受指派的存取原則設定
在裝置上套用受指派的存取權設定時,會強制執行某些原則設定和 AppLocker 規則,而影響存取裝置的使用者。 原則設定會使用組態服務提供者 (CSP) 和組策略 (GPO) 設定的組合。
本參考文章列出受指派的存取權所套用的原則設定和 AppLocker 規則。
注意
不建議使用其他通道來設定指派存取不同值所強制執行的原則設定。 受指派的存取權已優化,可提供鎖定的體驗。
裝置原則設定
當您部署受限制的用戶體驗時,會在裝置層級套用下列原則設定。 任何存取裝置的使用者都受限於原則設定,包括系統管理員帳戶:
類型 | 路徑 | 名稱/描述 |
---|---|---|
Csp | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
停用 Cortana |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
停用開始文件圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
停用開始下載圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
停用啟動檔案總管圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
停用開始首頁群組圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
停用開始音樂圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
停用啟動網路圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
停用 \[開始\] 個人資料夾圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
停用 [開始圖片] 圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
停用 [開始] 設定圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
停用 [開始] 影片圖示 |
Csp | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
隱藏 [變更帳戶設定 ] 不顯示在用戶磚中 |
Csp | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
隱藏所有更新通知 |
Csp | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
停用更新的自動重新啟動通知 |
Csp | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
已停用對筆跡工作區的存取 |
Csp | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
在登入畫面以及「安全性選項」UI 上隱藏網路UI |
用戶原則設定
當您部署受限制的用戶體驗時,會將下列原則設定套用至任何非系統管理員帳戶:
類型 | 路徑 | 名稱/描述 |
---|---|---|
Csp | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
停用 [開始] 功能表應用程式的操作功能表 |
Csp | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
隱藏 人員 列不出現在任務列上 |
Csp | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
隱藏最近新增的應用程式不出現在 [開始] 功能表上 |
Csp | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
隱藏最近的快捷方式清單,不顯示在 [開始] 功能表/任務欄上 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 結束時清除最近開啟的文件歷程記錄 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 停用將球形通知顯示為快顯通知 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 不允許釘選項目在捷徑清單上 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 不允許將程式釘選到工作列 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 捷徑清單中不顯示或追蹤來自遠端位置的項目 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 隱藏和停用桌面上的所有專案 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 隱藏 [工作檢視] 按鈕 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 鎖定所有工作列設定 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 鎖定工作列 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 防止使用者新增或移除工具列 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 防止使用者自訂其開始畫面 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 防止使用者將任務列移至另一個螢幕停駐位置 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 防止使用者重新排列工具列 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 防止使用者調整工作列的大小 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 防止使用者從 \[開始\] 功能表解除安裝應用程式 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 移除對工作列操作功能表的存取 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 從 \[開始\] 功能表上移除所有程式清單 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 拿掉控制中心 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 從 \[開始\] 功能表中移除常用程式清單 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 拿掉通知和控制中心 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 拿掉快速設定 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 從 \[開始\] 功能表中移除 \[執行\] 功能表 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 移除安全性與維護圖示 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 關閉所有球形通知 |
Gpo | 使用者設定\系統管理範本\開始功能表和工作列。 | 關閉功能廣告球形通知 |
Gpo | 使用者設定\系統管理範本\開始功能表和任務列\通知 | 關閉快顯通知 |
Gpo | 使用者設定\系統管理範本\系統\Ctrl+Alt+Del 選項 | 拿掉變更密碼 |
Gpo | 使用者設定\系統管理範本\系統\Ctrl+Alt+Del 選項 | 拿掉註銷 |
Gpo | 使用者設定\系統管理範本\系統\Ctrl+Alt+Del 選項 | 移除工作管理員 |
Gpo | 用戶設定\系統管理範本\Windows 元件\檔案總管 | 拿掉 對應網路驅動器機 和 中斷網路驅動器機連線 |
Gpo | 用戶設定\系統管理範本\Windows 元件\檔案總管 | 拿掉 檔案總管 的預設操作功能表 |
當您使用 Microsoft Edge 設定 kiosk 體驗時,會將下列原則設定套用至 kiosk 帳戶:
類型 | 路徑 | 名稱/描述 |
---|---|---|
Gpo | 使用者設定\系統管理範本\開始功能表和任務列\通知 | 只執行指定的 Windows 應用程式 >msedge.exe |
Gpo | 用戶設定\系統管理範本\系統 | 關閉快顯通知 |
Gpo | 用戶設定\系統管理範本\Windows 元件\附件管理員 | 檔案附件的 > 預設風險層級 高風險 |
Gpo | 用戶設定\系統管理範本\Windows 元件\附件管理員 | 低檔案類型的包含清單 >.pdf;.epub |
Gpo | 用戶設定\系統管理範本\Windows 元件\檔案總管 | 拿掉 檔案總管 的預設操作功能表 |
AppLocker 規則
當您部署受指派存取限制的用戶體驗時,會產生AppLocker規則來允許組態中列出的應用程式。 以下是預先定義的受指派存取權 AppLocker 規則:
通用 Windows 平台 (UWP) 應用程式規則
- 默認規則是允許所有用戶啟動已簽署的 已封裝應用程式
- 當受指派的存取權使用者登入時,會在運行時間產生已封裝的應用程式 拒絕清單 :
- 根據使用者帳戶可用的已安裝應用程式,指派的存取權會產生拒絕清單。 此清單會排除默認允許的收件匣封裝應用程式,這對系統運作很重要,然後排除在受指派的存取權組態中定義的允許套件
- 如果相同套件中有多個應用程式,則會排除所有應用程式
拒絕清單是用來防止使用者存取應用程式,這些應用程式目前可供使用者使用,但不允許在允許的清單中使用
注意
您無法管理 MMC 嵌入式管理單元中受限使用者體驗所產生的 AppLocker 規則。避免建立與受指派存取權所產生的AppLocker規則衝突的AppLocker規則。
受指派的存取權不會防止組織或使用者安裝 UWP 應用程式。 在受指派的存取權會話期間安裝新的 UWP 應用程式時,應用程式不在拒絕清單中。 當使用者註銷並再次登入時,已安裝的應用程式會包含在拒絕清單中。 針對您想要允許的集中部署應用程式,例如 bi-in-biness 應用程式,更新受指派的存取權設定,並將應用程式包含在 允許應用程式清單中。
傳統型應用程式規則
- 默認規則是允許所有用戶啟動使用 Microsoft 憑證 簽署的桌面程式,讓系統開機並運作。 該規則同時也允許系統管理員使用者群組啟動所有傳統型程式。
- [指派的存取權] 使用者帳戶有預先定義的收件匣桌面應用程式拒絕清單,此列表會根據您在受指派存取權組態中定義 的傳統型應用程式允許清單 進行更新
- 企業定義的允許傳統型應用程式會新增至 AppLocker 允許清單
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應