本文列出了租户配置管理 (TCM) Microsoft Graph API 中Microsoft Intune支持的资源类型。 使用这些资源类型监视和管理Microsoft Intune配置设置。
有关每种资源类型的完整架构、所需权限和示例,请参阅 TCM 架构存储。
accountProtectionLocalUserGroupMembershipPolicy 资源类型
说明
此资源配置Intune帐户保护本地用户组成员身份策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 标识 | 写入 | String | 帐户保护策略的标识。 | - |
| DisplayName | 键 | String | 帐户保护规则策略的显示名称。 | - |
| 说明 | 写入 | String | 帐户保护规则策略的说明。 | - |
| 作业 | 写入 | AccountProtectionLocalUserGroupMembershipPolicyAssignments[] | Intune策略的分配。 | - |
| LocalUserGroupCollection | 写入 | AccountProtectionLocalUserGroupCollection[] | Intune策略的本地用户组集合。 | - |
| 确保 | 写入 | String | 存在 可确保网站集存在,不存在确保已删除网站集 |
Present, Absent |
AccountProtectionLocalUserGroupMembershipPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
AccountProtectionLocalUserGroupCollection
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 操作 | 写入 | String | 用于添加/删除成员的操作。 |
add_update, remove_update, add_replace |
| LocalGroups | 写入 | StringArray[] | 要向/从中添加/删除成员的本地组。 以下值的列表:administrators、users、、guestspowerusers、remotedesktopusers、remotemanagementusers |
- |
| Members | 写入 | StringArray[] | 要从组中添加/删除的成员。 对于 AzureAD 用户,请使用格式 AzureAD\<UserPrincipalName>。 对于组,请使用安全标识符 (SID) 。 |
- |
| UserSelectionType | 写入 | String | 所选内容的类型。 AzureAD 中的用户/组或手动标识符。 |
users, manual |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
accountProtectionPolicy 资源类型
说明
此资源配置Intune帐户保护策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 标识 | 写入 | String | 帐户保护策略的标识。 | - |
| DisplayName | 键 | String | 帐户保护规则策略的显示名称。 | - |
| 说明 | 写入 | String | 帐户保护规则策略的说明。 | - |
| 作业 | 写入 | AccountProtectionPolicyAssignments[] | Intune策略的分配。 | - |
| WindowsHelloForBusinessBlocked | 写入 | String | 阻止Windows Hello 企业版。 |
notConfigured, true, false |
| PinMinimumLength | 写入 | UInt32 | 最小 PIN 长度必须介于 4 到 127 之间。 (4-127) | - |
| PinMaximumLength | 写入 | UInt32 | 最大 PIN 长度必须介于 4 到 127 之间。 (4-127) | - |
| PinLowercaseCharactersUsage | 写入 | String | 如果需要,用户 PIN 必须至少包含一个小写字母。 |
notConfigured, blocked, required, allowed |
| PinUppercaseCharactersUsage | 写入 | String | 如果需要,用户 PIN 必须至少包含一个大写字母。 |
notConfigured, blocked, required, allowed |
| PinSpecialCharactersUsage | 写入 | String | 如果需要,用户 PIN 必须至少包含一个特殊字符。 |
notConfigured, blocked, required, allowed |
| PinExpirationInDays | 写入 | UInt32 | 如果已配置,则会强制用户在设置的天数后更改其 PIN。 (0,730) ,0 = 从不 | - |
| PinPreviousBlockCount | 写入 | UInt32 | 如果已配置,用户将无法重复使用此数目的以前 PIN。 (0,50) ,0 = 不记得。 | - |
| PinRecoveryEnabled | 写入 | 布尔值 | 如果启用,PIN 恢复机密将存储在设备上,用户可以根据需要更改其 PIN。 如果禁用或未配置,则不会创建或存储恢复机密。 | - |
| SecurityDeviceRequired | 写入 | 布尔值 | 如果启用此策略设置,则只有具有可用 TPM 预配的设备Windows Hello 企业版。 如果禁用或不配置此策略设置,TPM 仍是首选,但所有设备预配Windows Hello 企业版。 | - |
| UnlockWithBiometricsEnabled | 写入 | 布尔值 | 如果允许,Windows Hello 企业版可以使用手势(如人脸和指纹)进行身份验证。 如果失败,用户仍必须配置 PIN。 | - |
| EnhancedAntiSpoofingForFacialFeaturesEnabled | 写入 | 布尔值 | 如果启用,设备将使用增强的反欺骗(如果可用)。 如果未配置,将遵循反欺骗的客户端配置。 | - |
| UseCertificatesForOnPremisesAuthEnabled | 写入 | 布尔值 | 如果已配置,Windows Hello 企业版可以使用证书对本地资源进行身份验证。 | - |
| UseSecurityKeyForSignin | 写入 | 布尔值 | 为租户中的所有电脑启用Windows Hello安全密钥作为登录凭据。 | - |
| DeviceGuardLocalSystemAuthorityCredentialGuardSettings | 写入 | String | 设置此禁用将禁止使用 Credential Guard,这是 Windows 默认值。 将此设置为“使用 UEFI 锁启用”将启用 Credential Guard,并且不允许远程禁用它,因为必须手动清除 UEFI 持久配置。 将此设置为“不带 UEFI 锁启用”将启用 Credential Guard,并允许在对计算机进行物理访问的情况下将其关闭。 |
notConfigured, disable, enableWithUEFILock, enableWithoutUEFILock |
| 确保 | 写入 | String | 存在 可确保网站集存在,不存在确保已删除网站集 |
Present, Absent |
AccountProtectionPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | DeviceManagementConfiguration.ReadWrite.All |
防病毒PolicyWindows10SettingCatalog 资源类型
说明
此资源为Windows 10设备配置Intune Endpoint Protection 防病毒策略。 此策略设置允许使用设置目录管理Windows 10 Microsoft Defender防病毒。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | Windows 10的终结点保护策略的显示名称。 | - |
| 标识 | 写入 | String | Windows 10的终结点保护策略的标识。 | - |
| 说明 | 写入 | String | Windows 10的终结点保护策略的说明。 | - |
| 篡改保护 | 写入 | String | 允许或禁止扫描存档。 (0:启用功能。1:禁用功能) |
0, 1 |
| disableaccountprotectionui | 写入 | String | 使用此策略设置可指定是否在 Windows Defender 安全中心显示“帐户保护”区域。 (0:禁用功能。1:启用功能) |
0, 1 |
| disableappbrowserui | 写入 | String | 如果要在 Windows Defender 安全中心禁用应用和浏览器保护区域的显示,请使用此策略设置。 (0:禁用功能。1:启用功能) |
0, 1 |
| disablecleartpmbutton | 写入 | String | 禁用Windows 安全中心中的“清除 TPM”按钮。 (0:禁用功能。1:启用功能) |
0, 1 |
| disabledevicesecurityui | 写入 | String | 如果要在 Windows Defender 安全中心禁用“设备安全”区域的显示,请使用此策略设置。 (0:禁用功能。1:启用功能) |
0, 1 |
| disablefamilyui | 写入 | String | 如果要在 Windows Defender 安全中心禁用家庭选项区域的显示,请使用此策略设置。 (0:禁用功能。1:启用功能) |
0, 1 |
| disablehealthui | 写入 | String | 如果要在 Windows Defender 安全中心禁用设备性能和运行状况区域的显示,请使用此策略设置。 (0:禁用功能。1:启用功能) |
0, 1 |
| disablenetworkui | 写入 | String | 如果要在 Windows Defender 安全中心禁用防火墙和网络保护区域的显示,请使用此策略设置。 (0:禁用功能。1:启用功能) |
0, 1 |
| disableenhancednotifications | 写入 | String | 如果要禁用 Windows Defender 安全中心通知的显示,请使用此策略设置。 (0:禁用功能。1:启用功能) |
0, 1 |
| disabletpmfirmwareupdatewarning | 写入 | String | 隐藏在检测到易受攻击的固件时更新 TPM 固件的建议。 (0:禁用功能。1:启用功能) |
0, 1 |
| disablevirusui | 写入 | String | 如果要在 Windows Defender 安全中心禁用病毒和威胁防护区域的显示,请使用此策略设置。 (0:禁用功能。1:启用功能) |
0, 1 |
| hideransomwaredatarecovery | 写入 | String | 使用此策略设置在 Windows Defender 安全中心隐藏勒索软件数据恢复区域。 (0:禁用功能。1:启用功能) |
0, 1 |
| hidewindowssecuritynotificationareacontrol | 写入 | String | 此策略设置隐藏Windows 安全中心通知区域控制。 (0:禁用功能。1:启用功能) |
0, 1 |
| enablecustomizedtoasts | 写入 | String | 启用此策略可在通知中显示公司名称和联系人选项。 (0:禁用功能。1:启用功能) |
0, 1 |
| enableinappcustomization | 写入 | String | 启用此策略,使你的公司名称和联系人选项显示在 Windows Defender 安全中心卡飞出联系人中。 (0:禁用功能。1:启用功能) |
0, 1 |
| companyname | 写入 | String | 向用户显示的公司名称。 EnableCustomizedToasts 和 EnableInAppCustomization 都需要 CompanyName。 | - |
| 电子邮件 | 写入 | String | 向用户显示的电子邮件地址。 默认邮件应用程序用于启动电子邮件操作。 | - |
| phone | 写入 | String | 向用户显示的电话号码或 Skype ID。 Skype 用于发起呼叫。 | - |
| url | 写入 | String | 向用户显示的帮助门户 URL。 默认浏览器用于启动此操作。 | - |
| allowarchivescanning | 写入 | String | 允许或禁止扫描存档。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowbehaviormonitoring | 写入 | String | 允许或禁止 Windows Defender 行为监视功能。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowcloudprotection | 写入 | String | 为了最好地保护你的电脑,Windows Defender 将向Microsoft发送有关它发现的任何问题的信息。 Microsoft将分析这些信息,详细了解影响你和其他客户的问题,并提供改进的解决方案。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowdatagramprocessingonwinserver | 写入 | String | 允许或禁止网络保护在Windows Server上启用数据报处理。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowemailscanning | 写入 | String | 允许或禁止扫描电子邮件。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowfullscanonmappednetworkdrives | 写入 | String | 允许或禁止对映射的网络驱动器进行完全扫描。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowfullscanremovabledrivescanning | 写入 | String | 允许或禁止对可移动驱动器进行完全扫描。 在快速扫描期间,仍可能扫描可移动驱动器。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowintrusionpreventionsystem | 写入 | String | https://github.com/MicrosoftDocs/memdocs/issues/2250 (0:禁用功能。1:启用功能) |
0, 1 |
| allowioavprotection | 写入 | String | 允许或禁止 Windows Defender IOAVP 保护功能。 (0:禁用功能。1:启用功能) |
0, 1 |
| allownetworkprotectiondownlevel | 写入 | String | 允许或不允许在 RS3 的 Windows 下层将网络保护配置为阻止或审核模式。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowrealtimemonitoring | 写入 | String | 允许或禁止 Windows Defender 实时监视功能。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowscanningnetworkfiles | 写入 | String | 允许或禁止扫描网络文件。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowscriptscanning | 写入 | String | 允许或禁止 Windows Defender 脚本扫描功能。 (0:禁用功能。1:启用功能) |
0, 1 |
| allowuseruiaccess | 写入 | String | 允许或禁止用户访问 Windows Defender UI。 我不允许,所有 Windows Defender 通知也将被取消。 (0:阻止用户访问 UI。1:允许用户访问 UI) |
0, 1 |
| avgcpuloadfactor | 写入 | SInt32 | 表示 Windows Defender 扫描的平均 CPU 负载系数 () 百分比。 | - |
| archivemaxdepth | 写入 | SInt32 | 指定要从存档文件中提取的最大文件夹深度以供扫描。 | - |
| archivemaxsize | 写入 | SInt32 | 指定要提取和扫描的存档文件的最大大小(以 KB 为单位)。 | - |
| checkforsignaturesbeforerunningscan | 写入 | String | 使用此策略设置,可以管理在运行扫描之前是否会发生针对新病毒和间谍软件定义的检查。 (0:禁用功能。1:启用功能) |
0, 1 |
| cloudblocklevel | 写入 | String | 此策略设置确定防病毒Microsoft Defender阻止和扫描可疑文件的积极程度。 值类型为 integer。 (0:默认 windows defender 阻止级别,2:高阻止级别,4:高+ 阻止级别,6:零容错阻止级别) |
0, 2, 4, 6 |
| cloudextendedtimeout | 写入 | SInt32 | 此功能允许Microsoft Defender防病毒阻止可疑文件长达 60 秒,并在云中扫描它以确保其安全。 值类型为整数,范围为 0 - 50。 | - |
| daystoretaincleanedmalware | 写入 | SInt32 | 隔离项将存储在系统上) 时间段 (天。 | - |
| disablecatchupfullscan | 写入 | String | 此策略设置允许为计划的完整扫描配置追赶扫描。 (1:禁用,0:启用) |
0, 1 |
| disablecatchupquickscan | 写入 | String | 通过此策略设置,可为计划的快速扫描配置追赶扫描。 (1:禁用,0:启用) |
0, 1 |
| disablednsovertcpparsing | 写入 | String | 为网络保护禁用或启用基于 TCP 分析的 DNS。 (0:启用功能。1:禁用功能) |
0, 1 |
| disablehttpparsing | 写入 | String | 禁用或启用网络保护的 HTTP 分析。 (0:启用功能。1:禁用功能) |
0, 1 |
| DisableSshParsing | 写入 | String | 禁用 Ssh 分析 (1:禁用 SSH 分析,0:启用 SSH 分析) |
1, 0 |
| enablelowcpupriority | 写入 | String | 此策略设置允许为计划扫描启用或禁用低 CPU 优先级。 (0:禁用功能。1:启用功能) |
0, 1 |
| enablenetworkprotection | 写入 | String | 此策略允许打开网络保护 (阻止/审核) 或关闭。 (0:禁用,1:块模式,2:审核模式) |
0, 1, 2 |
| excludedextensions | 写入 | StringArray[] | 允许管理员指定扫描期间要忽略的文件类型扩展的列表。 | - |
| excludedpaths | 写入 | StringArray[] | 允许管理员指定要在扫描期间忽略的目录路径列表。 | - |
| excludedprocesses | 写入 | StringArray[] | 允许管理员指定进程在扫描期间要忽略的文件列表。 | - |
| puaprotection | 写入 | String | 指定对可能不需要的应用程序 (PUA) 的检测级别。 (0:禁用,1:块模式,2:审核模式) |
0, 1, 2 |
| engineupdateschannel | 写入 | String | 启用此策略以指定设备何时在每月逐步推出期间收到Microsoft Defender引擎更新。 (0:未配置,2:Beta 频道,3:当前频道 (预览版) ,4:当前频道 (暂存) ,5:当前频道 (广泛) ,6:关键) |
0, 2, 3, 4, 5, 6 |
| meteredconnectionupdates | 写入 | String | 允许托管设备通过按流量计费的连接进行更新。 (0:禁用,1:启用) | - |
| platformupdateschannel | 写入 | String | 启用此策略以指定设备在每月逐步推出期间何时收到Microsoft Defender平台更新。 (0:未配置,2:Beta 频道,3:当前频道 (预览版) ,4:当前频道 (暂存) ,5:当前频道 (广泛) ,6:关键) |
0, 2, 3, 4, 5, 6 |
| securityintelligenceupdateschannel | 写入 | String | 启用此策略以指定设备何时在每日逐步推出期间接收Microsoft Defender安全智能更新。 (0:未配置,4:当前通道 (暂存) ,5:当前通道 (广泛) ) |
0, 4, 5 |
| realtimescandirection | 写入 | String | 控制应监视哪些文件集。 (0: (双向) 监视所有文件,1:监视传入文件,2:监视传出文件) |
0, 1, 2 |
| scanparameter | 写入 | String | 选择是执行快速扫描还是完全扫描。 (1:快速扫描,2:完全扫描) |
1, 2 |
| schedulequickscantime | 写入 | SInt32 | 选择 Windows Defender 快速扫描应运行的时间。 | - |
| schedulescanday | 写入 | String | 选择 Windows Defender 扫描的运行日期。 (0:每天、1:星期日、2:星期一、3:星期二、4:星期三、5:星期四、6:星期五、7:星期六、8:无计划扫描) |
0, 1, 2, 3, 4, 5, 6, 7, 8 |
| schedulescantime | 写入 | SInt32 | 选择 Windows Defender 扫描应运行的时间。 必须介于 0 到 1380 分钟之间。 | - |
| disabletlsparsing | 写入 | String | 此设置禁用网络保护的 TLS 分析。 (0: 已启用,1: 禁用) |
0, 1 |
| randomizescheduletasktimes | 写入 | String | 指定扫描的开始时间是否随机化。 (0:无随机化,1:随机化) |
0, 1 |
| schedulerrandomizationtime | 写入 | SInt32 | 此设置允许你配置计划程序随机化(以小时为单位)。 随机间隔为 [1 - 23] 小时。 | - |
| signatureupdatefallbackorder | 写入 | StringArray[] | 通过此策略设置,可以定义应联系不同定义更新源的顺序。 | - |
| signatureupdatefilesharessources | 写入 | StringArray[] | 此策略设置允许配置 UNC 文件共享源以下载定义更新。 | - |
| signatureupdateinterval | 写入 | SInt32 | 指定用于检查签名的间隔 (以小时) ,因此,将根据间隔设置新签名检查,而不是使用 ScheduleDay 和 ScheduleTime。 必须介于 0 到 24 小时之间。 | - |
| submitsamplesconsent | 写入 | String | 在 Windows Defender 中检查用户同意级别以发送数据。 (0:始终提示,1:自动发送安全样本,2:永不发送,3:自动发送所有样本) |
0, 1, 2, 3 |
| disablelocaladminmerge | 写入 | String | 此策略设置控制本地管理员配置的复杂列表设置是否与托管设置合并。 (0:启用本地管理员合并,1:禁用本地管理员合并) |
0, 1 |
| allowonaccessprotection | 写入 | String | 允许或禁止 Windows Defender On Access Protection 功能。 (0:禁用功能。1:启用功能) |
0, 1 |
| lowseveritythreats | 写入 | String | 允许管理员指定要采取的低严重性威胁相应的操作 ID。 |
clean, quarantine, remove, allow, userdefined, block |
| moderateseveritythreats | 写入 | String | 允许管理员指定要采取的中度严重性威胁相应的操作 ID。 |
clean, quarantine, remove, allow, userdefined, block |
| severethreats | 写入 | String | 允许管理员指定要采取的高严重性威胁相应的操作 ID。 |
clean, quarantine, remove, allow, userdefined, block |
| highseveritythreats | 写入 | String | 允许管理员指定要采取的严重威胁对应的操作 ID。 |
clean, quarantine, remove, allow, userdefined, block |
| templateId | 写入 | String | 策略的模板 ID。 0:Windows 安全中心体验,1:Defender 更新控件,2:Microsoft Defender防病毒排除,3:Microsoft Defender防病毒 |
d948ff9b-99cb-4ee0-8012-1fbc09685377_1, e3f74c5a-a6de-411d-aef6-eb15628f3a0a_1, 45fea5e9-280d-4da1-9792-fb5736da0ca9_1, 804339ad-1553-4478-a742-138fb5807418_1 |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,而不存在确保策略已删除 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
appConfigurationPolicy 资源类型
说明
此资源配置Intune应用配置策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | 实体的键。 只读。 | - |
| DisplayName | 键 | String | 应用配置策略的显示名称。 | - |
| 说明 | 写入 | String | 应用配置策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| CustomSettings | 写入 | AppConfigurationPolicyCustomSetting[] | 应用 cnfiguration 策略的自定义设置。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
AppConfigurationPolicyCustomSetting
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| name | 写入 | String | 自定义设置的名称。 | - |
| 值 | 写入 | String | 自定义设置的值。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementApps.Read.All |
| 更新 | Group.Read.All、DeviceManagementApps.ReadWrite.All |
applicationControlPolicyWindows10 资源类型
说明
此资源为Windows 10设备配置Intune Endpoint Protection 应用程序控制策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | Windows 10的终结点保护应用程序控制策略的显示名称。 | - |
| 说明 | 写入 | String | Windows 10的 Endpoint Protection 应用程序控制策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| AppLockerApplicationControl | 写入 | String | 应用保险箱应用程序控制模式 |
notConfigured, enforceComponentsAndStoreApps, auditComponentsAndStoreApps, enforceComponentsStoreAppsAndSmartlocker, auditComponentsStoreAppsAndSmartlocker |
| SmartScreenBlockOverrideForFiles | 写入 | 布尔值 | 指示 SmartScreen 是否会显示用户忽略警告并运行应用的选项。 | - |
| SmartScreenEnableInshell | 写入 | 布尔值 | 强制所有用户使用 SmartScreen。 | - |
| 确保 | 写入 | String | 存在 可确保网站集存在,不存在确保已删除网站集 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
appProtectionPolicyAndroid 资源类型
说明
此资源为 Android 设备配置Intune应用保护策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | Android 应用保护策略的显示名称。 | - |
| 说明 | 写入 | String | Android 应用保护策略的说明。 | - |
| PeriodOfflineBeforeAccessCheck | 写入 | String | 设备未连接到 Internet 时在该时间段后检查访问权限。 | - |
| PeriodOnlineBeforeAccessCheck | 写入 | String | 设备连接到 Internet 时在该时间段后检查访问权限。 | - |
| AllowedInboundDataTransferSources | 写入 | String | 允许传输其中的数据的源。 可能的值为:allApps、managedApps、none。 |
allApps, managedApps, none |
| AllowedOutboundDataTransferDestinations | 写入 | String | 允许向其传输数据的目标。 可能的值为:allApps、managedApps、none。 |
allApps, managedApps, none |
| OrganizationalCredentialsRequired | 写入 | 布尔值 | 指示是否需要组织凭据才能使用应用。 | - |
| AllowedOutboundClipboardSharingLevel | 写入 | String | 可以在托管设备上的应用之间共享剪贴板的级别。 可能的值为:allApps、managedAppsWithPasteIn、managedApps、blocked。 |
allApps, managedAppsWithPasteIn, managedApps, blocked |
| DataBackupBlocked | 写入 | 布尔值 | 指示是否阻止备份托管应用的数据。 | - |
| DeviceComplianceRequired | 写入 | 布尔值 | 指示是否需要设备符合性。 | - |
| ManagedBrowserToOpenLinksRequired | 写入 | 布尔值 | 指示是在托管浏览器应用中打开 Internet 链接,还是应在 Android) 或 CustomBrowserPackageId/CustomBrowserDisplayName (中为 Android) 打开 CustomBrowserProtocol (指定的任何自定义浏览器。 | - |
| SaveAsBlocked | 写入 | 布尔值 | 指示用户是否可以使用“另存为”菜单项来保存受保护文件的副本。 | - |
| PeriodOfflineBeforeWipeIsEnforced | 写入 | String | 在擦除所有托管数据之前,允许应用保持与 Internet 断开连接的时间。 | - |
| PinRequired | 写入 | 布尔值 | 指示是否需要应用级 PIN。 | - |
| DisableAppPinIfDevicePinIsSet | 写入 | 布尔值 | 指示如果设置了设备 PIN,是否需要使用应用 PIN。 | - |
| MaximumPinRetries | 写入 | UInt32 | 在阻止或擦除托管应用之前,错误 PIN 重试尝试的最大次数。 | - |
| SimplePinBlocked | 写入 | 布尔值 | 阻止简单的 PIN,并要求设置复杂的 PIN。 | - |
| MinimumPinLength | 写入 | UInt32 | 如果 PinRequired 设置为 True,则应用级引脚所需的最小引脚长度。 | - |
| PinCharacterSet | 写入 | String | PinRequired 设置为 True 时可用于应用级 PIN 的字符集。 可能的值为:numeric、字母数字AndSymbol。 |
numeric, alphanumericAndSymbol |
| AllowedDataStorageLocations | 写入 | StringArray[] | 用户可能存储托管数据的数据存储位置。 | - |
| ContactSyncBlocked | 写入 | 布尔值 | 指示联系人是否可以同步到用户的设备。 | - |
| PeriodBeforePinReset | 写入 | String | TimePeriod,如果 PinRequired 设置为 True,必须在此之前重置所有级别的 PIN。 | - |
| PrintBlocked | 写入 | 布尔值 | 指示是否允许从托管应用进行打印。 | - |
| RequireClass3Biometrics | 写入 | 布尔值 | 要求用户在 Android 设备上应用第 3 类生物识别。 | - |
| RequirePinAfterBiometricChange | 写入 | 布尔值 | 如果设备上更新了第 3 类生物识别,则 PIN 提示将覆盖生物识别提示。 | - |
| 指纹块 | 写入 | 布尔值 | 指示如果 PinRequired 设置为 True,是否允许使用指纹读取器代替 PIN。 | - |
| 应用 | 写入 | StringArray[] | 表示受此保护策略控制的 Android 应用的 ID 列表。 | - |
| 作业 | 写入 | StringArray[] | 分配给此 Android 保护策略的组的 ID 列表。 | - |
| ExcludedGroups | 写入 | StringArray[] | 从此 Android 保护策略中排除的组的 ID 列表。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
| ManagedBrowser | 写入 | String | 指示应在哪个托管浏览器 () 打开 Internet 链接。 与 CustomBrowserPackageId、CustomBrowserDisplayName 和 ManagedBrowserToOpenLinksRequired 结合使用。 可能的值为:notConfigured、microsoftEdge。 |
notConfigured, microsoftEdge |
| MinimumRequiredAppVersion | 写入 | String | 低于指定版本的版本将阻止托管应用访问公司数据。 | - |
| MinimumRequiredOSVersion | 写入 | String | 低于指定版本的版本将阻止托管应用访问公司数据。 | - |
| MinimumRequiredPatchVersion | 写入 | String | 低于指定版本的版本将阻止托管应用访问公司数据。 | - |
| MinimumWarningAppVersion | 写入 | String | 低于指定版本的版本将导致托管应用出现警告消息 | - |
| MinimumWarningOSVersion | 写入 | String | 低于指定版本的版本将导致托管应用出现警告消息 | - |
| MinimumWarningPatchVersion | 写入 | String | 低于指定版本的版本将导致托管应用出现警告消息 | - |
| AppGroupType | 写入 | String | 受此保护策略控制的应用将替代应用中的任何值,除非此值为“selectedPublicApps”。 |
allApps, allMicrosoftApps, allCoreMicrosoftApps, selectedPublicApps |
| IsAssigned | 写入 | 布尔值 | 指示策略是否部署到任何包含组。 继承自 targetedManagedAppProtection。 | - |
| ScreenCaptureBlocked | 写入 | 布尔值 | 指示是否阻止用户进行屏幕截图。 | - |
| EncryptAppData | 写入 | 布尔值 | 指示是否启用“加密组织数据”值。 True = require | - |
| DisableAppEncryptionIfDeviceEncryptionIsEnabled | 写入 | 布尔值 | 指示是否启用“在已注册的设备上加密组织数据”值。 False = require。 仅当 EncryptAppData 设置为 True 时,才可正常运行 | - |
| CustomBrowserDisplayName | 写入 | String | 与“非托管浏览器 ID”关联的浏览器的应用程序名称。 如果未安装指定的浏览器,则会向用户显示此名称。 | - |
| CustomBrowserPackageId | 写入 | String | 单个浏览器的应用程序 ID。 来自策略托管应用程序的 web 内容 (http/s) 将在指定的浏览器中打开。 | - |
| Id | 写入 | String | Intune策略的 ID。 为了避免创建重复策略,如果未找到 ID,将搜索 DisplayName | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementApps.Read.All |
| 更新 | Group.Read.All、DeviceManagementApps.ReadWrite.All |
appProtectionPolicyiOS 资源类型
说明
此资源为 iOS 设备配置Intune应用保护策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | iOS 应用保护策略的显示名称。 | - |
| 标识 | 写入 | String | iOS 应用保护策略的标识。 | - |
| 说明 | 写入 | String | iOS 应用保护策略的说明。 | - |
| PeriodOfflineBeforeAccessCheck | 写入 | String | 设备未连接到 Internet 时在该时间段后检查访问权限。 | - |
| PeriodOnlineBeforeAccessCheck | 写入 | String | 设备连接到 Internet 时在该时间段后检查访问权限。 | - |
| AllowedInboundDataTransferSources | 写入 | String | 允许传输其中的数据的源。 可能的值为:allApps、managedApps、none。 |
allApps, managedApps, none |
| AllowedOutboundDataTransferDestinations | 写入 | String | 允许向其传输数据的目标。 可能的值为:allApps、managedApps、none。 |
allApps, managedApps, none |
| OrganizationalCredentialsRequired | 写入 | 布尔值 | 指示是否需要组织凭据才能使用应用。 | - |
| AllowedOutboundClipboardSharingLevel | 写入 | String | 可以在托管设备上的应用之间共享剪贴板的级别。 可能的值为:allApps、managedAppsWithPasteIn、managedApps、blocked。 |
allApps, managedAppsWithPasteIn, managedApps, blocked |
| DataBackupBlocked | 写入 | 布尔值 | 指示是否阻止备份托管应用的数据。 | - |
| DeviceComplianceRequired | 写入 | 布尔值 | 指示是否需要设备符合性。 | - |
| ManagedBrowserToOpenLinksRequired | 写入 | 布尔值 | 指示是在托管浏览器应用中打开 Internet 链接,还是应在 iOS) 或 CustomBrowserPackageId/CustomBrowserDisplayName (中为 Android) 打开 CustomBrowserProtocol (指定的任何自定义浏览器。 | - |
| SaveAsBlocked | 写入 | 布尔值 | 指示用户是否可以使用“另存为”菜单项来保存受保护文件的副本。 | - |
| PeriodOfflineBeforeWipeIsEnforced | 写入 | String | 在擦除所有托管数据之前,允许应用保持与 Internet 断开连接的时间。 | - |
| PinRequired | 写入 | 布尔值 | 指示是否需要应用级 PIN。 | - |
| DisableAppPinIfDevicePinIsSet | 写入 | 布尔值 | 指示如果设置了设备 PIN,是否需要使用应用 PIN。 | - |
| MaximumPinRetries | 写入 | UInt32 | 在阻止或擦除托管应用之前,错误 PIN 重试尝试的最大次数。 | - |
| SimplePinBlocked | 写入 | 布尔值 | 阻止简单的 PIN,并要求设置复杂的 PIN。 | - |
| MinimumPinLength | 写入 | UInt32 | 如果 PinRequired 设置为 True,则应用级引脚所需的最小引脚长度。 | - |
| PinCharacterSet | 写入 | String | PinRequired 设置为 True 时可用于应用级 PIN 的字符集。 可能的值为:numeric、字母数字AndSymbol。 |
numeric, alphanumericAndSymbol |
| AllowedDataStorageLocations | 写入 | StringArray[] | 用户可能存储托管数据的数据存储位置。 | - |
| ContactSyncBlocked | 写入 | 布尔值 | 指示联系人是否可以同步到用户的设备。 | - |
| PeriodBeforePinReset | 写入 | String | TimePeriod,如果 PinRequired 设置为 True,必须在此之前重置所有级别的 PIN。 | - |
| PrintBlocked | 写入 | 布尔值 | 指示是否允许从托管应用进行打印。 | - |
| 指纹块 | 写入 | 布尔值 | 指示如果 PinRequired 设置为 True,是否允许使用指纹读取器代替 PIN。 | - |
| FaceIdBlocked | 写入 | 布尔值 | 指示如果 PinRequired 设置为 True,是否允许使用 FaceID 代替 PIN。 | - |
| ManagedBrowser | 写入 | String | 指示应在哪个托管浏览器 () 打开 Internet 链接。 配置此属性后,ManagedBrowserToOpenLinksRequired 应为 true。 可能的值为:notConfigured、microsoftEdge。 |
notConfigured, microsoftEdge |
| MinimumRequiredAppVersion | 写入 | String | 低于指定版本的版本将阻止托管应用访问公司数据。 | - |
| MinimumWarningAppVersion | 写入 | String | 低于指定版本的版本将导致托管应用访问公司数据时出现警告消息。 | - |
| MinimumRequiredOSVersion | 写入 | String | 低于指定版本的版本将阻止托管应用访问公司数据。 | - |
| MinimumWarningOSVersion | 写入 | String | 低于指定版本的版本将导致托管应用访问公司数据时出现警告消息。 | - |
| MinimumRequiredSdkVersion | 写入 | String | 低于指定版本的版本将阻止托管应用访问公司数据。 | - |
| MinimumWipeOSVersion | 写入 | String | 小于或等于指定版本的版本将擦除托管应用和关联的公司数据。 | - |
| MinimumWipeAppVersion | 写入 | String | 小于或等于指定版本的版本将擦除托管应用和关联的公司数据。 | - |
| AppActionIfDeviceComplianceRequired | 写入 | String | 如果 DeviceComplianceRequired 设置为 true,则定义当设备已获取 root 权限或越狱时,阻止或擦除托管应用的行为。 |
block, wipe, warn |
| AppActionIfMaximumPinRetriesExceeded | 写入 | String | 根据错误引脚重试的最大次数定义托管应用行为(阻止或擦除)。 |
block, wipe, warn |
| PinRequiredInsteadOfBiometricTimeout | 写入 | String | 应用 PIN 而不是非生物识别密码 的超时(以分钟为单位)。 | - |
| AllowedOutboundClipboardSharingExceptionLength | 写入 | UInt32 | 指定可从组织数据和帐户剪切或复制到任何应用程序的字符数。 此设置覆盖 AllowedOutboundClipboardSharingLevel 限制。 默认值“0”表示不允许出现异常。 | - |
| NotificationRestriction | 写入 | String | 指定应用通知限制。 |
allow, blockOrganizationalData, block |
| TargetedAppManagementLevels | 写入 | String | 此策略的预期应用管理级别。 |
unspecified, unmanaged, mdm, androidEnterprise |
| AppDataEncryptionType | 写入 | String | 要求对应用数据进行加密。 |
useDeviceSettings, afterDeviceRestart, whenDeviceLockedExceptOpenFiles, whenDeviceLocked |
| ExemptedAppProtocols | 写入 | StringArray[] | 此列表中的应用将不受策略限制,并且能够接收来自托管应用的数据。 | - |
| MinimumWipeSdkVersion | 写入 | String | 低于指定版本的版本将阻止托管应用访问公司数据。 | - |
| AllowedIosDeviceModels | 写入 | StringArray[] | 允许以字符串形式为托管应用工作的设备模型的分号分隔列表。 | - |
| AppActionIfIosDeviceModelNotAllowed | 写入 | String | 定义托管应用行为(如果不允许使用指定的设备模型),可以阻止或擦除。 |
block, wipe, warn |
| FilterOpenInToOnlyManagedApps | 写入 | 布尔值 | 定义是否支持从托管应用到所选文件共享位置的打开操作。 仅当 AllowedOutboundDataTransferDestinations 设置为 ManagedApps 且 DisableProtectionOfManagedOutboundOpenInData 设置为 False 时,此设置才适用。 | - |
| DisableProtectionOfManagedOutboundOpenInData | 写入 | 布尔值 | 禁用通过 IOS OpenIn 选项保护传输到其他应用的数据。 仅当 AllowedOutboundDataTransferDestinations 设置为 ManagedApps 时,才允许此设置为 True。 | - |
| ProtectInboundDataFromUnknownSources | 写入 | 布尔值 | 保护来自未知源的传入数据。 仅当 AllowedInboundDataTransferSources 设置为 AllApps 时,才允许此设置为 True。 | - |
| CustomBrowserProtocol | 写入 | String | 用于在 iOS 上打开 Weblink 的自定义浏览器协议。 | - |
| 应用 | 写入 | StringArray[] | 表示受此保护策略控制的 iOS 应用的 ID 列表。 | - |
| 作业 | 写入 | StringArray[] | 分配给此 iOS 保护策略的组的 ID 列表。 | - |
| ExcludedGroups | 写入 | StringArray[] | 从此 iOS 保护策略中排除的组的 ID 列表。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementApps.Read.All |
| 更新 | Group.Read.All、DeviceManagementApps.ReadWrite.All |
attackSurfaceReductionRulesPolicyWindows10ConfigManager 资源类型
说明
此资源为用于Configuration Manager的 Windows 10 设备配置Intune Endpoint Protection 攻击面减少规则策略。 此策略设置允许为每个 ASR) 规则 (攻击面减少设置状态 (阻止/审核/关闭/警告) 。 列出的每个 ASR 规则可以设置为以下状态之一, (阻止/审核/关闭/警告) 。 ASR 规则 ID 和状态应添加到此设置的“选项”下。 每个条目都必须作为名称值对列出。 名称定义有效的 ASR 规则 ID,而 值包含指示规则状态的状态 ID。
有关 ASR 规则 ID 和状态 ID 的详细信息,请参阅 启用攻击面减少。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 标识 | 写入 | String | Windows 10的终结点防护攻击面保护规则策略的标识。 | - |
| DisplayName | 键 | String | Windows 10的终结点防护攻击面保护规则策略的显示名称。 | - |
| 说明 | 写入 | String | Windows 10的终结点防护攻击面保护规则策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Windows 10的终结点防护攻击面保护规则策略的分配。 | - |
| AttackSurfaceReductionOnlyExclusions | 写入 | StringArray[] | 从攻击面减少规则中排除文件和路径 | - |
| BlockAbuseOfExploitedVulnerableSignedDrivers | 写入 | String | 此规则可防止应用程序将易受攻击的已签名驱动程序写入磁盘。 |
off, block, audit, warn |
| BlockAdobeReaderFromCreatingChildProcesses | 写入 | String | 此规则通过阻止 Adobe Reader 创建进程来防止攻击。 |
off, block, audit, warn |
| BlockAllOfficeApplicationsFromCreatingChildProcesses | 写入 | String | 此规则阻止 Office 应用创建子进程。 Office 应用包括 Word、Excel、PowerPoint、OneNote 和 Access。 |
off, block, audit, warn |
| BlockCredentialStealingFromWindowsLocalSecurityAuthoritySubsystem | 写入 | String | 此规则通过锁定本地安全机构子系统服务 (LSASS) 来帮助防止凭据窃取。 |
off, block, audit, warn |
| BlockExecutableContentFromEmailClientAndWebmail | 写入 | String | 此规则阻止以下文件类型从 Microsoft Outlook 应用程序中打开的电子邮件启动,或者从 Outlook.com 和其他常用 Web 邮件提供程序启动。 |
off, block, audit, warn |
| BlockExecutableFilesRunningUnlessTheyMeetPrevalenceAgeTrustedListCriterion | 写入 | String | 此规则阻止不满足流行率、年龄或受信任列表条件的可执行文件(如 .exe、.dll 或 .scr)启动。 |
off, block, audit, warn |
| BlockExecutionOfPotentiallyObfuscatedScripts | 写入 | String | 此规则检测模糊脚本中的可疑属性。 |
off, block, audit, warn |
| BlockJavaScriptOrVBScriptFromLaunchingDownloadedExecutableContent | 写入 | String | 此规则可防止脚本启动潜在的恶意下载内容。 |
off, block, audit, warn |
| BlockOfficeApplicationsFromCreatingExecutableContent | 写入 | String | 此规则阻止将恶意代码写入磁盘,防止 Office 应用(包括 Word、Excel 和 PowerPoint)创建潜在的恶意可执行内容。 |
off, block, audit, warn |
| BlockOfficeApplicationsFromInjectingCodeIntoOtherProcesses | 写入 | String | 此规则阻止从 Office 应用向其他进程注入代码的尝试。 |
off, block, audit, warn |
| BlockOfficeCommunicationAppFromCreatingChildProcesses | 写入 | String | 此规则阻止 Outlook 创建子进程,同时仍允许合法的 Outlook 函数。 |
off, block, audit, warn |
| BlockPersistenceThroughWMIEventSubscription | 写入 | String | 此规则可防止恶意软件滥用 WMI 来达到设备上的持久性。 |
off, block, audit, warn |
| BlockProcessCreationsFromPSExecAndWMICommands | 写入 | String | 此规则阻止通过 PsExec 和 WMI 创建的进程运行。 |
off, block, audit, warn |
| BlockUntrustedUnsignedProcessesThatRunFromUSB | 写入 | String | 使用此规则,管理员可以阻止未签名或不受信任的可执行文件从 USB 可移动驱动器(包括 SD 卡)运行。 |
off, block, audit, warn |
| BlockWin32APICallsFromOfficeMacros | 写入 | String | 此规则阻止 VBA 宏调用 Win32 API。 |
off, block, audit, warn |
| UseAdvancedProtectionAgainstRansomware | 写入 | String | 此规则提供针对勒索软件的额外保护层。 |
off, block, audit, warn |
| ControlledFolderAccessProtectedFolders | 写入 | StringArray[] | 需要保护的其他文件夹列表 | - |
| ControlledFolderAccessAllowedApplications | 写入 | StringArray[] | 有权访问受保护文件夹的应用列表。 | - |
| EnableControlledFolderAccess | 写入 | String | 此规则启用受控文件夹访问,通过检查应用是否存在已知受信任应用的列表来保护数据。values 0:disable,1:enable,2:audit,3:仅阻止磁盘修改,4:仅审核磁盘修改 |
0, 1, 2, 3, 4 |
| 确保 | 写入 | String | Present 可确保策略存在,而不存在确保策略已删除 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceAndAppManagementAssignmentFilter 资源类型
说明
此资源表示Intune分配筛选器的属性。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | 工作分配筛选器的 DisplayName。 | - |
| 标识 | 写入 | String | 分配筛选器的键。 | - |
| 说明 | 写入 | String | 工作分配筛选器的说明。 | - |
| 平台 | 写入 | String | 分配筛选器将适用的设备的平台类型。 |
android, androidForWork, iOS, macOS, windowsPhone81, windows81AndLater, windows10AndLater, androidWorkProfile, unknown, androidAOSP, androidMobileApplicationManagement, iOSMobileApplicationManagement, unknownFutureValue |
| Rule | 写入 | String | 工作分配筛选器的规则定义。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,而不存在确保策略已删除 |
Present, Absent |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | DeviceManagementConfiguration.Read.All |
| 更新 | DeviceManagementConfiguration.ReadWrite.All |
deviceCategory 资源类型
说明
此资源配置Intune设备类别。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | 设备类别的显示名称。 | - |
| 说明 | 写入 | String | 设备类别的说明。 | - |
| 确保 | 写入 | String | Present 可确保类别存在,如果不存在,则确保将其删除。 |
Present, Absent |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | DeviceManagementManagedDevices.Read.All |
| 更新 | DeviceManagementManagedDevices.ReadWrite.All |
deviceCleanupRule 资源类型
说明
此资源配置Intune设备清理规则。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| IsSingleInstance | 键 | String | 只有有效值为“是”。 | Yes |
| 已启用 | 键 | 布尔值 | 指示是否启用清理规则。 | - |
| DeviceInactivityBeforeRetirementInDays | 写入 | UInt32 | 删除Intune设备的天数。 最小值:30,最大值:270。 | - |
| 确保 | 写入 | String | Present 可确保类别存在,如果不存在,则确保将其删除。 |
Present, Absent |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | DeviceManagementManagedDevices.Read.All |
| 更新 | DeviceManagementManagedDevices.ReadWrite.All |
deviceCompliancePolicyAndroid 资源类型
说明
此资源在基于云的组织中配置 Android 设备符合性策略的设置。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | Android 设备符合性策略的显示名称。 | - |
| 说明 | 写入 | String | Android 设备符合性策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| PasswordRequired | 写入 | 布尔值 | PasswordRequired 的 Android 设备符合性策略。 | - |
| PasswordMinimumLength | 写入 | UInt32 | PasswordMinimumLength 的 Android 设备符合性策略。 | - |
| PasswordRequiredType | 写入 | String | Android 设备符合性策略的 PasswordRequiredType。 |
deviceDefault, alphabetic, alphanumeric, alphanumericWithSymbols, lowSecurityBiometric, numeric, numericComplex, any |
| RequiredPasswordComplexity | 写入 | String | Android 设备符合性策略的 RequiredPasswordComplexity。 |
none, low, medium, high |
| PasswordMinutesOfInactivityBeforeLock | 写入 | UInt32 | Android 设备符合性策略的 PasswordMinutesOfInactivityBeforeLock。 | - |
| PasswordExpirationDays | 写入 | UInt32 | Android 设备符合性策略的 PasswordExpirationDays。 | - |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | Android 设备符合性策略的 PasswordPreviousPasswordBlockCount。 | - |
| PasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | Android 设备符合性策略的 PasswordSignInFailureCountBeforeFactoryReset。 | - |
| SecurityPreventInstallAppsFromUnknownSources | 写入 | 布尔值 | Android 设备符合性策略的 SecurityPreventInstallAppsFromUnknownSources。 | - |
| SecurityDisableUsbDebugging | 写入 | 布尔值 | SecurityDisableUsbDebugging 的 Android 设备符合性策略。 | - |
| SecurityRequireVerifyApps | 写入 | 布尔值 | Android 设备符合性策略的 SecurityRequireVerifyApps。 | - |
| DeviceThreatProtectionEnabled | 写入 | 布尔值 | Android 设备符合性策略的 DeviceThreatProtectionEnabled。 | - |
| DeviceThreatProtectionRequiredSecurityLevel | 写入 | String | Android 设备符合性策略的 DeviceThreatProtectionRequiredSecurityLevel。 |
unavailable, secured, low, medium, high, notSet |
| AdvancedThreatProtectionRequiredSecurityLevel | 写入 | String | Android 设备符合性策略的 AdvancedThreatProtectionRequiredSecurityLevel。 |
unavailable, secured, low, medium, high, notSet |
| SecurityBlockJailbrokenDevices | 写入 | 布尔值 | Android 设备符合性策略的 SecurityBlockJailbrokenDevices。 | - |
| SecurityBlockDeviceAdministratorManagedDevices | 写入 | 布尔值 | Android 设备符合性策略的 SecurityBlockDeviceAdministratorManagedDevices。 | - |
| OsMinimumVersion | 写入 | String | Android 设备符合性策略的 OsMinimumVersion。 | - |
| OsMaximumVersion | 写入 | String | Android 设备符合性策略的 OsMaximumVersion。 | - |
| MinAndroidSecurityPatchLevel | 写入 | String | Android 设备符合性策略的 MinAndroidSecurityPatchLevel。 | - |
| StorageRequireEncryption | 写入 | 布尔值 | Android 设备符合性策略的 StorageRequireEncryption。 | - |
| SecurityRequireSafetyNetAttestationBasicIntegrity | 写入 | 布尔值 | Android 设备符合性策略的 SecurityRequireSafetyNetAttestationBasicIntegrity。 | - |
| SecurityRequireSafetyNetAttestationCertifiedDevice | 写入 | 布尔值 | Android 设备符合性策略的 SecurityRequireSafetyNetAttestationCertifiedDevice。 | - |
| SecurityRequire谷歌PlayServices | 写入 | 布尔值 | Android 设备符合性策略的 SecurityRequire谷歌PlayServices。 | - |
| SecurityRequireUpToDateSecurityProviders | 写入 | 布尔值 | Android 设备符合性策略的 SecurityRequireUpToDateSecurityProviders。 | - |
| SecurityRequireCompanyPortalAppIntegrity | 写入 | 布尔值 | Android 设备符合性策略的 SecurityRequireCompanyPortalAppIntegrity。 | - |
| ConditionStatementId | 写入 | String | Android 设备符合性策略的 ConditionStatementId。 | - |
| RestrictedApps | 写入 | String | Android 设备符合性策略的RestrictedApps。 | - |
| RoleScopeTagIds | 写入 | String | Android 设备符合性策略的 RoleScopeTagIds。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
参数
Microsoft Defender for Endpoint
-
要求设备处于计算机风险分数或低于计算机风险分数为Microsoft Defender for Endpoint评估的设备选择允许的最大计算机风险分数。 超过此分数的设备将被标记为不符合。
- 未配置 (默认)
- Clear
- 低
- 中
- 高
设备运行状况
-
使用设备管理员管理的设备 设备管理员功能由 Android Enterprise 取代。
- 未配置 (默认)
- 阻止 - 阻止设备管理员将引导用户迁移到 Android Enterprise Personally-Owned,并 Corporate-Owned 工作配置文件管理重新获得访问权限。
取得 root 权限的设备
防止 root 设备具有公司访问权限。 (Android 4.0 及更高版本支持此合规性检查。)
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 将已越狱 () 设备标记为不符合。
要求设备处于或低于设备威胁级别 使用此设置可从连接的移动威胁防御服务进行风险评估,作为符合性的条件。
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 安全 - 此选项是最安全的,因为设备不能有任何威胁。 如果检测到设备存在任何级别的威胁,则会将其评估为不符合。
- 低 - 如果仅存在低级别威胁,则设备被评估为符合性。 低级以上的任意威胁都将使设备不合规。
- 中 - 如果设备上的现有威胁为低级或中等级别,则设备被评估为符合性。 如果检测到设备具有高级威胁,则确定设备不符合要求。
- 高 - 此选项最不安全,允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。
Google Play Protect
配置了 Google Play 服务 Google Play 服务允许安全更新,并且是经过认证的 Google 设备上的许多安全功能的基础级依赖项。
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 必需 - 要求安装并启用 Google Play 服务应用。
最新的安全提供程序
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 要求最新的安全提供程序可以保护设备免受已知漏洞的伤害。
对应用进行威胁扫描
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 必需 - 要求启用 Android 验证应用功能。
SafetyNet 设备证明 输入必须满足的 SafetyNet 证明级别。 选项包括:
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 检查基本完整性
- 检查基本完整性和认证设备
设备属性
操作系统版本
- 最低操作系统版本 如果设备不符合最低 OS 版本要求,则报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备,然后获取对公司资源的访问权限。
默认情况下,未配置任何版本。
- 最大操作系统版本 当设备使用的 OS 版本高于规则中指定的版本时,将阻止访问公司资源。 系统会要求用户与其 IT 管理员联系。在规则更改为允许 OS 版本之前,此设备无法访问公司资源。
默认情况下,未配置任何版本。
系统安全
加密 在 Android 4.0 及更高版本或 KNOX 4.0 及更高版本中支持的设备上加密数据存储。
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 加密设备上的数据存储。 选择“需要密码才能解锁移动设备”设置时,设备将加密。
设备安全性 阻止来自 Android 4.0 到 Android 7.x 支持的未知源的应用。 Android 8.0 及更高版本不支持
- 未配置 (默认) - 此设置不会评估符合性或不符合性。
- 阻止 - 阻止启用了安全 > 未知源的设备, (Android 4.0 到 Android 7.x 上支持源。Android 8.0 及更高版本不支持。) 。
若要旁加载应用,必须允许未知源。 如果未旁加载 Android 应用,请将此功能设置为“阻止”以启用此符合性策略。
公司门户应用运行时完整性
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 选择“需要”以确认公司门户应用满足以下所有要求:
- 已安装默认运行时环境
- 已正确签名
- 未处于调试模式
在 Android 4.2 或更高版本支持 (设备上阻止 USB 调试)
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 阻止设备使用 USB 调试功能。
Android 6.0 或更高版本支持 的最低安全修补程序级别 ()
选择设备可以具有的最旧安全修补程序级别。 至少不是此修补程序级别的设备不符合要求。 日期必须采用 YYYY-MM-DD 格式输入。
默认情况下,不配置日期。
受限应用 输入应限制的应用的应用名称和应用捆绑 ID,然后选择“添加”。 至少安装了一个受限应用的设备被标记为不合规。
Password
密码的可用设置因设备上的 Android 版本而异。
所有 Android 设备
Android 4.0 或更高版本以及 Knox 4.0 及更高版本支持以下设置。
-
需要密码之前处于非活动状态的最大分钟数 此设置指定在没有用户输入的情况下锁定移动设备屏幕的时间长度。 选项范围为 1 分钟到 8 小时。 建议的值为 15 分钟。
- 未配置 (默认)
Android 10 及更高版本
Android 10 或更高版本支持以下设置,但在 Knox 上不支持。
密码复杂性Android 10 或更高版本支持此设置,但在 Samsung Knox 上不受支持。在运行 Android 9 及更早版本或 Samsung Knox 的设备上,密码长度和类型的设置会替代此设置,以示复杂性。
指定所需的密码复杂性。
- 无 (默认) - 无需密码。
- 低 - 密码满足以下条件之一:
- 模式
- 数字 PIN 具有重复 (4444) 或排序 (1234、4321、2468) 序列。
- 中 - 密码满足以下条件之一:
- 数字 PIN 没有重复 (4444) 或排序 (1234、4321、2468) 序列,并且最小长度为 4。
- 字母顺序,最小长度为 4。
- 字母数字,最小长度为 4。
- 高 - 密码满足以下条件之一:
- 数字 PIN 没有重复 (4444) 或排序 (1234、4321、2468) 序列,最小长度为 8。
- 字母顺序,最小长度为 6。
- 字母数字,最小长度为 6。
Android 9 及更早版本或 Samsung Knox
Android 9.0 及更早版本以及任何版本的 Samsung Knox 支持以下设置。
-
需要密码才能解锁移动设备 此设置指定是否要求用户在访问其移动设备上的信息之前输入密码。 建议的值:需要
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 用户必须输入密码才能访问其设备。
设置为“需要”时,可以配置以下设置:
所需的密码类型 选择密码应仅包含数字字符,还是混合使用数字和其他字符。
- 设备默认值 - 若要评估密码符合性,请务必选择除设备默认值以外的密码强度。
- 低安全性生物识别
- 至少为数值
- 数值复数 - 不允许使用重复或连续数字,例如 1111 或 1234。
- 至少按字母顺序排列
- 至少字母数字
- 至少包含符号的字母数字
根据此设置的配置,可以使用以下一个或多个选项:
- 最小密码长度 输入用户密码必须具有的最小位数或字符数。
- 需要密码之前处于非活动状态的最大分钟数 输入用户必须重新输入其密码之前的空闲时间。 选择“未配置” (默认) 时,不会评估此设置的符合性或不符合性。
- 密码过期之前的天数 选择密码过期前的天数,用户必须创建新密码。
- 防止重用的先前密码数 输入不能重复使用的最近密码数。 使用此设置可限制用户创建以前使用的密码。
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | DeviceManagementConfiguration.ReadWrite.All |
deviceCompliancePolicyAndroidDeviceOwner 资源类型
说明
此资源在基于云的组织中配置 Android 工作配置文件设备符合性策略的设置。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | Android 设备所有者设备符合性策略的显示名称。 | - |
| 说明 | 写入 | String | Android 设备所有者设备符合性策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| DeviceThreatProtectionEnabled | 写入 | 布尔值 | Android 设备所有者设备符合性策略的 DeviceThreatProtectionEnabled。 | - |
| DeviceThreatProtectionRequiredSecurityLevel | 写入 | String | Android 设备所有者设备符合性策略的 DeviceThreatProtectionRequiredSecurityLevel。 | - |
| AdvancedThreatProtectionRequiredSecurityLevel | 写入 | String | Android 设备所有者设备符合性策略的 AdvancedThreatProtectionRequiredSecurityLevel。 | - |
| SecurityRequireSafetyNetAttestationBasicIntegrity | 写入 | 布尔值 | Android 设备所有者设备符合性策略的 SecurityRequireSafetyNetAttestationBasicIntegrity。 | - |
| SecurityRequireSafetyNetAttestationCertifiedDevice | 写入 | 布尔值 | Android 设备所有者设备符合性策略的 SecurityRequireSafetyNetAttestationCertifiedDevice。 | - |
| osMinimumVersion | 写入 | String | Android 设备所有者设备符合性策略的 osMinimumVersion。 | - |
| osMaximumVersion | 写入 | String | Android 设备所有者设备符合性策略的 osMaximumVersion。 | - |
| passwordRequired | 写入 | 布尔值 | PasswordRequired 的 Android 设备所有者设备符合性策略。 | - |
| passwordMinimumLength | 写入 | UInt32 | PasswordMinimumLength 的 Android 设备所有者设备符合性策略。 | - |
| PasswordRequiredType | 写入 | String | Android 设备所有者设备符合性策略的 PasswordRequiredType。 |
deviceDefault, alphabetic, alphanumeric, alphanumericWithSymbols, lowSecurityBiometric, numeric, numericComplex, any |
| PasswordMinutesOfInactivityBeforeLock | 写入 | UInt32 | Android 设备所有者设备符合性策略的 PasswordMinutesOfInactivityBeforeLock。 | - |
| PasswordExpirationDays | 写入 | UInt32 | Android 设备所有者设备符合性策略的 PasswordExpirationDays。 | - |
| PasswordPreviousPasswordCountToBlock | 写入 | UInt32 | Android 设备所有者设备符合性策略的 PasswordPreviousPasswordCountToBlock。 | - |
| StorageRequireEncryption | 写入 | 布尔值 | Android 设备所有者设备符合性策略的 StorageRequireEncryption。 | - |
| SecurityRequireIntuneAppIntegrity | 写入 | 布尔值 | Android 设备所有者设备符合性策略的 SecurityRequireIntuneAppIntegrity。 | - |
| RoleScopeTagIds | 写入 | StringArray[] | 此实体实例的范围标记列表。 继承自 deviceConfiguration | - |
| 确保 | 写入 | String | Present 可确保策略存在,而不存在确保策略已删除 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
参数
Microsoft Defender for Endpoint - 适用于 Personally-Owned 工作配置文件
-
要求设备处于计算机风险分数或低于计算机风险分数为Microsoft Defender for Endpoint评估的设备选择允许的最大计算机风险分数。 超过此分数的设备将被标记为不符合。
- 未配置 (默认)
- Clear
- 低
- 中
- 高
设备运行状况 - 适用于 Personally-Owned 工作配置文件
取得 root 权限的设备
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 将已越狱 () 设备标记为不符合。
要求设备处于或低于设备威胁级别 选择移动威胁防御服务评估的最大允许设备威胁级别。 超过此威胁级别的设备被标记为不符合。 若要使用此设置,请选择允许的威胁级别:
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 安全 - 此选项是最安全的,意味着设备不能有任何威胁。 如果检测到设备存在任何级别的威胁,则会将其评估为不符合。
- 低 - 如果仅存在低级别威胁,则设备被评估为符合性。 低级以上的任意威胁都将使设备不合规。
- 中 - 如果设备上存在的威胁级别为低级或中等级别,则设备被评估为符合性。 如果检测到设备具有高级威胁,则确定设备不符合要求。
- 高 - 此选项是最不安全的,因为它允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。
Google Play 保护 - 适用于 Personally-Owned 工作配置文件
配置 Google Play Services
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 必需 - 要求安装并启用 Google Play 服务应用。 Google Play 服务允许安全更新,并且是经过认证的 Google 设备上的许多安全功能的基础级依赖项。
最新的安全提供程序
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 要求最新的安全提供程序可以保护设备免受已知漏洞的伤害。
SafetyNet 设备证明 输入必须满足的 SafetyNet 证明级别。 选项包括:
- 未配置 (默认) - 不会评估设置是否符合性或不符合性。
- 检查基本完整性
- 检查基本完整性和认证设备
注意:
- 在 Android Enterprise 设备上,应用威胁扫描是设备配置策略。 使用配置策略,管理员可以在设备上启用设置。 请参阅 Android Enterprise 设备限制设置。
设备属性 - 适用于 Personally-Owned 工作配置文件
操作系统版本 - 适用于 Personally-Owned 工作配置文件
- 最低操作系统版本 当设备不符合最低 OS 版本要求时,它被报告为不符合。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以升级其设备,然后访问组织资源。
默认情况下,未配置任何版本。
最高操作系统版本 当设备使用的 OS 版本高于规则中的版本时,将阻止对组织资源的访问。 系统会要求用户与其 IT 管理员联系。 在将规则更改为允许 OS 版本之前,此设备无法访问组织资源。
默认情况下,未配置任何版本。
系统安全性 - 个人 拥有的工作配置文件
需要密码才可解锁移动设备
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 用户必须输入密码才能访问其设备。
此设置在设备级别应用。 如果只需要 Personally-Owned 工作配置文件级别的密码,请使用配置策略。 请参阅 Android Enterprise 设备配置设置。
所需的密码类型 选择密码应仅包含数字字符,还是混合使用数字和其他字符。 选项包括:
- 设备默认值
- 低安全性生物识别
- 至少使用数字 (默认) :输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 数值复数:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 至少按字母顺序:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 至少字母数字:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 至少包含符号的字母数字:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
根据所选的密码类型,可以使用以下设置:
- 需要密码之前处于非活动状态的最大分钟数 输入用户必须重新输入其密码之前的空闲时间。 选项包括默认值“未配置”和“1 分钟到 8 小时”。
- 密码过期之前的天数 输入必须更改设备密码之前的天数(介于 1 到 365 之间)。 例如,若要在 60 天后更改密码,请输入 60。 密码过期时,系统会提示用户创建新密码。
- 最小密码长度 输入密码必须具有的最小长度,介于 4 到 16 个字符之间。
- 防止重用的先前密码数 输入不能重复使用的最近密码数。 使用此设置可限制用户创建以前使用的密码。
加密 - 用于 Personally-Owned 工作配置文件
对设备上的数据存储进行加密
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 加密设备上的数据存储。
无需配置此设置,因为 Android Enterprise 设备强制实施加密。
设备安全性 - 适用于 Personally-Owned 工作配置文件
阻止来自未知源的应用
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 阻止启用了安全 > 未知源的设备, (Android 4.0 到 Android 7.x 上支持源。Android 8.0 及更高版本) 不支持。
若要旁加载应用,必须允许未知源。 如果未旁加载 Android 应用,请将此功能设置为“阻止”以启用此符合性策略。
公司门户应用运行时完整性
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 选择“需要”以确认公司门户应用满足以下所有要求:
- 已安装默认运行时环境
- 已正确签名
- 未处于调试模式
- 从已知源安装
在设备上阻止进行 USB 调试
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 阻止设备使用 USB 调试功能。
无需配置此设置,因为 USB 调试已在 Android Enterprise 设备上禁用。
- 最低安全修补程序级别 选择设备可以具有的最旧安全修补程序级别。 至少不是此修补程序级别的设备不符合要求。 日期必须采用 YYYY-MM-DD 格式输入。
默认情况下,不配置日期。
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceCompliancePolicyAndroidWorkProfile 资源类型
说明
此资源在基于云的组织中配置 Android 工作配置文件设备符合性策略的设置。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | AndroidWorkProfile 设备符合性策略的显示名称。 | - |
| 说明 | 写入 | String | AndroidWorkProfile 设备符合性策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| PasswordRequired | 写入 | 布尔值 | PasswordRequired 的 AndroidWorkProfile 设备符合性策略。 | - |
| PasswordMinimumLength | 写入 | UInt32 | AndroidWorkProfile 设备符合性策略的 PasswordMinimumLength。 | - |
| PasswordRequiredType | 写入 | String | AndroidWorkProfile 设备符合性策略的 PasswordRequiredType。 |
deviceDefault, alphabetic, alphanumeric, alphanumericWithSymbols, lowSecurityBiometric, numeric, numericComplex, any |
| PasswordMinutesOfInactivityBeforeLock | 写入 | UInt32 | AndroidWorkProfile 设备符合性策略的 PasswordMinutesOfInactivityBeforeLock。 | - |
| PasswordExpirationDays | 写入 | UInt32 | AndroidWorkProfile 设备符合性策略的 PasswordExpirationDays。 | - |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | AndroidWorkProfile 设备符合性策略的 PasswordPreviousPasswordBlockCount。 | - |
| PasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | AndroidWorkProfile 设备符合性策略的 PasswordSignInFailureCountBeforeFactoryReset。 | - |
| SecurityPreventInstallAppsFromUnknownSources | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityPreventInstallAppsFromUnknownSources。 | - |
| SecurityDisableUsbDebugging | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityDisableUsbDebugging。 | - |
| SecurityRequireVerifyApps | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityRequireVerifyApps。 | - |
| DeviceThreatProtectionEnabled | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 DeviceThreatProtectionEnabled。 | - |
| DeviceThreatProtectionRequiredSecurityLevel | 写入 | String | AndroidWorkProfile 设备符合性策略的 DeviceThreatProtectionRequiredSecurityLevel。 |
unavailable, secured, low, medium, high, notSet |
| AdvancedThreatProtectionRequiredSecurityLevel | 写入 | String | AndroidWorkProfile 设备符合性策略的 AdvancedThreatProtectionRequiredSecurityLevel。 |
unavailable, secured, low, medium, high, notSet |
| SecurityBlockJailbrokenDevices | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityBlockJailbrokenDevices。 | - |
| OsMinimumVersion | 写入 | String | AndroidWorkProfile 设备符合性策略的 OsMinimumVersion。 | - |
| OsMaximumVersion | 写入 | String | AndroidWorkProfile 设备符合性策略的 OsMaximumVersion。 | - |
| MinAndroidSecurityPatchLevel | 写入 | String | AndroidWorkProfile 设备符合性策略的 MinAndroidSecurityPatchLevel。 | - |
| StorageRequireEncryption | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 StorageRequireEncryption。 | - |
| SecurityRequireSafetyNetAttestationBasicIntegrity | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityRequireSafetyNetAttestationBasicIntegrity。 | - |
| SecurityRequireSafetyNetAttestationCertifiedDevice | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityRequireSafetyNetAttestationCertifiedDevice。 | - |
| SecurityRequire谷歌PlayServices | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityRequire谷歌PlayServices。 | - |
| SecurityRequireUpToDateSecurityProviders | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityRequireUpToDateSecurityProviders。 | - |
| SecurityRequireCompanyPortalAppIntegrity | 写入 | 布尔值 | AndroidWorkProfile 设备符合性策略的 SecurityRequireCompanyPortalAppIntegrity。 | - |
| SecurityRequiredAndroidSafetyNetEvaluationType | 写入 | String | 需要特定的 SafetyNet 评估类型以符合性。 |
basic, hardwareBacked |
| RoleScopeTagIds | 写入 | String | AndroidWorkProfile 设备符合性策略的 RoleScopeTagIds。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
参数
Microsoft Defender for Endpoint - 适用于 Personally-Owned 工作配置文件
-
要求设备处于计算机风险分数或低于计算机风险分数为Microsoft Defender for Endpoint评估的设备选择允许的最大计算机风险分数。 超过此分数的设备将被标记为不符合。
- 未配置 (默认)
- Clear
- 低
- 中
- 高
设备运行状况 - 适用于 Personally-Owned 工作配置文件
取得 root 权限的设备
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 将已越狱 () 设备标记为不符合。
要求设备处于或低于设备威胁级别 选择移动威胁防御服务评估的最大允许设备威胁级别。 超过此威胁级别的设备被标记为不符合。 若要使用此设置,请选择允许的威胁级别:
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 安全 - 此选项是最安全的,意味着设备不能有任何威胁。 如果检测到设备存在任何级别的威胁,则会将其评估为不符合。
- 低 - 如果仅存在低级别威胁,则设备被评估为符合性。 低级以上的任意威胁都将使设备不合规。
- 中 - 如果设备上存在的威胁级别为低级或中等级别,则设备被评估为符合性。 如果检测到设备具有高级威胁,则确定设备不符合要求。
- 高 - 此选项是最不安全的,因为它允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。
Google Play 保护 - 适用于 Personally-Owned 工作配置文件
配置 Google Play Services
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 必需 - 要求安装并启用 Google Play 服务应用。 Google Play 服务允许安全更新,并且是经过认证的 Google 设备上的许多安全功能的基础级依赖项。
最新的安全提供程序
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 要求最新的安全提供程序可以保护设备免受已知漏洞的伤害。
SafetyNet 设备证明 输入必须满足的 SafetyNet 证明级别。 选项包括:
- 未配置 (默认) - 不会评估设置是否符合性或不符合性。
- 检查基本完整性
- 检查基本完整性和认证设备
注意:
- 在 Android Enterprise 设备上,应用威胁扫描是设备配置策略。 使用配置策略,管理员可以在设备上启用设置。 请参阅 Android Enterprise 设备限制设置。
设备属性 - 适用于 Personally-Owned 工作配置文件
操作系统版本 - 适用于 Personally-Owned 工作配置文件
- 最低操作系统版本 当设备不符合最低 OS 版本要求时,它被报告为不符合。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以升级其设备,然后访问组织资源。
默认情况下,未配置任何版本。
最高操作系统版本 当设备使用的 OS 版本高于规则中的版本时,将阻止对组织资源的访问。 系统会要求用户与其 IT 管理员联系。 在将规则更改为允许 OS 版本之前,此设备无法访问组织资源。
默认情况下,未配置任何版本。
系统安全性 - 个人 拥有的工作配置文件
需要密码才可解锁移动设备
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 用户必须输入密码才能访问其设备。
此设置在设备级别应用。 如果只需要 Personally-Owned 工作配置文件级别的密码,请使用配置策略。 请参阅 Android Enterprise 设备配置设置。
所需的密码类型 选择密码应仅包含数字字符,还是混合使用数字和其他字符。 选项包括:
- 设备默认值
- 低安全性生物识别
- 至少使用数字 (默认) :输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 数值复数:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 至少按字母顺序:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 至少字母数字:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
- 至少包含符号的字母数字:输入用户必须输入的最小密码长度,介于 4 到 16 个字符之间。
根据所选的密码类型,可以使用以下设置:
- 需要密码之前处于非活动状态的最大分钟数 输入用户必须重新输入其密码之前的空闲时间。 选项包括默认值“未配置”和“1 分钟到 8 小时”。
- 密码过期之前的天数 输入必须更改设备密码之前的天数(介于 1 到 365 之间)。 例如,若要在 60 天后更改密码,请输入 60。 密码过期时,系统会提示用户创建新密码。
- 最小密码长度 输入密码必须具有的最小长度,介于 4 到 16 个字符之间。
- 防止重用的先前密码数 输入不能重复使用的最近密码数。 使用此设置可限制用户创建以前使用的密码。
加密 - 用于 Personally-Owned 工作配置文件
对设备上的数据存储进行加密
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 加密设备上的数据存储。
无需配置此设置,因为 Android Enterprise 设备强制实施加密。
设备安全性 - 适用于 Personally-Owned 工作配置文件
阻止来自未知源的应用
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 阻止启用了安全 > 未知源的设备, (Android 4.0 到 Android 7.x 上支持源。Android 8.0 及更高版本) 不支持。
若要旁加载应用,必须允许未知源。 如果未旁加载 Android 应用,请将此功能设置为“阻止”以启用此符合性策略。
公司门户应用运行时完整性
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 选择“需要”以确认公司门户应用满足以下所有要求:
- 已安装默认运行时环境
- 已正确签名
- 未处于调试模式
- 从已知源安装
在设备上阻止进行 USB 调试
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 阻止 - 阻止设备使用 USB 调试功能。
无需配置此设置,因为 USB 调试已在 Android Enterprise 设备上禁用。
- 最低安全修补程序级别 选择设备可以具有的最旧安全修补程序级别。 至少不是此修补程序级别的设备不符合要求。 日期必须采用 YYYY-MM-DD 格式输入。
默认情况下,不配置日期。
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceCompliancePolicyiOS 资源类型
说明
此资源配置 iOs 设备的Intune符合性策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | iOS 设备符合性策略的显示名称。 | - |
| 说明 | 写入 | String | iOS 设备符合性策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| 密码块Simple | 写入 | 布尔值 | iOS 设备符合性策略的 PasscodeBlockSimple。 | - |
| 密码ExpirationDays | 写入 | UInt32 | iOS 设备符合性策略的 PasscodeExpirationDays。 | - |
| PasscodeMinimumLength | 写入 | UInt32 | iOS 设备符合性策略的 PasscodeMinimumLength。 | - |
| PasscodeMinutesOfInactivityBeforeLock | 写入 | UInt32 | iOS 设备符合性策略的 PasscodeMinutesOfInactivityBeforeLock。 | - |
| PasscodeMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 屏幕超时之前的不活动分钟数。 | - |
| PasswordPreviousPasscodeBlockCount | 写入 | UInt32 | iOS 设备符合性策略的 PasswordPreviousPasscodeBlockCount。 | - |
| PasscodeMinimumCharacterSetCount | 写入 | UInt32 | iOS 设备符合性策略的 PasscodeMinimumCharacterSetCount。 | - |
| PasscodeRequiredType | 写入 | String | iOS 设备符合性策略的 PasscodeRequiredType。 |
deviceDefault, alphanumeric, numeric |
| 密码获取 | 写入 | 布尔值 | 密码获取 iOS 设备符合性策略。 | - |
| OsMinimumVersion | 写入 | String | iOS 设备符合性策略的 OsMinimumVersion。 | - |
| OsMaximumVersion | 写入 | String | iOS 设备符合性策略的 OsMaximumVersion。 | - |
| OsMinimumBuildVersion | 写入 | String | 最低 IOS 内部版本。 | - |
| OsMaximumBuildVersion | 写入 | String | 最大 IOS 内部版本。 | - |
| SecurityBlockJailbrokenDevices | 写入 | 布尔值 | SecurityBlockJailbrokenDevices iOS 设备符合性策略。 | - |
| DeviceThreatProtectionEnabled | 写入 | 布尔值 | iOS 设备符合性策略的 DeviceThreatProtectionEnabled。 | - |
| DeviceThreatProtectionRequiredSecurityLevel | 写入 | String | 要求移动威胁防护最低风险级别来报告不符合情况。 |
unavailable, secured, low, medium, high, notSet |
| AdvancedThreatProtectionRequiredSecurityLevel | 写入 | String | MDATP 需要移动威胁防护最低风险级别才能报告不符合要求。 |
unavailable, secured, low, medium, high, notSet |
| ManagedEmailProfileRequired | 写入 | 布尔值 | ManagedEmailProfileRequired 的 iOS 设备符合性策略。 | - |
| RestrictedApps | 写入 | MSFT_appListItem[] | Intune 管理员的凭据 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_appListItem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| name | 写入 | String | 应用程序名称。 | - |
| 发布者 | 写入 | String | 应用程序的发布者。 | - |
| appStoreUrl | 写入 | String | 应用程序的应用商店 URL。 | - |
| appId | 写入 | String | 应用程序的应用程序或捆绑标识符。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceCompliancePolicymacOS 资源类型
说明
此资源在基于云的组织中配置 MacOS 合规性策略的设置。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | MacOS 设备符合性策略的显示名称。 | - |
| 说明 | 写入 | String | MacOS 设备符合性策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| PasswordRequired | 写入 | 布尔值 | PasswordRequired 的 MacOS 设备符合性策略。 | - |
| PasswordBlockSimple | 写入 | 布尔值 | MacOS 设备符合性策略的 PasswordBlockSimple。 | - |
| PasswordExpirationDays | 写入 | UInt32 | MacOS 设备符合性策略的 PasswordExpirationDays。 | - |
| PasswordMinimumLength | 写入 | UInt32 | PasswordMinimumLength 的 MacOS 设备符合性策略。 | - |
| PasswordMinutesOfInactivityBeforeLock | 写入 | UInt32 | MacOS 设备符合性策略的 PasswordMinutesOfInactivityBeforeLock。 | - |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | MacOS 设备符合性策略的 PasswordPreviousPasswordBlockCount。 | - |
| PasswordMinimumCharacterSetCount | 写入 | UInt32 | MacOS 设备符合性策略的 PasswordMinimumCharacterSetCount。 | - |
| PasswordRequiredType | 写入 | String | MacOS 设备符合性策略的 PasswordRequiredType。 |
DeviceDefault, Alphanumeric, Numeric |
| OsMinimumVersion | 写入 | String | MacOS 设备符合性策略的 OsMinimumVersion。 | - |
| OsMaximumVersion | 写入 | String | MacOS 设备符合性策略的 OsMaximumVersion。 | - |
| OsMinimumBuildVersion | 写入 | String | 最低 MacOS 内部版本。 | - |
| OsMaximumBuildVersion | 写入 | String | 最大 MacOS 内部版本。 | - |
| SystemIntegrityProtectionEnabled | 写入 | 布尔值 | MacOS 设备符合性策略的 SystemIntegrityProtectionEnabled。 | - |
| DeviceThreatProtectionEnabled | 写入 | 布尔值 | MacOS 设备符合性策略的 DeviceThreatProtectionEnabled。 | - |
| DeviceThreatProtectionRequiredSecurityLevel | 写入 | String | MacOS 设备符合性策略的 DeviceThreatProtectionRequiredSecurityLevel。 |
Unavailable, Secured, Low, Medium, High, NotSet |
| AdvancedThreatProtectionRequiredSecurityLevel | 写入 | String | MacOS 设备符合性策略的 AdvancedThreatProtectionRequiredSecurityLevel。 |
Unavailable, Secured, Low, Medium, High, NotSet |
| StorageRequireEncryption | 写入 | 布尔值 | MacOS 设备符合性策略的 StorageRequireEncryption。 | - |
| GatekeeperAllowedAppSource | 写入 | String | 确定应用可在 macOS 设备上从哪些下载位置运行的系统和隐私设置。 |
notConfigured, macAppStore, macAppStoreAndIdentifiedDevelopers, anywhere |
| FirewallEnabled | 写入 | 布尔值 | FirewallEnabled 的 MacOS 设备符合性策略。 | - |
| FirewallBlockAllIncoming | 写入 | 布尔值 | FirewallBlockAll 传入 MacOS 设备符合性策略。 | - |
| FirewallEnableStealthMode | 写入 | 布尔值 | MacOS 设备符合性策略的 FirewallEnableStealthMode。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
参数
设备运行状况
-
需要系统完整性保护
- 未 配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 要求 macOS 设备启用系统完整性保护。
设备属性
所需的最低操作系统 如果设备不符合最低 OS 版本要求,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 设备用户可以选择升级其设备。 之后,他们可以访问组织资源。
允许的最大 OS 版本 当设备使用的 OS 版本高于规则中的版本时,将阻止对组织资源的访问。 要求设备用户与其 IT 管理员联系。 在规则更改以允许 OS 版本之前,设备无法访问组织资源。
最低操作系统内部版本 当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能在设备上输入允许的最小内部版本号。
最大 OS 内部版本 当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能输入设备上允许的最大内部版本号。
系统安全设置
Password
需要密码才可解锁移动设备
- 未 配置 (默认)
- 要求用户必须先输入密码才能访问其设备。
简单密码
- 未 配置 (默认) - 用户可以创建密码,例如 1234 或 1111。
- 阻止 - 用户无法创建简单密码,例如 1234 或 1111。
最短密码长度
- 输入密码必须具有的最小位数或字符数。
密码类型
- 选择密码是否应仅包含数字字符,或者是否应混合使用数字和其他字符 (字母数字) 。
密码中的非字母数字字符数
- 输入密码中必须包含的最小特殊字符数,例如 &、#、%!等。
设置更高的数字需要用户创建更复杂的密码。
最长经过多少分钟的非活动状态后需要提供密码
- 输入用户必须重新输入其密码之前的空闲时间。
密码过期(天数)
- 选择密码过期前的天数,并且必须创建一个新密码。
阻止重用的曾用密码数
- 输入以前使用过的不能使用的密码数。
加密
-
对设备上的数据存储进行加密
- 未配置 (默认)
- 需要 - 使用 “需要” 加密设备上的数据存储。
设备安全性
防火墙可保护设备免受未经授权的网络访问。 可以使用防火墙控制每个应用程序的连接。
防火墙
- 未 配置 (默认) - 此设置使防火墙处于关闭状态,并且允许网络流量 (不阻止) 。
- 启用 - 使用“启用”来帮助保护设备免受未经授权的访问。 启用此功能可以处理传入的 Internet 连接并使用隐藏模式。
传入连接
- 未 配置 (默认) - 允许传入连接和共享服务。
- 阻止 - 阻止除基本 Internet 服务(如 DHCP、Bonjour 和 IPSec)所需的连接之外的所有传入网络连接。 此设置还会阻止所有共享服务,包括屏幕共享、远程访问、iTunes 音乐共享等。
隐藏模式
- 未 配置 (默认) - 此设置使隐藏模式处于关闭状态。
- 启用 - 启用隐藏模式,以防止设备响应探测请求,而探测请求可能会成为我的恶意用户。 启用后,设备将继续响应授权应用的传入请求。
把关
有关详细信息,请参阅 macOS 上的 Gatekeeper。
-
允许从这些位置下载的应用 允许从不同位置在设备上安装受支持的应用程序。 你的位置选项:
- 未 配置 (默认) - 网关守卫选项不会影响合规性或不符合性。
- Mac App Store - 仅安装适用于 Mac 应用商店的应用。 无法从第三方安装应用,也不能从标识的开发人员安装应用。 如果用户选择 Gatekeeper 在 Mac App Store外部安装应用,则设备被视为不符合要求。
- Mac App Store和已识别的开发人员 - 为 Mac 应用商店安装应用,并从标识的开发人员安装应用。 macOS 会检查开发人员的身份,并执行一些其他检查来验证应用的完整性。 如果用户选择 Gatekeeper 来安装这些选项之外的应用,则设备被视为不符合要求。
- 随处 - 应用可以从任何位置安装,并且可由任何开发人员安装。 此选项最不安全。
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceCompliancePolicyWindows10 资源类型
说明
此资源在基于云的组织中配置Windows 10合规性策略的设置。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | Windows 10设备符合性策略的显示名称。 | - |
| 说明 | 写入 | String | Windows 10设备符合性策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| PasswordRequired | 写入 | 布尔值 | PasswordRequired Windows 10设备符合性策略。 | - |
| PasswordBlockSimple | 写入 | 布尔值 | Windows 10设备符合性策略的 PasswordBlockSimple。 | - |
| PasswordRequiredToUnlockFromIdle | 写入 | 布尔值 | Windows 10设备符合性策略的 PasswordRequiredToUnlockFromIdle。 | - |
| PasswordMinutesOfInactivityBeforeLock | 写入 | UInt32 | Windows 10设备符合性策略的 PasswordMinutesOfInactivityBeforeLock。 | - |
| PasswordExpirationDays | 写入 | UInt32 | PasswordExpirationDays Windows 10设备符合性策略。 | - |
| PasswordMinimumLength | 写入 | UInt32 | PasswordMinimumLength Windows 10 设备符合性策略。 | - |
| PasswordMinimumCharacterSetCount | 写入 | UInt32 | Windows 10设备符合性策略的 PasswordMinimumCharacterSetCount。 | - |
| PasswordRequiredType | 写入 | String | Windows 10设备符合性策略的 PasswordRequiredType。 |
DeviceDefault, Alphanumeric, Numeric |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | Windows 10设备符合性策略的 PasswordPreviousPasswordBlockCount。 | - |
| RequireHealthyDeviceReport | 写入 | 布尔值 | Windows 10设备符合性策略的 RequireHealthyDeviceReport。 | - |
| OsMinimumVersion | 写入 | String | Windows 10设备符合性策略的 OsMinimumVersion。 | - |
| OsMaximumVersion | 写入 | String | Windows 10设备符合性策略的 OsMaximumVersion。 | - |
| MobileOsMinimumVersion | 写入 | String | Windows 10设备符合性策略的 MobileOsMinimumVersion。 | - |
| MobileOsMaximumVersion | 写入 | String | Windows 10设备符合性策略的 MobileOsMaximumVersion。 | - |
| EarlyLaunchAntiMalwareDriverEnabled | 写入 | 布尔值 | Windows 10设备符合性策略的 EarlyLaunchAntiMalwareDriverEnabled。 | - |
| BitLockerEnabled | 写入 | 布尔值 | Windows 10设备符合性策略的 BitLockerEnabled。 | - |
| SecureBootEnabled | 写入 | 布尔值 | Windows 10设备符合性策略的 SecureBootEnabled。 | - |
| CodeIntegrityEnabled | 写入 | 布尔值 | codeIntegrityEnabled Windows 10设备符合性策略。 | - |
| StorageRequireEncryption | 写入 | 布尔值 | storageRequireEncryption Windows 10 设备符合性策略。 | - |
| ActiveFirewallRequired | 写入 | 布尔值 | ActiveFirewallRequired Windows 10设备符合性策略。 | - |
| DefenderEnabled | 写入 | 布尔值 | Windows 10设备符合性策略的 DefenderEnabled。 | - |
| DefenderVersion | 写入 | String | Windows 10设备符合性策略的 DefenderVersion。 | - |
| SignatureOutOfDate | 写入 | 布尔值 | Windows 10设备符合性策略的 SignatureOutOfDate。 | - |
| RTPEnabled | 写入 | 布尔值 | Windows 10设备符合性策略的 RTPEnabled。 | - |
| 防病毒Required | 写入 | 布尔值 | 防病毒要求Windows 10设备符合性策略。 | - |
| AntiSpywareRequired | 写入 | 布尔值 | AntiSpywareRequired Windows 10设备符合性策略。 | - |
| DeviceThreatProtectionEnabled | 写入 | 布尔值 | deviceThreatProtectionEnabled Windows 10设备符合性策略。 | - |
| DeviceThreatProtectionRequiredSecurityLevel | 写入 | String | Windows 10设备符合性策略的 DeviceThreatProtectionRequiredSecurityLevel。 |
Unavailable, Secured, Low, Medium, High, NotSet |
| ConfigurationManagerComplianceRequired | 写入 | 布尔值 | ConfigurationManagerComplianceRequired Windows 10 设备符合性策略。 | - |
| TpmRequired | 写入 | 布尔值 | TpmRequired Windows 10 设备符合性策略。 | - |
| DeviceCompliancePolicyScript | 写入 | String | Windows 10设备符合性策略的 DeviceCompliancePolicyScript。 | - |
| ValidOperatingSystemBuildRanges | 写入 | StringArray[] | Windows 10设备符合性策略的 ValidOperatingSystemBuildRanges。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
参数
设备运行状况
Windows 运行状况证明服务评估规则
需要 BitLocker: Windows BitLocker 驱动器加密会加密存储在 Windows 操作系统卷上的所有数据。 BitLocker 使用受信任的平台模块 (TPM) 来帮助保护 Windows 操作系统和用户数据。 它还有助于确认计算机未被篡改,即使计算机在无人看管、丢失或被盗的情况下也是如此。 如果计算机配备了兼容的 TPM,BitLocker 将使用 TPM 来锁定保护数据的加密密钥。 因此,在 TPM 验证计算机状态之前,无法访问密钥。
- 未 配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 设备可以在系统关闭或休眠时保护存储在驱动器上的数据免受未经授权的访问。
Device HealthAttestation CSP - BitLockerStatus
要求在设备上启用安全启动:
- 未 配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 系统强制启动到工厂受信任的状态。 用于启动计算机的核心组件必须具有制造设备的组织信任的正确加密签名。 UEFI 固件在允许计算机启动之前验证签名。 如果任何文件被篡改,这会破坏其签名,则系统不会启动。
设备属性
操作系统版本
若要发现所有Windows 10功能汇报的内部版本和累积汇报 (将在以下) 的某些字段中使用,请参阅Windows 10版本信息。 请务必包含 10.0。 作为内部版本号之前的前缀,如以下示例所示。
最低操作系统版本: 以 major.minor.build.revision 编号格式输入允许的最低版本。 若要获取正确的值,请打开命令提示符,并键入 ver。 ver 命令按以下格式返回版本:
Microsoft Windows [版本 10.0.17134.1]
如果设备的版本早于输入的 OS 版本,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备。 升级后,他们可以访问公司资源。
最大操作系统版本: 以 major.minor.build.revision 编号格式输入允许的最大版本。 若要获取正确的值,请打开命令提示符,并键入 ver。 ver 命令按以下格式返回版本:
Microsoft Windows [版本 10.0.17134.1]
当设备使用的 OS 版本低于输入的版本时,将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改为允许 OS 版本之前,设备无法访问组织资源。
移动设备所需的最低 OS: 以 major.minor.build 编号格式输入允许的最低版本。
如果设备具有你输入的 OS 版本的早期版本,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备。 升级后,他们可以访问公司资源。
移动设备所需的最大 OS 数: 在 major.minor.build 号中输入允许的最大版本。
当设备使用的 OS 版本低于输入的版本时,将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改为允许 OS 版本之前,设备无法访问组织资源。
有效的操作系统版本: 指定最小和最大操作系统版本的列表。 与最低和最大操作系统版本进行比较时,有效的操作系统版本提供了更大的灵活性。 假设最低 OS 版本设置为 10.0.18362.xxx (Windows 10 1903) ,最高 OS 版本设置为 10.0.18363.xxx (Windows 10 1909) 。 此配置可以允许未安装最近累积更新的 Windows 10 1903 设备标识为合规。 如果已在单个Windows 10版本上标准化,则最低和最大 OS 版本可能适用,但如果需要使用多个版本(每个版本具有特定修补程序级别),则可能无法满足要求。 在这种情况下,请考虑改用有效的操作系统版本,这允许根据以下示例指定多个生成。
示例:下表是不同Windows 10版本的可接受操作系统版本的范围示例。 在此示例中, (1809、1909 和 2004) 允许使用三种不同的功能汇报。 具体而言,仅那些从 2020 年 6 月到 9 月应用了累积更新的 Windows 版本才会被视为合规。 这只是示例数据。 该表包含第一列,其中包含要描述条目的任何文本,后跟该条目的最低和最高 OS 版本。 第二列和第三列必须遵循 major.minor.build.revision 编号格式的有效 OS 内部版本。 定义一个或多个条目后,可以将列表导出为逗号分隔值 (CSV) 文件。
说明 最低 OS 版本 最高 OS 版本 Win 10 2004 (2020 年 6 月至 9 月) 10.0.19041.329 10.0.19041.508 Win 10 1909 (2020 年 6 月至 9 月) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (2020 年 6 月至 9 月) 10.0.17763.1282 10.0.17763.1490
Configuration Manager符合性
仅适用于运行 Windows 10 及更高版本的共同管理设备。 仅Intune设备返回不可用状态。
-
要求Configuration Manager的设备符合性:
- 未配置 (默认) - Intune不会检查任何符合性Configuration Manager设置。
- 必需 - 要求Configuration Manager中) (配置项目的所有设置都符合要求。
系统安全
Password
需要密码才能解锁移动设备:
- 未 配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 用户必须输入密码才能访问其设备。
简单密码:
- 未 配置 (默认) - 用户可以创建简单密码,例如 1234 或 1111。
- 阻止 - 用户无法创建简单密码,例如 1234 或 1111。
密码类型: 选择所需的密码或 PIN 类型。 选项包括:
设备 (默认) - 需要密码、数字 PIN 或字母数字 PIN
数字 - 需要密码或数字 PIN
字母数字 - 需要密码或字母数字 PIN。 设置为字母数字时,以下设置可用:
密码复杂性:选项:
- 需要数字和小写字母 (默认)
- 需要数字、小写字母和大写字母
- 需要数字、小写字母、大写字母和特殊字符
最小密码长度: 输入密码必须具有的最小位数或字符数。
需要密码之前处于非活动状态的最大分钟数: 输入用户必须重新输入其密码之前的空闲时间。
密码过期 (天) : 输入密码过期前的天数,并且必须创建一个新密码,范围从 1 到 730。
防止重复使用的先前密码数: 输入以前使用过的不能使用的密码数。
当设备从空闲状态恢复时需要密码 (移动和全息) :
- 未 配置 (默认)
- 必需 - 要求设备用户每次设备从空闲状态返回时输入密码。
重要 当 Windows 桌面上的密码要求发生更改时,用户下次登录时会受到影响,因为此时设备从空闲状态变为活动状态。 仍会提示具有满足要求的密码的用户更改其密码。
加密
设备上数据存储的加密: 此设置适用于设备上的所有驱动器。
- 未 配置 (默认)
- 需要 - 使用“需要”加密设备上的数据存储。
注意 设备上的数据存储加密设置通常检查设备上是否存在加密,更具体地说是 OS 驱动器级别。 目前,Intune仅支持 BitLocker 的加密检查。 若要获得更可靠的加密设置,请考虑使用“需要 BitLocker”,它利用 Windows 设备运行状况证明在 TPM 级别验证 Bitlocker 状态。
设备安全性
防火墙:
- 未配置 (默认) - Intune不会控制Microsoft Defender防火墙,也不会更改现有设置。
- 需要 - 打开Microsoft Defender防火墙,并阻止用户将其关闭。
注意 如果设备在重新启动后立即同步,或立即从睡眠状态同步,则此设置可能会报告为错误。 此方案可能不会影响设备的总体符合性状态。 若要重新评估符合性状态,请手动同步设备。
受信任的平台模块 (TPM) :
- 未 (默认) 配置 - Intune不会为 TPM 芯片版本检查设备。
- 需要 - Intune检查 TPM 芯片版本是否合规。 如果 TPM 芯片版本大于 0 (零) ,则设备符合要求。 如果设备上没有 TPM 版本,则设备不合规。
杀毒:
- 未配置 (默认) - Intune不会为设备上安装的任何防病毒解决方案检查。
- 需要 - 使用在 Windows 安全中心 中心注册的防病毒解决方案(如 Symantec 和 Microsoft Defender)检查合规性。
反间谍软件:
- 未配置 (默认) - Intune不会检查设备上安装的任何反间谍软件解决方案。
- 要求 - 使用在 Windows 安全中心 中心注册的反间谍软件解决方案(例如 Symantec 和 Microsoft Defender)检查合规性。
Defender
Windows 10 Desktop 支持以下符合性设置。
Microsoft Defender反恶意软件:
- 未 (默认) 配置 - Intune不会控制服务,也不会更改现有设置。
- 需要 - 打开Microsoft Defender反恶意软件服务,并阻止用户将其关闭。
Microsoft Defender反恶意软件最低版本:输入反恶意软件服务Microsoft Defender允许的最低版本。 例如,输入 4.11.0.0。 当留空时,可以使用任何版本的Microsoft Defender反恶意软件服务。
( 默认) ,不配置版本。
Microsoft Defender反恶意软件安全智能最新:控制设备上的Windows 安全中心病毒和威胁防护更新。
- 未 (默认) 配置 - Intune不强制实施任何要求。
- 要求 - 强制Microsoft Defender安全情报是最新的。
实时保护:
- 未配置 ( (默认) ) - Intune不会控制此功能,也不会更改现有设置。
- 需要 - 启用实时保护,以扫描恶意软件、间谍软件和其他不需要的软件。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint规则
有关条件访问方案中Microsoft Defender for Endpoint集成的其他信息,请参阅在 Microsoft Defender for Endpoint 中配置条件访问。
-
要求设备在计算机风险分数以下或以下: 使用此设置将防御威胁服务的风险评估作为合规性的条件。 选择允许的最大威胁级别:
- 未配置 ( (默认) )
- Clear - 此选项是最安全的,因为设备不能有任何威胁。 如果设备被检测为具有任何级别的威胁,则会将其评估为不符合。
- 低 - 如果仅存在低级别威胁,则设备被评估为符合性。 如果高于,则设备处于不合规状态。
- 中 - 如果设备上的现有威胁为低级或中等级别,则设备被评估为符合性。 如果检测到设备存在高级威胁,则确定该设备不符合要求。
- 高 - 此选项最不安全,允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。
Windows Holographic for Business
Windows Holographic for Business使用 Windows 10 及更高版本的平台。 Windows Holographic for Business支持以下设置:
系统安全 > 加密 > 设备上数据存储的加密。 若要在Microsoft HoloLens上验证设备加密,请参阅验证设备加密。
Surface Hub
Surface Hub 使用 Windows 10 及更高版本的平台。 符合性和条件访问都支持 Surface Hub。 若要在 Surface Hub 上启用这些功能,建议启用Windows 10自动注册,Intune (需要Azure Active Directory (Microsoft Entra) ) ,并将 Surface Hub 设备作为设备组。 需要Microsoft Entra联接 Surface Hub 才能符合性和条件访问。
有关指导,请参阅为 Windows 设备设置注册。
运行 Windows 10 协同版 OS 的 Surface Hub 的特别注意事项:运行Windows 10 协同版 OS 的 Surface Hub 目前不支持Microsoft Defender for Endpoint和密码符合性策略。 因此,对于运行Windows 10 协同版操作系统的 Surface Hub,请将以下两个设置设置为其 (默认) “未配置”:
- 在“密码”类别中,将“需要密码才能解锁移动设备”设置为 (默认) “未配置”。
- 在类别Microsoft Defender for Endpoint中,将“要求设备处于计算机风险分数或以下”设置为“未配置” (默认) 。
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All、DeviceManagementScripts.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationAdministrativeTemplatePolicyWindows10 资源类型
说明
Intune Windows10 的设备配置管理模板策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 说明 | 写入 | String | 用户为资源对象提供了说明。 | - |
| DisplayName | 键 | String | 用户提供的资源对象的名称。 | - |
| PolicyConfigurationIngestionType | 写入 | String | 为此策略配置的定义类型。 可能的值为:unknown、custom、builtIn、mixed、unknownFutureValue。 |
unknown, custom, builtIn, mixed, unknownFutureValue |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| DefinitionValues | 写入 | GroupPolicyDefinitionValue[] | 配置启用或禁用的组策略定义值的列表。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
GroupPolicyDefinitionValueDefinition
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| CategoryPath | 写入 | String | 策略的本地化完整类别路径。 | - |
| ClassType | 写入 | String | 标识可以应用策略的组的类型。 可能的值为:user、machine。 |
user, machine |
| DisplayName | 写入 | String | 本地化的策略名称。 | - |
| ExplainText | 写入 | String | 与策略关联的本地化说明或帮助文本。 默认值为空白。 | - |
| GroupPolicyCategoryId | 写入 | String | 父类别的类别 ID | - |
| HasRelatedDefinitions | 写入 | 布尔值 | 指示是否存在与此定义相关的定义 | - |
| MinDeviceCspVersion | 写入 | String | 此定义中设备配置所需的最低 CSP 版本 | - |
| MinUserCspVersion | 写入 | String | 此定义中用户配置所需的最低 CSP 版本 | - |
| PolicyType | 写入 | String | 指定组策略的类型。 可能的值为:admxBacked、admxIngested。 |
admxBacked, admxIngested |
| SupportedOn | 写入 | String | 用于指定受策略影响的操作系统或应用程序版本的本地化字符串。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
GroupPolicyDefinitionValue
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| ConfigurationType | 写入 | String | 指定应如何配置值。 这可以是策略或首选项。 可能的值包括:策略、首选项。 |
policy, preference |
| 已启用 | 写入 | 布尔值 | 启用或禁用关联的组策略定义。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 定义 | 写入 | GroupPolicyDefinitionValueDefinition | 具有 值的关联组策略定义。 只读。 | - |
| PresentationValues | 写入 | GroupPolicyDefinitionValuePresentationValue[] | 与定义值关联的组策略表示值。 | - |
GroupPolicyDefinitionValuePresentationValue
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| BooleanValue | 写入 | 布尔值 | 关联演示文稿的值。 | - |
| DecimalValue | 写入 | UInt64 | 关联演示文稿的值。 | - |
| StringValue | 写入 | String | 关联演示文稿的值。 | - |
| KeyValuePairValues | 写入 | GroupPolicyDefinitionValuePresentationValueKeyValuePair[] | 关联演示文稿的对列表。 | - |
| StringValues | 写入 | StringArray[] | 关联演示文稿的对列表。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| PresentationDefinitionId | 写入 | String | 表示定义的唯一标识符。 只读。 | - |
| PresentationDefinitionLabel | 写入 | String | 演示文稿定义的标签。 只读。 | - |
| odataType | 写入 | String | 关联演示文稿的值。 |
#microsoft.graph.groupPolicyPresentationValueBoolean, #microsoft.graph.groupPolicyPresentationValueDecimal, #microsoft.graph.groupPolicyPresentationValueList, #microsoft.graph.groupPolicyPresentationValueLongDecimal, #microsoft.graph.groupPolicyPresentationValueMultiText, #microsoft.graph.groupPolicyPresentationValueText |
GroupPolicyDefinitionValuePresentationValueKeyValuePair
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 值 | 写入 | String | 此键值对的值。 | - |
| 名称 | 写入 | String | 此键值对的名称。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationCustomPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置自定义策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| OmaSettings | 写入 | MSFT_MicrosoftGraphomaSetting[] | OMA 设置。 该集合最多可包含 1000 个元素。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphOmaSetting
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 说明 | 写入 | String | 说明。 | - |
| DisplayName | 写入 | String | 显示名称。 | - |
| IsEncrypted | 写入 | 布尔值 | 指示值字段是否加密。 此属性是只读的。 | - |
| OmaUri | 写入 | String | OMA。 | - |
| SecretReferenceValueId | 写入 | String | ReferenceId 用于查找机密进行解密。 此属性是只读的。 | - |
| FileName | 写入 | String | 与 Value 属性关联的文件名 (.cer) | - |
| 值 | 写入 | String | 值。 (Base64 编码字符串) | - |
| IsReadOnly | 写入 | 布尔值 | 通过将 设置为 true,CSP (OMA-URI 中指定的配置服务提供程序) 将执行 get,而不是设置 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.omaSettingBase64, #microsoft.graph.omaSettingBoolean, #microsoft.graph.omaSettingDateTime, #microsoft.graph.omaSettingFloatingPoint, #microsoft.graph.omaSettingInteger, #microsoft.graph.omaSettingString, #microsoft.graph.omaSettingStringXml |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationDefenderForEndpointOnboardingPolicyWindows10 资源类型
说明
Intune适用于 Windows10 的设备配置 Defender for Endpoint 加入策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AdvancedThreatProtectionAutoPopulateOnboardingBlob | 写入 | 布尔值 | 以编程方式从高级威胁防护服务自动填充加入 Blob | - |
| AdvancedThreatProtectionOffboardingBlob | 写入 | String | Windows Defender AdvancedThreatProtection 卸载 Blob。 | - |
| AdvancedThreatProtectionOffboardingFilename | 写入 | String | 从中获取 AdvancedThreatProtectionOffboardingBlob 的文件的名称。 | - |
| AdvancedThreatProtectionOnboardingBlob | 写入 | String | Windows Defender AdvancedThreatProtection 载入 Blob。 | - |
| AdvancedThreatProtectionOnboardingFilename | 写入 | String | 从中获取 AdvancedThreatProtectionOnboardingBlob 的文件的名称。 | - |
| AllowSampleSharing | 写入 | 布尔值 | Windows Defender AdvancedThreatProtection“允许示例共享”规则 | - |
| EnableExpeditedTelemetryReporting | 写入 | 布尔值 | 加速 Windows Defender 高级威胁防护遥测报告的频率。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationDeliveryOptimizationPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置传递优化策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| BackgroundDownloadFromHttpDelayInSeconds | 写入 | UInt64 | 指定在后台下载中延迟允许使用对等的 HTTP 源的秒数。 有效值 0 到 4294967295 | - |
| BandwidthMode | 写入 | MSFT_MicrosoftGraphdeliveryOptimizationBandwidth | 使用百分比、绝对值或小时数指定前台和后台带宽使用情况。 | - |
| CacheServerBackgroundDownloadFallbackToHttpDelayInSeconds | 写入 | UInt32 | 指定延迟从缓存服务器回退到后台下载的 HTTP 源的秒数。 有效值 0 到 2592000。 | - |
| CacheServerForegroundDownloadFallbackToHttpDelayInSeconds | 写入 | UInt32 | 指定延迟从缓存服务器回退到前台下载的 HTTP 源的秒数。 有效值 0 到 2592000。 | - |
| CacheServerHostNames | 写入 | StringArray[] | 指定缓存服务器的主机名。 | - |
| DeliveryOptimizationMode | 写入 | String | 指定传递优化可用于管理大型内容分发方案的网络带宽消耗的下载方法。 可能的值为:userDefined、httpOnly、httpWithPeeringNat、httpWithPeeringPrivateGroup、httpWithInternetPeering、simpleDownload、bypassMode。 |
userDefined, httpOnly, httpWithPeeringNat, httpWithPeeringPrivateGroup, httpWithInternetPeering, simpleDownload, bypassMode |
| ForegroundDownloadFromHttpDelayInSeconds | 写入 | UInt64 | 指定允许在前台下载中使用对等 (0-86400) 时延迟 HTTP 源的秒数。 有效值 0 到 86400 指定 0 设置传递优化,以使用云服务管理此设置。 有效值 0 到 86400 | - |
| GroupIdSource | 写入 | MSFT_MicrosoftGraphdeliveryOptimizationGroupIdSource | 指定将对等选择限制为规范源。 此策略中设置的选项仅适用于传递优化模式组 (2) 下载模式。 如果组 (2) 未设置为下载模式,则将忽略此策略。 对于选项 3 - DHCP 选项 ID,客户端将查询 DHCP 选项 ID 234,并使用返回的 GUID 值作为组 ID。 | - |
| MaximumCacheAgeInDays | 写入 | UInt32 | 指定下载成功后,每个文件在传递优化缓存中保留的最长时间 (0-3650) 。 有效值 0 到 3650 | - |
| MaximumCacheSize | 写入 | MSFT_MicrosoftGraphdeliveryOptimizationMaxCacheSize | 指定传递优化的最大缓存大小(以百分比或 GB 为单位)。 | - |
| MinimumBatteryPercentageAllowedToUpload | 写入 | UInt32 | 指定允许设备上传数据 (0-100) 的最小电池百分比。 有效值 0 到 100 默认值为 0。 值 0 (零) 表示“不受限制”,将使用云服务默认值。 有效值为 0 至 100 | - |
| MinimumDiskSizeAllowedToPeerInGigabytes | 写入 | UInt32 | 指定使用对等缓存的最小磁盘大小(以 GB 为单位 (1-100000) )。 有效值 1 到 100000 建议值:64 GB 到 256 GB。 有效值 1 到 100000 | - |
| MinimumFileSizeToCacheInMegabytes | 写入 | UInt32 | 指定允许使用对等缓存的最小内容文件大小(以 MB 为单位) (1-100000) 。 有效值 1 到 100000 建议值:1 MB 到 100,000 MB。 有效值 1 到 100000 | - |
| MinimumRamAllowedToPeerInGigabytes | 写入 | UInt32 | 指定使用对等缓存的最小 RAM 大小(以 GB 为单位) (1-100000) 。 有效值 1 到 100000 | - |
| ModifyCacheLocation | 写入 | String | 指定传递优化应用于其缓存的驱动器。 | - |
| RestrictPeerSelectionBy | 写入 | String | 指定通过所选选项限制对等选择。 |
notConfigured, subnetMask |
| VpnPeerCaching | 写入 | String | 指定是否允许设备在通过 VPN 连接到域网络时参与对等缓存。 |
notConfigured, enabled, disabled |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphDeliveryOptimizationBandwidth
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| MaximumDownloadBandwidthInKilobytesPerSecond | 写入 | UInt64 | 使用传递优化,指定设备可在所有并发下载活动中使用的最大下载带宽(以千字节/秒为单位)。 有效值 0 到 4294967295 | - |
| MaximumUploadBandwidthInKilobytesPerSecond | 写入 | UInt64 | 使用传递优化指定设备在所有并发上传活动中使用的最大上传带宽(以千字节/秒为单位), (0-4000000) 。 有效值 0 到 4000000 默认值为 0,这允许无限的可能带宽 (优化以尽量减少使用上传带宽) 。 有效值 0 到 4000000 | - |
| BandwidthBackgroundPercentageHours | 写入 | MSFT_MicrosoftGraphDeliveryOptimizationBandwidthBusinessHoursLimit | 后台下载百分比小时数。 | - |
| BandwidthForegroundPercentageHours | 写入 | MSFT_MicrosoftGraphDeliveryOptimizationBandwidthBusinessHoursLimit | 前台下载百分比小时数。 | - |
| MaximumBackgroundBandwidthPercentage | 写入 | UInt32 | 指定传递优化在所有并发下载活动中使用的最大后台下载带宽,占可用下载带宽的百分比 (0-100) 。 有效值为 0 至 100 | - |
| MaximumForegroundBandwidthPercentage | 写入 | UInt32 | 指定传递优化在所有并发下载活动中使用的最大前台下载带宽,占可用下载带宽的百分比 (0-100) 。 有效值 0 到 100 默认值 0 (零) 意味着传递优化会动态调整为使用前台下载的可用带宽。 有效值为 0 至 100 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.deliveryOptimizationBandwidthAbsolute, #microsoft.graph.deliveryOptimizationBandwidthHoursWithPercentage, #microsoft.graph.deliveryOptimizationBandwidthPercentage |
MSFT_MicrosoftGraphDeliveryOptimizationBandwidthBusinessHoursLimit
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| BandwidthBeginBusinessHours | 写入 | UInt32 | 使用 24 小时制 (0-23) 指定营业时间的开始时间。 有效值 0 到 23 | - |
| BandwidthEndBusinessHours | 写入 | UInt32 | 使用 24 小时制 (0-23) 指定营业时间结束时间。 有效值 0 到 23 | - |
| BandwidthPercentageDuringBusinessHours | 写入 | UInt32 | 指定要在营业时间限制的带宽百分比 (0-100) 。 有效值为 0 至 100 | - |
| BandwidthPercentageOutsideBusinessHours | 写入 | UInt32 | 指定要限制超出工作时间 (0-100) 的带宽百分比。 有效值为 0 至 100 | - |
MSFT_MicrosoftGraphDeliveryOptimizationGroupIdSource
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| GroupIdCustom | 写入 | String | 指定设备所属的任意组 ID | - |
| GroupIdSourceOption | 写入 | String | 设置此策略以将对等选择限制为特定源。 可能的值为:notConfigured、adSite、authenticatedDomainSid、dhcpUserOption、dnsSuffix。 |
notConfigured, adSite, authenticatedDomainSid, dhcpUserOption, dnsSuffix |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.deliveryOptimizationGroupIdCustom, #microsoft.graph.deliveryOptimizationGroupIdSourceOptions |
MSFT_MicrosoftGraphDeliveryOptimizationMaxCacheSize
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| MaximumCacheSizeInGigabytes | 写入 | UInt64 | 指定传递优化缓存的最大大小(以 GB 为单位)。 有效值 0 到 4294967295 | - |
| MaximumCacheSizePercentage | 写入 | UInt32 | 指定传递优化可以利用的最大缓存大小,以磁盘大小 (1-100) 的百分比表示。 有效值 1 到 100 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.deliveryOptimizationMaxCacheSizeAbsolute, #microsoft.graph.deliveryOptimizationMaxCacheSizePercentage |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationDomainJoinPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置域加入策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| ActiveDirectoryDomainName | 写入 | String | 要加入的 Active Directory 域名。 | - |
| ComputerNameStaticPrefix | 写入 | String | 修复了用于计算机名称的前缀。 | - |
| ComputerNameSuffixRandomCharCount | 写入 | UInt32 | 动态生成的字符用作计算机名称的后缀。 有效值 3 到 14 | - |
| OrganizationalUnit | 写入 | String | 组织单位 (将在其中创建计算机帐户的 OU) 。 如果此参数为 NULL,则已知计算机对象容器将用作域中的已发布。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationEmailProfilePolicyWindows10 资源类型
说明
Intune Windows10 的设备配置Email配置文件策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AccountName | 写入 | String | 帐户名称。 | - |
| DurationOfEmailToSync | 写入 | String | 要同步的电子邮件持续时间。可能的值为:userDefined、oneDay、threeDays、1Week、twoWeeks、1Month、unlimited。 |
userDefined, oneDay, threeDays, oneWeek, twoWeeks, oneMonth, unlimited |
| EmailAddressSource | 写入 | String | Email在设备上安装之前从 AAD 中选取并注入到此配置文件的属性。 可能的值为:userPrincipalName、primarySmtpAddress。 |
userPrincipalName, primarySmtpAddress |
| EmailSyncSchedule | 写入 | String | Email同步计划。 可能的值为:userDefined、asMessagesArrive、manual、fifteenMinutes、thirtyMinutes、sixtyMinutes、basedOnMyUsage。 |
userDefined, asMessagesArrive, manual, fifteenMinutes, thirtyMinutes, sixtyMinutes, basedOnMyUsage |
| HostName | 写入 | String | (本机邮件应用连接到的 URL) 的 Exchange 位置。 | - |
| RequireSsl | 写入 | 布尔值 | 指示是否使用 SSL。 | - |
| SyncCalendar | 写入 | 布尔值 | 是否同步日历。 | - |
| SyncContacts | 写入 | 布尔值 | 是否同步联系人。 | - |
| SyncTasks | 写入 | 布尔值 | 是否同步任务。 | - |
| CustomDomainName | 写入 | String | 在设备上安装之前生成电子邮件配置文件时使用的自定义域名值。 | - |
| UserDomainNameSource | 写入 | String | 在设备上安装之前,从 AAD 中选取并注入到此配置文件的 UserDomainname 属性。 可能的值为:fullDomainName、netBiosDomainName。 |
fullDomainName, netBiosDomainName |
| UsernameAADSource | 写入 | String | AAD 字段的名称,用于检索电子邮件配置文件的用户名。 可能的值为:userPrincipalName、primarySmtpAddress、samAccountName。 |
userPrincipalName, primarySmtpAddress, samAccountName |
| UsernameSource | 写入 | String | 在设备上安装之前,从 AAD 中选取并注入到此配置文件的 Username 属性。 可能的值为:userPrincipalName、primarySmtpAddress。 |
userPrincipalName, primarySmtpAddress |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationEndpointProtectionPolicyWindows10 资源类型
说明
Intune适用于 Windows10 的设备配置终结点保护策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| ApplicationGuardAllowCameraMicrophoneRedirection | 写入 | 布尔值 | 获取或设置 Microsoft Defender 应用程序防护 中的应用程序是否可以访问设备的相机和麦克风。 | - |
| ApplicationGuardAllowFileSaveOnHost | 写入 | 布尔值 | 允许用户从应用程序防护容器中的 Edge 下载文件并将其保存在主机文件系统上 | - |
| ApplicationGuardAllowPersistence | 写入 | 布尔值 | 允许 App Guard 容器(收藏夹、Cookie、Web 密码等)内的持久用户生成数据 | - |
| ApplicationGuardAllowPrintToLocalPrinters | 写入 | 布尔值 | 允许从容器打印到本地打印机 | - |
| ApplicationGuardAllowPrintToNetworkPrinters | 写入 | 布尔值 | 允许从容器打印到网络打印机 | - |
| ApplicationGuardAllowPrintToPDF | 写入 | 布尔值 | 允许从容器打印为 PDF 格式 | - |
| ApplicationGuardAllowPrintToXPS | 写入 | 布尔值 | 允许从容器打印为 XPS 格式 | - |
| ApplicationGuardAllowVirtualGPU | 写入 | 布尔值 | 允许应用程序防护使用虚拟 GPU | - |
| ApplicationGuardBlockClipboardSharing | 写入 | String | 阻止剪贴板将数据从主机共享到容器或从容器共享到主机,或阻止两种方式,或两种方式均不阻止。 可能的值为:notConfigured、blockBoth、blockHostToContainer、blockContainerToHost、blockNone。 |
notConfigured, blockBoth, blockHostToContainer, blockContainerToHost, blockNone |
| ApplicationGuardBlockFileTransfer | 写入 | String | 阻止剪贴板传输图像文件、文本文件或两者均不传输。 可能的值为:notConfigured、blockImageAndTextFile、blockImageFile、blockNone、blockTextFile。 |
notConfigured, blockImageAndTextFile, blockImageFile, blockNone, blockTextFile |
| ApplicationGuardBlockNonEnterpriseContent | 写入 | 布尔值 | 阻止企业站点加载非企业内容,例如第三方插件 | - |
| ApplicationGuardCertificateThumbprints | 写入 | StringArray[] | 允许与Microsoft Defender 应用程序防护容器共享某些设备级别的根证书。 | - |
| ApplicationGuardEnabled | 写入 | 布尔值 | 启用 Windows Defender 应用程序防护 | - |
| ApplicationGuardEnabledOptions | 写入 | String | 为较新的 Windows 版本启用 Windows Defender 应用程序防护。 可能的值为:notConfigured、enabledForEdge、enabledForOffice、enabledForEdgeAndOffice。 |
notConfigured, enabledForEdge, enabledForOffice, enabledForEdgeAndOffice |
| ApplicationGuardForceAuditing | 写入 | 布尔值 | 强制审核将存留 Windows 日志和事件以满足安全/符合性条件(示例事件是用户登录注销、特权使用、软件安装、系统更改等) | - |
| AppLockerApplicationControl | 写入 | String | 使管理员能够选择在设备上允许哪些类型的应用。 可能的值为:notConfigured、enforceComponentsAndStoreApps、auditComponentsAndStoreApps、enforceComponentsStoreAppsAndSmartlocker、auditComponentsStoreAppsAndSmartlocker。 |
notConfigured, enforceComponentsAndStoreApps, auditComponentsAndStoreApps, enforceComponentsStoreAppsAndSmartlocker, auditComponentsStoreAppsAndSmartlocker |
| BitLockerAllowStandardUserEncryption | 写入 | 布尔值 | 允许管理员允许标准用户在加入Microsoft Entra期间启用 encrpytion。 | - |
| BitLockerDisableWarningForOtherDiskEncryption | 写入 | 布尔值 | 允许管理员禁用对用户计算机上其他磁盘加密的警告提示。 | - |
| BitLockerEnableStorageCardEncryptionOnMobile | 写入 | 布尔值 | 允许管理员要求使用 BitLocker 开启加密功能。 此策略仅适用于移动 SKU。 | - |
| BitLockerEncryptDevice | 写入 | 布尔值 | 允许管理员要求使用 BitLocker 开启加密功能。 | - |
| BitLockerFixedDrivePolicy | 写入 | MSFT_MicrosoftGraphbitLockerFixedDrivePolicy | BitLocker 固定驱动器策略。 | - |
| BitLockerRecoveryPasswordRotation | 写入 | String | 此设置在使用 bootmgr 或 WinRE) 的 OS 驱动器恢复 (后启动客户端驱动的恢复密码轮换。 可能的值为:notConfigured、disabled、enabledForAzureAd、enabledForAzureAdAndHybrid。 |
notConfigured, disabled, enabledForAzureAd, enabledForAzureAdAndHybrid |
| BitLockerRemovableDrivePolicy | 写入 | MSFT_MicrosoftGraphbitLockerRemovableDrivePolicy | BitLocker 可移动驱动器策略。 | - |
| BitLockerSystemDrivePolicy | 写入 | MSFT_MicrosoftGraphbitLockerSystemDrivePolicy | BitLocker 系统驱动器策略。 | - |
| DefenderAdditionalGuardedFolders | 写入 | StringArray[] | 要添加到受保护文件夹列表的文件夹路径列表 | - |
| DefenderAdobeReaderLaunchChildProcess | 写入 | String | 指示 Adobe Reader 在创建子进程时的行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderAdvancedRansomewareProtectionType | 写入 | String | 指示使用针对 ransomeware 的高级保护的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderAllowBehaviorMonitoring | 写入 | 布尔值 | 允许或禁止 Windows Defender 行为监视功能。 | - |
| DefenderAllowCloudProtection | 写入 | 布尔值 | 为了最好地保护你的电脑,Windows Defender 将向Microsoft发送有关它发现的任何问题的信息。 Microsoft将分析这些信息,详细了解影响你和其他客户的问题,并提供改进的解决方案。 | - |
| DefenderAllowEndUserAccess | 写入 | 布尔值 | 允许或禁止用户访问 Windows Defender UI。 如果不允许,也会禁止所有 Windows Defender 通知。 | - |
| DefenderAllowIntrusionPreventionSystem | 写入 | 布尔值 | 允许或禁止 Windows Defender 入侵防护功能。 | - |
| DefenderAllowOnAccessProtection | 写入 | 布尔值 | 允许或禁止 Windows Defender On Access Protection 功能。 | - |
| DefenderAllowRealTimeMonitoring | 写入 | 布尔值 | 允许或禁止 Windows Defender 实时监视功能。 | - |
| DefenderAllowScanArchiveFiles | 写入 | 布尔值 | 允许或禁止扫描存档。 | - |
| DefenderAllowScanDownloads | 写入 | 布尔值 | 允许或禁止 Windows Defender IOAVP 保护功能。 | - |
| DefenderAllowScanNetworkFiles | 写入 | 布尔值 | 允许或禁止扫描网络文件。 | - |
| DefenderAllowScanRemovableDrivesDuringFullScan | 写入 | 布尔值 | 允许或禁止对可移动驱动器进行完全扫描。 在快速扫描期间,仍可能扫描可移动驱动器。 | - |
| DefenderAllowScanScriptsLoadedInInternetExplorer | 写入 | 布尔值 | 允许或禁止 Windows Defender 脚本扫描功能。 | - |
| DefenderAttackSurfaceReductionExcludedPaths | 写入 | StringArray[] | 要从攻击面减少规则中排除的 exe 文件和文件夹的列表 | - |
| DefenderBlockEndUserAccess | 写入 | 布尔值 | 允许或禁止用户访问 Windows Defender UI。 如果不允许,也会禁止所有 Windows Defender 通知。 | - |
| DefenderBlockPersistenceThroughWmiType | 写入 | String | 指示通过 WMI 事件订阅的Block 持久性行为的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderCheckForSignaturesBeforeRunningScan | 写入 | 布尔值 | 使用此策略设置,可以管理在运行扫描之前是否会发生针对新病毒和间谍软件定义的检查。 | - |
| DefenderCloudBlockLevel | 写入 | String | 在 Windows 10 版本 1709 中添加。 此策略设置确定 Windows Defender 防病毒在阻止和扫描可疑文件时的攻击程度。 值类型为整数。 此功能需要启用“联接Microsoft MAPS”设置才能正常运行。 可能的值为:notConfigured、high、highPlus、zeroTolerance。 |
notConfigured, high, highPlus, zeroTolerance |
| DefenderCloudExtendedTimeoutInSeconds | 写入 | UInt32 | 在 Windows 10 版本 1709 中添加。 此功能允许 Windows Defender 防病毒阻止可疑文件长达 60 秒,并在云中对其进行扫描以确保其安全。 值类型为整数,范围为 0 - 50。 此功能依赖于其他三个必须启用 的 MAPS 设置 - “配置'首次看到时阻止'功能'联接Microsoft MAPS''当需要进一步分析时发送文件样本'。 有效值为 0 至 50 | - |
| DefenderDaysBeforeDeletingQuarantinedMalware | 写入 | UInt32 | 隔离项将存储在系统上) 时间段 (天。 有效值为 0 至 90 | - |
| DefenderDetectedMalwareActions | 写入 | MSFT_MicrosoftGraphdefenderDetectedMalwareActions | 允许管理员指定要执行的任何有效威胁严重性级别和相应的默认操作 ID。 | - |
| DefenderDisableBehaviorMonitoring | 写入 | 布尔值 | 允许或禁止 Windows Defender 行为监视功能。 | - |
| DefenderDisableCatchupFullScan | 写入 | 布尔值 | 此策略设置允许为计划的完整扫描配置追赶扫描。 追赶扫描是由于错过了定期计划的扫描而启动的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。 | - |
| DefenderDisableCatchupQuickScan | 写入 | 布尔值 | 通过此策略设置,可为计划的快速扫描配置追赶扫描。 追赶扫描是由于错过了定期计划的扫描而启动的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。 | - |
| DefenderDisableCloudProtection | 写入 | 布尔值 | 为了最好地保护你的电脑,Windows Defender 将向Microsoft发送有关它发现的任何问题的信息。 Microsoft将分析这些信息,详细了解影响你和其他客户的问题,并提供改进的解决方案。 | - |
| DefenderDisableIntrusionPreventionSystem | 写入 | 布尔值 | 允许或禁止 Windows Defender 入侵防护功能。 | - |
| DefenderDisableOnAccessProtection | 写入 | 布尔值 | 允许或禁止 Windows Defender On Access Protection 功能。 | - |
| DefenderDisableRealTimeMonitoring | 写入 | 布尔值 | 允许或禁止 Windows Defender 实时监视功能。 | - |
| DefenderDisableScanArchiveFiles | 写入 | 布尔值 | 允许或禁止扫描存档。 | - |
| DefenderDisableScanDownloads | 写入 | 布尔值 | 允许或禁止 Windows Defender IOAVP 保护功能。 | - |
| DefenderDisableScanNetworkFiles | 写入 | 布尔值 | 允许或禁止扫描网络文件。 | - |
| DefenderDisableScanRemovableDrivesDuringFullScan | 写入 | 布尔值 | 允许或禁止对可移动驱动器进行完全扫描。 在快速扫描期间,仍可能扫描可移动驱动器。 | - |
| DefenderDisableScanScriptsLoadedInInternetExplorer | 写入 | 布尔值 | 允许或禁止 Windows Defender 脚本扫描功能。 | - |
| DefenderEmailContentExecution | 写入 | String | 指示应从电子邮件 (webmail/mail-client) 中删除可执行内容 (exe、dll、ps、js、vbs 等) 的执行的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderEmailContentExecutionType | 写入 | String | 指示应从电子邮件 (webmail/mail-client) 中删除可执行内容 (exe、dll、ps、js、vbs 等) 的执行的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderEnableLowCpuPriority | 写入 | 布尔值 | 此策略设置允许为计划扫描启用或禁用低 CPU 优先级。 | - |
| DefenderEnableScanIncomingMail | 写入 | 布尔值 | 允许或禁止扫描电子邮件。 | - |
| DefenderEnableScanMappedNetworkDrivesDuringFullScan | 写入 | 布尔值 | 允许或禁止对映射的网络驱动器进行完全扫描。 | - |
| DefenderExploitProtectionXml | 写入 | String | 包含有关 Exploit Protection 详细信息的 xml 内容。 | - |
| DefenderExploitProtectionXmlFileName | 写入 | String | 从中获取 DefenderExploitProtectionXml 的文件的名称。 | - |
| DefenderFileExtensionsToExclude | 写入 | StringArray[] | 要从扫描和实时保护中排除的文件扩展名。 | - |
| DefenderFilesAndFoldersToExclude | 写入 | StringArray[] | 要从扫描和实时保护中排除的文件和文件夹。 | - |
| DefenderGuardedFoldersAllowedAppPaths | 写入 | StringArray[] | 允许访问受保护文件夹的 exe 路径列表 | - |
| DefenderGuardMyFoldersType | 写入 | String | 指示受保护文件夹行为的值。 可能的值包括:userDefined、enable、auditMode、blockDiskModification、auditDiskModification。 |
userDefined, enable, auditMode, blockDiskModification, auditDiskModification |
| DefenderNetworkProtectionType | 写入 | String | 指示 NetworkProtection 行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderOfficeAppsExecutableContentCreationOrLaunch | 写入 | String | 指示 Office 应用程序/宏创建或启动可执行内容的行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderOfficeAppsExecutableContentCreationOrLaunchType | 写入 | String | 指示 Office 应用程序/宏创建或启动可执行内容的行为的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderOfficeAppsLaunchChildProcess | 写入 | String | 指示 Office 应用程序启动子进程的行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderOfficeAppsLaunchChildProcessType | 写入 | String | 指示 Office 应用程序启动子进程的行为的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderOfficeAppsOtherProcessInjection | 写入 | String | 指示将 Office 应用程序注入其他进程的行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderOfficeAppsOtherProcessInjectionType | 写入 | String | 指示注入其他进程的Office 应用程序的行为的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderOfficeCommunicationAppsLaunchChildProcess | 写入 | String | 指示 Office 通信应用程序(包括Microsoft Outlook)创建子进程的行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderOfficeMacroCodeAllowWin32Imports | 写入 | String | 指示从 Office 中的宏代码导入 Win32 行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderOfficeMacroCodeAllowWin32ImportsType | 写入 | String | 指示从 Office 中的宏代码导入 Win32 行为的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderPotentiallyUnwantedAppAction | 写入 | String | 已添加到 Windows 10 版本 1607 中。 指定对可能不需要的应用程序 (PUA) 的检测级别。 当下载可能不需要的软件或尝试在计算机上安装自身时,Windows Defender 会发出警报。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderPreventCredentialStealingType | 写入 | String | 指示是否允许从 Windows 本地安全机构子系统窃取凭据的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderProcessCreation | 写入 | String | 指示对源自 PSExec 和 WMI 命令的进程创建的响应的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderProcessCreationType | 写入 | String | 指示对源自 PSExec 和 WMI 命令的进程创建的响应的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderProcessesToExclude | 写入 | StringArray[] | 要从扫描和实时保护中排除的进程。 | - |
| DefenderScanDirection | 写入 | String | 控制应监视哪些文件集。 可能的值为:monitorAllFiles、monitorIncomingFilesOnly、monitorOutgoingFilesOnly。 |
monitorAllFiles, monitorIncomingFilesOnly, monitorOutgoingFilesOnly |
| DefenderScanMaxCpuPercentage | 写入 | UInt32 | 表示 Windows Defender 扫描的平均 CPU 负载系数 () 百分比。 默认值为 50。 有效值为 0 至 100 | - |
| DefenderScanType | 写入 | String | 选择是执行快速扫描还是完全扫描。 可能的值为:userDefined、disabled、quick、full。 |
userDefined, disabled, quick, full |
| DefenderScheduledQuickScanTime | 写入 | String | 选择 Windows Defender 快速扫描应运行的时间。 例如,值 0=12:00AM、值 60=1:00AM、值 120=2:00 等,最高值为 1380=11:00PM。 默认值为 120 | - |
| DefenderScheduledScanDay | 写入 | String | 选择 Windows Defender 扫描的运行日期。 可能的值包括:userDefined、everyday、sunday、monday、tuesday、wednesday、thursday、friday、saturday、noScheduledScan。 |
userDefined, everyday, sunday, monday, tuesday, wednesday, thursday, friday, saturday, noScheduledScan |
| DefenderScheduledScanTime | 写入 | String | 选择 Windows Defender 扫描应运行的时间。 | - |
| DefenderScriptDownloadedPayloadExecution | 写入 | String | 指示执行从 Internet 下载的有效负载的 js/vbs 行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderScriptDownloadedPayloadExecutionType | 写入 | String | 指示执行从 Internet 下载的有效负载的 js/vbs 行为的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderScriptObfuscatedMacroCode | 写入 | String | 指示模糊处理 js/vbs/ps/宏代码行为的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderScriptObfuscatedMacroCodeType | 写入 | String | 指示模糊处理 js/vbs/ps/宏代码行为的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderSecurityCenterBlockExploitProtectionOverride | 写入 | 布尔值 | 指示是否阻止用户覆盖 Exploit Protection 设置。 | - |
| DefenderSecurityCenterDisableAccountUI | 写入 | 布尔值 | 用于禁用帐户保护区域的显示。 | - |
| DefenderSecurityCenterDisableAppBrowserUI | 写入 | 布尔值 | 用于禁用应用和浏览器保护区域的显示。 | - |
| DefenderSecurityCenterDisableClearTpmUI | 写入 | 布尔值 | 用于禁用“清除 TPM”按钮的显示。 | - |
| DefenderSecurityCenterDisableFamilyUI | 写入 | 布尔值 | 用于禁用家庭选项区域的显示。 | - |
| DefenderSecurityCenterDisableHardwareUI | 写入 | 布尔值 | 用于禁用硬件保护区域的显示。 | - |
| DefenderSecurityCenterDisableHealthUI | 写入 | 布尔值 | 用于禁用设备性能和运行状况区域的显示。 | - |
| DefenderSecurityCenterDisableNetworkUI | 写入 | 布尔值 | 用于禁用防火墙和网络保护区域的显示。 | - |
| DefenderSecurityCenterDisableNotificationAreaUI | 写入 | 布尔值 | 用于禁用通知区域控件的显示。 用户需要注销并登录或重新启动计算机才能使此设置生效。 | - |
| DefenderSecurityCenterDisableRansomwareUI | 写入 | 布尔值 | 用于禁用勒索软件防护区域的显示。 | - |
| DefenderSecurityCenterDisableSecureBootUI | 写入 | 布尔值 | 用于在“设备安全性”下禁用安全启动区域的显示。 | - |
| DefenderSecurityCenterDisableTroubleshootingUI | 写入 | 布尔值 | 用于在“设备安全性”下禁用安全过程故障排除的显示。 | - |
| DefenderSecurityCenterDisableVirusUI | 写入 | 布尔值 | 用于禁用病毒和威胁防护区域的显示。 | - |
| DefenderSecurityCenterDisableVulnerableTpmFirmwareUpdateUI | 写入 | 布尔值 | 用于在检测到易受攻击的固件时禁用更新 TPM 固件的显示。 | - |
| DefenderSecurityCenterHelpEmail | 写入 | String | 向用户显示的电子邮件地址。 | - |
| DefenderSecurityCenterHelpPhone | 写入 | String | 向用户显示的电话号码或 Skype ID。 | - |
| DefenderSecurityCenterHelpURL | 写入 | String | 它向用户显示的帮助门户 URL。 | - |
| DefenderSecurityCenterITContactDisplay | 写入 | String | 配置向最终用户显示 IT 联系人信息的位置。 可能的值为:notConfigured、displayInAppAndInNotifications、displayOnlyInApp、displayOnlyInNotifications。 |
notConfigured, displayInAppAndInNotifications, displayOnlyInApp, displayOnlyInNotifications |
| DefenderSecurityCenterNotificationsFromApp | 写入 | String | 要从应用的显示区域显示的通知。 可能的值为:notConfigured、blockNoncriticalNotifications、blockAllNotifications。 |
notConfigured, blockNoncriticalNotifications, blockAllNotifications |
| DefenderSecurityCenterOrganizationDisplayName | 写入 | String | 向用户显示的公司名称。 | - |
| DefenderSignatureUpdateIntervalInHours | 写入 | UInt32 | 指定用于检查签名的间隔 (以小时) ,因此,将根据间隔设置新签名检查,而不是使用 ScheduleDay 和 ScheduleTime。 有效值为 0 至 24 | - |
| DefenderSubmitSamplesConsentType | 写入 | String | 在 Windows Defender 中检查用户同意级别以发送数据。 可能的值为:sendSafeSamplesAutomatically、alwaysPrompt、neverSend、sendAllSamplesAutomatically。 |
sendSafeSamplesAutomatically, alwaysPrompt, neverSend, sendAllSamplesAutomatically |
| DefenderUntrustedExecutable | 写入 | String | 指示对不符合流行率、年龄或受信任列表条件的可执行文件的响应的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderUntrustedExecutableType | 写入 | String | 指示对不符合流行率、年龄或受信任列表条件的可执行文件的响应的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DefenderUntrustedUSBProcess | 写入 | String | 指示对从 USB 运行的不受信任和未签名进程的响应的值。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderUntrustedUSBProcessType | 写入 | String | 指示对从 USB 运行的不受信任和未签名进程的响应的值。 可能的值包括:userDefined、block、auditMode、warn、disable。 |
userDefined, block, auditMode, warn, disable |
| DeviceGuardEnableSecureBootWithDMA | 写入 | 布尔值 | 此属性将于 2019 年 5 月弃用,并将替换为属性 DeviceGuardSecureBootWithDMA。 指定是否在下次重新启动时启用平台安全级别。 | - |
| DeviceGuardEnableVirtualizationBasedSecurity | 写入 | 布尔值 | 打开基于虚拟化的安全性 (VBS) 。 | - |
| DeviceGuardLaunchSystemGuard | 写入 | String | 允许 IT 管理员配置 System Guard 的启动。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| DeviceGuardLocalSystemAuthorityCredentialGuardSettings | 写入 | String | 同时启用具有安全启动的平台安全级别和基于虚拟化的安全性时,启用 Credential Guard。 可能的值为:notConfigured、enableWithUEFILock、enableWithoutUEFILock、disable。 |
notConfigured, enableWithUEFILock, enableWithoutUEFILock, disable |
| DeviceGuardSecureBootWithDMA | 写入 | String | 指定是否在下次重新启动时启用平台安全级别。 可能的值为:notConfigured、withoutDMA、withDMA。 |
notConfigured, withoutDMA, withDMA |
| DmaGuardDeviceEnumerationPolicy | 写入 | String | 此策略旨在针对支持外部 DMA 的设备提供额外的安全性。 它允许对支持外部 DMA 的设备枚举进行更多控制,这些设备与 DMA 重映射/设备内存隔离和沙盒不兼容。 仅当系统固件支持并启用内核 DMA 保护时,此策略才会生效。 内核 DMA 保护是一项平台功能,无法通过策略或最终用户进行控制。 在制造时,系统必须支持它。 若要检查系统是否支持内核 DMA 保护,请在 MSINFO32.exe 的“摘要”页中检查“内核 DMA 保护”字段。 可能的值为:deviceDefault、blockAll、allowAll。 |
deviceDefault, blockAll, allowAll |
| FirewallBlockStatefulFTP | 写入 | 布尔值 | 阻止到设备的有状态 FTP 连接 | - |
| FirewallCertificateRevocationListCheckMethod | 写入 | String | 指定如何强制实施证书吊销列表。 可能的值为:deviceDefault、none、attempt、require。 |
deviceDefault, none, attempt, require |
| FirewallIdleTimeoutForSecurityAssociationInSeconds | 写入 | UInt32 | 配置安全关联的空闲超时(以秒为单位),值范围为 300 到 3600(包括这两个值)。 这是一个时间段,在此之后安全关联将过期并被删除。 有效值为 300 至 3600 | - |
| FirewallIPSecExemptionsAllowDHCP | 写入 | 布尔值 | 配置 IPSec 免除项以允许 IPv4 和 IPv6 DHCP 通信 | - |
| FirewallIPSecExemptionsAllowICMP | 写入 | 布尔值 | 配置 IPSec 免除项以允许 ICMP | - |
| FirewallIPSecExemptionsAllowNeighborDiscovery | 写入 | 布尔值 | 配置 IPSec 免除项以允许邻居发现 IPv6 ICMP 类型代码 | - |
| FirewallIPSecExemptionsAllowRouterDiscovery | 写入 | 布尔值 | 配置 IPSec 免除项以允许路由器发现 IPv6 ICMP 类型代码 | - |
| FirewallIPSecExemptionsNone | 写入 | 布尔值 | 将 IPSec 豁免配置为无豁免 | - |
| FirewallMergeKeyingModuleSettings | 写入 | 布尔值 | 如果键控模块不完全支持身份验证集,请指示模块仅忽略不受支持的身份验证套件而不是整个集 | - |
| FirewallPacketQueueingMethod | 写入 | String | 配置应在隧道网关方案中应用数据包队列的方式。 可能的值为:deviceDefault、disabled、queueInbound、queueOutbound、queueBoth。 |
deviceDefault, disabled, queueInbound, queueOutbound, queueBoth |
| FirewallPreSharedKeyEncodingMethod | 写入 | String | 选择要使用的预共享密钥编码。 可能的值为:deviceDefault、none、utF8。 |
deviceDefault, none, utF8 |
| FirewallProfileDomain | 写入 | MSFT_MicrosoftGraphwindowsFirewallNetworkProfile | 配置域网络的防火墙配置文件设置 | - |
| FirewallProfilePrivate | 写入 | MSFT_MicrosoftGraphwindowsFirewallNetworkProfile | 配置专用网络的防火墙配置文件设置 | - |
| FirewallProfilePublic | 写入 | MSFT_MicrosoftGraphwindowsFirewallNetworkProfile | 配置公用网络的防火墙配置文件设置 | - |
| FirewallRules | 写入 | MSFT_MicrosoftGraphwindowsFirewallRule[] | 配置防火墙规则设置。 此集合最多可以包含 150 个元素。 | - |
| LanManagerAuthenticationLevel | 写入 | String | 此安全设置确定用于网络登录的质询/响应身份验证协议。 可能的值为:lmAndNltm、lmNtlmAndNtlmV2、lmAndNtlmOnly、lmAndNtlmV2、lmNtlmV2AndNotLm、lmNtlmV2AndNotLm、lmNtlmV2AndNotLmOrNtm。 |
lmAndNltm, lmNtlmAndNtlmV2, lmAndNtlmOnly, lmAndNtlmV2, lmNtlmV2AndNotLm, lmNtlmV2AndNotLmOrNtm |
| LanManagerWorkstationDisableInsecureGuestLogons | 写入 | 布尔值 | 如果启用,SMB 客户端将允许不安全的来宾登录。 如果未配置,SMB 客户端将拒绝不安全的来宾登录。 | - |
| LocalSecurityOptionsAdministratorAccountName | 写入 | String | 定义一个不同的帐户名称,以与帐户“管理员”的安全标识符 (SID) 相关联。 | - |
| LocalSecurityOptionsAdministratorElevationPromptBehavior | 写入 | String | 在管理员审批模式下为管理员定义提升提示的行为。 可能的值为:notConfigured、elevateWithoutPrompting、promptForCredentialsOnTheSecureDesktop、promptForConsentOnTheSecureDesktop、promptForCredentials、promptForConsent、promptForConsentForNonWindowsBinaries。 |
notConfigured, elevateWithoutPrompting, promptForCredentialsOnTheSecureDesktop, promptForConsentOnTheSecureDesktop, promptForCredentials, promptForConsent, promptForConsentForNonWindowsBinaries |
| LocalSecurityOptionsAllowAnonymousEnumerationOfSAMAccountsAndShares | 写入 | 布尔值 | 此安全设置确定是否允许匿名用户执行某些活动,例如枚举域帐户和网络共享的名称。 | - |
| LocalSecurityOptionsAllowPKU2UAuthenticationRequests | 写入 | 布尔值 | 阻止对此设备的 PKU2U 身份验证请求以使用联机标识。 | - |
| LocalSecurityOptionsAllowRemoteCallsToSecurityAccountsManager | 写入 | String | 编辑默认的安全描述符定义语言字符串,以允许或拒绝用户和组对 SAM 进行远程调用。 | - |
| LocalSecurityOptionsAllowRemoteCallsToSecurityAccountsManagerHelperBool | 写入 | 布尔值 | LocalSecurityOptionsAllowRemoteCallsToSecurityAccountsManager 实体的 UI 帮助程序布尔值 | - |
| LocalSecurityOptionsAllowSystemToBeShutDownWithoutHavingToLogOn | 写入 | 布尔值 | 此安全设置确定是否可以在不登录 Windows 的情况下关闭计算机。 | - |
| LocalSecurityOptionsAllowUIAccessApplicationElevation | 写入 | 布尔值 | 允许 UIAccess 应用在不使用安全桌面的情况下提示提升。 | - |
| LocalSecurityOptionsAllowUIAccessApplicationsForSecureLocations | 写入 | 布尔值 | 允许 UIAccess 应用在不使用安全桌面的情况下提示提升。默认已启用 | - |
| LocalSecurityOptionsAllowUndockWithoutHavingToLogon | 写入 | 布尔值 | 防止在无需登录的情况下取消停靠便携式计算机。 | - |
| LocalSecurityOptionsBlockMicrosoftAccounts | 写入 | 布尔值 | 阻止用户向此计算机添加新Microsoft帐户。 | - |
| LocalSecurityOptionsBlockRemoteLogonWithBlankPassword | 写入 | 布尔值 | 启用不受密码保护的本地帐户,以便从物理设备以外的位置登录。默认已启用 | - |
| LocalSecurityOptionsBlockRemoteOpticalDriveAccess | 写入 | 布尔值 | 启用此设置仅允许以交互方式登录的用户访问 CD-ROM 媒体。 | - |
| LocalSecurityOptionsBlockUsersInstallingPrinterDrivers | 写入 | 布尔值 | 将安装打印机驱动程序限制为连接到共享打印机的一部分,仅供管理员使用。 | - |
| LocalSecurityOptionsClearVirtualMemoryPageFile | 写入 | 布尔值 | 此安全设置确定系统关闭时是否清除虚拟内存页文件。 | - |
| LocalSecurityOptionsClientDigitallySignCommunicationsAlways | 写入 | 布尔值 | 此安全设置确定 SMB 客户端组件是否需要数据包签名。 | - |
| LocalSecurityOptionsClientSendUnencryptedPasswordToThirdPartySMBServers | 写入 | 布尔值 | 如果启用此安全设置,则允许服务器消息块 (SMB) 重定向程序将纯文本密码发送到身份验证期间不支持密码加密的非Microsoft SMB 服务器。 | - |
| LocalSecurityOptionsDetectApplicationInstallationsAndPromptForElevation | 写入 | 布尔值 | 需要提升权限的应用安装将提示输入管理员凭据。默认已启用 | - |
| LocalSecurityOptionsDisableAdministratorAccount | 写入 | 布尔值 | 确定是启用或禁用本地管理员帐户。 | - |
| LocalSecurityOptionsDisableClientDigitallySignCommunicationsIfServerAgrees | 写入 | 布尔值 | 此安全设置确定 SMB 客户端是否尝试协商 SMB 数据包签名。 | - |
| LocalSecurityOptionsDisableGuestAccount | 写入 | 布尔值 | 确定来宾帐户是启用或禁用的。 | - |
| LocalSecurityOptionsDisableServerDigitallySignCommunicationsAlways | 写入 | 布尔值 | 此安全设置确定 SMB 服务器组件是否需要数据包签名。 | - |
| LocalSecurityOptionsDisableServerDigitallySignCommunicationsIfClientAgrees | 写入 | 布尔值 | 此安全设置确定 SMB 服务器是否会与请求它的客户端协商 SMB 数据包签名。 | - |
| LocalSecurityOptionsDoNotAllowAnonymousEnumerationOfSAMAccounts | 写入 | 布尔值 | 此安全设置确定将授予哪些其他权限以匿名连接到计算机。 | - |
| LocalSecurityOptionsDoNotRequireCtrlAltDel | 写入 | 布尔值 | 在用户登录之前,需要按 Ctrl+Alt+DEL。 | - |
| LocalSecurityOptionsDoNotStoreLANManagerHashValueOnNextPasswordChange | 写入 | 布尔值 | 此安全设置确定在下次更改密码时,是否存储新密码的 LAN 管理器 (LM) 哈希值。 默认情况下不存储它。 | - |
| LocalSecurityOptionsFormatAndEjectOfRemovableMediaAllowedUser | 写入 | String | 定义允许谁格式化和弹出可移动 NTFS 媒体。 可能的值包括:notConfigured、administrators、administratorsAndPowerUsers、administratorsAndInteractiveUsers。 |
notConfigured, administrators, administratorsAndPowerUsers, administratorsAndInteractiveUsers |
| LocalSecurityOptionsGuestAccountName | 写入 | String | 定义一个不同的帐户名称,以便与帐户“来宾”的安全标识符 (SID) 相关联。 | - |
| LocalSecurityOptionsHideLastSignedInUser | 写入 | 布尔值 | 不要显示在此设备上登录的最后一个用户的用户名。 | - |
| LocalSecurityOptionsHideUsernameAtSignIn | 写入 | 布尔值 | 在输入凭据后和显示设备桌面之前,不要显示登录此设备的用户的用户名。 | - |
| LocalSecurityOptionsInformationDisplayedOnLockScreen | 写入 | String | 配置会话锁定时显示的用户信息。 如果未配置,则会显示用户显示名称、域和用户名。 可能的值包括:notConfigured、administrators、administratorsAndPowerUsers、administratorsAndInteractiveUsers。 |
notConfigured, administrators, administratorsAndPowerUsers, administratorsAndInteractiveUsers |
| LocalSecurityOptionsInformationShownOnLockScreen | 写入 | String | 配置会话锁定时显示的用户信息。 如果未配置,则会显示用户显示名称、域和用户名。 可能的值为:notConfigured、userDisplayNameDomainUser、userDisplayNameOnly、doNotDisplayUser。 |
notConfigured, userDisplayNameDomainUser, userDisplayNameOnly, doNotDisplayUser |
| LocalSecurityOptionsLogOnMessageText | 写入 | String | 为尝试登录的用户设置消息文本。 | - |
| LocalSecurityOptionsLogOnMessageTitle | 写入 | String | 为尝试登录的用户设置消息标题。 | - |
| LocalSecurityOptionsMachineInactivityLimit | 写入 | UInt32 | 定义在屏幕保护程序运行之前,交互式桌面登录屏幕上的最大不活动分钟数。 有效值 0 到 9999 | - |
| LocalSecurityOptionsMachineInactivityLimitInMinutes | 写入 | UInt32 | 定义在屏幕保护程序运行之前,交互式桌面登录屏幕上的最大不活动分钟数。 有效值 0 到 9999 | - |
| LocalSecurityOptionsMinimumSessionSecurityForNtlmSspBasedClients | 写入 | String | 此安全设置允许客户端要求协商 128 位加密和/或 NTLMv2 会话安全性。 可能的值为:none、requireNtmlV2SessionSecurity、require128BitEncryption、ntlmV2And128BitEncryption。 |
none, requireNtmlV2SessionSecurity, require128BitEncryption, ntlmV2And128BitEncryption |
| LocalSecurityOptionsMinimumSessionSecurityForNtlmSspBasedServers | 写入 | String | 此安全设置允许服务器要求协商 128 位加密和/或 NTLMv2 会话安全性。 可能的值为:none、requireNtmlV2SessionSecurity、require128BitEncryption、ntlmV2And128BitEncryption。 |
none, requireNtmlV2SessionSecurity, require128BitEncryption, ntlmV2And128BitEncryption |
| LocalSecurityOptionsOnlyElevateSignedExecutables | 写入 | 布尔值 | 在允许其运行之前,对给定的可执行文件强制实施 PKI 认证路径验证。 | - |
| LocalSecurityOptionsRestrictAnonymousAccessToNamedPipesAndShares | 写入 | 布尔值 | 默认情况下,此安全设置将对共享和管道的匿名访问限制为可以匿名访问的命名管道和可以匿名访问的共享的设置 | - |
| LocalSecurityOptionsSmartCardRemovalBehavior | 写入 | String | 此安全设置确定从智能卡读取器中删除登录用户的智能卡时会发生什么情况。 可能的值为:noAction、lockWorkstation、forceLogoff、disconnectRemoteDesktopSession。 |
noAction, lockWorkstation, forceLogoff, disconnectRemoteDesktopSession |
| LocalSecurityOptionsStandardUserElevationPromptBehavior | 写入 | String | 为标准用户定义提升提示的行为。 可能的值为:notConfigured、autoDenyElevationRequests、promptForCredentialsOnTheSecureDesktop、promptForCredentials。 |
notConfigured, automaticallyDenyElevationRequests, promptForCredentialsOnTheSecureDesktop, promptForCredentials |
| LocalSecurityOptionsSwitchToSecureDesktopWhenPromptingForElevation | 写入 | 布尔值 | 启用所有提升请求以转到交互式用户的桌面,而不是安全桌面。 使用管理员和标准用户的提示行为策略设置。 | - |
| LocalSecurityOptionsUseAdminApprovalMode | 写入 | 布尔值 | 定义内置管理员帐户是使用管理员审批模式,还是运行具有完全管理员权限的所有应用。默认已启用 | - |
| LocalSecurityOptionsUseAdminApprovalModeForAdministrators | 写入 | 布尔值 | 定义是否启用管理员审批模式和所有 UAC 策略设置,默认启用 | - |
| LocalSecurityOptionsVirtualizeFileAndRegistryWriteFailuresToPerUserLocations | 写入 | 布尔值 | 将文件和注册表写入失败虚拟化到每个用户位置 | - |
| SmartScreenBlockOverrideForFiles | 写入 | 布尔值 | 允许 IT 管理员控制用户是否可以忽略 SmartScreen 警告并运行恶意文件。 | - |
| SmartScreenEnableInShell | 写入 | 布尔值 | 允许 IT 管理员配置适用于 Windows 的 SmartScreen。 | - |
| UserRightsAccessCredentialManagerAsTrustedCaller | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限由凭据管理器在备份/还原期间使用。 如果将此权限授予其他实体,则用户的已保存凭据可能会泄露。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsActAsPartOfTheOperatingSystem | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限允许进程在不进行身份验证的情况下模拟任何用户。 因此,该过程可以访问与该用户相同的本地资源。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsAllowAccessFromNetwork | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定允许哪些用户和组通过网络连接到计算机。 支持状态允许。 | - |
| UserRightsBackupData | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户在备份文件和目录时可以绕过文件、目录、注册表和其他永久性对象权限。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsBlockAccessFromNetwork | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定阻止哪些用户和组通过网络连接到计算机。 支持状态块。 | - |
| UserRightsChangeSystemTime | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户和组可以更改计算机内部时钟上的时间和日期。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsCreateGlobalObjects | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此安全设置确定用户是否可以创建可用于所有会话的全局对象。 可以创建全局对象的用户可能会影响在其他用户会话下运行的进程,这可能导致应用程序故障或数据损坏。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsCreatePageFile | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户和组可以调用内部 API 来创建和更改页面文件的大小。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsCreatePermanentSharedObjects | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定进程可以使用哪些帐户使用对象管理器创建目录对象。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsCreateSymbolicLinks | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定用户是否可以从其登录的计算机创建符号链接。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsCreateToken | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定进程可以使用哪些用户/组来创建令牌,然后当进程使用内部 API 创建访问令牌时,该令牌可用于获取对任何本地资源的访问权限。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsDebugPrograms | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以将调试器附加到任何进程或内核。 仅支持 NotConfigured 和 Allowed 状态 | - |
| UserRightsDelegation | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以在用户或计算机对象上设置“受信任的委派”设置。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsDenyLocalLogOn | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户无法登录到计算机。 支持 NotConfigured、Blocked 状态 | - |
| UserRightsGenerateSecurityAudits | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定进程可以使用哪些帐户向安全日志添加条目。 安全日志用于跟踪未经授权的系统访问。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsImpersonateClient | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 将此用户权限分配给某个用户允许代表该用户运行的程序模拟客户端。 要求此用户权限进行此类模拟可以防止未经授权的用户说服客户端连接到他们创建的服务,然后模拟该客户端,这可能会将未经授权的用户的权限提升到管理或系统级别。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsIncreaseSchedulingPriority | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些帐户可以使用对另一个进程具有写入属性访问权限的进程,以增加分配给其他进程的执行优先级。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsLoadUnloadDrivers | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以在内核模式下动态加载和卸载设备驱动程序或其他代码。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsLocalLogOn | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以登录到计算机。 支持 NotConfigured、Allowed 的状态 | - |
| UserRightsLockMemory | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些帐户可以使用进程将数据保留在物理内存中,从而防止系统将数据分页到磁盘上的虚拟内存。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsManageAuditingAndSecurityLogs | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以为单个资源(例如文件、Active Directory 对象和注册表项)指定对象访问审核选项。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsManageVolumes | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户和组可以在卷上运行维护任务,例如远程碎片整理。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsModifyFirmwareEnvironment | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定谁可以修改固件环境值。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsModifyObjectLabels | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户帐户可以修改对象(例如文件、注册表项或其他用户拥有的进程)的完整性标签。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsProfileSingleProcess | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以使用性能监视工具来监视系统进程的性能。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsRemoteDesktopServicesLogOn | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定禁止哪些用户和组作为远程桌面服务客户端登录。 仅支持 NotConfigured 和 Blocked 状态 | - |
| UserRightsRemoteShutdown | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定允许哪些用户从网络上的远程位置关闭计算机。 滥用此用户权限可能会导致拒绝服务。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsRestoreData | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以在还原备份的文件和目录时绕过文件、目录、注册表和其他永久性对象权限,并确定哪些用户可以将任何有效的安全主体设置为对象的所有者。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| UserRightsTakeOwnership | 写入 | MSFT_MicrosoftGraphdeviceManagementUserRightsSetting | 此用户权限确定哪些用户可以获取系统中任何安全对象的所有权,包括 Active Directory 对象、文件和文件夹、打印机、注册表项、进程和线程。 仅支持 NotConfigured 和 Allowed 状态。 | - |
| WindowsDefenderTamperProtection | 写入 | String | 配置 windows defender 篡改保护设置。 可能的值包括:notConfigured、enable、disable。 |
notConfigured, enable, disable |
| XboxServicesAccessoryManagementServiceStartupMode | 写入 | String | 此设置确定附件管理服务的启动类型是否为自动 (2) 、手动 (3) 、禁用 (4) 。 默认值:手动。 可能的值为:manual、automatic、disabled。 |
manual, automatic, disabled |
| XboxServicesEnableXboxGameSaveTask | 写入 | 布尔值 | 此设置确定是启用 xbox 游戏保存 (1) 还是禁用 (0) 。 | - |
| XboxServicesLiveAuthManagerServiceStartupMode | 写入 | String | 此设置确定 Live Auth Manager 服务的启动类型是否为 Automatic (2) 、Manual (3) 、Disabled (4) 。 默认值:手动。 可能的值为:manual、automatic、disabled。 |
manual, automatic, disabled |
| XboxServicesLiveGameSaveServiceStartupMode | 写入 | String | 此设置确定实时游戏保存服务的启动类型是否为自动 (2) 、手动 (3) 、禁用 (4) 。 默认值:手动。 可能的值为:manual、automatic、disabled。 |
manual, automatic, disabled |
| XboxServicesLiveNetworkingServiceStartupMode | 写入 | String | 此设置确定网络服务的启动类型是否为自动 (2) 、手动 (3) 、禁用 (4) 。 默认值:手动。 可能的值为:manual、automatic、disabled。 |
manual, automatic, disabled |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphBitLockerFixedDrivePolicy
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| EncryptionMethod | 写入 | String | 选择固定驱动器的加密方法。 可能的值包括:aesCbc128、aesCbc256、xtsAes128、xtsAes256。 |
aesCbc128, aesCbc256, xtsAes128, xtsAes256 |
| RecoveryOptions | 写入 | MSFT_MicrosoftGraphBitLockerRecoveryOptions | 通过此策略设置,可以控制在没有所需凭据的情况下如何恢复受 BitLocker 保护的固定数据驱动器。 打开 BitLocker 时会应用此策略设置。 | - |
| RequireEncryptionForWriteAccess | 写入 | 布尔值 | 此策略设置确定在计算机上可写固定数据驱动器是否需要 BitLocker 保护。 | - |
MSFT_MicrosoftGraphBitLockerRecoveryOptions
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| BlockDataRecoveryAgent | 写入 | 布尔值 | 指示是否阻止基于证书的数据恢复代理。 | - |
| EnableBitLockerAfterRecoveryInformationToStore | 写入 | 布尔值 | 指示在恢复信息存储在 AD DS 中之前是否启用 BitLocker。 | - |
| EnableRecoveryInformationSaveToStore | 写入 | 布尔值 | 指示是否允许将 BitLocker 恢复信息存储在 AD DS 中。 | - |
| HideRecoveryOptions | 写入 | 布尔值 | 指示是否允许在 BitLocker 安装向导中显示固定磁盘或系统磁盘的恢复选项。 | - |
| RecoveryInformationToStore | 写入 | String | 配置将哪些 BitLocker 恢复信息部分存储到 AD DS。 可能的值为:passwordAndKey、passwordOnly。 |
passwordAndKey, passwordOnly |
| RecoveryKeyUsage | 写入 | String | 指示是否允许用户为固定磁盘或系统磁盘生成 256 位恢复密钥。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| RecoveryPasswordUsage | 写入 | String | 指示是否允许用户为固定磁盘或系统磁盘生成 48 位恢复密码。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
MSFT_MicrosoftGraphBitLockerRemovableDrivePolicy
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| BlockCrossOrganizationWriteAccess | 写入 | 布尔值 | 此策略设置决定可移动数据驱动器是否需要 BitLocker 保护,以使其在计算机上可写。 | - |
| EncryptionMethod | 写入 | String | 选择可移动驱动器的加密方法。 可能的值包括:aesCbc128、aesCbc256、xtsAes128、xtsAes256。 |
aesCbc128, aesCbc256, xtsAes128, xtsAes256 |
| RequireEncryptionForWriteAccess | 写入 | 布尔值 | 指示是否阻止对其他组织中配置的设备的写入权限。 如果 requireEncryptionForWriteAccess 为 false,则此值没有影响。 | - |
MSFT_MicrosoftGraphBitLockerSystemDrivePolicy
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| EncryptionMethod | 写入 | String | 选择操作系统驱动器的加密方法。 可能的值包括:aesCbc128、aesCbc256、xtsAes128、xtsAes256。 |
aesCbc128, aesCbc256, xtsAes128, xtsAes256 |
| MinimumPinLength | 写入 | UInt32 | 指示启动引脚的最小长度。 有效值 4 到 20 | - |
| PrebootRecoveryEnableMessageAndUrl | 写入 | 布尔值 | 启用预启动恢复消息和 URL。 如果 requireStartupAuthentication 为 false,则此值不会影响。 | - |
| PrebootRecoveryMessage | 写入 | String | 定义自定义恢复消息。 | - |
| PrebootRecoveryUrl | 写入 | String | 定义自定义恢复 URL。 | - |
| RecoveryOptions | 写入 | MSFT_MicrosoftGraphBitLockerRecoveryOptions | 允许在没有所需的启动密钥信息的情况下恢复 BitLocker 加密的操作系统驱动器。 打开 BitLocker 时会应用此策略设置。 | - |
| StartupAuthenticationBlockWithoutTpmChip | 写入 | 布尔值 | 指示是否允许没有兼容的 TPM 的 BitLocker (需要 USB 闪存驱动器上的密码或启动密钥) 。 | - |
| StartupAuthenticationRequired | 写入 | 布尔值 | 启动时需要其他身份验证。 | - |
| StartupAuthenticationTpmKeyUsage | 写入 | String | 指示是否允许/必需/不允许 TPM 启动密钥。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| StartupAuthenticationTpmPinAndKeyUsage | 写入 | String | 指示是否允许/需要/不允许 TPM 启动引脚密钥和密钥。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| StartupAuthenticationTpmPinUsage | 写入 | String | 指示是否允许/需要/不允许 TPM 启动引脚。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| StartupAuthenticationTpmUsage | 写入 | String | 指示是否允许/需要/不允许 TPM 启动。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
MSFT_MicrosoftGraphDefenderDetectedMalwareActions
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| HighSeverity | 写入 | String | 指示要对检测到的高严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
| LowSeverity | 写入 | String | 指示要对检测到的低严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
| ModerateSeverity | 写入 | String | 指示要对检测到的中等严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
| SevereSeverity | 写入 | String | 指示要对检测到的严重严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
MSFT_MicrosoftGraphWindowsFirewallNetworkProfile
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AuthorizedApplicationRulesFromGroupPolicyMerged | 写入 | 布尔值 | 将防火墙配置为将组策略中的授权应用程序规则与本地存储中的规则合并,而不是忽略本地存储规则。 如果 AuthorizedApplicationRulesFromGroupPolicyNotMerged 和 AuthorizedApplicationRulesFromGroupPolicyMerged 均为 true,则 AuthorizedApplicationRulesFromGroupPolicyMerged 优先。 | - |
| AuthorizedApplicationRulesFromGroupPolicyNotMerged | 写入 | 布尔值 | 配置防火墙以防止将组策略中的授权应用程序规则与本地存储中的规则合并,而不是忽略本地存储规则。 如果 AuthorizedApplicationRulesFromGroupPolicyNotMerged 和 AuthorizedApplicationRulesFromGroupPolicyMerged 均为 true,则 AuthorizedApplicationRulesFromGroupPolicyMerged 优先。 | - |
| ConnectionSecurityRulesFromGroupPolicyMerged | 写入 | 布尔值 | 将防火墙配置为将组策略中的连接安全规则与本地存储中的连接安全规则合并,而不是忽略本地存储规则。 当 ConnectionSecurityRulesFromGroupPolicyNotMerged 和 ConnectionSecurityRulesFromGroupPolicyMerged 均为 true 时,ConnectionSecurityRulesFromGroupPolicyMerged 优先。 | - |
| ConnectionSecurityRulesFromGroupPolicyNotMerged | 写入 | 布尔值 | 配置防火墙以防止将组策略中的连接安全规则与本地存储中的规则合并,而不是忽略本地存储规则。 当 ConnectionSecurityRulesFromGroupPolicyNotMerged 和 ConnectionSecurityRulesFromGroupPolicyMerged 均为 true 时,ConnectionSecurityRulesFromGroupPolicyMerged 优先。 | - |
| FirewallEnabled | 写入 | String | 将主机设备配置为允许或阻止防火墙和网络配置文件的高级安全强制。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
| GlobalPortRulesFromGroupPolicyMerged | 写入 | 布尔值 | 将防火墙配置为将组策略中的全局端口规则与本地存储中的全局端口规则合并,而不是忽略本地存储规则。 当 GlobalPortRulesFromGroupPolicyNotMerged 和 GlobalPortRulesFromGroupPolicyMerged 均为 true 时,GlobalPortRulesFromGroupPolicyMerged 优先。 | - |
| GlobalPortRulesFromGroupPolicyNotMerged | 写入 | 布尔值 | 将防火墙配置为防止将组策略中的全局端口规则与本地存储中的全局端口规则合并,而不是忽略本地存储规则。 当 GlobalPortRulesFromGroupPolicyNotMerged 和 GlobalPortRulesFromGroupPolicyMerged 均为 true 时,GlobalPortRulesFromGroupPolicyMerged 优先。 | - |
| InboundConnectionsBlocked | 写入 | 布尔值 | 将防火墙配置为默认阻止所有传入连接。 当 InboundConnectionsRequired 和 InboundConnectionsBlocked 均为 true 时,InboundConnectionsBlocked 优先。 | - |
| InboundConnectionsRequired | 写入 | 布尔值 | 将防火墙配置为默认允许所有传入连接。 当 InboundConnectionsRequired 和 InboundConnectionsBlocked 均为 true 时,InboundConnectionsBlocked 优先。 | - |
| InboundNotificationsBlocked | 写入 | 布尔值 | 在阻止应用程序侦听端口时,阻止防火墙显示通知。 当 InboundNotificationsRequired 和 InboundNotificationsBlocked 均为 true 时,InboundNotificationsBlocked 优先。 | - |
| InboundNotificationsRequired | 写入 | 布尔值 | 允许防火墙在阻止应用程序侦听端口时显示通知。 当 InboundNotificationsRequired 和 InboundNotificationsBlocked 均为 true 时,InboundNotificationsBlocked 优先。 | - |
| IncomingTrafficBlocked | 写入 | 布尔值 | 将防火墙配置为阻止所有传入流量,而不考虑其他策略设置。 当 IncomingTrafficRequired 和 IncomingTrafficBlocked 均为 true 时,IncomingTrafficBlocked 优先。 | - |
| IncomingTrafficRequired | 写入 | 布尔值 | 根据其他策略设置将防火墙配置为允许传入流量。 当 IncomingTrafficRequired 和 IncomingTrafficBlocked 均为 true 时,IncomingTrafficBlocked 优先。 | - |
| OutboundConnectionsBlocked | 写入 | 布尔值 | 将防火墙配置为默认阻止所有传出连接。 当 OutboundConnectionsRequired 和 OutboundConnectionsBlocked 均为 true 时,OutboundConnectionsBlocked 优先。 此设置将应用于 Windows 版本 1809 及更高版本。 | - |
| OutboundConnectionsRequired | 写入 | 布尔值 | 将防火墙配置为默认允许所有传出连接。 当 OutboundConnectionsRequired 和 OutboundConnectionsBlocked 均为 true 时,OutboundConnectionsBlocked 优先。 此设置将应用于 Windows 版本 1809 及更高版本。 | - |
| PolicyRulesFromGroupPolicyMerged | 写入 | 布尔值 | 将防火墙配置为将组策略中的防火墙规则策略与本地存储中的防火墙规则策略合并,而不是忽略本地存储规则。 当 PolicyRulesFromGroupPolicyNotMerged 和 PolicyRulesFromGroupPolicyMerged 均为 true 时,PolicyRulesFromGroupPolicyMerged 优先。 | - |
| PolicyRulesFromGroupPolicyNotMerged | 写入 | 布尔值 | 将防火墙配置为防止将组策略中的防火墙规则策略与本地存储中的策略合并,而不是忽略本地存储规则。 当 PolicyRulesFromGroupPolicyNotMerged 和 PolicyRulesFromGroupPolicyMerged 均为 true 时,PolicyRulesFromGroupPolicyMerged 优先。 | - |
| SecuredPacketExemptionAllowed | 写入 | 布尔值 | 将防火墙配置为允许主计算机响应 IPSec 保护的未经请求的网络流量,即使将 stealthModeBlocked 设置为 true 也是如此。 当 SecuredPacketExemptionBlocked 和 SecuredPacketExemptionAllowed 均为 true 时,SecuredPacketExemptionAllowed 优先。 | - |
| SecuredPacketExemptionBlocked | 写入 | 布尔值 | 将防火墙配置为阻止主机以响应 IPSec 保护的未经请求的网络流量,即使将 stealthModeBlocked 设置为 true 也是如此。 当 SecuredPacketExemptionBlocked 和 SecuredPacketExemptionAllowed 均为 true 时,SecuredPacketExemptionAllowed 优先。 | - |
| StealthModeBlocked | 写入 | 布尔值 | 阻止服务器在隐藏模式下运行。 当 StealthModeRequired 和 StealthModeBlocked 均为 true 时,StealthModeBlocked 优先。 | - |
| StealthModeRequired | 写入 | 布尔值 | 允许服务器在隐藏模式下运行。 当 StealthModeRequired 和 StealthModeBlocked 均为 true 时,StealthModeBlocked 优先。 | - |
| UnicastResponsesToMulticastBroadcastsBlocked | 写入 | 布尔值 | 将防火墙配置为阻止对多播广播流量的单播响应。 当 UnicastResponsesToMulticastBroadcastsRequired 和 UnicastResponsesToMulticastBroadcastsBlocked 均为 true 时,UnicastResponsesToMulticastBroadcastsBlocked 优先。 | - |
| UnicastResponsesToMulticastBroadcastsRequired | 写入 | 布尔值 | 将防火墙配置为允许对多播广播流量进行单播响应。 当 UnicastResponsesToMulticastBroadcastsRequired 和 UnicastResponsesToMulticastBroadcastsBlocked 均为 true 时,UnicastResponsesToMulticastBroadcastsBlocked 优先。 | - |
MSFT_MicrosoftGraphWindowsFirewallRule
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 操作 | 写入 | String | 规则强制执行的操作。 如果未指定,则默认值为“允许”。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
| 说明 | 写入 | String | 规则的说明。 | - |
| DisplayName | 写入 | String | 规则的显示名称。 不需要是唯一的。 | - |
| EdgeTraversal | 写入 | String | 指示是为此规则启用或禁用边缘遍历。 EdgeTraversal 设置指示允许特定入站流量使用 Teredo 隧道技术通过 NAT 和其他边缘设备通过隧道。 若要使此设置正常工作,具有入站防火墙规则的应用程序或服务需要支持 IPv6。 此设置的主要应用程序允许主机上的侦听器通过 Teredo IPv6 地址全局寻址。 默认情况下,新规则禁用 EdgeTraversal 属性。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
| FilePath | 写入 | String | 受防火墙规则影响的应用的完整文件路径。 | - |
| InterfaceTypes | 写入 | StringArray[] | 规则的接口类型。 可能的值为:notConfigured、remoteAccess、wireless、lan。 |
notConfigured, remoteAccess, wireless, lan |
| LocalAddressRanges | 写入 | StringArray[] | 规则涵盖的本地地址列表。 默认值为任意地址。 有效令牌包括:''表示任何本地地址。 如果存在,则必须是唯一包含的令牌。可以使用子网掩码或网络前缀表示法指定子网。 如果未指定子网掩码或网络前缀,则子网掩码默认为 255.255.255.255.A 有效 IPv6 地址。采用“开始地址 - 结束地址”格式的 IPv4 地址范围,不包含空格。格式为“开始地址 - 结束地址”的 IPv6 地址范围,不包含空格。 | - |
| LocalPortRanges | 写入 | StringArray[] | 本地端口范围的列表。 例如,“100-120”、“200”、“300-320”。 如果未指定,则默认值为 All。 | - |
| LocalUserAuthorizations | 写入 | String | 指定应用容器的已授权本地用户列表。 这是安全描述符定义语言 (SDDL) 格式的字符串。 | - |
| PackageFamilyName | 写入 | String | 受防火墙规则影响的 Microsoft Store 应用程序的包系列名称。 | - |
| ProfileTypes | 写入 | String | 指定规则所属的配置文件。 如果未指定,则默认值为 All。 可能的值包括:notConfigured、domain、private、public。 | - |
| 协议 | 写入 | UInt32 | 0-255 数字,表示 IP 协议 (TCP = 6,UDP = 17) 。 如果未指定,则默认值为 All。 有效值 0 到 255 | - |
| RemoteAddressRanges | 写入 | StringArray[] | 指定规则涵盖的远程地址的令牌列表。 令牌不区分大小写。 默认值为任意地址。 有效令牌包括:“”指示任何远程地址。 如果存在,则必须是唯一包含的令牌。Windows 版本 1809+) “RmtIntranet” (Windows 版本 1809+ 支持“Defaultgateway”'DHCP'DNS''WINS'Intranet' (支持) “Internet” (Windows 版本 1809+) 'Ply2Renders' (支持 Windows 版本 1809+) 'LocalSubnet'指示本地子网上的任何本地地址。可以使用子网掩码或网络前缀表示法指定子网。 如果未指定子网掩码或网络前缀,则子网掩码默认为 255.255.255.255.A 有效 IPv6 地址。采用“开始地址 - 结束地址”格式的 IPv4 地址范围,不包含空格。格式为“开始地址 - 结束地址”的 IPv6 地址范围,不包含空格。 | - |
| RemotePortRanges | 写入 | StringArray[] | 远程端口范围列表。 例如,“100-120”、“200”、“300-320”。 如果未指定,则默认值为 All。 | - |
| ServiceName | 写入 | String | 服务(而不是应用程序)正在发送或接收流量时使用的名称。 | - |
| TrafficDirection | 写入 | String | 为其启用规则的流量方向。 如果未指定,则默认值为 Out。可能的值为:notConfigured、out、in。 |
notConfigured, out, in |
MSFT_MicrosoftGraphDeviceManagementUserRightsSetting
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| LocalUsersOrGroups | 写入 | MSFT_MicrosoftGraphDeviceManagementUserRightsLocalUserOrGroup[] | 表示本地用户或组的集合,如果此设置的状态为“允许”,则会在设备上设置这些用户或组。 该集合最多可包含 500 个元素。 | - |
| 状态 | 写入 | String | 表示此用户权限设置的当前状态。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
MSFT_MicrosoftGraphDeviceManagementUserRightsLocalUserOrGroup
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 说明 | 写入 | String | 此本地用户或组的管理员说明。 | - |
| 名称 | 写入 | String | 此本地用户或组的名称。 | - |
| SecurityIdentifier | 写入 | String | 此本地用户或组的安全标识符 (例如 S-1-5-32-544) 。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationFirmwareInterfacePolicyWindows10 资源类型
说明
适用于 Windows10 的Intune设备配置固件接口策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 蓝牙 | 写入 | String | 定义是否允许用户启用蓝牙。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| BootFromBuiltInNetworkAdapters | 写入 | String | 定义是否允许用户从内置网络适配器启动。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| BootFromExternalMedia | 写入 | String | 定义是否允许用户从外部媒体启动。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| 相机 | 写入 | String | 定义是否启用内置相机。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| ChangeUefiSettingsPermission | 写入 | String | 定义授予用户更改 UEFI 设置的权限级别。 可能的值为:notConfiguredOnly、none。 |
notConfiguredOnly, none |
| FrontCamera | 写入 | String | 定义是否允许用户启用前置摄像头。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| InfraredCamera | 写入 | String | 定义是否允许用户启用红外相机。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| 麦克风 | 写入 | String | 定义是否允许用户启用麦克风。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| MicrophonesAndSpeakers | 写入 | String | 定义是否启用内置麦克风或扬声器。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| NearFieldCommunication | 写入 | String | 定义是否允许用户启用近场通信。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| 收音机 | 写入 | String | 定义是否启用内置无线电,例如 WIFI、NFC、蓝牙。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| RearCamera | 写入 | String | 定义是否允许用户启用后置摄像头。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| SdCard | 写入 | String | 定义是否允许用户启用 SD 卡端口。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| SimultaneousMultiThreading | 写入 | String | 定义是否允许用户启用同时多线程处理。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| UsbTypeAPort | 写入 | String | 定义是否允许用户启用 USB 类型 A 端口。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| VirtualizationOfCpuAndIO | 写入 | String | 定义是否启用 CPU 和 IO 虚拟化。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| WakeOnLAN | 写入 | String | 定义是否允许用户启用 LAN 唤醒。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| WakeOnPower | 写入 | String | 定义是否允许用户启用电源唤醒。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| WiFi | 写入 | String | 定义是否允许用户启用 WiFi。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| WindowsPlatformBinaryTable | 写入 | String | 定义是否允许用户启用 Windows 平台二进制表。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| WirelessWideAreaNetwork | 写入 | String | 定义是否允许用户启用无线广域网。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationHealthMonitoringConfigurationPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置运行状况监视配置策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AllowDeviceHealthMonitoring | 写入 | String | 在设备上启用设备运行状况监视。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| ConfigDeviceHealthMonitoringCustomScope | 写入 | String | 指定从启用了运行状况监视的设备收集的自定义事件集 | - |
| ConfigDeviceHealthMonitoringScope | 写入 | StringArray[] | 指定从启用运行状况监视的设备收集的事件集。 可能的值包括:undefined、healthMonitoring、bootPerformance、windowsUpdates、privilegeManagement。 |
undefined, healthMonitoring, bootPerformance, windowsUpdates, privilegeManagement |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationIdentityProtectionPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置标识保护策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| EnhancedAntiSpoofingForFacialFeaturesEnabled | 写入 | 布尔值 | 用于在Windows Hello人脸身份验证上启用面部特征识别的增强型反欺骗的布尔值。 | - |
| PinExpirationInDays | 写入 | UInt32 | 整数值指定在系统要求用户更改 PIN 之前可以使用 PIN 的时间段 (天) 。 有效值为 0 到 730(含 0 到 730)。 有效值为 0 至 730 | - |
| PinLowercaseCharactersUsage | 写入 | String | 此值在 WINDOWS HELLO 企业版 PIN 中配置小写字符的使用。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| PinMaximumLength | 写入 | UInt32 | 设置工作 PIN 允许的最大字符数的整数值。 有效值为 4 到 127(含 4 到 127)且大于或等于为最小 PIN 设置的值。 有效值 4 到 127 | - |
| PinMinimumLength | 写入 | UInt32 | 设置WINDOWS HELLO 企业版 PIN 所需的最小字符数的整数值。 有效值为 4 到 127(含 4 到 127),小于或等于为最大 PIN 设置的值。 有效值 4 到 127 | - |
| PinPreviousBlockCount | 写入 | UInt32 | 控制阻止用户使用过去的 PIN 的功能。 这必须设置在 0 到 50(含)之间,并且用户的当前 PIN 包含在该计数中。 如果设置为 0,则不存储以前的 PIN。 PIN 历史记录不会通过 PIN 重置来保留。 有效值为 0 至 50 | - |
| PinRecoveryEnabled | 写入 | 布尔值 | 使用户能够使用Windows Hello 企业版 PIN 恢复服务更改其 PIN 的布尔值。 | - |
| PinSpecialCharactersUsage | 写入 | String | 控制在Windows Hello 企业版 PIN 中使用特殊字符的能力。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| PinUppercaseCharactersUsage | 写入 | String | 此值配置Windows Hello 企业版 PIN 中大写字符的使用。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| SecurityDeviceRequired | 写入 | 布尔值 | 控制是否需要受信任的平台模块 (TPM) 来预配Windows Hello 企业版。 TPM 提供了一个额外的安全优势,因为它上存储的数据不能在其他设备上使用。 如果设置为 False,则所有设备都可以预配Windows Hello 企业版即使没有可用 TPM 也是如此。 | - |
| UnlockWithBiometricsEnabled | 写入 | 布尔值 | 控制使用生物识别手势(如人脸和指纹)作为Windows Hello 企业版 PIN 的替代方法。 如果设置为 False,则不允许生物识别手势。 在发生故障时,用户仍必须将 PIN 配置为备份。 | - |
| UseCertificatesForOnPremisesAuthEnabled | 写入 | 布尔值 | 使Windows Hello 企业版能够使用证书对本地资源进行身份验证的布尔值。 | - |
| UseSecurityKeyForSignin | 写入 | 布尔值 | 用于启用Windows Hello安全密钥作为登录凭据的布尔值。 | - |
| WindowsHelloForBusinessBlocked | 写入 | 布尔值 | 阻止Windows Hello 企业版作为登录到 Windows 的方法的布尔值。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationImportedPfxCertificatePolicyWindows10 资源类型
说明
Intune Windows10 设备配置导入的 Pfx 证书策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| IntendedPurpose | 写入 | String | 证书配置文件的预期用途 - 可以是 Unassigned、SmimeEncryption、SmimeSigning 等。可能的值为:unassigned、smimeEncryption、smimeSigning、vpn、wifi。 |
unassigned, smimeEncryption, smimeSigning, vpn, wifi |
| CertificateValidityPeriodScale | 写入 | String | 缩放证书有效期。 可能的值为:天、月、年。 |
days, months, years |
| CertificateValidityPeriodValue | 写入 | UInt32 | 证书有效期的值 | - |
| KeyStorageProvider | 写入 | String | 密钥存储提供程序 (KSP) 。 可能的值为:useTpmKspOtherwiseUseSoftwareKsp、useTpmKspOtherwiseFail、usePassportForWorkKspOtherwiseFail、useSoftwareKsp。 |
useTpmKspOtherwiseUseSoftwareKsp, useTpmKspOtherwiseFail, usePassportForWorkKspOtherwiseFail, useSoftwareKsp |
| RenewalThresholdPercentage | 写入 | UInt32 | 证书续订阈值百分比。 有效值 1 到 99 | - |
| SubjectAlternativeNameType | 写入 | String | 证书使用者可选名称类型。 可能的值为:none、emailAddress、userPrincipalName、customAzureADAttribute、domainNameService、universalResourceIdentifier。 |
none, emailAddress, userPrincipalName, customAzureADAttribute, domainNameService, universalResourceIdentifier |
| SubjectNameFormat | 写入 | String | 证书使用者名称格式。 可能的值包括:commonName、commonNameIncludingEmail、commonNameAsEmail、custom、commonNameAsIMEI、commonNameAsSerialNumber、commonNameAsAadDeviceId、commonNameAsIntuneDeviceId、commonNameAsDurableDeviceId。 |
commonName, commonNameIncludingEmail, commonNameAsEmail, custom, commonNameAsIMEI, commonNameAsSerialNumber, commonNameAsAadDeviceId, commonNameAsIntuneDeviceId, commonNameAsDurableDeviceId |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationKioskPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置展台策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| EdgeKioskEnablePublicBrowsing | 写入 | 布尔值 | 为 Microsoft Edge 浏览器启用公共浏览展台模式。 默认值为 false。 | - |
| KioskBrowserBlockedUrlExceptions | 写入 | StringArray[] | 指定允许展台浏览器导航到的 URL | - |
| KioskBrowserBlockedURLs | 写入 | StringArray[] | 指定展台浏览器不应导航到的 URL | - |
| KioskBrowserDefaultUrl | 写入 | String | 指定浏览器在启动时应导航到的默认 URL。 | - |
| KioskBrowserEnableEndSessionButton | 写入 | 布尔值 | 启用展台浏览器的结束会话按钮。 默认情况下,“结束会话”按钮处于禁用状态。 | - |
| KioskBrowserEnableHomeButton | 写入 | 布尔值 | 启用展台浏览器的主页按钮。 默认情况下,主页按钮处于禁用状态。 | - |
| KioskBrowserEnableNavigationButtons | 写入 | 布尔值 | 启用展台浏览器的导航按钮, (向前/向后) 。 默认情况下,导航按钮处于禁用状态。 | - |
| KioskBrowserRestartOnIdleTimeInMinutes | 写入 | UInt32 | 指定在展台浏览器以全新状态重启之前会话处于空闲状态的分钟数。 有效值为 1-1440。 有效值 1 到 1440 | - |
| KioskProfiles | 写入 | MSFT_MicrosoftGraphwindowsKioskProfile[] | 此策略设置允许为展台配置定义展台配置文件的列表。 此集合最多可以包含 3 个元素。 | - |
| WindowsKioskForceUpdateSchedule | 写入 | MSFT_MicrosoftGraphwindowsKioskForceUpdateSchedule | 为展台设备强制更新计划。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindowsKioskProfile
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AppConfiguration | 写入 | MSFT_MicrosoftGraphWindowsKioskAppConfiguration | 将用于此展台配置的应用配置。 | - |
| ProfileId | 写入 | String | 实体的键。 | - |
| ProfileName | 写入 | String | 这是一个友好名称,用于标识一组应用程序、“开始”菜单上这些应用的布局以及为此展台配置分配的用户。 | - |
| UserAccountsConfiguration | 写入 | MSFT_MicrosoftGraphWindowsKioskUser[] | 将锁定到此展台配置的用户帐户。 此集合最多可以包含 100 个元素。 | - |
MSFT_MicrosoftGraphWindowsKioskAppConfiguration
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AllowAccessToDownloadsFolder | 写入 | 布尔值 | 此设置允许访问文件资源管理器中的“下载”文件夹。 | - |
| 应用 | 写入 | MSFT_MicrosoftGraphWindowsKioskAppBase[] | 这些是可从“开始”菜单启动的唯一 Windows 应用商店应用。 此集合最多可以包含 128 个元素。 | - |
| DisallowDesktopApps | 写入 | 布尔值 | 此设置指示允许桌面应用。 默认为 true。 | - |
| ShowTaskBar | 写入 | 布尔值 | 此设置允许管理员指定是否显示任务栏。 | - |
| StartMenuLayoutXml | 写入 | String | 允许管理员替代默认的“开始”菜单布局,并阻止用户更改它。通过基于布局修改架构指定 XML 文件来修改布局。 XML 需要采用二进制格式。 | - |
| UwpApp | 写入 | MSFT_MicrosoftGraphWindowsKioskUWPApp | 这是唯一可在展台模式下启动使用的应用程序用户模型 ID (AUMID) | - |
| Win32App | 写入 | MSFT_MicrosoftGraphWindowsKioskWin32App | 这是 Win32 应用,可在展台模式下启动使用 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windowsKioskMultipleApps, #microsoft.graph.windowsKioskSingleUWPApp, #microsoft.graph.windowsKioskSingleWin32App |
MSFT_MicrosoftGraphWindowsKioskAppBase
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AppType | 写入 | String | 应用类型。 可能的值为:unknown、store、desktop、aumId。 |
unknown, store, desktop, aumId |
| 自动启动 | 写入 | 布尔值 | 允许在多应用展台模式下自动启动应用 | - |
| 名称 | 写入 | String | 表示应用的友好名称 | - |
| StartLayoutTileSize | 写入 | String | 开始布局的应用磁贴大小。 可能的值为:hidden、small、medium、wide、large。 |
hidden, small, medium, wide, large |
| DesktopApplicationId | 写入 | String | 定义应用的 DesktopApplicationID | - |
| DesktopApplicationLinkPath | 写入 | String | 定义应用的 DesktopApplicationLinkPath | - |
| Path | 写入 | String | 定义桌面应用的路径 | - |
| AppId | 写入 | String | 这会引用一个Intune应用,该应用将面向与展台配置相同的分配 | - |
| AppUserModelId | 写入 | String | 这是唯一可在展台模式下启动使用的应用程序用户模型 ID (AUMID) | - |
| ContainedAppId | 写入 | String | 这会从Intune应用引用包含的应用 | - |
| ClassicAppPath | 写入 | String | 这是 v4 Win32 应用在展台模式下要使用的经典应用路径 | - |
| EdgeKiosk | 写入 | String | Edge 展台模式的边缘展台 (url) | - |
| EdgeKioskIdleTimeoutMinutes | 写入 | UInt32 | Edge 展台模式的边缘展台空闲超时(以分钟为单位)。 有效值 0 到 1440 | - |
| EdgeKioskType | 写入 | String | Edge 展台模式的边缘展台类型。 可能的值为:publicBrowsing、fullScreen。 |
publicBrowsing, fullScreen |
| EdgeNoFirstRun | 写入 | 布尔值 | Edge 展台模式的 Edge 首次运行标志 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windowsKioskDesktopApp, #microsoft.graph.windowsKioskUWPApp, #microsoft.graph.windowsKioskWin32App |
MSFT_MicrosoftGraphWindowsKioskUWPApp
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AppId | 写入 | String | 这会引用一个Intune应用,该应用将面向与展台配置相同的分配 | - |
| AppUserModelId | 写入 | String | 这是唯一可在展台模式下启动使用的应用程序用户模型 ID (AUMID) | - |
| ContainedAppId | 写入 | String | 这会从Intune应用引用包含的应用 | - |
| AppType | 写入 | String | 应用类型。 可能的值为:unknown、store、desktop、aumId。 |
unknown, store, desktop, aumId |
| 自动启动 | 写入 | 布尔值 | 允许在多应用展台模式下自动启动应用 | - |
| 名称 | 写入 | String | 表示应用的友好名称 | - |
| StartLayoutTileSize | 写入 | String | 开始布局的应用磁贴大小。 可能的值为:hidden、small、medium、wide、large。 |
hidden, small, medium, wide, large |
| DesktopApplicationId | 写入 | String | 定义应用的 DesktopApplicationID | - |
| DesktopApplicationLinkPath | 写入 | String | 定义应用的 DesktopApplicationLinkPath | - |
| Path | 写入 | String | 定义桌面应用的路径 | - |
| ClassicAppPath | 写入 | String | 这是 v4 Win32 应用在展台模式下要使用的经典应用路径 | - |
| EdgeKiosk | 写入 | String | Edge 展台模式的边缘展台 (url) | - |
| EdgeKioskIdleTimeoutMinutes | 写入 | UInt32 | Edge 展台模式的边缘展台空闲超时(以分钟为单位)。 有效值 0 到 1440 | - |
| EdgeKioskType | 写入 | String | Edge 展台模式的边缘展台类型。 可能的值为:publicBrowsing、fullScreen。 |
publicBrowsing, fullScreen |
| EdgeNoFirstRun | 写入 | 布尔值 | Edge 展台模式的 Edge 首次运行标志 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windowsKioskDesktopApp, #microsoft.graph.windowsKioskUWPApp, #microsoft.graph.windowsKioskWin32App |
MSFT_MicrosoftGraphWindowsKioskWin32App
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| ClassicAppPath | 写入 | String | 这是 v4 Win32 应用在展台模式下要使用的经典应用路径 | - |
| EdgeKiosk | 写入 | String | Edge 展台模式的边缘展台 (url) | - |
| EdgeKioskIdleTimeoutMinutes | 写入 | UInt32 | Edge 展台模式的边缘展台空闲超时(以分钟为单位)。 有效值 0 到 1440 | - |
| EdgeKioskType | 写入 | String | Edge 展台模式的边缘展台类型。 可能的值为:publicBrowsing、fullScreen。 |
publicBrowsing, fullScreen |
| EdgeNoFirstRun | 写入 | 布尔值 | Edge 展台模式的 Edge 首次运行标志 | - |
| AppType | 写入 | String | 应用类型。 可能的值为:unknown、store、desktop、aumId。 |
unknown, store, desktop, aumId |
| 自动启动 | 写入 | 布尔值 | 允许在多应用展台模式下自动启动应用 | - |
| 名称 | 写入 | String | 表示应用的友好名称 | - |
| StartLayoutTileSize | 写入 | String | 开始布局的应用磁贴大小。 可能的值为:hidden、small、medium、wide、large。 |
hidden, small, medium, wide, large |
| DesktopApplicationId | 写入 | String | 定义应用的 DesktopApplicationID | - |
| DesktopApplicationLinkPath | 写入 | String | 定义应用的 DesktopApplicationLinkPath | - |
| Path | 写入 | String | 定义桌面应用的路径 | - |
| AppId | 写入 | String | 这会引用一个Intune应用,该应用将面向与展台配置相同的分配 | - |
| AppUserModelId | 写入 | String | 这是唯一可在展台模式下启动使用的应用程序用户模型 ID (AUMID) | - |
| ContainedAppId | 写入 | String | 这会从Intune应用引用包含的应用 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windowsKioskDesktopApp, #microsoft.graph.windowsKioskUWPApp, #microsoft.graph.windowsKioskWin32App |
MSFT_MicrosoftGraphWindowsKioskUser
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| GroupName | 写入 | String | 将锁定到此展台配置的 AD 组的名称 | - |
| DisplayName | 写入 | String | 将锁定到此展台配置的 AzureAD 组的显示名称 | - |
| GroupId | 写入 | String | 将锁定到此展台配置的 AzureAD 组的 ID | - |
| UserID | 写入 | String | 将锁定到此展台配置的 AzureAD 用户的 ID | - |
| UserPrincipalName | 写入 | String | 将锁定到此展台配置的用户帐户 | - |
| UserName | 写入 | String | 将锁定到此展台配置的本地用户 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windowsKioskActiveDirectoryGroup, #microsoft.graph.windowsKioskAutologon, #microsoft.graph.windowsKioskAzureADGroup, #microsoft.graph.windowsKioskAzureADUser, #microsoft.graph.windowsKioskLocalGroup, #microsoft.graph.windowsKioskLocalUser, #microsoft.graph.windowsKioskVisitor |
MSFT_MicrosoftGraphWindowsKioskForceUpdateSchedule
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DayofMonth | 写入 | UInt32 | 月份的日期。 有效值 1 到 31 | - |
| DayofWeek | 写入 | String | 星期几。 可能的值为:sunday、monday、tuesday、wednesday、thursday、friday、saturday。 |
sunday, monday, tuesday, wednesday, thursday, friday, saturday |
| 定期 | 写入 | String | 定期计划。 可能的值为:无、每日、每周、每月。 |
none, daily, weekly, monthly |
| RunImmediatelyIfAfterStartDateTime | 写入 | 布尔值 | 如果为 true,则如果 StartDateTime 处于过去状态,则立即运行任务;否则,在下一次定期运行。 | - |
| StartDateTime | 写入 | String | 强制重启的开始时间。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationNetworkBoundaryPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置网络边界策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| WindowsNetworkIsolationPolicy | 写入 | MSFT_MicrosoftGraphwindowsNetworkIsolationPolicy | Windows 网络隔离策略 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindowsNetworkIsolationPolicy
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| EnterpriseCloudResources | 写入 | MSFT_MicrosoftGraphProxiedDomain1[] | 包含托管在云中需要保护的企业资源域的列表。 与这些资源的连接被视为企业数据。 如果代理与云资源配对,则到云资源的流量将通过表示的代理服务器(在端口 80 上)通过企业网络进行路由。 还必须使用 EnterpriseInternalProxyServers 策略配置用于此目的的代理服务器。 该集合最多可包含 500 个元素。 | - |
| EnterpriseInternalProxyServers | 写入 | StringArray[] | 这是逗号分隔的内部代理服务器列表。 例如,“157.54.14.28、157.54.11.118、10.202.14.167、157.53.14.163、157.69.210.59”。 这些代理已由管理员配置为连接到 Internet 上的特定资源。 它们被视为企业版网络位置。 代理仅在配置 EnterpriseCloudResources 策略时使用,以通过这些代理强制流量流向匹配的云资源。 | - |
| EnterpriseIPRanges | 写入 | MSFT_MicrosoftGraphIpRange1[] | 设置定义企业网络中计算机的企业 IP 范围。 来自这些计算机的数据将被视为企业的一部分并受保护。 这些位置将被视为共享企业数据的安全目标。 该集合最多可包含 500 个元素。 | - |
| EnterpriseIPRangesAreAuthoritative | 写入 | 布尔值 | 用于通知客户端接受已配置的列表,并且不使用启发式方法来尝试查找其他子网的布尔值。 默认为 false。 | - |
| EnterpriseNetworkDomainNames | 写入 | StringArray[] | 这是构成企业边界的域列表。 发送到设备的其中一个域中的数据将被视为企业数据并受保护。 这些位置将被视为共享企业数据的安全目标。 | - |
| EnterpriseProxyServers | 写入 | StringArray[] | 这是代理服务器的列表。 不在此列表中的任何服务器都被视为非企业服务器。 | - |
| EnterpriseProxyServersAreAuthoritative | 写入 | 布尔值 | 用于通知客户端接受已配置的代理列表,并且不尝试检测其他工作代理的布尔值。 默认值为 false | - |
| NeutralDomainResources | 写入 | StringArray[] | 可用于工作或个人资源的域名列表。 | - |
MSFT_MicrosoftGraphProxiedDomain1
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| IpAddressOrFQDN | 写入 | String | IP 地址或 FQDN | - |
| 代理 | 写入 | String | 代理 IP 或 FQDN | - |
MSFT_MicrosoftGraphIpRange1
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| CidrAddress | 写入 | String | 以 CIDR 表示法表示的 IPv4 地址。 不可为 null。 | - |
| LowerAddress | 写入 | String | 较低的地址。 | - |
| UpperAddress | 写入 | String | 上一个地址。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.iPv4CidrRange, #microsoft.graph.iPv6CidrRange, #microsoft.graph.iPv4Range, #microsoft.graph.iPv6Range |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPkcsCertificatePolicyWindows10 资源类型
说明
Intune Windows10 的设备配置 Pkcs 证书策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| CertificateStore | 写入 | String | 目标存储证书。 可能的值为:user、machine。 |
user, machine |
| CertificateTemplateName | 写入 | String | PKCS 证书模板名称 | - |
| CertificationAuthority | 写入 | String | PKCS 证书颁发机构 | - |
| CertificationAuthorityName | 写入 | String | PKCS 证书颁发机构名称 | - |
| CustomSubjectAlternativeNames | 写入 | MSFT_MicrosoftGraphcustomSubjectAlternativeName[] | 自定义使用者可选名称设置。 该集合最多可包含 500 个元素。 | - |
| ExtendedKeyUsages | 写入 | MSFT_MicrosoftGraphextendedKeyUsage[] | 扩展密钥用法 (EKU) 设置。 该集合最多可包含 500 个元素。 | - |
| SubjectAlternativeNameFormatString | 写入 | String | 定义 AAD 特性的自定义字符串。 | - |
| SubjectNameFormatString | 写入 | String | 用于 SubjectNameFormat = Custom 的自定义格式。 示例:CN=EmailAddress}},E=EmailAddress}},OU=企业用户,O=Contoso Corporation,L=Redmond,ST=WA,C=US | - |
| CertificateValidityPeriodScale | 写入 | String | 缩放证书有效期。 可能的值为:天、月、年。 |
days, months, years |
| CertificateValidityPeriodValue | 写入 | UInt32 | 证书有效期的值 | - |
| KeyStorageProvider | 写入 | String | 密钥存储提供程序 (KSP) 。 可能的值为:useTpmKspOtherwiseUseSoftwareKsp、useTpmKspOtherwiseFail、usePassportForWorkKspOtherwiseFail、useSoftwareKsp。 |
useTpmKspOtherwiseUseSoftwareKsp, useTpmKspOtherwiseFail, usePassportForWorkKspOtherwiseFail, useSoftwareKsp |
| RenewalThresholdPercentage | 写入 | UInt32 | 证书续订阈值百分比。 有效值 1 到 99 | - |
| SubjectAlternativeNameType | 写入 | String | 证书使用者可选名称类型。 可能的值为:none、emailAddress、userPrincipalName、customAzureADAttribute、domainNameService、universalResourceIdentifier。 |
none, emailAddress, userPrincipalName, customAzureADAttribute, domainNameService, universalResourceIdentifier |
| SubjectNameFormat | 写入 | String | 证书使用者名称格式。 可能的值包括:commonName、commonNameIncludingEmail、commonNameAsEmail、custom、commonNameAsIMEI、commonNameAsSerialNumber、commonNameAsAadDeviceId、commonNameAsIntuneDeviceId、commonNameAsDurableDeviceId。 |
commonName, commonNameIncludingEmail, commonNameAsEmail, custom, commonNameAsIMEI, commonNameAsSerialNumber, commonNameAsAadDeviceId, commonNameAsIntuneDeviceId, commonNameAsDurableDeviceId |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphCustomSubjectAlternativeName
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 名称 | 写入 | String | 自定义 SAN 名称 | - |
| SanType | 写入 | String | 自定义 SAN 类型。 可能的值为:none、emailAddress、userPrincipalName、customAzureADAttribute、domainNameService、universalResourceIdentifier。 |
none, emailAddress, userPrincipalName, customAzureADAttribute, domainNameService, universalResourceIdentifier |
MSFT_MicrosoftGraphExtendedKeyUsage
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 名称 | 写入 | String | 扩展密钥用法名称 | - |
| ObjectIdentifier | 写入 | String | 扩展密钥用法对象标识符 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPolicyAndroidDeviceAdministrator 资源类型
说明
此资源在基于云的组织中配置 Android 设备管理员设备限制策略的设置。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| AppsBlockClipboardSharing | 写入 | 布尔值 | 阻止 (Samsung KNOX Standard 4.0+) 的应用之间的剪贴板共享。 | - |
| AppsBlockCopyPaste | 写入 | 布尔值 | 阻止复制和粘贴功能。 | - |
| AppsBlockYouTube | 写入 | 布尔值 | 阻止 YouTube (Samsung KNOX Standard 4.0+) 。 | - |
| AppsHideList | 写入 | MSFT_MicrosoftGraphapplistitem[] | 指定将在设备上隐藏的应用。 用户无法发现或运行这些应用。 | - |
| AppsInstallAllowList | 写入 | MSFT_MicrosoftGraphapplistitem[] | 指定用户可以安装的应用。 用户将无法安装不在列表中的应用。 | - |
| AppsLaunchBlockList | 写入 | MSFT_MicrosoftGraphapplistitem[] | 指定用户不能在其设备上运行的应用。 | - |
| BluetoothBlocked | 写入 | 布尔值 | 阻止蓝牙 (Samsung KNOX Standard 4.0+) 。 | - |
| CameraBlocked | 写入 | 布尔值 | 阻止使用相机 | - |
| CellularBlockDataRoaming | 写入 | 布尔值 | 阻止通过手机网络 (Samsung KNOX Standard 4.0+) 的数据漫游。 | - |
| CellularBlockMessaging | 写入 | 布尔值 | 阻止短信/彩信功能 (Samsung KNOX Standard 4.0+) 。 | - |
| CellularBlockVoiceRoaming | 写入 | 布尔值 | 阻止通过手机网络 (Samsung KNOX Standard 4.0+) 的语音漫游。 | - |
| CellularBlockWiFiTethering | 写入 | 布尔值 | 阻止 Wi-Fi (Samsung KNOX Standard 4.0+) 。 | - |
| CompliantAppListType | 写入 | String | 可以在受限应用符合性报告中查看设备符合性。 |
none, appsInListCompliant, appsNotInListCompliant |
| CompliantAppsList | 写入 | MSFT_MicrosoftGraphapplistitem[] | 输入所需应用的 Google Play 应用商店 URL。 例如,若要为 Android 指定Microsoft 远程桌面应用,请输入 https://play.google.com/store/apps/details?id=com.microsoft.rdc.android。 若要查找应用的 URL,请使用搜索引擎查找应用商店页面。 例如,若要查找远程桌面应用,可以搜索Microsoft 远程桌面 Play Store。 | - |
| DateAndTimeBlockChanges | 写入 | 布尔值 | 阻止用户更改设备上的日期和时间 (Samsung KNOX) 。 | - |
| DeviceSharingAllowed | 写入 | 布尔值 | 允许多个用户使用其 AAD 凭据 (Samsung KNOX Standard 4.0+) 登录到公司门户。 | - |
| DiagnosticDataBlockSubmission | 写入 | 布尔值 | 阻止从设备提交诊断数据。 | - |
| FactoryResetBlocked | 写入 | 布尔值 | 阻止设备上恢复出厂设置。 | - |
| GoogleAccountBlockAutoSync | 写入 | 布尔值 | 阻止设备上的 Google 帐户自动同步功能。 | - |
| GooglePlayStoreBlocked | 写入 | 布尔值 | 阻止 Google Play 商店 (Samsung KNOX Standard 4.0+) 。 | - |
| KioskModeApps | 写入 | MSFT_MicrosoftGraphapplistitem[] | 展台模式应用 | - |
| KioskModeBlockSleepButton | 写入 | 布尔值 | 展台模式阻止睡眠按钮 | - |
| KioskModeBlockVolumeButtons | 写入 | 布尔值 | 展台模式阻止音量按钮 | - |
| LocationServicesBlocked | 写入 | 布尔值 | 位置服务被阻止 | - |
| NfcBlocked | 写入 | 布尔值 | 阻止近场通信 (NFC) 技术 (Samsung KNOX Standard 4.0+) 。 | - |
| PasswordBlockFingerprintUnlock | 写入 | 布尔值 | 阻止使用指纹解锁设备。 | - |
| PasswordBlockTrustAgents | 写入 | 布尔值 | 阻止智能锁或其他信任代理 (Samsung KNOX Standard 5.0+) 调整锁屏界面设置。 | - |
| PasswordExpirationDays | 写入 | UInt32 | 设备密码必须更改之前的天数。 (1-365) | - |
| PasswordMinimumLength | 写入 | UInt32 | 密码中的最小位数或字符数。 (4-16) | - |
| PasswordMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 屏幕锁定之前处于非活动状态的最大分钟数。 如果新时间超过设备上当前设置的时间,则设备将忽略。 如果设置为“立即”,则设备将使用每个设备的最小值。 | - |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | 在可重用旧密码之前必须使用的新密码数。 | - |
| PasswordRequired | 写入 | 布尔值 | 需要密码才能访问设备。 | - |
| PasswordRequiredType | 写入 | String | 指定所需的密码类型。 |
deviceDefault, alphabetic, alphanumeric, alphanumericWithSymbols, lowSecurityBiometric, numeric, numericComplex, any |
| PasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | 在擦除设备所有数据之前,可以连续输入错误密码的次数。 | - |
| PowerOffBlocked | 写入 | 布尔值 | 阻止用户关闭设备电源。 如果禁用此设置,则“擦除设备前的登录失败次数”设置不起作用。 | - |
| RequiredPasswordComplexity | 写入 | String | 定义密码复杂性。 |
none, low, medium, high |
| ScreenCaptureBlocked | 写入 | 布尔值 | 阻止将屏幕内容捕获为图像。 | - |
| SecurityRequireVerifyApps | 写入 | 布尔值 | 安全性要求验证应用 | - |
| StorageBlock GoogleBackup | 写入 | 布尔值 | 阻止与 Google 备份同步。 | - |
| StorageBlockRemovableStorage | 写入 | 布尔值 | (Samsung KNOX Standard 4.0+) 阻止可移动存储的使用。 | - |
| StorageRequireDeviceEncryption | 写入 | 布尔值 | 要求在设备上加密。 并非所有设备都支持加密。 | - |
| StorageRequireRemovableStorageEncryption | 写入 | 布尔值 | 存储卡必须加密。 并非所有设备都支持存储卡加密。 有关详细信息,请参阅设备和移动操作系统文档。 | - |
| VoiceAssistantBlocked | 写入 | 布尔值 | 阻止语音助手 (Samsung KNOX Standard 4.0+) 。 | - |
| VoiceDialingBlocked | 写入 | 布尔值 | 阻止语音拨号 (Samsung KNOX Standard 4.0+) 。 | - |
| WebBrowserBlockAutofill | 写入 | 布尔值 | 阻止自动填充。 | - |
| WebBrowserBlocked | 写入 | 布尔值 | 阻止设备上的 Web 浏览器。 | - |
| WebBrowserBlockJavaScript | 写入 | 布尔值 | 在浏览器中阻止 JavaScript。 | - |
| WebBrowserBlockPopups | 写入 | 布尔值 | 阻止 Web 浏览器中的弹出窗口。 | - |
| WebBrowserCookieSettings | 写入 | String | 允许或阻止浏览器 Cookie |
browserDefault, blockAlways, allowCurrentWebSite, allowFromWebsitesVisited, allowAlways |
| WiFiBlocked | 写入 | 布尔值 | 阻止 Wi-Fi (Samsung KNOX Standard 4.0+) 。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphapplistitem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| odataType | 写入 | String | 项的 odatatype。 | #microsoft.graph.appleAppListItem |
| appId | 写入 | String | 展台模式托管应用 ID | - |
| appStoreUrl | 写入 | String | 定义应用商店 URL。 | - |
| name | 写入 | String | 定义应用的名称。 | - |
| 发布者 | 写入 | String | 定义应用的发布者。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | DeviceManagementConfiguration.Read.All |
| 更新 | DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPolicyAndroidDeviceOwner 资源类型
说明
此资源配置Intune设备配置策略 Android 设备所有者。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | 策略的 ID。 | - |
| DisplayName | 键 | String | 策略的显示名称。 | - |
| 说明 | 写入 | String | 策略说明。 | - |
| AccountsBlockModification | 写入 | 布尔值 | 阻止对帐户的修改。 仅在专用设备上受支持。 | - |
| AppsAllowInstallFromUnknownSources | 写入 | 布尔值 | 如果允许,用户可以启用“未知来源”设置,以从 Google Play Store 以外的源安装应用。 | - |
| AppsAutoUpdatePolicy | 写入 | String | 每天检查应用更新的设备。 默认行为是让设备用户决定。 他们将能够在托管的 Google Play 应用中设置自己的首选项。 |
notConfigured, userChoice, never, wiFiOnly, always |
| AppsDefaultPermissionPolicy | 写入 | String | 定义运行时权限请求的默认权限策略。 |
deviceDefault, prompt, autoGrant, autoDeny |
| AppsRecommendSkippingFirstUseHints | 写入 | 布尔值 | 为应用启用建议,让他们在首次启动时跳过其用户教程和任何介绍性提示(如果适用)。 | - |
| AzureAdSharedDeviceDataClearApps | 写入 | MSFT_MicrosoftGraphapplistitem[] | 托管应用列表,这些应用将在 AAD 共享设备模式下全局注销期间清除其数据。 该集合最多可包含 500 个元素。 | - |
| BluetoothBlockConfiguration | 写入 | 布尔值 | 阻止配置蓝牙。 | - |
| BluetoothBlockContactSharing | 写入 | 布尔值 | 通过蓝牙配对 Android 设备时,阻止从其他设备(例如汽车系统)访问工作联系人。 | - |
| CameraBlocked | 写入 | 布尔值 | 阻止设备上的所有相机 | - |
| CellularBlockWiFiTethering | 写入 | 布尔值 | 阻止网络共享和访问便携式热点。 | - |
| CertificateCredentialConfigurationDisabled | 写入 | 布尔值 | 阻止用户对与分配给他们的证书关联的证书关联的凭据进行任何更改。 | - |
| CrossProfilePoliciesAllowCopyPaste | 写入 | 布尔值 | 指示是否可将从一个配置文件复制的文本 (个人或工作) 粘贴到另一个配置文件中。 | - |
| CrossProfilePoliciesAllowDataSharing | 写入 | String | 指示一个配置文件中的数据 (个人或工作) 是否可以与另一个配置文件中的应用共享。 |
notConfigured, crossProfileDataSharingBlocked, dataSharingFromWorkToPersonalBlocked, crossProfileDataSharingAllowed, unkownFutureValue |
| CrossProfilePoliciesShowWorkContactsInPersonalProfile | 写入 | 布尔值 | 指示存储在工作配置文件中的联系人是否显示在个人个人资料联系人搜索/传入呼叫中。 | - |
| DataRoamingBlocked | 写入 | 布尔值 | 阻止数据漫游。 | - |
| DateTimeConfigurationBlocked | 写入 | 布尔值 | 阻止用户手动设置日期和时间。 | - |
| DetailedHelpText | 写入 | MSFT_MicrosoftGraphandroiddeviceowneruserfacingmessage | 表示当用户尝试修改其设备上的托管设置时向用户提供的自定义详细帮助文本。 | - |
| DeviceOwnerLockScreenMessage | 写入 | MSFT_MicrosoftGraphandroiddeviceowneruserfacingmessage | 表示当用户尝试修改其设备上的托管设置时提供给用户的自定义锁屏消息。 | - |
| EnrollmentProfile | 写入 | String | 表示注册配置文件类型。 |
notConfigured, dedicatedDevice, fullyManaged |
| FactoryResetBlocked | 写入 | 布尔值 | 从设置中阻止恢复出厂设置。 | - |
| FactoryResetDeviceAdministratorEmails | 写入 | StringArray[] | Email用于恢复出厂设置保护的设备管理员的地址。 当设备恢复出厂设置时,将要求其中一位管理员使用其 Google 帐户登录才能解锁设备。 如果未指定任何内容,则不启用恢复出厂设置保护。 | - |
| GlobalProxy | 写入 | MSFT_MicrosoftGraphandroiddeviceownerglobalproxy | 使用主机、端口和排除的主机直接设置代理。 | - |
| GoogleAccountsBlocked | 写入 | 布尔值 | 阻止会阻止用户将其个人 Google 帐户添加到其设备。 | - |
| KioskCustomizationDeviceSettingsBlocked | 写入 | 布尔值 | 指示用户在展台模式下是否可以访问设备的“设置”应用。 | - |
| KioskCustomizationPowerButtonActionsBlocked | 写入 | 布尔值 | 当用户在展台模式下长按设备的电源按钮时是否显示电源菜单。 | - |
| KioskCustomizationStatusBar | 写入 | String | 指示是否在展台模式下禁用系统信息和通知 |
notConfigured, notificationsAndSystemInfoEnabled, systemInfoOnly |
| KioskCustomizationSystemErrorWarnings | 写入 | 布尔值 | 指示在展台模式下是否显示崩溃或无响应应用的系统错误对话框。 | - |
| KioskCustomizationSystemNavigation | 写入 | String | 指示在展台模式下启用哪些导航功能。 |
notConfigured, navigationEnabled, homeButtonOnly |
| KioskModeAppOrderEnabled | 写入 | 布尔值 | 是否在展台模式下启用应用排序。 | - |
| KioskModeAppPositions | 写入 | MSFT_MicrosoftGraphandroiddeviceownerkioskmodeapppositionitem[] | 展台模式下的项排序托管主屏幕。 该集合最多可包含 500 个元素。 | - |
| KioskModeApps | 写入 | MSFT_MicrosoftGraphapplistitem[] | 设备处于展台模式时显示的托管应用列表。 该集合最多可包含 500 个元素。 | - |
| KioskModeAppsInFolderOrderedByName | 写入 | 布尔值 | 是否在展台模式下对文件夹中的应用程序按字母顺序排列。 | - |
| KioskModeBluetoothConfigurationEnabled | 写入 | 布尔值 | 允许最终用户通过蓝牙配置和配对设备。 | - |
| KioskModeDebugMenuEasyAccessEnabled | 写入 | 布尔值 | 是否允许用户在展台模式下轻松访问调试菜单 | - |
| KioskModeExitCode | 写入 | String | 4-6 位 PIN 将是 IT 管理员在多应用专用设备上输入以暂停展台模式的代码。 | - |
| KioskModeFlashlightConfigurationEnabled | 写入 | 布尔值 | 是否允许用户在展台模式下使用手电筒。 | - |
| KioskModeFolderIcon | 写入 | String | 展台模式下托管主屏幕的文件夹图标配置。 |
notConfigured, darkSquare, darkCircle, lightSquare, lightCircle |
| KioskModeGridHeight | 写入 | UInt32 | 在展台模式下启用应用排序的托管主屏幕网格的行数。 有效值 1 到 9999999。 | - |
| KioskModeGridWidth | 写入 | UInt32 | 在展台模式下启用应用排序的托管主屏幕网格的列数。 有效值 1 到 9999999。 | - |
| KioskModeIconSize | 写入 | String | 展台模式下托管主屏幕的图标大小配置。 |
notConfigured, smallest, small, regular, large, largest |
| KioskModeLockHomeScreen | 写入 | 布尔值 | 是否在展台模式下将主屏幕锁定给最终用户。 | - |
| KioskModeManagedFolders | 写入 | MSFT_MicrosoftGraphandroiddeviceownerkioskmodemanagedfolder[] | 展台模式下设备的托管文件夹列表。 该集合最多可包含 500 个元素。 | - |
| KioskModeManagedHomeScreenAutoSignout | 写入 | 布尔值 | 是否在非活动状态后自动注销 MHS 和共享设备模式应用程序,以便托管主屏幕。 | - |
| KioskModeManagedHomeScreenInactiveSignOutDelayInSeconds | 写入 | UInt32 | 在自动注销用户进行托管主屏幕之前向用户发出通知的秒数。 有效值 0 到 9999999。 | - |
| KioskModeManagedHomeScreenInactiveSignOutNoticeInSeconds | 写入 | UInt32 | 在自动注销用户进行托管主屏幕之前,设备处于非活动状态的秒数。 有效值 0 到 9999999。 | - |
| KioskModeManagedHomeScreenPinComplexity | 写入 | String | 托管主屏幕登录会话的 PIN 的复杂性。 |
notConfigured, simple, complex |
| KioskModeManagedHomeScreenPinRequired | 写入 | 布尔值 | 是否要求用户为托管主屏幕的登录会话设置 PIN。 | - |
| KioskModeManagedHomeScreenPinRequiredToResume | 写入 | 布尔值 | 如果为托管主屏幕显示屏幕保护程序,是否需要用户输入会话 PIN。 | - |
| KioskModeManagedHomeScreenSignInBackground | 写入 | String | 托管主屏幕登录屏幕的自定义 URL 背景。 | - |
| KioskModeManagedHomeScreenSignInBrandingLogo | 写入 | String | 托管主屏幕的登录屏幕和会话 PIN 页的自定义 URL 品牌徽标。 | - |
| KioskModeManagedHomeScreenSignInEnabled | 写入 | 布尔值 | 是否显示托管主屏幕的登录屏幕。 | - |
| KioskModeManagedSettingsEntryDisabled | 写入 | 布尔值 | 是否使用单应用展台模式还是多应用展台模式。 | - |
| KioskModeMediaVolumeConfigurationEnabled | 写入 | 布尔值 | 是否允许用户在展台模式下更改媒体音量。 | - |
| KioskModeScreenOrientation | 写入 | String | 展台模式下托管主屏幕的屏幕方向配置。 |
notConfigured, portrait, landscape, autoRotate |
| KioskModeScreenSaverConfigurationEnabled | 写入 | 布尔值 | 设备屏幕超时或锁定时启动屏幕保护程序。 | - |
| KioskModeScreenSaverDetectMediaDisabled | 写入 | 布尔值 | 如果音频/视频正在展台模式下播放,设备屏幕是否应显示屏幕保护程序。 | - |
| KioskModeScreenSaverDisplayTimeInSeconds | 写入 | UInt32 | 设备将在展台模式下显示屏幕保护的秒数。 有效值 0 到 9999999 | - |
| KioskModeScreenSaverImageUrl | 写入 | String | 将在展台模式下成为设备屏幕保护程序的图像的 URL。 | - |
| KioskModeScreenSaverStartDelayInSeconds | 写入 | UInt32 | 在展台模式下显示屏幕保护程序之前,设备需要处于非活动状态的秒数。 有效值 1 到 9999999 | - |
| KioskModeShowAppNotificationBadge | 写入 | 布尔值 | 是否在展台模式下显示应用程序通知锁屏提醒。 | - |
| KioskModeShowDeviceInfo | 写入 | 布尔值 | 是否允许用户访问基本设备信息。 | - |
| KioskModeUseManagedHomeScreenApp | 写入 | String | 是否使用单应用展台模式还是多应用展台模式。 |
notConfigured, singleAppMode, multiAppMode |
| KioskModeVirtualHomeButtonEnabled | 写入 | 布尔值 | 使 IT 管理员能够暂时退出多应用展台模式,以便在设备上进行更改。 | - |
| KioskModeVirtualHomeButtonType | 写入 | String | 启用将用户返回到托管主屏幕的软键按钮。 在永久浮动按钮或由向上轻扫手势激活的按钮之间进行选择。 |
notConfigured, swipeUp, floating |
| KioskModeWallpaperUrl | 写入 | String | 为分配的组自定义屏幕背景的外观。 | - |
| KioskModeWifiAllowedSsids | 写入 | StringArray[] | 允许用户在展台模式下配置的受限 WIFI SSD 集。 该集合最多可包含 500 个元素。 | - |
| KioskModeWiFiConfigurationEnabled | 写入 | 布尔值 | 使最终用户能够连接到不同的 Wi-Fi 网络。 | - |
| MicrophoneForceMute | 写入 | 布尔值 | 阻止取消麦克风静音并调整麦克风音量。 | - |
| MicrosoftLauncherConfigurationEnabled | 写入 | 布尔值 | 指示是否要配置Microsoft启动器。 | - |
| MicrosoftLauncherCustomWallpaperAllowUserModification | 写入 | 布尔值 | 指示用户是否可以修改壁纸来个性化其设备。 | - |
| MicrosoftLauncherCustomWallpaperEnabled | 写入 | 布尔值 | 指示是否在目标设备上配置壁纸。 | - |
| MicrosoftLauncherCustomWallpaperImageUrl | 写入 | String | 指示图像文件在目标设备上用作壁纸的 URL。 | - |
| MicrosoftLauncherDockPresenceAllowUserModification | 写入 | 布尔值 | 指示用户是否可以修改设备上的设备停靠配置。 | - |
| MicrosoftLauncherDockPresenceConfiguration | 写入 | String | 指示是否要配置设备扩展坞。 |
notConfigured, show, hide, disabled |
| MicrosoftLauncherFeedAllowUserModification | 写入 | 布尔值 | 指示用户是否可以修改设备上的启动器源。 | - |
| MicrosoftLauncherFeedEnabled | 写入 | 布尔值 | 指示用户是否可以修改设备上的启动器源。 | - |
| MicrosoftLauncherSearchBarPlacementConfiguration | 写入 | String | 指示是否要配置设备扩展坞。 |
notConfigured, top, bottom, hide |
| NetworkEscapeHatchAllowed | 写入 | 布尔值 | 是否启用了网络转义阴影。 如果在启动时无法建立网络连接,则转义阴影会提示用户暂时连接到网络以刷新设备策略。 应用策略后,临时网络将被遗忘,设备将继续启动。 这可以防止在上一个策略中没有合适的网络,并且设备在锁定任务模式下启动到应用,或者用户无法访问设备设置时无法连接到网络。 | - |
| NfcBlockOutgoingBeam | 写入 | 布尔值 | 阻止使用 NFC 从应用传送数据。 | - |
| PasswordBlockKeyguard | 写入 | 布尔值 | 禁用锁屏界面 | - |
| PasswordBlockKeyguardFeatures | 写入 | StringArray[] | 设备锁定时,用户可以访问这些功能。 用户将无法查看或访问禁用的功能。 |
notConfigured, camera, notifications, unredactedNotifications, trustAgents, fingerprint, remoteInput, allFeatures, face, iris, biometrics |
| PasswordExpirationDays | 写入 | UInt32 | 设备密码必须更改之前的天数。 (1-365) | - |
| PasswordMinimumLength | 写入 | UInt32 | 指示设备上所需的密码的最小长度。 有效值为 4 至 16 | - |
| PasswordMinimumLetterCharacters | 写入 | UInt32 | 指示设备密码所需的最小字母字符数。 有效值 1 到 16 | - |
| PasswordMinimumLowerCaseCharacters | 写入 | UInt32 | 指示设备密码所需的最小小写字符数。 有效值 1 到 16 | - |
| PasswordMinimumNonLetterCharacters | 写入 | UInt32 | 指示设备密码所需的最小非字母字符数。 有效值 1 到 16 | - |
| PasswordMinimumNumericCharacters | 写入 | UInt32 | 指示设备密码所需的最小数字字符数。 有效值 1 到 16 | - |
| PasswordMinimumSymbolCharacters | 写入 | UInt32 | 指示设备密码所需的最小符号字符数。 有效值 1 到 16 | - |
| PasswordMinimumUpperCaseCharacters | 写入 | UInt32 | 指示设备密码所需的最小大写字母字符数。 有效值 1 到 16 | - |
| PasswordMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 设备锁定的最长时间。 还可以禁用屏幕锁定,以便它永远不会超时。 | - |
| PasswordPreviousPasswordCountToBlock | 写入 | UInt32 | 输入用户重复使用旧密码之前所需的唯一密码数。 (1-24) | - |
| PasswordRequiredType | 写入 | String | 设置密码的复杂性要求。 将根据你的选择提供其他密码要求。 |
deviceDefault, required, numeric, numericComplex, alphabetic, alphanumeric, alphanumericWithSymbols, lowSecurityBiometric, customPassword |
| PasswordRequireUnlock | 写入 | String | 指示必须使用强身份验证形式解锁设备的超时期限。 |
deviceDefault, daily, unkownFutureValue |
| PasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | 在擦除设备所有数据之前,可以连续输入错误密码的次数。 (4-11) | - |
| PersonalProfileAppsAllowInstallFromUnknownSources | 写入 | 布尔值 | 指示用户是否可以在个人配置文件上安装来自未知源的应用。 | - |
| PersonalProfileCameraBlocked | 写入 | 布尔值 | 指示是否禁用对个人配置文件使用相机。 | - |
| PersonalProfilePersonalApplications | 写入 | MSFT_MicrosoftGraphapplistitem[] | 策略应用于个人配置文件中的应用程序。 该集合最多可包含 500 个元素。 | - |
| PersonalProfilePlayStoreMode | 写入 | String | 与 PersonalProfilePersonalApplications 一起使用,以控制如何允许或阻止个人配置文件中的应用 |
notConfigured, blockedApps, allowedApps |
| PersonalProfileScreenCaptureBlocked | 写入 | 布尔值 | 指示是否禁用在个人配置文件上拍摄屏幕截图的功能。 | - |
| PlayStoreMode | 写入 | String | 用户可以访问所有应用,但客户端应用中需要卸载的应用除外。 如果为此设置选择“未配置”,则用户只能访问你在客户端应用中列为可用或必需的应用。 |
notConfigured, allowList, blockList |
| ScreenCaptureBlocked | 写入 | 布尔值 | 阻止屏幕捕获 | - |
| SecurityCommonCriteriaModeEnabled | 写入 | 布尔值 | 表示当用户尝试修改其设备上的托管设置时提供给用户的安全通用条件模式。 | - |
| SecurityDeveloperSettingsEnabled | 写入 | 布尔值 | 指示是否允许用户访问开发人员设置,例如设备上的开发人员选项和安全启动。 | - |
| SecurityRequireVerifyApps | 写入 | 布尔值 | 启用 Google Play Protect 以在安装应用之前和之后扫描应用。 如果检测到威胁,可能会警告用户从设备中删除应用。 默认情况下是必需的。 | - |
| ShortHelpText | 写入 | MSFT_MicrosoftGraphandroiddeviceowneruserfacingmessage | 表示当用户尝试修改其设备上的托管设置时提供给用户的自定义简短帮助文本。 | - |
| StatusBarBlocked | 写入 | 布尔值 | 阻止访问状态栏,包括通知和快速设置。 | - |
| StayOnModes | 写入 | StringArray[] | 电池插入设备保持打开的模式。 使用此设置时,建议清除“锁定屏幕时间”设置,以便设备在保持打开状态时不会锁定自身。 |
notConfigured, ac, usb, wireless |
| StorageAllowUsb | 写入 | 布尔值 | 允许 USB 存储。 | - |
| StorageBlockExternalMedia | 写入 | 布尔值 | 阻止外部媒体的装载。 | - |
| StorageBlockUsbFileTransfer | 写入 | 布尔值 | 阻止通过 USB 传输文件。 | - |
| SystemUpdateFreezePeriods | 写入 | MSFT_MicrosoftGraphandroiddeviceownersystemupdatefreezeperiod[] | 指示系统更新推迟的年度重复时间段。 该集合最多可包含 500 个元素。 | - |
| SystemUpdateInstallType | 写入 | String | 当此设备提供无线更新时,会基于此策略安装这些更新。? |
deviceDefault, postpone, windowed, automatic |
| SystemUpdateWindowEndMinutesAfterMidnight | 写入 | UInt32 | 设备时区中的维护时段结束。? | - |
| SystemUpdateWindowStartMinutesAfterMidnight | 写入 | UInt32 | 设备时区中的维护时段开始。? | - |
| SystemWindowsBlocked | 写入 | 布尔值 | 禁用窗口通知,例如 toast、传入呼叫、传出呼叫、系统警报和系统错误。? | - |
| UsersBlockAdd | 写入 | 布尔值 | 阻止用户在设备上添加和登录个人帐户。 | - |
| UsersBlockRemove | 写入 | 布尔值 | 阻止删除用户。 | - |
| VolumeBlockAdjustment | 写入 | 布尔值 | 阻止对卷的更改。 | - |
| VpnAlwaysOnLockdownMode | 写入 | 布尔值 | 启用此功能会强制所有网络流量通过 VPN 隧道。 如果无法建立与 VPN 的连接,则不允许任何网络流量。 | - |
| VpnAlwaysOnPackageIdentifier | 写入 | String | 将处理始终启用 VPN 连接的应用的 Android 应用包名称。 | - |
| WifiBlockEditConfigurations | 写入 | 布尔值 | 阻止用户创建或编辑任何 Wi-Fi 配置。 | - |
| WifiBlockEditPolicyDefinedConfigurations | 写入 | 布尔值 | 阻止对设备所有者创建的 Wi-Fi 配置的更改。 用户可以创建自己的 Wi-Fi 配置。 | - |
| WorkProfilePasswordExpirationDays | 写入 | UInt32 | 指示工作配置文件密码在过期之前可以设置的天数,并且需要新密码。 有效值为 1 至 365。 | - |
| WorkProfilePasswordMinimumLength | 写入 | UInt32 | 指示工作配置文件密码的最小长度。 有效值为 4 至 16 | - |
| WorkProfilePasswordMinimumLetterCharacters | 写入 | UInt32 | 指示工作配置文件密码所需的最小数字字符数。 有效值 1 到 16 | - |
| WorkProfilePasswordMinimumLowerCaseCharacters | 写入 | UInt32 | 指示工作配置文件密码所需的最小非字母字符数。 有效值 1 到 16 | - |
| WorkProfilePasswordMinimumNonLetterCharacters | 写入 | UInt32 | 指示工作配置文件密码所需的最小字母字符数。 有效值 1 到 16 | - |
| WorkProfilePasswordMinimumNumericCharacters | 写入 | UInt32 | 指示工作配置文件密码所需的最小小写字符数。 有效值 1 到 16 | - |
| WorkProfilePasswordMinimumSymbolCharacters | 写入 | UInt32 | 指示工作配置文件密码所需的最小大写字母字符数。 有效值 1 到 16 | - |
| WorkProfilePasswordMinimumUpperCaseCharacters | 写入 | UInt32 | 指示工作配置文件密码所需的最小符号字符数。 有效值 1 到 16 | - |
| WorkProfilePasswordPreviousPasswordCountToBlock | 写入 | UInt32 | 指示工作配置文件密码历史记录的长度,用户将无法输入与历史记录中的任何密码相同的新密码。 有效值为 0 至 24 | - |
| WorkProfilePasswordRequiredType | 写入 | String | 指示工作配置文件密码所需的最低密码质量。 |
deviceDefault, required, numeric, numericComplex, alphabetic, alphanumeric, alphanumericWithSymbols, lowSecurityBiometric, customPassword |
| WorkProfilePasswordRequireUnlock | 写入 | String | 指示必须使用强身份验证形式解锁工作配置文件的超时期限。 |
deviceDefault, daily, unkownFutureValue |
| WorkProfilePasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | 指示用户在擦除设备之前输入不正确的工作配置文件密码的次数。 有效值为 4 至 11 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphapplistitem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| odataType | 写入 | String | 项的 odatatype。 | #microsoft.graph.appleAppListItem |
| appId | 写入 | String | 展台模式托管应用 ID | - |
| appStoreUrl | 写入 | String | 定义应用商店 URL。 | - |
| name | 写入 | String | 定义应用的名称。 | - |
| 发布者 | 写入 | String | 定义应用的发布者。 | - |
MSFT_MicrosoftGraphandroiddeviceowneruserfacingmessage
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| defaultMessage | 写入 | String | 如果用户的区域设置与任何本地化消息不匹配,则显示的默认消息。 | - |
| localizedMessages | 写入 | MSFT_MicrosoftGraphkeyvaluepair[] | 区域设置、消息>对的列表<。 该集合最多可包含 500 个元素。 | - |
MSFT_MicrosoftGraphkeyvaluepair
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 名称 | 写入 | String | 邮件 localizedMessages 的名称。 | - |
| 值 | 写入 | String | 消息 localizedMessages 的值。 | - |
MSFT_MicrosoftGraphandroiddeviceownerglobalproxy
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| odataType | 写入 | String | 全局代理的类型。 |
#microsoft.graph.androidDeviceOwnerGlobalProxyAutoConfig, #microsoft.graph.androidDeviceOwnerGlobalProxyDirect |
| proxyAutoConfigURL | 写入 | String | 代理自动配置 URL。 | - |
| excludedHosts | 写入 | StringArray[] | 排除的主机。 | - |
| host | 写入 | String | 主机名。 | - |
| 港口 | 写入 | UInt32 | 端口。 | - |
MSFT_MicrosoftGraphandroiddeviceownerkioskmodeapppositionitem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 项 | 写入 | MSFT_MicrosoftGraphandroiddeviceownerkioskmodehomescreenitem | 要排列的项目。 | - |
| position | 写入 | UInt32 | 项在网格上的位置。 有效值 0 到 9999999。 | - |
MSFT_MicrosoftGraphandroiddeviceownerkioskmodehomescreenitem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| odataType | 写入 | String | 项的类型。 |
#microsoft.graph.androidDeviceOwnerKioskModeApp, #microsoft.graph.androidDeviceOwnerKioskModeWeblink, #microsoft.graph.androidDeviceOwnerKioskModeManagedFolder |
| folderIdentifier | 写入 | String | 文件夹标识符。 | - |
| folderName | 写入 | String | 文件夹名称。 | - |
| items | 写入 | MSFT_MicrosoftGraphandroiddeviceownerkioskmodefolderitem[] | 要排列的项目。 | - |
| className | 写入 | String | 项的类名。 | - |
| package | 写入 | String | 项的包。 | - |
| 标签 | 写入 | String | 项的标签。 | - |
| 链接 | 写入 | String | 项的链接。 | - |
MSFT_MicrosoftGraphandroiddeviceownerkioskmodemanagedfolder
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| folderIdentifier | 写入 | String | 文件夹标识符。 | - |
| folderName | 写入 | String | 文件夹名称。 | - |
| items | 写入 | MSFT_MicrosoftGraphandroiddeviceownerkioskmodefolderitem[] | 要排列的项目。 | - |
MSFT_MicrosoftGraphandroiddeviceownerkioskmodefolderitem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| odataType | 写入 | String | 项的类型。 |
#microsoft.graph.androidDeviceOwnerKioskModeApp, #microsoft.graph.androidDeviceOwnerKioskModeWeblink |
| className | 写入 | String | 项的类名。 | - |
| package | 写入 | String | 项的包。 | - |
| 标签 | 写入 | String | 项的标签。 | - |
| 链接 | 写入 | String | 项的链接。 | - |
MSFT_MicrosoftGraphandroiddeviceownersystemupdatefreezeperiod
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| endDay | 写入 | UInt32 | 冻结期结束日期的日期。 有效值 1 到 31。 | - |
| endMonth | 写入 | UInt32 | 冻结期结束日期的月份。 有效值 1 到 12。 | - |
| startDay | 写入 | UInt32 | 冻结期开始日期的日期。 有效值 1 到 31。 | - |
| startMonth | 写入 | UInt32 | 冻结期开始日期的月份。 有效值 1 到 12。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPolicyAndroidOpenSourceProject 资源类型
说明
此资源为 Android 开源项目设备配置Intune设备配置文件。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| AppsBlockInstallFromUnknownSources | 写入 | 布尔值 | 阻止来自未知源的应用程序。 | - |
| BluetoothBlockConfiguration | 写入 | 布尔值 | 阻止蓝牙配置。 | - |
| BluetoothBlocked | 写入 | 布尔值 | 阻止在设备上使用蓝牙。 | - |
| CameraBlocked | 写入 | 布尔值 | 阻止访问设备相机。 | - |
| FactoryResetBlocked | 写入 | 布尔值 | 阻止恢复出厂设置。 | - |
| PasswordMinimumLength | 写入 | UInt32 | 密码所需的最小字符数。 | - |
| PasswordMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 屏幕锁定之前处于非活动状态的最大分钟数。 | - |
| PasswordRequiredType | 写入 | String | 设置密码复杂性。 |
deviceDefault, required, numeric, numericComplex, alphabetic, alphanumeric, alphanumericWithSymbols, lowSecurityBiometric, customPassword |
| PasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | 擦除设备前的登录失败次数。 | - |
| ScreenCaptureBlocked | 写入 | 布尔值 | 阻止屏幕捕获。 | - |
| SecurityAllowDebuggingFeatures | 写入 | 布尔值 | 启用调试功能。 | - |
| StorageBlockExternalMedia | 写入 | 布尔值 | 阻止外部媒体。 | - |
| StorageBlockUsbFileTransfer | 写入 | 布尔值 | 阻止 USB 文件传输。 | - |
| WifiBlockEditConfigurations | 写入 | 布尔值 | 阻止 Wifi 配置编辑。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPolicyAndroidWorkProfile 资源类型
说明
此资源为 Android WorkProfile 设备配置Intune设备配置文件。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | Android WorkProfile 的设备常规配置策略的显示名称。 | - |
| 说明 | 写入 | String | Android WorkProfile 的设备常规配置策略说明 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Intune策略的分配。 | - |
| PasswordBlockFaceUnlock | 写入 | 布尔值 | 指示是否阻止人脸解锁。 | - |
| PasswordBlockFingerprintUnlock | 写入 | 布尔值 | 指示是否阻止指纹解锁 | - |
| PasswordBlockIrisUnlock | 写入 | 布尔值 | 指示是否阻止虹膜解锁。 | - |
| passwordBlockTrustAgents | 写入 | 布尔值 | 指示是否阻止 Smart Lock 和其他信任代理。 | - |
| PasswordExpirationDays | 写入 | UInt32 | 密码过期之前的天数 | - |
| PasswordMinimumLength | 写入 | UInt32 | 密码的最小长度 | - |
| PasswordMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 屏幕超时前处于非活动状态的分钟数 | - |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | 要阻止的先前密码数 | - |
| PasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | 恢复出厂设置前允许的登录失败次数 | - |
| PasswordRequiredType | 写入 | String | 所需的密码类型 |
deviceDefault, lowSecurityBiometric, required, atLeastNumeric, numericComplex, atLeastAlphabetic, atLeastAlphanumeric, alphanumericWithSymbols |
| RequiredPasswordComplexity | 写入 | String | 指示 Android 上所需的设备密码复杂性。 其中之一:无、低、中、高。 |
none, low, medium, high |
| WorkProfileAllowAppInstallsFromUnknownSources | 写入 | 布尔值 | 指示是否允许安装来自未知来源的应用。 | - |
| WorkProfileDataSharingType | 写入 | String | 允许的数据共享类型 |
deviceDefault, preventAny, allowPersonalToWork, noRestrictions |
| WorkProfileBlockNotificationsWhileDeviceLocked | 写入 | 布尔值 | 指示设备锁定时是否阻止通知 | - |
| WorkProfileBlockAddingAccounts | 写入 | 布尔值 | 阻止用户在工作配置文件中添加/删除帐户 | - |
| WorkProfileBluetoothEnableContactSharing | 写入 | 布尔值 | 允许蓝牙设备访问企业联系人 | - |
| WorkProfileBlockScreenCapture | 写入 | 布尔值 | 在工作配置文件中阻止屏幕捕获 | - |
| WorkProfileBlockCrossProfileCallerId | 写入 | 布尔值 | 阻止在个人配置文件中显示工作配置文件呼叫者 ID | - |
| WorkProfileBlockCamera | 写入 | 布尔值 | 阻止工作配置文件相机 | - |
| WorkProfileBlockCrossProfileContactsSearch | 写入 | 布尔值 | 在个人配置文件中阻止工作配置文件联系人可用性 | - |
| WorkProfileBlockCrossProfileCopyPaste | 写入 | 布尔值 | 指示是否启用设置禁止跨配置文件复制粘贴的布尔值 | - |
| WorkProfileDefaultAppPermissionPolicy | 写入 | String | 所需的密码类型 |
deviceDefault, prompt, autoGrant, autoDeny |
| WorkProfilePasswordBlockFaceUnlock | 写入 | 布尔值 | 指示是否在工作配置文件中阻止人脸解锁。 | - |
| WorkProfilePasswordBlockFingerprintUnlock | 写入 | 布尔值 | 指示是否阻止工作配置文件中的指纹解锁 | - |
| WorkProfilePasswordBlockIrisUnlock | 写入 | 布尔值 | 指示是否在工作配置文件中阻止虹膜解锁。 | - |
| WorkProfilePasswordBlockTrustAgents | 写入 | 布尔值 | 指示是否阻止工作配置文件的 Smart Lock 和其他信任代理 | - |
| WorkProfilePasswordExpirationDays | 写入 | UInt32 | 工作配置文件密码过期之前的天数 | - |
| WorkProfilePasswordMinimumLength | 写入 | UInt32 | 工作配置文件密码的最小长度 | - |
| WorkProfilePasswordMinNumericCharacters | 写入 | UInt32 | 工作配置文件密码中所需的最小数字字符数 | - |
| WorkProfilePasswordMinNonLetterCharacters | 写入 | UInt32 | 工作配置文件密码中所需的非字母字符的最小计数 | - |
| WorkProfilePasswordMinLetterCharacters | 写入 | UInt32 | 工作配置文件密码中所需的最小字母字符数 | - |
| WorkProfilePasswordMinLowerCaseCharacters | 写入 | UInt32 | 工作配置文件密码中所需的小写字符的最小计数 | - |
| WorkProfilePasswordMinUpperCaseCharacters | 写入 | UInt32 | 工作配置文件密码中所需的大写字符的最小计数 | - |
| WorkProfilePasswordMinSymbolCharacters | 写入 | UInt32 | 工作配置文件密码中所需的最小符号计数 | - |
| WorkProfilePasswordMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 屏幕超时前处于非活动状态的分钟数 | - |
| WorkProfilePasswordPreviousPasswordBlockCount | 写入 | UInt32 | 要阻止的以前工作配置文件密码的数目 | - |
| WorkProfilePasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | 删除工作配置文件和删除所有公司数据之前允许的登录失败次数 | - |
| WorkProfilePasswordRequiredType | 写入 | String | 所需的工作配置文件密码类型 |
deviceDefault, lowSecurityBiometric, required, atLeastNumeric, numericComplex, atLeastAlphabetic, atLeastAlphanumeric, alphanumericWithSymbols |
| WorkProfileRequiredPasswordComplexity | 写入 | String | 指示 Android 上所需的设备密码复杂性。 其中之一:无、低、中、高的工作配置文件。 |
none, low, medium, high |
| WorkProfileRequirePassword | 写入 | 布尔值 | 工作配置文件需要或不需要密码 | - |
| SecurityRequireVerifyApps | 写入 | 布尔值 | 要求打开 Android 验证应用功能 | - |
| VpnAlwaysOnPackageIdentifier | 写入 | String | 始终启用 VPN 的包标识符。 | - |
| VpnEnableAlwaysOnLockdownMode | 写入 | 布尔值 | 为 Always-On VPN 启用锁定模式。 | - |
| WorkProfileAllowWidgets | 写入 | 布尔值 | 允许来自工作配置文件应用的小组件。 | - |
| WorkProfileBlockPersonalAppInstallsFromUnknownSources | 写入 | 布尔值 | 阻止从个人配置文件中的未知源安装应用。 | - |
| 确保 | 写入 | String | 存在 可确保网站集存在,不存在确保已删除网站集 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPolicyiOS 资源类型
说明
此资源配置适用于 iOS 的Intune设备配置策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| AccountBlockModification | 写入 | 布尔值 | 指示设备处于监督模式时是否允许帐户修改。 | - |
| ActivationLockAllowWhenSupervised | 写入 | 布尔值 | 激活锁定使丢失或被盗的设备更难重新激活。 | - |
| AirDropBlocked | 写入 | 布尔值 | 指示设备处于监督模式时是否允许 AirDrop。 | - |
| AirDropForceUnmanagedDropTarget | 写入 | 布尔值 | 强制 AirDrop 被视为非托管投落目标。 | - |
| AirPlayForcePairingPasswordForOutgoingRequests | 写入 | 布尔值 | 强制要求对传出 AirPlay 请求使用配对密码。 | - |
| AirPrintBlockCredentialsStorage | 写入 | 布尔值 | 阻止传出 AirPrint 请求的用户名和密码的密钥链存储。 | - |
| AirPrintBlocked | 写入 | 布尔值 | 阻止 AirPrint 请求。 | - |
| AirPrintBlockiBeaconDiscovery | 写入 | 布尔值 | 阻止可防止恶意 AirPrint 蓝牙信标网络流量钓鱼。 | - |
| AirPrintForceTrustedTLS | 写入 | 布尔值 | 强制受信任的证书进行 TLS 打印通信 | - |
| AppClipsBlocked | 写入 | 布尔值 | 阻止应用剪辑。 | - |
| AppleNewsBlocked | 写入 | 布尔值 | 阻止苹果新闻 | - |
| ApplePersonalizedAdsBlocked | 写入 | 布尔值 | 阻止 Apple PersonalizedAdsBlocked | - |
| AppleWatchBlockPairing | 写入 | 布尔值 | 指示设备处于监督模式时是否允许 Apple Watch 配对(iOS 9.0 及更高版本)。 | - |
| AppleWatchForceWristDetection | 写入 | 布尔值 | 强制配对的苹果手表使用手腕检测。 | - |
| AppRemovalBlocked | 写入 | 布尔值 | 阻止应用删除。 | - |
| AppsSingleAppModeList | 写入 | MSFT_MicrosoftGraphapplistitem[] | 添加到此列表并分配给设备的应用可以锁定设备,以便在启动后仅运行该应用,或者在运行某个操作时锁定设备, (例如,) 进行测试。 完成操作或取消限制后,设备将恢复其正常状态。 | - |
| AppStoreBlockAutomaticDownloads | 写入 | 布尔值 | 阻止自动下载在其他设备上购买的应用。 不会影响现有应用的更新。 | - |
| AppStoreBlocked | 写入 | 布尔值 | 自 iOS 13.0 起,适用于受监督设备。 | - |
| AppStoreBlockInAppPurchases | 写入 | 布尔值 | 阻止 AppStore 应用内购买。 | - |
| AppStoreBlockUIAppInstallation | 写入 | 布尔值 | 阻止从主屏幕App Store。 用户可以继续使用 iTunes 或 Apple Configurator 来安装或更新应用。 | - |
| AppStoreRequirePassword | 写入 | 布尔值 | 用户必须为每个应用内和 iTunes 购买输入 Apple ID 密码。 | - |
| AppsVisibilityList | 写入 | MSFT_MicrosoftGraphapplistitem[] | 输入所需应用的 iTunes App Store URL。 例如,若要为 iOS 指定Microsoft工作文件夹应用,请输入 https://itunes.apple.com/us/app/work-folders/id950878067?mt=8。 若要查找应用的 URL,请使用搜索引擎查找应用商店页面。 例如,若要查找“工作文件夹”应用,可以搜索Microsoft工作文件夹 ITunes。 | - |
| AppsVisibilityListType | 写入 | String | 设置列表是要隐藏的应用列表还是要使其可见的应用列表。 |
none, appsInListCompliant, appsNotInListCompliant |
| AutoFillForceAuthentication | 写入 | 布尔值 | 需要触控 ID 或人脸 ID,然后才能在 Safari 和应用中自动填写密码或信用卡信息。 适用于 iOS 12.0 及更高版本。 | - |
| AutoUnlockBlocked | 写入 | 布尔值 | 阻止自动解锁。 | - |
| BlockSystemAppRemoval | 写入 | 布尔值 | 阻止会禁用从设备中删除系统应用的功能。 | - |
| BluetoothBlockModification | 写入 | 布尔值 | 阻止修改蓝牙设置。 若要使用此设置,设备必须处于监督模式 (iOS 10.0+) 。 | - |
| CameraBlocked | 写入 | 布尔值 | 指示是否阻止用户访问设备的照相机。 需要 iOS 13 及更高版本的受监督设备。 | - |
| CellularBlockDataRoaming | 写入 | 布尔值 | 阻止通过手机网络进行数据漫游。 这不会显示在设备的管理配置文件中,但每次设备签入数据时都会强制实施一个阻止, (通常每隔 8 小时) 一次。 | - |
| CellularBlockGlobalBackgroundFetchWhileRoaming | 写入 | 布尔值 | 通过手机网络漫游时阻止全局后台提取。 | - |
| CellularBlockPerAppDataModification | 写入 | 布尔值 | 阻止更改应用手机网络数据使用情况设置。 | - |
| CellularBlockPersonalHotspot | 写入 | 布尔值 | 此值仅适用于某些运营商。 这不会显示在设备的管理配置文件中,但每次设备签入 (通常会每 8 小时) 一次,对个人热点强制实施阻止。 除了此设置外,还阻止修改个人热点,以确保始终阻止个人热点。 | - |
| CellularBlockPersonalHotspotModification | 写入 | 布尔值 | 适用于运行 iOS 12.2 及更高版本的设备。 用户无法打开或关闭个人热点。 如果阻止此设置并阻止个人热点,则会关闭个人热点。 | - |
| CellularBlockPlanModification | 写入 | 布尔值 | 指示是否允许用户在受监督的设备上更改手机网络计划的设置。 | - |
| CellularBlockVoiceRoaming | 写入 | 布尔值 | 阻止通过手机网络进行语音漫游。 | - |
| CertificatesBlockUntrustedTlsCertificates | 写入 | 布尔值 | 阻止不受信任的传输层安全性 (TLS) 证书。 | - |
| ClassroomAppBlockRemoteScreenObservation | 写入 | 布尔值 | 阻止 Classroom 应用进行远程屏幕观察。 若要使用此设置,设备必须处于监督模式 (iOS 9.3+) 。 | - |
| ClassroomAppForceUnpromptedScreenObservation | 写入 | 布尔值 | 通过 Classroom 应用在课堂中注册的学生设备将自动向该课程的教师授予静默观察学生屏幕的权限。 | - |
| ClassroomForceAutomaticallyJoinClasses | 写入 | 布尔值 | 学生可以在不提示教师的情况下加入课堂。 | - |
| ClassroomForceRequestPermissionToLeaveClasses | 写入 | 布尔值 | 要求通过 Classroom 注册到非托管课程的学生在尝试离开课程时向教师请求权限。 仅在 iOS 11.3+ 中可用 | - |
| ClassroomForceUnpromptedAppAndDeviceLock | 写入 | 布尔值 | 教师可以锁定打开的应用或锁定设备,而无需先提示用户。 | - |
| CompliantAppListType | 写入 | String | 可以在受限应用符合性报告中查看设备符合性。 |
none, appsInListCompliant, appsNotInListCompliant |
| CompliantAppsList | 写入 | MSFT_MicrosoftGraphapplistitem[] | 输入所需应用的 iTunes App Store URL。 例如,若要为 iOS 指定Microsoft工作文件夹应用,请输入 https://itunes.apple.com/us/app/work-folders/id950878067?mt=8。 若要查找应用的 URL,请使用搜索引擎查找应用商店页面。 例如,若要查找“工作文件夹”应用,可以搜索Microsoft工作文件夹 ITunes。 | - |
| ConfigurationProfileBlockChanges | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止用户以交互方式安装配置文件和证书。 | - |
| ContactsAllowManagedToUnmanagedWrite | 写入 | 布尔值 | 用户可以同步并添加其托管联系人 (包括业务和公司联系人) 到非托管应用,例如设备的内置联系人应用。 | - |
| ContactsAllowUnmanagedToManagedRead | 写入 | 布尔值 | 非托管应用(如设备的内置联系人应用)可以访问托管应用(如 Outlook)中的联系人信息。 | - |
| ContinuousPathKeyboardBlocked | 写入 | 布尔值 | QuickPath 在设备键盘上启用连续输入。 适用于 iOS/iPadOS 13.0 及更高版本。 | - |
| DateAndTimeForceSetAutomatically | 写入 | 布尔值 | 强制设备自动设置日期 & 时间。 仅当设备具有手机网络连接或启用了定位服务的 wifi 时,才会更新设备的时区。 | - |
| DefinitionLookupBlocked | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止定义查找(iOS 8.1.3 及更高版本)。 | - |
| DeviceBlockEnableRestrictions | 写入 | 布尔值 | 在 iOS 12.0 及更高版本中,这会阻止用户设置自己的“屏幕时间”设置,其中包括设备限制。 在 iOS 11.4.1 及更早版本上,这会阻止用户在设备设置中启用限制。 阻止效果在任何受监督的 iOS 设备上都是相同的。 | - |
| DeviceBlockEraseContentAndSettings | 写入 | 布尔值 | 阻止在设备上使用“擦除所有内容和设置”选项。 | - |
| DeviceBlockNameModification | 写入 | 布尔值 | 指示设备处于监督模式时是否允许修改设备名称(iOS 9.0 及更高版本)。 | - |
| DiagnosticDataBlockSubmission | 写入 | 布尔值 | 阻止设备发送诊断和使用情况遥测数据。 | - |
| DiagnosticDataBlockSubmissionModification | 写入 | 布尔值 | 在“设置”的“诊断和使用情况”窗格中阻止修改诊断提交和应用分析设置。 若要使用此设置,设备必须处于 (iOS 9.3.2+) 的监督模式。 | - |
| DocumentsBlockManagedDocumentsInUnmanagedApps | 写入 | 布尔值 | 指示是否阻止用户查看非托管应用中的托管文档。 | - |
| DocumentsBlockUnmanagedDocumentsInManagedApps | 写入 | 布尔值 | 指示是否阻止用户查看托管应用中的非托管文档。 | - |
| EmailInDomainSuffixes | 写入 | StringArray[] | 用户发送或接收与此处指定的域不匹配的电子邮件将标记为不受信任。 | - |
| EnterpriseAppBlockTrust | 写入 | 布尔值 | 删除“设置”->“常规>配置文件”& 设备管理 中的“信任企业开发人员”按钮。 | - |
| EnterpriseAppBlockTrustModification | 写入 | 布尔值 | 阻止更改企业应用信任设置。 | - |
| EnterpriseBookBlockBackup | 写入 | 布尔值 | 指示是否备份企业书籍。 | - |
| EnterpriseBookBlockMetadataSync | 写入 | 布尔值 | 指示是否同步企业书籍元数据。 | - |
| EsimBlockModification | 写入 | 布尔值 | 指示是否允许在受监督设备的 eSIM 上添加或删除手机网络计划。 | - |
| FaceTimeBlocked | 写入 | 布尔值 | 指示是否阻止用户使用 FaceTime。 需要 iOS 13 及更高版本的受监督设备。 | - |
| FilesNetworkDriveAccessBlocked | 写入 | 布尔值 | 使用服务器消息块 (SMB) 协议,设备可以访问网络服务器上的文件或其他资源。 适用于运行 iOS 和 iPadOS 版本 13.0 及更高版本的设备。 | - |
| FilesUsbDriveAccessBlocked | 写入 | 布尔值 | 具有访问权限的设备可以连接到 U 盘上的文件并打开。 适用于运行 iOS 和 iPadOS 版本 13.0 及更高版本的设备。 | - |
| FindMyDeviceInFindMyAppBlocked | 写入 | 布尔值 | “查找我的应用”功能。 适用于 iOS/iPadOS 13.0 及更高版本。 | - |
| FindMyFriendsBlocked | 写入 | 布尔值 | 阻止更改“查找我的朋友”应用设置。 | - |
| FindMyFriendsInFindMyAppBlocked | 写入 | 布尔值 | “查找我的应用”功能。 用于从 Apple 设备或 iCloud.com 查找家人和朋友。 适用于 iOS/iPadOS 13.0 及更高版本。 | - |
| GameCenterBlocked | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止用户使用 Game Center。 | - |
| GamingBlockGameCenterFriends | 写入 | 布尔值 | 阻止添加游戏中心好友。 自 iOS 13.0 起,适用于受监督设备。 | - |
| GamingBlockMultiplayer | 写入 | 布尔值 | 自 iOS 13.0 起,适用于受监督设备。 | - |
| HostPairingBlocked | 写入 | 布尔值 | 主机配对允许你控制设备可以与哪些设备配对。 | - |
| IBooksStoreBlocked | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止用户使用 iBooks Store。 | - |
| IBooksStoreBlockErotica | 写入 | 布尔值 | 用户将无法从已标记为 erotica 的 iBook 商店下载媒体。 | - |
| ICloudBlockActivityContinuation | 写入 | 布尔值 | Handoff 允许用户在一台 iOS 设备上开始工作,并在另一台 MacOS 或 iOS 设备上继续工作。 | - |
| ICloudBlockBackup | 写入 | 布尔值 | 阻止将设备备份到 iCloud。 | - |
| ICloudBlockDocumentSync | 写入 | 布尔值 | 阻止 iCloud 同步文档和数据。 | - |
| ICloudBlockManagedAppsSync | 写入 | 布尔值 | 阻止托管应用同步到云。 | - |
| ICloudBlockPhotoLibrary | 写入 | 布尔值 | 任何未从 iCloud 照片库下载到设备的照片都将从本地存储中删除。 | - |
| ICloudBlockPhotoStreamSync | 写入 | 布尔值 | 阻止照片流同步到 iCloud。 | - |
| ICloudBlockSharedPhotoStream | 写入 | 布尔值 | 阻止共享照片流式传输。 阻止可能会导致数据丢失。 | - |
| ICloudPrivateRelayBlocked | 写入 | 布尔值 | 阻止 iCloud 专用中继。 | - |
| ICloudRequireEncryptedBackup | 写入 | 布尔值 | 要求对设备备份进行加密。 | - |
| ITunesBlocked | 写入 | 布尔值 | 阻止 iTunes。 | - |
| ITunesBlockExplicitContent | 写入 | 布尔值 | 阻止来自 iTunes 的显式 iTunes 音乐、播客和新闻内容。 自 13.0 起,适用于受监督设备。 | - |
| ITunesBlockMusicService | 写入 | 布尔值 | 阻止音乐服务。 如果为 true,音乐应用将还原为经典模式,并且音乐服务处于禁用状态。 | - |
| ITunesBlockRadio | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止用户使用 iTunes Radio(iOS 9.3 及更高版本)。 | - |
| KeyboardBlockAutoCorrect | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止键盘自动更正(iOS 8.1.3 及更高版本)。 | - |
| KeyboardBlockDictation | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止用户使用听写输入。 | - |
| KeyboardBlockPredictive | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止预测键盘(iOS 8.1.3 及更高版本)。 | - |
| KeyboardBlockShortcuts | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止键盘快捷键(iOS 9.0 及更高版本)。 | - |
| KeyboardBlockSpellCheck | 写入 | 布尔值 | 指示设备处于监督模式时是否阻止键盘拼写检查(iOS 8.1.3 及更高版本)。 | - |
| KeychainBlockCloudSync | 写入 | 布尔值 | 禁用将密钥链中存储的凭据同步到 iCloud。 | - |
| KioskModeAllowAssistiveSpeak | 写入 | 布尔值 | 指示在展台模式下是否允许辅助朗读。 | - |
| KioskModeAllowAssistiveTouchSettings | 写入 | 布尔值 | 用户可以打开或关闭 AssistiveTouch。 | - |
| KioskModeAllowAutoLock | 写入 | 布尔值 | 展台模式允许自动锁定 | - |
| KioskModeAllowColorInversionSettings | 写入 | 布尔值 | 用户可以打开或关闭反转颜色。 | - |
| KioskModeAllowRingerSwitch | 写入 | 布尔值 | 展台模式允许响铃开关 | - |
| KioskModeAllowScreenRotation | 写入 | 布尔值 | 展台模式允许屏幕旋转 | - |
| KioskModeAllowSleepButton | 写入 | 布尔值 | 展台模式允许睡眠按钮 | - |
| KioskModeAllowTouchscreen | 写入 | 布尔值 | 展台模式允许触摸屏 | - |
| KioskModeAllowVoiceControlModification | 写入 | 布尔值 | 指示是否允许用户在展台模式下切换语音控制。 | - |
| KioskModeAllowVoiceOverSettings | 写入 | 布尔值 | 用户可以打开或关闭 VoiceOver。 | - |
| KioskModeAllowVolumeButtons | 写入 | 布尔值 | 展台模式允许音量按钮 | - |
| KioskModeAllowZoomSettings | 写入 | 布尔值 | 用户可以打开或关闭缩放。 | - |
| KioskModeAppStoreUrl | 写入 | String | 展台模式的应用 URL,例如 https://itunes.apple.com/us/app/work-folders/id950878067?mt=8 | - |
| KioskModeAppType | 写入 | String | 指示展台模式下的应用类型。 |
notConfigured, appStoreApp, managedApp, builtInApp |
| KioskModeBlockAutoLock | 写入 | 布尔值 | 指示在展台模式下是否阻止自动锁定。 | - |
| KioskModeBlockRingerSwitch | 写入 | 布尔值 | 指示在展台模式下是否阻止振铃开关。 | - |
| KioskModeBlockScreenRotation | 写入 | 布尔值 | 指示在展台模式下是否阻止屏幕旋转。 | - |
| KioskModeBlockSleepButton | 写入 | 布尔值 | 指示在展台模式下是否阻止睡眠按钮。 | - |
| KioskModeBlockTouchscreen | 写入 | 布尔值 | 指示在展台模式下是否阻止触摸屏。 | - |
| KioskModeBlockVolumeButtons | 写入 | 布尔值 | 指示在展台模式下是否阻止音量按钮。 | - |
| KioskModeBuiltInAppId | 写入 | String | 若要查看常见内置 iOS 应用的捆绑 ID 列表,请参阅 Intune 文档。 | - |
| KioskModeEnableVoiceControl | 写入 | 布尔值 | 指示在展台模式下是否启用语音控制。 | - |
| KioskModeManagedAppId | 写入 | String | 从软件节点添加托管Intune应用。 | - |
| KioskModeRequireAssistiveTouch | 写入 | 布尔值 | 指示在展台模式下是否强制实施辅助触摸。 | - |
| KioskModeRequireColorInversion | 写入 | 布尔值 | 指示在展台模式下是否强制实施颜色反转。 | - |
| KioskModeRequireMonoAudio | 写入 | 布尔值 | 指示在展台模式下是否强制实施单声道音频。 | - |
| KioskModeRequireVoiceOver | 写入 | 布尔值 | 指示在展台模式下是否强制实施语音控制。 | - |
| KioskModeRequireZoom | 写入 | 布尔值 | 指示在展台模式下是否强制缩放。 | - |
| LockScreenBlockControlCenter | 写入 | 布尔值 | 指示是否阻止用户在锁定屏幕上使用控制中心。 | - |
| LockScreenBlockNotificationView | 写入 | 布尔值 | 指示是否阻止用户在锁定屏幕上使用通知视图。 | - |
| LockScreenBlockPassbook | 写入 | 布尔值 | 指示设备处于锁定状态时是否阻止用户使用 Passbook。 | - |
| LockScreenBlockTodayView | 写入 | 布尔值 | 指示是否阻止用户在锁定屏幕上使用今日视图。 | - |
| ManagedPasteboardRequired | 写入 | 布尔值 | 指示是否强制实施托管粘贴板。 | - |
| MediaContentRatingApps | 写入 | String | 应用的媒体内容分级设置。 |
allAllowed, allBlocked, agesAbove4, agesAbove9, agesAbove12, agesAbove17 |
| MediaContentRatingAustralia | 写入 | MSFT_MicrosoftGraphmediacontentratingaustralia | 澳大利亚的媒体内容评级设置 | - |
| MediaContentRatingCanada | 写入 | MSFT_MicrosoftGraphmediacontentratingcanada | 加拿大的媒体内容评级设置 | - |
| MediaContentRatingFrance | 写入 | MSFT_MicrosoftGraphmediacontentratingfrance | 法国的媒体内容评级设置 | - |
| MediaContentRatingGermany | 写入 | MSFT_MicrosoftGraphmediacontentratinggermany | 德国的媒体内容评级设置 | - |
| MediaContentRatingIreland | 写入 | MSFT_MicrosoftGraphmediacontentratingireland | 爱尔兰的媒体内容评级设置 | - |
| MediaContentRatingJapan | 写入 | MSFT_MicrosoftGraphmediacontentratingjapan | 日本的媒体内容评级设置 | - |
| MediaContentRatingNewZealand | 写入 | MSFT_MicrosoftGraphmediacontentratingnewzealand | 新西兰的媒体内容评级设置 | - |
| MediaContentRatingUnitedKingdom | 写入 | MSFT_MicrosoftGraphmediacontentratingunitedkingdom | 英国的媒体内容评级设置 | - |
| MediaContentRatingUnitedStates | 写入 | MSFT_MicrosoftGraphmediacontentratingunitedstates | 美国的媒体内容评级设置 | - |
| MessagesBlocked | 写入 | 布尔值 | 指示是否阻止用户使用受监督设备上的消息应用。 | - |
| NetworkUsageRules | 写入 | MSFT_MicrosoftGraphiosnetworkusagerule[] | 如果未添加任何托管应用,则默认情况下,配置的设置将应用于所有托管应用。 如果添加特定的托管应用,则配置的设置将仅应用于这些应用。 | - |
| NfcBlocked | 写入 | 布尔值 | 指示是否阻止用户在受监督设备上使用 nfc。 | - |
| NotificationsBlockSettingsModification | 写入 | 布尔值 | 指示是否允许修改通知设置(iOS 9.3 及更高版本)。 | - |
| OnDeviceOnlyDictationForced | 写入 | 布尔值 | 指示是否仅对设备强制听写。 | - |
| OnDeviceOnlyTranslationForced | 写入 | 布尔值 | 指示是否在仅设备上强制实施转换。 | - |
| PasscodeBlockFingerprintModification | 写入 | 布尔值 | 阻止用户添加、更改或删除指纹和人脸。 人脸 ID 在 iOS 11.0 及更高版本中可用。 | - |
| 密码块FingerprintUnlock | 写入 | 布尔值 | 人脸 ID 在 iOS 11.0 及更高版本上可用。 | - |
| PasscodeBlockModification | 写入 | 布尔值 | 阻止添加、更改或删除密码。 阻止密码修改后,受监督设备上将忽略对密码限制的更改。 | - |
| 密码块Simple | 写入 | 布尔值 | 阻止简单的密码序列,例如 1234 或 1111。 | - |
| 密码ExpirationDays | 写入 | UInt32 | 设备密码必须更改之前的天数。 (1-65535) | - |
| PasscodeMinimumCharacterSetCount | 写入 | UInt32 | 密码中所需的非字母数字字符(如 #、%!等)的最小数目 (0-4) 。 默认值为 0。 | - |
| PasscodeMinimumLength | 写入 | UInt32 | 密码中的最小位数或字符数。 (4-14) | - |
| PasscodeMinutesOfInactivityBeforeLock | 写入 | UInt32 | 设置为 0 可立即要求输入密码。 没有最大分钟数,并且此数字将覆盖设备上当前设置的数字。 (具有 iOS 8.0 及更高操作系统版本的设备支持此符合性检查) | - |
| PasscodeMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 设置为 0 以使用设备的最小值。 此数字 (0-60) 将替代设备上当前设置的数字。 如果设置为“立即”,则设备将使用每个设备的最小值。 | - |
| PasswordPreviousPasscodeBlockCount | 写入 | UInt32 | 在可重用旧密码之前必须使用的新密码数。 (1-24) | - |
| 密码获取 | 写入 | 布尔值 | 除了要求在所有设备上使用密码外,此设置还会强制实施非简单的 6 位数密码要求, (不管你在使用 Apple 用户注册的设备上配置) 其他密码设置。 | - |
| PasscodeRequiredType | 写入 | String | 必需的密码类型。 |
deviceDefault, alphanumeric, numeric |
| PasscodeSignInFailureCountBeforeWipe | 写入 | UInt32 | 在擦除设备所有数据之前,可以连续输入错误密码的次数。 (2-11) | - |
| PasswordBlockAirDropSharing | 写入 | 布尔值 | 指示是否阻止 AirDrop 密码共享 | - |
| PasswordBlockAutoFill | 写入 | 布尔值 | 指示是否阻止密码自动填充。 | - |
| PasswordBlockProximityRequests | 写入 | 布尔值 | 指示是否阻止密码邻近感应请求。 | - |
| PkiBlockOTAUpdates | 写入 | 布尔值 | 允许用户在不将设备连接到计算机的情况下接收软件更新 | - |
| PodcastsBlocked | 写入 | 布尔值 | 指示是否阻止播客。 | - |
| PrivacyForceLimitAdTracking | 写入 | 布尔值 | 禁用设备播发标识符 | - |
| ProximityBlockSetupToNewDevice | 写入 | 布尔值 | 阻止用户使用其 Apple 设备来设置和配置其他 Apple 设备。 | - |
| SafariBlockAutofill | 写入 | 布尔值 | 指示是否阻止 Safari 自动填充。 | - |
| SafariBlocked | 写入 | 布尔值 | 指示是否阻止 Safari。 自 iOS 13.0 起,适用于受监督设备。 | - |
| SafariBlockJavaScript | 写入 | 布尔值 | 指示是否在 Safari 中阻止 javascript。 | - |
| SafariBlockPopups | 写入 | 布尔值 | 指示是否阻止 Safari 上的弹出窗口。 | - |
| SafariCookieSettings | 写入 | String | Safari 的 Cookie 设置。 |
browserDefault, blockAlways, allowCurrentWebSite, allowFromWebsitesVisited, allowAlways |
| SafariManagedDomains | 写入 | StringArray[] | 从此处指定的 URL 下载的文档将被视为仅) 的托管 (Safari。 | - |
| SafariPasswordAutoFillDomains | 写入 | StringArray[] | 用户只能从与此处指定的模式匹配的 URL 在 Safari 中保存密码。 若要使用此设置,设备必须处于监督模式,并且不为多个用户配置。 (iOS 9.3+) | - |
| SafariRequireFraudWarning | 写入 | 布尔值 | 指示在 Safari 中是否需要诈骗警告。 | - |
| ScreenCaptureBlocked | 写入 | 布尔值 | 指示是否阻止用户拍摄屏幕截图 | - |
| SharedDeviceBlockTemporarySessions | 写入 | 布尔值 | 指示是否阻止共享设备上的临时会话。 | - |
| SiriBlocked | 写入 | 布尔值 | 指示是否阻止 Siri。 | - |
| SiriBlockedWhenLocked | 写入 | 布尔值 | 指示锁定时是否阻止 Siri。 | - |
| SiriBlockUserGeneratedContent | 写入 | 布尔值 | 阻止 Siri 从 Internet 查询用户生成的内容。 | - |
| SiriRequireProfanityFilter | 写入 | 布尔值 | 防止 Siri 听写或说亵渎语言。 | - |
| SoftwareUpdatesEnforcedDelayInDays | 写入 | UInt32 | 将用户的软件更新延迟数天。 最长为 90 天。 (1-90) | - |
| SoftwareUpdatesForceDelayed | 写入 | 布尔值 | 延迟软件汇报的用户可见性。 这不会影响任何计划的更新。 它表示软件更新从发布到对最终用户可见之间的天数。 | - |
| SpotlightBlockInternetResults | 写入 | 布尔值 | 阻止聚焦从 Internet 搜索返回任何结果。 | - |
| UnpairedExternalBootToRecoveryAllowed | 写入 | 布尔值 | 允许用户使用未配对的设备将设备启动到恢复模式。 适用于运行 iOS 和 iPadOS 版本 14.5 及更高版本的设备。 | - |
| UsbRestrictedModeBlocked | 写入 | 布尔值 | 阻止 USB 受限模式。 USB 受限模式阻止 USB 配件与锁定超过一小时的设备交换数据。 | - |
| VoiceDialingBlocked | 写入 | 布尔值 | 指示是否阻止语音拨号。 | - |
| VpnBlockCreation | 写入 | 布尔值 | 阻止创建 VPN 配置 | - |
| WallpaperBlockModification | 写入 | 布尔值 | 阻止更改壁纸。 | - |
| WiFiConnectOnlyToConfiguredNetworks | 写入 | 布尔值 | 强制设备仅使用通过配置文件设置 Wi-Fi 网络。 | - |
| WiFiConnectToAllowedNetworksOnlyForced | 写入 | 布尔值 | 要求设备使用通过配置文件设置 Wi-Fi 网络。 适用于运行 iOS 和 iPadOS 版本 14.5 及更高版本的设备。 | - |
| WifiPowerOnForced | 写入 | 布尔值 | 即使设备处于飞行模式,也无法在“设置”应用或控制中心中关闭 Wi-Fi。 适用于 iOS/iPadOS 13.0 及更高版本。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphapplistitem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| odataType | 写入 | String | 项的 odatatype。 | #microsoft.graph.appleAppListItem |
| appId | 写入 | String | 展台模式托管应用 ID | - |
| appStoreUrl | 写入 | String | 定义应用商店 URL。 | - |
| name | 写入 | String | 定义应用的名称。 | - |
| 发布者 | 写入 | String | 定义应用的发布者。 | - |
MSFT_MicrosoftGraphmediacontentratingaustralia
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为澳大利亚选择的电影分级 |
allAllowed, allBlocked, general, parentalGuidance, mature, agesAbove15, agesAbove18 |
| tvRating | 写入 | String | 为澳大利亚选择电视分级 |
allAllowed, allBlocked, preschoolers, children, general, parentalGuidance, mature, agesAbove15, agesAbove15AdultViolence |
MSFT_MicrosoftGraphmediacontentratingcanada
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为加拿大选择的电影分级 |
allAllowed, allBlocked, general, parentalGuidance, agesAbove14, agesAbove18, restricted |
| tvRating | 写入 | String | 为加拿大选择了电视分级 |
allAllowed, allBlocked, children, childrenAbove8, general, parentalGuidance, agesAbove14, agesAbove18 |
MSFT_MicrosoftGraphmediacontentratingfrance
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为法国选择的电影分级 |
allAllowed, allBlocked, agesAbove10, agesAbove12, agesAbove16, agesAbove18 |
| tvRating | 写入 | String | 为法国选择了电视分级 |
allAllowed, allBlocked, agesAbove10, agesAbove12, agesAbove16, agesAbove18 |
MSFT_MicrosoftGraphmediacontentratinggermany
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为德国选择电影分级 |
allAllowed, allBlocked, general, agesAbove6, agesAbove12, agesAbove16, adults |
| tvRating | 写入 | String | 为德国选择电视分级 |
allAllowed, allBlocked, general, agesAbove6, agesAbove12, agesAbove16, adults |
MSFT_MicrosoftGraphmediacontentratingireland
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为爱尔兰选择的电影分级 |
allAllowed, allBlocked, general, parentalGuidance, agesAbove12, agesAbove15, agesAbove16, adults |
| tvRating | 写入 | String | 为爱尔兰选择了电视分级 |
allAllowed, allBlocked, general, children, youngAdults, parentalSupervision, mature |
MSFT_MicrosoftGraphmediacontentratingjapan
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为日本选择的电影分级 |
allAllowed, allBlocked, general, parentalGuidance, agesAbove15, agesAbove18 |
| tvRating | 写入 | String | 为日本选择的电视分级 |
allAllowed, allBlocked, explicitAllowed |
MSFT_MicrosoftGraphmediacontentratingnewzealand
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为新西兰选择的电影分级 |
allAllowed, allBlocked, general, parentalGuidance, mature, agesAbove13, agesAbove15, agesAbove16, agesAbove18, restricted, agesAbove16Restricted |
| tvRating | 写入 | String | 为新西兰选择电视分级 |
allAllowed, allBlocked, general, parentalGuidance, adults |
MSFT_MicrosoftGraphmediacontentratingunitedkingdom
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为英国选择的电影分级 |
allAllowed, allBlocked, general, universalChildren, parentalGuidance, agesAbove12Video, agesAbove12Cinema, agesAbove15, adults |
| tvRating | 写入 | String | 为英国选择电视分级 |
allAllowed, allBlocked, caution |
MSFT_MicrosoftGraphmediacontentratingunitedstates
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| movieRating | 写入 | String | 为“美国”选择的电影分级 |
allAllowed, allBlocked, general, parentalGuidance, parentalGuidance13, restricted, adults |
| tvRating | 写入 | String | 为“美国”选择电视分级 |
allAllowed, allBlocked, childrenAll, childrenAbove7, general, parentalGuidance, childrenAbove14, adults |
MSFT_MicrosoftGraphiosnetworkusagerule
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| cellularDataBlocked | 写入 | 布尔值 | 如果设置为 true,则在任何时间均不允许相应的托管应用使用手机网络数据。 | - |
| cellularDataBlockWhenRoaming | 写入 | 布尔值 | 如果设置为 true,则在漫游时将不允许相应的托管应用使用手机网络数据。 | - |
| managedApps | 写入 | MSFT_MicrosoftGraphapplistitem[] | 要应用此规则的托管应用的相关信息。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPolicymacOS 资源类型
说明
此资源为 MacOS 设备配置Intune设备配置文件。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| 添加GameCenterFriendsBlocked | 写入 | 布尔值 | 配置用户将好友添加到游戏中心。 适用于运行 macOS 版本 10.13 及更高版本的设备。 | - |
| AirDropBlocked | 写入 | 布尔值 | 配置是否允许 AirDrop。 | - |
| AppleWatchBlockAutoUnlock | 写入 | 布尔值 | 阻止用户使用 Apple Watch 解锁其 Mac。 | - |
| CameraBlocked | 写入 | 布尔值 | 阻止用户拍摄照片和视频。 | - |
| ClassroomAppBlockRemoteScreenObservation | 写入 | 布尔值 | 阻止 AirPlay、屏幕共享到其他设备,以及教师用于查看其学生屏幕的 Classroom 应用功能。 如果已阻止屏幕截图,则此设置不可用。 | - |
| ClassroomAppForceUnpromptedScreenObservation | 写入 | 布尔值 | 无提示的观察意味着教师可以在不首先警告学生的情况下查看屏幕。 如果已阻止屏幕截图,则此设置不可用。 | - |
| ClassroomForceAutomaticallyJoinClasses | 写入 | 布尔值 | 学生可以在不提示教师的情况下加入课堂。 | - |
| ClassroomForceRequestPermissionToLeaveClasses | 写入 | 布尔值 | 在非托管课堂课程中注册的学生必须获得教师同意才能离开该课程。 | - |
| ClassroomForceUnpromptedAppAndDeviceLock | 写入 | 布尔值 | 教师可以在未经学生批准的情况下锁定学生的设备或应用。 | - |
| CompliantAppListType | 写入 | String | 可以在受限应用符合性报告中查看设备符合性。 |
none, appsInListCompliant, appsNotInListCompliant |
| CompliantAppsList | 写入 | MSFT_MicrosoftGraphapplistitemMacOS[] | 符合性中的应用列表(允许列表或阻止列表,由 CompliantAppListType 控制)。 | - |
| ContentCachingBlocked | 写入 | 布尔值 | 配置是否允许内容缓存。 | - |
| DefinitionLookupBlocked | 写入 | 布尔值 | 阻止查找,这是一项功能,用于查找突出显示字词的定义。 | - |
| EmailInDomainSuffixes | 写入 | StringArray[] | 用户发送或接收与此处指定的域不匹配的电子邮件将标记为不受信任。 | - |
| EraseContentAndSettingsBlocked | 写入 | 布尔值 | 在受监督的设备上配置重置选项。 适用于运行 macOS 版本 12.0 及更高版本的设备。 | - |
| GameCenterBlocked | 写入 | 布尔值 | 如果从主屏幕中删除游戏中心图标,则配置。 适用于运行 macOS 版本 10.13 及更高版本的设备。 | - |
| ICloudBlockActivityContinuation | 写入 | 布尔值 | Handoff 允许用户在一台 MacOS 设备上开始工作,并在另一台 MacOS 或 iOS 设备上继续工作。 适用于 macOS 10.15 及更高版本。 | - |
| ICloudBlockAddressBook | 写入 | 布尔值 | 阻止 iCloud 同步联系人。 | - |
| ICloudBlockBookmarks | 写入 | 布尔值 | 阻止 iCloud 同步书签。 | - |
| ICloudBlockCalendar | 写入 | 布尔值 | 阻止 iCloud 同步日历。 | - |
| ICloudBlockDocumentSync | 写入 | 布尔值 | 阻止 iCloud 同步文档和数据。 | - |
| ICloudBlockMail | 写入 | 布尔值 | 阻止 iCloud 同步邮件。 | - |
| ICloudBlockNotes | 写入 | 布尔值 | 阻止 iCloud 同步笔记。 | - |
| ICloudBlockPhotoLibrary | 写入 | 布尔值 | 任何未从 iCloud 照片库下载到设备的照片都将从本地存储中删除。 | - |
| ICloudBlockReminders | 写入 | 布尔值 | 阻止 iCloud 同步提醒。 | - |
| ICloudDesktopAndDocumentsBlocked | 写入 | 布尔值 | 配置是否阻止云桌面和文档的同步。 适用于运行 macOS 10.12.4 及更高版本的设备。 | - |
| ICloudPrivateRelayBlocked | 写入 | 布尔值 | 配置是否阻止 iCloud 专用中继。 适用于运行 macOS 12 及更高版本的设备。 | - |
| ITunesBlockFileSharing | 写入 | 布尔值 | 阻止使用 iTunes 传输文件。 | - |
| ITunesBlockMusicService | 写入 | 布尔值 | 配置是否阻止使用 iTunes 传输文件。 | - |
| KeyboardBlockDictation | 写入 | 布尔值 | 阻止听写,这是一项将用户语音转换为文本的功能。 | - |
| KeychainBlockCloudSync | 写入 | 布尔值 | 禁用将密钥链中存储的凭据同步到 iCloud | - |
| MultiplayerGamingBlocked | 写入 | 布尔值 | 配置在使用游戏中心时是否阻止多人游戏。 适用于运行 macOS 版本 10.13 及更高版本的设备。 | - |
| PasswordBlockAirDropSharing | 写入 | 布尔值 | 配置是否使用 AirDrop 密码功能阻止共享密码。 | - |
| PasswordBlockAutoFill | 写入 | 布尔值 | 配置是否阻止自动填充密码功能。 | - |
| PasswordBlockFingerprintUnlock | 写入 | 布尔值 | 要求用户设置非生物识别密码或密码才能解锁设备。 | - |
| PasswordBlockModification | 写入 | 布尔值 | 阻止用户更改设置的密码。 | - |
| PasswordBlockProximityRequests | 写入 | 布尔值 | 配置是否阻止从附近设备请求密码。 | - |
| PasswordBlockSimple | 写入 | 布尔值 | 阻止简单的密码序列,例如 1234 或 1111。 | - |
| PasswordExpirationDays | 写入 | UInt32 | 设备密码必须更改之前的天数。 (1-65535) | - |
| PasswordMaximumAttemptCount | 写入 | UInt32 | 配置允许在设备的锁屏界面上输入密码的失败尝试次数。 有效值 2 到 11 | - |
| PasswordMinimumCharacterSetCount | 写入 | UInt32 | 密码中所需的非字母数字字符(如 #、%!等)的最小数目 (0-4) 。 默认值为 0。 | - |
| PasswordMinimumLength | 写入 | UInt32 | 密码中的最小位数或字符数 (4-16) 。 | - |
| PasswordMinutesOfInactivityBeforeLock | 写入 | UInt32 | 设置为 0 可立即要求输入密码。 没有最大分钟数,并且此数字将覆盖设备上当前设置的数字。 | - |
| PasswordMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 设置为 0 以使用设备的最小值。 此数字 (0-60 分钟) 覆盖设备上当前设置的数字。 | - |
| PasswordMinutesUntilFailedLoginReset | 写入 | UInt32 | 配置在达到最大登录尝试失败次数后重置登录名之前的分钟数。 | - |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | 在可重用旧密码之前必须使用的新密码数。 (1-24) | - |
| PasswordRequired | 写入 | 布尔值 | 指定所需的密码类型。 | - |
| PasswordRequiredType | 写入 | String | 指定所需的密码类型。 |
deviceDefault, alphanumeric, numeric |
| PrivacyAccessControls | 写入 | MSFT_MicrosoftGraphmacosprivacyaccesscontrolitem[] | 配置应用对设备上的特定数据、文件夹和应用的访问权限。 这些设置适用于运行 macOS Mojave 10.14 及更高版本的设备。 | - |
| SafariBlockAutofill | 写入 | 布尔值 | 阻止 Safari 记住用户在 Web 窗体中输入的内容。 | - |
| ScreenCaptureBlocked | 写入 | 布尔值 | 配置是否阻止用户拍摄屏幕截图。 | - |
| SoftwareUpdateMajorOSDeferredInstallDelayInDays | 写入 | UInt32 | 指定 (1-90) 的天数,以延迟主要 OS 软件更新的可见性。 适用于运行 macOS 版本 11.3 及更高版本的设备。 有效值为 0 至 90 | - |
| SoftwareUpdateMinorOSDeferredInstallDelayInDays | 写入 | UInt32 | 指定 (1-90) 的天数,以延迟次要 OS 软件更新的可见性。 适用于运行 macOS 版本 11.3 及更高版本的设备。 有效值为 0 至 90 | - |
| SoftwareUpdateNonOSDeferredInstallDelayInDays | 写入 | UInt32 | 指定 (1-90) 的天数,以延迟非 OS 软件更新的可见性。 适用于运行 macOS 版本 11.3 及更高版本的设备。 有效值为 0 至 90 | - |
| SoftwareUpdatesEnforcedDelayInDays | 写入 | UInt32 | 将用户的软件更新延迟数天。 最长为 90 天。 (1-90) | - |
| SpotlightBlockInternetResults | 写入 | 布尔值 | 阻止聚焦从 Internet 搜索返回任何结果 | - |
| TouchIdTimeoutInHours | 写入 | UInt32 | 配置用户必须输入其密码才能解锁设备(而不是使用触控 ID)的最大小时数。 适用于运行 macOS 12 及更高版本的设备。 有效值 0 到 2147483647 | - |
| UpdateDelayPolicy | 写入 | StringArray[] | 配置是否延迟 macOS 的 OS 和/或应用更新。 |
none, delayOSUpdateVisibility, delayAppUpdateVisibility, unknownFutureValue, delayMajorOsUpdateVisibility |
| WallpaperModificationBlocked | 写入 | 布尔值 | 配置是否可以更改壁纸。 适用于运行 macOS 版本 10.13 及更高版本的设备。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphapplistitemMacOS
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| odataType | 写入 | String | 指定 odataType | #microsoft.graph.appleAppListItem |
| appId | 写入 | String | 应用程序或应用程序的捆绑标识符 | - |
| appStoreUrl | 写入 | String | 应用程序的应用商店 URL | - |
| name | 写入 | String | 应用程序名称 | - |
| publisher | 写入 | String | 应用程序发布者 | - |
MSFT_MicrosoftGraphmacosprivacyaccesscontrolitem
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 辅助功能 | 写入 | String | 允许应用或进程通过辅助功能子系统控制 Mac。 |
notConfigured, enabled, disabled |
| addressBook | 写入 | String | 允许或阻止访问由联系人管理的联系人信息。 |
notConfigured, enabled, disabled |
| appleEventsAllowedReceivers | 写入 | MSFT_MicrosoftGraphmacosappleeventreceiver[] | 允许或拒绝应用或进程将受限制的 Apple 事件发送到其他应用或进程。 你需要知道接收应用或进程的标识符、标识符类型和代码要求。 | - |
| blockCamera | 写入 | 布尔值 | 阻止访问相机应用。 | - |
| blockListenEvent | 写入 | 布尔值 | 阻止应用或进程侦听来自输入设备(如鼠标、键盘和触控板)的事件。需要 macOS 10.15 或更高版本。 | - |
| blockMicrophone | 写入 | 布尔值 | 阻止访问麦克风。 | - |
| blockScreenCapture | 写入 | 布尔值 | 阻止应用捕获系统显示的内容。 需要 macOS 10.15 或更高版本。 | - |
| 日历 | 写入 | String | 允许或阻止访问由 Calendar 管理的事件信息。 |
notConfigured, enabled, disabled |
| codeRequirement | 写入 | String | 输入代码要求,该要求可通过终端应用中的“codeign -display -r -”命令获取。 在“=>”之后包括所有内容。 | - |
| displayName | 写入 | String | 应用、进程或可执行文件的显示名称。 | - |
| fileProviderPresence | 写入 | String | 允许应用或进程访问由其他应用的文件提供程序扩展管理的文件。 需要 macOS 10.15 或更高版本。 |
notConfigured, enabled, disabled |
| 标识符 | 写入 | String | 应用、进程或可执行文件的捆绑 ID 或路径。 | - |
| identifierType | 写入 | String | 捆绑 ID 用于标识应用。 路径用于标识进程或可执行文件。 |
bundleID, path |
| mediaLibrary | 写入 | String | 允许或阻止访问音乐和媒体库。 |
notConfigured, enabled, disabled |
| photos | 写入 | String | 允许或阻止访问由照片管理的图像。 |
notConfigured, enabled, disabled |
| postEvent | 写入 | String | 控制对 CoreGraphics API 的访问,这些 API 用于将 CGEvent 发送到系统事件流。 |
notConfigured, enabled, disabled |
| 提醒 | 写入 | String | 允许或阻止访问 Reminders 管理的信息。 |
notConfigured, enabled, disabled |
| speechRecognition | 写入 | String | 允许或阻止对系统语音识别设施的访问。 |
notConfigured, enabled, disabled |
| staticCodeValidation | 写入 | 布尔值 | 静态验证代码要求。 如果进程使其动态代码签名无效,请使用此设置。 | - |
| systemPolicyAllFiles | 写入 | String | 控制对设备上所有受保护文件的访问。 Files可能位于电子邮件、消息、应用和管理设置等位置。 请谨慎应用此设置。 |
notConfigured, enabled, disabled |
| systemPolicyDesktopFolder | 写入 | String | 允许或阻止访问桌面文件夹。 |
notConfigured, enabled, disabled |
| systemPolicyDocumentsFolder | 写入 | String | 允许或阻止访问 Documents 文件夹。 |
notConfigured, enabled, disabled |
| systemPolicyDownloadsFolder | 写入 | String | 允许或阻止对 Downloads 文件夹的访问。 |
notConfigured, enabled, disabled |
| systemPolicyNetworkVolumes | 写入 | String | 允许或阻止对网络卷的访问。 需要 macOS 10.15 或更高版本。 |
notConfigured, enabled, disabled |
| systemPolicyRemovableVolumes | 写入 | String | 控制对设备上可移动卷(例如外部硬盘驱动器)的访问。 需要 macOS 10.15 或更高版本。 |
notConfigured, enabled, disabled |
| systemPolicySystemAdminFiles | 写入 | String | 允许应用或进程访问系统管理中使用的文件。 |
notConfigured, enabled, disabled |
MSFT_MicrosoftGraphmacosappleeventreceiver
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 允许 | 写入 | 布尔值 | 允许或阻止此应用接收 Apple 事件。 | - |
| codeRequirement | 写入 | String | 接收 Apple 事件的应用或二进制文件的代码要求。 | - |
| 标识符 | 写入 | String | 接收 Apple 事件的进程或可执行文件的应用或文件路径的捆绑 ID。 | - |
| identifierType | 写入 | String | 对接收 Apple 事件的进程或可执行文件的应用或路径使用捆绑 ID。 |
bundleID, path |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationPolicyWindows10 资源类型
说明
适用于 Windows10 的Intune设备配置策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AccountsBlockAddingNonMicrosoftAccountEmail | 写入 | 布尔值 | 指示是否阻止用户将电子邮件帐户添加到未与 Microsoft 帐户关联的设备。 | - |
| ActivateAppsWithVoice | 写入 | String | 指定是否可以通过语音激活 Windows 应用。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| AntiTheftModeBlocked | 写入 | 布尔值 | 指示是否阻止用户选择 AntiTheft 模式首选项(仅限 Windows 10 移动版)。 | - |
| AppManagementMSIAllowUserControlOverInstall | 写入 | 布尔值 | 此策略设置允许用户更改通常仅供系统管理员使用的安装选项。 | - |
| AppManagementMSIAlwaysInstallWithElevatedPrivileges | 写入 | 布尔值 | 此策略设置指示 Windows Installer 在系统上安装任何程序时使用提升的权限。 | - |
| AppManagementPackageFamilyNamesToLaunchAfterLogOn | 写入 | StringArray[] | Windows 应用的以分号分隔的包系列名称的列表。 列出的 Windows 应用将在登录后启动。 | - |
| AppsAllowTrustedAppsSideloading | 写入 | String | 指示是否可以旁加载使用可信证书签名的来自 AppX 程序包的应用。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
| AppsBlockWindowsStoreOriginatedApps | 写入 | 布尔值 | 指示是否禁用启动 Windows 应用商店中预先安装或已下载的所有应用。 | - |
| AuthenticationAllowSecondaryDevice | 写入 | 布尔值 | 允许辅助身份验证设备与 Windows 配合使用。 | - |
| AuthenticationPreferredAzureADTenantDomainName | 写入 | String | 指定Microsoft Entra租户中可用域的首选域。 | - |
| AuthenticationWebSignIn | 写入 | String | 指示是否启用 Web 凭据提供程序。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| BluetoothAllowedServices | 写入 | StringArray[] | 以十六进制格式的字符串指定允许的蓝牙服务和配置文件的列表。 | - |
| BluetoothBlockAdvertising | 写入 | 布尔值 | 是否阻止用户使用蓝牙广告。 | - |
| BluetoothBlockDiscoverableMode | 写入 | 布尔值 | 是否阻止用户使用蓝牙可发现模式。 | - |
| BluetoothBlocked | 写入 | 布尔值 | 是否阻止用户使用蓝牙。 | - |
| BluetoothBlockPrePairing | 写入 | 布尔值 | 是否阻止特定的捆绑蓝牙外围设备自动与主机设备配对。 | - |
| BluetoothBlockPromptedProximalConnections | 写入 | 布尔值 | 是否阻止用户使用 Swift Pair 和其他基于邻近感应的方案。 | - |
| CameraBlocked | 写入 | 布尔值 | 是否阻止用户访问设备的照相机。 | - |
| CellularBlockDataWhenRoaming | 写入 | 布尔值 | 是否阻止用户在漫游时通过手机网络使用数据。 | - |
| CellularBlockVpn | 写入 | 布尔值 | 是否阻止用户通过手机网络使用 VPN。 | - |
| CellularBlockVpnWhenRoaming | 写入 | 布尔值 | 通过手机网络漫游时是否阻止用户使用 VPN。 | - |
| CellularData | 写入 | String | 是否允许设备上的手机网络数据通道。 如果未配置,则允许手机网络数据通道,用户可以将其关闭。 可能的值为:blocked、required、allowed、notConfigured。 |
blocked, required, allowed, notConfigured |
| CertificatesBlockManualRootCertificateInstallation | 写入 | 布尔值 | 是否阻止用户执行手动根证书安装。 | - |
| ConfigureTimeZone | 写入 | String | 指定要应用于设备的时区。 这是目标时区的标准 Windows 名称。 | - |
| ConnectedDevicesServiceBlocked | 写入 | 布尔值 | 是否阻止能够发现并连接到其他设备、远程消息、远程应用会话和其他跨设备体验的连接设备服务。 | - |
| CopyPasteBlocked | 写入 | 布尔值 | 是否阻止用户使用复制粘贴。 | - |
| CortanaBlocked | 写入 | 布尔值 | 是否阻止用户使用 Cortana。 | - |
| CryptographyAllowFipsAlgorithmPolicy | 写入 | 布尔值 | 指定是允许还是禁止联邦信息处理Standard (FIPS) 策略。 | - |
| DataProtectionBlockDirectMemoryAccess | 写入 | 布尔值 | 此策略设置允许阻止所有热插拔 PCI 下游端口的直接内存访问 (DMA) ,直到用户登录到 Windows。 | - |
| DefenderBlockEndUserAccess | 写入 | 布尔值 | 是否阻止最终用户访问 Defender。 | - |
| DefenderBlockOnAccessProtection | 写入 | 布尔值 | 允许或禁止 Windows Defender On Access Protection 功能。 | - |
| DefenderCloudBlockLevel | 写入 | String | 指定云提供的保护级别。 可能的值为:notConfigured、high、highPlus、zeroTolerance。 |
notConfigured, high, highPlus, zeroTolerance |
| DefenderCloudExtendedTimeout | 写入 | UInt32 | 云文件扫描的超时扩展。 有效值为 0 至 50 | - |
| DefenderCloudExtendedTimeoutInSeconds | 写入 | UInt32 | 云文件扫描的超时扩展。 有效值为 0 至 50 | - |
| DefenderDaysBeforeDeletingQuarantinedMalware | 写入 | UInt32 | 删除隔离的恶意软件之前的天数。 有效值为 0 至 90 | - |
| DefenderDetectedMalwareActions | 写入 | MSFT_MicrosoftGraphdefenderDetectedMalwareActions1 | 获取或设置每个威胁级别要对检测到的恶意软件采取的 Defenders 操作。 | - |
| DefenderDisableCatchupFullScan | 写入 | 布尔值 | 阻止时,将关闭计划的完整扫描的追赶扫描。 | - |
| DefenderDisableCatchupQuickScan | 写入 | 布尔值 | 阻止时,将关闭计划快速扫描的追赶扫描。 | - |
| DefenderFileExtensionsToExclude | 写入 | StringArray[] | 要从扫描和实时保护中排除的文件扩展名。 | - |
| DefenderFilesAndFoldersToExclude | 写入 | StringArray[] | 要从扫描和实时保护中排除的文件和文件夹。 | - |
| DefenderMonitorFileActivity | 写入 | String | 监视文件活动的值。 可能的值为:userDefined、disable、monitorAllFiles、monitorIncomingFilesOnly、monitorOutgoingFilesOnly。 |
userDefined, disable, monitorAllFiles, monitorIncomingFilesOnly, monitorOutgoingFilesOnly |
| DefenderPotentiallyUnwantedAppAction | 写入 | String | 获取或设置要对可能不需要的应用程序 (PUA) 执行的 Defenders 操作,其中包括具有广告注入、软件捆绑、持续请求付款或订阅等行为的软件。当下载 PUA 或尝试自行安装 PUA 时,Defender 会向用户发出警报。 在桌面版Windows 10中添加。 可能的值为:deviceDefault、block、audit。 |
deviceDefault, block, audit |
| DefenderPotentiallyUnwantedAppActionSetting | 写入 | String | 获取或设置要对可能不需要的应用程序 (PUA) 执行的 Defenders 操作,其中包括具有广告注入、软件捆绑、持续请求付款或订阅等行为的软件。当下载 PUA 或尝试自行安装 PUA 时,Defender 会向用户发出警报。 在桌面版Windows 10中添加。 可能的值为:userDefined、enable、auditMode、warn、notConfigured。 |
userDefined, enable, auditMode, warn, notConfigured |
| DefenderProcessesToExclude | 写入 | StringArray[] | 要从扫描和实时保护中排除的进程。 | - |
| DefenderPromptForSampleSubmission | 写入 | String | 如何提示用户提交样本的配置。 可能的值为:userDefined、alwaysPrompt、promptBeforeSendingPersonalData、neverSendData、sendAllDataWithoutPrompting。 |
userDefined, alwaysPrompt, promptBeforeSendingPersonalData, neverSendData, sendAllDataWithoutPrompting |
| DefenderRequireBehaviorMonitoring | 写入 | 布尔值 | 指示是否需要行为监控。 | - |
| DefenderRequireCloudProtection | 写入 | 布尔值 | 指示是否需要云保护。 | - |
| DefenderRequireNetworkInspectionSystem | 写入 | 布尔值 | 指示是否需要网络检查系统。 | - |
| DefenderRequireRealTimeMonitoring | 写入 | 布尔值 | 指示是否需要实时监控。 | - |
| DefenderScanArchiveFiles | 写入 | 布尔值 | 指示是否扫描存档文件。 | - |
| DefenderScanDownloads | 写入 | 布尔值 | 指示是否扫描下载内容。 | - |
| DefenderScanIncomingMail | 写入 | 布尔值 | 指示是否扫描传入的邮件。 | - |
| DefenderScanMappedNetworkDrivesDuringFullScan | 写入 | 布尔值 | 指示在全面扫描期间是否扫描映射的网络驱动器。 | - |
| DefenderScanMaxCpu | 写入 | UInt32 | 扫描期间最大 CPU 使用率。 有效值为 0 至 100 | - |
| DefenderScanNetworkFiles | 写入 | 布尔值 | 指示是否扫描从网络文件夹打开的文件。 | - |
| DefenderScanRemovableDrivesDuringFullScan | 写入 | 布尔值 | 指示在全面扫描期间是否扫描可移动驱动器。 | - |
| DefenderScanScriptsLoadedInInternetExplorer | 写入 | 布尔值 | 指示是否扫描在 Internet Explorer 浏览器中加载的脚本。 | - |
| DefenderScanType | 写入 | String | Defender 系统扫描类型。 可能的值为:userDefined、disabled、quick、full。 |
userDefined, disabled, quick, full |
| DefenderScheduledQuickScanTime | 写入 | String | 执行每日快速扫描的时间。 | - |
| DefenderScheduledScanTime | 写入 | String | 系统扫描的 Defender 时间。 | - |
| DefenderScheduleScanEnableLowCpuPriority | 写入 | 布尔值 | 启用后,在计划扫描期间将使用低 CPU 优先级。 | - |
| DefenderSignatureUpdateIntervalInHours | 写入 | UInt32 | 签名更新间隔(以小时为单位)。 指定 0 不检查。 有效值为 0 至 24 | - |
| DefenderSubmitSamplesConsentType | 写入 | String | 在 Windows Defender 中检查用户同意级别以发送数据。 可能的值为:sendSafeSamplesAutomatically、alwaysPrompt、neverSend、sendAllSamplesAutomatically。 |
sendSafeSamplesAutomatically, alwaysPrompt, neverSend, sendAllSamplesAutomatically |
| DefenderSystemScanSchedule | 写入 | String | Defender 进行系统扫描的星期几。 可能的值包括:userDefined、everyday、sunday、monday、tuesday、wednesday、thursday、friday、saturday、noScheduledScan。 |
userDefined, everyday, sunday, monday, tuesday, wednesday, thursday, friday, saturday, noScheduledScan |
| DeveloperUnlockSetting | 写入 | String | 指示是否允许开发人员解锁。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
| DeviceManagementBlockFactoryResetOnMobile | 写入 | 布尔值 | 指示是否阻止用户重置手机。 | - |
| DeviceManagementBlockManualUnenroll | 写入 | 布尔值 | 指示是否阻止用户从设备管理手动取消注册。 | - |
| DiagnosticsDataSubmissionMode | 写入 | String | 获取或设置允许设备发送诊断和使用遥测数据的值,如 Watson。 可能的值包括:userDefined、none、basic、enhanced、full。 |
userDefined, none, basic, enhanced, full |
| DisplayAppListWithGdiDPIScalingTurnedOff | 写入 | StringArray[] | 已关闭 GDI DPI 缩放的旧应用程序列表。 | - |
| DisplayAppListWithGdiDPIScalingTurnedOn | 写入 | StringArray[] | 已启用 GDI DPI 缩放的旧应用程序列表。 | - |
| EdgeAllowStartPagesModification | 写入 | 布尔值 | 允许用户更改 Edge 上的开始页面。 使用 EdgeHomepageUrls 指定用户在打开 Edge 时默认会看到的开始页面。 | - |
| EdgeBlockAccessToAboutFlags | 写入 | 布尔值 | 指示是否阻止访问 Edge 浏览器上关于标志的信息。 | - |
| EdgeBlockAddressBarDropdown | 写入 | 布尔值 | 阻止 Microsoft Edge 中的地址栏下拉功能。 禁用此设置可最大限度地减少从 Microsoft Edge 到 Microsoft 服务的网络连接。 | - |
| EdgeBlockAutofill | 写入 | 布尔值 | 指示是否阻止自动填充。 | - |
| EdgeBlockCompatibilityList | 写入 | 布尔值 | 阻止 Microsoft Edge 中的 Microsoft 兼容性列表。 Microsoft 提供的此列表可帮助 Edge 正确显示具有已知兼容性问题的网站。 | - |
| EdgeBlockDeveloperTools | 写入 | 布尔值 | 指示是否在 Edge 浏览器中阻止开发人员工具。 | - |
| EdgeBlocked | 写入 | 布尔值 | 指示是否阻止用户使用 Edge 浏览器。 | - |
| EdgeBlockEditFavorites | 写入 | 布尔值 | 指示是否阻止用户对收藏夹进行更改。 | - |
| EdgeBlockExtensions | 写入 | 布尔值 | 指示是否在 Edge 浏览器中阻止扩展。 | - |
| EdgeBlockFullScreenMode | 写入 | 布尔值 | 允许或阻止 Edge 进入全屏模式。 | - |
| EdgeBlockInPrivateBrowsing | 写入 | 布尔值 | 指示是否在 Edge 浏览器中阻止公司网络上的 InPrivate 浏览。 | - |
| EdgeBlockJavaScript | 写入 | 布尔值 | 指示是否阻止用户使用 JavaScript。 | - |
| EdgeBlockLiveTileDataCollection | 写入 | 布尔值 | 当用户将某个网站固定为从 Microsoft Edge 启动时,阻止 Microsoft 收集用于实时磁贴创建的信息。 | - |
| EdgeBlockPasswordManager | 写入 | 布尔值 | 指示是否阻止密码管理器。 | - |
| EdgeBlockPopups | 写入 | 布尔值 | 指示是否阻止弹出窗口。 | - |
| EdgeBlockPrelaunch | 写入 | 布尔值 | 确定是否在 Windows 启动时预启动 Microsoft Edge。 | - |
| EdgeBlockPrinting | 写入 | 布尔值 | 将 Edge 配置为允许或阻止打印。 | - |
| EdgeBlockSavingHistory | 写入 | 布尔值 | 将 Edge 配置为允许保存浏览历史记录或从不保存浏览历史记录。 | - |
| EdgeBlockSearchEngineCustomization | 写入 | 布尔值 | 指示是否阻止用户添加新搜索引擎或更改默认搜索引擎。 | - |
| EdgeBlockSearchSuggestions | 写入 | 布尔值 | 指示是否阻止用户使用地址栏中的搜索建议。 | - |
| EdgeBlockSendingDoNotTrackHeader | 写入 | 布尔值 | 指示是否阻止用户发送 Do Not Track 标头。 | - |
| EdgeBlockSendingIntranetTrafficToInternetExplorer | 写入 | 布尔值 | 指示是否将 Intranet 流量从 Edge 切换到 Internet Explorer。 注意:此属性的名称误导属性已过时,请改用 EdgeSendIntranetTrafficToInternetExplorer。 | - |
| EdgeBlockSideloadingExtensions | 写入 | 布尔值 | 指示用户是否可以旁加载扩展。 | - |
| EdgeBlockTabPreloading | 写入 | 布尔值 | 配置 Edge 是否在 Windows 启动时预加载新的选项卡页。 | - |
| EdgeBlockWebContentOnNewTabPage | 写入 | 布尔值 | 配置为在 Edge 中加载空白页,而不是默认的“新建”选项卡页,并阻止用户更改它。 | - |
| EdgeClearBrowsingDataOnExit | 写入 | 布尔值 | 退出 Microsoft Edge 时清除浏览数据。 | - |
| EdgeCookiePolicy | 写入 | String | 指示要在 Edge 浏览器中阻止的 Cookie。 可能的值为:userDefined、allow、blockThirdParty、blockAll。 |
userDefined, allow, blockThirdParty, blockAll |
| EdgeDisableFirstRunPage | 写入 | 布尔值 | 阻止首次使用 Microsoft Edge 时打开的 Microsoft 网页。 此策略允许企业(如那些参与零排放配置的企业)阻止此页面。 | - |
| EdgeEnterpriseModeSiteListLocation | 写入 | String | 指示企业模式站点列表位置。 可能是本地文件、本地网络或 http 位置。 | - |
| EdgeFavoritesBarVisibility | 写入 | String | 获取或设置一个值,该值指定是将收藏夹栏设置为在任何页面上始终可见还是隐藏。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| EdgeFavoritesListLocation | 写入 | String | 要预配的收藏夹列表的位置。 可能是本地文件、本地网络或 http 位置。 | - |
| EdgeFirstRunUrl | 写入 | String | 第一次打开 Edge 浏览器时的首个运行 URL。 | - |
| EdgeHomeButtonConfiguration | 写入 | MSFT_MicrosoftGraphedgeHomeButtonConfiguration | 使“主页”按钮隐藏、加载默认的“开始”页、加载“新建选项卡”页或自定义 URL | - |
| EdgeHomeButtonConfigurationEnabled | 写入 | 布尔值 | 启用“开始”按钮配置。 | - |
| EdgeHomepageUrls | 写入 | StringArray[] | Edge 浏览器上 MDM 注册设备上的主页 URL 列表。 | - |
| EdgeKioskModeRestriction | 写入 | String | 控制如何根据配置展台模式限制 Microsoft Edge 设置。 可能的值包括:notConfigured、digitalSignage、normalMode、publicBrowsingSingleApp、publicBrowsingMultiApp。 |
notConfigured, digitalSignage, normalMode, publicBrowsingSingleApp, publicBrowsingMultiApp |
| EdgeKioskResetAfterIdleTimeInMinutes | 写入 | UInt32 | 指定从上一个用户活动开始的时间(以分钟为单位)Microsoft Edge 展台重置。 有效值为 0-1440。 默认值为 5。 0 表示不重置。 有效值 0 到 1440 | - |
| EdgeNewTabPageURL | 写入 | String | 指定创建新选项卡时打开的页面。 | - |
| EdgeOpensWith | 写入 | String | 指定在开始时打开的页面类型。 可能的值为:notConfigured、startPage、newTabPage、previousPages、specificPages。 |
notConfigured, startPage, newTabPage, previousPages, specificPages |
| EdgePreventCertificateErrorOverride | 写入 | 布尔值 | 允许或阻止用户重写证书错误。 | - |
| EdgeRequiredExtensionPackageFamilyNames | 写入 | StringArray[] | 指定需要且用户无法关闭的浏览器扩展的包系列名称列表。 | - |
| EdgeRequireSmartScreen | 写入 | 布尔值 | 指示是否要求用户使用智能屏蔽筛选器。 | - |
| EdgeSearchEngine | 写入 | MSFT_MicrosoftGraphedgeSearchEngineBase | 允许 IT 管理员为 MDM 控制的设备设置默认搜索引擎。 如果未设置 AllowSearchEngineCustomization 策略,则用户可以替代此设置并更改其默认搜索引擎。 | - |
| EdgeSendIntranetTrafficToInternetExplorer | 写入 | 布尔值 | 指示是否将 Intranet 流量从 Edge 切换到 Internet Explorer。 | - |
| EdgeShowMessageWhenOpeningInternetExplorerSites | 写入 | String | 控制在切换到 Internet Explorer 之前由 Edge 显示的消息。 可能的值为:notConfigured、disabled、enabled、keepGoing。 |
notConfigured, disabled, enabled, keepGoing |
| EdgeSyncFavoritesWithInternetExplorer | 写入 | 布尔值 | 在 Internet Explorer 和 Microsoft Edge 之间启用收藏夹同步。 在浏览器之间共享对收藏夹的添加、删除、修改和顺序更改。 | - |
| EdgeTelemetryForMicrosoft365Analytics | 写入 | String | 指定向 Microsoft 365 Analytics 发送 (无、Intranet、Internet) 的遥测数据的类型。 可能的值包括:notConfigured、Intranet、internet、intranetAndInternet。 |
notConfigured, intranet, internet, intranetAndInternet |
| EnableAutomaticRedeployment | 写入 | 布尔值 | 允许具有管理权限的用户在设备锁屏界面上使用 CTRL + Win + R 删除所有用户数据和设置,以便可以自动重新配置设备并重新注册到管理中。 | - |
| EnergySaverOnBatteryThresholdPercentage | 写入 | UInt32 | 此设置允许指定打开节能器的电池充电级别。 使用电池时,节能器会在 (且低于指定的电池充电水平) 自动打开。 有效输入范围 (0-100) 。 有效值为 0 至 100 | - |
| EnergySaverPluggedInThresholdPercentage | 写入 | UInt32 | 此设置允许指定打开节能器的电池充电级别。 接通电源时,节能器会在 (且低于指定的电池充电水平) 自动打开。 有效输入范围 (0-100) 。 有效值为 0 至 100 | - |
| EnterpriseCloudPrintDiscoveryEndPoint | 写入 | String | 发现云打印机的终结点。 | - |
| EnterpriseCloudPrintDiscoveryMaxLimit | 写入 | UInt32 | 应该从发现终结点查询的打印机最大数量。 此设置仅限移动设备。 有效值为 1 至 65535 | - |
| EnterpriseCloudPrintMopriaDiscoveryResourceIdentifier | 写入 | String | 在 Azure 门户中配置的用于打印机发现服务的 OAuth 资源 URI。 | - |
| EnterpriseCloudPrintOAuthAuthority | 写入 | String | 获取 OAuth 令牌的身份验证终结点。 | - |
| EnterpriseCloudPrintOAuthClientIdentifier | 写入 | String | 被授权从 OAuth 机构检索 OAuth 令牌的客户端应用程序的 GUID。 | - |
| EnterpriseCloudPrintResourceIdentifier | 写入 | String | 在 Azure 门户中配置的用于打印服务的 OAuth 资源 URI。 | - |
| ExperienceBlockDeviceDiscovery | 写入 | 布尔值 | 指示是否启用设备发现 UX。 | - |
| ExperienceBlockErrorDialogWhenNoSIM | 写入 | 布尔值 | 指示是否允许在未检测到 SIM 卡时显示错误对话框。 | - |
| ExperienceBlockTaskSwitcher | 写入 | 布尔值 | 指示是否在设备上启用任务切换。 | - |
| ExperienceDoNotSyncBrowserSettings | 写入 | String | 允许或阻止同步Microsoft Edge 浏览器设置。 IT 管理员阻止跨设备同步的选项,但允许用户替代。 可能的值为:notConfigured、blockedWithUserOverride、blocked。 |
notConfigured, blockedWithUserOverride, blocked |
| FindMyFiles | 写入 | String | 控制用户是否可以将搜索配置为“查找我的Files”模式,该模式搜索辅助硬盘驱动器中的文件以及用户配置文件外部的文件。 “查找我的Files不允许用户搜索他们无权访问的文件或位置。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| GameDvrBlocked | 写入 | 布尔值 | 指示是否阻止 DVR 和广播。 | - |
| InkWorkspaceAccess | 写入 | String | 控制用户从桌面和锁屏界面上方访问墨迹工作区。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| InkWorkspaceAccessState | 写入 | String | 控制用户从桌面和锁屏界面上方访问墨迹工作区。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
| InkWorkspaceBlockSuggestedApps | 写入 | 布尔值 | 指定是否在墨迹工作区中显示建议的应用建议。 | - |
| InternetSharingBlocked | 写入 | 布尔值 | 指示是否阻止用户使用 Internet 共享。 | - |
| LocationServicesBlocked | 写入 | 布尔值 | 指示是否阻止用户使用位置服务。 | - |
| LockScreenActivateAppsWithVoice | 写入 | String | 此策略设置指定在系统锁定时是否可以通过语音激活 Windows 应用。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| LockScreenAllowTimeoutConfiguration | 写入 | 布尔值 | 指定是否在 Windows 10 移动版设备的锁定屏幕上显示用户可配置设置以控制屏幕超时。 如果此策略设置为 Allow,则由 lockScreenTimeoutInSeconds 设置的值将被忽略。 | - |
| LockScreenBlockActionCenterNotifications | 写入 | 布尔值 | 指示在锁定屏幕上是否阻止操作中心通知。 | - |
| LockScreenBlockCortana | 写入 | 布尔值 | 指示系统锁定时用户是否可以使用语音与 Cortana 进行交互。 | - |
| LockScreenBlockToastNotifications | 写入 | 布尔值 | 指示是否允许设备锁定屏幕上方的 Toast 通知。 | - |
| LockScreenTimeoutInSeconds | 写入 | UInt32 | 设置从 Windows 10 移动版设备的屏幕锁定到屏幕关闭的持续时间(以秒为单位)。 支持的值为 11-1800。 有效值为 11 至 1800 | - |
| LogonBlockFastUserSwitching | 写入 | 布尔值 | 禁用在不注销的情况下在同时登录的用户之间快速切换的功能。 | - |
| MessagingBlockMMS | 写入 | 布尔值 | 指示是否阻止设备上的彩信发送/接收功能。 | - |
| MessagingBlockRichCommunicationServices | 写入 | 布尔值 | 指示是否阻止设备上的 RCS 发送/接收功能。 | - |
| MessagingBlockSync | 写入 | 布尔值 | 指示是否阻止文本消息备份和还原和消息传送随处可见。 | - |
| MicrosoftAccountBlocked | 写入 | 布尔值 | 指示是否阻止 Microsoft 帐户。 | - |
| MicrosoftAccountBlockSettingsSync | 写入 | 布尔值 | 指示是否阻止 Microsoft 帐户设置同步。 | - |
| MicrosoftAccountSignInAssistantSettings | 写入 | String | 控制Microsoft帐户 Sign-In 助手 (wlidsvc) NT 服务。 可能的值为:notConfigured、disabled。 |
notConfigured, disabled |
| NetworkProxyApplySettingsDeviceWide | 写入 | 布尔值 | 如果设置,代理设置将应用于设备中的所有进程和帐户。 否则,它将应用于注册到 MDM 的用户帐户。 | - |
| NetworkProxyAutomaticConfigurationUrl | 写入 | String | 指向你要使用的代理自动配置 (PAC) 脚本的地址。 | - |
| NetworkProxyDisableAutoDetect | 写入 | 布尔值 | 禁用自动检测设置。 如果启用,系统将尝试查找代理自动配置 (PAC) 脚本的路径。 | - |
| NetworkProxyServer | 写入 | MSFT_MicrosoftGraphwindows10NetworkProxyServer | 指定手动代理服务器设置。 | - |
| NfcBlocked | 写入 | 布尔值 | 指示是否阻止用户使用近场通信。 | - |
| OneDriveDisableFileSync | 写入 | 布尔值 | 获取或设置一个值,允许 IT 管理员阻止应用和功能使用 OneDrive 上的文件。 | - |
| PasswordBlockSimple | 写入 | 布尔值 | 指定是否允许 PIN 或密码,例如“1111”或“1234”。 对于 Windows 10 台式机,它也控制图片密码的使用。 | - |
| PasswordExpirationDays | 写入 | UInt32 | 密码过期天数。 有效值为 0 至 730 | - |
| PasswordMinimumAgeInDays | 写入 | UInt32 | 此安全设置确定 (天数) 用户更改密码之前必须使用密码的时间段。 有效值 0 到 998 | - |
| PasswordMinimumCharacterSetCount | 写入 | UInt32 | 密码中必需的字符集数。 | - |
| PasswordMinimumLength | 写入 | UInt32 | 密码最短长度。 有效值为 4 至 16 | - |
| PasswordMinutesOfInactivityBeforeScreenTimeout | 写入 | UInt32 | 屏幕超时之前的不活动分钟数。 | - |
| PasswordPreviousPasswordBlockCount | 写入 | UInt32 | 防止重复使用的先前密码的数量。 有效值为 0 至 50 | - |
| PasswordRequired | 写入 | 布尔值 | 指示是否要求用户输入密码。 | - |
| PasswordRequiredType | 写入 | String | 必需的密码类型。 可能的值为:deviceDefault、字母数字、数字。 |
deviceDefault, alphanumeric, numeric |
| PasswordRequireWhenResumeFromIdleState | 写入 | 布尔值 | 指示从空闲状态恢复时是否需要密码。 | - |
| PasswordSignInFailureCountBeforeFactoryReset | 写入 | UInt32 | 恢复出厂设置之前登录失败的次数。 有效值为 0 至 999 | - |
| PersonalizationDesktopImageUrl | 写入 | String | 指向需要下载并用作桌面图像的 http 或 https URL,或指向需要用作桌面图像的文件系统上的本地图像的文件 URL。 | - |
| PersonalizationLockScreenImageUrl | 写入 | String | 指向需要下载并用作锁屏图像的 jpg、jpeg 或 png 图像的 http 或 https URL,或指向需要用作锁屏图像的文件系统上的本地图像的文件 URL。 | - |
| PowerButtonActionOnBattery | 写入 | String | 此设置指定用户在使用电池时按下电源按钮时 Windows 采取的操作。 可能的值为:notConfigured、noAction、sleep、hibernate、shutdown。 |
notConfigured, noAction, sleep, hibernate, shutdown |
| PowerButtonActionPluggedIn | 写入 | String | 此设置指定用户在接通电源时按下电源按钮时 Windows 采取的操作。 可能的值为:notConfigured、noAction、sleep、hibernate、shutdown。 |
notConfigured, noAction, sleep, hibernate, shutdown |
| PowerHybridSleepOnBattery | 写入 | String | 此设置允许你在使用电池时关闭混合睡眠。 如果将此设置设置为禁用,则当系统转换为睡眠时,不会生成休眠文件 (备用) 。 如果将此设置设置为启用或未配置此策略设置,则用户可控制此设置。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| PowerHybridSleepPluggedIn | 写入 | String | 此设置允许你在接通电源时关闭混合睡眠。 如果将此设置设置为禁用,则当系统转换为睡眠时,不会生成休眠文件 (备用) 。 如果将此设置设置为启用或未配置此策略设置,则用户可控制此设置。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| PowerLidCloseActionOnBattery | 写入 | String | 此设置指定用户在使用电池时关闭移动电脑上的盖子时 Windows 执行的操作。 可能的值为:notConfigured、noAction、sleep、hibernate、shutdown。 |
notConfigured, noAction, sleep, hibernate, shutdown |
| PowerLidCloseActionPluggedIn | 写入 | String | 此设置指定用户在接通电源时关闭移动电脑上的盖子时 Windows 采取的操作。 可能的值为:notConfigured、noAction、sleep、hibernate、shutdown。 |
notConfigured, noAction, sleep, hibernate, shutdown |
| PowerSleepButtonActionOnBattery | 写入 | String | 此设置指定用户在电池供电时按下“睡眠”按钮时 Windows 采取的操作。 可能的值为:notConfigured、noAction、sleep、hibernate、shutdown。 |
notConfigured, noAction, sleep, hibernate, shutdown |
| PowerSleepButtonActionPluggedIn | 写入 | String | 此设置指定用户在接通电源时按下“睡眠”按钮时 Windows 采取的操作。 可能的值为:notConfigured、noAction、sleep、hibernate、shutdown。 |
notConfigured, noAction, sleep, hibernate, shutdown |
| PrinterBlockAddition | 写入 | 布尔值 | 阻止用户从打印机设置安装其他打印机。 | - |
| PrinterDefaultName | 写入 | String | 名称 (已安装打印机的网络主机名) 。 | - |
| PrinterNames | 写入 | StringArray[] | 根据打印机名称 (网络主机名) 自动预配打印机。 | - |
| PrivacyAdvertisingId | 写入 | String | 启用或禁用广告 ID 的使用。 已添加到 Windows 10 版本 1607 中。 可能的值为:notConfigured、blocked、allowed。 |
notConfigured, blocked, allowed |
| PrivacyAutoAcceptPairingAndConsentPrompts | 写入 | 布尔值 | 指示在启动应用时是否允许自动接受配对和隐私用户许可对话框。 | - |
| PrivacyBlockActivityFeed | 写入 | 布尔值 | 阻止将基于云的语音服务用于 Cortana、Dictation 或 Store 应用程序。 | - |
| PrivacyBlockInputPersonalization | 写入 | 布尔值 | 指示是否阻止 Cortana、Dictation 或 Store 应用程序使用基于云的语音服务。 | - |
| PrivacyBlockPublishUserActivities | 写入 | 布尔值 | 阻止任务切换器等中最近使用的资源的共享体验/发现。 | - |
| PrivacyDisableLaunchExperience | 写入 | 布尔值 | 此策略阻止在用户登录期间为新用户和升级用户启动隐私体验。 | - |
| ResetProtectionModeBlocked | 写入 | 布尔值 | 指示是否阻止用户进入重置保护模式。 | - |
| SafeSearchFilter | 写入 | String | 指定需要的安全搜索筛选级别。 可能的值为:userDefined、strict、moderate。 |
userDefined, strict, moderate |
| ScreenCaptureBlocked | 写入 | 布尔值 | 指示是否阻止用户进行屏幕截图。 | - |
| SearchBlockDiacritics | 写入 | 布尔值 | 指定搜索是否可以使用音调符号。 | - |
| SearchBlockWebResults | 写入 | 布尔值 | 指示是否阻止 Web 搜索。 | - |
| SearchDisableAutoLanguageDetection | 写入 | 布尔值 | 指定建立内容和属性索引时是否使用自动语言检测。 | - |
| SearchDisableIndexerBackoff | 写入 | 布尔值 | 指示是否禁用搜索索引器回退功能。 | - |
| SearchDisableIndexingEncryptedItems | 写入 | 布尔值 | 指示是否阻止建立 WIP 保护项的索引,以阻止它们出现在 Cortana 或资源管理器的搜索结果中。 | - |
| SearchDisableIndexingRemovableDrive | 写入 | 布尔值 | 指示是否允许用户将可移动驱动器上的位置添加到库并建立索引。 | - |
| SearchDisableLocation | 写入 | 布尔值 | 指定搜索是否可以使用位置信息。 | - |
| SearchDisableUseLocation | 写入 | 布尔值 | 指定搜索是否可以使用位置信息。 | - |
| SearchEnableAutomaticIndexSizeManangement | 写入 | 布尔值 | 在建立索引停止之前,指定与索引位置相同的驱动器上的最小硬盘空间量。 | - |
| SearchEnableRemoteQueries | 写入 | 布尔值 | 指示是否阻止此计算机索引的远程查询。 | - |
| SecurityBlockAzureADJoinedDevicesAutoEncryption | 写入 | 布尔值 | 指定当设备Microsoft Entra仅加入桌面) 时,是否允许在 OOBE 期间自动进行设备加密 (。 | - |
| SettingsBlockAccountsPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“帐户”。 | - |
| SettingsBlockAddProvisioningPackage | 写入 | 布尔值 | 指示是否阻止用户安装预配程序包。 | - |
| SettingsBlockAppsPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“应用”。 | - |
| SettingsBlockChangeLanguage | 写入 | 布尔值 | 指示是否阻止用户更改语言设置。 | - |
| SettingsBlockChangePowerSleep | 写入 | 布尔值 | 指示是否阻止用户更改电源和睡眠设置。 | - |
| SettingsBlockChangeRegion | 写入 | 布尔值 | 指示是否阻止用户更改区域设置。 | - |
| SettingsBlockChangeSystemTime | 写入 | 布尔值 | 指示是否阻止用户更改日期和时间设置。 | - |
| SettingsBlockDevicesPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问设备。 | - |
| SettingsBlockEaseOfAccessPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“轻松使用”。 | - |
| SettingsBlockEditDeviceName | 写入 | 布尔值 | 指示是否阻止用户编辑设备名称。 | - |
| SettingsBlockGamingPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“游戏”。 | - |
| SettingsBlockNetworkInternetPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“网络和 Internet”。 | - |
| SettingsBlockPersonalizationPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“个性化”。 | - |
| SettingsBlockPrivacyPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“隐私”。 | - |
| SettingsBlockRemoveProvisioningPackage | 写入 | 布尔值 | 指示是否阻止运行时配置代理删除预配程序包。 | - |
| SettingsBlockSettingsApp | 写入 | 布尔值 | 指示是否阻止访问“设置”应用。 | - |
| SettingsBlockSystemPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问系统。 | - |
| SettingsBlockTimeLanguagePage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“时间和语言”。 | - |
| SettingsBlockUpdateSecurityPage | 写入 | 布尔值 | 指示是否阻止在“设置”应用中访问“更新和安全”。 | - |
| SharedUserAppDataAllowed | 写入 | 布尔值 | 指示是否阻止同一应用的多个用户共享数据。 | - |
| SmartScreenAppInstallControl | 写入 | String | 在 Windows 10 版本 1703 中添加。 允许 IT 管理员控制是否允许用户从应用商店以外的地方安装应用。 可能的值包括:notConfigured、anywhere、storeOnly、recommendations、preferStore。 |
notConfigured, anywhere, storeOnly, recommendations, preferStore |
| SmartScreenBlockPromptOverride | 写入 | 布尔值 | 指示用户是否可以替代有关潜在恶意网站的 SmartScreen 筛选器警告。 | - |
| SmartScreenBlockPromptOverrideForFiles | 写入 | 布尔值 | 指示用户是否可以覆盖关于下载未验证文件的 SmartScreen 筛选器警告 | - |
| SmartScreenEnableAppInstallControl | 写入 | 布尔值 | 此属性将于 2019 年 7 月弃用,并将替换为属性 SmartScreenAppInstallControl。 允许 IT 管理员控制是否允许用户从应用商店以外的地方安装应用。 | - |
| StartBlockUnpinningAppsFromTaskbar | 写入 | 布尔值 | 指示是否阻止用户从任务栏取消固定应用。 | - |
| StartMenuAppListVisibility | 写入 | String | 设置此值会折叠应用列表,完全删除应用列表,或者在“设置”应用中禁用相应的切换。 可能的值包括:userDefined、collapse、remove、disableSettingsApp。 |
userDefined, collapse, remove, disableSettingsApp |
| StartMenuHideChangeAccountSettings | 写入 | 布尔值 | 启用此策略会将更改帐户设置从开始菜单的用户磁贴中隐藏。 | - |
| StartMenuHideFrequentlyUsedApps | 写入 | 布尔值 | 启用此策略会将最常用的应用从开始菜单中隐藏,并会禁用“设置”应用中的相应切换。 | - |
| StartMenuHideHibernate | 写入 | 布尔值 | 启用此策略会将休眠从开始菜单的电源按钮中隐藏。 | - |
| StartMenuHideLock | 写入 | 布尔值 | 启用此策略会将锁定从开始菜单的用户磁贴中隐藏。 | - |
| StartMenuHidePowerButton | 写入 | 布尔值 | 启用此策略会将电源按钮从开始菜单中隐藏。 | - |
| StartMenuHideRecentJumpLists | 写入 | 布尔值 | 启用此策略会将最近的跳转列表从开始菜单/任务栏中隐藏,并会禁用“设置”应用中的相应切换。 | - |
| StartMenuHideRecentlyAddedApps | 写入 | 布尔值 | 启用此策略会将最近添加的应用从开始菜单中隐藏,并会禁用“设置”应用中的相应切换。 | - |
| StartMenuHideRestartOptions | 写入 | 布尔值 | 启用此策略会隐藏“重启/更新和重启”,不会显示在“开始”菜单的电源按钮中。 | - |
| StartMenuHideShutDown | 写入 | 布尔值 | 启用此策略会将“关机/更新并关机”从开始菜单的电源按钮中隐藏。 | - |
| StartMenuHideSignOut | 写入 | 布尔值 | 启用此策略会将“注销”从开始菜单的用户磁贴中隐藏。 | - |
| StartMenuHideSleep | 写入 | 布尔值 | 启用此策略会将“休眠”从开始菜单的电源按钮中隐藏。 | - |
| StartMenuHideSwitchAccount | 写入 | 布尔值 | 启用此策略会将“切换帐户”从开始菜单的用户磁贴中隐藏。 | - |
| StartMenuHideUserTile | 写入 | 布尔值 | 启用此策略会将用户磁贴从开始菜单中隐藏。 | - |
| StartMenuLayoutEdgeAssetsXml | 写入 | String | 此策略设置使用户可以导入 Edge 资产以与 startMenuLayoutXml 策略一起使用。 “开始”菜单布局可以包含查找 Edge 本地资产文件的 Edge 应用中的辅助磁贴。 在这种情况下,Edge 本地资产不存在并导致 Edge 辅助磁贴显示为空。 仅当修改 startMenuLayoutXml 策略时才应用此策略。 该值应该是一个 UTF-8 Base64 编码的字节数组。 | - |
| StartMenuLayoutXml | 写入 | String | 允许管理员覆盖默认的“开始”菜单布局并阻止用户对其进行更改。 通过基于布局修改架构指定 XML 文件来修改布局。 XML 需要采用 UTF8 编码的字节数组格式。 | - |
| StartMenuMode | 写入 | String | 允许管理员决定显示“开始”菜单的方式。 可能的值为:userDefined、fullScreen、nonFullScreen。 |
userDefined, fullScreen, nonFullScreen |
| StartMenuPinnedFolderDocuments | 写入 | String | 强制“开始”菜单上的文档文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderDownloads | 写入 | String | 强制“开始”菜单上的下载文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderFileExplorer | 写入 | String | 强制“开始”菜单上的 FileExplorer 快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderHomeGroup | 写入 | String | 强制“开始”菜单上的 HomeGroup 文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderMusic | 写入 | String | 强制“开始”菜单上的音乐文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderNetwork | 写入 | String | 强制“开始”菜单上的网络文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderPersonalFolder | 写入 | String | 强制“开始”菜单上的个人文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderPictures | 写入 | String | 强制“开始”菜单上的图片文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderSettings | 写入 | String | 强制“开始”菜单上的设置文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StartMenuPinnedFolderVideos | 写入 | String | 强制“开始”菜单上的视频文件夹快捷方式的可见性(显示/隐藏)。 可能的值为:notConfigured、hide、show。 |
notConfigured, hide, show |
| StorageBlockRemovableStorage | 写入 | 布尔值 | 指示是否阻止用户使用可移动存储。 | - |
| StorageRequireMobileDeviceEncryption | 写入 | 布尔值 | 指示是否需要在移动设备上进行加密。 | - |
| StorageRestrictAppDataToSystemVolume | 写入 | 布尔值 | 指示应用程序数据是否仅限于系统驱动器。 | - |
| StorageRestrictAppInstallToSystemVolume | 写入 | 布尔值 | 指示应用程序的安装是否仅限于系统驱动器。 | - |
| SystemTelemetryProxyServer | 写入 | String | 获取或设置完全限定的域名 (FQDN) 或 IP 地址的代理服务器,以转发连接的用户体验和遥测请求。 | - |
| TaskManagerBlockEndTask | 写入 | 布尔值 | 指定非管理员是否可以使用任务管理器结束任务。 | - |
| TenantLockdownRequireNetworkDuringOutOfBoxExperience | 写入 | 布尔值 | 是否需要设备连接到网络。 | - |
| UninstallBuiltInApps | 写入 | 布尔值 | 指示是否卸载内置 Windows 应用的固定列表。 | - |
| UsbBlocked | 写入 | 布尔值 | 指示是否阻止用户使用 USB 连接。 | - |
| VoiceRecordingBlocked | 写入 | 布尔值 | 指示是否阻止用户进行语音录制。 | - |
| WebRtcBlockLocalhostIpAddress | 写入 | 布尔值 | 指示在使用 WebRTC 拨打电话时是否显示用户的本地主机 IP 地址 | - |
| WiFiBlockAutomaticConnectHotspots | 写入 | 布尔值 | 指示是否阻止自动连接到 Wi-Fi 热点。 如果 Wi-Fi 被阻止,没有任何影响。 | - |
| WiFiBlocked | 写入 | 布尔值 | 指示是否阻止用户使用 Wi-Fi。 | - |
| WiFiBlockManualConfiguration | 写入 | 布尔值 | 指示是否阻止用户使用 Wi-Fi 手动配置。 | - |
| WiFiScanInterval | 写入 | UInt32 | 指定设备扫描 Wi-Fi 网络的频率。 支持的值是 1-500,其中 100 为默认值,500 为低频率。 有效值为 1 至 500 | - |
| Windows10AppsForceUpdateSchedule | 写入 | MSFT_MicrosoftGraphwindows10AppsForceUpdateSchedule | Windows 10应用强制更新计划。 | - |
| WindowsSpotlightBlockConsumerSpecificFeatures | 写入 | 布尔值 | 允许 IT 管理员阻止通常仅供消费者使用的体验,例如开始建议、会员通知、Post-OOBE 应用安装和重定向磁贴。 | - |
| WindowsSpotlightBlocked | 写入 | 布尔值 | 允许 IT 管理员关闭所有 Windows 聚焦功能 | - |
| WindowsSpotlightBlockOnActionCenter | 写入 | 布尔值 | 阻止 Microsoft 在每次操作系统全新安装、升级或持续推出后显示的建议,以向用户介绍新增功能或更改功能 | - |
| WindowsSpotlightBlockTailoredExperiences | 写入 | 布尔值 | 根据用户设备使用情况在 Windows 聚焦中阻止个性化内容。 | - |
| WindowsSpotlightBlockThirdPartyNotifications | 写入 | 布尔值 | 阻止通过 Windows 聚焦投放的第三方内容 | - |
| WindowsSpotlightBlockWelcomeExperience | 写入 | 布尔值 | 阻止 Windows 聚焦 Windows 欢迎体验 | - |
| WindowsSpotlightBlockWindows 提示 | 写入 | 布尔值 | 允许 IT 管理员关闭 Windows 提示的弹出窗口。 | - |
| WindowsSpotlightConfigureOnLockScreen | 写入 | String | 指定聚焦的类型。 可能的值包括:notConfigured、disabled、enabled。 |
notConfigured, disabled, enabled |
| WindowsStoreBlockAutoUpdate | 写入 | 布尔值 | 指示是否阻止从 Windows 应用商店自动更新应用。 | - |
| WindowsStoreBlocked | 写入 | 布尔值 | 指示是否阻止用户使用 Windows 应用商店。 | - |
| WindowsStoreEnablePrivateStoreOnly | 写入 | 布尔值 | 指示是否启用“仅限专用应用商店”。 | - |
| WirelessDisplayBlockProjectionToThisDevice | 写入 | 布尔值 | 指示是否允许其他设备发现此电脑进行投影。 | - |
| WirelessDisplayBlockUserInputFromReceiver | 写入 | 布尔值 | 指示是否允许来自无线显示接收器的用户输入。 | - |
| WirelessDisplayRequirePinForPairing | 写入 | 布尔值 | 指示是否需要新设备的 PIN 才能启动配对。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphDefenderDetectedMalwareActions1
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| HighSeverity | 写入 | String | 指示要对检测到的高严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
| LowSeverity | 写入 | String | 指示要对检测到的低严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
| ModerateSeverity | 写入 | String | 指示要对检测到的中等严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
| SevereSeverity | 写入 | String | 指示要对检测到的严重严重性恶意软件威胁执行的 Defender 操作。 可能的值包括:deviceDefault、clean、quarantine、remove、allow、userDefined、block。 |
deviceDefault, clean, quarantine, remove, allow, userDefined, block |
MSFT_MicrosoftGraphEdgeHomeButtonConfiguration
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| HomeButtonCustomURL | 写入 | String | 要加载的特定 URL。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.edgeHomeButtonHidden, #microsoft.graph.edgeHomeButtonLoadsStartPage, #microsoft.graph.edgeHomeButtonOpensCustomURL, #microsoft.graph.edgeHomeButtonOpensNewTab |
MSFT_MicrosoftGraphEdgeSearchEngineBase
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| EdgeSearchEngineType | 写入 | String | 允许 IT 管理员为 MDM 控制的设备设置预定义的默认搜索引擎。 可能的值为:default、bing。 |
default, bing |
| EdgeSearchEngineOpenSearchXmlUrl | 写入 | String | 指向包含 OpenSearch xml 文件的 https 链接,文件中至少包含指向搜索引擎的短名称和 URL。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.edgeSearchEngine, #microsoft.graph.edgeSearchEngineCustom |
MSFT_MicrosoftGraphWindows10NetworkProxyServer
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 地址 | 写入 | String | 代理服务器的地址。 指定格式为“:”的地址 | - |
| 例外 | 写入 | StringArray[] | 不应使用代理服务器的地址。 系统无法将代理服务器用于以本节点中指定的内容开头的地址。 | - |
| UseForLocalAddresses | 写入 | 布尔值 | 指定是否应将代理服务器用于本地 (Intranet) 地址。 | - |
MSFT_MicrosoftGraphWindows10AppsForceUpdateSchedule
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 定期 | 写入 | String | 定期计划。 可能的值为:无、每日、每周、每月。 |
none, daily, weekly, monthly |
| RunImmediatelyIfAfterStartDateTime | 写入 | 布尔值 | 如果为 true,则如果 StartDateTime 处于过去状态,则立即运行任务;否则,在下一次定期运行。 | - |
| StartDateTime | 写入 | String | 强制重启的开始时间。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationScepCertificatePolicyWindows10 资源类型
说明
Intune Windows10 的设备配置 Scep 证书策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| CertificateStore | 写入 | String | 目标存储证书。 可能的值为:user、machine。 |
user, machine |
| HashAlgorithm | 写入 | String | SCEP 哈希算法。 可能的值为:sha1、sha2。 |
sha1, sha2 |
| KeySize | 写入 | String | SCEP 密钥大小。 可能的值为:size1024、size2048、size4096。 |
size1024, size2048, size4096 |
| KeyUsage | 写入 | StringArray[] | SCEP 密钥用法。 可能的值为:keyEncipherment、digitalSignature。 |
keyEncipherment, digitalSignature |
| ScepServerUrls | 写入 | StringArray[] | SCEP 服务器 URL () 。 | - |
| SubjectAlternativeNameFormatString | 写入 | String | 定义 AAD 特性的自定义字符串。 | - |
| SubjectNameFormatString | 写入 | String | 用于 SubjectNameFormat = Custom 的自定义格式。 示例:CN={{UserName}},E={{EmailAddress}},OU=企业用户,O=Contoso Corporation,L=Redmond,ST=WA,C=US | - |
| CustomSubjectAlternativeNames | 写入 | MSFT_MicrosoftGraphcustomSubjectAlternativeName[] | 自定义使用者可选名称设置。 该集合最多可包含 500 个元素。 | - |
| ExtendedKeyUsages | 写入 | MSFT_MicrosoftGraphextendedKeyUsage[] | 扩展密钥用法 (EKU) 设置。 该集合最多可包含 500 个元素。 | - |
| CertificateValidityPeriodScale | 写入 | String | 缩放证书有效期。 可能的值为:天、月、年。 |
days, months, years |
| CertificateValidityPeriodValue | 写入 | UInt32 | 证书有效期的值 | - |
| KeyStorageProvider | 写入 | String | 密钥存储提供程序 (KSP) 。 可能的值为:useTpmKspOtherwiseUseSoftwareKsp、useTpmKspOtherwiseFail、usePassportForWorkKspOtherwiseFail、useSoftwareKsp。 |
useTpmKspOtherwiseUseSoftwareKsp, useTpmKspOtherwiseFail, usePassportForWorkKspOtherwiseFail, useSoftwareKsp |
| RenewalThresholdPercentage | 写入 | UInt32 | 证书续订阈值百分比。 有效值 1 到 99 | - |
| SubjectAlternativeNameType | 写入 | String | 证书使用者可选名称类型。 可能的值为:none、emailAddress、userPrincipalName、customAzureADAttribute、domainNameService、universalResourceIdentifier。 |
none, emailAddress, userPrincipalName, customAzureADAttribute, domainNameService, universalResourceIdentifier |
| SubjectNameFormat | 写入 | String | 证书使用者名称格式。 可能的值包括:commonName、commonNameIncludingEmail、commonNameAsEmail、custom、commonNameAsIMEI、commonNameAsSerialNumber、commonNameAsAadDeviceId、commonNameAsIntuneDeviceId、commonNameAsDurableDeviceId。 |
commonName, commonNameIncludingEmail, commonNameAsEmail, custom, commonNameAsIMEI, commonNameAsSerialNumber, commonNameAsAadDeviceId, commonNameAsIntuneDeviceId, commonNameAsDurableDeviceId |
| RootCertificateDisplayName | 写入 | String | 受信任的根证书显示名称 | - |
| RootCertificateId | 写入 | String | 受信任的根证书 ID | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphCustomSubjectAlternativeName
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 名称 | 写入 | String | 自定义 SAN 名称 | - |
| SanType | 写入 | String | 自定义 SAN 类型。 可能的值为:none、emailAddress、userPrincipalName、customAzureADAttribute、domainNameService、universalResourceIdentifier。 |
none, emailAddress, userPrincipalName, customAzureADAttribute, domainNameService, universalResourceIdentifier |
MSFT_MicrosoftGraphExtendedKeyUsage
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 名称 | 写入 | String | 扩展密钥用法名称 | - |
| ObjectIdentifier | 写入 | String | 扩展密钥用法对象标识符 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationSecureAssessmentPolicyWindows10 资源类型
说明
Intune Windows10 的设备配置安全评估策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AllowPrinting | 写入 | 布尔值 | 指示在测试期间是否允许应用打印。 | - |
| AllowScreenCapture | 写入 | 布尔值 | 指示在测试期间是否允许屏幕捕获功能。 | - |
| AllowTextSuggestion | 写入 | 布尔值 | 指示在测试期间是否允许文本建议。 | - |
| AssessmentAppUserModelId | 写入 | String | 指定用户使用本地来宾帐户登录到安全评估时启动的评估应用的应用程序用户模型 ID。 重要通知:必须使用 localGuestAccountName 设置此属性,以便使本地来宾帐户登录体验能够正常进行安全评估。 | - |
| ConfigurationAccount | 写入 | String | 用于配置 Windows 设备进行测试的帐户。 用户可以是域帐户 (/用户) 、AAD 帐户 (usernametenant.com) 或本地帐户 (用户名) 。 | - |
| ConfigurationAccountType | 写入 | String | ConfigurationAccount 用于的帐户类型。 可能的值为:azureADAccount、domainAccount、localAccount、localGuestAccount。 |
azureADAccount, domainAccount, localAccount, localGuestAccount |
| LaunchUri | 写入 | String | 启动安全评估浏览器时指向自动加载的评估的 URL 链接。 它必须是有效的 url (https://msdn.microsoft.com/) 。 | - |
| LocalGuestAccountName | 写入 | String | 指定登录屏幕上显示的本地来宾帐户的显示文本。 通常为评估的名称。 当用户在登录屏幕上单击本地来宾帐户时,会使用指定的评估 URL 启动评估应用。 只能在运行 Windows 10 版本 1903 或更高版本的设备上使用本地来宾帐户登录配置安全评估。 重要通知:必须使用 assessmentAppUserModelID 设置此属性,以便使本地来宾帐户登录体验正常工作,以实现安全评估。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationSharedMultiDevicePolicyWindows10 资源类型
说明
Intune Windows10 的设备配置共享多设备策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AccountManagerPolicy | 写入 | MSFT_MicrosoftGraphsharedPCAccountManagerPolicy | 指定在共享电脑上管理帐户的方式。 仅当 disableAccountManager 为 false 时适用。 | - |
| AllowedAccounts | 写入 | StringArray[] | 指示允许在共享电脑上使用哪种类型的帐户。 可能的值包括:notConfigured、guest、domain。 |
notConfigured, guest, domain |
| AllowLocalStorage | 写入 | 布尔值 | 指定在共享电脑上是否允许本地存储。 | - |
| DisableAccountManager | 写入 | 布尔值 | 禁用共享电脑模式的帐户管理器。 | - |
| DisableEduPolicies | 写入 | 布尔值 | 指定是否应禁用默认的共享电脑教育环境策略。 对于 Windows 10 RS2 及更高版本,将应用此策略而不将 Enabled 设置为 true。 | - |
| DisablePowerPolicies | 写入 | 布尔值 | 指定是否应禁用默认的共享电脑电源策略。 | - |
| DisableSignInOnResume | 写入 | 布尔值 | 禁用每当设备从睡眠模式唤醒时需要登录的要求。 | - |
| 已启用 | 写入 | 布尔值 | 启用共享的电脑模式并应用共享的电脑策略。 | - |
| FastFirstSignIn | 写入 | String | 指定是否将新的非管理员Microsoft Entra帐户自动连接到预配置的候选本地帐户。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| IdleTimeBeforeSleepInSeconds | 写入 | UInt32 | 指定电脑进入睡眠状态之前设备必须保持空闲状态的时间(以秒为单位)。 将此值设置为 0 可防止发生睡眠超时。 | - |
| KioskAppDisplayName | 写入 | String | 指定启动由 SetKioskAppUserModelId 指定的应用的登录屏幕上显示的帐户的显示文本。 仅在设置 KioskAppUserModelId 后适用。 | - |
| KioskAppUserModelId | 写入 | String | 指定要与分配的访问权限结合使用的应用的应用程序用户模型 ID。 | - |
| LocalStorage | 写入 | String | 指定在共享电脑上是否允许本地存储。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| MaintenanceStartTime | 写入 | String | 指定维护小时的每日开始时间。 | - |
| SetAccountManager | 写入 | String | 禁用共享电脑模式的帐户管理器。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| SetEduPolicies | 写入 | String | 指定是否应启用/禁用/未配置默认共享电脑教育环境策略。 对于 Windows 10 RS2 及更高版本,将应用此策略而不将 Enabled 设置为 true。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| SetPowerPolicies | 写入 | String | 指定是否应启用/禁用默认共享电脑电源策略。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| SignInOnResume | 写入 | String | 指定设备从睡眠模式唤醒时登录的要求。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphSharedPCAccountManagerPolicy
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AccountDeletionPolicy | 写入 | String | 配置何时删除帐户。 可能的值为:immediate、diskSpaceThreshold、diskSpaceThresholdOrInactiveThreshold。 |
immediate, diskSpaceThreshold, diskSpaceThresholdOrInactiveThreshold |
| CacheAccountsAboveDiskFreePercentage | 写入 | UInt32 | 设置在电脑停止删除缓存的共享电脑帐户之前,电脑应有的可用磁盘空间百分比。 仅当 AccountDeletionPolicy 为 DiskSpaceThreshold 或 DiskSpaceThresholdOrInactiveThreshold 时适用。 有效值为 0 至 100 | - |
| InactiveThresholdDays | 写入 | UInt32 | 指定当帐户在指定时间段内(以天数形式提供)未登录时,将何时开始删除帐户。 仅当 AccountDeletionPolicy 为 DiskSpaceThreshold 或 DiskSpaceThresholdOrInactiveThreshold 时适用。 | - |
| RemoveAccountsBelowDiskFreePercentage | 写入 | UInt32 | 设置在删除缓存的帐户以释放磁盘空间之前,电脑上剩余的磁盘空间百分比。 将首先删除处于非活动状态时间最长的帐户。 仅当 AccountDeletionPolicy 为 DiskSpaceThresholdOrInactiveThreshold 时适用。 有效值为 0 至 100 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationTrustedCertificatePolicyWindows10 资源类型
说明
Windows10 Intune设备配置受信任的证书策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| CertFileName | 写入 | String | 要显示在 UI 中的文件名。 | - |
| DestinationStore | 写入 | String | 受信任的根证书的目标存储位置。 可能的值为:computerCertStoreRoot、computerCertStoreIntermediate、userCertStoreIntermediate。 |
computerCertStoreRoot, computerCertStoreIntermediate, userCertStoreIntermediate |
| TrustedRootCertificate | 写入 | String | 受信任的根证书 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationVpnPolicyWindows10 资源类型
说明
适用于 Windows10 的Intune设备配置 Vpn 策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AssociatedApps | 写入 | MSFT_MicrosoftGraphwindows10AssociatedApps[] | 关联的应用。 该集合最多可包含 10000 个元素。 | - |
| AuthenticationMethod | 写入 | String | 身份验证方法。 可能的值为:certificate、usernameAndPassword、customEapXml、derivedCredential。 |
certificate, usernameAndPassword, customEapXml, derivedCredential |
| ConnectionType | 写入 | String | 连接类型。 可能的值为:pulseSecure、f5EdgeClient、dellSonicWallMobileConnect、checkPointCapsuleVpn、automatic、ikEv2、l2tp、pptp、citrix、paloAltoGlobalProtect、ciscoAnyConnect、unknownFutureValue、microsoftTunnel。 |
pulseSecure, f5EdgeClient, dellSonicWallMobileConnect, checkPointCapsuleVpn, automatic, ikEv2, l2tp, pptp, citrix, paloAltoGlobalProtect, ciscoAnyConnect, unknownFutureValue, microsoftTunnel |
| CryptographySuite | 写入 | MSFT_MicrosoftGraphcryptographySuite | Windows10 及更高版本中 IKEv2 VPN 的加密套件安全设置 | - |
| DnsRules | 写入 | MSFT_MicrosoftGraphvpnDnsRule[] | DNS 规则。 该集合最多可包含 1000 个元素。 | - |
| DnsSuffixes | 写入 | StringArray[] | 指定要添加到 DNS 搜索列表以正确路由短名称的 DNS 后缀。 | - |
| EapXml | 写入 | String | 可扩展身份验证协议 (EAP) XML。 (UTF8 编码的字节数组) | - |
| EnableAlwaysOn | 写入 | 布尔值 | 启用Always On模式。 | - |
| EnableConditionalAccess | 写入 | 布尔值 | 启用条件访问。 | - |
| EnableDeviceTunnel | 写入 | 布尔值 | 启用设备隧道。 | - |
| EnableDnsRegistration | 写入 | 布尔值 | 使用内部 DNS 启用 IP 地址注册。 | - |
| EnableSingleSignOnWithAlternateCertificate | 写入 | 布尔值 | 使用备用证书启用单一登录 (SSO) 。 | - |
| EnableSplitTunneling | 写入 | 布尔值 | 启用拆分隧道。 | - |
| MicrosoftTunnelSiteId | 写入 | String | 与 VPN 配置文件关联的Microsoft隧道站点的 ID。 | - |
| OnlyAssociatedAppsCanUseConnection | 写入 | 布尔值 | 只有关联的应用可以使用连接 (每个应用 VPN) 。 | - |
| ProfileTarget | 写入 | String | 配置文件目标类型。 可能的值为:user、device、autoPilotDevice。 |
user, device, autoPilotDevice |
| ProxyServer | 写入 | MSFT_MicrosoftGraphwindows10VpnProxyServer | 代理服务器。 | - |
| RememberUserCredentials | 写入 | 布尔值 | 记住用户凭据。 | - |
| 路线 | 写入 | MSFT_MicrosoftGraphvpnRoute[] | 路由 (第三方提供程序) 可选。 该集合最多可包含 1000 个元素。 | - |
| SingleSignOnEku | 写入 | MSFT_MicrosoftGraphextendedKeyUsage | 单一登录扩展密钥用法 (EKU) 。 | - |
| SingleSignOnIssuerHash | 写入 | String | 单一登录颁发者哈希。 | - |
| TrafficRules | 写入 | MSFT_MicrosoftGraphvpnTrafficRule[] | 流量规则。 该集合最多可包含 1000 个元素。 | - |
| TrustedNetworkDomains | 写入 | StringArray[] | 受信任的网络域 | - |
| WindowsInformationProtectionDomain | 写入 | String | 要与此连接关联的 Windows 信息保护 (WIP) 域。 | - |
| ConnectionName | 写入 | String | 向用户显示的连接名称。 | - |
| CustomXml | 写入 | String | 用于配置 VPN 连接的自定义 XML 命令。 (UTF8 编码的字节数组) | - |
| ServerCollection | 写入 | MSFT_MicrosoftGraphvpnServer[] | 网络上的 VPN 服务器列表。 确保最终用户可以访问这些网络位置。 该集合最多可包含 500 个元素。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindows10AssociatedApps
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AppType | 写入 | String | 应用程序类型。 可能的值为:desktop、universal。 |
desktop, universal |
| 标示符 | 写入 | String | 标识符。 | - |
MSFT_MicrosoftGraphCryptographySuite
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AuthenticationTransformConstants | 写入 | String | 身份验证转换常量。 可能的值为:md5_96、sha1_96、sha_256_128、aes128Gcm、aes192Gcm、aes256Gcm。 |
md5_96, sha1_96, sha_256_128, aes128Gcm, aes192Gcm, aes256Gcm |
| CipherTransformConstants | 写入 | String | 密码转换常量。 可能的值为:aes256、des、tripleDes、aes128、aes128Gcm、aes256Gcm、aes192、aes192Gcm、chaCha20Poly1305。 |
aes256, des, tripleDes, aes128, aes128Gcm, aes256Gcm, aes192, aes192Gcm, chaCha20Poly1305 |
| DhGroup | 写入 | String | 迪菲·赫尔曼集团 可能的值为:group1、group2、group14、ecp256、ecp384、group24。 |
group1, group2, group14, ecp256, ecp384, group24 |
| EncryptionMethod | 写入 | String | 加密方法。 可能的值为:aes256、des、tripleDes、aes128、aes128Gcm、aes256Gcm、aes192、aes192Gcm、chaCha20Poly1305。 |
aes256, des, tripleDes, aes128, aes128Gcm, aes256Gcm, aes192, aes192Gcm, chaCha20Poly1305 |
| IntegrityCheckMethod | 写入 | String | 完整性检查方法。 可能的值为:sha2_256、sha1_96、sha1_160、sha2_384、sha2_512、md5。 |
sha2_256, sha1_96, sha1_160, sha2_384, sha2_512, md5 |
| PfsGroup | 写入 | String | 完美向前保密组。 可能的值为:pfs1、pfs2、pfs2048、ecp256、ecp384、pfsMM、pfs24。 |
pfs1, pfs2, pfs2048, ecp256, ecp384, pfsMM, pfs24 |
MSFT_MicrosoftGraphVpnDnsRule
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AutoTrigger | 写入 | 布尔值 | 设备连接到此域时自动连接到 VPN:默认值为 False。 | - |
| 名称 | 写入 | String | 名称。 | - |
| 永久性 | 写入 | 布尔值 | 即使未连接 VPN,也保持此规则处于活动状态:默认值 False | - |
| ProxyServerUri | 写入 | String | 代理服务器 URI。 | - |
| 服务器 | 写入 | StringArray[] | 服务器。 | - |
MSFT_MicrosoftGraphWindows10VpnProxyServer
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| BypassProxyServerForLocalAddress | 写入 | 布尔值 | 绕过本地地址的代理服务器。 | - |
| 地址 | 写入 | String | 地址。 | - |
| AutomaticConfigurationScriptUrl | 写入 | String | 代理的自动配置脚本 URL。 | - |
| 端口 | 写入 | UInt32 | 港口。 有效值 0 到 65535 | - |
| AutomaticallyDetectProxySettings | 写入 | 布尔值 | 自动检测代理设置。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windows10VpnProxyServer, #microsoft.graph.windows81VpnProxyServer |
MSFT_MicrosoftGraphVpnRoute
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DestinationPrefix | 写入 | String | 目标前缀 (IPv4/v6 地址) 。 | - |
| PrefixSize | 写入 | UInt32 | 前缀大小。 (1-32) 。 有效值 1 到 32 | - |
MSFT_MicrosoftGraphExtendedKeyUsage
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 名称 | 写入 | String | 扩展密钥用法名称 | - |
| ObjectIdentifier | 写入 | String | 扩展密钥用法对象标识符 | - |
MSFT_MicrosoftGraphVpnTrafficRule
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AppId | 写入 | String | 应用标识符(如果此流量规则由应用触发)。 | - |
| AppType | 写入 | String | 应用类型(如果此流量规则由应用触发)。 可能的值为:none、desktop、universal。 |
none, desktop, universal |
| Claims | 写入 | String | 与此流量规则关联的声明。 | - |
| LocalAddressRanges | 写入 | MSFT_MicrosoftGraphIPv4Range[] | 本地地址范围。 该集合最多可包含 500 个元素。 | - |
| LocalPortRanges | 写入 | MSFT_MicrosoftGraphNumberRange[] | 仅当协议为 TCP 或 UDP (6 或 17) 时,才能设置本地端口范围。 该集合最多可包含 500 个元素。 | - |
| 名称 | 写入 | String | 名称。 | - |
| 协议 | 写入 | UInt32 | 协议 (0-255) 。 有效值 0 到 255 | - |
| RemoteAddressRanges | 写入 | MSFT_MicrosoftGraphIPv4Range[] | 远程地址范围。 该集合最多可包含 500 个元素。 | - |
| RemotePortRanges | 写入 | MSFT_MicrosoftGraphNumberRange[] | 仅当协议为 TCP 或 UDP (6 或 17) 时,才能设置远程端口范围。 该集合最多可包含 500 个元素。 | - |
| RoutingPolicyType | 写入 | String | 当应用触发时,指示是否启用沿此路由的拆分隧道。 可能的值为:none、splitTunnel、forceTunnel。 |
none, splitTunnel, forceTunnel |
| VpnTrafficDirection | 写入 | String | 指定规则是应用于入站流量还是出站流量。 可能的值为:outbound、inbound、unknownFutureValue。 |
outbound, inbound, unknownFutureValue |
MSFT_MicrosoftGraphIPv4Range
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| LowerAddress | 写入 | String | 较低的地址。 | - |
| UpperAddress | 写入 | String | 上一个地址。 | - |
| CidrAddress | 写入 | String | 以 CIDR 表示法表示的 IPv4 地址。 不可为 null。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.iPv4CidrRange, #microsoft.graph.iPv6CidrRange, #microsoft.graph.iPv4Range, #microsoft.graph.iPv6Range |
MSFT_MicrosoftGraphNumberRange
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| LowerNumber | 写入 | UInt32 | 较低的数字。 | - |
| UpperNumber | 写入 | UInt32 | 数字上限。 | - |
MSFT_MicrosoftGraphVpnServer
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 地址 | 写入 | String | 地址 (IP 地址、FQDN 或 URL) | - |
| 说明 | 写入 | String | 说明。 | - |
| IsDefaultServer | 写入 | 布尔值 | 默认服务器。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationWindowsTeamPolicyWindows10 资源类型
说明
Intune设备配置 Windows10 的 Windows 团队策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AzureOperationalInsightsBlockTelemetry | 写入 | 布尔值 | 指示是否阻止 Azure 操作见解。 | - |
| AzureOperationalInsightsWorkspaceId | 写入 | String | Azure 操作见解工作区 ID。 | - |
| AzureOperationalInsightsWorkspaceKey | 写入 | String | Azure 操作见解工作区键。 | - |
| ConnectAppBlockAutoLaunch | 写入 | 布尔值 | 指定是否在启动投影时自动启动 Connect 应用。 | - |
| MaintenanceWindowBlocked | 写入 | 布尔值 | 指示是否阻止设置设备更新的维护时段。 | - |
| MaintenanceWindowDurationInHours | 写入 | UInt32 | 设备更新的维护时段持续时间。 有效值为 0 至 5 | - |
| MaintenanceWindowStartTime | 写入 | String | 设备更新的维护时段开始时间。 | - |
| MiracastBlocked | 写入 | 布尔值 | 指示是否阻止无线投影。 | - |
| MiracastChannel | 写入 | String | 频道。 可能的值包括:userDefined、1、2、3、4、5、6、7、8、9、11、36、4、4、4、44、fortyEight、oneHundredFortyNine、1HundredFiftyThree、1HundredFiftySeven、oneHundredSixtyOne、1HundredSixtyFive。 |
userDefined, one, two, three, four, five, six, seven, eight, nine, ten, eleven, thirtySix, forty, fortyFour, fortyEight, oneHundredFortyNine, oneHundredFiftyThree, oneHundredFiftySeven, oneHundredSixtyOne, oneHundredSixtyFive |
| MiracastRequirePin | 写入 | 布尔值 | 指示是否需要 PIN 才能进行无线投影。 | - |
| SettingsBlockMyMeetingsAndFiles | 写入 | 布尔值 | 指定是否禁用“开始”菜单中的“我的会议和文件”功能,该功能显示已登录用户的会议和Office 365中的文件。 | - |
| SettingsBlockSessionResume | 写入 | 布尔值 | 指定是否允许在会话超时时恢复会话。 | - |
| SettingsBlockSigninSuggestions | 写入 | 布尔值 | 指定是否禁用计划会议的被邀请者自动填充登录对话框。 | - |
| SettingsDefaultVolume | 写入 | UInt32 | 指定新会话的默认音量值。 允许的值为 0-100。 默认值为 45。 有效值为 0 至 100 | - |
| SettingsScreenTimeoutInMinutes | 写入 | UInt32 | 指定 Hub 屏幕关闭前的分钟数。 | - |
| SettingsSessionTimeoutInMinutes | 写入 | UInt32 | 指定会话超时前的分钟数。 | - |
| SettingsSleepTimeoutInMinutes | 写入 | UInt32 | 指定 Hub 进入睡眠模式前的分钟数。 | - |
| WelcomeScreenBackgroundImageUrl | 写入 | String | 欢迎屏幕背景图像 URL。 URL 必须使用 HTTPS 协议并返回 PNG 图像。 | - |
| WelcomeScreenBlockAutomaticWakeUp | 写入 | 布尔值 | 指示当某人进入会议室时是否阻止欢迎屏幕自动唤醒。 | - |
| WelcomeScreenMeetingInformation | 写入 | String | 显示的欢迎屏幕会议信息。 可能的值为:userDefined、showOrganizerAndTimeOnly、showOrganizerAndTimeAndSubject。 |
userDefined, showOrganizerAndTimeOnly, showOrganizerAndTimeAndSubject |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| SupportsScopeTags | 写入 | 布尔值 | 指示基础设备配置是否支持分配范围标记。 如果此值为 false,并且实体对限定范围的用户不可见,则不允许向 ScopeTags 属性分配。 这种情况发生在 Silverlight 中创建的旧策略中,可以通过在 Azure 门户中删除并重新创建策略来解决。 此属性是只读的。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceConfigurationWiredNetworkPolicyWindows10 资源类型
说明
Intune适用于 Windows10 的设备配置有线网络策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AuthenticationBlockPeriodInMinutes | 写入 | UInt32 | 指定在身份验证尝试失败后阻止自动身份验证尝试的持续时间。 | - |
| AuthenticationMethod | 写入 | String | 指定身份验证方法。 可能的值为:certificate、usernameAndPassword、derivedCredential。 可能的值为:certificate、usernameAndPassword、derivedCredential、unknownFutureValue。 |
certificate, usernameAndPassword, derivedCredential, unknownFutureValue |
| AuthenticationPeriodInSeconds | 写入 | UInt32 | 指定客户端在身份验证尝试失败之前等待的秒数。 有效范围 1-3600。 | - |
| AuthenticationRetryDelayPeriodInSeconds | 写入 | UInt32 | 指定身份验证失败与下一次身份验证尝试之间的秒数。 有效范围 1-3600。 | - |
| AuthenticationType | 写入 | String | 指定是对用户、设备进行身份验证,还是使用来宾身份验证 (无) 。 如果使用证书身份验证,请确保证书类型与身份验证类型匹配。 可能的值为:none、user、machine、machineOrUser、guest。 可能的值为:none、user、machine、machineOrUser、guest、unknownFutureValue。 |
none, user, machine, machineOrUser, guest, unknownFutureValue |
| CacheCredentials | 写入 | 布尔值 | 如果为 TRUE,则会在设备上缓存用户凭据,以便用户无需在每次连接时一直输入凭据。 如果为 FALSE,则不要缓存凭据。 默认值为 FALSE。 | - |
| DisableUserPromptForServerValidation | 写入 | 布尔值 | 如果为 TRUE,则防止在 EAP 类型被选为 PEAP 时提示用户为受信任的证书颁发机构授权新服务器。 如果为 FALSE,则不会阻止提示用户。 默认值为 FALSE。 | - |
| EapolStartPeriodInSeconds | 写入 | UInt32 | 指定在通过 LAN 发送 EAPOL (可扩展身份验证协议之前要等待的秒数) 开始消息。 有效范围 1-3600。 | - |
| EapType | 写入 | String | 可扩展身份验证协议 (EAP) 。 指示在 Wi-Fi 终结点 (路由器) 上设置的 EAP 协议的类型。 可能的值为:eapTls、leap、eapSim、eapTtls、peap、eapFast、teap。 可能的值为:eapTls、leap、eapSim、eapTtls、peap、eapFast、teap。 |
eapTls, leap, eapSim, eapTtls, peap, eapFast, teap |
| Enforce8021X | 写入 | 布尔值 | 如果为 TRUE,则有线网络的自动配置服务需要使用 802.1X 进行端口身份验证。 如果为 FALSE,则不需要 802.1X。 默认值为 FALSE。 | - |
| ForceFIPSCompliance | 写入 | 布尔值 | 如果为 TRUE,则强制 FIPS 符合性。 如果为 FALSE,则不启用 FIPS 符合性。 默认值为 FALSE。 | - |
| InnerAuthenticationProtocolForEAPTTLS | 写入 | String | 为 EAP TTLS 指定内部身份验证协议。 可能的值为:unencryptedPassword、challengeHandshakeAuthenticationProtocol、microsoftChap、microsoftChapVersionTwo。 可能的值为:unencryptedPassword、challengeHandshakeAuthenticationProtocol、microsoftChap、microsoftChapVersionTwo。 |
unencryptedPassword, challengeHandshakeAuthenticationProtocol, microsoftChap, microsoftChapVersionTwo |
| MaximumAuthenticationFailures | 写入 | UInt32 | 指定一组凭据允许的最大身份验证失败次数。 有效范围 1-100。 | - |
| MaximumEAPOLStartMessages | 写入 | UInt32 | 指定在返回失败之前发送的 EAPOL (可扩展身份验证协议的最大数目) 启动消息。 有效范围 1-100。 | - |
| OuterIdentityPrivacyTemporaryValue | 写入 | String | 指定字符串以在使用 EAP TTLS 或 PEAP 时替换隐私用户名。 | - |
| PerformServerValidation | 写入 | 布尔值 | 如果为 TRUE,则通过在 EAP 类型被选为 PEAP 时验证证书来启用服务器标识验证。 如果为 FALSE,则不会验证证书。 默认值为 TRUE。 | - |
| RequireCryptographicBinding | 写入 | 布尔值 | 如果为 TRUE,则当 EAP 类型被选为 PEAP 时启用加密绑定。 如果为 FALSE,则不启用 cryptogrpahic 绑定。 默认值为 TRUE。 | - |
| SecondaryAuthenticationMethod | 写入 | String | 指定辅助身份验证方法。 可能的值为:certificate、usernameAndPassword、derivedCredential。 可能的值为:certificate、usernameAndPassword、derivedCredential、unknownFutureValue。 |
certificate, usernameAndPassword, derivedCredential, unknownFutureValue |
| TrustedServerCertificateNames | 写入 | StringArray[] | 指定受信任的服务器证书名称。 | - |
| RootCertificatesForServerValidationIds | 写入 | StringArray[] | 指定用于服务器验证的根证书。 该集合最多可包含 500 个元素。 | - |
| RootCertificatesForServerValidationDisplayNames | 写入 | StringArray[] | 指定用于服务器验证的根证书显示名称。 该集合最多可包含 500 个元素。 | - |
| IdentityCertificateForClientAuthenticationId | 写入 | String | 指定用于客户端身份验证的标识证书。 | - |
| IdentityCertificateForClientAuthenticationDisplayName | 写入 | String | 指定用于客户端身份验证的标识证书显示名称。 | - |
| SecondaryIdentityCertificateForClientAuthenticationId | 写入 | String | 指定用于客户端验证的根证书 | - |
| SecondaryIdentityCertificateForClientAuthenticationDisplayName | 写入 | String | 指定用于客户端验证的根证书显示名称 | - |
| RootCertificateForClientValidationId | 写入 | String | 指定用于客户端验证的根证书。 | - |
| RootCertificateForClientValidationDisplayName | 写入 | String | 指定用于客户端验证的根证书显示名称。 | - |
| SecondaryRootCertificateForClientValidationId | 写入 | String | 指定用于客户端验证的辅助根证书。 | - |
| SecondaryRootCertificateForClientValidationDisplayName | 写入 | String | 指定用于客户端验证的辅助根证书显示名称。 | - |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
deviceEnrollmentLimitRestriction 资源类型
说明
此资源配置Intune设备注册限制。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | 设备注册限制的显示名称。 | - |
| 说明 | 写入 | String | 设备注册限制的说明。 | - |
| 限制 | 写入 | UInt32 | 指定用户可以注册的最大设备数 | - |
| 确保 | 写入 | String | 存在可确保存在限制,如果不存在,则确保将其删除。 |
Present, Absent |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | DeviceManagementServiceConfig.Read.All |
| 更新 | DeviceManagementServiceConfig.ReadWrite.All |
deviceEnrollmentPlatformRestriction 资源类型
说明
此资源配置Intune设备平台注册限制。
请注意:若要部署 Android 平台限制策略,必须存在两个单独的配置:
- 第一个包含 的键
AndroidRestriction - 第二个包含 的键
AndroidForWorkRestriction
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 标识 | 键 | String | 设备注册平台限制的标识。 | - |
| DisplayName | 键 | String | 设备注册平台限制的显示名称。 | - |
| 说明 | 写入 | String | 设备注册平台限制的说明。 | - |
| AndroidForWorkRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | Android 基于平台、平台操作系统版本和设备所有权的工作限制。 | - |
| AndroidRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | 基于平台、平台操作系统版本和设备所有权的 Android 限制。 | - |
| IosRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | 基于平台、平台操作系统版本和设备所有权的 Ios 限制。 | - |
| MacOSRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | 基于平台、平台操作系统版本和设备所有权的 Mac 限制。 | - |
| MacRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | 基于平台、平台操作系统版本和设备所有权的 Mac 限制。 | - |
| WindowsHomeSkuRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | 基于平台、平台操作系统版本和设备所有权的 Windows 家庭 SKU 限制。 | - |
| WindowsMobileRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | 基于平台、平台操作系统版本和设备所有权的 Windows 移动限制。 | - |
| WindowsRestriction | 写入 | MSFT_DeviceEnrollmentPlatformRestriction | 基于平台、平台操作系统版本和设备所有权的 Windows 限制。 | - |
| DeviceEnrollmentConfigurationType | 写入 | String | 对注册配置类型的支持 |
platformRestrictions, singlePlatformRestriction |
| 优先级 | 写入 | UInt32 | 当用户存在于分配的注册配置的多个组中时,将使用优先级。 用户仅受具有最低优先级值的配置的约束。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_DeviceEnrollmentPlatformRestriction
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| PlatformBlocked | 写入 | 布尔值 | 阻止平台注册。 | - |
| PersonalDeviceEnrollmentBlocked | 写入 | 布尔值 | 阻止个人拥有的设备注册。 | - |
| OsMinimumVersion | 写入 | String | 支持的最小操作系统版本。 | - |
| OsMaximumVersion | 写入 | String | 支持的最大 OS 版本。 | - |
| BlockedManufacturers | 写入 | StringArray[] | 阻止的制造商的集合。 | - |
| BlockedSkus | 写入 | StringArray[] | 阻止的 SKU 的集合。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementServiceConfig.Read.All |
| 更新 | Group.Read.All、DeviceManagementServiceConfig.ReadWrite.All |
deviceEnrollmentStatusPageWindows10 资源类型
说明
Intune Windows10 的设备注册状态页配置
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 键 | String | 设备注册配置的显示名称 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 说明 | 写入 | String | 设备注册配置的说明 | - |
| AllowDeviceResetOnInstallFailure | 写入 | 布尔值 | 在安装失败时允许或阻止设备重置 | - |
| AllowDeviceUseOnInstallFailure | 写入 | 布尔值 | 允许用户在安装失败时继续使用设备 | - |
| AllowLogCollectionOnInstallFailure | 写入 | 布尔值 | 在安装失败时允许或阻止日志收集 | - |
| AllowNonBlockingAppInstallation | 写入 | 布尔值 | 在白手套期间安装所有必需的应用作为非阻止应用 | - |
| BlockDeviceSetupRetryByUser | 写入 | 布尔值 | 允许用户在安装失败时重试安装程序 | - |
| CustomErrorMessage | 写入 | String | 将自定义错误消息设置为在安装失败时显示 | - |
| DisableUserStatusTrackingAfterFirstUser | 写入 | 布尔值 | 仅显示注册后第一个用户的安装进度 | - |
| InstallProgressTimeoutInMinutes | 写入 | UInt32 | 设置安装进度超时(以分钟为单位) | - |
| InstallQualityUpdates | 写入 | 布尔值 | 允许在 OOBE 期间安装质量更新 | - |
| SelectedMobileAppIds | 写入 | StringArray[] | 用于跟踪安装状态的所选应用程序的 ID。 使用此参数时,将忽略 SelectedMobileAppNames | - |
| SelectedMobileAppNames | 写入 | StringArray[] | 要跟踪安装状态的所选应用程序的名称。 当还指定 SelectedMobileAppIds 时,将忽略此参数 | - |
| ShowInstallationProgress | 写入 | 布尔值 | 向用户显示或隐藏安装进度 | - |
| TrackInstallProgressForAutopilotOnly | 写入 | 布尔值 | 仅显示 Autopilot 注册方案的安装进度 | - |
| 优先级 | 写入 | UInt32 | 当用户存在于分配的注册配置的多个组中时,将使用优先级。 用户仅受具有最低优先级值的配置的约束。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All、DeviceManagementServiceConfig.Read.All、DeviceManagementApps.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All、DeviceManagementServiceConfig.ReadWrite.All、DeviceManagementApps.Read.All |
endpointDetectionAndResponsePolicyWindows10 资源类型
说明
此资源为Windows 10配置Intune终结点检测和响应策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 标识 | 写入 | String | Windows 10的终结点检测和响应策略的标识。 | - |
| DisplayName | 键 | String | Windows 10的终结点检测和响应策略的显示名称。 | - |
| 说明 | 写入 | String | 描述Windows 10的终结点检测和响应策略。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | Windows 10的终结点检测和响应策略的分配。 | - |
| SampleSharing | 写入 | String | 返回或设置 Windows Defender 高级威胁防护示例共享配置参数:0 - 无,1 - 全部 |
0, 1 |
| ConfigurationType | 写入 | String | 用于终结点检测和响应的 Microsoft Defender 提供了几乎实时和可操作的高级攻击检测。 安全分析员可以有效地确定警报的优先级,了解整个泄露范围,并采取响应措施来修正威胁。 |
AutoFromConnector, Onboard, Offboard |
| ConfigurationBlob | 写入 | String | 设置 Windows Defender 高级威胁防护加入 Blob 并启动加入到 Windows Defender 高级威胁防护 | - |
| 确保 | 写入 | String | Present 可确保策略存在,而不存在确保策略已删除 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
exploitProtectionPolicyWindows10SettingCatalog 资源类型
说明
此资源为Windows 10设备配置Intune Endpoint Protection Exploit Protection 策略。 使 IT 管理员能够向组织中的所有设备推送表示所需系统和应用程序缓解选项的配置。 配置由 XML 表示。 有关 Exploit Protection 的详细信息,请参阅
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 标识 | 写入 | String | 终结点保护策略的标识。 | - |
| DisplayName | 键 | String | 终结点保护策略的显示名称。 | - |
| 说明 | 写入 | String | 终结点保护的说明。 | - |
| ExploitProtectionSettings | 写入 | String | 使 IT 管理员能够向组织中的所有设备推送表示所需系统和应用程序缓解选项的配置。 配置由 XML 表示。 | - |
| DisallowExploitProtectionOverride | 写入 | String | 阻止用户对 Windows Defender 安全中心中的攻击保护设置区域进行更改。values 0:disable,1:enable |
0, 1 |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 终结点保护的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,而不存在确保策略已删除 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
policySets 资源类型
说明
Intune策略集
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 说明 | 写入 | String | PolicySet 的说明。 | - |
| DisplayName | 键 | String | PolicySet 的 DisplayName。 | - |
| GuidedDeploymentTags | 写入 | StringArray[] | 引导部署的标记 | - |
| RoleScopeTags | 写入 | StringArray[] | PolicySet 的 RoleScopeTags | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 项目 | 写入 | MSFT_DeviceManagementConfigurationPolicyItems[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_DeviceManagementConfigurationPolicyItems
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 项表示的策略类型。 | - |
| payloadId | 写入 | String | 项表示的策略的组 ID。 | - |
| displayName | 写入 | String | 项表示的策略的集合显示名称 | - |
| itemType | 写入 | String | 项表示的策略类型。 | - |
| guidedDeploymentTags | 写入 | StringArray[] | 引导部署的标记 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
roleAssignment 资源类型
说明
此资源配置Intune角色分配。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | 实体的唯一缩进器。 只读。 | - |
| 说明 | 写入 | String | 角色分配的说明。 | - |
| DisplayName | 键 | String | 角色分配的显示或友好名称。 | - |
| ResourceScopes | 写入 | StringArray[] | 角色作用域成员安全组的 ID 列表。 这些是来自 Microsoft Entra 的 ID。 如果 ScopeType 不是“ResourceScope”,则忽略 | - |
| ResourceScopesDisplayNames | 写入 | StringArray[] | 角色范围成员安全组的 DisplayName 列表。 这些是来自 Microsoft Entra 的 Displayname。 如果 ScopeType 不是“ResourceScope”,则忽略 | - |
| ScopeType | 写入 | String | 指定角色分配的范围类型。 默认类型“ResourceScope”允许分配 ResourceScope。 可能的值为:resourceScope、allDevices、allLicensedUsers、allDevicesAndLicensedUsers。 | - |
| Members | 写入 | StringArray[] | 角色成员安全组的 ID 列表。 这些是来自 Microsoft Entra 的 ID。 | - |
| MembersDisplayNames | 写入 | StringArray[] | 角色成员安全组的显示名称列表。 这些是来自 Microsoft Entra 的 Displaynamnes。 | - |
| RoleDefinition | 写入 | String | 角色定义 ID。 | - |
| RoleDefinitionDisplayName | 写入 | String | 角色定义显示名称。 | - |
| 确保 | 写入 | String | Present 可确保角色存在,如果不存在,则确保将其删除。 |
Present, Absent |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementRBAC.Read.All |
| 更新 | Group.Read.All、DeviceManagementRBAC.ReadWrite.All |
roleDefinition 资源类型
说明
此资源配置Intune角色定义。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | 实体的唯一缩进器。 只读。 | - |
| 说明 | 写入 | String | 角色定义的说明。 | - |
| DisplayName | 键 | String | 角色定义的显示名称。 | - |
| IsBuiltIn | 写入 | 布尔值 | 角色类型。 如果它是内置角色,则设置为 True;如果是自定义角色定义,则设置为 False。 | - |
| allowedResourceActions | 写入 | StringArray[] | 允许的资源操作列表 | - |
| notAllowedResourceActions | 写入 | StringArray[] | 不允许的资源操作列表 | - |
| roleScopeTagIds | 写入 | StringArray[] | 要分配的范围标记的 ID | - |
| 确保 | 写入 | String | Present 可确保角色存在,如果不存在,则确保将其删除。 |
Present, Absent |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | DeviceManagementRBAC.Read.All |
| 更新 | DeviceManagementRBAC.ReadWrite.All |
settingCatalogAsrRulesPolicyWindows10 资源类型
说明
此资源为Windows 10设备配置Intune Endpoint Protection 攻击面减少规则策略。 此资源返回使用设置目录设置创建的 ASR 规则。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 标识 | 写入 | String | Windows 10的终结点防护攻击面保护规则策略的标识。 | - |
| DisplayName | 键 | String | Windows 10的终结点防护攻击面保护规则策略的显示名称。 | - |
| 说明 | 写入 | String | Windows 10的终结点防护攻击面保护规则策略的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 终结点保护的分配。 | - |
| AttackSurfaceReductionOnlyExclusions | 写入 | StringArray[] | 从攻击面减少规则中排除文件和路径 | - |
| BlockAbuseOfExploitedVulnerableSignedDrivers | 写入 | String | 此规则可防止应用程序将易受攻击的已签名驱动程序写入磁盘。 |
off, block, audit, warn |
| BlockAbuseOfExploitedVulnerableSignedDrivers_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockAdobeReaderFromCreatingChildProcesses | 写入 | String | 此规则通过阻止 Adobe Reader 创建进程来防止攻击。 |
off, block, audit, warn |
| BlockAdobeReaderFromCreatingChildProcesses_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockAllOfficeApplicationsFromCreatingChildProcesses | 写入 | String | 此规则阻止 Office 应用创建子进程。 Office 应用包括 Word、Excel、PowerPoint、OneNote 和 Access。 |
off, block, audit, warn |
| BlockAllOfficeApplicationsFromCreatingChildProcesses_ASROnlyPerRuleExclusions | 写入 | StringArray[] | ASR 仅按规则排除 (关闭:关闭,阻止:阻止,审核:审核,警告:警告) | - |
| BlockCredentialStealingFromWindowsLocalSecurityAuthoritySubsystem | 写入 | String | 此规则通过锁定本地安全机构子系统服务 (LSASS) 来帮助防止凭据窃取。 |
off, block, audit, warn |
| BlockCredentialStealingFromWindowsLocalSecurityAuthoritySubsystem_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockExecutableContentFromEmailClientAndWebmail | 写入 | String | 此规则阻止以下文件类型从 Microsoft Outlook 应用程序中打开的电子邮件启动,或者从 Outlook.com 和其他常用 Web 邮件提供程序启动。 |
off, block, audit, warn |
| BlockExecutableContentFromEmailClientAndWebmail_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockExecutableFilesRunningUnlessTheyMeetPrevalenceAgeTrustedListCriterion | 写入 | String | 此规则阻止不满足流行率、年龄或受信任列表条件的可执行文件(如 .exe、.dll 或 .scr)启动。 |
off, block, audit, warn |
| BlockExecutableFilesRunningUnlessTheyMeetPrevalenceAgeTrustedListCriterion_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockExecutionOfPotentiallyObfuscatedScripts | 写入 | String | 此规则检测模糊脚本中的可疑属性。 |
off, block, audit, warn |
| BlockExecutionOfPotentiallyObfuscatedScripts_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockJavaScriptOrVBScriptFromLaunchingDownloadedExecutableContent | 写入 | String | 此规则可防止脚本启动潜在的恶意下载内容。 |
off, block, audit, warn |
| BlockJavaScriptOrVBScriptFromLaunchingDownloadedExecutableContent_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockOfficeApplicationsFromCreatingExecutableContent | 写入 | String | 此规则阻止将恶意代码写入磁盘,防止 Office 应用(包括 Word、Excel 和 PowerPoint)创建潜在的恶意可执行内容。 |
off, block, audit, warn |
| BlockOfficeApplicationsFromCreatingExecutableContent_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockOfficeApplicationsFromInjectingCodeIntoOtherProcesses | 写入 | String | 此规则阻止从 Office 应用向其他进程注入代码的尝试。 |
off, block, audit, warn |
| BlockOfficeApplicationsFromInjectingCodeIntoOtherProcesses_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockOfficeCommunicationAppFromCreatingChildProcesses | 写入 | String | 此规则阻止 Outlook 创建子进程,同时仍允许合法的 Outlook 函数。 |
off, block, audit, warn |
| BlockOfficeCommunicationAppFromCreatingChildProcesses_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockPersistenceThroughWMIEventSubscription | 写入 | String | 此规则可防止恶意软件滥用 WMI 来达到设备上的持久性。 |
off, block, audit, warn |
| BlockProcessCreationsFromPSExecAndWMICommands | 写入 | String | 此规则阻止通过 PsExec 和 WMI 创建的进程运行。 |
off, block, audit, warn |
| BlockProcessCreationsFromPSExecAndWMICommands_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockRebootingMachineInSafeMode | 写入 | String | 此规则阻止执行命令以在安全模式下重新启动计算机。 |
off, block, audit, warn |
| BlockRebootingMachineInSafeMode_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockUntrustedUnsignedProcessesThatRunFromUSB | 写入 | String | 使用此规则,管理员可以阻止未签名或不受信任的可执行文件从 USB 可移动驱动器(包括 SD 卡)运行。 |
off, block, audit, warn |
| BlockUntrustedUnsignedProcessesThatRunFromUSB_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockUseOfCopiedOrImpersonatedSystemTools | 写入 | String | 此规则阻止使用标识为 Windows 系统工具副本的可执行文件。 这些文件是原始系统工具的副本或冒名顶替者。 |
off, block, audit, warn |
| BlockUseOfCopiedOrImpersonatedSystemTools_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockWebShellCreationForServers | 写入 | String | 此规则阻止为服务器创建 Webshell。 |
off, block, audit, warn |
| BlockWebshellCreationForServers_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| BlockWin32APICallsFromOfficeMacros | 写入 | String | 此规则阻止 VBA 宏调用 Win32 API。 |
off, block, audit, warn |
| BlockWin32APICallsFromOfficeMacros_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| UseAdvancedProtectionAgainstRansomware | 写入 | String | 此规则提供针对勒索软件的额外保护层。 |
off, block, audit, warn |
| UseAdvancedProtectionAgainstRansomware_ASROnlyPerRuleExclusions | 写入 | StringArray[] | 仅 ASR 每个规则排除项 | - |
| ControlledFolderAccessProtectedFolders | 写入 | StringArray[] | 需要保护的其他文件夹列表 | - |
| ControlledFolderAccessAllowedApplications | 写入 | StringArray[] | 有权访问受保护文件夹的应用列表。 | - |
| EnableControlledFolderAccess | 写入 | String | 此规则启用受控文件夹访问,通过检查应用的已知受信任应用列表来保护数据。values 0:disable、1:enable、2:audit |
0, 1, 2 |
| 确保 | 写入 | String | Present 可确保策略存在,而不存在确保策略已删除 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
settingCatalogCustomPolicyWindows10 资源类型
说明
Intune Windows10 的目录自定义策略设置
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 说明 | 写入 | String | 策略说明 | - |
| 名称 | 键 | String | 策略名称 | - |
| 平台 | 写入 | String | 此策略的平台。 可能的值包括:none、android、iOS、macOS、windows10X、windows10、linux、unknownFutureValue。 |
none, android, iOS, macOS, windows10X, windows10, linux, unknownFutureValue |
| 技术 | 写入 | String | 此策略的技术。 可能的值包括:none、mdm、windows10XManagement、configManager、appleRemoteManagement、microsoftSense、exchangeOnline、edgeMAM、linuxMdm、enrollment、endpointPrivilegeManagement、unknownFutureValue。 |
none, mdm, windows10XManagement, configManager, appleRemoteManagement, microsoftSense, exchangeOnline, linuxMdm, enrollment, endpointPrivilegeManagement, unknownFutureValue |
| TemplateReference | 写入 | MSFT_MicrosoftGraphdeviceManagementConfigurationPolicyTemplateReference | 模板参考信息 | - |
| 设置 | 写入 | MSFT_MicrosoftGraphdeviceManagementConfigurationSetting[] | 策略设置 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphDeviceManagementConfigurationPolicyTemplateReference
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| TemplateDisplayName | 写入 | String | 模板显示引用模板的名称。 此属性是只读的。 | - |
| TemplateDisplayVersion | 写入 | String | 模板显示引用的模板的版本。 此属性是只读的。 | - |
| TemplateFamily | 写入 | String | 引用的模板的模板系列。 此属性是只读的。 可能的值为:none、endpointSecurityAntivirus、endpointSecurityDiskEncryption、endpointSecurityFirewall、endpointSecurityEndpointDetectionAndResponse、endpointSecurityAttackSurfaceReduction、endpointSecurityAccountProtection、endpointSecurityApplicationControl、endpointSecurityEndpointPrivilegeManagement、enrollmentConfiguration、appQuietTime、baseline、unknownFutureValue、deviceConfigurationScripts。 |
none, endpointSecurityAntivirus, endpointSecurityDiskEncryption, endpointSecurityFirewall, endpointSecurityEndpointDetectionAndResponse, endpointSecurityAttackSurfaceReduction, endpointSecurityAccountProtection, endpointSecurityApplicationControl, endpointSecurityEndpointPrivilegeManagement, enrollmentConfiguration, appQuietTime, baseline, unknownFutureValue, deviceConfigurationScripts |
| TemplateId | 写入 | String | 模板 ID | - |
MSFT_MicrosoftGraphDeviceManagementConfigurationSetting
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| SettingInstance | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingInstance | 设置实例 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
MSFT_MicrosoftGraphDeviceManagementConfigurationSettingInstance
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| SettingDefinitionId | 写入 | String | 设置定义 ID | - |
| SettingInstanceTemplateReference | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingInstanceTemplateReference | 设置实例模板参考 | - |
| ChoiceSettingCollectionValue | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationChoiceSettingValue[] | 选项设置集合值 | - |
| ChoiceSettingValue | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationChoiceSettingValue | 选项设置值 | - |
| GroupSettingCollectionValue | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationGroupSettingValue[] | GroupSetting 值的集合 | - |
| GroupSettingValue | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationGroupSettingValue | GroupSetting 值 | - |
| SimpleSettingCollectionValue | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSimpleSettingValue[] | 简单设置集合实例值 | - |
| SimpleSettingValue | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSimpleSettingValue | 简单设置实例值 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.deviceManagementConfigurationChoiceSettingCollectionInstance, #microsoft.graph.deviceManagementConfigurationChoiceSettingInstance, #microsoft.graph.deviceManagementConfigurationGroupSettingCollectionInstance, #microsoft.graph.deviceManagementConfigurationGroupSettingInstance, #microsoft.graph.deviceManagementConfigurationSettingGroupCollectionInstance, #microsoft.graph.deviceManagementConfigurationSettingGroupInstance, #microsoft.graph.deviceManagementConfigurationSimpleSettingCollectionInstance, #microsoft.graph.deviceManagementConfigurationSimpleSettingInstance |
MSFT_MicrosoftGraphDeviceManagementConfigurationSettingInstanceTemplateReference
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| SettingInstanceTemplateId | 写入 | String | 设置实例模板 ID | - |
MSFT_MicrosoftGraphDeviceManagementConfigurationChoiceSettingValue
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Children | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingInstance[] | 子设置。 | - |
| 值 | 写入 | String | 选项设置值:OptionDefinition ItemId。 | - |
| SettingValueTemplateReference | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingValueTemplateReference | 设置值模板参考 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.deviceManagementConfigurationChoiceSettingValue, #microsoft.graph.deviceManagementConfigurationGroupSettingValue, #microsoft.graph.deviceManagementConfigurationSimpleSettingValue |
MSFT_MicrosoftGraphDeviceManagementConfigurationSettingValueTemplateReference
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| settingValueTemplateId | 写入 | String | 设置值模板 ID | - |
| useTemplateDefault | 写入 | 布尔值 | 指示是否更新策略设置值以匹配模板设置默认值 | - |
MSFT_MicrosoftGraphDeviceManagementConfigurationGroupSettingValue
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Children | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingInstance[] | 此 GroupSetting 中包含的子设置实例的集合 | - |
| SettingValueTemplateReference | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingValueTemplateReference | 设置值模板参考 | - |
| 值 | 写入 | String | 选项设置值:OptionDefinition ItemId。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.deviceManagementConfigurationChoiceSettingValue, #microsoft.graph.deviceManagementConfigurationGroupSettingValue, #microsoft.graph.deviceManagementConfigurationSimpleSettingValue |
MSFT_MicrosoftGraphDeviceManagementConfigurationSimpleSettingValue
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| IntValue | 写入 | UInt32 | 整数设置的值。 | - |
| StringValue | 写入 | String | 字符串设置的值。 | - |
| ValueState | 写入 | String | 获取或设置一个值,该值指示 Value 属性的加密状态。 可能的值为:invalid、notEncrypted、encryptedValueToken。 |
invalid, notEncrypted, encryptedValueToken |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.deviceManagementConfigurationIntegerSettingValue, #microsoft.graph.deviceManagementConfigurationStringSettingValue, #microsoft.graph.deviceManagementConfigurationSecretSettingValue |
| SettingValueTemplateReference | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingValueTemplateReference | 设置值模板参考 | - |
| Children | 写入 | MSFT_MicrosoftGraphDeviceManagementConfigurationSettingInstance[] | 子设置。 | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicyAndroidDeviceAdministrator 资源类型
说明
此资源配置Intune Wifi 配置策略 Android 设备管理员设备。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| ConnectAutomatically | 写入 | 布尔值 | 自动连接。 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 隐藏网络名称时连接。 | - |
| NetworkName | 写入 | String | 网络名称。 | - |
| Ssid | 写入 | String | Ssid。 | - |
| WiFiSecurityType | 写入 | String | Wi-Fi 安全类型。 |
open, wpaEnterprise, wpa2Enterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | DeviceManagementConfiguration.Read.All |
| 更新 | DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicyAndroidEnterpriseDeviceOwner 资源类型
说明
此资源配置Intune Wifi 配置策略 Android 企业设备所有者设备。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID | - |
| DisplayName | 键 | String | Intune策略的不明确名称 | - |
| 说明 | 写入 | String | Intune策略的说明 | - |
| ConnectAutomatically | 写入 | 布尔值 | 如果网络在范围内,则自动连接。 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 请勿在可用网络列表中显示最终用户设备上的此 Wi-Fi 网络。 不会广播 SSID。 | - |
| NetworkName | 写入 | String | 网络名称。 | - |
| PreSharedKey | 写入 | String | 预共享密钥。 | - |
| PreSharedKeyIsSet | 写入 | 布尔值 | 预先设置了共享密钥。 | - |
| ProxyAutomaticConfigurationUrl | 写入 | String | 自动代理的 URL。 | - |
| ProxyExclusionList | 写入 | String | 代理的排除列表。 | - |
| ProxyManualAddress | 写入 | String | 代理的地址。 | - |
| ProxyManualPort | 写入 | UInt32 | 代理的端口。 | - |
| ProxySettings | 写入 | String | 代理设置类型。 |
none, manual, automatic |
| Ssid | 写入 | String | 服务集标识符。 Wi-Fi 连接的名称。 | - |
| WiFiSecurityType | 写入 | String | Wi-Fi 配置文件的类型。 |
open, wep, wpaPersonal, wpaEnterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicyAndroidEnterpriseWorkProfile 资源类型
说明
此资源配置Intune Wifi 配置策略 Android 企业工作配置文件设备。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| ConnectAutomatically | 写入 | 布尔值 | 自动连接。 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 隐藏网络名称时连接。 | - |
| NetworkName | 写入 | String | 网络名称。 | - |
| Ssid | 写入 | String | Ssid。 | - |
| WiFiSecurityType | 写入 | String | Wi-Fi 安全性。 |
open, wpaEnterprise, wpa2Enterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicyAndroidForWork 资源类型
说明
此资源配置Intune Wifi 配置策略 Android For Work Device。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| ConnectAutomatically | 写入 | 布尔值 | 自动连接 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 隐藏网络名称时连接 | - |
| NetworkName | 写入 | String | 网络名称 | - |
| Ssid | 写入 | String | Ssid | - |
| WiFiSecurityType | 写入 | String | Wi-Fi 安全性 |
open, wpaEnterprise, wpa2Enterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicyAndroidOpenSourceProject 资源类型
说明
此资源配置Intune Wifi 配置策略 Android 开源项目设备。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| ConnectAutomatically | 写入 | 布尔值 | 自动连接到网络。 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 定义在隐藏时是否应连接网络。 | - |
| NetworkName | 写入 | String | 定义网络名称。 | - |
| PreSharedKey | 写入 | String | 定义预共享密钥。 | - |
| PreSharedKeyIsSet | 写入 | 布尔值 | 定义是否设置了预共享密钥。 | - |
| Ssid | 写入 | String | 定义 SSID。 | - |
| WiFiSecurityType | 写入 | String | 定义 Wifi 安全类型。 |
open, wep, wpaPersonal, wpaEnterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicyiOS 资源类型
说明
此资源为 iOS 设备配置Intune Wifi 配置策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| ConnectAutomatically | 写入 | 布尔值 | 自动连接 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 隐藏网络名称时连接 | - |
| DisableMacAddressRandomization | 写入 | 布尔值 | 禁用 MAC 地址随机化。 | - |
| NetworkName | 写入 | String | 网络名称 | - |
| PreSharedKey | 写入 | String | 预共享密钥 | - |
| ProxyAutomaticConfigurationUrl | 写入 | String | 代理自动配置 URL | - |
| ProxyManualAddress | 写入 | String | 代理手动地址 | - |
| ProxyManualPort | 写入 | UInt32 | 代理手动端口 | - |
| ProxySettings | 写入 | String | 代理设置 |
none, manual, automatic |
| Ssid | 写入 | String | Ssid | - |
| WiFiSecurityType | 写入 | String | Wi-Fi 安全性 |
open, wpaPersonal, wpaEnterprise, wep, wpa2Personal, wpa2Enterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicymacOS 资源类型
说明
此资源为 MacOS 设备配置Intune Wifi 配置策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| ConnectAutomatically | 写入 | 布尔值 | 自动连接 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 隐藏网络名称时连接 | - |
| NetworkName | 写入 | String | 网络名称 | - |
| PreSharedKey | 写入 | String | 预共享密钥 | - |
| ProxyAutomaticConfigurationUrl | 写入 | String | 代理自动配置 URL | - |
| ProxyManualAddress | 写入 | String | 代理手动地址 | - |
| ProxyManualPort | 写入 | UInt32 | 代理手动端口 | - |
| ProxySettings | 写入 | String | 代理设置 |
none, manual, automatic |
| Ssid | 写入 | String | Ssid | - |
| WiFiSecurityType | 写入 | String | Wi-Fi 安全性 |
open, wpaPersonal, wpaEnterprise, wep, wpa2Personal, wpa2Enterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
wifiConfigurationPolicyWindows10 资源类型
说明
此资源为 Windows10 设备配置Intune Wifi 配置策略。
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | Intune策略的 ID。 | - |
| DisplayName | 键 | String | Intune策略的显示名称。 | - |
| 说明 | 写入 | String | Intune策略的说明。 | - |
| ConnectAutomatically | 写入 | 布尔值 | 自动连接 | - |
| ConnectToPreferredNetwork | 写入 | 布尔值 | 连接到首选网络 | - |
| ConnectWhenNetworkNameIsHidden | 写入 | 布尔值 | 隐藏网络名称时连接 | - |
| ForceFIPSCompliance | 写入 | 布尔值 | 强制 FIPS 符合性 | - |
| MeteredConnectionLimit | 写入 | String | 按流量计费的连接限制 |
unrestricted, fixed, variable |
| NetworkName | 写入 | String | 网络名称 | - |
| PreSharedKey | 写入 | String | 预共享密钥 | - |
| ProxyAutomaticConfigurationUrl | 写入 | String | 代理自动配置 URL | - |
| ProxyManualAddress | 写入 | String | 代理手动地址 | - |
| ProxyManualPort | 写入 | UInt32 | 代理手动端口 | - |
| ProxySetting | 写入 | String | 代理设置 |
none, manual, automatic |
| Ssid | 写入 | String | Ssid | - |
| WifiSecurityType | 写入 | String | Wi-Fi 安全性 |
open, wpaPersonal, wpaEnterprise, wep, wpa2Personal, wpa2Enterprise |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
windowsAutopilotDeploymentProfileAzureADHybridJoined 资源类型
说明
Intune Windows Autopilot Deployment配置文件Microsoft Entra混合联接
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| HybridAzureADJoinSkipConnectivityCheck | 写入 | 布尔值 | 即使 Autopilot 混合Microsoft Entra加入流在 OOBE 期间未建立域控制器连接,也会继续。 | - |
| 说明 | 写入 | String | 配置文件的说明 | - |
| DeviceNameTemplate | 写入 | String | 用于命名 AutoPilot 设备的模板。 这可以是自定义文本,也可以包含设备的序列号或随机生成的数字。 模板生成的文本的总长度不能超过 15 个字符。 | - |
| DeviceType | 写入 | String | 此配置文件适用的 AutoPilot 设备类型。 可能的值为:windowsPc、surfaceHub2。 |
windowsPc, surfaceHub2, holoLens, surfaceHub2S, virtualMachine, unknownFutureValue |
| DisplayName | 键 | String | 配置文件的名称 | - |
| EnableWhiteGlove | 写入 | 布尔值 | 为配置文件启用 Autopilot White Glove。 | - |
| EnrollmentStatusScreenSettings | 写入 | MSFT_MicrosoftGraphwindowsEnrollmentStatusScreenSettings | 注册状态屏幕设置 | - |
| ExtractHardwareHash | 写入 | 布尔值 | 配置文件的 HardwareHash 提取 | - |
| 语言 | 写入 | String | 在设备上配置的语言 | - |
| ManagementServiceAppId | 写入 | String | 在基于客户端设备的注册发现过程中使用的 AzureAD 管理应用 ID | - |
| OutOfBoxExperienceSettings | 写入 | MSFT_MicrosoftGraphoutOfBoxExperienceSettings | 现装体验设置 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindowsEnrollmentStatusScreenSettings
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AllowDeviceUseBeforeProfileAndAppInstallComplete | 写入 | 布尔值 | 在配置文件和应用安装完成之前,允许或阻止用户使用设备 | - |
| AllowDeviceUseOnInstallFailure | 写入 | 布尔值 | 允许用户在安装失败时继续使用设备 | - |
| AllowLogCollectionOnInstallFailure | 写入 | 布尔值 | 在安装失败时允许或阻止日志收集 | - |
| BlockDeviceSetupRetryByUser | 写入 | 布尔值 | 允许用户在安装失败时重试安装程序 | - |
| CustomErrorMessage | 写入 | String | 将自定义错误消息设置为在安装失败时显示 | - |
| HideInstallationProgress | 写入 | 布尔值 | 向用户显示或隐藏安装进度 | - |
| InstallProgressTimeoutInMinutes | 写入 | UInt32 | 设置安装进度超时(以分钟为单位) | - |
MSFT_MicrosoftGraphOutOfBoxExperienceSettings
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DeviceUsageType | 写入 | String | AAD 联接身份验证类型。 可能的值为:singleUser、shared。 |
singleUser, shared |
| HideEscapeLink | 写入 | 布尔值 | 如果设置为 true,则用户无法在公司登录时使用不同的帐户重新开始 | - |
| HideEULA | 写入 | 布尔值 | 向用户显示或隐藏 EULA | - |
| HidePrivacySettings | 写入 | 布尔值 | 向用户显示或隐藏隐私设置 | - |
| SkipKeyboardSelectionPage | 写入 | 布尔值 | 如果已设置,则跳过键盘选择页(如果设置了语言和区域) | - |
| UserType | 写入 | String | 用户类型。 可能的值为:administrator、standard。 |
administrator, standard |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementServiceConfig.Read.All |
| 更新 | Group.Read.All、DeviceManagementServiceConfig.ReadWrite.All |
windowsAutopilotDeploymentProfileAzureADJoined 资源类型
说明
Intune Windows Autopilot Deployment配置文件Microsoft Entra联接
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 说明 | 写入 | String | 配置文件的说明 | - |
| DeviceNameTemplate | 写入 | String | 用于命名 AutoPilot 设备的模板。 这可以是自定义文本,也可以包含设备的序列号或随机生成的数字。 模板生成的文本的总长度不能超过 15 个字符。 | - |
| DeviceType | 写入 | String | 此配置文件适用的 AutoPilot 设备类型。 可能的值为:windowsPc、surfaceHub2。 |
windowsPc, surfaceHub2, holoLens, surfaceHub2S, virtualMachine, unknownFutureValue |
| DisplayName | 键 | String | 配置文件的名称 | - |
| EnableWhiteGlove | 写入 | 布尔值 | 为配置文件启用 Autopilot White Glove。 | - |
| EnrollmentStatusScreenSettings | 写入 | MSFT_MicrosoftGraphwindowsEnrollmentStatusScreenSettings1 | 注册状态屏幕设置 | - |
| ExtractHardwareHash | 写入 | 布尔值 | 配置文件的 HardwareHash 提取 | - |
| 语言 | 写入 | String | 在设备上配置的语言 | - |
| ManagementServiceAppId | 写入 | String | 在基于客户端设备的注册发现过程中使用的 AzureAD 管理应用 ID | - |
| OutOfBoxExperienceSettings | 写入 | MSFT_MicrosoftGraphoutOfBoxExperienceSettings1 | 现装体验设置 | - |
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindowsEnrollmentStatusScreenSettings1
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| AllowDeviceUseBeforeProfileAndAppInstallComplete | 写入 | 布尔值 | 在配置文件和应用安装完成之前,允许或阻止用户使用设备 | - |
| AllowDeviceUseOnInstallFailure | 写入 | 布尔值 | 允许用户在安装失败时继续使用设备 | - |
| AllowLogCollectionOnInstallFailure | 写入 | 布尔值 | 在安装失败时允许或阻止日志收集 | - |
| BlockDeviceSetupRetryByUser | 写入 | 布尔值 | 允许用户在安装失败时重试安装程序 | - |
| CustomErrorMessage | 写入 | String | 将自定义错误消息设置为在安装失败时显示 | - |
| HideInstallationProgress | 写入 | 布尔值 | 向用户显示或隐藏安装进度 | - |
| InstallProgressTimeoutInMinutes | 写入 | UInt32 | 设置安装进度超时(以分钟为单位) | - |
MSFT_MicrosoftGraphOutOfBoxExperienceSettings1
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DeviceUsageType | 写入 | String | AAD 联接身份验证类型。 可能的值为:singleUser、shared。 |
singleUser, shared |
| HideEscapeLink | 写入 | 布尔值 | 如果设置为 true,则用户无法在公司登录时使用不同的帐户重新开始 | - |
| HideEULA | 写入 | 布尔值 | 向用户显示或隐藏 EULA | - |
| HidePrivacySettings | 写入 | 布尔值 | 向用户显示或隐藏隐私设置 | - |
| SkipKeyboardSelectionPage | 写入 | 布尔值 | 如果已设置,则跳过键盘选择页(如果设置了语言和区域) | - |
| UserType | 写入 | String | 用户类型。 可能的值为:administrator、standard。 |
administrator, standard |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementServiceConfig.Read.All |
| 更新 | Group.Read.All、DeviceManagementServiceConfig.ReadWrite.All |
windowsInformationProtectionPolicyWindows10MdmEnrolled 资源类型
说明
已注册 Windows10 Mdm 的 Intune Windows 信息保护 策略
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| DisplayName | 键 | String | 策略显示名称。 | - |
| AzureRightsManagementServicesAllowed | 写入 | 布尔值 | 指定是否允许 Azure RMS 加密用于 WIP。 | - |
| DataRecoveryCertificate | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionDataRecoveryCertificate | 指定可用于加密文件数据恢复的恢复证书。 这与用于加密文件系统 (EFS) 的数据恢复代理 (DRA) 证书相同。 | - |
| EnforcementLevel | 写入 | String | WIP 强制级别。有关支持的值,请参阅枚举定义。 可能的值为:noProtection、encryptAndAuditOnly、encryptAuditAndPrompt、encryptAuditAndBlock。 |
noProtection, encryptAndAuditOnly, encryptAuditAndPrompt, encryptAuditAndBlock |
| EnterpriseDomain | 写入 | String | 主企业域 | - |
| EnterpriseInternalProxyServers | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionResourceCollection[] | 这是逗号分隔的内部代理服务器列表。 例如,“157.54.14.28、157.54.11.118、10.202.14.167、157.53.14.163、157.69.210.59”。 这些代理已由管理员配置为连接到 Internet 上的特定资源。 它们被视为是企业版网络位置。 代理仅在配置 EnterpriseProxiedDomains 策略时利用以强制流量通过这些代理传输到匹配的域 | - |
| EnterpriseIPRanges | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionIPRangeCollection[] | 设置定义企业网络中计算机的企业 IP 范围。 来自这些计算机的数据将被视为企业的一部分并受保护。 这些位置将被视为共享企业数据的安全目标 | - |
| EnterpriseIPRangesAreAuthoritative | 写入 | 布尔值 | 用于通知客户端接受已配置的列表,并且不使用试探法来尝试查找其他子网的布尔值。 默认值为 false | - |
| EnterpriseNetworkDomainNames | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionResourceCollection[] | 这是构成企业边界的域列表。 发送到某设备的来自这些域之一的数据将被视为企业数据并受到保护。这些位置将被视为共享企业数据的安全目标。 | - |
| EnterpriseProtectedDomainNames | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionResourceCollection[] | 要保护的企业域列表 | - |
| EnterpriseProxiedDomains | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionProxiedDomainCollection[] | 包含需要保护的托管在云中的企业资源域列表。 与这些资源的连接被视为企业数据。 如果代理与云资源配对,则到云资源的流量将通过表示的代理服务器(在端口 80 上)通过企业网络进行路由。 用于此目的的代理服务器也必须使用 EnterpriseInternalProxyServers 策略进行配置。 | - |
| EnterpriseProxyServers | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionResourceCollection[] | 这是代理服务器的列表。 任何不在此列表中的服务器都被视为非企业服务器 | - |
| EnterpriseProxyServersAreAuthoritative | 写入 | 布尔值 | 用于通知客户端接受已配置的代理列表,并且不尝试检测其他工作代理的布尔值。 默认值为 false | - |
| ExemptApps | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionApp[] | 豁免应用程序还可以访问企业数据,但由这些应用程序处理的数据不受保护。 这是因为一些关键的企业应用程序可能与加密数据存在兼容性问题。 | - |
| 图标可见 | 写入 | 布尔值 | 确定是否在“开始”菜单的资源管理器和仅企业应用磁贴中向受 WIP 保护的文件的图标添加覆盖图。 从 Windows 10 版本 1703 开始,此设置还配置 WIP 图标在受 WIP 保护的应用的标题栏中的可见性 | - |
| IndexingEncryptedStoresOrItemsBlocked | 写入 | 布尔值 | 此开关用于 Windows Search 索引器,以允许或禁止建立项目索引 | - |
| NeutralDomainResources | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionResourceCollection[] | 可用于工作或个人资源的域名列表 | - |
| ProtectedApps | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionApp[] | 受保护的应用程序可以访问企业数据,并且由这些应用程序处理的数据受加密保护 | - |
| ProtectionUnderLockConfigRequired | 写入 | 布尔值 | 指定是否应配置锁定功能下的保护(也称为 pin 下的加密) | - |
| RevokeOnUnenrollDisabled | 写入 | 布尔值 | 此策略控制设备从管理服务中取消注册时是否撤销 WIP 密钥。 如果设置为 1(不撤销密钥),则不会撤销密钥,并且用户在取消注册后可继续访问受保护的文件。 如果未撤销密钥,随后将不会撤销文件清除。 | - |
| RightsManagementServicesTemplateId | 写入 | String | 用于 RMS 加密的 TemplateID GUID。 RMS 模板允许 IT 管理员配置有关谁有权访问受 RMS 保护的文件以及他们可以访问多长时间的详细信息。 | - |
| SmbAutoEncryptedFileExtensions | 写入 | MSFT_MicrosoftGraphwindowsInformationProtectionResourceCollection[] | 指定文件扩展名列表,以便从公司边界内的 SMB 共享复制时加密具有这些扩展名的文件 | - |
| 说明 | 写入 | String | 策略的说明。 | - |
| 作业 | 写入 | WindowsInformationProtectionPolicyWindows10MdmEnrolledPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
WindowsInformationProtectionPolicyWindows10MdmEnrolledPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindowsInformationProtectionDataRecoveryCertificate
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| 证书 | 写入 | String | 数据恢复证书 | - |
| 说明 | 写入 | String | 数据恢复证书说明 | - |
| ExpirationDateTime | 写入 | String | 数据恢复证书过期日期/时间 | - |
| SubjectName | 写入 | String | 数据恢复证书主题名称 | - |
MSFT_MicrosoftGraphWindowsInformationProtectionResourceCollection
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 写入 | String | 显示名称 | - |
| 资源 | 写入 | StringArray[] | 资源集合 | - |
MSFT_MicrosoftGraphWindowsInformationProtectionIPRangeCollection
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 写入 | String | 显示名称 | - |
| Ranges | 写入 | MSFT_MicrosoftGraphIpRange[] | IP 范围集合 | - |
MSFT_MicrosoftGraphIpRange
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| CidrAddress | 写入 | String | 以 CIDR 表示法表示的 IPv4 地址。 不可为 null。 | - |
| LowerAddress | 写入 | String | 较低的地址。 | - |
| UpperAddress | 写入 | String | 上一个地址。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.iPv4CidrRange, #microsoft.graph.iPv6CidrRange, #microsoft.graph.iPv4Range, #microsoft.graph.iPv6Range |
MSFT_MicrosoftGraphWindowsInformationProtectionProxiedDomainCollection
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DisplayName | 写入 | String | 显示名称 | - |
| ProxiedDomains | 写入 | MSFT_MicrosoftGraphProxiedDomain[] | 代理域集合 | - |
MSFT_MicrosoftGraphProxiedDomain
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| IpAddressOrFQDN | 写入 | String | IP 地址或 FQDN | - |
| 代理 | 写入 | String | 代理 IP 或 FQDN | - |
MSFT_MicrosoftGraphWindowsInformationProtectionApp
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Denied | 写入 | 布尔值 | 如果为 true,则应用的保护或免除受到拒绝。 | - |
| 说明 | 写入 | String | 应用的说明。 | - |
| DisplayName | 写入 | String | 应用显示名称。 | - |
| ProductName | 写入 | String | 产品名称。 | - |
| PublisherName | 写入 | String | 发布者名称 | - |
| BinaryName | 写入 | String | 二进制名称。 | - |
| BinaryVersionHigh | 写入 | String | 较高的二进制版本。 | - |
| BinaryVersionLow | 写入 | String | 较低的二进制版本。 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windowsInformationProtectionDesktopApp, #microsoft.graph.windowsInformationProtectionStoreApp |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementApps.Read.All |
| 更新 | Group.Read.All、DeviceManagementApps.ReadWrite.All |
windowsUpdateForBusinessFeatureUpdateProfileWindows10 资源类型
说明
适用于 Windows10 的 Intune Windows 更新 商业版功能更新配置文件
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| DisplayName | 键 | String | 配置文件的显示名称。 | - |
| 说明 | 写入 | String | 用户指定的配置文件的说明。 | - |
| FeatureUpdateVersion | 写入 | String | 将部署到此配置文件面向的设备的功能更新版本。 版本可以是任何受支持的版本,例如 1709、1803 或 1809 等。 | - |
| InstallFeatureUpdatesOptional | 写入 | 布尔值 | 如果为 true,则Windows 11更新将变为可选 | - |
| InstallLatestWindows10OnWindows11IneligibleDevice | 写入 | 布尔值 | 如果为 true,则将在不符合Microsoft Windows 11条件的设备上安装最新的Microsoft Windows 10更新。 创建策略后无法更改。 | - |
| RolloutSettings | 写入 | MSFT_MicrosoftGraphwindowsUpdateRolloutSettings | Windows 更新推出设置,包括产品/服务开始日期时间、产品/服务结束日期时间和每组产品/服务之间的天数。 对于“尽快”安装,请将此设置设置为$null或不对其进行配置。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindowsUpdateRolloutSettings
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| OfferEndDateTimeInUTC | 写入 | String | 要为功能更新配置文件设置、更新和显示的功能更新结束日期和时间,例如:2020-06-09T10:00:00Z。 | - |
| OfferIntervalInDays | 写入 | UInt32 | 要为功能更新配置文件设置、更新和显示的每组产品/服务之间的日 () 数,例如:如果 OfferStartDateTimeInUTC 为 2020-06-09T10:00:00Z,则 OfferIntervalInDays 为 1, 接下来的两组套餐将在 2020-06-10T10:00:00Z (同时指定时间) 和 2020-06-11T10:00:00Z (下一天的指定时间) 1 天之间每组产品/服务。 | - |
| OfferStartDateTimeInUTC | 写入 | String | 要为功能更新配置文件设置、更新和显示的功能更新的开始日期和时间,例如:2020-06-09T10:00:00Z。 | - |
RolloutSettings
此资源的 RolloutSettings 具有以下约束和说明:
- 创建策略时:
- 如果只指定了开始日期,则开始日期必须至少为今天。
- 如果所需状态日期早于当前日期,则会将其调整为当前日期。
- 如果指定了开始日期和结束日期,则开始日期必须是当前日期 + 2 天,并且
结束日期必须至少晚于开始日期一天。- 如果开始日期早于当前日期 + 2 天,则将调整为此日期。
- 如果只指定了开始日期,则开始日期必须至少为今天。
- 更新策略时:
- 如果只指定了开始日期,则开始日期必须是当前日期之一
配置或当前日期 (或更高版本) 。- 如果所需状态日期早于当前日期,则会将其调整为当前日期。
- 如果指定了开始日期和结束日期,则开始日期必须是当前日期 + 2 天,并且
结束日期必须至少晚于开始日期一天。- 如果开始日期早于当前日期 + 2 天,则将调整为此日期。
- 如果只指定了开始日期,则开始日期必须是当前日期之一
- 测试策略时:
- 如果缺少策略,并且开始日期和结束日期早于当前日期,则返回 true。
- 如果开始日期不同,但早于当前开始日期或时间,则返回 true。
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |
windowsUpdateForBusinessRingUpdateProfileWindows10 资源类型
说明
适用于 Windows 10 的 Intune Windows 更新 商业圈更新配置文件
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| Id | 写入 | String | 实体的唯一标识符。 只读。 | - |
| DisplayName | 键 | String | 管理员提供的设备配置的名称。 | - |
| AllowWindows11Upgrade | 写入 | 布尔值 | 如果为 TRUE,则允许符合条件的Windows 10设备升级到Windows 11。 如果为 FALSE,则表示设备保留在现有操作系统上。 默认情况下返回。 不支持查询参数。 | - |
| AutomaticUpdateMode | 写入 | String | 自动更新模式。 可能的值包括:UserDefined、NotifyDownload、AutoInstallAtMaintenanceTime、AutoInstallAndRebootAtMaintenanceTime、AutoInstallAndRebootAtScheduledTime、AutoInstallAndRebootWithoutEndUserControl、WindowsDefault。 UserDefined 是默认值,无意向。 默认情况下返回。 不支持查询参数。 可能的值为:userDefined、notifyDownload、autoInstallAtMaintenanceTime、autoInstallAndRebootAtMaintenanceTime、autoInstallAndRebootAtScheduledTime、autoInstallAndRebootWithoutEndUserControl、windowsDefault。 |
userDefined, notifyDownload, autoInstallAtMaintenanceTime, autoInstallAndRebootAtMaintenanceTime, autoInstallAndRebootAtScheduledTime, autoInstallAndRebootWithoutEndUserControl, windowsDefault |
| AutoRestartNotificationDismissal | 写入 | String | 指定用于消除自动重启所需通知的方法。 可能的值为:NotConfigured、Automatic、User。 默认情况下返回。 不支持查询参数。 可能的值为:notConfigured、automatic、user、unknownFutureValue。 |
notConfigured, automatic, user, unknownFutureValue |
| BusinessReadyUpdatesOnly | 写入 | String | 确定将从哪个分支设备接收其更新。 可能的值包括:UserDefined、All、BusinessReadyOnly、WindowsInsiderBuildFast、WindowsInsiderBuildSlow、WindowsInsiderBuildRelease。 默认情况下返回。 不支持查询参数。 可能的值为:userDefined、all、businessReadyOnly、windowsInsiderBuildFast、windowsInsiderBuildSlow、windowsInsiderBuildRelease。 |
userDefined, all, businessReadyOnly, windowsInsiderBuildFast, windowsInsiderBuildSlow, windowsInsiderBuildRelease |
| DeadlineForFeatureUpdatesInDays | 写入 | UInt32 | 自动安装功能更新之前的天数,有效范围为 0 到 30 天。 默认情况下返回。 不支持查询参数。 | - |
| DeadlineForQualityUpdatesInDays | 写入 | UInt32 | 质量更新自动安装之前的天数,有效范围为 0 到 30 天。 默认情况下返回。 不支持查询参数。 | - |
| DeadlineGracePeriodInDays | 写入 | UInt32 | 截止时间之后的天数,直到自动重启,有效范围为 0 到 7 天。 默认情况下返回。 不支持查询参数。 | - |
| DeliveryOptimizationMode | 写入 | String | 传递优化模式。 可能的值为:UserDefined、HttpOnly、HttpWithPeeringNat、HttpWithPeeringPrivateGroup、HttpWithInternetPeering、SimpleDownload、BypassMode。 用户定义允许用户设置。 默认情况下返回。 不支持查询参数。 可能的值为:userDefined、httpOnly、httpWithPeeringNat、httpWithPeeringPrivateGroup、httpWithInternetPeering、simpleDownload、bypassMode。 |
userDefined, httpOnly, httpWithPeeringNat, httpWithPeeringPrivateGroup, httpWithInternetPeering, simpleDownload, bypassMode |
| DriversExcluded | 写入 | 布尔值 | 如果为 TRUE,则排除 Windows 更新驱动程序。 如果为 FALSE,则不排除 Windows 更新驱动程序。 默认情况下返回。 不支持查询参数。 | - |
| EngagedRestartDeadlineInDays | 写入 | UInt32 | 在活动时段外自动安排和执行挂起的重启前的截止时间,有效范围为 2 到 30 天。 默认情况下返回。 不支持查询参数。 | - |
| EngagedRestartSnoozeScheduleInDays | 写入 | UInt32 | 用户可以推迟参与重启提醒通知的天数,有效范围为 1 到 3 天。 默认情况下返回。 不支持查询参数。 | - |
| EngagedRestartTransitionScheduleInDays | 写入 | UInt32 | 从活动时段外计划的“自动重启”转换为“参与重启”之前的天数,这要求用户进行计划,有效范围为 0 到 30 天。 默认情况下返回。 不支持查询参数。 | - |
| FeatureUpdatesDeferralPeriodInDays | 写入 | UInt32 | 将功能汇报推迟这么多天,有效范围为 0 到 30 天。 默认情况下返回。 不支持查询参数。 | - |
| FeatureUpdatesPaused | 写入 | 布尔值 | 如果为 TRUE,则从暂停响铃开始,已分配的设备将暂停接收功能更新长达 35 天。 如果为 FALSE,则不会暂停功能汇报。 默认情况下返回。 不支持查询参数。s | - |
| FeatureUpdatesPauseExpiryDateTime | 写入 | String | 功能汇报暂停到期日期时间。 此值是从管理员暂停或延长圈的暂停时间起的 35 天。 默认情况下返回。 不支持查询参数。 | - |
| FeatureUpdatesPauseStartDate | 写入 | String | 功能汇报暂停开始日期。 此值是管理员暂停或延长环暂停的时间。 默认情况下返回。 不支持查询参数。 此属性是只读的。 | - |
| FeatureUpdatesRollbackStartDateTime | 写入 | String | 功能汇报回滚开始日期时间。此值是管理员回滚环的功能更新的时间。默认返回。不支持查询参数。 | - |
| FeatureUpdatesRollbackWindowInDays | 写入 | UInt32 | 回退在功能更新后的天数,有效范围为 2 到 60 天。 默认情况下返回。 不支持查询参数。 | - |
| InstallationSchedule | 写入 | MSFT_MicrosoftGraphwindowsUpdateInstallScheduleType | 安装计划。 可能的值为:ActiveHoursStart、ActiveHoursEnd、ScheduledInstallDay、ScheduledInstallTime。 默认情况下返回。 不支持查询参数。 | - |
| MicrosoftUpdateServiceAllowed | 写入 | 布尔值 | 如果为 TRUE,则允许Microsoft更新服务。 如果为 FALSE,则不允许Microsoft更新服务。 默认情况下返回。 不支持查询参数。 | - |
| PostponeRebootUntilAfterDeadline | 写入 | 布尔值 | 当为 TRUE 时,设备应等到活动时段外重新启动的最后期限。 如果为 FALSE,则设备不应在活动时间之外等待重启截止时间。 默认情况下返回。 不支持查询参数。 | - |
| PrereleaseFeatures | 写入 | String | 预发布功能。 可能的值包括:UserDefined、SettingsOnly、SettingsAndExperimentations、NotAllowed。 UserDefined 是默认值,无意向。 默认情况下返回。 不支持查询参数。 可能的值为:userDefined、settingsOnly、settingsAndExperimentations、notAllowed。 |
userDefined, settingsOnly, settingsAndExperimentations, notAllowed |
| QualityUpdatesDeferralPeriodInDays | 写入 | UInt32 | 将质量汇报推迟这么多天,有效范围为 0 到 30 天。 默认情况下返回。 不支持查询参数。 | - |
| QualityUpdatesPaused | 写入 | 布尔值 | 如果为 TRUE,则分配的设备将从暂停环开始最多 35 天内暂停接收质量更新。 如果为 FALSE,则不会暂停质量汇报。 默认情况下返回。 不支持查询参数。 | - |
| QualityUpdatesPauseExpiryDateTime | 写入 | String | 质量汇报暂停到期日期时间。 此值是从管理员暂停或延长圈的暂停时间起的 35 天。 默认情况下返回。 不支持查询参数。 | - |
| QualityUpdatesPauseStartDate | 写入 | String | 质量汇报暂停开始日期。 此值是管理员暂停或延长环暂停的时间。 默认情况下返回。 不支持查询参数。 此属性是只读的。 | - |
| QualityUpdatesRollbackStartDateTime | 写入 | String | 质量汇报回滚开始日期时间。 此值是管理员回滚环的质量更新的时间。 默认情况下返回。 不支持查询参数。 | - |
| ScheduleImminentRestartWarningInMinutes | 写入 | UInt32 | 指定自动重启迫在眉睫的警告通知的时间段。 支持的值:15、30 或 60 (分钟) 。 默认情况下返回。 不支持查询参数。 | - |
| ScheduleRestartWarningInHours | 写入 | UInt32 | 指定自动重启警告提醒通知的时间段。 支持的值:2、4、8、12 或 24 (小时) 。 默认情况下返回。 不支持查询参数。 | - |
| SkipChecksBeforeRestart | 写入 | 布尔值 | 如果为 TRUE,则跳过重启前的所有检查:电池电量 = 40%,用户状态、需要显示、演示模式、全屏模式、电话呼叫状态、游戏模式等。如果为 FALSE,则不会在重启前跳过所有检查。 默认情况下返回。 不支持查询参数。 | - |
| UpdateNotificationLevel | 写入 | String | 指定用户看到Windows 更新通知的内容。 可能的值为:NotConfigured、DefaultNotifications、RestartWarningsOnly、DisableAllNotifications。 默认情况下返回。 不支持查询参数。 可能的值为:notConfigured、defaultNotifications、restartWarningsOnly、disableAllNotifications、unknownFutureValue。 |
notConfigured, defaultNotifications, restartWarningsOnly, disableAllNotifications, unknownFutureValue |
| UpdateWeeks | 写入 | String | 计划每月几周的更新安装。 可能的值为:UserDefined、FirstWeek、SecondWeek、ThirdWeek、FourthWeek、EveryWeek。 默认情况下返回。 不支持查询参数。 可能的值为:userDefined、firstWeek、secondWeek、thirdWeek、fourthWeek、everyWeek、unknownFutureValue。 |
userDefined, firstWeek, secondWeek, thirdWeek, fourthWeek, everyWeek, unknownFutureValue |
| UserPauseAccess | 写入 | String | 指定是否允许最终用户访问暂停软件更新。 可能的值为:NotConfigured、Enabled、Disabled。 默认情况下返回。 不支持查询参数。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| UserWindowsUpdateScanAccess | 写入 | String | 指定是否禁用用户对扫描Windows 更新的访问权限。 可能的值为:NotConfigured、Enabled、Disabled。 默认情况下返回。 不支持查询参数。 可能的值为:notConfigured、enabled、disabled。 |
notConfigured, enabled, disabled |
| 说明 | 写入 | String | 管理员提供的设备配置的说明。 | - |
| 作业 | 写入 | MSFT_DeviceManagementConfigurationPolicyAssignments[] | 表示对Intune策略的分配。 | - |
| 确保 | 写入 | String | Present 可确保策略存在,如果不存在,则确保策略已删除。 |
Present, Absent |
MSFT_DeviceManagementConfigurationPolicyAssignments
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| DataType | 写入 | String | 目标分配的类型。 |
#microsoft.graph.groupAssignmentTarget, #microsoft.graph.allLicensedUsersAssignmentTarget, #microsoft.graph.allDevicesAssignmentTarget, #microsoft.graph.exclusionGroupAssignmentTarget, #microsoft.graph.configurationManagerCollectionAssignmentTarget |
| deviceAndAppManagementAssignmentFilterType | 写入 | String | 目标分配的筛选器类型,即“排除”或“包括”。 可能的值为:none、include、exclude。 |
none, include, exclude |
| deviceAndAppManagementAssignmentFilterId | 写入 | String | 目标分配的筛选器的 ID。 | - |
| groupId | 写入 | String | 赋值目标的组 ID。 | - |
| groupDisplayName | 写入 | String | 分配目标的组“显示名称”。 | - |
| collectionId | 写入 | String | 集合 ID,它是 assignment. (ConfigMgr) | - |
MSFT_MicrosoftGraphWindowsUpdateInstallScheduleType
参数
| 参数 | 属性 | DataType | 说明 | 允许的值 |
|---|---|---|---|---|
| ActiveHoursEnd | 写入 | String | 结束活动时间 | - |
| ActiveHoursStart | 写入 | String | 开始活动时间 | - |
| ScheduledInstallDay | 写入 | String | 计划安装日(以周为单位)。 可能的值包括:userDefined、everyday、sunday、monday、tuesday、wednesday、thursday、friday、saturday、noScheduledScan。 |
userDefined, everyday, sunday, monday, tuesday, wednesday, thursday, friday, saturday, noScheduledScan |
| ScheduledInstallTime | 写入 | String | 一天中的计划安装时间 | - |
| odataType | 写入 | String | 实体的类型。 |
#microsoft.graph.windowsUpdateActiveHoursInstall, #microsoft.graph.windowsUpdateScheduledInstall |
权限
Microsoft Graph
若要向Microsoft图形 API进行身份验证,此资源需要以下应用程序权限。 不支持委派方案。 有关Microsoft Graph 权限的详细信息,请参阅 Microsoft Graph 权限参考。
应用程序权限
| 操作 | 支持的权限 |
|---|---|
| 阅读 | Group.Read.All、DeviceManagementConfiguration.Read.All |
| 更新 | Group.Read.All、DeviceManagementConfiguration.ReadWrite.All |