Как администратор, управляющий устройствами Microsoft Windows 10 или 11 вашей организации с помощью системы управления устройствами Windows от Google, вы можете добавлять пользовательские настройки в консоли администратора Google. Используйте эту статью в качестве справочника по многим распространенным настройкам. Чтобы узнать, как добавить настройки в консоли администратора, перейдите в раздел «Добавление, редактирование или удаление пользовательских настроек для устройств Windows 10 или 11» .
Примечание: Приведенная ниже информация предоставлена для вашего удобства и ознакомления, однако компания Microsoft может изменить поведение этих настроек.
Перед применением этих настроек
- Компания Google не оказывает техническую поддержку и не несет ответственности за продукты или настройки сторонних производителей. Актуальную информацию о конфигурации и поддержке см. на веб-сайте соответствующего продукта.
- Подтвердите область применения, редакции и применимую операционную систему.
- Ознакомьтесь с документацией Microsoft. Ссылки приведены в описаниях следующих параметров в разделе «Имя» .
- Перед применением этих настроек в рабочей среде протестируйте работу системы.
Управление устройствами
Запретить пользователям отменять регистрацию устройства.
Имя: AllowManualMDMUnenrollment
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment
Тип данных: Целое число
Значение: 0 = Запретить пользователям отмену регистрации, 1 = Разрешить пользователям отмену регистрации (по умолчанию).
Примечание. Если значение равно 0, даже учетные записи пользователей с правами локального администратора не смогут отменить регистрацию устройства. Чтобы отменить регистрацию устройства, если значение равно 0, используйте консоль администратора. Узнайте, как это сделать.
Безопасность
Заблокировать пользователям возможность изменять настройки VPN.
Имя: AllowVPN
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
Тип данных: Целое число
Значение: 0 = Запретить пользователям изменять настройки VPN, 1 = Разрешить пользователям изменять настройки VPN (по умолчанию)
Контроль доступа пользователей к настройкам
Имя: PageVisibilityList
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/PageVisibilityList
Тип данных: Строка
Значение: Укажите страницу, которую нужно показать или скрыть, используя префиксы showonly: или hide: Например, чтобы скрыть настройки VPN, используйте hide:network-vpn . По умолчанию отображается пустая строка, которая показывает все страницы.
Полный список страниц, которые можно отображать или скрывать, см. в справочнике Microsoft . Вводите только вторую часть URI страницы, без префикса ms-settings: :.
Запретить пользователям изменять настройки автовоспроизведения.
Имя: AllowAutoPlay
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowAutoPlay
Тип данных: Целое число
Значение: 0 = Блокировать изменения, вносимые пользователем, 1 = Разрешить пользователям изменять настройки автовоспроизведения (по умолчанию)
Автоматическая блокировка устройства после истечения заданного времени бездействия (в минутах).
Для установки тайм-аута необходимо также явно включить блокировку устройства:
- Установите тайм-аут бездействия:
Имя: MaxInactivityTimeDeviceLock
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
Тип данных: Целое число
Значение: 0–999, 0 = Нет тайм-аута (по умолчанию)
- Включите блокировку устройства .
Заблокировать пользователям возможность удаленного подключения через удаленный рабочий стол.
Имя: AllowUsersToConnectRemotely
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
Тип данных: Строка
Значение: Чтобы заблокировать доступ к удаленному рабочему столу, введите <disabled /> .
Установить правила уменьшения поверхности атаки
Название: Правила уменьшения площади атаки
OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Тип данных: Строка
Значение: Список GUID правил и их значений в формате { GUID-1 }= значение |{ GUID-2 }= значение |...{ GUID-N }= значение . Значение может быть 0 = Отключить, 1 = Заблокировать или 2 = Проверить.
Например, для обеспечения соблюдения следующих правил:
- Блокировка исполняемого содержимого в почтовых клиентах и веб-почте.
- Блокировка приложений Office от внедрения кода в другие процессы
введите {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550}=1|{75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84}=1
Полный список правил и их GUID см. в документации Microsoft .
Чтобы убедиться, что политика работает должным образом на устройстве, вы можете использовать демонстрационные сценарии Microsoft по снижению поверхности атаки на устройстве и отслеживать реакцию устройства в приложении «Просмотр событий» . Подробнее.
Запрашивать пароль устройства и включить блокировку устройства.
Не поддерживается на устройствах, использующих Google Credential Provider for Windows (GCPW). Вместо этого установите требования к паролям в консоли администратора. Подробнее.
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Тип данных: Целое число
Значение: 0 = включено (по умолчанию), 1 = выключено
При включении блокировки устройства Microsoft применяет ряд требований к паролю. Рекомендуем ознакомиться с документацией по настройкам.
Запретить воспроизведение слайд-шоу на экране блокировки
Название: PreventLockScreenSlideShow
OMA-URI: ./Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
Тип данных: Строка
Значение: Чтобы предотвратить воспроизведение слайд-шоу на экране блокировки, введите <enabled /> (регистр имеет значение).
Аппаратное обеспечение и сеть
Настройка профилей Wi-Fi
Имя: WlanXml
OMA-URI: ./Vendor/MSFT/WiFi/Profile/<Введите SSID>/WlanXml
Замените <Введите SSID> на название сети Wi-Fi.
Тип данных: Строка (XML)
Значение: Загрузите XML-файл в следующем формате. Вы можете создать XML-файл, используя существующее Wi-Fi-соединение , или отредактировать следующий пример шаблона. При необходимости обновите параметры сети, например, следующие:
-
SSID(в<name>) — Введите название сети Wi-Fi. -
Password(в<keyMaterial>) — Если вы используете пароль для аутентификации, введите пароль Wi-Fi. Если вы используете другой тип аутентификации, узнайте, как его отформатировать в разделе «Элементы схемы WLAN_profile» . - В
<connectionMode>введитеauto, чтобы устройство автоматически подключалось к сети Wi-Fi, илиmanual, чтобы пользователю потребовалось подключиться вручную.
Для получения более подробной информации о параметрах и опциях ознакомьтесь с документацией Microsoft по элементам схемы WLAN_profile .
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name> SSID </name>
<SSIDConfig>
<SSID>
<name> SSID </name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial> Password </keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
Отключите камеру
Имя: AllowCamera
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Camera/AllowCamera
Тип данных: Целое число
Значение: 0 = Отключить камеру, 1 = Включить камеру (по умолчанию)
Отключите USB-накопители и SD-карты.
Имя: AllowStorageCard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard
Тип данных: Целое число
Значение: 0 = Отключить USB-накопители и заблокировать использование SD-карт, 1 = Включить USB-накопители и разрешить использование SD-карт (по умолчанию)
Отключить рекламу Bluetooth
Название: AllowAdvertising
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
Тип данных: Целое число
Значение: 0 = Отключить рекламу. Устройство не может быть обнаружено устройствами Bluetooth. 1 = Включить рекламу. Устройство может быть обнаружено устройствами Bluetooth (по умолчанию).
Отключить Bluetooth
Имя: AllowBluetooth
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
Тип данных: Целое число
Значение: 0 = Отключить Bluetooth, 2 = Включить Bluetooth (по умолчанию)
Блокировка доступа на запись к съемным дискам
Имя: RemovableDiskDenyWriteAccess
OMA-URI: ./[Устройство|Пользователь]/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
Тип данных: Целое число
Значение: 0 = Разрешить запись на съемные диски (по умолчанию), 1 = Заблокировать запись на съемные диски
Запретить пользователям добавлять принтеры.
Название: Предотвращение добавления новых принтеров
OMA-URI: ./User/Vendor/MSFT/Policy/Config/Education/PreventAddingNewPrinters
Тип данных: Целое число
Значение: 0 = Разрешить пользователю добавлять принтеры (по умолчанию), 1 = Запретить добавление принтеров и сканеров.
Программное обеспечение
Отключить Кортану
Имя: AllowCortana
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana
Тип данных: Целое число
Значение: 0 = Отключить Cortana, 1 = Включить Cortana (по умолчанию)
Блокировка уведомлений Windows Spotlight в Центре уведомлений
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowWindowsSpotlight
Тип данных: Целое число
Значение: 0 = Отключить уведомления Spotlight, 1 = Включить уведомления Spotlight (по умолчанию)
Автоматический перевод устройства в спящий режим после истечения заданного времени бездействия.
Название политики: StandbyTimeoutOnBattery
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutOnBattery
Тип данных: XML-файл SyncML
Значение: Если параметр отключен или не настроен, пользователи управляют этим параметром.
Блокировка приложений, не входящих в Microsoft Store.
Имя: AllowAllTrustedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps
Тип данных: Целое число
Значение: 0 = Блокировать приложения, не относящиеся к Microsoft Store, 1 = Разрешить все приложения, 65535 = Не настроено (по умолчанию)
Отключить OneDrive
Название: DisableOneDriveFileSync
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync
Тип данных: Целое число
Значение: 0 = Разрешить доступ к хранилищу файлов OneDrive (по умолчанию), 1 = Заблокировать доступ к хранилищу файлов OneDrive
Блокировка расширенных игровых сервисов
Расширенные игровые сервисы могут отправлять данные в Microsoft или издателям игр.
Название: AllowAdvancedGamingServices
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Games/AllowAdvancedGamingServices
Тип данных: Целое число
Значение: 0 = Блокировать расширенные игровые сервисы, 1 = Разрешить расширенные игровые сервисы (по умолчанию)
Заблокируйте все неподписанные приложения или определенные приложения.
Название: Политика (часть AppLocker CSP )
OMA-URI: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Введите группировку>/[EXE | StoreApps | MSI | Script | DLL]/Policy
Тип данных: Строка (XML)
Значение: XML-файл, определяющий приложение и группы или пользователей, к которым применяется политика. Инструкции см. в разделе «Блокировка приложений с пользовательскими настройками» .
Блокировка приложений из Microsoft Store
Название: DisableStoreOriginatedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps
Тип данных: Целое число
Значение: 0 = Разрешить запуск всех приложений из Microsoft Store (предустановленных или загруженных) (по умолчанию), 1 = Заблокировать запуск приложений из Microsoft Store
Разрешите в Microsoft Store только приложения из личного магазина вашей организации.
Название: RequirePrivateStoreOnly
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/RequirePrivateStoreOnly
Тип данных: Целое число
Значение: 0 = Разрешить доступ к приложениям как в общедоступном, так и в частном магазине (по умолчанию), 1 = Заблокировать доступ к общедоступному магазину и разрешить доступ только к частному магазину.
Принудительное включение или отключение службы определения местоположения
Имя: AllowLocation
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
Тип данных: Целое число
Значение: 0 = Принудительное отключение определения местоположения. Ни одно приложение не может получить доступ к службе определения местоположения, и пользователи не могут изменить эту настройку. 1 = Разрешить пользователям устанавливать параметры конфиденциальности местоположения для каждого приложения (по умолчанию). 2 = Принудительное включение определения местоположения. Все приложения могут получить доступ к службе определения местоположения, и пользователи не могут изменить эту настройку или дать согласие.
Блокировка захвата, записи и трансляции экрана через Game DVR
Имя: AllowGameDVR
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/AllowGameDVR
Тип данных: Целое число
Значение: 0 = Заблокировать игровую панель, 1 = Разрешить игровую панель (по умолчанию)
Персонализация
Установить изображение рабочего стола
Имя: DesktopImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/DesktopImageUrl
Тип данных: Строка
Значение: URL изображения, например, https://www.mycompany.com/desktopimage.JPG или file:///c:/images/desktopimage.jpg.
Установить изображение для экрана блокировки
Имя: LockScreenImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/LockScreenImageUrl
Тип данных: Строка
Значение: URL изображения, например, https://www.mycompany.com/desktopimage.JPG или file:///c:/images/desktopimage.jpg.
Конфиденциальность
Пропустите экран настройки параметров конфиденциальности.
Название: DisablePrivacyExperience
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisablePrivacyExperience
Тип данных: Целое число
Значение: 0 = Показывать экран настройки параметров конфиденциальности при первом входе пользователей в систему или после обновления (по умолчанию), 1 = Не показывать экран настройки параметров конфиденциальности. Если вы устанавливаете параметры конфиденциальности для устройств в вашей организации с помощью политик, вы можете пропустить этот экран, который предлагает пользователям изменить настройки.
Блокировка онлайн-распознавания речи для всех приложений
Имя: AllowInputPersonalization
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/AllowInputPersonalization
Тип данных: Целое число
Значение: 0 = Блокировать распознавание речи для диктовки, Cortana и других приложений, использующих распознавание речи от Microsoft. 1 = Разрешить пользователям включать или отключать онлайн-распознавание речи (по умолчанию).
Отключить рекламный идентификатор
Имя: DisableAdvertisingId
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisableAdvertisingId
Тип данных: Целое число
Значение: 0 = Отключить рекламный идентификатор, 1 = Включить рекламный идентификатор и запретить пользователям его отключение, 65535 = Не настроено, и пользователь имеет право управления (по умолчанию)
Блокировать обновления ленты активности
Название: EnableActivityFeed
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/EnableActivityFeed
Тип данных: Целое число
Значение: 0 = Запретить приложениям публиковать данные об активности устройства в ленту активности и отправлять их в Microsoft, 1 = Разрешить приложениям обновлять ленту активности (по умолчанию)
Заблокировать доступ к местоположению для приложений Windows
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/LetAppsAccessLocation
Тип данных: Целое число
Значение: 0 = Разрешить пользователям управлять (по умолчанию), 1 = Принудительно разрешить доступ к местоположению для приложений Windows, 2 = Принудительно заблокировать доступ к местоположению для приложений Windows
Примечание: AllowLocation имеет приоритет над LetAppsAccessLocation.
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.