Gestire le connessioni dai componenti del sistema operativo Windows 10 e Windows 11 a servizi Microsoft usando Microsoft Intune server MDM
Si applica a
- Windows 11
- Windows 10 Enterprise 1903 e versioni successive
In questo articolo vengono illustrate le connessioni di rete stabilite dai componenti di Windows 10 e Windows 11 a Microsoft e ai criteri di Gestione di dispositivi mobili/Provider di servizi di configurazione (MDM/CSP) e Uniform Resource Identifier Open Mobile Alliance (URI OMA) personalizzati a disposizione dei professionisti IT che usano Microsoft Intune per facilitare la gestione dei dati condivisi con Microsoft. Se desideri ridurre al minimo le connessioni tra Windows e i servizi Microsoft oppure configurare le impostazioni di privacy, devi tenere conto di varie impostazioni. Ad esempio, puoi configurare i dati di diagnostica al livello più basso per la tua edizione di Windows e valutare la disabilitazione delle altre connessioni di Windows ai servizi Microsoft usando le istruzioni in questo articolo. Anche se è possibile ridurre al minimo le connessioni di rete a Microsoft, esistono diversi motivi per cui tali comunicazioni sono abilitate per impostazione predefinita, ad esempio l'aggiornamento delle definizioni dei malware e il mantenimento degli elenchi di revoche di certificati correnti. Questi dati ci consentono di offrirti un'esperienza sicura, affidabile e aggiornata.
Importante
- Gli endpoint del traffico consentito relativi a una configurazione MDM sono qui: Traffico consentito
- L'elenco di revoche di certificati (CRL) e il Protocollo di stato del certificato online (OCSP) non possono essere disabilitati e verranno comunque visualizzati nelle tracce di rete. Vengono eseguiti controlli CRL e OCSP sulle autorità di certificazione emittenti. Microsoft fa parte di queste autorità. Ne esistono molte altre, ad esempio DigiCert, Thawte, Google, Symantec e VeriSign.
- Per la gestione basata su Microsoft Intune di dispositivi Windows 10 e Windows 11 esiste un traffico specifico. Questo traffico include il Servizio notifiche di Windows (WNS), l'aggiornamento automatico dei certificati radice (ARCU) e alcuni Windows Update traffico correlato. Il traffico indicato in precedenza comprende il traffico consentito per Microsoft Intune server MDM per gestire i dispositivi Windows 10 e Windows 11.
- Per motivi di sicurezza, è importante prestare particolare attenzione nella scelta delle impostazioni da configurare, in quanto alcune di esse potrebbero rendere il dispositivo meno sicuro. Esempi di impostazioni che possono determinare una configurazione meno sicura dei dispositivi includono: la disabilitazione di Windows Update, la disabilitazione dell'aggiornamento automatico dei certificati radice e la disabilitazione di Windows Defender. Pertanto, non è consigliabile disabilitare una di queste funzionalità.
- Per garantire che, in caso di conflitti, i CSP abbiano priorità sui Criteri di gruppo, usa il criterio ControlPolicyConflict .
- Dopo l'applicazione di alcune o di tutte le impostazioni di MDM/CSP, i collegamenti Richiesta supporto e Commenti e suggerimenti in Windows potrebbero non funzionare più.
Warning
Se un utente esegue il comando "Reimposta il PC" (Impostazioni -> Aggiornamento e sicurezza -> Ripristino) con l'opzione "Rimuovi tutto", è necessario riapplicare le >impostazioni della Funzionalità di limitazione del traffico con restrizioni di Windows per applicare nuovamente le restrizioni al traffico in uscita del dispositivo. >Per fare ciò, il client deve essere registrato nuovamente al servizio Microsoft Intune. Potrebbe verificarsi traffico in uscita durante il periodo precedente alla nuova >applicazione delle impostazioni della Funzionalità di limitazione del traffico con restrizioni di Windows. Se l'utente esegue "Reimposta il PC" con >l'opzione "Mantieni i miei file", le impostazioni della Funzionalità di limitazione del traffico con restrizioni vengono mantenute sul dispositivo e pertanto il client rimarrà configurato su >Traffico limitato durante e dopo il ripristino di "Mantieni i miei file"e non è richiesta alcuna nuova registrazione.
Per altre informazioni su Microsoft Intune, vedi Trasforma l'offerta dei servizi IT per un luogo di lavoro moderno e Documentazione di Microsoft Intune.
Per informazioni dettagliate sulla gestione delle connessioni di rete ai servizi Microsoft tramite impostazioni di Windows, Criteri di gruppo e impostazioni del Registro di sistema, vedi Gestire le connessioni dai componenti del sistema operativo Windows ai servizi Microsoft.
Cerchiamo di migliorare costantemente la nostra documentazione e accogliamo con favore il tuo feedback. Puoi inviare commenti e suggerimenti tramite e-mail all'indirizzo telmhelp@microsoft.com.
Impostazioni per Windows 10 Enterprise 1903 e versioni successive e Windows 11
Nella tabella seguente sono elencate le opzioni di gestione per ogni impostazione.
Per Windows 10 e Windows 11, i criteri MDM seguenti sono disponibili in CSP Criteri.
Aggiornamento automatico dei certificati radice
- Criterio MDM: non sono stati intenzionalmente resi disponibili MDM per l'aggiornamento automatico del certificato radice. Questo MDM non esiste perché impedirebbe il funzionamento e la gestione della gestione MDM dei dispositivi.
Cortana e Cerca
- Criterio MDM: Experience/AllowCortana. Consente di scegliere se consentire l'installazione e l'esecuzione di Cortana nel dispositivo. Impostato su 0 (zero)
- Criterio MDM: Search/AllowSearchToUseLocation. Scegli se Cortana e Cerca possono fornire risultati della ricerca con riconoscimento della posizione. Impostato su 0 (zero)
Data e ora
- Criterio MDM: Settings/AllowDateTime. Consente all'utente di modificare le impostazioni di data e ora. Impostato su 0 (zero)
Recupero metadati dispositivo
- Criterio MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Consente di scegliere se impedire che Windows recuperi i metadati del dispositivo da Internet. Impostato su Enabled
Trova il mio dispositivo
- Criterio MDM: Experience/AllowFindMyDevice. Questi criteri attivano Trova il mio dispositivo. Impostato su 0 (zero)
Streaming dei tipi di carattere
- Criterio MDM: System/AllowFontProviders. Impostazione che determina la capacità di Windows di scaricare i tipi di carattere e i dati del catalogo dei tipi di carattere da un provider di tipi di carattere online. Impostato su 0 (zero)
Build di Insider Preview
- Criterio MDM: System/AllowBuildPreview. Questa impostazione di criteri determina la possibilità di accesso degli utenti ai controlli della build di Insider in Opzioni avanzate per Windows Update. Impostato su 0 (zero)
Internet Explorer I criteri MDM di Microsoft Internet Explorer seguenti sono disponibili in CSP di Internet Explorer
- Criterio MDM: InternetExplorer/AllowSuggestedSites. Consiglia siti Web in base all'attività di esplorazione dell'utente. Impostato su Disabilitato
- Criterio MDM: InternetExplorer/PreventManagingSmartScreenFilter. Impedisce all'utente di gestire Windows Defender SmartScreen, che avvisa l'utente se il sito Web visitato è noto per tentativi fraudolenti di raccogliere informazioni personali tramite "phishing" o è noto per ospitare malware.
Impostato su Stringa con valore:
- <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
- Criterio MDM: InternetExplorer/DisableFlipAheadFeature. Determina se un utente può scorrere rapidamente su uno schermo o fare clic su Inoltra per passare alla pagina precaricata successiva di un sito Web. Impostato su Abilitato
- Criterio MDM: InternetExplorer/DisableHomePageChange. Determina se gli utenti possono modificare o meno la Home page predefinita.
Impostato su Stringa con valore:
- <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
- Criterio MDM: InternetExplorer/DisableFirstRunWizard. Impedisce a Internet Explorer di effettuare la prima esecuzione guidata la prima volta che un utente avvia il browser dopo l'installazione di Internet Explorer o di Windows.
Impostato su Stringa con valore:
- <enabled/><data id=”FirstRunOptions” value=”1”/>
Riquadri animati
- Criterio MDM: Notifications/DisallowTileNotification. Questa impostazione dei criteri disattiva le notifiche dei riquadri. Se si abilita questa impostazione di criteri, le applicazioni e le funzionalità di sistema non saranno in grado di aggiornare i relativi riquadri e i badge dei riquadri nella schermata Start. Valore intero 1
Sincronizzazione della posta
- Criterio MDM: Accounts/AllowMicrosoftAccountConnection. Specifica se l'utente è autorizzato a usare un account Microsoft per l'autenticazione e i servizi di connessione non correlati alla posta elettronica. Impostato su 0 (zero)
Account Microsoft
- Criterio MDM: Accounts/AllowMicrosoftAccountSignInAssistant. Consente di disabilitare l'assistente per l'accesso all'account Microsoft. Impostato su 0 (zero)
Microsoft Edge I criteri MDM di Microsoft Edge seguenti sono disponibili in CSP dei criteri. Per un elenco completo dei criteri per Microsoft Edge, vedi Criteri disponibili per Microsoft Edge.
- Criterio MDM: Browser/AllowAutoFill. Consente di scegliere se i dipendenti possono usare il riempimento automatico nei siti Web. Impostato su 0 (zero)
- Criterio MDM: Browser/AllowDoNotTrack. Consente di scegliere se i dipendenti possono inviare intestazioni Non tenere traccia. Impostato su 0 (zero)
- Criterio MDM: Browser/AllowMicrosoftCompatbilityList. Consente di specificare l'elenco di compatibilità Microsoft in Microsoft Edge. Impostato su 0 (zero)
- Criterio MDM: Browser/AllowPasswordManager. Consente di scegliere se i dipendenti possono salvare le password in locale nei loro dispositivi. Impostato su 0 (zero)
- Criterio MDM: Browser/AllowSearchSuggestionsinAddressBar. Consente di scegliere se visualizzare suggerimenti per la ricerca nella barra degli indirizzi. Impostato su 0 (zero)
- Criterio MDM: Browser/AllowSmartScreen. Scegli se Windows Defender SmartScreen è attivato o disattivato. Impostato su 0 (zero)
Indicatore di stato della connessione di rete
- Connectivity/DisallowNetworkConnectivityActiveTests. Nota: dopo aver applicato questo criterio, è necessario riavviare il dispositivo affinché l'impostazione venga applicata. Impostato su 1 (uno)
Mappe offline
- Criterio MDM: AllowOfflineMapsDownloadOverMeteredConnection. Consente il download e l'aggiornamento dei dati della mappa tramite connessioni a consumo.
Impostato su 0 (zero) - Criterio MDM: EnableOfflineMapsAutoUpdate. Disabilita il download automatico e l'aggiornamento dei dati della mappa. Impostato su 0 (zero)
- Criterio MDM: AllowOfflineMapsDownloadOverMeteredConnection. Consente il download e l'aggiornamento dei dati della mappa tramite connessioni a consumo.
OneDrive
- Criterio MDM: DisableOneDriveFileSync. Consente agli amministratori IT di impedire alle app e alle funzionalità di usare file in OneDrive. Impostato su 1 (uno)
- Inserire ADMX: per ottenere il file ADMX di OneDrive più recente, è necessario un client Windows 10 o Windows 11 aggiornato. I file ADMX si trovano nel percorso seguente: %LocalAppData%\Microsoft\OneDrive\ dove è presente una cartella con la build di OneDrive corrente (ad esempio "18.162.0812.0001"). Esiste una cartella denominata "adm" che contiene i file di definizione dei criteri admx e adml.
- Criterio MDM: consente di impedire il traffico di rete prima dell'accesso dell'utente. PreventNetworkTrafficPreUserSignIn. Il valore OMA-URI è: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Tipo di dati: Stringa, Valore: <enabled/>
Impostazioni di privacy Ad eccezione della pagina Feedback e diagnostica, queste impostazioni devono essere configurate per ogni account utente che accede al PC.
- Generale - TextInput/AllowLinguisticDataCollection. Questa impostazione di criteri controlla la capacità di inviare dati sull'input penna e sulla digitazione a Microsoft. Impostato su 0 (zero)
- Posizione - System/AllowLocation. Specifica se consentire all'app l'accesso al servizio di posizione. Impostato su 0 (zero)
- Fotocamera - Camera/AllowCamera. Disabilita o abilita la fotocamera. Impostato su 0 (zero)
- Microfono - Privacy/LetAppsAccessMicrophone. Specifica se le app di Windows possono accedere al microfono. Impostato su 2 (due)
- Notifiche - Privacy/LetAppsAccessNotifications. Specifica se le app di Windows possono accedere alle notifiche. Impostato su 2 (due)
- Notifiche - Settings/AllowOnlineTips. Abilita o disabilita il recupero dei suggerimenti online e della Guida per l'app Impostazioni. Valore intero 0
- Comandi vocali, input penna e digitazione - Privacy/AllowInputPersonalization. Questo criterio specifica se gli utenti del dispositivo hanno la possibilità di abilitare il riconoscimento vocale online. Impostato su 0 (zero)
- Comandi vocali, input penna e digitazione- TextInput/AllowLinguisticDataCollection. Questa impostazione di criteri controlla la possibilità di inviare dati sull'input penna e sulla digitazione a Microsoft Impostato su 0 (zero)
- Info account - Privacy/LetAppsAccessAccountInfo. Specifica se le app di Windows possono accedere alle informazioni sugli account. Impostato su 2 (due)
- Contatti - Privacy/LetAppsAccessContacts. Specifica se le app di Windows possono accedere ai contatti. Impostato su 2 (due)
- Calendario - Privacy/LetAppsAccessCalendar. Specifica se le app di Windows possono accedere al calendario. Impostato su 2 (due)
- Registro chiamate - Privacy/LetAppsAccessCallHistory. Specifica se le app di Windows possono accedere alle informazioni sull'account. Impostato su 2 (due)
- E-mail - Privacy/LetAppsAccessEmail. Specifica se le app di Windows possono accedere all'e-mail. Impostato su 2 (due)
- Messaggistica - Privacy/LetAppsAccessMessaging. Specifica se le app di Windows possono leggere o inviare messaggi (SMS o MMS). Impostato su 2 (due)
- Chiamate telefoniche - Privacy/LetAppsAccessPhone. Specifica se le app di Windows possono effettuare chiamate telefoniche. Impostato su 2 (due)
- Radio - Privacy/LetAppsAccessRadios. Specifica se le app di Windows hanno accesso al controllo delle radio. Impostato su 2 (due)
- Altri dispositivi - Privacy/LetAppsSyncWithDevices. Specifica se le app di Windows possono essere sincronizzate con i dispositivi. Impostato su 2 (due)
- Altri dispositivi - Privacy/LetAppsAccessTrustedDevices. Specifica se le app di Windows possono accedere a dispositivi attendibili. Impostato su 2 (due)
- Feedback e diagnostica - System/AllowTelemetry. Consente al dispositivo di inviare dati di diagnostica e di telemetria sull'utilizzo, ad esempio Watson. Impostato su 0 (zero)
- Feedback e diagnostica - Experience/DoNotShowFeedbackNotifications. Impedisce ai dispositivi di visualizzare domande di feedback da Microsoft. Impostato su 1 (uno)
- App in background - Privacy/LetAppsRunInBackground. Specifica se le app di Windows possono essere eseguite in background. Impostato su 2 (due)
- Movimento - Privacy/LetAppsAccessMotion. Specifica se le app di Windows possono accedere ai dati di movimento. Impostato su 2 (due)
- Attività - Privacy/LetAppsAccessTasks. Impedisce di scegliere le app che hanno accesso alle attività. Impostato su 2 (due)
- Diagnostica app - Privacy/LetAppsGetDiagnosticInfo. Forza il consenso, forza il rifiuto o concede all'utente il controllo delle app che possono ottenere informazioni di diagnostica su altre app in esecuzione. Impostato su 2 (due)
Piattaforma di protezione software - Licensing/DisallowKMSClientOnlineAVSValidation. Consente di rifiutare in modo esplicito l'invio automatico dei dati di attivazione del client del server di gestione delle chiavi a Microsoft. Impostato su 1 (uno)
Integrità dell'archiviazione - Storage/AllowDiskHealthModelUpdates. Consente gli aggiornamenti del modello di integrità del disco. Impostato su 0 (zero)
Sincronizza le impostazioni - Experience/AllowSyncMySettings. Consente di controllare se le impostazioni sono sincronizzate. Impostato su 0 (zero)
Teredo - Nessun MDM necessario. Teredo è Disattivato per impostazione predefinita. Ottimizzazione recapito (DO) può attivare Teredo, che viene disattivato tramite MDM.
Sensore Wi-Fi - Nessun MDM necessario. Sensore Wi-Fi non è più disponibile da Windows 10 versione 1803 e successive o da Windows 11.
Windows Defender
- Defender/AllowCloudProtection. Consente di disconnettersi dal Servizio di protezione Microsoft Antimalware. Impostato su 0 (zero)
- Defender/SubmitSamplesConsent. Interrompe l'invio di esempi di file a Microsoft. Impostato su 2 (due)
- Defender/EnableSmartScreenInShell. Disattiva SmartScreen in Windows per l'esecuzione di app e file. Impostato su 0 (zero)
- Windows Defender SmartScreen - Browser/AllowSmartScreen. Disabilita Windows Defender SmartScreen. Impostato su 0 (zero)
- EnableAppInstallControl di Windows Defender SmartScreen - SmartScreen/EnableAppInstallControl. Controlla se gli utenti possono installare app da posizioni diverse da Microsoft Store. Impostato su 0 (zero)
- Protezione da applicazioni potenzialmente indesiderate di Windows Defender - Defender/PUAProtection. Specifica il livello di rilevamento per le applicazioni potenzialmente indesiderate. Impostato su 1 (uno)
- Defender/SignatureUpdateFallbackOrder. Consente di definire l'ordine in cui devono essere contattate le diverse origini di aggiornamento delle definizioni. L'OMA-URI per questo è: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, Tipo di dati: Stringa, Valore: FileShares
Contenuti in evidenza di Windows - Experience/AllowWindowsSpotlight. Disabilita Contenuti in evidenza di Windows. Impostato su 0 (zero)
Microsoft Store
- ApplicationManagement/DisableStoreOriginatedApps. Valore booleano che disabilita l'avvio di tutte le app da Microsoft Store fornite preinstallate o scaricate. Impostato su 1 (uno)
- ApplicationManagement/AllowAppStoreAutoUpdate. Specifica se è consentito l'aggiornamento automatico delle app da Microsoft Store. Impostato su 0 (zero)
App per siti Web - ApplicationDefaults/EnableAppUriHandlers. Questa impostazione di criteri determina se Windows supporta il collegamento da Web ad app con gestori URI app. Impostato su 0 (zero)
Ottimizzazione recapito di Windows Update - I criteri MDM per l'ottimizzazione del recapito seguenti sono disponibili in CSP dei criteri.
- DeliveryOptimization/DODownloadMode. Consente di scegliere se Ottimizzazione recapito riceve o invia aggiornamenti e app. Impostare su 99 (novantanove)
Windows Update
- Update/AllowAutoUpdate. Consente di controllare gli aggiornamenti automatici. Impostato su 5 (cinque)
- Allow Update Service di Windows Update - Update/AllowUpdateService. Specifica se il dispositivo può usare Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store. Impostato su 0 (zero)
- URL del servizio di Windows Update - Update/UpdateServiceUrl. Consente al dispositivo di verificare la disponibilità di aggiornamenti da un server WSUS anziché da Microsoft Update.
Impostato su Stringa con il valore:
- <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>
Consigli
a. Impostazione HideRecentJumplists nel provider del servizio di configurazione dei criteri di avvio( CSP). Per nascondere un elenco di app e file consigliati nella sezione Consigliati del menu Start.
Traffico consentito per le configurazioni di Microsoft Intune/MDM
Endpoint di traffico consentiti |
---|
activation-v2.sls.microsoft.com/* |
cdn.onenote.net |
client.wns.windows.com |
crl.microsoft.com/pki/crl/* |
ctldl.windowsupdate.com |
*displaycatalog.mp.microsoft.com |
dm3p.wns.windows.com |
*microsoft.com/pkiops/* |
ocsp.digicert.com/* |
r.manage.microsoft.com |
tile-service.weather.microsoft.com |
settings-win.data.microsoft.com |
msedge.api.cdp.microsoft.com |
*.dl.delivery.mp.microsoft.com |
edge.microsoft.com |