Freigeben über


Zulassen oder Einschränken des Benutzerzugriffs auf Windows 365 Physisches Startgerät

Windows 365 Physische Startgeräte sollen Benutzern die Interaktion mit ihren Cloud-PCs ermöglichen, ohne mit dem physischen Gerät interagieren zu müssen. Um dieses Ziel zu erreichen, müssen Sie einige Richtlinien des Konfigurationsdienstanbieters (Configuration Service Provider, CSP) festlegen.

Windows 365 Start legt diese Richtlinien nicht automatisch fest, um Endbenutzern den Zugriff auf bestimmte Ressourcen auf dem physischen Gerät vollständig zu schränken. Administratoren sollten die folgenden CSPs überprüfen und entscheiden, welche auf dem physischen Gerät implementiert werden sollen, um die Sicherheitsanforderungen Ihrer organization zu erfüllen.

Mithilfe einer Konfigurationsrichtlinie können Sie Benutzern auch den Zugriff auf den physischen PC über den Bildschirm STRG+ALT-ENTF, Cloud-PC-Fehlerbildschirme oder beides ermöglichen.

Zulassen des Benutzerzugriffs auf das physische Gerät

Mithilfe der Zugriffsrichtlinie für physische Geräte können Sie Benutzern den Zugriff auf den physischen PC ermöglichen. Benutzer möchten möglicherweise auf den physischen PC zugreifen, wenn sie folgendes nicht können:

  • Melden Sie sich bei ihrem Cloud-PC an (bei Internetausfällen oder Microsoft-Dienstausfällen).
  • Melden Sie sich bei einem Captive-WLAN an.

Benutzer können auf den physischen PC über den STRG-ALT-ENTF-Bildschirm oder über Fehlerbildschirme zugreifen, die vom Administrator konfiguriert werden können. Wenn ein Benutzer auf beiden Bildschirmen die Schaltfläche Zum physischen PC zurückkehren auswählt , wird er zum Anmeldebildschirm auf dem physischen Gerät weitergeleitet. Um zur Anmeldeseite für Cloud-PC zurückzukehren, können Benutzer den physischen PC sperren oder abmelden.

Für jede Gruppe von Benutzern können Sie auswählen, ob Benutzer zugriff auf den physischen PC über den Bildschirm STRG-ALT-DEL, Fehlerbildschirme, beide oder keines von beiden haben. Beides ist die Standardeinstellung. Nachdem die Einstellung geändert wurde, können Benutzer die Schaltflächen Zur physischen Anmeldung zurückkehren sehen.

Administratoren konfigurieren diese Richtlinie mithilfe des geführten Szenarios für den Start auf der Registerkarte Zuweisungen oder manuell. Weitere Informationen finden Sie unter Konfigurationsdienstanbieter – Benutzer/EnablePhysicalDeviceAccessOnCtrlAltDel und Konfigurationsdienstanbieter – User/EnablePhysicalDeviceAccessOnErrorScreens.

Windows 365 Start in der Cloud unterstützt die Richtlinie für den Zugriff auf physische Geräte unter den folgenden Versionen von Windows und höher:

  • Windows 11 Version 23H2 des Betriebssystembuilds 22621.4249 oder höher.

Verhindern des Zugriffs auf den Task-Manager eines physischen Geräts

In Windows 365 Start kann auf den Task-Manager des lokalen Geräts zugegriffen werden, wenn Benutzer STRG+ALT+ENTF drücken. Der Task-Manager kann mithilfe der CSP-Richtlinie DisableTaskMgr deaktiviert werden.

Diese Richtlinie verhindert die Verwendung des Task-Managers im System für alle Benutzer, einschließlich Administratoren. Außerdem wird der Start des Task-Managers mithilfe von Tastenkombinationen auf dem physischen Gerät verhindert. Diese Richtlinie erhöht zwar die Sicherheit des Geräts, aber aufgrund des fehlenden Zugriffs auf das physische Gerät ist es schwieriger, Probleme auf dem Gerät zu beheben.

Verhindern, dass Benutzer das Kennwort des physischen Geräts ändern

Das Ändern von Benutzerkennwörtern wird für Windows 365 Physische Geräte nicht unterstützt. Wenn diese Option in Ihrer Umgebung verwendet wird, kann sie deaktiviert werden, um benutzer mithilfe der DisableChangePassword-CSP-Richtlinie zu vermeiden.

Festlegen des Standardanmeldeinformationsanbieters

Windows 365 Boot ist für den gemeinsam genutzten PC-Modus konzipiert. Für diesen Modus ist die Authentifizierungsmethode für Benutzername und Kennwort erforderlich. Abhängig von Ihrer Umgebung werden möglicherweise andere Authentifizierungsanbieter konfiguriert und können Ihre Benutzer verwirren. Um diese Verwirrung zu vermeiden, sollten Sie den Standardanbieter für Anmeldeinformationen auf Benutzername und Kennwort festlegen. Verwenden Sie zum Festlegen dieser Standardeinstellung die CSP-Richtlinie DefaultCredentialProvider.

Entfernen von Benachrichtigungen und Info-Center aus der Taskleiste

Wenn Ihre Geräte über Touchscreens verfügen, können Benutzer mit dem Benachrichtigungscenter und der Kalenderansicht eines physischen Geräts interagieren. Mit diesen Komponenten können Benutzer auch die Einstellungs-App für das Windows 365 physisches Gerät starten starten. Verwenden Sie die CSP-Richtlinie DisableNotificationCenter, um den Zugriff des Benutzers auf diese Komponenten zu entfernen.

Verhindern von Benachrichtigungen zu physischen Geräten

Benachrichtigungen vom Windows 365 Physisches Gerät "Start" können über die Cloud-PC-Sitzung angezeigt werden. Verwenden Sie die CSP-Richtlinie NoToastNotification, um solche Benachrichtigungen zu verhindern.

Verhindern des automatischen Starts von Apps während der Benutzeranmeldung

Einige Anwendungen auf dem Windows 365 physischen Gerät boot sind möglicherweise so konfiguriert, dass sie während der Benutzeranmeldung automatisch gestartet werden. Verwenden Sie die DisableExplorerRunLegacy_1 CSP-Richtlinie, um dieses Verhalten zu verhindern. 

Verbessern der Anmeldung auf Touchscreen-Geräten

Touchscreengeräte erfordern die Bildschirmtastatur, um während der Benutzeranmeldung angezeigt zu werden. Auf Windows 365 Startbildschirmgeräten können Sie die Anmeldeerfahrung mithilfe der CSP-Richtlinie EnableTouchKeyboardAutoInvokeInDesktopMode verbessern.

Verhindern, dass Benutzer auf physische Gerätelaufwerke zugreifen

Bei Verwendung von Windows 365 Start wird das Datenträgerlaufwerk eines Benutzers zum Zeitpunkt der Anmeldung an den Cloud-PC umgeleitet. Danach können Cloud-PC-Benutzer mit dem physischen Gerät interagieren.

Um eine solche Laufwerksumleitung für Windows 365 Startverbindungen zu verhindern, können Sie den Cloud-PC in eine Zuweisung mit Gruppenrichtlinie Objects oder dem Einstellungskatalog einschließen. Weitere Informationen finden Sie unter Verwalten von RdP-Umleitungen (Remote Desktop Protocol) für Geräte für Cloud-PCs.

Nächste Schritte

Problembehandlung bei Windows 365 Boot.