Spravovanie pripojení zo súčastí operačných systémov Windows 10 a Windows 11 k službám Microsoft pomocou servera MDM služby Microsoft Intune

  • Článok

Vzťahuje sa na

  • Windows 11
  • Windows 10 Enterprise verzie 1903 a novšiu

Tento článok opisuje sieťové pripojenia, ktoré súčasti Windowsu 10 a Windowsu 11 vytvárajú k službám Microsoft a poskytovateľom služieb správy mobilných zariadení/poskytovateľom konfiguračných služieb (MDM/CSP) a prispôsobeným politikám Open Mobile Alliance Uniform Resource Identifier (OMA URI) dostupným pre odborníkov v oblasti IT používajúcim Microsoft Intune na pomoc pri spravovaní údajov zdieľaných so spoločnosťou Microsoft. Ak chcete minimalizovať pripojenia zo systému Windows k službám Microsoftu alebo konfigurovať nastavenia ochrany osobných údajov, existuje niekoľko nastavení, ktoré treba zvážiť. Môžete napríklad nakonfigurovať diagnostické údaje na najnižšej úrovni pre vydanie systému Windows a vyhodnotiť ďalšie pripojenia, ktoré Windows sprístupňuje službám Microsoftu, ktoré chcete vypnúť pomocou pokynov v tomto článku. Hoci je možné minimalizovať sieťové pripojenia k spoločnosti Microsoft, existuje veľa dôvodov, prečo sú tieto spôsoby komunikácie, ako napríklad aktualizácia definícií malvéru a udržiavanie aktuálnych zoznamov zrušených certifikátov, predvolene povolené. Tieto údaje nám pomáhajú poskytovať bezpečné, spoľahlivé a aktuálne prostredie.

Dôležité

  • Koncové body povoleného prenosu pre konfiguráciu MDM sú uvedené tu: Povolené prenosy
    • Sieťové prenosy CRL (zoznam zrušených certifikátov) a protokol OCSP (stavový protokol certifikátu online) nie je možné vypnúť a stále sa bude zobrazovať medzi trasami v sieti. Kontroly protokolov CRL a OCSP vykonávajú orgány vydávajúce certifikáciu. Spoločnosť Microsoft je jedným z týchto orgánov. Existuje i mnoho ďalších orgánov, ako sú napríklad DigiCert, Thawte, Google, Symantec a VeriSign.
    • Existujú niektoré prenosy, ktoré sú špecificky požadované pre správu zariadení s Windowsom 10 a Windowsom 11 využívajúcich službu Microsoft Intune. Tieto prenosy zahŕňajú Službu oznámení systému Windows (WNS), Automatickú aktualizáciu koreňových certifikátov (ARCU) a niektoré prenosy súvisiace s Windows Update. Vyššie uvedený prenos zahŕňa povolený prenos pre server MDM služby Microsoft Intune na správu zariadení s Windowsom 10 a Windowsom 11.
  • Z bezpečnostných dôvodov je dôležité dbať na to, aby ste sa rozhodli, ktoré nastavenia nakonfigurujete, pretože niektoré z nich môžu znížiť mieru zabezpečenia zariadenia. K nastaveniam, ktoré môžu viesť k zníženiu miery zabezpečenia konfigurácie zariadenia, patria: vypnutie Windows Update, vypnutie automatickej aktualizácie koreňových certifikátov a vypnutie Windows Defendera. Preto neodporúčame vypínať žiadne z týchto funkcií.
  • Ak chcete zaistiť, aby CSP mal v prípade konfliktov prednosť pred skupinovými politikami, použite politiku ControlPolicyConflict.
  • Prepojenia Získať pomoc a Poskytnúť pripomienky vo Windowse už nemusia fungovať po použití niektorých alebo všetkých nastavení MDM/CSP.

Upozornenie

Ak používateľ spustí príkaz Obnoviť výrobné nastavenia tohto PC (Nastavenia –> Aktualizácia a zabezpečenie –> Obnovenie) s možnosťou Odstrániť všetko, >nastavenia plánu na obmedzené prenosy vo Windowse bude potrebné opätovne použiť, aby výstupné prenosy zariadenia boli naďalej obmedzené. >Ak to chcete urobiť, klient musí byť znova zaregistrovaný v službe Microsoft Intune. Počas obdobia pred opätovným použitím nastavení plánu na obmedzené >prenosy vo Windowse môže dochádzať k výstupným prenosom. Ak používateľ spustí príkaz Obnoviť výrobné nastavenia PC s vybratou možnosťou Ponechať moje súbory, >nastavenia plánu na obmedzené prenosy vo Windowse sa zachovajú v zariadení a klient preto zostane v konfigurácii obmedzených prenosov počas obnovenia výrobných nastavení s možnosťou >Ponechať moje súbory aj po ňom a opätovná registrácia nie je potrebná.

Ďalšie informácie o službe Microsoft Intune nájdete v témach Transformácia poskytovania IT služieb pre vaše moderné pracovisko a Dokumentácia k službe Microsoft Intune.

Podrobné informácie o správe sieťových pripojení k službám Microsoft pomocou Nastavení systému Windows, nastavení skupinovej politiky a databázy Registry nájdete v téme Spravovanie pripojení zo súčastí operačného systému Windows k službám Microsoft.

Neustále sa snažíme našu dokumentáciu zlepšovať a privítame vaše pripomienky. Pripomienky nám môžete poskytnúť odoslaním e-mailu na adresu telmhelp@microsoft.com.

Nastavenia pre vydanie Windows 10 Enterprise verzie 1903 a novšej a Windows 11

V nasledujúcej tabuľke sú uvedené možnosti správy pre každé nastavenie.

Pre Windows 10 a Windows 11 sú v rámci Politiky CSPk dispozícii nasledujúce politiky MDM.

  1. Automatická aktualizácia koreňových certifikátov

    1. Politika MDM: pre Automatickú aktualizáciu koreňových certifikátov nie je zámerne k dispozícii žiadna MDM. Táto MDM neexistuje, pretože by to znemožnilo fungovanie a správu zariadení na spravovanie služby MDM.

  2. Cortana a vyhľadávanie

    1. Politika MDM: Experience/AllowCortana. Vyberte, či chcete povoliť inštaláciu a spúšťanie Cortany v zariadení. Nastavené na hodnotu 0 (nula)
    2. Politika MDM: Search/AllowSearchToUseLocation. Vyberte, či môžu Cortana a vyhľadávanie poskytovať výsledky hľadania založené na polohe. Nastavené na hodnotu 0 (nula)

  3. Dátum a čas

    1. Politika MDM: Settings/AllowDateTime. Umožňuje používateľovi zmeniť nastavenia dátumu a času. Nastavené na hodnotu 0 (nula)

  4. Načítanie metaúdajov zariadenia

    1. Politika MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Vyberte, či chcete zabrániť Windowsu v získavaní metaúdajov zariadenia z internetu. Nastavená na možnosť Zapnuté

  5. Nájsť moje zariadenie

    1. Politika MDM: Experience/AllowFindMyDevice. Táto politika zapne funkciu Nájsť moje zariadenie. Nastavené na hodnotu 0 (nula)

  6. Streamovanie písma

    1. Politika MDM: System/AllowFontProviders. Nastavenie, ktoré určuje, či má systém Windows povolené sťahovať písma a údaje z katalógu písiem od poskytovateľa písma online. Nastavené na hodnotu 0 (nula)

  7. Zostavy Insider Preview

    1. Politika MDM: System/AllowBuildPreview. Toto nastavenie politiky určuje, či používatelia môžu získať prístup k ovládacím prvkom zostavy Insider v rozšírených možnostiach služby Windows Update. Nastavené na hodnotu 0 (nula)

  8. Internet Explorer V časti Internet Explorer CSP sú k dispozícii nasledujúce politiky MDM pre Microsoft Internet Explorer

    1. Politika MDM: InternetExplorer/AllowSuggestedSites. Odporúča webové lokality na základe aktivity používateľa v prehliadači. Nastavené na možnosť Vypnuté
    2. Politika MDM: InternetExplorer/PreventManagingSmartScreenFilter. Zabráni používateľovi v správe filtra Windows Defender, ktorý upozorní používateľa na to, že navštívená webová lokalita je známa pri podvodných pokusoch o zhromažďovanie osobných informácií prostredníctvom neoprávneného získavania údajov, alebo je známe, že hosťuje malvér. Nastavené na reťazec s hodnotou:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. Politika MDM: InternetExplorer/DisableFlipAheadFeature. Určuje, či používateľ môže potiahnutím prstom po obrazovke alebo prekliknutím sa prejsť na nasledujúcu vopred načítanú stránku určitej webovej lokality. Nastavené na možnosť zapnuté
    4. Politika MDM: InternetExplorer/DisableHomePageChange. Určuje, či používatelia môžu zmeniť predvolenú domovskú stránku alebo nie. Nastavené na reťazec s hodnotou:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. Politika MDM: InternetExplorer/DisableFirstRunWizard. Zabráni Internet Exploreru spustiť Sprievodcu prvým spustením pri prvom spustení prehliadača po inštalácii Internet Explorera alebo Windowsu. Nastavené na reťazec s hodnotou:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Dynamické dlaždice

    1. Politika MDM: Notifications/DisallowTileNotification. Toto nastavenie politiky vypne oznámenia dlaždíc. Ak zapnete toto nastavenie politiky, aplikácie a funkcie systému nebudú môcť aktualizovať svoje dlaždice a štítky dlaždíc na domovskej obrazovke. Celočíselná hodnota 1

  10. Synchronizácia pošty

    1. Politika MDM: Accounts/AllowMicrosoftAccountConnection. Určuje, či má používateľ povolenie používať konto Microsoft na overenie pripojenia a služby nesúvisiace s e-mailom. Nastavené na hodnotu 0 (nula)

  11. Konto Microsoft

    1. Politika MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Vypnutie asistenta prihlasovania do konta Microsoft. Nastavené na hodnotu 0 (nula)

  12. Microsoft Edge Nasledujúce politiky MDM pre Microsoft Edge sú k dispozícii v časti Poskytovateľ CSP politiky. Úplný zoznam politík pre Microsoft Edge nájdete v téme Dostupné politiky pre Microsoft Edge.

    1. Politika MDM: Browser/AllowAutoFill. Vyberte, či môžu zamestnanci používať na webových lokalitách automatické dopĺňanie. Nastavené na hodnotu 0 (nula)
    2. Politika MDM: Browser/AllowDoNotTrack. Vyberte, či môžu zamestnanci odosielať hlavičky Nesledovať. Nastavené na hodnotu 0 (nula)
    3. Politika MDM: Browser/AllowMicrosoftCompatbilityList. Zadajte zoznam kompatibility pre Microsoft v Microsoft Edgei. Nastavené na hodnotu 0 (nula)
    4. Politika MDM: Browser/AllowPasswordManager. Vyberie, či môžu zamestnanci ukladať heslá lokálne do svojich zariadení. Nastavené na hodnotu 0 (nula)
    5. Politika MDM: Browser/AllowSearchSuggestionsinAddressBar. Vyberie, či sa na paneli s adresou majú zobrazovať návrhy vyhľadávania. Nastavené na hodnotu 0 (nula)
    6. Politika MDM: Browser/AllowSmartScreen. Vyberte, či bude filter Windows Defender SmartScreen zapnutý alebo vypnutý. Nastavené na hodnotu 0 (nula)

  13. Indikátor stavu sieťového pripojenia

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Poznámka: Po použití tejto politiky je potrebné zariadenie reštartovať. Až vtedy sa nastavenie politiky prejaví.. Nastavené na hodnotu 1 (jeden)

  14. Offline mapy

    1. Politika MDM: AllowOfflineMapsDownloadOverMeteredConnection. Umožňuje sťahovanie a aktualizáciu údajov pre mapy cez pripojenia účtované podľa objemu údajov.
      Nastavené na hodnotu 0 (nula)
    2. Politika MDM: EnableOfflineMapsAutoUpdate. Vypne automatické sťahovanie a aktualizácie údajov pre mapy. Nastavené na hodnotu 0 (nula)

  15. OneDrive

    1. Politika MDM: DisableOneDriveFileSync. Umožňuje správcom IT zabrániť aplikáciám a funkciám, aby pracovali so súbormi vo OneDrive. Nastavené na hodnotu 1 (jeden)
    2. Prijať ADMX – Na získanie najnovšieho súboru OneDrive ADMX potrebujete aktuálneho klienta Windows 10 alebo Windows 11. Cesta k súborom ADMX je nasledovná: %LocalAppData%\Microsoft\OneDrive\ nachádza sa tu priečinok s aktuálnou zostavou OneDrivu (napríklad „18.162.0812.0001“). Nachádza sa tu priečinok s názvom „adm“, ktorý obsahuje súbory s definíciami politiky admx a adml.
    3. Politika MDM: pred prihlásením používateľa zabráňte sieťovým prenosom. PreventNetworkTrafficPreUserSignIn. Hodnota OMA-URI je: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, typ údajov: reťazec, hodnota: <enabled/>

  16. Nastavenia ochrany osobných údajov S výnimkou stránky Pripomienky a diagnostika musia byť tieto nastavenia nakonfigurované pre všetky používateľské kontá, ktoré sa prihlásia do PC.

    1. Všeobecné – TextInput/AllowLinguisticDataCollection. Toto nastavenie politiky určuje možnosť odosielania údajov o písaní rukou a na klávesnici spoločnosti Microsoft. Nastavené na hodnotu 0 (nula)
    2. Umiestnenie – System/AllowLocation. Určuje, či sa má aplikácii povoliť prístup k službe určenia polohy. Nastavené na hodnotu 0 (nula)
    3. Kamera – Camera/AllowCamera. Vypne alebo zapne kameru. Nastavené na hodnotu 0 (nula)
    4. Mikrofón – Privacy/LetAppsAccessMicrophone. Určuje, či majú aplikácie pre Windows prístup k mikrofónu. Nastavené na hodnotu 2 (dva)
    5. Oznámenia – Privacy/LetAppsAccessNotifications. Určuje, či aplikácie pre Windows majú mať prístup k oznámeniam. Nastavené na hodnotu 2 (dva)
    6. Oznámenia – Settings/AllowOnlineTips. Zapína alebo vypína načítanie online tipov a Pomocníka pre aplikáciu nastavenia. Celočíselná hodnota 0
    7. Reč, písanie rukou a písanie na klávesnici – Privacy/AllowInputPersonalization. Táto politika určuje, či majú používatelia v zariadení možnosť povoliť online rozpoznávanie reči. Nastavené na hodnotu 0 (nula)
    8. Reč, písanie rukou a písanie na klávesnici – TextInput/AllowLinguisticDataCollection. Toto nastavenie politiky určuje možnosť odosielania údajov o písaní rukou a na klávesnici spoločnosti Microsoft Nastavené na hodnotu 0 (nula)
    9. Informácie o konte – Privacy/LetAppsAccessAccountInfo. Určuje, či aplikácie systému Windows môžu získať prístup k informáciám o konte. Nastavené na hodnotu 2 (dva)
    10. Kontakty – Privacy/LetAppsAccessContacts. Určuje, či majú aplikácie systému Windows prístup ku kontaktom. Nastavené na hodnotu 2 (dva)
    11. Kalendár – Privacy/LetAppsAccessCalendar. Určuje, či majú aplikácie systému Windows prístup ku kalendáru. Nastavené na hodnotu 2 (dva)
    12. História hovorov – Privacy/LetAppsAccessCallHistory. Určuje, či aplikácie systému Windows môžu získať prístup k informáciám o konte. Nastavené na hodnotu 2 (dva)
    13. E-mail – Privacy/LetAppsAccessEmail. Určuje, či majú aplikácie systému Windows prístup k e-mailom. Nastavené na hodnotu 2 (dva)
    14. Výmena správ – Privacy/LetAppsAccessMessaging. Určuje, či aplikácie systému Windows môžu čítať alebo odosielať správy (SMS alebo MMS). Nastavené na hodnotu 2 (dva)
    15. Telefonické hovory – Privacy/LetAppsAccessPhone. Určuje, či aplikácie systému Windows môžu uskutočňovať telefonické hovory. Nastavené na hodnotu 2 (dva)
    16. Vysielače – Privacy/LetAppsAccessRadios. Určuje, či majú aplikácie systému Windows prístup k ovládaniu vysielačov. Nastavené na hodnotu 2 (dva)
    17. Ostatné zariadenia – Privacy/LetAppsSyncWithDevices. Určuje, či sa aplikácie systému Windows môžu synchronizovať so zariadeniami. Nastavené na hodnotu 2 (dva)
    18. Ostatné zariadenia – Privacy/LetAppsAccessTrustedDevices. Určuje, či aplikácie systému Windows majú možnosť prístupu k dôveryhodným zariadeniam. Nastavené na hodnotu 2 (dva)
    19. Pripomienky a diagnostika – System/AllowTelemetry. Povoliť, aby zariadenie odosielalo diagnostické údaje a údaje o používaní telemetrie, ako napríklad Watson. Nastavené na hodnotu 0 (nula)
    20. Pripomienky a diagnostika – Experience/DoNotShowFeedbackNotifications. Zabraňuje zariadeniam zobrazovať otázky týkajúce sa pripomienok od spoločnosti Microsoft. Nastavené na hodnotu 1 (jeden)
    21. Aplikácie na pozadí – Privacy/LetAppsRunInBackground. Určuje, či sa aplikácie systému Windows môžu spúšťať na pozadí. Nastavené na hodnotu 2 (dva)
    22. Pohyb – Privacy/LetAppsAccessMotion. Určuje, či aplikácie systému Windows majú umožnený prístup k údajom o pohybe. Nastavené na hodnotu 2 (dva)
    23. Úlohy – Privacy/LetAppsAccessTasks. Vypnutie možnosti výberu, ktoré aplikácie majú prístup k údajom o úlohách. Nastavené na hodnotu 2 (dva)
    24. Diagnostika aplikácií – Privacy/LetAppsGetDiagnosticInfo. Vynútenie povolenia, vynútenie odmietnutia alebo poskytnutie povolenia používateľovi na ovládanie aplikácií, ktoré môžu získavať diagnostické informácie o iných spustených aplikáciách. Nastavené na hodnotu 2 (dva)

  17. - Platforma na ochranu pred softvéromLicensing/DisallowKMSClientOnlineAVSValidation. Explicitný nesúhlas s tým, aby server na správu kľúčov odosielal automaticky Microsoftu údaje o aktivácii klienta. Nastavené na hodnotu 1 (jeden)

  18. - Stav úložiskaStorage/AllowDiskHealthModelUpdates. Povoľuje aktualizácie stavu modelu disku. Nastavené na hodnotu 0 (nula)

  19. Synchronizácia nastavení - Experience/AllowSyncMySettings. Skontrolujte, či sú nastavenia synchronizované. Nastavené na hodnotu 0 (nula)

  20. Teredo – nie je potrebná žiadna MDM. Teredo je predvolene vypnuté. Optimalizáciou doručovania (DO) je možné zapnúť službu Teredo, ale samotná DO sa vypína cez MDM.

  21. Senzor Wi-Fi – nie je potrebná žiadna MDM. Senzor Wi-Fi už nie je k dispozícii vo Windowse 10 verzie 1803 a novšej a Windowse 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Odpojenie od služby Microsoft na ochranu pred malvérom Nastavené na hodnotu 0 (nula)
    2. Defender/SubmitSamplesConsent. Nastavenie, aby sa ukážky súborov neodosielali späť Microsoftu. Nastavené na hodnotu 2 (dva)
    3. Defender/EnableSmartScreenInShell. Vypne filter SmartScreen vo Windowse na vykonávanie aplikácií a súborov. Nastavené na hodnotu 0 (nula)
    4. Windows Defender Smartscreen – Browser/AllowSmartScreen. Vypnite filter Windows Defender Smartscreen. Nastavené na hodnotu 0 (nula)
    5. Windows Defender SmartScreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Kontroluje, či používatelia môžu inštalovať aplikácie z iných umiestnení, ako je Microsoft Store. Nastavené na hodnotu 0 (nula)
    6. Ochrana Windows Defendera pred potenciálne nechcenými aplikáciami (PUA) – Defender/PUAProtection. Určuje úroveň detekcie potenciálne nechcených aplikácií (PUA). Nastavené na hodnotu 1 (jeden)
    7. Defender/SignatureUpdateFallbackOrder. Umožňuje definovať poradie, v akom sa majú kontaktovať rozličné zdroje aktualizácií definícií. OMA-URI pre túto politiku je: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Typ údajov: reťazec, Hodnota: FileShares

  23. Windows Novinky - Experience/AllowWindowsSpotlight. Vypnutie Windows Noviniek. Nastavené na hodnotu 0 (nula)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Booleovská hodnota, ktorá vypne spúšťanie všetkých aplikácií operačného systému z Microsoft Storu, ktoré boli vopred nainštalované alebo stiahnuté. Nastavené na hodnotu 1 (jeden)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Určuje, či sú povolené automatické aktualizácie aplikácií z Microsoft Storu. Nastavené na hodnotu 0 (nula)

  25. Aplikácie pre webové lokality - ApplicationDefaults/EnableAppUriHandlers. Toto nastavenie politiky určuje, či systém Windows podporuje prepájanie webu s aplikáciami pomocou obslužných programov indikátorov URI aplikácie. Nastavené na hodnotu 0 (nula)

  26. Optimalizácia doručovania lokality Windows Update – v rámci politiky CSPsú k dispozícii nasledujúce politiky MDM na optimalizáciu doručovania.

    1. DeliveryOptimization/DODownloadMode. Umožňuje vybrať miesto, odkiaľ optimalizácia doručovania získava aktualizácie a aplikácie alebo kam ich odosiela. Nastavené na 99 (deväťdesiatdeväť)

  27. Windows Update

    1. Update/AllowAutoUpdate. Ovládanie automatických aktualizácií. Nastavené na hodnotu 5 (päť)
    2. Povolenie služby aktualizácií Windows Update – Update/AllowUpdateService. Určuje, či zariadenie môže používať službu Microsoft Update, Windows Server Update Services (WSUS) alebo Microsoft Store. Nastavené na hodnotu 0 (nula)
    3. Identifikátor URL služby Windows Update – Update/UpdateServiceUrl. Umožňuje zariadeniam vyhľadávať aktualizácie zo servera služby WSUS namiesto služby Microsoft Update. Nastavené na reťazec s hodnotou:
      1. <Nahradiť><CmdID>$CmdID$<Položka><Meta><Formát>chr<Typ>text/plain</Meta><Cieľ><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Odporúčania
    a. Nastavenie HideRecentJumplists v poskytovateľovi konfigurácie politiky spustenia (CSP). Ak chcete skryť zoznam odporúčaných aplikácií a súborov v časti Odporúčané na domovskej obrazovke.

Povolené prenosy pre konfigurácie služby Microsoft Intune/MDM

Koncové body povoleného prenosu
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com