作为管理员,当您通过 Google 的 Windows 设备管理服务来管理贵组织的 Microsoft Windows 10 或 11 设备时,可以通过 Google 管理控制台添加自定义设置。请参阅本文,了解许多常用设置。如需了解如何在管理控制台中添加设置,请参阅添加、修改或删除 Windows 10 或 11 设备的自定义设置。
注意:提供以下信息只是为了方便您参考,Microsoft 可能会更改这些设置的运作方式。
应用这些设置前的准备工作
- Google 不会针对第三方产品或设置提供技术支持服务,也不对其负责。请参阅相关产品网站,获取最新的配置和支持信息。
- 确认范围、版本和适用的操作系统。
- 参阅相关 Microsoft 文档。我们在以下设置说明的名称下提供了链接。
- 正式应用这些设置之前,请预先测试设置效果。
设备管理
禁止用户取消注册设备
名称: AllowManualMDMUnenrollment
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment
数据类型:整数
值:0 = 禁止用户取消注册;1 = 允许用户取消注册(默认值)。
注意:将值设为 0 时,即使是拥有本地管理员权限的用户账号也无法取消注册设备。如要在此设置的值为 0 时取消注册设备,请使用管理控制台。了解操作方法
安全
禁止用户更改 VPN 设置
名称: AllowVPN
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
数据类型:整数
值:0 = 禁止用户更改 VPN 设置,1 = 允许用户更改 VPN 设置(默认值)
控制用户对“设置”的访问权限
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/PageVisibilityList
数据类型:字符串
值:使用前缀 showonly: 或 hide: 指定要显示或隐藏的页面。例如,如要隐藏 VPN 设置,请使用 hide:network-vpn。默认值为空白字符串,也就是要显示所有页面。
如需查看可显示或隐藏的页面的完整列表,请参阅 Microsoft 参考文档。请仅输入页面 URI 的第二部分,不必输入 ms-settings: 前缀。
禁止用户更改“自动播放”设置
名称: AllowAutoPlay
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowAutoPlay
数据类型:整数
值:0 = 禁止用户更改;1 = 允许用户更改“自动播放”设置(默认值)
在设备闲置一段时间(以分钟为单位)后自动锁定设备
如需设置超时,您还必须明确开启设备锁定设置:
- 设置闲置超时:
名称: MaxInactivityTimeDeviceLock
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
数据类型:整数
值:0 - 999;0 = 无超时时间(默认值)
- 开启设备锁定设置。
禁止用户使用远程桌面服务进行远程连接
名称: AllowUsersToConnectRemotely
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
数据类型:字符串
值:如要停用远程桌面访问权限,请输入 <disabled />。
设置攻击面缩减规则
名称: AttackSurfaceReductionRules
OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
数据类型:字符串
值:规则 GUID 及其值的列表,格式为 {GUID-1}=值|{GUID-2}=值|...{GUID-N}=值。值可以是 0(停用)、1(阻止)或 2(审核)。
例如,如需强制执行以下规则:
- 屏蔽电子邮件客户端和网络邮件中的可执行内容
- 阻止 Office 应用将代码注入其他进程
输入 {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550}=1|{75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84}=1
如需查看规则及其 GUID 的完整列表,请参阅 Microsoft 文档。
如需确认政策在设备上是否按预期运行,您可以在设备上使用 Microsoft 的攻击面缩减演示方案,并在事件查看器应用中跟踪设备响应。了解详情
强制使用设备密码和开启设备锁定设置
不支持使用 Windows 版 Google 凭据提供程序 (GCPW) 的设备。请改为在管理控制台中设置密码要求。了解详情
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
数据类型:整数
值:0 = 已启用(默认值);1 = 已禁用
当您开启设备锁定设置后,Microsoft 会应用一些密码要求。我们建议您参阅相关设置文档。
阻止在锁定屏幕上播放幻灯片
名称: PreventLockScreenSlideShow
OMA-URI: ./Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
数据类型:字符串
值:如要阻止在锁定屏幕上播放幻灯片,请输入 <enabled />(区分大小写)。
硬件和网络
设置 Wi-Fi 配置文件
名称: WlanXml
OMA-URI: ./Vendor/MSFT/WiFi/Profile/<输入 SSID>/WlanXml
将 <输入 SSID> 替换为 Wi-Fi 网络名称
数据类型:字符串 (XML)
值:按照以下格式上传 XML 文件。您可以从现有的 Wi-Fi 连接创建 XML 文件,也可以修改以下示例模板。根据需要更新网络参数,例如:
SSID(位于<name>中)- 输入 Wi-Fi 网络名称。Password(位于<keyMaterial>中)- 如果您使用密码进行身份验证,请输入 Wi-Fi 密码。如果您使用其他身份验证方式,请参阅 WLAN_profile Schema Elements,了解如何设置格式。- 在
<connectionMode>中,输入auto可让设备自动连接到 Wi-Fi 网络,或者输入manual要求用户手动连接。
如需了解更多参数详情和选项,请参阅有关 WLAN_profile Schema Elements 的 Microsoft 文档。
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>SSID</name>
<SSIDConfig>
<SSID>
<name>SSID</name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>Password</keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
停用摄像头
名称: AllowCamera
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Camera/AllowCamera
数据类型:整数
值:0 = 停用摄像头;1 = 启用摄像头(默认值)
停用 U 盘和 SD 卡
名称: AllowStorageCard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard
数据类型:整数
值:0 = 停用 U 盘并禁止使用 SD 卡;1 = 启用 U 盘并允许使用 SD 卡(默认值)
停用蓝牙广告
名称: AllowAdvertising
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
数据类型:整数
值:0 = 停用发送广告的功能。设备不会被蓝牙设备发现。1 = 启用发送广告的功能。设备会被蓝牙设备发现(默认值)。
停用蓝牙
名称: AllowBluetooth
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
数据类型:整数
值:0 = 停用蓝牙;2 = 启用蓝牙(默认值)
禁止对可移动磁盘进行写入访问
名称: RemovableDiskDenyWriteAccess
OMA-URI: ./[Device|User]/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
数据类型:整数
值:0 = 允许对可移动磁盘进行写入访问(默认值),1 = 禁止对可移动磁盘进行写入访问
禁止用户添加打印机
OMA-URI: ./User/Vendor/MSFT/Policy/Config/Education/PreventAddingNewPrinters
数据类型:整数
值:0 = 允许用户添加打印机(默认值),1 = 禁止添加打印机和扫描仪
软件
停用 Cortana
名称: AllowCortana
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana
数据类型:整数
值:0 = 停用 Cortana,1 = 启用 Cortana(默认值)
禁止在操作中心显示 Windows 聚焦通知
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowWindowsSpotlight
数据类型:整数
值:0 = 停用聚焦通知,1 = 启用聚焦通知(默认值)
在设备闲置一段时间后自动让设备进入休眠状态
政策名称: StandbyTimeoutOnBattery
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutOnBattery
数据类型:SyncML XML 文件
值:如果已停用或未配置,用户可以控制此设置。
禁止非 Microsoft Store 中的应用
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps
数据类型:整数
值:0 = 禁止非 Microsoft Store 中的应用,1 = 允许所有应用,65535 = 未配置(默认值)
停用 OneDrive
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync
数据类型:整数
值:0 = 允许访问 OneDrive 文件存储空间(默认值),1 = 禁止访问 OneDrive 文件存储空间
禁止使用高级游戏服务
高级游戏服务可能会向 Microsoft 或游戏发布商发送数据。
名称:AllowAdvancedGamingServices
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Games/AllowAdvancedGamingServices
数据类型:整数
值:0 = 禁止使用高级游戏服务,1 = 允许使用高级游戏服务(默认值)
屏蔽所有未签名的应用或特定的已签名应用
名称:Policy(AppLocker 云解决方案提供商的一部分)
OMA-URI:./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<输入分组>/[EXE | StoreApps | MSI | Script | DLL]/Policy
数据类型:字符串 (XML)
值: 一份 XML 文件,用于指定应用以及政策适用的群组或用户。有关说明,请参阅使用自定义设置屏蔽应用。
屏蔽 Microsoft Store 应用
名称: DisableStoreOriginatedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps
数据类型:整数
值:0 = 允许运行所有 Microsoft Store 中的应用,包括预安装或已下载的应用(默认值),1 = 禁止运行 Microsoft Store 中的应用
仅允许在 Microsoft Store 访问贵组织的专用应用商店中的应用
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/RequirePrivateStoreOnly
数据类型:整数
值:0 = 允许访问公共和专用应用商店中的应用(默认值),1 = 仅允许访问专用应用商店中的应用
强制启用或停用位置信息服务
名称: AllowLocation
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
数据类型:整数
值:0 = 强制停用位置信息服务。任何应用都无法访问位置信息服务,且用户无法更改此设置。1 = 允许用户为每个应用配置“位置隐私”设置(默认值)。2 = 强制启用位置信息服务。所有应用都可以访问位置信息服务,且用户无法更改此设置或授予同意。
禁止通过游戏 DVR 进行屏幕截图、录制和直播
名称: AllowGameDVR
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/AllowGameDVR
数据类型:整数
值:0 = 停用游戏栏,1 = 启用游戏栏(默认值)
个性化
设置桌面图片
名称: DesktopImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/DesktopImageUrl
数据类型:字符串
值:图片的网址,例如 https://www.<公司名>.com/desktopimage.JPG 或 file:///c:/images/desktopimage.jpg。
设置锁屏图片
OMA-URI: ./Vendor/MSFT/Personalization/LockScreenImageUrl
数据类型:字符串
值:图片的网址,例如 https://www.<公司名>.com/desktopimage.JPG 或 file:///c:/images/desktopimage.jpg。
隐私权
跳过隐私设置的设置页面
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisablePrivacyExperience
数据类型:整数
值:0 = 用户首次登录或升级后显示隐私设置的设置页面(默认值),1 = 不显示隐私设置的设置页面。此设置页面会提示用户更改隐私设置,如果您是通过策略为组织中的设备配置隐私设置,或许想跳过此页面。
为所有应用停用在线语音识别功能
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/AllowInputPersonalization
数据类型:整数
值:0 = 禁止语音输入功能、Cortana 以及其他使用 Microsoft 语音识别的应用使用语音识别。1 = 允许用户开启或关闭在线语音识别(默认值)。
停用广告 ID
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisableAdvertisingId
数据类型:整数
值:0 = 停用广告 ID,1 = 启用广告 ID 并禁止用户停用该功能,65535 = 尚未配置该设置且用户拥有控制权(默认值)
禁止活动 Feed 更新
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/EnableActivityFeed
数据类型:整数
值:0 = 禁止应用将设备活动发布到活动 Feed 或发送到 Microsoft,1 = 允许应用更新活动 Feed(默认值)
禁止 Windows 应用访问位置信息
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/LetAppsAccessLocation
数据类型:整数
值:0 = 允许用户控制(默认值),1 = 强制允许 Windows 应用使用位置信息,2 = 强制禁止 Windows 应用使用位置信息
注意: AllowLocation 的优先级高于 LetAppsAccessLocation。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。