限制使用者存取Windows 365開機實體裝置
Windows 365開機實體裝置的目的是要讓使用者與其雲端電腦互動,而不需要與實體裝置互動。 若要符合此目標,您必須設定一些設定服務提供者 (CSP) 原則。
Windows 365開機不會自動設定這些原則,以完全限制終端使用者存取實體裝置上的特定資源。 系統管理員應該檢閱下列 CSP,並決定要在實體裝置上實作哪些 CSP,以符合組織的安全性需求。
公開 預覽 版中的新雲端解決方案提供者原則可供使用。 您可以使用此原則自動進一步限制裝置。 如需詳細資訊,請參閱 TBS。
防止存取實體裝置的工作管理器
在Windows 365開機功能的公開預覽版本中,當使用者按 Ctrl+Alt+Delete 時,仍然可以存取本機裝置的工作管理器。 您可以使用 DisableTaskMgr CSP原則停用工作管理員。
此原則可防止所有使用者在系統中使用工作管理員,包括系統管理員。 它也會防止在實體裝置上使用快速鍵啟動工作管理員。 雖然此原則會提高裝置的安全性,但缺乏實體裝置的存取權會讓您更難以針對裝置上的問題進行疑難排解。
防止使用者變更實體裝置的密碼
Windows 365開機實體裝置不支援變更使用者密碼。 如果您的環境中使用此選項,可以停用此選項,以避免使用 DisableChangePassword CSP 原則混淆使用者。
設定預設認證提供者
Windows 365開機的公開預覽版本是針對共用電腦模式所設計。 此模式需要使用者名稱和密碼驗證方法。 視您的環境而定,可能會設定其他驗證提供者,並可能會混淆您的使用者。 若要避免這種混淆,請考慮將預設認證提供者設定為使用者名稱和密碼。 若要設定此預設值,請使用 DefaultCredentialProvider CSP 原則。
從工作列移除通知和控制中心
如果您的裝置有觸控螢幕,使用者就可以與實體裝置的通知中心和行事曆檢視互動。 這些元件也可讓使用者啟動 Windows 365 開機實體裝置的設定應用程式。 若要移除使用者存取這些元件的能力,請使用 DisableNotificationCenter CSP 原則。
防止實體裝置通知
來自Windows 365開機實體裝置的通知可以透過雲端電腦會話顯示。 若要防止這類通知,請使用 NoToastNotification CSP 原則。
防止使用者登入期間自動啟動應用程式
Windows 365開機實體裝置上的某些應用程式可能會設定為在使用者登入期間自動啟動。 若要避免上述行為,請使用 DisableExplorerRunLegacy_1 CSP 原則。
改善觸控式螢幕裝置上的登入
觸控螢幕裝置需要在使用者登入期間顯示觸控式螢幕鍵盤。 在Windows 365開機觸控式螢幕裝置上,您可以使用EnableTouchKeyboardAutoInvokeInDesktopMode CSP原則來改善登入體驗。