Intune教育版中的 Windows 设备设置
适用于:
- Windows 10
- Windows 11
- Windows 11 SE
本文列出并介绍了 Intune 教育版中的所有 Windows 设备设置。 若要在门户中查看和编辑这些设置,请单击“ 组>设置”“>Windows 设备设置”。
应用设置
应用 组设置 ,在学校的设备上建立访问和安全边界。 你可以在学校的所有组中分配相同的设置;或者,可以自定义课堂体验并将设置应用于各个组。
配置选项
Intune教育版中的许多设置都配置为“阻止”或“允许”。 对于某些设置, “未配置” 是一个选项。 当切换到“ 未配置”时,设备将:
- 使用默认设置。
- 允许设备用户 (学生或教师) 从其设备自定义设置。
注意
用户、应用和设备设置不同于 租户设置。 租户设置针对组织的订阅和管理设置。
帐户和登录
配置用户登录到学校设备的方式。
| Setting | 功能 |
|---|---|
| 阻止使用个人 Microsoft 帐户添加和登录 | 阻止用户使用其 Microsoft 帐户登录。 |
| 阻止使用非 Microsoft 帐户添加和登录 | 阻止用户添加除 Microsoft 帐户以外的任何帐户。 如果要强制用户仅将 Microsoft 帐户用于电子邮件,请使用此设置。 |
| 配置首选Microsoft Entra租户域 | 使用户无需键入域名即可登录到 Windows。 如果配置此设置,租户域名将预先填充,但仍可编辑。 |
应用
配置设置,例如用户在其设备上安装和访问应用的方式。
| Setting | 功能 |
|---|---|
| 删除内置Windows 10应用 | 卸载某些内置 Windows 应用。 了解 下面这些应用的内容。 |
| 阻止访问管理应用 | 阻止学生打开需要管理权限的应用。 |
| 阻止从适用于教育的 Microsoft Store安装应用 | 阻止用户从未经授权的位置安装应用。 |
| 要求从专用应用商店安装适用于教育的 Microsoft Store应用 | 仅允许用户从组织设置适用于教育的 Microsoft Store安装应用。 |
| 受信任的应用 | 允许或阻止用户安装已从 Microsoft 签名证书的受信任应用。 |
| 不受信任的应用 | 允许或阻止用户使用未签名的证书或由不受 Microsoft 信任的源签名的应用。 |
| 阻止从适用于教育的 Microsoft Store以外的位置安装应用 | 阻止用户从其他源和应用商店安装应用。 |
| 阻止适用于教育的 Microsoft Store应用的自动更新 | 阻止自动更新适用于教育的 Microsoft Store应用。 |
| 允许共享设备上的学生共享应用数据 | 允许学生在同一设备上使用相同的应用来共享数据。 |
注册控制
配置与教育版设备注册Intune相关的设置。
| Setting | 功能 |
|---|---|
| 阻止手动取消注册 | 阻止用户从管理中手动取消注册设备。 |
| 启用 Autopilot 重置 | 允许具有管理权限的用户按设备锁屏界面上的 CTRL+ Win + R 以触发 Autopilot 重置。 Autopilot Reset 会删除所有用户数据(包括用户安装的应用和个人设置)并保持设备注册Intune。 因此,设备会与所有最新的应用、策略和设置保持同步。 |
| 阻止添加预配包 | 阻止用户添加具有设备设置的新预配包。 |
| 阻止删除预配包 | 阻止用户删除具有设备设置的预配包。 |
Microsoft Edge
配置影响 Microsoft Edge 浏览器体验和用户数据的设置。
浏览器自定义
| Setting | 功能 |
|---|---|
| 配置主页 | 选择每次有人开始新的 Microsoft Edge 浏览器会话时打开的页面。 |
| 配置新选项卡页 | 选择每次有人在 Microsoft Edge 中打开新选项卡时打开的页面。 |
| 配置主页按钮行为 | 选择当用户单击 Microsoft Edge 中的主页按钮时显示的页面。 还可以隐藏主页按钮。 |
| 默认搜索引擎 | 选择“必应”、“雅虎”或“Google”作为 Microsoft Edge 的默认搜索引擎。 |
| 配置阻止的 URL 列表 | 定义用户无法加载的网站列表。 |
浏览器限制
| Setting | 功能 |
|---|---|
| 阻止编辑收藏夹 | 阻止用户添加、导入、排序或编辑收藏夹列表。 |
| 阻止地址栏建议 | 在键入 URL 或搜索词时,阻止 Microsoft Edge 建议可能的搜索词或以前访问过的网站。 |
| 阻止浏览器扩展 | 阻止用户使用扩展通过 Microsoft 和其他源的新增功能自定义 Microsoft Edge。 |
| 阻止不受信任的浏览器扩展 | 阻止用户将扩展旁加载到其 Microsoft Edge 浏览器。 这些扩展是从不受信任的来源(而不是 Microsoft Store)安装的,可能是恶意软件。 |
| 阻止搜索建议 | 在键入 URL 或搜索词时阻止 Microsoft Edge 建议可能的网站。 |
| 阻止 InPrivate 浏览 | 阻止用户使用 InPrivate 浏览,这会阻止 Microsoft Edge 保存浏览历史记录和 Cookie 等数据。 |
| 阻止开发人员工具 | 阻止用户访问开发人员工具。 Microsoft Edge 开发人员工具使用户能够生成和调试网页 |
| 从 Microsoft Edge 阻止打印 | 阻止用户打印浏览器内容。 |
| “阻止首次运行”页 | 阻止用户看到“首次运行”页。 当用户首次打开 Microsoft Edge 时和浏览器更新后,将显示 Microsoft Edge 首次运行页。 |
| 阻止弹出窗口 | 阻止网站打开新窗口。 |
| 阻止重写安全警告 | 阻止用户在显示 SSL/TLS 证书错误的网站上单击“转到网页”。 |
| 阻止密码管理器 | 阻止用户使用密码管理器保存密码。 |
| 阻止自动填充表单条目 | 阻止联机保存表单字段中输入的数据。 |
| 阻止访问 about:flags 页面 | 阻止访问包含实验设置和功能的 about:flags 页面。 |
| 要求在 Internet Explorer 中查看 Intranet 站点 | 设置为 “阻止”时,内部流量将发送到 Microsoft Edge 而不是 Internet Explorer。 |
| 阻止预启动 | Microsoft Edge 预启动会在 Windows 启动时将 Microsoft Edge 作为后台进程打开。 此操作有助于提高 Microsoft Edge 的性能,并最大程度地减少启动 Microsoft Edge 所需的时间。 但是,将 Microsoft Edge 作为后台进程运行可能会使设备在安全评估中显示为 不符合要求 。 |
用户数据
| Setting | 功能 |
|---|---|
| 将 Microsoft Edge 收藏夹与 Internet Explorer 同步 | 将所有收藏夹从 Microsoft Edge 同步到 Internet Explorer。 |
| 退出时清除浏览数据 | 关闭 Microsoft Edge 后,自动清除历史记录、Cookie 和缓存文件。 |
| 使用 Cookie | Cookie 可以存储网站设置或跟踪用户的浏览行为。 |
网络和连接
为以下项配置网络和连接设置:
- 蓝牙
- Internet 连接限制
- 代理
- Wi-Fi 配置文件
蓝牙
| Setting | 功能 |
|---|---|
| 阻止蓝牙 | 阻止设备使用蓝牙。 |
| 阻止蓝牙可发现性 | 阻止使用蓝牙将设备设置为可发现设备。 |
| 阻止通过蓝牙接收播发 | 阻止设备通过蓝牙接收营销消息和广告。 |
| 阻止蓝牙快速配对通知 | 阻止用户收到有关蓝牙设备配对的通知。 Swift Pair 让用户知道蓝牙设备何时就在附近,并且能够连接到Windows 10。 |
Internet 连接限制
| Setting | 功能 |
|---|---|
| 阻止 Internet 连接共享 | 阻止用户使用 Internet 连接共享与其他设备共享设备的 Internet 连接。 |
| 阻止使用 Wi-Fi Sense 自动连接到打开的热点 | 选择是否要阻止设备自动连接到 Wi-Fi 热点。 |
| 在漫游时阻止手机网络数据 | 在设备漫游时阻止使用手机网络数据。 |
代理
| Setting | 功能 |
|---|---|
| 阻止自动检测代理设置 | 如果已设置代理来处理设备网络流量,则可以选择设备在连接时是否自动检测代理设置。 |
| 使用代理脚本 | 允许对设备使用代理脚本。 如果 允许 此设置,则需要提供 安装脚本地址。 |
| 使用手动代理服务器配置 | 如果已设置手动代理,则可以在此处为其定义设置。 如果 允许 此设置,则需要提供 代理服务器地址、 端口、 代理例外,以及是否 将代理服务器用于本地 (Intranet) 连接。 |
Wi-Fi 配置文件
| Setting | 功能 |
|---|---|
| 选择“Windows Wi-Fi 配置文件”,将其分配给此组。 | 已创建的 Wi-Fi 配置文件列表将在此部分中显示,并已准备好分配。 可见的详细信息包括配置文件名称、网络名称 (SSID) 、安全类型和说明。 |
注意
使用 Intune 中的完整 Wi-Fi 配置文件管理体验配置 WPA-2 企业版 Wi-Fi 网络。 还可以使用 Intune 设置 SCEP 和 PKI 集成。
OneDrive 和存储
配置 Microsoft OneDrive 和存储设置。
| Setting | 功能 |
|---|---|
| 以无提示方式将 Windows 已知文件夹移动到 OneDrive | 将 Windows 已知文件夹 (文档、桌面和图片) 移动和重定向到 Microsoft OneDrive。 移动无需任何用户交互即可进行。 启用后,还可以选择通知用户文件已移动。 在运行 Windows 11 SE 的设备上自动启用此设置。 |
| 以无提示方式将用户登录到OneDrive 同步 | 使用 在将 OneDrive 同步 应用 (OneDrive.exe) 部署到 Windows 计算机时以无提示方式配置用户帐户。 允许用户在已加入的电脑上登录,Microsoft Entra ID无需输入其帐户凭据即可设置同步应用。 设备的主要用户已登录,因此此设置最适合单个用户使用的设备。 |
| 阻止用户将其已知文件夹重定向到其电脑 | 强制用户保留其已知文件夹定向到 OneDrive。 |
| 按需使用 OneDrive 文件 | 允许用户访问 OneDrive 或 SharePoint Online 中的所有文件,而无需下载所有文件并使用设备上的存储空间。 |
| 在文件联机之前,天文件保持未打开状态,仅 (0-365) | 打开存储感知,这是一种无提示助手,可与 OneDrive 配合使用,以自动释放空间。 当设备可用空间不足时,未在设置时间段内使用的任何文件都设置为仅联机。 连接到 Internet 后,用户可以像使用任何其他文件一样继续使用其仅联机文件。 |
| 阻止 OneDrive 文件同步 | 阻止设备将文件同步到 OneDrive。 |
电源和睡眠
配置影响设备何时关机或进入睡眠状态的设置。
| Setting | 功能 |
|---|---|
| 在之后关闭设备显示 | 选择设备显示器关闭前处于非活动状态的分钟数。 适用于插入和电池供电的设备。 |
| 将设备置于睡眠状态后 | 选择在设备切换到睡眠状态之前处于非活动状态的分钟数。 适用于插入和电池供电的设备。 |
| 在之后将设备置于休眠状态 | 选择在设备转换为休眠状态之前处于非活动状态的分钟数。 适用于插入和电池供电的设备。 |
| 阻止更改电源和睡眠设置 | 阻止用户更改电源和睡眠设置。 |
Printer
配置设置以允许从学校设备访问打印机。
| Setting | 功能 |
|---|---|
| 打印机列表 | 创建要提供给学生设备的打印机列表。 输入打印机主机名。 格式化主机名的一个示例是 printer1.contososd.edu。 |
| 指定默认打印机 | 使打印机可用作设备上的默认打印机选项。 输入打印机 列表中显示的打印机主机名。 |
| 阻止添加新打印机 | 阻止组将新打印机连接到其设备。 |
安全性
配置 Windows Defender 和 Windows SmartScreen 的安全设置。
Windows Defender
注意
某些Windows Defender设置仅在租户级别可用,不会显示在门户中。
| Setting | 功能 |
|---|---|
| 阻止用户访问Windows Defender设置 | 阻止用户修改设备上的Windows Defender设置。 |
| 启用实时监视 | 启用针对恶意软件、间谍软件和其他威胁的始终启用扫描。 |
| 启用行为监视 | 启用Windows Defender以检查某些已知模式的可疑活动。 |
| 提示用户向 Microsoft 提交可疑文件 | 选择自动将文件发送到 Microsoft 以供进一步分析。 |
| 要执行的系统扫描类型 | 选择Windows Defender是执行快速扫描、完全扫描还是不扫描设备。 |
| 每日快速扫描时间 | 选择Windows Defender运行每日快速扫描的一天中的哪个小时。 |
| 扫描所有下载的文件 | 自动扫描所有下载的文件以查找恶意软件。 |
| 扫描在 Microsoft Web 浏览器中运行的脚本 | 扫描网站尝试在 Microsoft Edge 和 Internet Explorer 中运行的所有脚本。 |
| 在完全扫描期间扫描可移动驱动器 | 在完全扫描期间包括可移动驱动器(如 U 盘)。 |
| 扫描通过网络打开的文件 | 使用网络时,扫描用户从网站打开的所有文件。 |
| 在完全扫描期间扫描远程文件夹 | 在完全扫描期间扫描远程位置上的任何文件夹。 |
| 扫描存档文件 | 扫描存档文件,例如 .zip 或 .rar。 |
| 扫描传入电子邮件 | 扫描通过网络收到的所有电子邮件。 |
| 打开文件或程序时扫描恶意软件 | 打开文件或程序时扫描恶意软件,并提醒用户可疑活动。 |
| 删除隔离的恶意软件前一天 | 设置受影响文件的保存天数。 在此天数之后,文件将被删除。 例如,如果设置为 0,则会立即删除该文件。 |
| 设置反恶意软件更新频率 | 选择Windows Defender应检查和下载反恶意软件更新的频率。 |
| 可能不需要的应用程序保护 | Windows Defender向用户发出警报,并阻止尝试在设备上自行安装的潜在不需要的软件。 |
| 阻止可疑文件 | 如果配置了此设置,Windows Defender防病毒将更积极地识别要阻止和扫描的可疑文件。 如果未配置,它将阻止和扫描的频率较低。 可以选择“ 未配置”、“ 高”、“ 高加号”和 “零容错”。 High 会主动阻止未知文件,同时尽量减少对设备性能的影响。 高加 会主动阻止未知文件,但可能会对设备性能产生负面影响。 零容忍会 阻止所有未知文件运行。 |
| 启用云保护 | 当Windows Defender向 Microsoft 发送有关潜在安全威胁的信息时,获取实时保护。 此功能最适合 提示用户将可疑文件提交到 Microsoft 设置为自动发送文件。 |
| 针对检测到的恶意软件威胁执行的操作 | Windows Defender自动隔离检测到的恶意软件。 |
| 启用网络检查服务 | 帮助保护设备免受基于网络的攻击。 使用 Microsoft Endpoint Protection 中心的已知漏洞签名来帮助检测和阻止恶意流量。 |
| 从扫描和实时保护中排除具有这些扩展名的文件 | 定义用户无需扫描安全威胁即可打开的文件类型。 |
| 从扫描和实时保护中排除进程 | 定义用户无需扫描安全威胁即可运行的进程类型。 |
| 从扫描和实时保护中排除目录 | 定义用户无需扫描安全威胁即可访问的文件位置。 |
Windows SmartScreen
| Setting | 功能 |
|---|---|
| 阻止用户重写有关网站的 SmartScreen 警告 | 阻止用户忽略和访问 SmartScreen 筛选器阻止的网站。 |
| 阻止用户重写有关从 Web 下载的 SmartScreen 警告 | 阻止学生忽略和下载 SmartScreen 筛选器警告的未经验证的文件。 |
| 为无法识别的应用和文件启用 SmartScreen 以检查 | 通过检查无法识别的应用,使 SmartScreen 能够保护设备。 |
| 阻止用户重写有关应用和文件的 SmartScreen 警告 | 阻止学生消除有关潜在恶意文件和应用的 SmartScreen 警告。 |
共享设备
配置控制教师和学生共享设备的设置。
| Setting | 功能 |
|---|---|
| 优化设备以供共享使用 | 为共享设备配置建议的设置,例如电源和更新管理。 允许多个学生或教师登录到同一设备。 |
| 阻止来宾用户 | 仅当启用 “优化设备以供共享使用”时,此选项才可用。 阻止来宾用户登录到共享设备。 阻止后,只有域用户才能登录。 |
| 阻止访问本地存储 | 仅当启用 “优化设备以供共享使用”时,此选项才可用。 阻止用户将文件保存到设备。 被阻止时,用户只能保存到云中。 |
| 阻止快速用户切换 | 允许用户从“开始”菜单在用户帐户之间快速切换。 |
删除内置应用
选择优化设备以供共享使用时,将从教师和学生计算机中删除这些应用:
- 混合事实查看器
- 天气
- 桌面应用安装程序
- 提示
- 我的 Office
- 纸牌收藏
- 移动版计划
- Windows 反馈中心
- Xbox
- Groove 音乐
- 邮件
- 日历
- Skype
汇报和升级
配置设备接收更新和升级的方式。
更新
| Setting | 功能 |
|---|---|
| 分支就绪级别 | 选择设备是位于 Current Branch 还是 Current Branch for Business for Windows 更新上。 |
| 配置安装更新的方式和时间 | 设置安装更新的更新和维护期。 |
| 在功能更新可用后延迟天数 (0-365) | 设置在功能更新可用后应用功能更新的等待天数。 例如,如果设置为 0 天,则刚可用的功能更新将立即应用于你的设备。 |
| (0-30) 提供质量更新后延迟几天 | 设置在质量更新可用后应用质量更新的等待天数。 例如,如果设置为 0 天,则刚刚可用的质量更新将立即应用于设备。 |
| 删除卸载文件前的天数 (2-60) | 安装功能更新后,Windows 会保留卸载新版本所需的文件,并将还原到以前的版本。 设置卸载这些文件的等待天数。 |
| 阻止暂停Windows 更新 | 阻止用户访问“暂停更新”功能。 |
| 允许学生查看Windows 10预发行功能 | 选择学生是否可以查看设置的预发布功能、设置和试验的预发布功能,还是看不到预发行功能。 |
| 传递优化模式 | 选择要向设备传递更新的方式。 |
升级
| Setting | 功能 |
|---|---|
| 要升级到的 Windows 版本 | 将此组中的设备升级到不同版本的Windows 10。 选择要 升级到的版本 ,并输入 产品密钥。 运行 Windows 11 SE 的设备不支持此设置。 |
| 退出 S 模式 | S 模式以前称为 Windows 10 S,是更安全的 Windows 10 版本。 此设置允许用户将其设备切换为 S 模式。 保持 S 模式 可防止他们进行切换。 处于 S 模式时,教师和学生只能使用 Microsoft Edge 浏览并从 Microsoft Store 下载应用。 |
用户体验
为以下项配置用户体验设置:
- 设备限制
- 锁屏界面和桌面
- 设置应用
- “开始”菜单
设备限制
| Setting | 功能 |
|---|---|
| 阻止相机 | 阻止使用设备相机。 |
| 阻止可移动存储 | 阻止使用可移动存储,例如 U 盘、SD 卡和外部硬盘驱动器。 |
| 阻止 Cortana | 阻止 Cortana,这是内置于可回答问题和执行任务的Windows 10中的数字助手。 |
| 阻止定位服务 | 阻止应用使用位置服务访问设备的位置。 |
| 在任务管理器中阻止结束任务 | 阻止用户使用任务管理器强制关闭程序、进程或任务。 |
| 配置时区 | 选择要应用于设备的时区。 |
| 阻止更改日期和时间设置 | 阻止用户更改设备日期和时间设置。 |
| 阻止更改语言设置 | 阻止用户更改设备语言。 |
| 阻止更改设备区域设置 | 阻止用户更改设置,例如国家/地区和语言。 |
| 发送诊断数据 | 定义是否收集匿名使用情况数据并将其发送到 Microsoft 以帮助改进 Windows。 |
锁屏界面和桌面
| Setting | 功能 |
|---|---|
| 设置自定义锁屏界面图像 | 在登录屏幕上配置自定义背景图像。 可以选择大小小于 20 MB 的 .jpg 或 .png。 |
| 设置自定义桌面映像 | 在桌面上配置自定义背景图像。 可以选择大小小于 20 MB 的 .jpg 或 .png。 |
| 阻止 Windows 聚焦 | 阻止这些设备上的所有 Windows 聚焦功能。 |
| 在锁屏界面上阻止通知 | 阻止通知显示在锁定设备的屏幕上。 |
| 在锁屏界面上阻止 Cortana | 阻止用户从锁屏界面访问 Cortana。 |
设置应用
| Setting | 功能 |
|---|---|
| 阻止访问“设置”应用 | 阻止用户访问整个“设置”应用。 若要仅阻止部分应用,请从本部分中的其他设置中进行选择。 |
| 系统设置 | 阻止显示、通知、应用、电源设置。 |
| 设备 | 阻止蓝牙、打印机等。 |
| 网络 & Internet | 阻止 Wi-Fi、飞行模式和 VPN。 |
| 个性化设置 | 阻止背景、锁屏界面和颜色修改。 |
| 帐户 | 阻止用户帐户、电子邮件、同步、工作和其他人员。 |
| 时间 & 语言 | 块大小、区域和日期。 |
| 轻松访问 | 阻止讲述人、放大镜和高对比度。 |
| 隐私 | 阻止位置和相机。 |
| 更新 & 安全性 | 阻止Windows 更新、恢复和备份。 |
| 应用 | 阻止卸载、默认值和可选功能。 |
| 游戏 | 阻止游戏栏、DVR、广播和游戏模式。 |
“开始”菜单
| Setting | 功能 |
|---|---|
| 强制“开始”菜单大小 | 定义是否强制“开始”菜单全屏显示。 |
| 阻止“开始”菜单中的跳转Lists显示最近打开的程序 | 阻止跳转Lists显示在“开始”菜单上,并在“设置”应用中禁用相应的切换。 |
| 阻止在“开始”菜单中显示最近添加的应用 | 阻止最近添加的应用显示在“开始”菜单中。 |
| 阻止在“开始”菜单中显示最常用的应用 | 阻止最常用的应用显示在“开始”菜单中。 |
| “开始”菜单中的“阻止应用”列表 | 阻止设备上所有应用的列表显示在“开始”菜单中。 |
| 阻止“开始”菜单中的电源菜单 | 阻止电源菜单 (例如“重启”、“关机”) 显示在“开始”菜单中。 |
| 在“开始”菜单中阻止用户磁贴 | 阻止当前用户的信息显示在“开始”菜单中。 |
| 阻止选项显示在“开始”菜单中的用户磁贴上 | 可以选择 “更改帐户设置”、“ 锁定”和 “注销”。 |
| 选择显示在“开始”菜单中的文件夹 | 可以选择文件资源管理器、设置、文档、下载、音乐、图片、视频、家庭组、网络和个人文件夹。 |
| 应用自定义“开始”菜单布局 | 使用 XML 文件应用自定义“开始”菜单布局。 可以上传大小小于 2 MB 的 .xml 文件。 运行 Windows 11 SE 的设备不支持此设置。 若要更改Windows 11 SE的默认固定应用,请使用 Microsoft Intune 中的 ConfigureStartPins 策略自定义布局。 |
| 将网站固定为“开始”菜单中的磁贴 | 使用 XML 文件将网站固定为“开始”菜单中的磁贴。 可以上传大小小于 2 MB 的 .xml 文件。 |
后续步骤
在适用于教育的 Intune 门户中配置组、应用和设备设置。 如果尚未完成,请转到 快速配置 并使用 Microsoft 推荐的设置设置学校。
需要有关管理设备的帮助? 在学校分配组管理员 ,以帮助你管理设备设置。 还可以详细了解 Intune 中提供的完整Windows 10设置管理体验。