Ustawienia zgodności urządzeń dla Windows 10/11 w usłudze Intune

W tym artykule wymieniono i opisano różne ustawienia zgodności, które można skonfigurować na urządzeniach z systemem Windows w usłudze Intune. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby wymagać funkcji BitLocker, ustawić minimalny i maksymalny system operacyjny, ustawić poziom ryzyka przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender i nie tylko.

Ta funkcja ma zastosowanie do:

• Windows 10/11
• Windows Holographic for Business
• Surface Hub

Jako administrator usługi Intune użyj tych ustawień zgodności, aby chronić zasoby organizacji. Aby dowiedzieć się więcej na temat zasad zgodności i ich działania, zobacz Wprowadzenie do zgodności urządzeń.

Przed rozpoczęciem

Utwórz zasady zgodności. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.

Kondycja urządzenia

Reguły oceny usługi zaświadczania o kondycji systemu Windows

• Wymagaj funkcji BitLocker:
  Szyfrowanie dysków funkcji Windows BitLocker szyfruje wszystkie dane przechowywane na woluminie systemu operacyjnego Windows. Funkcja BitLocker używa modułu TPM (Trusted Platform Module) do ochrony systemu operacyjnego Windows i danych użytkowników. Pomaga również potwierdzić, że komputer nie jest naruszony, nawet jeśli jego lewa nienadzorowana, utracona lub skradziona. Jeśli komputer jest wyposażony w zgodny moduł TPM, funkcja BitLocker używa modułu TPM do blokowania kluczy szyfrowania, które chronią dane. W związku z tym nie można uzyskać dostępu do kluczy, dopóki moduł TPM nie weryfikuje stanu komputera.

  • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
  • Wymagaj — urządzenie może chronić dane przechowywane na dysku przed nieautoryzowanym dostępem, gdy system jest wyłączony lub hibernuje.

  Device HealthAttestation CSP — BitLockerStatus

  Uwaga

  W przypadku korzystania z zasad zgodności urządzeń w usłudze Intune należy pamiętać, że stan tego ustawienia jest mierzony tylko w czasie rozruchu. W związku z tym nawet jeśli szyfrowanie funkcji BitLocker mogło zostać zakończone — ponowne uruchomienie będzie wymagane, aby urządzenie wykryło to i stało się zgodne. Aby uzyskać więcej informacji, zobacz następujący blog pomocy technicznej firmy Microsoft dotyczący zaświadczania o kondycji urządzenia.

• Wymagaj włączenia bezpiecznego rozruchu na urządzeniu:

  • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
  • Wymagaj — system jest zmuszony do rozruchu do stanu zaufanego fabryki. Podstawowe składniki używane do rozruchu maszyny muszą mieć poprawne podpisy kryptograficzne, które są zaufane przez organizację, która wyprodukowała urządzenie. Oprogramowanie układowe UEFI weryfikuje podpis, zanim umożliwi uruchomienie komputera. Jeśli jakiekolwiek pliki zostaną naruszone, co spowoduje przerwanie ich podpisu, system nie zostanie uruchomiony.

  Uwaga

  Ustawienie Wymagaj bezpiecznego rozruchu na urządzeniu jest obsługiwane na niektórych urządzeniach TPM 1.2 i 2.0. W przypadku urządzeń, które nie obsługują modułu TPM 2.0 lub nowszego, stan zasad w usłudze Intune jest wyświetlany jako Niezgodny. Aby uzyskać więcej informacji na temat obsługiwanych wersji, zobacz Zaświadczanie o kondycji urządzenia.

• Wymagaj integralności kodu:
  Integralność kodu to funkcja, która weryfikuje integralność sterownika lub pliku systemowego za każdym razem, gdy jest ładowany do pamięci.

  • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
  • Wymagaj — wymagaj integralności kodu, która wykrywa, czy do jądra jest ładowany niepodpisany sterownik lub plik systemowy. Wykrywa również, czy plik systemowy został zmieniony przez złośliwe oprogramowanie lub uruchomiony przez konto użytkownika z uprawnieniami administratora.

Więcej zasobów:

• Aby uzyskać szczegółowe informacje na temat działania usługi zaświadczania o kondycji, zobacz Dostawca CSP zaświadczania o kondycji.
• Porada dotycząca pomocy technicznej: używanie ustawień zaświadczania o kondycji urządzenia w ramach zasad zgodności usługi Intune.

Właściwości urządzenia

Wersja systemu operacyjnego

Aby odnaleźć wersje kompilacji dla wszystkich Aktualizacje funkcji Windows 10/11 i Aktualizacje skumulowanych (do użycia w niektórych z poniższych pól), zobacz Informacje o wersji systemu Windows. Pamiętaj o uwzględnieniu odpowiedniego prefiksu wersji przed numerami kompilacji, takimi jak 10.0 dla Windows 10, jak pokazano w poniższych przykładach.

• Minimalna wersja systemu operacyjnego:
  Wprowadź minimalną dozwoloną wersję w formacie numeru major.minor.build.revision . Aby uzyskać poprawną wartość, otwórz wiersz polecenia i wpisz .ver Polecenie ver zwraca wersję w następującym formacie:

  Microsoft Windows [Version 10.0.17134.1]

  Jeśli urządzenie ma wcześniejszą wersję niż wprowadzona wersja systemu operacyjnego, jest zgłaszane jako niezgodne. Zostanie wyświetlony link z informacjami o sposobie uaktualniania. Użytkownik końcowy może wybrać uaktualnienie urządzenia. Po uaktualnieniu mogą uzyskiwać dostęp do zasobów firmy.

• Maksymalna wersja systemu operacyjnego:
  Wprowadź maksymalną dozwoloną wersję w formacie numeru major.minor.build.revision . Aby uzyskać poprawną wartość, otwórz wiersz polecenia i wpisz .ver Polecenie ver zwraca wersję w następującym formacie:

  Microsoft Windows [Version 10.0.17134.1]

  Gdy urządzenie korzysta z wersji systemu operacyjnego nowszej niż wprowadzona wersja, dostęp do zasobów organizacji jest blokowany. Użytkownik końcowy jest proszony o kontakt z administratorem IT. Urządzenie nie może uzyskać dostępu do zasobów organizacji, dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego.

• Minimalny system operacyjny wymagany dla urządzeń przenośnych:
  Wprowadź minimalną dozwoloną wersję w formacie numeru major.minor.build.

  Jeśli urządzenie ma wcześniejszą wersję wprowadzonej wersji systemu operacyjnego, jest zgłaszane jako niezgodne. Zostanie wyświetlony link z informacjami o sposobie uaktualniania. Użytkownik końcowy może wybrać uaktualnienie urządzenia. Po uaktualnieniu mogą uzyskiwać dostęp do zasobów firmy.

• Maksymalny system operacyjny wymagany dla urządzeń przenośnych:
  Wprowadź maksymalną dozwoloną wersję w numerze major.minor.build.

  Gdy urządzenie korzysta z wersji systemu operacyjnego nowszej niż wprowadzona wersja, dostęp do zasobów organizacji jest blokowany. Użytkownik końcowy jest proszony o kontakt z administratorem IT. Urządzenie nie może uzyskać dostępu do zasobów organizacji, dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego.

• Prawidłowe kompilacje systemu operacyjnego:
  Określ listę minimalnych i maksymalnych kompilacji systemu operacyjnego. Prawidłowe kompilacje systemu operacyjnego zapewniają dodatkową elastyczność w porównaniu z minimalną i maksymalną wersją systemu operacyjnego. Rozważmy scenariusz, w którym minimalna wersja systemu operacyjnego jest ustawiona na 10.0.18362.xxx (Windows 10 1903), a maksymalna wersja systemu operacyjnego jest ustawiona na 10.0.18363.xxx (Windows 10 1909). Ta konfiguracja umożliwia zidentyfikowanie urządzenia Windows 10 1903, na które nie zainstalowano ostatnio zainstalowanych aktualizacji zbiorczych, jako zgodne. Minimalna i maksymalna wersja systemu operacyjnego może być odpowiednia, jeśli ustandaryzowano pojedynczą wersję Windows 10, ale może nie spełniać wymagań, jeśli musisz używać wielu kompilacji, z których każda ma określone poziomy poprawek. W takim przypadku rozważ użycie prawidłowych kompilacji systemu operacyjnego, co umożliwia określenie wielu kompilacji zgodnie z poniższym przykładem.

  Największa obsługiwana wartość dla każdego z pól wersji, głównych, pomocniczych i kompilacji to 65535. Na przykład największa wartość, którą można wprowadzić, to 65535.65535.65535.65535.

  Przykład:
  Poniższa tabela jest przykładem zakresu dopuszczalnych wersji systemów operacyjnych dla różnych wersji Windows 10. W tym przykładzie trzy różne Aktualizacje funkcji zostały dozwolone (1809, 1909 i 2004). W szczególności tylko te wersje systemu Windows, które zastosowały aktualizacje zbiorcze od czerwca do września 2020 r., zostaną uznane za zgodne. To są tylko przykładowe dane. Tabela zawiera pierwszą kolumnę zawierającą tekst, który chcesz opisać, a następnie minimalną i maksymalną wersję systemu operacyjnego dla tego wpisu. Druga i trzecia kolumna musi być zgodna z prawidłowymi wersjami kompilacji systemu operacyjnego w formacie numeru major.minor.build.revision . Po zdefiniowaniu co najmniej jednego wpisu można wyeksportować listę jako plik wartości rozdzielanych przecinkami (CSV).

  Opis	Minimalna wersja systemu operacyjnego	Maksymalna wersja systemu operacyjnego
  Wygraj 10 2004 (czerwiec-wrzesień 2020)	10.0.19041.329	10.0.19041.508
  Wygraj 10 1909 (czerwiec-wrzesień 2020)	10.0.18363.900	10.0.18363.1110
  Wygraj 10 1809 (czerwiec-wrzesień 2020)	10.0.17763.1282	10.0.17763.1490

  Uwaga

  Jeśli w zasadach określisz wiele zakresów kompilacji wersji systemu operacyjnego, a urządzenie ma kompilację poza zgodnymi zakresami, Portal firmy powiadomi użytkownika urządzenia, że urządzenie jest niezgodne z tym ustawieniem. Należy jednak pamiętać, że z powodu ograniczeń technicznych komunikat korygowania zgodności pokazuje tylko pierwszy zakres wersji systemu operacyjnego określony w zasadach. Zalecamy udokumentowanie dopuszczalnych zakresów wersji systemu operacyjnego dla urządzeń zarządzanych w organizacji.

zgodność Configuration Manager

Dotyczy tylko urządzeń współzarządzanych z systemem Windows 10/11. Urządzenia tylko w usłudze Intune zwracają stan niedostępny.

• Wymagaj zgodności urządzenia z Configuration Manager:
  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie sprawdza żadnych ustawień Configuration Manager pod kątem zgodności.
  • Wymagaj — wymagaj, aby wszystkie ustawienia (elementy konfiguracji) w Configuration Manager były zgodne.

Zabezpieczenia systemu

Password (hasło)

• Wymagaj hasła do odblokowania urządzeń przenośnych:

  • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
  • Wymagaj — użytkownicy muszą wprowadzić hasło, aby mogli uzyskać dostęp do swojego urządzenia.

• Proste hasła:

  • Nie skonfigurowano (ustawienie domyślne) — użytkownicy mogą tworzyć proste hasła, takie jak 1234 lub 1111.
  • Blokuj — użytkownicy nie mogą tworzyć prostych haseł, takich jak 1234 lub 1111.

• Typ hasła:
  Wybierz wymagany typ hasła lub numeru PIN. Dostępne opcje:

  • Ustawienie domyślne urządzenia (domyślne) — wymaga hasła, numerycznego numeru PIN lub alfanumerycznego numeru PIN
  • Numeryczne — wymaganie hasła lub numerycznego numeru PIN
  • Alfanumeryczne — wymagaj hasła lub alfanumerycznego numeru PIN.

  Po ustawieniu wartości Alfanumeryczne dostępne są następujące ustawienia:

  • Złożoność hasła:
    Dostępne opcje:

    • Wymagaj cyfr i małych liter (wartość domyślna)
    • Wymagaj cyfr, małych liter i wielkich liter
    • Wymagaj cyfr, małych liter, wielkich liter i znaków specjalnych

    Porada

    Zasady haseł alfanumerycznych mogą być złożone. Zachęcamy administratorów do zapoznania się z CSP, aby uzyskać więcej informacji:

    • DeviceLock/AlphanumericDevicePasswordRequired CSP
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Minimalna długość hasła:
  Wprowadź minimalną liczbę cyfr lub znaków, które musi zawierać hasło.

• Maksymalna liczba minut braku aktywności przed wymaganiem hasła:
  Wprowadź czas bezczynności, zanim użytkownik będzie musiał ponownie wprowadzić hasło.

• Wygaśnięcie hasła (dni):
  Wprowadź liczbę dni przed wygaśnięciem hasła i należy utworzyć nowe, od 1 do 730.

• Liczba poprzednich haseł, aby zapobiec ponownemu użyciu:
  Wprowadź liczbę wcześniej używanych haseł, których nie można użyć.

• Wymagaj hasła, gdy urządzenie powróci ze stanu bezczynności (Mobile i Holographic):

  • Nie skonfigurowano (wartość domyślna)
  • Wymagaj — wymagaj, aby użytkownicy urządzeń wprowadzali hasło za każdym razem, gdy urządzenie wraca ze stanu bezczynności.

  Ważna

  Po zmianie wymagania dotyczącego hasła na pulpicie systemu Windows na użytkowników ma wpływ podczas następnego logowania, ponieważ wtedy urządzenie przechodzi z bezczynności do aktywnej. Użytkownicy z hasłami, które spełniają wymagania, nadal są monitowane o zmianę haseł.

Szyfrowanie

• Szyfrowanie magazynu danych na urządzeniu:
  To ustawienie dotyczy wszystkich dysków na urządzeniu.

  • Nie skonfigurowano (wartość domyślna)
  • Wymagaj — użyj polecenia Wymagaj , aby zaszyfrować magazyn danych na urządzeniach.

  DeviceStatus CSP — DeviceStatus/Compliance/EncryptionCompliance

  Uwaga

  Ustawienie Szyfrowanie magazynu danych na urządzeniu ogólnie sprawdza obecność szyfrowania na urządzeniu, a dokładniej na poziomie dysku systemu operacyjnego. Obecnie usługa Intune obsługuje tylko sprawdzanie szyfrowania za pomocą funkcji BitLocker. Aby uzyskać bardziej niezawodne ustawienie szyfrowania, rozważ użycie funkcji Wymagaj funkcji BitLocker, która korzysta z zaświadczania o kondycji urządzeń z systemem Windows w celu zweryfikowania stanu funkcji BitLocker na poziomie modułu TPM. Jednak korzystając z tego ustawienia, należy pamiętać, że może być wymagany ponowny rozruch, zanim urządzenie zostanie odzwierciedlone jako zgodne.

Zabezpieczenia urządzenia

• Zapora:

  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie kontroluje zapory systemu Windows ani nie zmienia istniejących ustawień.
  • Wymagaj — włącz zaporę systemu Windows i uniemożliwiaj użytkownikom jej wyłączenie.

  Dostawca CSP zapory

  Uwaga

  • Jeśli urządzenie zostanie natychmiast zsynchronizowane po ponownym uruchomieniu lub natychmiast zsynchronizuje przebudzenie po uśpieniu, to ustawienie może zostać wyświetlone jako błąd. Ten scenariusz może nie mieć wpływu na ogólny stan zgodności urządzenia. Aby ponownie ocenić stan zgodności, ręcznie zsynchronizuj urządzenie.

  • Jeśli konfiguracja jest stosowana (na przykład za pośrednictwem zasad grupy) do urządzenia, które konfiguruje zaporę systemu Windows w celu zezwolenia na cały ruch przychodzący lub wyłącza zaporę, ustawienie Zaporyna Wymagaj zwróci wartość Niezgodne, nawet jeśli zasady konfiguracji urządzeń usługi Intune włączają zaporę. Dzieje się tak, ponieważ obiekt zasad grupy zastępuje zasady usługi Intune. Aby rozwiązać ten problem, zalecamy usunięcie wszelkich powodujących konflikt ustawień zasad grupy lub migrację ustawień zasad grupy związanych z zaporą do zasad konfiguracji urządzeń usługi Intune. Ogólnie rzecz biorąc, zalecamy zachowanie ustawień domyślnych, w tym blokowania połączeń przychodzących. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące konfigurowania zapory systemu Windows.

• Moduł TPM (Trusted Platform Module):

  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie sprawdza urządzenia pod kątem wersji mikroukładu modułu TPM.
  • Wymagaj — usługa Intune sprawdza wersję mikroukładu modułu TPM pod kątem zgodności. Urządzenie jest zgodne, jeśli wersja mikroukładu modułu TPM jest większa niż 0 (zero). Urządzenie nie jest zgodne, jeśli na urządzeniu nie ma wersji modułu TPM.

  DeviceStatus CSP — DeviceStatus/TPM/SpecificationVersion

• Oprogramowanie antywirusowe:

  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie sprawdza żadnych rozwiązań antywirusowych zainstalowanych na urządzeniu.
  • Wymagaj — sprawdź zgodność przy użyciu rozwiązań antywirusowych zarejestrowanych w Zabezpieczenia Windows Center, takich jak Symantec i Microsoft Defender. Po ustawieniu pozycji Wymagaj urządzenie z wyłączonym lub nieaktualizacyjnym oprogramowaniem antywirusowym jest niezgodne.

  DeviceStatus CSP — DeviceStatus/Antivirus/Status

• Oprogramowanie chroniące przed złośliwym oprogramowaniem:

  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie sprawdza żadnych rozwiązań chroniących przed złośliwym oprogramowaniem zainstalowanych na urządzeniu.
  • Wymagaj — sprawdź zgodność przy użyciu rozwiązań antyszpiegowskich zarejestrowanych w Zabezpieczenia Windows Center, takich jak Symantec i Microsoft Defender. Po ustawieniu pozycji Wymagaj urządzenie z wyłączonym lub nieaktualnym oprogramowaniem chroniącym przed złośliwym kodem jest niezgodne.

  DeviceStatus CSP — DeviceStatus/Antispyware/Status

Defender

Następujące ustawienia zgodności są obsługiwane w programie Windows 10/11 Desktop.

• Microsoft Defender ochrona przed złośliwym kodem:

  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie kontroluje usługi ani nie zmienia istniejących ustawień.
  • Wymagaj — włącz Microsoft Defender usługę chroniącą przed złośliwym oprogramowaniem i uniemożliwiaj użytkownikom jej wyłączenie.

• Microsoft Defender minimalna wersja oprogramowania chroniącego przed złośliwym kodem:
  Wprowadź minimalną dozwoloną wersję Microsoft Defender usługi chroniącej przed złośliwym oprogramowaniem. Na przykład wprowadź 4.11.0.0. Gdy pozostanie pusta, można użyć dowolnej wersji Microsoft Defender usługi chroniącej przed złośliwym oprogramowaniem.

  Domyślnie żadna wersja nie jest skonfigurowana.

• Microsoft Defender Aktualna analiza zabezpieczeń oprogramowania chroniącego przed złośliwym kodem:
  Kontroluje aktualizacje ochrony przed wirusami i zagrożeniami Zabezpieczenia Windows na urządzeniach.

  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie wymusza żadnych wymagań.
  • Wymagaj — wymuszanie aktualności Microsoft Defender analizy zabezpieczeń.

  Dostawca CSP usługi Defender — Defender/Health/SignatureOutOfDate CSP

  Aby uzyskać więcej informacji, zobacz Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware (Aktualizacje analizy zabezpieczeń dla programu antywirusowego Microsoft Defender i innych programów chroniących przed złośliwym kodem firmy Microsoft).

• Ochrona w czasie rzeczywistym:

  • Nie skonfigurowano (ustawienie domyślne) — usługa Intune nie kontroluje tej funkcji ani nie zmienia istniejących ustawień.
  • Wymagaj — włącz ochronę w czasie rzeczywistym, która skanuje pod kątem złośliwego oprogramowania, programów szpiegujących i innego niechcianego oprogramowania.

  Dostawca CSP zasad — Defender/AllowRealtimeMonitoring CSP

Ochrona punktu końcowego w usłudze Microsoft Defender

reguły Ochrona punktu końcowego w usłudze Microsoft Defender

Aby uzyskać dodatkowe informacje na temat integracji Ochrona punktu końcowego w usłudze Microsoft Defender w scenariuszach dostępu warunkowego, zobacz Konfigurowanie dostępu warunkowego w Ochrona punktu końcowego w usłudze Microsoft Defender.

• Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny:
  To ustawienie służy do oceny ryzyka z usług ochrony przed zagrożeniami jako warunku zgodności. Wybierz maksymalny dozwolony poziom zagrożenia:

  • Nie skonfigurowano (wartość domyślna)
  • Wyczyść — ta opcja jest najbezpieczniejsza, ponieważ urządzenie nie może mieć żadnych zagrożeń. Jeśli urządzenie zostanie wykryte jako posiadające dowolny poziom zagrożeń, zostanie ocenione jako niezgodne.
  • Niski — urządzenie jest oceniane jako zgodne, jeśli występują tylko zagrożenia niskiego poziomu. Wszystko wyższe powoduje, że urządzenie jest w stanie niezgodnym.
  • Średni — urządzenie jest oceniane jako zgodne, jeśli istniejące zagrożenia na urządzeniu są na niskim lub średnim poziomie. Jeśli zostanie wykryte, że urządzenie ma zagrożenia wysokiego poziomu, zostanie ono uznane za niezgodne.
  • Wysoki — ta opcja jest najmniej bezpieczna i zezwala na wszystkie poziomy zagrożeń. Może to być przydatne, jeśli używasz tego rozwiązania tylko do celów raportowania.

  Aby skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender jako usługę ochrony przed zagrożeniami, zobacz Włączanie Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu dostępu warunkowego.

Windows Holographic for Business

Windows Holographic for Business używa platformy Windows 10 i nowszej. Windows Holographic for Business obsługuje następujące ustawienie:

• Zabezpieczenia> systemuSzyfrowania>Szyfrowanie magazynu danych na urządzeniu.

Aby zweryfikować szyfrowanie urządzenia na Microsoft HoloLens, zobacz Weryfikowanie szyfrowania urządzenia.

Surface Hub

Urządzenie Surface Hub korzysta z Windows 10 i nowszej platformy. Urządzenia Surface Hub są obsługiwane zarówno w przypadku zgodności, jak i dostępu warunkowego. Aby włączyć te funkcje w usłudze Surface Hubs, zalecamy włączenie automatycznej rejestracji systemu Windows w usłudze Intune (wymaga Tożsamość Microsoft Entra) i kierowanie urządzeń Surface Hub jako grup urządzeń. Urządzenia Surface Hub muszą być Microsoft Entra przyłączone w celu zapewnienia zgodności i dostępu warunkowego do działania.

Aby uzyskać wskazówki, zobacz Konfigurowanie rejestracji dla urządzeń z systemem Windows.

Szczególną uwagę należy wziąć pod uwagę w przypadku urządzeń Surface Hubs działających w systemie operacyjnym Windows 10/11 Team:
Urządzenia Surface Hub z systemem operacyjnym zespołu Windows 10/11 nie obsługują obecnie zasad zgodności Ochrona punktu końcowego w usłudze Microsoft Defender i haseł. W związku z tym w przypadku urządzeń Surface Hub z systemem operacyjnym zespołu Windows 10/11 ustaw następujące dwa ustawienia na wartość domyślną Nieskonfigurowane:

• W kategorii Hasło ustaw ustawienie Wymagaj hasła do odblokowania urządzeń przenośnych na wartość domyślną Nieskonfigurowane.

• W kategorii Ochrona punktu końcowego w usłudze Microsoft Defender ustaw opcję Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny na wartość domyślną Nieskonfigurowane.

Następne kroki

• Dodaj akcje dla niezgodnych urządzeń i użyj tagów zakresu do filtrowania zasad.
• Monitorowanie zasad zgodności.
• Zobacz ustawienia zasad zgodności dla urządzeń Windows 8.1.