Windows 10/11 设备设置,允许或限制使用 Intune 的功能

注意

Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录

本文介绍可在 Windows 客户端设备上控制的一些设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置来允许或禁用功能、设置密码规则、自定义锁屏界面、使用Microsoft Defender等。

这些设置适用于:

  • Windows 11
  • Windows 10

这些设置将添加到 Intune 中的设备配置文件,然后分配或部署到 Windows 客户端设备。

注意

某些设置仅在特定的 Windows 版本(例如企业版)上可用。 若要查看支持的版本,请参阅 策略 CSP (打开另一个Microsoft网站) 。

在 Windows 10/11 设备限制配置文件中,大多数可配置的设置使用设备组在设备级别部署。 部署到用户组的策略适用于目标用户。 这些策略也适用于具有Intune许可证的用户以及登录到该设备的用户。

开始之前

创建Windows 10/11 设备限制配置文件

App Store

这些设置使用 ApplicationManagement 策略 CSP,其中还列出了受支持的 Windows 版本。

  • 应用商店 (仅限移动设备) 阻止 会阻止用户在移动设备上访问应用商店。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户访问应用商店。

  • 从应用商店自动更新应用“阻止” 可阻止从 Microsoft Store 自动安装更新。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许从 Microsoft 应用商店安装的应用自动更新。

    ApplicationManagement/AllowAppStoreAutoUpdate CSP

  • 受信任的应用安装:选择是否可以安装非Microsoft应用商店应用,也称为旁加载。 旁加载正在安装,然后运行或测试未通过 Microsoft 应用商店认证的应用。 例如,仅限公司内部的应用。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。
    • 阻止:阻止旁加载。 无法安装非Microsoft应用商店应用。
    • 允许:允许旁加载。 可以安装非Microsoft应用商店应用。
  • 开发人员解锁:允许 Windows 开发人员设置,例如允许用户修改旁加载的应用。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。
    • 阻止:阻止开发人员模式和旁加载应用。
    • 允许:允许开发人员模式和旁加载应用。

    启用设备进行开发 包含有关此功能的详细信息。

    ApplicationManagement/AllowAllTrustedApps CSP

  • 共享用户应用数据:选择 “允许” 可在同一设备上的不同用户之间以及与该应用的其他实例共享应用程序数据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止与其他用户和同一应用的其他实例共享数据。

    ApplicationManagement/AllowSharedUserAppData CSP

  • 仅使用专用应用商店“允许 ”仅允许从专用应用商店下载应用,而不允许从公共应用商店(包括零售目录)下载。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许从专用应用商店和公共应用商店下载应用。

    ApplicationManagement/RequirePrivateStoreOnly CSP

  • 应用商店发起的应用启动“阻止” 会禁用设备上预安装或从 Microsoft Store 下载的所有应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许打开这些应用。

    ApplicationManagement/DisableStoreOriginatedApps CSP

  • 在系统卷上安装应用数据“阻止” 可阻止应用在设备的系统卷上存储数据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许应用在系统磁盘卷上存储数据。

    ApplicationManagement/RestrictAppDataToSystemVolume CSP

  • 在系统驱动器上安装应用“阻止” 可阻止应用在设备上的系统驱动器上安装。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在系统驱动器上安装应用。

    ApplicationManagement/RestrictAppToSystemVolume CSP

  • 游戏 DVR 仅 (桌面) 阻止 会禁用 Windows 游戏录制和广播。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许录制和广播游戏。

    ApplicationManagement/AllowGameDVR CSP

  • 仅限应用商店中的应用:此设置确定用户从 Microsoft 应用商店以外的位置安装应用时的用户体验。 它不会阻止安装来自 USB 设备、网络共享或其他非 Internet 源的内容。 使用可信浏览器来帮助确保这些保护按预期工作。

    选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户从 Microsoft 应用商店以外的位置安装应用,包括在其他策略设置中定义的应用。
    • 任意位置:关闭应用建议,并允许用户从任何位置安装应用。
    • 仅存储:目的是防止恶意内容在从 Internet 下载可执行内容时影响用户设备。 当用户尝试从 Internet 安装应用时,将阻止安装。 用户会看到一条消息,建议他们从 Microsoft 应用商店下载应用。
    • 建议:从 Microsoft 应用商店中提供的 Web 安装应用时,用户会看到一条消息,建议他们从应用商店下载该应用。
    • 首选应用商店:当用户从 Microsoft 应用商店以外的位置安装应用时,会发出警告。

    SmartScreen/EnableAppInstallControl CSP

  • 用户对安装的控制“阻止 ”可阻止用户更改通常为系统管理员保留的安装选项,例如进入目录以安装文件。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,Windows Installer 可能会阻止用户更改这些安装选项,并且会绕过某些 Windows Installer 安全功能。

    ApplicationManagement/MSIAllowUserControlOverInstall CSP

  • 使用提升的权限安装应用“阻止” 指示 Windows Installer 在系统上安装任何程序时使用提升的权限。 这些权限已扩展到所有程序。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,当系统安装系统管理员未部署或提供的程序时,系统可能会应用当前用户的权限。

    ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP

  • 启动应用:输入用户登录到设备后要打开的应用列表。 请务必使用以分号分隔的包系列名称列表 (Windows 应用程序的 PFN) 。 若要使此策略正常工作,Windows 应用中的清单必须使用启动任务。

    ApplicationManagement/LaunchAppAfterLogOn CSP

手机网络和连接

这些设置使用 连接策略Wi-Fi 策略 CSP,其中还列出了受支持的 Windows 版本。

  • 手机网络数据通道:选择用户是否可以在连接到手机网络时使用数据,例如浏览 Web。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 用户可以将其关闭。
    • 阻止:不允许手机网络数据通道。 用户无法将其打开。
    • 允许 (不可编辑) :允许手机网络数据通道。 用户无法将其关闭。
  • 数据漫游“阻止” 可阻止设备上的手机网络数据漫游。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,访问数据时,可能允许在网络之间漫游。

  • 通过手机网络进行 VPN“阻止” 可阻止设备在连接到手机网络时访问 VPN 连接。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 VPN 使用任何连接,包括手机网络。

  • 通过手机网络进行 VPN 漫游“阻止” 可阻止设备在手机网络漫游时访问 VPN 连接。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 在漫游时可能允许 VPN 连接。

  • 连接的设备服务“阻止” 可禁用连接设备平台 (CDP) 组件。 CDP 可通过蓝牙/LAN 或云) (发现并连接到其他设备,以支持远程应用启动、远程消息传送、远程应用会话和其他跨设备体验。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许连接的设备服务,该服务允许发现并连接到其他蓝牙设备。

  • NFC阻止 可阻止近场通信 (NFC) 功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上启用和配置 NFC 功能。

  • Wi-Fi“阻止” 可阻止用户在设备上启用、配置和使用 Wi-Fi 连接。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Wi-Fi 连接。

  • 自动连接到 Wi-Fi 热点“阻止” 可阻止设备自动连接到 Wi-Fi 热点。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备自动连接到免费 Wi-Fi 热点,并自动接受连接的任何条款和条件。

  • 手动 Wi-Fi 配置“阻止” 可阻止设备连接到 MDM 服务器安装网络之外的 Wi-Fi。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户添加和配置自己的 Wi-Fi 连接网络 SSD。

  • Wi-Fi 扫描间隔:输入设备扫描 Wi-Fi 网络的频率。 输入从 1 (最频繁) 到 500 (最不频繁) 的值。 默认值为 0 (零) 。

蓝牙

这些设置使用 蓝牙策略 CSP,其中还列出了受支持的 Windows 版本。

  • 蓝牙“阻止” 可阻止用户启用蓝牙。 未配置 (默认) 允许在设备上使用蓝牙。

  • 蓝牙可发现性“阻止 ”可阻止其他已启用蓝牙的设备发现设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许其他已启用蓝牙的设备(如头戴显示设备)发现设备。

    Bluetooth/AllowDiscoverableMode CSP

  • 蓝牙预配对阻止 可防止特定蓝牙设备自动与主机设备配对。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许与主机设备自动配对。

    蓝牙/AllowPrepairing CSP

  • 蓝牙播发“阻止” 可阻止设备发送蓝牙播发。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备发送蓝牙播发。

    蓝牙/允许广告 CSP

  • 蓝牙近端连接阻止 可阻止设备用户使用 Swift Pair 和其他基于邻近的方案。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备发送蓝牙播发。

    Bluetooth/AllowPromptedProximalConnections CSP

  • 允许的蓝牙服务:将允许的蓝牙服务和配置文件的列表 添加 为十六进制字符串,例如 {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

    ServicesAllowedList 用法指南 包含有关服务列表的详细信息。

    Bluetooth/ServicesAllowedList CSP

云和存储

这些设置使用 帐户策略 CSP,其中还列出了受支持的 Windows 版本。

重要

阻止或禁用这些Microsoft帐户设置可能会影响要求用户登录Microsoft Entra ID的注册方案。 例如,你使用的是 预先预配的 Autopilot。 通常,用户会显示Microsoft Entra登录窗口。 当这些设置设置为“阻止”或“禁用”时,可能不会显示“Microsoft Entra登录”选项。 相反,系统会要求用户接受 EULA,并创建一个本地帐户,这可能不是你想要的帐户。

  • Microsoft帐户“阻止” 可阻止用户将Microsoft帐户与设备关联。 阻止 还可能影响某些依赖于用户完成注册过程的注册方案。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许添加和使用Microsoft帐户。
  • 非Microsoft帐户“阻止” 可阻止用户使用用户界面添加非Microsoft帐户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户添加未与 Microsoft 帐户关联的电子邮件帐户。
  • Microsoft帐户的设置同步阻止 阻止与Microsoft帐户关联的设备和应用设置在设备之间同步。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此同步。
  • Microsoft帐户登录助手:此 OS 服务允许用户登录到其Microsoft帐户。 默认情况下,OS 可能允许用户启动和停止 Microsoft帐户 Sign-In 助手 (wlidsvc) 服务。
    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户启动和停止 Microsoft帐户 Sign-In 助手 (wlidsvc) 服务。

    • 已禁用:将Microsoft登录助手服务 (wlidsvc) 设置为“已禁用”,并阻止用户手动启动它。

      禁用 还可能会影响某些依赖于用户完成注册的注册方案。 例如,你使用的是 预先预配的 Autopilot。 通常,用户会显示Microsoft Entra登录窗口。 设置为“禁用”时,可能不会显示“Microsoft Entra登录”选项。 相反,系统会要求用户接受 EULA,并创建一个本地帐户,这可能不是你想要的帐户。

云打印机

这些设置使用 EnterpriseCloudPrint 策略 CSP,其中还列出了受支持的 Windows 版本。

  • 打印机发现 URL:输入用于查找云打印机的 URL。 例如,输入 https://cloudprinterdiscovery.contoso.com
  • 打印机访问机构 URL:输入身份验证终结点 URL 以获取 OAuth 令牌。 例如,输入 https://azuretenant.contoso.com/adfs
  • Azure 本机客户端应用 GUID:输入允许从 OAuthAuthority 获取 OAuth 令牌的客户端应用程序的 GUID。 例如,输入 E1CF1107-FF90-4228-93BF-26052DD2C714
  • 打印服务资源 URI:输入Azure 门户中配置的打印服务的 OAuth 资源 URI。 例如,输入 http://MicrosoftEnterpriseCloudPrint/CloudPrint
  • 要查询的最大打印机数:输入要查询的最大打印机数。 默认值为 20
  • 打印机发现服务资源 URI:输入Azure 门户中配置的打印机发现服务的 OAuth 资源 URI。 例如,输入 http://MopriaDiscoveryService/CloudPrint

提示

设置 Windows Server 混合云打印后,可以配置这些设置,然后部署到 Windows 设备。

控制面板和设置

  • 设置应用“阻止” 可阻止用户访问 Windows 设置应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上打开“设置”应用。
    • 系统“阻止” 会阻止访问“设置”应用的“系统”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

      • 仅限桌面) (电源和睡眠设置修改“阻止”可阻止用户更改设备上的电源和睡眠设置。 未配置 (默认) 允许用户更改电源和睡眠设置。
    • 设备“阻止” 会阻止访问设备上的“设置”应用的“设备”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 网络 Internet“阻止” 可阻止访问设备上的“设置”应用的“网络 & Internet 区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 个性化“阻止” 会阻止访问设备上的“设置”应用的“个性化”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 应用“阻止” 可阻止访问设备上的“设置”应用的“应用”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 帐户“阻止” 会阻止访问设备上的“设置”应用的“帐户”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 时间和语言阻止 阻止访问设备上的“设置”应用的“时间 & 语言”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

      • 系统时间修改“阻止” 可阻止用户更改设备上的日期和时间设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 用户可以更改这些设置。

      • 仅限桌面) (区域设置修改“阻止”可阻止用户更改设备上的区域设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 用户可以更改这些设置。

      • 仅) 桌面 (语言设置修改 “阻止” 可阻止用户更改设备上的语言设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 用户可以更改这些设置。

        设置策略 CSP

    • 游戏:设置为 “阻止”时,此设置:

      • 阻止访问设备上的 “设置” 应用 >游戏 区域。
      • 在 Windows 11 22H2 及更高版本上,它会隐藏设备上的“设置”应用>“”系统>通知“区域。 具体而言,它将页面添加到ms-settings:quietmomentsgame“设置/PageVisibilityList CSP”。

      设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 轻松访问“阻止” 会阻止访问设备上的“设置”应用的“轻松访问”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 隐私“阻止” 会阻止访问设备上的“设置”应用的“隐私”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    • 更新和安全“阻止” 会阻止访问设备上的“设置”应用的“更新 & 安全”区域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

显示

这些设置使用 显示策略 CSP,其中还列出了受支持的 Windows 版本。

GDI DPI 缩放使不具有 DPI 感知功能的应用程序能够按监视器 DPI 感知。

  • 为应用启用 GDI 缩放添加 要启用 GDI DPI 缩放的旧版应用。 例如,输入 filename.exe%ProgramFiles%\Path\Filename.exe

    已为列表中所有旧版应用程序启用 GDI DPI 缩放。

  • 关闭应用的 GDI 缩放添加 要关闭 GDI DPI 缩放的旧版应用。 例如,输入 filename.exe%ProgramFiles%\Path\Filename.exe

    已关闭列表中所有旧应用程序的 GDI DPI 缩放。

还可以使用应用列表 导入 .csv 文件。

一般信息

这些设置使用 体验策略 CSP,该策略还列出了受支持的 Windows 版本。

  • 屏幕捕获 (仅限移动设备) : “阻止” 可阻止用户在设备上获取屏幕截图。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • 仅复制和粘贴 (移动设备) “阻止” 可阻止用户在设备上的应用之间使用复制和粘贴。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • 手动取消注册“阻止” 可阻止用户使用设备上的工作区控制面板删除工作区帐户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    如果计算机已加入Microsoft Entra并启用了自动注册,则此策略设置不适用。

  • 手动安装根证书 (仅限移动设备) : 阻止 会阻止用户手动安装根证书和中间 CAP 证书。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • 相机“阻止” 可阻止用户在设备上使用相机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许访问设备相机。

    Intune仅管理对设备相机的访问。 它无法访问图片或视频。

    相机 CSP

  • OneDrive 文件同步“阻止” 可阻止用户将文件从设备同步到 OneDrive。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    System/DisableOneDriveFileSync CSP

  • 可移动存储“阻止” 可阻止用户对设备使用外部存储设备,例如 U 盘或 SD 卡。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    System/AllowStorageCard CSP

  • 地理位置“阻止” 可阻止用户打开设备上的定位服务。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    System/AllowLocation CSP

  • Internet 共享“阻止” 可阻止设备上的 Internet 连接共享。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • 手机重置“阻止” 可阻止用户在设备上擦除或恢复出厂设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • USB 连接“阻止” 会阻止访问通过 USB 连接或使用 HoloLens 设备上的开发人员工具同步文件。 更改此策略不会影响 USB 充电。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 此设置不会影响 USB 充电。

    Connectivity/AllowUSBConnection CSP

  • AntiTheft 模式 (仅限移动设备) : 阻止 会阻止用户在设备上选择 AntiTheft 模式首选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • Cortana“阻止”可禁用设备上的 Cortana 语音助手。 关闭 Cortana 后,用户仍可以搜索以查找设备上的项目。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Cortana。

    Experience/AllowCortana CSP

    注意

    Microsoft弃用 Windows Cortana 独立应用。 Cortana 生产力助手仍然可用。 有关 Windows 客户端上已弃用的功能的详细信息,请转到 Windows 客户端的已弃用功能

  • 仅限移动设备 (语音录制) :“阻止”可阻止用户在设备上使用设备录音机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许对应用进行语音录制。

  • 设备名称修改 (仅限移动设备) : “阻止” 可阻止用户更改设备名称。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • 添加预配包“阻止” 可阻止在设备上安装预配包的运行时配置代理。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • 删除预配包“阻止” 可阻止从设备中删除预配包的运行时配置代理。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • 设备发现“阻止” 可防止其他设备发现设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Experience/AllowDeviceDiscovery

  • 任务切换器 (仅限移动设备) : “阻止” 会阻止设备上的任务切换。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

  • SIM 卡错误对话框 (仅限移动设备) :如果未检测到 SIM 卡卡,则阻止错误消息显示在设备上。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示错误消息。

  • 墨迹工作区:选择用户是否以及如何访问墨迹工作区。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能会打开墨迹工作区,并且允许用户在锁屏界面上方使用它。
    • 在锁屏界面上禁用:已启用墨迹工作区并启用功能。 但是,用户无法在锁屏界面上方访问它。
    • 已禁用:禁用对墨迹工作区的访问。 该功能已关闭。

    WindowsInkWorkspace 策略 CSP

  • Autopilot 重置:选择 “允许” ,以便具有管理权限的用户可以在设备锁屏界面上使用 CTRL + Win + R 删除所有用户数据和设置。 设备会自动重新配置并重新注册到管理中。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止此功能。

  • 要求用户在设备设置期间连接到网络:选择“ 需要 ”,以便设备在 Windows 安装期间通过“网络”页之前连接到网络。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户跳过“网络”页面,即使它未连接到网络。

    该设置在下次擦除或重置设备时生效。 与任何其他Intune配置一样,设备必须由Intune注册和管理才能接收配置设置。 但是,一旦设备注册并收到策略,重置设备就会在下一次 Windows 设置期间强制实施此设置。

    TenantLockdown CSP

  • 直接内存访问阻止 会阻止所有热插拔 PCI 下游端口的直接内存访问 (DMA) ,直到用户登录到 Windows。 启用 (默认) 允许访问 DMA,即使用户未登录也是如此。

    DataProtection/AllowDirectMemoryAccess CSP

  • 结束任务管理器中的进程:此设置确定非管理员是否可以使用任务管理器结束任务。 阻止 可防止标准用户 (非管理员) 使用任务管理器结束设备上的进程或任务。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许标准用户使用任务管理器结束进程或任务。

    TaskManager/AllowEndTask CSP

锁定的屏幕体验

  • 操作中心通知 (移动设备) “阻止 ”会阻止操作中心通知显示在设备锁屏界面上。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户选择哪些应用在锁屏界面上显示通知。

    AboveLock/AllowActionCenterNotifications CSP

  • 仅) (桌面的锁定屏幕图片 URL :输入用作 Windows 锁屏界面壁纸的 JPG、JPEG 或 PNG 格式图片的 URL。 例如,输入 https://contoso.com/image.png。 此设置将锁定映像,之后无法更改。

    个性化/LockScreenImageUrl CSP

  • 用户可配置的屏幕超时 (仅限移动设备) 允许 允许用户配置屏幕超时。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会为用户提供此选项。

    DeviceLock/AllowScreenTimeoutWhileLockedUserConfig CSP

  • 锁定的屏幕 (桌面上的 Cortana 仅) : “阻止” 可阻止用户在设备位于锁屏界面上时与 Cortana 交互。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许与 Cortana 交互。

    AboveLock/AllowCortanaAboveLock CSP

  • 锁定屏幕上的 Toast 通知“阻止” 可阻止 Toast 通知显示在设备锁屏界面上。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许这些通知。

    AboveLock/AllowToasts CSP

  • 屏幕超时 (仅限移动设备) :设置从屏幕锁定到屏幕关闭) 持续时间 (秒。 支持的值为 11-1800。 例如,输入 300 以将此超时设置为 5 分钟。

    DeviceLock/ScreenTimeoutWhileLocked CSP

消息传递

这些设置使用 消息传送策略 CSP,该策略还列出了受支持的 Windows 版本。

  • 消息同步 (仅限移动设备) “阻止” 可禁用文本消息的备份和还原,以及禁止在 Windows 设备之间同步消息。 禁用有助于避免信息存储在组织控制范围之外的服务器上。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户更改这些设置并同步其消息。
  • 彩信 (移动设备) “阻止” 会禁用设备上的彩信发送和接收功能。 对于企业,使用此策略在审核或管理要求中禁用设备上的彩信。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许彩信发送和接收。
  • RCS (仅移动设备) “阻止” 将禁用设备上的富通信服务 (RCS) 发送和接收功能。 对于企业,使用此策略在设备上禁用 RCS,作为审核或管理要求的一部分。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 RCS 发送和接收。

Microsoft Edge 旧版 (版本 45 及更早的)

这些设置使用 浏览器策略 CSP,其中还列出了受支持的 Windows 版本。

注意

使用浏览器策略 CSP 适用于 Microsoft Edge 版本 45 及更早版本。 有关 Microsoft Edge 版本 77 及更新版本,请参阅在 Microsoft Intune 中配置 Microsoft Edge 策略设置

使用 Microsoft Edge 展台模式

可用设置会根据所选内容而更改。 选项包括:

  • (默认) :Microsoft Edge 不在展台模式下运行。 所有Microsoft Edge 设置都可供你更改和配置。
  • 数字/交互式标牌 (单应用展台) :筛选Microsoft适用于Windows 10/11 个单应用展台上的边缘展台模式Microsoft数字/交互式标牌的边缘设置。 选择此设置可全屏打开 URL,并仅显示该网站上的内容。 设置数字签名 提供了有关此功能的详细信息。
  • InPrivate 公共浏览 (单个应用展台) :筛选Microsoft适用于 InPrivate 公共浏览Microsoft Edge 展台模式的 Edge 设置,以便在 Windows 10/11 个单应用展台上使用。 运行多选项卡版本的 Microsoft Edge。
  • 普通模式 (多应用展台) :筛选Microsoft适用于普通Microsoft Edge 展台模式的 Edge 设置。 运行具有所有浏览功能的 Microsoft Edge 的完整版本。
  • 公共浏览 (多应用展台) :筛选Microsoft适用于Windows 10多应用展台上的公共浏览的 Edge 设置。 运行多选项卡版本的 Microsoft Edge InPrivate。

提示

有关这些选项的作用的详细信息,请参阅 Microsoft Edge 展台模式配置类型

此设备限制配置文件与使用 Windows 展台设置创建的展台配置文件直接相关。 总结一下:

  1. 创建 Windows 展台设置 配置文件以在展台模式下运行设备。 选择“Microsoft Edge”作为应用程序,并在展台配置文件中设置Microsoft Edge 展台模式。

  2. 创建本文中所述的设备限制配置文件,并配置 Microsoft Edge 中允许的特定功能和设置。 请务必选择与在展台配置文件 (Windows 展台设置) 中选择的相同Microsoft Edge 展台模式类型。

    支持的展台模式设置 是一个很好的资源。

重要

请务必将此Microsoft Edge 配置文件分配给与展台配置文件相同的设备, (Windows 展台设置) 。

ConfigureKioskMode CSP

Start experience

  • 使用 Microsoft Edge 启动:选择Microsoft Edge 启动时打开的页面。 选项包括:

    • 自定义起始页:输入起始页,例如 http://www.contoso.com。 Microsoft Edge 加载输入的起始页。
    • “新建选项卡”页:Microsoft Edge 加载 “新建选项卡 URL ”设置中输入的任何信息。
    • 上一个会话的页面:Microsoft Edge 加载最后一个会话页。
    • 本地应用设置中的起始页:Microsoft Edge 以 OS 定义的默认起始页开头。
  • 允许用户更改起始页 (默认) 允许用户更改起始页。 管理员可以使用 EdgeHomepageUrls 输入用户在打开 Microsoft Edge 时默认看到的起始页。 No 阻止用户更改起始页。

  • 在新选项卡页上允许 Web 内容:如果设置为 “是 ” (默认) ,Microsoft Edge 将打开在 “新建选项卡 URL” 设置中输入的 URL。 如果 “新建选项卡 URL” 设置为空,Microsoft Edge 将打开Microsoft Edge 设置中列出的新选项卡页。 用户可以更改它。 设置为 “否”时,Microsoft Edge 会打开一个空白页的新选项卡。 用户无法更改它。

  • 新建选项卡 URL:输入在“新建选项卡”页上打开的 URL。 例如,输入 https://www.bing.comhttps://www.contoso.com

  • “主页”按钮:选择“主页”按钮时发生的情况。 选项包括:

    • 起始页:使用设置打开在 “开始Microsoft Edge ”中选择的选项
    • “新建选项卡”页:打开在 “新建选项卡 URL” 设置中输入的 URL。
    • 主页按钮 URL:输入要打开的 URL。 例如,输入 https://www.bing.comhttps://www.contoso.com
    • “隐藏主页”按钮:隐藏主页按钮
  • 允许用户更改主页按钮“是 ”允许用户更改主页按钮。 用户更改将覆盖主页按钮的任何管理员设置。 没有 (默认) 阻止用户更改管理员配置主页按钮的方式。

  • 显示“首次运行体验”页 (仅限移动版) (默认) 显示 Microsoft Edge 中的第一个使用简介页。 “否 ”可阻止首次运行 Microsoft Edge 时显示简介页。 此功能允许企业(例如在零排放配置中注册的组织)阻止此页面。

  • 首次运行体验 URL 列表位置 (Windows 10 移动版 仅) :输入指向包含第一个运行页 URL 的 XML 文件的 URL () 。 例如,输入 https://www.contoso.com/sites.xml

  • 空闲时间后刷新浏览器:输入浏览器刷新前的空闲分钟数(从 0 到 1440 分钟)。 默认值为 5 分钟。 如果设置为 0 (零) ,则浏览器在空闲后不会刷新。

    此设置仅在 InPrivate 公共浏览 (单应用展台) 运行时可用。

  • 仅允许 弹出窗口 (桌面) : (默认) 允许在 Web 浏览器中显示弹出窗口。 “否” 会阻止浏览器中的弹出窗口。

  • 仅将 Intranet 流量发送到 Internet Explorer (Desktop) :“是”允许用户在 Internet Explorer 中打开 Intranet 网站,而不是Microsoft Edge。 此设置用于向后兼容性。 没有 (默认) 允许用户使用 Microsoft Edge。

  • 企业模式站点列表位置 (仅限桌面) :输入指向 XML 文件的 URL,其中包含在企业模式下打开的网站列表。 用户无法更改此列表。 例如,输入 https://www.contoso.com/sites.xml

  • 在 Internet Explorer 中打开网站时的消息:使用此设置将 Microsoft Edge 配置为在 Internet Explorer 11 中打开网站之前显示通知。 选项包括:

    • 不显示消息:使用 OS 默认行为,可能不会显示消息。
    • 显示网站在 Internet Explorer 11 中打开的消息:在 IE 中打开网站时显示消息。 在 IE 中打开的网站。
    • 显示带有在 Microsoft Edge 中打开站点的选项的消息:在 Microsoft Edge 中打开网站时显示消息。 该消息包括“ 继续进入Microsoft Edge ”链接,以便用户可以选择Microsoft Edge 而不是 IE。

    重要

    此设置要求使用 企业模式站点列表位置 设置、 将 Intranet 流量发送到 Internet Explorer 设置或这两种设置。

  • 允许Microsoft兼容性列表 (默认) 允许使用Microsoft兼容性列表。 “否 ”会阻止 Microsoft Edge 中的Microsoft兼容性列表。 Microsoft中的此列表可帮助Microsoft Edge 正确显示具有已知兼容性问题的站点。

  • 预加载起始页和新选项卡页 (默认) 使用 OS 默认行为,可能是预加载这些页面。 预加载可最大程度地减少启动Microsoft Edge 和加载新选项卡的时间。 “否 ”可阻止Microsoft Edge 预加载起始页和新选项卡页。

  • 预启动页和新选项卡页 (默认) 使用 OS 默认行为,可能是预启动这些页面。 预启动有助于Microsoft Edge 的性能,并最大程度地减少启动 Microsoft Edge 所需的时间。 “否 ”可阻止 Microsoft Edge 预启动起始页和新选项卡页。

  • 显示收藏夹栏:选择任何 Microsoft Edge 页面上收藏夹栏发生的情况。 选项包括:

    • 在“开始”页和新选项卡页上:显示Microsoft Edge 启动时以及所有选项卡页上的收藏夹栏。 用户可以更改此设置。
    • 在所有页面上:显示所有页面上的收藏夹栏。 用户无法更改此设置。
    • 隐藏:隐藏所有页面上的收藏夹栏。 用户无法更改此设置。
  • 允许更改收藏夹 (默认) 使用 OS 默认值,它允许用户更改列表。 “否 ”会阻止用户添加、导入、排序或编辑收藏夹列表。

    • 收藏夹列表:将 URL 列表添加到收藏夹文件。 例如,添加 http://contoso.com/favorites.html
  • 仅在) Microsoft浏览器 (桌面之间同步收藏夹“是”会强制 Windows 在 Internet Explorer 和 Microsoft Edge 之间同步收藏夹。 对收藏夹的添加、删除、修改和顺序更改在浏览器之间共享。 没有 (默认) 使用 OS 默认值,这可让用户选择在浏览器之间同步收藏夹。

  • 默认搜索引擎:选择设备上的默认搜索引擎。 用户可以随时更改此值。 选项包括:

    • 客户端Microsoft Edge 设置中的搜索引擎
    • 必应
    • Google
    • 雅虎
    • 自定义值:在 OpenSearch Xml URL 中,输入 HTTPS URL,其中包含至少包含短名称和搜索引擎 URL 的 XML 文件。 例如,输入 https://www.contoso.com/opensearch.xml
  • 显示搜索建议 (默认) 允许搜索引擎在地址栏中键入搜索短语时建议网站。 会阻止此功能。

  • 允许对搜索引擎进行更改 (默认) 允许用户添加新搜索引擎或更改 Microsoft Edge 中的默认搜索引擎。 选择“ ”可阻止用户自定义搜索引擎。

    仅当在普通模式下运行时,此设置才可用 (多应用展台)

隐私和安全

  • 允许 InPrivate 浏览 (默认) 允许 InPrivate 浏览Microsoft Edge。 关闭所有 InPrivate 选项卡后,Microsoft Edge 将从设备中删除浏览数据。 “否 ”会阻止用户打开 InPrivate 浏览会话。

  • 保存浏览历史记录 (默认) 允许在 Microsoft Edge 中保存浏览历史记录。 “否” 会阻止保存浏览历史记录。

  • 仅在桌面 (退出时清除浏览数据) :“是”会清除历史记录,当用户退出Microsoft Edge 时浏览数据。 没有 (默认) 使用可能缓存浏览数据的 OS 默认值。

  • 在用户设备之间同步浏览器设置:选择在设备之间同步浏览器设置的方式。 选项包括:

    • 允许:允许在用户设备之间同步Microsoft Edge 浏览器设置
    • 阻止和启用用户替代:阻止在用户设备之间同步 Microsoft Edge 浏览器设置。 用户可以替代此设置。 选择此选项后,用户可以替代管理员指定。
    • 阻止:阻止在用户设备之间同步 Microsoft Edge 浏览器设置。 用户无法替代此设置。
  • 允许密码管理器 (默认) 允许Microsoft Edge 自动使用密码管理器,允许用户在设备上保存和管理密码。 “否 ”会阻止 Microsoft Edge 使用密码管理器。

  • Cookie:选择在 Web 浏览器中处理 Cookie 的方式。 选项包括:

    • 允许:Cookie 存储在设备上。
    • 阻止所有 Cookie:Cookie 不存储在设备上。
    • 仅阻止第三方 Cookie:第三方或合作伙伴 Cookie 不存储在设备上。
  • 允许在表单中自动填充 (默认) 允许用户在浏览器中更改自动完成设置,并自动填充表单字段。 在 Microsoft Edge 中禁用自动填充功能。

  • 发送 do-not-not-track 标头 将 do-not-track 标头发送到请求跟踪信息的网站, (建议) 。 没有 (默认) 不发送允许网站跟踪用户的标头。 用户可以配置此设置。

  • 显示 WebRTC localhost IP 地址 (默认) 允许在使用此协议进行电话呼叫时显示用户的 localhost IP 地址。 “否 ”会阻止显示用户的 localhost IP 地址。

  • 允许实时磁贴数据收集 (默认) 允许Microsoft Edge 从固定到开始菜单的动态磁贴收集信息。 “否” 会阻止收集此信息,这可能会为用户提供有限的体验。

  • 用户可以替代证书错误 (默认) 允许用户访问具有安全套接字层/传输层安全性 (SSL/TLS) 错误的网站。 不建议 (提高安全性) 阻止用户访问出现 SSL 或 TLS 错误的网站。

Additional

  • 允许Microsoft Edge 浏览器 (移动设备) : (默认) 允许在移动设备上使用 Microsoft Edge Web 浏览器。 “否 ”会阻止在设备上使用 Microsoft Edge。 如果选择“ ”,则其他单独的设置仅适用于桌面。

  • 允许地址栏下拉列表 (默认) 允许Microsoft Edge 显示地址栏下拉列表以及建议列表。 键入 内容时,Microsoft Edge 无法阻止在下拉列表中显示建议列表。 设置为 “否”时,可以:

    • 帮助最大程度地减少 Microsoft Edge 与 Microsoft 服务之间的网络带宽。
    • 在“边缘>设置”中键入时禁用“显示搜索和网站建议”Microsoft。
  • 允许全屏模式 (默认) 允许Microsoft Edge 使用全屏模式,该模式仅显示 Web 内容并隐藏 Microsoft Edge UI。 “否 ”会阻止 Microsoft Edge 中的全屏模式。

  • 允许关于标志页 (默认) 使用操作系统默认值,这可能允许访问页面 about:flags 。 该 about:flags 页允许用户更改开发人员设置并启用试验性功能。 “否 ”会阻止 about:flags 用户访问 Microsoft Edge 中的页面。

  • 允许开发人员工具 (默认) 允许用户默认使用 F12 开发人员工具生成和调试网页。 “否 ”会阻止用户使用 F12 开发人员工具。

  • 允许 JavaScript (默认) 允许脚本(如 JavaScript)在 Microsoft Edge 浏览器中运行。 “否 ”会阻止浏览器中的 Java 脚本运行。

  • 用户可以安装扩展 (默认) 允许用户在设备上安装 Microsoft Edge 扩展。 会阻止安装。

  • 允许旁加载开发人员扩展 (默认) 使用可能允许旁加载的 OS 默认值。 旁加载安装并运行未经验证的扩展。 “否 ”可阻止Microsoft Edge 使用 “加载扩展” 功能旁加载。 它不会阻止使用其他方式(如 PowerShell)旁加载扩展。

  • 所需的扩展:选择Microsoft Edge 中的用户无法关闭的扩展。 输入包系列名称,然后选择“ 添加”。 查找每个应用 VPN (PFN) 的包系列名称 提供了一些指导。

    还可以 导入 包含包系列名称的 CSV 文件。 或者 ,导出 输入的包系列名称。

网络代理

这些设置使用 NetworkProxy 策略 CSP,其中还列出了受支持的 Windows 版本。

  • 自动检测代理设置“阻止” 可禁用设备自动检测代理自动配置 (PAC) 脚本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用此功能,设备会尝试查找 PAC 脚本的路径。

    设置为 “阻止”时, ProxySettingsPerUser 设置将自动设置为 0

  • 使用代理脚本:选择 “允许” 以输入 PAC 脚本的路径以配置代理服务器。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不允许输入 PAC 脚本的 URL。

    • 安装脚本地址 URL:输入要用于配置代理服务器的 PAC 脚本的 URL。
  • 使用手动代理服务器:选择 “允许” 以手动输入代理服务器的名称或 IP 地址以及 TCP 端口号。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不允许你手动输入代理服务器的详细信息。

    • 地址:输入代理服务器的名称或 IP 地址。
    • 端口号:输入代理服务器的端口号。
    • 代理异常:输入不得使用代理服务器的任何 URL。 使用分号 (;) 分隔每个项。
    • 绕过本地地址的代理服务器允许 不会将代理服务器用于本地 Intranet 地址。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会对 Intranet 上的本地地址使用代理服务器。

Password

这些设置使用 DeviceLock 策略 CSP,该 CSP 还列出了受支持的 Windows 版本。

  • 密码要求 强制用户输入密码才能访问设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在没有密码的情况下访问设备。 仅适用于本地帐户。 域帐户密码仍由 Active Directory (AD) 和 Microsoft Entra ID 配置。

    DeviceLock/DevicePasswordEnabled CSP

    • 所需的密码类型:选择密码类型。 选项包括:

      • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能允许密码包含数字和字母。
      • 字母数字:密码必须是数字和字母的组合。
      • 数字:密码只能是数字。

      DeviceLock/AlphanumericDevicePasswordRequired CSP

    • 最短密码长度:输入所需的最小字符数(从 4 到 16)。 例如,输入 6 要求密码长度至少为 6 个字符。 默认情况下,OS 可能会将其设置为 4

      DeviceLock/MinDevicePasswordLength CSP

      重要

      当 Windows 桌面上的密码要求发生更改时,用户下次登录时会受到影响,因为此时设备会从空闲状态变为活动状态。 仍会提示具有满足要求的密码的用户更改其密码。

    • 擦除设备前的登录失败次数:输入擦除设备前允许的错误密码数,最多 11 个。 输入的有效编号取决于版本。 DeviceLock/MaxDevicePasswordFailedAttempts CSP 列出了支持的值。 0 (零) 可能会禁用设备擦除功能。

      此设置也具有不同的影响,具体取决于版本。 有关此设置的特定详细信息,请参阅 DeviceLock/MaxDevicePasswordFailedAttempts CSP

    • 屏幕锁定前的最大非活动分钟数:输入设备在屏幕锁定之前必须处于空闲状态的时间长度。 例如,输入 5 以在空闲 5 分钟后锁定设备。 设置为“未配置”时,Intune不会更改或更新此设置。 默认情况下,OS 可能会将其设置为 0 (零) ,即无超时。

      DeviceLock/MaxInactivityTimeDeviceLock CSP

    • 密码过期 (天) :输入必须更改设备密码的时间长度,从 1 到 365。 例如,输入 90 以在 90 天后使密码过期。 当值为空时,Intune不会更改或更新此设置。 默认情况下,OS 可能会将其设置为 0 (零) ,即不会过期。

      DeviceLock/DevicePasswordExpiration CSP

    • 防止重用以前的密码:输入以前使用过的不能使用的密码数(从 1 到 24)。 例如,输入 5 ,以便用户无法将新密码设置为其当前密码或之前四个密码中的任何一个。 当值为空时,Intune不会更改或更新此设置。

      DeviceLock/DevicePasswordHistory CSP

    • 当设备从空闲状态 ( 移动和全息) 时需要密码: 要求 强制用户在空闲后输入密码以解锁设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 在空闲后可能不需要 PIN 或密码。

      DeviceLock/AllowIdleReturnWithoutPassword CSP

    • 简单密码“阻止” 可阻止用户创建简单密码,例如 12341111。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户创建简单密码。 此设置还会阻止使用图片密码。

      DeviceLock/AllowSimpleDevicePassword CSP

  • AADJ 期间的自动加密设备准备首次使用以及设备加入Microsoft Entra时,阻止自动 BitLocker 设备加密。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用加密。

    有关 BitLocker 设备加密的详细信息

    Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices CSP

  • 联邦信息处理标准 (FIPS) 策略允许 使用联邦信息处理标准 (FIPS) 策略,这是美国政府用于加密、哈希和签名的标准。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不允许 FIPS。

    Cryptography/AllowFipsAlgorithmPolicy CSP

  • Windows Hello设备身份验证允许用户使用Windows Hello配套设备(如手机、健身带或 IoT 设备)登录到 Windows 10/11 计算机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止Windows Hello配套设备进行身份验证。

    Authentication/AllowSecondaryAuthenticationDevice CSP

  • 首选Microsoft Entra租户域:输入Microsoft Entra组织中的现有域名。 当此域中的用户登录时,他们不必键入域名。 例如,输入 contoso.com。 域中的用户 contoso.com 可以使用其用户名(例如 abby)登录,而不是 abby@contoso.com

    Authentication/PreferredAadTenantDomainName CSP

每应用隐私异常

添加 应具有不同于你在“默认隐私”中定义的隐私行为的应用。

  • 包名称:应用包系列名称。
  • 应用名称:应用的名称。

例外

  • 帐户信息:定义此应用是否可以访问用户名、图片和其他联系信息。
  • 后台应用:定义此应用是否可以在后台运行。
  • 日历:定义此应用是否可以访问日历。
  • 呼叫历史记录:定义此应用是否可以访问我的呼叫历史记录。
  • 相机:定义此应用是否可以访问相机。
  • 联系人:定义此应用是否可以访问联系人。
  • Email:定义此应用是否可以访问和发送电子邮件。
  • 位置:定义此应用是否可以访问位置信息。
  • 消息传送:定义此应用是否可以读取或发送文本或彩信。
  • 麦克风:定义此应用是否可以使用麦克风。
  • 运动:定义此应用是否可以访问设备运动信息。
  • 通知:定义此应用是否可以访问通知。
  • 电话:定义此应用是否可以访问手机。
  • 无线电:某些应用使用无线电 (例如,设备中的蓝牙) 来发送和接收数据,并且需要打开或关闭这些无线电。 定义此应用是否可以控制这些无线电。
  • 任务:定义此应用是否可以访问任务。
  • 受信任的设备:选择此应用是否可以使用受信任的设备。 受信任的设备是已连接的硬件,或设备附带的硬件。 例如,使用电视、投影仪等作为受信任的设备。
  • 反馈和诊断:定义此应用是否可以访问诊断信息。
  • 与设备同步:选择此应用是否可以自动与未与设备显式配对的无线设备共享和同步信息。

个性化设置

这些设置使用 个性化策略 CSP,该策略还列出了受支持的 Windows 版本。

  • 桌面背景图片 URL (仅限桌面) :输入要用作 Windows 桌面壁纸的 .jpg、.jpeg或 .png 格式图片的 URL。 用户无法更改图片。 例如,输入 https://contoso.com/logo.png

    留空时,Intune不会更改或更新此设置。

Printer

  • 打印机:使用打印机的网络主机名 (DNS 名称) 添加打印机。 OS 搜索并安装设备上每台打印机的匹配打印机驱动程序。 如果未输入值,Intune不会更改或更新此设置。

    Education/PrinterNames CSP

  • 默认打印机:输入要用作默认打印机的已安装打印机的网络主机名 (DNS 名称) 。 如果未输入值,Intune不会更改或更新此设置。

    Education/DefaultPrinterName CSP

  • 添加新打印机“阻止” 可阻止用户添加新打印机。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许添加新打印机。

    Education/PreventAddingNewPrinters CSP

隐私

这些设置使用 隐私策略 CSP,其中还列出了受支持的 Windows 版本。

  • 隐私体验“阻止” 可阻止在用户登录时打开隐私体验,以及为新用户和升级用户打开隐私体验。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Privacy/DisablePrivacyExperience

  • 输入个性化“阻止” 会阻止使用语音进行听写,并阻止与使用Microsoft基于云的语音识别的应用通信。 它已禁用,用户无法使用设置启用联机语音识别。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户选择。 如果允许这些服务,Microsoft可能会收集语音数据来改进服务。

    Privacy/AllowInputPersonalization CSP

  • 自动接受配对和隐私用户同意提示:选择 “允许” ,以便 Windows 在运行应用时可以自动接受配对和隐私同意消息。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止自动接受。

    Privacy/AllowAutoAcceptPairingAndPrivacyConsentPrompts CSP

  • 发布用户活动“阻止” 可阻止应用和 OS 发布用户活动。 它还可防止共享体验和发现活动源中最近使用的资源。 用户活动跟踪应用或 OS 中用户任务的状态。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用此功能,以便应用可以发布用户活动。

    Privacy/PublishUserActivities CSP

  • 仅限本地活动“阻止” 可仅基于本地活动阻止共享体验和在任务切换器中发现最近使用的资源。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

可以配置设备上的所有应用都可以访问的信息。 此外,使用“按应用隐私异常”基于 每个应用定义异常

例外

  • 帐户信息:定义此应用是否可以访问用户名、图片和其他联系信息。
  • 后台应用:定义此应用是否可以在后台运行。
  • 日历:定义此应用是否可以访问日历。
  • 呼叫历史记录:定义此应用是否可以访问我的呼叫历史记录。
  • 相机:定义此应用是否可以访问相机。
  • 联系人:定义此应用是否可以访问联系人。
  • Email:定义此应用是否可以访问和发送电子邮件。
  • 位置:定义此应用是否可以访问位置信息。
  • 消息传送:定义此应用是否可以读取或发送文本或彩信。
  • 麦克风:定义此应用是否可以使用麦克风。
  • 运动:定义此应用是否可以访问设备运动信息。
  • 通知:定义此应用是否可以访问通知。
  • 电话:定义此应用是否可以访问手机。
  • 无线电:某些应用使用无线电 (例如,设备中的蓝牙) 来发送和接收数据,并且需要打开或关闭这些无线电。 定义此应用是否可以控制这些无线电。
  • 任务:定义此应用是否可以访问任务。
  • 受信任的设备:选择此应用是否可以使用受信任的设备。 受信任的设备是已连接的硬件,或设备附带的硬件。 例如,使用电视、投影仪等作为受信任的设备。
  • 反馈和诊断:选择此应用是否可以访问诊断信息。
  • 与设备同步 - 定义此应用是否可以自动共享信息并将其与未显式配对此电脑、平板电脑或手机的无线设备同步。

投影

这些设置使用 WirelessDisplay 策略 CSP,该策略还列出了受支持的 Windows 版本。

  • 来自无线显示接收器的用户输入“阻止” 可阻止来自无线显示接收器的用户输入。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许无线显示器将键盘、鼠标、笔和触摸输入发送回源设备。

    WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver CSP

  • 投影到此电脑“阻止 ”可阻止其他设备查找设备进行投影,并阻止投影到其他设备。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备可被发现,并且可以投影到锁屏界面上方的设备。

    WirelessDisplay/AllowProjectionFromPC CSP

  • 需要 PIN 进行配对:在连接到投影设备时 ,需要 始终提示输入 PIN。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不需要 PIN 来配对设备。

    WirelessDisplay/RequirePinForPairing CSP

报告和遥测

有关 Windows 遥测的最新更改的信息,请参阅 Windows 诊断数据收集的更改

  • 共享使用情况数据:选择提交的诊断数据级别。 选项包括:

    • 未配置: (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择提交的级别。 默认情况下,OS 可能不会共享任何数据。
    • 诊断数据关闭: (不建议) 。 有关此设置的详细信息,请查看 CSP 系统/AllowTelemetry
    • 必需:发送基本设备信息,包括与质量相关的数据、应用兼容性和其他类似数据,以使设备保持安全和最新。
    • 增强的 (1903 及更低版本) :其他见解,包括 Windows、Windows Server、System Center 和应用的使用方式、性能、高级可靠性数据和 所需 级别的数据。 将此选项部署到运行 Windows 1909 及更高版本的设备时,该设备将设置为 “必需”。
    • 可选:识别和帮助解决问题所需的所有数据,以及 “必需 ”和 “增强” 级别的数据。

    System/AllowTelemetry CSP

  • 将 Microsoft Edge 浏览数据发送到 Microsoft 365 Analytics:若要使用此功能,请将 “共享使用情况数据 ”设置设置为 “增强” 或“ 完整”。 此功能控制Microsoft Edge 使用配置的商业 ID 发送到 Microsoft 365 Analytics 企业设备的数据。 选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能不会收集或发送任何浏览历史记录数据。
    • 仅发送 Intranet 数据:允许管理员发送 Intranet 数据历史记录。
    • 仅发送 Internet 数据:允许管理员发送 Internet 数据历史记录。
    • 发送 Intranet 和 Internet 数据:允许管理员发送 Intranet 和 Internet 数据历史记录。

    Browser/ConfigureTelemetryForMicrosoft365Analytics CSP

  • 遥测代理服务器:使用安全套接字层 (SSL) 连接,输入代理服务器的完全限定域名 (FQDN) 或 IP 地址,以转发连接的用户体验和遥测请求。 此设置的格式为 serverport。 如果命名代理失败,或者未输入代理,则不会发送连接的用户体验和遥测数据。 它保留在本地设备上。

    如果未输入值,Intune不会更改或更新此设置。 默认情况下,OS 可能会使用默认代理配置将连接的用户体验和遥测数据发送到Microsoft。

    示例格式:

    IPv4: 192.246.246.106:100
    IPv6: [2001:4898:4010:4013:95c1:a8b2:953c:c633]:100
    FQDN: www.contoso.com:345
    

    System/TelemetryProxy CSP

这些设置使用 搜索策略 CSP,其中还列出了受支持的 Windows 版本。

  • 仅限移动设备 (安全搜索) :控制 Cortana 在搜索结果中筛选成人内容的方式。 选项包括:

    • 用户定义:Intune不会更改或更新此设置。 不强制设置。 用户选择自己的设置。
    • 严格:针对成人内容的最高筛选
    • 中等:针对成人内容进行适度筛选。 不会筛选有效的搜索结果。
  • 在搜索中显示 Web 结果“阻止” 可阻止用户使用 Windows 搜索搜索 Internet,并且 Web 结果不会显示在“搜索”中。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户搜索 Web,并且结果显示在设备上。

  • 音调符号“阻止” 可防止在 Windows 搜索中显示音调符号。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示音调符号。

    Search/AllowUsingDiacritics CSP

  • 自动语言检测“阻止” 可防止 Windows 搜索在为内容或属性编制索引时自动检测语言。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。

    Search/AlwaysUseAutoLangDetection CSP

  • 搜索位置“阻止” 会阻止 Windows 搜索使用该位置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。

    Search/AllowSearchToUseLocation CSP

  • 索引器回退“阻止” 可禁用搜索索引器回退功能。 即使系统活动较高,索引也将继续全速运行。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,当系统活动较高时,OS 可能会使用回退逻辑来限制回索引活动。

    Search/DisableBackoff CSP

  • 可移动驱动器索引阻止 可移动驱动器上的位置添加到库和索引。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许此功能。

    Search/DisableRemovableDriveIndexing CSP

  • 磁盘空间索引不足启用 允许自动编制索引,即使磁盘空间不足也是如此。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,当硬盘空间小于或等于 600 MB 时,OS 可能会关闭自动索引。 如果组织中的设备硬盘驱动器空间有限,请将其设置为 “未配置”。

    Search/PreventIndexingLowDiskSpaceMB CSP

  • 远程查询启用 允许远程查询设备的索引。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止用户远程查询设备的索引。

    Search/PreventRemoteQueries CSP

开始

这些设置使用 启动策略 CSP,该策略还列出了受支持的 Windows 版本。

注意

用于提供自定义“开始”菜单和任务栏体验的管理功能目前在Windows 11上受到限制。 有关详细信息,请参阅支持的配置服务提供商 (CSP) “Windows 11”开始“菜单的策略

  • “开始”菜单布局:上传包含自定义项的 XML 文件,包括应用的列出顺序等。 XML 文件将替代默认的开始布局。 用户无法更改你输入的开始菜单布局。

    设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Start/StartLayout CSP

  • 在“开始”菜单中将网站固定到磁贴:从 Microsoft Edge 导入图像。 这些图像在桌面设备的 Windows“开始”菜单中显示为链接。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Start/ImportEdgeAssets CSP

  • 从任务栏取消固定应用“阻止” 可阻止用户从任务栏取消固定应用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户从任务栏取消固定应用。

    Start/NoPinningToTaskbar CSP

  • 快速用户切换“阻止” 会阻止在不注销的情况下同时登录的用户之间进行切换。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在用户磁贴上显示 “切换 用户”。

    WindowsLogon/HideFastUserSwitching CSP

  • 最常用的应用“阻止 ”可隐藏最常用的应用,不显示在“开始”菜单上。 它还会在“设置”应用中禁用相应的切换。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示最常用的应用。

    Start/HideFrequentlyUsedApps CSP

  • 最近添加的应用“阻止” 隐藏“开始菜单上最近添加的应用。 它还会在“设置”应用中禁用相应的切换。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在“开始”菜单上显示最近添加的应用。

    Start/HideRecentlyAddedApps CSP

  • 启动屏幕模式:选择开始屏幕的大小。 选项包括:

    • 用户定义:Intune不会更改或更新此设置。 不强制设置。 用户可以设置大小。
    • 全屏:强制全屏大小为“开始”。
    • 非全屏:强制非全屏大小为“开始”。

    Start/ForceStartSize CSP

  • 跳转Lists中最近打开的项目“阻止”可隐藏最近的跳转列表,不显示在“开始”菜单和任务栏上。 它还会在“设置”应用中禁用相应的切换。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在跳转列表中显示最近打开的项目。

    Start/HideRecentJumplists CSP

  • 应用列表:选择所有应用列表的显示方式。 选项包括:

    • 用户定义:Intune不会更改或更新此设置。 不强制设置。 用户选择应用列表的显示方式。
    • 折叠:隐藏所有应用列表。
    • 折叠并禁用“设置”应用:隐藏所有应用列表,并在“设置” 应用中禁用“在”开始“菜单中显示应用列表
    • 删除并禁用“设置”应用:隐藏“所有应用”列表,删除“所有应用”按钮,并在“设置” 应用中禁用“在”开始“菜单中显示应用列表

    Start/HideAppList CSP

  • 电源按钮“阻止” 可隐藏开始菜单中的电源按钮。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示电源按钮。

    Start/HidePowerButton CSP

  • 用户磁贴“阻止” 可隐藏开始菜单中的用户磁贴。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示用户磁贴。 配置以下设置:

    • 锁定“阻止” 隐藏“开始菜单中用户磁贴中的” 锁定 “选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示 “锁定 ”选项。
    • 注销“阻止” 隐藏“开始菜单的用户磁贴中的” 注销 “选项。 未配置 (默认) 显示 “注销 ”选项。

    Start/HideUserTile CSP

  • 关机“阻止” 隐藏“开始菜单中电源按钮中的 ”更新和关机 “和” 关机 “选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Start/HideShutDown CSP

  • 睡眠“阻止” 隐藏“开始菜单中电源按钮中的 ”睡眠 “选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Start/HideSleep CSP

  • 休眠“阻止 ”隐藏开始菜单中电源按钮中的 “休眠 ”选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Start/HideHibernate CSP

  • 切换帐户“阻止” 隐藏开始菜单中的用户磁贴中的 “切换帐户 ”。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Start/HideSwitchAccount CSP

  • 重启选项“阻止” 隐藏“开始菜单中电源按钮中的 ”更新和重启 “和” 重启 “选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

    Start/HideRestart CSP

  • “开始”菜单的文档:隐藏或显示 Windows“开始”菜单中的“文档”文件夹。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderDocuments CSP

  • “开始”屏幕上的下载:隐藏或显示 Windows“开始”菜单中的“下载”文件夹。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderDownloads CSP

  • 文件资源管理器“开始”:在 Windows“开始”菜单中隐藏或显示文件资源管理器。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderFileExplorer CSP

  • “开始”菜单上的家庭组:隐藏或显示 Windows“开始”菜单中的家庭组快捷方式。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderHomeGroup CSP

  • “开始”菜单上的音乐:隐藏或显示 Windows“开始”菜单中的“音乐”文件夹。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderMusic CSP

  • “开始”菜单的网络:在 Windows“开始”菜单中隐藏或显示“网络”。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderNetwork CSP

  • “开始”菜单上的“个人”文件夹:隐藏或显示 Windows“开始”菜单中的“个人”文件夹。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderPersonalFolder CSP

  • “开始”屏幕上的图片:隐藏或显示 Windows“开始”菜单中图片的文件夹。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderPictures CSP

  • “开始”菜单的设置:隐藏或显示 Windows“开始”菜单中的“设置”快捷方式。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderSettings CSP

  • “开始”屏幕上的视频:隐藏或显示 Windows“开始”菜单中视频的文件夹。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 不强制设置。 用户选择显示或隐藏快捷方式。
    • 隐藏:隐藏快捷方式,并在“设置”应用中禁用设置。
    • 显示:显示快捷方式,并在“设置”应用中禁用设置。

    Start/AllowPinnedFolderVideos CSP

Microsoft Defender SmartScreen

  • 适用于 Microsoft Edge 的 SmartScreen需要打开Microsoft Defender SmartScreen,并阻止用户将其关闭。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会打开 SmartScreen,并允许用户打开和关闭它。

    Microsoft Edge 使用启用) Microsoft Defender SmartScreen (来保护用户免受潜在钓鱼欺诈和恶意软件的侵害。

    Browser/AllowSmartScreen CSP

  • 恶意网站访问“阻止”可阻止用户忽略Microsoft Defender SmartScreen 筛选器警告,并阻止他们访问站点。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户忽略警告并继续访问站点。

    Browser/PreventSmartScreenPromptOverride CSP

  • 未经验证的文件下载“阻止”可阻止用户忽略Microsoft Defender SmartScreen 筛选器警告,并阻止他们下载未经验证的文件。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户忽略警告,并继续下载未经验证的文件。

    Browser/PreventSmartScreenPromptOverrideForFiles CSP

Windows 聚焦

这些设置使用 体验策略 CSP,该策略还列出了受支持的 Windows 版本。

  • Windows 聚焦“阻止” 可关闭锁屏界面上的 Windows 聚焦、Windows 提示、Microsoft使用者功能和其他相关功能。 如果目标是尽量减少来自设备的网络流量,请选择“ ”。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Windows 聚焦功能,并且可能由用户控制。

    Experience/AllowWindowsSpotlight CSP

    设置为 “未配置”时,还可以允许或阻止以下设置:

    • 锁屏界面上的 Windows 聚焦“阻止” 可阻止 Windows 聚焦在设备锁屏界面上显示信息。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在锁屏上显示 Windows 聚焦信息。

      Experience/ConfigureWindowsSpotlightOnLockScreen CSP

    • Windows 聚焦中的第三方建议“阻止” 可阻止 Windows 聚焦建议Microsoft未发布的内容。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许合作伙伴提供的应用和内容建议,并在“开始”菜单和 Windows 提示中显示建议的应用。

      Experience/AllowThirdPartySuggestionsInWindowsSpotlight CSP

    • 使用者功能“阻止 ”会关闭通常面向使用者的体验,例如开始建议、成员身份通知、现成体验应用安装和重定向磁贴。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。

      Experience/AllowWindowsConsumerFeatures CSP

    • Windows 提示阻止 禁用弹出 Windows 提示。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许显示 Windows 提示。

      Experience/AllowWindowsTips CSP

    • 操作中心中的 Windows 聚焦“阻止” 会阻止 Windows 聚焦通知显示在操作中心。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在操作中心显示通知,这些通知建议应用或功能,以帮助用户在 Windows 上提高工作效率。

      Experience/AllowWindowsSpotlightOnActionCenter CSP

    • Windows 聚焦个性化“阻止” 可阻止 Windows 使用诊断数据为用户提供自定义体验。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许Microsoft使用诊断数据来提供个性化建议、提示和产品/服务,以便根据用户的需求定制 Windows。

      Experience/AllowTailoredExperiencesWithDiagnosticData CSP

    • Windows 欢迎体验“阻止” 关闭 Windows 聚焦 Windows 欢迎体验功能。 当 Windows 及其应用有更新和更改时,不会显示 Windows 欢迎体验。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Windows 欢迎体验,向用户显示有关新功能或更新功能的信息。

      Experience/AllowWindowsSpotlightWindowsWelcomeExperience CSP

Microsoft Defender 防病毒

这些设置使用 Defender 策略 CSP,其中还列出了受支持的 Windows 版本。

  • 实时监视启用 可打开恶意软件、间谍软件和其他不需要的软件的实时扫描。 用户无法将其关闭。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 会启用此功能,并允许用户对其进行更改。

    如果启用此设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowRealtimeMonitoring CSP

  • 行为监视启用 会打开行为监视,并检查设备上可疑活动的某些已知模式。 用户无法关闭行为监视。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用“行为监视”,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowBehaviorMonitoring CSP

  • 网络检查系统 (NIS) :NIS 有助于保护设备免受基于网络的攻击。 它使用来自 Microsoft Endpoint Protection 中心的已知漏洞签名来帮助检测和阻止恶意流量。

    • 启用:启用网络保护和网络阻止。 用户无法将其关闭。 启用后,将阻止用户连接到已知漏洞。

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 会打开 NIS,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/EnableNetworkProtection CSP

  • 扫描所有下载内容: “启用” 将打开此设置,并且 Defender 会扫描从 Internet 下载的所有文件。 用户无法关闭此设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会打开此设置,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowIOAVProtection CSP

  • 扫描Microsoft Web 浏览器中加载的脚本启用 允许 Defender 扫描 Internet Explorer 中使用的脚本。 用户无法关闭此设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会打开此设置,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowScriptScanning CSP

  • 最终用户对 Defender 的访问:阻止对用户隐藏Microsoft Defender用户界面。 所有Microsoft Defender通知也会被禁止显示。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户访问Microsoft Defender UI,并允许用户对其进行更改。

    如果阻止设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    当此设置发生更改时,它会在下次重启设备时生效。

    Defender/AllowUserUIAccess CSP

  • 安全智能更新间隔 ((以小时为单位) ):输入 Defender 检查新安全智能的间隔(从 0 到 24)。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 操作系统默认值可能每 8 小时检查更新一次。
    • 请勿检查:Defender 不会为新的安全智能更新检查。
    • 1-241 每小时检查一次、 2 每两小时检查一次、 24 每天检查一次等。

    Defender/SignatureUpdateInterval CSP

  • 监视文件和程序活动:允许 Defender 监视设备上的文件和程序活动。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 操作系统默认值可以监视所有文件。
    • 监视已禁用
    • 监视所有文件
    • 仅监视传入的文件
    • 仅监视传出文件

    Defender/RealTimeScanDirection CSP

  • 删除隔离的恶意软件之前的天数:在输入的天数内继续跟踪已解决的恶意软件,以便可以手动检查以前受影响的设备。

    如果未配置此设置或将其设置为 0 天,恶意软件将保留在“隔离”文件夹中,并且不会自动删除。 90设置为 时,隔离项目在系统上存储 90 天,然后删除。

    Defender/DaysToRetainCleanedMalware CSP

  • 扫描期间的 CPU 使用率限制:限制允许扫描使用的 CPU 量(从 0 百分比到 100 百分比)。 默认情况下,OS 可能会将其设置为 50%。

    Defender/AvgCPULoadFactor CSP

  • 扫描存档文件启用 会打开 Defender,以便扫描存档文件,例如 Zip 或 Cab 文件。 用户无法关闭此设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用此扫描,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowArchiveScanning CSP

  • 扫描传入邮件启用 允许 Defender 在电子邮件到达设备时扫描这些邮件。 启用后,引擎会分析邮箱和邮件文件以分析邮件正文和附件。 可以扫描 .pst (Outlook) 、.dbx、.mbx、MIME (Outlook Express) 和 BinHex (Mac) 格式。

    设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 会关闭此扫描,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowEmailScanning CSP

  • 在完全扫描期间扫描可移动驱动器启用 会在完全扫描期间启用 Defender 可移动驱动器扫描。 用户无法关闭此设置。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许 Defender 扫描可移动驱动器(如 U 盘),并允许用户更改此设置。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    在快速扫描期间,仍可能扫描可移动驱动器。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowFullScanRemovableDriveScanning CSP

  • 在完全扫描期间扫描映射的网络驱动器启用后 ,Defender 会扫描映射网络驱动器上的文件。 如果驱动器上的文件是只读的,Defender 无法删除其中发现的任何恶意软件。 用户无法关闭此设置。

    设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 会启用此功能,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    在快速扫描期间,仍可能扫描映射的网络驱动器。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowFullScanOnMappedNetworkDrives CSP

  • 扫描从网络文件夹打开的文件启用 后 ,Defender 会扫描从网络文件夹或共享网络驱动器打开的文件,例如从 UNC 路径访问的文件。 用户无法关闭此设置。 如果驱动器上的文件是只读的,Defender 无法删除其中发现的任何恶意软件。

    设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 会扫描从网络文件夹打开的文件,并允许用户对其进行更改。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowScanningNetworkFiles CSP

  • 云保护“启用” 可打开Microsoft Active Protection 服务,以从你管理的设备接收有关恶意软件活动的信息。 用户无法更改此设置。

    设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 允许Microsoft Active Protection 服务接收信息,并允许用户更改此设置。

    如果启用设置,然后将其改回“未配置”,则Intune将设置保留为其以前配置的状态。

    Intune不会关闭此功能。 若要禁用它,请使用自定义 URI。

    Defender/AllowCloudProtection CSP

  • 在提交示例之前提示用户:控制是否自动将可能需要进一步分析的潜在恶意文件发送到Microsoft。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 操作系统默认值可以自动发送安全示例。
    • 始终提示
    • 发送个人数据前的提示
    • 从不发送数据
    • 在不提示的情况下发送所有数据:数据会自动发送。

    Defender/SubmitSamplesConsent CSP

  • 执行每日快速扫描的时间:选择运行每日快速扫描的时间。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在凌晨 2 点运行此扫描。

    如果需要更多自定义,请配置 要执行的系统扫描类型 设置。

    Defender/ScheduleQuickScanTime CSP

  • 要执行的系统扫描类型:计划系统扫描,包括扫描级别以及运行扫描的日期和时间。 选项包括:

    • 未配置:Intune 不会更改或更新此设置。 不强制设置。 用户可以根据需要或需要在其设备上手动运行扫描。
    • 禁用:禁用设备上的任何系统扫描。 如果使用扫描设备的合作伙伴防病毒解决方案,请选择此选项。
    • 快速扫描:查看可能存在恶意软件注册的常见位置,例如注册表项和已知的 Windows 启动文件夹。
      • 计划日期:选择运行扫描的日期。
      • 计划时间:选择运行扫描的小时。
    • 完全扫描:查看可能注册恶意软件的常见位置,并扫描设备上的每个文件和文件夹。
      • 计划日期:选择运行扫描的日期。
      • 计划时间:选择运行扫描的小时。

    提示

    此设置可能与 执行每日快速扫描的时间 设置冲突。 一些建议:

    • 如果要计划每日快速扫描和每周完全扫描,则:

      1. 配置 执行每日快速扫描的时间 设置。
      2. 配置 要执行的系统扫描类型 以执行完全扫描。
    • 如果只需要每天一次快速扫描 (没有完全扫描) ,请使用以下任一设置: 执行每日快速扫描的时间要执行的系统扫描类型。 例如,若要在每周二上午 6 点运行快速扫描,请配置 要执行的系统扫描类型 设置。

    • 不要将 “执行每日快速扫描的时间 ”设置与要 执行的系统扫描类型 设置为“ 快速扫描”同时进行配置。 这些设置可能会发生冲突,并且扫描可能不会运行。

    Defender/ScanParameter CSP
    Defender/ScheduleScanDay CSP
    Defender/ScheduleScanTime CSP

  • 检测可能不需要的应用程序:此功能可识别并阻止可能不需要的应用程序 (PUA) 在网络中下载和安装。 这些应用程序不被视为病毒、恶意软件或其他类型的威胁。 但是,他们可以在可能影响其性能或使用的终结点上运行操作。 当 Windows 检测到 PUA 时,选择保护级别。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,Microsoft Defender可能会禁用此功能。
    • 关闭禁用:PUA 保护关闭。
    • 启用:Microsoft Defender检测 PUA,检测到的项被阻止。 这些项与其他威胁一起显示在历史记录中。
    • 审核:Microsoft Defender检测到 PUA,但不执行任何操作。 可以查看Microsoft Defender将对其执行操作的应用程序的相关信息。 例如,在事件查看器中搜索由 Microsoft Defender 创建的事件。

    Endpoint Security>防病毒>Microsoft Defender防病毒>修正中,此设置称为对可能不需要的应用程序执行的操作

    有关可能不需要的应用的详细信息,请参阅 检测和阻止可能不需要的应用程序

    Defender/PUAProtection CSP

  • 提交示例同意:目前,此设置没有影响。 请勿使用此设置。 将来的版本中可能会删除它。

  • 访问保护阻止 会阻止扫描已访问或下载的文件。 用户无法将其打开。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用此功能,并允许用户更改此功能。

    如果阻止设置,然后将其改回“未配置”,则Intune将设置保留为其以前 OS 配置的状态。

    Intune不启用此功能。 若要启用它,请使用自定义 URI。

    Defender/AllowOnAccessProtection CSP

  • 针对检测到的恶意软件威胁执行的操作:选择“ 启用 ”,选择希望 Defender 针对它检测到的每个威胁级别执行的操作:低、中、高和严重。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会允许Microsoft Defender选择最佳选项。

    设置为 “启用”时,选择操作:

    • Clean
    • 隔离
    • Remove
    • 允许
    • 用户定义
    • 阻止

    如果无法执行操作,则Microsoft Defender选择最佳选项来确保威胁得到修正。

    Defender/ThreatSeverityDefaultAction CSP

Microsoft Defender防病毒排除项

可以通过修改排除列表,从防病毒扫描Microsoft Defender排除某些文件。 通常,不需要应用排除项。 Microsoft Defender防病毒包括一些基于已知 OS 行为和典型管理文件(例如企业管理、数据库管理和其他企业方案和情况中使用的文件)的自动排除项。

警告

定义排除项会降低Microsoft Defender防病毒提供的保护。 始终评估与实现排除项相关的风险。 仅排除已知不是恶意的文件。

  • 要从扫描和实时保护中排除的文件和文件夹:将一个或多个文件和文件夹(如 C:\Path%ProgramFiles%\Path\filename.exe )添加到排除项列表。 这些文件和文件夹不包含在任何实时或计划扫描中。
  • 要从扫描和实时保护中排除的文件扩展名:将一个或多个文件扩展名(如 jpgtxt )添加到排除列表。 任何具有这些扩展名的文件都不包含在任何实时扫描或计划扫描中。
  • 要从扫描和实时保护中排除的进程:将 .exe.com.scr 类型的一个或多个进程添加到排除列表。 这些进程不包含在任何实时扫描或计划扫描中。

有关详细信息,请参阅Microsoft Defender文档中的排除项概述

电源设置

这些设置使用 电源策略 CSP,该 CSP 还列出了受支持的 Windows 版本。

电池

  • 用于打开节能器的电池电量:当设备使用电池电源时,输入电池电量以打开节能器,从 0 到 100。 输入指示电池电量的百分比值。 例如,当设置为 80时,当电池的电量为 80% 或更少时,节能器将打开。

    如果未输入值,Intune不会更改或更新此设置。 默认情况下,OS 可能会将其设置为 70%。

    Power/EnergySaverBatteryThresholdOnBattery CSP

  • 盖关闭 (移动设备仅) :当设备使用电池电源时,请选择盖子关闭时发生的情况。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户控制此设置。
    • 无操作:设备保持打开状态,并继续使用电池电源。
    • 睡眠:设备进入睡眠模式,并使用少量的电池电量。 计算机仍处于打开状态,打开的应用和文件存储在随机访问内存中, (RAM) 。
    • 休眠:设备进入休眠模式。 打开的应用和文件存储在硬盘上,设备关闭。
    • 关闭:设备关闭。 打开的应用和文件在未保存的情况下关闭。

    Power/SelectLidCloseActionOnBattery CSP

  • 电源按钮:当设备使用电池电源时,请选择选择“电源”按钮时发生的情况。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户控制此设置。
    • 无操作:设备保持打开状态,并继续使用电池电源。
    • 睡眠:设备进入睡眠模式,并使用少量的电池电量。 计算机仍处于打开状态,打开的应用和文件存储在随机访问内存中, (RAM) 。
    • 休眠:设备进入休眠模式。 打开的应用和文件存储在硬盘上,设备关闭。
    • 关闭:设备关闭。 打开的应用和文件在未保存的情况下关闭。

    Power/SelectPowerButtonActionOnBattery CSP

  • 睡眠按钮:当设备使用电池电源时,请选择“睡眠”按钮处于选中状态时发生的情况。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户控制此设置。
    • 无操作:设备保持打开状态,并继续使用电池电源。
    • 睡眠:设备进入睡眠模式,并使用少量电池电量。 计算机仍处于打开状态,打开的应用和文件存储在随机访问内存中, (RAM) 。
    • 休眠:设备进入休眠模式。 打开的应用和文件存储在硬盘上,设备关闭。
    • 关闭:设备关闭。 打开的应用和文件在未保存的情况下关闭。

    Power/SelectSleepButtonActionOnBattery CSP

  • 混合睡眠:当设备使用电池电源时,选择允许或禁用混合睡眠模式。

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户控制此设置。
    • 启用:设备可以进入混合睡眠模式。 打开的应用和文件存储在随机访问内存 (RAM) 中,并存储在硬盘上。 它使用少量的电池电量。
    • 禁用:防止设备进入混合睡眠模式。

    Power/TurnOffHybridSleepOnBattery CSP

PluggedIn

  • 用于打开节能器的电池电量:当设备接通电源时,输入电池充电水平以打开节能器(从 0 到 100)。 输入指示电池电量的百分比值。 例如,当设置为 80时,当电池的电量为 80% 或更少时,节能器将打开。

    如果未输入值,Intune不会更改或更新此设置。 默认情况下,OS 可能会将其设置为 70%。

    Power/EnergySaverBatteryThresholdPluggedIn CSP

  • 盖关闭 (移动设备仅) :当设备接通电源时,选择盖子关闭时发生的情况。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。

    • 无操作:设备保持打开状态。

    • 睡眠:设备进入睡眠模式。 计算机仍处于打开状态,打开的应用和文件存储在随机访问内存中, (RAM) 。

    • 休眠:设备进入休眠模式。 打开的应用和文件存储在硬盘上,设备关闭。

    • 关闭:设备关闭。 打开的应用和文件在未保存的情况下关闭。

      Power/SelectLidCloseActionPluggedIn CSP

  • 电源按钮:设备接通电源后,选择选择“电源”按钮时发生的情况。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。
    • 无操作:设备保持打开状态。
    • 睡眠:设备进入睡眠模式。 计算机仍处于打开状态,打开的应用和文件存储在随机访问内存中, (RAM) 。
    • 休眠:设备进入休眠模式。 打开的应用和文件存储在硬盘上,设备关闭。
    • 关闭:设备关闭。 打开的应用和文件在未保存的情况下关闭。

    Power/SelectPowerButtonActionPluggedIn CSP

  • “睡眠”按钮:设备接通电源后,选择“睡眠”按钮处于选中状态时发生的情况。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。
    • 无操作:设备保持打开状态。
    • 睡眠:设备进入睡眠模式。 计算机仍处于打开状态,打开的应用和文件存储在随机访问内存中, (RAM) 。
    • 休眠:设备进入休眠模式。 打开的应用和文件存储在硬盘上,设备关闭。
    • 关闭:设备关闭。 打开的应用和文件在未保存的情况下关闭。

    Power/SelectSleepButtonActionPluggedIn CSP

  • 混合睡眠:当设备接通电源时,选择允许或禁用混合睡眠模式。

    • 配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能允许用户控制此设置。
    • 启用:设备可以进入混合睡眠模式。 打开的应用和文件存储在随机访问内存 (RAM) 中,并存储在硬盘上。
    • 禁用:防止设备进入混合睡眠模式。

    Power/TurnOffHybridSleepPluggedIn CSP

后续步骤

有关每个设置和支持哪些版本的 Windows 的其他技术详细信息,请参阅 Windows 10/11 策略 CSP 参考

分配配置文件监视其状态