Gerenciar conexões de componentes do sistema operacional Windows 10 e do Windows 11 com serviços Microsoft usando o Servidor MDM do Microsoft Intune

  • Artigo

Aplicável ao

  • Windows 11
  • Windows 10 Enterprise versão 1903 e mais recentes

Este artigo descreve as conexões de rede que os componentes Windows 10 e Windows 11 fazem à Microsoft e ao Provedor de Serviços de Gerenciamento/Configuração de Dispositivo Móvel (MDM/CSP) e políticas personalizadas do OMA Uniform Resource Identifier(OMA URI)disponíveis para profissionais de TI usando o Microsoft Intune para ajudar a gerenciar os dados compartilhados com a Microsoft. Caso queira minimizar as conexões do Windows com serviços Microsoft ou definir configurações de privacidade específica, existem algumas configurações que você deve considerar. Por exemplo, é possível configurar os dados de diagnóstico no nível mais baixo para a edição do Windows, além de também avaliar quais outras conexões o Windows estabelece com os serviços Microsoft que você deseja desativar usando as instruções deste artigo. Embora seja possível minimizar as conexões de rede com a Microsoft, há muitas razões para essas comunicações estarem habilitadas por padrão, como atualizar definições de malware e manter listas de revogação de certificados atualizadas. Esses dados nos ajudam a proporcionar uma experiência segura, confiável e atualizada.

Importante

  • Os pontos de extremidade de Tráfego Permitido para uma configuração de MDM são: Tráfego Permitido
    • O tráfego de rede CRL (Lista de Certificados Revogados) e OCSP (protocolo OCSP) não pode ser desabilitado e ainda aparecerá em rastreamentos de rede. As verificações CRL e OCSP são feitas para as autoridades certificadoras. A Microsoft é uma dessas autoridades. Existem muitas outras, como DigiCert, Thawte, Google, Symantec e VeriSign.
    • Há algum tráfego que é especificamente necessário para o gerenciamento baseado no Microsoft Intune de dispositivos Windows 10 e Windows 11. Esse tráfego inclui o WNS (Serviço de Notificação do Windows), a ARCU (Atualização Automática de Certificados Raiz) e algum tráfego relacionado ao Windows Update. O tráfego mencionado anteriormente compreende o Tráfego Permitido para o Servidor MDM do Microsoft Intune para gerenciar dispositivos Windows 10 e Windows 11.
  • Por segurança, é importante tomar cuidado ao decidir quais configurações definir, pois algumas delas podem resultar em um dispositivo menos seguro. Os exemplos de configurações que podem levar a uma configuração de dispositivo menos segura incluem: desabilitação do Windows Update, desabilitação da Atualização Automática de Certificados Raiz e desabilitação do Windows Defender. Dessa forma, não recomendamos desabilitar nenhum desses recursos.
  • Para garantir que os CSPs tenham prioridade sobre as Políticas de Grupo em caso de conflitos, use a política ControlPolicyConflict.
  • Os links Obter Ajuda e Enviar Comentários do Windows podem não funcionar mais após a aplicação de algumas ou todas as configurações de MDM/CSP.

Aviso

Se um usuário executar o comando "Redefinir este computador" (Configurações -> Atualizar e Segurança -> Recuperar) com a opção "Remover tudo", as >configurações de Funcionalidade Limitada de Tráfego Restrito do Windows precisarão ser redefinidas -aplicado para restringir novamente o tráfego de saída do dispositivo. >Para fazer isso, o cliente deve ser registrado novamente no serviço Microsoft Intune. O tráfego de saída pode ocorrer durante o período anterior à reaplicação>das configurações de funcionalidade Limitada de Tráfego Restrito. Se o usuário executar "Redefinir este computador" com a opção "Manter meus arquivos" >, as configurações da Funcionalidade Limitada de Tráfego restrito serão mantidas no dispositivo e, portanto, o cliente permanecerá em uma >Configuração de Tráfego Restrito durante e após a redefinição "Manter meus arquivos" e nenhuma novo registro é necessário.

Para obter mais informações sobre o Microsoft Intune, consulte Transformar a entrega do serviço de TI para seu local de trabalho moderno e a documentação do Microsoft Intune.

Para obter informações detalhadas sobre como gerenciar conexões de rede para serviços Microsoft usando as configurações do Windows, as configurações de Políticas de Grupo e registro consulte Gerenciar conexões de componentes do sistema operacional Windows para serviços Microsoft.

Estamos sempre nos esforçando para melhorar a nossa documentação e seus comentários são bem-vindos. Você pode fazer comentários pelo email telmhelp@microsoft.com.

Configurações para Windows 10 Enterprise edição 1903 e posterior e Windows 11

A tabela a seguir lista as opções de gerenciamento de cada configuração.

Para Windows 10 e Windows 11, as seguintes políticas de MDM estão disponíveis no CSP de Política.

  1. Atualização Automática de Certificados Raiz

    1. Política MDM: intencionalmente, não há nenhum MDM disponível para a Atualização Automática de Certificado Raiz. Esse MDM não existe porque isso impediria a operação e o gerenciamento do gerenciamento de dispositivos do MDM.

  2. Cortana e Pesquisa

    1. Política MDM: Experience/AllowCortana. Escolha se deseja permitir a instalação e execução da Cortana no dispositivo. Defina como 0 (zero)
    2. Política MDM: Search/AllowSearchToUseLocation. Escolha se a Cortana e a pesquisa podem fornecer resultados de pesquisa com reconhecimento de local. Defina como 0 (zero)

  3. Data e Hora

    1. Política MDM: Settings/AllowDateTime. Permite que o usuário altere as configurações de data e hora. Defina como 0 (zero)

  4. Recuperação de metadados de dispositivo

    1. Política MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Escolha se deseja impedir que o Windows recupere os metadados de dispositivo da Internet. Defina como Habilitado

  5. Localizar Meu Dispositivo

    1. Política MDM: Experience/AllowFindMyDevice. Essa política ativa Localizar Meu Dispositivo. Defina como 0 (zero)

  6. Streaming de fonte

    1. Política MDM: System/AllowFontProviders. Configuração que determina se o Windows tem permissão para baixar fontes e dados de catálogo de fontes de um provedor de fontes online. Defina como 0 (zero)

  7. Compilações do Insider Preview

    1. Política MDM: System/AllowBuildPreview. Essa configuração de política determina se os usuários podem acessar os controles de build do Insider nas Opções Avançadas do Windows Update. Defina como 0 (zero)

  8. Internet Explorer As políticas MDM do Microsoft Internet Explorer a seguir estão disponíveis no CSP do Internet Explorer

    1. Política MDM: InternetExplorer/AllowSuggestedSites. Recomenda sites com base na atividade de navegação do usuário. Defina como Desabilitado
    2. Política MDM: InternetExplorer/PreventManagingSmartScreenFilter. Impede que o usuário gerencie o Windows Defender SmartScreen, que avisa o usuário se o site que está sendo visitado é conhecido por tentativas fraudulentas de coletar informações pessoais por meio de "phishing" ou por hospedar malware. Defina como String com o valor:
      1. <habilitado/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. Política MDM: InternetExplorer/DisableFlipAheadFeature. Determina se um usuário pode deslizar o dedo em uma tela ou clicar em Avançar para ir até a próxima página pré-carregada de um site. Defina como Habilitado
    4. Política MDM: InternetExplorer/DisableHomePageChange. Determina se os usuários podem alterar a Home Page padrão ou não. Defina como String com o valor:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. Política MDM: InternetExplorer/DisableFirstRunWizard. Impede que o Internet Explorer execute o assistente de Primeira Execução na primeira vez em que um usuário iniciar o navegador depois de instalar o Internet Explorer ou o Windows. Defina como String com o valor:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Blocos Dinâmicos

    1. Política MDM: Notifications/DisallowTileNotification. Essa configuração de política desativa as notificações de bloco. Se você habilitar essa configuração de política, os recursos do sistema e aplicativos não poderão atualizar seus blocos e selos de bloco na tela inicial. Valor inteiro 1

  10. Sincronização de email

    1. Política MDM: Accounts/AllowMicrosoftAccountConnection. Especifica se o usuário tem permissão para usar uma conta Microsoft para serviços e autenticação de conexão não relacionados a email. Defina como 0 (zero)

  11. Conta Microsoft

    1. Política MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Desabilite o Assistente de Entrada da conta Microsoft. Defina como 0 (zero)

  12. Microsoft Edge As seguintes políticas MDM do Microsoft Edge estão disponíveis na CSP de políticas. Para obter uma lista completa das políticas do Microsoft Edge, consulte Políticas disponíveis para o Microsoft Edge.

    1. Política MDM: Browser/AllowAutoFill. Escolha se os funcionários podem usar o autopreenchimento em sites. Defina como 0 (zero)
    2. Política MDM: Browser/AllowDoNotTrack. Escolha se os funcionários podem enviar cabeçalhos Não Rastrear. Defina como 0 (zero)
    3. Política MDM: Browser/AllowMicrosoftCompatbilityList. Especifique a lista de compatibilidade da Microsoft no Microsoft Edge. Defina como 0 (zero)
    4. Política MDM: Browser/AllowPasswordManager. Escolha se os funcionários podem salvar senhas localmente em seus dispositivos. Defina como 0 (zero)
    5. Política MDM: Browser/AllowSearchSuggestionsinAddressBar. Escolha se a Barra de Endereços deve exibir sugestões de pesquisa. Defina como 0 (zero)
    6. Política MDM: Browser/AllowSmartScreen. Escolha se o Windows Defender SmartScreen será ativado ou desativado. Defina como 0 (zero)

  13. Indicador de Status de Conexão de Rede

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Observação: depois de aplicar essa política, você deverá reiniciar o dispositivo para a configuração de política entrar em vigor. Defina como 1 (um)

  14. Mapas offline

    1. Política MDM: AllowOfflineMapsDownloadOverMeteredConnection. Permite o download e a atualização de dados do mapa em conexões limitadas.
      Defina como 0 (zero)
    2. Política MDM: EnableOfflineMapsAutoUpdate. Desabilita o download e a atualização automáticos dos dados de mapa. Defina como 0 (zero)

  15. OneDrive

    1. Política MDM: DisableOneDriveFileSync. Permite que Administradores de TI impeçam que apps e recursos funcionem com arquivos no OneDrive. Defina como 1 (um)
    2. Ingerir o ADMX – para obter o arquivo ADMX mais recente do OneDrive, você precisa de um cliente Windows 10 ou Windows 11 atualizado. Os arquivos ADMX encontram-se no seguinte caminho: %LocalAppData%\Microsoft\OneDrive\, existe uma pasta com o build atual do OneDrive (por exemplo, "18.162.0812.0001"). Há uma pasta chamada "adm", que contém os arquivos de definição de política admx e adml.
    3. Política MDM: impedir o tráfego de rede antes da entrada do usuário. PreventNetworkTrafficPreUserSignIn. O valor OMA-URI é: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Tipo de dados: Cadeia de caracteres, Valor: </>

  16. Configurações de privacidade Com exceção da página Comentários e Diagnóstico, essas configurações devem ser definidas para cada conta de usuário que entra no computador.

    1. Geral - TextInput/AllowLinguisticDataCollection. Esta configuração de política controla a capacidade de enviar escrita à tinta e digitação de dados para a Microsoft. Defina como 0 (zero)
    2. Local - System/AllowLocation. Especifica se o aplicativo deve ter permissão para acessar o serviço de localização. Defina como 0 (zero)
    3. Câmera - Camera/AllowCamera. Desabilita ou habilita a câmera. Defina como 0 (zero)
    4. Microfone - Privacy/LetAppsAccessMicrophone. Especifica se os aplicativos do Windows podem acessar o microfone. Defina como 2 (dois)
    5. Notificações - Privacy/LetAppsAccessNotifications. Especifica se os aplicativos do Windows podem acessar notificações. Defina como 2 (dois)
    6. Notificações - Settings/AllowOnlineTips. Habilita ou desabilita a recuperação de dicas online e ajuda para o app Configurações. Valor inteiro 0
    7. Controle por voz, escrita à tinta, digitação - Privacy/AllowInputPersonalization. Essa política especifica se os usuários do dispositivo têm a opção de habilitar o reconhecimento de fala online. Defina como 0 (zero)
    8. Controle por voz, escrita à tinta e digitação - TextInput/AllowLinguisticDataCollection. Esta configuração de política controla a capacidade de enviar dados de tinta e digitação para a Microsoft Definir como 0 (zero)
    9. Informações da conta - Privacy/LetAppsAccessAccountInfo. Especifica se os aplicativos do Windows podem acessar informações da conta. Defina como 2 (dois)
    10. Contatos - Privacy/LetAppsAccessContacts. Especifica se os aplicativos do Windows podem acessar contatos. Defina como 2 (dois)
    11. Calendário - Privacy/LetAppsAccessCalendar. Especifica se os aplicativos do Windows podem acessar o calendário. Defina como 2 (dois)
    12. Histórico de chamadas - Privacy/LetAppsAccessCallHistory. Especifica se os aplicativos do Windows podem acessar informações da conta. Defina como 2 (dois)
    13. Email - Privacy/LetAppsAccessEmail. Especifica se os aplicativos do Windows podem acessar email. Defina como 2 (dois)
    14. Sistema de mensagens - Privacy/LetAppsAccessMessaging. Especifica se os aplicativos do Windows podem ler ou enviar mensagens (SMS ou MMS). Defina como 2 (dois)
    15. Chamadas telefônicas - Privacy/LetAppsAccessPhone. Especifica se os aplicativos do Windows podem fazer chamadas telefônicas. Defina como 2 (dois)
    16. Rádios - Privacy/LetAppsAccessRadios. Especifica se os aplicativos do Windows têm acesso ao controle de rádios. Defina como 2 (dois)
    17. Outros dispositivos - Privacy/LetAppsSyncWithDevices. Especifica se os aplicativos do Windows podem ser sincronizados com dispositivos. Defina como 2 (dois)
    18. Outros dispositivos - Privacy/LetAppsAccessTrustedDevices. Especifica se os aplicativos do Windows podem acessar dispositivos confiáveis. Defina como 2 (dois)
    19. Comentários e diagnóstico - System/AllowTelemetry. Permita que o dispositivo envie dados de telemetria de diagnóstico e telemetria, como o Watson. Defina como 0 (zero)
    20. Comentários e diagnóstico - Experience/DoNotShowFeedbackNotifications. Impede que os dispositivos mostrem perguntas de comentários da Microsoft. Defina como 1 (um)
    21. Apps em segundo plano - Privacy/LetAppsRunInBackground. Especifica se os aplicativos do Windows podem ser executados em segundo plano. Defina como 2 (dois)
    22. Movimento - Privacy/LetAppsAccessMotion. Especifica se os aplicativos do Windows podem acessar dados de movimento. Defina como 2 (dois)
    23. Tarefas - Privacy/LetAppsAccessTasks. Desativar a capacidade de escolher quais aplicativos têm acesso às tarefas. Defina como 2 (dois)
    24. Diagnóstico de Aplicativos - Privacy/LetAppsGetDiagnosticInfo. Forçar permissão, forçar negação ou dar ao usuário controle de apps que podem obter informações de diagnóstico sobre outros apps em execução. Defina como 2 (dois)

  17. Plataforma de Proteção de Software - Licensing/DisallowKMSClientOnlineAVSValidation. Cancele automaticamente o envio de dados de ativação do cliente KMS para o Microsoft. Defina como 1 (um)

  18. Integridade do Armazenamento - Storage/AllowDiskHealthModelUpdates. Permite atualizações do modelo de integridade do disco. Defina como 0 (zero)

  19. Sincronizar suas configurações - Experience/AllowSyncMySettings. Controle se suas configurações estão sincronizadas. Defina como 0 (zero)

  20. Teredo - não é necessário o MDM. O Teredo está Desativado por padrão. A Otimização de Entrega (DO) pode ativar o Teredo, mas ela própria é desativada por meio do MDM.

  21. Sensor de Wi-Fi - nenhum MDM necessário. O Sensor de Wi-Fi não está mais disponível Windows 10 versão 1803 e posterior ou Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Desconecte do Serviço de Proteção Antimalware da Microsoft. Defina como 0 (zero)
    2. Defender/SubmitSamplesConsent. Pare de enviar amostras de arquivo para a Microsoft. Defina como 2 (dois)
    3. Defender/EnableSmartScreenInShell. Desativa o SmartScreen no Windows para a execução de aplicativos e arquivos. Defina como 0 (zero)
    4. Windows Defender SmartScreen - Browser/AllowSmartScreen. Desabilita o Windows Defender SmartScreen. Defina como 0 (zero)
    5. Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl. Controla se os usuários têm permissão para instalar aplicativos de locais que não sejam a Microsoft Store. Defina como 0 (zero)
    6. Proteção PUA (Aplicativos Potencialmente Indesejados) do Windows Defender - Defender/PUAProtection. Especifica o nível de detecção de aplicativos potencialmente indesejados (PUAs). Defina como 1 (um)
    7. Defender/SignatureUpdateFallbackOrder. Permite que você defina a ordem na qual diferentes origens de atualização de definição devem ser contatadas. O OMA-URI para isso é: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Tipo de dados: String, Valor: FileShares

  23. Destaque do Windows - Experience/AllowWindowsSpotlight. Desabilite o Destaque do Windows. Defina como 0 (zero)

  24. A Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Valor booliano que desabilita a inicialização de todos os aplicativos da Microsoft Store que vêm pré-instalados ou que foram baixados. Defina como 1 (um)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Especifica se a atualização automática de apps da Microsoft Store é permitida. Defina como 0 (zero)

  25. Apps para sites - ApplicationDefaults/EnableAppUriHandlers. Essa configuração de política determina se o Windows dá suporte à vinculação da Web para o app com manipuladores de URI de app. Defina como 0 (zero)

  26. Otimização de Entrega do Windows Update - As seguintes políticas MDM de Otimização de Entrega estão disponíveis em CSP de políticas.

    1. DeliveryOptimization/DODownloadMode. Permite que você escolha de (ou para) onde a Otimização de Entrega obtém ou envia atualizações e apps. Definido como 99 (noventa e nove)

  27. Windows Update

    1. Update/AllowAutoUpdate. Controle as atualizações automáticas. Defina como 5 (cinco)
    2. Serviço Permitir Atualização do Windows Update - Update/AllowUpdateService. Especifica se o dispositivo pode usar o Microsoft Update, o WSUS (Windows Server Update Services) ou a Microsoft Store. Defina como 0 (zero)
    3. URL de Serviço do Windows Update - Update/UpdateServiceUrl. Permite que o dispositivo verifique se há atualizações de um servidor WSUS em vez do Microsoft Update. Defina como String com o Valor:
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Recomendações
    a. HideRecentJumplists configuração no provedor de serviços de configuração de política inicial (CSP). Para ocultar uma lista de aplicativos e arquivos recomendados na seção Recomendado do menu Iniciar.

Tráfego permitido para configurações do Microsoft Intune / MDM

Pontos de extremidade de tráfego permitidos
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com