为Windows 10或更高版本的设备创建配置项目
使用Configuration Manager Windows 10或更高版本的配置项目来管理由Configuration Manager客户端管理的Windows 10或更高版本计算机的设置。
重要
在此版本中,如果为使用 Configuration Manager 客户端) 管理的设备Windows 10或更高版本 (类型的配置项目创建了密码设置,请注意以下问题。 如果设置尚不存在,或者尚未在Windows 10或更高版本设备上配置,则会错误地评估为合规。
解决方法是,为这些设备创建设置时,请确保在“创建配置项目”向导的设置页上选择了“ 修正不符合性 设置”。 此外,部署包含包含密码设置的Windows 10或更高版本配置项目的配置基线时,请选择“在支持时修正不符合规则”。 在“部署配置基线”对话框中进行此项选择。 使用此解决方法可监视设置,并在发现该设置不符合时进行修正。 修正后,除非遇到问题,否则设置将正确报告为 符合 (,在这种情况下,它将报告 错误) 。
创建Windows 10或更高版本的配置项目
在Configuration Manager控制台中,选择“资产和符合性”。
在 “资产和符合性” 工作区中,展开 “符合性设置”,然后选择“ 配置项目”。
在“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建配置项目”。
在“创建配置项目”向导的“常规”页上,为配置项目指定名称和可选说明。
在“指定要创建的配置项目类型”下,选择“Windows 10或更高版本”。
如果创建并分配类别以帮助在Configuration Manager控制台中搜索和筛选配置项目,请选择“类别”。
在向导的“支持的平台”页上,选择将评估配置项目的特定Windows 10或更高版本的平台。
在向导的 “设备设置” 页上,选择要配置的设置组。 (有关详细信息,请参阅本文中的 Windows 配置项目设置参考 。) 然后选择“ 下一步”。
提示
如果未列出所需的设置,请选择“配置默认设置组中未检查的其他设置”框。
在每个设置页上,配置所需的设置,以及是否要在设备不合规时进行修正, () 。
对于每个设置组,还可以配置在发现配置项目不符合时报告的严重性:
无:不符合此符合性规则的设备不会报告Configuration Manager报告的故障严重性。
信息:不符合此符合性规则的设备报告Configuration Manager报告的故障严重性为“信息”。
警告:不符合此符合性规则的设备报告Configuration Manager报告的故障严重性为“警告”。
严重:不符合此符合性规则的设备报告Configuration Manager报告的故障严重性为“严重”。
严重事件:不符合此符合性规则的设备对Configuration Manager报告报告的故障严重性为“严重”。 此严重性级别也会在应用程序事件日志中记录为 Windows 事件。
在向导的“ 平台适用性 ”页上,查看与之前选择的受支持平台不兼容的任何设置。 可以返回并删除这些设置,也可以继续。
提示
不评估不受支持的设置是否合规。
完成该向导。
可以在“资产和符合性”工作区的“配置项目”节点中查看新的配置项目。
Windows 10或更高版本的配置项目设置参考
Password
| Setting | 详细信息 |
|---|---|
| 要求在设备上设置密码 | 在受支持的设备上需要密码。 |
| 最小密码长度(字符) | 密码的最小长度(以字符为单位)。 |
| 密码过期时间(天) | 必须更改密码之前的天数。 |
| 记住的密码数 | 防止重用以前的密码。 |
| 擦除设备之前失败的登录尝试次数 | 如果登录失败,则擦除设备。 |
| 设备锁定之前的空闲时间 | 指定设备在自动锁定之前必须处于非活动状态的分钟数。 |
| 密码复杂性 | 选择是可以指定 PIN(如“1234”),还是必须提供强密码。 |
| 密码中所需的复杂字符集数 | 如果选择了 强 密码,请使用此设置配置所需的复杂字符集数。 对于强密码,此设置应至少设置为 3,这意味着需要字母和数字。 如果要强制实施还需要特殊字符(如 (%$)的密码,请选择 4。 仅 (Windows 10 或更高版本) |
设备
| 设置名称 | 详细信息 |
|---|---|
| 蓝牙 | 允许在设备上使用蓝牙功能。 |
云
| 设置名称 | 详细信息 |
|---|---|
| 设置同步 | 允许在设备之间同步设置。 |
| 凭据同步 | 允许在设备之间同步凭据。 |
| 通过按流量计费的连接进行设置同步 | 允许在按 Internet 连接流量计费时同步设置。 |
漫游
| 设置名称 | 详细信息 |
|---|---|
| 数据漫游 | 允许在访问数据时在网络之间漫游。 |
加密
| 设置名称 | 详细信息 |
|---|---|
| 设备上的文件加密 | 要求对设备上的文件进行加密。 |
系统安全
| 设置名称 | 详细信息 |
|---|---|
| 用户帐户控制 | 配置 Windows 用户帐户控制在设备上的工作方式。 例如,可以禁用它,或设置通知你的级别。 |
| 网络防火墙 | 启用或禁用 Windows 防火墙。 |
| SmartScreen | 启用或禁用 Windows SmartScreen。 |
| 病毒防护 | 要求必须安装和配置防病毒软件。 |
| 病毒防护签名是最新的 | 要求设备上防病毒软件的签名文件必须是最新的。 |
Windows 信息保护
注意
Microsoft Intune不再对管理和部署 Windows 信息保护进行未来投资。
已删除对 Microsoft Intune 中没有注册方案的 Windows 信息保护的支持。
有关详细信息,请参阅 Windows 信息保护终止支持指南。
有关在 Windows 上Intune MAM 的信息,请参阅适用于 Windows 的 MAM 和 windows 应用保护策略设置。
随着企业中员工拥有的设备的增加,通过应用和服务(如电子邮件、社交媒体和公有云)意外泄露数据的风险也越来越大。 这些不在组织的控制范围内。 示例包括员工:
- 从其个人电子邮件帐户发送最新的工程图片。
- 将产品信息复制并粘贴到推文中。
- 将正在进行的销售报表保存到其公有云存储。
Windows 信息保护 (WIP(以前是企业数据保护) 有助于防止这种潜在的数据泄漏,而不会干扰员工体验。 WIP 还有助于保护企业应用和数据,防止员工在企业拥有的设备和个人设备上意外泄露数据。 WIP 不需要更改环境或其他应用。
Configuration Manager Windows 信息保护配置项管理以下内容:
- 受 WIP 保护的应用列表
- 企业网络位置
- 保护级别
- 加密设置
有关如何使用 Configuration Manager 配置 WIP 的信息,请参阅:
- 使用 Windows 信息保护 (WIP) 保护企业数据
- 使用 Configuration Manager 创建和部署 Windows 信息保护 (WIP) 策略
- 使用 Windows 信息保护 (WIP) 时的限制