Gestionarea conexiunilor de la componentele sistemului de operare Windows 10 și Windows 11 la serviciile Microsoft utilizând serverul Microsoft Intune MDM

  • Articol

Se aplică la

  • Windows 11
  • Windows 10 Enterprise, versiunea 1903 și versiunile mai noi

Acest articol descrie conexiunile de rețea pe care le fac componentele Windows 10 și Windows 11 la Microsoft și la Managementul dispozitivelor mobile/Furnizorul de servicii pentru configurare (MDM/CSP) și la politicile particularizate Identificator uniform de resurse Open Mobile Alliance (OMA URI) disponibile pentru profesioniștii IT ce folosesc Microsoft Intune pentru a contribui la gestionarea datelor partajate cu Microsoft. Dacă doriți să minimizați conexiunile de la Windows la serviciile Microsoft sau să configurați setările de confidențialitate, există un număr de setări de care să țineți cont. De exemplu, puteți configura datele de diagnosticare la cel mai mic nivel pentru ediția dvs. de Windows și evalua alte conexiuni realizate de Windows la serviciile Microsoft pe care doriți să le dezactivați utilizând instrucțiunile din acest articol. Deși este posibil să minimizați conexiunile de rețea la Microsoft, există multe motive pentru care aceste comunicări sunt activate în mod implicit, cum ar fi actualizarea definițiilor malware și menținerea listelor de certificate revocate la zi. Aceste date ne ajută să oferim o experiență sigură, fiabilă și actualizată.

Important

  • Punctele finale de trafic permise pentru o configurație MDM sunt aici: Trafic permis
    • Traficul de rețea CRL (Liste de certificate revocate) și OCSP (Protocol On-line Certificate Status) nu poate fi dezactivat și se va afișa în continuare în urmele de rețea. Verificările CRL și OCSP se efectuează pentru autoritățile de certificare emitente. Microsoft este una dintre aceste autorități. Există multe altele, cum ar fi DigiCert, Thawte, Google, Symantec și VeriSign.
    • Există un anumit trafic necesar în mod specific pentru gestionarea bazată pe Microsoft Intune a dispozitivelor Windows 10 și Windows 11. Acest trafic include Serviciul Windows de notificări Push (WNS), Actualizare automată pentru certificatele rădăcină (ARCU) și trafic asociat cu Windows Update. Traficul menționat anterior cuprinde traficul permis pentru ca serverul Microsoft Intune MDM să gestioneze dispozitivele Windows 10 și Windows 11.
  • Din motive de securitate, este important să aveți grijă la alegerea setărilor de configurat, deoarece unele dintre ele pot avea ca rezultat un dispozitiv mai puțin sigur. Exemple de setări care pot duce la o configurație mai puțin sigură a dispozitivelor includ: dezactivarea Windows Update, dezactivarea actualizării automate pentru certificatele rădăcină și dezactivarea Windows Defender. În consecință, nu recomandăm dezactivarea niciuneia dintre aceste caracteristici.
  • Pentru a asigura prioritatea furnizorului de soluții cloud față de politicile de grup în caz de conflicte, utilizați politica ControlPolicyConflict.
  • Linkurile Ajutor și Oferiți-ne feedback din Windows, este posibil să nu mai funcționeze după aplicarea unora sau a tuturor setărilor pentru MDM/furnizor de soluții cloud.

Avertisment

Dacă un utilizator execută comanda "Resetați acest PC" (Setări -> Actualizare & Securitate -> Recuperare) cu opțiunea "Eliminați tot", setările de funcționalitate limitată pentru trafic restricționat Windows >va trebui să fie aplicate din nou pentru a restricționa din nou traficul de ieșire al dispozitivului. >Pentru a face acest lucru, clientul trebuie reînscris la serviciul Microsoft Intune. Traficul de ieșire poate apărea în perioada anterioară re->aplicației setărilor de funcționalitate limitată pentru trafic restricționat. Dacă utilizatorul execută o opțiune "Resetați acest PC" cu opțiunea "Păstrați fișierele mele" >setările de funcționalitate limitată pentru trafic restricționat sunt păstrate pe dispozitiv și, prin urmare, clientul va rămâne într-o configurație de trafic restricționat >în timpul resetării "Păstrați fișierele mele" și nu este necesară reînscrierea.

Pentru mai multe informații despre Microsoft Intune, consultați Transformați livrarea serviciilor IT pentru locul de muncă modern și Documentație Microsoft Intune.

Pentru informații detaliate despre gestionarea conexiunilor de rețea la serviciile Microsoft utilizând Setările Windows, politici de grup și setări de registry, consultați Gestionarea conexiunilor de la componentele sistemului de operare Windows la serviciile Microsoft.

Ne străduim întotdeauna să îmbunătățim documentația, iar feedbackul dvs. este binevenit. Puteți să furnizați feedback prin trimiterea de mesaje de e-mail către telmhelp@microsoft.com.

Setări pentru Windows 10 Enterprise, versiunea 1903 și versiunile ulterioare, și Windows 11

Următorul tabel listează opțiunile de gestionare pentru fiecare setare.

Pentru Windows 10 și Windows 11, următoarele politici MDM sunt disponibile în Politică CSP.

  1. Actualizare automată pentru certificatele rădăcină

    1. Politică MDM: în mod intenționat nu există nicio MDM disponibilă pentru Actualizarea automată pentru certificatele rădăcină. Această MDM nu există deoarece ar împiedica funcționarea și gestionarea MDM a dispozitivelor.

  2. Cortana și Căutare

    1. Politica MDM: Experience/AllowCortana. Alegeți dacă permiteți instalarea și rularea aplicației Cortana pe dispozitiv. Setați la 0 (zero)
    2. Politica MDM: Search/AllowSearchToUseLocation. Alegeți dacă aplicația Cortana și funcția Căutare pot oferi rezultate de căutare receptive la locație. Setați la 0 (zero)

  3. Dată &Oră

    1. Politica MDM: Settings/AllowDateTime. Permite utilizatorului să modifice setările pentru dată și oră. Setați la 0 (zero)

  4. Recuperarea metadatelor dispozitivului

    1. Politica MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Alegeți dacă împiedicați Windows să regăsească metadatele dispozitivului de pe internet. Setat la activat

  5. Găsește-mi dispozitivul

    1. Politica MDM: Experience/AllowFindMyDevice. Această politică activează Găsește-mi dispozitivul. Setat la 0 (zero)

  6. Redarea în flux a fonturilor

    1. Politica MDM: System/AllowFontProviders. Setare care determină dacă Windows poate să descarce fonturi și date din catalogul de fonturi de la un furnizor de fonturi online. Setat la 0 (zero)

  7. Versiunile Insider Preview

    1. Politica MDM: System/AllowBuildPreview. Această setare de politică determină dacă utilizatorii pot accesa controalele versiunilor Insider în Opțiuni complexe pentru Windows Update. Setat la 0 (zero)

  8. Internet Explorer Următoarele politici MDM Microsoft Internet Explorer sunt disponibile în Furnizor de soluții cloud Internet Explorer

    1. Politica MDM: InternetExplorer/AllowSuggestedSites. Recomandă site-uri web pe baza activității de navigare a utilizatorului. Setați la dezactivat
    2. Politica MDM: InternetExplorer/PreventManagingSmartScreenFilter. Împiedică utilizatorul să gestioneze Windows Defender SmartScreen, care avertizează utilizatorul dacă site-ul web vizitat este cunoscut pentru încercări frauduloase de a colecta informații personale prin „phishing” sau este cunoscut pentru a găzdui programe malware. Setați la Șir cu valoarea:
      1. <activat/><id de date=”IE9SafetyFilterOptions” valoare=”1”/>
    3. Politica MDM: InternetExplorer/DisableFlipAheadFeature. Determină dacă un utilizator poate trage cu degetul peste un ecran sau poate face clic pe Înainte pentru a merge la următoarea pagină preîncărcată a unui site web. Setat la activat
    4. Politica MDM: InternetExplorer/DisableHomePageChange. Determină dacă utilizatorii pot modifica pagina de pornire implicită sau nu. Setați la Șir cu valoarea:
      1. <activat/><id de date=”EnterHomePagePrompt” value=”Start Page”/>
    5. Politica MDM: InternetExplorer/DisableFirstRunWizard. Previne rularea de către Internet Explorer a expertului Prima rulare prima dată când un utilizator pornește browserul după ce instalează Internet Explorer sau Windows. Setați la Șir cu valoarea:
      1. <activat/><id de date=”Valoare FirstRunOptions”=”1”/>

  9. Dale Live Tile

    1. Politica MDM: Notifications/DisallowTileNotification. Această setare de politică dezactivează notificările de dale. Dacă activați această setare de politică, aplicațiile și caracteristicile de sistem nu vor putea să actualizeze dalele și ecusoanele de dală din ecranul Start. Valoare întreg 1

  10. Sincronizarea corespondenței

    1. Politica MDM: Accounts/AllowMicrosoftAccountConnection. Specifică dacă utilizatorului i se permite să utilizeze un cont Microsoft pentru autentificarea și serviciile de conexiune care nu sunt legate de e-mail. Setați la 0 (zero)

  11. Cont Microsoft

    1. Politica MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Dezactivați Asistentul de conectare al contului Microsoft. Setați la 0 (zero)

  12. Microsoft Edge Următoarele politici Microsoft Edge MDM sunt disponibile în Politică furnizor de soluții cloud. Pentru o listă completă de politici Microsoft Edge, consultați Politicile disponibile pentru Microsoft Edge.

    1. Politica MDM: Browser/AllowAutoFill. Alegeți dacă angajații pot utiliza completarea automată pe site-uri web. Setați la 0 (zero)
    2. Politica MDM: Browser/AllowDoNotTrack. Alegeți dacă angajații pot trimite anteturi Fără monitorizare. Setați la 0 (zero)
    3. Politica MDM: Browser/AllowMicrosoftCompatbilityList. Specificați lista de compatibilitate Microsoft în Microsoft Edge. Setați la 0 (zero)
    4. Politica MDM: Browser/AllowPasswordManager. Alegeți dacă angajații pot salva parolele local pe dispozitivele lor. Setați la 0 (zero)
    5. Politica MDM: Browser/AllowSearchSuggestionsinAddressBar. Alegeți dacă bara de adrese afișează sugestii de căutare. Setat la 0 (zero)
    6. Politica MDM: Browser/AllowSmartScreen. Alegeți dacă Windows Defender SmartScreen este activat sau dezactivat. Setat la 0 (zero)

  13. Indicator de stare pentru conexiunea la rețea

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Notă: după ce aplicați această politică, trebuie să reporniți dispozitivul pentru ca setarea de politică să aibă efect. Setat la 1 (unu)

  14. Hărți offline

    1. Politica MDM: AllowOfflineMapsDownloadOverMeteredConnection. Permite descărcarea și actualizarea datelor de hartă prin conexiuni tarifate după utilizare.
      Setați la 0 (zero)
    2. Politica MDM: EnableOfflineMapsAutoUpdate. Dezactivează descărcarea și actualizarea automată a datelor de hartă. Setat la 0 (zero)

  15. OneDrive

    1. Politica MDM: DisableOneDriveFileSync. Permite administratorilor IT să împiedice lucrul cu fișiere din OneDrive pentru aplicații și caracteristici. Setat la 1 (unu)
    2. Ingerați ADMX - pentru a obține cel mai recent fișier OneDrive ADMX aveți nevoie de un client Windows 10 sau Windows 11 actualizat. Fișierele ADMX se află sub următoarea cale:%LocalAppData%\Microsoft\OneDrive\ există un folder cu versiunea curentă OneDrive (de exemplu, „18.162.0812.0001”). Există un folder denumit „adm” care conține fișierele de definiție a politicilor admx și adml.
    3. Politică MDM: se împiedică traficul în rețea înainte ca utilizatorul să se conecteze. PreventNetworkTrafficPreUserSignIn. Valoarea OMA-URI este: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Tip de date: șir, Valoare: <activat/>

  16. setările de confidențialitate Cu excepția paginii Feedback & Diagnosticare, aceste setări trebuie configurate pentru fiecare cont de utilizator care se conectează la PC.

    1. General- TextInput/AllowLinguisticDataCollection. Această setare de politică controlează capacitatea de a trimite date pentru scrierea în cerneală și tastare către Microsoft. Setați la 0 (zero)
    2. Locație- System/AllowLocation. Specifică dacă se permite accesul aplicațiilor la serviciul de localizare. Setat la 0 (zero)
    3. Cameră - Camera/AllowCamera. Dezactivează sau activează camera. Setat la 0 (zero)
    4. Microfon - Privacy/LetAppsAccessMicrophone. Specifică dacă aplicațiile Windows pot accesa microfonul. Setat la 2 (doi)
    5. Notificări- Privacy/LetAppsAccessNotifications. Specifică dacă aplicațiile Windows pot accesa notificările. Setat la 2 (doi)
    6. Notificări- Settings/AllowOnlineTips. Activează sau dezactivează regăsirea sfaturilor online și a ajutorului pentru aplicația Setări. Valoare întreg 0
    7. Vorbire, scriere în cerneală, tastare & - confidențialitate/AllowInputPersonalization. Această politică specifică dacă utilizatorii de pe dispozitiv au opțiunea de a activa recunoașterea vorbirii online. Setați la 0 (zero)
    8. Vorbire, scriere în cerneală, tastare & - textInput/AllowLinguisticDataCollection. Această setare de politică controlează capacitatea de a trimite date despre scrierea în cerneală și tastare la Microsoft Setat la 0 (zero)
    9. Informații cont - Privacy/LetAppsAccessAccountInfo. Specifică dacă aplicațiile Windows pot accesa informațiile de cont. Setat la 2 (doi)
    10. Contacte - Privacy/LetAppsAccessContacts. Specifică dacă aplicațiile Windows pot accesa persoanele de contact. Setat la 2 (doi)
    11. Calendar - Privacy/LetAppsAccessCalendar. Specifică dacă aplicațiile Windows pot accesa calendarul. Setat la 2 (doi)
    12. Istoricul apelurilor - Privacy/LetAppsAccessCallHistory. Specifică dacă aplicațiile Windows pot accesa informațiile de cont. Setat la 2 (doi)
    13. E-mail - Privacy/LetAppsAccessEmail. Specifică dacă aplicațiile Windows pot accesa e-mailul. Setat la 2 (doi)
    14. Mesagerie - Privacy/LetAppsAccessMessaging. Specifică dacă aplicațiile Windows pot citi sau trimite mesaje (text sau MMS). Setat la 2 (doi)
    15. Apeluri telefonice - Privacy/LetAppsAccessPhone. Specifică dacă aplicațiile Windows pot efectua apeluri telefonice. Setat la 2 (doi)
    16. Radiouri - Privacy/LetAppsAccessRadios. Specifică dacă aplicațiile Windows au acces la radiouri de control. Setat la 2 (doi)
    17. Alte dispozitive - Privacy/LetAppsSyncWithDevices. Specifică dacă aplicațiile Windows se pot sincroniza cu dispozitivele. Setat la 2 (doi)
    18. Alte dispozitive - Privacy/LetAppsAccessTrustedDevices. Specifică dacă aplicațiile Windows pot accesa dispozitivele de încredere. Setat la 2 (doi)
    19. Diagnostic & feedback - system/AllowTelemetry. Permiteți dispozitivului să trimită date de telemetrie pentru diagnosticare și utilizare, cum ar fi Watson. Setați la 0 (zero)
    20. Diagnostice & feedback - Experience/DoNotShowFeedbackNotifications. Previne afișarea de către dispozitive a întrebărilor de feedback de la Microsoft. Setat la 1 (unu)
    21. Aplicații de fundal - Privacy/LetAppsRunInBackground. Specifică dacă aplicațiile Windows pot rula în fundal. Setat la 2 (doi)
    22. Mișcare - Privacy/LetAppsAccessMotion. Specifică dacă aplicațiile Windows pot accesa date de mișcare. Setat la 2 (doi)
    23. Activități - Privacy/LetAppsAccessTasks. Dezactivați capacitatea de a alege aplicațiile care au acces la activități. Setat la 2 (doi)
    24. Diagnosticare aplicații - Privacy/LetAppsGetDiagnosticInfo. Permisiune impusă, refuz impus sau oferiți utilizatorilor controlul aplicațiilor care pot obține informații de diagnosticare despre alte aplicații în execuție. Setat la 2 (doi)

  17. Platformă de protecție software - Licensing/DisallowKMSClientOnlineAVSValidation. Renunțați la trimiterea automată a datelor de activare a clientului KMS către Microsoft. Setat la 1 (unu)

  18. Stare de funcționare spațiu de stocare - Storage/AllowDiskHealthModelUpdates. Permite actualizările modelului stării de funcționare a discului. Setați la 0 (zero)

  19. Sincronizarea setărilor - Experience/AllowSyncMySettings. Controlați dacă setările sunt sincronizate. Setați la 0 (zero)

  20. Teredo - Nu este necesară o MDM. Teredo este Dezactivat în mod implicit. Optimizarea distribuirii (DO) poate activa Teredo, dar DO însăși este dezactivată prin MDM.

  21. Wi-Fi inteligent - Nu este necesar MDM. Wi-Fi inteligent nu mai este disponibil din Windows 10, versiunea 1803 și versiunile ulterioare, nici în Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Deconectați-vă de la serviciul de protecție Microsoft Antimalware. Setați la 0 (zero)
    2. Defender/SubmitSamplesConsent. Opriți trimiterea eșantioanelor de fișier înapoi la Microsoft. Setat la 2 (doi)
    3. Defender/EnableSmartScreenInShell. Dezactivează SmartScreen în Windows pentru aplicații și executarea fișierelor. Setați la 0 (zero)
    4. Windows Defender SmartScreen - Browser/AllowSmartScreen. Dezactivați Windows Defender SmartScreen. Setați la 0 (zero)
    5. Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl. Controlează dacă utilizatorilor li se permite să instaleze aplicații din alte locuri decât Microsoft Store. Setați la 0 (zero)
    6. Protecția Windows Defender pentru Aplicații potențial nedorite (PUA) - Defender/PUAProtection. Specifică nivelul de detectare pentru aplicațiile potențial nedorite (PUA). Setat la 1 (unu)
    7. Defender/SignatureUpdateFallbackOrder. Vă permite să definiți ordinea în care ar trebui să fie contactate diferitele surse de actualizare a definițiilor. OMA-URI pentru aceasta este: ./Vendor/MSFT/Policy/config/Defender/SignatureUpdateFallbackOrder, Tip de date: Șir, Valoare: FileShares

  23. Reflector Windows - Experience/AllowWindowsSpotlight. Dezactivați Reflector Windows. Setați la 0 (zero)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Valoare booleană care dezactivează lansarea tuturor aplicațiilor din Microsoft Store care au fost preinstalate sau descărcate. Setat la 1 (unu)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Specifică dacă este permisă actualizarea automată a aplicațiilor din Microsoft Store. Setați la 0 (zero)

  25. Aplicații pentru site-uri web - ApplicationDefaults/EnableAppUriHandlers. Această setare de politică determină dacă Windows acceptă legăturile web la aplicații cu rutine de tratare aplicații URI. Setați la 0 (zero)

  26. Optimizare distribuire Windows Update - Sunt disponibile următoarele politici MDM de Optimizare distribuire în Politică furnizor de soluții cloud.

    1. DeliveryOptimization/DODownloadMode. Vă permite să alegeți unde ajunge Optimizare distribuire sau unde trimite actualizări și aplicații. Setați la 99 (nouăzeci și nouă)

  27. Windows Update

    1. Update/AllowAutoUpdate. Controlați actualizările automate. Setat la 5 (cinci)
    2. Windows Update permite serviciul de actualizare - Update/AllowUpdateService. Specifică dacă dispozitivul poate utiliza Microsoft Update, Serviciile de actualizare Windows Server (WSUS) sau Microsoft Store. Setați la 0 (zero)
    3. Adresa URL a serviciului Windows Update - Update/UpdateServiceUrl. Permite dispozitivului să caute actualizări de pe un server WSUS în loc de Microsoft Update. Setat la Șir cu valoarea:
      1. <Înlocuiți><CmdID>$CmdID$<element><Meta><Format>chr<Tip>text/<simplu /Meta><țintă><LocURI>./Vendor/MSFT/Policy/Config/Update/ UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

Trafic permis pentru configurațiile Microsoft Intune/MDM

Puncte finale de trafic permise
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
\*microsoft.com/pkiops/\*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com