限制使用者存取 Windows 365 開機實體裝置
Windows 365 開機實體裝置旨在讓使用者與其雲端電腦互動,而不需要與實體裝置互動。 若要符合此目標,您必須設定一些設定服務提供者 (CSP) 原則。
Windows 365 開機不會自動設定這些原則,以完全限制終端使用者存取實體裝置上的特定資源。 系統管理員應該檢閱下列 CSP,並決定要在實體裝置上實作哪些 CSP,以符合組織的安全性需求。
公開 預覽 版中的新雲端解決方案提供者原則可供使用。 您可以使用此原則自動進一步限制裝置。 如需詳細資訊,請參閱 TBS。
防止存取實體裝置的工作管理員
在 Windows 365 開機功能的公開預覽版本中,當使用者按 Ctrl+Alt+Delete 時,仍然可以存取本機裝置的工作管理器。 您可以使用 DisableTaskMgr CSP 原則停用任務管理員。
此原則可防止所有用戶在系統中使用任務管理員,包括系統管理員。 它也會防止在實體裝置上使用快速鍵啟動任務管理員。 雖然此原則會提高裝置的安全性,但缺乏實體裝置的存取權會讓您更難以針對裝置上的問題進行疑難解答。
防止使用者變更實體裝置的密碼
Windows 365 開機實體裝置不支援變更用戶密碼。 如果您的環境中使用此選項,可以停用此選項,以避免使用 DisableChangePassword CSP 原則混淆使用者。
設定預設認證提供者
Windows 365 開機的公開預覽版本是針對共享計算機模式所設計。 此模式需要使用者名稱和密碼驗證方法。 視您的環境而定,可能會設定其他驗證提供者,並可能會混淆您的使用者。 若要避免這種混淆,請考慮將預設認證提供者設定為使用者名稱和密碼。 若要設定此預設值,請使用 DefaultCredentialProvider CSP原則。
從任務列移除通知和控制中心
如果您的裝置有觸控螢幕,使用者就可以與實體裝置的通知中心和行事歷檢視互動。 這些元件也可讓用戶啟動 Windows 365 開機實體裝置的設定應用程式。 若要移除使用者存取這些元件的能力,請使用 DisableNotificationCenter CSP 原則。
防止實體裝置通知
來自 Windows 365 開機實體裝置的通知可以透過雲端電腦會話顯示。 若要防止這類通知,請使用 NoToastNotification CSP 原則。
防止使用者登入期間自動啟動應用程式
Windows 365 開機實體裝置上的某些應用程式可能會設定為在使用者登入期間自動啟動。 若要避免上述行為,請使用 DisableExplorerRunLegacy_1 CSP 原則。
改善觸摸屏裝置上的登入
觸控螢幕裝置需要在使用者登入期間顯示觸控屏鍵盤。 在 Windows 365 開機觸摸屏裝置上,您可以使用 EnableTouchKeyboardAutoInvokeInDesktopMode CSP 原則來改善登入體驗。