Spravovanie pripojení zo súčastí operačných systémov Windows 10 a Windows 11 k službám Microsoft pomocou servera MDM služby Microsoft Intune
Vzťahuje sa na
- Windows 11
- Windows 10 Enterprise verzie 1903 a novšiu
Tento článok opisuje sieťové pripojenia, ktoré súčasti Windowsu 10 a Windowsu 11 vytvárajú k službám Microsoft a poskytovateľom služieb správy mobilných zariadení/poskytovateľom konfiguračných služieb (MDM/CSP) a prispôsobeným politikám Open Mobile Alliance Uniform Resource Identifier (OMA URI) dostupným pre odborníkov v oblasti IT používajúcim Microsoft Intune na pomoc pri spravovaní údajov zdieľaných so spoločnosťou Microsoft. Ak chcete minimalizovať pripojenia zo systému Windows k službám Microsoftu alebo konfigurovať nastavenia ochrany osobných údajov, existuje niekoľko nastavení, ktoré treba zvážiť. Môžete napríklad nakonfigurovať diagnostické údaje na najnižšej úrovni pre vydanie systému Windows a vyhodnotiť ďalšie pripojenia, ktoré Windows sprístupňuje službám Microsoftu, ktoré chcete vypnúť pomocou pokynov v tomto článku. Hoci je možné minimalizovať sieťové pripojenia k spoločnosti Microsoft, existuje veľa dôvodov, prečo sú tieto spôsoby komunikácie, ako napríklad aktualizácia definícií malvéru a udržiavanie aktuálnych zoznamov zrušených certifikátov, predvolene povolené. Tieto údaje nám pomáhajú poskytovať bezpečné, spoľahlivé a aktuálne prostredie.
Dôležité
- Koncové body povoleného prenosu pre konfiguráciu MDM sú uvedené tu: Povolené prenosy
- Sieťové prenosy CRL (zoznam zrušených certifikátov) a protokol OCSP (stavový protokol certifikátu online) nie je možné vypnúť a stále sa bude zobrazovať medzi trasami v sieti. Kontroly protokolov CRL a OCSP vykonávajú orgány vydávajúce certifikáciu. Spoločnosť Microsoft je jedným z týchto orgánov. Existuje i mnoho ďalších orgánov, ako sú napríklad DigiCert, Thawte, Google, Symantec a VeriSign.
- Existujú niektoré prenosy, ktoré sú špecificky požadované pre správu zariadení s Windowsom 10 a Windowsom 11 využívajúcich službu Microsoft Intune. Tieto prenosy zahŕňajú Službu oznámení systému Windows (WNS), Automatickú aktualizáciu koreňových certifikátov (ARCU) a niektoré prenosy súvisiace s Windows Update. Vyššie uvedený prenos zahŕňa povolený prenos pre server MDM služby Microsoft Intune na správu zariadení s Windowsom 10 a Windowsom 11.
- Z bezpečnostných dôvodov je dôležité dbať na to, aby ste sa rozhodli, ktoré nastavenia nakonfigurujete, pretože niektoré z nich môžu znížiť mieru zabezpečenia zariadenia. K nastaveniam, ktoré môžu viesť k zníženiu miery zabezpečenia konfigurácie zariadenia, patria: vypnutie Windows Update, vypnutie automatickej aktualizácie koreňových certifikátov a vypnutie Windows Defendera. Preto neodporúčame vypínať žiadne z týchto funkcií.
- Ak chcete zaistiť, aby CSP mal v prípade konfliktov prednosť pred skupinovými politikami, použite politiku ControlPolicyConflict.
- Prepojenia Získať pomoc a Poskytnúť pripomienky vo Windowse už nemusia fungovať po použití niektorých alebo všetkých nastavení MDM/CSP.
Upozornenie
Ak používateľ spustí príkaz Obnoviť výrobné nastavenia tohto PC (Nastavenia –> Aktualizácia a zabezpečenie –> Obnovenie) s možnosťou Odstrániť všetko, >nastavenia plánu na obmedzené prenosy vo Windowse bude potrebné opätovne použiť, aby výstupné prenosy zariadenia boli naďalej obmedzené. >Ak to chcete urobiť, klient musí byť znova zaregistrovaný v službe Microsoft Intune. Počas obdobia pred opätovným použitím nastavení plánu na obmedzené >prenosy vo Windowse môže dochádzať k výstupným prenosom. Ak používateľ spustí príkaz Obnoviť výrobné nastavenia PC s vybratou možnosťou Ponechať moje súbory, >nastavenia plánu na obmedzené prenosy vo Windowse sa zachovajú v zariadení a klient preto zostane v konfigurácii obmedzených prenosov počas obnovenia výrobných nastavení s možnosťou >Ponechať moje súbory aj po ňom a opätovná registrácia nie je potrebná.
Ďalšie informácie o službe Microsoft Intune nájdete v témach Transformácia poskytovania IT služieb pre vaše moderné pracovisko a Dokumentácia k službe Microsoft Intune.
Podrobné informácie o správe sieťových pripojení k službám Microsoft pomocou Nastavení systému Windows, nastavení skupinovej politiky a databázy Registry nájdete v téme Spravovanie pripojení zo súčastí operačného systému Windows k službám Microsoft.
Neustále sa snažíme našu dokumentáciu zlepšovať a privítame vaše pripomienky. Pripomienky nám môžete poskytnúť odoslaním e-mailu na adresu telmhelp@microsoft.com.
Nastavenia pre vydanie Windows 10 Enterprise verzie 1903 a novšej a Windows 11
V nasledujúcej tabuľke sú uvedené možnosti správy pre každé nastavenie.
Pre Windows 10 a Windows 11 sú v rámci Politiky CSPk dispozícii nasledujúce politiky MDM.
Automatická aktualizácia koreňových certifikátov
- Politika MDM: pre Automatickú aktualizáciu koreňových certifikátov nie je zámerne k dispozícii žiadna MDM. Táto MDM neexistuje, pretože by to znemožnilo fungovanie a správu zariadení na spravovanie služby MDM.
Cortana a vyhľadávanie
- Politika MDM: Experience/AllowCortana. Vyberte, či chcete povoliť inštaláciu a spúšťanie Cortany v zariadení. Nastavené na hodnotu 0 (nula)
- Politika MDM: Search/AllowSearchToUseLocation. Vyberte, či môžu Cortana a vyhľadávanie poskytovať výsledky hľadania založené na polohe. Nastavené na hodnotu 0 (nula)
Dátum a čas
- Politika MDM: Settings/AllowDateTime. Umožňuje používateľovi zmeniť nastavenia dátumu a času. Nastavené na hodnotu 0 (nula)
Načítanie metaúdajov zariadenia
- Politika MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Vyberte, či chcete zabrániť Windowsu v získavaní metaúdajov zariadenia z internetu. Nastavená na možnosť Zapnuté
Nájsť moje zariadenie
- Politika MDM: Experience/AllowFindMyDevice. Táto politika zapne funkciu Nájsť moje zariadenie. Nastavené na hodnotu 0 (nula)
Streamovanie písma
- Politika MDM: System/AllowFontProviders. Nastavenie, ktoré určuje, či má systém Windows povolené sťahovať písma a údaje z katalógu písiem od poskytovateľa písma online. Nastavené na hodnotu 0 (nula)
Zostavy Insider Preview
- Politika MDM: System/AllowBuildPreview. Toto nastavenie politiky určuje, či používatelia môžu získať prístup k ovládacím prvkom zostavy Insider v rozšírených možnostiach služby Windows Update. Nastavené na hodnotu 0 (nula)
Internet Explorer V časti Internet Explorer CSP sú k dispozícii nasledujúce politiky MDM pre Microsoft Internet Explorer
- Politika MDM: InternetExplorer/AllowSuggestedSites. Odporúča webové lokality na základe aktivity používateľa v prehliadači. Nastavené na možnosť Vypnuté
- Politika MDM: InternetExplorer/PreventManagingSmartScreenFilter. Zabráni používateľovi v správe filtra Windows Defender, ktorý upozorní používateľa na to, že navštívená webová lokalita je známa pri podvodných pokusoch o zhromažďovanie osobných informácií prostredníctvom neoprávneného získavania údajov, alebo je známe, že hosťuje malvér. Nastavené na reťazec s hodnotou:
- <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
- Politika MDM: InternetExplorer/DisableFlipAheadFeature. Určuje, či používateľ môže potiahnutím prstom po obrazovke alebo prekliknutím sa prejsť na nasledujúcu vopred načítanú stránku určitej webovej lokality. Nastavené na možnosť zapnuté
- Politika MDM: InternetExplorer/DisableHomePageChange. Určuje, či používatelia môžu zmeniť predvolenú domovskú stránku alebo nie. Nastavené na reťazec s hodnotou:
- <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
- Politika MDM: InternetExplorer/DisableFirstRunWizard. Zabráni Internet Exploreru spustiť Sprievodcu prvým spustením pri prvom spustení prehliadača po inštalácii Internet Explorera alebo Windowsu. Nastavené na reťazec s hodnotou:
- <enabled/><data id=”FirstRunOptions” value=”1”/>
Dynamické dlaždice
- Politika MDM: Notifications/DisallowTileNotification. Toto nastavenie politiky vypne oznámenia dlaždíc. Ak zapnete toto nastavenie politiky, aplikácie a funkcie systému nebudú môcť aktualizovať svoje dlaždice a štítky dlaždíc na domovskej obrazovke. Celočíselná hodnota 1
Synchronizácia pošty
- Politika MDM: Accounts/AllowMicrosoftAccountConnection. Určuje, či má používateľ povolenie používať konto Microsoft na overenie pripojenia a služby nesúvisiace s e-mailom. Nastavené na hodnotu 0 (nula)
Konto Microsoft
- Politika MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Vypnutie asistenta prihlasovania do konta Microsoft. Nastavené na hodnotu 0 (nula)
Microsoft Edge Nasledujúce politiky MDM pre Microsoft Edge sú k dispozícii v časti Poskytovateľ CSP politiky. Úplný zoznam politík pre Microsoft Edge nájdete v téme Dostupné politiky pre Microsoft Edge.
- Politika MDM: Browser/AllowAutoFill. Vyberte, či môžu zamestnanci používať na webových lokalitách automatické dopĺňanie. Nastavené na hodnotu 0 (nula)
- Politika MDM: Browser/AllowDoNotTrack. Vyberte, či môžu zamestnanci odosielať hlavičky Nesledovať. Nastavené na hodnotu 0 (nula)
- Politika MDM: Browser/AllowMicrosoftCompatbilityList. Zadajte zoznam kompatibility pre Microsoft v Microsoft Edgei. Nastavené na hodnotu 0 (nula)
- Politika MDM: Browser/AllowPasswordManager. Vyberie, či môžu zamestnanci ukladať heslá lokálne do svojich zariadení. Nastavené na hodnotu 0 (nula)
- Politika MDM: Browser/AllowSearchSuggestionsinAddressBar. Vyberie, či sa na paneli s adresou majú zobrazovať návrhy vyhľadávania. Nastavené na hodnotu 0 (nula)
- Politika MDM: Browser/AllowSmartScreen. Vyberte, či bude filter Windows Defender SmartScreen zapnutý alebo vypnutý. Nastavené na hodnotu 0 (nula)
Indikátor stavu sieťového pripojenia
- Connectivity/DisallowNetworkConnectivityActiveTests. Poznámka: Po použití tejto politiky je potrebné zariadenie reštartovať. Až vtedy sa nastavenie politiky prejaví.. Nastavené na hodnotu 1 (jeden)
Offline mapy
- Politika MDM: AllowOfflineMapsDownloadOverMeteredConnection. Umožňuje sťahovanie a aktualizáciu údajov pre mapy cez pripojenia účtované podľa objemu údajov.
Nastavené na hodnotu 0 (nula) - Politika MDM: EnableOfflineMapsAutoUpdate. Vypne automatické sťahovanie a aktualizácie údajov pre mapy. Nastavené na hodnotu 0 (nula)
- Politika MDM: AllowOfflineMapsDownloadOverMeteredConnection. Umožňuje sťahovanie a aktualizáciu údajov pre mapy cez pripojenia účtované podľa objemu údajov.
OneDrive
- Politika MDM: DisableOneDriveFileSync. Umožňuje správcom IT zabrániť aplikáciám a funkciám, aby pracovali so súbormi vo OneDrive. Nastavené na hodnotu 1 (jeden)
- Prijať ADMX – Na získanie najnovšieho súboru OneDrive ADMX potrebujete aktuálneho klienta Windows 10 alebo Windows 11. Cesta k súborom ADMX je nasledovná: %LocalAppData%\Microsoft\OneDrive\ nachádza sa tu priečinok s aktuálnou zostavou OneDrivu (napríklad „18.162.0812.0001“). Nachádza sa tu priečinok s názvom „adm“, ktorý obsahuje súbory s definíciami politiky admx a adml.
- Politika MDM: pred prihlásením používateľa zabráňte sieťovým prenosom. PreventNetworkTrafficPreUserSignIn. Hodnota OMA-URI je: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, typ údajov: reťazec, hodnota: <enabled/>
Nastavenia ochrany osobných údajov S výnimkou stránky Pripomienky a diagnostika musia byť tieto nastavenia nakonfigurované pre všetky používateľské kontá, ktoré sa prihlásia do PC.
- Všeobecné – TextInput/AllowLinguisticDataCollection. Toto nastavenie politiky určuje možnosť odosielania údajov o písaní rukou a na klávesnici spoločnosti Microsoft. Nastavené na hodnotu 0 (nula)
- Umiestnenie – System/AllowLocation. Určuje, či sa má aplikácii povoliť prístup k službe určenia polohy. Nastavené na hodnotu 0 (nula)
- Kamera – Camera/AllowCamera. Vypne alebo zapne kameru. Nastavené na hodnotu 0 (nula)
- Mikrofón – Privacy/LetAppsAccessMicrophone. Určuje, či majú aplikácie pre Windows prístup k mikrofónu. Nastavené na hodnotu 2 (dva)
- Oznámenia – Privacy/LetAppsAccessNotifications. Určuje, či aplikácie pre Windows majú mať prístup k oznámeniam. Nastavené na hodnotu 2 (dva)
- Oznámenia – Settings/AllowOnlineTips. Zapína alebo vypína načítanie online tipov a Pomocníka pre aplikáciu nastavenia. Celočíselná hodnota 0
- Reč, písanie rukou a písanie na klávesnici – Privacy/AllowInputPersonalization. Táto politika určuje, či majú používatelia v zariadení možnosť povoliť online rozpoznávanie reči. Nastavené na hodnotu 0 (nula)
- Reč, písanie rukou a písanie na klávesnici – TextInput/AllowLinguisticDataCollection. Toto nastavenie politiky určuje možnosť odosielania údajov o písaní rukou a na klávesnici spoločnosti Microsoft Nastavené na hodnotu 0 (nula)
- Informácie o konte – Privacy/LetAppsAccessAccountInfo. Určuje, či aplikácie systému Windows môžu získať prístup k informáciám o konte. Nastavené na hodnotu 2 (dva)
- Kontakty – Privacy/LetAppsAccessContacts. Určuje, či majú aplikácie systému Windows prístup ku kontaktom. Nastavené na hodnotu 2 (dva)
- Kalendár – Privacy/LetAppsAccessCalendar. Určuje, či majú aplikácie systému Windows prístup ku kalendáru. Nastavené na hodnotu 2 (dva)
- História hovorov – Privacy/LetAppsAccessCallHistory. Určuje, či aplikácie systému Windows môžu získať prístup k informáciám o konte. Nastavené na hodnotu 2 (dva)
- E-mail – Privacy/LetAppsAccessEmail. Určuje, či majú aplikácie systému Windows prístup k e-mailom. Nastavené na hodnotu 2 (dva)
- Výmena správ – Privacy/LetAppsAccessMessaging. Určuje, či aplikácie systému Windows môžu čítať alebo odosielať správy (SMS alebo MMS). Nastavené na hodnotu 2 (dva)
- Telefonické hovory – Privacy/LetAppsAccessPhone. Určuje, či aplikácie systému Windows môžu uskutočňovať telefonické hovory. Nastavené na hodnotu 2 (dva)
- Vysielače – Privacy/LetAppsAccessRadios. Určuje, či majú aplikácie systému Windows prístup k ovládaniu vysielačov. Nastavené na hodnotu 2 (dva)
- Ostatné zariadenia – Privacy/LetAppsSyncWithDevices. Určuje, či sa aplikácie systému Windows môžu synchronizovať so zariadeniami. Nastavené na hodnotu 2 (dva)
- Ostatné zariadenia – Privacy/LetAppsAccessTrustedDevices. Určuje, či aplikácie systému Windows majú možnosť prístupu k dôveryhodným zariadeniam. Nastavené na hodnotu 2 (dva)
- Pripomienky a diagnostika – System/AllowTelemetry. Povoliť, aby zariadenie odosielalo diagnostické údaje a údaje o používaní telemetrie, ako napríklad Watson. Nastavené na hodnotu 0 (nula)
- Pripomienky a diagnostika – Experience/DoNotShowFeedbackNotifications. Zabraňuje zariadeniam zobrazovať otázky týkajúce sa pripomienok od spoločnosti Microsoft. Nastavené na hodnotu 1 (jeden)
- Aplikácie na pozadí – Privacy/LetAppsRunInBackground. Určuje, či sa aplikácie systému Windows môžu spúšťať na pozadí. Nastavené na hodnotu 2 (dva)
- Pohyb – Privacy/LetAppsAccessMotion. Určuje, či aplikácie systému Windows majú umožnený prístup k údajom o pohybe. Nastavené na hodnotu 2 (dva)
- Úlohy – Privacy/LetAppsAccessTasks. Vypnutie možnosti výberu, ktoré aplikácie majú prístup k údajom o úlohách. Nastavené na hodnotu 2 (dva)
- Diagnostika aplikácií – Privacy/LetAppsGetDiagnosticInfo. Vynútenie povolenia, vynútenie odmietnutia alebo poskytnutie povolenia používateľovi na ovládanie aplikácií, ktoré môžu získavať diagnostické informácie o iných spustených aplikáciách. Nastavené na hodnotu 2 (dva)
- Platforma na ochranu pred softvéromLicensing/DisallowKMSClientOnlineAVSValidation. Explicitný nesúhlas s tým, aby server na správu kľúčov odosielal automaticky Microsoftu údaje o aktivácii klienta. Nastavené na hodnotu 1 (jeden)
- Stav úložiskaStorage/AllowDiskHealthModelUpdates. Povoľuje aktualizácie stavu modelu disku. Nastavené na hodnotu 0 (nula)
Synchronizácia nastavení - Experience/AllowSyncMySettings. Skontrolujte, či sú nastavenia synchronizované. Nastavené na hodnotu 0 (nula)
Teredo – nie je potrebná žiadna MDM. Teredo je predvolene vypnuté. Optimalizáciou doručovania (DO) je možné zapnúť službu Teredo, ale samotná DO sa vypína cez MDM.
Senzor Wi-Fi – nie je potrebná žiadna MDM. Senzor Wi-Fi už nie je k dispozícii vo Windowse 10 verzie 1803 a novšej a Windowse 11.
Windows Defender
- Defender/AllowCloudProtection. Odpojenie od služby Microsoft na ochranu pred malvérom Nastavené na hodnotu 0 (nula)
- Defender/SubmitSamplesConsent. Nastavenie, aby sa ukážky súborov neodosielali späť Microsoftu. Nastavené na hodnotu 2 (dva)
- Defender/EnableSmartScreenInShell. Vypne filter SmartScreen vo Windowse na vykonávanie aplikácií a súborov. Nastavené na hodnotu 0 (nula)
- Windows Defender Smartscreen – Browser/AllowSmartScreen. Vypnite filter Windows Defender Smartscreen. Nastavené na hodnotu 0 (nula)
- Windows Defender SmartScreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Kontroluje, či používatelia môžu inštalovať aplikácie z iných umiestnení, ako je Microsoft Store. Nastavené na hodnotu 0 (nula)
- Ochrana Windows Defendera pred potenciálne nechcenými aplikáciami (PUA) – Defender/PUAProtection. Určuje úroveň detekcie potenciálne nechcených aplikácií (PUA). Nastavené na hodnotu 1 (jeden)
- Defender/SignatureUpdateFallbackOrder. Umožňuje definovať poradie, v akom sa majú kontaktovať rozličné zdroje aktualizácií definícií. OMA-URI pre túto politiku je: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Typ údajov: reťazec, Hodnota: FileShares
Windows Novinky - Experience/AllowWindowsSpotlight. Vypnutie Windows Noviniek. Nastavené na hodnotu 0 (nula)
Microsoft Store
- ApplicationManagement/DisableStoreOriginatedApps. Booleovská hodnota, ktorá vypne spúšťanie všetkých aplikácií operačného systému z Microsoft Storu, ktoré boli vopred nainštalované alebo stiahnuté. Nastavené na hodnotu 1 (jeden)
- ApplicationManagement/AllowAppStoreAutoUpdate. Určuje, či sú povolené automatické aktualizácie aplikácií z Microsoft Storu. Nastavené na hodnotu 0 (nula)
Aplikácie pre webové lokality - ApplicationDefaults/EnableAppUriHandlers. Toto nastavenie politiky určuje, či systém Windows podporuje prepájanie webu s aplikáciami pomocou obslužných programov indikátorov URI aplikácie. Nastavené na hodnotu 0 (nula)
Optimalizácia doručovania lokality Windows Update – v rámci politiky CSPsú k dispozícii nasledujúce politiky MDM na optimalizáciu doručovania.
- DeliveryOptimization/DODownloadMode. Umožňuje vybrať miesto, odkiaľ optimalizácia doručovania získava aktualizácie a aplikácie alebo kam ich odosiela. Nastavené na 99 (deväťdesiatdeväť)
Windows Update
- Update/AllowAutoUpdate. Ovládanie automatických aktualizácií. Nastavené na hodnotu 5 (päť)
- Povolenie služby aktualizácií Windows Update – Update/AllowUpdateService. Určuje, či zariadenie môže používať službu Microsoft Update, Windows Server Update Services (WSUS) alebo Microsoft Store. Nastavené na hodnotu 0 (nula)
- Identifikátor URL služby Windows Update – Update/UpdateServiceUrl. Umožňuje zariadeniam vyhľadávať aktualizácie zo servera služby WSUS namiesto služby Microsoft Update. Nastavené na reťazec s hodnotou:
- <Nahradiť><CmdID>$CmdID$<Položka><Meta><Formát>chr<Typ>text/plain</Meta><Cieľ><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>
Odporúčania
a. Nastavenie HideRecentJumplists v poskytovateľovi konfigurácie politiky spustenia (CSP). Ak chcete skryť zoznam odporúčaných aplikácií a súborov v časti Odporúčané na domovskej obrazovke.
Povolené prenosy pre konfigurácie služby Microsoft Intune/MDM
Koncové body povoleného prenosu |
---|
activation-v2.sls.microsoft.com/* |
cdn.onenote.net |
client.wns.windows.com |
crl.microsoft.com/pki/crl/* |
ctldl.windowsupdate.com |
*displaycatalog.mp.microsoft.com |
dm3p.wns.windows.com |
*microsoft.com/pkiops/* |
ocsp.digicert.com/* |
r.manage.microsoft.com |
tile-service.weather.microsoft.com |
settings-win.data.microsoft.com |
msedge.api.cdp.microsoft.com |
*.dl.delivery.mp.microsoft.com |
edge.microsoft.com |
Pripomienky
https://aka.ms/ContentUserFeedback.
Pripravujeme: V priebehu roka 2024 postupne zrušíme službu Problémy v službe GitHub ako mechanizmus pripomienok týkajúcich sa obsahu a nahradíme ju novým systémom pripomienok. Ďalšie informácie nájdete na stránke:Odoslať a zobraziť pripomienky pre