使用 Microsoft Intune MDM 服务器管理从 Windows 10 和 Windows 11 操作系统组件到 Microsoft 服务的连接
适用范围
- Windows 11
- Windows 10 企业版 1903 版本和更高版本
本文介绍了 Windows 10 和 Windows 11 组件与 Microsoft 和移动设备管理/配置服务提供程序 (MDM/CSP) 的网络连接,以及可供使用 Microsoft Intune 的 IT 专业人员使用的自定义开放移动联盟统一资源标识符 (OMA URI) 策略,以帮助管理与 Microsoft 共享的数据。 如果想尽可能减少从 Windows 到 Microsoft 服务的连接,或配置隐私设置,有许多设置可供考虑。 例如,你可以使用本文中的说明将诊断数据配置为 Windows 版本的最低级别,并评估 Windows 与你要关闭的 Microsoft 服务建立的其他连接。 虽然可以在最大程度上减少与 Microsoft 的网络连接,但是默认情况下启用这些通信存在许多原因,例如更新恶意软件定义和维护当前证书吊销列表。 此数据可帮助我们提供安全、可靠且最新的体验。
重要提示
- MDM 配置的允许流量终结点如下所示:允许流量
- CRL(证书吊销列表)和 OCSP(在线证书状态协议)网络流量无法禁用,并且仍将显示在网络跟踪中。 CRL 和 OCSP 检查面向证书颁发机构进行。 Microsoft 是这些机构之一。 还有许多其他机构,如 DigiCert、Thawte、Google、Symantec 和 VeriSign。
- 对于基于 Microsoft Intune 的 Windows 10 和 Windows 11 设备管理,某些特定流量必不可少。 此流量包括 Windows 通知服务 (WNS)、自动根证书更新 (ARCU) 和某些与 Windows 更新相关的流量。 上述流量包括 Microsoft Intune MDM 服务器管理 Windows 10 和 Windows 11 设备的允许流量。
- 出于安全原因,在决定要配置哪些设置时要必须格外小心,因为其中一些设置可能会导致设备安全性降低。 可能导致设备配置安全性降低的设置示例包括:禁用 Windows 更新、禁用自动根证书更新和禁用 Windows Defender。 因此,我们不建议禁用任何这些功能。
- 为了确保 CSP 在发生冲突时优先采用组策略,请使用 ControlPolicyConflict策略。
- 在应用某些或全部 MDM/CSP 设置后,Windows 中的获取帮助和向我们提供反馈链接可能不再起作用。
警告
如果用户在执行“重置此电脑”命令(“设置”->“更新和安全”->“恢复”)时选择“删除所有内容”,则需要重新应用 >“Windows 受限流量限制功能”设置,以便重新限制设备的出口流量。 >为此,必须重新向 Microsoft Intune 服务注册客户端。 在重新>应用“受限流量限制功能”设置之前的一段时间内,可能会产生出口流量。 如果用户在执行“重置此电脑”时选择“保留我的文件”选项,那么“>受限流量限制功能”设置会保留在设备上,因此客户端会在“保留我的文件”重置期间和之后保留在“>受限流量”配置中,无需重新注册。
有关 Microsoft Intune 的详细信息,请参阅实现现代工作场所 IT 服务交付转型和 Microsoft Intune 文档。
有关使用 Windows 设置、组策略和注册表设置管理与 Microsoft 服务的网络连接的详细信息,请参阅管理从 Windows 操作系统组件到 Microsoft 服务的连接。
我们始终在努力改进我们的文档,并欢迎你提供反馈。 你可以通过向 telmhelp@microsoft.com 发送电子邮件提供反馈。
Windows 10 企业版 1903 及更高版本和 Windows 11 的设置
下表列出了每个设置的管理选项。
对于 Windows 10 和 Windows 11,策略 CSP 中提供了以下 MDM 策略。
自动根证书更新
- MDM 策略:有意不提供用于自动根证书更新的 MDM。 此 MDM 不存在,因为它将阻止对设备的 MDM 管理进行操作和管理。
Cortana 和搜索
- MDM 策略:Experience/AllowCortana。 选择是否允许在设备上安装并运行 Cortana。 设置为 0(零)
- MDM 策略:Search/AllowSearchToUseLocation。 选择 Cortana 和搜索能否提供位置感知的搜索结果。 设置为 0(零)
日期和时间
- MDM 策略:Settings/AllowDateTime。 允许用户更改日期和时间设置。 设置为 0(零)
设备元数据检索
- MDM 策略:DeviceInstallation/PreventDeviceMetadataFromNetwork。 选择是否阻止 Windows 从 Internet 检索设备元数据。 设置为“启用”
查找我的设备
- MDM 策略:Experience/AllowFindMyDevice。 此策略将启用“查找我的设备”。 设置为 0(零)
字体流式处理
- MDM 策略:System/AllowFontProviders。 用于确定是否允许 Windows 从联机字体提供程序下载字体和字体目录数据的设置。 设置为 0(零)
Insider Preview 版
- MDM 策略:System/AllowBuildPreview。 此策略设置决定用户能否在 Windows 更新的“高级选项”中访问预览体验内部版本控件。 设置为 0(零)
Internet ExplorerInternet Explorer CSP 中提供以下 Microsoft Internet Explorer MDM 策略
- MDM 策略:InternetExplorer/AllowSuggestedSites。 基于用户的浏览活动推荐网站。 设置为已禁用
- MDM 策略:InternetExplorer/PreventManagingSmartScreenFilter。 阻止用户管理 Windows Defender SmartScreen。如果已知所访问的网站试图通过“网络钓鱼网站”骗取个人信息,或已知含有恶意软件,则向用户发出警告。
设置为字符串,包含以下值:
- <已启用/><数据 id=”IE9SafetyFilterOptions” value=”1”/>
- MDM 策略:InternetExplorer/DisableFlipAheadFeature。 确定用户能否轻扫屏幕或单击“前进”转到网站的下一个预加载页。 设置为已启用
- MDM 策略:InternetExplorer/DisableHomePageChange。 确定用户能否更改默认主页。
设置为字符串,包含以下值:
- <已启用><数据 id=”EnterHomePagePrompt” value=”Start Page”/>
- MDM 策略:InternetExplorer/DisableFirstRunWizard。 阻止 Internet Explorer 在用户安装 Internet Explorer 或 Windows 后首次启动浏览器时运行“首次运行”向导。
设置为字符串,包含以下值:
- <已启用/><数据 id=”FirstRunOptions” value=”1”/>
动态磁贴
- MDM 策略:Notifications/DisallowTileNotification。 此策略设置关闭磁贴通知。 如果启用此策略设置,则应用程序和系统功能将无法在“开始”屏幕中更新其磁贴和磁贴锁屏提醒。 整数值 1
邮件同步
- MDM 策略:Accounts/AllowMicrosoftAccountConnection。 指定是否允许用户将 Microsoft 帐户用于与电子邮件无关的连接身份验证和服务。 设置为 0(零)
Microsoft 帐户
- MDM 策略:Accounts/AllowMicrosoftAccountSignInAssistant。 禁用 Microsoft 帐户登录助手。 设置为 0(零)
Microsoft Edge策略 CSP中提供了以下 Microsoft Edge MDM 策略。 有关 Microsoft Edge 策略的完整列表,请参阅适用于 Microsoft Edge 的策略。
- MDM 策略:Browser/AllowAutoFill。 选择员工能否在网站上使用自动填充功能。 设置为 0(零)
- MDM 策略:Browser/AllowDoNotTrack。 选择员工能否发送 Do Not Track 标头。 设置为 0(零)
- MDM 策略:Browser/AllowMicrosoftCompatbilityList。 指定 Microsoft Edge 中的 Microsoft 兼容性列表。 设置为 0(零)
- MDM 策略:Browser/AllowPasswordManager。 选择员工能否在其设备上本地保存密码。 设置为 0(零)
- MDM 策略:Browser/AllowSearchSuggestionsinAddressBar。 选择地址栏是否显示搜索建议。 设置为 0(零)
- MDM 策略:Browser/AllowSmartScreen。 选择打开还是关闭 Windows Defender SmartScreen。 设置为 0(零)
网络连接状态指示器
- Connectivity/DisallowNetworkConnectivityActiveTests. 注意:应用此策略后,必须重启设备才能使策略设置生效。 设置为 1(一)
脱机地图
- MDM 策略:AllowOfflineMapsDownloadOverMeteredConnection。 允许通过按流量计费的连接下载和更新地图数据。
设置为 0(零) - MDM 策略:EnableOfflineMapsAutoUpdate。 禁用地图数据的自动下载和更新功能。 设置为 0(零)
- MDM 策略:AllowOfflineMapsDownloadOverMeteredConnection。 允许通过按流量计费的连接下载和更新地图数据。
OneDrive
- MDM 策略:DisableOneDriveFileSync。 允许 IT 管理员阻止应用和功能运行 OneDrive 上的文件。 设置为 1(一)
- 接收 ADMX - 要获取最新的 OneDrive ADMX 文件,你需要最新的 Windows 10 或 Windows 11 客户端。 ADMX 文件位于以下路径下:%LocalAppData%\Microsoft\OneDrive\,其中一个文件夹包含当前的 OneDrive 内部版本(例如“18.162.0812.0001”)。 有一个名为“adm”的文件夹,其中包含 admx 和 adml 策略定义文件。
- MDM 策略:在用户登录之前阻止网络流量。 PreventNetworkTrafficPreUserSignIn。 OMA URI 值为:/Device/Vendor/MSFT/Policy/Config/OneDriveNGSC\ ~ Policy \ ~ OneDriveNGSC/PreventNetworkTrafficPreUserSignIn,数据类型为:String,值为:<已启用/>
隐私设置除了反馈与诊断页面,必须为每个登录电脑的用户帐户配置这些设置。
- 常规 - TextInput/AllowLinguisticDataCollection。 此策略设置控制向 Microsoft 发送墨迹书写和键入数据的功能。 设置为 0(零)
- 位置 - System/AllowLocation。 指定是否允许应用访问“定位”服务。 设置为 0(零)
- 相机 - Camera/AllowCamera。 禁用或启用相机。 设置为 0(零)
- 麦克风 - Privacy/LetAppsAccessMicrophone。 指定 Windows 应用能否访问麦克风。 设置为 2(二)
- 通知 - Privacy/LetAppsAccessNotifications。 指定 Windows 应用能否访问通知。 设置为 2(二)
- 通知 - Settings/AllowOnlineTips。 为“设置”应用启用或禁用在线提示检索和帮助。 整数值 0
- 语音、墨迹书写和键入 - Privacy/AllowInputPersonalization。 此策略指定设备上的用户能否选择启用在线语音识别功能。 设置为 0(零)
- 语音、墨迹书写和键入 - TextInput/AllowLinguisticDataCollection。 此策略设置控制向 Microsoft 发送墨迹书写和键入数据的功能 设置为 0(零)
- 帐户信息 - Privacy/LetAppsAccessAccountInfo。 指定 Windows 应用能否访问帐户信息。 设置为 2(二)
- 联系人 - Privacy/LetAppsAccessContacts。 指定 Windows 应用能否访问联系人。 设置为 2(二)
- 日历 - Privacy/LetAppsAccessCalendar。 指定 Windows 应用能否访问日历。 设置为 2(二)
- 通话记录 - Privacy/LetAppsAccessCallHistory。 指定 Windows 应用能否访问帐户信息。 设置为 2(二)
- 电子邮件 - Privacy/LetAppsAccessEmail。 指定 Windows 应用能否访问电子邮件。 设置为 2(二)
- 消息 - Privacy/LetAppsAccessMessaging。 指定 Windows 应用能否读取或发送消息(短信或彩信)。 设置为 2(二)
- 电话呼叫 - Privacy/LetAppsAccessPhone。 指定 Windows 应用能否打电话。 设置为 2(二)
- 无线电收发器 - Privacy/LetAppsAccessRadios。 指定 Windows 应用是否具有控制无线电收发器的访问权限。 设置为 2(二)
- 其他设备 - Privacy/LetAppsSyncWithDevices。 指定 Windows 应用能否与设备同步。 设置为 2(二)
- 其他设备 - Privacy/LetAppsAccessTrustedDevices。 指定 Windows 应用能否访问受信任的设备。 设置为 2(二)
- 反馈与诊断 - System/AllowTelemetry。 允许设备发送诊断和使用情况遥测数据,例如 Watson。 设置为 0(零)
- 反馈与诊断 - Experience/DoNotShowFeedbackNotifications。 阻止设备显示来自 Microsoft 的反馈问题。 设置为 1(一)
- 后台应用 - Privacy/LetAppsRunInBackground。 指定 Windows 应用能否在后台运行。 设置为 2(二)
- 运动 - Privacy/LetAppsAccessMotion。 指定 Windows 应用能否访问运动数据。 设置为 2(二)
- 任务 - Privacy/LetAppsAccessTasks。 关闭选择哪些应用有权访问任务的功能。 设置为 2(二)
- 应用诊断 - Privacy/LetAppsGetDiagnosticInfo。 强制允许、强制拒绝或授予用户对可获取其他运行中应用的诊断信息的应用的控制权。 设置为 2(二)
软件保护平台 - Licensing/DisallowKMSClientOnlineAVSValidation。 选择不自动向 Microsoft 发送 KMS 客户端激活数据。 设置为 1(一)
存储运行状况 - Storage/AllowDiskHealthModelUpdates。 允许磁盘运行状况模型更新。 设置为 0(零)
同步你的设置 - Experience/AllowSyncMySettings。 控制是否同步你的设置。 设置为 0(零)
Teredo - 不需要 MDM。 Teredo默认关闭。 传递优化 (DO) 可以启用 Teredo,但 DO 本身是通过 MDM 关闭的。
Wi-Fi 感知 - 不需要 MDM。 WLAN 感知功能在 Windows 10 版本 1803 和更高版本以及 Windows 11 中不再可用。
Windows Defender
- Defender/AllowCloudProtection。 断开 Microsoft 反恶意软件保护服务连接。 设置为 0(零)
- Defender/SubmitSamplesConsent。 停止向 Microsoft 重新发送文件示例。 设置为 2(二)
- Defender/EnableSmartScreenInShell。 在 Windows 中关闭用于应用和文件执行的 SmartScreen。 设置为 0(零)
- Windows Defender SmartScreen - Browser/AllowSmartScreen。 禁用 Windows Defender SmartScreen。 设置为 0(零)
- Windows Defender SmartScreen EnableAppInstallControl- Smartscreen/EnableAppInstallControl。 控制是否允许用户从 Microsoft Store 之外的位置安装应用。 设置为 0(零)
- Windows Defender 可能不需要的应用程序 (PUA) 保护 - Defender/PUAProtection。 指定检测可能不需要的应用程序 (PUA) 的级别。 设置为 1(一)
- Defender/SignatureUpdateFallbackOrder。 允许你定义应与不同的定义更新源联系的顺序。 以下策略的 OMA-URI 是:/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder、数据类型为:字符串、值为:FileShares
Windows 聚焦 - Experience/AllowWindowsSpotlight。 禁用 Windows 聚焦。 设置为 0(零)
Microsoft Store
- ApplicationManagement/DisableStoreOriginatedApps。 用于禁止启动 Microsoft Store 中预安装的或已下载的所有应用的布尔值。 设置为 1(一)
- ApplicationManagement/AllowAppStoreAutoUpdate。 指定是否允许自动更新 Microsoft Store 应用。 设置为 0(零)
网站应用 - ApplicationDefaults/EnableAppUriHandlers。 此策略设置确定 Windows 是否支持包含应用 URI 处理程序的 Web 到应用链接。 设置为 0(零)
Windows 更新传递优化 - 在 策略 CSP 中,以下传递优化 MDM 策略可用。
- DeliveryOptimization/DODownloadMode。 允许你选择“传递优化”在何处获取或发送更新和应用。 设置为 99(九十九)
Windows 更新
- Update/AllowAutoUpdate。 控制自动更新。 设置为 5(五)
- Windows 更新允许更新服务 - Update/AllowUpdateService。 指定设备能否使用 Microsoft 更新、Windows Server Update Services (WSUS) 或 Microsoft Store。 设置为 0(零)
- Windows 更新服务 URL - Update/UpdateServiceUrl。 允许设备从 WSUS 服务器而不是 Microsoft 更新检查更新。
设置为字符串,包含以下值:
- <替换><CmdID>$CmdID$<项目><Meta><格式>chr<类型>text/plain</Meta><目标><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>
建议
a. 启动策略配置服务提供商 (CSP) 的 HideRecentJumplists 设置。 在“开始”菜单的“推荐”部分中隐藏建议的应用和文件列表。
Microsoft Intune / MDM 配置的允许流量
允许的流量终结点 |
---|
activation-v2.sls.microsoft.com/* |
cdn.onenote.net |
client.wns.windows.com |
crl.microsoft.com/pki/crl/* |
ctldl.windowsupdate.com |
*displaycatalog.mp.microsoft.com |
dm3p.wns.windows.com |
*microsoft.com/pkiops/* |
ocsp.digicert.com/* |
r.manage.microsoft.com |
tile-service.weather.microsoft.com |
settings-win.data.microsoft.com |
msedge.api.cdp.microsoft.com |
*.dl.delivery.mp.microsoft.com |
edge.microsoft.com |