Als Administrator, der die Microsoft Windows 10/11-Geräte Ihrer Organisation mit der Windows-Geräteverwaltung von Google verwaltet, können Sie in der Admin-Konsole benutzerdefinierte Einstellungen hinzufügen. Dieser Artikel kann als Referenz für viele gängige Einstellungen dienen. Eine Anleitung zum Hinzufügen der Einstellungen in der Admin-Konsole finden Sie im Hilfeartikel Benutzerdefinierte Einstellungen für Windows 10-Geräte hinzufügen, bearbeiten oder löschen.
Hinweis:Die folgenden Informationen dienen lediglich als Referenz, Microsoft kann die Funktionsweise der Einstellungen jederzeit ändern.
Bevor Sie diese Einstellungen anwenden
- Google bietet keinen technischen Support für Produkte oder Einstellungen von Drittanbietern an und übernimmt keine diesbezügliche Verantwortung. Die aktuellen Konfigurations- und Supportinformationen finden Sie auf der Website zum jeweiligen Produkt.
- Prüfen Sie den Umfang, die Editionen und das anwendbare Betriebssystem.
- Lesen Sie die Microsoft-Dokumentation. Die jeweiligen Links stehen in den folgenden Einstellungsbeschreibungen unter Name.
- Testen Sie das Verhalten, bevor Sie die Einstellungen in der Produktionsumgebung verwenden.
Geräteverwaltung
Nutzer daran hindern, ein Gerät abzumelden
Name:AllowManualMDMUnenrollment
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment
Datentyp:Ganzzahl
Wert:0 = Abmeldung durch Nutzer verhindern, 1 = Abmeldung durch Nutzer zulassen (Standard).
Hinweis: Wenn der Wert auf 0 gesetzt ist, können selbst Nutzerkonten mit lokalem Administratorzugriff das Gerät nicht abmelden. In diesem Fall kann das Gerät nur über die Admin-Konsole abgemeldet werden. Weitere Informationen
Sicherheit
Nutzer daran hindern, VPN-Einstellungen zu ändern
Name:AllowVPN
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
Datentyp:Ganzzahl
Wert:0 = Nutzeränderungen an VPN-Einstellungen verhindern, 1 = Nutzeränderungen an VPN-Einstellungen zulassen (Standard)
Nutzerzugriff auf Einstellungen steuern
Name:PageVisibilityList
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/PageVisibilityList
Datentyp:String
Wert:Geben Sie mithilfe der Präfixe showonly: oder hide: an, welche Seite angezeigt oder ausgeblendet werden soll. Wenn Sie beispielsweise die VPN-Einstellungen ausblenden möchten, verwenden Sie hide:network-vpn. Der Standardwert ist ein leerer String, der alle Seiten anzeigt.
Eine vollständige Liste der Seiten, die Sie anzeigen oder ausblenden können, finden Sie in der Microsoft-Referenz. Geben Sie nur den zweiten Teil des Seiten-URI ein, nicht das Präfix ms-settings:.
Nutzer daran hindern, Autoplay-Einstellungen zu ändern
Name:AllowAutoPlay
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowAutoPlay
Datentyp:Ganzzahl
Wert:0 = Nutzeränderungen verhindern, 1 = Nutzeränderungen an Autoplay-Einstellungen zulassen (Standard)
Gerät automatisch sperren, nachdem es eine bestimmte Zeit lang inaktiv war (in Minuten)
Um eine Zeitüberschreitung einzustellen, müssen Sie auch die Gerätesperre explizit einschalten:
- Stellen Sie die Zeitüberschreitung für Inaktivität ein:
Name:MaxInactivityTimeDeviceLock
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
Datentyp:Ganzzahl
Wert:0–999, 0 = kein Zeitlimit (Standard)
- Aktivieren Sie die Gerätesperre.
Verhindern, dass sich Nutzer per Fernzugriff mit Remote Desktop verbinden
Name:AllowUsersToConnectRemotely
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
Datentyp:String
Wert:Geben Sie <disabled /> ein, um den Remote Desktop-Zugriff zu blockieren.
Regeln zur Verringerung der Angriffsfläche festlegen
Name:AttackSurfaceReductionRules
OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Datentyp:String
Wert:Eine Liste von Regel-GUIDs und ihren Werten im Format {GUID-1}=Wert|{GUID-2}=Wert|...{GUID-N}=Wert. Der Wert kann 0 = Deaktivieren, 1 = Blockieren oder 2 = Überprüfen sein.
Beispiel:
- Ausführbare Inhalte in E‑Mail-Clients und Webmail blockieren
- Verhindern, dass Office-Anwendungen Code in andere Prozesse einfügen
Geben Sie {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550}=1|{75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84}=1 ein.
Eine vollständige Liste der Regeln und ihrer GUIDs finden Sie in der Microsoft-Dokumentation.
Um zu bestätigen, dass die Richtlinie auf einem Gerät wie vorgesehen funktioniert, können Sie die Microsoft-Demoszenarien zur Reduzierung der Angriffsfläche auf einem Gerät verwenden und die Gerätereaktion in der App Event Viewer (Ereignisanzeige) verfolgen. Weitere Informationen
Gerätepasswort erzwingen und Gerätesperre einschalten
Wird auf Geräten, auf denen der Google-Anmeldeinformationsanbieter für Windows (GCPW) verwendet wird, nicht unterstützt. Legen Sie stattdessen Passwortanforderungen in der Admin-Konsole fest. Weitere Informationen
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Datentyp:Ganzzahl
Wert:0 = aktiviert (Standard), 1 = deaktiviert
Wenn Sie die Gerätesperre aktivieren, werden von Microsoft einige Kennwortanforderungen gestellt. Wir empfehlen, dass Sie sich die Dokumentation zu den Einstellungen ansehen.
Verhindern, dass auf dem Sperrbildschirm Diashows abgespielt werden
Name:PreventLockScreenSlideShow
OMA-URI: ./Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
Datentyp:String
Wert:Wenn Sie verhindern möchten, dass eine Diashow auf dem Sperrbildschirm abgespielt wird, geben Sie <enabled /> ein (Groß- und Kleinschreibung beachten).
Hardware und Netzwerk
WLAN-Profile einrichten
Name:WlanXml
OMA-URI: ./Vendor/MSFT/WiFi/Profile/<SSID eingeben>/WlanXml
Ersetzen Sie <SSID eingeben> durch den Namen Ihres WLAN-Netzwerks.
Datentyp:String (XML)
Wert:Laden Sie eine XML-Datei im folgenden Format hoch. Sie können die XML-Datei aus einer vorhandenen WLAN-Verbindung erstellen oder die folgende Beispielvorlage bearbeiten. Aktualisieren Sie gegebenenfalls die Netzwerkparameter, z. B. die folgenden:
SSID(in<name>): Geben Sie den Namen des WLAN-Netzwerks ein.Password(in<keyMaterial>): Wenn Sie ein Passwort für die Authentifizierung verwenden, geben Sie das WLAN-Passwort ein. Wenn Sie eine andere Authentifizierung nutzen, finden Sie im Artikel zu Schema-Elementen des WLAN-Profils (in englischer Sprache) weitere Informationen.- Geben Sie in
<connectionMode>die Optionautoein, um das Gerät automatisch mit dem WLAN-Netzwerk zu verbinden, oder die Optionmanual, wenn Nutzer sich manuell verbinden müssen.
Weitere Details zu Parametern und Optionen finden Sie in der Microsoft-Dokumentation zu Schema-Elementen des WLAN-Profils (in englischer Sprache).
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>SSID</name>
<SSIDConfig>
<SSID>
<name>SSID</name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>Password</keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
Kamera deaktivieren
Name:AllowCamera
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Camera/AllowCamera
Datentyp:Ganzzahl
Wert:0 = Kamera deaktivieren, 1 = Kamera aktivieren (Standard)
USB-Speicher und SD-Karten deaktivieren
Name:AllowStorageCard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard
Datentyp:Ganzzahl
Wert:0 = USB-Speicher deaktivieren und SD-Karten blockieren, 1 = USB-Speicher aktivieren und SD-Karten zulassen (Standard)
Marketingmitteilungen per Bluetooth deaktivieren
Name:AllowAdvertising
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
Datentyp:Ganzzahl
Wert:0 = Marketingmitteilungen deaktivieren. Das Gerät kann nicht von Bluetooth-Geräten gefunden werden. 1 = Marketingmitteilungen aktivieren. Das Gerät kann von Bluetooth-Geräten erkannt werden (Standardeinstellung).
Bluetooth deaktivieren
Name:AllowBluetooth
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
Datentyp:Ganzzahl
Wert:0 = Bluetooth deaktivieren, 2 = Bluetooth aktivieren (Standard)
Schreibzugriff auf Wechseldatenträger blockieren
Name:RemovableDiskDenyWriteAccess
OMA-URI: ./[Device|User]/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
Datentyp:Ganzzahl
Wert:0 = Schreibzugriff auf Wechseldatenträger zulassen (Standard), 1 = Schreibzugriff auf Wechseldatenträger blockieren
Nutzer daran hindern, Drucker hinzuzufügen
OMA-URI: ./User/Vendor/MSFT/Policy/Config/Education/PreventAddingNewPrinters
Datentyp:Ganzzahl
Wert:0 = Hinzufügen von Druckern zulassen (Standard), 1 = Hinzufügen von Druckern und Scannern deaktivieren
Software
Cortana deaktivieren
Name:AllowCortana
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana
Datentyp:Ganzzahl
Wert:0 = Cortana deaktivieren, 1 = Cortana aktivieren (Standard)
Windows-Blickpunkt-Benachrichtigungen im Info-Center blockieren
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowWindowsSpotlight
Datentyp:Ganzzahl
Wert:0 = Blickpunkt-Benachrichtigungen deaktivieren, 1 = Blickpunkt-Benachrichtigungen aktivieren (Standard)
Gerät nach einer bestimmten Zeit der Inaktivität automatisch in den Ruhemodus versetzen
Richtlinienname:StandbyTimeoutOnBattery
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutOnBattery
Datentyp:SyncML-XML-Datei
Wert:Wenn die Einstellung deaktiviert oder nicht konfiguriert ist, können Nutzer sie selbst festlegen.
Apps blockieren, die nicht aus dem Microsoft Store stammen
Name:AllowAllTrustedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps
Datentyp:Ganzzahl
Wert:0 = Apps blockieren, die nicht aus dem Microsoft Store stammen, 1 = Alle Apps zulassen, 65535 = Nicht konfiguriert (Standard)
OneDrive deaktivieren
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync
Datentyp:Ganzzahl
Wert:0 = Zugriff auf OneDrive-Dateispeicher zulassen (Standard), 1 = Zugriff auf OneDrive-Dateispeicher blockieren
Erweiterte Spieldienste blockieren
Durch erweiterte Spieldienste werden möglicherweise Daten an Microsoft oder die Herausgeber der Spiele gesendet.
Name:AllowAdvancedGamingServices
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Games/AllowAdvancedGamingServices
Datentyp:Ganzzahl
Wert:0 = Erweiterte Spieldienste blockieren, 1 = Erweiterte Spieldienste zulassen (Standard)
Alle nicht signierten oder bestimmte Apps blockieren
Name:Richtlinie (Teil des AppLocker-CSPs)
OMA-URI: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Gruppierung eingeben>/[EXE | StoreApps | MSI | Script | DLL]/Policy
Datentyp:String (XML)
Wert:Eine XML-Datei, die die Anwendung und die Gruppen oder Nutzer enthält, für die die Richtlinie gilt. Eine Anleitung finden Sie unter Anwendungen mit benutzerdefinierten Einstellungen blockieren.
Microsoft Store-Apps blockieren
Name:DisableStoreOriginatedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps
Datentyp:Ganzzahl
Wert:0 = Ausführung aller Apps aus dem Microsoft Store (vorinstalliert oder heruntergeladen) zulassen (Standard), 1 = Ausführung von Apps aus dem Microsoft Store blockieren
Nur Apps aus dem privaten Store Ihrer Organisation im Microsoft Store zulassen
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/RequirePrivateStoreOnly
Datentyp:Ganzzahl
Wert:0 = Zugriff auf Apps im öffentlichen und privaten Store zulassen (Standard), 1 = Zugriff auf den öffentlichen Store blockieren und nur den Zugriff auf den privaten Store zulassen
Standortdienst erzwingen oder deaktivieren
Name:AllowLocation
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
Datentyp:Ganzzahl
Wert:0 = Deaktivierung des Standortdienstes erzwingen. Keine App hat Zugriff darauf und Nutzer können diese Einstellung nicht ändern. 1 = Nutzer können Datenschutzeinstellungen für Standortdaten der jeweiligen App festlegen (Standard). 2 = Standortdienste erzwingen. Alle Apps können auf den Standortdienst zugreifen. Nutzer können diese Einstellung nicht ändern und ihre Einwilligung nicht erteilen.
Screenshots, Aufnahme und Übertragung über Game DVR verhindern
Name:AllowGameDVR
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/AllowGameDVR
Datentyp:Ganzzahl
Wert:0 = Spielleiste blockieren, 1 = Spielleiste zulassen (Standard)
Personalisierung
Desktop-Bild festlegen
Name:DesktopImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/DesktopImageUrl
Datentyp:String
Wert:Die URL eines Bildes, z. B. https://www.mycompany.com/desktopimage.JPG oder file:///c:/images/desktopimage.jpg.
Sperrbildschirm festlegen
Name:LockScreenImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/LockScreenImageUrl
Datentyp:String
Wert:Die URL eines Bildes, z. B. https://www.mycompany.com/desktopimage.JPG oder file:///c:/images/desktopimage.jpg.
Datenschutz
Einrichtungsbildschirm für Datenschutzeinstellungen überspringen
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisablePrivacyExperience
Datentyp:Ganzzahl
Wert:0 = Der Einrichtungsbildschirm für Datenschutzeinstellungen wird angezeigt, wenn Nutzer sich zum ersten Mal oder nach einem Upgrade anmelden (Standard), 1 = Einrichtung für Datenschutzeinstellungen nicht anzeigen. Wenn Sie Datenschutzeinstellungen für Geräte in Ihrer Organisation mit Richtlinien festlegen, können Sie den Bildschirm überspringen, mit dem Nutzer zum Ändern der Einstellungen aufgefordert werden.
Online-Spracherkennung für alle Apps blockieren
Name:AllowInputPersonalization
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/AllowInputPersonalization
Datentyp:Ganzzahl
Wert:0 = Spracherkennung für die Spracheingabe, Cortana und andere Apps verhindern, die die Spracherkennung von Microsoft verwenden. 1 = Nutzern erlauben, die Online-Spracherkennung zu aktivieren oder zu deaktivieren (Standard).
Werbe-ID deaktivieren
Name:DisableAdvertisingId
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisableAdvertisingId
Datentyp:Ganzzahl
Wert:0 = Werbe-ID deaktivieren, 1 = Werbe-ID aktivieren und Nutzer daran hindern, eine Deaktivierung vorzunehmen, 65535 = Nicht konfiguriert, Steuerung durch Nutzer (Standard)
Updates im Aktivitätsfeed verhindern
Name:EnableActivityFeed
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/EnableActivityFeed
Datentyp:Ganzzahl
Wert:0 = Apps daran hindern, Geräteaktivität im Feed zu veröffentlichen und sie an Microsoft zu senden, 1 = Apps erlauben, den Aktivitätsfeed zu aktualisieren (Standard)
Standortzugriff für Windows-Apps blockieren
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/LetAppsAccessLocation
Datentyp:Ganzzahl
Wert:0 = Nutzersteuerung zulassen (Standard), 1 = Standortzugriff für Windows-Apps erzwingen, 2 = Blockierung des Standortzugriffs für Windows-Apps erzwingen
Hinweis:AllowLocation hat Vorrang vor „LetAppsAccessLocation“.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.