设备策略
设置新的 Microsoft 托管桌面设备时,请确保 Microsoft 托管桌面优化配置。
配置包括一组默认策略,这些策略设置为载入过程的一部分。 这些策略尽可能使用移动设备管理 (MDM) 提供。 有关详细信息,请参阅 移动设备管理。
注意
若要避免冲突,请不要更改这些策略。
设备将随签名映像一起到达,然后在第一个用户登录时加入Microsoft Entra域。 设备将自动安装所需的策略和应用程序,无需 IT 人员的任何干预。
默认策略
下表突出显示了在设备预配期间应用于所有 Microsoft 托管桌面设备的默认策略。 所有检测到的对未由 Microsoft 托管桌面运营团队批准并由 Microsoft 托管桌面管理的对象的更改都将还原。
| Policy | 说明 |
|---|---|
| 安全基线 | 为所有 Microsoft 托管桌面设备配置了移动设备管理的 Microsoft 安全基线。 此基线是行业标准配置。 它已由 Microsoft 安全专家公开发布、经过良好测试和审查,可使 Microsoft 托管桌面设备和应用在现代工作场所中保持安全。 为了在不断变化的安全威胁环境中缓解威胁,Microsoft 安全基线将更新并部署到具有每个 Windows 10 功能更新 Microsoft 托管桌面设备。 有关详细信息,请参阅 Windows 安全基线。 |
| Microsoft 托管桌面建议的安全模板 | 此模板是对安全基线的一组建议更改,可优化用户体验。 这些更改记录在 安全附录中。 根据需要更新策略附录。 |
| 更新部署 | 使用适用于企业的 Windows 更新执行软件更新的逐步部署。 IT 管理员无法修改部署组策略的设置。 有关基于组的部署的详细信息,请参阅 如何在 Microsoft 托管桌面中处理更新。 |
| 按流量计费的连接 | 默认情况下,通过按流量计费的连接(如 LTE 网络)的更新处于关闭状态。 但是,每个用户都可以通过导航到 “设置”,然后导航到“更新”,然后导航到“高级”选项 以独立启用此设置。 如果要允许所有用户通过按流量计费的连接启用更新,请 提交更改请求,这将为所有设备启用此设置。 |
| 设备合规性 | 为所有 Microsoft 托管桌面设备配置这些策略。 当设备偏离我们所需的安全配置时,会将其报告为不符合。 |
Windows 诊断数据
设备将设置为在已知的商业标识符下向 Microsoft 提供增强的诊断数据。 作为 Microsoft 托管桌面的一部分,IT 管理员无法更改这些设置。
对于一般数据保护条例 (GDPR) 区域中的客户,用户可以降低提供的诊断数据级别,但服务将减少。 例如,Microsoft 托管桌面将无法收集循环访问设置和策略所需的数据,以更好地满足性能和安全需求。 有关详细信息,请参阅在 组织中配置 Windows 诊断数据。
安全附录
本部分概述了除 默认 策略中列出的标准 Microsoft 托管桌面策略之外将部署的策略。 此配置设计时考虑到了金融服务和高度管控的行业,并针对最高安全性进行了优化,同时维护了用户的工作效率。
其他安全策略
添加这些策略是为了提高高度管控行业的安全性:
| Policy | 说明 |
|---|---|
| 安全监视 | Microsoft 将使用 Microsoft Defender for Endpoint 监视设备。 如果检测到威胁,Microsoft 将通知客户、隔离设备并远程纠正问题。 |
| 禁用 PowerShell V2 | Microsoft 于 2017 年 8 月删除了 PowerShell V2。 此功能已在所有 Microsoft 托管桌面设备上禁用。 有关此更改的详细信息,请参阅 Windows PowerShell 2.0 弃用。 |