Windows 365启动物理设备旨在让用户与其云电脑交互,而无法与物理设备交互。 若要实现此目标,必须 (CSP) 策略设置一些配置服务提供程序。
Windows 365 Boot 不会自动设置这些策略来完全限制最终用户访问物理设备上的某些资源。 管理员应查看以下 CSP,并决定在物理设备上实施哪些 CSP 以满足组织的安全要求。
使用配置策略,还可以允许用户从 CTRL-ALT-DEL 屏幕和/或云电脑错误屏幕访问物理电脑。
允许用户访问物理设备
使用物理设备访问策略,可以允许用户访问物理电脑。 用户可能希望在以下情况下访问物理电脑:
- 在 Internet 中断或) Microsoft服务中断期间登录到云电脑 (。
- 登录到强制 Wi-Fi。
用户可以从 CTRL-ALT-DEL 屏幕或错误屏幕(由管理员配置)访问物理电脑。 当用户在任一屏幕上选择“ 返回到物理电脑登录 ”按钮时,他们就会被带到物理设备上的登录屏幕。 若要返回到云电脑登录页,用户可以锁定或注销物理电脑。
对于任意一组用户,可以选择用户是从 CTRL-ALT-DEL 屏幕、错误屏幕这两者访问物理电脑,还是两者均无权访问物理电脑。 默认值也不 为 。 更改设置后,用户可以看到 “返回到物理登录 ”按钮。
管理员使用 “分配 ”选项卡中的引导式启动方案或手动配置此策略。 有关详细信息,请参阅 配置服务提供程序 - User/EnablePhysicalDeviceAccessOnCtrlAltDel 和 配置服务提供程序 - User/EnablePhysicalDeviceAccessOnErrorScreens。
Windows 365启动到云支持以下 Windows 版本及更高版本的物理设备访问策略:
- Windows 11版本 23H2 OS 内部版本 22621.4249 或更高版本。
阻止访问物理设备的任务管理器
在Windows 365启动中,当用户按 Ctrl+Alt+Delete 时,可以访问本地设备的任务管理器。 可以使用 DisableTaskMgr CSP 策略禁用任务管理器。
此策略阻止所有用户(包括管理员)在系统中使用任务管理器。 它还会阻止在物理设备上使用快捷键启动任务管理器。 虽然此策略提高了设备的安全性,但缺乏对物理设备的访问权限使得对设备上的问题进行故障排除更加困难。
阻止用户更改物理设备的密码
Windows 365启动物理设备不支持更改用户密码。 如果在环境中使用此选项,则可以禁用此选项,以避免使用 DisableChangePassword CSP 策略使用户感到困惑。
设置默认凭据提供程序
Windows 365启动专为共享电脑模式设计。 此模式需要用户名和密码身份验证方法。 根据你的环境,可能会配置其他身份验证提供程序,并且可能会使用户感到困惑。 为了避免这种混淆,请考虑将默认凭据提供程序设置为用户名和密码。 若要设置此默认值,请使用 DefaultCredentialProvider CSP 策略。
从任务栏中删除通知和作中心
如果设备具有触摸屏,则用户可以与物理设备的通知中心和日历视图进行交互。 这些组件还允许用户启动Windows 365启动物理设备的“设置”应用。 若要删除用户访问这些组件的能力,请使用 DisableNotificationCenter CSP 策略。
阻止物理设备通知
来自Windows 365启动物理设备的通知可以通过云电脑会话显示。 若要防止此类通知,请使用 NoToastNotification CSP 策略。
防止在用户登录期间自动启动应用
Windows 365启动物理设备上的某些应用程序可能配置为在用户登录期间自动启动。 若要防止这种首要行为,请使用 DisableExplorerRunLegacy_1 CSP 策略。
改进触摸屏设备上的登录
触摸屏设备要求在用户登录期间显示触摸屏键盘。 在Windows 365启动触摸屏设备上,可以使用 EnableTouchKeyboardAutoInvokeInDesktopMode CSP 策略改进登录体验。