Udostępnij za pośrednictwem


Ograniczanie dostępu użytkownika do urządzenia fizycznego rozruchu Windows 365

Windows 365 Urządzenia fizyczne rozruchu mają na celu umożliwienie użytkownikom interakcji z komputerami w chmurze bez możliwości interakcji z urządzeniem fizycznym. Aby osiągnąć ten cel, należy ustawić niektóre zasady dostawcy usług konfiguracji (CSP).

Windows 365 Rozruch nie ustawia automatycznie tych zasad, aby w pełni ograniczyć użytkownikom końcowym dostęp do niektórych zasobów na urządzeniu fizycznym. Administratorzy powinni przejrzeć następujących dostawców CSP i zdecydować, które z nich zaimplementować na urządzeniu fizycznym w celu spełnienia wymagań bezpieczeństwa organizacji.

Dostępne są nowe zasady CSP w publicznej wersji zapoznawczej . Te zasady umożliwiają automatyczne dalsze ograniczanie urządzeń. Aby uzyskać więcej informacji, zobacz TBS.

Zapobieganie dostępowi do Menedżera zadań urządzenia fizycznego

W publicznej wersji zapoznawczej funkcji Windows 365 Boot nadal można uzyskać dostęp do Menedżera zadań urządzenia lokalnego, gdy użytkownicy naciskają klawisze Ctrl+Alt+Delete. Menedżera zadań można wyłączyć przy użyciu zasad programu CSP DisableTaskMgr.

Te zasady uniemożliwiają korzystanie z Menedżera zadań w systemie dla wszystkich użytkowników, w tym administratorów. Zapobiega to również uruchamianiu Menedżera zadań przy użyciu klawiszy skrótów na urządzeniu fizycznym. Chociaż te zasady zwiększają bezpieczeństwo urządzenia, ten brak dostępu do urządzenia fizycznego utrudnia rozwiązywanie problemów na urządzeniu.

Uniemożliwianie użytkownikom zmiany hasła urządzenia fizycznego

Zmiana haseł użytkowników nie jest obsługiwana w przypadku urządzeń fizycznych rozruchu Windows 365. Jeśli ta opcja jest używana w twoim środowisku, można ją wyłączyć, aby uniknąć pomylenia użytkowników za pomocą zasad DisableChangePassword CSP.

Ustawianie domyślnego dostawcy poświadczeń

Publiczna wersja zapoznawcza Windows 365 Boot jest przeznaczona dla trybu udostępnionego komputera. Ten tryb wymaga metody uwierzytelniania nazwy użytkownika i hasła. W zależności od środowiska można skonfigurować innych dostawców uwierzytelniania i pomylić użytkowników. Aby uniknąć tego pomyłek, rozważ ustawienie domyślnego dostawcy poświadczeń na nazwę użytkownika i hasło. Aby ustawić tę wartość domyślną, użyj zasad dostawcy CSP DefaultCredentialProvider.

Usuwanie powiadomień i centrum akcji z paska zadań

Jeśli urządzenia mają ekrany dotykowe, użytkownicy mogą korzystać z centrum powiadomień i widoku kalendarza urządzenia fizycznego. Te składniki umożliwiają również użytkownikom uruchamianie aplikacji Ustawienia dla urządzenia fizycznego Windows 365 Boot. Aby usunąć możliwość dostępu użytkownika do tych składników, użyj zasad DisableNotificationCenter CSP.

Zapobieganie powiadomieniom urządzeń fizycznych

Powiadomienia z urządzenia fizycznego Windows 365 Boot mogą być wyświetlane w sesji komputera w chmurze. Aby zapobiec takim powiadomieniom, użyj zasad dostawcy CSP NoToastNotification.

Zapobieganie automatycznemu uruchamianiu aplikacji podczas logowania użytkownika

Niektóre aplikacje na urządzeniu fizycznym rozruchu Windows 365 mogą być skonfigurowane do automatycznego uruchamiania podczas logowania użytkownika. Aby zapobiec temu zachowaniu, użyj zasad DisableExplorerRunLegacy_1 CSP. 

Ulepszanie logowania na urządzeniach z ekranem dotykowym

Urządzenia z ekranem dotykowym wymagają klawiatury ekranu dotykowego do wyświetlenia podczas logowania użytkownika. Na Windows 365 urządzeniach z ekranem dotykowym rozruchu można ulepszyć środowisko logowania przy użyciu zasad dostawcy CSP EnableTouchKeyboardAutoInvokeInDesktopMode.

Następne kroki

Rozwiązywanie problemów z rozruchem Windows 365.