策略 CSP - 系统

提示

此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节

AllowBuildPreview

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowBuildPreview

此策略设置通过配置设置 > 更新和安全性 > Windows 预览体验计划中的控件来确定用户是否可以获取 Windows 预览版。

  • 如果启用或未配置此策略设置,用户可以通过配置 Windows 预览体验计划设置来下载和安装 Windows 预览版。

  • 如果禁用此策略设置,用户将无法通过“设置”应用使用 Windows 预览体验计划设置。

此策略最多仅支持Windows 10版本 1703。 对于较新的Windows 10版本,请使用“Windows 更新 for Business”下的“管理预览版”。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 2

允许的值:

描述
0 不允许。 “获取预览体验成员内部版本”项不可用,用户无法使其设备可用于预览版软件。
1 允许。 用户可以使其设备可用于下载和安装预览软件。
2 (默认) 未配置。 用户可以使其设备可用于下载和安装预览软件。

组策略映射:

名称
名称 AllowBuildPreview
友好名称 切换对会员版本的用户控制
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\PreviewBuilds
注册表值名称 AllowBuildPreview
ADMX 文件名 AllowBuildPreview.admx

AllowCommercialDataPipeline

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowCommercialDataPipeline

此策略已弃用,仅适用于Windows 10版本 1809。 设置此策略对其他受支持的 Windows 版本无效。

AllowCommercialDataPipeline 配置已加入Microsoft Entra的设备,以便Microsoft是从设备收集的 Windows 诊断数据的处理器,但受产品条款<https://go.microsoft.com/fwlink/?linkid=2185086>的约束。

若要启用此行为:

  1. 启用此策略设置
  2. 将Microsoft Entra帐户加入设备。

当“允许遥测”策略设置设置为值 1 - 必需或更高时,将收集 Windows 诊断数据。 配置此设置不会更改设备的 Windows 诊断数据收集级别集。

如果禁用或未配置此设置,除非已启用“允许更新符合性处理”或“允许桌面分析处理”等策略,否则Microsoft将是从设备收集并按照 Microsoft 隐私声明https://go.microsoft.com/fwlink/?LinkId=521839处理的 Windows 诊断数据的控制者。

有关导致Microsoft成为 Windows 诊断数据的处理器的此策略和其他策略的信息,请参阅 中的文档 https://go.microsoft.com/fwlink/?linkid=2011107

注意

配置此设置不会影响可选的分析处理器服务(如 桌面分析 和 Windows 更新 for Business 报表)的操作。

注意

从 2023 年 1 月预览版累积更新开始,不再支持此策略配置处理器选项。 有关详细信息,请参阅启用 Windows 诊断数据处理器配置

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 AllowCommercialDataPipeline
友好名称 允许商业数据管道
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

AllowDesktopAnalyticsProcessing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 KB4551853 [10.0.17763.1217] 及更高版本
✅Windows 10版本 1903,KB4556799 [10.0.18362.836] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowDesktopAnalyticsProcessing

此策略已弃用,仅适用于Windows 10版本 1809。 设置此策略对其他受支持的 Windows 版本无效。

此策略设置与“允许遥测”和“配置商业 ID”相结合,使组织能够配置设备,以便Microsoft是从设备收集的 Windows 诊断数据的处理器,但受产品条款<https://go.microsoft.com/fwlink/?linkid=2185086>的约束。

若要启用此行为:

  1. 启用此策略设置

  2. 将Microsoft Entra帐户加入设备。

  3. 将“允许遥测”设置为值 1 - 必需或更高

  4. 设置桌面分析工作区的“配置商业 ID”设置。

配置这些策略后,从设备收集的 Windows 诊断数据将受到Microsoft处理器承诺的约束。

此设置对设备没有影响,除非它们已在 桌面分析 中正确注册。 如果禁用此策略设置,设备将不会显示在桌面分析中。

注意

从 2023 年 1 月预览版累积更新开始,不再支持此策略配置处理器选项。 有关详细信息,请参阅启用 Windows 诊断数据处理器配置

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
2 允许。

组策略映射:

名称
名称 AllowDesktopAnalyticsProcessing
友好名称 允许桌面分析处理
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

AllowDeviceNameInDiagnosticData

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowDeviceNameInDiagnosticData

此策略允许将设备名称作为 Windows 诊断数据的一部分发送到Microsoft。

如果禁用或未配置此策略设置,则设备名称不会作为 Windows 诊断数据的一部分发送到Microsoft。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 允许。

组策略映射:

名称
名称 AllowDeviceNameInDiagnosticData
友好名称 允许在 Windows 诊断数据中发送设备名称
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

AllowEmbeddedMode

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowEmbeddedMode

指定是否将常规用途设备设置为嵌入模式。 最受限制的值为 0。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不允许。
1 允许。

AllowExperimentation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowExperimentation

注意

Windows 10版本 1607 不支持此策略。 此策略设置确定Microsoft试验产品以研究用户首选项或设备行为的级别。 最受限制的值为 0。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 已禁用。
1 (默认) 仅允许Microsoft配置设备设置。
2 允许Microsoft进行完整试验。

AllowFontProviders

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1703 [10.0.15063] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowFontProviders

此策略设置确定是否允许 Windows 从联机字体提供程序下载字体和字体目录数据。

  • 如果启用此策略设置,Windows 会定期查询联机字体提供程序,以确定是否有新的字体目录可用。 如果需要设置或呈现文本的格式,Windows 还可以下载字体数据。

  • 如果禁用此策略设置,Windows 不会连接到联机字体提供程序,并且仅枚举本地安装的字体。

  • 如果未配置此策略设置,则默认行为取决于 Windows 版本。 对此策略的更改在重新启动时生效。

此 MDM 设置对应于 EnableFontProviders 组策略 设置。 如果同时配置了组策略和 MDM 设置,则组策略设置优先。 如果两者均未配置,则行为取决于 DisableFontProviders 注册表值。 在服务器版本中,此注册表值默认设置为 1,因此默认行为为 false, (禁用) 。 在所有其他版本中,默认情况下不会设置注册表值,因此默认行为为 true, (启用) 。

此设置由较低级别的组件用于文本显示和喜好处理,并且对 Web 浏览器没有直接影响,Web 浏览器可能会下载 Web 内容中使用的 Web 字体。

注意

设置策略后需要重新启动;或者,可以停止并重启 FontCache 服务。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。 fs.microsoft.com 没有流量,只有本地安装的字体可用。
1 (默认) 允许。 可能存在网络流量,fs.microsoft.com 支持它们的应用可以使用可下载的字体。

组策略映射:

名称
名称 EnableFontProviders
友好名称 启用字体提供程序
位置 “计算机配置”
路径 网络 > 字体
注册表项名称 Software\Policies\Microsoft\Windows\System
注册表值名称 EnableFontProviders
ADMX 文件名 GroupPolicy.admx

AllowLocation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowLocation

指定是否允许应用访问“定位”服务。 最受限制的值为 0。 虽然策略设置为 0 (强制位置关闭) 或 2 (强制位置) ,但来自应用的任何位置服务调用都会触发此策略设置的值。 将策略从 0 (强制位置关闭) 或 2 (强制位置) 切换回 1 (用户控制) 时,应用将还原为其原始位置服务设置。 例如,应用的原始“位置”设置为“关闭”。 然后,管理员将 AllowLocation 策略设置为 2 (强制位置打开。) 位置服务开始为该应用工作,覆盖原始设置。 稍后,如果管理员将 AllowLocation 策略切换回 1 (用户控制) ,应用将还原使用其原始设置“关闭”。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 强制关闭位置。 所有位置隐私设置都处于关闭状态并灰显。用户无法更改设置,并且不允许应用访问位置服务,包括 Cortana 和搜索。
1 (默认) 允许使用定位服务。 用户拥有控制权,可以打开或关闭位置隐私设置。
2 强制启用位置。 所有位置隐私设置都处于打开状态并灰显。用户无法更改设置,所有同意权限将自动取消。

组策略映射:

名称
名称 DisableLocation_2
友好名称 关闭位置
位置 “计算机配置”
路径 Windows 组件 > 位置和传感器
注册表项名称 Software\Policies\Microsoft\Windows\LocationAndSensors
注册表值名称 DisableLocation
ADMX 文件名 Sensors.admx

AllowMicrosoftManagedDesktopProcessing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 KB4551853 [10.0.17763.1217] 及更高版本
✅Windows 10版本 1903,KB4556799 [10.0.18362.836] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowMicrosoftManagedDesktopProcessing

此策略已弃用,仅适用于Windows 10版本 1809。 设置此策略对其他受支持的 Windows 版本无效。 此策略设置配置已加入Microsoft Entra的设备,以便Microsoft是从设备收集的 Windows 诊断数据的处理器,但受产品条款<https://go.microsoft.com/fwlink/?linkid=2185086>的约束。 对于注册到 Microsoft 托管桌面服务的客户,需要启用此策略才能允许Microsoft处理数据以满足操作和分析需求。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2184944。 配置这些策略后,从设备收集的 Windows 诊断数据将受到Microsoft处理器承诺的约束。 除非设备已在 Microsoft托管桌面中正确注册,否则此设置不会对设备产生任何影响。 如果禁用此策略设置,设备可能不会显示在Microsoft托管桌面中。

注意

从 2023 年 1 月预览版累积更新开始,不再支持此策略配置处理器选项。 有关详细信息,请参阅启用 Windows 诊断数据处理器配置

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
32 允许。

AllowStorageCard

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard

控制是否允许用户将存储卡用于设备存储。 此设置阻止以编程方式访问存储卡。 最受限制的值为 0。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许使用 SD 卡,U 盘已禁用。 此设置不会阻止以编程方式访问存储卡。
1 (默认) 允许存储卡。

AllowTelemetry

范围 版本 适用的操作系统
✅ 设备
✅ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./User/Vendor/MSFT/Policy/Config/System/AllowTelemetry
./Device/Vendor/MSFT/Policy/Config/System/AllowTelemetry

通过配置此策略设置,可以调整从 Windows 收集的诊断数据。 此策略设置还限制用户通过“设置”应用增加诊断数据收集量。 在此策略下收集的诊断数据会影响操作系统和应用,这些操作系统和应用被视为 Windows 的一部分,不适用于组织安装的任何其他应用。

  • 建议不要) 关闭 (诊断数据。 使用此值时,不会从设备发送诊断数据。 此值仅在企业版、教育版和服务器版上受支持。

  • 发送所需的诊断数据。 这是使 Windows 保持安全、最新并按预期执行所需的最小诊断数据。 使用此值可禁用“设置”应用中的“可选诊断数据”控件。

  • 发送可选诊断数据。 会收集其他诊断数据,帮助我们检测、诊断和修复问题,并改进产品。 选择发送可选诊断数据时,将始终包含所需的诊断数据。 可选诊断数据还可以包括诊断日志文件和故障转储。 使用“限制转储收集”和“限制诊断日志收集”策略可以更精细地控制发送的可选诊断数据。

如果禁用或未配置此策略设置,设备将发送所需的诊断数据,最终用户可以选择是否从“设置”应用发送可选诊断数据。

注意

可以使用“配置诊断数据选择加入设置用户界面”组策略来防止最终用户更改其数据收集设置。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 安全性。 帮助确保 Windows 更安全所需的信息,包括有关连接用户体验和遥测组件设置、恶意软件删除工具和 Windows Defender 的数据。
注意:此值仅适用于Windows 10 企业版、Windows 10 教育版、Windows 10 移动企业版、Windows 10 IoT 核心版 (IoT Core) 和Windows Server 2016。 在其他设备上使用此设置等效于将值设置为 1。
1 (默认) 基本。 基本设备信息,包括:与质量相关的数据、应用兼容性、应用使用情况数据和安全级别中的数据。
3 满。 识别并帮助解决问题所需的所有数据,以及安全、基本和增强级别中的数据。

组策略映射:

名称
名称 AllowTelemetry
友好名称 允许诊断数据
位置 计算机和用户配置
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

AllowUpdateComplianceProcessing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 KB4551853 [10.0.17763.1217] 及更高版本
✅Windows 10版本 1903,KB4556799 [10.0.18362.836] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowUpdateComplianceProcessing

此策略已弃用,仅适用于Windows 10版本 1809。 设置此策略对其他受支持的 Windows 版本无效。

此策略设置与“允许遥测”和“配置商业 ID”相结合,使组织能够配置设备,使Microsoft是从设备收集的 Windows 诊断数据的处理者,但受产品条款<https://go.microsoft.com/fwlink/?linkid=2185086>的约束。

若要启用此行为:

  1. 启用此策略设置

  2. 将Microsoft Entra帐户加入设备。

  3. 将“允许遥测”设置为值 1 - 必需或更高

  4. 设置“更新符合性”工作区的“配置商业 ID”设置。

配置这些策略后,从设备收集的 Windows 诊断数据将受到Microsoft处理器承诺的约束。

如果禁用或未配置此策略设置,设备将不会显示在“更新符合性”中。

注意

从 2023 年 1 月预览版累积更新开始,不再支持此策略配置处理器选项。 有关详细信息,请参阅启用 Windows 诊断数据处理器配置

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
16 已启用。

组策略映射:

名称
名称 AllowUpdateComplianceProcessing
友好名称 允许更新符合性处理
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

AllowUserToResetPhone

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowUserToResetPhone

指定是否允许用户使用控制面板和硬件组合键将设备恢复出厂设置。 最受限制的值为 0。 提示:此策略也适用于Windows 10,而不是手机专用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许重置为出厂默认设置。

AllowWUfBCloudProcessing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 KB4551853 [10.0.17763.1217] 及更高版本
✅Windows 10版本 1903,KB4556799 [10.0.18362.836] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/AllowWUfBCloudProcessing

此策略已弃用,仅适用于Windows 10版本 1809。 设置此策略对其他受支持的 Windows 版本无效。

此策略设置配置已加入Microsoft Entra的设备,以便Microsoft是从设备收集的 Windows 诊断数据的处理器,但受产品条款<https://go.microsoft.com/fwlink/?linkid=2185086>的约束。

若要启用此行为:

  1. 启用此策略设置

  2. 将Microsoft Entra帐户加入设备。

  3. 将“允许遥测”设置为值 1 - 必需或更高。

配置这些策略后,从设备收集的 Windows 诊断数据将受到Microsoft处理器承诺的约束。

如果禁用或未配置此策略设置,则注册到 Windows 更新 for Business 部署服务的设备将无法利用某些部署服务功能。

注意

从 2023 年 1 月预览版累积更新开始,不再支持此策略配置处理器选项。 有关详细信息,请参阅启用 Windows 诊断数据处理器配置

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
8 已启用。

组策略映射:

名称
名称 AllowWUfBCloudProcessing
友好名称 允许 WUfB 云处理
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

BootStartDriverInitialization

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1703 [10.0.15063] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/BootStartDriverInitialization

使用此策略设置,可以根据提前启动反恶意软件启动驱动程序确定的分类来指定初始化哪些启动启动驱动程序。 提前启动反恶意软件启动驱动程序可以为每个启动驱动程序返回以下分类:

  • 良好:驱动程序已签名且未被篡改。

  • 错误:驱动程序已被标识为恶意软件。 建议不要允许初始化已知的错误驱动程序。

  • 错误,但需要启动:驱动程序已被标识为恶意软件,但计算机无法在不加载此驱动程序的情况下成功启动。

  • 未知:恶意软件检测应用程序尚未证明此驱动程序,并且尚未由提前启动反恶意软件启动驱动程序分类。

  • 如果启用此策略设置,则可以选择要在下次启动计算机时初始化的启动驱动程序。

  • 如果禁用或未配置此策略设置,则会初始化确定为“良好”、“未知”或“错误但启动严重”的启动启动驱动程序,并跳过确定为“错误的”驱动程序的初始化。

如果恶意软件检测应用程序不包括提前启动反恶意软件启动驱动程序,或者已禁用提前启动反恶意软件启动驱动程序,则此设置不起作用,并且会初始化所有启动驱动程序。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 POL_DriverLoadPolicy_Name
友好名称 Boot-Start 驱动程序初始化策略
位置 “计算机配置”
路径 系统 > 提前启动反恶意软件
注册表项名称 System\CurrentControlSet\Policies\EarlyLaunch
注册表值名称 DriverLoadPolicy
ADMX 文件名 EarlyLaunchAM.admx

配置Microsoft365UploadEndpoint

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/ConfigureMicrosoft365UploadEndpoint

此策略将此设备的诊断数据的上传终结点设置为桌面分析程序的一部分。

如果你的组织正在参与该计划,并且已指示配置自定义上传终结点,请使用此设置来定义该终结点。

此设置的值将由 Microsoft 作为程序载入过程的一部分提供。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

组策略映射:

名称
名称 配置Microsoft365UploadEndpoint
友好名称 为桌面分析配置诊断数据上传终结点
元素名称 桌面分析自定义上传终结点。
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

ConfigureTelemetryOptInChangeNotification

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/ConfigureTelemetryOptInChangeNotification

此策略设置控制在诊断数据选择加入设置发生更改后、首次登录时以及设置中发生更改的时间是否显示通知。

如果将此策略设置设置为“禁用诊断数据更改通知”,则不会显示诊断数据选择加入更改通知。

如果将此策略设置设置为“启用诊断数据更改通知”或未配置此策略设置,则诊断数据选择加入更改通知将在首次登录时以及更改发生在“设置”中时显示。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 启用遥测更改通知。
1 禁用遥测更改通知。

组策略映射:

名称
名称 ConfigureTelemetryOptInChangeNotification
友好名称 配置诊断数据选择加入更改通知
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

ConfigureTelemetryOptInSettingsUx

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/ConfigureTelemetryOptInSettingsUx

此策略设置确定最终用户是否可以更改“设置”应用中的诊断数据设置。

如果将此策略设置设置为“禁用诊断数据选择加入设置”,则会在“设置”应用中禁用诊断数据设置。

如果未配置此策略设置,或者将其设置为“启用诊断数据选择加入设置”,最终用户可以在“设置”应用中更改设备诊断设置。

注意

若要对组织发送到Microsoft的诊断数据量设置限制,请使用“允许诊断数据”策略设置。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 启用遥测选择加入设置。
1 禁用遥测选择加入“设置”。

组策略映射:

名称
名称 ConfigureTelemetryOptInSettingsUx
友好名称 配置诊断数据选择加入设置用户界面
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

DisableDeviceDelete

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/DisableDeviceDelete

此策略设置控制是否在“诊断 & 反馈设置”页中启用“删除诊断数据”按钮。

  • 如果启用此策略设置,则会在“设置”页中禁用“删除诊断数据”按钮,从而阻止删除Microsoft从设备收集的诊断数据。

  • 如果禁用或未配置此策略设置,则会在“设置”页中启用“删除诊断数据”按钮,以便用户清除Microsoft从该设备收集的所有诊断数据。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未禁用。
1 已禁用。

组策略映射:

名称
名称 DisableDeviceDelete
友好名称 禁用删除诊断数据
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

DisableDiagnosticDataViewer

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/DisableDiagnosticDataViewer

此策略设置控制用户是否可以从“诊断 & 反馈设置”页启用和启动诊断数据查看器。

  • 如果启用此策略设置,将不会在“设置”页中启用诊断数据查看器,并且将阻止查看者显示Microsoft从设备收集的诊断数据。

  • 如果禁用或未配置此策略设置,将在“设置”页中启用诊断数据查看器。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未禁用。
1 已禁用。

组策略映射:

名称
名称 DisableDiagnosticDataViewer
友好名称 禁用诊断数据查看器
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

DisableDirectXDatabaseUpdate

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/DisableDirectXDatabaseUpdate

此组策略允许控制是否将在系统上运行 DirectX 数据库更新程序任务。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未禁用。
1 已禁用。

组策略映射:

名称
名称 DisableDirectXDatabaseUpdate
路径 GroupPolicy > AT > Network > DirectXDatabase

DisableEnterpriseAuthProxy

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/DisableEnterpriseAuthProxy

此策略设置阻止连接用户体验和遥测服务自动使用经过身份验证的代理将数据发送回Windows 10上的Microsoft。 如果禁用或未配置此策略设置,连接用户体验和遥测服务将自动使用经过身份验证的代理将数据发送回Microsoft。 启用此策略将阻止连接用户体验和遥测服务自动使用经过身份验证的代理。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 启用。
0(默认值) 禁用。

组策略映射:

名称
名称 DisableEnterpriseAuthProxy
友好名称 为连接的用户体验和遥测服务配置经过身份验证的代理用法
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

DisableOneDriveFileSync

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1703 [10.0.15063] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync

此策略设置允许阻止应用和功能在 OneDrive 上使用文件。

  • 如果启用此策略设置:
  • 用户无法从 OneDrive 应用和文件选取器访问 OneDrive。

  • 打包Microsoft应用商店应用无法使用 WinRT API 访问 OneDrive。

  • oneDrive 不会显示在文件资源管理器的导航窗格中。

  • OneDrive 文件不会与云保持同步。

  • 用户无法从相机胶卷文件夹自动上传照片和视频。

  • 如果禁用或未配置此策略设置,应用和功能可以使用 OneDrive 文件存储。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已启用同步。
1 同步已禁用。

组策略映射:

名称
名称 PreventOnedriveFileSync
友好名称 禁止使用 OneDrive 进行文件存储
位置 “计算机配置”
路径 Windows 组件 > OneDrive
注册表项名称 Software\Policies\Microsoft\Windows\OneDrive
注册表值名称 DisableFileSyncNGSC
ADMX 文件名 SkyDrive.admx

DisableOneSettingsDownloads

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/DisableOneSettingsDownloads

此策略设置控制 Windows 是否尝试与 OneSettings 服务连接。

  • 如果启用此策略,Windows 不会尝试与 OneSettings 服务连接。

  • 如果禁用或未配置此策略设置,Windows 将定期尝试与 OneSettings 服务连接以下载配置设置。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未禁用。
1 已禁用。

组策略映射:

名称
名称 DisableOneSettingsDownloads
友好名称 禁用 OneSettings 下载
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

DisableSystemRestore

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1703 [10.0.15063] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/DisableSystemRestore

允许禁用系统还原。

此策略设置允许关闭系统还原。

系统还原使用户能够在出现问题时将其计算机还原到以前的状态,而不会丢失个人数据文件。 默认情况下,启动卷的“系统还原”处于打开状态。

  • 如果启用此策略设置,系统还原将关闭,并且无法访问系统还原向导。 配置系统还原或通过系统保护创建还原点的选项也处于禁用状态。

  • 如果禁用或未配置此策略设置,用户可以通过系统保护执行系统还原和配置系统还原设置。

另请参阅“关闭系统还原配置”策略设置。 如果禁用或未配置“关闭系统还原”策略设置,则使用“关闭系统还原配置”策略设置来确定配置系统还原的选项是否可用。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 SR_DisableSR
友好名称 关闭系统还原
位置 “计算机配置”
路径 系统 > 系统还原
注册表项名称 Software\Policies\Microsoft\Windows NT\SystemRestore
注册表值名称 DisableSR
ADMX 文件名 SystemRestore.admx

EnableOneSettingsAuditing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/EnableOneSettingsAuditing

此策略设置控制 Windows 记录是否尝试通过 OneSettings 服务连接到 EventLog。

  • 如果启用此策略,Windows 将记录使用 OneSettings 服务连接到 Microsoft\Windows\Privacy-Auditing\Operational EventLog 通道的尝试。

  • 如果禁用或未配置此策略设置,Windows 不会记录使用 OneSettings 服务连接到 EventLog 的尝试。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 EnableOneSettingsAuditing
友好名称 启用 OneSettings 审核
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

FeedbackHubAlwaysSaveDiagnosticsLocally

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/FeedbackHubAlwaysSaveDiagnosticsLocally

在反馈中心应用中提交反馈时创建的诊断文件将始终保存在本地。 如果此策略不存在或设置为 false,则会向用户显示在本地保存的选项。 默认不在本地保存。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 假。 反馈中心不会始终保存提交反馈时可能创建的诊断的本地副本。 用户可以选择执行此操作。
1 真。 反馈中心应始终保存提交反馈时可能创建的诊断的本地副本。

HideUnsupportedHardwareNotifications

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/HideUnsupportedHardwareNotifications

此策略控制当 Windows 在不符合此 OS 版本最低系统要求的设备上运行时显示的消息。

  • 如果启用此策略设置,这些消息永远不会显示在桌面上或“设置”应用中。

  • 如果禁用或未配置此策略设置,当 Windows 在不符合此 OS 版本最低系统要求的设备上运行时,这些消息将显示在桌面和“设置”应用中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 HideUnsupportedHardwareNotifications
友好名称 未满足 Windows 系统要求时隐藏消息
位置 “计算机配置”
路径 系统
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表值名称 HideUnsupportedHardwareNotifications
ADMX 文件名 ControlPanel.admx

LimitDiagnosticLogCollection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/LimitDiagnosticLogCollection

当需要更多信息来排查设备上的问题时,此策略设置控制是否收集其他诊断日志。 仅当设备配置为发送可选诊断数据时,才会发送诊断日志。

通过启用此策略设置,不会收集诊断日志。

如果禁用或未配置此策略设置,我们偶尔可能会收集诊断日志(如果设备已配置为发送可选诊断数据)。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 LimitDiagnosticLogCollection
友好名称 限制诊断日志收集
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

LimitDumpCollection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/LimitDumpCollection

此策略设置限制在需要更多信息来排查问题时可以收集的转储类型。 仅当设备配置为发送可选诊断数据时,才会发送转储。

启用此设置后,Windows 错误报告仅限于发送内核微型转储和用户模式会审转储。

如果禁用或未配置此策略设置,用户选择发送可选诊断数据时,我们偶尔可能会收集完整转储或堆转储。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 LimitDumpCollection
友好名称 限制转储收集
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

LimitEnhancedDiagnosticDataWindowsAnalytics

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/LimitEnhancedDiagnosticDataWindowsAnalytics

此策略设置与“允许诊断数据”策略设置相结合,使组织能够发送桌面分析所需的最小数据。

若要启用上述行为,请完成以下步骤:

  1. 启用此策略设置

  2. 将“允许诊断数据”策略设置为“发送可选诊断数据”。

  3. 启用“限制转储收集”策略

  4. 启用“限制诊断日志收集”策略。

配置这些策略后,Microsoft将仅收集所需的诊断数据和桌面分析所需的事件,可在其中查看<https://go.microsoft.com/fwlink/?linkid=2116020>

如果禁用或未配置此策略设置,诊断数据收集由“允许诊断数据”策略设置或最终用户从“设置”应用确定。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 LimitEnhancedDiagnosticDataWindowsAnalytics
友好名称 限制用于桌面分析的可选诊断数据
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

TelemetryProxy

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/TelemetryProxy

使用此策略设置,可以将连接的用户体验和遥测请求转发到代理服务器。

如果启用此策略设置,则可以指定组织网络 (中目标设备的 FQDN 或 IP 地址,并根据需要指定端口号(如果需要) )。 该连接将通过安全套接字层 (SSL) 连接进行。 如果命名代理失败,或者禁用或未配置此策略设置,则会使用默认代理配置将连接的用户体验和遥测数据发送到Microsoft。

此设置的格式为 <server><port>

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

组策略映射:

名称
名称 TelemetryProxy
友好名称 配置连接的用户体验和遥测
元素名称 代理服务器名称。
位置 “计算机配置”
路径 WindowsComponents > 数据收集和预览版本
注册表项名称 Software\Policies\Microsoft\Windows\DataCollection
ADMX 文件名 DataCollection.admx

TurnOffFileHistory

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Policy/Config/System/TurnOffFileHistory

此策略设置允许关闭文件历史记录。

  • 如果启用此策略设置,则无法激活文件历史记录来创建定期的自动备份。

  • 如果禁用或未配置此策略设置,则可以激活文件历史记录以创建定期的自动备份。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 允许文件历史记录。
1 关闭文件历史记录。

组策略映射:

名称
名称 DisableFileHistory
友好名称 关闭文件历史记录
位置 “计算机配置”
路径 Windows 组件 > 文件历史记录
注册表项名称 Software\Policies\Microsoft\Windows\FileHistory
注册表值名称 禁用
ADMX 文件名 FileHistory.admx

策略配置服务提供程序