设备策略

设置新的 Microsoft 托管桌面设备时,请确保 Microsoft 托管桌面优化配置。

配置包括一组默认策略,这些策略设置为载入过程的一部分。 这些策略尽可能使用移动设备管理 (MDM) 提供。 有关详细信息,请参阅 移动设备管理

注意

若要避免冲突,请不要更改这些策略。

设备将随签名映像一起到达,然后在第一个用户登录时加入 Microsoft Entra 域。 设备将自动安装所需的策略和应用程序,无需 IT 人员的任何干预。

默认策略

下表突出显示了在设备预配期间应用于所有 Microsoft 托管桌面设备的默认策略。 所有检测到的对未由 Microsoft 托管桌面运营团队批准并由 Microsoft 托管桌面管理的对象的更改都将还原。

Policy 说明
安全基线 为所有 Microsoft 托管桌面设备配置了移动设备管理的 Microsoft 安全基线。 此基线是行业标准配置。 它已由 Microsoft 安全专家公开发布、经过良好测试和审查,可使 Microsoft 托管桌面设备和应用在现代工作场所中保持安全。

为了在不断变化的安全威胁环境中缓解威胁,Microsoft 安全基线将更新并部署到具有每个 Windows 10 功能更新 Microsoft 托管桌面设备。

有关详细信息,请参阅 Windows 安全基线
Microsoft 托管桌面建议的安全模板 此模板是对安全基线的一组建议更改,可优化用户体验。 这些更改记录在 安全附录中。 根据需要更新策略附录。
更新部署 使用适用于企业的 Windows 更新执行软件更新的逐步部署。 IT 管理员无法修改部署组策略的设置。 有关基于组的部署的详细信息,请参阅 如何在 Microsoft 托管桌面中处理更新
按流量计费的连接 默认情况下,通过按流量计费的连接(如 LTE 网络)的更新处于关闭状态。 但是,每个用户都可以通过导航到 “设置”,然后导航到“更新”,然后导航到“高级”选项 以独立启用此设置。

如果要允许所有用户通过按流量计费的连接启用更新,请 提交更改请求,这将为所有设备启用此设置。
设备合规性 为所有 Microsoft 托管桌面设备配置这些策略。 当设备偏离我们所需的安全配置时,会将其报告为不符合。

Windows 诊断数据

设备将设置为在已知的商业标识符下向 Microsoft 提供增强的诊断数据。 作为 Microsoft 托管桌面的一部分,IT 管理员无法更改这些设置。

对于一般数据保护条例 (GDPR) 区域中的客户,用户可以降低提供的诊断数据级别,但服务将减少。 例如,Microsoft 托管桌面将无法收集循环访问设置和策略所需的数据,以更好地满足性能和安全需求。 有关详细信息,请参阅在 组织中配置 Windows 诊断数据。

安全附录

本部分概述了除 默认 策略中列出的标准 Microsoft 托管桌面策略之外将部署的策略。 此配置设计时考虑到了金融服务和高度管控的行业,并针对最高安全性进行了优化,同时维护了用户的工作效率。

其他安全策略

添加这些策略是为了提高高度管控行业的安全性:

Policy 说明
安全监视 Microsoft 将使用 Microsoft Defender for Endpoint 监视设备。 如果检测到威胁,Microsoft 将通知客户、隔离设备并远程纠正问题。
禁用 PowerShell V2 Microsoft 于 2017 年 8 月删除了 PowerShell V2。

此功能已在所有 Microsoft 托管桌面设备上禁用。 有关此更改的详细信息,请参阅 Windows PowerShell 2.0 弃用