使用 Intune 允許或限制功能的 Windows 10/11 裝置設定
注意事項
Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
本文說明您可以在 Windows 用戶端裝置上控制的一些設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來允許或停用功能、設定密碼規則、自定義鎖定畫面、使用 Microsoft Defender 等等。
這些設定適用於:
- Windows 11
- Windows 10
這些設定會新增至 Intune 中的裝置組態配置檔,然後指派或部署到您的 Windows 用戶端裝置。
注意事項
某些設定僅適用於特定的 Windows 版本,例如 Enterprise。 若要查看支援的版本,請參閱原則 CSP (開啟另一個Microsoft網站) 。
在 Windows 10/11 裝置限制配置檔中,大部分可設定的設定都是使用裝置群組在裝置層級部署。 部署至使用者群組的原則會套用至目標使用者。 這些原則也適用於具有 Intune 授權的使用者,以及登入該裝置的使用者。
開始之前
App Store
這些設定會使用 ApplicationManagement原則 CSP,其中也會列出支援的 Windows 版本。
僅限行動裝置 (市集) :[封鎖] 會防止使用者存取行動裝置上的應用程式市集。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者存取應用程式市集。
從市集自動更新應用程式: [封鎖 ] 會防止自動從 Microsoft Store 安裝更新。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許自動更新從 Microsoft Store 安裝的應用程式。
信任的應用程式安裝:選擇是否可以安裝非Microsoft市集應用程式,也稱為側載。 側載正在安裝,然後執行或測試未經Microsoft市集認證的應用程式。 例如,僅限您公司內部的應用程式。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 封鎖:防止側載。 無法安裝非Microsoft市集應用程式。
- 允許:允許側載。 可以安裝非Microsoft市集應用程式。
開發人員解除鎖定:允許 Windows 開發人員設定,例如允許使用者修改側載應用程式。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 封鎖:防止開發人員模式和側載應用程式。
- 允許:允許開發人員模式和側載應用程式。
啟用您的裝置以進行開發 有此功能的詳細資訊。
共用使用者應用程式資料:選擇 [ 允許 ] 以在相同裝置上的不同使用者與該應用程式的其他實例之間共用應用程式數據。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止與其他使用者和相同應用程式的其他實例共享數據。
僅使用私人市集: 僅允許 從私人市集下載應用程式,而不允許從公用市集下載,包括零售類別目錄。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許從私人市集和公用市集下載應用程式。
啟動市集的應用程式: [封鎖 ] 會停用裝置上預安裝或從 Microsoft Store 下載的所有應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許開啟這些應用程式。
在系統磁碟區上安裝應用程式數據: [封鎖] 會 阻止應用程式將數據儲存在裝置的系統磁碟區上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許應用程式將資料儲存在系統磁碟區上。
在系統磁碟驅動器上安裝應用程式: [封鎖 ] 會防止應用程式安裝在裝置上的系統磁碟驅動器上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許應用程式安裝在系統磁碟驅動器上。
遊戲 DVR (桌面版僅) : [封鎖 ] 會停用 Windows 遊戲錄製和廣播。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許錄製和廣播遊戲。
僅限來自市集的應用程式:此設定會決定使用者從 Microsoft Store 以外的位置安裝應用程式時的用戶體驗。 它不會防止從 USB 裝置、網路共用或其他非因特網來源安裝內容。 使用可信任的瀏覽器來協助確保這些保護如預期般運作。
選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者從 Microsoft Store 以外的位置安裝應用程式,包括在其他原則設定中定義的應用程式。
- 隨處:關閉應用程式建議,並允許使用者從任何位置安裝應用程式。
- 僅限市集:目的是要防止惡意內容在從因特網下載可執行內容時影響您的用戶裝置。 當使用者嘗試從因特網安裝應用程式時,會封鎖安裝。 使用者會看到一則訊息,建議他們從 Microsoft Store 下載應用程式。
- 建議:從 Microsoft 市集中提供的 Web 安裝應用程式時,使用者會看到一則訊息,建議他們從市集下載。
- 偏好市集:當使用者從 Microsoft Store 以外的位置安裝應用程式時發出警告。
用戶對安裝的控制: [封鎖 ] 可防止使用者變更通常保留給系統管理員的安裝選項,例如輸入目錄來安裝檔案。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,Windows Installer 可能會防止使用者變更這些安裝選項,並略過某些 Windows Installer 安全性功能。
以更高的許可權安裝應用程式: [封鎖 ] 會指示 Windows Installer 在系統上安裝任何程式時,使用提升的許可權。 這些許可權會擴充至所有程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當系統管理員安裝系統管理員未部署或提供的程式時,系統可能會套用目前用戶的許可權。
ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP
啟動應用程式:輸入使用者登入裝置之後要開啟的應用程式清單。 請務必使用以分號分隔的套件系列名稱清單 (Windows 應用程式的 PFN) 。 若要讓此原則運作,Windows 應用程式中的指令清單必須使用啟動工作。
行動數據和連線能力
這些設定會使用 聯機原則 和 Wi-Fi 原則 CSP,這也會列出支援的 Windows 版本。
行動數據通道:選擇使用者在連線到行動數據網路時是否可以使用數據,例如流覽 Web。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 用戶可以將它關閉。
- 封鎖:不允許行動電話數據通道。 用戶無法開啟它。
- 允許 (無法編輯) :允許行動數據通道。 用戶無法將它關閉。
數據漫遊: [封鎖 ] 可防止在裝置上進行行動數據漫遊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,存取數據時,可能會允許在網路之間漫遊。
透過行動數據網路的 VPN: [封鎖 ] 會防止裝置在連線到行動資料網路時存取 VPN 連線。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 VPN 使用任何連線,包括行動數據。
透過行動數據網路的 VPN 漫遊: [封鎖] 會 在行動數據網路上漫遊時,阻止裝置存取 VPN 連線。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在漫遊時允許 VPN 連線。
線上裝置服務: [封鎖 ] 會停用連線裝置平臺 (CDP) 元件。 CDP 可透過藍牙/LAN 或雲端) (其他裝置的探索和連線,以支援遠端應用程式啟動、遠端傳訊、遠端應用程式會話和其他跨裝置體驗。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許連線的裝置服務,以啟用探索並連線到其他藍牙裝置。
NFC: [封鎖 ] 會防止在 NFC) 功能 (近距離通訊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置上啟用和設定NFC功能。
Wi-Fi: [封鎖 ] 會防止使用者在裝置上啟用、設定及使用 Wi-Fi 連線。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Wi-Fi 連線。
自動連線到 Wi-Fi 熱點: [封鎖 ] 會防止裝置自動連線到 Wi-Fi 熱點。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓裝置自動連線到免費 Wi-Fi 熱點,並自動接受連線的任何條款和條件。
手動 Wi-Fi 設定: [封鎖 ] 會防止裝置連線到 MDM 伺服器安裝網路外部的 Wi-Fi。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者新增和設定自己的 Wi-Fi 連線網路 SSID。
Wi-Fi 掃描間隔:輸入裝置掃描 Wi-Fi 網路的頻率。 輸入從 1 (最常用) 到 500 (最不頻繁) 的值。 預設值 (
0
零) 。
藍牙
這些設定會使用 藍牙原則 CSP,其中也會列出支援的 Windows 版本。
藍牙: [封鎖 ] 會防止使用者啟用藍牙。 未設定 (預設) 允許裝置上的藍牙。
藍牙探索能力: [封鎖 ] 可防止其他已啟用藍牙的裝置探索裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許其他啟用藍牙的裝置,例如頭戴式裝置來探索裝置。
藍牙預先配對: [封鎖 ] 可防止特定藍牙裝置自動與主機裝置配對。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許與主機裝置自動配對。
藍牙廣告: [封鎖 ] 可防止裝置傳送藍牙廣告。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置傳送藍牙公告。
藍牙近似連線: [封鎖 ] 可防止裝置使用者使用 Swift 配對和其他鄰近性案例。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置傳送藍牙公告。
藍牙允許的服務: 將 允許的藍牙服務和配置檔案清單新增為十六進位字串,例如
{782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
。ServicesAllowedList 使用指南 有關於服務列表的詳細資訊。
雲端和記憶體
這些設定會使用 帳戶原則 CSP,其中也會列出支援的 Windows 版本。
重要事項
封鎖或停用這些Microsoft帳戶設定可能會影響需要使用者登入 Microsoft Entra ID 的註冊案例。 例如,您使用 預先布建的 Autopilot。 一般而言,用戶會顯示Microsoft登入視窗。 當這些設定設定為 [封鎖 ] 或 [ 停用] 時,可能不會顯示 [Microsoft Entra 登入] 選項。 相反地,系統會要求使用者接受 EULA,並建立本機帳戶,這可能不是您想要的帳戶。
- Microsoft帳戶: [封鎖 ] 可防止使用者將Microsoft帳戶與裝置產生關聯。 [封鎖 ] 也可能影響一些依賴使用者完成註冊程序的註冊案例。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許新增和使用Microsoft帳戶。
- 非Microsoft帳戶: [封鎖 ] 會防止使用者使用使用者介面新增非Microsoft帳戶。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者新增與Microsoft帳戶無關的電子郵件帳戶。
- Microsoft帳戶的設定同步處理: [封鎖 ] 會防止與Microsoft帳戶相關聯的裝置和應用程式設定在裝置之間進行同步處理。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許此同步處理。
-
Microsoft帳戶登入小幫手:此 OS 服務可讓使用者登入其Microsoft帳戶。 根據預設,OS 可能會允許用戶啟動和停止 Microsoft Account Sign-In Assistant ( wlidsvc) 服務。
未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許用戶啟動和停止 Microsoft Account Sign-In Assistant ( wlidsvc) 服務。
已停用:將 Microsoft 登入小幫手服務 (wlidsvc) 設為 Disabled,並防止使用者手動啟動它。
停用 也可能會影響一些依賴使用者完成註冊的註冊案例。 例如,您使用 預先布建的 Autopilot。 一般而言,用戶會顯示Microsoft登入視窗。 當設定為 [停用] 時,可能不會顯示 [Microsoft Entra 登入] 選項。 相反地,系統會要求使用者接受 EULA,並建立本機帳戶,這可能不是您想要的帳戶。
雲端印表機
這些設定使用 EnterpriseCloudPrint 原則 CSP,其也會列出支援的 Windows 版本。
-
印表機探索 URL:輸入用於尋找雲端印表機的 URL。 例如,輸入
https://cloudprinterdiscovery.contoso.com
。 -
印表機存取授權單位 URL:輸入驗證端點 URL 以取得 OAuth 令牌。 例如,輸入
https://azuretenant.contoso.com/adfs
。 -
Azure 原生用戶端應用程式 GUID:輸入允許從 OAuthAuthority 取得 OAuth 令牌的用戶端應用程式 GUID。 例如,輸入
E1CF1107-FF90-4228-93BF-26052DD2C714
。 -
列印服務資源 URI:輸入 Azure 入口網站中所設定列印服務的 OAuth 資源 URI。 例如,輸入
http://MicrosoftEnterpriseCloudPrint/CloudPrint
。 -
要查詢的印表機數目上限:輸入您想要查詢的印表機數目上限。 預設值為
20
。 -
印表機探索服務資源 URI:輸入 Azure 入口網站中設定之印表機探索服務的 OAuth 資源 URI。 例如,輸入
http://MopriaDiscoveryService/CloudPrint
。
提示
設定 Windows Server 混合式雲端列印之後,您可以設定這些設定,然後部署到您的 Windows 裝置。
控制面板和設定
-
設定應用程式: [封鎖 ] 會防止使用者存取 Windows 設定應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者在裝置上開啟 [設定] 應用程式。
系統: [封鎖 ] 會防止存取 [設定] 應用程式的 [系統] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
- 僅限桌面 (修改電源和睡眠設定) :[封鎖] 可防止使用者變更裝置上的電源和睡眠設定。 未設定 (預設) 允許使用者變更電源和睡眠設定。
裝置: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [裝置] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
網路因特網: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [網络 & 因特網] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
個人化: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [個人化] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
應用程式: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [應用程式] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
帳戶: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [帳戶] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
時間和語言: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [時間 & 語言] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
系統時間修改: [封鎖 ] 可防止使用者變更裝置上的日期和時間設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 用戶可以變更這些設定。
僅限桌面 (修改區域設定) :[封鎖] 可防止使用者變更裝置上的區域設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 用戶可以變更這些設定。
僅限桌面 (修改語言設定) : [封鎖 ] 可防止使用者變更裝置上的語言設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 用戶可以變更這些設定。
遊戲:當設定為 [封鎖] 時,此設定:
- 防止存取裝置上的 [設定 ] 應用程式 >[遊戲 ] 區域。
- 在 Windows 11 22H2 和更新版本上,它會隱藏裝置上的 [ 設定 應用程式 >系統>通知 ] 區域。 具體而言,它會將頁面新
ms-settings:quietmomentsgame
增至 Settings/PageVisibilityList CSP。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
輕鬆存取: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [輕鬆存取] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
隱私權: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [隱私權] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
更新和安全性: [封鎖 ] 會防止存取裝置上 [設定] 應用程式的 [更新 & 安全性] 區域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
顯示
這些設定會使用 顯示原則 CSP,其中也會列出支援的 Windows 版本。
GDI DPI 調整可讓非 DPI 感知的應用程式變成每個監視器 DPI 感知的應用程式。
開啟應用程式的 GDI 調整: 新增 您想要開啟 GDI DPI 調整的舊版應用程式。 例如,輸入
filename.exe
或%ProgramFiles%\Path\Filename.exe
。GDI DPI 調整已針對清單中的所有舊版應用程式開啟。
關閉應用程式的 GDI 調整: 新增 您想要關閉 GDI DPI 調整的舊版應用程式。 例如,輸入
filename.exe
或%ProgramFiles%\Path\Filename.exe
。您清單中所有舊版應用程式的 GDI DPI 調整已關閉。
您 也可以使用 應用程式清單匯入 .csv 檔案。
一般
這些設定會使用 體驗原則 CSP,其也會列出支援的 Windows 版本。
僅限行動裝置 (螢幕快照) :[封鎖] 可防止使用者在裝置上取得螢幕快照。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
只) (行動裝置複製並貼上:[封鎖] 可防止使用者在裝置上的應用程式之間使用複製和貼上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
手動取消註冊: [封鎖 ] 會防止使用者使用裝置上的工作場所控制面板刪除工作場所帳戶。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
如果計算機已Microsoft加入 Entra 且已啟用自動註冊,則不適用此原則設定。
僅限行動裝置 (手動安裝跟證書) :[封鎖] 會防止使用者手動安裝跟證書和中繼 CAP 憑證。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
相機: [封鎖 ] 會防止用戶在裝置上使用相機。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許存取裝置相機。
Intune 只會管理裝置相機的存取權。 它無法存取圖片或影片。
OneDrive 檔案同步處理: [封鎖 ] 會防止使用者從裝置將檔案同步處理至 OneDrive。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
卸除式記憶體: [封鎖 ] 可防止使用者使用外部儲存設備,例如USB磁碟驅動器或SD卡搭配裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
地理位置: [封鎖 ] 會防止用戶在裝置上開啟位置服務。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
因特網共用: [封鎖 ] 會防止裝置上的因特網聯機共用。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
電話重設: [封鎖 ] 可防止用戶在裝置上抹除或重設出廠預設值。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
USB 連線: [封鎖 ] 會防止透過 USB 連線或在 HoloLens 裝置上使用開發人員工具來存取同步處理檔案。 變更此原則不會影響 USB 充電。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 此設定不會影響 USB 充電。
AntiTheft 模式 (行動裝置版僅) : [封鎖 ] 會防止使用者在裝置上選取 [AntiTheft] 模式喜好設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
Cortana: [封鎖 ] 會停用裝置上的 Cortana 語音助理。 當 Cortana 關閉時,使用者仍然可以搜尋以尋找裝置上的專案。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Cortana。
注意事項
Microsoft取代 Windows Cortana 獨立應用程式。 Cortana 生產力小幫手仍可供使用。 如需 Windows 用戶端上已被取代功能的詳細資訊,請移至 Windows 用戶端的已淘汰功能。
僅限行動裝置 (錄製) :[封鎖] 會防止使用者在裝置上使用裝置語音錄製器。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許應用程式的語音錄製。
僅限行動裝置 (修改裝置名稱) : [封鎖 ] 會防止使用者變更裝置的名稱。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
新增布建套件: [封鎖 ] 會防止在裝置上安裝布建套件的運行時間設定代理程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
拿掉布建套件: [封鎖 ] 會防止運行時間設定代理程式從裝置移除布建套件。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
裝置探索: [封鎖 ] 可防止其他裝置探索裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
工作切換 ( 僅限行動裝置) : [封鎖 ] 會防止在裝置上切換工作。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
SIM 卡錯誤對話 ( 僅限行動裝置) :如果未偵測到 SIM 卡, 則封鎖 錯誤訊息,使其無法顯示在裝置上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示錯誤訊息。
筆跡工作區:選擇使用者是否及如何存取筆跡工作區。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會開啟筆跡工作區,並允許使用者在鎖定畫面上方使用它。
- 在鎖定畫面上停用:已啟用筆跡工作區並開啟功能。 但是,用戶無法在鎖定畫面上方存取它。
- 已停用:已停用對筆跡工作區的存取。 功能已關閉。
Autopilot 重設:選擇 [ 允許 ],讓具有系統管理許可權的使用者可以在裝置鎖定畫面上使用 CTRL + Win + R 刪除所有使用者數據和設定。 裝置會自動重新設定,並重新註冊到管理中。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止這項功能。
要求使用者在裝置設定期間連線到網路:選擇 [ 需要 ] 讓裝置在 Windows 安裝期間通過 [網路] 頁面之前連線到網路。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者通過 [網络] 頁面,即使未連線到網路也一樣。
下次抹除或重設裝置時,設定就會生效。 如同任何其他 Intune 設定,裝置必須由 Intune 註冊和管理,才能接收組態設定。 但是,一旦註冊並接收原則,然後重設裝置會在下一次 Windows 安裝期間強制執行設定。
直接記憶體存取: [封鎖 ] 會防止所有可插入式PCI下游埠的直接記憶體存取 (DMA) ,直到使用者登入 Windows 為止。 啟用 (預設) 允許存取 DMA,即使使用者未登入也一樣。
從任務管理員結束進程:此設定會決定非系統管理員是否可以使用任務管理員來結束工作。 [封鎖 ] 可防止 (非系統管理員的標準使用者) 使用任務管理器來結束裝置上的進程或工作。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許標準使用者使用任務管理員結束進程或工作。
鎖定的屏幕體驗
僅限行動裝置 (控制中心通知) : [封鎖 ] 會防止控制中心通知顯示在裝置鎖定畫面上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許用戶選擇哪些應用程式在鎖定畫面上顯示通知。
僅) 桌面 (鎖定螢幕圖片 URL :輸入 JPG、JPEG 或 PNG 格式圖片的 URL,以做為 Windows 鎖定畫面桌布。 例如,輸入
https://contoso.com/image.png
。 此設定會鎖定映像,之後就無法變更。僅限行動裝置 (用戶可設定的螢幕逾時) : [允許 ] 可讓使用者設定螢幕逾時。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會為使用者提供此選項。
鎖定畫面上的 Cortana 僅 (桌面) : [封鎖 ] 可防止使用者在裝置處於鎖定畫面時與 Cortana 互動。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許與 Cortana 互動。
鎖定畫面上的快顯通知: [封鎖 ] 會防止快顯通知顯示在裝置鎖定畫面上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這些通知。
僅限行動裝置 (螢幕逾時) :設定從螢幕鎖定到螢幕關閉) 秒 (的持續時間。 支援的值為 11-1800。 例如,輸入
300
將此逾時設定為5分鐘。
訊息
這些設定會使用 傳訊原則 CSP,其中也會列出支援的 Windows 版本。
- 僅限行動裝置 (訊息同步處理) : [封鎖 ] 會停用文字訊息的備份和還原,以及停用 Windows 裝置之間的訊息同步處理。 停用有助於避免將資訊儲存在組織控制外部的伺服器上。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者變更這些設定,並同步處理其訊息。
- MMS (行動裝置版僅) : [封鎖 ] 會停用裝置上的多媒體簡訊傳送和接收功能。 針對企業,請使用此原則在稽核或管理需求中停用裝置上的多媒體簡訊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許MMS傳送和接收。
- RCS (行動裝置版僅限) : [封鎖 ] 會停用 RCS (RCS) 裝置上的傳送和接收功能。 針對企業,請使用此原則在裝置上停用 RCS,作為稽核或管理需求的一部分。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 RCS 傳送和接收。
Microsoft Edge 舊版 (版本 45 和更舊版本)
這些設定會使用 瀏覽器原則 CSP,其中也會列出支援的 Windows 版本。
注意事項
使用瀏覽器原則 CSP 適用於 Microsoft Edge 45 版和更舊版本。 如需Microsoft Edge 版本 77 和更新版本,請參閱 在 Microsoft Intune 中設定 Microsoft Edge 原則設定。
使用 Microsoft Edge kiosk 模式
可用的設定會根據您選擇的內容而變更。 選項包括:
- 沒有 (預設) :Microsoft Edge 未以 kiosk 模式執行。 所有Microsoft Edge 設定都可供您變更和設定。
- 數位/互動式簽署 (單一應用程式 kiosk) :適用於 Windows 10/11 單一應用程式 kiosk 上數位/互動式告示Microsoft Edge Kiosk 模式的篩選Microsoft Edge 設定。 選擇此設定以開啟 URL 全螢幕,並只顯示該網站上的內容。 設定數位標誌 可提供這項功能的詳細資訊。
- InPrivate 公用流覽 (單一應用程式 kiosk) :適用於 InPrivate Public Browsing Microsoft Edge Kiosk 模式的篩選Microsoft Edge 設定,以在 Windows 10/11 單一應用程式 kiosk 上使用。 執行 Microsoft Edge 的多重索引標籤版本。
- 一般模式 (多應用程式 kiosk) :適用於 Normal Microsoft Edge Kiosk 模式的篩選Microsoft Edge 設定。 使用所有流覽功能執行完整版本的 Microsoft Edge。
- 公用流覽 (多應用程式 kiosk) :適用於 Windows 10 多應用程式 kiosk 上公用瀏覽的篩選Microsoft Edge 設定。 執行多重索引標籤版本的 Microsoft Edge InPrivate。
提示
如需這些選項用途的詳細資訊,請 參閱Microsoft Edge kiosk 模式組態類型。
此裝置限制配置檔與您使用 Windows kiosk 設定建立的 kiosk 配置檔直接相關。 摘要說明:
建立 Windows kiosk 設定 設定檔,以在 kiosk 模式中執行裝置。 選Microsoft Edge 作為應用程式,並在 Kiosk 配置檔中設定Microsoft Edge Kiosk 模式。
建立本文所述的裝置限制配置檔,並設定 Microsoft Edge 中允許的特定功能和設定。 請務必選擇與 kiosk 配置檔中選取的相同Microsoft Edge kiosk 模式類型, (Windows kiosk 設定) 。
支援的 kiosk 模式設定 是絕佳的資源。
重要事項
請務必將此Microsoft Edge 配置檔指派給與 kiosk 配置檔相同的裝置, (Windows kiosk 設定) 。
開始體驗
使用下Microsoft Edge 啟動:選擇當Microsoft Edge 啟動時開啟的頁面。 選項包括:
-
自訂起始頁:輸入起始頁,例如
http://www.contoso.com
。 Microsoft Edge 會載入您輸入的起始頁。 - 新增索引標籤面:Microsoft Edge 載入 [新增索引 標籤 URL ] 設定中輸入的任何專案。
- 上次會話的頁面:Microsoft Edge 會載入最後一個會話頁面。
- 本機應用程式設定中的起始頁:Microsoft Edge 開頭為操作系統所定義的預設起始頁。
-
自訂起始頁:輸入起始頁,例如
允許使用者變更起始頁: 是 (預設) 讓用戶變更起始頁。 系統管理員可以使用
EdgeHomepageUrls
來輸入用戶在開啟 Microsoft Edge 時預設看到的起始頁。 [否] 會 封鎖使用者變更起始頁。在新索引標籤面上允許 Web 內容:當設定為 [ 是 ] (預設) 時,Microsoft Edge 會開啟 [新增索引 卷標 URL ] 設定中輸入的 URL。 如果 [新增索引標籤 URL ] 設定空白,Microsoft Edge 會開啟Microsoft Edge 設定中所列的新索引卷標頁面。 用戶可以變更它。 當設定為 [否] 時,Microsoft Edge 會開啟具有空白頁面的新索引卷標。 用戶無法加以變更。
新增索引標籤 URL:輸入要在 [新增索引標籤] 頁面上開啟的 URL。 例如,輸入
https://www.bing.com
或https://www.contoso.com
。首頁按鈕:選擇選取 [首頁] 按鈕時會發生什麼事。 選項包括:
- 起始頁:開啟您在 \[ 開始\] Microsoft Edge 設定中選擇的選項
- 新增索引標籤面:開啟您在 [新增索引 標籤 URL ] 設定中輸入的 URL。
-
首頁按鈕 URL:輸入要開啟的 URL。 例如,輸入
https://www.bing.com
或https://www.contoso.com
。 - 隱藏首頁按鈕:隱藏首頁按鈕
允許使用者變更首頁按鈕: [是 ] 可讓用戶變更 [首頁] 按鈕。 用戶變更會覆寫首頁按鈕的任何系統管理員設定。 沒有 (預設) 會封鎖使用者變更系統管理員設定首頁按鈕的設定方式。
僅) (行動裝置版顯示 [初次執行體驗] 頁面:[是 (預設) 顯示 Microsoft Edge 中的第一個使用簡介頁面。 [否] 會 阻止簡介頁面顯示您第一次Microsoft Edge 執行。 這項功能可讓企業,例如註冊零度減排量組態的組織,封鎖此頁面。
僅限 Windows 10 行動裝置版 (第一次執行體驗 URL 清單位置) :輸入指向 XML 檔案的 URL,其中包含 () 的第一個執行頁面 URL。 例如,輸入
https://www.contoso.com/sites.xml
。空閒時間之後重新整理瀏覽器:輸入瀏覽器重新整理之前的閑置分鐘數,從 0 到 1440 分鐘。 預設值為
5
分鐘數。 當設定為0
(零) 時,瀏覽器不會在閑置之後重新整理。只有在 單一應用程式 kiosk) 的 InPrivate 公用流覽 (執行時,才能使用此設定。
只允許桌面 (快顯) :是 (預設) 允許網頁瀏覽器中的彈出視窗。 [否 ] 會防止瀏覽器中的彈出視窗。
僅) 將內部網路流量傳送至 Internet Explorer (Desktop:是,可讓使用者在 Internet Explorer 中開啟內部網路網站,而不是Microsoft Edge。 此設定適用於回溯相容性。 沒有 (預設) 可讓使用者使用 Microsoft Edge。
僅) 計算機 (企業模式網站清單位置:輸入指向 XML 檔案的 URL,其中包含以企業模式開啟的網站清單。 使用者無法變更此清單。 例如,輸入
https://www.contoso.com/sites.xml
。在 Internet Explorer 中開啟網站時的訊息:使用此設定可設定 Microsoft Edge,以在 Internet Explorer 11 中開啟網站之前顯示通知。 選項包括:
- 不要顯示訊息:使用OS默認行為,但可能不會顯示訊息。
- 顯示在 Internet Explorer 11 中開啟網站的訊息:在 IE 中開啟網站時顯示訊息。 網站會在 IE 中開啟。
- 顯示訊息,其中包含在 Microsoft Edge 中開啟網站的選項:在 Microsoft Edge 中開啟網站時顯示訊息。 此訊息包含 [ 繼續使用Microsoft Edge ] 連結,讓使用者可以選擇Microsoft Edge,而不是 IE。
重要事項
此設定需要您使用 [企業模式網站清單位置 ] 設定、[將 內部網路流量傳送至 Internet Explorer ] 設定,或兩個設定。
允許Microsoft相容性清單: 是 (預設) 允許使用Microsoft兼容性清單。 [否 ] 會防止 Microsoft Edge 中的Microsoft兼容性清單。 這份來自 Microsoft 的列表可協助Microsoft Edge 正確顯示具有已知相容性問題的網站。
預先載入起始頁面和 [新增索引標籤] 頁面: 是 (預設) 使用 OS 預設行為,可能是預先載入這些頁面。 預先載入會將開始Microsoft Edge 的時間降至最低,並載入新的索引標籤。 否 可防止Microsoft Edge 預先載入起始頁和新的索引標籤面。
預先啟動 [開始] 頁面和 [新增索引卷標] 頁面: 是 (預設) 使用 OS 預設行為,可能是預先啟動這些頁面。 預先啟動有助於Microsoft Edge 的效能,並將啟動Microsoft Edge 所需的時間降至最低。 否 可防止Microsoft Edge 預先啟動起始頁和新的索引標籤面。
我的最愛和搜尋
顯示我的最愛列:選擇任何Microsoft Edge 頁面上我的最愛列會發生什麼事。 選項包括:
- 在 [開始] 和新的 [索引卷標] 頁面上:當 Microsoft Edge 啟動時,以及在所有索引卷標頁面上顯示我的最愛列。 用戶可以變更此設定。
- 在所有頁面上:在所有頁面上顯示我的最愛列。 用戶無法變更此設定。
- 隱藏:隱藏所有頁面上的我的最愛列。 用戶無法變更此設定。
允許對我的最愛進行變更: 是 (預設) 使用OS預設值,這可讓使用者變更清單。 [否 ] 會防止使用者新增、匯入、排序或編輯 [我的最愛] 清單。
-
我的最愛清單:將URL清單新增至我的最愛檔案。 例如,新增
http://contoso.com/favorites.html
。
-
我的最愛清單:將URL清單新增至我的最愛檔案。 例如,新增
僅) (桌面Microsoft瀏覽器之間同步我的最愛:[是] 會強制 Windows 同步處理 Internet Explorer 與 Microsoft Edge 之間的我的最愛。 新增、刪除、修改和我的最愛順序變更會在瀏覽器之間共用。 沒有 (預設) 使用 OS 預設值,這可讓使用者選擇在瀏覽器之間同步我的最愛。
默認搜尋引擎:選擇裝置上的預設搜尋引擎。 用戶可以隨時變更此值。 選項包括:
- 用戶端Microsoft Edge 設定中的搜尋引擎
- Bing
- 谷歌
- 雅虎
- 自定義值:在 OpenSearch Xml URL 中,至少輸入包含簡短名稱和搜尋引擎 URL 之 XML 檔案的 HTTPS URL。 例如,輸入
https://www.contoso.com/opensearch.xml
。
顯示搜尋建議: 是 (預設) 讓您的搜尋引擎在網址列中輸入搜尋片語時建議網站。 [否 ] 會防止這項功能。
允許對搜尋引擎進行變更: 是 (預設) 允許使用者新增搜尋引擎,或變更 Microsoft Edge 中的預設搜尋引擎。 選擇 [否 ] 以防止使用者自定義搜尋引擎。
只有在多 應用程式 kiosk) (正常模式下執行時,才能使用此設定。
隱私權和安全性
允許 InPrivate 流覽: 是 (預設) 允許 InPrivate 在 Microsoft Edge 中流覽。 關閉所有 InPrivate 索引標籤之後,Microsoft Edge 會從裝置刪除瀏覽數據。 否 可防止用戶開啟 InPrivate 瀏覽會話。
儲存瀏覽歷程記錄: 是 (預設) 允許將瀏覽歷程記錄儲存在 Microsoft Edge 中。 否 可防止儲存瀏覽歷程記錄。
僅) 清除結束 (桌面上的瀏覽數據:[是] 會清除歷程記錄,並在用戶結束Microsoft Edge 時瀏覽數據。 沒有 (預設) 使用 OS 預設值,這可能會快取瀏覽數據。
在使用者的裝置之間同步瀏覽器設定:選擇要在裝置之間同步瀏覽器設定的方式。 選項包括:
- 允許:允許在使用者裝置之間同步Microsoft Edge 瀏覽器設定
- 封鎖並啟用使用者覆寫:封鎖使用者裝置之間Microsoft Edge 瀏覽器設定的同步處理。 用戶可以覆寫此設定。 選取此選項時,使用者可以覆寫系統管理員指定。
- 封鎖:封鎖使用者裝置之間Microsoft Edge 瀏覽器設定的同步處理。 使用者無法覆寫此設定。
允許密碼管理員: 是 (預設) 允許Microsoft Edge 自動使用密碼管理員,讓用戶能夠儲存和管理裝置上的密碼。 [否 ] 會防止Microsoft Edge 使用密碼管理員。
Cookie:選擇在網頁瀏覽器中處理 Cookie 的方式。 選項包括:
- 允許:Cookie 會儲存在裝置上。
- 封鎖所有 Cookie:Cookie 不會儲存在裝置上。
- 僅封鎖第三方 Cookie:第三方或夥伴 Cookie 不會儲存在裝置上。
允許表單中的自動填入: 是 (預設) 允許使用者在瀏覽器中變更自動完成設定,並自動填入表單字段。 [否 ] 會停用 Microsoft Edge 中的自動填寫功能。
傳送不追蹤標頭: 是 ,將不追蹤標頭傳送至要求追蹤資訊 (建議) 的網站。 沒有 (預設) 不會傳送允許網站追蹤用戶的標頭。 用戶可以設定此設定。
顯示 WebRTC localhost IP 位址: 是 (預設) 允許在使用此通訊協定撥打電話時顯示使用者的 localhost IP 位址。 [否 ] 會防止顯示使用者的localhostIP位址。
允許即時磚數據收集: 是 (預設) 允許Microsoft Edge 從釘選到開始功能表的動態磚收集資訊。 否 可防止收集這項資訊,這可能會為使用者提供有限的體驗。
用戶可以覆寫憑證錯誤: 是 (預設) 允許使用者存取具有安全套接字層/傳輸層安全性 (SSL/TLS) 錯誤的網站。 不 建議 (提高安全性) 防止使用者存取具有 SSL 或 TLS 錯誤的網站。
Additional
僅) 允許Microsoft Edge 瀏覽器 (行動裝置: 是 (預設) 允許在行動裝置上使用 Microsoft Edge 網頁瀏覽器。 [否 ] 會防止在裝置上使用 Microsoft Edge。 如果您選擇 [否],其他個別設定只會套用至桌面。
允許網址列下拉式清單: 是 (預設) 允許 Microsoft Edge 顯示包含建議清單的網址列下拉式清單。 當 您輸入時,Edge Microsoft不會在下拉式清單中顯示建議清單。 當設定為 [否] 時,您:
- 協助將 Microsoft Edge 與 Microsoft 服務之間的網路頻寬降至最低。
- 停用 [在 Edge 設定Microsoft輸入>時顯示搜尋和網站建議。
允許全螢幕模式: 是 (預設) 允許Microsoft Edge 使用全螢幕模式,這隻會顯示 Web 內容並隱藏Microsoft Edge UI。 [否 ] 會防止在 Microsoft Edge 中使用全螢幕模式。
允許關於旗標頁面: 是 (預設) 使用OS預設值,這可能會允許存
about:flags
取頁面。 此about:flags
頁面可讓使用者變更開發人員設定,並啟用實驗性功能。 [否 ] 會防止使用者存取about:flags
Microsoft Edge 中的頁面。允許開發人員工具: 是 (預設) 允許用戶預設使用 F12 開發人員工具來建置和偵錯網頁。 否 可防止使用者使用 F12 開發人員工具。
允許 JavaScript: 是 (預設) 允許在 Microsoft Edge 瀏覽器中執行 JavaScript 等腳本。 [否 ] 會防止瀏覽器中的 Java 腳本執行。
用戶可以安裝擴充功能: 是 (預設) 允許使用者在裝置上安裝 Microsoft Edge 擴充功能。 [否 ] 會防止安裝。
允許側載開發人員擴充功能: 是 (預設) 使用 OS 預設值,這可能會允許側載。 側載會安裝並執行未經驗證的擴充功能。 否 可防止Microsoft Edge使用 載入擴 充功能進行側載。 它不會防止使用其他方式側載延伸模組,例如 PowerShell。
必要的擴充功能:選擇Microsoft Edge中的使用者無法關閉哪些擴充功能。 輸入套件系列名稱,然後選取 [ 新增]。 尋找每個應用程式 VPN 的套件系列名稱 (PFN) 提供一些指引。
您也可以 匯 入包含套件系列名稱的 CSV 檔案。 或者, 匯 出您輸入的套件系列名稱。
網路 Proxy
這些設定會使用 NetworkProxy 原則 CSP,其中也會列出支援的 Windows 版本。
自動偵測 Proxy 設定: [封鎖 ] 會停用裝置,使裝置無法 (PAC) 腳本自動偵測 Proxy 自動設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會啟用這項功能,而裝置會嘗試尋找 PAC 腳本的路徑。
當設定為 [封鎖] 時, ProxySettingsPerUser 設定會自動設定為
0
。使用 Proxy 文稿:選擇 [ 允許 ] 以輸入 PAC 腳本的路徑來設定 Proxy 伺服器。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會讓您輸入 PAC 腳本的 URL。
- 設定文稿位址 URL:輸入您要用來設定 Proxy 伺服器的 PAC 腳本 URL。
使用手動 Proxy 伺服器:選擇 [ 允許 ] 以手動輸入 Proxy 伺服器的名稱或 IP 位址和 TCP 連接埠號碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會讓您手動輸入 Proxy 伺服器的詳細數據。
- 位址:輸入 Proxy 伺服器的名稱或IP位址。
- 埠號碼:輸入 Proxy 伺服器的埠號碼。
-
Proxy 例外狀況:輸入不得使用 Proxy 伺服器的任何URL。 使用分號 (
;
) 來分隔每個專案。 - 略過本機位址的 Proxy 伺服器: [允許 ] 不會將 Proxy 伺服器用於本機內部網路位址。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會針對內部網路上的本機位址使用 Proxy 伺服器。
密碼
這些設定會使用 DeviceLock 原則 CSP,其中也會列出支援的 Windows 版本。
密碼: [需要] 會強制使用者輸入密碼以存取裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許在沒有密碼的情況下存取裝置。 僅適用於本機帳戶。 Active Directory (AD) 和 Microsoft Entra ID 仍會設定網域帳戶密碼。
DeviceLock/DevicePasswordEnabled CSP
必要的密碼類型:選擇密碼類型。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 根據預設,OS 可能會允許密碼包含數位和字母。
- 英數位元:密碼必須是數位和字母的混合。
- 數值:密碼只能是數位。
密碼長度下限:輸入所需的字元數下限,從 4 到 16。 例如,輸入
6
以要求密碼長度至少要有六個字元。 根據預設,OS 可能會將它設定為4
。DeviceLock/MinDevicePasswordLength CSP
重要事項
當 Windows 桌面上的密碼需求變更時,使用者會在下次登入時受到影響,因為此時裝置會從閑置狀態變為作用中。 仍然會提示密碼符合需求的使用者變更其密碼。
抹除裝置之前登入失敗次數:輸入抹除裝置之前允許的錯誤密碼數目,最多11個。 您輸入的有效號碼取決於版本。 DeviceLock/MaxDevicePasswordFailedAttempts CSP 會列出支援的值。
0
(零) 可能會停用裝置抹除功能。視版本而定,此設定也會有不同的影響。 如需此設定的特定詳細數據,請參閱 DeviceLock/MaxDevicePasswordFailedAttempts CSP。
停止活動最多分鐘數,直到螢幕鎖定為止:輸入裝置在鎖定螢幕之前必須閑置的時間長度。 例如,輸入
5
以在閑置 5 分鐘後鎖定裝置。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會將它設定為0
(零) ,這不會逾時。密碼到期 (天數) :輸入必須變更裝置密碼的天數長度,從 1 到 365。 例如,輸入
90
以在 90 天后讓密碼過期。 當值為空白時,Intune 不會變更或更新此設定。 根據預設,OS 可能會將它設定為0
(零) ,這不會到期。防止重複使用先前的密碼:輸入先前使用的密碼數目,從 1 到 24。 例如,輸入
5
,讓用戶無法將新密碼設定為其目前密碼或先前四個密碼中的任何一個。 當值為空白時,Intune 不會變更或更新此設定。當裝置從閑置狀態返回時需要密碼 (行動裝置版和全像攝影) : [需要 ] 會強制使用者在閑置之後輸入密碼來解除鎖定裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 在閑置之後可能不需要 PIN 或密碼。
簡單密碼: [封鎖 ] 會防止使用者建立簡單的密碼,例如
1234
或1111
。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓使用者建立簡單的密碼。 此設定也會封鎖圖片密碼的使用。
AADJ 期間的自動加密: [封鎖 ] 會在裝置準備好供第一次使用,以及裝置Microsoft加入 Entra 時,防止自動 BitLocker 裝置加密。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會啟用加密。
BitLocker 裝置加密的詳細資訊。
Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices CSP
美國聯邦資訊處理標準 (FIPS) 原則: [允許 ] 會使用美國聯邦資訊處理標準 (FIPS) 原則,這是美國政府的加密、哈希和簽署標準。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不允許 FIPS。
Windows Hello 裝置驗證: 允許 使用者使用 Windows Hello 隨附裝置,例如手機、健身帶或 IoT 裝置,登入 Windows 10/11 計算機。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止 Windows Hello 隨附裝置進行驗證。
慣用Microsoft租使用者網域:在您的 Microsoft Entra 組織中輸入現有的功能變數名稱。 當此網域中的使用者登入時,他們不需要輸入功能變數名稱。 例如,輸入
contoso.com
。 網域中的contoso.com
使用者可以使用使用者名稱登入,例如abby
,而不是abby@contoso.com
。
個別應用程式隱私權例外狀況
新增 的應用程式應該與您在「預設隱私權」中定義的隱私權行為不同。
- 套件名稱:應用程式套件系列名稱。
- 應用程式名稱:應用程式的名稱。
例外狀況
- 帳戶資訊:定義此應用程式是否可以存取使用者名稱、圖片和其他聯繫人資訊。
- 背景應用程式:定義此應用程式是否可以在背景中執行。
- 行事曆:定義此應用程式是否可以存取行事曆。
- 通話記錄:定義此應用程式是否可以存取我的通話歷程記錄。
- 相機:定義此應用程式是否可以存取相機。
- 連絡人:定義此應用程式是否可以存取聯繫人。
- 電子郵件:定義此應用程式是否可以存取和傳送電子郵件。
- 位置:定義此應用程式是否可以存取位置資訊。
- 傳訊:定義此應用程式是否可以讀取或傳送文字或多媒體簡訊。
- 麥克風:定義此應用程式是否可以使用麥克風。
- 動作:定義此應用程式是否可以存取裝置動作資訊。
- 通知:定義此應用程式是否可以存取通知。
- 電話:定義此應用程式是否可以存取電話。
- 無線電:有些應用程式會使用無線電 (例如,藍牙) 在您的裝置中傳送和接收數據,而且需要開啟或關閉這些無線電。 定義此應用程式是否可以控制這些無線電。
- 工作:定義此應用程式是否可以存取您的工作。
- 信任的裝置:選擇此應用程式是否可以使用受信任的裝置。 受信任的裝置是您已連線的硬體,或裝置隨附的硬體。 例如,使用電視、投影機等作為受信任的裝置。
- 意見反應和診斷:定義此應用程式是否可以存取診斷資訊。
- 與裝置同步:選擇此應用程式是否可以與未明確與裝置配對的無線裝置自動共用和同步資訊。
個人化
這些設定會使用 個人化原則 CSP,其中也會列出支援的 Windows 版本。
桌面背景圖片 URL (僅) :輸入您要做為 Windows 桌面桌布之 .jpg、.jpeg或 .png 格式圖片的 URL。 用戶無法變更圖片。 例如,輸入
https://contoso.com/logo.png
。當保留空白時,Intune 不會變更或更新此設定。
Printer
印表機:使用其網路主機名 (DNS 名稱) 來新增印表機。 OS 會搜尋並安裝裝置上每個印表機的相符印表機驅動程式。 如果您未輸入值,Intune 就不會變更或更新此設定。
默認印表機:輸入已安裝印表機 (DNS 名稱) 網路主機名,以作為預設印表機。 如果您未輸入值,Intune 就不會變更或更新此設定。
新增印表機: [封鎖 ] 會防止使用者新增印表機。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許新增印表機。
隱私權
這些設定會使用 隱私策略 CSP,其中也會列出支援的 Windows 版本。
隱私權體驗: [封鎖 ] 會防止隱私權體驗在使用者登入時開啟,以及防止新使用者和升級的用戶開啟。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
輸入個人化: [封鎖 ] 會防止使用語音進行聽寫,以及與使用Microsoft雲端式語音辨識的應用程式交談。 已停用,且用戶無法使用設定來啟用在線語音辨識。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓用戶選擇。 如果您允許這些服務,Microsoft可能會收集語音數據來改善服務。
自動接受配對和隱私權使用者同意提示:選擇 [ 允許 ],讓 Windows 在執行應用程式時自動接受配對和隱私權同意訊息。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止自動接受。
發佈用戶活動: [封鎖 ] 會防止應用程式和OS發佈用戶活動。 它也會防止共享體驗和探索活動摘要中最近使用的資源。 用戶活動會追蹤使用者在應用程式或OS中工作的狀態。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會啟用這項功能,讓應用程式可以發佈用戶活動。
僅限本機活動: [封鎖 ] 只會根據本機活動,防止共享體驗和在工作切換器中探索最近使用的資源。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
您可以設定裝置上所有應用程式都可以存取的資訊。 此外,使用個別應用程式隱私權例外狀況,根據每個 應用程式定義例外狀況。
例外狀況
- 帳戶資訊:定義此應用程式是否可以存取使用者名稱、圖片和其他聯繫人資訊。
- 背景應用程式:定義此應用程式是否可以在背景中執行。
- 行事曆:定義此應用程式是否可以存取行事曆。
- 通話記錄:定義此應用程式是否可以存取我的通話歷程記錄。
- 相機:定義此應用程式是否可以存取相機。
- 連絡人:定義此應用程式是否可以存取聯繫人。
- 電子郵件:定義此應用程式是否可以存取和傳送電子郵件。
- 位置:定義此應用程式是否可以存取位置資訊。
- 傳訊:定義此應用程式是否可以讀取或傳送文字或多媒體簡訊。
- 麥克風:定義此應用程式是否可以使用麥克風。
- 動作:定義此應用程式是否可以存取裝置動作資訊。
- 通知:定義此應用程式是否可以存取通知。
- 電話:定義此應用程式是否可以存取電話。
- 無線電:有些應用程式會使用無線電 (例如,藍牙) 在您的裝置中傳送和接收數據,而且需要開啟或關閉這些無線電。 定義此應用程式是否可以控制這些無線電。
- 工作:定義此應用程式是否可以存取您的工作。
- 信任的裝置:選擇此應用程式是否可以使用受信任的裝置。 受信任的裝置是您已連線的硬體,或裝置隨附的硬體。 例如,使用電視、投影機等作為受信任的裝置。
- 意見反應和診斷:選擇此應用程式是否可以存取診斷資訊。
- 與裝置同步 - 定義此應用程式是否可以與未明確與此電腦、平板電腦或手機配對的無線裝置自動共用和同步處理資訊。
投影
這些設定會使用 WirelessDisplay原則 CSP,其中也會列出支援的 Windows 版本。
來自無線顯示接收器的使用者輸入: [封鎖 ] 會防止來自無線顯示接收器的用戶輸入。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許無線顯示器將鍵盤、滑鼠、手寫筆和觸控輸入傳送回來源裝置。
WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver CSP
投影至此計算機: [封鎖 ] 會防止其他裝置尋找要投影的裝置,並防止投影到其他裝置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許探索裝置,而且可以投影到鎖定畫面上方的裝置。
需要 PIN 才能配對: 連線 到投影裝置時,一律會提示輸入 PIN。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要 PIN 即可配對裝置。
報告和遙測
如需 Windows 遙測最近變更的相關信息,請參閱 Windows 診斷數據收集的變更。
共用使用量數據:選擇提交的診斷數據層級。 選項包括:
- 未設定: (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇提交的層級。 根據預設,OS 可能不會共用任何數據。
- 診斷數據關閉: (不建議) 。 如需此設定的詳細資訊,請檢閱 CSP 系統/AllowTelemetry 。
- 必要:傳送基本裝置資訊,包括品質相關數據、應用程式相容性,以及其他類似的數據,讓裝置保持安全且最新狀態。
- 增強 (1903 和更早版本) :其他深入解析,包括 Windows、Windows Server、System Center 和應用程式的使用方式、其執行方式、進階可靠性數據,以及 必要層級 的數據。 當此選項部署至執行 Windows 1909 和更新版本的裝置時,裝置會設定為 [必要]。
- 選擇性:識別並協助修正問題所需的所有數據,以及來自 必要 和 增強 層級的數據。
將 Microsoft Edge 瀏覽資料傳送至 Microsoft 365 分析:若要使用此功能,請將 [共用使用量數據 ] 設定設為 [ 增強 ] 或 [ 完整]。 這項功能可控制Edge Microsoft傳送至Microsoft 365 Analytics的數據,適用於具有已設定商業標識符的企業裝置。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 根據預設,OS 可能不會收集或傳送任何瀏覽歷程記錄數據。
- 僅傳送內部網路數據:允許系統管理員傳送內部網路數據歷程記錄。
- 僅傳送因特網數據:允許系統管理員傳送因特網數據歷程記錄。
- 傳送內部網路和因特網數據:允許系統管理員傳送內部網路和因特網數據歷程記錄。
遙測 Proxy 伺服器:使用安全套接字層 (SSL) 連線,輸入 Proxy 伺服器的 FQDN) 或 IP 位址 ( (完整功能變數名稱,以轉送連線的用戶體驗和遙測要求。 此設定的格式為 server:port。 如果具名 Proxy 失敗,或未輸入 Proxy,則不會傳送連線的用戶體驗和遙測數據。 它會保留在本機裝置上。
如果您未輸入值,Intune 就不會變更或更新此設定。 根據預設,OS 可能會使用預設 Proxy 設定,將已連線的用戶體驗和遙測數據傳送至 Microsoft。
範例格式:
IPv4: 192.246.246.106:100 IPv6: [2001:4898:4010:4013:95c1:a8b2:953c:c633]:100 FQDN: www.contoso.com:345
搜尋
這些設定會使用 搜尋原則 CSP,其中也會列出支援的 Windows 版本。
僅限行動裝置 (安全搜尋) :控制 Cortana 在搜尋結果中篩選成人內容的方式。 選項包括:
- 用戶定義:Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇自己的設定。
- 嚴格:針對成人內容進行最高篩選
- 中等:針對成人內容進行中等篩選。 不會篩選有效的搜尋結果。
在搜尋中顯示 Web 結果: [封鎖 ] 會防止使用者使用 Windows 搜尋來搜尋因特網,且 Web 結果不會顯示在 [搜尋] 中。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者搜尋 Web,而結果會顯示在裝置上。
變音符號: [封鎖 ] 可防止在 Windows 搜尋中顯示變音符號。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示變音符號。
自動語言偵測: [封鎖 ] 可防止 Windows 搜尋在編製內容或屬性索引時自動偵測語言。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
搜尋位置: [封鎖 ] 會防止 Windows 搜尋使用位置。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
索引器輪詢: [封鎖 ] 會停用搜尋索引器輪詢功能。 即使系統活動很高,仍會以完整速度繼續編製索引。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當系統活動偏高時,OS 可能會使用輪詢邏輯來節流編製索引活動。
卸除式磁碟驅動器索引: [封鎖 ] 可防止將卸載式磁碟驅動器上的位置新增至連結庫,也無法編製索引。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許這項功能。
低磁碟空間編製索引: 啟用 允許自動編製索引,即使磁碟空間不足也一般。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當硬碟空間為 600 MB 或更少時,OS 可能會關閉自動編製索引。 如果您組織中的裝置的硬碟空間有限,請將它設定為 [未設定]。
遠端查詢: [啟用 ] 允許裝置索引的遠端查詢。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會防止使用者從遠端查詢裝置的索引。
Start
這些設定會使用 啟動原則 CSP,其中也會列出支援的 Windows 版本。
注意事項
Windows 11 目前限制提供自定義 [開始] 和 [任務欄] 體驗的管理功能。 如需詳細資訊,請 參閱 Windows 11 [開始] 功能表支援的設定服務提供者 (CSP) 原則。
開始功能表配置:上傳包含自定義的 XML 檔案,包括應用程式列出的順序等等。 XML 檔案會覆寫預設的開始配置。 使用者無法變更您輸入的開始功能表配置。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
將網站釘選到 [開始] 功能表中的磚:從 Microsoft Edge 匯入影像。 這些影像會在桌面裝置的 Windows [開始] 選單中顯示為連結。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
從任務列取消釘選應用程式: [封鎖 ] 可防止使用者從任務列取消釘選應用程式。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者從任務列取消釘選應用程式。
快速使用者切換: [封鎖 ] 可防止在同時登入的用戶之間切換,而不會註銷。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在使用者磚上顯示 Switch 使用者 。
最常使用的應用程式: [封鎖 ] 會隱藏最常使用的應用程式,使其無法顯示在 [開始] 選單上。 它也會停用 [設定] 應用程式中的對應切換。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示最常使用的應用程式。
最近新增的應用程式: [封鎖 ] 會隱藏 [開始] 功能表上最近新增的應用程式。 它也會停用 [設定] 應用程式中的對應切換。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在 [開始] 功能表上顯示最近新增的應用程式。
開始畫面模式:選擇開始畫面的大小。 選項包括:
- 用戶定義:Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶可以設定大小。
- 全螢幕:強制全螢幕大小為 \[開始\]。
- 非全螢幕:強制非全螢幕大小的 \[開始\]。
[跳躍清單: 封鎖] 中最近開啟的項目會隱藏最近的快捷方式清單,而不會顯示在 [開始] 功能表和任務列上。 它也會停用 [設定] 應用程式中的對應切換。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在 Jumplist 中顯示最近開啟的專案。
應用程式清單:選擇所有應用程式清單的顯示方式。 選項包括:
- 用戶定義:Intune 不會變更或更新此設定。 不會強制進行任何設定。 使用者選擇應用程式清單的顯示方式。
- 折疊:隱藏所有應用程式清單。
- 折疊並停用 [設定] 應用程式:隱藏所有應用程式清單,並停用 [設定 ] 應用程式中 [開始] 功能表中的 [顯示應用程式清單 ]。
- 拿掉並停用 [設定] 應用程式:隱藏所有應用程式清單、移除所有應用程式按鈕,以及停用 [設定] 應用程式 中 [開始] 功能表中的 [顯示應用程式清單 ]。
電源按鈕: [封鎖 ] 會隱藏 [開始] 功能表中的電源按鈕。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示電源按鈕。
使用者磚: [封鎖 ] 會隱藏 [開始] 功能表中的使用者磚。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示用戶磚。 進行下列設定:
- 鎖定: [封鎖 ] 會隱藏 [開始] 功能表中用戶磚中的 [ 鎖定 ] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示 [鎖定 ] 選項。
- 註銷: [封鎖 ] 會隱藏 [開始] 功能表中用戶磚中的 [註 銷 ] 選項。 [未設定 ] (預設) 會顯示 [ 註銷 ] 選項。
關機: [封鎖 ] 會隱藏 [開始] 功能表中電源按鈕中的 [更新] 和 [ 關閉 ] 和 [ 關機 ] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
睡眠: [封鎖 ] 會隱藏 [開始] 功能表中電源按鈕中的 [ 睡眠 ] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
休眠: [封鎖 ] 會隱藏 [開始] 功能表中電源按鈕中的 [休 眠 ] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
切換帳戶: [封鎖 ] 會隱藏 [開始] 功能表中用戶磚中的 [ 切換帳戶 ]。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
重新啟動選項: [封鎖 ] 會隱藏 [開始] 功能表中電源按鈕中的 [更新並重新啟動 ] 和 [ 重新啟動 ] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
[開始] 上的文件:隱藏或顯示 Windows [開始] 選單中的 [檔案] 資料夾。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
[開始] 上的 [下載]:隱藏或顯示 Windows [開始] 選單中的 [下載] 資料夾。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
[開始] 上的 [檔案總管]:隱藏或顯示 Windows [開始] 功能表中的 [檔案總管]。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
[開始] 上的 HomeGroup:隱藏或顯示 Windows [開始] 選單中的 HomeGroup 快捷方式。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
開始時音樂:隱藏或顯示 Windows [開始] 選單中的 [音樂] 資料夾。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
[開始] 上的 [網络]:隱藏或顯示 Windows [開始] 功能表中的 [網络]。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
\[開始\] 上的 \[個人\] 資料夾:隱藏或顯示 Windows \[開始\] 功能表中的 \[個人\] 資料夾。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
[開始] 上的圖片:隱藏或顯示 Windows [開始] 選單中圖片的資料夾。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
[開始] 上的設定:隱藏或顯示 Windows [開始] 選單中的 [設定] 快捷方式。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
[開始] 上的影片:隱藏或顯示 Windows [開始] 選單中影片的資料夾。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶選擇顯示或隱藏快捷方式。
- 隱藏:隱藏快捷方式,且 [設定] 應用程式中的設定已停用。
- 顯示:會顯示快捷方式,且 [設定] 應用程式中的設定已停用。
Microsoft Defender SmartScreen
適用於 Microsoft Edge 的 SmartScreen: [需要 ] 會開啟 Microsoft Defender SmartScreen,並防止使用者將它關閉。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會開啟 SmartScreen,並允許使用者開啟和關閉它。
Microsoft Edge 會使用 Microsoft Defender SmartScreen (開啟) ,以保護使用者免於遭受潛在的網路釣魚詐騙和惡意軟體攻擊。
惡意網站存取: [封鎖 ] 可防止使用者忽略 Microsoft Defender SmartScreen 篩選工具警告,並封鎖他們前往網站。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者忽略警告,並繼續前往網站。
未經驗證的檔案下載: [封鎖 ] 可防止使用者忽略 Microsoft Defender SmartScreen 篩選工具警告,並封鎖他們下載未經驗證的檔案。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者忽略警告,並繼續下載未經驗證的檔案。
Windows 焦點
這些設定會使用 體驗原則 CSP,其也會列出支援的 Windows 版本。
Windows 焦點: [封鎖 ] 會關閉鎖定畫面上的 Windows 焦點、Windows 提示、Microsoft取用者功能和其他相關功能。 如果您的目標是要將來自裝置的網路流量降到最低,請選取 [ 是]。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Windows 焦點功能,而且可能由使用者控制。
Experience/AllowWindowsSpotlight CSP
當設定為 [未設定] 時,您也可以允許或封鎖下列設定:
鎖定畫面上的 Windows 焦點: [封鎖] 會 阻止 Windows 焦點在裝置鎖定畫面上顯示資訊。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在鎖定畫面上顯示 Windows 焦點資訊。
Windows 焦點中的第三方建議: [封鎖 ] 會阻止 Windows 焦點建議Microsoft未發佈的內容。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許來自合作夥伴的應用程式和內容建議,並在 [開始] 功能表和 Windows 提示中顯示建議的應用程式。
取用者功能: [封鎖 ] 會關閉通常適用於取用者的體驗,例如啟動建議、成員資格通知、全新體驗應用程式安裝,以及重新導向磚。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。
Windows 秘訣: [封鎖 ] 會停用彈出視窗提示。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許顯示 Windows 提示。
控制中心的 Windows 焦點: [封鎖 ] 會防止 Windows 焦點通知顯示在控制中心。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在控制中心顯示通知,建議應用程式或功能,以協助使用者在 Windows 上提高生產力。
Windows 焦點個人化: [封鎖 ] 可防止 Windows 使用診斷數據為使用者提供自定義體驗。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許Microsoft使用診斷數據來提供個人化的建議、秘訣和供應專案,以針對使用者的需求量身打造 Windows。
Windows 歡迎使用體驗: [封鎖 ] 會關閉 Windows 焦點 Windows 歡迎體驗功能。 Windows 歡迎使用體驗不會在 Windows 及其應用程式有更新和變更時顯示。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許 Windows 歡迎使用體驗,以顯示使用者有關新功能或更新功能的資訊。
Experience/AllowWindowsSpotlightWindowsWelcomeExperience CSP
Microsoft Defender 防毒軟體
這些設定會使用 Defender原則 CSP,其中也會列出支援的 Windows 版本。
即時監視: [啟用 ] 會開啟惡意代碼、間諜軟體和其他垃圾軟體的實時掃描。 用戶無法將它關閉。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 會開啟這項功能,並允許使用者加以變更。
如果您啟用此設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
行為監視: 啟用 會開啟行為監視,並檢查裝置上可疑活動的特定已知模式。 使用者無法關閉行為監視。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會開啟行為監視,並允許用戶變更它。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
網路檢查系統 (NIS) :NIS 可協助保護裝置免於遭受網路型入侵。 它會使用來自 Microsoft Endpoint Protection Center 的已知弱點簽章,協助偵測和封鎖惡意流量。
啟用:開啟網路保護和網路封鎖。 用戶無法將它關閉。 啟用時,系統會封鎖用戶連線到已知弱點。
未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 會開啟 NIS,並允許使用者變更它。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
掃描所有下載: [啟用 ] 會開啟此設定,Defender 會掃描從因特網下載的所有檔案。 使用者無法關閉此設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會開啟此設定,並允許用戶變更它。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
掃描Microsoft網頁瀏覽器中載入的腳本: [啟用 ] 可讓 Defender 掃描 Internet Explorer 中使用的腳本。 使用者無法關閉此設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會開啟此設定,並允許用戶變更它。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
使用者對 Defender 的存取權: [封鎖 ] 會對使用者隱藏 Microsoft Defender 使用者介面。 也會隱藏所有Microsoft Defender 通知。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者存取 Microsoft Defender UI,並允許用戶變更它。
如果您封鎖設定,然後將其變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
當此設定變更時,它會在下次裝置重新啟動時生效。
安全性情報更新間隔 (以小時為單位) :輸入 Defender 檢查新安全性情報的間隔,從 0 到 24。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 操作系統預設值可能會每隔 8 小時檢查更新一次。
- 請勿檢查:D efender 不會檢查是否有新的安全情報更新。
-
1-24:
1
每小時檢查一次、2
每兩小時檢查一次、24
每天檢查一次等等。
監視檔案和程式活動:允許Defender監視裝置上的檔案和程序活動。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 操作系統預設值可能會監視所有檔案。
- 已停用監視
- 監視所有檔案
- 僅監視傳入檔案
- 僅監視傳出檔案
刪除隔離惡意代碼之前的天數:在您輸入的天數內繼續追蹤已解決的惡意代碼,以便手動檢查先前受影響的裝置。
如果您未設定此設定,或將其設定為
0
天數,惡意代碼會保留在 [隔離] 資料夾中,而且不會自動移除。 設定為90
時,隔離專案會在系統上儲存 90 天,然後移除。掃描期間的 CPU 使用量限制:將允許掃描使用的 CPU 數量從
0
限制為100
百分比。 根據預設,OS 可能會將它設定為 50%。掃描封存盤案: 啟用 會開啟 Defender,以便掃描封存盤案,例如 Zip 或 Cab 檔案。 使用者無法關閉此設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會開啟此掃描,並允許使用者加以變更。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
掃描內送郵件訊息: [啟用 ] 可讓Defender在電子郵件訊息抵達裝置時掃描電子郵件訊息。 啟用時,引擎會剖析信箱和郵件檔案,以分析郵件本文和附件。 您可以掃描 .pst (Outlook) 、.dbx、.mbx、MIME (Outlook Express) ,以及 BinHex (Mac) 格式。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 會關閉此掃描,並允許用戶變更它。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
在完整掃描期間掃描抽取式磁碟驅動器: [啟用 ] 會在完整掃描期間開啟 Defender 卸載式磁碟驅動器掃描。 使用者無法關閉此設定。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓 Defender 掃描抽取式磁碟驅動器,例如 USB 磁碟驅動器,並允許使用者變更此設定。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
在快速掃描期間,可能仍會掃描卸載式磁碟驅動器。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
在完整掃描期間掃描對應的網路驅動器機: [啟用 ] 具有對應網路驅動器機上的Defender掃描檔案。 如果磁碟驅動器上的檔案是唯讀的,Defender 就無法移除其中找到的任何惡意代碼。 使用者無法關閉此設定。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 會開啟這項功能,並允許使用者加以變更。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
在快速掃描期間,可能仍會掃描對應的網路驅動器機。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
掃描從網路資料夾開啟的檔案: [啟用] 會 讓Defender掃描從網路資料夾或共用網路驅動器機開啟的檔案,例如從 UNC 路徑存取的檔案。 使用者無法關閉此設定。 如果磁碟驅動器上的檔案是唯讀的,Defender 就無法移除其中找到的任何惡意代碼。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 會掃描從網路資料夾開啟的檔案,並允許使用者變更檔案。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
雲端保護: [啟用 ] 會開啟 Microsoft Active Protection Service,以從您管理的裝置接收惡意代碼活動的相關信息。 用戶無法變更此設定。
當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 允許Microsoft Active Protection Service 接收資訊,並允許使用者變更此設定。
如果您啟用設定,然後將它變更回 [未設定],則 Intune 會將設定保留在先前設定的狀態。
Intune 不會關閉這項功能。 若要停用它,請使用自定義 URI。
在提交範例之前提示使用者:控制可能需要進一步分析的潛在惡意檔案是否會自動傳送至Microsoft。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 操作系統預設值可能會自動傳送安全範例。
- 一律提示
- 傳送個人資料之前提示
- 永不傳送數據
- 傳送所有數據而不提示:自動傳送數據。
執行每日快速掃描的時間:選擇執行每日快速掃描的小時。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在上午 2 點執行此掃描。
如果您想要進行更多自定義,請設定 系統掃描類型以執行 設定。
要執行的系統掃描類型:排程系統掃描,包括掃描層級,以及執行掃描的日期和時間。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 不會強制進行任何設定。 用戶可以視需要或需要在其裝置上手動執行掃描。
- 停用:停用裝置上的任何系統掃描。 如果您使用可掃描裝置的合作夥伴防病毒軟體解決方案,請選擇此選項。
-
快速掃描:查看可能註冊惡意代碼的常見位置,例如登錄機碼和已知的 Windows 啟動資料夾。
- 排程的日期:選擇要執行掃描的日期。
- 排程的時間:選擇執行掃描的小時。
-
完整掃描:查看可能註冊惡意代碼的常見位置,也會掃描裝置上的每個檔案和資料夾。
- 排程的日期:選擇要執行掃描的日期。
- 排程的時間:選擇執行掃描的小時。
提示
此設定可能會與 執行每日快速掃描設定的時間 衝突。 一些建議:
如果您想要排程每日快速掃描和每周完整掃描,則:
- 設定執行 每日快速掃描設定的時間 。
- 設定 要執行的系統掃描類型以執行 完整掃描。
如果您每天只想要一次快速掃描 (沒有完整掃描) ,請使用設定: 執行每日快速掃描的時間 或 要執行的系統掃描類型。 例如,若要在每個星期二上午 6 點執行快速掃描,請設定 系統掃描類型以執行 設定。
請勿將 [要執行的系統掃描類型] 設定為 [快速掃描],同時設定 [執行每日快速掃描的時間] 設定。 這些設定可能會發生衝突,而且掃描可能不會執行。
Defender/ScanParameter CSP
Defender/ScheduleScanDay CSP
Defender/ScheduleScanTime CSP偵測潛在的垃圾應用程式:這項功能會識別並封鎖PUA) (可能不需要的應用程式,而無法在您的網路中下載和安裝。 這些應用程式不會被視為病毒、惡意代碼或其他類型的威脅。 但是,它們可以在可能影響其效能或使用的端點上執行動作。 選擇 Windows 偵測到 PUA 時的保護層級。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,Microsoft Defender 可能會停用此功能。
- 關閉 或 停用:關閉 PUA 保護。
- 啟用:Microsoft Defender 偵測到 PUA,並封鎖偵測到的專案。 這些專案會與其他威脅一起顯示在歷程記錄中。
- 稽核:Microsoft Defender 偵測 PUA,但不採取任何動作。 您可以檢閱 Defender 會採取動作Microsoft應用程式的相關信息。 例如,在事件查看器中搜尋 Microsoft Defender 所建立的事件。
在 Endpoint Security>Antivirus>Microsoft Defender 防病毒軟體>補救中,此設定稱為動作 ,可對潛在的垃圾應用程式採取動作。
如需潛在垃圾應用程式的詳細資訊,請 參閱偵測和封鎖潛在的垃圾應用程式。
提交範例同意:目前,此設定沒有任何影響。 請勿使用此設定。 在未來的版本中可能會移除它。
在 [存取保護] 上:[封鎖 ] 會防止掃描已存取或下載的檔案。 用戶無法開啟它。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會啟用這項功能,並允許用戶變更它。
如果您封鎖設定,然後將它變更回 [未設定],則 Intune 會將設定保留為先前 OS 設定的狀態。
Intune 不會開啟這項功能。 若要啟用它,請使用自定義 URI。
偵測到惡意代碼威脅的動作:選取 [ 啟用 ] 以選擇您希望 Defender 針對偵測到的每個威脅層級採取的動作:低、中、高和嚴重。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會讓 Microsoft Defender 選擇最佳選項。
當設定為 [啟用] 時,選取動作:
- Clean
- 隔離區
- Remove
- Allow
- 用戶定義
- 封鎖
如果您的動作無法執行,則 Microsoft Defender 會選擇最佳選項,以確保已補救威脅。
Microsoft Defender 防病毒軟體排除專案
您可以藉由修改排除清單,將特定檔案從 Microsoft Defender 防病毒軟體掃描中排除。 一般而言,您應該不需要套用排除專案。 Microsoft Defender 防病毒軟體包含一些根據已知操作系統行為和一般管理檔案的自動排除專案,例如用於企業管理、資料庫管理,以及其他企業案例和情況的檔案。
警告
定義排除專案可降低 Microsoft Defender 防病毒軟體所提供的保護。 一律評估與實作排除專案相關聯的風險。 僅排除您知道不是惡意的檔案。
- 要從掃描和即時保護中排除的檔案和資料夾:將 C:\Path 或 %ProgramFiles%\Path\filename.exe 等一或多個檔案和資料夾新增至排除清單。 這些檔案和資料夾不會包含在任何即時或排程的掃描中。
- 要從掃描和即時保護中排除的擴展名:將 jpg 或 txt 等一或多個擴展名新增至排除清單。 任何具有這些擴展名的檔案都不包含在任何即時或排程掃描中。
- 要從掃描和即時保護中排除的進程:將類型為.exe、.com 或 .scr 的一或多個進程新增至排除清單。 這些進程不會包含在任何即時或排程掃描中。
電源設定
這些設定會使用 電源原則 CSP,其也會列出支援的 Windows 版本。
電池
開啟省電模式的電池電量:當裝置使用電池電力時,請輸入電池電量等級以開啟 0-100 的省電模式。 輸入指出電池電量等級的百分比值。 例如,當設定為
80
時,當電池的可用性為 80% 或更少時,會開啟能源保護功能。如果您未輸入值,Intune 就不會變更或更新此設定。 根據預設,OS 可能會將它設定為 70%。
僅限行動裝置 (蓋關閉) :當裝置使用電池電力時,請選擇當蓋子關閉時會發生什麼情況。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者控制此設定。
- 無動作:裝置會保持開啟狀態,並繼續使用電池電力。
- 睡眠:裝置進入睡眠模式,並使用少量電池電量。 計算機仍處於開啟狀態,且開啟的應用程式和檔案會儲存在隨機存取記憶體中, (RAM) 。
- 休眠:裝置進入休眠模式。 開啟的應用程式和檔案會儲存在硬碟上,且裝置會關閉。
- 關機:裝置關機。 開啟的應用程式和檔案會關閉而不儲存。
電源按鈕:當裝置使用電池電源時,請選擇選取 [電源] 按鈕時會發生什麼情況。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者控制此設定。
- 無動作:裝置會保持開啟狀態,並繼續使用電池電力。
- 睡眠:裝置進入睡眠模式,並使用少量電池電量。 計算機仍處於開啟狀態,且開啟的應用程式和檔案會儲存在隨機存取記憶體中, (RAM) 。
- 休眠:裝置進入休眠模式。 開啟的應用程式和檔案會儲存在硬碟上,且裝置會關閉。
- 關機:裝置關機。 開啟的應用程式和檔案會關閉而不儲存。
睡眠按鈕:當裝置使用電池電源時,請選擇選取 [睡眠] 按鈕時會發生什麼情況。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者控制此設定。
- 無動作:裝置會保持開啟狀態,並繼續使用電池電力。
- 睡眠:裝置進入睡眠模式,並使用少量電池電量。 計算機仍處於開啟狀態,且開啟的應用程式和檔案會儲存在隨機存取記憶體中, (RAM) 。
- 休眠:裝置進入休眠模式。 開啟的應用程式和檔案會儲存在硬碟上,且裝置會關閉。
- 關機:裝置關機。 開啟的應用程式和檔案會關閉而不儲存。
混合式睡眠:當裝置使用電池電源時,請選擇允許或停用混合式睡眠模式。
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者控制此設定。
- 啟用:裝置可以進入混合式睡眠模式。 開啟的應用程式和檔案會儲存在隨機存取記憶體 (RAM) ,以及硬碟上。 它會使用少量的電池電量。
- 停用:防止裝置進入混合式睡眠模式。
PluggedIn
開啟省電模式的電池電量:當裝置插入電源時,請輸入電池電量等級,以開啟 0-100 的省電模式。 輸入指出電池電量等級的百分比值。 例如,當設定為
80
時,當電池的可用性為 80% 或更少時,會開啟能源保護功能。如果您未輸入值,Intune 就不會變更或更新此設定。 根據預設,OS 可能會將它設定為 70%。
隱藏 (行動裝置僅) :插入裝置時,選擇關閉蓋子時會發生什麼情況。 選項包括:
未設定 (預設) :Intune 不會變更或更新此設定。
無動作:裝置會保持開啟狀態。
睡眠:裝置進入睡眠模式。 計算機仍處於開啟狀態,且開啟的應用程式和檔案會儲存在隨機存取記憶體中, (RAM) 。
休眠:裝置進入休眠模式。 開啟的應用程式和檔案會儲存在硬碟上,且裝置會關閉。
關機:裝置關機。 開啟的應用程式和檔案會關閉而不儲存。
電源按鈕:插入裝置時,選擇選取 [電源] 按鈕時會發生什麼情況。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 無動作:裝置會保持開啟狀態。
- 睡眠:裝置進入睡眠模式。 計算機仍處於開啟狀態,且開啟的應用程式和檔案會儲存在隨機存取記憶體中, (RAM) 。
- 休眠:裝置進入休眠模式。 開啟的應用程式和檔案會儲存在硬碟上,且裝置會關閉。
- 關機:裝置關機。 開啟的應用程式和檔案會關閉而不儲存。
睡眠按鈕:當裝置插入時,請選擇選取 [睡眠] 按鈕時會發生什麼情況。 選項包括:
- 未設定 (預設) :Intune 不會變更或更新此設定。
- 無動作:裝置會保持開啟狀態。
- 睡眠:裝置進入睡眠模式。 計算機仍處於開啟狀態,且開啟的應用程式和檔案會儲存在隨機存取記憶體中, (RAM) 。
- 休眠:裝置進入休眠模式。 開啟的應用程式和檔案會儲存在硬碟上,且裝置會關閉。
- 關機:裝置關機。 開啟的應用程式和檔案會關閉而不儲存。
混合式睡眠:當裝置插入時,請選擇允許或停用混合式睡眠模式。
- 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者控制此設定。
- 啟用:裝置可以進入混合式睡眠模式。 開啟的應用程式和檔案會儲存在隨機存取記憶體 (RAM) ,以及硬碟上。
- 停用:防止裝置進入混合式睡眠模式。
後續步驟
如需每個設定以及支援哪些 Windows 版本的其他技術詳細數據,請參閱 Windows 10/11 原則 CSP 參考