共用方式為

使用 Microsoft Intune MDM Server 管理從 Windows 10 和 Windows 11 作業系統元件到 Microsoft 服務的連線

  • 發行項

適用於

  • Windows 11
  • Windows 10 企業版 1903 版本及更新版本

本文說明 Windows 10 和 Windows 11 元件對 Microsoft、[行動裝置管理/設定服務提供者 (MDM/CSP)] 以及自訂 Open Mobile Alliance 統一資源識別項 (OMA URI) 的網路連線可供使用 Microsoft Intune 協助管理與 Microsoft 共用資料的 IT 專業人員使用。 如果您想要最小化從 Windows 至 Microsoft 服務的連線,或設定隱私權設定,有許多需考慮的設定。 例如,您可以使用本文中的說明,將診斷資料設定為 Windows 版本的最低層級,並評估可以關閉哪些 Windows 對 Microsoft 服務所做的其他連線。 雖然您可以盡量減少對 Microsoft 的網路連線,但預設啟用這些通訊的原因有很多,例如更新惡意程式碼定義,及維護目前的憑證撤銷清單。 此資料可協助我們提供安全、可靠且最新的體驗。

重要

  • MDM 設定的允許流量端點如下:允許的流量
    • CRL (憑證撤銷清單) 與 OCSP (線上憑證狀態通訊協定) 網路流量無法停用,且仍會顯示在網路追蹤中。 系統會對發行方憑證授權單位進行 CRL 和 OCSP 檢查。 Microsoft 是其中一個授權單位。 還有許多其他授權單位,例如 DigiCert、Thawte、Google、Symantec 和 VeriSign。
    • 針對 Windows 10 和 Windows 11 裝置的 Microsoft Intune 式管理,有一些特別需要的流量。 此流量包括 Windows 通知服務 (WNS)、自動根憑證更新 (ARCU),以及部分 Windows Update 相關流量。 上述流量由 Microsoft Intune MDM Server 的允許流量組成,用以管理 Windows 10 和 Windows 11 裝置。
  • 基於安全考量,請務必小心決定要設定的設定,因為其中一些可能會導致裝置安全性降低。 可能導致裝置設定不安全的設定範例包括:停用 Windows Update、停用自動根憑證更新,以及停用 Windows Defender。 因此,我們不建議停用這些功能。
  • 若要確保在發生衝突時 CSP 優先於群組原則,請使用 ControlPolicyConflict 原則。
  • 在套用部分或所有 MDM/CSP 之後,\[取得協助\]\[提供意見反應給我們\] 連結將無法再運作。

警告

如果使用者執行 [重設此電腦] 命令 ([設定] -> 更新與安全性 -> 復原),同時使用 [移除所有項目] 選項,則必須重新套用 >[Windows 受限流量有限功能] 設定,才能重新限制裝置的輸出流量。 >若要執行此動作,用戶端必須重新註冊至 Microsoft Intune 服務。 重新>套用 [受限流量有限功能] 設定之前,可能會有流量輸出。 如果使用者以 [保留我的檔案]> 選項執行 [重設此電腦],則會在裝置上保留 [受限流量有限功能] 設定,因此用戶端將在 [保留我的檔案] 重設期間與之後維持在 >[受限流量] 設定,且無需重新註冊。

如需 Microsoft Intune 的詳細資訊,請參閱改造現代化工作場所的 IT 服務傳遞型態Microsoft Intune 文件

如需使用 Windows 設定、群組原則和登錄設定來管理連往 Microsoft 服務之網路連線的詳細資訊,請參閱管理從 Windows 作業系統元件到 Microsoft 服務的連線

我們始終在努力改善我們的文件,並且歡迎您提供意見反應。 您可以傳送電子郵件至 telmhelp@microsoft.com,以提供意見反應。

適用於 Windows 10 企業版 1903 和更新版本以及 Windows 11 的設定

下表列出每個設定的管理選項。

針對 Windows 10 和 Windows 11,下列 MDM 原則可在 原則 CSP 中使用。

  1. 自動根憑證更新

    1. MDM 原則:我們刻意未提供用於自動根憑證更新的 MDM。 此 MDM 不存在,因為它會防止對裝置的 MDM 管理進行操作和管理。

  2. Cortana 與搜尋

    1. MDM 原則:Experience/AllowCortana。 選擇是否要讓 Cortana 在裝置上安裝並執行。 設定為 0 (零)
    2. MDM 原則:Search/AllowSearchToUseLocation。 選擇 Cortana 和「搜尋」是否可以提供定位感知的搜尋結果。 設定為 0 (零)

  3. 日期與時間

    1. MDM 原則:Settings/AllowDateTime。 允許使用者變更日期和時間設定。 設定為 0 (零)

  4. 裝置中繼資料擷取

    1. MDM 原則:DeviceInstallation/PreventDeviceMetadataFromNetwork。 選擇是否要防止 Windows 從網際網路擷取裝置中繼資料。 設定為 [已啟用]

  5. 尋找我的裝置

    1. MDM 原則:Experience/AllowFindMyDevice。 此原則會開啟 [尋找我的裝置]。 設定為 0 (零)

  6. 字型串流

    1. MDM 原則:System/AllowFontProviders。 此設定決定 Windows 是否能從線上字型提供者下載字型與字型類別目錄資料。 設定為 0 (零)

  7. Insider Preview 組建

    1. MDM 原則:System/AllowBuildPreview。 此原則設定可決定是否可以存取 Windows Update [進階選項] 中的測試人員組建控制項。 設定為 0 (零)

  8. Internet Explorer 下列 Microsoft Internet Explorer MDM 原則可在 Internet EXPLORER CSP 中取得

    1. MDM 原則:InternetExplorer/AllowSuggestedSites。 根據使用者的瀏覽活動來建議網站。 設定為 [已停用]
    2. MDM 原則:InternetExplorer/PreventManagingSmartScreenFilter。 防止使用者管理 Windows Defender SmartScreen,如果所瀏覽的網站已知會透過「網路釣魚」意圖詐騙個人資訊、或已知為裝載惡意程式碼,這個功能會警告使用者。 設定為含有值的字串
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. MDM 原則:InternetExplorer/DisableFlipAheadFeature。 決定使用者是否能在螢幕上撥動,或按 [下一頁] 移至網站的下一個預先載入頁面。 設定為 [已啟用]
    4. MDM 原則:InternetExplorer/DisableHomePageChange。 決定使用者是否可以變更預設的首頁。 設定為含有值的字串
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. MDM 原則:InternetExplorer/DisableFirstRunWizard。 在使用者安裝了 Internet Explorer 或 Windows 之後第一次啟動瀏覽器時,防止 Internet Explorer 執行 [首次執行] 精靈。 設定為含有值的字串
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. 動態磚

    1. MDM 原則:Notifications/DisallowTileNotification. 此原則設定會關閉磚通知。 如果您啟用此原則設定,應用程式和系統功能將無法更新 [開始] 畫面中的磚和磚徽章。 整數值 1

  10. 郵件同步處理

    1. MDM 原則:Accounts/AllowMicrosoftAccountConnection。 指定是否允許使用者針對非電子郵件相關的連線驗證與服務使用 Microsoft 帳戶。 設定為 0 (零)

  11. Microsoft 帳戶

    1. MDM 原則:Accounts/AllowMicrosoftAccountSignInAssistant。 停用 Microsoft 帳戶登入小幫手。 設定為 0 (零)

  12. Microsoft Edge 下列 Microsoft Edge MDM 原則可在原則 CSP 中取得。 如需 Microsoft Edge 原則的完整清單,請參閱適用於 Microsoft Edge 的可用原則

    1. MDM 原則:Browser/AllowAutoFill。 選擇員工是否可以在網站上使用自動填寫。 設定為 0 (零)
    2. MDM 原則:Browser/AllowDoNotTrack。 選擇員工是否可以傳送「不要追蹤」標頭。 設定為 0 (零)
    3. MDM 原則:Browser/AllowMicrosoftCompatbilityList。 指定 Microsoft Edge 中的 Microsoft 相容性清單。 設定為 0 (零)
    4. MDM 原則:Browser/AllowPasswordManager。 選擇員工是否可以將密碼儲存在本機裝置上。 設定為 0 (零)
    5. MDM 原則:Browser/AllowSearchSuggestionsinAddressBar。 選擇網址列是否顯示搜尋建議。 設定為 0 (零)
    6. MDM 原則:Browser/AllowSmartScreen。 選擇開啟或關閉 Windows Defender SmartScreen。 設定為 0 (零)

  13. 網路連線狀態指標

    1. Connectivity/DisallowNetworkConnectivityActiveTests。 注意:套用此原則之後,您必須重新啟動裝置,原則設定才會生效。 設為 1 (一)

  14. 離線地圖

    1. MDM 原則:AllowOfflineMapsDownloadOverMeteredConnection。 允許透過計量付費連線下載並更新地圖資料。
      設定為 0 (零)
    2. MDM 原則:EnableOfflineMapsAutoUpdate。 停用地圖資料的自動下載和更新。 設定為 0 (零)

  15. OneDrive

    1. MDM 原則:DisableOneDriveFileSync。 允許 IT 系統管理員防止應用程式和功能使用 OneDrive 上的檔案。 設為 1 (一)
    2. 內嵌 ADMX - 若要取得最新的 OneDrive ADMX 檔案,您需要使用最新的 Windows 10 和 Windows 11 用戶端。 ADMX 檔案位於下列路徑之下:%LocalAppData%\Microsoft\OneDrive\ 有一個資料夾包含目前的 OneDrive 組建版本 (例如,"18.162.0812.0001")。 有一個名為「adm」的資料夾,其中包含 admx 及 adml 原則定義檔案。
    3. MDM 原則:在使用者登入前防止網路流量。 PreventNetworkTrafficPreUserSignIn。 OMA-URI 值為:./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn,資料類型: String,值: <enabled/>

  16. 隱私權設定 除了 [意見反應與診斷] 頁面,您還必須針對登入電腦的每個使用者帳戶設定這些設定。

    1. 一般 - TextInput/AllowLinguisticDataCollection。 這個原則設定控制能否將手寫筆跡與鍵入資料傳送給 Microsoft。 設定為 0 (零)
    2. 位置 - System/AllowLocation。 指定是否允許 App 存取位置服務。 設定為 0 (零)
    3. 攝影機 - Camera/AllowCamera。 停用或啟用攝影機。 設定為 0 (零)
    4. 麥克風 - Privacy/LetAppsAccessMicrophone。 指定 Windows 應用程式是否可以存取麥克風。 設定為 2 (二)
    5. 通知 - Privacy/LetAppsAccessNotifications。 指定 Windows 應用程式是否可以存取通知。 設定為 2 (二)
    6. 通知 - Settings/AllowOnlineTips。 啟用或停用擷取 [設定] 應用程式的線上提示和說明。 整數值 0
    7. 語音、筆跡與輸入 - Privacy/AllowInputPersonalization。 此原則指定裝置上的使用者是否能選擇啟用線上語音辨識服務。 設定為 0 (零)
    8. 語音、筆跡與輸入 - TextInput/AllowLinguisticDataCollection。 這個原則設定控制將手寫筆跡與輸入資料傳送給 Microsoft 設定為 0 (零) 的功能
    9. 帳戶資訊 - Privacy/LetAppsAccessAccountInfo。 指定 Windows 應用程式是否可以存取帳戶資訊。 設定為 2 (二)
    10. 連絡人 - Privacy/LetAppsAccessContacts。 指定 Windows 應用程式是否可以存取連絡人。 設定為 2 (二)
    11. 行事曆 - Privacy/LetAppsAccessCalendar。 指定 Windows 應用程式是否可以存取行事曆。 設定為 2 (二)
    12. 通話記錄 - Privacy/LetAppsAccessCallHistory。 指定 Windows 應用程式是否可以存取帳戶資訊。 設定為 2 (二)
    13. 電子郵件 - Privacy/LetAppsAccessEmail。 指定 Windows 應用程式是否可以存取電子郵件。 設定為 2 (二)
    14. 訊息中心 - Privacy/LetAppsAccessMessaging。 指定 Windows 應用程式是否能讀取或傳送訊息 (文字或多媒體簡訊)。 設定為 2 (二)
    15. 通話 - Privacy/LetAppsAccessPhone。 指定 Windows 應用程式是否可以撥打電話。 設定為 2 (二)
    16. 無線通訊 - Privacy/LetAppsAccessRadios。 指定 Windows 應用程式是否能控制無線通訊功能。 設定為 2 (二)
    17. 其他裝置 - Privacy/LetAppsSyncWithDevices。 指定 Windows 應用程式是否可以與裝置同步處理。 設定為 2 (二)
    18. 其他裝置 - Privacy/LetAppsAccessTrustedDevices。 指定 Windows 應用程式是否可以存取受信任的裝置。 設定為 2 (二)
    19. 意見反應與診斷 - System/AllowTelemetry。 允許裝置傳送診斷和使用狀況遙測資料 (例如 Watson)。 設定為 0 (零)
    20. 意見反應與診斷 - Experience/DoNotShowFeedbackNotifications。 防止裝置顯示來自 Microsoft 的意見反應問題。 設為 1 (一)
    21. 背景應用程式 - Privacy/LetAppsRunInBackground。 指定 Windows 應用程式是否可以在背景中執行。 設定為 2 (二)
    22. 動作 - Privacy/LetAppsAccessMotion。 指定 Windows 應用程式是否能存取動作資料。 設定為 2 (二)
    23. 工作 - Privacy/LetAppsAccessTasks。 關閉可選擇哪些應用程式能存取工作的功能。 設定為 2 (二)
    24. 應用程式診斷 - Privacy/LetAppsGetDiagnosticInfo。 強制允許、強制拒絕或給予使用者控制哪些應用程式可取得其他執行中應用程式的診斷資訊。 設定為 2 (二)

  17. 軟體保護平台 - Licensing/DisallowKMSClientOnlineAVSValidation。 選擇取消將 KMS 用戶端啟用資料自動傳送給 Microsoft。 設為 1 (一)

  18. 存放健全狀況 - Storage/AllowDiskHealthModelUpdates。 允許磁碟健全狀況模型更新。 設定為 0 (零)

  19. 同步處理您的設定 - Experience/AllowSyncMySettings。 控制您的設定是否要同步處理。 設定為 0 (零)

  20. Teredo - 不需要 MDM。 Teredo 預設為關閉。 傳遞最佳化 (DO) 可以開啟 Teredo,但 DO 本身是透過 MDM 關閉。

  21. Wi-Fi 感知器 - 不需要 MDM。 Windows 10 版本 1803 和更新版版以及 Windows 11 已不再提供 Wi-Fi 感知器。

  22. Windows Defender

    1. Defender/AllowCloudProtection。 中斷 Microsoft Antimalware 保護服務的連線。 設定為 0 (零)
    2. Defender/SubmitSamplesConsent。 停止將檔案樣本傳送回 Microsoft。 設定為 2 (二)
    3. Defender/EnableSmartScreenInShell。 在 Windows 中針對應用程式及檔案執行關閉 SmartScreen。 設定為 0 (零)
    4. Windows Defender SmartScreen - Browser/AllowSmartScreen。 停用 Windows Defender SmartScreen。 設定為 0 (零)
    5. Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl。 控制是否允許使用者從 Microsoft Store 以外的位置安裝應用程式。 設定為 0 (零)
    6. Windows Defender 潛在的垃圾應用程式 (PUA) 防護 - Defender/PUAProtection。 指定對潛在的垃圾應用程式 (PUA) 的偵測層級。 設為 1 (一)
    7. Defender/SignatureUpdateFallbackOrder。 可讓您定義要連絡不同定義更新來源的順序。 其 OMA-URI 為:./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder、資料類型:String、值:FileShares

  23. Windows 焦點 - Experience/AllowWindowsSpotlight。 停用 Windows 焦點。 設定為 0 (零)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps。 布林值,對所有來自 Microsoft Store 的應用程式,停用所有預先安裝或已下載應用程式的啟動。 設為 1 (一)
    2. ApplicationManagement/AllowAppStoreAutoUpdate。 指定是否允許從 Microsoft Store 自動更新應用程式。 設定為 0 (零)

  25. 網站的應用程式 - ApplicationDefaults/EnableAppUriHandlers。 此原則設定決定 Windows 是否支援透過 App URI 處理常式進行 Web 對 App 連結。 設定為 0 (零)

  26. Windows Update 傳遞最佳化 - 下列傳遞最佳化 MDM 原則可在原則 CSP 中取得。

    1. DeliveryOptimization/DODownloadMode。 讓您能夠選擇傳遞最佳化取得或傳送更新與 App 的位置。 設為 99 (九十九)

  27. Windows Update

    1. Update/AllowAutoUpdate。 控制自動更新。 設為 5 (五)
    2. Windows Update 允許更新服務 - Update/AllowUpdateService。 指定裝置是否可以使用 Microsoft Update、Windows Server Update Services (WSUS) 或 Microsoft Store。 設定為 0 (零)
    3. Windows Update 服務 URL - Update/UpdateServiceUrl。 允許裝置從 WSUS 伺服器檢查更新,而不是 Microsoft Update。 設定為含有值的字串
      1. <取代><CmdID>$CmdID$<項目><Meta><格式>chr<類型>文字/純</Meta><目標><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</目標><資料>http://abcd-srv:8530</項目></取代>

  28. 建議
    a. 在[開始] [原則設定] 服務提供者 (CSP) 中的 HideRecentJumplists 設定。 在 [開始] 功能表上的 [推薦項目] 區段隱藏推薦的應用程式和檔案清單。

Microsoft Intune/MDM 允許的流量設定

允許的流量端點
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com