -or-

  • Crea un nuevo valor REG_DWORD del Registro llamado HttpAcceptLanguageOptOut en HKEY_CURRENT_USER\Control Panel\International\User Profile con un valor de 1.

Para desactivar Permitir a Windows hacer un seguimiento de los inicios de aplicaciones para mejorar Inicio y los resultados de la búsqueda:

  • Desactiva la característica en la interfaz de usuario.

    O bien

  • Crea un valor REG_DWORD del Registro llamado Start_TrackProgs y establécelo en 0 (zero) en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced.

Opciones de Windows Server 2016 y Windows 10, versión 1607 y versiones anteriores

Para desactivar Permitir que las aplicaciones usen mi id. de publicidad para experiencias entre aplicaciones (si esto se desactiva, se restablece el id.):

Nota

When you turn this feature off in the UI, it turns off the advertising ID, not just resets it.

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > System > User Profiles > Turn off the advertising ID.

    -or-

  • Crea un valor REG_DWORD del Registro llamado Habilitado en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo y establécelo en 0 (cero).

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo!DisabledByGroupPolicy y establécelo en 1 (uno).

Para desactivar Turn on SmartScreen Filter to check web content (URLs) that Microsoft Store apps use:

  • Desactiva la característica en la interfaz de usuario.

    O bien

  • En Windows Server 2016, aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Microsoft Edge > Configurar el filtro SmartScreen. En Windows 10, versión 1703, aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Microsoft Edge > Configure Windows Defender SmartScreen Filter.

    En Windows Server 2016, aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Explorador de archivos > Configurar Windows SmartScreen. En Windows 10, versión 1703, aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Explorador de archivos > Configurar el filtro SmartScreen.

    O bien

  • Apply the Browser/AllowSmartScreen MDM policy from the Policy CSP where 0 is turned off and 1 is turned on.

    -or-

  • Create a provisioning package, using:

    • For Internet Explorer: Runtime settings > Policies > Browser > AllowSmartScreen

    • For Microsoft Edge: Runtime settings > Policies > MicrosoftEdge > AllowSmartScreen

    -or-

  • Crea un valor REG_DWORD del Registro llamado EnableWebContentEvaluation en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost y establécelo en 0 (cero).

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System!EnableSmartScreen y establécelo en 0 (cero).

Para desactivar Enviar información a Microsoft sobre cómo escribo y ayudar a mejorar el tipo y la escritura en el futuro:

Nota

If the telemetry level is set to either Basic or Security, this is turned off automatically.

  • Turn off the feature in the UI.

    -or-

  • Apply the TextInput/AllowLinguisticDataCollection MDM policy from the Policy CSP where:

    • 0. Not allowed

    • 1. Allowed (default)

To turn off Let websites provide locally relevant content by accessing my language list:

  • Turn off the feature in the UI.

    -or-

  • Create a new REG_DWORD registry setting called HttpAcceptLanguageOptOut in HKEY_CURRENT_USER\Control Panel\International\User Profile, with a value of 1.

To turn off Let apps on my other devices open apps and continue experiences on this devices:

  • Turn off the feature in the UI.

    -or-

  • Disable the Group Policy: Computer Configuration > Administrative Templates > System > Group Policy > Continue experiences on this device.

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System!EnableCdp y establécelo en 0 (cero).

Para desactivar Permitir que las aplicaciones de mis demás dispositivos usen Bluetooth para abrir aplicaciones y continuar las experiencias en este dispositivo:

  • Desactiva la característica en la interfaz de usuario.

17.2 Ubicación

En el área Ubicación puedes elegir si los dispositivos tendrán acceso a los sensores de ubicación específicos y qué aplicaciones tendrán acceso a la ubicación del dispositivo.

To turn off Location for this device:

  • Click the Change button in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Location and Sensors > Turn off location.

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessLocation y establécelo en 2 (dos).

    O bien

  • Apply the System/AllowLocation MDM policy from the Policy CSP, where:

    • 0. Turned off and the employee can't turn it back on.

    • 1. Turned on, but lets the employee choose whether to use it. (default)

    • 2. Turned on and the employee can't turn it off.

    Nota

    You can also set this MDM policy in System Center Configuration Manager using the WMI Bridge Provider.

    -or-

  • Create a provisioning package, using Runtime settings > Policies > System > AllowLocation, where

    • No. Turns off location service.

    • Yes. Turns on location service. (default)

To turn off Location:

  • Turn off the feature in the UI.

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access location

    • Set the Select a setting box to Force Deny.

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\LocationAndSensors!DisableLocation y establécelo en 1 (uno).

    O bien

To turn off Location history:

  • Erase the history using the Clear button in the UI.

To turn off Choose apps that can use your location:

  • Desactiva cada aplicación con la interfaz de usuario.

17.3 Cámara

En el área Cámara puedes elegir qué aplicaciones pueden tener acceso a la cámara de un dispositivo.

To turn off Let apps use my camera:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access the camera

    • Set the Select a setting box to Force Deny.

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessCamera y establécelo en 2 (dos).

    O bien

  • Apply the Camera/AllowCamera MDM policy from the Policy CSP, where:

    • 0. Apps can't use the camera.

    • 1. Apps can use the camera.

    Nota

    You can also set this MDM policy in System Center Configuration Manager using the WMI Bridge Provider.

    -or-

  • Create a provisioning package with use Windows ICD, using Runtime settings > Policies > Camera > AllowCamera, where:

    • 0. Apps can't use the camera.

    • 1. Apps can use the camera.

To turn off Choose apps that can use your camera:

  • Desactiva la característica de la interfaz de usuario de cada aplicación.

17.4 Micrófono

En el área Micrófono, puedes elegir qué aplicaciones pueden tener acceso a micrófono de un dispositivo.

To turn off Let apps use my microphone:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access the microphone

    • Set the Select a setting box to Force Deny.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessMicrophone desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessMicrophone y establécelo en 2 (dos).

Para desactivar Elige las aplicaciones que pueden usar tu micrófono:

  • Desactiva la característica de la interfaz de usuario de cada aplicación.

17.5 Notificaciones

En el área Notificaciones, puedes elegir qué aplicaciones pueden tener acceso a las notificaciones.

To turn off Let apps access my notifications:

  • Turn off the feature in the UI.

    O bien

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Privacidad de la aplicación > Permitir que las aplicaciones de Windows accedan a las notificaciones.

    • Establece el cuadro Seleccionar una configuración en Forzar denegación.

      O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessNotifications desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

      O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessNotifications y establécelo en 2 (dos).

17.6 Voz, entrada manuscrita y escritura

In the Speech, Inking, & Typing area, you can let Windows and Cortana better understand your employee's voice and written input by sampling their voice and writing, and by comparing verbal and written input to contact names and calendar entrees.

Nota

For more info on how to disable Cortana in your enterprise, see Cortana in this article.

To turn off the functionality:

  • Click the Stop getting to know me button, and then click Turn off.

    -or-

  • Enable the Group Policy: Computer Configuration > Administrative Templates > Control Panel > Regional and Language Options > Handwriting personalization > Turn off automatic learning

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\InputPersonalization!RestrictImplicitInkCollection y establécelo en 1 (uno).

    O bien

  • Create a REG_DWORD registry setting called AcceptedPrivacyPolicy in HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization\Settings, with a value of 0 (zero).

    -and-

  • Crea un valor REG_DWORD del Registro llamado HarvestContacts en HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization\TrainedDataStore y establécelo en 0 (cero).

Si, al menos, estás ejecutando Windows 10, versión 1703, puedes desactivar las actualizaciones de los modelos del reconocimiento y la síntesis de voz:

  • Deshabilita la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Voz > Allow automatically update of Speech Data.

Si, al menos, estás ejecutando Windows 10, versión 1607, puedes desactivar las actualizaciones de los modelos del reconocimiento y la síntesis de voz:

Apply the Speech/AllowSpeechModelUpdate MDM policy from the Policy CSP, where:

  • 0 (default). Not allowed.
  • 1. Allowed.

    -or-

  • Crea un valor REG_DWORD del Registro llamado ModelDownloadAllowed en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Speech_OneCore\Preferences y establécelo en 0 (cero).

17.7 Información de cuenta

En el área Información de cuenta puedes elegir qué aplicaciones pueden acceder a tu nombre, imagen y otra información de cuenta.

To turn off Let apps access my name, picture, and other account info:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access account information

    • Set the Select a setting box to Force Deny.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessAccountInfo desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\AppPrivacy!LetAppsAccessContacts y establécelo en 2 (dos).

Para desactivar Elegir las aplicaciones que pueden tener acceso a la información de tu cuenta:

  • Desactiva la característica de la interfaz de usuario de cada aplicación.

17.8 Contactos

En el área Contactos, puedes elegir qué aplicaciones pueden acceder a la lista de contactos de un empleado.

To turn off Choose apps that can access contacts:

  • Turn off the feature in the UI for each app.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access contacts

    • Set the Select a setting box to Force Deny.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessContacts desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

17.9 Calendario

En el área Calendario, puedes elegir qué aplicaciones pueden acceder al calendario de un empleado.

To turn off Let apps access my calendar:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access the calendar

    • Set the Select a setting box to Force Deny.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessCalendar desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\AppPrivacy!LetAppsAccessCalendar y establécelo en 2 (dos).

Para desactivar Elegir las aplicaciones con acceso al calendario:

  • Desactiva la característica de la interfaz de usuario de cada aplicación.

17.10 Historial de llamadas

En el área Historial de llamadas, puedes elegir qué aplicaciones tienen acceso al historial de llamadas.

To turn off Let apps access my call history:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access call history

    • Set the Select a setting box to Force Deny.

      O bien

    • Aplica la directiva MDM Privacidad/LetAppsAccessCallHistory desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control

    • 1. Forzar permiso
    • 2. Forzar denegación

      O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessCallHistory y establécelo en 2 (dos).

17.11 Correo electrónico

En el área Correo electrónico, puedes elegir qué aplicaciones pueden tener acceso y enviar correo electrónico.

To turn off Let apps access and send email:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access email

    • Set the Select a setting box to Force Deny.

      O bien

    • Aplica la directiva MDM Privacidad/LetAppsAccessEmail desde el CSP de directivas, cuyos valores son los siguientes:

      • 0. El usuario tiene el control
      • 1. Forzar permiso
      • 2. Forzar denegación

      O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessEmail y establécelo en 2 (dos).

17.12 Mensajes

En el área Mensajes, puedes elegir qué aplicaciones pueden leer o enviar mensajes.

To turn off Let apps read or send messages (text or MMS):

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access messaging

    • Set the Select a setting box to Force Deny.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccess<Messaging desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessMessaging, con un valor de 2 (dos).

Para desactivar Elegir las aplicaciones que pueden leer o enviar mensajes:

  • Desactiva la característica de la interfaz de usuario de cada aplicación.

17.13 Radios

En el área Radios, puedes elegir qué aplicaciones pueden activar o desactivar la radio de un dispositivo.

To turn off Let apps control radios:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps control radios

    • Set the Select a setting box to Force Deny.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessRadios desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessRadios y establécelo en 2 (dos).

Para desactivar Elegir las aplicaciones que pueden controlar señales de radio:

  • Desactiva la característica de la interfaz de usuario de cada aplicación.

17.14 Otros dispositivos

In the Other Devices area, you can choose whether devices that aren't paired to PCs, such as an Xbox One, can share and sync info.

To turn off Let apps automatically share and sync info with wireless devices that don't explicitly pair with your PC, tablet, or phone:

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps sync with devices

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsSyncWithDevices desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsSyncWithDevices y establécelo en 2 (dos).

Para desactivar Permite que las aplicaciones usen los dispositivos de confianza (hardware que ya hayas conectado o que se suministre con el equipo, la tableta o el teléfono):

  • Turn off the feature in the UI.

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > App Privacy > Let Windows apps access trusted devices

    • Establece el cuadro Seleccionar una configuración en Forzar denegación.

17.15 Comentarios y diagnósticos

In the Feedback & Diagnostics area, you can choose how often you're asked for feedback and how much diagnostic and usage information is sent to Microsoft.

To change how frequently Windows should ask for my feedback:

Nota

Feedback frequency only applies to user-generated feedback, not diagnostic and usage data sent from the device.

  • To change from Automatically (Recommended), use the drop-down list in the UI.

    -or-

  • Enable the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds > Do not show feedback notifications

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\DataCollection!DoNotShowFeedbackNotifications y establécelo en 1 (uno).

    O bien

  • Create the registry keys (REG_DWORD type):

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\PeriodInNanoSeconds

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\NumberOfSIUFInPeriod

    Based on these settings:

    Setting PeriodInNanoSeconds NumberOfSIUFInPeriod
    Automatically Delete the registry setting Delete the registry setting
    Never 0 0
    Always 100000000 Delete the registry setting
    Once a day 864000000000 1
    Once a week 6048000000000 1

Para cambiar el nivel de datos de uso y diagnóstico que se envían con Envía los datos de tu dispositivo a Microsoft:

  • Haz clic en las opciones Básica o Completa.

    O bien

  • Apply the Group Policy: Computer Configuration\Administrative Templates\Windows Components\Data Collection And Preview Builds\Allow Telemetry

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection\AllowTelemetry y establécelo en 0 (cero).

    O bien

  • Apply the System/AllowTelemetry MDM policy from the Policy CSP, where:

    • 0. Maps to the Security level.

    • 1. Maps to the Basic level.

    • 2. Maps to the Enhanced level.

    • 3. Maps to the Full level.

    -or-

  • Create a provisioning package, using Runtime settings > Policies > System > AllowTelemetry, where:

    • 0. Maps to the Security level.

    • 1. Maps to the Basic level.

    • 2. Maps to the Enhanced level.

    • 3. Se asigna al nivel Completo.

Para desactivar las experiencias adaptadas con sugerencias y recomendaciones relevantes usando sus datos de diagnóstico:

  • Desactiva la característica en la interfaz de usuario.

    O bien

  • Aplica la directiva de grupo: Configuración de usuario > Plantillas administrativas > Componentes de Windows > Contenido de la nube > No usar los datos de diagnóstico para las experiencias personalizadas.

17.16 Aplicaciones en segundo plano

En el área Aplicaciones en segundo plano, puedes elegir qué aplicaciones pueden ejecutarse en segundo plano.

To turn off Let apps run in the background:

  • Turn off the feature in the UI for each app.

    O bien

  • Aplica la directiva de grupo (solo es aplicable a Windows 10, versión 1703): Configuración del equipo > Plantillas administrativas > Componentes de Windows > Privacidad de la aplicación > Permitir que las aplicaciones de Windows se ejecuten en el fondo.

    • Establece el cuadro Seleccionar una configuración en Forzar denegación.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsRunInBackground desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

17.17 Movimiento

En el área Movimiento, puedes elegir qué aplicaciones pueden acceder a los datos de movimiento.

To turn off Let Windows and your apps use your motion data and collect motion history:

  • Turn off the feature in the UI.

    -or-

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Privacidad de la aplicación > Permitir que las aplicaciones de Windows accedan al movimiento

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessMotion desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessMotion y establécelo en 2 (dos).

17.18 Tareas

En el área Tareas, puedes elegir qué aplicaciones pueden tener acceso a las tareas.

Para desactivar esta característica:

  • Desactiva la característica en la interfaz de usuario.

    O bien

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Privacidad de la aplicación > Permitir que las aplicaciones de Windows accedan a las tareas.

    • Establece el cuadro Seleccionar una configuración en Forzar denegación.

      O bien

  • Aplica la directiva MDM Privacidad/LetAppsAccessTasks desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

17.19 Diagnóstico de la aplicación

En el área Diagnósticos de aplicaciones, puedes elegir qué aplicaciones pueden acceder a la información de diagnósticos.

Para desactivar esta característica:

  • Desactiva la característica en la interfaz de usuario.

    O bien

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Privacidad de la aplicación > Permitir que las aplicaciones de Windows accedan a la información de diagnóstico sobre otras aplicaciones.

    O bien

  • Aplica la directiva MDM Privacidad/LetAppsGetDiagnosticInfo desde el CSP de directivas, cuyos valores son los siguientes:

    • 0. El usuario tiene el control
    • 1. Forzar permiso
    • 2. Forzar denegación

18. Plataforma de protección de software

Los clientes empresariales pueden administrar su estado de activación de Windows mediante licencias por volumen que usen un servidor de administración de claves local. You can opt out of sending KMS client activation data to Microsoft automatically by doing one of the following:

Para Windows10:

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Plataforma de protección de software > Desactivar validación AVS en línea del cliente KMS.

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\AppPrivacy!LetAppsAccessContacts y establécelo en 2 (dos).

    O bien

  • Apply the Licensing/DisallowKMSClientOnlineAVSValidation MDM policy from the Policy CSP where 0 is disabled (default) and 1 is enabled.

Para Windows Server 2016 con escritorio experiencia o Windows Server 2016 Server Core:

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Plataforma de protección de software > Desactivar validación AVS en línea del cliente KMS.

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform!NoGenTicket y establécelo en 1 (uno).

El estado de activación de Windows será válido durante un período rotatorio de 180 días con comprobaciones semanales del estado de activación del KMS.

19. Sincronizar tu configuración

Puedes controlar la sincronización de la configuración:

  • In the UI: Settings > Accounts > Sync your settings

    -or-

  • Apply the Group Policy: Computer Configuration > Administrative Templates > Windows Components > Sync your settings > Do not sync

    O bien

  • Crea un valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\SettingSync!DisableSettingSync y establécelo en 2 (dos), y HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\SettingSync!DisableSettingSyncUserOverride y establécelo en 1 (uno).

    O bien

  • Apply the Experience/AllowSyncMySettings MDM policy from the Policy CSP where 0 is not allowed and 1 is allowed.

    -or-

  • Create a provisioning package, using Runtime settings > Policies > Experience > AllowSyncMySettings, where

    • No. Settings are not synchronized.

    • Yes. Settings are synchronized. (default)

To turn off Messaging cloud sync:

  • Crea un valor REG_DWORD del Registro llamado CloudServiceSyncEnabled en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Messaging y establécelo en 0 (cero).

20. Teredo

Para deshabilitar Teredo, usa la directiva de grupo o el comando netsh.exe. For more info on Teredo, see Internet Protocol Version 6, Teredo, and Related Technologies.

Nota

If you disable Teredo, some XBOX gaming features and Windows Update Delivery Optimization will not work.

  • Enable the Group Policy: Computer Configuration > Administrative Templates > Network > TCPIP Settings > IPv6 Transition Technologies > Set Teredo State and set it to Disabled State.

    O bien

  • Crea un nuevo valor REG_SZ del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition!Teredo_State y establécelo en Deshabilitado.

    O bien

  • Desde un símbolo del sistema con privilegios elevados, ejecuta netsh interface teredo set state disabled.

21. Sensor Wi-Fi

La función Sensor Wi-Fi conecta automáticamente dispositivos a zonas con cobertura inalámbrica conocidas y a redes inalámbricas que los contactos de la persona han compartido con él o ella.

To turn off Connect to suggested open hotspots and Connect to networks shared by my contacts:

  • Turn off the feature in the UI.

    -or-

  • Disable the Group Policy: Computer Configuration > Administrative Templates > Network > WLAN Service > WLAN Settings > Allow Windows to automatically connect to suggested open hotspots, to networks shared by contacts, and to hotspots offering paid services.

    -or-

  • Create a new REG_DWORD registry setting called AutoConnectAllowedOEM in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\config, with a value of 0 (zero).

    -or-

  • Change the Windows Provisioning setting, WiFISenseAllowed, to 0 (zero). For more info, see the Windows Provisioning Settings reference doc, WiFiSenseAllowed.

    -or-

  • Use the Unattended settings to set the value of WiFiSenseAllowed to 0 (zero). For more info, see the Unattended Windows Setup reference doc, WiFiSenseAllowed.

When turned off, the Wi-Fi Sense settings still appear on the Wi-Fi Settings screen, but they’re non-functional and they can’t be controlled by the employee.

22. Windows Defender

Puedes desconectarte del servicio de protección antimalware de Microsoft.

  • Deshabilita la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Antivirus de Windows Defender > MAPS > Únete a Microsoft MAPS

    O bien

  • Elimina el siguiente valor del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates!DefinitionUpdateFileSharesSources.

    O bien

  • For Windows 10 only, apply the Defender/AllowClouldProtection MDM policy from the Defender CSP.

    -or-

  • Use the registry to set the REG_DWORD value HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SpyNetReporting to 0 (zero).

    -and-

    From an elevated Windows PowerShell prompt, run set-mppreference -Mapsreporting 0

Puedes detener el envío de muestras de archivo a Microsoft.

  • Establece la directiva de grupo Configuración del equipo > Plantillas administrativas > Componentes de Windows > Antivirus de Windows Defender > MAPS > Enviar muestras de archivos cuando se requieran más análisis en Preguntar siempre o en No enviar nunca.

    O bien

  • Solo para Windows 10, aplica la directiva MDM Defender/SubmitSamplesConsent desde el CSP de directiva, cuyos valores son los siguientes:

    • 0. Preguntar siempre.

    • 1. (default) Send safe samples automatically.

    • 2. Never send.

    • 3. Send all samples automatically.

    -or-

  • Use the registry to set the REG_DWORD value HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent to 0 (zero) to always prompt or 2 to never send.

Puedes detener la descarga de las actualizaciones de definiciones:

  • Habilita la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Antivirus de Windows Defender > Actualizaciones de firma > Definir el orden de los orígenes para descargar actualizaciones de definiciones y establécelo en FileShares.

    -y-

  • Deshabilita la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Antivirus de Windows Defender > Actualizaciones de firma > Definir recursos compartidos de archivos para descargar actualizaciones de definiciones y establécelo en Ninguno.

    O bien

  • Crea un nuevo valor REG_SZ del Registro llamado HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates!FallbackOrder y establécelo en FileShares.

Solo en Windows 10, puedes detener las notificaciones mejoradas:

  • Turn off the feature in the UI.

You can also use the registry to turn off Malicious Software Reporting Tool telemetry by setting the REG_DWORD value HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT\DontReportInfectionInformation to 1.

23. Reproductor de Windows Media

Para quitar el Reproductor de Windows Media con Windows 10:

  • From the Programs and Features control panel, click Turn Windows features on or off, under Media Features, clear the Windows Media Player check box, and then click OK.

    -or-

  • Run the following DISM command from an elevated command prompt: dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer

To remove Windows Media Player on Windows Server 2016:

  • Ejecuta el siguiente comando DISM desde un símbolo del sistema con privilegios elevados: dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer

24. Contenido destacado de Windows

Contenido destacado de Windows proporciona características como diferentes imágenes y texto de fondo en la pantalla de bloqueo, aplicaciones sugeridas, notificaciones de la cuenta de Microsoft y recomendaciones de Windows. Puedes controlarlo con la interfaz de usuario, la directiva de MDM o a través de la directiva de grupo.

Si estás ejecutando Windows 10, versión 1607, (o una versión posterior), solo debes habilitar la siguiente directiva de grupo:

  • Configuración de usuario > Plantillas administrativas > Componentes de Windows > Contenido de la nube > Desactivar todas las ventanas de Contenido destacado de Windows

    Nota

    Esto debe hacerse en el plazo de 15 minutos después de instalar Windows 10. Como alternativa, puedes crear una imagen con esta configuración.

    O bien

  • Solo para Windows 10, aplica la directiva MDM Experience/AllowWindowsSpotlight MDM desde el CSP de directiva, con un valor de 0 (cero).

    O bien

  • Crea un nuevo valor REG_DWORD del Registro en HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent!DisableWindowsSpotlightFeatures, con un valor de 1 (uno).

Si no estás ejecutando Windows 10, versión 1607 (o una versión posterior), puedes usar las demás opciones de esta sección.

  • Configure the following in Settings:

    • Personalization > Lock screen > Background > Windows spotlight, select a different background, and turn off Get fun facts, tips, tricks and more on your lock screen.

      Nota

      In Windows 10, version 1507 and Windows 10, version 1511, this setting was called Show me tips, tricks, and more on the lock screen.

    • Personalization > Start > Occasionally show suggestions in Start.

    • System > Notifications & actions > Show me tips about Windows.

    -or-

  • Apply the Group Policies:

    • Computer Configuration > Administrative Templates > Control Panel > Personalization > Force a specific default lock screen image.

      • Add a location in the Path to local lock screen image box.

      • Set the Turn off fun facts, tips, tricks, and more on lock screen check box.

      Nota

      This will only take effect if the policy is applied before the first logon. If you cannot apply the Force a specific default lock screen image policy before the first logon to the device, you can apply this policy: Computer Configuration > Administrative Templates > Control Panel > Personalization > Do not display the lock screen. Como alternativa, puedes crear un nuevo valor REG_SZ del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization!LockScreenImage y establecerlo en C:\windows\web\screen\lockscreen.jpg y crear un nuevo valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization!LockScreenOverlaysDisabled y establecerlo en 1 (uno).

    • Configuración del equipo > Plantillas administrativas > Componentes de Windows > Contenido de la nube > No mostrar sugerencias de Windows.

    O bien

    • Crea un nuevo valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent!DisableSoftLanding y establécelo en 1 (uno).

    • Configuración del equipo > Plantillas administrativas > Componentes de Windows > Contenido de la nube > Desactivar experiencias del consumidor de Microsoft.

      O bien

    • Crea un nuevo valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent!DisableWindowsConsumerFeatures y establécelo en 1 (uno).

Para obtener más información, consulta Contenido destacado de Windows en la pantalla de bloqueo.

25. Microsoft Store

Puedes desactivar la capacidad de iniciar aplicaciones de Microsoft Store preinstaladas o descargadas. Esto también desactivará las actualizaciones automáticas de las aplicaciones y deshabilitará Microsoft Store. En Windows Server 2016, se bloquearán las llamadas de Microsoft Store desde aplicaciones universales de Windows.

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Tienda > Disable all apps from Microsoft Store.

    O bien

    • Crea un nuevo valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore!DisableStoreApps y establécelo en 1 (uno).
  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Tienda > Desactivar la descarga e instalación automáticas de actualizaciones.

    O bien

    • Crea un nuevo valor REG_DWORD del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore!AutoDownload y establécelo en 2 (dos).

Deshabilita la directiva de grupo: Configuración del equipo > Plantillas administrativas > Sistema > Directiva de grupo > Configure web-to-app linking with URI handlers.

26. Optimización de distribución de Windows Update

Optimización de distribución de Windows Update te permite obtener actualizaciones de Windows y aplicaciones de Microsoft Store desde orígenes distintos a Microsoft, lo que no solo ayuda cuando la conexión a Internet es limitada o no es de confianza, sino que también puede ayudarte a reducir la cantidad de ancho de banda necesaria para mantener todos los equipos de la organización actualizados. If you have Delivery Optimization turned on, PCs on your network may send and receive updates and apps to other PCs on your local network, if you choose, or to PCs on the Internet.

By default, PCs running Windows 10 Enterprise and Windows 10 Education will only use Delivery Optimization to get and receive updates for PCs and apps on your local network.

Use the UI, Group Policy, MDM policies, or Windows Provisioning to set up Delivery Optimization.

In Windows 10, version 1607, you can stop network traffic related to Windows Update Delivery Optimization by setting Download Mode to Simple (99) or Bypass (100), as described below.

26.1 Configuración > Actualización y seguridad

Puedes configurar la optimización de distribución desde la interfaz de usuario Configuración.

  • Dirígete a Configuración > Actualización y seguridad > Windows Update > Opciones avanzadas > Elige el modo en que quieres que se entreguen las actualizaciones.

26.2 Directivas de grupo de Optimización de distribución

You can find the Delivery Optimization Group Policy objects under Computer Configuration > Administrative Templates > Windows Components > Delivery Optimization.

Policy Description
Download Mode Lets you choose where Delivery Optimization gets or sends updates and apps, including
  • None. Turns off Delivery Optimization.

  • Group. Gets or sends updates and apps to PCs on the same local network domain.

  • Internet. Gets or sends updates and apps to PCs on the Internet.

  • LAN. Gets or sends updates and apps to PCs on the same NAT only.

  • Simple. Simple download mode with no peering.

  • Bypass. Use BITS instead of Windows Update Delivery Optimization.

Group ID Lets you provide a Group ID that limits which PCs can share apps and updates.
Note: This ID must be a GUID.
Max Cache Age Lets you specify the maximum time (in seconds) that a file is held in the Delivery Optimization cache.
The default value is 259200 seconds (3 days).
Max Cache Size Lets you specify the maximum cache size as a percentage of disk size.
The default value is 20, which represents 20% of the disk.
Max Upload Bandwidth Lets you specify the maximum upload bandwidth (in KB/second) that a device uses across all concurrent upload activity.
El valor predeterminado es 0, es decir, un número ilimitado de ancho de banda posible.

También puedes establecer la directiva Modo de descarga al crear un nuevo valor REG_DWORD del registro en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization!DODownloadMode y establecerlo en 100 (cien).

26.3 Directivas MDM de Optimización de distribución

Las siguientes directivas MDM de Optimización de distribución están disponibles en el CSP de directivas.

Policy Description
DeliveryOptimization/DODownloadMode Lets you choose where Delivery Optimization gets or sends updates and apps, including
  • 0. Turns off Delivery Optimization.

  • 1. Gets or sends updates and apps to PCs on the same NAT only.

  • 2. Gets or sends updates and apps to PCs on the same local network domain.

  • 3. Gets or sends updates and apps to PCs on the Internet.

  • 99. Simple download mode with no peering.

  • 100. Use BITS instead of Windows Update Delivery Optimization.

DeliveryOptimization/DOGroupID Lets you provide a Group ID that limits which PCs can share apps and updates.
Note This ID must be a GUID.
DeliveryOptimization/DOMaxCacheAge Lets you specify the maximum time (in seconds) that a file is held in the Delivery Optimization cache.
The default value is 259200 seconds (3 days).
DeliveryOptimization/DOMaxCacheSize Lets you specify the maximum cache size as a percentage of disk size.
The default value is 20, which represents 20% of the disk.
DeliveryOptimization/DOMaxUploadBandwidth Lets you specify the maximum upload bandwidth (in KB/second) that a device uses across all concurrent upload activity.
El valor predeterminado es 0, es decir, un número ilimitado de ancho de banda posible.

26.4 Aprovisionamiento de Windows de Optimización de distribución

Si no tienes un servidor MDM en tu empresa, puedes usar el aprovisionamiento de Windows para configurar las directivas de optimización de distribución.

Use Windows ICD, included with the Windows Assessment and Deployment Kit (Windows ADK), to create a provisioning package for Delivery Optimization.

  1. Open Windows ICD, and then click New provisioning package.

  2. In the Name box, type a name for the provisioning package, and then click Next.

  3. Click the Common to all Windows editions option, click Next, and then click Finish.

  4. Go to Runtime settings > Policies > DeliveryOptimization to configure the policies.

Para obtener más información acerca de la optimización de distribución en general, consulta Optimización de distribución de Windows Update: preguntas más frecuentes.

27. Windows Update

Puedes desactivar Windows Update al establecer las siguientes entradas del Registro:

  • Add a REG_DWORD value called DoNotConnectToWindowsUpdateInternetLocations to HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate and set the value to 1.

    -and-

  • Add a REG_DWORD value called DisableWindowsUpdateAccess to HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate and set the value to 1.

    -and-

  • Agrega un valor REG_DWORD llamado UseWUServer a HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU y establece el valor en 1.

    O bien

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update > No conectar con ninguna ubicación de Internet de Windows Update.

    -y-

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Sistema > Administración de comunicaciones de Internet > Configuración de comunicaciones de Internet > Desactivar el acceso a todas las características de Windows Update.

    -y-

  • Aplica la directiva de grupo: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update > Especificar la ubicación del servicio Microsoft Update en la intranet y establece la opción Definir el servidor de descargas alternativo en "".

Puede desactivar las actualizaciones automáticas con una de las siguientes acciones. This is not recommended.

  • Add a REG_DWORD value called AutoDownload to HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate and set the value to 5.

    -or-

  • For Windows 10 only, apply the Update/AllowAutoUpdate MDM policy from the Policy CSP, where:

    • 0. Notify the user before downloading the update.

    • 1. Auto install the update and then notify the user to schedule a device restart.

    • 2 (default). Auto install and restart.

    • 3. Auto install and restart at a specified time.

    • 4. Auto install and restart without end-user control.

    • 5. Turn off automatic updates.

To learn more, see Device update management and Configure Automatic Updates by using Group Policy.