共用方式為


管理從 Windows 10 和 Windows 11 作業系統元件到 Microsoft 服務的連線

適用於

  • Windows 11 企業版
  • Windows 10 企業版,版本 1607 及更新版本
  • Windows Server 2016
  • Windows Server 2019

本文說明 Windows 10 和 Windows 11 元件對 Microsoft 進行的網路連線,以及可供 IT 專業人員用於協助管理與 Microsoft 共用的資料之 Windows 設定、群組原則和登錄設定。 如果您想要最小化從 Windows 至 Microsoft 服務的連線,或設定隱私權設定,有許多需考慮的設定。 例如,您可以使用本文中的說明,將診斷資料設定為 Windows 版本的最低層級,並評估可以關閉哪些 Windows 對 Microsoft 服務所做的其他連線。 雖然您可以盡量減少對 Microsoft 的網路連線,但預設啟用這些通訊的原因有很多,例如更新惡意程式碼定義,及維護目前的憑證撤銷清單。 此資料可協助我們提供安全、可靠且最新的體驗。

Microsoft 提供 Windows 受限流量有限功能基準套件,讓您的組織快速設定本文件中所涵蓋的設定,以限制從 Windows 10 和 Windows 11 連至 Microsoft 的連線。 Windows 受限流量有限功能基準是以群組原則系統管理範本功能為基礎,您下載的套件會包含如何部署到組織中裝置的進一步指示。 由於某些設定可能會降低裝置的功能和安全性設定,因此在部署 Windows 受限流量有限功能基準之前,請務必為您的環境選擇正確的設定組態,並確保 Windows 和 Microsoft Defender 防毒軟體完全保持在最新狀態。 如果不這麼做,可能會導致錯誤或意外的行為。 您不應該將此套件解壓縮至 windows\system32 資料夾,因為它無法正確套用。

重要

  • 可下載的 Windows 10 版本1903 的指令碼/設定可以在 Windows 10 版本 1909 的裝置上使用。
  • 此處列出允許的流量端點:允許的流量
    • CRL (憑證撤銷清單) 與 OCSP (線上憑證狀態通訊協定) 網路流量無法停用,且仍會顯示在網路追蹤中。 系統會對發行方憑證授權單位進行 CRL 和 OCSP 檢查。 Microsoft 是其中一個授權單位。 還有許多其他授權單位,例如 DigiCert、Thawte、Google、Symantec 和 VeriSign。
  • 基於安全考量,請務必小心決定要設定的設定,因為其中一些可能會導致裝置安全性降低。 可能導致裝置組態較不安全的設定範例包括:Windows Update、自動根憑證更新和 Microsoft Defender 防毒軟體。 因此,我們不建議停用這些功能。
  • 建議在對裝置進行設定變更之後,將其重新開機。
  • 套用「Windows 受限流量有限功能基準」之後,[取得協助] 和 [提供意見反應給我們] 連結將不再有作用。

警告

  • 如果使用者執行 [重設此電腦] 命令 ([設定] -> [更新與安全性] - >[復原]),並選取 [保留我的檔案] 選項 (或 [移除所有項目] 選項),則必須重新套用「Windows 受限流量有限功能基準」設定,才能重新限制裝置。 重新套用「受限流量有限功能基準」設定之前,可能會有流量輸出。
  • 若要有效地限制裝置 (第一次或之後),建議您在離線模式中套用「受限流量有限功能基準」設定套件。
  • 在 Windows 更新或升級期間,可能會有流出的流量。

若要使用 Microsoft Intune 雲端式裝置管理來限制流量,請參閱 使用 Microsoft Intune MDM Server 管理從 Windows 10 和 Windows 11 作業系統元件到 Microsoft 服務的連線

我們始終致力於改善我們的文件,並歡迎您提供意見反應。 您可以連絡 telmhelp@microsoft.com 來提供意見反應。

每個設定的管理選項

下列各節會列出預設會透過網路連線到 Microsoft 服務的元件。 您可以設定這些選項來控制傳送給 Microsoft 的資料。 若要防止 Windows 傳送任何資料給 Microsoft,請將診斷資料設定在安全性層級、關閉 Microsoft Defender 防毒軟體診斷資料和 MSRT 報告,以及關閉所有這些連線

Windows 10 和 Windows 11 企業版的設定

下表列出每個設定的管理選項,針對 Windows 10 (從 Windows 10 企業版版本 1607 開始) 和 Windows 11。

重要

如果您需要疑難排解問題的協助,請參閱

設定 UI 群組原則 登錄
1. 自動根憑證更新 核取記號。 核取記號。
2. Cortana 與搜尋 核取記號。 核取記號。
3. 日期與時間 核取記號。 核取記號。 核取記號。
4. 裝置中繼資料擷取 核取記號。 核取記號。
5. 尋找我的裝置 核取記號。 核取記號。 核取記號。
6. 字型串流 核取記號。 核取記號。
7. Insider Preview 組建 核取記號。 核取記號。 核取記號。
8. Internet Explorer 核取記號。 核取記號。
9. 授權管理員 核取記號。
10. 動態磚 核取記號。 核取記號。
11. 郵件同步處理 核取記號。 核取記號。
12. Microsoft 帳戶 核取記號。
13. Microsoft Edge 核取記號。 核取記號
14. 網路連線狀態指示器 核取記號。 核取記號。
15. 離線地圖 核取記號。 核取記號。 核取記號。
16. OneDrive 核取記號。 核取記號。
17. 預先安裝的應用程式 核取記號
18. 設定 > 隱私權與安全性
    18.1 一般 核取記號。 核取記號。 核取記號。
    18.2 位置 核取記號。 核取記號。 核取記號。
    18.3 相機 核取記號。 核取記號。 核取記號。
    18.4 麥克風 核取記號。 核取記號。 核取記號
    18.5 通知 核取記號。 核取記號。 核取記號
    18.6 語音 核取記號。 核取記號。 核取記號
    18.7 帳戶資訊 核取記號。 核取記號。 核取記號
    18.8 連絡人 核取記號。 核取記號。 核取記號
    18.9 行事曆 核取記號。 核取記號。 核取記號。
    18.10 通訊記錄 核取記號。 核取記號。 核取記號。
    18.11 電子郵件 核取記號。 核取記號。 核取記號
    18.12 訊息中心 核取記號。 核取記號。 核取記號
    18.13 通話 核取記號。 核取記號。 核取記號
    18.14 無線通訊 核取記號。 核取記號。 核取記號
    18.15 其他裝置 核取記號。 核取記號。 核取記號
    18.16 意見反應與診斷 核取記號。 核取記號。 核取記號。
    18.17 背景應用程式 核取記號。 核取記號。 核取記號
    18.18 動作 核取記號。 核取記號。 核取記號。
    18.19 工作 核取記號。 核取記號。 核取記號。
    18.20 應用程式診斷 核取記號。 核取記號。 核取記號
    18.21 筆跡與輸入 核取記號。 核取記號。
    18.22 活動歷程記錄 核取記號。 核取記號。 核取記號。
    18.23 語音啟動 核取記號。 核取記號 核取記號。
19. 軟體保護平台 核取記號。 核取記號
20. 存放裝置健康情況 核取記號。 核取記號。
21. 同步您的設定 核取記號。 核取記號。 核取記號。
22. Teredo 核取記號。 核取記號
23. Wi-Fi 感知器 核取記號。 核取記號。 核取記號。
24. Microsoft Defender 防毒軟體 核取記號。 核取記號
25. Windows 焦點 核取記號。 核取記號。 核取記號。
26. Microsoft Store 核取記號。 核取記號。
27. 適用於網站的 App 核取記號。 核取記號。
28. 傳遞最佳化 核取記號。 核取記號。 核取記號。
29. Windows Update 核取記號。 核取記號。
30. 雲端剪貼簿 核取記號。
31. 服務組態 核取記號。 核取記號
32. 小工具 核取記號 核取記號
33. 建議 核取記號。 核取記號。 核取記號

適用於具有桌面體驗之 Windows Server 2016 的設定

請參閱下表以取得適用於「具有桌面體驗之 Windows Server 2016」的管理設定摘要。

設定 UI 群組原則 登錄
1. 自動根憑證更新 核取記號。 核取記號
2. Cortana 與搜尋 核取記號。 核取記號
3. 日期與時間 核取記號。 核取記號。 核取記號
4. 裝置中繼資料擷取 核取記號。 核取記號
6. 字型串流 核取記號。 核取記號。
7. Insider Preview 組建 核取記號。 核取記號。 核取記號
8. Internet Explorer 核取記號。 核取記號。
10. 動態磚 核取記號。 核取記號。
12. Microsoft 帳戶 核取記號
14. 網路連線狀態指示器 核取記號。 核取記號
16. OneDrive 核取記號。 核取記號
18. 設定 > 隱私權與安全性
19. 軟體保護平台 核取記號。 核取記號
22. Teredo 核取記號。 核取記號
24. Microsoft Defender 防毒軟體 核取記號。 核取記號。
26. Microsoft Store 核取記號。 核取記號。
27. 適用於網站的 App 核取記號 核取記號。
29. Windows Update 核取記號。 核取記號

適用於 Windows Server 2016 Server Core 的設定

請參閱下表以取得適用於 Windows Server 2016 Server Core 的管理設定摘要。

設定 群組原則 登錄
1. 自動根憑證更新 核取記號。 核取記號
3. 日期與時間 核取記號 核取記號
6. 字型串流 核取記號。 核取記號。
14. 網路連線狀態指示器 核取記號。 核取記號。
19. 軟體保護平台 核取記號。 核取記號
22. Teredo 核取記號 核取記號。
24. Microsoft Defender 防毒軟體 核取記號。 核取記號。
29. Windows Update 核取記號。 核取記號

適用於 Windows Server 2016 Nano Server 的設定

請參閱下表以取得適用於 Windows Server 2016 Nano Server 的管理設定摘要。

設定 登錄
1. 自動根憑證更新 核取記號
3. 日期與時間 核取記號
22. Teredo 核取記號
29. Windows Update 核取記號

適用於 Windows Server 2019 的設定

請參閱下表,以了解 Windows Server 2019 的管理設定摘要。

設定 UI 群組原則 登錄
1. 自動根憑證更新 核取記號。 核取記號。
2. Cortana 與搜尋 核取記號 核取記號
3. 日期與時間 核取記號。 核取記號 核取記號。
4. 裝置中繼資料擷取 核取記號 核取記號。
5. 尋找我的裝置 核取記號。 核取記號。 核取記號
6. 字型串流 核取記號。 核取記號
7. Insider Preview 組建 核取記號。 核取記號 核取記號
8. Internet Explorer 核取記號 核取記號。
10. 動態磚 核取記號 核取記號。
11. 郵件同步處理 核取記號。 核取記號。
12. Microsoft 帳戶 核取記號
13. Microsoft Edge 核取記號 核取記號。
14. 網路連線狀態指示器 核取記號。 核取記號。
15. 離線地圖 核取記號。 核取記號 核取記號。
16. OneDrive 核取記號 核取記號。
17. 預先安裝的應用程式 核取記號
18. 設定 > 隱私權與安全性
    18.1 一般 核取記號。 核取記號。 核取記號。
    18.2 位置 核取記號。 核取記號。 核取記號。
    18.3 相機 核取記號。 核取記號。 核取記號。
    18.4 麥克風 核取記號。 核取記號。 核取記號
    18.5 通知 核取記號。 核取記號。 核取記號
    18.6 語音 核取記號。 核取記號。 核取記號
    18.7 帳戶資訊 核取記號。 核取記號。 核取記號
    18.8 連絡人 核取記號。 核取記號。 核取記號。
    18.9 行事曆 核取記號。 核取記號 核取記號。
    18.10 通訊記錄 核取記號。 核取記號。 核取記號。
    18.11 電子郵件 核取記號。 核取記號。 核取記號。
    18.12 訊息中心 核取記號。 核取記號。 核取記號
    18.13 通話 核取記號。 核取記號。 核取記號
    18.14 無線通訊 核取記號。 核取記號 核取記號
    18.15 其他裝置 核取記號。 核取記號。 核取記號
    18.16 意見反應與診斷 核取記號。 核取記號 核取記號。
    18.17 背景應用程式 核取記號。 核取記號 核取記號
    18.18 動作 核取記號。 核取記號 核取記號。
    18.19 工作 核取記號。 核取記號。 核取記號。
    18.20 應用程式診斷 核取記號。 核取記號 核取記號
    18.21 筆跡與輸入 核取記號。 核取記號。
    18.22 活動歷程記錄 核取記號。 核取記號。 核取記號。
    18.23 語音啟動 核取記號。 核取記號 核取記號。
19. 軟體保護平台 核取記號。 核取記號
20. 存放裝置健康情況 核取記號 核取記號。
21. 同步您的設定 核取記號。 核取記號。 核取記號。
22. Teredo 核取記號。 核取記號
23. Wi-Fi 感知器 核取記號。 核取記號。 核取記號。
24. Microsoft Defender 防毒軟體 核取記號。 核取記號
25. Windows 焦點 核取記號。 核取記號。 核取記號。
26. Microsoft Store 核取記號。 核取記號。
27. 適用於網站的 App 核取記號。 核取記號。
28. 傳遞最佳化 核取記號。 核取記號。 核取記號。
29. Windows Update 核取記號。 核取記號。
30. 雲端剪貼簿 核取記號。
31. 服務組態 核取記號。 核取記號

如何設定每個設定

如需有關如何設定每項設定的詳細資訊,請參閱下列各節。

1. 自動根憑證更新

自動根憑證更新元件的設計目的是要自動檢查 Windows Update,以了解受信任授權單位清單是否有可用更新。 如需詳細資訊,請參閱自動根憑證更新設定。 雖然不建議,但您可以關閉 [自動根憑證更新],這也會同時阻止不允許的憑證清單和 PIN 規則清單的更新。

注意

透過不自動下載根憑證,此裝置可能會無法連線到某些網站。

適用於 Windows 10、具有桌面體驗的 Windows Server 2016、Windows Server 2016 Server Core 和 Windows 11:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [系統]> [網際網路通訊管理]> [網際網路通訊設定]> [關閉自動根憑證更新]

    -及-

  1. 瀏覽至 [電腦設定]> [Windows 設定]> [安全性設定]> [公開金鑰原則]
  2. 按兩下 [憑證路徑驗證設定]
  3. 在 [網路抓取] 索引標籤中,選取 [定義這些原則設定] 核取方塊。
  4. 取消選取 [自動更新 Microsoft 根憑證計劃中的憑證 (建議)] 核取方塊,然後按一下 [確定]

- 或者 -

  • 建立登錄路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot,然後新增一個名為 DisableRootAutoUpdate 的 REG_DWORD 登錄設定,值為 1。

    -及-

  1. 瀏覽至 [電腦設定]> [Windows 設定]> [安全性設定]> [公開金鑰原則]
  2. 按兩下 [憑證路徑驗證設定]
  3. 在 [網路抓取] 索引標籤中,選取 [定義這些原則設定] 核取方塊。
  4. 取消選取 [自動更新 Microsoft 根憑證計劃中的憑證 (建議)] 核取方塊,然後按一下 [確定]

在 Windows Server 2016 Nano Server 上:

  • 建立登錄路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot,然後新增一個名為 DisableRootAutoUpdate 的 REG_DWORD 登錄設定,值為 1。

注意

CRL 和 OCSP 網路流量目前是允許的流量,仍會顯示在網路追蹤中。 系統會對發行方憑證授權單位進行 CRL 和 OCSP 檢查。 Microsoft 即為其中一個憑證授權單位,但還有許多其他憑證授權單位,例如 DigiCert、Thawte、Google、Symantec 及 VeriSign。

使用群組原則來管理 Cortana 的設定。 如需詳細資訊,請參閱 Cortana、搜尋及隱私權:常見問題集

2.1 Cortana 與搜尋群組原則

在 [電腦設定]> [系統管理範本]> [Windows 元件]> [搜尋] 底下找到 Cortana 群組原則物件。

原則 描述
允許 Cortana 選擇是否要讓 Cortana 在裝置上安裝並執行。

停用此原則來關閉 Cortana。
允許搜尋和 Cortana 使用位置 選擇 Cortana 和「搜尋」是否可以提供定位感知的搜尋結果。

停用此原則來封鎖對 Cortana 位置資訊的存取權。
不允許 Web 搜尋 選擇是否要從 [Windows 桌面搜尋] 搜尋 Web。

啟用此原則可移除從 Cortana 搜尋網際網路的選項。
不要在 \[搜尋\] 中搜尋網路或顯示網路搜尋結果 選擇是否要從 Cortana 搜尋 Web。

啟用此原則可停止在 [搜尋] 中顯示網頁查詢和結果。

您也可以使用下列登錄機碼來套用群組原則:

原則 登錄路徑
允許 Cortana HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD:AllowCortana
值:0
允許搜尋和 Cortana 使用位置 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD:AllowSearchToUseLocation
值:0
不允許 Web 搜尋 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD:DisableWebSearch
值:1
不要在 \[搜尋\] 中搜尋網路或顯示網路搜尋結果 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD:ConnectedSearchUseWeb
值:0

重要

使用 [群組原則編輯器],所有受支援的 Windows 10 和 Windows 11 版本都必須執行這些步驟,但執行 Windows 10 版本 1607 或 Windows Server 2016 的裝置不需要這些步驟。

  1. 展開 [電腦設定]> [Windows 設定]> [安全性設定]> [具有進階安全性的 Windows Defender 防火牆]>[具有進階安全性的 Windows Defender 防火牆 - LDAP name],然後按一下 [輸出規則]

  2. 以滑鼠右鍵按一下 [輸出規則],然後按一下 [新增規則]。 將啟動 [新增輸出規則精靈]

  3. 在 [規則類型] 頁面中,按一下 [程式],然後按一下 [下一步]

  4. 在 [程式] 頁面中,按一下 [這個程式路徑],輸入 %windir%\systemapps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe,然後按一下 [下一步]

    • 在 Windows 11 中,改為輸入 "%windir%\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\SearchHost.exe"
  5. 在 [動作] 頁面中,按一下 [封鎖連線],然後按 [下一步]

  6. 在 [設定檔] 頁面中,請確定已選取 [網域]、[私人] 和 [公用] 核取方塊,然後按 [下一步]

  7. 在 [名稱] 頁面中,輸入規則的名稱,例如 Cortana 防火牆設定,然後按一下 [完成]

  8. 以滑鼠右鍵按一下新規則,按一下 [內容],然後按一下 [通訊協定及連接埠]

  9. 使用下列資訊設定 [通訊協定及連接埠] 頁面,然後按一下 [確定]

    • 對於 [通訊協定類型],選擇 [TCP]

    • 對於 [本機連接埠],選擇 [所有連接埠]

    • 對於 [遠端連接埠],選擇 [所有連接埠]

- 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules 中,建立名為 {0DE40C8E-C126-4A27-9371-A27DAB1039F7} 的新 REG_SZ 登錄設定,並將其設定為值 v2.25|Action=Block|Active=TRUE|Dir=Out|Protocol=6|App=%windir%\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\searchUI.exe|Name=Block outbound Cortana|

  • 在 Windows 11 上,請改為遵循上一節,並使用群組原則編輯器。

如果您的組織會測試網路流量,則請勿使用網路 Proxy,因為 Windows 防火牆不會封鎖 Proxy 流量。 請改用網路流量分析程式。 根據您的需要,市面上有很多免費的網路流量分析程式可取得。

3. 日期和時間

您可以防止 Windows 自動設定時間。

  • 若要在 UI 中關閉該功能:[設定]> [時間與語言]> [日期和時間]> [自動設定時間]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type 中建立 REG_SZ 登錄設定,並使用 NoSync 的值

之後,設定下列設定:

  • 停用群組原則:[電腦設定]> [系統管理範本]> [系統]> [Windows 時間服務]> [時間提供者]> [啟用 Windows NTP 用戶端]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\TimeProviders\NtpClient 中,建立名為 Enabled 的新 REG_DWORD 登錄設定,並將其設為 0 (零)

4. 裝置中繼資料擷取

若要防止 Windows 從網際網路擷取裝置中繼資料:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [系統]> [裝置安裝]> [防止從網際網路擷取裝置中繼資料]

    -或-

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Device Metadata 中建立名為 PreventDeviceMetadataFromNetwork 的新 REG_DWORD 登錄設定,並將它設定為 1 (一)。

5. 尋找我的裝置

若要關閉 [尋找我的裝置]︰

  • 在 UI 中關閉 此功能,方法是移至 [設定] -> [更新與安全性] -> [尋找我的裝置],按一下 [變更] 按鈕,然後將值設為 [關閉]

    - 或者 -

  • 停用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [尋找我的裝置]> [開啟/關閉尋找我的裝置]

    - 或者 -

  • 您也可以在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FindMyDevice\AllowFindMyDevice 中建立新 REG_DWORD 登錄設定,並將它設定為 0 (零)

6. 字型串流

您可以依需求下載包含在 Windows 中但未儲存在本機裝置上的字型。

如果您執行 Windows 10 版本 1607、Windows Server 2016 或更新版本:

  • 停用群組原則:[電腦設定]> [系統管理範本]> [網路]> [字型]> [啟用字型提供者]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableFontProviders 中建立新 REG_DWORD 登錄設定,並將它設定為 0 (零)

注意

套用此原則之後,您必須重新啟動裝置,原則才會生效。

7. Insider Preview 組建

您可以參與 Windows Insider Preview 計畫來協助我們打造 Windows 的未來、成為社群成員,以及搶先試用 Windows 10 和 Windows 11 的發行版本。 此設定會停止與檢查新組建之 Windows Insider Preview 服務的通訊。 Windows Insider Preview 組建僅適用於 Windows 10 和 Windows 11,無法供 Windows Server 2016 使用。

注意

如果您將設定為最小化 Windows 與 Microsoft 服務之間連線的裝置 (也就是設定為 [受限流量] 的裝置) 升級為 Windows Insider Preview 組建,[意見反應與診斷] 設定將會自動設定為 [選擇性 (完整)]。 雖然診斷資料層級一開始可能會顯示為 [必要 (基本)],UI 重新整理或電腦重新開機後的幾個小時,設定將會變成 [選擇性 (完整)]

若要關閉某個已發行之 Windows 10 或 Windows 11 版本的 Insider Preview 組建:

  • 停用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [資料收集與預覽版]> [切換測試人員組建的使用者控制項]

若要關閉 Windows 10 和 Windows 11 的 Insider Preview 組建:

注意

如果您執行 Windows 10 或 Windows 11 的預覽版本,才能關閉 Insider Preview 組建。

  • 在 UI 中關閉此功能:[設定]> [更新與安全性]> [Windows 測試人員計畫]> [停止 Insider Preview 組建]

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [資料收集與預覽版] 下方的 [切換測試人員組建的使用者控制項]

    -或-

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PreviewBuilds 中,建立名為 AllowBuildPreview 並具有值 0 (零) 的新 REG_DWORD 登錄設定

8. Internet Explorer

注意

嘗試在任何 Windows Server 版本上使用 Internet Explorer 時,請注意增強式安全性設定 (ESC) 會強制執行限制。 下列群組原則和登錄機碼是針對使用者互動式案例,而不是一般的閒置流量情況。 您可以在 [電腦設定] > [系統管理範本] > [Windows 元件] > [Internet Explorer] 底下找到 Internet Explorer 群組原則物件,並進行下列設定:

原則 描述
開啟建議的網站 選擇員工是否可以設定建議的網站。
將值設為:已停用
您也可以在 UI 中關閉此設定,方法是清除 [網際網路選項]> [進階]> [啟用建議的網站] 核取方塊。
當使用者在網址列輸入時,允許 Microsoft 服務提供加強式建議 選擇員工是否可以設定加強式建議,以便在員工於網址列輸入時顯示。
將值設為:已停用
關閉自動完成網址功能 選擇當員工在網址列輸入時,自動完成功能是否要建議可能的相符項。
將值設為:已啟用
您也可以在 UI 中關閉此設定,方法是清除 [網際網路選項]>[進階]> 在 Internet Explorer 網址列和 [開啟] 對話方塊中使用 [即時自動完成] 核取方塊。
關閉瀏覽器地理位置 選擇網站是否可以從 Internet Explorer 要求位置資料。
將值設為:已啟用
防止管理 Microsoft Defender SmartScreen 選擇員工是否可以在 Internet Explorer 中管理 Microsoft Defender SmartScreen。
將值設為:已啟用,然後將 [選取 Windows Defender SmartScreen 模式] 設定為 [關閉]
登錄機碼 登錄路徑
開啟建議的網站 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Suggested Sites
REG_DWORD:Enabled
將值設為:0
當使用者在網址列輸入時,允許 Microsoft 服務提供加強式建議 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer
REG_DWORD:AllowServicePoweredQSA
將值設為:0
關閉自動完成網址功能 HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
REG_SZ:AutoSuggest
將值設為:no
關閉瀏覽器地理位置 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Geolocation
REG_DWORD:PolicyDisableGeolocation
將值設為:1
防止管理 Microsoft Defender SmartScreen HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\PhishingFilter
REG_DWORD:EnabledV9
將值設為:0

Internet Explorer 會使用更多的群組原則物件:

路徑 原則 描述
[電腦設定]> [系統管理範本]> [Windows 元件]> [Internet Explorer]> [相容性檢視]> [關閉相容性檢視] 關閉相容性檢視。 選擇員工是否可以修正在瀏覽時可能遇到的網站顯示問題。
設定為:已啟用
[電腦設定]> [系統管理範本]> [Windows 元件]> [Internet Explorer]> [網際網路控制台]> [進階畫面] 關閉快速翻頁和頁面預測功能 選擇員工是否能在螢幕上撥動,或按一下 [下一頁] 移至網站的下一個預先載入頁面。
設定為:已啟用
[電腦設定]> [系統管理範本]> [Windows 元件]> [RSS 摘要] 關閉摘要和網頁快訊的背景同步處理 選擇是否要針對摘要和網頁快訊使用背景同步處理。
設定為:已啟用
[電腦設定]> [系統管理範本]> [控制台]> [允許線上提示] 允許線上提示 啟用或停用擷取 [設定] 應用程式的線上提示和說明。
設定為:已停用

您也可以使用登錄機碼來設定這些原則。

登錄機碼 登錄路徑
選擇員工是否可以設定相容性檢視。 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\BrowserEmulation
REG_DWORD:DisableSiteListEditing
將值設為 1
關閉快速翻頁和頁面預測功能 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\FlipAhead
REG_DWORD:Enabled
將值設為 0
關閉摘要和網頁快訊的背景同步處理 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds
REG_DWORD:BackgroundSyncStatus
將值設為 0
允許線上提示 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REG_DWORD:AllowOnlineTips
將值設為 0

若要關閉首頁:

  • 啟用群組原則:[使用者設定]> [系統管理範本]> [Windows 元件]> [Internet Explorer]> [停用變更首頁設定],並將其設定為 about:blank

    - 或者 -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Main 中,建立名為 Start Page 並具有 about:blank 的新 REG_SZ 登錄設定。

    - 及 -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel 中,建立名為 HomePage 並具有 1 (一) 的新 REG_DWORD 登錄設定。

若要設定首次執行精靈:

  • 啟用群組原則:[使用者設定]> [系統管理範本]> [Windows 元件]> [Internet Explorer]> [防止執行首次執行精靈],並將其設定為 [直接到首頁]

    - 或者 -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Main 中,建立名為 DisableFirstRunCustomize 並具有 1 (一) 的新 REG_DWORD 登錄設定。

若要設定新索引標籤的行為:

  • 啟用群組原則:[使用者設定]> [系統管理範本]> [Windows 元件]> [Internet Explorer]> [指定新索引標籤的預設行為],然後將其設定為 about:blank

    - 或者 -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\TabbedBrowsing 中,建立名為 NewTabPageShow 並具有 0 (零) 的新 REG_DWORD 登錄設定

8.1 封鎖 ActiveX 控制項

ActiveX 控制項封鎖會定期下載應封鎖之過時 ActiveX 控制項的新清單。

您可以透過下列步驟來關閉此項目:

  • 啟用群組原則:[使用者設定]> [系統管理範本]> [Windows 元件]> [Internet Explorer]> [安全性功能]> [附加元件管理]> [關閉自動下載 ActiveX VersionList]

    - 或者 -

  • 將 REG_DWORD 登錄設定 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList 變更為 0 (零)

如需詳細資訊,請參閱封鎖過時的 ActiveX 控制項

9. 授權管理員

您可以設定下列登錄項目來關閉與流量相關的授權管理員:

  • 新增名為 Start 的 REG_DWORD 值至 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LicenseManager,並將值設定為 4

  • 值 4 是停用服務。 以下是設定登錄的可用選項:

    • 0x00000000 = 啟動

    • 0x00000001 = 系統

    • 0x00000002 = 自動

    • 0x00000003 = 手動

    • 0x00000004 = 已停用

10. 動態磚

若要關閉動態磚:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [開始功能表和工作列]> [通知]> [關閉通知網路使用方式]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications 中,建立名為 NoCloudApplicationNotification 並具有值 1 (一) 的 REG_DWORD 登錄設定

11. 郵件同步

若要關閉在裝置上設定的 Microsoft 帳戶郵件同步處理:

  • 在 [設定]> [帳戶]> [您的電子郵件帳戶],移除任何已連線的 Microsoft 帳戶。

    -或-

  • 從 [郵件] 應用程式移除任何 Microsoft 帳戶。

若要關閉 Windows Mail 應用程式:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsMail 中,建立名為 ManualLaunchAllowed 的 REG_DWORD 登錄設定,並使用值 0 (零)

12. Microsoft 帳戶

使用下列設定來防止對 Microsoft 帳戶雲端驗證服務的通訊。 許多依靠 Microsoft 帳戶驗證的 App 和系統元件可能會失去功能。 其中一些可能會無預警地發生。 例如,Windows Update 將不再提供執行 Windows 10 1709 或更高版本以及 Windows 11 之裝置的功能更新。 請參閱 如果有其他更新,就不會提供功能更新

若要停用 Microsoft 帳戶登入小幫手:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvc 中的 Start REG_DWORD 登錄設定變更為 4 的值。

13. Microsoft Edge

使用群組原則來管理 Microsoft Edge 的設定。 如需詳細資訊,請參閱 Microsoft Edge 與隱私權:常見問題集在 Windows 上設定 Microsoft Edge 原則設定

如需 Microsoft Edge 原則的完整清單,請參閱 Microsoft Edge 的群組原則與行動裝置管理 (MDM) 設定

13.1 Microsoft Edge 群組原則

在 [電腦設定]> [系統管理範本]> [Windows 元件]> [Microsoft Edge] 下方尋找 Microsoft Edge 群組原則物件。

原則 描述
允許網址列下拉式清單建議 選擇是否要顯示網址列下拉式清單
設定為 [已停用]
允許書籍媒體櫃的設定更新 選擇書籍媒體櫃是否已完成設定更新。
設定為 [已停用]
設定自動填寫 選擇員工是否可以在網站上使用自動填寫。
設定為 [已停用]
設定不要追蹤 選擇員工是否可以傳送「不要追蹤」標頭。
設定為已啟用
設定密碼管理員 選擇員工是否可以將密碼儲存在本機裝置上。
設定為 [已停用]
設定網址列中的搜尋建議 選擇網址列是否顯示搜尋建議。
設定為 [已停用]
設定 Windows Defender SmartScreen (Windows 10 版本 1703) 選擇開啟或關閉 Microsoft Defender SmartScreen。
設定為已停用
允許在新索引標籤上顯示網頁內容 選擇是否出現新的索引標籤頁面。
設定為 [已停用]
設定起始畫面 選擇已加入網域之裝置的開始頁面。
已啟用,並將此設定為 <<about:blank>>
防止 Microsoft Edge 開啟 [首次執行] 網頁 選擇是否讓員工看見首次執行網頁。
設定為:啟用
允許 Microsoft 相容性清單 選擇是否要在 Microsoft Edge 中使用 Microsoft 相容性清單。
設定為:已停用

或者,您可以設定下列登錄機碼,如下所述:

登錄機碼 登錄路徑
允許網址列下拉式清單建議 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI
REG_DWORD 名稱:ShowOneBox
設為 0
允許書籍媒體櫃的設定更新 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BooksLibrary
REG_DWORD 名稱:AllowConfigurationUpdateForBooksLibrary
設為 0
設定自動填寫 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_SZ 名稱:Use FormSuggest
值:No
設定不要追蹤 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_DWORD 名稱:DoNotTrack
REG_DWORD:1
設定密碼管理員 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_SZ 名稱:FormSuggest Passwords
REG_SZ:No
設定網址列中的搜尋建議 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes
REG_DWORD 名稱:ShowSearchSuggestionsGlobal
值:0
設定 Windows Defender SmartScreen (Windows 10 版本 1703) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter
REG_DWORD 名稱:EnabledV9
值:0
允許在新索引標籤上顯示網頁內容 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI
REG_DWORD 名稱:AllowWebContentOnNewTabPage
值:0
設定公司首頁 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Internet Settings
REG_SZ 名稱:ProvisionedHomePages
值:<<about:blank>>
防止 Microsoft Edge 開啟 [首次執行] 網頁 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_DWORD 名稱:PreventFirstRunPage
值:1
選擇員工是否可以設定相容性檢視。 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BrowserEmulation
REG_DWORD:MSCompatibilityMode
值:0

13.2 Microsoft Edge 企業版

如需 Microsoft Edge 原則的完整清單,請參閱 Microsoft Edge 的群組原則與行動裝置管理 (MDM) 設定

重要

原則 群組原則路徑 登錄路徑
SearchSuggestEnabled 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/Microsoft Edge - 啟用搜尋建議
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:SearchSuggestEnabled 設定為 0
AutofillAddressEnabled 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/Microsoft Edge - 啟用地址自動填寫
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:AutofillAddressEnabled 設定為 0
AutofillCreditCardEnabled 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/Microsoft Edge - 啟用信用卡自動填寫
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:AutofillCreditCardEnabled 設定為 0
ConfigureDoNotTrack 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/Microsoft Edge - 設定「不要追蹤」
設定為已啟用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:ConfigureDoNotTrack 設定為 1
PasswordManagerEnabled 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/密碼管理員和防護 - 啟用將密碼儲存到密碼管理員
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:PasswordManagerEnabled 設定為 0
DefaultSearchProviderEnabled 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/預設搜尋提供者 - 啟用預設搜尋提供者
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:DefaultSearchProviderEnabled 設定為 0
HideFirstRunExperience 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/隱藏初次執行體驗與啟動顯示畫面
設定為已啟用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:HideFirstRunExperience 設定為 1
SmartScreenEnabled 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/SmartScreen 設定 - 設定 Microsoft Defender SmartScreen
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:SmartScreenEnabled 設定為 0
NewTabPageLocation 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/啟動、首頁和新的索引標籤頁面 - 設定新的索引標籤頁面 URL
設定為已啟用,值為 "about:blank"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_SZ 名稱:NewTabPageLocation 設定為 about:blank
RestoreOnStartup 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/啟動、首頁和新的索引標籤頁面 - 啟動時所採取的動作
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD 名稱:RestoreOnStartup 設定為 5
RestoreOnStartupURLs 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/啟動、首頁和新的索引標籤頁面 - 瀏覽器啟動時開啟的網站。
設定為已停用
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\RestoreOnStartupURLs
REG_SZ 名稱:1 設定為 about:blank
UpdateDefault 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/Microsoft Edge Update/應用程式-更新原則覆寫預設
設定為已啟用 - '已停用更新'
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD 名稱:UpdateDefault 設定為 0
AutoUpdateCheckPeriodMinutes 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/Microsoft Edge Update/喜好設定 - 自動更新檢查期間覆寫
設定為已啟用 - 將更新檢查之間的分鐘值設定為 0
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD 名稱:AutoUpdateCheckPeriodMinutes 設定為 0
實驗和設定服務 電腦設定/系統管理範本/Windows 元件/Microsoft Edge/Microsoft Edge Update/喜好設定 - 自動更新檢查期間覆寫
設定為 RestrictedMode
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD 名稱:ExperimentationAndConfigurationServiceControl 設定為 0

14. 網路連線狀態指示器

網路連線狀態指示器 (NCSI) 會偵測網際網路連線和公司網路連線狀態。 NCSI 會傳送 DNS 要求與 HTTP 查詢http://www.msftconnecttest.com/connecttest.txt,以判斷裝置是否可以與網際網路通訊。 若要深入了解,請參閱 Microsoft 網路部落格 (英文)。

在 Windows 10 版本 1607 之前的版本和 Windows Server 2016 中,URL 是 http://www.msftncsi.com/ncsi.txt

您可以執行下列其中一個動作來關閉 NCSI:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [系統]> [網際網路通訊管理]> [網際網路通訊設定]> [關閉 Windows 網路連線狀態指示器使用中測試]

    注意

    套用此原則之後,您必須重新啟動裝置,原則才會生效。

- 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator 中,建立名為 NoActiveProbe 並具有值 1 (一) 的 REG_DWORD 登錄設定。

15. 離線地圖

您可以關閉下載和更新離線地圖的功能。

  • 若要關閉 UI 中的功能,請移至 [設定] -> [應用程式] -> [離線地圖] -> [地圖更新],並將 [自動更新地圖] 切換至 [關閉]

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [地圖]> [關閉地圖資料的自動下載與更新]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps 中,建立名為 AutoDownloadAndUpdateMapData 並具有值 0 (零) 的 REG_DWORD 登錄設定。

    - 及 -

  • 在 Windows 10 版本 1607 和更新版本以及 Windows 11 中,啟用群組原則:[電腦設定]> [系統管理範本]>[Windows 元件]> [地圖]> [關閉 [離線地圖] 設定頁面上非要求的網路流量]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps 中,建立名為 AllowUntriggeredNetworkTrafficOnSettingsPage 並具有值 0 (零) 的 REG_DWORD 登錄設定。

16. OneDrive

若要關閉組織中的 OneDrive:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [OneDrive]> [防止使用 OneDrive 儲存檔案]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive 中,建立名為 DisableFileSyncNGSC 並具有值 1 (一) 的 REG_DWORD 登錄設定。

    -及-

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [OneDrive]> [防止 OneDrive 在使用者登入 OneDrive 前產生網路流量 (啟用)]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OneDrive 中,建立名為 PreventNetworkTrafficPreUserSignIn 並具有值 1 (一) 的 REG_DWORD 登錄設定

17. 預先安裝的應用程式

某些預先安裝的應用程式會在開啟前先取得內容,以確保絕佳體驗。 您可以使用本節中的步驟將它們移除。

若要移除新聞應用程式:

  • 在 [開始] 畫面中以滑鼠右鍵按一下應用程式,然後按一下 [解除安裝]

    - 或者 -

    重要

    如果您對於下列命令有任何問題,請重新開機系統,然後再次嘗試指令碼。

  • 針對新的使用者帳戶移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingNews"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingNews | Remove-AppxPackage

若要移除天氣應用程式:

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingWeather"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingWeather | Remove-AppxPackage

若要移除財經應用程式:

  • 在 [開始] 畫面中以滑鼠右鍵按一下應用程式,然後按一下 [解除安裝]

    - 或者 -

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingFinance"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingFinance | Remove-AppxPackage

若要移除運動 應用程式:

  • 在 [開始] 畫面中以滑鼠右鍵按一下應用程式,然後按一下 [解除安裝]

    - 或者 -

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingSports"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingSports | Remove-AppxPackage

若要移除 Twitter 應用程式:

  • 在 [開始] 畫面中以滑鼠右鍵按一下應用程式,然後按一下 [解除安裝]

    - 或者 -

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "*.Twitter"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage *.Twitter | Remove-AppxPackage

若要移除 [XBOX] app:

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.XboxApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.XboxApp | Remove-AppxPackage

若要移除 Sway 應用程式:

  • 在 [開始] 畫面中以滑鼠右鍵按一下應用程式,然後按一下 [解除安裝]

    - 或者 -

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.Sway"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.Office.Sway | Remove-AppxPackage

若要移除 OneNote 應用程式:

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.OneNote"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.Office.OneNote | Remove-AppxPackage

若要移除取得 Office 應用程式:

  • 在 [開始] 畫面中以滑鼠右鍵按一下應用程式,然後按一下 [解除安裝]

    - 或者 -

  • 針對新的使用者帳戶移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftOfficeHub"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.MicrosoftOfficeHub | Remove-AppxPackage

若要移除取得 Skype 應用程式:

  • 在 [開始] 畫面中以滑鼠右鍵按一下 [運動]應用程式,然後按 [解除安裝]

    - 或者 -

  • 針對新的使用者帳戶移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.SkypeApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -及-

  • 針對目前的使用者移除 app。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.SkypeApp | Remove-AppxPackage

若要移除自黏便箋應用程式:

  • 針對新的使用者帳戶移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$\_.PackageName -Like "Microsoft.MicrosoftStickyNotes"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $\_.PackageName}

    -及-

  • 針對目前的使用者移除應用程式。 從提升權限的命令提示字元中,執行下列 Windows PowerShell 命令:Get-AppxPackage Microsoft.MicrosoftStickyNotes | Remove-AppxPackage

18. 設定 > 隱私權&安全性

使用 [設定] > [隱私權與安全性] 來設定一些可能對組織很重要的設定。 除了 [意見反應與診斷] 頁面,您還必須針對登入電腦的每個使用者帳戶設定這些設定。

18.1 一般

[一般] 包含不屬於其他區域的選項。

Windows 10 版本 1703 選項

若要關閉 [讓應用程式根據您的應用程式使用量,利用廣告識別碼將廣告變得更吸引您 (關閉此功能將重設您的識別碼)]

  • 在 UI 中關閉此功能。

    注意

    當您在 UI 中關閉此功能時,它會關閉廣告識別碼,而不只是將它重設。

    -或-

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [系統]> [使用者設定檔]> [關閉廣告識別碼]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo 中,建立名為 Enabled 並具有值 0 (零) 的 REG_DWORD 登錄設定。

    -及-

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo 中,建立名為 DisabledByGroupPolicy 並具有值 1 (一) 的 REG_DWORD 登錄設定。

若要關閉 [透過讓網站存取我的語言清單以提供當地相關內容]

  • 在 UI 中關閉此功能。

    - 或者 -

  • HKEY_CURRENT_USER\Control Panel\International\User Profile 中,建立名為 HttpAcceptLanguageOptOut 並具有值 1 的新 REG_DWORD 登錄設定。

若要關閉 [讓 Windows 追蹤應用程式啟動以改善 [開始] 畫面和搜尋結果]

  • 在 UI 中關閉此功能。

    - 或者 -

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced 中,建立名為 Start_TrackProgs 並具有值 0 (零) 的 REG_DWORD 登錄設定。

Windows Server 2016 以及 Windows 10 版本 1607 和較舊版本的選項

若要關閉 [讓應用程式使用我的廣告識別碼來提供跨應用程式體驗 (關閉此功能將重設您的識別碼)]

  • 在 UI 中關閉此功能。

    注意

    當您在 UI 中關閉此功能時,它會關閉廣告識別碼,而不只是將它重設。

    -或-

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [系統]> [使用者設定檔]> [關閉廣告識別碼]

- 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo 中,建立名為 Enabled 並具有值 0 (零) 的 REG_DWORD 登錄設定。

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo 中,建立名為 DisabledByGroupPolicy 並具有值 1 (一) 的 REG_DWORD 登錄設定。

若要關閉 [開啟 Microsoft Defender SmartScreen 來檢查 Microsoft Store 應用程式使用的網頁內容 (URL)]

  • 在 UI 中關閉此功能。

    - 或者 -

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost 中,建立名為 EnableWebContentEvaluation 並具有值 0 (零) 的 REG_DWORD 登錄設定。

若要關閉 [將有關我書寫方式的資訊傳送給 Microsoft,以協助改進未來版本中的輸入與書寫功能]

注意

如果已將診斷資料層級設為 [基本] 或 [安全性],則會自動關閉此功能。

  • 在 UI 中關閉此功能。

若要關閉 [透過讓網站存取我的語言清單以提供當地相關內容]

  • 在 UI 中關閉此功能。

    - 或者 -

  • HKEY_CURRENT_USER\Control Panel\International\User Profile 中,建立名為 HttpAcceptLanguageOptOut 並具有值 1 的新 REG_DWORD 登錄設定。

若要關閉 [讓我其他裝置上的應用程式在此裝置上開啟應用程式並繼續執行]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 停用群組原則:[電腦設定]> [系統管理範本]> [系統]> [群組原則]> [在此裝置上繼續體驗]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中,建立名為 EnableCdp 並具有值 0 (零) 的 REG_DWORD 登錄設定。

關閉 [讓我其他裝置上的應用程式使用藍牙在此裝置上開啟應用程式並繼續執行]

  • 在 UI 中關閉此功能。

18.2 位置

在 [位置] 區域中,您可以選擇裝置是否可存取特定位置的感應器,以及哪些應用程式可以存取裝置的位置。

若要關閉 [此裝置的位置]

  • 按一下 UI 中的 [變更] 按鈕。

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [位置和感應器]> [關閉位置]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LocationAndSensors 中,建立名為 DisableLocation 並具有值 1 (一) 的 REG_DWORD 登錄設定。

若要停用 允許應用程式存取您的位置

  • 在 UI 中關閉此功能。

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取位置],並將 [選取設定] 設定為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessLocation 並具有值 2 (二) 的 REG_DWORD 登錄設定。

若要關閉 [位置歷程記錄]

  • 使用 UI 中的 [清除] 按鈕來清除歷程記錄。

若要關閉 [選擇可以使用您的位置的應用程式]

  • 使用 UI 來關閉每個應用程式。

18.3 相機

在 [相機] 區域中,您可以選擇哪些應用程式 可存取裝置的相機。

若要關閉 [應用程式使用我的相機]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取相機]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessCamera 並具有值 2 (二) 的 REG_DWORD 登錄設定。

若要關閉 [選擇可以使用您相機的應用程式]

  • 在 UI 中針對每個應用程式關閉此功能。

18.4 麥克風

在 [麥克風] 區域中,您可以選擇哪些應用程式可存取裝置的麥克風。

若要關閉 [應用程式使用我的麥克風]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取麥克風]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessMicrophone 並具有值 2 (二) 的 REG_DWORD 登錄設定

若要關閉 [選擇可使用您麥克風的應用程式]

  • 在 UI 中針對每個應用程式關閉此功能。

18.5 通知

若要關閉通知網路使用方式:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [開始功能表和工作列]> [通知]> [關閉通知網路使用方式]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications 中,建立名為 NoCloudApplicationNotification 並具有值 1 (一) 的 REG_DWORD 登錄設定

在 [通知] 區域中,您也可以選擇能存取通知的應用程式。

若要關閉 [讓 App 存取我的通知]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取通知]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessNotifications 並具有值 2 (二) 的 REG_DWORD 登錄設定

18.6 語音

在 [語音] 區域中,您可以設定下列功能:

若要關閉語音聽寫、對 Cortana 和其他應用程式說話,以及防止將您的語音輸入傳送給 Microsoft Speech 服務:

  • 將 [設定] -> [隱私權] -> [語音] ->[線上語音辨識] 切換至 [關閉]

    - 或者 -

  • 停用群組原則:[電腦設定] > [系統管理範本] > [控制台] > [地區及語言選項] > [允許使用者啟用線上語音辨識服務]

    - 或者 -

  • HKEY_CURRENT_USER\Software\Microsoft\Speech_OneCore\Settings\OnlineSpeechPrivacy 中,建立名為 HasAccepted 並具有值 0 (零) 的 REG_DWORD 登錄設定

如果您執行的是 Windows 10 版本 1703 以上,包括 Windows 10 版本 1803,您可以關閉語音辨識和語音合成模型的更新:

  • 停用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [語音]> [允許自動更新語音資料]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Speech 中,建立名為 AllowSpeechModelUpdate 並具有值 0 (零) 的 REG_DWORD 登錄設定

18.7 帳戶資訊

在 [帳戶資訊] 區域中,您可以選擇哪些應用程式可以存取您的名稱、圖片及其他帳戶資訊。

若要關閉 [允許應用程式存取我的名稱、圖片與其他帳戶資訊]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取帳戶資訊]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessAccountInfo 並具有 2 (二) 值 的新 REG_DWORD 登錄設定。

若要關閉 [選擇可存取您帳戶資訊的應用程式]

  • 在 UI 中針對每個應用程式關閉此功能。

18.8 連絡人

在 [連絡人] 區域中,您可以選擇哪些應用程式可以存取員工的連絡人清單。

若要關閉 [選擇可存取連絡人的應用程式]

  • 在 UI 中針對每個應用程式關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取連絡人]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessContacts 並具有值 2 (二) 的 REG_DWORD 登錄設定。

18.9 行事曆

在 [行事曆] 區域中,您可以選擇哪些應用程式可以存取員工的行事曆。

若要關閉 [讓應用程式存取我的行事曆]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取行事曆]。 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessCalendar 並具有值 2 (二) 的 REG_DWORD 登錄設定。

若要關閉 [選擇可存取行事曆的應用程式]

  • 在 UI 中針對每個應用程式關閉此功能。

18.10 通訊記錄

在 [通訊記錄] 區域中,您可以選擇哪些應用程式可以存取員工的通訊記錄。

若要關閉 [讓應用程式存取我的通訊記錄]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取通訊記錄]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessCallHistory 並具有值 2 (二) 的 REG_DWORD 登錄設定。

18.11 電子郵件

在 [電子郵件] 區域中,您可以選擇哪些應用程式具有存取權,而且可以傳送電子郵件。

若要關閉 [讓應用程式存取及傳送電子郵件]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取電子郵件]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessEmail 的 REG_DWORD 登錄設定,並使用值 2 (二)。

18.12 訊息中心

在 [訊息中心] 區域中,您可以選擇哪些應用程式可以讀取或傳送訊息。

若要關閉 [讓應用程式讀取或傳送訊息 (文字或多媒體簡訊)]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取訊息中心]

    • 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessMessaging 並具有值 2 (二) 的 REG_DWORD 登錄設定。

若要關閉 [選擇可讀取或傳送訊息的應用程式]

  • 在 UI 中針對每個應用程式關閉此功能。

若要關閉郵件同步處理

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Messaging 中,建立名為 AllowMessageSync 並具有值 0 (零) 的 REG_DWORD 登錄設定。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [訊息中心]

    • 將 [允許訊息服務雲端同步] 設定為 [已停用]

18.13 通話

在 [通話] 區域中,您可以選擇哪些應用程式可以撥打電話。

若要關閉 [讓應用程式撥打電話]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 撥打電話],並將 [選取設定] 方塊設定為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessPhone 並具有值 2 (二) 的 REG_DWORD 登錄設定。

若要關閉 [選擇可以撥打電話的 App]

  • 在 UI 中針對每個應用程式關閉此功能。

18.14 無線通訊

在 [無線通訊] 區域中,您可以選擇哪些應用程式可以開啟或關閉裝置的無線通訊。

若要關閉 [允許應用程式控制無線通訊]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 控制無線通訊功能],並將 [選取設定] 方塊設定為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessRadios 並具有值 2 (二) 的 REG_DWORD 登錄設定。

若要關閉 [選擇可控制無線通訊的應用程式]

  • 在 UI 中針對每個應用程式關閉此功能。

18.15 其他裝置

在 [其他裝置] 區域中,您可以選擇無法與電腦配對的裝置 (例如 Xbox One) 是否可以共用及同步資訊。

若要關閉 [讓應用程式自動與未明確與您的電腦、平板電腦或手機配對的無線裝置共用及同步資訊]

  • 若要關閉 UI 中的功能,請進入 [設定] > [隱私權與安全性] > [其他裝置] > "與未配對的裝置通訊。 讓應用程式自動與未明確和您的電腦、平板電腦或手機配對的無線裝置共用及同步資訊],並將它關閉

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows 應用程式與未配對的裝置通訊],並將 [選取設定] 設定為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy中,建立名為 LetAppsSyncWithDevices 並具有值 2 (二) 的 REG_DWORD 登錄設定。

若要關閉 [讓您的應用程式使用信任的裝置 (您已連線的硬體,或是您電腦、平板電腦或手機隨附的硬體)]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取信任的裝置],並將 [選取設定] 設定為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessTrustedDevices 並具有值 2 (二) 的 REG_DWORD 登錄設定。

18.16 意見反應與診斷

在 [意見反應與診斷] 區域中,您可以選擇詢問您提供意見反應的頻率,以及要傳送給 Microsoft 的診斷與使用量資訊量。 如果您正在尋找的內容是關於各個診斷資料層級的意義與如何在組織中設定它們,請參閱在您的組織中設定 Windows 診斷資料

注意

意見反應頻率只適用於使用者產生的意見反映,而不是從裝置傳送的診斷與使用量資料。

若要變更 [Windows 應該詢問我的意見] 的頻率:

  • 若要從 [自動 (建議選項)] 進行變更,可使用 UI 中的下拉式清單。

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [資料收集與預覽版]> [不顯示意見反應通知]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection 中,建立名為 DoNotShowFeedbackNotifications 並具有值 1 (一) 的 REG_DWORD 登錄設定。

    - 或者 -

  • 建立登錄機碼 (REG_DWORD 類型):

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\PeriodInNanoSeconds

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\NumberOfSIUFInPeriod

      根據這些設定:

      設定 PeriodInNanoSeconds NumberOfSIUFInPeriod
      自動 刪除登錄設定 刪除登錄設定
      永不 0 0
      永遠 100000000 刪除登錄設定
      一天一次 864000000000 1
      一週一次 6048000000000 1

若要變更您在 [將您的裝置資料傳送給 Microsoft] 時傳送的診斷與使用量資料層級:

  • 按一下 [必要 (基本)][選擇性 (完整)] 選項。

    - 或者 -

  • 啟用群組原則:[電腦設定]\[系統管理範本]\[Windows 元件]\[資料收集與預覽版]\[允許遙測],並將其值設定為 0

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection\AllowTelemetry 中,建立具有值 0 的 REG_DWORD 登錄設定。

注意

如果 [安全性] 選項是使用群組原則或登錄所設定,則值不會反映在 UI 中。 [安全性] 選項僅在 Windows 10 和 Windows 11 企業版中提供。

若要關閉運用您的診斷資料來提供量身打造的體驗以及相關的提示及建議:

  • 在 UI 中關閉此功能。

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [雲端內容]> [關閉 Microsoft 消費者體驗]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中,建立名為 DisableWindowsConsumerFeatures 並具有值 1 的 REG_DWORD 登錄設定

    -及-

  • 啟用群組原則:[使用者設定]> [系統管理範本]> [Windows 元件]> [雲端內容]> [不使用診斷資料進行量身打造的體驗]

    - 或者 -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中,建立名為 DisableTailoredExperiencesWithDiagnosticData 並具有 1 (一) 值 的新 REG_DWORD 登錄設定。

18.17 背景應用程式

在 [背景應用程式] 區域中,您可以選擇哪些應用程式可在背景執行。

若要關閉 [讓應用程式在背景執行]

  • 在 [背景應用程式] 設定頁面中,將 [讓應用程式在背景執行] 設定為 [關閉]

    - 或者 -

  • 在 [背景應用程式] 設定頁面中,關閉每個應用程式的功能。

- 或者 -

  • 啟用群組原則 (僅適用於 Windows 10 版本1703 及更新版本和 Windows 11):[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows 應用程式在背景中執行],並將 [選取設定] 方塊設定為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsRunInBackground 並具有值 2 (二) 的 REG_DWORD 登錄設定

注意

如果您將 [讓應用程式在背景執行] 設定為 [強制拒絕],則某些應用程式 (包括 Cortana 和搜尋) 可能無法如預期運作。

18.18 動作

在 [動作] 區域中,您可以選擇哪些應用程式可以存取您的動作資料。

若要關閉 [讓 Windows 與您的應用程式使用您的動作感應器資料並收集動作歷程記錄]

  • 在 UI 中關閉此功能。

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取動作資料],並將 [所有應用程式的預設] 設定為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessMotion 並具有值 2 (二) 的 REG_DWORD 登錄設定。

18.19 工作

在 [工作] 區域中,您可以選擇能存取工作的應用程式。

若要關閉這項功能:

  • 在 UI 中關閉此功能。

    - 或者 -

  • 套用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows App 存取工作]。 將 [選取設定] 方塊設為 [強制拒絕]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsAccessTasks 並具有值 2 (二) 的 REG_DWORD 登錄設定。

18.20 應用程式診斷

在 [應用程式診斷] 區域中,您可以選擇哪些應用程式可以存取您的診斷資訊。

若要關閉這項功能:

  • 在 UI 中關閉此功能。

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [應用程式隱私權]> [讓 Windows 應用程式存取其他應用程式的診斷資訊]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsGetDiagnosticInfo 並具有值 2 (二) 的 REG_DWORD 登錄設定。

18.21 筆跡與輸入

\[筆跡與輸入\] 區域中,您可以設定下列功能:

若要關閉筆跡與輸入資料收集:

  • 在 UI 中,移至 [設定] -> [隱私權] -> [診斷與意見反應] -> [改善筆跡與輸入],然後轉為 [關閉]

    - 或 -

    停用群組原則:[電腦設定] > [系統管理範本] > [Windows 元件] > [文字輸入] > [改善筆跡與輸入辨識]

    - 及 -

    停用群組原則:[使用者設定] > [系統管理範本] > [控制台] > [地區及語言選項] > [個人化手寫] > [關閉自動學習]

    -或-

  • HKEY_CURRENT_USER\Software\Microsoft\InputPersonalization 中的 RestrictImplicitTextCollection 登錄 REG_DWORD 設定為 1 (一) 值

    -及-

  • HKEY_CURRENT_USER\Software\Microsoft\InputPersonalization 中的 RestrictImplicitInkCollection 登錄 REG_DWORD 設定為值 1 (一)

18.22 活動歷程記錄

您可以在 [活動歷程記錄] 區域中,選擇關閉活動歷程記錄的追蹤。

若要在 UI 中關閉此功能:

  • 若要在 UI 中關閉此功能,請移至 [設定] -> [隱私權] -> [活動歷程記錄],並取消核取[將我的活動歷程儲存在此裝置上] 以及取消核取[將我的活動歷程記錄傳送給 Microsoft] 核取方塊。

-或-

  • 停用群組原則:[電腦設定]> [系統管理範本]> [系統]> [OS 原則] (名為 [啟用活動摘要])

    -及-

  • 停用群組原則:[電腦設定]> [系統管理範本]> [系統]> [OS 原則] (名為 [允許公佈使用者活動])

    -及-

  • 停用群組原則:[電腦設定]>[系統管理範本]>[系統]>[OS 原則]> 名為 [允許上傳使用者活動]

-或-

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中建立名為 EnableActivityFeed 的 REG_DWORD 登錄設定,值為 0 (零)

    -及-

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中建立名為 PublishUserActivities 的 REG_DWORD 登錄設定,值為 0 (零)

    - 及 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中建立名為 UploadUserActivities 的 REG_DWORD 登錄設定,值為 0 (零)

18.23 語音啟動

在 [語音啟動] 區域中,您可以選擇關閉應用程式偵聽語音關鍵字的能力。

若要在 UI 中關閉此功能:

  • 在 UI 中關閉此功能,方法是移至 [設定] -> [隱私權] -> [語音啟動],然後關閉[允許應用程式使用語音啟動],並且同時關閉[允許應用程式在此裝置鎖定時使用語音啟動]

-或-

  • 啟用群組原則:[電腦設定]>[系統管理範本]>[Windows 元件]>[應用程式隱私權]> 名為 [允許 Windows 應用程式透過語音啟動] 並且將 [選取設定] 方塊設定為 [強制拒絕]

    -及-

  • 啟用群組原則:[電腦設定]>[系統管理範本]>[Windows 元件]>[應用程式隱私權]> 名為 [允許 Windows 應用程式在系統鎖定時透過語音啟動] 方塊設定為 [強制拒絕]

-或-

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsActivateWithVoice 並具有值 2 (二) 的 REG_DWORD 登錄設定

    -及-

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中,建立名為 LetAppsActivateWithVoiceAboveLock 並具有值 2 (二) 的 REG_DWORD 登錄設定

18.24 新聞和興趣

[Windows 摘要] 區域中,您可以選擇哪些應用程式可以存取您的診斷資訊。

若要關閉這項功能:

  • HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds 中建立名為 EnableFeeds 的 REG_DWORD 登錄設定,其值為 0 (零)

19. 軟體保護平台

企業客戶可以使用內部部署金鑰管理伺服器,透過大量授權管理 Windows 啟用狀態。 您可以藉由執行下列任一操作,選擇取消將 KMS 用戶端啟用資料自動傳送給 Microsoft:

針對 Windows 10 和 Windows 11:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [軟體保護平台]> [關閉 KMS 用戶端線上 AVS 驗證]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform 中,建立名為 NoGenTicket 並具有值 1 (一) 的 REG_DWORD 登錄設定。

若是 Windows Server 2019 或更新版本:

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [軟體保護平台]> [關閉 KMS 用戶端線上 AVS 驗證]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform 中,建立名為 NoGenTicket 並具有值 1 (一) 的 REG_DWORD 登錄設定。

若是 Windows Server 2016:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform 中,建立名為 NoAcquireGT 並具有 1 (一) 值 的新 REG_DWORD 登錄設定。

注意

由於已知問題,關閉 KMS 用戶端線上 AVS 驗證 群組原則無法按預期在 Windows Server 2016 上執行;必須改為設定 NoAcquireGT 值。 Windows 啟用狀態會在長達 180 天的循環期間中保持有效,其中每週都會向 KMS 檢查啟用狀態。

20. 存放裝置健康情況

企業客戶可以管理磁碟失敗預測模型的更新。

針對 Windows 10 和 Windows 11:

  • 停用此群組原則:[電腦設定]> [系統管理範本]> [系統]> [存放裝置健康情況]> [允許將更新下載到磁碟失敗預測模型]

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\StorageHealth 中,建立名為 AllowDiskHealthModelUpdates 並具有值 0 (零) 的 REG_DWORD 登錄設定。

21. 同步您的設定

您可以控制是否要同步您的設定:

  • 在 UI 中:[設定]> [帳戶]> [同步您的設定]

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [同步您的設定]> [不要同步]。保留 [允許使用者開啟同步] 核取方塊為未核取

    - 或者 -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync 中,建立名為 DisableSettingSync 並具有值 2 (二) 的 REG_DWORD 登錄設定,以及在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync 中,建立另一個名為 DisableSettingSyncUserOverride 並具有值 1 (一) 的 REG_DWORD 登錄設定。

若要關閉訊息中心雲端同步:

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Messaging 中,建立名為 CloudServiceSyncEnabled 並具有值 0 (零) 的 REG_DWORD 登錄設定。

    注意

    這個登錄機碼沒有任何群組原則。

22. Teredo

您可以使用群組原則或 netsh.exe 命令來停用 Teredo。 如需 Teredo 的詳細資訊,請參閱網際網路通訊協定版本 6、Teredo 及相關技術

注意

如果您停用 Teredo,部分 XBOX 遊戲功能和傳遞最佳化 (含群組或網際網路對等互連) 將無法運作。

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [網路]> [TCPIP 設定]> [IPv6 轉換技術]> [設定 Teredo 狀態],並將其設定為 [停用狀態]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition 中,建立名為 Teredo_State 並具有值 Disabled 的新 REG_SZ 登錄設定。

23. Wi-Fi 感知器

重要

從 Windows 10 版本 1803 開始,不再提供 Wi-Fi 感知器。 下列章節只適用於 Windows 10 版本 1709 及之前的版本。 如需詳細資訊,請參閱在 Windows 10 中連線到開放式 Wi-Fi 熱點

Wi-Fi 感知器會自動將裝置連接到已知的熱點,以及該人員的連絡人已與其共用的無線網路。

若要關閉 [連線到建議的開放式熱點] 和 [連線至我的連絡人提供共用的網路]

  • 在 [設定] > [網路與網際網路] > [Wi-Fi] 中關閉 UI 中的功能

    - 或者 -

  • 停用群組原則:[電腦設定]> [系統管理範本]> [網路]> [WLAN 服務]> [WLAN 設定]> [允許 Windows 自動連線到建議的開放式熱點、連絡人分享的網路或提供付費服務的熱點]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\config 中,建立名為 AutoConnectAllowedOEM 並具有值 0 (零) 的新 REG_DWORD 登錄設定。

當 Wi-Fi 感知器關閉時,其設定仍會出現在 [Wi-Fi 設定] 畫面上,但它們不會運作,而且無法由員工進行控制。

24. Microsoft Defender 防毒軟體

您可以中斷 Microsoft Antimalware 保護服務的連線。

重要

在 Windows 10 版本 1903 上設定 Microsoft Defender 防毒軟體群組原則或 RegKey 之前所需的步驟

  1. 確定 Windows 和 Microsoft Defender 防毒軟體已完全更新。
  2. 按一下 Windows [開始] 按鈕旁的 [搜尋] 圖示,在 [開始] 功能表中搜尋「竄改防護」。 然後向下捲動至 [竄改防護] 開關,將它關閉。 這可讓您修改登錄機碼,並允許群組原則進行設定。 或者,您也可以移至 [Windows 安全性設定] -> [病毒與威脅防護]、按一下 [管理設定] 連結,然後向下捲動至 [竄改防護] 開關,將其設為 [關閉]
  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [Microsoft Defender 防毒軟體]> [MAPS]> [加入 Microsoft MAPS],然後從名為 [加入 Microsoft MAPS] 的下拉式方塊中選取 [已停用]

-或-

  • 使用登錄將 REG_DWORD 值 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SpyNetReporting 設定為 0 (零)

    -及-

  • 刪除 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates 中的登錄設定 named

您可以停止將檔案樣本傳送回 Microsoft。

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [Windows Defender 防毒軟體]> [MAPS]> [需要進一步分析時發送檔案樣本] 設定為 [永遠不傳送]

    - 或者 -

  • 使用登錄將 REG_DWORD 值 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent 設定為 2 (二),永遠不傳送

您可以停止下載定義更新

注意

1809 和較舊組建的群組原則路徑為 [電腦設定]> [系統管理範本]> [Windows 元件]> [Microsoft Defender 防毒軟體]> [簽章更新]

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [Microsoft Defender 防毒軟體]> [安全情報更新]> [定義下載定義更新的來源順序],並將其設定為 [FileShares]

    -及-

  • 停用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [Microsoft Defender 防毒軟體]> [安全情報更新]> [定義下載定義更新的檔案共用],並將其設定為 [無]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates 中,建立名為 FallbackOrder 並具有值 FileShares 的新 REG_SZ 登錄設定。

    - 及 -

  • 如果 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates 底下存在 DefinitionUpdateFileSharesSources 登錄值,請將它移除

您可以關閉惡意軟體報告工具 (MSRT) 診斷資料

  • 將 REG_DWORD 值 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT\DontReportInfectionInformation 設定為 1

    注意

    沒有關閉惡意軟體報告工具診斷資料的群組原則。

您可以關閉增強式通知,如下所示:

  • 在 UI 中設定: [設定] -> [更新與安全性] -> [Windows 安全性] -> [病毒與威脅防護] -> [病毒與威脅防護管理設定] -> 捲動到最下方的 [通知],按一下 [變更通知設定] -> [通知] -> 按一下 [管理通知] -> [關閉一般通知]

    - 或者 -

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [Microsoft Defender 防毒軟體]> [報告] 下的 [關閉增強通知]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Reporting 中建立名為 DisableEnhancedNotifications 的新 REG_DWORD 登錄設定,然後輸入十進位值 1

24.1 Microsoft Defender SmartScreen

若要停用 Microsoft Defender SmartScreen:

在群組原則中,設定:

  • [電腦設定] > [系統管理範本] > [Windows 元件] > [Windows Defender SmartScreen] > [瀏覽器] > [設定 Windows Defender SmartScreen][已停用]

    -及-

  • [電腦設定] > [系統管理範本] > [Windows 元件] > [檔案總管] > [設定 Windows Defender SmartScreen][停用]

    -及-

  • [電腦設定] > [系統管理範本] > [Windows 元件] > [Windows Defender SmartScreen] > [瀏覽器] > [設定應用程式安裝控制][啟用],然後選取 [關閉應用程式建議]

-或-

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中,建立名為 EnableSmartScreen 並具有值 0 (零) 的 REG_DWORD 登錄設定。

    -及-

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen 中,建立名為 ConfigureAppInstallControlEnabled 並具有值 1 的 REG_DWORD 登錄設定。

    -及-

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen 中,建立名為 ConfigureAppInstallControl 並具有 Anywhere 值的 SZ 登錄設定。

25. 個人化體驗

個人化體驗提供的功能如:鎖定畫面上不同的背景影像和文字、建議的應用程式、Microsoft 帳戶通知,以及 Windows 提示。 範例功能包括 Windows 焦點和 [開始] 功能表 建議。 您可以使用 [群組原則] 來控制它們。

注意

這會排除使用者如何在 Windows 設定中控制個別體驗 (例如 Windows 焦點)。

如果您執行的是 Windows 10 版本 1607 或更新版本,或 Windows 11,您必須:

  • 啟用下列群組原則:[使用者設定]> [系統管理範本]> [Windows 元件]> [雲端內容]>[關閉所有 Windows 焦點功能]

    - 或者 -

  • 使用 值 1 (一)HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中建立名為 DisableWindowsSpotlightFeatures 新 REG_DWORD 登錄設定。

- 及 -

  • 啟用下列 [群組原則]: 電腦設定>系統管理範本>Windows 元件>雲端內容>關閉雲端最佳化內容 content

    - 或者 -

  • 使用 值 1 (一)HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中建立名為 DisableCloudOptimizedContent 新 REG_DWORD 登錄設定。

    注意

    此動作必須在安裝 Windows 10 或 Windows 11 之後 15 分鐘內完成。 或者,也可以透過此設定建立影像。

26. Microsoft Store

您可以關閉能啟動從 Microsoft Store 預先安裝或下載之應用程式的功能。 這也會關閉應用程式自動更新,並停用 Microsoft Store。 此外,也無法藉由點擊 [設定]>[帳戶]>[電子郵件與應用程式帳戶]>[新增帳戶] 建立新的電子郵件帳戶。 在 Windows Server 2016 上,這會封鎖來自 Windows 通用應用程式的 Microsoft Store 呼叫。

  • 停用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [市集]> [停用來自 Microsoft Store 的所有應用程式]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore 中,建立名為 DisableStoreApps 並具有值 1 (一) 的新 REG_DWORD 登錄設定。

-及-

  • 啟用群組原則:[電腦設定]> [系統管理範本]> [Windows 元件]> [市集]> [關閉自動下載和安裝更新]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore 中,建立名為 AutoDownload 並具有值 2 (二) 的新 REG_DWORD 登錄設定。

27. 適用於網站的 App

您可以關閉適用於網站的 App,防止客戶在瀏覽已登錄關聯應用程式的網站時直接啟動應用程式。

  • 停用群組原則:[電腦設定]> [系統管理範本]> [系統]> [群組原則]> [設定透過 URI 處理常式進行 Web 對 App 連結]

    - 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System 中,建立名為 EnableAppUriHandlers 並具有值 0 (零) 的新 REG_DWORD 登錄設定。

28. 傳遞最佳化

[傳遞最佳化] 是 Windows 更新、Microsoft Store 應用程式、Office 及其他 Microsoft 內容的下載程式。 傳遞最佳化可以從 Microsoft 以外的來源下載,這不僅可在您網路連線有限或不穩定時提供協助,還能協助您降低將貴組織中的所有電腦維持在最新狀態所需的頻寬需求。 如果您已開啟傳遞最佳化對等計算選項,您網路上的電腦可能會傳送更新與應用程式到您區域網路上的其他電腦或從區域網路上的其他電腦接收更新與應用程式,而且若您允許的話,甚至可以傳送到網際網路上的電腦或從網際網路上的電腦接收。

根據預設,執行 Windows 10 或 Windows 11 的電腦只會使用傳遞最佳化從區域網路的電腦取得更新與應用程式或傳送更新與應用程式到區域網路中的電腦。

使用 UI、群組原則或登錄機碼來設定傳遞最佳化。

在 Windows 10 版本 1607 和更新版本以及 Windows 11 中,您可以將下載模式設定為 [簡單模式] (99),以停止與傳遞最佳化雲端服務相關的網路流量,如下所述。

28.1 設定 > 更新與安全性

您可以從設定 UI 設定傳遞最佳化對等計算。

  • 移至 [設定]> [更新與安全性]> [Windows Update]> [進階選項]> [選擇更新提供方式]

28.2 傳遞最佳化群組原則

您可以在 [電腦設定]> [系統管理範本]> [Windows 元件]> [傳遞最佳化] 下方找到傳遞最佳化群組原則物件。

原則 描述
下載模式 讓您能夠選擇傳遞最佳化取得或傳送更新與應用程式的位置,包括:
  • 。 關閉傳遞最佳化。

  • 群組。 取得或傳送更新與應用程式到同一個區域網路網域上的電腦。

  • 網際網路。 取得或傳送更新與應用程式到網際網路上的電腦。

  • 區域網路。 只取得或傳送更新與應用程式到相同 NAT 上的電腦。

  • 簡單。 沒有對等傳輸的簡單下載模式。

  • 略過。 使用 BITS 而不是 Windows Update 傳遞最佳化。 [設定為旁路] 以限制流量。

群組識別碼 讓您能夠提供一個群組識別碼來限制哪些電腦可以共用應用程式和更新。
注意:此識別碼必須是 GUID。
快取保留時間上限 讓您能夠指定檔案保留在傳遞最佳化快取中的最長時間 (以秒為單位)。
預設值為 259200 秒 (3 天)。
快取大小上限 讓您能夠以磁碟大小的百分比形式來指定快取大小上限。
預設值為 20,代表 20% 的磁碟。
上傳頻寬上限 讓您能夠指定裝置可在所有同時進行上傳的活動中使用的上傳頻寬上限 (KB/秒)。
預設值為 0,表示沒有限制可能的頻寬。

如需傳遞最佳化原則的完整清單,請參閱傳遞最佳化參考

28.3 傳遞最佳化

  • 啟用 [電腦設定]> [系統管理範本]> [Windows 元件]> [傳遞最佳化] 下的 [下載模式] 群組原則,並將 [下載模式] 設定為 [簡單模式 (99)] 以防止對等之間的流量以及流量傳回至傳遞最佳化雲端服務。

- 或者 -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization 中,建立名為 DODownloadMode 並具有值 99 (九十九) 的新 REG_DWORD 登錄設定。

如需一般情況下傳遞最佳化的詳細資訊,請參閱 Windows Update 傳遞最佳化:常見問題集

IT 專業人員可在此取得傳遞最佳化相關資訊:[Windows 10 更新的傳遞最佳化]

29. Windows Update

您可以設定下列登錄項目來關閉 Windows Update:

  • 新增名為 DoNotConnectToWindowsUpdateInternetLocations 的 REG_DWORD 值至 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,並將值設定為 1。

    - 及 -

  • 新增名為 DisableWindowsUpdateAccess 的 REG_DWORD 值至 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,並將值設定為 1。

    -及-

  • 新增名為 [WUServer] 的 REG_SZ 值至 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,並使用空格字元 " " 確保其為空白。

    -及-

  • 新增名為 [WUStatusServer] 的 REG_SZ 值至 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,並使用空格字元 " " 確保其為空白。

    -及-

  • 新增名為 [UpdateServiceUrlAlternate] 的 REG_SZ 值至 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,並使用空格字元 " " 確保其為空白。

    -及-

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU 中,新增名為 UseWUServer 的 REG_DWORD 值,並將其 值設定為 1 (一)

- 或 -

  • 將群組原則 [電腦設定]> [系統管理範本]> [Windows 元件]> [Windows Update]> [不要連線到任何 Windows Update 網際網路位置] 設定為 [已啟用]

    -及-

  • 將群組原則 [電腦設定]> [系統管理範本]> [系統]> [網際網路通訊管理]> [網際網路通訊設定]> [關閉對所有 Windows Update 功能的存取] 設定為 [已啟用]

    -及-

  • 將群組原則 [電腦設定]> [系統管理範本]> [Windows 元件]> [Windows Update]> [指定內部網路 Microsoft 更新服務位置] 設定為 [已啟用],並確定所有選項設定 (內部網路更新服務、內部網路統計伺服器、替代下載伺服器) 都設定為 " "

    -及-

  • 將群組原則 [使用者設定]> [系統管理範本]> [Windows 元件]> [Windows Update]> [移除使用所有 Windows Update 功能的存取權] 設定為 [已啟用],然後將 [電腦設定] 設定為 0 (零)

您可以執行下列動作來關閉自動更新。 不建議這麼做。

  • 新增名為 AutoDownload 的 REG_DWORD 值至 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate,並將值設定為 5。

針對中國版本的 Windows 10,還需設定另一個 Regkey 以防止流量:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\LexiconUpdate\loc_0804 中,新增名為 HapDownloadEnabled 的 REG_DWORD 值,並將其 值設定為 0 (零)

30. 雲端剪貼簿

指定剪貼簿項目是否跨裝置漫遊。 允許此選項時,複製到剪貼簿的項目會上傳到雲端,讓其他裝置可加以存取。 您可以在您的 Windows 10 和 Windows 11 裝置上下載並貼上雲端中的剪貼簿項目。

限制程度最高的值為 0。

ADMX 資訊:

  • GP 易記名稱:允許跨裝置同步剪貼簿
  • GP 名稱:AllowCrossDeviceClipboard
  • GP 路徑:系統/作業系統原則
  • GP ADMX 檔案名稱:OSPolicy.admx

下列清單顯示支援的值:

  • 0 – 不允許
  • 1 (預設值) - 已允許

31. 服務組態

Windows 元件和應用程式 (例如遙測服務) 會使用服務設定來動態更新其設定。 如果您關閉此服務,使用此服務的應用程式可能會停止運作。

您可以設定下列的登錄項目來關閉服務設定:

將名為 REG_DWORD DisableOneSettingsDownloads 的 REG_DWORD 值新增到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection ,並將值設定為 1

32. 小工具

小工具是可由使用者自訂的新聞和摘要服務。 如果您關閉此服務,使用此服務的應用程式可能會停止運作。

若要關閉 [小工具],您可以在 MDM 解決方案中使用群組原則或自訂設定,例如 Microsoft Intune。

  • 針對群組原則,您可以使用「允許小工具」原則,這在 Intune設定目錄 中也提供使用。
  • 針對 MDM 解決方案,您可以使用 NewsandInterests 設定服務提供者 (CSP) 中的 AllowNewsAndInterests 設定。

如需 AllowNewsAndInterests 和 [允許小工具] 原則的詳細資訊,請 檢閱此資訊

33. 建議

開始功能表上的建議區段會顯示推薦的應用程式和檔案清單。

若要關閉這些建議,您可以使用下列任何方法:

  • 在群組原則中,在 使用者設定>系統管理範本>開始功能表和工作列 底下,將「從開始功能表移除建議」原則移動至 [已啟用]。
  • 在 MDM 解決方案 (例如 Microsoft Intune) 中,您可以使用 [開始] 原則設定雲端解決方案提供者 (CSP) 中的 HideRecentJumplists 設定。
  • 在登錄中,您可以將 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackDocs 設為 0。
  • 在 UI 中,您可以在 設定>個人化>開始畫面 底下關閉 在 [開始]、[捷徑清單] 和 [檔案總管] 中顯示最近開啟的項目

Windows 受限流量有限功能基準的允許流量清單

允許的流量端點
activation-v2.sls.microsoft.com/*
crl.microsoft.com/pki/crl/*
ocsp.digicert.com/*
www.microsoft.com/pkiops/*

若要深入了解,請參閱裝置更新管理使用群組原則設定自動更新