Delen via

Verbindingen van onderdelen van het Windows 10- en Windows 11-besturingssysteem met Microsoft-services beheren met Microsoft Intune MDM Server

  • Artikel

Is van toepassing op

  • Windows 11
  • Windows 10 Enterprise versie 1903 en nieuwer

Dit artikel beschrijft de netwerkverbindingen die Windows 10- en Windows 11-componenten maken met Microsoft en de Mobile Device Management/Configuration Service Provider (MDM/CSP) en aangepaste Open Mobile Alliance Uniform Resource Identifier (OMA URI)-beleidsregels die beschikbaar zijn voor IT-professionals die Microsoft Intune gebruiken om te helpen bij het beheren van de gegevens die met Microsoft worden gedeeld. Als u verbindingen tussen Windows en Microsoft-services wilt beperken, of privacyinstellingen wilt configureren, moet u rekening houden met een aantal instellingen. U kunt aan de hand van de instructies in dit artikel bijvoorbeeld diagnostische gegevens configureren op het laagste niveau voor uw editie van Windows en andere verbindingen evalueren die Windows aan de Microsoft-services maakt, die u wilt uitschakelen. Hoewel het mogelijk is om netwerkverbindingen met Microsoft te beperken, zijn er veel redenen waarom deze communicatie standaard is ingeschakeld, zoals definities van malware bijwerken en actuele lijsten met certificaatintrekkingslijsten onderhouden. Deze gegevens helpen ons om een veilige, betrouwbare en up-to-date ervaring te bieden.

Belangrijk

  • Dit zijn de toegestane verkeerseindpunten voor een MDM-configuratie: Toegestaan verkeer
    • Netwerkverkeer via CRL (Certificate Revocation List) en OCSP (Online Certificate Status Protocol) kan niet worden uitgeschakeld en wordt nog steeds weergegeven in netwerktraceringen. Er worden CRL- en OCSP-controles uitgevoerd voor de verlenende certificeringsinstanties. Microsoft is een van deze instanties. Er zijn veel anderen, zoals DigiCert, Thawte, Google, Symantec en VeriSign.
    • Er bestaat verkeer dat specifiek is vereist voor beheer van Windows 10- en Windows 11-apparaten in Microsoft Intune. Dit verkeer omvat de Windows Notification Service (WNS), automatische updates van basiscertificaten (ARCU) en netwerkverkeer met betrekking tot Windows Update. Het bovengenoemde verkeer omvat het toegestane verkeer voor Microsoft Intune MDM Server om Windows 10- en Windows 11-apparaten te beheren.
  • Om beveiligingsredenen is het belangrijk te bepalen welke instellingen moeten worden geconfigureerd, omdat sommige hiervan ten koste kunnen gaan van de beveiliging van een apparaat. Voorbeelden van instellingen die kunnen leiden tot een minder veilige apparaatconfiguratie, zijn: Windows Update uitschakelen, automatische updates van basiscertificaten uitschakelen en Windows Defender uitschakelen. Daarom adviseren we geen van deze functies uit te schakelen.
  • Gebruik het beleid ControlPolicyConflict om te voorkomen dat CSP's een hogere prioriteit hebben dan groepsbeleid in geval van conflicten.
  • De koppelingen Hulp vragen en Feedback geven in Windows werken mogelijk niet meer nadat enkele of alle MDM-en CSP-instellingen zijn toegepast.

Waarschuwing

Als een gebruiker de opdracht "Deze pc opnieuw instellen" (Instellingen -> Update en beveiliging -> Herstel) uitvoert met de optie "Alles verwijderen", moeten de instellingen voor > Windows Restricted Traffic Limited Functionality opnieuw worden toegepast om de uitgaand verkeer van het apparaat. >Hiervoor moet de client opnieuw worden ingeschreven bij de Microsoft Intune-service. Uitgaand verkeer kan plaatsvinden tijdens de periode voorafgaand aan de her->toepassing van de instellingen voor beperkte functionaliteit voor beperkt verkeer. Als de gebruiker de optie 'Deze pc opnieuw instellen' uitvoert met de optie 'Mijn bestanden behouden' >, blijven de instellingen voor beperkte functionaliteit voor beperkt verkeer behouden op het apparaat en blijft de client daarom in een >configuratie voor beperkt verkeer tijdens en na het opnieuw instellen van 'Mijn bestanden behouden' en is geen herinschrijving vereist.

Zie voor meer informatie over Microsoft Intune De levering van IT-services voor de moderne werkplek transformeren en Microsoft Intune-documentatie.

Zie Verbindingen beheren van Windows-besturingssysteemonderdelen met Microsoft-services voor uitgebreide informatie over het beheren van netwerkverbindingen met Microsoft-services wanneer u Windows-instellingen, groepsbeleid en registerinstellingen gebruikt.

We doen er alles aan om onze documentatie te verbeteren en ontvangen graag uw feedback. U kunt feedback geven door een e-mail te verzenden naar telmhelp@microsoft.com.

Instellingen voor Windows 10 Enterprise editie 1903 en hoger en Windows 11

De volgende tabel bevat beheeropties voor elke instelling.

Voor Windows 10 en Windows 11 zijn de volgende MDM-beleidsregels beschikbaar in de beleids-CSP.

  1. Automatische update van basiscertificaten

    1. MDM-beleid: er is opzettelijk geen MDM beschikbaar voor automatische updates van de basiscertificaten. Deze MDM bestaat niet, omdat dit de werking en het beheer van MDM van apparaten zou voorkomen.

  2. Cortana en Zoeken

    1. MDM-beleid: Experience/AllowCortana. Kies of u Cortana wilt laten installeren en uitvoeren op het apparaat. Ingesteld op 0 (nul)
    2. MDM-beleid: Search/AllowSearchToUseLocation. Kies of Cortana en Zoeken locatiebewuste zoekresultaten kunnen bieden. Ingesteld op 0 (nul)

  3. Datum en tijd

    1. MDM-beleid: Settings/AllowDateTime. Hiermee kan de gebruiker de datum-en tijdinstellingen wijzigen. Ingesteld op 0 (nul)

  4. Metagegevens apparaat ophalen

    1. MDM-beleid: DeviceInstallation/PreventDeviceMetadataFromNetwork. Kies of u wilt voorkomen dat Windows metagegevens van uw apparaat ophaalt van internet. Ingesteld op ingeschakeld

  5. Mijn apparaat zoeken

    1. MDM-beleid: Experience/AllowFindMyDevice. Met deze beleidsinstelling wordt Mijn apparaat zoeken ingeschakeld. Ingesteld op 0 (nul)

  6. Lettertypestreaming

    1. MDM-beleid: Systeem/AllowFontProviders. Instelling waarmee wordt bepaald of Windows lettertypen en lettertypecatalogusgegevens van een online lettertype-provider mag downloaden. Ingesteld op 0 (nul)

  7. Insider-Preview-versies

    1. MDM-beleid: Systeem/AllowBuildPreview. Met deze beleidsinstelling wordt bepaald of gebruikers toegang hebben tot de besturingselementen voor Insider-builds in de geavanceerde opties voor Windows Update. Ingesteld op 0 (nul)

  8. Internet Explorer Het volgende MDM-beleid voor Microsoft Internet Explorer is beschikbaar in de Internet Explorer-CSP

    1. MDM-beleid: InternetExplorer/AllowSuggestedSites. Beveelt websites aan op basis van de browse-activiteiten van de gebruiker. Ingesteld op Uitgeschakeld
    2. MDM-beleid: InternetExplorer/PreventManagingSmartScreenFilter. Hiermee wordt voorkomen dat de gebruiker Windows Defender SmartScreen beheert, waarmee de gebruiker wordt gewaarschuwd als de bezochte website bekend is wegens frauduleuze pogingen om persoonlijke gegevens te verzamelen via phishing, of bekend staat als verspreider van malware. Ingesteld op Tekenreeks met Waarde:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. MDM-beleid: InternetExplorer/DisableFlipAheadFeature. Hiermee bepaalt u of een gebruiker over een scherm kan vegen of op volgende kan klikken om naar de volgende vooraf geladen pagina van een website te gaan. Ingesteld op Ingeschakeld
    4. MDM-beleid: InternetExplorer/DisableHomePageChange. Hiermee bepaalt u of gebruikers de standaardstartpagina kunnen wijzigen. Ingesteld op Tekenreeks met Waarde:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. MDM-beleid: InternetExplorer/DisableFirstRunWizard. Hiermee voorkomt u dat in Internet Explorer de eerste wizard wordt uitgevoerd wanneer een gebruiker de eerste keer start met de browser na de installatie van Internet Explorer of Windows. Ingesteld op Tekenreeks met Waarde:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Live-tegels

    1. MDM-beleid: Notifications/DisallowTileNotification. Met deze beleidsinstelling schakelt u tegelmeldingen uit. Als u deze beleidsinstelling inschakelt, kunnen toepassingen en systeemfuncties hun tegels en tegelbadges niet bijwerken in het Startscherm. Gehele waarde 1

  10. E-mailsynchronisatie

    1. MDM-beleid: Accounts/AllowMicrosoftAccountConnection. Hiermee geeft u op of de gebruiker een Microsoft-account mag gebruiken voor niet-e-mailgerelateerde verbindingsverificatie en -services. Ingesteld op 0 (nul)

  11. Microsoft-account

    1. MDM-beleid: Accounts/AllowMicrosoftAccountSignInAssistant. Schakel de aanmeldhulp voor Microsoft-accounts uit. Ingesteld op 0 (nul)

  12. Microsoft Edge De volgende Microsoft Edge MDM-beleidsregels zijn beschikbaar in de Beleids-CSP. Zie Beschikbaar beleid voor Microsoft Edge voor een volledige lijst van de beleidsregels voor Microsoft Edge.

    1. MDM-beleid: Browser/AllowAutoFill. Kies of werknemers automatisch invullen kunnen gebruiken op websites. Ingesteld op 0 (nul)
    2. MDM-beleid: Browser/AllowDoNotTrack. Kies of werknemers Do Not Track-headers kunnen verzenden. Ingesteld op 0 (nul)
    3. MDM-beleid: Browser/AllowMicrosoftCompatbilityList. Geef de compatibiliteitslijst van Microsoft op in Microsoft Edge. Ingesteld op 0 (nul)
    4. MDM-beleid: Browser/AllowPasswordManager. Kies of werknemers wachtwoorden lokaal kunnen opslaan op hun apparaten. Ingesteld op 0 (nul)
    5. MDM-beleid: Browser/AllowSearchSuggestionsinAddressBar. Kies of de adresbalk zoeksuggesties bevat. Ingesteld op 0 (nul)
    6. MDM-beleid: Browser/AllowSmartScreen. Kies of Windows Defender SmartScreen is ingeschakeld of uitgeschakeld. Ingesteld op 0 (nul)

  13. Statusindicator van netwerkverbinding

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Opmerking: na het toepassen van dit beleid moet u het apparaat opnieuw opstarten om de beleidsinstelling van kracht te laten worden. Ingesteld op 1 (één)

  14. Offlinekaarten

    1. MDM-beleid: AllowOfflineMapsDownloadOverMeteredConnection. Hiermee kunt u kaartgegevens downloaden en bijwerken via verbindingen met een datalimiet.
      Ingesteld op 0 (nul)
    2. MDM-beleid: EnableOfflineMapsAutoUpdate. Schakelt het automatisch downloaden en bijwerken van kaartgegevens uit. Ingesteld op 0 (nul)

  15. OneDrive

    1. MDM-beleid: DisableOneDriveFileSync. Hierdoor kunnen IT-beheerders ervoor zorgen dat apps en functies niet werken met bestanden in OneDrive. Ingesteld op 1 (één)
    2. Neem de ADMX op. Als u het meest recente OneDrive ADMX-bestand wilt ophalen, hebt u een up-to-date Windows 10- of Windows 11-client nodig. De ADMX-bestanden bevinden zich onder het volgende pad: %LocalAppData%\Microsoft\OneDrive\ er is een map met de huidige OneDrive-build (bijvoorbeeld '18.162.0812.0001'). Er is een map met de naam "adm" die de beleidsregels voor admx en adml bevat.
    3. MDM-beleid: verhinderen van netwerkverkeer voordat gebruikers zich aanmelden. PreventNetworkTrafficPreUserSignIn. De OMA-URI-waarde is: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, gegevenstype: tekenreeks, waarde: <ingeschakeld/>

  16. Privacy-instellingen Met uitzondering van de pagina Feedback en diagnostische gegevens, moet u deze instellingen configureren voor elk gebruikersaccount dat zich op de pc bevindt.

    1. Algemeen - TextInput/AllowLinguisticDataCollection. Met deze beleidsinstelling kunt u de mogelijkheid bepalen om digitale inkt- en typ-gegevens te verzenden naar Microsoft. Ingesteld op 0 (nul)
    2. Locatie - System/AllowLocation. Hiermee geeft u op of de toegang tot de locatieservice mag worden toegestaan. Ingesteld op 0 (nul)
    3. Camera - Camera/AllowCamera. Schakelt de camera in of uit. Ingesteld op 0 (nul)
    4. Microfoon - Privacy/LetAppsAccessMicrophone. Hiermee geeft u op of Windows-apps toegang hebben tot de microfoon. Ingesteld op 2 (twee)
    5. Meldingen - Privacy/LetAppsAccessNotifications. Hiermee geeft u op of Windows-apps toegang hebben tot meldingen. Ingesteld op 2 (twee)
    6. Meldingen - Settings/AllowOnlineTips. Schakelt het ophalen van online tips en hulp voor de app Instellingen in of uit. Gehele waarde 0
    7. Spraak, digitale inkt en typen - Privacy/AllowInputPersonalization. Dit beleid geeft aan of gebruikers van het apparaat de optie hebben om online spraakherkenning in te schakelen. Ingesteld op 0 (nul)
    8. Spraak, digitale inkt en typen - TextInput/AllowLinguisticDataCollection. Met deze beleidsinstelling bepaalt u de mogelijkheid om handgeschreven en getypte gegevens te verzenden naar Microsoft ingesteld op 0 (nul)
    9. Accountgegevens - Privacy/LetAppsAccessAccountInfo. Hiermee geeft u op of Windows-apps toegang hebben tot accountgegevens. Ingesteld op 2 (twee)
    10. Contactpersonen - Privacy/LetAppsAccessContacts. Hiermee geeft u op of Windows-apps toegang hebben tot contactpersonen. Ingesteld op 2 (twee)
    11. Agenda - Privacy/LetAppsAccessCalendar. Hiermee geeft u op of Windows-apps toegang hebben tot de agenda. Ingesteld op 2 (twee)
    12. Oproepgeschiedenis - Privacy/LetAppsAccessCallHistory. Hiermee geeft u op of Windows-apps toegang hebben tot accountgegevens. Ingesteld op 2 (twee)
    13. E-mail - Privacy/LetAppsAccessEmail. Hiermee geeft u op of Windows-apps toegang hebben tot e-mail. Ingesteld op 2 (twee)
    14. Berichten- Privacy/LetAppsAccessMessaging. Hiermee geeft u op of Windows-apps berichten kunnen lezen of verzenden (sms of mms). Ingesteld op 2 (twee)
    15. Telefoongesprekken - Privacy/LetAppsAccessPhone. Hiermee geeft u op of Windows-apps telefoongesprekken kunnen voeren. Ingesteld op 2 (twee)
    16. Radio's - Privacy/LetAppsAccessRadios. Hiermee geeft u op of Windows-apps toegang hebben tot de aansturing van radio's. Ingesteld op 2 (twee)
    17. Andere apparaten - Privacy/LetAppsSyncWithDevices. Hiermee geeft u op of Windows-apps met apparaten kunnen worden gesynchroniseerd. Ingesteld op 2 (twee)
    18. Andere apparaten - Privacy/LetAppsAccessTrustedDevices. Hiermee geeft u op of Windows-apps toegang hebben tot vertrouwde apparaten. Ingesteld op 2 (twee)
    19. Feedback en diagnostische gegevens - Systeem/AllowTelemetry. Laat het apparaat diagnostische en gebruiks-telemetrie-gegevens verzenden, zoals Watson. Ingesteld op 0 (nul)
    20. Feedback en diagnostische gegevens - Ervaring/DoNotShowFeedbackNotifications. Hiermee voorkomt u dat uw apparaat feedbackvragen van Microsoft toont. Ingesteld op 1 (één)
    21. Achtergrond-apps - Privacy/LetAppsRunInBackground. Hiermee geeft u op of Windows-apps op de achtergrond kunnen worden uitgevoerd. Ingesteld op 2 (twee)
    22. Beweging - Privacy/LetAppsAccessMotion. Hiermee geeft u op of Windows-apps toegang hebben tot bewegingsgegevens. Ingesteld op 2 (twee)
    23. Taken - Privacy/LetAppsAccessTasks. Schakel de mogelijkheid uit om te kiezen welke apps toegang hebben tot taken. Ingesteld op 2 (twee)
    24. Diagnostische gegevens van app - Privacy/LetAppsGetDiagnosticInfo. Toestaan of weigeren afdwingen of gebruikersbesturing van apps opgeven die diagnostische informatie kunnen krijgen over andere actieve apps. Ingesteld op 2 (twee)

  17. Software Protection platform - Licensing/DisallowKMSClientOnlineAVSValidation. Meld u af bij het automatisch verzenden van KMS-clientactiveringsgegevens naar Microsoft. Ingesteld op 1 (één)

  18. Opslagstatus - Storage/AllowDiskHealthModelUpdates. Hiermee kunnen updates voor het schijfstatusmodel worden bijgewerkt. Ingesteld op 0 (nul)

  19. Uw instellingen synchroniseren - Experience/AllowSyncMySettings. Bepalen of uw instellingen worden gesynchroniseerd. Ingesteld op 0 (nul)

  20. Teredo - Geen MDM nodig. Teredo is Standaard uitgeschakeld. Delivery Optimization (DO) kan Teredo inschakelen, maar DO zelf wordt uitgeschakeld via MDM.

  21. Wi-Fi-inzicht - Geen MDM nodig. Wi-Fi-inzicht is niet langer beschikbaar vanaf Windows 10 versie 1803 en hoger of Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Verbreek de verbinding met de Microsoft Antimalware Protection Service. Ingesteld op 0 (nul)
    2. Defender/SubmitSamplesConsent. Stoppen met het verzenden van bestandvoorbeelden naar Microsoft. Ingesteld op 2 (twee)
    3. Defender/EnableSmartScreenInShell. SmartScreen wordt uitgeschakeld in Windows voor uitvoering van apps en bestanden. Ingesteld op 0 (nul)
    4. Windows Defender Smartscreen - Browser/AllowSmartScreen. Windows Defender Smartscreen uitschakelen. Ingesteld op 0 (nul)
    5. Windows Defender Smartscreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl. Hiermee bepaalt u of gebruikers gemachtigd zijn apps te installeren vanaf een andere locatie dan de Microsoft Store. Ingesteld op 0 (nul)
    6. Windows Defender Potentially Unwanted Applications(PUA) Protection - Defender/PUAProtection. Hiermee geeft u het detectieniveau voor mogelijke ongewenste toepassingen op (PUA´s). Ingesteld op 1 (één)
    7. Defender/SignatureUpdateFallbackOrder. Hiermee kunt u de volgorde definiëren waarin u een verbinding wilt maken met verschillende definitie-updates. De OMA-URI hiervoor is: ./Vendor/MSFT/Policy/config/Defender/SignatureUpdateFallbackOrder, Data type: String, Value: FileShares

  23. Windows Spotlight - Ervaring/AllowWindowsSpotlight. Windows Spotlight uitschakelen. Ingesteld op 0 (nul)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Booleaanse waarde die het opstarten uitschakelt van alle apps uit de Microsoft Store die vooraf zijn geïnstalleerd of gedownload. Ingesteld op 1 (één)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Hiermee geeft u op of de automatische update van apps uit de Microsoft Store is toegestaan. Ingesteld op 0 (nul)

  25. Apps voor websites - ApplicationDefaults/EnableAppUriHandlers. Met deze beleidsinstelling wordt bepaald of Windows ondersteuning biedt voor de web-naar-app-koppeling met app-URI-handlers. Ingesteld op 0 (nul)

  26. Windows Update Delivery Optimization - Het volgende Delivery Optimization MDM-beleid is beschikbaar in de Beleids-CSP.

    1. DeliveryOptimization/DODownloadMode. U kunt kiezen waar Delivery Optimization updates en apps vandaan haalt of naartoe stuurt. Ingesteld op 99 (negenennegentig)

  27. Windows Update

    1. Update/AllowAutoUpdate. Automatische updates beheren. Ingesteld op 5 (vijf)
    2. Update-service van Windows Update toestaan - Update/AllowUpdateService. Hiermee geeft u op of het apparaat gebruikmaakt van Microsoft Update, Windows Server Update Services (WSUS) of Microsoft Store. Ingesteld op 0 (nul)
    3. URL van Windows Update-service - Update-UpdateServiceUrl. Hiermee kan het apparaat controleren op updates van een WSUS-server in plaats van Microsoft Update. Ingesteld op Tekenreeks met de Waarde:
      1. <><CmdID>$CmdID$<Item><Meta><Format>chr<Type>tekst/</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/ vervangen UpdateServiceUrl</Doel><gegevens>http://abcd-srv:8530</Item></>vervangen

  28. Aanbevelingen
    a. hideRecentJumplists instelling in de CSP (Configuratieserviceprovider voor beleid starten). Een lijst met aanbevolen apps en bestanden verbergen in de sectie Aanbevolen op de Startmenu.

Toegestaan verkeer voor Microsoft Intune/ MDM-configuraties

Toegestane verkeerseindpunten
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
\*microsoft.com/pkiops/\*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com