Управление подключениями от компонентов операционной системы Windows 10 и Windows 11 к службам Майкрософт с помощью Microsoft Intune MDM Server

  • Статья

Область применения

  • Windows 11
  • Windows 10 Корпоративная версии 1903 и более поздние версии

В этой статье описаны сетевые подключения к службам Майкрософт, которые осуществляют компоненты Windows 10 и Windows 11, а также политики управления мобильными устройствами/поставщика служб конфигурации (MDM/CSP) и настраиваемые политики универсального кода ресурса Open Mobile Alliance (OMA URI), доступные ИТ-специалистам, использующим Microsoft Intune для управления предоставляемыми корпорации Майкрософт данными. Если вы хотите сократить количество подключений из Windows к службам Майкрософт или настроить параметры конфиденциальности, вы можете рассмотреть несколько параметров. Например вы можете настроить диагностические данные на самом низком уровне для своего выпуска Windows, а также оценить, какие еще подключения из Windows к службам Майкрософт требуется отключить, с помощью инструкций, приведенных в этой статье. Несмотря на то, что вы можете сократить количество сетевых подключения к службам Майкрософт, существует множество причин, по которым они включены по умолчанию, включая обновление определений вредоносных программ и ведение списков отзыва сертификатов. Эти данные помогают нам обеспечить надежную работу, обновление и защиту.

Важно.

  • Разрешенные конечные точки трафика для конфигурации MDM перечислены здесь: Разрешенный трафик
    • Сетевой трафик списка отзыва сертификатов (CRL) и протокола Online Certificate Status Protocol (OCSP) не могут быть отключены и по-прежнему будут отображаться в сетевых журналах. Проверки CRL и OCSP проводятся в отношении центров сертификации. Майкрософт является одним из таких центров. Существует множество других центров, таких как DigiCert, Thawte, Google, Symantec и VeriSign.
    • Существует трафик, необходимый для управления устройствами с Windows 10 и Windows 11 на основе Microsoft Intune. Этот трафик включает службу уведомлений Windows (WNS), автоматическое обновление корневых сертификатов (ARCU) и трафик, связанный с Центром обновления Windows. Вышеупомянутый трафик включает разрешенный трафик для Microsoft INTUNE MDM Server для управления устройствами с Windows 10 и Windows 11.
  • Из соображений безопасности важно принять решение о том, какие параметры следует настроить, так как настройка некоторых из них может привести к снижению безопасности устройства. Параметры, которые могут привести к снижению безопасности конфигурации устройства, включают: отключение Центра обновления Windows, отключение автоматического обновления корневых сертификатов и отключение Защитника Windows. Поэтому мы не рекомендуем отключить ни одну из этих функций.
  • Чтобы убедиться в том, что CSP имеют приоритет над групповыми политиками в случае конфликтов, используйте политику ControlPolicyConflict.
  • Ссылки Техническая поддержка и Оставить отзыв в Windows могут перестать работать после применения всех или некоторых параметров MDM/CSP.

Warning

Если пользователь выполняет команду "Вернуть компьютер в исходное состояние" ("Параметры" -> "Обновление и безопасность" -> "Восстановление") с параметром "Удалить все", потребуется повторно применить >параметры функциональности ограничения трафика Windows, чтобы повторно ограничить исходящий трафик устройства. >Для этого клиент требуется повторно зарегистрировать в службе Microsoft Intune. Исходящий трафик может возникать перед повторным >применением параметров функциональности ограничения трафика. Если пользователь выполняет команду "Вернуть компьютер в исходное состояние" с >параметром "Сохранить мои файлы", параметры функциональности ограничения трафика сохраняются на устройстве, поэтому клиент сохраняет >конфигурацию ограничения трафика во время и после сброса с сохранением файлов. Повторная регистрация не требуется.

Дополнительные сведения о Microsoft Intune см. в разделах Преобразование предоставления ИТ-услуг для современных рабочих мест и Документация для Microsoft Intune.

Подробные сведения об управлении сетевыми подключениями к службам Майкрософт с помощью параметров Windows, групповых политик и параметров реестра см. в разделе Управление подключениями к службам Майкрософт из компонентов операционной системы Windows.

Мы всегда стремимся повысить качество нашей документации и приветствуем ваши отзывы. Вы можете оставить свой отзыв, отправив сообщение электронной почты на адрес telmhelp@microsoft.com.

Параметры для Windows 10 Корпоративная версии 1903 или более поздней и Windows 11

В следующей таблице перечислены возможности управления для каждого параметра.

В Windows 10 и Windows 11 в разделе Поставщик служб конфигурации политики доступны следующие политики MDM.

  1. Автоматическое обновление корневых сертификатов

    1. Политика MDM: для автоматического обновления корневого сертификата MDM преднамеренно отсутствует. Эта политика MDM не существует, так как она могла бы помешать работе устройств и управлению устройствами с помощью MDM.

  2. Кортана и поиск

    1. Политика MDM: Experience/AllowCortana. Выберите, следует ли разрешить установку и запуск Кортаны на устройстве. Установите значение 0 (ноль)
    2. Политика MDM: Search/AllowSearchToUseLocation. Выберите, могут ли Кортана и средство поиска предоставлять результаты поиска с учетом местоположения. Установите значение 0 (ноль)

  3. Дата и время

    1. Политика MDM: Settings/AllowDateTime. Разрешает пользователям изменять параметры даты и времени. Установите значение 0 (ноль)

  4. Получение метаданных устройства

    1. Политика MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Укажите, следует ли запретить Windows получать метаданные устройств из Интернета. Установите значение "Включено"

  5. Поиск устройства

    1. Политика MDM: Experience/AllowFindMyDevice. Данная политика относится к приложению "Поиск устройства". Установите значение 0 (ноль)

  6. Потоковая передача шрифтов

    1. Политика MDM: System/AllowFontProviders. Данный параметр политики определяет, разрешено ли Windows скачивать шрифты и данные каталога шрифтов от поставщика шрифтов в сети. Установите значение 0 (ноль)

  7. Сборки Insider Preview

    1. Политика MDM: System/AllowBuildPreview. Данный параметр политики определяет, могут ли пользователи получать доступ к элементам управления сборки, предназначенной для участников программы предварительной оценки Windows в меню "Дополнительные параметры" Центра обновления Windows. Установите значение 0 (ноль)

  8. Internet Explorer. Следующие политики MDM Microsoft Internet Explorer доступны в разделе Политики CSP — Internet Explorer.

    1. Политика MDM: InternetExplorer/AllowSuggestedSites. Предлагает веб-сайты для просмотра на основе посещений пользователя. Установите значение "Отключено"
    2. Политика MDM: InternetExplorer/PreventManagingSmartScreenFilter. Запрещает пользователю управлять фильтром SmartScreen в Защитнике Windows, который предупреждает о том, что открываемый веб-сайт может собирать личные сведения путем фишинга или содержит вредоносное ПО. Задайте в качестве значения строку:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. Политика MDM: InternetExplorer/DisableFlipAheadFeature. Определяет, может ли пользователь провести пальцем по экрану или нажать кнопку "Вперед", чтобы перейти на следующую предварительно загруженную страницу веб-сайта. Установите значение "Включено"
    4. Политика MDM: InternetExplorer/DisableHomePageChange. Определяет, могут ли пользователи изменить домашнюю страницу по умолчанию. Задайте в качестве значения строку:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. Политика MDM: InternetExplorer/DisableFirstRunWizard. Отменяет выполнение мастера запуска в первый раз в браузере Internet Explorer, когда пользователь впервые запускает браузер после установки Internet Explorer или Windows. Задайте в качестве значения строку:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Живые плитки

    1. Политика MDM: Notifications/DisallowTileNotification. Этот параметр политики отключает уведомления на плитках. Если вы включаете этот параметр политики, приложения и система не могут обновлять свои плитки или индикаторы событий плиток на начальном экране. Целое значение 1

  10. Синхронизация почты

    1. Политика MDM: Accounts/AllowMicrosoftAccountConnection. Указывает, разрешено ли пользователю использовать учетную запись Майкрософт для проверки подлинности подключения и служб, не связанных с электронной почтой. Установите значение 0 (ноль)

  11. Учетная запись Майкрософт

    1. Политика MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Отключает помощник по входу в учетную запись Майкрософт. Установите значение 0 (ноль)

  12. Microsoft Edge. В поставщике служб конфигурации политик доступны следующие политики MDM Microsoft Edge. Полный список политик Microsoft Edge см. в статье Доступные политики Microsoft Edge.

    1. Политика MDM: Browser/AllowAutoFill. Укажите, могут ли сотрудники использовать автозаполнение на веб-сайтах. Установите значение 0 (ноль)
    2. Политика MDM: Browser/AllowDoNotTrack. Выбор того, могут ли сотрудники отправлять заголовки "Не отслеживать". Установите значение 0 (ноль)
    3. Политика MDM: Browser/AllowMicrosoftCompatbilityList. Указывает список совместимости Майкрософт в Microsoft Edge. Установите значение 0 (ноль)
    4. Политика MDM: Browser/AllowPasswordManager. Выбор того, могут ли сотрудники сохранять пароли локально на своих устройствах. Установите значение 0 (ноль)
    5. Политика MDM: Browser/AllowSearchSuggestionsinAddressBar. Выбор того, будут ли отображаться варианты поиска в адресной строке. Установите значение 0 (ноль)
    6. Политика MDM: Browser/AllowSmartScreen. Укажите, следует ли включить фильтр SmartScreen Защитника Windows. Установите значение 0 (ноль)

  13. Индикатор работоспособности сетевых подключений

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Примечание. После применения этой политики необходимо перезапустить устройство, чтобы параметр политики вступил в силу. Установите значение 1 (один)

  14. Автономные карты

    1. Политика MDM: AllowOfflineMapsDownloadOverMeteredConnection. Разрешает скачивать и обновлять данные карт посредством лимитных подключений.
      Установите значение 0 (ноль)
    2. Политика MDM: EnableOfflineMapsAutoUpdate. Отключает автоматическое скачивание и обновление данных карт. Установите значение 0 (ноль)

  15. OneDrive

    1. Политика MDM: DisableOneDriveFileSync. Позволяет ИТ-администраторам запретить приложениям и функциям работать с файлами в OneDrive. Установите значение 1 (один)
    2. Получение файла ADMX: для получения новейшего файла ADMX OneDrive необходимо установить обновленный клиент Windows 10 или Windows 11. Файлы ADMX находятся по следующему пути: %LocalAppData%\Microsoft\OneDrive\папка с текущей сборкой OneDrive (например, "18.162.0812.0001"). Там находится папка с именем "adm", которая содержит файлы определения политик ADMX и ADML.
    3. Политика MDM: Запрет сетевого трафика до входа пользователя. PreventNetworkTrafficPreUserSignIn. Значение OMA-URI: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, тип данных: строка, значение: <enabled/>

  16. Параметры конфиденциальности. Эти параметры, за исключением представленных на странице "Отзывы и диагностика", необходимо настраивать для каждой учетной записи пользователя, с помощью которой осуществляется вход на компьютер.

    1. Общее — TextInput/AllowLinguisticDataCollection. Этот параметр политики определяет возможность отправлять в Майкрософт данные о вводе с клавиатуры и рукописном вводе. Установите значение 0 (ноль)
    2. Местоположение — System/AllowLocation. Определяет, требуется ли разрешить приложению доступ к службе определения местоположения. Установите значение 0 (ноль)
    3. Камера — Camera/AllowCamera. Включает и отключает камеру. Установите значение 0 (ноль)
    4. Микрофон — Privacy/LetAppsAccessMicrophone. Определяет, могут ли приложения для Windows получать доступ к микрофону. Установите значение 2 (два)
    5. Уведомления — Privacy/LetAppsAccessNotifications. Определяет, могут ли приложения для Windows получать доступ к уведомлениям. Установите значение 2 (два)
    6. Уведомления — Settings/AllowOnlineTips. Включает или выключает получение онлайн-подсказок и справки для приложения "Параметры". Установите целое значение 0
    7. Голосовые функции, рукописный ввод и ввод с клавиатуры — Privacy/AllowInputPersonalization. Эта политика определяет, есть ли у пользователей на устройстве возможность включить веб-службы распознавания речи. Установите значение 0 (ноль)
    8. Голосовые функции, рукописный ввод и ввод с клавиатуры — TextInput/AllowLinguisticDataCollection. Этот параметр политики управляет возможностью отправлять в Майкрософт данные о вводе с клавиатуры и рукописном вводе. Установите значение 0 (ноль)
    9. Сведения об учетной записи — Privacy/LetAppsAccessAccountInfo. Определяет, могут ли приложения для Windows получать доступ к сведениям об учетной записи. Установите значение 2 (два)
    10. Контакты — Privacy/LetAppsAccessContacts. Определяет, могут ли приложения для Windows получать доступ к контактам. Установите значение 2 (два)
    11. Календарь — Privacy/LetAppsAccessCalendar. Определяет, могут ли приложения для Windows получать доступ к календарю. Установите значение 2 (два)
    12. История звонков — Privacy/LetAppsAccessCallHistory. Указывает, могут ли приложения для Windows получать доступ к сведениям об учетной записи. Установите значение 2 (два)
    13. Электронная почта — Privacy/LetAppsAccessEmail. Определяет, могут ли приложения для Windows получать доступ к электронной почте. Установите значение 2 (два)
    14. Обмен сообщениями — Privacy/LetAppsAccessMessaging. Определяет, могут ли приложения для Windows читать и отправлять сообщения (SMS или MMS). Установите значение 2 (два)
    15. Телефонные звонки — Privacy/LetAppsAccessPhone. Определяет, могут ли приложения для Windows совершать телефонные звонки. Установите значение 2 (два)
    16. Радиомодули: Privacy/LetAppsAccessRadios. Определяет, могут ли приложения для Windows управлять радиомодулями. Установите значение 2 (два)
    17. Другие устройства — Privacy/LetAppsSyncWithDevices. Определяет, могут ли приложения для Windows синхронизироваться с устройствами. Установите значение 2 (два)
    18. Другие устройства — Privacy/LetAppsAccessTrustedDevices. Определяет, могут ли приложения для Windows получать доступ к доверенным устройствам. Установите значение 2 (два)
    19. Отзывы и диагностика — System/AllowTelemetry. Разрешает устройству отправлять данные телеметрии об использовании, такие как Watson. Установите значение 0 (ноль)
    20. Отзывы и диагностика — Experience/DoNotShowFeedbackNotifications. Запрещает устройствам отображать вопросы от Майкрософт в рамках обратной связи. Установите значение 1 (один)
    21. Фоновые приложения — Privacy/LetAppsRunInBackground. Определяет, могут ли приложения для Windows работать в фоновом режиме. Установите значение 2 (два)
    22. Перемещение — Privacy/LetAppsAccessMotion. Определяет, могут ли приложения для Windows получать доступ к данным о перемещении. Установите значение 2 (два)
    23. Задачи — Privacy/LetAppsAccessTasks. Отключает возможность выбирать приложения, которые имеют доступ к задачам. Установите значение 2 (два)
    24. Диагностика приложений — Privacy/LetAppsGetDiagnosticInfo. Принудительно разрешает, принудительно запрещает получение приложениями диагностических сведений о других запущенных приложениях или предоставляет пользователю возможности управления этим приложениями. Установите значение 2 (два)

  17. Платформа защиты программного обеспечения - Licensing/DisallowKMSClientOnlineAVSValidation. Позволяет отключить автоматическую отправку данных активации клиента сервера управления ключами в Майкрософт. Установите значение 1 (один)

  18. Работоспособность хранилища - Storage/AllowDiskHealthModelUpdates. Разрешает обновления модели определения работоспособности дисков. Установите значение 0 (ноль)

  19. Синхронизация параметров - Experience/AllowSyncMySettings. Управляет синхронизацией параметров. Установите значение 0 (ноль)

  20. Teredo — MDM не требуется. Teredo по умолчанию выключено. Оптимизация доставки (DO) может включать Teredo, однако сама оптимизация доставки отключена посредством MDM.

  21. Контроль Wi-Fi — MDM не требуется. Начиная с Windows 10 версии 1803 или Windows 11 функция "Контроль Wi-Fi" больше не доступна.

  22. Защитник Windows

    1. Defender/AllowCloudProtection. Отключает службу защиты от вредоносных программ Microsoft Antimalware. Установите значение 0 (ноль)
    2. Defender/SubmitSamplesConsent. Прекращает отправку образцов файлов обратно в Майкрософт. Установите значение 2 (два)
    3. Defender/EnableSmartScreenInShell. Выключает фильтр SmartScreen в Windows для выполнения приложения и файла. Установите значение 0 (ноль)
    4. Фильтр SmartScreen Защитника Windows — Browser/AllowSmartScreen. Отключает фильтр SmartScreen Защитника Windows. Установите значение 0 (ноль)
    5. Параметр EnableAppInstallControl фильтра SmartScreen Защитника Windows — SmartScreen/EnableAppInstallControl. Определяет, могут ли пользователи устанавливать приложения из мест, отличных от Microsoft Store. Установите значение 0 (ноль)
    6. Защита от потенциально нежелательных приложений с помощью Защитника Windows — Defender/PUAProtection. Определяет уровень обнаружения потенциально нежелательных приложений (PUA). Установите значение 1 (один)
    7. Defender/SignatureUpdateFallbackOrder. Позволяет определить порядок, в котором производится обращение к различным источникам обновлений определений. Универсальный код ресурса OMA — ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, тип данных: String, значение: FileShares

  23. Windows: интересное - Experience/AllowWindowsSpotlight. Отключает функцию "Windows: интересное". Установите значение 0 (ноль)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Логическое значение, которое отключает запуск всех ранее установленных или скачанных приложений Microsoft Store. Установите значение 1 (один)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Определяет, разрешено ли автоматическое обновление приложений из Microsoft Store. Установите значение 0 (ноль)

  25. Приложения для веб-сайтов - ApplicationDefaults/EnableAppUriHandlers. Этот параметр политики определяет, поддерживает ли Windows возможность связывать веб-среду с приложениями с помощью обработчиков универсального кода ресурса (URI) для приложений. Установите значение 0 (ноль)

  26. Оптимизация доставки из Центра обновления Windows: в поставщике служб конфигурации политик доступны следующие политики для оптимизации доставки.

    1. DeliveryOptimization/DODownloadMode. Позволяет выбрать, откуда при оптимизации доставки скачиваются обновления и приложения и куда они отправляются. Установите значение 99 (девяносто девять)

  27. Центр обновления Windows

    1. Update/AllowAutoUpdate. Управление автоматическим обновлением. Установите значение 5 (пять)
    2. Разрешить службу обновлений Центра обновления Windows — Update/AllowUpdateService. Определяет, разрешено ли устройству использовать Центр обновления Майкрософт, службы Windows Server Update Services (WSUS) или Microsoft Store. Установите значение 0 (ноль)
    3. URL-адрес службы Центра обновления Windows — Update/UpdateServiceUrl. Разрешает устройству проверять наличие обновлений с сервера WSUS, а не из Центра обновления Майкрософт. Задайте в качестве значения строку:
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Рекомендации
    а. Параметр HideRecentJumplists в поставщике службы конфигурации политики запуска (CSP). Скрытие списка рекомендуемых приложений и файлов в разделе "Рекомендуемые" в меню "Пуск".

Разрешенный трафик для конфигураций Microsoft Intune /MDM

Разрешенные конечные точки трафика
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com