Là quản trị viên quản lý các thiết bị Microsoft Windows 10 hoặc 11 của tổ chức bằng giải pháp quản lý thiết bị Windows của Google, bạn có thể thêm các chế độ cài đặt tuỳ chỉnh trong Bảng điều khiển dành cho quản trị viên của Google. Hãy tham khảo bài viết này để biết nhiều chế độ cài đặt phổ biến. Để tìm hiểu cách thêm các chế độ cài đặt này trong bảng điều khiển dành cho quản trị viên, hãy xem bài viết Thêm, chỉnh sửa hoặc xoá chế độ cài đặt tuỳ chỉnh cho thiết bị chạy Windows 10 hoặc 11.
Lưu ý: Thông tin sau đây được cung cấp để bạn tham khảo và thuận tiện sử dụng, nhưng Microsoft có thể thay đổi hành vi của các chế độ cài đặt này.
Trước khi bạn áp dụng các chế độ cài đặt này
- Google không cung cấp dịch vụ hỗ trợ kỹ thuật hoặc chịu trách nhiệm cho sản phẩm hoặc chế độ cài đặt của bên thứ ba. Hãy tham khảo trang web của sản phẩm để biết thông tin mới nhất về cấu hình và dịch vụ hỗ trợ.
- Xác nhận phạm vi, phiên bản và hệ điều hành áp dụng.
- Xem tài liệu của Microsoft. Các đường liên kết được cung cấp trong phần mô tả chế độ cài đặt sau đây trong mục Tên.
- Hãy kiểm tra hành vi trước khi áp dụng các chế độ cài đặt này trong môi trường thực tế.
Quản lý thiết bị
Chặn người dùng huỷ đăng ký thiết bị
Tên: AllowManualMDMUnenrollment
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn người dùng huỷ đăng ký, 1 = Cho phép người dùng huỷ đăng ký (mặc định).
Lưu ý Khi được đặt thành 0, ngay cả những tài khoản người dùng có quyền quản trị cục bộ cũng không thể huỷ đăng ký thiết bị. Để huỷ đăng ký thiết bị khi được đặt thành 0, hãy sử dụng Bảng điều khiển dành cho quản trị viên. Tìm hiểu cách thực hiện
Bảo mật
Không cho phép người dùng thay đổi chế độ cài đặt VPN
Tên: AllowVPN
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn người dùng thay đổi chế độ cài đặt VPN, 1 = Cho phép người dùng thay đổi chế độ cài đặt VPN (mặc định)
Kiểm soát quyền truy cập của người dùng vào phần Cài đặt
Tên: PageVisibilityList
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/PageVisibilityList
Loại dữ liệu: Chuỗi
Giá trị: Chỉ định trang cần hiện hoặc ẩn bằng cách sử dụng tiền tố showonly: hoặc hide:. Ví dụ: để ẩn chế độ cài đặt VPN, hãy dùng hide:network-vpn. Giá trị mặc định là một chuỗi trống, cho thấy tất cả các trang.
Để xem danh sách đầy đủ các trang mà bạn có thể hiện hoặc ẩn, hãy truy cập vào tài liệu tham khảo của Microsoft. Chỉ nhập phần thứ hai của URI trang, chứ không nhập tiền tố ms-settings:.
Không cho phép người dùng thay đổi chế độ cài đặt Tự động phát
Tên: AllowAutoPlay
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowAutoPlay
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn người dùng thay đổi, 1 = Cho phép người dùng thay đổi chế độ cài đặt Tự động phát (mặc định)
Tự động khoá thiết bị sau khi thiết bị ở trạng thái không hoạt động trong một khoảng thời gian nhất định (tính bằng phút)
Để thiết lập thời gian chờ, bạn cũng phải bật chế độ khoá thiết bị một cách rõ ràng:
- Đặt thời gian chờ không hoạt động:
Tên: MaxInactivityTimeDeviceLock
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
Loại dữ liệu: Số nguyên
Giá trị: 0 – 999, 0 = Không có thời gian chờ (mặc định)
- Bật tính năng khoá thiết bị.
Không cho phép người dùng kết nối từ xa bằng Remote Desktop
Tên: AllowUsersToConnectRemotely
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
Loại dữ liệu: Chuỗi
Giá trị: Để chặn quyền truy cập vào Remote Desktop, hãy nhập <disabled />.
Đặt quy tắc Giảm bề mặt tấn công
Tên: AttackSurfaceReductionRules
OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Loại dữ liệu: Chuỗi
Giá trị: Danh sách các GUID quy tắc và giá trị của chúng, có định dạng {GUID-1}=value|{GUID-2}=value|...{GUID-N}=value. value có thể là 0 = Disable (Tắt), 1 = Block (Chặn) hoặc 2 = Audit (Kiểm tra).
Ví dụ: để thực thi các quy tắc sau:
- Chặn nội dung thực thi trong ứng dụng email và webmail
- Chặn các ứng dụng Office chèn mã vào các quy trình khác
nhập {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550}=1|{75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84}=1
Để xem danh sách đầy đủ các quy tắc và mã nhận dạng chung duy nhất (GUID) của các quy tắc đó, hãy xem tài liệu của Microsoft.
Để xác nhận chính sách đang hoạt động như dự kiến trên thiết bị, bạn có thể sử dụng các tình huống minh hoạ Giảm bề mặt tấn công của Microsoft trên thiết bị và theo dõi phản hồi của thiết bị trong ứng dụng Trình xem sự kiện. Tìm hiểu thêm
Yêu cầu mật khẩu của thiết bị và bật tính năng khoá thiết bị
Không được hỗ trợ trên các thiết bị sử dụng Trình cung cấp thông tin đăng nhập Google dành cho Windows (GCPW). Thay vào đó, hãy đặt yêu cầu về mật khẩu trong Bảng điều khiển dành cho quản trị viên. Tìm hiểu thêm
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Loại dữ liệu: Số nguyên
Giá trị: 0 = đã bật (mặc định), 1 = đã tắt
Khi bạn bật tính năng khoá thiết bị, Microsoft sẽ áp dụng một số yêu cầu về mật khẩu. Bạn nên tham khảo tài liệu về chế độ cài đặt.
Ngăn trình chiếu phát trên màn hình khoá
Tên: PreventLockScreenSlideShow
OMA-URI: ./Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
Loại dữ liệu: Chuỗi
Giá trị: Để ngăn trình chiếu phát trên màn hình khoá, hãy nhập <enabled /> (phân biệt chữ hoa chữ thường).
Phần cứng và mạng
Thiết lập hồ sơ Wi-Fi
Tên: WlanXml
OMA-URI: ./Vendor/MSFT/WiFi/Profile/<Enter SSID>/WlanXml
Thay <Nhập SSID> bằng tên của mạng Wi-Fi
Loại dữ liệu: Chuỗi (XML)
Giá trị: Tải tệp XML lên theo định dạng sau. Bạn có thể tạo tệp XML từ một kết nối Wi-Fi hiện có hoặc chỉnh sửa mẫu sau đây. Cập nhật các thông số mạng theo yêu cầu, chẳng hạn như:
SSID(trong<name>) – Nhập tên mạng Wi-Fi.Password(trong<keyMaterial>) – Nếu bạn sử dụng mật khẩu để xác thực, hãy nhập mật khẩu Wi-Fi. Nếu bạn sử dụng một loại phương thức xác thực khác, hãy tìm hiểu cách định dạng phương thức đó trong Các phần tử giản đồ WLAN_profile.- Trong
<connectionMode>, hãy nhậpautođể tự động kết nối thiết bị với mạng Wi-Fi hoặc nhậpmanualđể yêu cầu người dùng kết nối theo cách thủ công.
Để biết thêm thông tin chi tiết và các lựa chọn về tham số, hãy tham khảo tài liệu của Microsoft về Các phần tử lược đồ WLAN_profile.
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>SSID</name>
<SSIDConfig>
<SSID>
<name>SSID</name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>Password</keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
Tắt camera
Tên: AllowCamera
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Camera/AllowCamera
Loại dữ liệu: Số nguyên
Giá trị: 0 = Tắt camera, 1 = Bật camera (mặc định)
Tắt ổ đĩa USB và thẻ SD
Tên: AllowStorageCard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard
Loại dữ liệu: Số nguyên
Giá trị: 0 = Tắt ổ USB và chặn sử dụng thẻ SD, 1 = Bật ổ USB và cho phép sử dụng thẻ SD (mặc định)
Tắt quảng cáo qua Bluetooth
Tên: AllowAdvertising
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
Loại dữ liệu: Số nguyên
Giá trị: 0 = Tắt quảng cáo. Các thiết bị Bluetooth không phát hiện được thiết bị này. 1 = Bật quảng cáo. Các thiết bị Bluetooth có thể phát hiện thiết bị này (mặc định).
Tắt Bluetooth
Tên: AllowBluetooth
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
Loại dữ liệu: Số nguyên
Giá trị: 0 = Tắt Bluetooth, 2 = Bật Bluetooth (mặc định)
Chặn quyền ghi vào ổ đĩa di động
Tên: RemovableDiskDenyWriteAccess
OMA-URI: ./[Device|User]/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
Loại dữ liệu: Số nguyên
Giá trị: 0 = Cho phép quyền ghi vào ổ đĩa di động (mặc định), 1 = Chặn quyền ghi vào ổ đĩa di động
Chặn người dùng thêm máy in
OMA-URI: ./User/Vendor/MSFT/Policy/Config/Education/PreventAddingNewPrinters
Loại dữ liệu: Số nguyên
Giá trị: 0 = Cho phép người dùng thêm máy in (mặc định), 1 = Tắt tính năng thêm máy in và máy quét
Phần mềm
Tắt Cortana
Tên: AllowCortana
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana
Loại dữ liệu: Số nguyên
Giá trị: 0 = Tắt Cortana, 1 = Bật Cortana (mặc định)
Chặn thông báo của Windows Spotlight trong Trung tâm hành động
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowWindowsSpotlight
Loại dữ liệu: Số nguyên
Giá trị: 0 = Tắt thông báo nổi bật, 1 = Bật thông báo nổi bật (mặc định)
Tự động chuyển thiết bị sang chế độ ngủ sau khi thiết bị ở trạng thái không hoạt động trong một khoảng thời gian nhất định
Tên chính sách: StandbyTimeoutOnBattery
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutOnBattery
Loại dữ liệu: Tệp XML SyncML
Giá trị: Nếu bị tắt hoặc chưa được định cấu hình, người dùng sẽ kiểm soát chế độ cài đặt này.
Chặn các ứng dụng không phải của Microsoft Store
Tên: AllowAllTrustedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn các ứng dụng không phải của Microsoft Store, 1 = Cho phép tất cả ứng dụng, 65535 = Chưa được định cấu hình (mặc định)
Tắt OneDrive
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync
Loại dữ liệu: Số nguyên
Giá trị: 0 = Cho phép truy cập vào bộ nhớ lưu trữ tệp trên OneDrive (mặc định), 1 = Chặn quyền truy cập vào bộ nhớ lưu trữ tệp trên OneDrive
Chặn dịch vụ trò chơi nâng cao
Các dịch vụ trò chơi nâng cao có thể gửi dữ liệu tới Microsoft hoặc nhà phát hành trò chơi.
Tên:AllowAdvancedGamingServices
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Games/AllowAdvancedGamingServices
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn dịch vụ trò chơi nâng cao, 1 = Cho phép dịch vụ trò chơi nâng cao (mặc định)
Chặn tất cả ứng dụng chưa ký hoặc một số ứng dụng cụ thể
Tên: Chính sách (một phần của AppLocker CSP)
OMA-URI:./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/[EXE | StoreApps | MSI | Script | DLL]/Policy
Loại dữ liệu: Chuỗi (XML)
Giá trị: Một tệp XML chỉ định ứng dụng và các nhóm hoặc người dùng mà chính sách áp dụng. Để biết hướng dẫn, hãy xem bài viết Chặn ứng dụng bằng chế độ cài đặt tuỳ chỉnh.
Chặn ứng dụng Microsoft Store
Tên: DisableStoreOriginatedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps
Loại dữ liệu: Số nguyên
Giá trị: 0 = Cho phép tất cả ứng dụng từ Microsoft Store (được cài đặt sẵn hoặc tải xuống) chạy (mặc định), 1 = Chặn các ứng dụng đang chạy từ Microsoft Store
Chỉ cho phép các ứng dụng từ cửa hàng riêng tư của tổ chức bạn trong Microsoft Store
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/RequirePrivateStoreOnly
Loại dữ liệu: Số nguyên
Giá trị: 0 = Cho phép truy cập vào các ứng dụng trong cả cửa hàng công khai và cửa hàng riêng tư (mặc định), 1 = Chặn quyền truy cập vào cửa hàng công khai và chỉ cho phép truy cập vào cửa hàng riêng tư
Bật hoặc tắt dịch vụ vị trí
Tên: AllowLocation
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
Loại dữ liệu: Số nguyên
Giá trị: 0 = Buộc tắt dịch vụ vị trí. Không có ứng dụng nào có thể truy cập vào Dịch vụ vị trí và người dùng không thể thay đổi chế độ cài đặt này. 1 = Cho phép người dùng đặt chế độ cài đặt Quyền riêng tư của thông tin vị trí cho từng ứng dụng (mặc định). 2 = Buộc bật dịch vụ vị trí. Tất cả ứng dụng đều có thể truy cập vào Dịch vụ vị trí và người dùng không thể thay đổi chế độ cài đặt hoặc cấp sự đồng ý.
Chặn tính năng chụp ảnh màn hình, ghi hình và phát sóng thông qua DVR trò chơi
Tên: AllowGameDVR
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/AllowGameDVR
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn thanh trò chơi, 1 = Cho phép thanh trò chơi (mặc định)
Cá nhân hoá
Đặt hình ảnh cho máy tính
Tên: DesktopImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/DesktopImageUrl
Loại dữ liệu: Chuỗi
Giá trị: URL của một hình ảnh, chẳng hạn như https://www.mycompany.com/desktopimage.JPG hoặc file:///c:/images/desktopimage.jpg.
Đặt hình ảnh trên màn hình khoá
Tên: LockScreenImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/LockScreenImageUrl
Loại dữ liệu: Chuỗi
Giá trị: URL của một hình ảnh, chẳng hạn như https://www.mycompany.com/desktopimage.JPG hoặc file:///c:/images/desktopimage.jpg.
Quyền riêng tư
Bỏ qua màn hình thiết lập chế độ cài đặt quyền riêng tư
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisablePrivacyExperience
Loại dữ liệu: Số nguyên
Giá trị: 0 = Hiện màn hình thiết lập chế độ cài đặt quyền riêng tư khi người dùng đăng nhập lần đầu hoặc sau khi nâng cấp (mặc định), 1 = Không hiện chế độ cài đặt quyền riêng tư. Nếu bạn đặt chế độ cài đặt quyền riêng tư cho các thiết bị trong tổ chức của mình theo chính sách, thì bạn có thể bỏ qua màn hình này (màn hình này nhắc người dùng thay đổi chế độ cài đặt).
Chặn tính năng nhận dạng lời nói trực tuyến đối với tất cả ứng dụng
Tên: AllowInputPersonalization
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/AllowInputPersonalization
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn tính năng nhận dạng lời nói cho tính năng đọc chính tả, Cortana và các ứng dụng khác sử dụng tính năng nhận dạng lời nói của Microsoft. 1 = Cho phép người dùng bật hoặc tắt tính năng nhận dạng lời nói trực tuyến (mặc định).
Tắt mã nhận dạng cho quảng cáo
Tên: DisableAdvertisingId
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisableAdvertisingId
Loại dữ liệu: Số nguyên
Giá trị: 0 = Tắt mã nhận dạng quảng cáo, 1 = Bật mã nhận dạng quảng cáo và không cho phép người dùng tắt, 65535 = Chưa được định cấu hình và người dùng có quyền kiểm soát (mặc định)
Chặn thông tin cập nhật đối với nguồn cấp dữ liệu hoạt động
Tên: EnableActivityFeed
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/EnableActivityFeed
Loại dữ liệu: Số nguyên
Giá trị: 0 = Chặn ứng dụng xuất bản hoạt động trên thiết bị vào nguồn cấp dữ liệu hoạt động và gửi hoạt động đó cho Microsoft, 1 = Cho phép ứng dụng cập nhật nguồn cấp dữ liệu hoạt động (mặc định)
Chặn quyền truy cập thông tin vị trí đối với các ứng dụng Windows
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/LetAppsAccessLocation
Loại dữ liệu: Số nguyên
Giá trị: 0 = Cho phép người dùng kiểm soát (mặc định), 1 = Buộc cho phép ứng dụng Windows truy cập thông tin vị trí, 2 = Buộc chặn ứng dụng Windows truy cập thông tin vị trí
Lưu ý: AllowLocation được ưu tiên hơn LetAppsAccessLocation.
Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.