Windows 10/11-Geräteeinstellungen, um Features mithilfe von Intune zuzulassen oder einzuschränken
Hinweis
Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.
In diesem Artikel werden einige der Einstellungen beschrieben, die Sie auf Windows-Clientgeräten steuern können. Verwenden Sie als Teil Ihrer Mdm-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um Features zuzulassen oder zu deaktivieren, Kennwortregeln festzulegen, den Sperrbildschirm anzupassen, Microsoft Defender zu verwenden und vieles mehr.
Diese Einstellungen gelten für:
- Windows 11
- Windows 10
Diese Einstellungen werden einem Gerätekonfigurationsprofil in Intune hinzugefügt und dann Ihren Windows-Clientgeräten zugewiesen oder bereitgestellt.
Hinweis
Einige Einstellungen sind nur für bestimmte Windows-Editionen verfügbar, z. B. Enterprise. Die unterstützten Editionen finden Sie in den Richtlinien-CSPs (öffnet eine andere Microsoft-Website).
In einem Windows 10/11-Geräteeinschränkungsprofil werden die meisten konfigurierbaren Einstellungen auf Geräteebene mithilfe von Gerätegruppen bereitgestellt. Richtlinien, die für Benutzergruppen bereitgestellt werden, gelten für Zielbenutzer. Die Richtlinien gelten auch für Benutzer, die über eine Intune-Lizenz verfügen, sowie für Benutzer, die sich bei diesem Gerät anmelden.
Bevor Sie beginnen
Erstellen Sie ein Windows 10/11-Geräteeinschränkungsprofil.
App Store
Diese Einstellungen verwenden den ApplicationManagement-Richtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
App Store (nur mobilgeräte): Blockieren verhindert, dass Benutzer auf mobilen Geräten auf den App Store zugreifen können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Benutzern möglicherweise den Zugriff auf den App Store zu.
Automatisches Aktualisieren von Apps aus dem Store: Blockieren verhindert, dass Updates automatisch aus dem Microsoft Store installiert werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass aus dem Microsoft Store installierte Apps automatisch aktualisiert werden.
Installation vertrauenswürdiger Apps: Wählen Sie aus, ob Nicht-Microsoft Store-Apps installiert werden können, die auch als Querladen bezeichnet werden. Beim Querladen wird eine App installiert und anschließend ausgeführt oder getestet, die nicht vom Microsoft Store zertifiziert ist. Beispielsweise eine App, die nur intern in Ihrem Unternehmen ist. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.
- Blockieren: Verhindert das Querladen. Nicht-Microsoft Store-Apps können nicht installiert werden.
- Zulassen: Ermöglicht das Querladen. Nicht-Microsoft Store-Apps können installiert werden.
Entwicklerentsperrung: Lassen Sie Windows-Entwicklereinstellungen zu, z. B. das Zulassen, dass quergeladene Apps von Benutzern geändert werden. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.
- Blockieren: Verhindert den Entwicklermodus und das Querladen von Apps.
- Zulassen: Ermöglicht den Entwicklermodus und das Querladen von Apps.
Aktivieren Ihres Geräts für die Entwicklung enthält weitere Informationen zu diesem Feature.
Freigegebene Benutzer-App-Daten: Wählen Sie Zulassen aus, um Anwendungsdaten zwischen verschiedenen Benutzern auf demselben Gerät und mit anderen Instanzen dieser App zu teilen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig verhindert das Betriebssystem möglicherweise die Freigabe von Daten für andere Benutzer und andere Instanzen derselben App.
Nur privaten Store verwenden: Zulassen erlaubt nur das Herunterladen von Apps aus einem privaten Store und nicht das Herunterladen aus dem öffentlichen Store, einschließlich eines Einzelhandelskatalogs. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Herunterladen von Apps aus einem privaten und einem öffentlichen Store zu.
App-Start aus dem Store: Blockieren deaktiviert alle Apps, die auf dem Gerät vorinstalliert oder aus dem Microsoft Store heruntergeladen wurden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass diese Apps geöffnet werden.
Installieren von App-Daten auf Systemvolume: Blockieren verhindert, dass Apps Daten auf dem Systemvolume des Geräts speichern. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass Apps Daten auf dem Systemdatenträgervolume speichern.
Installieren von Apps auf Systemlaufwerk: Blockieren verhindert, dass Apps auf dem Systemlaufwerk auf dem Gerät installiert werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass Apps auf dem Systemlaufwerk installiert werden.
Game DVR (nur Desktop):Blockieren deaktiviert die Aufzeichnung und Übertragung von Windows-Spielen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem möglicherweise die Aufzeichnung und Übertragung von Spielen.
Nur Apps aus dem Store: Diese Einstellung bestimmt die Benutzererfahrung, wenn Benutzer Apps von anderen Orten als dem Microsoft Store installieren. Die Installation von Inhalten von USB-Geräten, Netzwerkfreigaben oder anderen Nicht-Internetquellen wird nicht verhindert. Verwenden Sie einen vertrauenswürdigen Browser, um sicherzustellen, dass diese Schutzmaßnahmen wie erwartet funktionieren.
Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise, Apps von anderen Orten als dem Microsoft Store zu installieren, einschließlich Apps, die in anderen Richtlinieneinstellungen definiert sind.
- Überall: Deaktiviert App-Empfehlungen und ermöglicht Benutzern die Installation von Apps von einem beliebigen Ort aus.
- Nur Speichern: Die Absicht besteht darin, zu verhindern, dass sich schädliche Inhalte auf Ihre Benutzergeräte auswirken, wenn ausführbare Inhalte aus dem Internet heruntergeladen werden. Wenn Benutzer versuchen, Apps aus dem Internet zu installieren, wird die Installation blockiert. Benutzern wird eine Meldung angezeigt, in der empfohlen wird, Apps aus dem Microsoft Store herunterzuladen.
- Empfehlungen: Bei der Installation einer App aus dem Web, die im Microsoft Store verfügbar ist, wird Benutzern eine Meldung angezeigt, in der empfohlen wird, sie aus dem Store herunterzuladen.
- Store bevorzugen: Warnt Benutzer, wenn sie Apps von anderen Orten als dem Microsoft Store installieren.
Benutzersteuerung über Installationen: Blockieren verhindert, dass Benutzer die Installationsoptionen ändern, die normalerweise für Systemadministratoren reserviert sind, z. B. das Verzeichnis zum Installieren der Dateien. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig verhindert Windows Installer, dass Benutzer diese Installationsoptionen ändern, und einige der Windows Installer-Sicherheitsfeatures werden umgangen.
Installieren von Apps mit erhöhten Rechten: Blockieren weist Windows Installer an, bei der Installation eines Programms auf dem System erhöhte Berechtigungen zu verwenden. Diese Berechtigungen werden auf alle Programme erweitert. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das System die Berechtigungen des aktuellen Benutzers anwenden, wenn es Programme installiert, die ein Systemadministrator nicht bereitstellt oder anbietet.
ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP
Start-Apps: Geben Sie eine Liste der Apps ein, die geöffnet werden sollen, nachdem sich ein Benutzer beim Gerät angemeldet hat. Achten Sie darauf, eine durch Semikolons getrennte Liste von Paketfamiliennamen (PFN) von Windows-Anwendungen zu verwenden. Damit diese Richtlinie funktioniert, muss das Manifest in den Windows-Apps eine Startaufgabe verwenden.
Mobilfunk und Konnektivität
Diese Einstellungen verwenden die CSPs für Konnektivitätsrichtlinien und WLAN-Richtlinien , die auch die unterstützten Windows-Editionen auflisten.
Mobilfunkdatenkanal: Wählen Sie aus, ob Benutzer Daten verwenden können, z. B. das Surfen im Internet, wenn sie mit einem Mobilfunknetz verbunden sind. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Benutzer können es deaktivieren.
- Blockieren: Lassen Sie den Datenverbindungskanal nicht zu. Benutzer können es nicht aktivieren.
- Zulassen (nicht bearbeitbar):Ermöglicht den Mobilfunkdatenkanal. Benutzer können es nicht deaktivieren.
Datenroaming: Blockieren verhindert das Roaming von Mobilfunkdaten auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig ist beim Zugriff auf Daten möglicherweise Roaming zwischen Netzwerken zulässig.
VPN über das Mobilfunknetz: Blockieren verhindert, dass das Gerät auf VPN-Verbindungen zugreifen kann, wenn es mit einem Mobilfunknetz verbunden ist. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass VPN eine beliebige Verbindung verwendet, einschließlich Mobilfunkverbindungen.
VPN-Roaming über das Mobilfunknetz: Blockieren verhindert, dass das Gerät beim Roaming in einem Mobilfunknetz auf VPN-Verbindungen zugreifen kann. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem VPN-Verbindungen beim Roaming zulassen.
Dienst für verbundene Geräte: Blockieren deaktiviert die CdP-Komponente (Connected Devices Platform). CDP ermöglicht die Ermittlung und Verbindung mit anderen Geräten (über Bluetooth/LAN oder die Cloud), um das Starten von Remote-Apps, Remotemessaging, Remote-App-Sitzungen und andere geräteübergreifende Funktionen zu unterstützen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise den Dienst für verbundene Geräte zu, der die Ermittlung und Verbindung mit anderen Bluetooth-Geräten ermöglicht.
NFC: Blockieren verhindert NFC-Funktionen (Near Field Communications). Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise, NFC-Features auf dem Gerät zu aktivieren und zu konfigurieren.
WLAN: Blockieren verhindert, dass Benutzer Wi-Fi Verbindungen auf dem Gerät aktivieren, konfigurieren und verwenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise Wi-Fi Verbindungen zu.
Automatische Verbindung mit Wi-Fi Hotspots herstellen: Blockieren verhindert, dass Geräte automatisch eine Verbindung mit Wi-Fi Hotspots herstellen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem geräte möglicherweise automatisch eine Verbindung mit kostenlosen Wi-Fi Hotspots zu und akzeptiert automatisch alle Geschäftsbedingungen für die Verbindung.
Manuelle Wi-Fi-Konfiguration: Blockieren verhindert, dass Geräte eine Verbindung mit Wi-Fi außerhalb der auf dem MDM-Server installierten Netzwerke herstellen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem Benutzern das Hinzufügen und Konfigurieren eigener Wi-Fi Netzwerk-SSIDs ermöglichen.
WLAN-Scanintervall: Geben Sie an, wie oft Geräte nach Wi-Fi Netzwerken suchen. Geben Sie einen Wert zwischen 1 (am häufigsten) und 500 (am wenigsten häufig) ein. Der Standardwert ist
0
(null).
Bluetooth
Diese Einstellungen verwenden den Bluetooth-Richtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Bluetooth: Blockieren verhindert, dass Benutzer Bluetooth aktivieren können. Nicht konfiguriert (Standard) lässt Bluetooth auf dem Gerät zu.
Bluetooth-Auffindbarkeit: Blockieren verhindert, dass das Gerät von anderen Bluetooth-fähigen Geräten erkannt werden kann. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass andere Bluetooth-fähige Geräte, z. B. ein Headset, das Gerät ermitteln können.
Bluetooth-Vorkopplung: Blockieren verhindert, dass bestimmte Bluetooth-Geräte automatisch mit einem Hostgerät gekoppelt werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem die automatische Kopplung mit dem Hostgerät zulassen.
Bluetooth-Werbung: Blockieren verhindert, dass das Gerät Bluetooth-Werbung sendet. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass das Gerät Bluetooth-Ankündigungen sendet.
Proximale Bluetooth-Verbindungen: Blockieren verhindert, dass ein Gerätebenutzer Swift Pair und andere näherungsbasierte Szenarien verwendet. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass das Gerät Bluetooth-Ankündigungen sendet.
Zulässige Bluetooth-Dienste: Fügen Sie eine Liste der zulässigen Bluetooth-Dienste und -Profile als hexax-Zeichenfolgen hinzu, z
{782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
. B. .Das ServicesAllowedList-Nutzungshandbuch enthält weitere Informationen zur Dienstliste.
Cloud und Speicher
Diese Einstellungen verwenden den Kontorichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Wichtig
Das Blockieren oder Deaktivieren dieser Microsoft-Kontoeinstellungen kann sich auf Registrierungsszenarien auswirken, bei denen sich Benutzer bei Microsoft Entra ID anmelden müssen. Sie verwenden z. B. vorab bereitgestellte Autopilot. In der Regel wird Benutzern ein Microsoft Entra Anmeldefenster angezeigt. Wenn diese Einstellungen auf Blockieren oder Deaktivieren festgelegt sind, wird die Option Microsoft Entra Anmeldung möglicherweise nicht angezeigt. Stattdessen werden Die Benutzer aufgefordert, die Lizenzbedingungen zu akzeptieren und ein lokales Konto zu erstellen, das möglicherweise nicht ihren Wünschen entspricht.
- Microsoft-Konto: Blockieren verhindert, dass Benutzer dem Gerät ein Microsoft-Konto zuordnen. Das Blockieren kann sich auch auf einige Registrierungsszenarien auswirken, die von Benutzern abhängig sind, um den Registrierungsprozess abzuschließen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Hinzufügen und Verwenden eines Microsoft-Kontos zu.
- Nicht-Microsoft-Konto: Blockieren verhindert, dass Benutzer Nicht-Microsoft-Konten über die Benutzeroberfläche hinzufügen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise das Hinzufügen von E-Mail-Konten, die keinem Microsoft-Konto zugeordnet sind.
- Einstellungssynchronisierung für Microsoft-Konto: Blockieren verhindert, dass Geräte- und App-Einstellungen, die einem Microsoft-Konto zugeordnet sind, zwischen Geräten synchronisiert werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem diese Synchronisierung möglicherweise zu.
-
Microsoft-Kontoanmeldung Assistent: Mit diesem Betriebssystemdienst können sich Benutzer bei ihrem Microsoft-Konto anmelden. Standardmäßig kann das Betriebssystem Benutzern das Starten und Beenden des Diensts Microsoft-Konto Sign-In Assistant (wlidsvc) ermöglichen.
Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig kann das Betriebssystem Benutzern das Starten und Beenden des Diensts Microsoft-Konto Sign-In Assistant (wlidsvc) ermöglichen.
Deaktiviert: Legt den Microsoft-Anmelde-Assistenten (wlidsvc) auf Deaktiviert fest und verhindert, dass Benutzer ihn manuell starten.
Die Deaktivierung kann sich auch auf einige Registrierungsszenarien auswirken, bei denen Benutzer die Registrierung abschließen müssen. Sie verwenden z. B. vorab bereitgestellte Autopilot. In der Regel wird Benutzern ein Microsoft Entra Anmeldefenster angezeigt. Bei Festlegung auf Deaktivieren wird die Option Microsoft Entra Anmeldung möglicherweise nicht angezeigt. Stattdessen werden Die Benutzer aufgefordert, die Lizenzbedingungen zu akzeptieren und ein lokales Konto zu erstellen, das möglicherweise nicht ihren Wünschen entspricht.
Clouddrucker
Diese Einstellungen verwenden den EnterpriseCloudPrint-Richtlinien-CSP, in dem auch die unterstützten Windows-Editionen aufgeführt sind.
-
Druckerermittlungs-URL: Geben Sie die URL für die Suche nach Clouddruckern ein. Geben Sie beispielsweise
https://cloudprinterdiscovery.contoso.com
ein. -
URL der Druckerzugriffsautorität: Geben Sie die URL des Authentifizierungsendpunkts ein, um OAuth-Token abzurufen. Geben Sie beispielsweise
https://azuretenant.contoso.com/adfs
ein. -
GUID der nativen Azure-Client-App: Geben Sie die GUID einer Clientanwendung ein, die OAuth-Token aus OAuthAuthority abrufen darf. Geben Sie beispielsweise
E1CF1107-FF90-4228-93BF-26052DD2C714
ein. -
Ressourcen-URI des Druckdiensts: Geben Sie den OAuth-Ressourcen-URI für den Druckdienst ein, der im Azure-Portal konfiguriert ist. Geben Sie beispielsweise
http://MicrosoftEnterpriseCloudPrint/CloudPrint
ein. -
Maximale Anzahl der abzufragenden Drucker: Geben Sie die maximale Anzahl von Druckern ein, die abgefragt werden sollen. Der Standardwert ist
20
. -
Ressourcen-URI des Druckerermittlungsdiensts: Geben Sie den OAuth-Ressourcen-URI für den Druckerermittlungsdienst ein, der im Azure-Portal konfiguriert ist. Geben Sie beispielsweise
http://MopriaDiscoveryService/CloudPrint
ein.
Tipp
Nachdem Sie windows Server Hybrid Cloud Print eingerichtet haben, können Sie diese Einstellungen konfigurieren und dann auf Ihren Windows-Geräten bereitstellen.
Systemsteuerung und Einstellungen
-
Einstellungs-App: Blockieren verhindert, dass Benutzer auf die Windows-Einstellungs-App zugreifen können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, die Einstellungs-App auf dem Gerät zu öffnen.
System: Blockieren verhindert den Zugriff auf den Bereich System der App "Einstellungen". Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
- Änderung der Energie- und Energiesparmoduseinstellungen (nur Desktop): Blockieren verhindert, dass Benutzer die Energie- und Energiespareinstellungen auf dem Gerät ändern können. Nicht konfiguriert (Standard) ermöglicht Benutzern das Ändern der Energie- und Energiesparmoduseinstellungen.
Geräte: Blockieren verhindert den Zugriff auf den Bereich Geräte der App "Einstellungen" auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Netzwerkinternnetz: Blockieren verhindert den Zugriff auf den Bereich Netzwerk & Internet der Einstellungs-App auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Personalisierung: Blockieren verhindert den Zugriff auf den Personalisierungsbereich der App "Einstellungen" auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Apps: Blockieren verhindert den Zugriff auf den Bereich Apps der App "Einstellungen" auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Konten: Blockieren verhindert den Zugriff auf den Bereich Konten der App "Einstellungen" auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Zeit und Sprache: Blockieren verhindert den Zugriff auf den Bereich Time & Language der App "Einstellungen" auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Änderung der Systemzeit: Blockieren verhindert, dass Benutzer die Datums- und Uhrzeiteinstellungen auf dem Gerät ändern. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Benutzer können diese Einstellungen ändern.
Änderung der Regionseinstellungen (nur Desktop): Blockieren verhindert, dass Benutzer die Regionseinstellungen auf dem Gerät ändern können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Benutzer können diese Einstellungen ändern.
Änderung der Spracheinstellungen (nur Desktop):Blockieren verhindert, dass Benutzer die Spracheinstellungen auf dem Gerät ändern. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Benutzer können diese Einstellungen ändern.
Gaming: Wenn diese Einstellung auf Blockieren festgelegt ist:
- Verhindert den Zugriff auf den Bereich Gaming der App "Einstellungen>" auf dem Gerät.
- Auf Windows 11 22H2 und höher wird der BereichSystembenachrichtigungen> der Einstellungen-App> auf dem Gerät ausgeblendet. Insbesondere wird die
ms-settings:quietmomentsgame
Seite dem CSP Settings/PageVisibilityList hinzugefügt.
Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Erleichterte Bedienung: Blockieren verhindert den Zugriff auf den Bereich "Erleichterte Bedienung" der App "Einstellungen" auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Datenschutz: Blockieren verhindert den Zugriff auf den Datenschutzbereich der App "Einstellungen" auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Update und Sicherheit: Blockieren verhindert den Zugriff auf den Bereich Update & Sicherheit der Einstellungs-App auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Anzeige
Diese Einstellungen verwenden den Anzeigerichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Die GDI-DPI-Skalierung ermöglicht Anwendungen, die nicht DPI-fähig sind, pro Monitor DPI-fähig zu werden.
GDI-Skalierung für Apps aktivieren: Fügen Sie die Legacy-Apps hinzu, für die die GDI-DPI-Skalierung aktiviert werden soll. Geben Sie z. B. oder ein
filename.exe
%ProgramFiles%\Path\Filename.exe
.Die GDI-DPI-Skalierung ist für alle Legacyanwendungen in Ihrer Liste aktiviert.
GDI-Skalierung für Apps deaktivieren: Fügen Sie die Legacy-Apps hinzu, für die die GDI-DPI-Skalierung deaktiviert werden soll. Geben Sie z. B. oder ein
filename.exe
%ProgramFiles%\Path\Filename.exe
.Die GDI-DPI-Skalierung ist für alle Legacyanwendungen in Ihrer Liste deaktiviert.
Sie können auch eine .csv-Datei mit der Liste der Apps importieren .
Allgemein
Diese Einstellungen verwenden den Benutzerfreundlichkeitsrichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Bildschirmaufnahme (nur mobil): Blockieren verhindert, dass Benutzer Screenshots auf dem Gerät erhalten. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Kopieren und Einfügen (nur mobilgeräte): Blockieren verhindert, dass Benutzer kopieren und einfügen zwischen Apps auf dem Gerät verwenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Manuelles Aufheben der Registrierung: Blockieren verhindert, dass Benutzer das Arbeitsplatzkonto über die Arbeitsplatzsteuerung auf dem Gerät löschen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Diese Richtlinieneinstellung gilt nicht, wenn der Computer Microsoft Entra eingebunden ist und die automatische Registrierung aktiviert ist.
Manuelle Installation des Stammzertifikats (nur mobil): Blockieren verhindert, dass Benutzer Stammzertifikate und CAP-Zwischenzertifikate manuell installieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Kamera: Blockieren verhindert, dass Benutzer die Kamera auf dem Gerät verwenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise den Zugriff auf die Gerätekamera zu.
Intune verwaltet nur den Zugriff auf die Gerätekamera. Es hat keinen Zugriff auf Bilder oder Videos.
OneDrive-Dateisynchronisierung: Blockieren verhindert, dass Benutzer Dateien vom Gerät mit OneDrive synchronisieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Wechselmedien: Blockieren verhindert, dass Benutzer externe Speichergeräte wie USB-Laufwerke oder SD-Karten mit dem Gerät verwenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Geolocation: Blockieren verhindert, dass Benutzer Positionsdienste auf dem Gerät aktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Internetfreigabe: Blockieren verhindert die Gemeinsame Nutzung der Internetverbindung auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Telefonzurücksetzung: Blockieren verhindert, dass Benutzer auf dem Gerät zurückgesetzt oder auf werksseitig zurückgesetzt werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
USB-Verbindung: Blockieren verhindert den Zugriff auf die Synchronisierung von Dateien über eine USB-Verbindung oder die Verwendung von Entwicklertools auf einem HoloLens-Gerät. Das Ändern dieser Richtlinie wirkt sich nicht auf das USB-Ladevorgang aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Das USB-Aufladen ist von dieser Einstellung nicht betroffen.
AntiTheft-Modus (nur Mobilgeräte): Blockieren verhindert, dass Benutzer die Einstellung antiTheft-Modus auf dem Gerät auswählen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Cortana: Blockieren deaktiviert die Assistent von Cortana auf dem Gerät. Wenn Cortana deaktiviert ist, können Benutzer weiterhin nach Elementen auf dem Gerät suchen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Möglicherweise Cortana zu.
Hinweis
Microsoft hat die eigenständige Windows Cortana-App als veraltet gekennzeichnet. Die Cortana-produktivitäts-Assistent ist weiterhin verfügbar. Weitere Informationen zu veralteten Features auf dem Windows-Client finden Sie unter Veraltete Features für den Windows-Client.
Sprachaufzeichnung (nur mobil): Blockieren verhindert, dass Benutzer den Sprachrekorder des Geräts auf dem Gerät verwenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise sprachaufzeichnungen für Apps zu.
Änderung des Gerätenamens (nur mobilgeräte): Blockieren verhindert, dass Benutzer den Namen des Geräts ändern können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Bereitstellungspakete hinzufügen: Blockieren verhindert den Laufzeitkonfigurations-Agent, der Bereitstellungspakete auf dem Gerät installiert. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Bereitstellungspakete entfernen: Blockieren verhindert, dass der Laufzeitkonfigurations-Agent Bereitstellungspakete vom Gerät entfernt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Geräteermittlung: Blockieren verhindert, dass das Gerät von anderen Geräten erkannt wird. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Aufgabenumschalter (nur mobil): Blockieren verhindert das Umschalten von Aufgaben auf dem Gerät. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
SIM-Karte-Fehlerdialogfeld (nur mobil): Die Anzeige von Fehlermeldungen auf dem Gerät wird blockiert, wenn keine SIM-Karte erkannt wird. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die Fehlermeldungen an.
Freihandarbeitsbereich: Wählen Sie aus, ob und wie der Benutzer auf den Freihandarbeitsbereich zugreift. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig kann das Betriebssystem den Freihandarbeitsbereich aktivieren, und Benutzer dürfen ihn über dem Sperrbildschirm verwenden.
- Auf Sperrbildschirm deaktiviert: Der Freihandarbeitsbereich ist aktiviert, und die Funktion ist aktiviert. Benutzer können jedoch nicht über dem Sperrbildschirm darauf zugreifen.
- Deaktiviert: Der Zugriff auf den Freihandarbeitsbereich ist deaktiviert. Das Feature ist deaktiviert.
Autopilot-Zurücksetzung: Wählen Sie Zulassen aus, damit Benutzer mit Administratorrechten alle Benutzerdaten und -einstellungen löschen können, indem Sie STRG+ WIN+R auf dem Gerätesperrbildschirm verwenden. Das Gerät wird automatisch neu konfiguriert und bei der Verwaltung neu registriert. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem dieses Feature verhindern.
Benutzer müssen während der Geräteeinrichtung eine Verbindung mit dem Netzwerk herstellen: Wählen Sie Anfordern aus, damit das Gerät eine Verbindung mit einem Netzwerk herstellt, bevor es während des Windows-Setups die Seite Netzwerk übergeht. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, die Seite Netzwerk zu durchlaufen, auch wenn sie nicht mit einem Netzwerk verbunden ist.
Die Einstellung wird beim nächsten Zurücksetzen des Geräts wirksam. Wie jede andere Intune-Konfiguration muss das Gerät von Intune registriert und verwaltet werden, um Konfigurationseinstellungen zu empfangen. Sobald es jedoch registriert ist und Richtlinien empfängt, erzwingt das Zurücksetzen des Geräts die Einstellung während des nächsten Windows-Setups.
Direkter Speicherzugriff: Blockieren verhindert den direkten Speicherzugriff (Direct Memory Access, DMA) für alle hot-plug-fähigen PCI-Downstreamports, bis sich ein Benutzer bei Windows anmeldet. Aktiviert (Standard) ermöglicht den Zugriff auf DMA, auch wenn ein Benutzer nicht angemeldet ist.
Prozesse über Task-Manager beenden: Diese Einstellung bestimmt, ob Nichtadministratoren den Task-Manager verwenden können, um Aufgaben zu beenden. Blockieren verhindert, dass Standardbenutzer (keine Administratoren) den Task-Manager verwenden können, um einen Prozess oder eine Aufgabe auf dem Gerät zu beenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Standardbenutzern möglicherweise, einen Prozess oder eine Aufgabe mithilfe des Task-Managers zu beenden.
Gesperrter Bildschirm
Info-Center-Benachrichtigungen (nur Mobilgeräte):Blockieren verhindert, dass Info-Center-Benachrichtigungen auf dem Sperrbildschirm des Geräts angezeigt werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Benutzern möglicherweise die Auswahl zu, welche Apps Benachrichtigungen auf dem Sperrbildschirm anzeigen.
Bild-URL für gesperrten Bildschirm (nur Desktop): Geben Sie die URL zu einem Bild im JPG-, JPEG- oder PNG-Format ein, das als Windows-Hintergrundbild für den Sperrbildschirm verwendet wird. Geben Sie beispielsweise
https://contoso.com/image.png
ein. Diese Einstellung sperrt das Bild und kann danach nicht mehr geändert werden.Benutzerkonfigurierbares Bildschirmtimeout (nur mobil):Zulassen ermöglicht Benutzern die Konfiguration des Bildschirmtimeouts. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig gibt das Betriebssystem Benutzern diese Option möglicherweise nicht.
Cortana auf gesperrtem Bildschirm (nur Desktop): Blockieren verhindert, dass Benutzer mit Cortana interagieren, wenn sich das Gerät auf dem Sperrbildschirm befindet. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise die Interaktion mit Cortana zu.
Popupbenachrichtigungen auf gesperrtem Bildschirm: Blockieren verhindert, dass Popupbenachrichtigungen auf dem Sperrbildschirm des Geräts angezeigt werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem diese Benachrichtigungen möglicherweise zu.
Bildschirmtimeout (nur mobil): Legen Sie die Dauer (in Sekunden) von der Bildschirmsperre bis zum Ausschalten des Bildschirms fest. Unterstützte Werte: 11 bis 1800. Geben Sie beispielsweise ein
300
, um dieses Timeout auf 5 Minuten festzulegen.
Nachrichten
Diese Einstellungen verwenden den Messagingrichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
- Nachrichtensynchronisierung (nur mobilgeräte): Blockieren deaktiviert das Sichern und Wiederherstellen von TEXTnachrichten sowie die Synchronisierung von Nachrichten zwischen Windows-Geräten. Die Deaktivierung verhindert, dass Informationen auf Servern gespeichert werden, die außerhalb der Kontrolle des organization liegen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, diese Einstellungen zu ändern und ihre Nachrichten zu synchronisieren.
- MMS (nur mobil):Blockieren deaktiviert die MMS-Funktion zum Senden und Empfangen auf dem Gerät. Verwenden Sie diese Richtlinie für Unternehmen, um MMS auf Geräten im Rahmen der Überwachungs- oder Verwaltungsanforderung zu deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem mms Senden und Empfangen zulassen.
- RCS (nur mobil):Blockieren deaktiviert die RcS-Funktion (Rich Communication Services) zum Senden und Empfangen auf dem Gerät. Verwenden Sie diese Richtlinie für Unternehmen, um RCS auf Geräten im Rahmen der Überwachungs- oder Verwaltungsanforderung zu deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem RCS-Sende- und -Empfang zu.
Vorgängerversion von Microsoft Edge (Version 45 und älter)
Diese Einstellungen verwenden den Browserrichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Hinweis
Die Verwendung der Browserrichtlinie CSP gilt für Microsoft Edge Version 45 und älter. Informationen zu Microsoft Edge Version 77 und höher finden Sie unter Konfigurieren von Microsoft Edge-Richtlinieneinstellungen in Microsoft Intune.
Verwenden des Microsoft Edge-Kioskmodus
Die verfügbaren Einstellungen ändern sich je nachdem, was Sie auswählen. Ihre Optionen:
- Nein (Standard): Microsoft Edge wird nicht im Kioskmodus ausgeführt. Sie können alle Microsoft Edge-Einstellungen ändern und konfigurieren.
- Digitale/interaktive Beschilderung (Kiosk für einzelne Apps): Filtert Microsoft Edge-Einstellungen, die für den Microsoft Edge-Kioskmodus "Digital/Interactive Signage" auf Windows 10/11 Single-App-Kiosken gelten. Wählen Sie diese Einstellung aus, um eine URL im Vollbildmodus zu öffnen und nur den Inhalt auf dieser Website anzuzeigen. Weitere Informationen zu diesem Feature finden Sie unter Einrichten von digitalen Schildern.
- Öffentliches InPrivate-Browsen (Einzel-App-Kiosk): Filtert Microsoft Edge-Einstellungen, die für das öffentliche InPrivate-Browsen im Microsoft Edge-Kioskmodus zur Verwendung auf Windows 10/11-Einzel-App-Kiosken gelten. Führt eine Version von Microsoft Edge mit mehreren Registerkarten aus.
- Normalmodus (Kiosk mit mehreren Apps): Filtert Microsoft Edge-Einstellungen, die für den normalen Microsoft Edge-Kioskmodus gelten. Führt eine Vollversion von Microsoft Edge mit allen Browserfunktionen aus.
- Öffentliches Browsen (Kiosk mit mehreren Apps): Filtert Microsoft Edge-Einstellungen, die für öffentliches Browsen auf einem Windows 10 Kiosk mit mehreren Apps gelten. Führt eine Version von Microsoft Edge InPrivate mit mehreren Registerkarten aus.
Tipp
Weitere Informationen zu den Funktionsweisen dieser Optionen finden Sie unter Konfigurationstypen des Microsoft Edge-Kioskmodus.
Dieses Geräteeinschränkungsprofil steht in direktem Zusammenhang mit dem Kioskprofil, das Sie mithilfe der Windows-Kioskeinstellungen erstellen. Zusammenfassend:
Erstellen Sie das Windows-Kioskeinstellungsprofil , um das Gerät im Kioskmodus auszuführen. Wählen Sie Microsoft Edge als Anwendung aus, und legen Sie den Microsoft Edge-Kioskmodus im Kioskprofil fest.
Erstellen Sie das in diesem Artikel beschriebene Geräteeinschränkungsprofil, und konfigurieren Sie bestimmte Features und Einstellungen, die in Microsoft Edge zulässig sind. Stellen Sie sicher, dass Sie denselben Microsoft Edge-Kioskmodustyp wie in Ihrem Kioskprofil (Windows-Kioskeinstellungen) auswählen.
Unterstützte Kioskmoduseinstellungen sind eine hervorragende Ressource.
Wichtig
Stellen Sie sicher, dass Sie dieses Microsoft Edge-Profil denselben Geräten wie Ihr Kioskprofil zuweisen (Windows-Kioskeinstellungen).
Start experience
Microsoft Edge starten mit: Wählen Sie aus, welche Seiten beim Starten von Microsoft Edge geöffnet werden sollen. Ihre Optionen:
-
Benutzerdefinierte Startseiten: Geben Sie die Startseiten ein, z
http://www.contoso.com
. B. . Microsoft Edge lädt die von Ihnen eingegebenen Startseiten. - Neue Registerkartenseite: Microsoft Edge lädt alles, was in der Einstellung Url für neue Registerkarten eingegeben wurde.
- Seite der letzten Sitzung: Microsoft Edge lädt die letzte Sitzungsseite.
- Startseiten in lokalen App-Einstellungen: Microsoft Edge beginnt mit der vom Betriebssystem definierten Standardstartseite.
-
Benutzerdefinierte Startseiten: Geben Sie die Startseiten ein, z
Ändern von Startseiten durch Benutzer zulassen: Mit Ja (Standardeinstellung) können Benutzer die Startseiten ändern. Administratoren können verwenden
EdgeHomepageUrls
, um die Startseiten einzugeben, die Benutzern beim Öffnen von Microsoft Edge standardmäßig angezeigt werden. Nein hindert Benutzer daran, die Startseiten zu ändern.Webinhalte auf neuer Registerkartenseite zulassen: Wenn diese Einstellung auf Ja (Standard) festgelegt ist, öffnet Microsoft Edge die url, die in der Einstellung Neue Registerkarten-URL eingegeben wurde. Wenn die Einstellung Url für neue Registerkarte leer ist, öffnet Microsoft Edge die neue Registerkartenseite, die in den Microsoft Edge-Einstellungen aufgeführt ist. Benutzer können dies ändern. Wenn diese Einstellung auf Nein festgelegt ist, öffnet Microsoft Edge eine neue Registerkarte mit einer leeren Seite. Benutzer können dies nicht ändern.
Url für neue Registerkarte: Geben Sie die URL ein, die auf der Seite Neue Registerkarte geöffnet werden soll. Geben Sie z. B. oder ein
https://www.bing.com
https://www.contoso.com
.Startschaltfläche: Wählen Sie aus, was geschieht, wenn die Startschaltfläche ausgewählt ist. Ihre Optionen:
- Startseiten: Öffnet die Option, die Sie in der Einstellung Microsoft Edge starten mit ausgewählt haben.
- Neue Registerkartenseite: Öffnet die URL, die Sie in der Einstellung Url für neue Registerkarten eingegeben haben.
-
URL der Startschaltfläche: Geben Sie die url ein, die geöffnet werden soll. Geben Sie z. B. oder ein
https://www.bing.com
https://www.contoso.com
. - Schaltfläche "Start" ausblenden: Blendet die Startschaltfläche aus.
Zulassen, dass Benutzer die Startschaltfläche ändern: Mit Ja können Benutzer die Startschaltfläche ändern. Benutzeränderungen überschreiben alle Administratoreinstellungen für die Startschaltfläche. Nein (Standard) hindert Benutzer daran, zu ändern, wie der Administrator die Startschaltfläche konfiguriert hat.
Seite "Erste Ausführung anzeigen" (nur Mobil):Ja (Standard) zeigt die erste Einführungsseite in Microsoft Edge an. Nein verhindert, dass die Einführungsseite angezeigt wird, wenn Sie Microsoft Edge zum ersten Mal ausführen. Dieses Feature ermöglicht Es Unternehmen, z. B. Organisationen, die in Emissionsfreikonfigurationen registriert sind, diese Seite zu blockieren.
Listenspeicherort der ERSTEN Ausführungserfahrungs-URL (nur Windows 10 Mobile): Geben Sie die URL ein, die auf die XML-Datei verweist, die die URLs der ersten Ausführungsseite enthält. Geben Sie beispielsweise
https://www.contoso.com/sites.xml
ein.Browser nach Leerlaufzeit aktualisieren: Geben Sie die Anzahl der Leerlaufminuten an, bis der Browser aktualisiert wird, von 0 bis 1440 Minuten. Der Standardwert ist
5
Minuten. Bei Festlegung auf0
(null) wird der Browser nicht aktualisiert, nachdem er sich im Leerlauf befindet.Diese Einstellung ist nur verfügbar, wenn sie im öffentlichen InPrivate-Browsen (Einzel-App-Kiosk) ausgeführt wird.
Popups zulassen (nur Desktop): Ja (Standard) lässt Popups im Webbrowser zu. Nein verhindert Popupfenster im Browser.
Senden von Intranetdatenverkehr an Internet Explorer (nur Desktop): Ja ermöglicht Benutzern das Öffnen von Intranetwebsites in Internet Explorer anstelle von Microsoft Edge. Diese Einstellung dient der Abwärtskompatibilität. Nein (Standard) ermöglicht Benutzern die Verwendung von Microsoft Edge.
Standort der Websiteliste im Unternehmensmodus (nur Desktop): Geben Sie die URL ein, die auf die XML-Datei verweist, die eine Liste von Websites enthält, die im Unternehmensmodus geöffnet werden. Benutzer können diese Liste nicht ändern. Geben Sie beispielsweise
https://www.contoso.com/sites.xml
ein.Meldung beim Öffnen von Websites in Internet Explorer: Verwenden Sie diese Einstellung, um Microsoft Edge so zu konfigurieren, dass eine Benachrichtigung angezeigt wird, bevor eine Website im Internet Explorer 11 geöffnet wird. Ihre Optionen:
- Meldung nicht anzeigen: Es wird das Standardverhalten des Betriebssystems verwendet, bei dem möglicherweise keine Meldung angezeigt wird.
- Meldung anzeigen, dass die Website im Internet geöffnet ist Explorer 11: Meldung beim Öffnen von Websites in IE anzeigen. Websites, die in IE geöffnet sind.
- Nachricht anzeigen mit Option zum Öffnen von Websites in Microsoft Edge: Anzeigen der Meldung beim Öffnen von Websites in Microsoft Edge. Die Meldung enthält den Link Weiter in Microsoft Edge, damit Benutzer Microsoft Edge anstelle von IE auswählen können.
Wichtig
Für diese Einstellung müssen Sie die Einstellung Standort der Websiteliste im Unternehmensmodus, die Einstellung Intranetdatenverkehr an Internet senden Explorer oder beide Einstellungen verwenden.
Microsoft-Kompatibilitätsliste zulassen: Ja (Standard) erlaubt die Verwendung einer Microsoft-Kompatibilitätsliste. Nein verhindert die Microsoft-Kompatibilitätsliste in Microsoft Edge. Diese Liste von Microsoft hilft Microsoft Edge dabei, Websites mit bekannten Kompatibilitätsproblemen ordnungsgemäß anzuzeigen.
Startseiten vorab laden und Neue Registerkartenseite: Ja (Standard) verwendet das Standardverhalten des Betriebssystems, das möglicherweise zum Vorabladen dieser Seiten sein kann. Durch das Vorabladen wird die Zeit zum Starten von Microsoft Edge und zum Laden neuer Registerkarten minimiert. Nein verhindert, dass Microsoft Edge Startseiten und die neue Registerkartenseite vorab laden kann.
Vorabstartseiten und Seite "Neue Registerkarte": Ja (Standard) verwendet das Standardverhalten des Betriebssystems, bei dem diese Seiten möglicherweise vorab gestartet werden. Das Vorabstarten trägt zur Leistung von Microsoft Edge bei und minimiert die Zeit, die zum Starten von Microsoft Edge erforderlich ist. Nein verhindert, dass Microsoft Edge die Startseiten und die neue Registerkartenseite vorab startet.
Favoriten und Suche
Favoritenleiste anzeigen: Wählen Sie aus, was mit der Favoritenleiste auf einer beliebigen Microsoft Edge-Seite geschieht. Ihre Optionen:
- Auf start- und neuen Registerkartenseiten: Zeigt die Favoritenleiste beim Starten von Microsoft Edge und auf allen Registerkartenseiten an. Benutzer können diese Einstellung ändern.
- Auf allen Seiten: Zeigt die Favoritenleiste auf allen Seiten an. Benutzer können diese Einstellung nicht ändern.
- Ausgeblendet: Blendet die Favoritenleiste auf allen Seiten aus. Benutzer können diese Einstellung nicht ändern.
Änderungen an Favoriten zulassen: Ja (Standard) verwendet den Standardwert des Betriebssystems, mit dem Benutzer die Liste ändern können. Nein hindert Benutzer daran, die Favoritenliste hinzuzufügen, zu importieren, zu sortieren oder zu bearbeiten.
-
Favoritenliste: Fügen Sie der Favoritendatei eine Liste von URLs hinzu. Fügen Sie beispielsweise hinzu
http://contoso.com/favorites.html
.
-
Favoritenliste: Fügen Sie der Favoritendatei eine Liste von URLs hinzu. Fügen Sie beispielsweise hinzu
Favoriten zwischen Microsoft-Browsern synchronisieren (nur Desktop): Ja zwingt Windows, Favoriten zwischen Internet Explorer und Microsoft Edge zu synchronisieren. Ergänzungen, Löschungen, Änderungen und Änderungen an der Reihenfolge an Favoriten werden von browsern gemeinsam genutzt. Nein (Standard) verwendet den Standardwert des Betriebssystems, sodass Benutzer möglicherweise die Wahl haben, Favoriten zwischen den Browsern zu synchronisieren.
Standardsuchmaschine: Wählen Sie die Standardsuchmaschine auf dem Gerät aus. Benutzer können diesen Wert jederzeit ändern. Ihre Optionen:
- Suchmaschine in Den Microsoft Edge-Clienteinstellungen
- Bing
- Yahoo
- Benutzerdefinierter Wert: Geben Sie in OpenSearch Xml URL eine HTTPS-URL mit der XML-Datei ein, die mindestens den Kurznamen und die URL zur Suchmaschine enthält. Geben Sie beispielsweise
https://www.contoso.com/opensearch.xml
ein.
Suchvorschläge anzeigen: Ja (Standard) ermöglicht Es Ihrer Suchmaschine, Websites vorzuschlagen, während Sie Suchbegriffe in die Adressleiste eingeben. Nein verhindert dieses Feature.
Änderungen an der Suchmaschine zulassen: Ja (Standard) ermöglicht Benutzern das Hinzufügen neuer Suchmaschinen oder das Ändern der Standardsuchmaschine in Microsoft Edge. Wählen Sie Nein aus, um zu verhindern, dass Benutzer die Suchmaschine anpassen.
Diese Einstellung ist nur verfügbar, wenn sie im Normalen Modus (Kiosk mit mehreren Apps) ausgeführt wird.
Datenschutz und Sicherheit
InPrivate-Browsen zulassen: Ja (Standard) ermöglicht das InPrivate-Browsen in Microsoft Edge. Nach dem Schließen aller InPrivate-Registerkarten löscht Microsoft Edge die Browserdaten vom Gerät. Nein verhindert, dass Benutzer InPrivate-Browsersitzungen öffnen.
Browserverlauf speichern: Ja (Standard) ermöglicht das Speichern des Browserverlaufs in Microsoft Edge. Nein verhindert das Speichern des Browserverlaufs.
Browserdaten beim Beenden löschen (nur Desktop): Ja löscht den Verlauf und die Browserdaten, wenn Benutzer Microsoft Edge beenden. Nein (Standard) verwendet den Betriebssystemstandard, der die Browserdaten zwischenspeichern kann.
Browsereinstellungen zwischen Den Geräten des Benutzers synchronisieren: Wählen Sie aus, wie Browsereinstellungen zwischen Geräten synchronisiert werden sollen. Ihre Optionen:
- Zulassen: Zulassen der Synchronisierung von Microsoft Edge-Browsereinstellungen zwischen Den Geräten des Benutzers
- Blockieren und Aktivieren der Benutzerüberschreibung: Blockieren der Synchronisierung von Microsoft Edge-Browsereinstellungen zwischen den Geräten des Benutzers. Benutzer können diese Einstellung überschreiben. Wenn diese Option ausgewählt ist, können Benutzer die Administratorbezeichnung überschreiben.
- Blockieren: Blockieren Sie die Synchronisierung der Microsoft Edge-Browsereinstellung zwischen Benutzergeräten. Benutzer können diese Einstellung nicht überschreiben.
Kennwort-Manager zulassen: Ja (Standard) ermöglicht Microsoft Edge die automatische Verwendung des Kennwort-Managers, mit dem Benutzer Kennwörter auf dem Gerät speichern und verwalten können. Nein verhindert, dass Microsoft Edge den Kennwort-Manager verwendet.
Cookies: Wählen Sie aus, wie Cookies im Webbrowser behandelt werden. Ihre Optionen:
- Zulassen: Cookies werden auf dem Gerät gespeichert.
- Alle Cookies blockieren: Cookies werden nicht auf dem Gerät gespeichert.
- Nur Cookies von Drittanbietern blockieren: Drittanbieter- oder Partnercookies werden nicht auf dem Gerät gespeichert.
Automatisches Ausfüllen in Formularen zulassen: Ja (Standard) ermöglicht Benutzern das Ändern der AutoVervollständigen-Einstellungen im Browser und das automatische Auffüllen von Formularfeldern. Nein deaktiviert das AutoAusfüllen-Feature in Microsoft Edge.
Do-Not-Track-Header senden: Ja sendet Do-Not-Track-Header an Websites, die Nachverfolgungsinformationen anfordern (empfohlen). Nein (Standard) sendet keine Header, mit denen Websites den Benutzer nachverfolgen können. Benutzer können diese Einstellung konfigurieren.
WebRTC-localhost-IP-Adresse anzeigen: Ja (Standard) ermöglicht die Anzeige der localhost-IP-Adresse des Benutzers bei Telefonanrufen mit diesem Protokoll. Nein verhindert, dass die localhost-IP-Adresse des Benutzers angezeigt wird.
Datensammlung von Livekacheln zulassen: Ja (Standard) ermöglicht Es Microsoft Edge, Informationen von Live-Kacheln zu sammeln, die an das Startmenü angeheftet sind. Nein verhindert das Sammeln dieser Informationen, die Benutzern eine eingeschränkte Erfahrung bieten können.
Benutzer kann Zertifikatfehler außer Kraft setzen: Ja (Standard) ermöglicht Benutzern den Zugriff auf Websites, die SSL/TLS-Fehler (Secure Sockets Layer/Transport Layer Security) aufweisen. Nein (empfohlen für erhöhte Sicherheit) verhindert, dass Benutzer auf Websites mit SSL- oder TLS-Fehlern zugreifen können.
Additional
Microsoft Edge-Browser zulassen (nur mobil): Ja (Standard) erlaubt die Verwendung des Microsoft Edge-Webbrowsers auf dem mobilen Gerät. Nein verhindert die Verwendung von Microsoft Edge auf Geräten. Wenn Sie Nein auswählen, gelten die anderen individuellen Einstellungen nur für den Desktop.
Dropdownliste "Adressleiste zulassen": Ja (Standard) ermöglicht Es Microsoft Edge, die Dropdownliste der Adressleiste mit einer Liste von Vorschlägen anzuzeigen. No hindert Microsoft Edge daran, eine Liste von Vorschlägen in einer Dropdownliste anzuzeigen, wenn Sie eingeben. Wenn sie auf Nein festgelegt ist, können Sie:
- Minimieren Sie die Netzwerkbandbreite zwischen Microsoft Edge und Microsoft-Diensten.
- Deaktivieren Sie die Option Such- und Websitevorschläge während der Eingabe in den Microsoft Edge-Einstellungen > anzeigen.
Vollbildmodus zulassen: Ja (Standard) ermöglicht Microsoft Edge die Verwendung des Vollbildmodus, der nur den Webinhalt anzeigt und die Microsoft Edge-Benutzeroberfläche ausblendet. Nein verhindert den Vollbildmodus in Microsoft Edge.
Seite "Über Flags zulassen": Ja (Standard) verwendet den Standardwert des Betriebssystems, der möglicherweise den Zugriff auf die
about:flags
Seite ermöglicht. Aufabout:flags
der Seite können Benutzer Entwicklereinstellungen ändern und experimentelle Features aktivieren. Nein verhindert, dass Benutzer auf dieabout:flags
Seite in Microsoft Edge zugreifen.Entwicklertools zulassen: Mit Ja (Standard) können Benutzer standardmäßig die F12-Entwicklertools zum Erstellen und Debuggen von Webseiten verwenden. Nein hindert Benutzer daran, die F12-Entwicklertools zu verwenden.
JavaScript zulassen: Ja (Standard) ermöglicht die Ausführung von Skripts, z. B. JavaScript, im Microsoft Edge-Browser. Nein verhindert, dass Java-Skripts im Browser ausgeführt werden.
Benutzer kann Erweiterungen installieren: Ja (Standard) ermöglicht Benutzern die Installation von Microsoft Edge-Erweiterungen auf Geräten. Nein verhindert die Installation.
Querladen von Entwicklererweiterungen zulassen: Ja (Standard) verwendet den Standardwert des Betriebssystems, der möglicherweise querladen kann. Beim Querladen werden nicht überprüfte Erweiterungen installiert und ausgeführt. Nein verhindert, dass Microsoft Edge das Querladen mit dem Feature "Erweiterungen laden " verwendet. Das Querladen von Erweiterungen mithilfe anderer Methoden, z. B. PowerShell, wird dadurch nicht verhindert.
Erforderliche Erweiterungen: Wählen Sie aus, welche Erweiterungen von Benutzern in Microsoft Edge nicht deaktiviert werden können. Geben Sie die Paketfamiliennamen ein, und wählen Sie Hinzufügen aus. Suchen eines Paketfamiliennamens (PFN) für pro App-VPN enthält einige Anleitungen.
Sie können auch eine CSV-Datei importieren , die die Paketfamiliennamen enthält. Oder exportieren Sie die von Ihnen eingegebenen Paketfamiliennamen.
Netzwerkproxy
Diese Einstellungen verwenden den NetworkProxy-Richtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Proxyeinstellungen automatisch erkennen: Blockieren deaktiviert, dass Geräte automatisch ein PAC-Skript (Proxy Auto Config) erkennen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem dieses Feature möglicherweise, und Geräte versuchen, den Pfad zu einem PAC-Skript zu finden.
Bei Festlegung auf Blockieren wird die ProxySettingsPerUser-Einstellung automatisch auf
0
festgelegt.Proxyskript verwenden: Wählen Sie Zulassen aus, um einen Pfad zu Ihrem PAC-Skript einzugeben, um den Proxyserver zu konfigurieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise nicht zu, dass Sie die URL zu einem PAC-Skript eingeben.
- Url der Setupskriptadresse: Geben Sie die URL eines PAC-Skripts ein, das Sie zum Konfigurieren des Proxyservers verwenden möchten.
Manuellen Proxyserver verwenden: Wählen Sie Zulassen aus, um den Namen oder die IP-Adresse und die TCP-Portnummer eines Proxyservers manuell einzugeben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise nicht die manuelle Eingabe von Details eines Proxyservers zu.
- Adresse: Geben Sie den Namen oder die IP-Adresse des Proxyservers ein.
- Portnummer: Geben Sie die Portnummer Ihres Proxyservers ein.
-
Proxyausnahmen: Geben Sie alle URLs ein, die den Proxyserver nicht verwenden dürfen. Verwenden Sie ein Semikolon (
;
), um jedes Element zu trennen. - Proxyserver für lokale Adresse umgehen: Zulassen verwendet nicht den Proxyserver für lokale Intranetadressen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig verwendet das Betriebssystem möglicherweise einen Proxyserver für lokale Adressen in Ihrem Intranet.
Kennwort
Diese Einstellungen verwenden den DeviceLock-Richtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Kennwort: Anfordern zwingt Benutzer, ein Kennwort für den Zugriff auf das Gerät einzugeben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise den Zugriff auf Geräte ohne Kennwort zu. Gilt nur für lokale Konten. Domänenkontokennwörter bleiben von Active Directory (AD) und Microsoft Entra ID konfiguriert.
DeviceLock/DevicePasswordEnabled CSP
Erforderlicher Kennworttyp: Wählen Sie den Typ des Kennworts aus. Folgende Optionen sind verfügbar:
- Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass das Kennwort Zahlen und Buchstaben enthält.
- Alphanumerisch: Das Kennwort muss eine Mischung aus Zahlen und Buchstaben sein.
- Numerisch: Das Kennwort darf nur Zahlen sein.
Minimale Kennwortlänge: Geben Sie die erforderliche Mindestanzahl von 4 bis 16 Zeichen ein. Geben Sie beispielsweise ein
6
, um mindestens sechs Zeichen in der Kennwortlänge zu erfordern. Standardmäßig legt das Betriebssystem es möglicherweise auf fest4
.DeviceLock/MinDevicePasswordLength CSP
Wichtig
Wenn die Kennwortanforderung auf einem Windows-Desktop geändert wird, sind Die Benutzer bei der nächsten Anmeldung betroffen, da geräte vom Leerlauf zum aktiven Gerät wechseln. Benutzer mit Kennwörtern, die die Anforderung erfüllen, werden weiterhin aufgefordert, ihre Kennwörter zu ändern.
Anzahl von Anmeldefehlern vor dem Zurücksetzen des Geräts: Geben Sie die Anzahl der zulässigen falschen Kennwörter ein, bevor das Gerät zurückgesetzt wird, bis zu 11. Die gültige Zahl, die Sie eingeben, hängt von der Edition ab. DeviceLock/MaxDevicePasswordFailedAttempts CSP listet die unterstützten Werte auf.
0
(null) kann die Funktion zum Zurücksetzen des Geräts deaktivieren.Diese Einstellung hat je nach Edition auch unterschiedliche Auswirkungen. Ausführliche Informationen zu dieser Einstellung finden Sie unter DeviceLock/MaxDevicePasswordFailedAttempts CSP.
Maximale Inaktivität in Minuten bis zum Sperren des Bildschirms: Geben Sie an, wie lange sich ein Gerät im Leerlauf befinden muss, bevor der Bildschirm gesperrt wird. Geben Sie beispielsweise ein
5
, um Geräte nach 5 Minuten im Leerlauf zu sperren. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig legt das Betriebssystem es möglicherweise auf0
(null) fest, was kein Timeout ist.Kennwortablauf (Tage):Geben Sie die Zeitspanne in Tagen an, in der das Gerätekennwort geändert werden muss(1-365). Geben Sie beispielsweise ein
90
, um das Kennwort nach 90 Tagen abläuft. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig legt das Betriebssystem ihn möglicherweise auf0
(null) fest, was kein Ablauf ist.Wiederverwendung vorheriger Kennwörter verhindern: Geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht verwendet werden können(1-24). Geben Sie beispielsweise ein
5
, damit Benutzer kein neues Kennwort auf ihr aktuelles Kennwort oder eines ihrer vorherigen vier Kennwörter festlegen können. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht.Kennwort anfordern, wenn das Gerät aus dem Leerlaufzustand zurückkehrt (Mobil und Holographic): Anfordern zwingt Benutzer, ein Kennwort einzugeben, um das Gerät nach dem Leerlauf zu entsperren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise keine PIN oder kein Kennwort, nachdem es sich im Leerlauf befindet.
Einfache Kennwörter: Blockieren verhindert, dass Benutzer einfache Kennwörter erstellen, z
1234
. B. oder1111
. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem Benutzern das Erstellen einfacher Kennwörter ermöglichen. Diese Einstellung blockiert auch die Verwendung von Bildkennwörtern.
Automatische Verschlüsselung während AADJ: Blockieren verhindert die automatische BitLocker-Geräteverschlüsselung, wenn Geräte für die erste Verwendung vorbereitet sind und Wenn Geräte Microsoft Entra eingebunden sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem die Verschlüsselung aktivieren.
Weitere Informationen zur BitLocker-Geräteverschlüsselung.
Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices CSP
FIPS-Richtlinie (Federal Information Processing Standard):Allow verwendet die FIPS-Richtlinie (Federal Information Processing Standard), bei der es sich um einen US-Regierungsstandard für Verschlüsselung, Hashing und Signierung handelt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem FIPS möglicherweise nicht zu.
Windows Hello Geräteauthentifizierung: Ermöglichen Sie Benutzern die Verwendung eines Windows Hello Begleitgeräts wie telefon, Fitnessband oder IoT-Gerät, um sich bei einem Windows 10/11-Computer anzumelden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem verhindern, dass Windows Hello Begleitgeräte authentifiziert werden.
Bevorzugte Microsoft Entra Mandantendomäne: Geben Sie einen vorhandenen Domänennamen in Ihrem Microsoft Entra organization ein. Wenn sich Benutzer in dieser Domäne anmelden, müssen sie den Domänennamen nicht eingeben. Geben Sie beispielsweise
contoso.com
ein. Benutzer in dercontoso.com
Domäne können sich mit ihrem Benutzernamen anmelden, zabby
. B. , anstelle vonabby@contoso.com
.
Datenschutzausnahmen pro App
Fügen Sie Apps hinzu , die ein anderes Datenschutzverhalten aufweisen sollten als das, was Sie in "Standarddatenschutz" definieren.
- Paketname: Name der App-Paketfamilie.
- App-Name: Der Name der App.
Ausnahmen
- Kontoinformationen: Legen Sie fest, ob diese App auf den Benutzernamen, das Bild und andere Kontaktinformationen zugreifen kann.
- Hintergrund-Apps: Legen Sie fest, ob diese App im Hintergrund ausgeführt werden kann.
- Kalender: Legen Sie fest, ob diese App auf den Kalender zugreifen kann.
- Anrufverlauf: Legen Sie fest, ob diese App auf meinen Anrufverlauf zugreifen kann.
- Kamera: Legen Sie fest, ob diese App auf die Kamera zugreifen kann.
- Kontakte: Legen Sie fest, ob diese App auf Kontakte zugreifen kann.
- Email: Legen Sie fest, ob diese App auf E-Mails zugreifen und diese senden kann.
- Standort: Legen Sie fest, ob diese App auf Standortinformationen zugreifen kann.
- Messaging: Legen Sie fest, ob diese App Text- oder MMS-Nachrichten lesen oder senden kann.
- Mikrofon: Legen Sie fest, ob diese App das Mikrofon verwenden kann.
- Bewegung: Legen Sie fest, ob diese App auf Bewegungsinformationen von Geräten zugreifen kann.
- Benachrichtigungen: Legen Sie fest, ob diese App auf Benachrichtigungen zugreifen kann.
- Telefon: Legen Sie fest, ob diese App auf das Telefon zugreifen kann.
- Radios: Einige Apps verwenden Radios (z. B. Bluetooth) in Ihrem Gerät, um Daten zu senden und zu empfangen, und müssen diese Radios ein- oder ausschalten. Legen Sie fest, ob diese App diese Funkgeräte steuern kann.
- Aufgaben: Legen Sie fest, ob diese App auf Ihre Aufgaben zugreifen kann.
- Vertrauenswürdige Geräte: Wählen Sie aus, ob diese App vertrauenswürdige Geräte verwenden kann. Vertrauenswürdige Geräte sind Hardware, die Sie bereits verbunden haben, oder Hardware, die im Lieferumfang des Geräts vorhanden ist. Verwenden Sie beispielsweise Fernseher, Projektoren usw. als vertrauenswürdige Geräte.
- Feedback und Diagnose: Legen Sie fest, ob diese App auf Diagnoseinformationen zugreifen kann.
- Mit Geräten synchronisieren: Wählen Sie aus, ob diese App Automatisch Informationen mit drahtlosen Geräten freigeben und synchronisieren kann, die nicht explizit mit dem Gerät gekoppelt werden.
Personalisierung
Diese Einstellungen verwenden den Personalisierungsrichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Desktophintergrundbild-URL (nur Desktop): Geben Sie die URL zu einem Bild in .jpg, .jpeg oder .png Format ein, das Sie als Windows-Desktophintergrund verwenden möchten. Benutzer können das Bild nicht ändern. Geben Sie beispielsweise
https://contoso.com/logo.png
ein.Wenn sie leer gelassen wird, ändert oder aktualisiert Intune diese Einstellung nicht.
Drucker
Drucker: Fügen Sie Drucker mithilfe ihrer Netzwerkhostnamen (DNS-Name) hinzu. Das Betriebssystem sucht und installiert passende Druckertreiber für jeden Drucker auf dem Gerät. Wenn Sie keinen Wert eingeben, ändert oder aktualisiert Intune diese Einstellung nicht.
Standarddrucker: Geben Sie den Netzwerkhostnamen (DNS-Name) eines installierten Druckers ein, der als Standarddrucker verwendet werden soll. Wenn Sie keinen Wert eingeben, ändert oder aktualisiert Intune diese Einstellung nicht.
Neue Drucker hinzufügen: Blockieren verhindert, dass Benutzer neue Drucker hinzufügen können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Hinzufügen neuer Drucker zu.
Datenschutz
Diese Einstellungen verwenden den Datenschutzrichtlinien-CSP, in dem auch die unterstützten Windows-Editionen aufgeführt sind.
Datenschutzerfahrung: Blockieren verhindert, dass die Datenschutzfunktion geöffnet wird, wenn sich Benutzer anmelden, und dass sie für neue und aktualisierte Benutzer geöffnet wird. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Eingabepersonalisierung: Blockieren verhindert die Verwendung von Sprache zum Diktieren und zum Kommunizieren mit Apps, die die cloudbasierte Spracherkennung von Microsoft verwenden. Sie ist deaktiviert, und Benutzer können die Online-Spracherkennung nicht mithilfe von Einstellungen aktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem benutzern die Auswahl ermöglichen. Wenn Sie diese Dienste zulassen, sammelt Microsoft möglicherweise Sprachdaten, um den Dienst zu verbessern.
Automatische Annahme der Eingabeaufforderungen für die Kopplung und datenschutzspezifische Benutzereinwilligung: Wählen Sie Zulassen aus, damit Windows beim Ausführen von Apps Kopplungs- und Datenschutzeinwilligungsmeldungen automatisch akzeptieren kann. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem die automatische Annahme verhindern.
Benutzeraktivitäten veröffentlichen: Blockieren verhindert, dass Apps und das Betriebssystem Benutzeraktivitäten veröffentlichen. Außerdem werden gemeinsame Erfahrungen und die Ermittlung kürzlich verwendeter Ressourcen im Aktivitätsfeed verhindert. Benutzeraktivitäten verfolgen den Status der Aufgaben eines Benutzers in einer App oder im Betriebssystem nach. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem dieses Feature aktivieren, damit Apps Benutzeraktivitäten veröffentlichen können.
Nur lokale Aktivitäten: Blockieren verhindert gemeinsame Erfahrungen und die Ermittlung kürzlich verwendeter Ressourcen im Task switcher, nur basierend auf lokalen Aktivitäten. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Sie können Informationen konfigurieren, auf die alle Apps auf dem Gerät zugreifen können. Definieren Sie außerdem Ausnahmen pro App mithilfe von Datenschutzausnahmen pro App.
Ausnahmen
- Kontoinformationen: Legen Sie fest, ob diese App auf den Benutzernamen, das Bild und andere Kontaktinformationen zugreifen kann.
- Hintergrund-Apps: Legen Sie fest, ob diese App im Hintergrund ausgeführt werden kann.
- Kalender: Legen Sie fest, ob diese App auf den Kalender zugreifen kann.
- Anrufverlauf: Legen Sie fest, ob diese App auf meinen Anrufverlauf zugreifen kann.
- Kamera: Legen Sie fest, ob diese App auf die Kamera zugreifen kann.
- Kontakte: Legen Sie fest, ob diese App auf Kontakte zugreifen kann.
- Email: Legen Sie fest, ob diese App auf E-Mails zugreifen und diese senden kann.
- Standort: Legen Sie fest, ob diese App auf Standortinformationen zugreifen kann.
- Messaging: Legen Sie fest, ob diese App Text- oder MMS-Nachrichten lesen oder senden kann.
- Mikrofon: Legen Sie fest, ob diese App das Mikrofon verwenden kann.
- Bewegung: Legen Sie fest, ob diese App auf Bewegungsinformationen von Geräten zugreifen kann.
- Benachrichtigungen: Legen Sie fest, ob diese App auf Benachrichtigungen zugreifen kann.
- Telefon: Legen Sie fest, ob diese App auf das Telefon zugreifen kann.
- Radios: Einige Apps verwenden Radios (z. B. Bluetooth) in Ihrem Gerät, um Daten zu senden und zu empfangen, und müssen diese Radios ein- oder ausschalten. Legen Sie fest, ob diese App diese Funkgeräte steuern kann.
- Aufgaben: Legen Sie fest, ob diese App auf Ihre Aufgaben zugreifen kann.
- Vertrauenswürdige Geräte: Wählen Sie aus, ob diese App vertrauenswürdige Geräte verwenden kann. Vertrauenswürdige Geräte sind Hardware, die Sie bereits verbunden haben, oder Hardware, die im Lieferumfang des Geräts vorhanden ist. Verwenden Sie beispielsweise Fernseher, Projektoren usw. als vertrauenswürdige Geräte.
- Feedback und Diagnose: Wählen Sie aus, ob diese App auf Diagnoseinformationen zugreifen kann.
- Mit Geräten synchronisieren : Legen Sie fest, ob diese App Automatisch Informationen mit drahtlosen Geräten teilen und synchronisieren kann, die nicht explizit mit diesem PC, Tablet oder Smartphone gekoppelt werden.
Projektion
Diese Einstellungen verwenden den WirelessDisplay-Richtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Benutzereingaben von Drahtlosen Anzeigeempfängern: Blockieren verhindert, dass Benutzereingaben von Drahtlosen Anzeigeempfängern verwendet werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass eine drahtlose Anzeige Tastatur-, Maus-, Stift- und Toucheingaben zurück an das Quellgerät sendet.
WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver CSP
Projektion auf diesen PC: Blockieren verhindert, dass andere Geräte das Gerät für die Projektion finden, und verhindert die Projektion auf andere Geräte. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass Geräte erkannt werden können, und kann auf das Gerät über dem Sperrbildschirm projiziert werden.
PIN für Kopplung erforderlich: Beim Herstellen einer Verbindung mit einem Projektionsgerät wird immer zur Eingabe einer PIN aufgefordert. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise keine PIN zum Koppeln des Geräts.
Berichterstellung und Telemetrie
Informationen zu den letzten Änderungen für Windows-Telemetrie finden Sie unter Änderungen an der Sammlung von Windows-Diagnosedaten.
Freigeben von Nutzungsdaten: Wählen Sie die Ebene der übermittelten Diagnosedaten aus. Ihre Optionen:
- Nicht konfiguriert: (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer wählen die Ebene aus, die übermittelt wird. Standardmäßig gibt das Betriebssystem möglicherweise keine Daten gemeinsam.
- Diagnosedaten deaktiviert: (Nicht empfohlen). Ausführliche Informationen zu dieser Einstellung finden Sie unter CSP System/AllowTelemetry .
- Erforderlich: Sendet grundlegende Geräteinformationen, einschließlich qualitätsbezogener Daten, App-Kompatibilität und anderer ähnlicher Daten, um das Gerät sicher und auf dem neuesten Stand zu halten.
- Erweitert (1903 und früher): Zusätzliche Erkenntnisse, einschließlich der Verwendung von Windows, Windows Server, System Center und Apps, ihrer Leistung, erweiterter Zuverlässigkeitsdaten und Daten aus der Anforderungsstufe. Wenn diese Option auf einem Gerät mit Windows 1909 und höher bereitgestellt wird, wird das Gerät auf Erforderlich festgelegt.
- Optional: Alle Daten, die zum Identifizieren und Beheben von Problemen erforderlich sind, sowie Daten aus den Ebenen Erforderlich und Erweitert .
Senden von Microsoft Edge-Browserdaten an Microsoft 365 Analytics: Um dieses Feature zu verwenden, legen Sie die Einstellungen Nutzungsdaten freigeben auf Erweitert oder Vollständig fest. Dieses Feature steuert, welche Daten Microsoft Edge mit einer konfigurierten kommerziellen ID an Microsoft 365 Analytics for Enterprise-Geräte sendet. Folgende Optionen sind verfügbar:
- Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig sammelt oder sendet das Betriebssystem möglicherweise keine Browserverlaufsdaten.
- Nur Intranetdaten senden: Ermöglicht dem Administrator das Senden des Intranetdatenverlaufs.
- Nur Internetdaten senden: Ermöglicht dem Administrator das Senden des Internetdatenverlaufs.
- Intranet- und Internetdaten senden: Ermöglicht dem Administrator das Senden des Intranet- und Internetdatenverlaufs.
Telemetrieproxyserver: Geben Sie den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse eines Proxyservers ein, um Connected User Experiences and Telemetry Requests mithilfe einer SSL-Verbindung (Secure Sockets Layer) weiterzuleiten. Das Format für diese Einstellung ist server:port. Wenn der benannte Proxy fehlschlägt oder kein Proxy eingegeben wird, werden die Daten zu den Benutzererfahrungen und Telemetriedaten für verbundene Benutzer nicht gesendet. Sie bleibt auf dem lokalen Gerät.
Wenn Sie keinen Wert eingeben, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig sendet das Betriebssystem möglicherweise die Daten zu verbundenen Benutzererfahrungen und Telemetriedaten mithilfe der Standardproxykonfiguration an Microsoft.
Beispielformate:
IPv4: 192.246.246.106:100 IPv6: [2001:4898:4010:4013:95c1:a8b2:953c:c633]:100 FQDN: www.contoso.com:345
Suchen
Diese Einstellungen verwenden den Suchrichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Sichere Suche (nur mobil): Steuern Sie, wie Cortana nicht jugendfreie Inhalte in Suchergebnissen filtert. Ihre Optionen:
- Benutzerdefiniert: Intune diese Einstellung nicht ändert oder aktualisiert. Es wird keine Einstellung erzwungen. Benutzer wählen ihre eigenen Einstellungen aus.
- Streng: Höchste Filterung nach nicht jugendfreien Inhalten
- Moderat: Moderate Filterung nach nicht jugendfreien Inhalten. Gültige Suchergebnisse werden nicht gefiltert.
Anzeigen von Webergebnissen in der Suche: Blockieren verhindert, dass Benutzer Windows Search verwenden, um das Internet zu durchsuchen, und Webergebnisse werden in der Suche nicht angezeigt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise, im Web zu suchen, und die Ergebnisse werden auf dem Gerät angezeigt.
Diakritische Zeichen: Blockieren verhindert, dass diakritische Zeichen in Windows Search angezeigt werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise diakritische Zeichen an.
Automatische Spracherkennung: Blockieren verhindert, dass Windows Search die Sprache beim Indizieren von Inhalten oder Eigenschaften automatisch erkennt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem dieses Feature möglicherweise zu.
Suchspeicherort: Blockieren verhindert, dass Windows Search den Speicherort verwendet. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem dieses Feature möglicherweise zu.
Indexerbackoff: Blockieren deaktiviert das Backofffeature des Suchindexers. Die Indizierung wird mit voller Geschwindigkeit fortgesetzt, auch wenn die Systemaktivität hoch ist. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem Backofflogik verwenden, um die Zurückindizierungsaktivität zu drosseln, wenn die Systemaktivität hoch ist.
Indizierung von Wechseldatenträgern: Blockieren verhindert, dass Speicherorte auf Wechseldatenträgern zu Bibliotheken hinzugefügt und indiziert werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem dieses Feature möglicherweise zu.
Indizierung mit geringem Speicherplatz: Aktivieren ermöglicht die automatische Indizierung, auch wenn der Speicherplatz gering ist. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig deaktiviert das Betriebssystem möglicherweise die automatische Indizierung, wenn der Festplattenspeicher maximal 600 MB beträgt. Wenn Geräte in Ihrem organization über begrenzten Festplattenspeicher verfügen, legen Sie ihn auf Nicht konfiguriert fest.
Remoteabfragen: Aktivieren ermöglicht Remoteabfragen des Geräteindexes. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem verhindern, dass Benutzer den Index des Geräts remote abfragen.
Start
Diese Einstellungen verwenden den Startrichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Hinweis
Verwaltungsfunktionen zum Bereitstellen angepasster Start- und Taskleistenfunktionen sind derzeit auf Windows 11 beschränkt. Weitere Informationen finden Sie unter Unterstützte CSP-Richtlinien (Configuration Service Provider) für Windows 11 Startmenü.
Startmenülayout: Laden Sie eine XML-Datei hoch, die Ihre Anpassungen enthält, einschließlich der Reihenfolge, in der die Apps aufgelistet werden, und vieles mehr. Die XML-Datei überschreibt das Standardstartlayout. Benutzer können das von Ihnen eingegebene Startmenülayout nicht ändern.
Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Anheften von Websites an Kacheln im Startmenü: Importieren von Bildern aus Microsoft Edge. Diese Bilder werden als Links im Windows-Startmenü für Desktopgeräte angezeigt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Lösen von Apps aus der Taskleiste: Blockieren verhindert, dass Benutzer Apps von der Taskleiste lösen können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise, Apps aus der Taskleiste zu lösen.
Schneller Benutzerwechsel: Blockieren verhindert den Wechsel zwischen Benutzern, die gleichzeitig angemeldet sind, ohne sich abzumelden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise den Switch-Benutzer auf der Benutzerkachel an.
Am häufigsten verwendete Apps: Blockieren blendet die am häufigsten verwendeten Apps im Startmenü aus. Außerdem wird der entsprechende Umschalter in der Einstellungs-App deaktiviert. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die am häufigsten verwendeten Apps an.
Kürzlich hinzugefügte Apps: Blockieren blendet kürzlich hinzugefügte Apps im Startmenü aus. Außerdem wird der entsprechende Umschalter in der Einstellungs-App deaktiviert. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die kürzlich hinzugefügten Apps im Startmenü an.
Startbildschirmmodus: Wählen Sie die Größe des Startbildschirms aus. Ihre Optionen:
- Benutzerdefiniert: Intune diese Einstellung nicht ändert oder aktualisiert. Es wird keine Einstellung erzwungen. Benutzer können die Größe festlegen.
- Vollbildmodus: Erzwingt die Vollbildgröße Start.
- Nicht im Vollbildmodus: Erzwingen Sie eine Nicht-Vollbildgröße von "Start".
Zuletzt geöffnete Elemente in Jump Listen: Blockieren blendet die Zuletzt verwendeten Sprunglisten aus, die im Startmenü und in der Taskleiste angezeigt werden. Außerdem wird der entsprechende Umschalter in der Einstellungs-App deaktiviert. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise zuletzt geöffnete Elemente in den Jumplists an.
App-Liste: Wählen Sie aus, wie die Listen aller Apps angezeigt werden. Ihre Optionen:
- Benutzerdefiniert: Intune diese Einstellung nicht ändert oder aktualisiert. Es wird keine Einstellung erzwungen. Benutzer wählen aus, wie die App-Liste angezeigt wird.
- Reduzieren: Blendet die Liste "Alle Apps" aus.
- Einstellungs-App reduzieren und deaktivieren: Blendet die Liste "Alle Apps" aus und deaktiviert app-Liste im Startmenü in der App "Einstellungen".
- Entfernt und deaktiviert die Einstellungs-App: Blendet die Liste "Alle Apps" aus, entfernt die Schaltfläche "Alle Apps" und deaktiviert " App-Liste im Startmenü anzeigen " in der App "Einstellungen".
Netzschalter: Blockieren blendet den Netzschalter im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise den Netzschalter an.
Benutzerkachel: Blockieren blendet die Benutzerkachel im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die Benutzerkachel an. Konfigurieren Sie die folgenden Einstellungen:
- Sperren: Blockieren blendet die Option Sperren in der Benutzerkachel im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die Option Sperren an.
- Abmelden: Blockieren blendet die Option Abmelden auf der Benutzerkachel im Startmenü aus. Nicht konfiguriert (Standard) zeigt die Option Abmelden an.
Herunterfahren: Blockieren blendet die Optionen Aktualisieren und herunterfahren und Herunterfahren im Netzschalter im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Ruhezustand: Blockieren blendet die Option Standbymodus im Netzschalter im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Ruhezustand: Blockieren blendet die Option Ruhezustand im Netzschalter im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Konto wechseln: Blockieren blendet das Konto wechseln auf der Benutzerkachel im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Neustartoptionen: Blockieren blendet die Optionen Aktualisieren und neu starten und Neu starten im Netzschalter im Startmenü aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Dokumente im Startmenü: Blendet den Ordner Dokumente im Windows-Startmenü aus oder zeigt sie an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Downloads im Startmenü: Blenden Sie den Ordner Downloads im Windows-Startmenü aus oder zeigen Sie sie an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Explorer start: Blendet Explorer im Windows-Startmenü aus oder ein. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Heimnetzgruppe beim Start: Blendet die Verknüpfung "Heimnetzgruppe" im Windows-Startmenü aus oder zeigt sie an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Musik beim Start: Blendet den Ordner Musik im Windows-Startmenü aus oder zeigt es an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Netzwerk im Startmenü: Netzwerk im Windows-Startmenü ausblenden oder anzeigen. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Persönlicher Ordner auf der Startseite: Blendet den persönlichen Ordner im Windows-Startmenü aus oder zeigt es an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Bilder im Startmenü: Blendet den Ordner für Bilder im Windows-Startmenü aus oder zeigt es an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Einstellungen auf start: Blendet die Verknüpfung Einstellungen im Windows-Startmenü aus oder zeigt sie an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Videos auf der Startseite: Blenden Sie den Ordner für Videos im Windows-Startmenü aus oder zeigen Sie sie an. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Es wird keine Einstellung erzwungen. Benutzer können die Verknüpfung ein- oder ausblenden.
- Ausblenden: Die Verknüpfung ist ausgeblendet, und die Einstellung ist in der Einstellungs-App deaktiviert.
- Anzeigen: Die Verknüpfung wird angezeigt, und die Einstellung ist in der Einstellungs-App deaktiviert.
Microsoft Defender SmartScreen
SmartScreen für Microsoft Edge: Erfordern aktiviert Microsoft Defender SmartScreen und verhindert, dass Benutzer es deaktivieren können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem SmartScreen aktivieren und Benutzern das Ein- und Ausschalten ermöglichen.
Microsoft Edge verwendet Microsoft Defender SmartScreen (aktiviert), um Benutzer vor potenziellen Phishing-Betrugsversuchen und Schadsoftware zu schützen.
Böswilliger Websitezugriff: Blockieren verhindert, dass Benutzer die Warnungen des Microsoft Defender SmartScreen-Filters ignorieren, und verhindert, dass sie zur Website wechseln. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, die Warnungen zu ignorieren und mit der Website fortzufahren.
Nicht überprüfter Dateidownload: Blockieren verhindert, dass Benutzer die Warnungen des Microsoft Defender SmartScreen-Filters ignorieren, und verhindert, dass sie nicht überprüfte Dateien herunterladen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, die Warnungen zu ignorieren und weiterhin die nicht überprüften Dateien herunterzuladen.
Windows Spotlight
Diese Einstellungen verwenden den Benutzerfreundlichkeitsrichtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Windows-Blickpunkt: Blockieren deaktiviert Windows-Blickpunkt auf dem Sperrbildschirm, Windows-Tipps, Microsoft-Consumerfeatures und andere verwandte Features. Wenn Sie den Netzwerkdatenverkehr von Geräten minimieren möchten, wählen Sie Ja aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise Windows-Spotlight-Features zu und wird möglicherweise von Benutzern gesteuert.
Experience/AllowWindowsSpotlight CSP
Wenn sie auf Nicht konfiguriert festgelegt ist, können Sie auch die folgenden Einstellungen zulassen oder blockieren:
Windows-Blickpunkt auf Sperrbildschirm: Blockieren verhindert, dass Windows-Blickpunkt Informationen auf dem Sperrbildschirm des Geräts anzeigt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise Windows-Spotlight-Informationen auf dem Sperrbildschirm an.
Vorschläge von Drittanbietern im Windows-Blickpunkt: Blockieren verhindert, dass Windows Spotlight Inhalte vorschlägt, die nicht von Microsoft veröffentlicht wurden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise App- und Inhaltsvorschläge von Partnern zu und zeigt vorgeschlagene Apps im Startmenü sowie Windows-Tipps an.
Consumerfeatures: Blockieren deaktiviert Benutzeroberflächen, die in der Regel für Consumer vorgesehen sind, z. B. Startvorschläge, Mitgliedschaftsbenachrichtigungen, App-Installation nach dem Start und Umleiten von Kacheln. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Windows-Tipps: Blockieren deaktiviert Popup-Windows-Tipps. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass die Windows-Tipps angezeigt werden.
Windows-Blickpunkt im Info-Center: Blockieren verhindert, dass Windows-Spotlight-Benachrichtigungen im Info-Center angezeigt werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise Benachrichtigungen im Info-Center an, die Apps oder Features vorschlagen, damit Benutzer unter Windows produktiver arbeiten können.
Windows Spotlight-Personalisierung: Blockieren verhindert, dass Windows Diagnosedaten verwendet, um Benutzern benutzerdefinierte Erfahrungen bereitzustellen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Microsoft möglicherweise, Diagnosedaten zu verwenden, um personalisierte Empfehlungen, Tipps und Angebote bereitzustellen, um Windows an die Bedürfnisse des Benutzers anzupassen.
Windows-Willkommensseite: Blockieren deaktiviert das Windows-Spotlight-Feature "Windows-Willkommensseite". Die Windows-Willkommensseite wird nicht angezeigt, wenn Updates und Änderungen an Windows und den zugehörigen Apps vorhanden sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise die Windows-Willkommensseite zu, die Benutzern Informationen zu neuen oder aktualisierten Features anzeigt.
Experience/AllowWindowsSpotlightWindowsWelcomeExperience CSP
Microsoft Defender Antivirus
Diese Einstellungen verwenden den Defender-Richtlinien-CSP, der auch die unterstützten Windows-Editionen auflistet.
Echtzeitüberwachung: Aktivieren aktiviert die Echtzeitüberprüfung auf Schadsoftware, Spyware und andere unerwünschte Software. Benutzer können es nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem dieses Feature und ermöglicht es Benutzern, es zu ändern.
Wenn Sie diese Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Verhaltensüberwachung: Aktivieren aktiviert die Verhaltensüberwachung und sucht auf bestimmten bekannten Mustern verdächtiger Aktivitäten auf Geräten. Benutzer können die Verhaltensüberwachung nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem die Verhaltensüberwachung aktivieren und Benutzern erlauben, sie zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Network Inspection System (NIS): NIS trägt zum Schutz von Geräten vor netzwerkbasierten Exploits bei. Es verwendet die Signaturen bekannter Sicherheitsrisiken aus dem Microsoft Endpoint Protection Center, um schädlichen Datenverkehr zu erkennen und zu blockieren.
Aktivieren: Aktiviert den Netzwerkschutz und die Netzwerkblockierung. Benutzer können es nicht deaktivieren. Wenn diese Option aktiviert ist, werden Benutzer daran gehindert, eine Verbindung mit bekannten Sicherheitsrisiken herzustellen.
Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig aktiviert das Betriebssystem NIS und ermöglicht Benutzern, es zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Alle Downloads überprüfen: Aktivieren aktiviert diese Einstellung, und Defender überprüft alle aus dem Internet heruntergeladenen Dateien. Benutzer können diese Einstellung nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem diese Einstellung aktivieren und Benutzern erlauben, sie zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
In Microsoft-Webbrowser geladene Scanskripts: Aktivieren ermöglicht Defender das Überprüfen von Skripts, die in Internet-Explorer verwendet werden. Benutzer können diese Einstellung nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem diese Einstellung aktivieren und Benutzern erlauben, sie zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Endbenutzerzugriff auf Defender: Blockieren blendet die Microsoft Defender Benutzeroberfläche für Benutzer aus. Alle Microsoft Defender Benachrichtigungen werden ebenfalls unterdrückt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise den Benutzerzugriff auf die Microsoft Defender-Benutzeroberfläche zu und erlaubt Benutzern, diese zu ändern.
Wenn Sie die Einstellung blockieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung in ihrem zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Wenn diese Einstellung geändert wird, wird sie beim nächsten Neustart des Geräts wirksam.
Security Intelligence-Updateintervall (in Stunden): Geben Sie das Intervall ein, das Defender auf neue Sicherheitsintelligenz überprüft, von 0 bis 24. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Die Standardeinstellung des Betriebssystems sucht möglicherweise alle 8 Stunden nach Updates.
- Nicht überprüfen: Defender sucht nicht nach neuen Security Intelligence-Updates.
-
1-24:
1
Überprüfungen stündlich,2
Überprüfungen alle zwei Stunden,24
Überprüfungen jeden Tag usw.
Überwachen von Datei- und Programmaktivitäten: Ermöglicht Defender das Überwachen von Datei- und Programmaktivitäten auf Geräten. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Die Standardeinstellung des Betriebssystems kann alle Dateien überwachen.
- Überwachung deaktiviert
- Überwachen aller Dateien
- Nur eingehende Dateien überwachen
- Nur ausgehende Dateien überwachen
Tage vor dem Löschen von unter Quarantäne gestellter Schadsoftware: Setzen Sie die Nachverfolgung von aufgelöster Schadsoftware für die anzahl der von Ihnen eingegebenen Tage fort, damit Sie zuvor betroffene Geräte manuell überprüfen können.
Wenn Sie diese Einstellung nicht konfigurieren oder auf
0
Tage festlegen, verbleibt Schadsoftware im Quarantäneordner und wird nicht automatisch entfernt. Bei Festlegung auf90
werden Quarantäneelemente 90 Tage lang auf dem System gespeichert und dann entfernt.CPU-Auslastungslimit während einer Überprüfung: Begrenzen Sie die CPU-Menge, die von Scans verwendet werden darf, von
0
bis prozentual100
. Standardmäßig legt das Betriebssystem es möglicherweise auf 50 % fest.Archivdateien überprüfen: Aktivieren aktiviert Defender, sodass Archivdateien wie ZIP- oder CAB-Dateien überprüft werden. Benutzer können diese Einstellung nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem diese Überprüfung aktivieren und Benutzern erlauben, sie zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Eingehende E-Mail-Nachrichten überprüfen: Aktivieren ermöglicht Defender das Scannen von E-Mail-Nachrichten, sobald sie auf Geräten eingehen. Wenn diese Option aktiviert ist, analysiert die Engine das Postfach und die E-Mail-Dateien, um den E-Mail-Text und die Anlagen zu analysieren. Sie können die Formate PST (Outlook), DBX, MBX, MIME (Outlook Express) und BinHex (Mac) überprüfen.
Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig deaktiviert das Betriebssystem diese Überprüfung und ermöglicht Benutzern, sie zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Wechseldatenträger während einer vollständigen Überprüfung überprüfen: Aktivieren aktiviert Defender-Wechseldatenträgerscans während einer vollständigen Überprüfung. Benutzer können diese Einstellung nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Defender möglicherweise Wechseldatenträger wie USB-Sticks überprüfen und benutzern das Ändern dieser Einstellung zu.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Während einer Schnellüberprüfung werden Wechseldatenträger möglicherweise weiterhin gescannt.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Zugeordnete Netzlaufwerke während einer vollständigen Überprüfungüberprüfen: Aktiviert hat Defender-Scandateien auf zugeordneten Netzlaufwerken. Wenn die Dateien auf dem Laufwerk schreibgeschützt sind, kann Defender keine Schadsoftware entfernen, die darin gefunden wurde. Benutzer können diese Einstellung nicht deaktivieren.
Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem dieses Feature und ermöglicht es Benutzern, es zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Während einer Schnellüberprüfung werden zugeordnete Netzlaufwerke möglicherweise weiterhin gescannt.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Dateien überprüfen, die aus Netzwerkordnern geöffnet wurden: Aktivieren Sie , ob Defender Dateien überprüft, die aus Netzwerkordnern oder freigegebenen Netzlaufwerken geöffnet wurden, z. B. Dateien, auf die über einen UNC-Pfad zugegriffen wird. Benutzer können diese Einstellung nicht deaktivieren. Wenn die Dateien auf dem Laufwerk schreibgeschützt sind, kann Defender keine Schadsoftware entfernen, die darin gefunden wurde.
Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig überprüft das Betriebssystem Dateien, die aus Netzwerkordnern geöffnet wurden, und ermöglicht Benutzern, sie zu ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Cloudschutz: Aktivieren aktiviert den Microsoft Active Protection-Dienst, um Informationen zu Schadsoftwareaktivitäten von Geräten zu erhalten, die Sie verwalten. Benutzer können diese Einstellung nicht ändern.
Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem zu, dass der Microsoft Active Protection-Dienst Informationen empfängt, und Benutzer können diese Einstellung ändern.
Wenn Sie die Einstellung aktivieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor konfigurierten Zustand.
Intune deaktiviert dieses Feature nicht. Verwenden Sie zum Deaktivieren einen benutzerdefinierten URI.
Benutzer vor der Beispielübermittlung auffordern: Steuert, ob potenziell schädliche Dateien, die eine weitere Analyse erfordern, automatisch an Microsoft gesendet werden. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Die Standardeinstellung des Betriebssystems kann sichere Beispiele automatisch senden.
- Immer auffordern
- Eingabeaufforderung vor dem Senden personenbezogener Daten
- Nie Daten senden
- Alle Daten ohne Aufforderung senden: Daten werden automatisch gesendet.
Zeit für eine tägliche Schnellüberprüfung: Wählen Sie die Stunde aus, um eine tägliche Schnellüberprüfung auszuführen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem diese Überprüfung um 2:00 Uhr ausführen.
Wenn Sie weitere Anpassungen wünschen, konfigurieren Sie die Einstellung Typ der durchzuführenden Systemüberprüfung .
Typ der durchzuführenden Systemüberprüfung: Planen Sie eine Systemüberprüfung, einschließlich des Grads der Überprüfung und des Tages und der Uhrzeit für die Ausführung der Überprüfung. Folgende Optionen sind verfügbar:
- Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Es wird keine Einstellung erzwungen. Benutzer können Scans nach Bedarf oder Bedarf manuell auf ihren Geräten ausführen.
- Deaktivieren: Deaktiviert alle Systemüberprüfungen auf Geräten. Wählen Sie diese Option aus, wenn Sie eine Partner-Antivirenlösung verwenden, die Geräte überprüft.
-
Schnellüberprüfung: Sucht nach gängigen Speicherorten, an denen Schadsoftware registriert sein könnte, z. B. Registrierungsschlüssel und bekannte Windows-Startordner.
- Geplanter Tag: Wählen Sie den Tag aus, an dem die Überprüfung ausgeführt werden soll.
- Geplante Zeit: Wählen Sie die Stunde zum Ausführen der Überprüfung aus.
-
Vollständige Überprüfung: Sucht nach gängigen Speicherorten, an denen Schadsoftware registriert sein könnte, und scannt auch jede Datei und jeden Ordner auf dem Gerät.
- Geplanter Tag: Wählen Sie den Tag aus, an dem die Überprüfung ausgeführt werden soll.
- Geplante Zeit: Wählen Sie die Stunde zum Ausführen der Überprüfung aus.
Tipp
Diese Einstellung kann mit der Einstellung Zeit zum Ausführen einer täglichen Schnellüberprüfung in Konflikt treten. Einige Empfehlungen:
Wenn Sie eine tägliche Schnellüberprüfung und eine wöchentliche vollständige Überprüfung planen möchten, gehen Sie wie
- Konfigurieren Sie die Einstellung Zeit für die Durchführung einer täglichen Schnellüberprüfung .
- Konfigurieren Sie den Typ der durchzuführenden Systemüberprüfung , um eine vollständige Überprüfung durchzuführen.
Wenn Sie nur eine schnelle Überprüfung täglich (keine vollständige Überprüfung) wünschen, verwenden Sie eine der folgenden Einstellungen: Zeit für die Durchführung einer täglichen Schnellüberprüfung oder Typ der durchzuführenden Systemüberprüfung. Um beispielsweise jeden Dienstag um 6:00 Uhr eine Schnellüberprüfung auszuführen, konfigurieren Sie die Einstellung Typ der durchzuführenden Systemüberprüfung .
Konfigurieren Sie die Einstellung Zeit für die Ausführung einer täglichen Schnellüberprüfung nicht gleichzeitig mit der Einstellung Typ der Systemüberprüfung, die aufSchnellüberprüfung festgelegt ist. Diese Einstellungen können in Konflikt geraten, und eine Überprüfung wird möglicherweise nicht ausgeführt.
Defender/ScanParameter CSP
Defender/ScheduleScanDay CSP
Defender/ScheduleScanTime CSPErkennen potenziell unerwünschter Anwendungen: Dieses Feature identifiziert und blockiert das Herunterladen und Installieren potenziell unerwünschter Anwendungen (PUA) in Ihrem Netzwerk. Diese Anwendungen werden nicht als Viren, Schadsoftware oder andere Arten von Bedrohungen betrachtet. Sie können jedoch Aktionen auf Endpunkten ausführen, die sich auf ihre Leistung oder Verwendung auswirken können. Wählen Sie die Schutzebene aus, wenn Windows PUAs erkennt. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig können Microsoft Defender dieses Feature deaktivieren.
- Aus oder Deaktiviert: PUA-Schutz deaktiviert.
- Aktivieren: Microsoft Defender puAs erkennt, und erkannte Elemente werden blockiert. Diese Elemente werden zusammen mit anderen Bedrohungen im Verlauf angezeigt.
- Überwachung: Microsoft Defender erkennt PUAs, ergreift jedoch keine Aktion. Sie können Informationen zu den Anwendungen überprüfen, gegen die Microsoft Defender Maßnahmen ergreifen würden. Suchen Sie beispielsweise nach Ereignissen, die von Microsoft Defender im Ereignisanzeige erstellt wurden.
In Endpoint Security>Antivirus>Microsoft Defender Antivirus>Remediation wird diese Einstellung als Aktion bezeichnet, die bei potenziell unerwünschten Anwendungen ausgeführt werden soll.
Weitere Informationen zu potenziell unerwünschten Apps finden Sie unter Erkennen und Blockieren potenziell unerwünschter Anwendungen.
Zustimmung zu Beispielen übermitteln: Derzeit hat diese Einstellung keine Auswirkungen. Verwenden Sie diese Einstellung nicht. Es kann in einem zukünftigen Release entfernt werden.
Zugriffsschutz: Blockieren verhindert das Überprüfen von Dateien, auf die zugegriffen oder heruntergeladen wurde. Benutzer können es nicht aktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem dieses Feature aktivieren und Benutzern die Möglichkeit geben, es zu ändern.
Wenn Sie die Einstellung blockieren und sie dann wieder in Nicht konfiguriert ändern, belässt Intune die Einstellung im zuvor vom Betriebssystem konfigurierten Zustand.
Intune aktiviert dieses Feature nicht. Verwenden Sie zum Aktivieren einen benutzerdefinierten URI.
Aktionen für erkannte Schadsoftwarebedrohungen: Wählen Sie Aktivieren aus, um die Aktionen auszuwählen, die Defender für jede erkannte Bedrohungsstufe ausführen soll: niedrig, mittel, hoch und schwerwiegend. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Microsoft Defender die beste Option auswählen.
Wenn sie auf Aktivieren festgelegt ist, wählen Sie die Aktion aus:
- Clean
- Quarantäne
- Remove
- Zulassen
- Benutzerdefiniert
- Blockieren
Wenn Ihre Aktion nicht möglich ist, wählt Microsoft Defender die beste Option aus, um sicherzustellen, dass die Bedrohung behoben wird.
Microsoft Defender Antivirusausschlüsse
Sie können bestimmte Dateien von Microsoft Defender Antivirus-Überprüfungen ausschließen, indem Sie Ausschlusslisten ändern. Im Allgemeinen sollten Sie keine Ausschlüsse anwenden müssen. Microsoft Defender Antivirus umfasst eine Reihe von automatischen Ausschlüssen, die auf bekannten Betriebssystemverhalten und typischen Verwaltungsdateien basieren, z. B. solche, die in der Unternehmensverwaltung, datenbankverwaltung und in anderen Unternehmensszenarien und -situationen verwendet werden.
Warnung
Das Definieren von Ausschlüssen verringert den Schutz, der von Microsoft Defender Antivirus geboten wird. Bewerten Sie immer die Risiken, die mit der Implementierung von Ausschlüssen verbunden sind. Schließen Sie nur Dateien aus, von denen Sie wissen, dass sie nicht schädlich sind.
- Dateien und Ordner, die von Überprüfungen und Echtzeitschutz ausgeschlossen werden sollen: Fügt der Ausschlussliste eine oder mehrere Dateien und Ordner wie C:\Path oder %ProgramFiles%\Path\filename.exe hinzu. Diese Dateien und Ordner sind nicht in Echtzeit- oder geplanten Überprüfungen enthalten.
- Dateierweiterungen, die von Scans und Echtzeitschutz ausgeschlossen werden sollen: Fügen Sie der Ausschlussliste eine oder mehrere Dateierweiterungen wie jpg oder txt hinzu. Dateien mit diesen Erweiterungen sind nicht in Echtzeit- oder geplanten Überprüfungen enthalten.
- Prozesse, die von Überprüfungen und Echtzeitschutz ausgeschlossen werden sollen: Fügen Sie der Ausschlussliste einen oder mehrere Prozesse vom Typ .exe, .com oder .scr hinzu. Diese Prozesse sind nicht in Echtzeit- oder geplanten Überprüfungen enthalten.
Weitere Informationen finden Sie unter Übersicht über Ausschlüsse in der Microsoft Defender-Dokumentation.
Energieeinstellungen
Diese Einstellungen verwenden den Power Policy CSP, der auch die unterstützten Windows-Editionen auflistet.
Akku
Akkustand zum Aktivieren des Energiesparmodus: Wenn das Gerät Akkustrom verwendet, geben Sie den Akkuladestand ein, um den Energiesparmodus von 0 bis 100 zu aktivieren. Geben Sie einen Prozentwert ein, der den Akkuladestand angibt. Wenn z. B. auf
80
festgelegt ist, schaltet sich der Energiesparmodus ein, wenn der Akku zu 80 % oder weniger aufgeladen ist.Wenn Sie keinen Wert eingeben, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig legt das Betriebssystem es möglicherweise auf 70 % fest.
Schließen des Deckels (nur mobil):Wenn das Gerät akkubetrieben ist, wählen Sie aus, was geschieht, wenn der Deckel geschlossen wird. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, diese Einstellung zu steuern.
- Keine Aktion: Das Gerät bleibt eingeschaltet und verwendet weiterhin Akkuleistung.
- Standbymodus: Das Gerät wechselt in den Energiesparmodus und verwendet eine kleine Akkuladung. Der Computer ist noch eingeschaltet, und geöffnete Apps und Dateien werden im Arbeitsspeicher mit wahlfreiem Zugriff (RAM) gespeichert.
- Ruhezustand: Das Gerät wechselt in den Ruhezustandsmodus. Geöffnete Apps und Dateien werden auf der Festplatte gespeichert, und das Gerät wird ausgeschaltet.
- Herunterfahren: Das Gerät wird heruntergefahren. Geöffnete Apps und Dateien werden ohne Speichern geschlossen.
Netzschalter: Wenn das Gerät akkubetrieben ist, wählen Sie aus, was geschieht, wenn der Netzschalter ausgewählt ist. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, diese Einstellung zu steuern.
- Keine Aktion: Das Gerät bleibt eingeschaltet und verwendet weiterhin Akkuleistung.
- Standbymodus: Das Gerät wechselt in den Energiesparmodus und verwendet eine kleine Akkuladung. Der Computer ist noch eingeschaltet, und geöffnete Apps und Dateien werden im Arbeitsspeicher mit wahlfreiem Zugriff (RAM) gespeichert.
- Ruhezustand: Das Gerät wechselt in den Ruhezustandsmodus. Geöffnete Apps und Dateien werden auf der Festplatte gespeichert, und das Gerät wird ausgeschaltet.
- Herunterfahren: Das Gerät wird heruntergefahren. Geöffnete Apps und Dateien werden ohne Speichern geschlossen.
Standby-Taste: Wenn das Gerät akkubetrieben ist, wählen Sie aus, was geschieht, wenn die Energiespartaste ausgewählt ist. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, diese Einstellung zu steuern.
- Keine Aktion: Das Gerät bleibt eingeschaltet und verwendet weiterhin Akkuleistung.
- Standbymodus: Das Gerät wechselt in den Energiesparmodus und verwendet eine kleine Akkuladung. Der Computer ist noch eingeschaltet, und geöffnete Apps und Dateien werden im Arbeitsspeicher mit wahlfreiem Zugriff (RAM) gespeichert.
- Ruhezustand: Das Gerät wechselt in den Ruhezustandsmodus. Geöffnete Apps und Dateien werden auf der Festplatte gespeichert, und das Gerät wird ausgeschaltet.
- Herunterfahren: Das Gerät wird heruntergefahren. Geöffnete Apps und Dateien werden ohne Speichern geschlossen.
Hybrider Standbymodus: Wenn das Gerät akkubetrieben ist, können Sie den hybriden Energiesparmodus zulassen oder deaktivieren.
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, diese Einstellung zu steuern.
- Aktivieren: Geräte können in den hybriden Standbymodus wechseln. Geöffnete Apps und Dateien werden im Ram (Random Access Memory) und auf der Festplatte gespeichert. Es verwendet eine kleine Menge an Akkuladung.
- Deaktivieren: Verhindert, dass Geräte in den hybriden Standbymodus wechseln.
PluggedIn
Akkustand zum Aktivieren des Energiesparmodus: Wenn das Gerät angeschlossen ist, geben Sie den Akkuladestand ein, um den Energiesparmodus von 0 bis 100 zu aktivieren. Geben Sie einen Prozentwert ein, der den Akkuladestand angibt. Wenn z. B. auf
80
festgelegt ist, schaltet sich der Energiesparmodus ein, wenn der Akku zu 80 % oder weniger aufgeladen ist.Wenn Sie keinen Wert eingeben, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig legt das Betriebssystem es möglicherweise auf 70 % fest.
Schließen des Deckels (nur mobil):Wenn das Gerät angeschlossen ist, wählen Sie aus, was geschieht, wenn der Deckel geschlossen wird. Ihre Optionen:
Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.
Keine Aktion: Das Gerät bleibt eingeschaltet.
Ruhezustand: Das Gerät wechselt in den Energiesparmodus. Der Computer ist noch eingeschaltet, und geöffnete Apps und Dateien werden im Arbeitsspeicher mit wahlfreiem Zugriff (RAM) gespeichert.
Ruhezustand: Das Gerät wechselt in den Ruhezustandsmodus. Geöffnete Apps und Dateien werden auf der Festplatte gespeichert, und das Gerät wird ausgeschaltet.
Herunterfahren: Das Gerät wird heruntergefahren. Geöffnete Apps und Dateien werden ohne Speichern geschlossen.
Netzschalter: Wenn das Gerät angeschlossen ist, wählen Sie aus, was geschieht, wenn die Ein/Aus-Taste ausgewählt ist. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.
- Keine Aktion: Das Gerät bleibt eingeschaltet.
- Ruhezustand: Das Gerät wechselt in den Energiesparmodus. Der Computer ist noch eingeschaltet, und geöffnete Apps und Dateien werden im Arbeitsspeicher mit wahlfreiem Zugriff (RAM) gespeichert.
- Ruhezustand: Das Gerät wechselt in den Ruhezustandsmodus. Geöffnete Apps und Dateien werden auf der Festplatte gespeichert, und das Gerät wird ausgeschaltet.
- Herunterfahren: Das Gerät wird heruntergefahren. Geöffnete Apps und Dateien werden ohne Speichern geschlossen.
Standby-Taste: Wenn das Gerät angeschlossen ist, wählen Sie aus, was geschieht, wenn die Energiespartaste ausgewählt wird. Ihre Optionen:
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.
- Keine Aktion: Das Gerät bleibt eingeschaltet.
- Ruhezustand: Das Gerät wechselt in den Energiesparmodus. Der Computer ist noch eingeschaltet, und geöffnete Apps und Dateien werden im Arbeitsspeicher mit wahlfreiem Zugriff (RAM) gespeichert.
- Ruhezustand: Das Gerät wechselt in den Ruhezustandsmodus. Geöffnete Apps und Dateien werden auf der Festplatte gespeichert, und das Gerät wird ausgeschaltet.
- Herunterfahren: Das Gerät wird heruntergefahren. Geöffnete Apps und Dateien werden ohne Speichern geschlossen.
Hybrider Standbymodus: Wenn das Gerät angeschlossen ist, können Sie den hybriden Standbymodus zulassen oder deaktivieren.
- Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, diese Einstellung zu steuern.
- Aktivieren: Geräte können in den hybriden Standbymodus wechseln. Geöffnete Apps und Dateien werden im Ram (Random Access Memory) und auf der Festplatte gespeichert.
- Deaktivieren: Verhindert, dass Geräte in den hybriden Standbymodus wechseln.
Nächste Schritte
Weitere technische Details zu den einzelnen Einstellungen und den unterstützten Editionen von Windows finden Sie in der CSP-Referenz für Windows 10/11-Richtlinien.