共用方式為


裝置原則

設定新的 Microsoft 受管理的電腦裝置時,我們會確保設定已優化 Microsoft 受管理的電腦。

此設定包含一組設定為上線流程一部分的預設原則。 盡可能使用行動裝置管理 (MDM) 傳遞這些原則。 如需詳細資訊,請參閱 行動裝置管理

注意事項

若要避免衝突,請勿變更這些原則。

裝置會使用簽章映射抵達,然後在第一個使用者登入時加入 Microsoft Entra 網域。 裝置會自動安裝必要的原則與應用程式,而不需要您的 IT 人員介入。

預設原則

下表強調在裝置佈建期間,所有 Microsoft 受管理的電腦裝置所適用的預設原則。 所有偵測到的物件變更 (未由 Microsoft 受管理的電腦作業小組核准且由 Microsoft 受管理電腦管理) 都會還原。

原則 描述
安全性基準 已針對所有 Microsoft 受管理電腦裝置設定行動裝置管理的 Microsoft 安全性基準。 此基準是業界標準設定。 它公開發行、經過妥善測試,並經過 Microsoft 安全性專家檢閱,以確保 Microsoft 受管理電腦裝置和應用程式在新式工作場所中的安全性。

為了減輕不斷演變的安全性威脅情況中的威脅,Microsoft 安全性基準將會更新,並隨著每個 Windows 10 功能更新部署到 Microsoft 受管理的電腦裝置。

如需詳細資訊,請參閱 Windows 安全性基準
Microsoft 受管理的電腦建議的安全性範本 此範本是一組建議的安全性基準變更,可優化使用者體驗。 這些變更會記錄在 安全性附錄 中。 會根據需要更新該原則附錄。
更新部署 使用商務用 Windows Update 來執行軟體更新的漸進式部署。 IT 系統管理員無法修改部署群組原則的設定。 有關以群組為基礎的部署詳細資訊,請參閱如何 在 Microsoft 受管理電腦中處理更新
計量付費連線 根據預設,計量付費連線 (例如 LTE 網路) 的更新會關閉。 不過,每個使用者可以瀏覽至 設定、更新,然後瀏覽至進階選項,以獨立開啟此設定。

如果您想要允許所有使用者啟用計量付費連線更新,請 提交變更要求,這會針對所有裝置開啟此設定。
裝置合規性 已針對所有 Microsoft 受管理電腦裝置來設定這些原則。 裝置偏離我們所需的安全性群組原則時,會報告為不相容。

Windows 診斷資料

裝置將設定為根據已知的商業識別碼提供增強的診斷資料給 Microsoft。 做為 Microsoft 受管理電腦的一部分,IT 系統管理員無法變更這些設定。

對於一般資料保護規定 (GDPR) 地區的客戶,使用者可以減少提供的診斷資料層級,但服務將會減少。 例如,Microsoft 受管理電腦將無法收集必要的資料,以在設定和原則上執行,以獲得最佳的績效和安全性需求。 如需詳細資訊,請參閱 設定貴組織中的 Windows 診斷資料

安全性附錄

本節概述除了 預設原則 中列出的標準 Microsoft 受管理電腦之外,將部署之原則。 此設定在設計時考慮金融服務和高度管制產業,並針對最高安全性進行優化,同時維持使用者生產力。

其他安全性原則

這些原則的新增是為了提高高度管制產業的安全性:

原則 描述
安全性監視 Microsoft 將會監視 使用適用于端點的 Microsoft Defender 的裝置。 如果偵測到威脅,Microsoft 會通知客戶、隔離裝置,並遠端修正問題。
停用 PowerShell V2 Microsoft 于 2017 年 8 月移除 PowerShell V2。

此功能已在所有 Microsoft 受管理的電腦裝置上停用。 如需此變更的資訊,請參閱 Windows PowerShell 2.0 版本。