如果您負責管理機構的 Microsoft Windows 10 或 11 裝置,而且使用的是 Google 的 Windows 裝置管理服務,那麼您可以在 Google 管理控制台新增自訂設定。本文將介紹各項常見設定,供您參考。如要瞭解如何在管理控制台中新增設定,請參閱「新增、編輯或刪除 Windows 10 或 11 裝置的自訂設定」。
注意:Microsoft 可能會變更這些設定的行為,因此以下資訊僅供參考。
套用設定前的準備工作
- Google 不提供第三方產品或設定的相關技術支援服務,也不承擔任何責任。如需這些產品的最新設定和支援資訊,請參閱產品網站。
- 確認範圍、版本和適用作業系統。
- 詳閱 Microsoft 說明文件。我們會在以下各項設定說明的「名稱」下方提供相關連結。
- 請務必先測試設定的效果,確認無誤後再套用設定。
裝置管理
禁止使用者取消註冊裝置
名稱: AllowManualMDMUnenrollment
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment
資料類型:整數
值:0 = 禁止使用者取消註冊;1 = 允許使用者取消註冊 (預設)。
注意:如果將這個值設為 0,那麼即使是具備本機管理員權限的使用者帳戶,也無法取消註冊裝置。如要在這個值為 0 時取消註冊裝置,請使用管理控制台。瞭解詳情
安全性
禁止使用者變更 VPN 設定
名稱: AllowVPN
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
資料類型:整數
值:0 = 禁止使用者變更 VPN 設定;1 = 允許使用者變更 VPN 設定 (預設)
控管使用者對「設定」應用程式的存取權
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/PageVisibilityList
資料類型:字串
值:使用 showonly: 或 hide: 前置字串指定要顯示還是隱藏頁面。舉例來說,如要隱藏 VPN 設定頁面,請使用 hide:network-vpn。預設值為空白字串,因此系統會顯示所有頁面。
如需可顯示/隱藏頁面的完整清單,請參閱 Microsoft 參考資料。您只需輸入頁面 URI 的第二個部分,不必輸入 ms-settings: 前置字串。
禁止使用者變更「自動播放」設定
名稱: AllowAutoPlay
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowAutoPlay
資料類型:整數
值:0 = 禁止使用者進行變更;1 = 允許使用者變更「自動播放」設定 (預設)
在裝置閒置一定時間 (以分計) 後自動鎖定裝置
如要設定逾時,您必須確實開啟裝置鎖定功能:
- 設定閒置逾時:
名稱: MaxInactivityTimeDeviceLock
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
資料類型:整數
值:0 - 999;0 = 無逾時設定 (預設)
- 開啟裝置鎖定功能。
禁止使用者透過遠端桌面建立遠端連線
名稱: AllowUsersToConnectRemotely
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
資料類型:字串
值:如要封鎖遠端桌面存取權,請輸入「<disabled />」。
設定攻擊面縮減規則
名稱: AttackSurfaceReductionRules
OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
資料類型:字串
值:規則 GUID 及其值的清單,格式為 {GUID-1}=value|{GUID-2}=value|...{GUID-N}=value。值可以是 0 = 停用、1 = 封鎖或 2 = 稽核。
舉例來說,如要強制執行下列規則:
- 封鎖電子郵件用戶端和網路郵件中的可執行內容
- 禁止 Office 應用程式將程式碼插入其他程序
輸入 {BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550}=1|{75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84}=1
如需規則及其 GUID 的完整清單,請參閱 Microsoft 說明文件。
如要確認裝置上的政策是否正常運作,您可以在裝置上使用 Microsoft 的攻擊面縮減示範情境,並在「事件檢視器」應用程式中追蹤裝置回應。瞭解詳情
必須設定裝置密碼並開啟裝置鎖定功能
不支援使用 Google 憑證提供者 Windows 版 (GCPW) 的裝置。請改為在管理控制台中設定密碼相關規定。瞭解詳情
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
資料類型:整數
值:0 = 已啟用 (預設);1 = 已停用
開啟裝置鎖定功能後,Microsoft 會套用一些密碼規定。建議您詳閱設定說明文件。
禁止在螢幕鎖定畫面上播放投影片
名稱: PreventLockScreenSlideShow
OMA-URI: ./Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
資料類型:字串
值:如要禁止在螢幕鎖定畫面上播放投影片,請輸入「<enabled />」 (區分大小寫)。
硬體和網路
設定 Wi-Fi 設定檔
名稱: WlanXml
OMA-URI: ./Vendor/MSFT/WiFi/Profile/<輸入 SSID>/WlanXml
將 <輸入 SSID> 替換成 Wi-Fi 網路名稱
資料類型:字串 (XML)
值:使用下列格式上傳 XML 檔案。您可以從現有的 Wi-Fi 連線建立 XML 檔案,或是編輯下列範本。請根據規定更新網路參數,如以下範例所示:
SSID(位於<name>) - 輸入 Wi-Fi 網路名稱。Password(位於<keyMaterial>) - 如果您是使用密碼驗證,請輸入 Wi-Fi 密碼。如果您是使用其他方式驗證,請參閱「WLAN_profile Schema Elements」,瞭解如何設定格式。- 在
<connectionMode>中輸入auto,即可讓裝置自動連線到 Wi-Fi 網路;或者輸入manual,強制使用者手動連上網路。
如需進一步瞭解參數和相關選項,請參閱 WLAN_profile Schema Elements (WLAN_profile 結構定義元素)。
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>SSID</name>
<SSIDConfig>
<SSID>
<name>SSID</name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>Password</keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
停用攝影機
名稱: AllowCamera
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Camera/AllowCamera
資料類型:整數
值:0 = 停用相機;1 = 啟用相機 (預設)
停用 USB 隨身碟和 SD 卡
名稱: AllowStorageCard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard
資料類型:整數
值:0 = 停用 USB 隨身碟並禁止使用 SD 卡;1 = 啟用 USB 磁碟機並允許使用 SD 卡 (預設)
停用藍牙廣告
名稱: AllowAdvertising
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
資料類型:整數
值:0 = 停用廣告傳送功能,藍牙裝置將無法偵測到這部裝置。1 = 啟用廣告傳送功能,藍牙裝置可以偵測到這部裝置 (預設)。
停用藍牙
名稱: AllowBluetooth
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
資料類型:整數
值:0 = 停用藍牙,2 = 啟用藍牙 (預設)
封鎖卸除式磁碟的寫入權限
名稱: RemovableDiskDenyWriteAccess
OMA-URI: ./[Device|User]/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
資料類型:整數
值:0 = 允許卸除式磁碟的寫入權限 (預設);1 = 封鎖卸除式磁碟的寫入權限
禁止使用者新增印表機
OMA-URI: ./User/Vendor/MSFT/Policy/Config/Education/PreventAddingNewPrinters
資料類型:整數
值:0 = 允許使用者新增印表機 (預設);1 = 禁止使用者新增印表機和掃描器
軟體
停用 Cortana
名稱: AllowCortana
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana
資料類型:整數
值:0 = 停用 Cortana;1 = 啟用 Cortana (預設)
封鎖控制中心的 Windows 焦點通知
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowWindowsSpotlight
資料類型:整數
值:0 = 停用焦點通知;1 = 啟用焦點通知 (預設)
在裝置閒置一段時間後自動進入休眠模式
政策名稱: StandbyTimeoutOnBattery
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutOnBattery
資料類型:SyncML XML 檔案
值:如果停用或未設定,使用者可以控管這項設定。
封鎖非 Microsoft Store 的應用程式
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps
資料類型:整數
值:0 = 封鎖非 Microsoft Store 的應用程式;1 = 允許所有應用程式;65535 = 未設定 (預設)
停用 OneDrive
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync
資料類型:整數
值:0 = 允許存取 OneDrive 檔案儲存空間 (預設);1 = 禁止存取 OneDrive 檔案儲存空間
封鎖進階遊戲服務
進階遊戲服務可能會將資料傳送給 Microsoft 或遊戲發布商。
名稱:AllowAdvancedGamingServices
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Games/AllowAdvancedGamingServices
資料類型:整數
值:0 = 封鎖進階遊戲服務;1 = 允許進階遊戲服務 (預設)
封鎖所有未經簽署的應用程式或特定應用程式
名稱:Policy (AppLocker CSP 的一部分)
OMA-URI:./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/[EXE | StoreApps | MSI | Script | DLL]/Policy
資料類型:字串 (XML)
值:指定相關應用程式和政策所適用群組/使用者的 XML 檔案。如需操作說明,請參閱「透過自訂設定封鎖應用程式」。
封鎖 Microsoft Store 應用程式
名稱: DisableStoreOriginatedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps
資料類型:整數
值:0 = 允許所有已從 Microsoft Store 預先安裝或下載的應用程式執行 (預設);1 = 禁止來自 Microsoft Store 的應用程式執行
僅允許存取貴機構在 Microsoft Store 中私人市集的應用程式
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/RequirePrivateStoreOnly
資料類型:整數
值:0 = 允許存取公用和私人市集的應用程式 (預設);1 = 禁止存取公用市集,僅允許存取私人市集
強制開啟或關閉定位服務
名稱: AllowLocation
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
資料類型:整數
值:0 = 強制關閉定位服務;所有應用程式皆無法存取定位服務,使用者也無法變更這項設定。1 = 允許使用者設置各個應用程式的位置隱私權設定 (預設)。2 = 強制開啟定位服務;所有應用程式皆可以存取定位服務,使用者無法變更這項設定或決定是否同意授權。
禁止透過遊戲 DVR 擷取、錄製及播送螢幕畫面
名稱: AllowGameDVR
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/AllowGameDVR
資料類型:整數
值:0 = 封鎖遊戲列;1 = 允許遊戲列 (預設)
個人化
設定桌面圖片
名稱: DesktopImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/DesktopImageUrl
資料類型:字串
值:圖片的網址,例如 https://www.mycompany.com/desktopimage.JPG 或 file:///c:/images/desktopimage.jpg。
設定螢幕鎖定畫面圖片
OMA-URI: ./Vendor/MSFT/Personalization/LockScreenImageUrl
資料類型:字串
值:圖片的網址,例如 https://www.mycompany.com/desktopimage.JPG 或 file:///c:/images/desktopimage.jpg。
隱私權
略過隱私權設定畫面
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisablePrivacyExperience
資料類型:整數
值:0 = 在使用者首次登入時,或系統升級後,顯示隱私權設定畫面 (預設);1 = 不顯示隱私權設定。如果您是透過政策設置貴機構裝置的隱私權設定,建議您略過該設定畫面,這樣系統就不會提示使用者變更相關設定。
封鎖所有應用程式的線上語音辨識功能
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/AllowInputPersonalization
資料類型:整數
值:0 = 針對聽寫功能、Cortana 和其他使用 Microsoft 語音辨識功能的應用程式,封鎖語音辨識功能;1 = 允許使用者開啟或關閉線上語音辨識功能 (預設)。
停用廣告 ID
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisableAdvertisingId
資料類型:整數
值:0 = 停用廣告 ID;1 = 啟用廣告 ID 並禁止使用者停用;65535 = 未設定,使用者可決定是否啟用 (預設)
禁止更新活動摘要
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/EnableActivityFeed
資料類型:整數
值:0 = 禁止應用程式將裝置活動發布到活動摘要並傳送給 Microsoft;1 = 允許應用程式更新活動摘要 (預設)
禁止 Windows 應用程式存取位置資訊
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/LetAppsAccessLocation
資料類型:整數
值:0 = 讓使用者自行決定 (預設);1 = 強制允許 Windows 應用程式存取位置資訊;2 = 強制禁止 Windows 應用程式存取位置資訊
注意: AllowLocation 的優先順序高於 LetAppsAccessLocation。
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。