אדמינים שמנהלים את מכשירי Microsoft Windows 10 או 11 של הארגון באמצעות ניהול מכשירי Windows של Google יכולים להוסיף הגדרות בהתאמה אישית במסוף Google Admin. במאמר הזה מפורטות הגדרות נפוצות רבות. איך מוסיפים, עורכים או מוחקים הגדרות בהתאמה אישית למכשירי Windows 10 או Windows 11
הערה: המידע הבא מסופק לנוחיותכם ולעיון, אבל מיקרוסופט עשויה לשנות את אופן הפעולה של ההגדרות האלה.
לפני שמחילים את ההגדרות האלה
- Google לא מספקת תמיכה טכנית למוצרים או להגדרות של צד שלישי, ולא נושאת באחריות להם. כדאי לעיין באתר של המוצר כדי לקבל את המידע העדכני על ההגדרה והתמיכה.
- מאשרים את ההיקף, המהדורות ומערכת ההפעלה הרלוונטית.
- מעיינים בתיעוד של מיקרוסופט. הקישורים מופיעים בתיאורי ההגדרות הבאים בקטע שם.
- מומלץ לבדוק את ההתנהגות לפני שמחילים את ההגדרות האלה בסביבת הייצור.
ניהול מכשירים
חסימת האפשרות של משתמשים לבטל את ההרשמה של מכשיר
שם: AllowManualMDMUnenrollment
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment
סוג הנתונים: מספר שלם
ערך: 0 = חסימת ביטול ההרשמה על ידי המשתמשים, 1 = מתן אפשרות למשתמשים לבטל את ההרשמה (ברירת מחדל).
הערה אם הערך מוגדר כ-0, גם חשבונות משתמשים עם גישת אדמין מקומית לא יכולים לבטל את ההרשמה של המכשיר. כדי לבטל את ההרשמה של מכשיר כשהערך מוגדר ל-0, צריך להשתמש במסוף Admin. איך עושים את זה
אבטחה
חסימת האפשרות של המשתמשים לשנות את הגדרות ה-VPN
שם: AllowVPN
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
סוג הנתונים: מספר שלם
ערך: 0 = חסימת שינויים בהגדרות ה-VPN על ידי המשתמשים, 1 = המשתמשים יכולים לשנות את הגדרות ה-VPN (ברירת מחדל)
שליטה בגישת המשתמשים להגדרות
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/PageVisibilityList
סוג הנתונים: מחרוזת
ערך: מציינים את הדף שרוצים להציג או להסתיר באמצעות הקידומות showonly: או hide:. לדוגמה, כדי להסתיר את הגדרות ה-VPN, משתמשים ב-hide:network-vpn. ברירת המחדל היא מחרוזת ריקה, שגורמת להצגת כל הדפים.
רשימה מלאה של הדפים שאפשר להציג או להסתיר זמינה במאמר העזר של מיקרוסופט. מזינים רק את החלק השני של ה-URI של הדף, בלי הקידומת ms-settings:.
חסימת האפשרות של המשתמשים לשנות את הגדרות ההפעלה האוטומטית
שם: AllowAutoPlay
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowAutoPlay
סוג הנתונים: מספר שלם
ערך: 0 = חסימת שינויים על ידי המשתמשים, 1 = מתן אפשרות למשתמשים לשנות את הגדרות ההפעלה האוטומטית (ברירת מחדל)
נעילה אוטומטית של מכשיר אחרי שהוא לא פעיל במשך זמן מוגדר (בדקות)
כדי להגדיר פסק זמן, צריך גם להפעיל במפורש את נעילת המכשיר:
- מגדירים את הזמן הקצוב לתפוגה של חוסר פעילות:
שם: MaxInactivityTimeDeviceLock
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
סוג הנתונים: מספר שלם
ערך: 0 עד 999, 0 = ללא זמן קצוב לתפוגה (ברירת מחדל)
- הפעלת נעילת המכשיר
חסימת משתמשים מחיבור מרחוק באמצעות Remote Desktop
שם: AllowUsersToConnectRemotely
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
סוג הנתונים: מחרוזת
ערך: כדי לחסום את הגישה לשולחן עבודה מרוחק, מזינים <disabled />.
הגדרת כללים לצמצום שטח ההתקפה
שם: AttackSurfaceReductionRules
OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
סוג הנתונים: מחרוזת
הערך: רשימה של מזהי GUID של כללים והערכים שלהם, בפורמט {GUID-1}=value|{GUID-2}=value|...{GUID-N}=value. הערך value יכול להיות 0 = השבתה, 1 = חסימה או 2 = ביקורת.
לדוגמה, כדי לאכוף את הכללים הבאים:
- חסימה של תוכן הפעלה מתוכנת אימייל ומדואר אינטרנטי
- חסימת אפליקציות Office מהחדרת קוד לתהליכים אחרים
מזינים {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550}=1|{75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84}=1
רשימה מלאה של הכללים ומזהי ה-GUID שלהם זמינה במסמכי העזרה של מיקרוסופט.
כדי לוודא שהמדיניות פועלת כמצופה במכשיר, אפשר להשתמש בתרחישי ההדגמה של Microsoft לצמצום פני השטח להתקפה במכשיר ולעקוב אחרי תגובת המכשיר באפליקציית Event Viewer. מידע נוסף
דרישה לסיסמת מכשיר והפעלה של נעילת המכשיר
לא נתמך במכשירים שמשתמשים בספק פרטי הכניסה של Google ל-Windows (GCPW). במקום זאת, מגדירים דרישות לסיסמה במסוף Admin. מידע נוסף
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
סוג הנתונים: מספר שלם
ערך: 0 = מופעל (ברירת מחדל), 1 = מושבת
כשמפעילים את נעילת המכשיר, מיקרוסופט מחילה כמה דרישות לסיסמה. מומלץ לעיין במסמכי ההגדרות.
איך מונעים את ההפעלה של מצגות במסך הנעילה
שם: PreventLockScreenSlideShow
OMA-URI: ./Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
סוג הנתונים: מחרוזת
ערך: כדי למנוע את הפעלת הצגת השקפים במסך הנעילה, מזינים <enabled /> (הערך תלוי באותיות רישיות).
חומרה ורשת
הגדרת פרופילי Wi-Fi
שם: WlanXml
OMA-URI: ./Vendor/MSFT/WiFi/Profile/<Enter SSID>/WlanXml
מחליפים את <Enter SSID> בשם של רשת ה-Wi-Fi.
סוג הנתונים: מחרוזת (XML)
ערך: מעלים קובץ XML בפורמט הבא. אפשר ליצור את קובץ ה-XML מחיבור Wi-Fi קיים, או לערוך את תבנית הדוגמה הבאה. מעדכנים את הפרמטרים של הרשת לפי הצורך, למשל:
-
SSID(ב-<name>) – מזינים את השם של רשת ה-Wi-Fi. -
Password(ב-<keyMaterial>) – אם אתם משתמשים בסיסמה לאימות, מזינים את הסיסמה ל-Wi-Fi. אם משתמשים בסוג אחר של אימות, אפשר לקרוא על הפורמט שלו ברכיבי הסכימה של פרופיל WLAN. - ב-
<connectionMode>, מזיניםautoכדי לחבר את המכשיר לרשת ה-Wi-Fi באופן אוטומטי, או מזיניםmanualכדי לדרוש מהמשתמש להתחבר באופן ידני.
לפרטים נוספים על פרמטרים ואפשרויות, אפשר לעיין במסמכי העזרה של מיקרוסופט בנושא WLAN_profile Schema Elements.
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>SSID</name>
<SSIDConfig>
<SSID>
<name>SSID</name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>Password</keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
השבתת המצלמה
שם: AllowCamera
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Camera/AllowCamera
סוג הנתונים: מספר שלם
ערך: 0 = השבתת המצלמה, 1 = הפעלת המצלמה (ברירת מחדל)
השבתה של כונני USB וכרטיסי SD
שם: AllowStorageCard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard
סוג הנתונים: מספר שלם
ערך: 0 = השבתה של כונני USB וחסימה של השימוש בכרטיסי SD, 1 = הפעלה של כונני USB והתרת השימוש בכרטיסי SD (ברירת מחדל)
השבתה של מודעות Bluetooth
שם: AllowAdvertising
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
סוג הנתונים: מספר שלם
ערך: 0 = השבתת הפרסום. מכשירי Bluetooth לא יכולים לגלות את המכשיר. 1 = הפעלת פרסום. מכשירי Bluetooth יכולים לגלות את המכשיר (ברירת מחדל).
השבתה של Bluetooth
שם: AllowBluetooth
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
סוג הנתונים: מספר שלם
ערך: 0 = השבתת Bluetooth, 2 = הפעלת Bluetooth (ברירת מחדל)
חסימת גישת כתיבה לדיסקים נשלפים
שם: RemovableDiskDenyWriteAccess
OMA-URI: ./[Device|User]/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
סוג הנתונים: מספר שלם
ערך: 0 = מתן הרשאת כתיבה לדיסקים נשלפים (ברירת מחדל), 1 = חסימת הרשאת כתיבה לדיסקים נשלפים
חסימת האפשרות של המשתמשים להוסיף מדפסות
OMA-URI: ./User/Vendor/MSFT/Policy/Config/Education/PreventAddingNewPrinters
סוג הנתונים: מספר שלם
ערך: 0 = המשתמשים יכולים להוסיף מדפסות (ברירת מחדל), 1 = השבתת האפשרות להוסיף מדפסות וסורקים
תוכנה
השבתת Cortana
שם: AllowCortana
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana
סוג הנתונים: מספר שלם
ערך: 0 = השבתת Cortana, 1 = הפעלת Cortana (ברירת מחדל)
חסימת התראות של Windows Spotlight במרכז הפעולות
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowWindowsSpotlight
סוג הנתונים: מספר שלם
ערך: 0 = השבתת התראות של Spotlight, 1 = הפעלת התראות של Spotlight (ברירת מחדל)
העברה אוטומטית של מכשיר למצב שינה אחרי שהוא לא פעיל במשך זמן מוגדר
שם המדיניות: StandbyTimeoutOnBattery
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutOnBattery
סוג הנתונים: קובץ SyncML XML
ערך: אם ההגדרה מושבתת או לא מוגדרת, המשתמשים שולטים בהגדרה.
חסימה של אפליקציות שלא מגיעות מחנות Microsoft
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps
סוג הנתונים: מספר שלם
ערך: 0 = חסימת אפליקציות שלא מ-Microsoft Store, 1 = אישור כל האפליקציות, 65535 = לא מוגדר (ברירת מחדל)
השבתת OneDrive
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync
סוג הנתונים: מספר שלם
ערך: 0 = מתן גישה לאחסון קבצים ב-OneDrive (ברירת מחדל), 1 = חסימת הגישה לאחסון קבצים ב-OneDrive
חסימה של שירותי גיימינג מתקדמים
שירותי משחקים מתקדמים עשויים לשלוח נתונים ל-Microsoft או למפרסמים של המשחקים.
שם:AllowAdvancedGamingServices
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Games/AllowAdvancedGamingServices
סוג הנתונים: מספר שלם
ערך: 0 = חסימת שירותי משחקים מתקדמים, 1 = הרשאת שירותי משחקים מתקדמים (ברירת מחדל)
חסימה של כל האפליקציות הלא חתומות או של אפליקציות ספציפיות
שם: מדיניות (חלק מ-AppLocker CSP)
OMA-URI:./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/[EXE | StoreApps | MSI | Script | DLL]/Policy
סוג הנתונים: מחרוזת (XML)
ערך: קובץ XML שמציין את האפליקציה ואת הקבוצות או המשתמשים שהמדיניות חלה עליהם. הוראות מפורטות זמינות במאמר בנושא חסימת אפליקציות באמצעות הגדרות מותאמות אישית.
חסימה של אפליקציות מ-Microsoft Store
שם: DisableStoreOriginatedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps
סוג הנתונים: מספר שלם
ערך: 0 = הרשאה להפעיל את כל האפליקציות מחנות Microsoft (מותקנות מראש או שהורדו) (ברירת מחדל), 1 = חסימת הפעלת אפליקציות מחנות Microsoft
אפשר להתקין רק אפליקציות מהחנות הפרטית של הארגון בחנות Microsoft
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/RequirePrivateStoreOnly
סוג הנתונים: מספר שלם
ערך: 0 = הרשאת גישה לאפליקציות בחנות הציבורית ובחנות הפרטית (ברירת מחדל), 1 = חסימת הגישה לחנות הציבורית והרשאת גישה רק לחנות הפרטית
הפעלה או השבתה של שירותי המיקום
שם: AllowLocation
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
סוג הנתונים: מספר שלם
ערך: 0 = השבתת המיקום. לאף אפליקציה אין גישה לשירות המיקום, והמשתמשים לא יכולים לשנות את ההגדרה. 1 = המשתמשים יכולים להגדיר את הגדרות הפרטיות של המיקום לכל אפליקציה (ברירת מחדל). 2 = המיקום יופעל בכוח. לכל האפליקציות יש גישה לשירות המיקום, והמשתמשים לא יכולים לשנות את ההגדרה או לתת הסכמה.
חסימת צילום מסך, הקלטה ושידור באמצעות Game DVR
שם: AllowGameDVR
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/AllowGameDVR
סוג הנתונים: מספר שלם
ערך: 0 = חסימת סרגל המשחקים, 1 = התרת סרגל המשחקים (ברירת מחדל)
התאמה אישית
הגדרת תמונת שולחן העבודה
שם: DesktopImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/DesktopImageUrl
סוג הנתונים: מחרוזת
ערך: כתובת ה-URL של תמונה, למשל https://www.mycompany.com/desktopimage.JPG או file:///c:/images/desktopimage.jpg.
הגדרת תמונה למסך הנעילה
OMA-URI: ./Vendor/MSFT/Personalization/LockScreenImageUrl
סוג הנתונים: מחרוזת
ערך: כתובת ה-URL של תמונה, למשל https://www.mycompany.com/desktopimage.JPG או file:///c:/images/desktopimage.jpg.
פרטיות
דילוג על מסך ההגדרה של הגדרות הפרטיות
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisablePrivacyExperience
סוג הנתונים: מספר שלם
ערך: 0 = הצגת מסך ההגדרה של הגדרות הפרטיות כשמשתמשים נכנסים לחשבון בפעם הראשונה או אחרי שדרוג (ברירת מחדל), 1 = לא מוצגת הגדרת הפרטיות. אם הגדרתם מדיניות לגבי הגדרות הפרטיות במכשירים בארגון, יכול להיות שתרצו לדלג על המסך הזה, שבו מוצגת למשתמשים הנחיה לשנות את ההגדרות.
חסימת זיהוי דיבור אונליין לכל האפליקציות
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/AllowInputPersonalization
סוג הנתונים: מספר שלם
ערך: 0 = חסימת זיהוי דיבור להכתבה, ל-Cortana ולאפליקציות אחרות שמשתמשות בזיהוי דיבור של מיקרוסופט. 1 = המשתמשים יכולים להפעיל או להשבית את זיהוי הדיבור אונליין (ברירת מחדל).
השבתת מזהה הפרסום
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisableAdvertisingId
סוג הנתונים: מספר שלם
ערך: 0 = השבתת מזהה הפרסום, 1 = הפעלת מזהה הפרסום וחסימת האפשרות של המשתמשים להשבית אותו, 65535 = לא מוגדר והמשתמשים יכולים לשלוט בו (ברירת מחדל)
חסימת עדכונים בפיד הפעילות
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/EnableActivityFeed
סוג הנתונים: מספר שלם
ערך: 0 = חסימת האפשרות של אפליקציות לפרסם את הפעילות במכשיר בפיד הפעילות ולשלוח אותה ל-Microsoft, 1 = אפשרות לאפליקציות לעדכן את פיד הפעילות (ברירת מחדל)
חסימת הגישה למיקום באפליקציות ל-Windows
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/LetAppsAccessLocation
סוג הנתונים: מספר שלם
ערך: 0 = מאפשר למשתמשים לשלוט (ברירת מחדל), 1 = מאפשר גישה למיקום באפליקציות ל-Windows, 2 = חוסם גישה למיקום באפליקציות ל-Windows
הערה: AllowLocation מקבלת עדיפות על פני LetAppsAccessLocation.
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.