Deli z drugimi prek

Upravljanje povezav komponent operacijskega sistema Windows 10 in Windows 11 z Microsoftovimi storitvami prek strežnika MDM storitve Microsoft Intune

  • Članek

Velja za

  • Windows 11
  • Windows 10 Enterprise, različica 1903 in novejše

V tem članku so opisane omrežne povezave, ki jih komponente storitev Windows 10 in Windows 11 uporabljajo za Microsoft, za ponudnika storitev upravljanja mobilnih naprav/konfiguracije (MDM/CSP) in pravilnike Open Mobile Alliance Uniform Resource Identifier(OMA URI),ki so na voljo strokovnjakom za IT s programom Microsoft Intune za upravljanje podatkov, ki so v skupni rabi z Microsoftom. Če želite zmanjšati število povezav sistema Windows z Microsoftovimi storitvami ali konfigurirati nastavitve zasebnosti, obstajajo številne nastavitve, o katerih lahko razmislite. Diagnostične podatke lahko na primer konfigurirate na najnižjo raven za svojo izdajo sistema Windows in ocenite druge povezave, ki jih Windows vzpostavlja z Microsoftovimi storitvami, ki jih želite izklopiti z navodili v tem članku. Medtem ko je mogoče zmanjšati število omrežnih povezav z Microsoftom, obstaja več razlogov, zakaj so ti načini komunikacije privzeto omogočeni, npr. zaradi posodabljanja definicij zlonamerne programske opreme in ohranjanja aktualnega seznama ukinjenih potrdil. S temi podatki lahko zagotovimo varno, zanesljivo in posodobljeno izkušnjo.

Pomembno

  • Končne točke dovoljenega prometa za konfiguracijo MDM so tukaj: dovoljen promet
    • Omrežnega prometa za CRL (seznam ukinjenih potrdil) in OCSP (protokol preverjanja stanja potrdil v realnem času) ni mogoče onemogočiti in bo še vedno prikazan v omrežnih sledeh. Preverjanja CRL in OCSP se opravijo pri izdajateljih digitalnih potrdil. Microsoft je eden od teh izdajateljev. Obstaja veliko drugih, kot so DigiCert, Thawte, Google, Symantec in VeriSign.
    • Obstaja nekaj prometa, ki je posebej potreben za upravljanje naprav s sistemom Windows 10, in Windows 11 ki temelji na storitvi Microsoft Intune. Ta promet vključuje storitev obvestil sistema Windows (WNS), samodejno posodobitev korenskih potrdil (ARCU) in nekaj prometa, povezanega s storitvijo Windows Update. Navedeni promet vključuje dovoljen promet za strežnik MDM storitve Microsoft Intune za upravljanje naprav s sistemom Windows 10 in Windows 11.
  • Iz varnostnih razlogov je pomembno, da se previdno odločite, katere nastavitve boste konfigurirali, saj lahko nekatere povzročijo manjšo varnost naprave. Primeri nastavitev, ki lahko privedejo do manj varne konfiguracije naprave, vključujejo: onemogočanje storitve Windows Update, onemogočanje samodejne posodobitve korenskih potrdil in onemogočanje storitve Windows Defender. Zato ne priporočamo onemogočanja katere koli od teh funkcij.
  • Če želite zagotoviti, da bodo imeli CSP-ji v primeru sporov prednost pred pravilniki skupin, uporabite pravilnik ControlPolicyConflict.
  • Povezavi Pomočnik in Pošljite nam povratne informacije v sistemu Windows morda ne bosta več delovali, ko uporabite nekatere ali vse nastavitve MDM/CSP.

Opozorilo

Če uporabnik izvede ukaz »Ponastavi ta računalnik« (Nastavitve -> Posodobitev in varnost -> Obnovitev) z možnostjo »Odstrani vse« > mora znova uporabiti nastavitve za omejeno delovanje omejenega prometa sistema Windows za vnovično omejitev izhodnega prometa naprave. >Če želi stranka izvesti to dejanje, se mora znova včlaniti v storitev Microsoft Intune. Izhodni promet se lahko pojavi med obdobjem pred vnovično >uporabo nastavitev omejenega delovanja in omejenega prometa. Če uporabnik izvede ukaz »Ponastavi ta računalnik« z možnostjo >»Obdrži moje datoteke«, so nastavitve za omejeno delovanje in omejen promet ohranjene v napravi, zato je za stranko ohranjena >konfiguracija omejenega prometa med ponastavitvijo z možnostjo »Obdrži moje datoteke« in po njej, obenem pa ni zahtevana vnovična včlanitev.

Če želite več informacij o storitvi Microsoft InTune, si oglejte Preoblikovanje zagotavljanja storitev IT za sodobno delovno mesto in Gradivo za storitev Microsoft InTune.

Za podrobnejše informacije o upravljanju omrežnih povezav z Microsoftovimi storitvami z nastavitvami sistema Windows, pravilniki skupin in nastavitvami registra glejte Upravljanje povezav med komponentami operacijskega sistema Windows z Microsoftovimi storitvami.

Ker si prizadevamo, da bi izboljšali dokumentacijo, smo vedno veseli vaših povratnih informacij. Povratne informacije lahko posredujete tako, da pošljete e-poštno sporočilo na telmhelp@microsoft.com.

Nastavitve za Windows 10 Enterprise (različico 1903 in novejše različice) in Windows 11

V spodnji tabeli so navedene možnosti za upravljanje posameznih nastavitev.

Za Windows 10 in Windows 11 so v pravilniku CSP na voljo ti pravilniki MDM.

  1. Samodejna posodobitev korenskih potrdil

    1. Pravilnik MDM: za samodejno posodobitev korenskega potrdila namenoma ni na voljo nobenega MDM-ja. Ta MDM ne obstaja, saj bi preprečil delovanje in upravljanje upravljanja MDM naprav.

  2. Cortana in Iskanje

    1. Pravilnik MDM: Experience/AllowCortana. Izberite, ali je v napravi dovoljeno namestiti Cortano in jo izvajati. Nastavite na 0 (nič)
    2. Pravilnik MDM: Search/AllowSearchToUseLocation. Izberite, ali lahko Cortana in Iskanje zagotavljata rezultate iskanja na podlagi lokacije. Nastavite na 0 (nič)

  3. Datum in čas

    1. Pravilnik MDM: Settings/AllowDateTime. Uporabniku omogoča spreminjanje nastavitev datuma in časa. Nastavite na 0 (nič)

  4. Pridobivanje metapodatkov naprave

    1. Pravilnik MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Izberite, ali želite sistemu Windows preprečiti pridobivanje metapodatkov naprave iz interneta. Nastavite na vrednost »Enabled«

  5. Poišči mojo napravo

    1. Pravilnik MDM: Experience/AllowFindMyDevice. Ta pravilnik vklopi funkcijo »Poišči mojo napravo«. Nastavite na 0 (nič)

  6. Pretočno prenašanje pisav

    1. Pravilnik MDM: sistem/AllowFontProviders. Nastavitev, ki določa, ali je v sistemu Windows dovoljeno prenesti pisave in podatke kataloga pisav iz spletnega ponudnika pisav. Nastavite na 0 (nič)

  7. Graditve sistema Insider Preview

    1. Pravilnik MDM: System/AllowBuildPreview. Ta nastavitev pravilnika določa, ali lahko uporabniki dostopajo do kontrolnikov graditve za preskuševalca v dodatnih možnostih za Windows Update. Nastavite na 0 (nič)

  8. Internet Explorer Naslednji pravilniki MDM brskalnika Microsoft Internet Explorer MDM so na voljo v CSP-ju za Internet Explorer

    1. Pravilnik MDM: InternetExplorer/AllowSuggestedSites. Priporoči spletna mesta glede na uporabnikovo dejavnost brskanja. Nastavite na onemogočeno
    2. Pravilnik MDM: InternetExplorer/PreventManagingSmartScreenFilter. Prepreči uporabniku, da bi upravljal Windows Defender SmartScreen, ki opozori uporabnika, če je spletno mesto, ki ga obišče, znano po goljufivih poskusih zbiranja osebnih podatkov prek lažnega predstavljanja ali po tem, da gosti zlonamerno programsko opremo. Nastavi na niz z vrednostjo:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. Pravilnik MDM: InternetExplorer/DisableFlipAheadFeature. Določa, ali lahko uporabnik podrsne čez zaslon ali klikne možnost »Naprej«, da se pomakne na naslednjo vnaprej naloženo stran spletnega mesta. Nastavite na omogočeno
    4. Pravilnik MDM: InternetExplorer/DisableHomePageChange. Določa, ali lahko uporabniki spremenijo privzeto domačo stran ali ne. Nastavi na niz z vrednostjo:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. Pravilnik MDM: InternetExplorer/DisableFirstRunWizard. Prepreči, da bi Internet Explorer zagnal prvi čarovnik za zagon, ko uporabnik prvič zažene brskalnik po namestitvi brskalnika Internet Explorer ali sistema Windows. Nastavi na niz z vrednostjo:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Dinamične ploščice

    1. Pravilnik MDM: Notifications/DisallowTileNotification. Ta nastavitev pravilnika izklopi obvestila za ploščice. Če omogočite to nastavitev pravilnika, aplikacije in sistemske funkcije ne bodo mogle posodobiti svojih ploščic in značk ploščic na začetnem zaslonu. Vrednost celega števila 1

  10. Sinhroniziranje pošte

    1. Pravilnik MDM: Accounts/AllowMicrosoftAccountConnection. Določa, ali uporabniku lahko uporablja Microsoftov račun za preverjanje pristnosti povezav in storitev, ki niso povezane z e-pošto. Nastavite na 0 (nič)

  11. Microsoftov račun

    1. Pravilnik MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Onemogočite pomočnika za vpis v Microsoftov račun. Nastavite na 0 (nič)

  12. Microsoft Edge Naslednji pravilniki MDM za Microsoft Edge so na voljo v CSP-ju pravilnika. Za celoten seznam pravilnikov za Microsoft Edge glejte Razpoložljivi pravilniki za Microsoft Edge.

    1. Pravilnik MDM: Browser/AllowAutoFill. Izberite, ali lahko zaposleni na spletnih mestih uporabljajo samozapolnitev. Nastavite na 0 (nič)
    2. Pravilnik MDM: Browser/AllowDoNotTrack. Izberite, ali lahko zaposleni pošiljajo glave Ne sledi. Nastavite na 0 (nič)
    3. Pravilnik MDM: Browser/AllowMicrosoftCompatbilityList. Določite Microsoftov združljivostni seznam v brskalniku Microsoft Edge. Nastavite na 0 (nič)
    4. Pravilnik MDM: Browser/AllowPasswordManager. Izberite, ali lahko zaposleni lokalno shranjujejo gesla v svoje naprave. Nastavite na 0 (nič)
    5. Pravilnik MDM: Browser/AllowSearchSuggestionsinAddressBar. Izberite, ali so v naslovni vrstici prikazani predlogi za iskanje. Nastavite na 0 (nič)
    6. Pravilnik MDM: Browser/AllowSmartScreen. Izberite, ali je filter Windows Defender SmartScreen vklopljen ali izklopljen. Nastavite na 0 (nič)

  13. Kazalnik stanja omrežne povezave

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Opomba: ko uporabite ta pravilnik, morate znova zagnati napravo, da bo nastavitev pravilnika začela veljati. Nastavite na 1 (ena)

  14. Zemljevidi brez povezave

    1. Pravilnik MDM: AllowOfflineMapsDownloadOverMeteredConnection. Omogoča prenos in posodobitev podatkov zemljevida prek povezav z omejenim prenosom podatkov.
      Nastavite na 0 (nič)
    2. Pravilnik MDM: EnableOfflineMapsAutoUpdate. Onemogoči samodejni prenos in posodobitev podatkov zemljevida. Nastavite na 0 (nič)

  15. OneDrive

    1. Pravilnik MDM: DisableOneDriveFileSync. Skrbnikom za IT omogoča, da aplikacijam in funkcijam preprečijo delo z datotekami v storitvi OneDrive. Nastavite na 1 (ena)
    2. Sprejemanje datoteke ADMX – če želite pridobiti najnovejšo datoteko OneDrive ADMX, potrebujete posodobljenega odjemalca sistema Windows 10 ali Windows 11. Datoteke ADMX so na voljo na tej poti: %LocalAppData%\Microsoft\OneDrive\ obstaja mapa s trenutno graditvijo storitve OneDrive (npr. »18.162.0812.0001«). Na voljo je mapa z imenom »adm«, ki vsebuje datoteke z definicijo pravilnika za admx in adml.
    3. Pravilnik MDM: preprečite omrežni promet pred vpisom uporabnika. PreventNetworkTrafficPreUserSignIn. Vrednost OMA-URI je: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, vrsta podatkov: niz, vrednost: <enabled/>

  16. Nastavitve zasebnosti Te nastavitve je treba konfigurirati za vsak uporabniški račun, ki se uporablja za vpis v računalnik, razen na strani »Povratne informacije in diagnostika«.

    1. Splošno – TextInput/AllowLinguisticDataCollection. Ta nastavitev pravilnika nadzoruje možnost pošiljanja podatkov o pisanju s peresom in tipkanju Microsoftu. Nastavite na 0 (nič)
    2. Lokacija – System/AllowLocation. Določa, ali želite aplikaciji omogočiti dostop do lokacijske storitve. Nastavite na 0 (nič)
    3. Kamera – Camera/AllowCamera. Onemogoči ali omogoči kamero. Nastavite na 0 (nič)
    4. Mikrofon – Privacy/LetAppsAccessMicrophone. Določa, ali lahko aplikacije sistema Windows dostopajo do mikrofona. Nastavite na 2 (dve)
    5. Obvestila – Privacy/LetAppsAccessNotifications. Določa, ali lahko aplikacije sistema Windows dostopajo do obvestil. Nastavite na 2 (dve)
    6. Obvestila – Settings/AllowOnlineTips. Omogoči ali onemogoči pridobivanje spletnih nasvetov in pomoči za aplikacijo Nastavitve. Vrednost celega števila 0
    7. Govor, pisanje s peresom in tipkanje – Privacy/AllowInputPersonalization. Ta pravilnik določa, ali imajo uporabniki v napravi možnost omogočiti spletno prepoznavanje govora. Nastavite na 0 (nič)
    8. Govor, pisanje s peresom in tipkanje – TextInput/AllowLinguisticDataCollection. Ta nastavitev pravilnika nadzoruje možnost pošiljanja podatkov o pisanju s peresom in tipkanju Microsoftu. Nastavite na 0 (nič)
    9. Podatki o računu – Privacy/LetAppsAccessAccountInfo. Določa, ali lahko aplikacije sistema Windows dostopajo do podatkov o računu. Nastavite na 2 (dve)
    10. Stiki – Privacy/LetAppsAccessContacts. Določa, ali lahko aplikacije sistema Windows dostopajo do stikov. Nastavite na 2 (dve)
    11. Koledar – Privacy/LetAppsAccessCalendar. Določa, ali lahko aplikacije sistema Windows dostopajo do koledarja. Nastavite na 2 (dve)
    12. Zgodovina klicev – Privacy/LetAppsAccessCallHistory. Določa, ali lahko aplikacije sistema Windows dostopajo do podatkov o računu. Nastavite na 2 (dve)
    13. E-pošta – Privacy/LetAppsAccessEmail. Določa, ali lahko aplikacije sistema Windows dostopajo do e-pošte. Nastavite na 2 (dve)
    14. Sporočila – Privacy/LetAppsAccessMessaging. Določa, ali lahko aplikacije sistema Windows berejo ali pošiljajo sporočila (besedilo ali MMS). Nastavite na 2 (dve)
    15. Telefonski klici – Privacy/LetAppsAccessPhone. Določa, ali lahko aplikacije sistema Windows izvajajo telefonske klice. Nastavite na 2 (dve)
    16. Radii – Privacy/LetAppsAccessRadios. Določa, ali imajo aplikacije sistema Windows dostop do nadzora nad radii. Nastavite na 2 (dve)
    17. Druge naprave – Privacy/LetAppsSyncWithDevices. Določa, ali se lahko aplikacije sistema Windows sinhronizirajo z napravami. Nastavite na 2 (dve)
    18. Druge naprave – Privacy/LetAppsAccessTrustedDevices. Določa, ali lahko aplikacije sistema Windows dostopajo do zaupanja vrednih naprav. Nastavite na 2 (dve)
    19. Povratne informacije in diagnostika – System/AllowTelemetry. Dovolite, da naprava pošilja diagnostične podatke in podatke o telemetriji porabe, kot je Watson. Nastavite na 0 (nič)
    20. Povratne informacije in diagnostika – Experience/DoNotShowFeedbackNotifications. Prepreči, da bi naprave prikazovale vprašanja o povratnih informacijah družbe Microsoft. Nastavite na 1 (ena)
    21. Aplikacije, ki se izvajajo v ozadju – Privacy/LetAppsRunInBackground. Določa, ali se lahko aplikacije sistema Windows izvajajo v ozadju. Nastavite na 2 (dve)
    22. Gibanje – Privacy/LetAppsAccessMotion. Določa, ali lahko aplikacije sistema Windows dostopajo do podatkov o gibanju. Nastavite na 2 (dve)
    23. Opravila – Privacy/LetAppsAccessTasks. Izklopite možnost izbire, katere aplikacije imajo dostop do opravil. Nastavite na 2 (dve)
    24. Diagnostika aplikacij – Privacy/LetAppsGetDiagnosticInfo. Vsiljeno dovolite, vsiljeno zavrnite ali uporabniku omogočite nadzor nad aplikacijami, ki lahko pridobijo diagnostične podatke o drugih aplikacijah, ki se izvajajo. Nastavite na 2 (dve)

  17. Platforma za zaščito programske opreme - Licensing/DisallowKMSClientOnlineAVSValidation. Zavrnite sodelovanje pri samodejnem pošiljanju podatkov o aktiviranju odjemalcev s strežnikom za upravljanje ključev Microsoftu. Nastavite na 1 (ena)

  18. Ustreznost stanja prostora za shranjevanje - Storage/AllowDiskHealthModelUpdates. Dovoli posodobitve modela ustreznosti stanja diska. Nastavite na 0 (nič)

  19. Sinhroniziranje nastavitev - Experience/AllowSyncMySettings. Nadzirajte, ali so vaše nastavitve sinhronizirane. Nastavite na 0 (nič)

  20. Teredo – MDM ni potreben. Teredo je privzeto izklopljen. Optimizacija prenašanja lahko vklopi Teredo, vendar se sama optimizacija prenašanja izklopi prek MDM-ja.

  21. Senzor omrežij Wi-Fi – MDM ni potreben. Senzor omrežij Wi-Fi ni več na voljo v sistemu Windows 10 (različici 1803 in novejših različicah) in Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Prekinite povezavo s storitvijo Microsoft Antimalware Protection Service. Nastavite na 0 (nič)
    2. Defender/SubmitSamplesConsent. Prenehajte pošiljati vzorce datotek nazaj v Microsoft. Nastavite na 2 (dve)
    3. Defender/EnableSmartScreenInShell. Izklopi SmartScreen v sistemu Windows za izvajanje aplikacije ali datoteke. Nastavite na 0 (nič)
    4. Windows Defender SmartScreen – Browser/AllowSmartScreen. Onemogočite Windows Defender SmartScreen. Nastavite na 0 (nič)
    5. Windows Defender SmartScreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Nadzoruje, ali lahko uporabniki nameščajo aplikacije iz mest, ki niso Microsoft Store. Nastavite na 0 (nič)
    6. Zaščita pred morebitno neželenimi aplikacijami Windows Defender – Defender/PUAProtection. Določa raven zaznavanja morebitno neželenih aplikacij. Nastavite na 1 (ena)
    7. Defender/SignatureUpdateFallbackOrder. Omogoča, da določite vrstni red, v katerem bi morali vzpostaviti stik z različnimi viri posodobitev definicije. OMA-URI za to je: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Vrsta podatkov: String, Vrednost: FileShares

  23. Središče pozornosti Windows - Experience/AllowWindowsSpotlight. Onemogočite Središče pozornosti Windows. Nastavite na 0 (nič)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Logična vrednost, ki onemogoči zagon vseh aplikacij iz trgovine Microsoft Store, ki je bila predhodno nameščena ali pa je bila prenesena. Nastavite na 1 (ena)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Določa, ali je omogočena samodejna posodobitev aplikacij iz trgovine Microsoft Store. Nastavite na 0 (nič)

  25. Aplikacije za spletna mesta - ApplicationDefaults/EnableAppUriHandlers. Ta nastavitev pravilnika določa, ali Windows podpira povezovanje spleta in aplikacije z rutinami za obravnavo URI-ja aplikacij. Nastavite na 0 (nič)

  26. Optimizacija prenašanja za Windows Update – naslednji pravilniki MDM za optimizacijo prenašanja so na voljo v CSP-ju pravilnika.

    1. DeliveryOptimization/DODownloadMode. Omogoči vam, da izberete mesto, kjer optimizacija prenašanja pridobi ali pošlje posodobitve in aplikacije. Nastavljeno na 99 (devetindevetdeset)

  27. Windows Update

    1. Update/AllowAutoUpdate. Nadzorujte samodejne posodobitve. Nastavite na 5 (pet)
    2. Dovoli posodobitev storitve Windows Update – Update/AllowUpdateService. Določa, ali lahko naprava uporablja Microsoft Update, storitve Windows Server Update Services (WSUS) ali trgovino Microsoft Store. Nastavite na 0 (nič)
    3. URL storitve Windows Update – Update/UpdateServiceUrl. Omogoča napravi, da namesto storitve Microsoft Update preveri, ali so na voljo posodobitve strežnika WSUS. Nastavi na niz z vrednostjo:
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Priporočila
    a. »HideRecentJumplists« nastavitve v ponudniku konfiguracijske storitve za zagon pravilnika (CSP). Če želite skriti seznam priporočenih aplikacij in datotek v razdelku »Priporočeno« v začetnem meniju.

Dovoljeni promet za konfiguracije Microsoft Intune/MDM

Dovoljene končne točke prometa
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com