Del via

Administrer forbindelser fra Windows 10-on Windows 11-komponenter i operativsystemet til Microsoft-tjenester ved hjælp af Microsoft Intune MDM-server

  • Artikel

Gælder for

  • Windows 11
  • Windows 10 Enterprise version 1903 og nyere

I denne artikel beskrives de netværksforbindelser, som Windows 10- og Windows 11-komponenter opretter til Microsoft, og de politikker for administration af mobilenheder/konfiguration af tjenesteudbydere (MDM/CSP) og brugerdefineret Open Mobile Alliance Uniform Resource Identifier (OMA URI), der er tilgængelige for it-fagfolk, der bruger Microsoft Intune til at administrere de data, der er delt med Microsoft. Hvis du vil minimere forbindelserne fra Windows to Microsoft-tjenester eller konfigurere indstillinger for beskyttelse af personlige oplysninger, er der en række indstillinger, der skal overvejes. Du kan for eksempel konfigurere diagnosticeringsdata til det laveste niveau for din udgave af Windows og evaluere andre forbindelser, som Windows opretter i Microsoft-tjenester, og som du vil deaktivere ved hjælp af vejledningen i denne artikel. Selvom det er muligt at minimere netværksforbindelser til Microsoft, er der mange grunde til, at disse meddelelser er aktiveret som standard, f.eks opdatering af definitioner af malware og vedligeholdelse af aktuelle lister over tilbagekaldte certifikater. Disse data hjælper os med at levere en sikker, pålidelig og opdateret oplevelse.

Vigtigt!

  • Slutpunkterne for tilladt trafik for en MDM-konfiguration er her: Tilladt trafik
    • Netværkstrafik af typen CRL (Certificate Revocation List) og OCSP (Online Certificate Status Protocol) kan ikke deaktiveres og vises stadig i netværksspor. CRL- og OCSP-tjek udføres af de udstedende nøglecentre. Microsoft er et af disse centre. Der er mange andre, f.eks. DigiCert, Thawte, Google, Symantec og VeriSign.
    • Der er en del af trafikken, der specifikt kræves til Microsoft Intune-baseret administration af Windows 10-og >Windows 11-enheder. Denne trafik omfatter WNS (Windows Notifications Service), ARCU (Automatic Root Certificates Update) og en del Windows Update-relateret trafik. Den nævnte trafik omfatter den tilladte trafik til Microsoft Intune MDM-serveren til administration af Windows 10-og Windows 11-enheder.
  • Af sikkerhedsmæssige hensyn er det vigtigt at være opmærksom, når du beslutter, hvilke indstillinger der skal konfigureres, da nogle af dem kan medføre en mindre sikker enhed. Eksempler på indstillinger, der kan medføre en mindre sikker enhedskonfiguration, omfatter: deaktivering af Windows Update, deaktivering af Automatisk opdatering af rodcertifikater og deaktivering af Windows Defender. Derfor anbefaler vi ikke, at du deaktiverer nogen af disse funktioner.
  • Hvis du vil sikre, at CSP'er har større prioritet end gruppepolitikker i tilfælde af konflikter, skal du bruge politikken ControlPolicyConflict.
  • Linkene Få hjælp og Send os feedback i Windows fungerer muligvis ikke længere, når du har anvendt nogle eller alle indstillinger for MDM/CSP.

Advarsel

Hvis en bruger kører kommandoen "Nulstil denne pc" (Indstillinger -> Opdatering og sikkerhed -> Genoprettelse) med indstillingen "Fjern alt", skal >Windows Restricted Traffic Limited Functionality-indstillingerne anvendes igen for at kunne begrænse enhedens udgangstrafik. >For at gøre det skal klienten tilmeldes Microsoft Intune-tjenesten igen. Der kan forekomme udgangstrafik i løbet af perioden op til genanvendelse> af indstillingerne for Restricted Traffic Limited Functionality. Hvis brugeren kører kommandoen "Nulstil denne pc" med indstillingen "Bevar mine filer", bevares >indstillingerne for Restricted Traffic Limited Functionality på enheden, og klienten vil derfor forblive i en >Restricted Traffic-konfiguration under og efter en nulstilling til "Bevar mine filer", og der kræves ikke gentilmelding.

Du kan få flere oplysninger om Microsoft Intune ved at se Transformér it-tjenestelevering for din moderne arbejdsplads og dokumentationen til Microsoft Intune.

Du kan finde detaljerede oplysninger om administration af netværksforbindelser til Microsoft-tjenester ved hjælp af Windows-indstillinger, gruppepolitikker og indstillinger i registreringsdatabasen under Administrer forbindelser fra Windows-komponenter i operativsystemet til Microsoft-tjenester.

Vi stræber altid på at forbedre vores dokumentation, og vi er glade for din feedback. Du kan give feedback ved at sende en mail til telmhelp@Microsoft.com.

Indstillinger til Windows 10 Enterprise version 1903 og senere og Windows 11

I følgende tabel vises en liste over administrationsindstillinger for hver indstilling.

For Windows 10 og Windows 11 er følgende MDM-politikker tilgængelige i politik-CSP'en.

  1. Automatisk opdatering af rodcertifikater

    1. MDM-politik: Der findes bevidst ingen MDM til automatisk opdatering af rodcertifikater. Denne MDM findes ikke, da det ville forhindre driften og administrationen af MDM-administration af enheder.

  2. Cortana og søgning

    1. MDM-politik: Experience/AllowCortana. Vælg, om Cortana skal installeres og køres på enheden. Indstillet til 0 (nul)
    2. MDM-politik: Search/AllowSearchToUseLocation. Vælg, om Cortana og Søg kan vise placeringsafhængige søgeresultater. Indstillet til 0 (nul)

  3. Dato og klokkeslæt

    1. MDM-politik: Settings/AllowDateTime. Gør det muligt for brugeren at ændre indstillinger for dato og klokkeslæt. Indstillet til 0 (nul)

  4. Hentning af enhedsmetadata

    1. MDM-politik: DeviceInstallation/PreventDeviceMetadataFromNetwork. Vælg, om du vil forhindre Windows i at hente enhedsmetadata fra internettet. Indstillet til Aktiveret

  5. Find min enhed

    1. MDM-politik: Experience/AllowFindMyDevice. Denne politik aktiverer Find min enhed. Indstillet til 0 (nul)

  6. Skrifttypestreaming

    1. MDM-politik: System/AllowFontProviders. Indstilling, der bestemmer, om Windows har tilladelse til at downloade skrifttyper og skrifttypekatalogdata fra en udbyder af onlineskrifttype. Indstillet til 0 (nul)

  7. Insider Preview-builds

    1. MDM-politik: system-AllowBuildPreview. Denne politikindstilling bestemmer, om brugerne kan få adgang til kontrolelementerne i Insider-builds i de avancerede indstillinger for Windows Update. Indstillet til 0 (nul)

  8. Internet Explorer Følgende politikker for Microsoft Internet Explorer-MDM er tilgængelige i Internet Explorer CSP

    1. MDM-politik: InternetExplorer/AllowSuggestedSites. Anbefaler websteder baseret på brugerens browseraktivitet. Indstillet til Deaktiveret
    2. MDM-politik: InternetExplorer/PreventManagingSmartScreenFilter. Forhindrer brugeren i at administrere Windows Defender SmartScreen, der advarer brugeren, hvis det websted, der besøges, er kendt for svigagtige forsøg på at indsamle personlige oplysninger via "phishing" eller kendt for at være vært for malware. Indstillet til Streng med værdien:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. MDM-politik: InternetExplorer/DisableFlipAheadFeature. Bestemmer, om en bruger kan stryge på tværs af en skærm eller klikke på Fremad for at gå til den næste forudindlæste side på et websted. Indstillet til Aktiveret
    4. MDM-politik: InternetExplorer/DisableHomePageChange. Bestemmer, om brugerne kan ændre standardstartsiden eller ej. Indstillet til Streng med værdien:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. MDM-politik: InternetExplorer/DisableFirstRunWizard. Forhindrer Internet Explorer i at køre guiden til første kørsel, første gang en bruger starter browseren, efter at Internet Explorer eller Windows er installeret. Indstillet til Streng med værdien:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Dynamiske felter

    1. MDM-politik: Notifications/DisallowTileNotification. Denne politikindstilling deaktiverer feltmeddelelser. Hvis du aktiverer disse politikindstillinger, kan programmer og systemfunktioner ikke opdatere deres felter og feltbadges på startskærmen. Heltalsværdien 1

  10. Mailsynkronisering

    1. MDM-politik: Accounts/AllowMicrosoftAccountConnection. Angiver, om brugeren har tilladelse til at bruge en Microsoft-konto til ikke-mailrelateret forbindelsesgodkendelse og -tjenester. Indstillet til 0 (nul)

  11. Microsoft-konto

    1. MDM-politik: Accounts/AllowMicrosoftAccountSignInAssistant. Deaktiver logonassistenten for Microsoft-kontoen. Indstillet til 0 (nul)

  12. Microsoft Edge Følgende Microsoft Edge MDM-politikker er tilgængelige i Politik-CSP. Du kan finde en komplet liste over Microsoft Edge-politikkerne under Tilgængelige politikker til Microsoft Edge.

    1. MDM-politik: Browser/AllowAutoFill. Vælg, om medarbejderne kan bruge automatisk udfyldning på websteder. Indstillet til 0 (nul)
    2. MDM-politik: Browser/AllowDoNotTrack. Vælg, om medarbejdere kan sende Do Not Track-headers. Indstillet til 0 (nul)
    3. MDM-politik: Browser/AllowMicrosoftCompatbilityList. Angiv Microsoft-kompatibilitetslisten i Microsoft Edge. Indstillet til 0 (nul)
    4. MDM-politik: Browser/AllowPasswordManager. Vælg, om medarbejdere kan gemme adgangskoder lokalt på deres enheder. Indstillet til 0 (nul)
    5. MDM-politik: Browser/AllowSearchSuggestionsinAddressBar. Vælg, om adresselinjen viser søgeforslag. Indstillet til 0 (nul)
    6. MDM-politik: Browser/AllowSmartScreen. Vælg, om Windows Defender SmartScreen er slået til eller fra. Indstillet til 0 (nul)

  13. Indikator for status for netværksforbindelse

    1. Connectivity/DisallowNetworkConnectivityActiveTests. Bemærk! Når du har anvendt denne politik, skal du genstarte enheden, for at politikindstillingen kan træde i kraft. Indstillet til 1 (en)

  14. Offlinekort

    1. MDM-politik: AllowOfflineMapsDownloadOverMeteredConnection. Gør det muligt at downloade og opdatere kortdata via forbrugsbaserede forbindelser.
      Indstillet til 0 (nul)
    2. MDM-politik: EnableOfflineMapsAutoUpdate. Deaktiverer automatisk download og opdatering af kortdata. Indstillet til 0 (nul)

  15. OneDrive

    1. MDM-politik: DisableOneDriveFileSync. Gør det muligt for it-administratorer at forhindre, at apps og funktioner arbejder med filer på OneDrive. Indstillet til 1 (en)
    2. Funktionen ADMX – Hvis du vil hente den nyeste OneDrive ADMX-fil, skal du have en opdateret Windows 10- eller Windows 11-klient. ADMX-filerne er placeret under følgende sti: %LocalAppData%\Microsoft\OneDrive\ der findes en mappe med det aktuelle OneDrive-build (for eksempel "18.162.0812.0001"). Der findes en mappe med navnet "adm", som indeholder ADMX- og ADML-politikdefinitionsfilerne.
    3. MDM-politik: Undgå netværkstrafik, før brugeren logger på. PreventNetworkTrafficPreUserSignIn. OMA-URI-værdien er: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Datatype: Streng, Værdi: <enabled/>

  16. Indstillinger for beskyttelse af personlige oplysninger Med undtagelse af siden Feedback og diagnosticering skal disse indstillinger konfigureres for hver brugerkonto, der logger på pc'en.

    1. Generelt – TextInput/AllowLinguisticDataCollection. Denne politikindstilling styrer muligheden for at sende håndskrift og skrive data til Microsoft. Indstillet til 0 (nul)
    2. Placering – System/AllowLocation. Angiver, om du vil give appen adgang til placeringstjenesten. Indstillet til 0 (nul)
    3. Kamera – Camera/AllowCamera. Deaktiverer eller aktiverer kameraet. Indstillet til 0 (nul)
    4. Mikrofon – Privacy/LetAppsAccessMicrophone. Angiver, om Windows-apps har adgang til mikrofonen. Indstillet til 2 (to)
    5. Meddelelser – Privacy/LetAppsAccessNotifications. Angiver, om Windows-apps har adgang til meddelelser. Indstillet til 2 (to)
    6. Meddelelser – Settings/AllowOnlineTips. Aktiverer eller deaktiverer hentning af onlinetips og hjælp til appen Indstillinger. Heltalsværdien 0
    7. Tale, håndskrift og indtastning – Privacy/AllowInputPersonalization. Denne politik angiver, om brugerne på enheden har mulighed for at aktivere onlinetalegenkendelse. Indstillet til 0 (nul)
    8. Tale, håndskrift og indtastning – TextInput/AllowLinguisticDataCollection. Denne politikindstilling styrer muligheden for at sende håndskrift og indtastning af data til Microsoft Indstillet til 0 (nul)
    9. Kontooplysninger – Privacy/LetAppsAccessAccountInfo. Angiver, om Windows-apps har adgang til kontooplysninger. Indstillet til 2 (to)
    10. Kontakter – Privacy/LetAppsAccessContacts. Angiver, om Windows-apps har adgang til kontakter. Indstillet til 2 (to)
    11. Kalender – Privacy/LetAppsAccessCalendar. Angiver, om Windows-apps har adgang til kalenderen. Indstillet til 2 (to)
    12. Opkaldsoversigt – Privacy/LetAppsAccessCallHistory. Angiver, om Windows-apps har adgang til kontooplysninger. Indstillet til 2 (to)
    13. Mail – Privacy/LetAppsAccessEmail. Angiver, om Windows-apps har adgang til mail. Indstillet til 2 (to)
    14. Meddelelse – Privacy/LetAppsAccessMessaging. Angiver, om Windows-apps kan læse eller sende meddelelser (sms eller mms). Indstillet til 2 (to)
    15. Telefonopkald – Privacy/LetAppsAccessPhone. Angiver, om Windows-apps kan foretage telefonopkald. Indstillet til 2 (to)
    16. Radioer – Privacy/LetAppsAccessRadios. Angiver, om Windows-apps har adgang til styringsradioer. Indstillet til 2 (to)
    17. Andre enheder – Privacy/LetAppsSyncWithDevices. Angiver, om Windows-apps kan synkroniseres med enheder. Indstillet til 2 (to)
    18. Andre enheder – Privacy/LetAppsAccessTrustedDevices. Angiver, om Windows-apps har adgang til pålidelige enheder. Indstillet til 2 (to)
    19. Feedback & diagnosticering – System/AllowTelemetry. Tillad, at enheden sender diagnosticerings- og brugstelemetridata, f.eks Watson. Indstillet til 0 (nul)
    20. Feedback og diagnosticering – Experience/DoNotShowFeedbackNotifications. Forhindrer enheder i at vise feedbackspørgsmål fra Microsoft. Indstillet til 1 (en)
    21. Baggrundsapps – Privacy/LetAppsRunInBackground. Angiver, om Windows-apps kan køre i baggrunden. Indstillet til 2 (to)
    22. Bevægelse – Privacy/LetAppsAccessMotion. Angiver, om Windows-apps har adgang til bevægelsesdata. Indstillet til 2 (to)
    23. Opgaver – Privacy/LetAppsAccessTasks. Deaktiver muligheden for at vælge, hvilke apps der har adgang til opgaver. Indstillet til 2 (to)
    24. Programdiagnosticering – Privacy/LetAppsGetDiagnosticInfo. Gennemtving tilladelse, gennemtving afvisning, eller giv brugerstyring over apps, der kan få diagnosticeringsoplysninger om andre kørende apps. Indstillet til 2 (to)

  17. Platform til softwarebeskyttelse - Licensing/DisallowKMSClientOnlineAVSValidation. Fravælg automatisk afsendelse af aktiveringsdata fra KMS-klient til Microsoft. Indstillet til 1 (en)

  18. Lagertilstand - Storage/AllowDiskHealthModelUpdates. Gør det muligt at opdatere disktilstandsmodellen. Indstillet til 0 (nul)

  19. Synkroniser dine indstillinger - Experience/AllowSyncMySettings. Styr, om dine indstillinger synkroniseres. Indstillet til 0 (nul)

  20. Teredo – MDM er ikke nødvendig. Teredo er som standard slået fra. Leveringsoptimering (DO) kan slå Teredo til, men det er ikke selv slået fra via MDM.

  21. Wi-Fi-assistent MDM er ikke nødvendig. Wi-Fi-assistent er ikke længere tilgængelig fra Windows 10 version 1803 og senere eller Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Afbryd forbindelsen til Microsoft Antimalware-beskyttelsestjenesten. Indstillet til 0 (nul)
    2. Defender/SubmitSamplesConsent. Hold op med at sende fileksempler tilbage til Microsoft. Indstillet til 2 (to)
    3. Defender/EnableSmartScreenInShell. Deaktiverer SmartScreen i Windows til app- og filkørsel. Indstillet til 0 (nul)
    4. Windows Defender SmartScreen – Browser/AllowSmartScreen. Deaktiver Windows Defender SmartScreen. Indstillet til 0 (nul)
    5. Windows Defender SmartScreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Styrer, om brugere har tilladelse til at installere apps andre steder fra end Microsoft Store. Indstillet til 0 (nul)
    6. Windows Defender-beskyttelse af potentielt uønskede programmer (PUA) – Defender/PUAProtection. Angiver registreringsniveauet for potentielt uønskede programmer (PUA'er). Indstillet til 1 (en)
    7. Defender/SignatureUpdateFallbackOrder. Gør det muligt at definere den rækkefølge, som forskellige definitionsopdateringskilder skal kontaktes i. OMA-URI for dette er: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Datatype: String, Value: FileShares

  23. Windows Spotlys - Experience/AllowWindowsSpotlight. Deaktiver Windows Spotlys. Indstillet til 0 (nul)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Boolesk værdi, der deaktiverer start af alle apps fra Microsoft Store, der var forudinstalleret eller er blevet downloadet. Indstillet til 1 (en)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Angiver, om automatisk opdatering af apps fra Microsoft Store er tilladt. Indstillet til 0 (nul)

  25. Apps til websteder - ApplicationDefaults/EnableAppUriHandlers. Denne politikindstilling bestemmer, om Windows understøtter web-til-app-sammenkædning med URI-handlere. Indstillet til 0 (nul)

  26. Windows Update-leveringsoptimering – Følgende MDM-politikker for leveringsoptimering er tilgængelige i Politik-CSP.

    1. DeliveryOptimization/DODownloadMode. Her kan du vælge, hvor leveringsoptimering får eller sender opdateringer og apps. Indstil til 99 (nioghalvfems)

  27. Windows Update

    1. Update/AllowAutoUpdate. Styr automatiske opdateringer. Indstillet til 5 (fem)
    2. Windows Update, tillad opdateringstjenesten – Update/AllowUpdateService. Angiver, om enheden kan bruge Microsoft Update, WSUS (Windows Server Update Services) eller Microsoft Store. Indstillet til 0 (nul)
    3. URL-adresse til Windows Update-tjenesten – Update/UpdateServiceUrl. Gør det muligt for enheden at søge efter opdateringer fra en WSUS-server i stedet for Microsoft Update. Indstillet til Streng med værdien:
      1. <Erstat><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/ UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Anbefalinger
    a. Indstillingen HideRecentJumplists i konfigurationstjenesteudbyderen (CSP) for startpolitikken. For at skjule en liste over anbefalede apps og filer i sektionen Anbefalede i menuen Start.

Tilladt trafik til Microsoft Intune/MDM-konfigurationer

Slutpunkter for tilladt trafik
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com