設定 IT 專業人員的服務提供者

本文說明 IT 專業人員和系統管理員如何利用許多透過設定服務提供者提供的設定, (CSP) 來設定在其組織中執行 Windows 用戶端的裝置。 CSP 會在 Windows 用戶端中公開裝置組態設定。 CSP 由行動裝置管理 (MDM) 服務提供者使用,並記載於 硬體開發人員中心

什麼是 CSP?

在用戶端操作系統中,CSP 是布建檔中指定的組態設定與裝置上組態設定之間的介面。 CSP 類似於 群組原則 客戶端擴充功能,因為它們提供介面來讀取、設定、修改或刪除指定功能的組態設定。 一般而言,這些設定會對應至登錄機碼、檔案或許可權。 其中有些設定是可設定的,有些則是只讀的。

在 Windows 用戶端平臺上,桌面電腦的管理方法會使用 CSP 來設定和管理所有執行 Windows 用戶端的裝置。

每個 CSP 都提供對特定設定的存取。 例如,Wi-Fi CSP 包含可用於建立 Wi-Fi 設定檔的設定。

CSP 支援許多 Windows 用戶端的管理工作和原則,包括 Microsoft Intune 和非 Microsoft MDM 服務提供者。 例如在 Intune 中,允許 Microsoft Edge 網址列之搜尋建議的原則,便是使用原則 CSP 中的 Browser/AllowSearchSuggestionsinAddressBar

Intune 如何對應至 CSP

CSP 會以 XML 型同步處理標記語言 (SyncML) 格式接收設定原則,從符合 MDM 規範的管理伺服器推送,例如 Microsoft Intune。 傳統企業管理系統,例如 Microsoft Configuration Manager,也可以使用用戶端 Windows Management Instrumentation (WMI) 對 CSP 網橋,以 CSP 為目標。

同步處理標記語言 (SyncML)

Open Mobile Alliance 裝置管理 (OMA-DM) 通訊協定會使用以 XML 為基礎的 SyncML,在相容的伺服器和客戶端之間進行數據交換。 SyncML 提供開放式標準做為廠商特定管理解決方案 (例如 WMI) 之外的替代解決方案。 企業採用業界標準管理通訊協定的價值,在於可以透過單一平台 (例如 Microsoft Intune) 管理更為廣泛的廠商裝置。 裝置原則 (包括 VPN 連線設定檔) 將會以 SyncML 的格式傳遞至用戶端裝置。 目標 CSP 會讀取此資訊,並套用必要的設定。

WMI 至 CSP 橋接器

WMI 對 CSP 網橋是一個元件,可讓您使用腳本和傳統企業管理軟體來設定 Windows 用戶端 CSP,例如使用 WMI Configuration Manager。 橋接器負責讀取 WMI 命令,並透過稱為「通用裝置設定程式」的元件將它們傳遞至 CSP 以應用於裝置上。

了解透過 PowerShell 使用 WMI 橋接器提供者的方式。

為什麼您應該了解 CSP?

一般而言,企業依賴群組原則或 MDM 來設定並管理裝置。 針對執行 Windows 的裝置,MDM 服務會使用 CSP 來設定您的裝置。

此外,您可能有非受控裝置,或是您想要在管理中註冊前設定的大量裝置。 您可能也想要套用無法透過 MDM 服務使用的自訂設定。 CSP 文件可以協助您了解可設定或查詢的設定。 您也可以瞭解所有可用的組態設定。

Windows 設定設計工具中的 CSP

您可以使用 Windows 設定 Designer 來建立布建套件,以在全新體驗期間 (OOBE) ,以及設定裝置之後,將設定套用至裝置。 您也可以使用布建套件來設定裝置的連線能力,並在 MDM 中註冊裝置。 Windows 設定設計工具中的許多執行階段設定都是以 CSP 為基礎。

Windows 設定設計工具中的許多設定將會在中央窗格中顯示該設定的文件,且會在該設定使用 CSP 的情況下包含對該 CSP 的參考,如下圖所示。

在 Windows 組態 Designer 中,說明內容如何出現在 ICD 中。

在 Windows 用戶端中布建套件說明如何使用 Windows 設定 Designer 工具來建立運行時間布建套件。

MDM 中的 CSP

大部分 (若非全部) 的 CSP 都是透過您的 MDM 服務呈現。 若您看到能提供您想要使用之功能的 CSP,卻無法在您的 MDM 服務中找到該功能,請連絡您的 MDM 提供者以尋求協助。 其名稱可能與您預期的名稱不同。 您可以在設定服務提供者參考中查看 MDM 支援的 CSP。

在 CSP 可用,卻未明確包含在您 MDM 解決方案中的情況下,您可能可以透過使用 OMA-URI 設定來使用該 CSP。 例如,您在 Intune 中可以使用 自訂原則設定 來部署設定。 Intune 會記錄您可以在自訂原則的 OMA-URI 設定 區段中輸入的 部分設定清單 ,前提是您的 MDM 服務提供該延伸模組。 您將會注意到該清單並沒有說明允許與預設之值背後的意義,因此請使用 CSP 參考文件 來找出該資訊。

鎖定 XML 中的 CSP

如何使用 CSP 文件?

所有 CSP 都會記載在設定 服務提供者參考中。

CSP 參考會告訴您每個 Windows 版本都支援哪些 CSP,以及每個個別 CSP 的文件連結。

CSP 參考顯示支援的 Windows 版本

每個 CSP 的文件都遵循相同的結構。 在簡介說明 CSP 用途之後,會有以樹狀目錄格式顯示該 CSP 各組件的圖表。

特定組態設定的完整路徑,是由它的開放行動聯盟統一資源識別元 (OMA-URI) 來代表。 URI 相對於裝置的根節點 (MSFT,例如) 。 由特定 CSP 所支援的功能,可以透過指定完整的 OMA-URI 路徑來設定。

下列範例顯示 AssignedAccess CSP 的圖表。 該圖表對應至該 CSP 的 XML。 請注意圖表中的不同圖形:圓角元素是節點,而矩形元素則是必須提供值的設定或原則。

CSP 參考會顯示指派的存取權 CSP 樹狀結構。

在樹狀目錄圖中,位於根節點之後的元素能告訴您該 CSP 的名稱。 只要知道這個結構,您便能在 XML 中辨識該 CSP URI 路徑的各個組件,而且如果您是以 XML 格式查看它,便能知道需要尋找的 CSP 參考。 例如,在 kiosk 模式應用程式設定的下列 OMS-URI 路徑中,您可以看到它使用 AssignedAccess CSP

./Vendor/MSFT/AssignedAccess/KioskModeApp

當圖表中的專案使用 斜體 字型時,它會指出特定資訊的佔位元,例如下列範例中的租使用者標識符。

CSP 樹狀結構中的佔位元

文件將會在圖表之後說明每個元素。 針對每個原則或設定,將會列出有效的值。

例如,在 AssignedAccess CSP中,設定是 KioskModeApp。 該文件可讓您知道 KioskModeApp 的值是 JSON 字串,並包含 Kiosk 模式 App 的使用者帳戶名稱和應用程式使用者模型識別碼 (AUMID)。

大部分 CSP 的文件也會包含 XML 範例。

CSP 範例

CSP 可讓您存取許多對企業有用的設定。 本節介紹企業可能覺得有用的 CSP。

  • 原則 CSP

    原則 CSP 可讓企業在 Windows 用戶端上設定原則。 在這些原則設定中,有一部分也可以使用群組原則進行套用,而 CSP 文件將會列出對應的群組原則設定。

    原則 CSP 中可用的某些設定如下:

    • 帳戶,例如是否可以將非 Microsoft 帳戶新增至裝置。
    • 應用程式管理,例如是否只允許 Microsoft Store 應用程式。
    • 藍牙,例如允許使用的服務。
    • 瀏覽器,例如限制 InPrivate 瀏覽。
    • 連線能力,例如裝置是否可以透過USB連線到電腦。
    • 適用於 桌面的Defender (僅) ,例如要掃描的日期和時間。
    • 裝置鎖定,例如解除鎖定裝置所需的 PIN 或密碼類型。
    • 體驗,例如允許 Cortana。
    • 安全性,例如是否允許布建套件。
    • 設定,例如讓用戶變更 VPN 設定。
    • 開始,例如套用標準的 \[開始\] 配置。
    • 系統,例如允許使用者重設裝置。
    • 文字輸入,例如允許裝置將匿名使用者文字輸入數據範例傳送給 Microsoft。
    • 更新,例如裝置是否可以使用 Microsoft Update、Windows Server Update Services (WSUS) 或 Microsoft Store。
    • WiFi,例如是否啟用因特網共用。

以下是在 Windows 10 企業版 上支援的 CSP 清單: