Dela via


Hantera anslutningar från Windows 10- och Windows 11-komponenter till Microsoft-tjänster med hjälp av Microsoft Intune MDM Server

Gäller för

  • Windows 11
  • Windows 10 Enterprise version 1903 och senare

I den här artikeln beskrivs de nätverksanslutningar som Windows 10-och Windows 11-komponenter gör till Microsoft samt Mobile Device Management/Configuration Service Provider (MDM/CSP) och anpassade principer för Open Mobile Alliance Uniform Resource Identifier (OMA URI) som finns tillgängliga för IT-experter som använder Microsoft Intune för att hantera de data som delas med Microsoft. Om du vill minimera anslutningarna från Windows till Microsoft-tjänster eller konfigurera sekretessinställningar finns ett antal inställningar du kan använda. Du kan till exempel konfigurera diagnostikdata till den lägsta nivån för din utgåva av Windows och utvärdera andra anslutningar (som Windows gör till Microsoft-tjänster) som du vill stänga av med hjälp av instruktionerna i den här artikeln. Du kan minimera nätverksanslutningarna till Microsoft, men det finns många anledningar till varför dessa kommunikationer är aktiverade som standard, till exempel för att uppdatera definitioner för skadlig programvara och underhålla aktuella certifikatåterkallningslistor. Dessa data hjälper oss att tillhandahålla en säker, tillförlitlig och uppdaterad upplevelse.

Viktigt

  • Slutpunkter för tillåten trafik för en MDM-konfiguration finns här: Tillåten trafik
    • CRL- och OCSP-nätverkstrafik kan inte inaktiveras och dyker fortfarande upp i nätverksspår. CRL- och OCSP-kontroller görs till utfärdande certifikatutfärdare. Microsoft är en av de här utfärdarna. Det finns många andra, till exempel DigiCert, Thawte, Google, Symantec och VeriSign.
    • Det finns viss trafik som behövs speciellt för Microsoft Intune-baserad hantering av Windows 10- och Windows 11-enheter. Denna trafik innefattar Windows Notifications Service (WNS), Automatisk uppdatering av rotcertifikat (ARCU) och viss Windows Update-relaterad trafik. Den tidigare nämnda trafiken omfattar tillåten trafik för Microsoft Intune MDM Server för att hantera Windows 10- och Windows 11-enheter.
  • Av säkerhetsskäl är det viktigt att du noggrant överväger vilka inställningar som ska konfigureras eftersom vissa av dem kan göra att enheten blir mindre säker. Exempel på inställningar som kan leda till en mindre säker enhetskonfiguration: inaktivera Windows Update, inaktivera Automatisk uppdatering av rotcertifikat och inaktivera Windows Defender. Därför rekommenderar vi inte att de här funktionerna inaktiveras.
  • För att säkerställa att CSP:er prioriteras före grupprinciper vid en konflikt använder du principen ControlPolicyConflict.
  • Länkarna Få hjälp och Ge oss feedback i Windows kanske inte fungerar längre när vissa eller alla MDM/CSP-inställningar tillämpas.

Varning

Om en användare kör kommandot Återställ den här datorn (Inställningar -> Uppdatering och säkerhet -> Återställning) med alternativet "Ta bort allt" måste >inställningarna för Windows Restricted Traffic Limited Functionality tillämpas igen för att begränsa utgående trafik från enheten. >För att göra detta måste klienten omregistreras i Microsoft Intune-tjänsten. Utgående trafik kan också inträffa innan inställningarna >för Restricted Traffic Limited Functionality tillämpas igen. Om användaren kör "Återställ den här datorn" med >alternativet "Behåll mina filer" bevaras inställningarna för Restricted Traffic Limited Functionality på enheten och därför kommer klienten att fortsätta att vara i en >Restricted Traffic-konfiguration under och efter återställningen med "Behåll mina filer" och behöver registreras igen.

Mer information om Microsoft Intune finns i Transformera LEVERANS AV IT-tjänster för din moderna och dokumentation om Microsoft Intune.

Detaljerad information om hur du hanterar nätverksanslutningar till Microsoft-tjänster med Windows-inställningar, grupprinciper och registerinställningar finns i Hantera anslutningar från Windows-komponenter till Microsoft-tjänster.

Vi försöker ständigt förbättra vår dokumentation och vill gärna ha feedback från dig. Du kan ge feedback genom att skicka ett e-postmeddelande till telmhelp@microsoft.com.

Inställningar för Windows 10 Enterprise utgåva 1903 och senare och Windows 11

I följande tabell visas hanteringsalternativ för varje inställning.

För Windows 10 och Windows 11 är följande MDM-principer tillgängliga i Policy CSP.

  1. Automatisk uppdatering av rotcertifikat

    1. MDM-princip: Det finns avsiktligt ingen MDM tillgänglig för automatisk uppdatering av rotcertifikat. Denna MDM finns inte eftersom den skulle förhindra MDM-hantering av enheter (användning och hantering).
  2. Cortana och Sök

    1. MDM-princip: Experience/AllowCortana. Välj om du vill att Cortana ska installeras och köras på enheten. Inställd på 0 (noll)
    2. MDM-princip: Search/AllowSearchToUseLocation. Välj om Cortana och sökfunktionen ska kunna tillhandahålla positionsbaserade sökresultat. Inställd på 0 (noll)
  3. Datum och tid

    1. MDM-princip: Settings/AllowDateTime. Gör det möjligt för användaren att ändra inställningar för datum och tid. Inställd på 0 (noll)
  4. Hämtning av metadata för enheten

    1. MDM-princip: DeviceInstallation/PreventDeviceMetadataFromNetwork. Välj om du vill förhindra att Windows hämtar metadata från Internet. Inställd på Aktiverad
  5. Hitta min enhet

    1. MDM-princip: Experience/AllowFindMyDevice. Denna princip aktiverar Hitta min enhet. Inställd på 0 (noll)
  6. Direktuppspelning av teckensnitt

    1. MDM-princip: System/AllowFontProviders. Den här inställningen bestämmer om Windows tillåts ladda ner teckensnitt och teckensnittskatalogdata från teckensnittsleverantörer online. Inställd på 0 (noll)
  7. Insider Preview-versioner

    1. MDM-princip: System/AllowBuildPreview. Den här principinställningen bestämmer om användare kan komma åt kontroller för Insider-versioner i Avancerade alternativ för Windows Update. Inställd på 0 (noll)
  8. Internet Explorer Följande MDM-principer för Microsoft Internet Explorer är tillgängliga i Internet Explorer CSP

    1. MDM-princip: InternetExplorer/AllowSuggestedSites. Rekommenderar webbplatser baserat på användarens webbhistorik. Inställd på Inaktiverad
    2. MDM-princip: InternetExplorer/PreventManagingSmartScreenFilter. Hindrar användaren från att hantera Windows Defender SmartScreen, som varnar användaren om den webbplats som han eller hon besöker är känd för att i bedrägligt syfte försöka samla in personlig information via nätfiske, eller om den är känd för att innehålla skadlig programvara. Inställd på String med värdet:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”>
    3. MDM-princip: InternetExplorer/DisableFlipAheadFeature. Bestämmer om en användare kan svepa över en skärm eller klicka på Framåt för att gå till nästa förinlästa sida för en webbplats. Inställd på Aktiverad
    4. MDM-princip: InternetExplorer/DisableHomePageChange. Bestämmer om användare kan ändra standardstartsidan eller inte. Inställd på String med värdet:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. MDM-princip: InternetExplorer/DisableFirstRunWizard. Hindrar Internet Explorer från att köra guiden Första körningen den första gången en användare startar webbläsaren efter det att Internet Explorer eller Windows har installerats. Inställd på String med värdet:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>
  9. Levande paneler

    1. MDM-princip: Notifications/DisallowTileNotification. Med den här principinställningen inaktiveras panelmeddelanden. Om du aktiverar den här principinställningen kan varken program eller systemet uppdatera sina paneler eller aktivitetsikoner på startskärmen. Heltalsvärde 1
  10. Synkronisering av e-post

    1. MDM-princip: Accounts/AllowMicrosoftAccountConnection. Anger om användaren får använda ett Microsoft-konto för icke-e-postrelaterad anslutningsautentisering och tjänster. Inställd på 0 (noll)
  11. Microsoft-konto

    1. MDM-princip: Accounts/AllowMicrosoftAccountSignInAssistant. Inaktivera inloggningsassistenten för Microsoft-konto. Inställd på 0 (noll)
  12. Microsoft Edge Följande MDM-principer för Microsoft Edge är tillgängliga i Policy CSP. En fullständig lista över Microsoft Edge-principer finns i Tillgängliga principer för Microsoft Edge.

    1. MDM-princip: Browser/AllowAutoFill. Välj om anställda ska kunna använda autofyll på webbplatser. Inställd på 0 (noll)
    2. MDM-princip: Browser/AllowDoNotTrack. Välj om anställda ska kunna skicka Do Not Track-huvuden. Inställd på 0 (noll)
    3. MDM-princip: Browser/AllowMicrosoftCompatbilityList. Ange Microsoft-kompatibilitetslistan i Microsoft Edge. Inställd på 0 (noll)
    4. MDM-princip: Browser/AllowPasswordManager. Välj om anställda ska kunna spara lösenord lokalt på sina enheter. Inställd på 0 (noll)
    5. MDM-princip: Browser/AllowSearchSuggestionsinAddressBar. Välj om sökförslag ska visas i adressfältet. Inställd på 0 (noll)
    6. MDM-princip: Browser/AllowSmartScreen. Välj om Windows Defender SmartScreen ska vara aktiverat eller inaktiverat. Inställd på 0 (noll)
  13. Statusindikatorn för nätverksanslutning

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Obs! När du har tillämpat den här principen måste du starta om enheten för att principinställningen ska börja gälla. Inställd på 1 (ett)
  14. Offlinekartor

    1. MDM-princip: AllowOfflineMapsDownloadOverMeteredConnection. Tillåter nedladdning och uppdatering av kartdata via anslutningar med datapriser.
      Inställd på 0 (noll)
    2. MDM-princip: EnableOfflineMapsAutoUpdate. Inaktiverar automatisk nedladdning och uppdatering av kartdata. Inställd på 0 (noll)
  15. OneDrive

    1. MDM-princip: DisableOneDriveFileSync. Gör det möjligt för IT-administratörer att hindra appar och funktioner från att använda filer på OneDrive. Inställd på 1 (ett)
    2. För att kunna skaffa den senaste OneDrive ADMX-filen behöver du en uppdaterad Windows 10- eller Windows 11-klient. ADMX-filerna finns under följande sökväg: %LocalAppData%\Microsoft\OneDrive\. Där finns en mapp med den aktuella OneDrive-versionen (till exempel "18.162.0812.0001"). Det finns en mapp med namnet "adm" som innehåller admx- och adml-definitionsfilerna.
    3. MDM-princip: Förhindra nätverkstrafik innan användaren loggar in. PreventNetworkTrafficPreUserSignIn. Värdet för OMA-URI är: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC\~Policy\~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Data type: String, Value: <enabled/>
  16. Sekretessinställningar Dessa inställningar måste konfigureras för varje användarkonto som loggar in på datorn, med undantag för sidan Feedback och diagnostik.

    1. Allmänt – TextInput/AllowLinguisticDataCollection. Den här principinställningen reglerar möjligheten att skicka handskrifts- och inmatningsdata till Microsoft. Inställd på 0 (noll)
    2. Plats – System/AllowLocation. Anger om appen ska få åtkomst till positioneringstjänsten. Inställd på 0 (noll)
    3. Kamera – Camera/AllowCamera. Inaktiverar eller aktiverar kameran. Inställd på 0 (noll)
    4. Mikrofon – Privacy/LetAppsAccessMicrophone. Anger om Windows-appar kan använda mikrofonen. Inställd på 2 (två)
    5. Aviseringar – Privacy/LetAppsAccessNotifications. Anger om Windows-appar får använda aviseringar. Inställd på 2 (två)
    6. Aviseringar – Settings/AllowOnlineTips. Aktiverar eller inaktiverar hämtning av onlinetips och hjälp för appen Inställningar. Heltalsvärde 0
    7. Tal, pennanteckning och inmatning – Privacy/AllowInputPersonalization. Med den här principen anger du om användarna på den här enheten kan aktivera taligenkänning online. Inställd på 0 (noll)
    8. Tal, pennanteckning och inmatning – TextInput/AllowLinguisticDataCollection. Den här principinställningen reglerar möjligheten att skicka handskrifts- och inmatningsdata till Microsoft Inställd på 0 (noll)
    9. Kontoinformation – Privacy/LetAppsAccessAccountInfo. Anger om Windows-appar kan få tillgång till kontoinformation. Inställd på 2 (två)
    10. Kontakter – Privacy/LetAppsAccessContacts. Anger om Windows-appar kan komma åt kontakter. Inställd på 2 (två)
    11. Kalender – Privacy/LetAppsAccessCalendar. Anger om Windows-appar kan använda kalendern. Inställd på 2 (två)
    12. Samtalshistorik – Privacy/LetAppsAccessCallHistory. Anger om Windows-appar kan komma åt kontoinformation. Inställd på 2 (två)
    13. E-post – Privacy/LetAppsAccessEmail. Anger om Windows-appar kan komma åt e-post. Inställd på 2 (två)
    14. Meddelanden – Privacy/LetAppsAccessMessaging. Anger om Windows-appar kan läsa eller skicka meddelanden (SMS eller MMS). Inställd på 2 (två)
    15. Telefonsamtal – Privacy/LetAppsAccessPhone. Anger om Windows-appar kan ringa telefonsamtal. Inställd på 2 (två)
    16. Trådlösa anslutningar – Privacy/LetAppsAccessRadios. Anger om Windows-appar kan hantera trådlösa anslutningar. Inställd på 2 (två)
    17. Andra enheter – Privacy/LetAppsSyncWithDevices. Anger om Windows-appar kan synkroniseras med enheter. Inställd på 2 (två)
    18. Andra enheter – Privacy/LetAppsAccessTrustedDevices. Anger om Windows-appar kan komma åt betrodda enheter. Inställd på 2 (två)
    19. Feedback och diagnostik – System/AllowTelemetry. Tillåt att enheten skickar telemetridata för diagnostik och användning, till exempel Watson. Inställd på 0 (noll)
    20. Feedback och diagnostik – Experience/DoNotShowFeedbackNotifications. Hindrar enheter från att visa feedbackfrågor från Microsoft. Inställd på 1 (ett)
    21. Bakgrundsappar – Privacy/LetAppsRunInBackground. Anger om Windows-appar kan köras i bakgrunden. Inställd på 2 (två)
    22. Rörelse – Privacy/LetAppsAccessMotion. Anger om Windows-appar kan komma åt rörelsedata. Inställd på 2 (två)
    23. Aktiviteter – Privacy/LetAppsAccessTasks. Inaktivera möjligheten att välja vilka appar som har tillgång till aktiviteter. Inställd på 2 (två)
    24. Appdiagnostik – Privacy/LetAppsGetDiagnosticInfo. Tvinga tillåt, tvinga neka eller ge användaren kontroll över appar som kan hämta diagnostikinformation om andra program som körs. Inställd på 2 (två)
  17. Software Protection Platform - Licensing/DisallowKMSClientOnlineAVSValidation. Välja att KMS-klientaktiveringsdata inte ska skickas automatiskt till Microsoft. Inställd på 1 (ett)

  18. Lagringshälsa - Storage/AllowDiskHealthModelUpdates. Tillåter uppdateringar av modellen för diskhälsa Inställd på 0 (noll)

  19. Synkronisera inställningar - Experience/AllowSyncMySettings. Styr om dina inställningar synkroniseras. Inställd på 0 (noll)

  20. Teredo – Ingen MDM behövs. Teredo är Av som standard. Leveransoptimering kan aktivera Teredo, med Leveransoptimering är inaktiverad via MDM.

  21. Wi-Fi Sense – Ingen MDM behövs. Wi-Fi Sense är inte lägre tillgängligt från Windows 10 version 1803 och senare eller Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Koppla bort från Microsofts tjänst för skydd med program mot skadlig kod. Inställd på 0 (noll)
    2. Defender/SubmitSamplesConsent. Sluta skicka filprover tillbaka till Microsoft. Inställd på 2 (två)
    3. Defender/EnableSmartScreenInShell. Inaktiverar SmartScreen i Windows för app- och filkörning. Inställd på 0 (noll)
    4. Windows Defender Smartscreen – Browser/AllowSmartScreen. Inaktivera Windows Defender SmartScreen. Inställd på 0 (noll)
    5. Windows Defender Smartscreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Styr om användare får installera appar från andra platser än Microsoft Store. Inställd på 0 (noll)
    6. Windows Defender Skydd mot potentiellt oönskade program – Defender/PUAProtection. Anger identifieringsnivån för potentiellt oönskade program. Inställd på 1 (ett)
    7. Defender/SignatureUpdateFallbackOrder. Låter dig definiera i vilken ordning olika källor för definitionsuppdateringar ska kontaktas. OMA-URI för detta är: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, datatyp: String, värde: FileShares
  23. Windows Spotlight - Experience/AllowWindowsSpotlight. Inaktivera Windows Spotlight. Inställd på 0 (noll)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Booleskt värde som inaktiverar start av alla appar från Microsoft Store som var förinstallerade eller som har laddats ned. Inställd på 1 (ett)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Anger om automatisk uppdatering av appar från Microsoft Store är tillåtet. Inställd på 0 (noll)
  25. Appar för webbplatser - ApplicationDefaults/EnableAppUriHandlers. Den här principinställningen anger om Windows stöder webb-till-app-länkning med URI-referenser. Inställd på 0 (noll)

  26. Leveransoptimering för Windows Update – Följande MDM-principer för Leveransoptimering är tillgängliga i Policy CSP.

    1. DeliveryOptimization/DODownloadMode. Låter dig välja var Leveransoptimering hämtar eller skickar uppdateringar och appar. Ställ in till 99 (nittio-nio)
  27. Windows Update

    1. Update/AllowAutoUpdate. Styr automatiska uppdateringar. Inställd på 5 (fem)
    2. Tillåt Windows Update-uppdateringstjänst – Update/AllowUpdateService. Anger om enheten kan använda Microsoft Update, Windows Server Update Services (WSUS) eller Microsoft Store. Inställd på 0 (noll)
    3. URL för Windows Update-tjänst – Update/UpdateServiceUrl. Låter enheten söka efter uppdateringar från en WSUS-server i stället för Microsoft Update. Inställd på String med värdet:
      1. <Ersätt><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>
  28. Rekommendationer
    a. Inställningen HideRecentJumplists i konfigurationstjänstleverantören för Start-principen (CSP). Så här döljer du en lista över rekommenderade appar och filer i avsnittet Rekommenderat i Start-menyn.

Tillåten trafik för Microsoft Intune-/MDM-konfigurationer

Slutpunkter för tillåten trafik
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com