Enhetskonfiguration

När en ny Microsoft Managed Desktop-enhet håller på att konfigureras ser vi till att den har rätt konfiguration optimerad för Microsoft Managed Desktop. Den konfigurationen omfattar en uppsättning standardprinciper som angetts som en del av onboarding-processen. Dessa principer levereras med mdm (Mobile Device Management) när det är möjligt. Mer information finns i Hantering av mobila enheter.

Anteckning

Ändra inte dessa principer för att undvika konflikter.

Enheter får en signaturbild och ansluter sedan till Azure Active Directory domän när den första användaren loggar in. Enheten kommer automatiskt att installera nödvändiga principer och program utan åtgärder från din IT-personal.

Standardprinciper

I den här tabellen markeras de standardprinciper som tillämpas på alla Microsoft Managed Desktop-enheter vid enhetsetablering. Alla ändringar som inte godkänts av Microsoft Managed Desktop Operations Team för objekt som hanteras av Microsoft Managed Desktop återställs.

Princip Beskrivning
Baslinje för säkerhet Microsofts säkerhetsbaslinje för MDM är konfigurerad för alla Microsoft Managed Desktop-enheter. Den här baslinjen är standardkonfigurationen för branschen. Det är offentligt släppt, väl testat och har granskats av Microsofts säkerhetsexperter för att hålla Microsoft Managed Desktop-enheter och -appar säkra på den moderna arbetsplatsen.

För att minimera hot i den ständigt föränderliga miljön för säkerhetshot kommer Microsofts säkerhetsbaslinje att uppdateras och distribueras till Microsoft Managed Desktop-enheter med Windows 10 säkerhetsuppdatering.

Mer information finns i Windows baslinjer för säkerhet.
Rekommenderad säkerhetsmall för Microsoft Managed Desktop En uppsättning rekommenderade ändringar av säkerhetsbaslinjen som optimerar användarupplevelsen. Dessa ändringar har dokumenterats i Säkerhets addendum. Uppdateringar av principuppdateringen sker efter behov.
Uppdatera distribution Använd Windows Update för företag för att gradvis distribuera programuppdateringar. IT-administratörer kan inte ändra inställningarna för distributionsgruppsprinciperna. Mer information om gruppbaserad distribution finns i Hur uppdateringar hanteras i Microsoft Managed Desktop.
Anslutningar med datamätare Som standard är uppdateringar över anslutningar med databeroende data (t.ex. LTE-nätverk) inaktiverade, men varje användare kan aktivera den här funktionen oberoende Inställningar > i > avancerade alternativ. Om du vill tillåta alla användare att aktivera uppdateringar via anslutningar med dataförfrågningar skickar du en ändringsbegäran ,vilket aktiverar den här inställningen för alla enheter.
Enhetsefterlevnad De här principerna är konfigurerade för alla Microsoft Managed Desktop-enheter. En enhet rapporteras som icke-kompatibel när den körs från vår nödvändiga säkerhetskonfiguration.

Windows för diagnostikdata

Enheter kommer att tillhandahålla förbättrade diagnostikdata till Microsoft med en känd kommersiell identifierare. Som en del av Microsoft Managed Desktop kan IT-administratörer inte ändra de här inställningarna. För kunder i GDPR-regionerna (General Data Protection Regulation) kan användare minska nivån på diagnostikdata som tillhandahålls, men det kommer att minska antalet tjänster. Till exempel kan inte Microsoft Managed Desktop samla in de data som behövs för att iterera inställningar och principer för bästa möjliga prestanda och säkerhetsbehov. Mer information finns i Konfigurera Windows för diagnostikdata i organisationen.

Säkerhetsandum

I det här avsnittet beskrivs de principer som ska distribueras utöver standardprinciperna för Microsoft Managed Desktop som listas i Standardprinciper. Den här konfigurationen är utformad med finansiella tjänster och mycket reglerade branscher i åtanke, och optimerar för högsta säkerhet samtidigt som användarnas produktivitet bibehålls.

Ytterligare säkerhetsprinciper

Dessa principer läggs till för att öka säkerheten för starkt reglerade branscher.

  • Säkerhetsövervakning: Microsoft övervakar enheter med hjälp av Microsoft Defender för Slutpunkt. Om ett hot upptäcks meddelar Microsoft kunden, isolerar enheten och fjärrstyr problemet.
  • Inaktivera PowerShell V2: Microsoft tog bort PowerShell V2 i augusti 2017. Den här funktionen har inaktiverats på alla Microsoft Managed Desktop-enheter. Mer information om den här ändringen finns i Windows PowerShell 2.0 Utfasning.