裝置原則
設定新的 Microsoft 受管理的電腦裝置時,我們會確保設定已優化 Microsoft 受管理的電腦。
此設定包含一組設定為上線流程一部分的預設原則。 盡可能使用行動裝置管理 (MDM) 傳遞這些原則。 如需詳細資訊,請參閱 行動裝置管理。
注意事項
若要避免衝突,請勿變更這些原則。
裝置會以簽章影像抵達,然後在第一個使用者登入時加入Microsoft Entra網域。 裝置會自動安裝必要的原則與應用程式,而不需要您的 IT 人員介入。
預設原則
下表強調在裝置佈建期間,所有 Microsoft 受管理的電腦裝置所適用的預設原則。 所有偵測到的物件變更 (未由 Microsoft 受管理的電腦作業小組核准且由 Microsoft 受管理電腦管理) 都會還原。
| 原則 | 描述 |
|---|---|
| 安全性基準 | 已針對所有 Microsoft 受管理電腦裝置設定行動裝置管理的 Microsoft 安全性基準。 此基準是業界標準設定。 它公開發行、經過妥善測試,並經過 Microsoft 安全性專家檢閱,以確保 Microsoft 受管理電腦裝置和應用程式在新式工作場所中的安全性。 為了減輕不斷演變的安全性威脅情況中的威脅,Microsoft 安全性基準將會更新,並隨著每個 Windows 10 功能更新部署到 Microsoft 受管理的電腦裝置。 如需詳細資訊,請參閱 Windows 安全性基準。 |
| Microsoft 受管理的電腦建議的安全性範本 | 此範本是一組建議的安全性基準變更,可優化使用者體驗。 這些變更會記錄在 安全性附錄 中。 會根據需要更新該原則附錄。 |
| 更新部署 | 使用商務用 Windows Update 來執行軟體更新的漸進式部署。 IT 系統管理員無法修改部署群組原則的設定。 有關以群組為基礎的部署詳細資訊,請參閱如何 在 Microsoft 受管理電腦中處理更新。 |
| 計量付費連線 | 根據預設,計量付費連線 (例如 LTE 網路) 的更新會關閉。 不過,每個使用者可以瀏覽至 設定、更新,然後瀏覽至進階選項,以獨立開啟此設定。 如果您想要允許所有使用者啟用計量付費連線更新,請 提交變更要求,這會針對所有裝置開啟此設定。 |
| 裝置合規性 | 已針對所有 Microsoft 受管理電腦裝置來設定這些原則。 裝置偏離我們所需的安全性群組原則時,會報告為不相容。 |
Windows 診斷資料
裝置將設定為根據已知的商業識別碼提供增強的診斷資料給 Microsoft。 做為 Microsoft 受管理電腦的一部分,IT 系統管理員無法變更這些設定。
對於一般資料保護規定 (GDPR) 地區的客戶,使用者可以減少提供的診斷資料層級,但服務將會減少。 例如,Microsoft 受管理電腦將無法收集必要的資料,以在設定和原則上執行,以獲得最佳的績效和安全性需求。 如需詳細資訊,請參閱 設定貴組織中的 Windows 診斷資料。
安全性附錄
本節概述除了 預設原則 中列出的標準 Microsoft 受管理電腦之外,將部署之原則。 此設定在設計時考慮金融服務和高度管制產業,並針對最高安全性進行優化,同時維持使用者生產力。
其他安全性原則
這些原則的新增是為了提高高度管制產業的安全性:
| 原則 | 描述 |
|---|---|
| 安全性監視 | Microsoft 將會監視 使用適用于端點的 Microsoft Defender 的裝置。 如果偵測到威脅,Microsoft 會通知客戶、隔離裝置,並遠端修正問題。 |
| 停用 PowerShell V2 | Microsoft 于 2017 年 8 月移除 PowerShell V2。 此功能已在所有 Microsoft 受管理的電腦裝置上停用。 如需此變更的資訊,請參閱 Windows PowerShell 2.0 版本。 |