Sdílet prostřednictvím


Správa připojení ze součástí operačních systémů Windows 10 a Windows 11 ke službám Microsoft pomocí serveru MDM Microsoft Intune

Platí pro

  • Windows 11
  • Windows 10 Enterprise 1903 a novější verze

Tento článek popisuje síťová připojení, která komponenty Windows 10 a Windows 11 navazují s Microsoftem, a zásady pro správu mobilních zařízení/zprostředkovatele zásad CSP (MDM/CSP) a vlastní zásady OMA URI (Open Mobile Alliance Uniform Resource Identifier), jež jsou k dispozici pro profesionály v oblasti IT, kteří ke správě dat sdílených s Microsoftem využívají Microsoft Intune. Pokud chcete minimalizovat připojení z Windows ke službám Microsoft nebo nakonfigurovat nastavení ochrany osobních údajů, můžete pro tento účel zvážit řadu nastavení. Můžete například nakonfigurovat diagnostická data na nejnižší úroveň pro vaši edici Windows a zhodnotit jiná připojení, která systém Windows navazuje se službami Microsoft, a případně je vypnout podle pokynů v tomto článku. I když je možné minimalizovat počet síťových připojení k Microsoftu, existuje mnoho důvodů, proč jsou tato spojení ve výchozím nastavení povolená, třeba kvůli aktualizaci definic malwaru a údržbě aktuálních seznamů odvolaných certifikátů. Tato data nám pomáhají poskytovat zabezpečené, spolehlivé a aktualizované prostředí.

Důležité

  • Koncové body s povolenými přenosy u konfigurace MDM jsou zde: Povolené přenosy
    • Síťové přenosy pro seznam CRL (seznam odvolaných certifikátů) a protokol OCSP (Online Certificate Status Protocol) nelze zakázat a budou se zobrazovat v síťových trasováních. Kontroly CRL a OCSP se provádějí u vydávajících certifikačních autorit. Jednou z těchto autorit je Microsoft. Existuje mnoho dalších, jako je DigiCert, Thawte, Google, Symantec a VeriSign.
    • Správa zařízení s Windows 10 a Windows 11 přes Microsoft Intune vyžaduje určité specifické přenosy. Tyto přenosy zahrnují Službu nabízených oznámení Windows (WNS), automatickou aktualizaci kořenových certifikátů (ARCU) a některé přenosy související se službou Windows Update. Výše uvedené přenosy představují povolené přenosy u serveru MDM Microsoft Intune při správě zařízení s Windows 10 a Windows 11.
  • Z bezpečnostních důvodů je důležité dbát na to, která nastavení nakonfigurovat, protože některá z nich můžou snížit zabezpečení zařízení. Příklady nastavení, která mohou vést k méně bezpečné konfiguraci zařízení: zakázání služby Windows Update, zakázání automatické aktualizace kořenových certifikátů a zakázání programu Windows Defender. Proto nedoporučujeme zakázat žádnou z těchto funkcí.
  • Chcete-li zajistit, aby zprostředkovatelé CSP měli v případě konfliktů přednost před zásadami skupiny, použijte zásadu ControlPolicyConflict .
  • Po použití některých nebo všech nastavení MDM/CSP můžou ve Windows přestat fungovat odkazy Získat pomoc a Sdělte nám svůj názor.

Upozornění

Pokud uživatel provede příkaz „Obnovit počítač do továrního nastavení“ (Nastavení –> Aktualizace a zabezpečení –> Obnovení) s možností „Odebrat všechno“, > bude nutné znovu použít nastavení omezené funkčnosti omezeného provozu Windows, aby se znovu omezil výstupní provoz zařízení. >Před tímto krokem je třeba klienta znovu zaregistrovat do služby Microsoft Intune. Než se znovu> použije nastavení Omezené funkčnosti systému, může dojít k výchozímu přenosu dat. Pokud uživatel provede příkaz „Obnovit počítač do továrního nastavení“ s možností> „Zachovat moje soubory“, nastavení Omezené funkčnosti systému zůstane na zařízení zachováno, takže klient během a po operaci obnovení s možností „Zachovat moje soubory“ zůstane v konfiguraci >omezené funkčnosti systému a nová registrace nebude nutná.

Další informace o službě Microsoft Intune najdete v tématu Transformace doručování služeb IT pro moderní pracoviště a Dokumentace k Microsoft Intune.

Podrobné informace o správě síťových připojení ke službám Microsoft pomocí nastavení Windows, zásad skupiny a nastavení registru najdete v tématu Správa připojení ze součástí operačního systému Windows ke službám Microsoft.

Vždy se snažíme zdokonalovat naši dokumentaci a uvítáme vaši zpětnou vazbu. Svou zpětnou vazbu můžete poslat e-mailem na adresu telmhelp@microsoft.com.

Nastavení pro Windows 10 Enterprise 1903 a novější verze a Windows 11

Následující tabulka obsahuje možnosti správy pro každé nastavení.

Pro Windows 10 a Windows 11 jsou následující zásady MDM k dispozici ve zprostředkovateli CSP zásad.

  1. Automatická aktualizace kořenových certifikátů

    1. Zásada MDM: Pro automatickou aktualizaci kořenových certifikátů není záměrně k dispozici žádnou zásadu MDM. Tato zásada MDM neexistuje, protože by bránila v provozování a správě systému MDM pro správu zařízení.
  2. Cortana a Hledání

    1. Zásada MDM: Experience/AllowCortana Umožňuje zvolit, jestli chcete na zařízení nainstalovat a spustit Cortanu. Nastavit na 0 (nula)
    2. Zásada MDM: Search/AllowSearchToUseLocation Umožňuje zvolit, zda funkce Cortana a Hledání mohou poskytovat výsledky hledání zohledňující polohu. Nastavit na 0 (nula)
  3. Datum a čas

    1. Zásada MDM: Settings/AllowDateTime Umožňuje uživateli změnit nastavení data a času. Nastavit na 0 (nula)
  4. Načítání metadat zařízení

    1. Zásada MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Umožňuje zvolit, jestli chcete, aby systém Windows mohl načítat metadata zařízení z internetu. Nastavit na povoleno
  5. Najít moje zařízení

    1. Zásada MDM: zkušenost/AllowFindMyDevice Tato zásada zapne najít moje zařízení. Nastavit na 0 (nula)
  6. Streamování písem

    1. Zásada MDM: System/AllowFontProviders. Nastavení určující, jestli může systém Windows stáhnout písma a data katalogu písem od online poskytovatele písem. Nastavit na 0 (nula)
  7. Buildy Insider Preview

    1. Zásada MDM: System/AllowBuildPreview. Toto nastavení zásad určuje, jestli uživatelé budou mít přístup k ovládacím prvkům pro buildy Insider v upřesňujících možnostech pro Windows Update. Nastavit na 0 (nula)
  8. Internet Explorer Následující zásady MDM pro Microsoft Internet Explorer jsou k dispozici ve zprostředkovateli Internet Explorer CSP.

    1. Zásada MDM: InternetExplorer/AllowSuggestedSites. Doporučuje weby na základě aktivit uživatele při procházení. Nastavit na zakázáno
    2. Zásada MDM: InternetExplorer/PreventManagingSmartScreenFilter. Zabraňuje uživateli ve správě filtru SmartScreen v programu Windows Defender, který uživatele upozorňuje, pokud jsou u navštíveného webu známy podvodné pokusy o získání osobních údajů prostřednictvím útoků phishing nebo že je tento web hostitelem malwaru. Nastavit na řetězec s hodnotou:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. Zásada MDM: InternetExplorer/DisableFlipAheadFeature. Určuje, zda uživatel může potažením prstem přes obrazovku nebo kliknutím na možnost Vpřed přejít na následující předem načtenou stránku webu. Nastavit na povoleno
    4. Zásada MDM: InternetExplorer/DisableHomePageChange. Určuje, jestli uživatelé můžou měnit výchozí domovskou stránku nebo ne. Nastavit na řetězec s hodnotou:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. Zásada MDM: InternetExplorer/DisableFirstRunWizard. Brání aplikaci Internet Explorer, aby spustila Průvodce prvním spuštěním, když uživatel po instalaci aplikace Internet Explorer nebo systému Windows spustí prohlížeč. Nastavit na řetězec s hodnotou:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>
  9. Živé dlaždice

    1. Zásada MDM: Notifications/DisallowTileNotification. Toto nastavení zásad vypne oznámení na dlaždicích. Pokud povolíte tuto zásadu, nebudou aplikace a funkce systému moct na úvodní obrazovce aktualizovat dlaždice a odznáčky. Celočíselná hodnota 1
  10. Synchronizace pošty

    1. Zásada MDM: Accounts/AllowMicrosoftAccountConnection Určuje, jestli má uživatel povoleno používat účet Microsoft pro ověřování a služby pro připojení nesouvisející s e-mailem. Nastavit na 0 (nula)
  11. Účet Microsoft

    1. Zásada MDM: Accounts/AllowMicrosoftAccountSignInAssistant Zakáže asistenta pro přihlašování k účtu Microsoft: Nastavit na 0 (nula)
  12. Microsoft Edge Následující zásady MDM pro Microsoft Edge jsou dostupné ve zprostředkovateli zásad CSP. Úplný seznam zásad pro Microsoft Edge naleznete v tématu Dostupné zásady pro Microsoft Edge.

    1. Zásada MDM: Browser/AllowAutoFill. Umožňuje zvolit, zda mohou zaměstnanci na webech používat automatické vyplňování. Nastavit na 0 (nula)
    2. Zásada MDM: Browser/AllowDoNotTrack Umožňuje zvolit, zda mohou zaměstnanci odesílat hlavičky Do Not Track. Nastavit na 0 (nula)
    3. Zásada MDM: Browser/AllowMicrosoftCompatbilityList Umožňuje zadat seznam kompatibility s Microsoftem v aplikaci Microsoft Edge. Nastavit na 0 (nula)
    4. Zásada MDM: Browser/AllowPasswordManager Umožňuje zvolit, zda mohou zaměstnanci ukládat hesla místně na svých zařízeních. Nastavit na 0 (nula)
    5. Zásada MDM: Browser/AllowSearchSuggestionsinAddressBar Umožňuje zvolit, jestli panel Adresa zobrazuje návrhy hledání. Nastavit na 0 (nula)
    6. Zásada MDM: Browser/AllowSmartScreen Umožňuje zvolit, jestli bude filtr SmartScreen v programu Windows Defender zapnutý nebo vypnutý. Nastavit na 0 (nula)
  13. Indikátor stavu síťového připojení

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Poznámka: Po použití této zásady musíte restartovat zařízení, aby se nastavení zásad projevilo. Nastavit na 1 (jedna)
  14. Offline mapy

    1. Zásada MDM: AllowOfflineMapsDownloadOverMeteredConnection. Umožňuje stáhnout a aktualizovat data mapy přes připojení účtovaná podle objemu dat.
      Nastavit na 0 (nula)
    2. Zásada MDM: EnableOfflineMapsAutoUpdate. Zakáže automatické stažení a aktualizaci mapových dat. Nastavit na 0 (nula)
  15. OneDrive

    1. Zásada MDM: DisableOneDriveFileSync. Umožňuje správcům IT zabránit aplikacím a funkcím pracovat se soubory na OneDrivu. Nastavit na 1 (jedna)
    2. Ingestování souboru ADMX – abyste získali nejnovější soubor ADMX pro OneDrive, potřebujete aktualizovaného klienta s Windows 10 nebo Windows 11. Soubory ADMX jsou umístěné v následující cestě: %LocalAppData%\Microsoft\OneDrive\. K dispozici je složka s aktuálním buildem OneDrivu (např. 18.162.0812.0001). K dispozici je složka s názvem adm, která obsahuje soubory definic zásad ADMX a ADML.
    3. Zásada MDM: Zabránit přenosům v síti před přihlášením uživatele. PreventNetworkTrafficPreUserSignIn. Hodnota OMA-URI je: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Datový typ: Řetězec, Hodnota: <enabled/>
  16. Nastavení ochrany osobních údajů Kromě stránky Zpětná vazba a diagnostika musí být tato nastavení nakonfigurována pro každý uživatelský účet, který se přihlašuje do počítače.

    1. Obecné – TextInput/AllowLinguisticDataCollection. Toto nastavení zásad ovládá schopnost posílat do Microsoftu data o psaní rukou a na klávesnici. Nastavit na 0 (nula)
    2. Poloha – System/AllowLocation. Určuje, jestli se má povolit přístup aplikací do služby pro zjišťování polohy. Nastavit na 0 (nula)
    3. Kamera – Camera/AllowCamera. Zakáže nebo povolí kameru. Nastavit na 0 (nula)
    4. Mikrofon – Privacy/LetAppsAccessMicrophone. Určuje, jestli aplikace pro Windows mají přístup k mikrofonu. Nastavit na 2 (dvě)
    5. Oznámení – Privacy/LetAppsAccessNotifications. Určuje, jestli aplikace pro Windows mají přístup k oznámením. Nastavit na 2 (dvě)
    6. Oznámení – Settings/AllowOnlineTips. Povolí nebo zakáže načítání online tipů a nápovědy pro aplikaci Nastavení. Celočíselná hodnota 0
    7. Řeč, rukopis a psaní – Privacy/AllowInputPersonalization. Tato zásada určuje, jestli můžou uživatelé v zařízení povolit online rozpoznávání řeči. Nastavit na 0 (nula)
    8. Řeč, rukopis a psaní – TextInput/AllowLinguisticDataCollection. Toto nastavení zásad řídí schopnost odesílat data z rukopisu a psaní na klávesnici do Microsoftu. Nastavit na 0 (nula)
    9. Informace o účtu – Privacy/LetAppsAccessAccountInfo. Určuje, jestli aplikace pro Windows mají přístup k informacím o účtu. Nastavit na 2 (dvě)
    10. Kontakty – Privacy/LetAppsAccessContacts. Určuje, jestli aplikace pro Windows mají přístup ke kontaktům. Nastavit na 2 (dvě)
    11. Kalendář – Privacy/LetAppsAccessCalendar. Určuje, jestli aplikace pro Windows mají přístup ke kalendáři. Nastavit na 2 (dvě)
    12. Historie hovorů – Privacy/LetAppsAccessCallHistory. Určuje, jestli aplikace pro Windows mají přístup k informacím o účtu. Nastavit na 2 (dvě)
    13. E-mail – Privacy/LetAppsAccessEmail. Určuje, jestli aplikace pro Windows mají přístup k e-mailům. Nastavit na 2 (dvě)
    14. Zprávy – Privacy/LetAppsAccessMessaging. Určuje, jestli aplikace pro Windows můžou číst nebo posílat zprávy (SMS nebo MMS). Nastavit na 2 (dvě)
    15. Telefonní hovory – Privacy/LetAppsAccessPhone. Určuje, jestli aplikace pro Windows můžou uskutečňovat telefonní hovory. Nastavit na 2 (dvě)
    16. Vysílače – Privacy/LetAppsAccessRadios. Určuje, jestli aplikace pro Windows mají přístup k ovládání vysílačů. Nastavit na 2 (dvě)
    17. Jiná zařízení – Privacy/LetAppsSyncWithDevices. Určuje, jestli se aplikace pro Windows můžou synchronizovat se zařízeními. Nastavit na 2 (dvě)
    18. Jiná zařízení – Privacy/LetAppsAccessTrustedDevices. Určuje, jestli aplikace pro Windows mají přístup k důvěryhodným zařízením. Nastavit na 2 (dvě)
    19. Zpětná vazba a diagnostika – System/AllowTelemetry Povolí zařízení posílání diagnostických dat a telemetrických dat o využití, jako je Watson. Nastavit na 0 (nula)
    20. Zpětná vazba a diagnostika – Experience/DoNotShowFeedbackNotifications Zabrání zařízením v zobrazování otázek ke zpětné vazbě ze strany Microsoftu. Nastavit na 1 (jedna)
    21. Aplikace na pozadí – Privacy/LetAppsRunInBackground. Určuje, jestli aplikace pro Windows můžou běžet na pozadí. Nastavit na 2 (dvě)
    22. Pohyb – soukromí/LetAppsAccessMotion. Určuje, jestli aplikace pro Windows mají přístup k datům pohybu. Nastavit na 2 (dvě)
    23. Úkoly – Privacy/LetAppsAccessTasks. Vypne schopnost zvolit aplikace, které mají přístup k úkolům. Nastavit na 2 (dvě)
    24. Diagnostika aplikací – Privacy/LetAppsGetDiagnosticInfo. Vynutí povolení či odepření nebo poskytne uživatelům řízení aplikací, které mohou získávat diagnostické informace o ostatních běžících aplikacích. Nastavit na 2 (dvě)
  17. Platforma ochrany softwaru - Licensing/DisallowKMSClientOnlineAVSValidation. Vyjádří výslovný nesouhlas s automatickým odesíláním dat o aktivaci z klienta KMS do Microsoftu. Nastavit na 1 (jedna)

  18. Stav úložiště - Storage/AllowDiskHealthModelUpdates. Umožňuje aktualizace modelu stavu disků. Nastavit na 0 (nula)

  19. Synchronizace nastavení - Experience/AllowSyncMySettings. Určuje, zda se vaše nastavení synchronizuje. Nastavit na 0 (nula)

  20. Teredo – žádné MDM není potřeba. Teredo je ve výchozím nastavení vypnutá. Funkce Optimalizace doručení (DO) může zapnout Teredo, ale funkce Optimalizace doručení samotná je přes MDM vypnutá.

  21. Inteligentní Wi-Fi – žádné MDM není potřeba. Inteligentní Wi-Fi už není dostupné ve Windows 10 verze 1803 a novějších verzích a Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Odpojí se od služby Microsoft pro antimalwarovou ochranu. Nastavit na 0 (nula)
    2. Defender/SubmitSamplesConsent. Umožňuje zastavit odesílání vzorků souborů zpět do společnosti Microsoft. Nastavit na 2 (dvě)
    3. Defender/EnableSmartScreenInShell. Vypne filtr SmartScreen v systému Windows u spouštění aplikací a souborů. Nastavit na 0 (nula)
    4. Filtr SmartScreen v programu Windows Defender – Browser/AllowSmartScreen. Umožňuje zakázat filtr SmartScreen v programu Windows Defender. Nastavit na 0 (nula)
    5. Filtr SmartScreen v programu Windows Defender – EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Určuje, jestli můžou uživatelé instalovat aplikace z jiných míst než Microsoft Storu. Nastavit na 0 (nula)
    6. Ochrana před potenciálně nežádoucími aplikacemi v programu Windows Defender (PUA) – Defender/PUAProtection. Určuje úroveň detekce potenciálně nežádoucích aplikací (PUA). Nastavit na 1 (jedna)
    7. Defender/SignatureUpdateFallbackOrder. Umožňuje definovat pořadí, ve kterém se mají kontaktovat různé zdroje aktualizace definic. OMA-URI pro to je: ./Vendor/MSFT/Policy/config/Defender/SignatureUpdateFallbackOrder, datový typ: String, hodnota: sdílené složky
  23. Windows Spotlight - Experience/AllowWindowsSpotlight. Deaktivuje Windows Spotlight. Nastavit na 0 (nula)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Booleovská hodnota, která zakáže spuštění všech aplikací z Microsoft Storu, které byly předinstalované nebo stažené. Nastavit na 1 (jedna)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Určuje, jestli je povolená automatická aktualizace aplikací z Microsoft Storu. Nastavit na 0 (nula)
  25. Aplikace pro weby - ApplicationDefaults/EnableAppUriHandlers. Tato zásada určuje, zda systém Windows podporuje obslužné rutiny URI aplikací pro propojení webu s aplikací. Nastavit na 0 (nula)

  26. Optimalizace doručení ze služby Windows Update – K dispozici jsou následující zásady MDM pro Optimalizaci doručení ve zprostředkovateli CSP zásad.

    1. DeliveryOptimization/DODownloadMode. Umožňuje zvolit, kdy Optimalizace doručení získává nebo odesílá aktualizace a aplikace. Nastavit na 99 (devadesát devět)
  27. Služba Windows Update

    1. Update/AllowAutoUpdate. Řídí automatické aktualizace. Nastavit na 5 (pět)
    2. Služba Windows Update (povolit aktualizační službu) – Update/AllowUpdateService. Určuje, jestli může zařízení používat služby Microsoft Update, Windows Server Update Services (WSUS) nebo Microsoft Store. Nastavit na 0 (nula)
    3. Adresa URL služby Windows Update – Update/UpdateServiceUrl. Umožňuje zařízení vyhledávat aktualizace ze serveru WSUS namísto služby Microsoft Update. Nastavit na řetězec s hodnotou:
      1. <Nahradit><CmdID>$CmdID$<Položka><Meta><Formát>chr<Typ>text/prostý</Meta><Cíl><LocURI>./Vendor/MSFT/Policy/Config/Update/ UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>
  28. Doporučení
    a. Nastavení HideRecentJumplists ve zprostředkovateli konfiguračních služeb zásad spuštění (CSP). Pokud chcete skrýt seznam doporučených aplikací a souborů v části Doporučené na nabídce Start.

Povolené přenosy u konfigurací Microsoft Intune / MDM

Koncové body s povolenými přenosy
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
\*microsoft.com/pkiops/\*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com