Verwalten von Verbindungen zwischen Windows 10- und Windows 11-Betriebssystemkomponenten und Microsoft-Diensten mit Microsoft Intune MDM-Server
Betrifft:
- Windows 11
- Windows 10 Enterprise Version 1903 und höher
Dieser Artikel beschreibt die Netzwerkverbindungen, die Windows 10- und Windows 11-Komponenten zu Microsoft herstellen, sowie die Richtlinien für MDM/CSP (Mobile Device Management/Configuration Service Provider) und den benutzerdefinierten OMA URI (Open Mobile Alliance Uniform Resource Identifier), die IT-Experten zur Verfügung stehen, um mit Microsoft Intune die für Microsoft freigegebenen Daten zu verwalten. Um Verbindungen zwischen Windows und Microsoft-Diensten zu minimieren oder bestimmte Datenschutzeinstellungen zu konfigurieren, stehen einige Einstellungen zur Verfügung. Beispielsweise können Sie mithilfe der Anweisungen in diesem Artikel die Erfassung von Diagnosedaten für Ihre Windows-Edition auf die niedrigste Stufe beschränken und Verbindungen deaktivieren, die Windows zu Microsoft-Diensten herstellt. Auch wenn es möglich ist, Netzwerkverbindungen zu Microsoft zu minimieren, gibt es viele Gründe dafür, dass diese Kommunikation standardmäßig aktiviert ist, z. B. das Aktualisieren von Schadsoftwaredefinitionen und das Verwalten der aktuellen Zertifikatswiderrufslisten. Diese Daten helfen uns, eine sichere, zuverlässige und aktuelle Erfahrung zu liefern.
Wichtig
- Die zulässigen Datenverkehrsendpunkte für eine MDM-Konfiguration finden Sie hier: Zulässiger Datenverkehr
- Netzwerkdatenverkehr für CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) kann nicht deaktiviert werden und wird weiterhin in Netzwerkablaufverfolgungen angezeigt. CRL- und OCSP-Überprüfungen werden für die ausstellenden Zertifizierungsstellen vorgenommen. Microsoft ist eine dieser Zertifizierungsstellen. Es gibt viele weitere, z. B. DigiCert, Thawte, Google, Symantec und VeriSign.
- Es gibt einigen Datenverkehr, der speziell für die auf Microsoft Intune basierende Verwaltung von Windows 10- und Windows 11-Geräten erforderlich ist. Dieser Datenverkehr umfasst den Windows-Benachrichtigungsdienst (Windows Notifications Service, WNS), die automatische Aktualisierung von Stammzertifikaten (Automatic Root Certificates Update, ARCU) und einigen Datenverkehr bezüglich Windows Update. Der oben erwähnte Datenverkehr umfasst den zulässigen Datenverkehr für Microsoft Intune MDM Server zum Verwalten von Windows 10- und Windows 11-Geräten.
- Aus Sicherheitsgründen ist es wichtig, sorgfältig zu entscheiden, welche Einstellungen konfiguriert werden müssen, da einige davon zu einem weniger sicheren Gerät führen können. Zu den Beispielen für Einstellungen, die zu einer weniger sicheren Gerätekonfiguration führen können, gehören: Deaktivieren von Windows Update, Deaktivieren der automatischen Aktualisierung von Stammzertifikaten und Deaktivieren von Windows Defender. Dementsprechend wird davon abgeraten, diese Features zu deaktivieren.
- Verwenden Sie die ControlPolicyConflict -Richtlinie, um sicherzustellen, dass die CSPs im Fall von Konflikten Vorrang vor Gruppenrichtlinien haben.
- Die Links Hilfe und Feedback übermitteln in Windows funktionieren möglicherweise nicht mehr, nachdem einige oder alle MDM/CSP-Einstellungen übernommen wurden.
Warnung
Wenn ein Benutzer den Befehl "Diesen PC zurücksetzen" (Einstellungen –> Update & Sicherheit –> Wiederherstellung) mit der Option "Alles entfernen" ausführt, müssen >Windows Restricted Traffic Limited Functionality-Einstellungen erneut angewendet werden, um den ausgehenden Datenverkehr des Geräts erneut einzuschränken. >Dazu muss der Client erneut beim Microsoft Intune-Dienst registriert werden. Es kann während des Zeitraums vor der erneuten >Anwendung der Einstellungen der Restricted Traffic Limited Functionality Baseline zu ausgehendem Datenverkehr kommen. Wenn der Benutzer ein "Zurücksetzen dieses PCs" mit der >Option "Eigene Dateien beibehalten" ausführt, bleiben die Einstellungen der Einstellungen der >Restricted Traffic Limited Functionality Baseline auf dem Gerät erhalten, und daher behält der Client während und nach dem Zurücksetzen von "Eigene Dateien beibehalten" eine Konfiguration mit eingeschränktem Datenverkehr bei, und es ist keine erneute Registrierung erforderlich.
Weitere Informationen zu Microsoft Intune finden sie unter Transformieren der IT-Dienstbereitstellung für Ihren modernen Arbeitsplatz und Microsoft Intune-Dokumentation.
Ausführliche Informationen zum Verwalten von Netzwerkverbindungen zu Microsoft-Diensten mithilfe von Windows-Einstellungen, Gruppenrichtlinien und Registrierungseinstellungen finden sie unter Verwalten von Verbindungen zwischen Windows-Betriebssystemkomponenten und Microsoft-Diensten.
Wir sind ständig bestrebt, unsere Dokumentation zu verbessern und freuen uns über Ihr Feedback. Bitte senden Sie Ihr Feedback per E-Mail an telmhelp@microsoft.com.
Einstellungen für Windows 10 Enterprise-Edition 1903 und höher und Windows 11
In der folgenden Tabelle sind die Verwaltungsoptionen für jede Einstellung aufgeführt.
Für Windows 10 und Windows 11 sind die folgenden MDM-Richtlinien in der CSP-Richtlinie verfügbar.
Automatische Aktualisierung von Stammzertifikaten
- MDM-Richtlinie: Es ist absichtlich kein MDM für die automatische Aktualisierung von Stammzertifikaten verfügbar. Diese MDM ist nicht vorhanden, da sie den Betrieb und die Verwaltung der MDM-Verwaltung von Geräten verhindern würde.
Cortana und Suche
- MDM-Richtlinie: Experience/AllowCortana. Legen Sie fest, ob Cortana auf dem Gerät installiert und ausgeführt werden darf. Festgelegt auf 0 (Null)
- MDM-Richtlinie: Search/AllowSearchToUseLocation. Legen Sie fest, ob Cortana und die Suchfunktion standortbezogene Suchergebnisse bereitstellen können. Festgelegt auf 0 (Null)
Datum & Zeit
- MDM-Richtlinie: Settings/AllowDateTime. Ermöglicht dem Benutzer die Änderung von Einstellungen für Datum und Uhrzeit. Festgelegt auf 0 (Null)
Abruf von Gerätemetadaten
- MDM-Richtlinie: DeviceInstallation/PreventDeviceMetadataFromNetwork. Legen Sie fest, ob Windows das Abrufen von Gerätemetadaten aus dem Internet verhindern soll. Festgelegt auf „Aktiviert”
Mein Gerät suchen
- MDM-Richtlinie: Experience/AllowFindMyDevice. Diese Richtlinie aktiviert „Mein Gerät suchen”. Festgelegt auf 0 (Null)
Streaming von Schriften
- MDM-Richtlinie: System/AllowFontProviders. Diese Einstellung legt fest, ob Windows Schriften und Schriftkatalogdaten von einem Online-Schriftanbieter herunterladen darf. Festgelegt auf 0 (Null)
Vorschau-Builds für Insider
- MDM-Richtlinie: System/AllowBuildPreview. Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer in den erweiterten Optionen für Windows Update auf die Einstellungsmöglichkeiten für Insider-Builds zugreifen können. Festgelegt auf 0 (Null)
Internet Explorer Die folgenden MDM-Richtlinien für Microsoft Internet Explorer sind verfügbar unter Internet Explorer CSP
- MDM-Richtlinie: InternetExplorer/AllowSuggestedSites. Empfiehlt Websites entsprechend den Browseraktivitäten des Benutzers. Festgelegt auf „Deaktiviert“
- MDM-Richtlinie: InternetExplorer/PreventManagingSmartScreenFilter. Verhindert, dass der Benutzer Windows Defender SmartScreen verwaltet, der den Benutzer warnt, wenn die Website, die besucht wird, für betrügerische Versuche zur Erfassung persönlicher Informationen durch "Phishing" oder als Host für Malware bekannt ist.
Festgelegt auf eine Zeichenfolge mit dem Wert:
- <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
- MDM-Richtlinie: InternetExplorer/DisableFlipAheadFeature. Bestimmt, ob Benutzer über den Bildschirm wischen oder auf „Vorwärts“ klicken können, um zur nächsten vorab geladenen Seite einer Website zu wechseln. Festgelegt auf „Aktiviert”
- MDM-Richtlinie: InternetExplorer/DisableHomePageChange. Legt fest, ob Benutzer die Standard-Startseite ändern können.
Festgelegt auf eine Zeichenfolge mit dem Wert:
- <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
- MDM-Richtlinie: InternetExplorer/DisableFirstRunWizard. Verhindert, dass Internet Explorer den Assistenten für die erstmalige Anwendung ausführt, wenn ein Benutzer den Browser nach der Installation von Internet Explorer oder Windows zum ersten Mal startet.
Festgelegt auf eine Zeichenfolge mit dem Wert:
- <enabled/><data id=”FirstRunOptions” value=”1”/>
Live-Kacheln
- MDM-Richtlinie: Notifications/DisallowTileNotification. Diese Richtlinieneinstellung schaltet die Benachrichtigung für Kacheln aus. Wenn Sie diese Richtlinieneinstellung aktivieren, können Anwendungen und Systemfeatures ihre Kacheln und Kachelbadges im Startbildschirm nicht aktualisieren. Ganzzahlwert 1
E-Mail-Synchronisierung
- MDM-Richtlinie: Accounts/AllowMicrosoftAccountConnection. Gibt an, ob der Benutzer ein Microsoft-Konto für nicht E-Mail-bezogene Verbindungsauthentifizierung und Dienste verwenden darf. Festgelegt auf 0 (Null)
Microsoft-Konto
- MDM-Richtlinie: Accounts/AllowMicrosoftAccountSignInAssistant. Deaktiviert den Anmeldeassistenten des Microsoft-Kontos. Festgelegt auf 0 (Null)
Microsoft Edge Die folgenden MDM-Richtlinien für Microsoft Edge finden Sie unter Policy CSP. Eine vollständige Liste der Richtlinien für Microsoft Edge finden Sie unter Verfügbare Richtlinien für Microsoft Edge.
- MDM-Richtlinie: Browser/AllowAutoFill. Legen Sie fest, ob Mitarbeiter die AutoAusfüllen-Funktion auf Websites verwenden können. Festgelegt auf 0 (Null)
- MDM-Richtlinie: Browser/AllowDoNotTrack. Legen Sie fest, ob Mitarbeiter „Nicht verfolgen (Do not track)“-Header senden können. Festgelegt auf 0 (Null)
- MDM-Richtlinie: Browser/AllowMicrosoftCompatbilityList. Gibt die Microsoft-Kompatibilitätsliste in Microsoft Edge an. Festgelegt auf 0 (Null)
- MDM-Richtlinie: Browser/AllowPasswordManager. Legen Sie fest, ob Mitarbeiter Kennwörter lokal auf ihren Geräten speichern können. Festgelegt auf 0 (Null)
- MDM-Richtlinie: Browser/AllowSearchSuggestionsinAddressBar. Legen Sie fest, ob in der Adressleiste Suchvorschläge angezeigt werden. Festgelegt auf 0 (Null)
- MDM-Richtlinie: Browser/AllowSmartScreen. Wählen Sie, ob Windows Defender SmartScreen aktiviert oder deaktiviert ist. Festgelegt auf 0 (Null)
Statusanzeige für Netzwerkverbindung
- Connectivity/DisallowNetworkConnectivityActiveTests. Hinweis: Nachdem Sie diese Richtlinie angewendet haben, müssen Sie das Gerät neu starten, damit die Richtlinieneinstellung wirksam wird. Festgelegt auf 1 (Eins)
Offlinekarten
- MDM-Richtlinie: AllowOfflineMapsDownloadOverMeteredConnection. Ermöglicht das Herunterladen und Aktualisieren von Kartendaten über getaktete Verbindungen.
Festgelegt auf 0 (Null) - MDM-Richtlinie: EnableOfflineMapsAutoUpdate. Deaktiviert das automatische Herunterladen und Aktualisieren von Kartendaten. Festgelegt auf 0 (Null)
- MDM-Richtlinie: AllowOfflineMapsDownloadOverMeteredConnection. Ermöglicht das Herunterladen und Aktualisieren von Kartendaten über getaktete Verbindungen.
OneDrive
- MDM-Richtlinie: DisableOneDriveFileSync. Ermöglicht IT-Administratoren, zu verhindern, dass Apps und Funktionen mit Dateien auf OneDrive arbeiten. Festgelegt auf 1 (Eins)
- ADMX aufnehmen – Um die neueste OneDrive-ADMX-Datei abzurufen, benötigen Sie einen aktuellen Windows 10- oder Windows 11-Client. Die ADMX-Dateien sind unter dem folgenden Pfad auffindbar: Unter %LocalAppData%\Microsoft\OneDrive\ finden Sie einen Ordner mit dem aktuellen OneDrive-Build (z. B. „18.162.0812.0001”). Der Ordner namens „adm” enthält die ADMX- und ADML-Richtliniendefinitionsdateien.
- MDM-Richtlinie: Verhindern des Netzwerkdatenverkehrs vor der Benutzeranmeldung. PreventNetworkTrafficPreUserSignIn. Der OMA-URI-Wert lautet: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Datentyp: Zeichenfolge, Wert: <aktiviert/>
Datenschutzeinstellungen Mit Ausnahme der Seite „Feedback und Diagnose“ müssen diese Einstellungen für jedes Benutzerkonto konfiguriert werden, das sich auf dem PC anmeldet.
- Allgemein – TextInput/AllowLinguisticDataCollection. Mit dieser Richtlinieneinstellung wird die Möglichkeit gesteuert, Freihand- und Eingabedaten an Microsoft zu senden. Festgelegt auf 0 (Null)
- Position – System/AllowLocation. Gibt an, ob der App Zugriff auf den Positionsdienst gewährt werden soll. Festgelegt auf 0 (Null)
- Kamera – Camera/AllowCamera. Aktiviert oder deaktiviert die Kamera. Festgelegt auf 0 (Null)
- Mikrofon – Privacy/LetAppsAccessMicrophone. Gibt an, ob Windows-Apps auf das Mikrofon zugreifen können. Festgelegt auf 2 (Zwei)
- Benachrichtigungen – Privacy/LetAppsAccessNotifications. Gibt an, ob Windows-Apps auf Benachrichtigungen zugreifen können. Festgelegt auf 2 (Zwei)
- Benachrichtigungen – Settings/AllowOnlineTips. Aktiviert oder deaktiviert das Abrufen von Online-Tipps und Hilfe für die App „Einstellungen”. Ganzzahlwert 0
- Spracherkennung, Freihand- und Tastatureingabe – Privacy/AllowInputPersonalization. Diese Richtlinie gibt an, ob Benutzer auf dem Gerät die Möglichkeit haben, die Online Spracherkennung zu aktivieren. Festgelegt auf 0 (Null)
- Spracherkennung, Freihand und Eingabe – TextInput/AllowLinguisticDataCollection. Mit dieser Richtlinieneinstellung wird die Möglichkeit gesteuert, Freihand- und Eingabedaten an Microsoft zu senden. Auf 0 (Null) festlegen
- Kontoinformationen – Privacy/LetAppsAccessAccountInfo. Gibt an, ob Windows-Apps auf Kontoinformationen zugreifen können. Festgelegt auf 2 (Zwei)
- Kontakte – Privacy/LetAppsAccessContacts. Gibt an, ob Windows-Apps auf Kontakte zugreifen können. Festgelegt auf 2 (Zwei)
- Kalender – Privacy/LetAppsAccessCalendar. Gibt an, ob Windows-Apps auf den Kalender zugreifen können. Festgelegt auf 2 (Zwei)
- Anrufliste – Privacy/LetAppsAccessCallHistory. Gibt an, ob Windows-Apps auf Kontoinformationen zugreifen können. Festgelegt auf 2 (Zwei)
- E-Mail – Privacy/LetAppsAccessEmail. Gibt an, ob Windows-Apps auf E-Mails zugreifen können. Festgelegt auf 2 (Zwei)
- Nachrichten – Privacy/LetAppsAccessMessaging. Gibt an, ob Windows-Apps Nachrichten lesen oder senden können (SMS oder MMS). Festgelegt auf 2 (Zwei)
- Telefonanrufe – Privacy/LetAppsAccessPhone. Gibt an, ob Windows-Apps Telefonanrufe ausführen können. Festgelegt auf 2 (Zwei)
- Funkempfang – Privacy/LetAppsAccessRadios. Gibt an, ob Windows-Apps Zugriff auf funktechnische Geräte haben. Festgelegt auf 2 (Zwei)
- Andere Geräte – Privacy/LetAppsSyncWithDevices. Gibt an, ob Windows-Apps mit Geräten synchronisiert werden können. Festgelegt auf 2 (Zwei)
- Andere Geräte – Privacy/LetAppsAccessTrustedDevices. Gibt an, ob Windows-Apps auf vertrauenswürdige Geräte zugreifen können. Festgelegt auf 2 (Zwei)
- Feedback und Diagnose – System/AllowTelemetry. Dem Gerät das Senden von Diagnose- und Nutzungstelemetriedaten erlauben, z. B. Watson. Festgelegt auf 0 (Null)
- Feedback & Diagnose – Experience/DoNotShowFeedbackNotifications. Verhindert, dass Geräte Feedback-Fragen von Microsoft anzeigen. Festgelegt auf 1 (Eins)
- Hintergrund-Apps – Privacy/LetAppsRunInBackground. Gibt an, ob Windows-Apps im Hintergrund ausgeführt werden können. Festgelegt auf 2 (Zwei)
- Bewegung – Privacy/LetAppsAccessMotion. Gibt an, ob Windows-Apps auf Bewegungsdaten zugreifen können. Festgelegt auf 2 (Zwei)
- Aufgaben – Privacy/LetAppsAccessTasks. Deaktivieren Sie die Option zum Auswählen der Apps, die Zugriff auf Aufgaben haben. Festgelegt auf 2 (Zwei)
- App-Diagnose – Privacy/LetAppsGetDiagnosticInfo. Erzwingen Sie das Erlauben, Verweigern oder die Benutzerkontrolle über Anwendungen, die Diagnoseinformationen über andere laufende Anwendungen erhalten können. Festgelegt auf 2 (Zwei)
Softwareschutz-Plattform - Licensing/DisallowKMSClientOnlineAVSValidation. Sie können ablehnen, dass KMS-Clientaktivierungsdaten automatisch an Microsoft gesendet werden. Festgelegt auf 1 (Eins)
Speicherintegrität - Storage/AllowDiskHealthModelUpdates. Ermöglicht Aktualisierungen von Datenträger-Integritätsmodellen. Festgelegt auf 0 (Null)
Synchronisieren von Einstellungen - Experience/AllowSyncMySettings. Sie können steuern, ob Ihre Einstellungen synchronisiert werden. Festgelegt auf 0 (Null)
Teredo – Kein MDM erforderlich. Teredo ist standardmäßig deaktiviert. Die Übermittlungsoptimierung (DO) kann Teredo aktivieren, ist jedoch selbst über MDM deaktiviert.
WLAN-Optimierung – Kein MDM erforderlich. WLAN-Optimierung ist ab Windows 10, Version 1803 und später oder Windows 11 nicht mehr verfügbar.
Windows Defender
- Defender/AllowCloudProtection. Sie können die Verbindung mit dem Microsoft Antimalware-Schutzdienst trennen. Festgelegt auf 0 (Null)
- Defender/SubmitSamplesConsent. Sie können das Senden von Dateibeispielen an Microsoft deaktivieren. Festgelegt auf 2 (Zwei)
- Defender/EnableSmartScreenInShell. Deaktiviert SmartScreen in Windows für App- und Dateiausführung. Festgelegt auf 0 (Null)
- Windows Defender SmartScreen – Browser/AllowSmartScreen. Sie können Windows Defender SmartScreen deaktivieren. Festgelegt auf 0 (Null)
- Windows Defender SmartScreen EnableAppInstallControl – SmartScreen/EnableAppInstallControl. Steuert, ob Benutzer Apps von anderen Orten als dem Microsoft Store installieren dürfen. Festgelegt auf 0 (Null)
- Windows Defender Potentially Unwanted Applications(PUA)-Schutz – Defender/PUAProtection. Legt die Ebene zur Erkennung potenziell unerwünschter Anwendungen (PUAs) fest. Festgelegt auf 1 (Eins)
- Defender/SignatureUpdateFallbackOrder. Sie können die Reihenfolge festlegen, in der verschiedene Definitionsaktualisierungsquellen kontaktiert werden sollen. Der OMA-URI dafür lautet: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Datentyp: String, Wert: FileShares
Windows-Blickpunkt - Experience/AllowWindowsSpotlight. Deaktiviert Windows-Blickpunkt Festgelegt auf 0 (Null)
Microsoft Store
- ApplicationManagement/DisableStoreOriginatedApps. Boolescher Wert, der den Start aller Apps aus dem Microsoft Store deaktiviert, die bereits vorinstalliert oder heruntergeladen wurden. Festgelegt auf 1 (Eins)
- ApplicationManagement/AllowAppStoreAutoUpdate. Gibt an, ob automatische App-Updates aus dem Microsoft Store zulässig sind. Festgelegt auf 0 (Null)
Apps für Websites - ApplicationDefaults/EnableAppUriHandlers. Mit dieser Richtlinieneinstellung wird festgelegt, ob Windows die Web-to-App-Verknüpfung mit App-URI-Handlern unterstützt. Festgelegt auf 0 (Null)
Windows Update-Übermittlungsoptimierung – Die folgenden MDM-Richtlinien für die Übermittlungsoptimierung sind unter Policy CSP verfügbar.
- DeliveryOptimization/DODownloadMode. Sie können auswählen, von wo die Übermittlungsoptimierung Updates und Apps erhält oder wohin sie gesendet werden. Auf 99 (neunundneunzig) festlegen
Windows Update
- Update/AllowAutoUpdate. Steuert automatische Updates. Festgelegt auf 5 (Fünf)
- Windows Update Allow Update Service – Update/AllowUpdateService. Gibt an, ob das Gerät Microsoft Update, Windows Server Update Services (WSUS) oder den Microsoft Store verwenden kann Festgelegt auf 0 (Null)
- Windows Update Service-URL - Update/UpdateServiceUrl. Ermöglicht dem Gerät, auf einem WSUS-Server statt bei Microsoft Update nach Updates zu suchen.
Festgelegt auf eine Zeichenfolge mit dem Wert:
- <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>
Empfehlungen
a. HideRecentJumplists Einstellung im Konfigurationsdienstanbieter der Startrichtlinie. So blenden Sie eine Liste der empfohlenen Apps und Dateien im Abschnitt ausblenden „Empfohlen“ im Startmenü aus.
Zulässiger Datenverkehr für Microsoft Intune/MDM-Konfigurationen
Zulässige Datenverkehrsendpunkte |
---|
activation-v2.sls.microsoft.com/* |
cdn.onenote.net |
client.wns.windows.com |
crl.microsoft.com/pki/crl/* |
ctldl.windowsupdate.com |
*displaycatalog.mp.microsoft.com |
dm3p.wns.windows.com |
*microsoft.com/pkiops/* |
ocsp.digicert.com/* |
r.manage.microsoft.com |
tile-service.weather.microsoft.com |
settings-win.data.microsoft.com |
msedge.api.cdp.microsoft.com |
*.dl.delivery.mp.microsoft.com |
edge.microsoft.com |