Yhteyksien hallinta Windows 10- ja Windows 11 -käyttöjärjestelmän osista Microsoft-palveluihin Microsoft Intune MDM Serverin avulla

  • Artikkeli

Koskee:

  • Windows 11
  • Windows 10 Enterprise, versio 1903 ja uudemmat

Tässä artikkelissa kuvataan verkkoyhteydet, jotka Windows 10:n ja Windows 11:n osat muodostavat Microsoftiin ja Mobiililaitteiden hallintaan/kokoonpanon palveluntarjoajalle (MDM/CSP) ja mukautetuille Open Mobile Alliance Uniform Resource Identifier(OMA URI)-käytännöille, jotka ovat IT-ammattilaisten käytettävissä Microsoft Intunessa, ja auttavat Microsoftin kanssa jaettujen tietojen hallinnassa. Jos haluat vähentää yhteyksiä Windowsista Microsoft-palveluihin tai määrittää tietosuoja-asetuksia, tarjolla on useita mahdollisia asetuksia. Voit tämän artikkelin ohjeiden avulla esimerkiksi määrittää diagnostiikkatiedot Windows-versiosi alimmalle tasolle ja päättää, mitkä muut Windowsin Microsoft-palveluihin muodostamat yhteydet haluat poistaa käytöstä. Vaikka verkkoyhteyksien määrää Microsoftille on mahdollista vähentää, on olemassa useita syitä, miksi nämä yhteydet ovat oletusarvoisesti käytössä. Näitä syitä ovat esimerkiksi haittaohjelmamääritysten päivittäminen ja ajantasaisten kumottujen varmenteiden luettelojen ylläpitäminen. Näiden tietojen avulla voimme tarjota turvallisen, luotettavan ja ajantasaisen käyttökokemuksen.

Tärkeää

  • Mobiililaitteiden hallintakoonpanon (MDM-kokoonpanon) sallitut liikenteen päätepisteet ovat saatavilla täältä: sallittu liikenne
    • CRL:n (kumottujen varmenteiden luettelo) ja OCSP:n (Online Certificate Status Protocol) verkkoliikennettä ei voi poistaa käytöstä, ja se näkyy edelleen verkkojäljityksessä. Kumottujen varmenteiden luettelon ja OCSP:n tarkistukset tehdään varmenteiden myöntäjille. Microsoft on yksi näistä varmenteiden myöntäjistä. On myös muita, kuten DigiCert, Thawte, Google, Symantec ja VeriSign.
    • On olemassa liikennettä, jota tarvitaan erityisesti Microsoft Intune pohjaiseen ja Windows 10- ja Windows 11 -laitteiden hallintaan. Tähän liikenteeseen sisältyy Windowsin -ilmoituspalvelu (WNS), päävarmenteiden automaattiset päivitykset (ARCU) sekä jonkin verran Windows Updateen liittyvää liikennettä. Edellä mainittu liikenne koostuu Microsoft Intune MDM Serverin sallitusta liikenteestä, jota käytetään Windows 10- ja Windows 11 -laitteiden hallintaan.
  • Tietoturvasyistä on tärkeää harkita tarkkaan, mitkä asetukset määritetään, koska jotkin niistä voivat heikentää laitteiden suojausta. Laitteiden suojausta heikentäviin asetuksiin kuuluvat esimerkiksi Windows Updaten poistaminen käytöstä, päävarmenteiden automaattisen päivittämisen poistaminen käytöstä sekä Windows Defenderin poistaminen käytöstä. Tämän vuoksi emme suosittele minkään näistä ominaisuuksista poistamista käytöstä.
  • Jos haluat varmistaa, että ristiriitatilanteissa määrityspalveluntarjoaja (CSP) on etusijalla ryhmäkäytäntöihin nähden, käytä ControlPolicyConflict-käytäntöä.
  • Tukipyyntö- ja Anna palautetta -linkit Windowsissa eivät välttämättä enää toimi, kun osa MDM/CSP-asetuksista tai kaikki niistä on otettu käyttöön.

Varoitus

Jos käyttäjä suorittaa Palauta tietokoneen oletusasetukset -komennon (Asetukset -> Päivitys ja suojaus -> Palautus) Poista kaikki -vaihtoehdolla, >Windowsin rajoitetun liikenteen asetukset on otettava uudelleen käyttöön, jotta laitteen lähtevän liikenteen liikennettä voidaan rajoittaa uudelleen. >Tämän tekemiseksi asiakas on yhdistettävä uudelleen Microsoft Intune -palveluun. Lähtevää liikennettä voi esiintyä ennen rajoitetun liikenteen asetusten >käyttöönottoa uudelleen. Jos käyttäjä suorittaa Palauta tietokoneen oletusasetukset -komennon Säilytä tiedostoni -asetus valittuna, >rajoitetun liikenteen asetukset säilytetään laitteessa, ja käyttäjä pysyy >rajoitetun liikenteen määritystilassa Säilytä tiedostoni -palautuksen aikana ja sen jälkeen. Uudelleenyhdistystä ei tarvita.

Lisätietoja Microsoft Intunesta on kohdassa IT-palvelujen tarjoamisen muutos modernilla työpaikalla ja Microsoft Intunen dokumentaatio.

Lisätietoja Microsoft-palveluiden verkkoyhteyksien hallinnasta Windowsin asetusten, ryhmäkäytäntöjen ja rekisteriasetusten avulla on artikkelissa Hallitse yhteyksiä Windows-käyttöjärjestelmän osista Microsoft-palveluihin.

Pyrimme aina parantamaan ohjeitamme ja otamme mielellämme vastaan palautetta. Voit antaa palautetta lähettämällä sähköpostia osoitteeseen telmhelp@microsoft.com.

Windows 10 Enterprisen versio 1903:n ja uudempien versioiden ja Windows 11:n asetukset

Seuraavassa taulukossa on lueteltu kunkin asetuksen hallintavaihtoehdot.

Seuraavat MDM-käytännöt ovat käytettävissä Windows 10:n ja Windows 11:n Käytäntöjen CSP:ssä.

  1. Päävarmenteiden automaattinen päivittäminen

    1. MDM-käytäntö: Päävarmenteiden automaattisen päivityksen MDM-käytäntöä ei tarkoituksella ole olemassa. Tätä MDM-käytäntöä ei ole olemassa, koska se estäisi MDM-laitteiden käytön ja hallinnan.

  2. Cortana ja Haku

    1. MDM-käytäntö: Experience/AllowCortana. Valitse, haluatko sallia Cortanan asennuksen ja suorituksen laitteessa. Asetus: 0 (nolla)
    2. MDM-käytäntö: Search/AllowSearchToUseLocation. Valitse, voivatko Cortana ja Haku tarjota sijaintikohtaisia hakutuloksia. Asetus: 0 (nolla)

  3. Päivämäärä ja aika

    1. MDM-käytäntö: Settings/AllowDateTime. Sallii käyttäjän muuttaa päivämäärän ja ajan asetuksia. Asetus: 0 (nolla)

  4. Laitteen metatietojen noutaminen

    1. MDM-käytäntö: DeviceInstallation/PreventDeviceMetadataFromNetwork. Valitse, haluatko estää Windowsia hakemasta laitteen metatietoja Internetistä. Asetus: Käytössä

  5. Etsi laitteeni

    1. MDM-käytäntö: Experience/AllowFindMyDevice. Tämä käytäntö ottaa käyttöön Etsi laitteeni -toiminnon. Asetus: 0 (nolla)

  6. Fonttien virtauttaminen

    1. MDM-käytäntö: System/AllowFontProviders. Asetus, joka määrittää, saako Windows ladata fontteja ja fonttiluettelotietoja verkkofonttipalveluista. Asetus: 0 (nolla)

  7. Insider-esiversiot

    1. MDM-käytäntö: System/AllowBuildPreview. Tämä käytäntöasetus määrittää, voivatko käyttäjät käyttää Insider-esiversioiden ohjausobjekteja Windows Updaten lisäasetuksissa. Asetus: 0 (nolla)

  8. Internet ExplorerInternet Explorer -määrityspalveluntarjoaja (Internet Explorer -CSP) sisältää seuraavat Microsoft Internet Explorerin MDM-käytännöt.

    1. MDM-käytäntö: InternetExplorer/AllowSuggestedSites. Suosittelee sivustoja käyttäjän selaushistorian perusteella. Asetus: Ei käytössä
    2. MDM-käytäntö: InternetExplorer/PreventManagingSmartScreenFilter. Estää käyttäjää tekemästä hallintatoimia Windows Defender SmartScreenille, joka varoittaa käyttäjää, jos vierailtavan sivuston tiedetään yrittävän kerätä henkilökohtaisia tietoja tietokalastelun avulla tai sen tiedetään sisältävän haittaohjelmia. Tietotyypiksi on asetettu merkkijono, jonka arvo on
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. MDM-käytäntö: InternetExplorer/DisableFlipAheadFeature. Määrittää, voiko käyttäjä siirtyä verkkosivuston seuraavaan esiladattuun sivuun sipaisemalla näyttöä tai valitsemalla Seuraava. Asetus: Käytössä
    4. MDM-käytäntö: InternetExplorer/DisableHomePageChange. Määrittää, voiko käyttäjä vaihtaa oletusarvoista aloitussivua. Tietotyypiksi on asetettu merkkijono, jonka arvo on
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. MDM-käytäntö: InternetExplorer/DisableFirstRunWizard. Estää Internet Exploreria suorittamasta ohjattua aloittamista, kun käyttäjä käynnistää selaimen ensimmäisen kerran Internet Explorerin tai Windowsin asentamisen jälkeen. Tietotyypiksi on asetettu merkkijono, jonka arvo on
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Tapahtumaruudut

    1. MDM-käytäntö: Notifications/DisallowTileNotification. Tämä käytäntöasetus poistaa ruutuilmoitukset käytöstä. Jos otat tämän käytäntöasetuksen käyttöön, sovellukset ja järjestelmän toiminnot eivät voi päivittää ruutujaan ja ruutujensa infopisteitä aloitusnäytössä. Kokonaisluvun arvo 1

  10. Sähköpostin synkronointi

    1. MDM-käytäntö: Accounts/AllowMicrosoftAccountConnection. Määrittää, saako käyttäjä käyttää Microsoft-tiliä muihin kuin sähköpostiin liittyviin yhteyden todennuksiin ja palveluihin. Asetus: 0 (nolla)

  11. Microsoft-tili

    1. MDM-käytäntö: Accounts/AllowMicrosoftAccountSignInAssistant. Poista Microsoft-tilin sisäänkirjautumisavustaja käytöstä. Asetus: 0 (nolla)

  12. Microsoft Edge Seuraavat Microsoft Edgen MDM-käytännöt ovat käytettävissä Käytäntöjen CSP:ssä. Täydellinen luettelo Microsoft Edgen käytännöistä on ohjeaiheessa Microsoft Edgen käytettävissä olevat käytännöt.

    1. MDM-käytäntö: Browser/AllowAutoFill. Valitse, voivatko työntekijät käyttää automaattista täyttöä verkkosivustoissa. Asetus: 0 (nolla)
    2. MDM-käytäntö: Browser/AllowDoNotTrack. Valitse, voivatko työntekijät lähettää Do Not Track -otsikoita. Asetus: 0 (nolla)
    3. MDM-käytäntö: Browser/AllowMicrosoftCompatbilityList. Määritä Microsoft-yhteensopivuusluettelo Microsoft Edgessä. Asetus: 0 (nolla)
    4. MDM-käytäntö: Browser/AllowPasswordManager. Valitse, voivatko työntekijät tallentaa salasanat paikallisesti laitteisiinsa. Asetus: 0 (nolla)
    5. MDM-käytäntö: Browser/AllowSearchSuggestionsinAddressBar. Valitse, näytetäänkö osoiterivillä hakuehdotuksia. Asetus: 0 (nolla)
    6. MDM-käytäntö: Browser/AllowSmartScreen. Valitse, onko Windows Defender SmartScreen käytössä vai ei. Asetus: 0 (nolla)

  13. Verkkoyhteyden tilailmaisin

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Huomautus: Kun olet ottanut käyttöön tämän käytännön, sinun on käynnistettävä laite uudelleen, jotta käytäntöasetus tulee voimaan. Asetus: 1 (yksi)

  14. Offline-kartat

    1. MDM-käytäntö: AllowOfflineMapsDownloadOverMeteredConnection. Sallii karttatietojen lataamisen ja päivittämisen käytön mukaan laskutettavilla yhteyksillä.
      Asetus: 0 (nolla)
    2. MDM-käytäntö: EnableOfflineMapsAutoUpdate. Poistaa käytöstä karttatietojen automaattisen lataamisen ja päivittämisen. Asetus: 0 (nolla)

  15. OneDrive

    1. MDM-käytäntö: DisableOneDriveFileSync. Sallii järjestelmänvalvojien estää sovelluksia ja ominaisuuksia käyttämästä OneDrivessa olevia tiedostoja. Asetus: 1 (yksi)
    2. ADMX:n sisäänotto – uusimman OneDrive ADMX -tiedoston hankkiminen edellyttää ajan tasalla olevaa Windows 10- tai Windows 11 -asiakasohjelmaa. ADMX-tiedostot sijaitsevat kansiossa %LocalAppData%\Microsoft\OneDrive\. Tämän kansion alla on kansio, joka sisältää ajantasaisen OneDrive-koontiversion (esimerkiksi 18.162.0812.0001). Tässä kansiossa on kansio, jonka nimi on "adm". Se sisältää admx- ja adml-käytäntömääritetiedostot.
    3. MDM-käytäntö: Estä käyttäjän kirjautumista edeltävä verkkoliikenne. PreventNetworkTrafficPreUserSignIn. OMA-URI-arvo: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, tietotyyppi: merkkijono, arvo: <enabled/>

  16. Tietosuoja-asetukset Palaute ja diagnostiikka -sivua lukuun ottamatta nämä asetukset on määritettävä jokaiselle käyttäjätilille, joka kirjautuu tietokoneeseen.

    1. Yleistä - TextInput/AllowLinguisticDataCollection. Tämä käytäntöasetus määrittää, voidaanko käsinkirjoitus- ja kirjoitustietoja lähettää Microsoftille. Asetus: 0 (nolla)
    2. Sijainti - System/AllowLocation. Määrittää, sallitaanko sovellusten käyttää sijaintipalvelua. Asetus: 0 (nolla)
    3. Kamera - Camera/AllowCamera. Poistaa kameran käytöstä tai ottaa sen käyttöön. Asetus: 0 (nolla)
    4. Mikrofoni – Privacy/LetAppsAccessMicrophone. Määrittää, voivatko Windows-sovellukset käyttää mikrofonia. Asetus: 2 (kaksi)
    5. Ilmoitukset – Privacy/LetAppsAccessNotifications. Määrittää, voivatko Windows-sovellukset käyttää ilmoituksia. Asetus: 2 (kaksi)
    6. Ilmoitukset – Settings/AllowOnlineTips. Ottaa käyttöön tai poistaa käytöstä Asetukset-sovellusta koskevien online-vinkkien ja -ohjeiden noutamisen. Kokonaisluku, arvo 0
    7. Puhe, käsinkirjoitus ja kirjoittaminen – Privacy/AllowInputPersonalization. Tämä käytäntö määrittää, voivatko laitteen käyttäjät ottaa online-puheentunnistuksen käyttöön. Asetus: 0 (nolla)
    8. Puhe, käsinkirjoitus ja kirjoittaminen – TextInput/AllowLinguisticDataCollection. Tämä käytäntöasetus määrittää, voidaanko käsinkirjoitus- ja kirjoitustietoja lähettää Microsoftille – Asetus: 0 (nolla)
    9. Tilitiedot – Privacy/LetAppsAccessAccountInfo. Määrittää, voivatko Windows-sovellukset käyttää tilitietoja. Asetus: 2 (kaksi)
    10. Yhteystiedot – Privacy/LetAppsAccessContacts. Määrittää, voivatko Windows-sovellukset käyttää yhteystietoja. Asetus: 2 (kaksi)
    11. Kalenteri – Privacy/LetAppsAccessCalendar. Määrittää, voivatko Windows-sovellukset käyttää kalenteria. Asetus: 2 (kaksi)
    12. Puheluhistoria – Privacy/LetAppsAccessCallHistory. Määrittää, voivatko Windows-sovellukset käyttää tilitietoja. Asetus: 2 (kaksi)
    13. Sähköposti – Privacy/LetAppsAccessEmail. Määrittää, voivatko Windows-sovellukset käyttää sähköpostia. Asetus: 2 (kaksi)
    14. Viestit – Privacy/LetAppsAccessMessaging. Määrittää, voivatko Windows-sovellukset lukea tai lähettää viestejä (tekstiviestejä ja MMS-viestejä). Asetus: 2 (kaksi)
    15. Puhelut – Privacy/LetAppsAccessPhone. Määrittää, voivatko Windows-sovellukset soittaa puheluita. Asetus: 2 (kaksi)
    16. Radiot – Privacy/LetAppsAccessRadios. Määrittää, onko Windows-sovelluksilla radioiden hallinnan käyttöoikeus. Asetus: 2 (kaksi)
    17. Muut laitteet – Privacy/LetAppsSyncWithDevices. Määrittää, voivatko Windows-sovellukset synkronoida tietoja laitteiden kanssa. Asetus: 2 (kaksi)
    18. Muut laitteet – Privacy/LetAppsAccessTrustedDevices. Määrittää, voivatko Windows-sovellukset käyttää luotettuja laitteita. Asetus: 2 (kaksi)
    19. Palaute ja diagnostiikka – System/AllowTelemetry. Salli laitteen lähettää diagnostiikan ja käytön telemetriatietoja, kuten Watson-tietoja. Asetus: 0 (nolla)
    20. Palaute ja diagnostiikka – Experience/DoNotShowFeedbackNotifications. Estää laitteita näyttämästä Microsoftin palautekysymyksiä. Asetus: 1 (yksi)
    21. Taustasovellukset – Privacy/LetAppsRunInBackground. Määrittää, voidaanko Windows-sovelluksia suorittaa taustalla. Asetus: 2 (kaksi)
    22. Liike – Privacy/LetAppsAccessMotion. Määrittää, voivatko Windows-sovellukset käyttää liiketietoja. Asetus: 2 (kaksi)
    23. Tehtävät – Privacy/LetAppsAccessTasks. Poista käytöstä mahdollisuus valita, mitkä sovellukset voivat käyttää tehtäviä. Asetus: 2 (kaksi)
    24. Sovellusten diagnostiikka – Privacy/LetAppsGetDiagnosticInfo. Pakota salliminen, pakota estäminen tai anna käyttäjien hallita sovelluksia, jotka voivat saada diagnostiikkatietoja muista käynnissä olevista sovelluksista. Asetus: 2 (kaksi)

  17. Ohjelmistojen suojausympäristö - Licensing/DisallowKMSClientOnlineAVSValidation. Kiellä KMS-asiakkaiden aktivointitietojen automaattinen lähetys Microsoftille. Asetus: 1 (yksi)

  18. Tallennustilan kunto - Storage/AllowDiskHealthModelUpdates. Sallii levykunnon mallien päivitykset. Asetus: 0 (nolla)

  19. Synkronoi asetukset - Experience/AllowSyncMySettings. Määrittää, synkronoidaanko asetukset. Asetus: 0 (nolla)

  20. Teredo – MDM ei ole tarpeellinen. Teredo on oletusarvoisesti pois päältä. Toimituksen optimointi (DO) voi ottaa Teredon käyttöön, mutta DO on poistettu käytöstä MDM:n avulla.

  21. WLAN-seuranta – MDM ei ole tarpeellinen. WLAN-seuranta ei ole enää käytettävissä Windows 10:n versiossa 1803 tai uudemmassa versiossa tai Windows 11:ssä.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Katkaise yhteys Microsoftin haittaohjelmien suojapalveluun. Asetus: 0 (nolla)
    2. Defender/SubmitSamplesConsent. Lopeta tiedostonäytteiden lähettäminen takaisin Microsoftille. Asetus: 2 (kaksi)
    3. Defender/EnableSmartScreenInShell. Poistaa SmartScreenin Windowsissa käytöstä sovellusten ja tiedostojen suorittamista varten. Asetus: 0 (nolla)
    4. Windows Defender SmartScreen - Browser/AllowSmartScreen. Poista Windows Defender SmartScreen käytöstä. Asetus: 0 (nolla)
    5. Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl. Määrittää, voivatko käyttäjät asentaa sovelluksia muualta kuin Microsoft Storesta. Asetus: 0 (nolla)
    6. Windows Defenderin mahdollisesti ei-toivotut sovellukset (PUA) -suojaus – Defender/PUAProtection. Määrittää mahdollisesti ei-toivottujen sovellusten (PUA) tunnistustason. Asetus: 1 (yksi)
    7. Defender/SignatureUpdateFallbackOrder. Voit määrittää järjestyksen, jossa määritysten päivityslähteisiin otetaan yhteyttä. OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, tietotyyppi: merkkijono, arvo: FileShares

  23. Windowsin tapahtumanäyttö - Experience/AllowWindowsSpotlight. Poista Windowsin tapahtumanäyttö käytöstä. Asetus: 0 (nolla)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Totuusarvo, joka estää kaikkien Microsoft Storesta peräisin olevan esiasennettujen tai ladattujen sovellusten käynnistyksen. Asetus: 1 (yksi)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Määrittää, sallitaanko Microsoft Storesta peräisin olevien sovellusten automaattinen päivitys. Asetus: 0 (nolla)

  25. Verkkosivustojen sovellukset - ApplicationDefaults/EnableAppUriHandlers. Tämä käytäntö määrittää, tukeeko Windows verkosta sovellukseen -linkitystä sovelluksen URI-käsittelijöihin. Asetus: 0 (nolla)

  26. Windows Updaten toimituksen optimointi - Seuraavat toimituksen optimoinnin MDM-käytännöt ovat käytettävissä Käytäntöjen CSP:ssä.

    1. DeliveryOptimization/DODownloadMode. Voit valita, mistä toimituksen optimointi hankkii tai lähettää päivityksiä ja sovelluksia. Asetus: 99 (yhdeksänkymmentäyhdeksän)

  27. Windows Update

    1. Update/AllowAutoUpdate. Hallitse automaattisia päivityksiä. Asetus: 5 (viisi)
    2. Windows Updaten salli päivityspalvelu – Update/AllowUpdateService. Määrittää, voiko laite käyttää Microsoft Updatea, Windows Server Update Servicesiä (WSUS-palveluita) tai Microsoft Storea. Asetus: 0 (nolla)
    3. Windows Update -palvelun URL – Update/UpdateServiceUrl. Sallii laitteen tarkistaa päivitykset WSUS-palvelimelta Microsoft Updaten sijaan. Tietotyypiksi on asetettu merkkijono, jonka arvo on
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Suositukset
    a. HideRecentJumplists-asetus käynnistyskäytännön määrityspalveluntarjoajassa (CSP) Jos haluat piilottaa suositeltujen sovellusten ja tiedostojen luettelon aloitusvalikon Suositellut-osassa.

Sallittu liikenne Microsoft Intune- ja MDM-määrityksissä

Sallitut liikenteen päätepisteet
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com