限制用户访问Windows 365启动物理设备

Windows 365启动物理设备旨在让用户与其云电脑交互,而无法与物理设备交互。 若要实现此目标,必须 (CSP) 策略设置一些配置服务提供程序。

Windows 365 Boot 不会自动设置这些策略来完全限制最终用户访问物理设备上的某些资源。 管理员应查看以下 CSP,并决定在物理设备上实施哪些 CSP 以满足组织的安全要求。

公共 预览版 中提供了新的 CSP 策略。 可以使用此策略自动进一步限制设备。 有关详细信息,请参阅 TBS

阻止访问物理设备的任务管理器

在公共预览版Windows 365启动功能中,当用户按 Ctrl+Alt+Delete 时,仍可访问本地设备的任务管理器。 可以使用 DisableTaskMgr CSP 策略禁用任务管理器。

此策略阻止所有用户(包括管理员)在系统中使用任务管理器。 它还会阻止在物理设备上使用快捷键启动任务管理器。 虽然此策略提高了设备的安全性,但缺乏对物理设备的访问权限使得对设备上的问题进行故障排除更加困难。

阻止用户更改物理设备的密码

Windows 365启动物理设备不支持更改用户密码。 如果在环境中使用此选项,则可以禁用此选项,以避免使用 DisableChangePassword CSP 策略使用户感到困惑。

设置默认凭据提供程序

Windows 365启动的公共预览版专为共享电脑模式而设计。 此模式需要用户名和密码身份验证方法。 根据你的环境,可能会配置其他身份验证提供程序,并且可能会使用户感到困惑。 为了避免这种混淆,请考虑将默认凭据提供程序设置为用户名和密码。 若要设置此默认值,请使用 DefaultCredentialProvider CSP 策略

从任务栏中删除通知和操作中心

如果设备具有触摸屏,则用户可以与物理设备的通知中心和日历视图进行交互。 这些组件还允许用户启动Windows 365启动物理设备的“设置”应用。 若要删除用户访问这些组件的能力,请使用 DisableNotificationCenter CSP 策略

阻止物理设备通知

来自Windows 365启动物理设备的通知可以通过云电脑会话显示。 若要防止此类通知,请使用 NoToastNotification CSP 策略

防止在用户登录期间自动启动应用

Windows 365启动物理设备上的某些应用程序可能配置为在用户登录期间自动启动。 若要防止这种首要行为,请使用 DisableExplorerRunLegacy_1 CSP 策略。 

改进触摸屏设备上的登录

触摸屏设备要求在用户登录期间显示触摸屏键盘。 在Windows 365启动触摸屏设备上,可以使用 EnableTouchKeyboardAutoInvokeInDesktopMode CSP 策略改进登录体验。

后续步骤

排查Windows 365启动问题。