Share via

Windows 10 ja Windows 11 operatsioonisüsteemi komponentide ja Microsofti teenuste vaheliste ühenduste haldamine Microsoft Intune'i MDM-serveri abil

  • Artikkel

Kehtib järgmiste väljaannete kohta:

  • Windows 11
  • Windows 10 Enterprise'i versioon 1903 ja uuem versioon

Selles artiklis kirjeldatakse võrguühendusi, mille Windows 10 ja Windows 11 komponendid loovad Microsoftile ning mobiilsideseadmete halduse/konfigureerimise teenuse pakkujale ja kohandatud Open Mobile Alliance'i ühtse ressursiidentifikaatori (OMA URI) poliitikatele, mis on saadaval IT-spetsialistidele, kes kasutavad Microsoft Intune'i Microsoftiga jagatud andmete haldamiseks. Kui soovite Windowsi ja Microsofti teenuste vahelisi ühendusi vähendada või konfigureerida privaatsussätteid, saate muuta mitmeid sätteid. Näiteks saate konfigureerida diagnostikaandmeid Windowsi väljaande madalaimal tasemel ning samuti saate selles artiklis toodud juhiste abil hinnata, milliseid muid ühendusi, mille Windows Microsofti teenustega loob, soovite välja lülitada. Ehkki Microsofti võrguühendusi on võimalik vähendada, on nende suhtluste vaikimisi lubamisel mitu põhjust (nt ründevaradefinitsioonide värskendamine ja praeguse tühistatud sertide loendi haldamine). Need andmed aitavad meil pakkuda teile turvalist, usaldusväärset ja ajakohast kasutuskogemust.

NB!

  • MDM-i konfiguratsiooni lubatud liikluse lõpp-punktid leiate siit: Lubatud liiklus
    • CRL-i (tühistatud sertide loendi) ja OCSP (võrguserdi olekuprotokolli) võrguliiklust ei saa välja lülitada ja see kuvatakse võrgujälgimises. CRL-i ja OCSP kontrolle tehakse väljastavatele sertimiskeskustele. Microsoft on üks neist. Neid on veel mitu (nt DigiCert, Thawte, Google, Symantec ja VeriSign).
    • Windows 10 ja Windows 11 seadmete Microsoft Intune'i põhise halduse jaoks on vaja teatud liiklust. See liiklus hõlmab Windowsi tõuketeatiste teenust, juursertide automaatset värskendamist ja Windows Update'iga seotud liiklust. Eelnimetatud liiklus hõlmab Microsoft Intune'i MDM-serveri jaoks lubatud liiklust Windows 10 ja Windows 11 seadmete haldamiseks.
  • Turvakaalutlustel on oluline otsustada, milliseid sätteid konfigureerida ja milliseid mitte, kuna mõned neist võivad muuta seadme vähem turvaliseks. Seadet vähem turvaliseks muutvate seadistuste näited on järgmised: Windows Update'i keelamine, juursertide automaatse värskendamise keelamine ja Windows Defenderi keelamine. Seetõttu ei soovita me neid funktsioone keelata.
  • Kui soovite tagada, et konfliktide korral oleks konfiguratsiooniteenuse pakkujatel prioriteet rühmapoliitikate ees, kasutage poliitikat ControlPolicyConflict.
  • Windowsi lingid Kasutajaabi ja Tagasiside andmine ei pruugi enam töötada pärast mõne või kõigi MDM-i / konfiguratsiooniteenuse pakkuja sätete rakendamist.

Hoiatus

Kui kasutaja käivitab käsu „Lähtesta see arvuti“ (Sätted -> Värskendamine ja turve -> Taaste) suvandiga „Eemalda kõik“, tuleb >Windowsi piiratud liikluse piiratud funktsionaalsuse sätted uuesti rakendada, et seadme väljuvat liiklust uuesti piirata. >Selleks peab klient olema uuesti registreeritud Microsoft Intune’i kasutajaks. Enne >keelatud liikluse piiratud funktsionaalsuse sätete uuesti rakendamist võib aset leida väljuvat liiklust. Kui kasutaja käivitab käsu „Lähtesta see arvuti“ koos valikuga „Failide säilitamine“, säilitatakse seadmes >keelatud liikluse piiratud funktsionaalsuse sätted; seetõttu jääb klient >piiratud liikluse konfiguratsiooni nii sättega „Failide säilitamine“ lähtestamise ajal kui ka pärast seda ning uuesti registreerida pole vaja.

Lisateavet Microsoft Intune'i kohta leiate teemast IT-teenuste kohaletoimetamise teisendamine tänapäevase töökoha jaoks ja Microsoft Intune'i dokumentatsioon.

Üksikasjalikku teavet Microsofti teenuste võrguühenduste haldamise kohta Windowsi sätete, rühmapoliitikate ja registri sätete kaudu leiate teemast Windowsi operatsioonisüsteemi komponentide ja Microsofti teenuste vaheliste ühenduste haldamine.

Püüame alati täiustada oma dokumentatsiooni ja ootame meelsasti teie tagasisidet. Saate anda tagasisidet, kui saadate meili aadressile telmhelp@microsoft.com.

Windows 10 Enterprise'i väljaande 1903 ja uuemate versioonide ning Windows 11 sätted

Järgmises tabelis on loetletud iga sätte haldussuvandid.

Kui kasutate opsüsteemi Windows 10 ja Windows 11, on järgmised MDM-poliitikad saadaval poliitika konfiguratsiooniteenuse pakkuja kaudu.

  1. Juursertide automaatne värskendamine

    1. MDM-poliitika: juursertide automaatse värskendamise jaoks pole MDM teadlikult saadaval. Seda MDM-i pole olemas, kuna see takistaks seadmete mobiilsideseadmete halduse toimimist ja haldamist.

  2. Cortana ja Otsing

    1. MDM-poliitika: Experience/AllowCortana. Valige, kas soovite Cortana seadmesse installida ja seda käitada. Väärtus: 0 (null)
    2. MDM-poliitika: Search/AllowSearchToUseLocation. Saate valida, kas Cortana ja Otsing võivad pakkuda asukohapõhiseid otsingutulemeid. Väärtus: 0 (null)

  3. Kuupäev ja kellaaeg

    1. MDM-poliitika: Settings/AllowDateTime. Võimaldab kasutajal kuupäeva ja kellaaja sätteid muuta. Väärtus: 0 (null)

  4. Seadme metaandmete toomine

    1. MDM-poliitika: DeviceInstallation/PreventDeviceMetadataFromNetwork. Valige, kas keelata Windowsil Internetist seadme metaandmete toomine või mitte. Väärtus: lubatud

  5. Seadme leidmine

    1. MDM-poliitika: Experience/AllowFindMyDevice. See poliitika lülitab funktsiooni Seadme leidmise sisse. Väärtus: 0 (null)

  6. Fontide taustal allalaadimine

    1. MDM-poliitika: System/AllowFontProviders. Säte, mis määrab, kas Windowsil on lubatud võrgufondipakkujalt fonte ja fondikataloogi andmeid alla laadida. Väärtus: 0 (null)

  7. Insideri eelväljaanne

    1. MDM-poliitika: System/AllowBuildPreview. See säte määrab, kas kasutajad pääsevad Windows Update'i täpsemate suvandite abil Insideri järgu juhtelementidele juurde. Väärtus: 0 (null)

  8. Internet Explorer Järgmised Microsoft Internet Exploreri MDM-poliitikad on saadaval Internet Exploreri CSP-s

    1. MDM-poliitika: InternetExplorer teavet/AllowSuggestedSites. Soovitab kasutaja sirvimistegevusel põhinevaid veebisaite. Väärtus: Keelatud
    2. MDM-poliitika: InternetExplorer teavet/PreventManagingSmartScreenFilter. Takistab kasutajal Windows Defender SmartScreeni haldamist, mis hoiatab kasutajat, kui külastatav veebisait on teadaolevalt seotud petturlike toimingutega, mille eesmärk on koguda isikuandmeid andmepüügi kaudu, või sisaldab ründevara. Valige string väärtusega:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. MDM-poliitika: InternetExplorer teavet/DisableFlipAheadFeature. Määrab, kas kasutaja saab üle ekraani nipsata või klõpsata veebisaidi järgmise eellaaditud lehele liikumiseks. Väärtus: Lubatud
    4. MDM-poliitika: InternetExplorer teavet/DisableHomePageChange. Määrab, kas kasutajad saavad vaikeavalehte muuta või mitte. Valige string väärtusega:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. MDM-poliitika: InternetExplorer teavet/DisableFirstRunWizard. Takistab Internet Exploreril esmakäivituse viisardi käivitamist, kui kasutaja käivitab brauseri pärast Internet Exploreri või Windowsi installimist esimest korda. Valige string väärtusega:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Dünaamilised pisikuvad

    1. MDM-poliitika: Notifications/DisallowTileNotification. See poliitikasäte lülitab paanide teatised välja. Kui lubate selle poliitika sätte, siis rakendused ja süsteemifunktsioonid ei saa avakuva paane ja paanimärke värskendada. Täisarvuline väärtus 1

  10. Meili sünkroonimine

    1. MDM-poliitika: Accounts/AllowMicrosoftAccountConnection. Määrab, kas kasutajal on lubatud kasutada Microsofti kontot kõigi muude ühenduste peale meiliühenduse autentimiseks ja teenustega. Väärtus: 0 (null)

  11. Microsofti konto

    1. MDM-poliitika: Accounts/AllowMicrosoftAccountSignInAssistant. Keelake Microsofti konto sisselogimisabiline. Väärtus: 0 (null)

  12. Microsoft Edge Järgmised Microsoft Edge'i MDM-poliitikad on saadaval poliitika konfiguratsiooni teenusepakkuja kaudu. Microsoft Edge'i poliitikate täieliku loendi leiate teemast Microsoft Edge'i saadaolevad poliitikad.

    1. MDM-poliitika: Browser/AllowAutoFill. Saate valida, kas töötajad saavad veebisaitidel automaatteksti kasutada. Väärtus: 0 (null)
    2. MDM-poliitika: brauser/AllowDoNotTrack. Saate valida, kas töötajad saavad saata päist Ära jälgi. Väärtus: 0 (null)
    3. MDM-poliitika: Browser/AllowMicrosoftCompatbilityList. Saate määrata Microsofti ühilduvusloendi Microsoft Edge'is. Väärtus: 0 (null)
    4. MDM-poliitika: Browser/AllowPasswordManager. Saate valida, kas töötajad saavad seadmes paroole kohalikult salvestada. Väärtus: 0 (null)
    5. MDM-poliitika: Browser/AllowSearchSuggestionsinAddressBar. Saate valida, kas aadressiribal kuvatakse otsingusoovitused. Väärtus: 0 (null)
    6. MDM-poliitika: Browser/AllowSmartScreen. Saate valida, kas Windows Defenderi SmartScreen on sisse või välja lülitatud. Väärtus: 0 (null)

  13. Võrguühenduse oleku indikaator

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Märkus: pärast selle poliitika rakendamist peate poliitikasätte jõustumiseks seadme taaskäivitama. Väärtus: 1 (üks)

  14. Võrguühenduseta kaardid

    1. MDM-poliitika: AllowOfflineMapsDownloadOverMeteredConnection. Võimaldab kaardiandmete allalaadimist ja värskendamist mahupõhiste ühenduste kaudu.
      Väärtus: 0 (null)
    2. MDM-poliitika: EnableOfflineMapsAutoUpdate. Keelab kaardiandmete automaatse allalaadimise ja värskendamise. Väärtus: 0 (null)

  15. OneDrive

    1. MDM-poliitika: DisableOneDriveFileSync. Võimaldab administraatoritel takistada rakendustel ja funktsioonidel OneDrive'i failidega koos töötamast. Väärtus: 1 (üks)
    2. ADMX-i toomine – OneDrive'i uusima ADMX-faili hankimiseks vajate ajakohast Windows 10 või Windows 11 klientrakendust. ADMX-failid asuvad teel %LocalAppData%\Microsoft\OneDrive\, kust leiate praeguse OneDrive'i järguga (nt 18.162.0812.0001) kausta. Sealt leiate kaust nimega „adm”, mis sisaldab admxi ja admli poliitika definitsioonifaile.
    3. MDM-poliitika: võrguliikluse takistamine enne kasutaja sisselogimist. PreventNetworkTrafficPreUserSignIn. OMA-URI väärtus on: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, andmetüüp: string, väärtus: <enabled/>

  16. Privaatsussätted Need sätted peavad olema konfigureeritud iga kasutajakonto jaoks, millega arvutisse sisse logitakse, (välja arvatud lehel Tagasiside ja diagnostika).

    1. Üldine – TextInput/AllowLinguisticDataCollection. See poliitika säte reguleerib võimalust saata Microsoftile tindipliiatsi kasutuse ja tippimisega seotud andmeid. Väärtus: 0 (null)
    2. Asukoht – süsteem/AllowLocation. Määrab, kas lubada rakendusele juurdepääs asukohateenusele. Väärtus: 0 (null)
    3. Kaamera- Camera/AllowCamera. Keelab või lubab kaamera. Väärtus: 0 (null)
    4. Mikrofon – Privacy/LetAppsAccessMicrophone. Määrab, kas Windowsi rakendustel on juurdepääs mikrofonile. Väärtus: 2 (kaks)
    5. Teatised – Privacy/LetAppsAccessNotifications. Määrab, kas Windowsi rakendustel on juurdepääs teatistele. Väärtus: 2 (kaks)
    6. Teatised – Settings/AllowOnlineTips. Lubab või keelab rakenduse Sätted võrgunõuannete ja -spikri toomise. Täisarvuline väärtus 0
    7. Kõne, tindipliiatsi kasutamine ja tippimine – Privacy/AllowInputPersonalization. See poliitika määrab, kas seadme kasutajatel on võimalus lubada veebipõhine kõnetuvastus. Väärtus: 0 (null)
    8. Kõne, tindipliiatsi kasutamine ja tippimine – TextInput/AllowLinguisticDataCollection. See poliitikasäte reguleerib võimalust saata Microsoftile tindipliiatsi kasutuse ja tippimisega seotud andmeid. Väärtus: 0 (null)
    9. Konto teave – Privacy/LetAppsAccessAccountInfo. Määrab, kas Windowsi rakendustel on juurdepääs konto teabele. Väärtus: 2 (kaks)
    10. Kontaktid – Privacy/LetAppsAccessContacts. Määrab, kas Windowsi rakendustel on juurdepääs kontaktidele. Väärtus: 2 (kaks)
    11. Kalender – Privacy/LetAppsAccessCalendar. Määrab, kas Windowsi rakendustel on juurdepääs kalendrile. Väärtus: 2 (kaks)
    12. Kõneajalugu – Privacy/LetAppsAccessCallHistory. Määrab, kas Windowsi rakendustel on juurdepääs konto teabele. Väärtus: 2 (kaks)
    13. Meil – Privacy/LetAppsAccessEmail. Määrab, kas Windowsi rakendustel on juurdepääs meilisõnumitele. Väärtus: 2 (kaks)
    14. Sõnumside – Privacy/LetAppsAccessMessaging. Määrab, kas Windowsi rakendused saavad sõnumeid (tekstsõnumid või MMS-id) lugeda või saata. Väärtus: 2 (kaks)
    15. Telefonikõned – Privacy/LetAppsAccessPhone. Määrab, kas Windowsi rakendused saavad helistada. Väärtus: 2 (kaks)
    16. Raadiod – Privacy/LetAppsAccessRadios. Määrab, kas Windowsi rakendustel on juurdepääs raadiote juhtimisele. Väärtus: 2 (kaks)
    17. Muud seadmed – Privacy/LetAppsSyncWithDevices. Määrab, kas Windowsi rakendused saavad seadmetega sünkroonida. Väärtus: 2 (kaks)
    18. Muud seadmed – Privacy/LetAppsAccessTrustedDevices. Määrab, kas Windowsi rakendustel on juurdepääs usaldusväärsetele seadmetele. Väärtus: 2 (kaks)
    19. Tagasiside ja diagnostika – System/AllowTelemetry. Lubage seadmel saata diagnostikaandmeid ja kasutuse telemeetriaandmeid (nt Watson). Väärtus: 0 (null)
    20. Tagasiside ja diagnostika – Experience/DoNotShowFeedbackNotifications. Takistab seadmetel kuvada Microsoftilt saadud tagasiside küsimusi. Väärtus: 1 (üks)
    21. Taustal töötavad rakendused – Privacy/LetAppsRunInBackground. Määrab, kas Windowsi rakendused võivad taustal töötada. Väärtus: 2 (kaks)
    22. Liikumine – Privacy/LetAppsAccessMotion. Määrab, kas Windowsi rakendustel on juurdepääs liikumisandmetele. Väärtus: 2 (kaks)
    23. Ülesanded – Privacy/LetAppsAccessTasks. Lülitage välja võimalus valida, millistel rakendustel on juurdepääs ülesannetele. Väärtus: 2 (kaks)
    24. Rakenduste diagnostika – Privacy/LetAppsGetDiagnosticInfo. Jõustage lubamine, keelamine või andke kasutajate kontroll rakenduste üle, mis võivad saada diagnostikateavet muude töötavate rakenduste kohta. Väärtus: 2 (kaks)

  17. Tarkvarakaitse platvorm - Licensing/DisallowKMSClientOnlineAVSValidation. Loobuge KMS-i kliendi aktiveerimisandmete automaatsest saatmisest Microsoftile. Väärtus: 1 (üks)

  18. Salvestusruumi seisund - Storage/AllowDiskHealthModelUpdates. Lubage ketta seisundi mudeli värskendused. Väärtus: 0 (null)

  19. Sätete sünkroonimine - Experience/AllowSyncMySettings. Saate kontrollida, kas sätteid sünkroonitakse. Väärtus: 0 (null)

  20. Teredo – MDM-i pole vaja. Teredo on vaikimisi välja lülitatud. Sisuedastuse optimeerimine (DO) võib Teredo sisse lülitada, kuid DO ise on MDM-i kaudu välja lülitatud.

  21. Wi-Fi-sensor – MDM-i pole vaja. Wi-Fi-sensor pole enam saadaval Windows 10 versioonis 1803 ega uuemates versioonides ning opsüsteemis Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Katkestage ühendus Microsofti ründevaratõrje teenusest. Väärtus: 0 (null)
    2. Defender/SubmitSamplesConsent. Peatage failinäidiste saatmine Microsoftile. Väärtus: 2 (kaks)
    3. Defender/EnableSmartScreenInShell. Lülitab rakenduse ja faili käivitamiseks Windowsis SmartScreeni välja. Väärtus: 0 (null)
    4. Windows Defender SmartScreen – Browser/AllowSmartScreen. Keelake Windows Defender SmartScreen. Väärtus: 0 (null)
    5. Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl. Kontrollib, kas kasutajatel on lubatud installida rakendusi muudest kohtadest peale Microsoft Store'i. Väärtus: 0 (null)
    6. Windows Defenderi potentsiaalselt soovimatute rakenduste (PUA) kaitse – Defender/PUAProtection. Määrab potentsiaalselt soovimatute rakenduste (PUA-d) tuvastamise taseme. Väärtus: 1 (üks)
    7. Defender/SignatureUpdateFallbackOrder. Saate määrata, millises järjekorras tuleks erinevate määratluste värskendamise allikatega ühendust võtta. Selle OMA URI väärtus on: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, andmetüüp: String, väärtus: FileShares

  23. Windowsi tulipunkt - Experience/AllowWindowsSpotlight. Keelake Windowsi tulipunkt. Väärtus: 0 (null)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Kahendväärtus, mis keelab kõigi Microsoft Store'i rakenduste käivitamise, mis on eelnevalt installitud või allalaaditud. Väärtus: 1 (üks)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Määrab, kas Microsoft Store'i rakenduste automaatne värskendamine on lubatud. Väärtus: 0 (null)

  25. Rakendused veebisaitide jaoks - ApplicationDefaults/EnableAppUriHandlers. See poliitika säte määrab, kas Windows toetab veebist-rakendusse linkimist rakenduse URI-ohjuritega. Väärtus: 0 (null)

  26. Windows Update’i sisuedastuse optimeerimine – Järgmised sisuedastuse optimeerimise MDM-poliitikad on saadaval poliitika konfiguratsiooni teenusepakkuja kaudu.

    1. DeliveryOptimization/DODownloadMode. Saate valida, kust sisuedastuse optimeerimine saab või saadab värskendusi ja rakendusi Väärtus: 99 (üheksakümmend üheksa)

  27. Windows Update

    1. Update/AllowAutoUpdate. Saate kontrollida automaatseid värskendusi. Väärtus: 5 (viis)
    2. Windows Update, Luba värskendusteenus – Update/AllowUpdateService. Määrab, kas seade saab kasutada Microsoft Update’i teenuseid, Windows Serveri värskendusteenuseid (WSUS) või Microsoft Store’i teenused. Väärtus: 0 (null)
    3. Windows Update’i teenuse URL – Update/UpdateServiceUrl. Võimaldab seadmel otsida värskendusi Microsoft Update'i asemel WSUS-i serverist. Valige string väärtusega:
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Soovitused
    a. Menüü Start poliitikakonfiguratsiooni teenusepakkuja (CSP) säte HideRecentJumplists. Soovitatud rakenduste ja failide loendi peitmiseks menüü Start jaotises Soovitatud.

Lubatud liiklus Microsoft Intune'i / MDM-i konfiguratsioonide jaoks

Lubatud liikluse lõpp-punktid
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com