策略 CSP - 连接
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
AllowBluetooth
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
允许用户启用蓝牙或限制访问。
注意
Windows Phone 8 不支持此值。 1 个 MDM 和 EAS,Windows 10桌面或Windows 10 移动版。 如果未设置或被删除,则使用默认值 2 (Allow) 。 最受限制的值为 0。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 2 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许蓝牙。 如果设置为 0,蓝牙控制面板中的无线电将灰显,用户将无法打开蓝牙。 |
| 2 (默认) | 允许蓝牙。 如果设置为 2,蓝牙控制面板中的无线电将正常工作,并且用户将能够打开蓝牙。 |
AllowCellularData
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowCellularData
允许设备上的手机网络数据通道。 无需重启设备即可强制实施策略。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许手机网络数据通道。 用户无法将其打开。 Windows 10版本 1511 不支持此值。 |
| 1 (默认) | 允许手机网络数据通道。 用户可以将其关闭。 |
| 2 | 允许手机网络数据通道。 用户无法将其关闭。 |
AllowCellularDataRoaming
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowCellularDataRoaming
当客户端在漫游提供程序网络上注册时,此策略设置会阻止客户端连接到移动宽带网络。
如果启用此策略设置,则会阻止到漫游提供程序网络的所有自动和手动连接尝试,直到客户端向主提供商网络注册。
如果未配置或禁用此策略设置,则允许客户端连接到漫游提供商移动宽带网络。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许手机网络数据漫游。 用户无法将其打开。 Windows 10版本 1511 不支持此值。 |
| 1 (默认) | 允许手机网络数据漫游。 |
| 2 | 允许手机网络数据漫游。 用户无法将其关闭。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | WCM_DisableRoaming |
| 友好名称 | 禁止连接到漫游移动宽带网络 |
| 位置 | “计算机配置” |
| 路径 | 网络 > Windows 连接管理器 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\WcmSvc\GroupPolicy |
| 注册表值名称 | fBlockRoaming |
| ADMX 文件名 | WCM.admx |
验证:
若要进行验证,企业可以通过观察 UX 中的漫游启用开关进行确认。 如果企业策略正在强制执行漫游策略,则它将处于非活动状态。 若要在设备上验证,请执行以下步骤:
- 转到“手机网络 & SIM 卡”。
- 单击信号强度图标) 旁边的 SIM (,然后选择 “属性”。
- 在“属性”页上,选择“ 数据漫游选项”。
AllowConnectedDevices
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowConnectedDevices
注意
此策略需要重新启动才能生效。 允许 IT 管理员禁用连接设备平台 (CDP) 组件。 CDP 支持发现并连接到其他设备, (通过 BT/LAN 或云) ,以支持远程应用启动、远程消息传送、远程应用会话和其他跨设备体验。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 禁用 (CDP 服务不可用) 。 |
| 1 (默认) | 允许) (CDP 服务可用。 |
AllowNFC
注意
此策略已弃用,可能会在将来的版本中删除。
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
不适用 | ✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowNFC
此策略已弃用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 已禁用。 |
| 1 (默认) | 已启用。 |
AllowPhonePCLinking
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowPhonePCLinking
此策略允许 IT 管理员关闭将手机与电脑链接的功能,以便继续阅读、发送电子邮件和其他需要在手机和电脑之间链接的任务。
如果启用此策略设置,Windows 设备将能够注册手机-电脑链接功能并参与电脑继续体验。
如果禁用此策略设置,则不允许 Windows 设备链接到手机,将从任何链接的手机的设备列表中删除自身,并且无法参与电脑继续体验。
如果未配置此策略设置,则默认行为取决于 Windows 版本。 对此策略的更改在重新启动时生效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不要链接。 |
| 1 (默认) | 允许手机-电脑链接。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | EnableMMX |
| 友好名称 | 此设备上的手机电脑链接 |
| 位置 | “计算机配置” |
| 路径 | 系统>组策略 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\System |
| 注册表值名称 | EnableMmx |
| ADMX 文件名 | GroupPolicy.admx |
验证:
如果 Connectivity/AllowPhonePCLinking 策略配置为值 0,则设置中的“电话”部分中的“添加电话”按钮将灰显,单击该按钮不会启动用户输入其电话号码的窗口。
以前已选择加入 MMX 的设备也将停止显示在设备列表中。
AllowUSBConnection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
❌ 专业版 ❌ 企业版 ❌ 教育版 ❌ Windows SE ❌ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowUSBConnection
注意
目前,此策略仅在 HoloLens 2、HoloLens (第一代) 商业套件和 HoloLens (第一代) 开发版中受支持。 启用设备和计算机之间的 USB 连接,以将文件与设备同步,或使用开发人员工具来部署或调试应用程序。 更改此策略不会影响 USB 充电。 强制执行此策略时,将禁用媒体传输协议 (MTP) 和 IP over USB。 最受限制的值为 0。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
AllowVPNOverCellular
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowVPNOverCellular
指定允许 VPN 使用的基础连接类型。 最受限制的值为 0。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许通过手机网络使用 VPN。 |
| 1 (默认) | VPN 可以使用任何连接,包括手机网络。 |
AllowVPNRoamingOverCellular
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowVPNRoamingOverCellular
当设备通过手机网络漫游时,阻止设备连接到 VPN。 最受限制的值为 0。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
DiablePrintingOverHTTP
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/DiablePrintingOverHTTP
此策略设置指定是否允许从此客户端通过 HTTP 进行打印。
通过 HTTP 打印允许客户端在 Intranet 和 Internet 上打印到打印机。
注意
此策略设置仅影响 Internet 打印的客户端。 它不会阻止此计算机充当 Internet 打印服务器,并通过 HTTP 使其共享打印机可用。
如果启用此策略设置,则会阻止此客户端通过 HTTP 打印到 Internet 打印机。
如果禁用或未配置此策略设置,用户可以选择通过 HTTP 打印到 Internet 打印机。
另请参阅计算机配置/管理模板/打印机中的“基于 Web 的打印”策略设置。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DisableHTTPPrinting_2 |
| 友好名称 | 关闭通过 HTTP 进行打印 |
| 位置 | “计算机配置” |
| 路径 | InternetManagement > Internet Communication 设置 |
| 注册表项名称 | Software\Policies\Microsoft\Windows NT\Printer |
| 注册表值名称 | DisableHTTPPrinting |
| ADMX 文件名 | ICM.admx |
DisableDownloadingOfPrintDriversOverHTTP
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/DisableDownloadingOfPrintDriversOverHTTP
此策略设置指定是否允许此客户端通过 HTTP 下载打印驱动程序包。
若要设置 HTTP 打印,需要通过 HTTP 下载非收件箱驱动程序。
注意
此策略设置不会阻止客户端通过 HTTP 打印到 Intranet 或 Internet 上的打印机。 它仅禁止下载尚未在本地安装的驱动程序。
如果启用此策略设置,则无法通过 HTTP 下载打印驱动程序。
如果禁用或未配置此策略设置,用户可以通过 HTTP 下载打印驱动程序。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DisableWebPnPDownload_2 |
| 友好名称 | 关闭通过 HTTP 下载打印驱动程序 |
| 位置 | “计算机配置” |
| 路径 | InternetManagement > Internet Communication 设置 |
| 注册表项名称 | Software\Policies\Microsoft\Windows NT\Printer |
| 注册表值名称 | DisableWebPnPDownload |
| ADMX 文件名 | ICM.admx |
DisableInternetDownloadForWebPublishingAndOnlineOrderingWizards
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/DisableInternetDownloadForWebPublishingAndOnlineOrderingWizards
此策略设置指定 Windows 是否应下载用于 Web 发布和联机排序向导的提供程序列表。
这些向导允许用户从提供在线存储和摄影打印等服务的公司列表中选择。 默认情况下,除了注册表中指定的提供程序外,Windows 还显示从 Windows 网站下载的提供程序。
如果启用此策略设置,则 Windows 不会下载提供程序,并且仅显示在本地注册表中缓存的服务提供商。
如果禁用或未配置此策略设置,当用户使用 Web 发布或联机排序向导时,将下载提供程序列表。
有关详细信息,请参阅 Web 发布和联机排序向导的文档,包括有关在注册表中指定服务提供程序的详细信息。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | ShellPreventWPWDownload_2 |
| 友好名称 | 关闭 Web 发布和在线订购向导的 Internet 下载 |
| 位置 | “计算机配置” |
| 路径 | InternetManagement > Internet Communication 设置 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
| 注册表值名称 | NoWebServices |
| ADMX 文件名 | ICM.admx |
DisallowNetworkConnectivityActiveTests
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/DisallowNetworkConnectivityActiveTests
此策略设置关闭 Windows 网络连接状态指示器 (NCSI) 执行的活动测试,以确定计算机是连接到 Internet 还是连接到受限网络。
作为确定连接级别的一部分,NCSI 执行以下两个活动测试之一:从专用 Web 服务器下载页面或对专用地址发出 DNS 请求。
如果启用此策略设置,NCSI 不会运行这两个活动测试中的任何一个。 这可能会降低 NCSI 和使用 NCSI 的其他组件确定 Internet 访问的能力。
如果禁用或未配置此策略设置,NCSI 将运行两个活动测试之一。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 描述 |
|---|---|
| 1 | 允许。 |
| 0(默认值) | 阻止。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | NoActiveProbe |
| 友好名称 | 关闭 Windows 网络连接状态指示器活动测试 |
| 位置 | “计算机配置” |
| 路径 | InternetManagement > Internet Communication 设置 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator |
| 注册表值名称 | NoActiveProbe |
| ADMX 文件名 | ICM.admx |
HardenedUNCPaths
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/HardenedUNCPaths
此策略设置配置对 UNC 路径的安全访问。
如果启用此策略,则 Windows 仅允许在满足其他安全要求后访问指定的 UNC 路径。
有关详细信息,请参阅 MS15-011:组策略中的漏洞可能允许远程代码执行。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | Pol_HardenedPaths |
| 友好名称 | 强化的 UNC 路径 |
| 位置 | “计算机配置” |
| 路径 | 网络 > 提供商 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths |
| ADMX 文件名 | NetworkProvider.admx |
ProhibitInstallationAndConfigurationOfNetworkBridge
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Connectivity/ProhibitInstallationAndConfigurationOfNetworkBridge
确定用户是否可以安装和配置网络网桥。
重要提示
此设置可识别位置。 仅当计算机连接到该计算机刷新设置时连接到的同一 DNS 域网络时,它才适用。 如果计算机连接到 DNS 域网络,而不是刷新设置时连接到的 DNS 域网络,则此设置不适用。
网桥允许用户创建第 2 层 MAC 网桥,使他们能够将两个或多个网络网桥连接在一起。 此连接显示在“网络Connections”文件夹中。
如果禁用此设置或未配置此设置,用户将能够创建和修改网络网桥的配置。 启用此设置不会从用户计算机中删除现有网桥。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | NC_AllowNetBridge_NLA |
| 友好名称 | 禁止在 DNS 域网络上安装和配置网桥 |
| 位置 | “计算机配置” |
| 路径 | 网络>网络Connections |
| 注册表项名称 | Software\Policies\Microsoft\Windows\Network Connections |
| 注册表值名称 | NC_AllowNetBridge_NLA |
| ADMX 文件名 | NetworkConnections.admx |