为 Windows 10 或更高版本的设备创建配置项目

使用 Configuration Manager Windows 10 或更高版本 配置项目来管理由 Configuration Manager 客户端管理的 Windows 10 或更高版本计算机的设置。

重要

在此版本中,如果你为使用 Configuration Manager 客户端) 管理的设备创建了 Windows 10 或更高版本 (类型的配置项目的一部分请注意以下问题。 如果设置尚不存在,或者尚未在 Windows 10 或更高版本设备上配置,则会错误地评估为合规。

解决方法是,为这些设备创建设置时,请确保在“创建配置项目”向导的设置页上选择了“ 修正不符合性 设置”。 此外,部署包含包含密码设置的 Windows 10 或更高版本配置项目的配置基线时,请选择“在 支持时修正不符合规则”。 在“部署配置基线”对话框中进行此项选择。 使用此解决方法可监视设置,并在发现该设置不符合时进行修正。 修正后,除非遇到问题,否则设置将正确报告为 符合 (,在这种情况下,它将报告 错误) 。

创建 Windows 10 或更高版本配置项目

  1. 在 Configuration Manager 控制台中,选择“ 资产和符合性”。

  2. “资产和符合性” 工作区中,展开 “符合性设置”,然后选择“ 配置项目”。

  3. 在“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建配置项目”。

  4. “创建配置项目”向导的“常规”页上,为配置项目指定名称和可选说明。

  5. “指定要创建的配置项目类型”下,选择“ Windows 10 或更高版本”。

  6. 如果创建并分配类别以帮助在 Configuration Manager 控制台中搜索和筛选配置项目,请选择“ 类别”。

  7. 在向导的 “支持的平台 ”页上,选择将评估配置项目的特定 Windows 10 或更高版本平台。

  8. 在向导的 “设备设置” 页上,选择要配置的设置组。 (有关详细信息,请参阅本文中的 Windows 配置项目设置参考 。) 然后选择“ 下一步”。

    提示

    如果未列出所需的设置,请选中“ 配置不在默认设置组中的其他设置”复选框

  9. 在每个设置页上,配置所需的设置,以及是否要在设备不合规时进行修正, () 。

  10. 对于每个设置组,还可以配置在发现配置项目不符合时报告的严重性:

    • :不符合此符合性规则的设备不会报告 Configuration Manager 报表的故障严重性。

    • 信息:不符合此符合性规则的设备会报告 Configuration Manager 报表的故障 严重性信息。

    • 警告:不符合此符合性规则的设备报告 Configuration Manager 报表的故障严重性为 “警告 ”。

    • 严重:不符合此符合性规则 的设备报告故障 严重性,对于 Configuration Manager 报告。

    • 严重事件:不符合此符合性规则的设备报告 Configuration Manager 报告的故障严重性为 “严重 ”。 此严重性级别也会在应用程序事件日志中记录为 Windows 事件。

  11. 在向导的“ 平台适用性 ”页上,查看与之前选择的受支持平台不兼容的任何设置。 可以返回并删除这些设置,也可以继续。

    提示

    不评估不受支持的设置是否合规。

  12. 完成该向导。

    可以在“资产和符合性”工作区的“配置项目”节点中查看新的配置项目。

Windows 10 或更高版本配置项目设置参考

Password

Setting 详细信息
要求在设备上设置密码 在受支持的设备上需要密码。
最小密码长度(字符) 密码的最小长度(以字符为单位)。
密码过期时间(天) 必须更改密码之前的天数。
记住的密码数 防止重用以前的密码。
擦除设备之前失败的登录尝试次数 如果登录失败,则擦除设备。
设备锁定之前的空闲时间 指定设备在自动锁定之前必须处于非活动状态的分钟数。
密码复杂性 选择是可以指定 PIN(如“1234”),还是必须提供强密码。
密码中所需的复杂字符集数 如果选择了 密码,请使用此设置配置所需的复杂字符集数。 对于强密码,此设置应至少设置为 3,这意味着需要字母和数字。 如果要强制实施还需要特殊字符(如 (%$)的密码,请选择 4
仅 (Windows 10 或更高版本)

设备

设置名称 详细信息
蓝牙 允许在设备上使用蓝牙功能。

设置名称 详细信息
设置同步 允许在设备之间同步设置。
凭据同步 允许在设备之间同步凭据。
通过按流量计费的连接进行设置同步 允许在按 Internet 连接流量计费时同步设置。

漫游

设置名称 详细信息
数据漫游 允许在访问数据时在网络之间漫游。

加密

设置名称 详细信息
设备上的文件加密 要求对设备上的文件进行加密。

系统安全

设置名称 详细信息
用户帐户控制 配置 Windows 用户帐户控制在设备上的工作方式。
例如,可以禁用它,或设置通知你的级别。
网络防火墙 启用或禁用 Windows 防火墙。
SmartScreen 启用或禁用 Windows SmartScreen。
病毒防护 要求必须安装和配置防病毒软件。
病毒防护签名是最新的 要求设备上防病毒软件的签名文件必须是最新的。

Windows 信息保护

注意

Microsoft Intune 已停止对管理和部署 Windows 信息保护的未来投资。

已删除对 Microsoft Intune 中无注册方案的 Windows 信息保护的支持。

有关详细信息,请参阅 Windows 信息保护的终止支持指南

有关 Windows 上的 Intune MAM 的信息,请参阅 适用于 Windows 的 MAM适用于 Windows 的应用保护策略设置

随着企业中员工拥有的设备的增加,通过应用和服务(如电子邮件、社交媒体和公有云)意外泄露数据的风险也越来越大。 这些不在组织的控制范围内。 示例包括员工:

  • 从其个人电子邮件帐户发送最新的工程图片。
  • 将产品信息复制并粘贴到推文中。
  • 将正在进行的销售报表保存到其公有云存储。

Windows 信息保护 (WIP(以前是企业数据保护) 有助于防止这种潜在的数据泄漏,而不会干扰员工体验。 WIP 还有助于保护企业应用和数据,防止员工在企业拥有的设备和个人设备上意外泄露数据。 WIP 不需要更改环境或其他应用。

Configuration Manager Windows 信息保护配置项管理以下内容:

  • 受 WIP 保护的应用列表
  • 企业网络位置
  • 保护级别
  • 加密设置

有关如何使用 Configuration Manager 配置 WIP 的信息,请参阅:

另请参阅

使用 Configuration Manager 客户端管理的设备的配置项目