Savienojumu ar Windows 10 un Windows 11 operētājsistēmas komponentu pārvaldība Microsoft pakalpojumos, izmantojot Microsoft Intune MDM serveri

Attiecas uz

  • Windows 11
  • Windows 10 Enterprise 1903 versiju un jaunākām versijām

Šajā rakstā ir aprakstīti tīkla savienojumi, ko Windows 10 un Windows 11 komponenti veic korporācijai Microsoft un mobilo ierīču pārvaldības/konfigurācijas pakalpojumu sniedzējam (MDM/CSP) un pielāgotajām Open Mobile Alliance vienotā resursu identifikatora (OMA URI) politikām, kas pieejamas IT speciālistiem, izmantojot Microsoft Intune, lai palīdzētu pārvaldīt ar Microsoft kopīgotos datus. Ja vēlaties minimizēt Windows un Microsoft pakalpojumu savienojumus vai konfigurēt konfidencialitātes iestatījumus, vērā ir jāņem vairāki iestatījumi. Piemēram, varat konfigurēt diagnostikas datus uz zemāko līmeni savam Windows izdevumam un novērtēt citus savienojumus, ko Windows veic Microsoft pakalpojumos, kurus vēlaties izslēgt, izmantojot šajā rakstā sniegtos norādījumus. Lai gan ir iespējams minimizēt tīkla savienojumus ar Microsoft, ir vairāki iemesli, kāpēc šī saziņa ir iespējota pēc noklusējuma, piemēram, ļaunprogrammatūras definīciju atjaunināšana un pašreizējo sertifikātu atsaukšanas sarakstu uzturēšana. Šie dati palīdz mums nodrošināt drošu, uzticamu un atjauninātu pieredzi.

Svarīgi

  • Atļautie trafika galapunkti MDM konfigurācijai ir norādīti šeit: Atļautais trafiks
    • CRL (Sertifikātu atsaukšanas saraksts) un OCSP (Tiešsaistes sertifikāta statusa protokols) tīkla trafiks nevar tikt atspējots un joprojām tiks rādīts tīkla izsekošanas datos. CRL un OCSP pārbaudes tiek veiktas attiecībā uz izdevējām sertificēšanas iestādēm. Microsoft ir viena no šīm iestādēm. Ir daudzas citas, piemēram, DigiCert, Thawte, Google, Symantec un VeriSign.
    • Ir noteikts trafiks, kas ir īpaši nepieciešams uz Microsoft Intune pamatotai Windows 10 UN Windows 11 ierīču pārvaldībai. Šis trafiks ietver Windows paziņojumu pakalpojumu (WNS), automātisko saknes sertifikātu atjauninājumu (ARCU) un dažus ar Windows Update saistītus trafikus. Iepriekšminētais trafiks ietver Microsoft Intune MDM Server atļauto trafiku, lai pārvaldītu Windows 10 un Windows 11 ierīces.
  • Drošības apsvērumu dēļ ir svarīgi rūpēties par to, kuri iestatījumi ir jākonfigurē, jo daži no tiem var samazināt ierīces drošību. Tādu iestatījumu piemēri, kas var novest pie mazāk drošu ierīču konfigurācijas, ietver: Windows Update atspējošanu, automātisko saknes sertifikātu atjaunināšanas atspējošanu un Windows Defender atspējošanu. Tādējādi mēs neiesakām atspējot nevienu no šiem līdzekļiem.
  • Lai nodrošinātu, ka Mākoņrisinājumu nodrošinātājam ir prioritāte pār grupu politikām konfliktu gadījumā, izmantojiet politiku ControlPolicyConflict.
  • Kad tiek piemēroti daži vai visi MDM/Mākoņrisinājumu nodrošinātāja iestatījumi, saites operētājsistēmā Windows Palīdzības saņemšana un Atsauksmes, iespējams, vairs nedarbosies.

Brīdinājums

Ja lietotājs izpilda komandu Atiestatīt šo datoru (Iestatījumi -> Atjaunināšana un drošība -> Atkopšana), izmantojot opciju Paturēt visu, tad Windows aizliegtā trafika ierobežotās funkcionalitātes iestatījumi ir jālieto atkārtoti, lai atkārtoti ierobežotu ierīces izejošo trafiku. Lai to paveiktu, klients ir atkārtoti jāreģistrē pakalpojumā Microsoft Intune. Izejošais trafiks var rasties periodā pirms aizliegtā trafika ierobežotās funkcionalitātes iestatījumu atkārtotas lietošanas. Ja lietotājs izpilda darbību Atiestatīt šo datoru, izmantojot opciju Paturēt manus failus, tad aizliegtā trafika ierobežotās funkcionalitātes iestatījumi saglabājas ierīcē, tāpēc klients paliek aizliegta trafika konfigurācijā atiestatīšanas ar opciju Paturēt manus failus laikā un pēc tās, kā arī nav nepieciešama atkārtota reģistrācija.

Papildinformāciju par Microsoft Intune, lūdzu, skatiet rakstā IT pakalpojumu piegādes pārveidošana jūsu modernajai darbvietai un Microsoft Intune dokumentācija.

Detalizētu informāciju par tīkla savienojumu pārvaldību ar tīmekļa Microsoft pakalpojumi, izmantojot Windows Iestatījumi, grupas politikas un reģistra iestatījumus skatiet rakstā Savienojumu pārvaldība no Windows operētājsistēmas komponentiem, lai Microsoft pakalpojumi.

Mēs vienmēr cenšamies pilnveidot mūsu dokumentāciju un gaidām jūsu atsauksmes. Varat sniegt atsauksmes, nosūtot e-pasta ziņojumu uz telmhelp@microsoft.com.

Iestatījumi izdevumam Windows 10 Enterprise 1903 un jaunākām versijām, un Windows 11

Tālāk esošajā tabulā ir norādītas pārvaldības opcijas katram iestatījumam.

Operētājsistēmai Windows 10 un Windows 11 ir pieejamas tālāk norādītās MDM politikas rakstā Politikas Mākoņrisinājumu nodrošinātājs.

  1. Automātisko saknes sertifikātu atjauninājums

    1. MDM politika: ar nolūku nav pieejama opcija MDM automātiskajai saknes sertifikāta atjaunināšanai. Šī MDM nepastāv, jo tas liegtu ierīču MDM ierīču pārvaldības pārvaldību.
  2. Cortana un meklēšana

    1. MDM politika: Pieredze/AllowCortana. Izvēlieties, vai atļaut instalēt Cortana un palaist ierīcē. Iestatīt uz 0 (nulle)
    2. MDM politika: Search/AllowSearchToUseLocation. Izvēlieties, vai Cortana un meklēšana var nodrošināt meklēšanas rezultātus, pamatojoties uz atrašanās vietu. Iestatīt uz 0 (nulle)
  3. Datums un laiks

    1. MDM politika: Iestatījumi/AllowDateTime. Ļauj lietotājam mainīt datuma un laika iestatījumus. Iestatīt uz 0 (nulle)
  4. Ierīces metadatu izgūšana

    1. MDM politika: DeviceInstallation/PreventDeviceMetadataFromNetwork. Izvēlieties, vai neļaut operētājsistēmai Windows izgūt ierīces metadatus no interneta. Iestatīt uz Iespējots
  5. Atrast manu ierīci

    1. MDM politika: Experience/AllowFindMyDevice. Šī politika ieslēdz Atrast manu ierīci. Iestatīt uz 0 (nulle)
  6. Fonta straumēšana

    1. MDM politika: System/AllowFontProviders. Iestatījums, kas nosaka, vai Windows drīkst lejupielādēt fontus un fontu kataloga datus no tiešsaistes fontu nodrošinātāja. Iestatīt uz 0 (nulle)
  7. Insider Preview būvējumi

    1. MDM politika: System/AllowBuildPreview. Šis politikas iestatījums nosaka, vai lietotāji var piekļūt Insider būvējuma vadīklām Windows Update papildu opcijās. Iestatīt uz 0 (nulle)
  8. Internet Explorer Tālāk norādītās Microsoft Internet Explorer MDM politikas ir pieejamas rakstā Internet Explorer Mākoņrisinājumu nodrošinātājs

    1. MDM politika: InternetExplorer/AllowSuggestedSites. Iesaka tīmekļa vietnes, kuru pamatā ir lietotāja pārlūkošanas darbība. Iestatīt uz Atspējots
    2. MDM politika: InternetExplorer/PreventManagingSmartScreenFilter. Neļauj lietotājam pārvaldīt Windows Defender SmartScreen, kas brīdina lietotāju gadījumā, ja apmeklētajā tīmekļa vietnē ir zināmi krāpnieciski mēģinājumi vākt personisko informāciju, izmantojot pikšķerēšanu, vai arī ir zināms, ka tās vieso ļaunprogrammatūru. Iestatīt uz virkni ar vērtību:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. MDM politika: InternetExplorer/DisableFlipAheadFeature. Nosaka, vai lietotājs var pavilkt pāri ekrānam vai noklikšķināt uz Pārsūtīt, lai pārietu uz nākamo iepriekš ielādēto tīmekļa vietnes lapu. Iestatīt uz Iespējots
    4. MDM politika: InternetExplorer/DisableHomePageChange. Nosaka, vai lietotāji var mainīt noklusējuma sākumlapu vai nē. Iestatīt uz virkni ar vērtību:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. MDM politika: InternetExplorer/DisableFirstRunWizard. Neļauj pārlūkam Internet Explorer palaist pirmo palaišanas vedni pirmo reizi, kad lietotājs palaiž pārlūku pēc Internet Explorer vai Windows instalēšanas. Iestatīt uz virkni ar vērtību:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>
  9. Dinamiskie elementi

    1. MDM politika: Notifications/DisallowTileNotification. Šis politikas iestatījums izslēdz elementu paziņojumus. Ja iespējosit šo politikas iestatījumu, programmas un sistēmas līdzekļi nevarēs atjaunināt to elementus un elementu žetonus Sākuma ekrānā. Veselu skaitļu vērtība 1
  10. Pasta sinhronizācija

    1. MDM politika: Accounts/AllowMicrosoftAccountConnection. Norāda, vai lietotājam ir atļauts izmantot MSA kontu ar e-pastu nesaistītu savienojumu autentifikācijai un pakalpojumiem. Iestatīt uz 0 (nulle)
  11. Microsoft konts

    1. MDM politika: Accounts/AllowMicrosoftAccountSignInAssistant. Atspējot Microsoft konta pierakstīšanās palīgu. Iestatīt uz 0 (nulle)
  12. Microsoft Edge Rakstā Politikas Mākoņrisinājumu nodrošinātājs ir pieejamas tālāk norādītās Microsoft Edge MDM politikas. Pilnīgu Microsoft Edge politiku sarakstu skatiet rakstā Pieejamās Microsoft Edge politikas.

    1. MDM politika: Browser/AllowAutoFill. Izvēlieties, vai darbinieki var izmantot automātisko aizpildījumu tīmekļa vietnēs. Iestatīt uz 0 (nulle)
    2. MDM politika: Browser/AllowDoNotTrack. Izvēlieties, vai darbinieki var nosūtīt galvenes Neizsekot. Iestatīt uz 0 (nulle)
    3. MDM politika: Browser/AllowMicrosoftCompatbilityList. Norādīt Microsoft saderības sarakstu pārlūkā Microsoft Edge. Iestatīt uz 0 (nulle)
    4. MDM politika: Browser/AllowPasswordManager. Izvēlieties, vai darbinieki var saglabāt paroles lokāli savās ierīcēs. Iestatīt uz 0 (nulle)
    5. MDM politika: Browser/AllowSearchSuggestionsinAddressBar. Izvēlieties, vai adrešu joslā ir parādīti meklēšanas ieteikumi. Iestatīt uz 0 (nulle)
    6. MDM politika: Browser/AllowSmartScreen. Izvēlieties, vai Windows Defender SmartScreen ir ieslēgts vai izslēgts. Iestatīt uz 0 (nulle)
  13. Tīkla savienojuma statusa indikators

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Piezīme: pēc šīs politikas lietošanas ir jārestartē ierīce, lai politikas iestatījumi stātos spēkā. Iestatīt uz 1 (viens)
  14. Bezsaistes kartes

    1. MDM politika: AllowOfflineMapsDownloadOverMeteredConnection. Ļauj lejupielādēt un atjaunināt kartes datus mērāmos savienojumos.
      Iestatīt uz 0 (nulle)
    2. MDM politika: EnableOfflineMapsAutoUpdate. Atspējo kartes datu automātisko lejupielādi un atjaunināšanu. Iestatīt uz 0 (nulle)
  15. OneDrive

    1. MDM politika: DisableOneDriveFileSync. Atļauj IT administratoriem novērst programmu un līdzekļu darbību ar failiem pakalpojumā OneDrive. Iestatīt uz 1 (viens)
    2. ADMX lietošana — lai saņemtu jaunāko OneDrive ADMX failu, ir nepieciešams atjaunināts Windows 10 vai Windows 11 klients. ADMX faili atrodas šajā ceļā:% LocalAppData%\Microsoft\OneDrive\ ir mape ar pašreizējo OneDrive būvējumu (piem., "18.162.0812.0001"). Šeit ir mape ar nosaukumu "adm", kurā ir admx and adml politikas definīcijas faili.
    3. MDM politika: novērš tīkla trafiku pirms lietotāja pierakstīšanās. PreventNetworkTrafficPreUserSignIn. OMA-URI vērtība ir: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, datu veids: Virkne, Vērtība:<enabled/>
  16. Konfidencialitātes iestatījumi Izņemot lapu Atsauksmes un diagnostika, šie iestatījumi ir jākonfigurē katra lietotāja, kas pierakstās datorā, kontam.

    1. Vispārēji - TextInput/AllowLinguisticDataCollection. Šis politikas iestatījums kontrolē iespēju sūtīt rakstīšanas ar tinti un rakstīšanas datus korporācijai Microsoft. Iestatīt uz 0 (nulle)
    2. Atrašanās vieta — System/AllowLocation. Norāda, vai atļaut programmas piekļuvi vietnoteices pakalpojumam. Iestatīt uz 0 (nulle)
    3. Kamera — Camera/AllowCamera. Atspējo vai iespējo kameru. Iestatīt uz 0 (nulle)
    4. Mikrofons — Privacy/LetAppsAccessMicrophone. Norāda, vai Windows programmas var piekļūt mikrofonam. Iestatīt uz 2 (divi)
    5. Paziņojumi — Privacy/LetAppsAccessNotifications. Norāda, vai Windows programmas var piekļūt paziņojumiem. Iestatīt uz 2 (divi)
    6. Paziņojumi — Settings/AllowOnlineTips. Iespējo vai atspējo tiešsaistes padomu un palīdzības par programmu Iestatījumi izgūšanu. Veselu skaitļu vērtība 0
    7. Runas ievade, rakstīšana ar tinti un rakstīšana — Privacy/AllowInputPersonalization. Šī politika norāda, vai ierīces lietotājiem ir iespēja iespējot tiešsaistes runas ievades atpazīšanu. Iestatīt uz 0 (nulle)
    8. Runas ievade, rakstīšana ar tinti un rakstīšana — TextInput/AllowLinguisticDataCollection. Šis politikas iestatījums kontrolē iespēju nosūtīt rakstīšanu ar tinti un rakstītos datus korporācijai Microsoft Iestatīt uz 0 (nulle)
    9. Konta informācija — Privacy/LetAppsAccessAccountInfo. Norāda, vai Windows programmas var piekļūt konta informācijai. Iestatīt uz 2 (divi)
    10. Kontaktpersonas — Privacy/LetAppsAccessContacts. Norāda, vai Windows programmas var piekļūt kontaktpersonām. Iestatīt uz 2 (divi)
    11. Kalendārs — Privacy/LetAppsAccessCalendar. Norāda, vai Windows programmas var piekļūt kalendāram. Iestatīt uz 2 (divi)
    12. Zvanu vēsture — Privacy/LetAppsAccessCallHistory. Norāda, vai Windows programmas var piekļūt konta informācijai. Iestatīt uz 2 (divi)
    13. E-pasts — Privacy/LetAppsAccessEmail. Norāda, vai Windows programmas var piekļūt e-pastam. Iestatīt uz 2 (divi)
    14. Ziņojumapmaiņa — Privacy/LetAppsAccessMessaging. Norāda, vai Windows programmas var lasīt vai sūtīt ziņojumus (tekstu vai MMS). Iestatīt uz 2 (divi)
    15. Tālruņa zvani — Privacy/LetAppsAccessPhone. Norāda, vai Windows programmas var veikt tālruņa zvanus. Iestatīt uz 2 (divi)
    16. Radioierīces — Privacy/LetAppsAccessRadios. Norāda, vai Windows programmām ir piekļuve, lai vadītu radioierīces. Iestatīt uz 2 (divi)
    17. Citas ierīces — Privacy/LetAppsSyncWithDevices. Norāda, vai Windows programmas var sinhronizēt ar ierīcēm. Iestatīt uz 2 (divi)
    18. Citas ierīces — Privacy/LetAppsAccessTrustedDevices. Norāda, vai Windows programmas var piekļūt uzticamajām ierīcēm. Iestatīt uz 2 (divi)
    19. Atsauksmes un diagnostika — System/AllowTelemetry. Atļaut ierīcei nosūtīt diagnostikas un lietojuma telemetrijas datus, piemēram, Watson. Iestatīt uz 0 (nulle)
    20. Atsauksmes un diagnostika — Experience/DoNotShowFeedbackNotifications. Neļauj ierīcēm parādīt atsauksmju jautājumus no korporācijas Microsoft. Iestatīt uz 1 (viens)
    21. Fona programmas — Privacy/LetAppsRunInBackground. Norāda, vai Windows programmas var darboties fonā. Iestatīt uz 2 (divi)
    22. Kustība — Privacy/LetAppsAccessMotion. Norāda, vai Windows programmas var piekļūt kustības datiem. Iestatīt uz 2 (divi)
    23. Uzdevumi — Privacy/LetAppsAccessTasks. Izslēgt iespēju izvēlēties, kurām programmām ir piekļuve uzdevumiem. Iestatīt uz 2 (divi)
    24. Programmu diagnostika — Privacy/LetAppsGetDiagnosticInfo. Piespiedu kārtā atļaut, piespiedu kārtā liegt vai piešķirt lietotāju kontroli pār programmām, kas var saņemt diagnostikas informāciju par citām palaistām programmām. Iestatīt uz 2 (divi)
  17. Programmatūras aizsardzības platforma - Licensing/DisallowKMSClientOnlineAVSValidation. Atteikties no KMS klienta aktivizēšanas datu automātiskas nosūtīšanas korporācijai Microsoft. Iestatīt uz 1 (viens)

  18. Krātuves darbspēja - Storage/AllowDiskHealthModelUpdates. Ļauj diskam veikt darbspējas modeļu atjauninājumus. Iestatīt uz 0 (nulle)

  19. Sinhronizēt iestatījumus - Experience/AllowSyncMySettings. Kontrolējiet, vai iestatījumi ir sinhronizēti. Iestatīt uz 0 (nulle)

  20. Teredo — MDM nav nepieciešams. Teredo ir Izslēgts pēc noklusējuma. Piegādes optimizācija (DO) var ieslēgt Teredo, taču pati DO ir izslēgta, izmantojot MDM.

  21. Wi-Fi sensors — MDM nav nepieciešams. Wi-Fi sensors vairs nav pieejams operētājsistēmas Windows 10 versijā 1803 un jaunākās versijās, vai Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Atvienoties no Microsoft Antimalware novēršanas pakalpojuma. Iestatīt uz 0 (nulle)
    2. Defender/SubmitSamplesConsent. Pārtraukt failu paraugu sūtīšanu atpakaļ korporācijai Microsoft. Iestatīt uz 2 (divi)
    3. Defender/EnableSmartScreenInShell. Izslēdz SmartScreen operētājsistēmā Windows attiecībā uz programmu un failu izpildi. Iestatīt uz 0 (nulle)
    4. Windows Defender SmartScreen - Browser/AllowSmartScreen. Atspējot Windows Defender Smartscreen. Iestatīt uz 0 (nulle)
    5. Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl. Kontrolē, vai lietotājiem ir atļauts instalēt programmas no vietām, kas nav Microsoft Store. Iestatīt uz 0 (nulle)
    6. Windows Defender potenciāli nevēlamo programmu (PUA) aizsardzība — Defender/PUAProtection. Norāda potenciāli nevēlamu programmu noteikšanas līmeni (PUA). Iestatīt uz 1 (viens)
    7. Defender/SignatureUpdateFallbackOrder. Ļauj noteikt secību, kādā ir jākontaktējas ar dažādiem definīciju atjaunināšanas avotiem. OMA-URI šim ir: ./Vendor/MSFT/Policy/config/Defender/SignatureUpdateFallbackOrder, datu tips: Virkne, Vērtība: FileShares
  23. Windows tematiskais ekrāns - Experience/AllowWindowsSpotlight. Atspējot Windows tematisko ekrānu. Iestatīt uz 0 (nulle)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Būla vērtība, kas atspējo visu no Microsoft Store instalēto programmu palaišanu, kuras bija iepriekš instalētas vai lejupielādētas. Iestatīt uz 1 (viens)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Norāda, vai ir atļauta Microsoft Store programmu automātiskā atjaunināšana. Iestatīt uz 0 (nulle)
  25. Programmas tīmekļa vietnēm - ApplicationDefaults/EnableAppUriHandlers. Šis politikas iestatījums nosaka, vai Windows atbalsta tīmekļa-programmu saistīšanu ar programmu URI apdarinātājiem. Iestatīt uz 0 (nulle)

  26. Windows Update piegādes optimizācijaPolitikas Mākoņrisinājumu nodrošinātājs ir pieejamas tālāk norādītās piegādes optimizēšanas MDM politikas.

    1. DeliveryOptimization/DODownloadMode. Ļauj izvēlēties, kur piegādes optimizācija saņem vai nosūta atjauninājumus un programmas. Iestatīt uz 99 (deviņdesmit deviņi)
  27. Windows Update

    1. Update/AllowAutoUpdate. Kontrolēt automātiskos atjauninājumus. Iestatīt uz 5 (pieci)
    2. Windows Update atļauj atjaunināšanas pakalpojumu — Update/AllowUpdateService. Norāda, vai ierīce var izmantot Microsoft Update, Windows Server atjaunināšanas pakalpojumus (WSUS) vai Microsoft Store. Iestatīt uz 0 (nulle)
    3. Windows Update pakalpojuma vietrādis URL — Update/UpdateServiceUrl. Ļauj ierīcei pārbaudīt, vai nav atjauninājumu no WSUS servera, nevis no Microsoft Update. Iestatīt virkni ar vērtību:
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target> <LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

Atļaut trafika Microsoft Intune/MDM konfigurācijām

Atļautie trafika galapunkti
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com