Partilhar via

Gerir ligações de componentes do sistema operativo Windows 10 e Windows 11 a serviços Microsoft, através do servidor MDM do Microsoft Intune

  • Artigo

Aplica-se a

  • Windows 11
  • Windows 10 Enterprise, versão 1903 e mais recente

Este artigo descreve as ligações de rede que os componentes do Windows 10 e Windows 11 fazem à Microsoft e as políticas Gestão de Dispositivos Móveis/Fornecedor de Serviços de Configuração (MDM/CSP) e Open Mobile Alliance Uniform Resource Identifier (OMA URI) disponíveis para Profissionais de TI que utilizem o Microsoft Intune para ajudar a gerir os dados partilhados com a Microsoft. Se pretender minimizar as ligações do Windows a serviços Microsoft ou configurar definições de privacidade, existem várias definições que deve ter em conta. Por exemplo, pode configurar dados de diagnóstico para o nível mais baixo para a sua edição do Windows e avaliar outras ligações que o Windows faz a serviços Microsoft que pretende desativar utilizando as instruções neste artigo. Embora seja possível minimizar as ligações de rede à Microsoft, existem várias razões pelas quais estas comunicações estão ativadas por predefinição. Por exemplo, atualizar as definições de software maligno e manter as listas de revogação de certificados atualizadas. Estes dados ajudam-nos a oferecer uma experiência segura, fiável e atualizada.

Importante

  • Os pontos finais de Tráfego Permitido para uma configuração de MDM são indicados aqui: Tráfego Permitido
    • O tráfego de rede de CRL (Lista de Revogação de Certificados) e protocolo OCSP (Online Certificate Status Protocol) não pode ser desativado e continuará a ser apresentado em rastreios de rede. As verificações CRL e OCSP são efetuadas para as autoridades de certificação emissoras. A Microsoft é uma destas autoridades. Existem muitas outras, como DigiCert, Thawte, Google, Symantec e VeriSign.
    • Existe algum tráfego que é especificamente necessário para a gestão de dispositivos Windows 10 e Windows 11 baseada no Microsoft Intune. Este tráfego inclui o Serviço de Notificações do Windows (WNS), a Atualização Automática de Certificados de Raiz (ARCU) e algum tráfego relacionado com o Windows Update. O tráfego mencionado anteriormente abrange o Tráfego Permitido para o Servidor MDM do Microsoft Intune que se destina à gestão de dispositivos Windows 10 e Windows 11.
  • Por razões de segurança, é importante decidir cuidadosamente que definições devem ser configuradas, uma vez que algumas delas podem resultar num dispositivo menos seguro. Exemplos de definições que podem levar a uma configuração de dispositivo menos segura incluem: desativar o Windows Update, desativar a Atualização Automática de Certificados de Raiz e desativar o Windows Defender. Assim, não recomendamos a desativação de nenhuma destas funcionalidades.
  • Para garantir que os CSPs têm prioridade sobre as Políticas de Grupo em caso de conflitos, utilize a política ControlPolicyConflict .
  • As ligações Obter Ajuda e Enviar-nos Comentários no Windows podem deixar de funcionar depois de aplicar algumas ou todas as definições de MDM/CSP.

Aviso

Se um utilizador executar o comando "Repor este PC" (Definições -> Atualização e Segurança -> Recuperação) com a opção "Remover Tudo", as >definições de Funcionalidade Limitada de Tráfego Restrito do Windows terão de ser novamente aplicadas para voltar a restringir o tráfego de saída do dispositivo. >Para tal, o cliente tem de se reinscrever no serviço Microsoft Intune. Durante o período que antecede a re->aplicação das definições de Funcionalidade Limitada de Tráfego Restrito do Windows poderá ocorrer tráfego de saída. Se o utilizador executar o comando "Repor este PC" com a opção >"Manter os meus ficheiros", as definições de Funcionalidade Limitada de Tráfego Restrito do Windows são mantidas no dispositivo e, por conseguinte, irá continuar numa configuração de >Tráfego Restrito durante e após a reposição do comando "Manter os meus ficheiros" e não é necessária uma reinscrição.

Para obter mais informações sobre o Microsoft Intune, consulte Transformar a prestação de serviços de TI no seu local de trabalho moderno e Documentação do Microsoft Intune.

Para obter informações detalhadas sobre a gestão de ligações de rede a serviços Microsoft através das Definições do Windows, Políticas de Grupo e definições do Registo, consulte Gerir ligações de componentes do sistema operativo Windows a serviços da Microsoft.

Continuamos a trabalhar para melhorar a nossa documentação e agradecemos os seus comentários. Pode enviar os seus comentários por e-mail para telmhelp@Microsoft.com.

Definições para o Windows 10 Enterprise Edition 1903 e posterior e Windows 11

A tabela seguinte lista as opções de gestão para cada definição.

Para o Windows 10 e Windows 11, estão disponíveis as seguintes políticas MDM no CSP de Políticas.

  1. Atualização Automática de Certificados de Raiz

    1. Política MDM: Intencionalmente, não existe nenhum MDM disponível para a Atualização Automática de Certificados de Raiz. Este MDM não existe, uma vez que impediria o funcionamento e a gestão MDM de dispositivos.

  2. Cortana e Pesquisa

    1. Política MDM: Experience/AllowCortana. Escolha se pretende permitir que a Cortana seja instalada e executada no dispositivo. Definir como 0 (zero)
    2. Política MDM: Search/AllowSearchToUseLocation. Escolha se a Cortana e a Pesquisa podem apresentar resultados da pesquisa com deteção automática da localização. Definir como 0 (zero)

  3. Data e Hora

    1. Política MDM: Settings/AllowDateTime. Permite que o utilizador altere as definições de data e hora. Definir como 0 (zero)

  4. Obtenção de metadados do dispositivo

    1. Política MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Escolha se pretende impedir o Windows de obter metadados do dispositivo a partir da Internet. Definir como Ativado

  5. Localizar o Meu Dispositivo

    1. Política MDM: Experience/AllowFindMyDevice. Esta política ativa a funcionalidade Localizar o Meu Dispositivo. Definir como 0 (zero)

  6. Transmissão em fluxo de tipos de letra

    1. Política MDM: System/AllowFontProviders. Definição que determina se o Windows tem permissão para descarregar tipos de letra e dados do catálogo de tipos de letra a partir de um fornecedor de tipos de letra online. Definir como 0 (zero)

  7. Preview builds do Insider

    1. Política MDM: System/AllowBuildPreview. Esta definição de política determina se os utilizadores podem aceder aos controlos da compilação do Insider nas Opções Avançadas do Windows Update. Definir como 0 (zero)

  8. Internet Explorer As seguintes políticas MDM do Microsoft Internet Explorer estão disponíveis no CSP do Internet Explorer

    1. Política MDM: InternetExplorer/AllowSuggestedSites. Recomenda sites com base na atividade de navegação do utilizador. Definir como Desativado
    2. Política MDM: InternetExplorer/PreventManagingSmartScreenFilter. Impede o utilizador de gerir o Windows Defender SmartScreen, que avisa o utilizador se o site que está a ser visitado for conhecido por tentativas fraudulentas de recolher informações pessoais através de "phishing" ou se for conhecido por alojar software maligno. Definir como Cadeia com o Valor:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. Política MDM: InternetExplorer/DisableFlipAheadFeature. Determina se um utilizador pode percorrer um ecrã ou clicar em Reencaminhar para aceder à página pré-carregada seguinte de um site. Definir como Ativado
    4. Política MDM: InternetExplorer/DisableHomePageChange. Determina se os utilizadores podem alterar ou não a Home Page predefinida. Definir como Cadeia com o Valor:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. Política MDM: InternetExplorer/DisableFirstRunWizard. Impede que o Internet Explorer execute o assistente de Primeira Execução quando um utilizador inicia pela primeira vez o browser depois de instalar o Internet Explorer ou o Windows. Definir como Cadeia com o Valor:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Mosaicos Dinâmicos

    1. Política MDM: Notifications/DisallowTileNotification. Esta definição de política desativa as notificações de mosaico. Se ativar esta definição de política, as aplicações e as funcionalidades do sistema não poderão atualizar os mosaicos e os distintivos de mosaico no ecrã Início. Valor inteiro 1

  10. Sincronização de correio

    1. Política MDM: Accounts/AllowMicrosoftAccountConnection. Especifica se o utilizador tem permissão para utilizar uma conta Microsoft para serviços e autenticação de ligação não relacionados com e-mail. Definir como 0 (zero)

  11. Conta Microsoft

    1. Política MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Desative o Assistente de Início de Sessão da Conta Microsoft. Definir como 0 (zero)

  12. Microsoft Edge As seguintes políticas MDM do Microsoft Edge estão disponíveis no CSP de Políticas. Para obter uma lista completa das políticas do Microsoft Edge, consulte Políticas disponíveis para o Microsoft Edge.

    1. Política MDM: Browser/AllowAutoFill. Escolha se os colaboradores podem utilizar a conclusão rápida nos sites. Definir como 0 (zero)
    2. Política MDM: Browser/AllowDoNotTrack. Escolha se os colaboradores podem enviar cabeçalhos Não Monitorizar. Definir como 0 (zero)
    3. Política MDM: Browser/AllowMicrosoftCompatbilityList. Especifique a lista de compatibilidade da Microsoft no Microsoft Edge. Definir como 0 (zero)
    4. Política MDM: Browser/AllowPasswordManager. Escolha se os colaboradores podem guardar palavras-passe localmente nos seus dispositivos. Definir como 0 (zero)
    5. Política MDM: Browser/AllowSearchSuggestionsinAddressBar. Escolha se a Barra de Endereço mostra sugestões de pesquisa. Definir como 0 (zero)
    6. Política MDM: Browser/AllowSmartScreen. Escolha se o Windows Defender SmartScreen é ativado ou desativado. Definir como 0 (zero)

  13. Indicador de Estado da Ligação de Rede

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Nota: depois de aplicar esta política, tem de reiniciar o dispositivo para que a definição da política entre em vigor. Definir como 1 (um)

  14. Mapas offline

    1. Política MDM: AllowOfflineMapsDownloadOverMeteredConnection. Permite o descarregamento e a atualização dos dados do mapa em ligações com tráfego limitado.
      Definir como 0 (zero)
    2. Política MDM: EnableOfflineMapsAutoUpdate. Desativa o descarregamento e a atualização automáticos dos dados do mapa. Definir como 0 (zero)

  15. OneDrive

    1. Política MDM: DisableOneDriveFileSync. Permite que os Administradores de TI impeçam as aplicações e as funcionalidades de funcionarem com ficheiros no OneDrive. Definir como 1 (um)
    2. Ingira o ADMX - Para obter o ficheiro ADMX mais recente do OneDrive, necessita de um cliente Windows 10 ou Windows 11 atualizado. Os ficheiros ADMX estão localizados no seguinte caminho: %LocalAppData%\Microsoft\OneDrive\ - existe uma pasta com a compilação atual do OneDrive (por exemplo, "18.162.0812.0001"). Existe uma pasta com o nome "adm" que contém os ficheiros de definição da política admx e adml.
    3. Política MDM: impedir o Tráfego de Rede antes do Início de Sessão do Utilizador. PreventNetworkTrafficPreUserSignIn. The OMA-URI value is: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Tipo de dados: Cadeia, Valor: <enabled/>

  16. Definições de privacidade À exceção da página Diagnóstico e Comentários, estas definições têm de ser configuradas para cada conta de utilizador que inicie sessão no PC.

    1. Geral - TextInput/AllowLinguisticDataCollection. Esta definição de política controla a capacidade de enviar dados de tinta digital e escrita à Microsoft. Definir como 0 (zero)
    2. Localização - System/AllowLocation. Especifica se deve permitir o acesso das aplicações ao serviço de Localização. Definir como 0 (zero)
    3. Câmara - Camera/AllowCamera. Desativa ou ativa a câmara. Definir como 0 (zero)
    4. Microfone - Privacy/LetAppsAccessMicrophone. Especifica se as aplicações do Windows podem aceder ao microfone. Definir como 2 (dois)
    5. Notificações - Privacy/LetAppsAccessNotifications. Especifica se as aplicações do Windows podem aceder às notificações. Definir como 2 (dois)
    6. Notificações - Settings/AllowOnlineTips. Ativa ou desativa a obtenção da ajuda e de sugestões online para a aplicação Definições. Valor inteiro 0
    7. Voz, Tinta Digital e Escrita - Privacy/AllowInputPersonalization. Esta política especifica se os utilizadores no dispositivo podem optar por ativar o reconhecimento de voz online. Definir como 0 (zero)
    8. Voz, Tinta Digital e Escrita - TextInput/AllowLinguisticDataCollection. Esta definição de política controla a capacidade de enviar dados de tinta digital e escrita à Microsoft Definir como 0 (zero)
    9. Informações da conta - Privacy/LetAppsAccessAccountInfo. Especifica se as aplicações do Windows podem aceder às informações da conta. Definir como 2 (dois)
    10. Contactos - Privacy/LetAppsAccessContacts. Especifica se as aplicações do Windows podem aceder aos contactos. Definir como 2 (dois)
    11. Calendário - Privacy/LetAppsAccessCalendar. Especifica se as aplicações do Windows podem aceder ao calendário. Definir como 2 (dois)
    12. Histórico de chamadas - Privacy/LetAppsAccessCallHistory. Especifica se as aplicações do Windows podem aceder às informações da conta. Definir como 2 (dois)
    13. E-mail - Privacy/LetAppsAccessEmail. Especifica se as aplicações do Windows podem aceder ao e-mail. Definir como 2 (dois)
    14. Mensagens - Privacy/LetAppsAccessMessaging. Especifica se as aplicações do Windows podem ler ou enviar mensagens (SMS ou MMS). Definir como 2 (dois)
    15. Chamadas telefónicas - Privacy/LetAppsAccessPhone. Especifica se as aplicações do Windows podem efetuar chamadas telefónicas. Definir como 2 (dois)
    16. Rádios - Privacy/LetAppsAccessRadios. Especifica se as aplicações do Windows têm acesso para controlar rádios. Definir como 2 (dois)
    17. Outros dispositivos - Privacy/LetAppsSyncWithDevices. Especifica se as aplicações do Windows podem ser sincronizadas com dispositivos. Definir como 2 (dois)
    18. Outros dispositivos - Privacy/LetAppsAccessTrustedDevices. Especifica se as aplicações do Windows podem aceder a dispositivos fidedignos. Definir como 2 (dois)
    19. Diagnóstico e comentários - System/AllowTelemetry. Permita que o dispositivo envie dados de diagnóstico e telemetria de utilização, como o Watson. Definir como 0 (zero)
    20. Diagnóstico e comentários - Experience/DoNotShowFeedbackNotifications. Impede os dispositivos de mostrarem perguntas de comentários da Microsoft. Definir como 1 (um)
    21. Aplicações em segundo plano - Privacy/LetAppsRunInBackground. Especifica se as aplicações do Windows podem ser executadas em segundo plano. Definir como 2 (dois)
    22. Movimento - Privacy/LetAppsAccessMotion. Especifica se as aplicações do Windows podem aceder a dados de movimento. Definir como 2 (dois)
    23. Tarefas - Privacy/LetAppsAccessTasks. Desativa a capacidade de escolher as aplicações que têm acesso a tarefas. Definir como 2 (dois)
    24. Diagnóstico da Aplicação - Privacy/LetAppsGetDiagnosticInfo. Utilize Forçar permissão ou Forçar negação, ou conceder ao utilizador controlo das aplicações que podem obter informações de diagnóstico sobre outras aplicações em execução. Definir como 2 (dois)

  17. Plataforma de Proteção de Software - Licensing/DisallowKMSClientOnlineAVSValidation. Opte ativamente por não participar no envio automático de dados de ativação do cliente do KMS para a Microsoft. Definir como 1 (um)

  18. Estado de Funcionamento do Armazenamento - Storage/AllowDiskHealthModelUpdates. Permite as atualizações do modelo de integridade do disco. Definir como 0 (zero)

  19. Sincronizar as suas definições - Experience/AllowSyncMySettings. Controle se as suas definições são sincronizadas. Definir como 0 (zero)

  20. Teredo - O MDM não é necessário. O Teredo está Desligado por predefinição. A Otimização da Entrega (DO) pode ativar o Teredo, mas a própria DO é desativada pelo MDM.

  21. Sensor de Wi-Fi - O MDM não é necessário. O Sensor de Wi-Fi deixou de estar disponível a partir do Windows 10, versão 1803 e posterior ou o Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Desligue-se do Serviço de Proteção do Microsoft Antimalware. Definir como 0 (zero)
    2. Defender/SubmitSamplesConsent. Deixe de enviar amostras de ficheiros para a Microsoft. Definir como 2 (dois)
    3. Defender/EnableSmartScreenInShell. Desativa o SmartScreen no Windows para a execução de aplicações e ficheiros. Definir como 0 (zero)
    4. Windows Defender Smartscreen – Browser/AllowSmartScreen. Desative o Windows Defender SmartScreen. Definir como 0 (zero)
    5. Windows Defender SmartScreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Controla se os utilizadores têm permissão para instalar aplicações a partir de locais que não a Microsoft Store. Definir como 0 (zero)
    6. Proteção de Aplicações Potencialmente Indesejáveis (PUA) do Windows Defender - Defender/PUAProtection. Especifica o nível de deteção de aplicações potencialmente indesejáveis (PUAs). Definir como 1 (um)
    7. Defender/SignatureUpdateFallbackOrder. Permite-lhe definir a ordem de contacto das diferentes origens de atualização de definições. O OMA-URI para isto é: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Tipo de dados: Cadeia, Valor: FileShares

  23. Destaque do Windows - Experience/AllowWindowsSpotlight. Desative o Destaque do Windows. Definir como 0 (zero)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Valor booleano que desativa a iniciação de todas as aplicações da Microsoft Store que foram pré-instaladas ou descarregadas. Definir como 1 (um)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Especifica se a atualização automática de aplicações da Microsoft Store é permitida. Definir como 0 (zero)

  25. Aplicações para sites - ApplicationDefaults/EnableAppUriHandlers. Esta definição de política determina se o Windows suporta a associação Web para aplicação com processadores URI de aplicação. Definir como 0 (zero)

  26. Otimização da Entrega do Windows Update - Estão disponíveis as seguintes políticas MDM da Otimização da Entrega no CSP de Políticas.

    1. DeliveryOptimization/DODownloadMode. Permite-lhe escolher onde a Otimização da Entrega obtém ou envia atualizações e aplicações. Definido como 99 (noventa e nove)

  27. Windows Update

    1. Update/AllowAutoUpdate. Controle as atualizações automáticas. Definir como 5 (cinco)
    2. Serviço Permitir Atualização do Windows Update - Update/AllowUpdateService. Especifica se o dispositivo pode utilizar o Microsoft Update, o Windows Server Update Services (WSUS) ou a Microsoft Store. Definir como 0 (zero)
    3. URL do Serviço Windows Update - Update/UpdateServiceUrl. Permite que o dispositivo procure atualizações a partir de um servidor WSUS, em vez do Microsoft Update. Definir como Cadeia com o Valor:
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Recomendações
    a. Definição HideRecentJumplists no fornecedor de serviços de configuração (CSP) da Política de Início. Para ocultar uma lista de aplicações e ficheiros recomendados na secção Recomendado no menu Iniciar.

Tráfego permitido para as configurações do Microsoft Intune/MDM

Pontos finais de tráfego permitido
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com